Beruflich Dokumente
Kultur Dokumente
Rede do Sistema
Financeiro Nacional
Verso 8.0
NDICE
NDICE ........................................................................................................................................................................... 2
CONTROLE DE VERSO ........................................................................................................................................... 5
VISO GERAL .............................................................................................................................................................. 7
ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO .................................. 7
Apresentao ............................................................................................................................................................................. 7
RSFN - Rede do Sistema Financeiro Nacional ........................................................................................................................ 7
Sobre a Arquitetura ................................................................................................................................................................... 7
Atribuies e Responsabilidades do Subgrupo de Redes ......................................................................................................... 8
Normas de utilizao da RSFN ................................................................................................................................................... 8
Recomendaes .......................................................................................................................................................................... 8
CENTRAL DE ATENDIMENTO ............................................................................................................................... 9
PROCEDIMENTOS PARA ACESSO RSFN ........................................................................................................ 10
Solicitao de conexo ............................................................................................................................................................ 10
Para solicitao das conexes as Entidades Solicitantes devero: ......................................................................................... 10
Questionrio: ............................................................................................................................................................................ 11
Pr-requisito: ........................................................................................................................................................................... 11
Poltica de encaminhamento do trfego de entrada e sada de dados: ................................................................................... 11
Testes de conectividade .......................................................................................................................................................... 12
Testes de contingncia ............................................................................................................................................................ 13
DESCRIO TCNICA ............................................................................................................................................ 22
Arquitetura de endereamento IP ...................................................................................................................................................... 22
ROTEAMENTO DA RSFN ........................................................................................................................................ 27
Roteamento para o Perfil A e B (Modelo 2)............................................................................................................................... 27
Roteamento para o Perfil C (Modelo 1) ..................................................................................................................................... 28
Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo /28 (Modelo 6) ........ 30
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 4) .................................................... 31
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 5) .................................................... 32
OBSERVAO IMPORTANTE RELATIVA AOS MODELOS 4 E 5 .................................................................................... 32
MODELOS DE TOPOLOGIA PARA CONEXES COM REDES INTERNAS ............................................ 33
SERVIDOR DE TEMPO (TIME SERVER) .............................................................................................................. 41
SERVIDOR WEB DA RSFN ...................................................................................................................................... 41
SERVIDOR FTP .......................................................................................................................................................... 42
INFRA-ESTRUTURA DE MENSAGERIA .............................................................................................................. 42
Diretrizes bsicas ...................................................................................................................................................................... 42
Definies do MQseries .......................................................................................................................................................... 43
CONFIGURAO DO SERVIDOR MQ - OPO ADOPTNEWMCA........................................................... 53
CONFIGURAO DO MQ - BANCO CENTRAL ................................................................................................. 54
GERNCIA DE SEGUNDA NVEL DA RSFN ........................................................................................................ 55
Diretrizes bsicas ...................................................................................................................................................................... 55
REQUISITOS PARA O MODELO OPERACIONAL DE PSTI ............................................................................. 56
Obrigaes das Instituies Financeiras quando operam no modelo de PSTI: ........................................................................... 56
Obrigaes dos PSTIs: .............................................................................................................................................................. 56
Utilizao de rede dedicada homologada pelo BACEN: ........................................................................................................... 56
Gerncia Integrada de Segundo Nvel: ...................................................................................................................................... 57
Infra-RSFN:.............................................................................................................................................................................. 57
QUALIDADE DE SERVIO NA RSFN .................................................................................................................... 58
Configurao atual de Qualidade de Servio na RSFN ......................................................................................................... 58
Nova configurao de Qualidade de Servio na RSFN.............................................................................................................. 59
Manual de Redes do SFN * Pgina 2 de 109
RSFN - Manual de Redes do SFN Verso 8.0
ANEXO I CONFIGURAO DE DNS (DOMAIN NAME SYSTEM) ............................................................... 60
INTRODUO ...................................................................................................................................................................... 60
PREMISSAS BSICAS ......................................................................................................................................................... 61
DNS NA RSFN ....................................................................................................................................................................... 62
Aplicaes de DNS recomendadas ......................................................................................................................................... 63
DNS em Servidores Unix........................................................................................................................................................ 63
DNS em Servidores Windows ................................................................................................................................................ 63
ARQUITETURA DE DNS DA RSFN ................................................................................................................................... 64
Sub-Domnios da RSFN ......................................................................................................................................................... 65
Delegando Direitos Para os Sub-Domnios ............................................................................................................................ 65
Incluindo ou Excluindo Domnios ou Sub-Domnios ............................................................................................................ 66
Domnios Reversos da RSFN ................................................................................................................................................. 66
Sub-Domnios Reversos da RSFN .......................................................................................................................................... 68
Delegando Direitos Para os Sub-Domnios Reversos ............................................................................................................ 68
Incluindo ou Excluindo Domnios ou Sub-Domnios Reversos ............................................................................................ 70
Sub-Domnios Reversos da RSFN .......................................................................................................................................... 71
Servidores de DNS da RSFN .................................................................................................................................................. 72
Servidor Primrio dos Domnios Superiores IRS (Internal Root Server) ....................................................................... 72
Servidores Primrios dos Sub-Domnios ................................................................................................................................ 73
Servidores Secundrios dos Sub-Domnios ............................................................................................................................ 75
Registro dos Domnios Superiores nas Entidades Competentes ............................................................................................ 76
Registro dos Sub-Domnios das Entidades ............................................................................................................................. 77
rvore de DNS da Parte Externa ............................................................................................................................................ 77
Restries sobre a Configurao do PNS e SNS dos Sub-Domnios ..................................................................................... 83
CONFIGURAO DOS RESOLVERS ................................................................................................................................. 83
PADRONIZAO DE NOMES DE HOSTS E INTERFACES ........................................................................................... 83
Padronizao de Nomes de Usurios ...................................................................................................................................... 84
IMPACTO DO TRFEGO DO DNS NA REDE .................................................................................................................. 84
Localizao dos Servidores..................................................................................................................................................... 84
Parmetros de Temporizao do Registro SOA ..................................................................................................................... 85
Configurao dos Resolvers .................................................................................................................................................... 85
FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP ............................................................................... 87
INTRODUO ...................................................................................................................................................................... 87
DNS EM SERVIDORES DA MICROSOFT ............................................................................................................. 89
INTRODUO ...................................................................................................................................................................... 89
CONFIGURAO DO DNS SERVER EM AMBIENTE WINDOWS 2000 ..................................................................... 89
Criando um Domnio Reverso Primrio ................................................................................................................................. 93
Criando um Domnio Direto Secundrio ................................................................................................................................ 95
Criando um Domnio Reverso Secundrio ............................................................................................................................. 96
Criando um Registro do Tipo A ............................................................................................................................................. 96
Criando um Registro do Tipo PTR ......................................................................................................................................... 97
Configurando os Servidores Forwarders ............................................................................................................................... 99
SERVIO DNS EM AMBIENTE WINDOWS NT 4.0 ...................................................................................................... 100
Criando um Domnio Direto Primrio .................................................................................................................................. 101
Criando um Domnio Reverso Primrio ............................................................................................................................... 102
Criando um Domnio Reverso Secundrio ........................................................................................................................... 103
Criando um Domnio Direto Secundrio .............................................................................................................................. 105
Criando um Registro do Tipo A ........................................................................................................................................... 105
Criando um Registro do Tipo PTR ....................................................................................................................................... 106
Configurando os Servidores Forwarders ............................................................................................................................. 108
CONTROLE DE VERSO
VISO GERAL
Apresentao
A Arquitetura de Rede de Comunicao de Dados entre o Banco Central do Brasil, as Instituies
Financeiras e as Cmaras, foi projetada para suportar a implantao do novo Sistema de Pagamentos
Brasileiro (SPB) e que deve estar preparada para agregar tambm outros servios de comunicao entre
instituies do sistema financeiro.
Para atingir os objetivos acima, o Subgrupo de Redes avaliou as diversas alternativas tcnicas e solues dos
fornecedores e concessionrias, resultando na RSFN.
Este manual foi elaborado para a correta utilizao desta rede, contendo informaes tcnicas e operacionais para as
Instituies Financeiras se conectarem RSFN, institudo pela Circular BACEN 3.629, de 19.02.2013.
Sobre a Arquitetura
Considerando-se que as operaes dos sistemas sero processadas em regime de tempo real, esta arquitetura
foi especificada partindo-se da premissa de que dever ter alta disponibilidade, desempenho, segurana e
contingncia.
Baseado nas premissas acima, o Subgrupo de Redes estabeleceu critrios rigorosos nas suas especificaes que,
alm de adotar as melhores tecnologias disponveis atualmente, exigiu das concessionrias qualificadas a garantia
de que a rede ter total aderncia s nossas especificaes e redundncia em todos os seus segmentos: no seu
backbone, nos seus entroncamentos e meios fsicos, nos seus equipamentos, nos ns da rede e na sua ltima
milha.
Estabeleceu tambm que, futuramente, essa rede dever agregar novos servios como Voz sobre IP,
interconexo entre as instituies financeiras etc., sem a necessidade de se alterar a sua arquitetura com novos
investimentos.
Todos os servios a serem implementados na rede devero ser homologados pelo Subgrupo de Redes, que definir
os padres de endereamento IP para cada tipo de servio.
a. permitido a todos os participantes da RSFN estabelecer comunicao direta com o Banco Central, com as
cmaras, com os prestadores de servios de compensao e de liquidao e com os seus respectivos
Provedores de Servios de Tecnologia da Informao PSTIs.
b. permitido ao Banco Central, s cmaras e aos prestadores de servios de compensao e de liquidao
estabelecer comunicao direta com todos os participantes da RSFN.
c. permitido aos PSTIs estabelecer comunicao direta com o Banco Central e com os participantes da RSFN
que utilizam o seu servio.
d. vedado aos participantes da RSFN estabelecer comunicao direta entre si que no esteja prevista nos casos
anteriores.
e. vedada a comunicao entre os dois sites de um mesmo participante via RSFN.
Recomendaes
CENTRAL DE ATENDIMENTO
O servio de comunicao entre as Entidades Participantes da RSFN est sendo provido pelas
concessionrias: Primesys e Embratel/RTM, que recebero as solicitaes de conexo com a RSFN,
informaes e abertura de chamados tcnicos referentes a problemas de conectividade encontrados pelas Entidades
Participantes, atravs de suas Centrais de Atendimento pelos telefones 0800-7021358 e 0800-7077400,
respectivamente.
Efetuada a conexo, poder ser acessado o Site Web da RSFN no BACEN, atravs do endereo
www.rsfn.net.br, onde esto disponveis outros documentos relevantes, incluindo a lista de escalonamento para
problemas recorrentes ou no-resolvidos.
Solicitao de conexo
a) Todos os participantes da RSFN devero contratar obrigatoriamente pelo menos uma conexo com a
Primesys e outra com a Embratel/RTM;
b) As conexes sero instaladas pelas concessionrias nos endereos onde os Participantes indicarem, na
modalidade Turn Key, ou seja, acesso local (par metlico, fibra ptica ou rdio) e roteador configurado;
c) Em todas as conexes, as concessionrias fornecero o Roteador devidamente homologado pelo Subgrupo
de Redes, com o hardware, software e configurao necessria para suportar os servios da RSFN;
d) Essa rede dever respeitar as especificaes estabelecidas na RFP pelo Subgrupo de Redes e de total
conhecimento das concessionrias Primesys e Embratel / RTM;
e) A no observncia das especificaes citadas no item anterior pelas concessionrias ou pelo Participante
poder comprometer a conectividade e segurana deste ltimo, podendo no participar dos testes e
implantao dos seus sistemas;
f) Os roteadores sero de uso exclusivo para a RSFN e sero instalados e configurados pelas concessionrias
conforme as regras de endereamento IP definidos pelo Subgrupo de Redes.
a) Contatar as concessionrias, atravs das respectivas Centrais de Atendimento, que verificaro os dados na
lista fornecida pelo Banco Central e encaminharo ao responsvel administrativo do Solicitante o
questionrio abaixo listado, juntamente com outras informaes que julgarem relevantes, o qual dever ser
preenchido e devolvido, por meio eletrnico, para as concessionrias;
b) As concessionrias recebero as informaes e as encaminharo para o Banco Central, por meio eletrnico,
aos cuidados de infra.rsfn@bcb.gov.br;
c) O Banco Central preencher a planilha de cadastro contendo a faixa de endereos IP designada para utilizao
do Solicitante, que ser enviada caixa postal do responsvel tcnico do Solicitante e s duas concessionrias.
Tambm ser providenciado o cadastro do nome do subdomnio informado pelo Solicitante, eventual
duplicidade de nomes de subdomnio ser previamente comunicada e ser negociado um novo nome entre o
Banco Central e o Solicitante;
d) Com a informao recebida, as concessionrias estaro autorizadas a incluir a Entidade Solicitante na RSFN e
tomar as providncias necessrias para liberao dos circuitos;
e) Solicitar das concessionrias o contrato completo para aquisio da ltima milha e os seus servios.
Questionrio:
Pr-requisito:
Conexo dos roteadores das duas concessionrias em barramento de rede local, conforme modelos sugeridos no
Captulo Modelos de Topologia para Conexes com redes Internas deste documento.
Segundo a definio do comit gestor do grupo de redes da RSFN, o critrio de escolha do caminho de sada de cada
Entidade ser definido pela configurao HSRP (Hot Standby Router Protocol). Nesta configurao, todos os Hosts da
VLAN devero apontar para um default gateway virtual, onde os roteadores (CPE EBT/RTM e PRIMESYS) iro
responder, sendo que um deles ter uma prioridade maior.
Para que uma concessionria no seja mais sobrecarregada que a outra, as Entidades sero divididas em dois grupos,
em que um grupo preferencialmente ter como acesso ao backbone RSFN via o CPE Primesys e o outro ter acesso via
o CPE EBT/RTM.
Na configurao proposta, a regra se resume em: o circuito Primesys ter preferncia na comunicao entre entidades
de mesmo grupo e o circuito EBT/RTM ter preferncia na comunicao entre entidades de grupos diferentes. Desta
forma, o fluxo de entrada de dados depender da origem e haver balanceamento do trfego entre as operadoras,
conforme demonstra a figura abaixo:
Testes de conectividade
IP address do 10 host
Subnetmask: fornecida na documentao
Gateway: Endereo do HSRP
Caso algum dos testes falhe, abrir chamado na Central de Atendimento da Concessionria e reportar o
procedimento e a falha .
Testes de contingncia
Todas as Entidades possuem conexo com as duas nuvens: EBR/RTM e Primesys, o que dever garantir a
redundncia de acesso a todos os servios disponveis na RSFN.
Durante a realizao dos testes de contingncia, sero simuladas situaes de queda dessas conexes, a fim de
validar as funcionalidades das redundncias e medir os tempos de convergncia na RSFN. Para tanto, foram
definidos os procedimentos descritos a seguir:
3. Retorno do dispositivo :
Modelos de Topologia
MODELO 1:
Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via
roteadores ou Firewall.
Este modelo pode ter como variante a conexo de apenas 1 firewall por site.
Testes :
1- Queda do circuito Primesys do site principal
2- Queda do circuito EBT do site principal
3- Queda do circuito Primesys do site backup
4- Queda do circuito EBT do site backup
5- Queda dos 2 circuitos do site principal
6- Queda dos 2 circuitos do site principal + Primesys site backup
7- Queda dos 2 circuitos do site principal + EBT site backup
8- Queda do roteador Primesys do site principal
9- Queda do roteador EBT do site principal
10- Queda do roteador Primesys do site backup
11- Queda do roteador EBT do site backup
12- Queda dos 2 roteadores do site principal
13- Queda dos 2 roteadores do site principal + Primesys site backup
14- Queda dos 2 roteadores do site principal + EBT site backup
15- Queda do firewall 1 do site principal
16- Queda do firewall 2 do site principal
17- Queda do firewall 1 do site backup
18- Queda do firewall 2 do site backup
19- Queda dos 2 firewalls do site principal
20- Queda dos 2 firewalls do site principal + Firewall 1 site backup
21- Queda dos 2 firewalls do site principal + Firewall 2 site backup
MODELO 2:
Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE
em cada.
Este modelo pode ter como variante a conexo dos 2 CPEs no mesmo site (sem site backup). Neste caso
tambm podemos ter 1 ou 2 firewalls.
Testes :
1- Queda do circuito Primesys do site principal
2- Queda do circuito EBT do site backup
3- Queda do roteador Primesys do site principal
4- Queda do roteador EBT do site backup
5- Queda do firewall do site principal
6- Queda do firewall do site backup
MODELO 3 e MODELO 6:
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e conexo
entre a RSFN e Entidade via roteadores (que suportem roteamento BGP).
Testes :
1- Queda do circuito Primesys do site principal
2- Queda do circuito EBT do site principal
3- Queda do circuito Primesys do site backup 4-
Queda do circuito EBT do site backup
5- Queda dos 2 circuitos do site principal
6- Queda dos 2 circuitos do site principal + Primesys site backup
7- Queda dos 2 circuitos do site principal + EBT site backup
8- Queda do roteador Primesys do site principal
9- Queda do roteador EBT do site principal
10- Queda do roteador Primesys do site backup
11- Queda do roteador EBT do site backup
12- Queda dos 2 roteadores do site principal
13- Queda dos 2 roteadores do site principal + Primesys site backup
14- Queda dos 2 roteadores do site principal + EBT site backup
15- Queda do roteador BGP 1 do site principal
16- Queda do roteador BGP 2 do site principal
17- Queda do roteador BGP 1 do site backup
18- Queda do roteador BGP 2 do site backup
19- Queda dos 2 roteador BGPs do site principal
20- Queda dos 2 roteador BGPs do site principal + Roteador BGP 1 site backup
21- Queda dos 2 roteador BGPs do site principal + Roteador BGP 2 site backup
MODELO 4 e MODELO 5:
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo
entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento
BGP
Testes :
1- Queda do circuito Primesys do site principal
2- Queda do circuito EBT do site principal
3- Queda do circuito Primesys do site backup
4- Queda do circuito EBT do site backup
5- Queda dos 2 circuitos do site principal
6- Queda dos 2 circuitos do site principal + Primesys site backup
7- Queda dos 2 circuitos do site principal + EBT site backup
8- Queda do roteador Primesys do site principal
9- Queda do roteador EBT do site principal
10- Queda do roteador Primesys do site backup
11- Queda do roteador EBT do site backup
12- Queda dos 2 roteadores do site principal
13- Queda dos 2 roteadores do site principal + Primesys site backup 14-
Queda dos 2 roteadores do site principal + EBT site backup
15- Queda do firewall 1 do site principal
16- Queda do firewall 2 do site principal
17- Queda do firewall 1 do site backup
18- Queda do firewall 2 do site backup
19- Queda dos 2 firewalls do site principal
20- Queda dos 2 firewalls do site principal + Firewall 1 site backup
21- Queda dos 2 firewalls do site principal + Firewall 2 site backup
DESCRIO TCNICA
Arquitetura de endereamento IP
A RSFN recebeu do Comit Gestor da Internet Brasil um prefixo /18 para ser distribudo entre as Entidades
Participantes, a fim de evitar conflito com o endereamento IP interno destas.
A topologia lgica da RSFN composta de dois nveis hierrquicos: core e acesso. O core composto pelas
Concessionrias e o acesso pelas Entidades Participantes, que so: BACEN, Cmaras, Provedores PSTI e as
Instituies Financeiras (IF).
O BACEN, as Cmaras e os Provedores PSTI devero ter, no mnimo, dois sites e as IF podero ter um ou mais
sites.
Os conglomerados que englobam mais de uma Instituio Financeira, e possuem todos os servios
concentrados, sero vistos como um Provedor PSTI, de acordo com a norma vigente pelo Banco Central do Brasil.
O servio de comunicao entre as Entidades Participantes da RSFN est sendo oferecido por duas
concessionrias: Primesys e pela Embratel/RTM, atravs de um backbone com o servio VPN/MPLS, garantindo um
isolamento lgico da RSFN.
As Entidades Participantes devero ter como conexo RSFN um dos cinco perfis ilustrados na Figura 7.
Caso o Participante adote os perfis A ou B, este receber um prefixo /28 para a VLAN de conexo com a
RSFN. Para os demais perfis receber dois prefixos /28.
O BACEN , as Cmaras e os Provedores PSTI utilizaro o perfil C ou D recebendo dois prefixos /27.
O Provedor PSTI pode se comunicar apenas com o BACEN, as Cmaras e as IFs s quais ele presta servio,
conforme apresentado na Figura 8.
Para facilitar a administrao dos endereos IP dos diferentes ns TCP/IP dentro de cada VLAN, as faixas foram
padronizadas por tipo de hosts. Alm de permitir a identificao rpida do recurso, a utilizao de faixa de
endereos permite definir listas de acesso e de prioridades para cada recurso da rede.
A VLAN das Cmaras e dos Provedores PSTI possuem no mximo 30 hosts para cada prefixo /27. As faixas de
hosts recomendadas para estas subredes esto ilustradas nas Tabela 1 e Tabela 2.
A VLAN das IF possuem no mximo 14 hosts para cada prefixo /28. As faixas de hosts recomendadas para estas
subredes esto ilustradas nas Tabela 3 e Tabela 4.
ROTEAMENTO DA RSFN
As concessionrias garantem que as rotas das VPN das Entidades Participantes da RSFN no sero
divulgadas para a Internet. A concessionria no deve interferir na Poltica de Roteamento das Entidades
Participantes da RSFN.
O Subgrupo de Redes definiu que todo o trfego das informaes de entrada das Entidades Participantes no
ter preferncia entre os circuitos das duas concessionrias; o mesmo se aplica para todo o trfego das
informaes de sada das Entidades Participantes, que no tero preferncia entre os circuitos, dividindo o trfego
entre as duas concessionrias. Este controle feito pelo protocolo de roteamento BGP responsvel pelo roteamento
dos pacotes entre os CPE e as concessionrias.
Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE
em cada.
Figura 9 - Topologia com dois sites, porm com apenas dois CPE
Neste tipo de conexo, a Entidade receber apenas um prefixo de endereamento IP e ser cadastrado no
DNS um registro com apenas um prefixo. Internamente dever ser utilizado NAT sob total controle da
Entidade.
Na rede local da Entidade, o segmento que interliga os CPEs e a clula de segurana no possui nenhum
protocolo de roteamento dinmico, sendo utilizado apenas roteamento esttico.
Como nesse segmento de rede local existem dois roteadores, ser implementada a tecnologia HSRP. Desta forma,
os hosts tero alternativas de acesso externo em caso de falha de um roteador, sem necessidade de configurao
Manual de Redes do SFN * Pgina 27 de 109
RSFN - Manual de Redes do SFN Verso 8.0
manual.
Os dois roteadores possuiro alocao de endereos das interfaces Ethernet, porm ser alocado um terceiro
endereo virtual, que corresponder ao HSRP. Este endereo virtual dever ser o mesmo em ambos os
roteadores e corresponder ao default gateway dos hosts deste segmento de rede.
Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via
roteadores ou Firewall.
Figura 10 - Topologia com dois sites com interconexo pela rede interna
Para esta topologia, a Entidade ser cadastrada no DNS com dois registros de prefixo - um do site principal e outro do
site backup.
Sob o ponto de vista de roteamento IP, sero consideradas duas Entidades, isto , tanto no site principal como
no site backup sero configurados dois CPE.
Internamente dever ser utilizado NAT em ambos os sites sob total controle da Entidade. Isto significa que o pacote
que sair do site backup ter um endereo diferente em relao ao site principal.
Como o roteamento est ativo em ambos os sites, no caso de um dos sites ficar indisponvel, o outro
continuar em funcionamento de forma transparente para a RSFN.
Embora neste tipo de conexo as Entidades recebam dois blocos de endereamento IP, para a RSFN ser
anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de Cmara ou Provedor PSTI ser o
prefixo /26).
Caso sejam utilizados roteadores entre o barramento da RSFN e a rede da Entidade, pode ser utilizado
roteamento BGP entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como route-
reflector (para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia
de um ou mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero
configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade
(os route-reflector), como ilustrado na Figura 6 - Conexo do Perfil D com roteamento iBGP. Os
roteadores das Entidades devero utilizar os endereos da interface local para as configuraes BGP, em vez de
utilizar interfaces loopbacks. Desta forma, a configurao do HSRP dever ser nos roteadores da Entidade em vez de
ser nos roteadores CPE.
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN, conexo
entre a rede RSFN e Entidade via roteadores (que suportem roteamento BGP) segmentando o prefixo
/27 em dois prefixos /28 internamente na rede da Entidade. O primeiro prefixo ser utilizado para a
VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de
NAT. Divulgao do segundo prefixo /28 a partir de roteadores internos para que os CPE possam
alcanar os endereos deste prefixo a partir dos route-reflectors.
Figura 12 -Topologia com dois sites, quatro roteadores da Entidade e NAT interno
Este modelo visa atender necessidade de uma entidade ter roteamento BGP em sua estrutura interna
(modelo 3) utilizando route-reflectors e realizar o NAT em um dispositivo de rede interna e no na VLAN das
interfaces ethernet dos roteadores CPE utilizando ARP (modelo 5).
Para a RSFN, ser anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de
Cmara/BACEN/Provedor PSTI ser o prefixo /26) e o grupo (grupo A/B) ser referente ao primeiro prefixo
fornecido pelo BACEN (ou seja, se o primeiro prefixo for grupo A, o sumrio ser do grupo A).
Caso haja roteadores entre o barramento RSFN e a rede da Entidade, dever ser utilizado roteamento BGP
entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como route-reflector
(para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia de um ou
mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero
configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade
(os route-reflectors), como ilustrado na Figura 11. Os roteadores das Entidades devero utilizar os endereos
da interface local para as configuraes BGP, em vez de utilizar interfaces loopbacks. Desta forma, as
configuraes do HSRP, caso seja necessrio, dever ser nos roteadores da Entidade em vez de nos
roteadores CPE.
O route-reflector do site principal dever ter a interface de rede da VLAN RSFN com o 13 o endereo do
primeiro prefixo /28 e o route-reflector do site secundrio o 14o. Apesar de, a partir dos CPE existirem dois
caminhos para a o segundo prefixo /28, a opo de acesso ser tomada para o vizinho (neighbor) com o menor
endereo IP (site principal).
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo
entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento
BGP).
A diferena entre este modelo em relao ao anterior refere-se ao fato dos equipamentos de interface entre o
barramento da RSFN e o da Entidade no suportarem o protocolo de roteamento BGP (ou a Entidade optar em no
utilizar este protocolo). Neste caso, dever ser configurado HSRP envolvendo os 4 CPEs (dois de cada site). O
anncio do prefixo ser /27 para as IF e /26 para as demais Entidades.
Manual de Redes do SFN * Pgina 31 de 109
RSFN - Manual de Redes do SFN Verso 8.0
Similar ao modelo anterior, mas segmentando o prefixo /27 em dois prefixos /28 internamente na rede
da Entidade. O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores
CPE e o segundo prefixo ser utilizado para o pool de NAT. Desta forma no haver necessidade de
configurar uma tabela ARP estaticamente nos firewall, sendo necessria apenas a insero de uma rota
esttica nos CPE indicando o next-hop do segundo prefixo /28 .
A diferena entre este modelo em relao ao modelo 4 se refere em definir dois domnios de broadcast.
A escolha de um dos modelos indicados fica a cargo de cada Entidade, levando-se em conta a anlise de custos
X benefcios.
em hiptese alguma, o segmento da RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de
Firewall ou que suportem a configurao de listas de acesso);
para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de
equipamentos redundantes;
o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta
disponibilidade, mecanismos de Failover ou duplicao de tabelas e permisso de acesso em
conjunto com protocolos de roteamento dinmico;
os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer
parte dos segmentos da Intranet da Entidade;
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma
a se evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais
segmentos de rede devem utilizar endereos da Intranet da Entidade;
os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de
seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT,
no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na
Intranet;
todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus
endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever
ser executada no servidor de Firewall, configurado com a funo NAT;
os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na
RSFN a serem fornecidos pelo Banco Central. Essas rotas devero apontar para o servidor de
Firewall utilizado na interligao da Intranet com a RSFN;
Os servidores de Firewall devero ser configurados com rota especfica para o endereo do host
hsrp.sub-domnio.rsfn.net.br.
Este modelo bastante similar ao anterior, diferenciando-se apenas pela utilizao de roteadores internos para
isolar o segmento da RSFN dos servidores de Firewall. A Figura 16 ilustra esta topologia.
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma
a evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais
segmentos de rede devem utilizar endereos da Intranet da Entidade;
os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de
seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT,
no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na
Intranet;
todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus
endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever
ser executada no servidor de Firewall, configurado com a funo NAT;
os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na
RSFN a ser fornecido pelo Banco Central. Estas rotas devero apontar para o servidor de Firewall
utilizado na interligao da Intranet com a RSFN;
os servidores de Firewall devero ser configurados com rota especfica para o endereo do host
hsrp.sub-domnio.rsfn.net.br.
Neste modelo so utilizados dois sites: um principal e um de contingncia, conforme ilustrado na Figura 17. Cabe
Entidade definir se os dois estaro ativos ou se o site de contingncia somente ser acionado em caso de falhas no
site principal.
so utilizados switches de contedo com configurao de GLB (Global Load Balance) para realizar o
balanceamento de carga entre os servidores que oferecem servios para a RSFN;
em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo
de Firewall ou que suportem a configurao de listas de acesso);
para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de
equipamentos redundantes, neste caso um em cada localidade;
o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta
disponibilidade;
a interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes
tecnologias de LANs e MANs;
os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer
parte dos segmentos da Intranet da Entidade;
Neste modelo a Entidade possui contingncia de todos os equipamentos utilizados em um determinado site mas
no possui site de contingncia / backup. A Figura 18 ilustra este modelo:
so utilizados switches de contedo com configurao de GLB (Global Load Balance) e FLB
(Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem
servios para a RSFN e entre os servidores de Firewall;
em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo
de Firewall ou que suportem a configurao de listas de acesso);
para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de
equipamentos redundantes, neste caso um em cada localidade;
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma
a se evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais
segmentos de rede devem utilizar endereos da Intranet da Entidade;
os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de
seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT,
no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na
Intranet;
todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus
endereos da Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever
ser executada no servidor de Firewall, configurado com a funo NAT;
os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na
RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall
utilizado na interligao da Intranet com a RSFN;
os servidores de Firewall devero ser configurados com rota especfica para o endereo do host
hsrp.sub-domnio.rsfn.net.br.
so utilizados switches de contedo com configurao de GLB (Global Load Balance) e FLB
(Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem
servios para a RSFN e entre os servidores de Firewall;
em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com
funo de Firewall ou que suportem a configurao de listas de acesso);
interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes
tecnologias de LANs e MANs;
os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou pode fazer
parte dos segmentos da Intranet da Entidade;
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de
forma a se evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais
segmentos de rede devem utilizar endereos da Intranet da Entidade;
os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de
seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT,
no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na
Intranet;
todas as estaes de trabalho da Intranet que desejar acessar servios da RSFN, tero seus endereos
de Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever ser
executada no servidor de Firewall, configurado com a funo NAT;
os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na
RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall
utilizado na interligao da Intranet com a RSFN;
os servidores de Firewall devero ser configurados com rota especfica para o endereo do host
hsrp.sub-domnio.rsfn.net.br.
Est disponvel um servidor de tempo no BACEN que poder ser utilizado pelos Participantes da RSFN para o
sincronismo de horrio dos servidores MQSeries e demais servidores da RSFN atravs do protocolo NTP. Abaixo
seguem descritos os dados necessrios para acesso a este Servio.
Servidor: ntp.bcb.rsfn.net.br
Port de acesso: 123 (UDP)
SERVIDOR FTP
O servio FTP no modo ativo utiliza a porta 20 para transferncia de dados e a porta 21 para comandos. Para
a RSFN, o servio FTP em modo passivo (Passive Mode) utilizar o range de portas 1110 a 1121.
Como exemplo, o arquivo de configurao, para a soluo VSFTP, acrescentar os seguintes parmetros:
pasv_enable=YES
pasv_min_port=1110
pasv_max_port=1121
port_enable=YES
INFRA-ESTRUTURA DE MENSAGERIA
Diretrizes bsicas
A mensageria baseada em um software gerenciador de filas, o MQSeries (ou simplesmente MQ). Recomenda-se
utilizar a verso mais atual deste software, entretanto isto no requisito de funcionamento, sendo possvel a
comunicao entre diferentes verses. No ser permitida a utilizao de outros aplicativos para transferncia de
mensagens, que no sejam de uso comum por todas as instituies participantes.
No haver conexes do MQSeries do tipo cliente-servidor entre os participantes da RSFN, todos devero se
conectar a rede usando o modo servidor-servidor. As conexes entre provedores PSTI (aglomerados,
conglomerados e provedores de contingncia) e seus agregados podem ser do tipo cliente-servidor.
Para o trfego de mensagens na RSFN, foram estabelecidos cinco domnios de sistemas: SPB01, SPB02, MES01,
MES02 e MES03.
Os domnios SPB01 e SPB02 dizem respeito ao trfego de mensagens dos grupos de servios relacionados ao
Sistema de Pagamentos Brasileiro.
Os domnios de sistema da Mensageria Sisbacen (MES01, MES02 e MES03) contm os grupos de mensagens no
relacionadas a pagamentos. Para o envio das mensagens nesses domnios, sero utilizados canais, filas, endereos
(DNS) e portas especficas, ou seja, diferentes daquelas utilizadas pelo SPB01 e pelo SPB02.
A permisso para trfego das mensagens nos domnios dar-se- conforme regulamentado no Catlogo de Servios
do SFN, para cada grupo de servios.
Em todos os domnios de sistema, as instituies sero identificadas pelo CNPJ bsico de oito posies ou, no caso
dos participantes das mensagerias do SPB01 e do SPB02, pelo ISPB. O Banco Central ser identificado por seu
ISPB, ou seja, 00038166.
O BACEN usar um conjunto de filas (objetos MQ) para cada instituio, diferenciados de acordo com os domnios
de sistema utilizado.
As instituies utilizaro os mesmos certificados digitais para os domnios SPB01 e SPB02, observando a separao
entre os ambientes de homologao e de produo. Portanto, um certificado digital ativo para o domnio SPB01 estar
ativo, automaticamente, no domnio SPB02. No ser possvel ativar certificados distintos para os domnios SPB01 e
SPB02 em um mesmo ambiente (de homologao ou de produo).
Para o gerenciamento de certificados digitais, consulte o uso das mensagens do grupo de servios GEN no Catlogo de
Servios do SFN.
Definies do MQseries
Ser ignorada a fila informada no campo ReplyToQ do header do MQSeries para as respostas geradas pelas
aplicaes. Ser usada a fila de resposta padro previamente definida.
A fila informada no campo ReplyToQ do header do MQ ser usada apenas para as mensagens geradas
automaticamente pelo Queue Manager (reports COA e COD). O gerenciador de filas informado no campo
ReplyToQMgr deve ser informado no formato QM.ISPBRemoto.seq .
No ser permitida a gravao de mensagens nas filas de uma instituio definidas no BACEN por outra entidade
que no seja a prpria, exceto na situao de contingncia operada pelo BACEN e autorizada pela instituio.
Sero aceitas para processamento apenas as mensagens contidas na(s) fila(s) da respectiva instituio que as gerou.
Ou seja, o BACEN processar apenas as mensagens cujo contedo seja da prpria instituio que as emitiu, exceto
na situao de contingncia operada pelo BACEN e autorizada pela instituio.
Os ambientes de homologao e de produo devero utilizar queue managers distintos, tanto nos domnios de
sistema SPB quando nos domnios de sistema MES.
O tamanho mximo de uma mensagem ser 4 Mbytes, incluindo o header do MQSeries, o header de segurana e a
codificao do texto XML em UNICODE UTF-16 BE.
De acordo com o Artigo 27 do regulamento do STR, institudo pela Circular 3.488 de 18.03.2010, o COA
(Confirm on Arrival) emitido pelo Banco Central o protocolo de recebimento da mensagem.
Dessa forma, os campos importantes da mensagem COA (e COD, opcionalmente), emitida pelo Banco
Central, que devem ser guardados pelos participantes para fins de comprovao de emisso
so:
MsgId (MQBYTE24)
AccountingToken (MQBYTE32)
ApplIdentityData (MQCHAR32)
PutDate (MQCHAR8)
PutTime (MQCHAR8)
Padro de nomes para objetos MQSeries que ser usado no ambiente do Banco Central, dos prestadores de servios
e das demais instituies participantes do SPB01, SPB02, MES01, MES02 e MES03:
Filas de Transmisso:
QM.ISPBRemoto.seq
QM.ISPBLocal.seq
Canais
Sender: CISPBLocal.ISPBRemoto.n
Receiver: CISPBRemoto.ISPBLocal.n
Exemplo: no domnio MES01, no queue manager da IF, temos o canal receptor (receiver) C000038166. 99999999.2
(trfego do BACEN IF 99999999) e o canal emissor (sender) C99999999.00038166.2 (trfego da IF ao BACEN).
Exemplo: o endereo do MQSeries do Banco Central para o ambiente de produo dos domnios MES o
mqm01.bcb.rsfn.net.br, e o endereo de homologao o mqm02.bcb.rsfn.net.br.
No domnio SPB01, o Banco Central utilizar a porta 1414 para o ambiente de produo. As instituies
utilizaro apenas as portas 1414 a 1421. O Banco Central utilizar a porta 1514 para o ambiente de
homologao e, as instituies, as portas 1514 a 1521. Para o ambiente PPRO, o Banco Central utilizar a porta
24430 e as instituies utilizaro as portas 24430 a 24437. O ambiente PPRO somente est configurado no
domnio SPB01.
O Banco Central no oferecer, aos participantes da RSFN, conexo para o domnio SPB02.
No domnio MES01, o Banco Central utilizar a porta 12422 para o ambiente de produo. As instituies
Manual de Redes do SFN * Pgina 45 de 109
RSFN - Manual de Redes do SFN Verso 8.0
utilizaro apenas as portas 12422 a 12429. O Banco Central utilizar a porta 12522 para o ambiente de
homologao e, para as instituies as portas 12522 a 12529.
No domnio MES02, o Banco Central utilizar a porta 13422 para o ambiente de produo. As instituies
utilizaro apenas as portas 13422 a 13429. O Banco Central utilizar a porta 13522 para o ambiente de
homologao e, para as instituies as portas 13522 a 13529.
No domnio MES03, o Banco Central utilizar a porta 14422 para o ambiente de produo. As instituies
utilizaro apenas as portas 14422 a 14429. O Banco Central utilizar a porta 14522 para o ambiente de
homologao e, para as instituies as portas 14522 a 14529.
Observaes:
1) ISPBRemoto o ISPB ou o CNPJ base da instituio a qual pertence o queue manager remoto, com 8
dgitos;
2) ISPBLocal o ISPB ou o CNPJ base da instituio qual pertence o queue manager local, com 8
dgitos;
3) Sub-domnio a identificao DNS da instituio na RSFN;
4) Definir todos os objetos MQ usando letras MAISCULAS;
5) As filas de suporte so especficas para uso das equipes de suporte ao queue manager dos participantes
do sistema;
6) A diferenciao dos domnios MES baseia-se na porta TCP de conexo do MQSeries, alm do endereo na
RSFN;
Para se conectar RSFN, cada instituio dever definir um Queue Manager Alias Name da seguinte forma:
A deciso do nome do RQMNAME baseada no nome da fila de transmisso do queue manager remoto para o
queue manager local. Ou seja, no ambiente do conglomerado ou aglomerado o RQMNAME sempre
QM.ISPBRemoto.seq, e nos ambientes aos quais o conglomerado ou aglomerado est conectado,
QM.ISPBRemoto.ISPBLocal.seq.
Alguns campos do header das mensagens que trafegam no MQSeries (MQMD) devero ser formatados de acordo
com o definido a seguir:
Report: ativar requisio dos reports do tipo COA (Confirm on Arrival), COD (Confirm on Delivery) e Report
Exception
MsgType: usar opo request para uma requisio, reply para resposta a uma requisio e report para um
report
Encoding: usar valor nativo da mquina onde est o MQ (opo native do MQ)
37, 256, 273-275, 277-278, 280, 282, 284-285, 290, 297, 367, 420, 423-424, 437, 500, 813, 819, 833, 836, 838,
850-852, 855-858, 860-866, 869-871, 874-875, 880, 891, 895, 897,
903-905, 912, 915-916, 920, 923-924, 1004, 1009-1021,1023, 1025-1027, 1040-1043,
1046-1047, 1051, 1088-1089, 1097, 1100-1107, 1114-1115, 1126, 1140, 1148, 1250-1256, 1275, 5348
ReplyToQMgr: informar o queue manager alias name, de acordo com o definido anteriormente
(QM.ISPBLocal.seq) ou deixar em branco no caso de usar ReplyToQ alias.
Atributos de NameLists
ATRIBUTO DEFAULT
AlterationDate livre
AlterationTime livre
NameCount livre
NamelistDesc livre
NamelistName livre
Names livre
Atributos de Processos
ATRIBUTO DEFAULT
AlterationDate livre
AlterationTime livre
ApplId livre
ApplType livre
EnvData livre
ProcessDesc livre
ProcessName livre
UserData livre
Atributos de Canais
ATRIBUTO DEFAULT
Auto start (AUTOSTART) DISABLED NA
Batch interval (BATCHINT) 0 default
Batch size (BATCHSZ) 50 default
Channel name (CHANNEL) padro
Channel type (CHLTYPE) padro
CICS profile name livre
Cluster (CLUSTER)
Cluster namelist (CLUSNL)
Connection name (CONNAME) DNS(PORTA)
Convert message (CONVERT) NO NO
Description (DESCR) padro
Disconnect interval (DISCINT) 6000 O
Heartbeat interval (HBINT) 300 default
Long retry count (LONGRTY) 999999999 livre
Long retry interval (LONGTMR) 1200 livre
LU 6.2 mode name (MODENAME) na
LU 6.2 transaction program name na
(TPNAME)
Maximum message length (MAXMSGL) 4Mb 4Mb
Maximum transmission size na
Message channel agent name (MCANAME) na
Message channel agent type (MCATYPE) PROCESS livre
Message channel agent user livre
ident(MCAUSER)
Message exit name (MSGEXIT) livre
Message exit user data (MSGDATA) livre
Message-retry exit name (MREXIT) livre
Message-retry exit user data (MRDATA) livre
Message retry count (MRRTY) 10 livre
Message retry interval (MRTMR) 1000 livre
Nonpersistent message speed FAST na
(NPMSPEED)
Network-connection priority (NETPRTY) na
Password (PASSWORD) na
PUT authority (PUTAUT) DEFAULT
Queue manager name (QMNAME) padro
Receive exit name (RCVEXIT) livre
Receive exit user data (RCVDATA) livre
Security exit name (SCYEXIT) livre
Security exit user data (SCYDATA) livre
Send exit name (SENDEXIT) livre
Send exit user data (SENDDATA) livre
Sequence number wrap (SEQWRAP) 999.999.999 99.999.999
Sequential delivery livre
Short retry count (SHORTRTY) 10 default
Short retry interval (SHORTTMR) 60 default
Target system identifier livre
Transmission queue name (XMITQ) padro
Transport type (TRPTYPE) TCP
Tabela 13 - Atributos de Canais
Para evitar tal falha, o suporte do fabricante do produto (IBM) recomendou a configurao de alguns
parmetros no MQ, com a utilizao de atributos, que, por "default", no esto ativados.
Desta forma, considerando-se que tal alterao acarretar melhora na disponibilidade do servio, dever ser
ativada, obrigatoriamente, a opo ADOPTNEWMCA.
Seguem, abaixo, exemplos com os parmetros a serem alterados no software, para os sistemas operacionais mais
utilizados.
Esclarecemos que eventuais dvidas acerca dos procedimentos envolvidos na alterao devero ser sanadas
diretamente junto ao suporte do fabricante do produto.
CHANNELS:
AdoptNewMCACheck=ALL
AdoptNewMCATimeout=60
AdoptNewMCA=ALL
ADOPTCHK=ALL
ADOPTMCA=YES
Observao: no MQSeries for OS/390 V2R1, esses parmetros so adicionados via PTF que deve ser
solicitada ao fabricante.
Para que o Banco Central saiba referenciar corretamente os objetos MQ, o hostname e porta utilizados pela IF na RSFN,
necessrio por parte da IF o preenchimento de cadastro conforme procedimento descrito a seguir.
Observaes:
No caso do domnio SPB01, dada a possibilidade de criao de objetos perante o SELIC.
Diretrizes bsicas
A gerncia de segundo nvel da Rede do Sistema Financeiro Nacional tem como finalidades principais:
a) administrao e controle de todo o trfego de mensagens, arquivos e demais servios autorizados pelo Banco
Central;
b) controle centralizado dos servios prestados pelas operadoras; e
c) assessoramento Coordenao do Subgrupo de Redes nas questes relacionadas ao funcionamento da RSFN.
Este servio ser prestado por empresa contratada para este fim pelos signatrios do Instrumento de Acordo
Operacional", firmado com as provedoras de telecomunicaes da RSFN, que dever ter a concordncia do Banco
Central.
Tambm fazem parte dos servios de gerenciamento de Segundo Nvel as atividades abaixo relacionadas:
As atividades desempenhadas pela Gerncia de Segundo Nvel sero executadas no perodo das 7 s 22 horas, de
segunda-feira sexta-feira, exceto quando no houver movimentao no Sistema de Transferncia de Reservas do
Banco Central.
Todos os participantes da Rede do Sistema Financeiro Nacional - RSFN devem assinar o termo de adeso do
Contrato de Prestao de Servios de Gerncia de Segundo Nvel.
A equipe da gerncia de segundo nvel estar tecnicamente ligada Coordenao do Subgrupo de Redes, a quem
devem ser encaminhados todos os pedidos de relatrios e informaes referentes RSFN.
Tendo como objetivo manter o mesmo nvel de controle e eficincia dos sistemas de pagamento que utilizam a
RSFN, alguns requisitos devem ser atendidos por cada um dos envolvidos na operao e manuteno do sistema
quando utilizado o modelo operacional de Prestador de Servio de Tecnologia da Informao PSTI, em
complemento ao definido na CIRCULAR N 3.629, DE 19 DE FEVEREIRO DE 2013:
Solicitao de subdomnio DNS para a RSFN: Esta solicitao servir aos operadores do suporte RSFN
como controle das instituies usurias do PSTI;
Solicitao de configurao do subdomnio da RSFN nos root-servers do Banco Central do Brasil: Devem
ser indicados na solicitao os servidores DNS do provedor como autoritativos para o subdomnio;
Prestar informaes ao DEINF quando solicitado.
Configurao dos canais MQS no Banco Central do Brasil utilizando o subdomnio especfico da
instituio, e no o subdomnio do PSTI;
Fornecer mensalmente para a Gerncia de Segundo Nvel da RSFN, relao com todas as instituies
interligadas ao provedor, com detalhamento quanto: instituies ativas, instituies autorizadas e em
ativao e/ou em homologao, alm das que cancelaram seus contratos com o provedor no perodo. O
documento dever conter obrigatoriamente: nome da instituio, informaes como o ISPB, subdomnio
da RSFN e informaes de contato tcnico, bem como outros dados que podero ser acrescidos em um
segundo momento;
Fornecer telefone de contato tcnico do provedor PSTI, tanto para seus clientes quanto para a Gerncia de
Segundo Nvel, para o suporte s aplicaes do SPB. Esse suporte deve estar capacitado para verificar a
conectividade dos canais do STR em ambos os sentidos, bem como para as demais ferramentas fornecidas
aos seus clientes como parte do servio prestado;
Fornecer caderno de homologao e testes para o servio prestado aos clientes. Os testes devem incluir a
soluo completa de mensageria desde o cliente at o Banco Central do Brasil;
Fornecer ao Banco Central do Brasil e Gerncia Integrada de 2 Nvel da RSFN o modelo adotado de
segurana na comunicao entre o cliente e o provedor PSTI;
Caso o PSTI utilize rede dedicada homologada pelo Banco Central do Brasil:
a. Possuir centro de gerenciamento de rede que realize atividades compatveis com as realizadas
pela Gerncia de Segundo Nvel, tanto quanto avaliao do desempenho de rede, quanto na
resoluo de problemas complexos que necessitem da articulao entre diversos envolvidos,
como operadora de telecomunicao, operadora de ltima milha e clientes;
b. Fornecer Gerncia de Segundo Nvel documento com plano de testes de aceitao de canais a
serem realizados nos acessos rede dedicada no momento da ativao. Os procedimentos
apresentados neste documento devem substituir os atualmente executados para os acessos
ativados na RSFN;
Somente por meio da RSFN ou de rede dedicada homologada pelo Banco Central do Brasil permitida a
troca de informaes entre o PSTI e as instituies detentoras de conta Reservas Bancrias que dele se
utilizam e entre o PSTI e os demais participantes do STR;
A troca de informaes entre o PSTI e os demais participantes do STR deve ocorrer por meio da RSFN;
Controle das instituies usurias do servio do PSTI atravs das configuraes do servio de DNS, e de
relatrio mensal fornecido pelo provedor;
Suporte ao cliente do PSTI indiretamente, na verificao de problemas relacionados aos acessos do
provedor RSFN, como ponto de contato para o suporte prprio PSTI e/ou Provedor da rede
homologada;
Gerenciamento do desempenho de rede apenas para o PSTI, por no ser possvel identificar comunicaes
individuais dentro do trfego nos circuitos do PSTI na RSFN;
Suporte ao Banco Central do Brasil para a verificao de falhas de conectividade de canal do STR at os
servidores do PSTI;
Realizao de auditoria in-loco para verificao da infra-estrutura do PSTI e da infra-estrutura de acesso
da operadora.
Infra-RSFN:
A funcionalidade Qualidade de Servio (QoS) na RSFN atribui parmetros e largura de banda para diferenciar os
servios e garantir a performance da rede. Trs classes de servio foram definidas: INFRA-ESTRUTURA, SPB-
MENSAGERIA e DEFAULT.
A classe de SPB-MENSAGERIA, com 65% da banda total de cada link podendo, por determinao do Banco
Central do Brasil, atingir at 95%, a classe misso crtica para a RSFN. Deve ter os seguintes parmetros:
a) tempo de resposta (one-way trip time) entre as portas de acesso dos CPEs de duas entidades quaisquer,
apurado mensalmente com 4 medidas a cada hora entre 7 e 21 horas a cada dia (com largura de banda
otimizada, sem congestionamento): inferior a 120 ms a cada mdia horria;
b) taxa mdia diria de perda de pacotes (round-trip) no backbone, apurado mensalmente: inferior a 1% ao
dia.
A classe de INFRA-ESTRUTURA, com 5% da banda total de cada link prov uma banda mnima para o trfego de
roteamento e divulgao de rotas BGP e outras aplicaes de controle de rede, como gerenciamento SNMP,
sincronismo de relgio atravs do protocolo NTP, informaes de domnio DNS e acessos telnet. Essa garantia de
banda necessria porque o trfego desses protocolos no beneficiado pelo mecanismo interno de
PAK_PRIORITY dos roteadores da Cisco.
A classe DEFAULT usada para a transferncia de arquivos atravs de FTP e demais servios expressamente
autorizados pelo Banco Central do Brasil que venham a utilizar a RSFN. Essa classe a tpica classe Best Effort, na
qual no h garantia de banda mnima.
As marcaes de pacotes devero ser feitas de acordo com as recomendaes do fabricante dos equipamentos
utilizados pela rede. A atribuio de classes de servio usando portas e access list na configurao de QoS no foi
implantada no InterAs em funo de limitaes tcnicas da rede existentes na poca da implantao do QoS e por
conta da baixa utilizao desses links.
Os dois provedores de telecomunicaes da RSFN adotaro o padro de classe de servio definido abaixo:
O Subgrupo de Redes decidiu, em reunio ocorrida no dia 30 de outubro de 2013, que a configurao atual de QoS
ser alterada para tratar adequadamente os novos servios que trafegam na RSFN. O projeto de migrao para a
nova configurao de QoS encontra-se em andamento.
INTRODUO
A RSFN (Rede do Sistema Financeiro Nacional) permitir a comunicao direta entre o Banco Central do Brasil e
as instituies autorizadas nos termos dos artigos 1 e 28 do regulamento anexo Circular n 3.629, de 19 de
fevereiro de 2013.
Baseada no protocolo TCP/IP, esta rede foi implantada considerando a utilizao de ferramentas/conceitos de
Intranet (aplicaes cliente-servidor com interface Web e correio eletrnico, por exemplo). Estas caractersticas
tornam a utilizao do DNS obrigatria.
Por ser tratar de um projeto lgico (no amarrado a caractersticas fsicas da rede), o projeto de Arquitetura de DNS
atende tanto a topologia inicial do Backbone da RSFN, conforme os itens listados a seguir, bem como poder ser
facilmente escalado para atender novas Entidades que se conectaro a rede posteriormente.
foram registrados na Internet domnios de nvel superior e domnio reverso, de modo a permitir a futura integrao
da RSFN com a Internet;
Este Anexo, tem por objetivo apresentar a Arquitetura de DNS recomendada para a RSFN. Os seguintes itens so
cobertos:
apresentao da arquitetura de DNS da RSFN;
apresentao do modelo de configurao do servio de DNS nesta rede;
sugesto de regras para nomeao de domnios, sub-domnios e hosts desta rede, alm da metodologia para
registros dos mesmos;
sugesto de padro de nomes para usurios dos servios de correio eletrnico via SMTP;
procedimentos para integrao dos servios de DNS necessrios para atender a Intranet de cada Entidade,
sua conexo com a Internet e sua conexo com a RSFN.
Ao final deste, so apresentados conceitos tcnicos do DNS, os quais sero teis para o completo entendimento
deste projeto, alm dos passos que devero ser seguidos para se configurar o DNS em servidores Windows com a
aplicao de DNS da Microsoft, uma vez que o corpo do relatrio ter como base a configurao do DNS em
servidores Unix e utilizao da aplicao Bind.
PREMISSAS BSICAS
domnios de DNS registrados junto Fapesp ou qualquer outro rgo internacional, para acesso
Internet:
o sero considerados os seguintes domnios diretos: rsfn.net.br e seguinte domnio reverso:
64.218.200.in-addr.arpa;
o cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as
regras de unicidade do mesmo. Recomenda-se a adoo de um nome j utilizado e registrado na
conexo Internet. Ser definido um rgo responsvel pela administrao dos registros e
nomeao dos sub-domnios;
sub-domnios da rede RSFN. Para facilitar a administrao da rede, foi criado um sub-domnio direto e
um sub-domnio reverso para cada Entidade Participante conectada rede. Cada Entidade ficar
responsvel por administrar seus respectivos sub-domnios. Exemplos dos sub-domnios:
o Primesys att.rsfn.net.br
o EBT/RTMebtrtm.rsfn.net.br
tipo de servidores que abrigaro os servios de DNS nas Intranets das empresas:
o devem ser mantidos os mesmos servidores de DNS utilizados atualmente;
padres de nomes de hosts (servidores, roteadores, hubs, switches, etc.) utilizados na RSFN:
o foi sugerida uma regra de formao de nomes de hosts utilizados na RSFN;
DNS NA RSFN
O DNS (Domain Name System) um banco de dados distribudo que contm informaes sobre os hosts de uma
rede TCP/IP, permitindo a utilizao de nomes ao invs de endereos IP, quer seja pelos usurios da rede quer seja
pelas aplicaes residentes nos diversos hosts desta rede (Recomenda-se a leitura do Anexo I para mais
informaes sobre o DNS).
Como qualquer outra aplicao TCP/IP, o DNS mais uma aplicao que utiliza a arquitetura cliente-servidor.
Nesta arquitetura, a parte cliente (resolver) faz requisies especficas (queries de DNS) para a parte servidora
(name server) quando necessita resolver nomes atravs do DNS.
DNS X BIND
Freqentemente, ocorre uma grande confuso entre o que vem a ser o DNS (Domain Name System) e o que vem a
ser o BIND (Berkeley Internet Name Domain).
A primeira implementao do DNS foi chamada Jeeves, e foi escrita por Paul Mockapetris. Uma implementao
posterior foi chamada de BIND, e foi escrita por Kevin Dunlap para o sistema operacional UNIX 4.3BSD de
Berkeley.
Desde ento, o BIND a verso mais popular e a mais completa implementao de DNS, encontrando-se portada
para a maioria dos sistemas operacionais existentes (Unix, VMS, NT, Windows 2000). Mesmo implementaes
proprietrias de DNS fazem referncia verso do BIND qual so compatveis.
Atualmente o BIND apresenta trs linhas de verses:
BIND 4.x
BIND 8.x
BIND 9.x
A linha 4.x utiliza arquivos de configurao de DNS com formatos diferentes das demais linhas. At a verso
4.8.3, o grupo Computer Systems Research Group da universidade de Berkeley na Califrnia era responsvel pela
manuteno do BIND. As verses 4.9 e 4.9.1 foram liberadas pela Digital Equipment Corporation. A verso 4.9.2
foi patrocinada por Vixie Enterprises, e a partir da verso 4.9.3, a responsabilidade de manuteno e
desenvolvimento do BIND passou a ser do Internet Software Consortium (ISC).
Em Maio de 1997, o ISC liberou a primeira verso do BIND-8. O desenvolvimento da verso BIND-4 foi
completamente interrompido, com exceo da liberao de alguns patches para assuntos relacionados segurana.
A partir de agora, nenhuma nova funo dever ser adicionada ao BIND-4. Portanto, natural que as novas
implementaes passem a utilizar pelo menos o BIND-8.
As principais diferenas existentes entre as linhas do BIND 9.x e BIND 8.x so apresentadas a seguir:
o suporte a banco de dados para maior flexibilidade na gerncia e manuteno das informaes de nomes;
o suporte a mecanismos de segurana para transferncia e requisies seguras mais abrangentes;
o suporte e melhor aproveitamento de ambientes multiprocessados;
o suporte a mecanismos de auditoria e controle;
o suporte a caractersticas especficas do IPV6.
O projeto de DNS da RSFN recomenda como base para este servio a utilizao da linha BIND 8.x, em virtude
dos seguintes motivos:
o a linha BIND 8.x a linha mais utilizada atualmente em grandes redes que utilizam o TCP/IP como
protocolo de comunicao. Desta forma natural que esta seja a aplicao de DNS mais estvel e
adequada para uso nestas redes;
o a rede da RSFN utilizar vrios servidores de DNS em ambientes Microsoft (Windows NT 4.0 e
Windows 2000), dificultando a padronizao dos servios em torno da linha Bind 9;
o o formato de configurao dos arquivos de DNS na linha BIND 9.x idntico ao utilizado na linha BIND
8.x, o que permite a migrao sem qualquer alterao significativa no projeto.
O BIND 8.2.3 a aplicao de DNS recomendada para todos os servidores Unix da RSFN que ofertaro o servio
de resoluo de nomes DNS. As plataformas Unix normalmente j incluem uma verso do BIND em seu conjunto
de aplicaes TCP/IP. No entanto, a verso desta aplicao depende do momento de aquisio da mquina.
Para utilizar a verso mais recente do BIND, os arquivos necessrios podero ser encontrados no site www.isc.org,
via Web ou no site ftp.isc.org/isc/bind, comprimidos (gz) e em formato tar. Eles devero ser descomprimidos,
extrados do formato tar e compilados seguindo as orientaes contidas no pacote.
A atualizao da verso do BIND poder ser feita sempre que necessrio utilizando os sites referenciados acima. O
ISC vem cada vez mais facilitando o processo de atualizao das verses do BIND, atualizaes estas cada vez
mais motivadas por acrscimos de funes de segurana no aplicativo.
A Microsoft disponibiliza junto com o pacote Windows 2000 uma verso proprietria e similar linha BIND 8.x.
e junto com o pacote Windows NT 4.0 uma verso proprietria e similar linha BIND 4.x.
A principal caracterstica das aplicaes de DNS providas pela Microsoft, para uso em servidores Windows 2000 e
Windows NT 4.0, a utilizao de uma interface grfica que tem por objetivo facilitar a administrao da base de
dados do DNS. A Microsoft entende tambm que redes que necessitem de resoluo de nomes TCP/IP via DNS e
nomes NetBIOS via WINS, podem ter ganhos se utilizar sua aplicao de DNS. Como a rede RSFN no utilizar o
protocolo NetBIOS, a vantagem pela utilizao do DNS da Microsoft restringe-se ao uso de interfaces grficas
para a administrao dos servios.
Desta forma, para unificar a soluo recomenda-se a adoo da aplicao BIND 8.2.3 tambm para os servidores
Windows 2000 e Windows NT 4.0. Estas aplicaes tambm podem ser obtidas no site do ISC. As aplicaes de
DNS proprietrias da Microsoft devem ser consideradas como segunda opo, embora tenham funcionado
corretamente no piloto da rede.
O primeiro ponto a ser definido em uma arquitetura de DNS so os domnios de nvel superior da rede. No caso
especfico da RSFN, estes domnios foram definidos contemplando a integrao total desta rede com a Internet.
Alm de definir os nomes dos domnios superiores, fundamental a definio da Entidade responsvel por sua
administrao e os servidores de DNS que so utilizados para armazenar as informaes relativas a cada domnio.
Na rede da RSFN, a administrao dos domnios superiores ser realizada pelo BACEN. Para prover
balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados nos
segmentos de redes das concessionrias.
A Tabela 1 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus
respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal
Root Servers IRS). A partir destes domnios sero delegados os respectivos direitos para cada sub-domnio desta
rede.
Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os mesmos tero que ser
registrados nos servidores internos de root desta rede.
Sub-Domnios da RSFN
Os sub-domnios foram criados para identificar cada uma das Entidades Participantes da VPN da RSFN. Cada
Entidade responsvel por administrar seus respectivos sub-domnios.
Cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as regras de unicidade
do mesmo. Recomenda-se adoo de um nome j utilizado e registrado na conexo Internet.
rsfn.net.Br rsfn.net.br
Nome Completo Nome Abreviado
Banco Central do Brasil bcb.rsfn.net.br
Bolsa de Valores & Futuros bmf.rsfn.net.br
Companhia Brasileira de Liquidao e Custdia cblc.rsfn.net.br
Cmara de Custdia e Liquidao cetip.rsfn.net.br
Sistema Especial de Liquidao e Custdia selic.rsfn.net.br
Bank Boston bkb.rsfn.net.br
Banco Merrill Lynch ml.rsfn.net.br
Banco Sudameris sudameris.rsfn.net.br
Deutsche Bank db.rsfn.net.br
Telmex att.rsfn.net.br
Embratel ebtrtm.rsfn.net.br
Tabela 2 - Sub-Domnios da RSFN
O servidor primrio da zona rsfn.net.br quem tem o direito de criar e delegar direitos para seus sub-domnios.
Esta delegao ocorre atravs da configurao de registros do tipo NS (Name Servers), atrelados a registros do tipo
A (Address) para cada um dos sub-domnios criados (glue records).
A seguir segue um trecho para exemplificar a configurao para delegao de direitos para os sub-domnios de
rsfn.net.br, os quais devero estar totalmente compatveis com a tabela de endereos IP fornecida para cada
Entidade.
selic.rsfn.net.br. IN NS ns1.selic.rsfn.net.br.
selic.rsfn.net.br. IN NS ns2.selic.rsfn.net.br.
ns1.selic.rsfn.net.br. IN A 200.218.66.38
ns2.selic.rsfn.net.br. IN A 200.218.66.39
clearing1.rsfn.net.br. IN NS ns1.clearing1.rsfn.net.br.
clearing1.rsfn.net.br. IN NS ns2.clearing1.rsfn.net.br.
ns1.clearing1.rsfn.net.br. IN A 200.218.66.70
ns2.clearing1.rsfn.net.br. IN A 200.218.66.71
;
; Delegao de Direitos para IFs (4 linhas p/ cada sub-domnio)
;
if1.rsfn.net.br. IN NS ns1.if1.rsfn.net.br.
if1.rsfn.net.br. IN NS ns2.if1.rsfn.net.br.
ns1.if1.rsfn.net.br. IN A 200.218.80.6
ns2.if1.rsfn.net.br. IN A 200.218.80.7
;
; Delegao de Direitos para SPs (6 linhas p/ cada sub-domnio)
;
att.rsfn.net.br. IN NS irs1.att.rsfn.net.br.
att.rsfn.net.br. IN NS irs2.att.rsfn.net.br.
att.rsfn.net.br. IN NS irs3.att.rsfn.net.br.
irs1.att.rsfn.net.br. IN A 200.218.64.6
irs2.att.rsfn.net.br. IN A 200.218.64.38
irs3.att.rsfn.net.br. IN A 200.218.64.70
ebtrtm.rsfn.net.br. IN NS irs1.ebtrtm.rsfn.net.br.
ebtrtm.rsfn.net.br. IN NS irs2.ebtrtm.rsfn.net.br.
ebtrtm.rsfn.net.br. IN NS irs3.ebtrtm.rsfn.net.br.
irs1.ebtrtm.rsfn.net.br. IN A 200.218.64.134
irs2.ebtrtm.rsfn.net.br. IN A 200.218.64.166
irs3.ebtrtm.rsfn.net.br. IN A 200.218.64.198
A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios de DNS em sua rede, desde que
respeite as regras definidas neste manual:
o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona;
o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como
no SNS;
o registrar os domnios e seus respectivos servidores nos rgos competentes;
o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes
realizadas.
Alm dos domnios e sub-domnios diretos descritos anteriormente, a RSFN possui domnios reversos para
permitir a resoluo de nomes de hosts de DNS a partir de um dado endereo IP. Esta tcnica de resoluo tem
sido largamente utilizada tanto para permitir funes de gerenciamento de rede como para controlar o acesso a
aplicaes especficas da rede.
Na rede da RSFN, a administrao dos domnios reversos superiores ser tambm realizada pelo BACEN. Para
prover balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados
nos segmentos de redes das concessionrias.
A Tabela 3 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus
respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal
Root Servers IRS). A partir destes domnios foram delegados os respectivos direitos para cada sub-domnio
reverso desta rede. Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os
mesmos tero que ser registrados nos servidores internos de root desta rede.
Os sub-domnios reversos da RSFN refletem exatamente as faixas de endereos IP definidas para cada Entidade
Participante desta rede. Estes sub-domnios foram criados para identificar cada uma das Entidades Participantes da
VPN da RSFN.
Cada Entidade responsvel por administrar seus respectivos sub-domnios. O nome do sub-domnio derivado
da faixa de endereos IP reservada para cada Entidade.
Adicionalmente, como so utilizadas zonas com endereos quebrados (14 ou 30 endereos vlidos), os
responsveis por cada zona de endereamento reverso tem que criar um registro CNAME para cada endereo
disponvel de cada Entidade Participante da rede.
32-63.66.218.200.in-addr.arpa. IN NS ns1.selic.rsfn.net.br.
32-63.66.218.200.in-addr.arpa. IN NS ns2.selic.rsfn.net.br.
64-95.66.218.200.in-addr.arpa. IN NS ns1.clearing1.rsfn.net.br.
64-95.66.218.200.in-addr.arpa. IN NS ns2.clearing1.rsfn.net.br.
96-127.66.218.200.in-addr.arpa. IN NS ns1.clearing2.rsfn.net.br.
96-127.66.218.200.in-addr.arpa. IN NS ns2.clearing2.rsfn.net.br.
128-159.66.218.200.in-addr.arpa. IN NS ns1.clearing3.rsfn.net.br.
128-159.66.218.200.in-addr.arpa. IN NS ns2.clearing3.rsfn.net.br.
160-191.66.218.200.in-addr.arpa. IN NS ns1.clearing4.rsfn.net.br.
160-191.66.218.200.in-addr.arpa. IN NS ns2.clearing4.rsfn.net.br.
;
; CNAME para hosts de bacenbsa (1 linha p/ cada endereo vlido)
;
1 IN CNAME 1.0-31.66.218.200.in-addr.arpa.
2 IN CNAME 2.0-31.66.218.200.in-addr.arpa.
.
.
.
29 IN CNAME 29.0-31.66.218.200.in-addr.arpa.
30 IN CNAME 30.0-31.66.218.200.in-addr.arpa.
;
; CNAME para hosts de bacenrjo (1 linha p/ cada endereo vlido)
;
33 IN CNAME 33.32-63.66.218.200.in-addr.arpa.
34 IN CNAME 34.32-63.66.218.200.in-addr.arpa.
.
.
.
61 IN CNAME 61.32-63.66.218.200.in-addr.arpa.
62 IN CNAME 62.32-63.66.218.200.in-addr.arpa.
;
; CNAME para hosts de Clearing1 (1 linha p/ cada endereo vlido)
;
65 IN CNAME 65.64-95.66.218.200.in-addr.arpa.
66 IN CNAME 65.64-95.66.218.200.in-addr.arpa.
.
.
.
93 IN CNAME 93.64-95.66.218.200.in-addr.arpa.
94 IN CNAME 94.64-95.66.218.200.in-addr.arpa.
;
; CNAME para hosts de Clearing2 (1 linha p/ cada endereo vlido)
;
Manual de Redes do SFN * Pgina 69 de 109
RSFN - Manual de Redes do SFN Verso 8.0
97 IN CNAME 97.96-127.66.218.200.in-addr.arpa.
98 IN CNAME 98.96-127.66.218.200.in-addr.arpa.
.
.
.
125 IN CNAME 125.96-127.66.218.200.in-addr.arpa.
126 IN CNAME 126.96-127.66.218.200.in-addr.arpa.
;
; CNAME para hosts de Clearing3 (1 linha p/ cada endereo vlido)
;
129 IN CNAME 129.128-159.66.218.200.in-addr.arpa.
130 IN CNAME 130.128-159.66.218.200.in-addr.arpa.
.
.
.
157 IN CNAME 157.128-159.66.218.200.in-addr.arpa.
158 IN CNAME 158.128-159.66.218.200.in-addr.arpa.
;
; CNAME para hosts de Clearing4 (1 linha p/ cada endereo vlido)
;
161 IN CNAME 161.160-191.66.218.200.in-addr.arpa.
162 IN CNAME 162.160-191.66.218.200.in-addr.arpa.
.
.
.
189 IN CNAME 189.160-191.66.218.200.in-addr.arpa.
190 IN CNAME 190.160-191.66.218.200.in-addr.arpa.
A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios reversos de DNS em sua rede,
desde que respeite as regras definidas neste manual:
o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona;
o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como
no SNS;
o registrar os domnios e seus respectivos servidores nos rgos competentes;
o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes
realizadas.
Cada domnio ou sub-domnio da RSFN possui um servidor primrio de nomes com autoridade sobre sua
respectiva zona. Todas as alteraes nos bancos de dados do DNS so feitas nestes servidores.
Para resolver problemas de contingncia, diviso de carga e performance da rede, cada domnio ter pelo menos
um servidor secundrio de nomes. Estes servidores mantero uma rplica dos bancos de dados dos servidores
primrios, e periodicamente e automaticamente contataro os servidores primrios para atualizao dos seus
bancos de dados.
Desde que todas as verses de DNS utilizadas na rede suportem a funo DNS Notify (RFC 1996), os servidores
primrios podem enviar imediatamente aps qualquer mudana no banco de dados do DNS, uma notificao para
os servidores secundrios solicitando que estes iniciem o processo de Zone Transfer, diminuindo o tempo de
convergncia das modificaes de DNS na rede.
Os servidores primrios de nomes (PNS) dos domnios superiores da RSFN esto apresentados na Tabela 5:
Vale lembrar que uma mesma mquina pode ser configurada como servidor primrio de nomes para vrios
domnios, como servidor secundrio de nomes para vrios domnios e mesmo como servidor primrio para alguns
domnios e secundrio para outros.
Para resolver nomes de hosts da Internet, este servidor deve ser configurado para utilizar os servidores de root da
Internet.
Os servidores secundrios de nomes (SNS) dos domnios superiores da RSFN esto apresentados na Tabela 6:
Cada sub-domnio da RSFN ter seu prprio servidor primrio de nomes (PNS). Estes servidores estaro
localizados no segmento da RSFN de cada Entidade participante da rede, a qual ser responsvel pela
administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de
administrao de seus sub-domnios com um dos provedores de servios da rede.
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de
DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os
servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios
dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos.
A Tabela 9 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios
reversos da RSFN sejam capazes de resolver endereos reversos:
Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas
ter que ser utilizada:
o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN.
Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da
diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados
anteriormente;
o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a
RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso
contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser
necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN,
alm da prpria zona rsfn.net.br. Esta configurao conhecida como forward especfico;
o opo C RSFN conectada Internet configurao idntica a utilizada na opo B;
nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser
configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de
forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem
contrria.
Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de forward para uma zona
especfica, exigindo o uso da aplicao BIND.
Cada sub-domnio da RSFN dever ter pelo menos um servidor secundrio (SNS). Estes servidores estaro
localizados no segmento da RSFN de cada Entidade Participante da rede, a qual ser responsvel pela
administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de
administrao de seus sub-domnios com um dos provedores de servios da rede.
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de
DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os
servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios
dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos.
A Tabela 12 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios
reversos da RSFN sejam capazes de resolver endereos reversos:
Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas
ter que ser utilizada:
o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN.
Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da
diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados
anteriormente;
o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a
RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso
contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser
necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN,
alm da prpria zona rsfn.net.br. Esta configurao conhecida como forward especfico;
o opo C RSFN conectada Internet configurao idntica a utilizada na opo B.
nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser
configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de
forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem
contrria.
Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de Forward para uma zona
especfica, exigindo o uso da aplicao BIND.
Para que a comunidade Internet saiba quem so os servidores de nomes dos domnios existentes na RSFN, todos
estes servidores (primrios e secundrios) tm que estar definidos nos domnios de nveis superiores relacionados
com a soluo (net.br.).
A administrao dos domnios brasileiros (.br) realizada pela FAPESP, e existem algumas restries para
registros de domnios no formato net.br.
O registro dos diferentes domnios superiores externos da RSFN feito atravs da pgina httpd://registro.br. Aps
o correto preenchimento dos dados cadastrais referentes aos domnios, ser efetuado um teste automtico de
transferncia de zona entre os servidores informados. Caso a resposta dos servidores esteja dentro das normas que
net.br. regem o servio de DNS, sero gerados registros deste domnio nos arquivos de zonas do domnio
conforme o exemplo abaixo:
;
; Trechos do Arquivo de Zona do Domnio NET.BR.
; Este arquivo administrado pela FAPESP. A RSFN no tem
; qualquer controle sobre ele.
; Os nomes e endereos utilizados para servidores de DNS devem ser
; considerados como exemplos.
; O exemplo considera que o PNS da Zona NET.BR. o servidor ns.dns.br
;
net.br. IN SOA ns.dns.br. root.ns.dns.br. (
2001050101 ; Nmero de Srie (yyyymmddss)
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; PNS e SNS do domnio net.br.
Manual de Redes do SFN * Pgina 76 de 109
RSFN - Manual de Redes do SFN Verso 8.0
;
IN NS ns.dns.br.
IN NS ns1.dns.br.
IN NS ns2.dns.br.
;
; Delegao de Direitos Para os domnios administrados pela RSFN
; Para a documentao, ser listado apenas o domnio
; rsfn.net.br
;
rsfn.net.br. IN NS ns1.bacen.com.br.
ns1.bacen.com.br. IN A 200.30.30.5
rsfn.net.br. IN NS ns2.bacen.com.br.
ns2.bacen.com.br. IN A 200.30.30.6
;
; Fim do arquivo
;
As rvores de DNS dos domnios superiores externos da RSFN apresentam uma estrutura similar anterior.
Arquivo /etc/named.conf
options {
directory "/var/named";
recursion yes;
notify yes;
allow-query { any; };
allow-transfer { any; };
query-source address * port 53;
listen-on port 53 { any; };
};
zone "bcb.rsfn.net.br" {
type master;
file "db.bacen";
};
zone "66.218.200.in-addr.arpa" {
type slave;
masters { 200.218.64.6; 200.218.64.134; };
file "db.200.218.66";
};
zone "rsfn.net.br" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "64.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "67.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "80.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "95.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "0.0.127.in-addr.arpa" {
type master;
file "named.rev";
};
zone "localhost" {
type master;
file "named.local";
};
zone 0.in-addr.arpa {
type master;
file db.0;
};
zone 255.in-addr.arpa {
type master;
Manual de Redes do SFN * Pgina 78 de 109
RSFN - Manual de Redes do SFN Verso 8.0
file db.255;
};
zone "." {
type hint;
file "named.ca";
};
Arquivo /var/named/db.bacen.net
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
;
; Definio dos hosts do domnio.
;
att-bacen-bsa-cpe IN A 200.218.66.1
ebtrtm-bacen-bsa-cpe IN A 200.218.66.2
hsrp-bacen-bsa-cpe IN A 200.218.66.3
sw1 IN A 200.218.66.4
sw2 IN A 200.218.66.5
ns1 IN A 200.218.66.6
ns2 IN A 200.218.66.7
mqs01 0 IN A 200.218.66.8
mqs02 0 IN A 200.218.66.9
mqm01 0 IN A 200.218.66.14
mqm02 0 IN A 200.218.66.15
/var/named/db.200.218.66.0-31
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
;
; Definio dos hosts do domnio.
;
1 IN PTR att-bacen-bsa-cpe.bcb.rsfn.net.br
2 IN PTR ebtrtm-bacen-bsa-cpe.bcb.rsfn.net.br
3 IN PTR hsrp-bacen-bsa-cpe.bcb.rsfn.net.br
4 IN PTR sw1.bcb.rsfn.net.br
5 IN PTR sw2.bcb.rsfn.net.br
6 IN PTR ns1.bcb.rsfn.net.br
7 IN PTR ns2.bcb.rsfn.net.br
8 IN PTR mqs01.bcb.rsfn.net.br
9 IN PTR mqs02.bcb.rsfn.net.br
14 IN PTR mqm01.bcb.rsfn.net.br
Manual de Redes do SFN * Pgina 79 de 109
RSFN - Manual de Redes do SFN Verso 8.0
15 IN PTR mqm02.bcb.rsfn.net.br
/var/named/db.200.218.66
Este arquivo ser atualizado automaticamente.
Arquivo /var/named/named.local
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
;
; Servidor local
;
localhost. IN A 127.0.0.1
Arquivo /var/named/db.127
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
;
; Servidor local
;
1 IN PTR localhost.
Arquivo /var/named/db.255
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
Arquivo /var/named/db.0
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
2001050101 ; Nmero de Srie
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
Manual de Redes do SFN * Pgina 80 de 109
RSFN - Manual de Redes do SFN Verso 8.0
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS ns2.bcb.rsfn.net.br.
Arquivo /var/named/named.ca
Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente.
Arquivo /etc/named.conf
options {
directory "/var/named";
recursion yes;
notify yes;
allow-query { any; };
allow-transfer { any; };
query-source address * port 53;
listen-on port 53 { any; };
};
zone "bcb.rsfn.net.br" {
type slave;
masters { 200.218.66.1; };
file "db.bacen";
};
zone "0-31.66.218.200.in-addr.arpa" {
type slave;
masters { 200.218.66.1; };
file "db.200.218.66.0-31";
};
zone "66.218.200.in-addr.arpa" {
type slave;
masters { 200.218.64.6; 200.218.64.134; };
file "db.200.218.66";
};
zone "rsfn.net.br" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "64.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "67.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "80.218.200.in-addr.arpa" {
type forward;
Manual de Redes do SFN * Pgina 81 de 109
RSFN - Manual de Redes do SFN Verso 8.0
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "95.218.200.in-addr.arpa" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
zone "0.0.127.in-addr.arpa" {
type master;
file "named.rev";
};
zone "localhost" {
type master;
file "named.local";
};
zone 0.in-addr.arpa {
type master;
file db.0;
};
zone 255.in-addr.arpa {
type master;
file db.255;
};
zone "." {
type hint;
file "named.ca";
};
Arquivo /var/named/db.bacen.net
Este arquivo ser atualizado automaticamente.
/var/named/db.200.218.66.0-31
Este arquivo ser atualizado automaticamente.
/var/named/db.200.218.66
Este arquivo ser atualizado automaticamente.
Arquivo /var/named/named.local
Este arquivo ser idntico ao arquivo do PNS para este sub-domnio.
Arquivo /var/named/db.127
Este arquivo ser idntico ao arquivo do PNS para este sub-domnio.
Arquivo /var/named/db.255
Este arquivo ser idntico ao arquivo do PNS para este sub-domnio.
Arquivo /var/named/db.0
Este arquivo ser idntico ao arquivo do PNS para este sub-domnio.
Arquivo /var/named/named.ca
Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente.
Caso a Entidade conectada a RSFN opte pela utilizao da aplicao de DNS da Microsoft, no ser possvel
utilizar o conceito de zona com type forward, para executar operaes de forward especfico por zona.
Se a Entidade estiver utilizando um servidor de DNS dedicado para a RSFN, poder configurar o servidor para
utilizar o conceito de forward genrico, que repassar qualquer requisio de hosts de outras zonas para os
servidores especificados. No entanto, esta opo no funcionar caso a Entidade queira compartilhar o servidor de
DNS da RSFN para tambm resolver nomes de hosts da rede interna e da Internet.
Para que as diversas estaes da rede possam utilizar o DNS, estas foram configuradas como resolvers.
O resolver realiza as seguintes atividades:
o pergunta ao servidor de nomes qual o endereo IP do nome desejado;
o interpreta a resposta (informaes solicitadas ou erro de comunicao);
o repassa as informaes para a aplicao que solicitou.
O padro de nomes de hosts utilizados da RSFN apresentado na tabela seguinte. A qualquer momento o Grupo
de Redes da RSFN poder optar pela alterao deste padro.
Outra padronizao importante num projeto de DNS a de nomes de usurios. Foi proposto que seja utilizado o
padro recomendado pela WEMA (Worldwide Electronic Messaging Association) para facilitar a converso de
nomes entre os diferentes sistemas de correio eletrnico.
Tal padro prioriza a identificao do usurio atravs de trs variveis at se formar um nome nico na empresa:
Primeiro Nome, Sobrenome e Iniciais dos nomes do meio.
Por exemplo, o usurio Jos Roberto Teixeira poderia ter seu nome de usurio definido da seguinte forma:
Primeiro Nome Jos
Sobrenome Teixeira
Iniciais Intermedirias R
Nome de usurio Jose.Teixeira@bacen.rsfn.net.br ou
Jose.R.Teixeira@bacen.rsfn.net.br
O DNS deve ser encarado como uma ferramenta de auxlio ao uso e administrao da rede, e no pode, em
hiptese alguma, comprometer a eficincia da rede, atravs da gerao de trfego excessivo na rede.
Para garantir que o trfego de DNS no influenciar negativamente a performance da rede, os seguintes pontos
devem ser cuidadosamente observados:
o localizao dos servidores de DNS;
o configurao dos parmetros de temporizao do registro SOA;
o configurao dos Resolvers;
o tamanho dos arquivos de cada zona.
Conforme dito no decorrer deste manual, os servidores de nomes so os responsveis por armazenar informaes
sobre uma determinada regio do address space do DNS (Zona). Quando os resolvers (clientes do DNS)
precisarem resolver nomes de um determinado host da rede corporativa, perguntaro a estes servidores.
Caso os servidores sejam concentrados somente em algumas localidades, a maioria das requisies dos resolvers
atravessaria os circuitos seriais de baixa velocidade, o que implicaria em problemas de performance nestes
circuitos, normalmente j superutilizados com o trfego da rede.
Para resolver esta questo, o projeto definiu a utilizao de pelo menos um servidor de nomes (primrio ou
secundrio) em cada localidade remota interligada RSFN por meio de circuitos seriais de telecomunicaes
(circuitos de WAN). Desta forma, este servidor responder localmente por todas as requisies para resoluo de
nomes originadas pelos resolvers de sua rede local. Naturalmente, quando este servidor receber requisies para
nomes de hosts localizados fora de sua zona, estas requisies sero repassadas para os servidores Mestres RSFN.
No entanto, como os servidores de nomes utilizam tcnicas de cache, tais requisies implicam em trfego
consideravelmente menor quando comparado com todas as requisies dos clientes, no prejudicando de forma
alguma a operao da rede RSFN.
O registro SOA contm parmetros de temporizao que definem o modo de comunicao entre os diferentes
servidores de nomes de uma rede corporativa.
O parmetro refresh indica a frequncia em que o servidor secundrio de nomes (SNS) verifica a acurcia dos seus
dados junto ao servidor primrio (PNS). Este valor deve ser definido para o perodo mximo que o cliente
considere adequado para que o SNS permanea com os dados desatualizados. Um valor entre 2 e 12 horas
recomendado para a maior parte das configuraes.
Considerando que a maioria das modificaes na rede devam ser executadas fora do horrio de produo
(normalmente no perodo noturno), entende-se que a definio deste parmetro para 8 horas concentrar todas as
operaes de Zone Transfer no perodo noturno, e em situaes normais, tal transferncia de zona ocorrer no
mximo uma nica vez a cada dia.
As verses mais recentes do BIND permitem que o PNS automaticamente notifique os secundrios sobre
modificaes verificadas em seu banco de dados de DNS. Desta forma, os servidores secundrios podero iniciar
as operaes de Zone Transfer imediatamente, diminuindo o tempo de convergncia da rede enquanto pode
aumentar o trfego entre operaes de transferncias de zonas.
Outro parmetro que afeta a comunicao entre servidores de DNS o parmetro retry. Em caso de falha na
comunicao entre o SNS e o PNS, o SNS tentar novamente estabelecer a conexo com o PNS aps a expirao
deste temporizador. Este valor tipicamente configurado como uma frao do intervalo de refresh. No caso da
RSFN, recomenda-se que seja utilizado uma hora.
O temporizador mais importante para a rede RSFN ser sem dvida o TTL. Este parmetro o tempo de vida
default para os registros do DNS de cada zona e indica quanto tempo um registro de outros domnios ficar
armazenado no cache dos servidores de nomes. Deve ser definido conforme a frequncia de modificaes no
banco de dados do DNS. Valores entre 1 e 5 dias normalmente atendem s necessidades das diferentes redes. Vale
lembrar que este valor pode ser definido especificamente para um determinado registro. A configurao deve
definir este valor para 1 dia.
Na prtica, o parmetro TTL quem far com que a utilizao de um servidor de nomes em cada segmento de
rede separado por circuitos seriais gere um trfego muito menor do que somente a utilizao de resolvers nestes
segmentos.
A configurao do resolver (arquivo resolv.conf ou resolv.cfg) permite que sejam especificados at trs
servidores de nomes atravs da diretiva (nameserver). O resolver questionar estes servidores, na ordem listada
neste arquivo, at receber uma resposta ou at que o intervalo de timeout se expire.
Na rede RSFN, cada resolver ser configurado com dois ou trs servidores de nomes, o primeiro estando
obrigatoriamente na mesma sub-rede do cliente. Caso a sub-rede do cliente tenha pelo menos dois servidores de
nomes, o segundo servidor do cliente tambm estar na rede local, e o terceiro remoto (na rede do concentrador
regional mais prximo). Se existir somente um servidor de nomes na sub-rede, o servidor de nomes localizado no
concentrador regional mais prximo ser o segundo servidor do cliente.
Com mais do que um servidor de nomes configurado no cliente, o comportamento deste ocorrer da seguinte
forma:
o resolver iniciar o processo de resoluo de nomes questionando o primeiro servidor de nomes de sua
lista (servidor local), com um timeout de 5 segundos. Se o perodo de timeout expirar ou se o cliente
receber uma mensagem de erro indicando que o processo servidor de nomes no est ativo no primeiro
servidor, o resolver ento questionar o prximo servidor da lista, tambm com um timeout de 5
segundos. Aps questionar todos os servidores listados, se o resolver no receber nenhuma resposta
dentro deste intervalo de tempo, os perodos de timeout sero sucessivamente aumentados para 10, 20 e
Portanto, em situaes normais, os resolvers da RSFN sempre tero suas requisies resolvidas por servidores de
nomes localizados no mesmo segmento de rede local, e com a ajuda do mecanismo de cache destes servidores e do
correto dimensionamento dos parmetros TTL dos hosts mais utilizados, pode-se garantir que o DNS
praticamente no ir utilizar os circuitos seriais de baixa velocidade para a resoluo de nomes de hosts na rede da
RSFN.
INTRODUO
A RSFN necessita de uma ferramenta eficiente para se certificar do correto funcionamento de seu DNS e para
auxili-lo na depurao de problemas de interoperabilidade com outras redes.
Neste captulo sero apresentados alguns comandos normalmente utilizados pelo nslookup, por ser esta ferramenta
distribuda sem custos adicionais com o Bind e com vrias outras aplicaes de DNS, tornando-a uma ferramenta
padro para anlise da funcionalidade do DNS.
O nslookup pode ser iniciado de forma interativa ou no interativa. A forma no interativa normalmente
utilizada quando se deseja uma nica resposta. A forma interativa tem preferncia quando se necessita verificar o
comportamento do DNS para diversas questes.
ACESSO NO INTERATIVO
Para se iniciar uma sesso no interativa, o usurio deve teclar nslookup seguido pelo nome a ser resolvido, no
promtp do servidor Unix.
% nslookup mqs01.bcb.rsfn.net.br
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
Name: mqs01.bcb.rsfn.net.br
Address: 200.218.66.8
ACESSO INTERATIVO
Para se iniciar uma sesso interativa, o usurio deve simplesmente teclar nslookup no promtp do servidor Unix.
% nslookup
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
O servidor default ser o primeiro servidor configurado com a diretiva nameserver no arquivo resolv.conf.
Somente este servidor ser utilizado para a resoluo das queries descritas nesta sesso interativa. Vale lembrar
que todos os nomes que no terminem com o ponto, tero acrescido o nome de domnio ou as listas de pesquisa
(search), tambm definidas no arquivo resolv.conf.
Solicitando Ajuda
O nslookup possui um help prprio que pode ser acionado sempre que houver dvidas sobre os comandos
suportados:
% nslookup
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
> ? ou help
> mqs01.bcb.rsfn.net.br
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
> 200.218.66.8
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
Name: mqs01.bcb.rsfn.net.br
Address: 200.218.66.8
Zone Transfer
Nslookup pode ser usado para transferir o arquivo completo de uma zona atravs do comando ls.
% nslookup
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
ls d rsfn.net.br
INTRODUO
Conforme mencionado anteriormente, as aplicaes de DNS proprietrias da Microsoft devem ser consideradas
como segunda opo para o servio de DNS da RSFN. Recomenda-se prioritariamente a utilizao da aplicao
BIND 8.2.3, tanto para servidores Unix como para servidores Microsoft (Windows NT 4.0 e Windows 2000).
Para as instituies que optarem pela utilizao da aplicao de DNS da Microsoft, este captulo descreve os
procedimentos para configurao deste servio nos servidores Windows 2000 e Windows NT 4.0, atravs da
ferramenta DNS Manager. Vale ressaltar que a aplicao de DNS da Microsoft funcionou corretamente no piloto
da rede.
Partindo do princpio que o servio de DNS est devidamente instalado no servidor, sero descritas as instrues
necessrias para a criao de domnios diretos, domnios reversos, registro do tipo A, registros do tipo PTR e a
configurao para utilizao de forwarders. Todos os nomes e endereos IP utilizados nas telas de exemplo so
aleatrios e devem ser utilizados apenas para orientao.
Para adicionar um novo servidor, clique com o boto da direita do mouse em DNS e selecione a opo New
Server. Cadastre o nome ou o endereo IP do novo servidores de DNS na janela Add New Server.
Neste momento ser iniciado um Wizard que coordenar todo o processo de criao do domnio. Clicando no
boto Next, ser solicitado o tipo de zona que se deseja criar. Clique na opo Standard Primary e em Next para
continuar.
No campo Name, preencha com o nome do domnio a ser criado e clique em Next para continuar.
Ser apresentada uma tela para a confirmao do arquivo da zona que est sendo criada. recomendvel que se o
utilize o mesmo nome da zona para o arquivo que est sendo criado atravs da opo Create a new file with this
file name. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j existente. Aps a definio do nome
do arquivo, clique na opo Next.
A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio. Clique na
opo Finish para confirmar e finalizar a criao do domnio direto primrio.
Clicando no boto Next, ser apresentada uma tela para a confirmao do arquivo do domnio que est sendo
criado. recomendvel que se utilize o mesmo nome do domnio, atravs da opo Create a new file with this file
name, para identificar o arquivo que est sendo criado. Nesta mesma tela, tem-se a possibilidade de escolher um
arquivo j existente, atravs da opo Use this existing file.
A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio reverso.
Clique na opo Finish para confirmar e finalizar a criao do domnio reverso primrio.
A ltima tela do Wizard solicita a confirmao dos dados fornecidos para a criao do novo domnio. Clique na
opo Finish para confirmar e finalizar a criao do domnio direto secundrio.
Na tela New Host, preencha os campos Name e IP address. Selecionando-se o item Create associated pointer
(PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso correspondente.
Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona corretamente e no deve
ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma sub-rede de endereamento
Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto Add Host para adicionar o
registro.
Na tela New resource record, cadastre no campo Host IP number o ltimo octeto do endereo IP e no campo Host
Name preencha com o nome completo (nome do host + domnio) do servidor. Clique em OK para finalizar a
criao do registro PTR.
Na tela apresentada, selecione a pasta Forwarders. Clique no item Enable Forwarders para ativar a sua utilizao
e cadastre no campo IP address o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto
Add para efetivar o cadastramento e no boto OK para fechar a tela.
Para adicionar um novo servidor, clique com o boto da direita do mouse no cone Server List e selecione a opo
New Server. Cadastre o nome ou o endereo IP do novo servidor de DNS na janela Add New Server.
Manual de Redes do SFN * Pgina 100 de 109
RSFN - Manual de Redes do SFN Verso 8.0
Figura 22 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0
Na tela Zone Info, preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o
campo Zone File seja preenchido automaticamente. Clique em Next para finalizar a criao do domnio direto.
Figura 23 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0
Figura 25 - Definindo uma Zona Reversa Secundria de DNS - Servidores Windows NT 4.0
Clicando no boto Next, ser apresentada a tela Zone Info. Preencha o campo Zone Name com o nome do domnio
a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente.
Aps a confirmao do nome do arquivo do domnio, digite o endereo IP do servidor Master do domnio
secundrio no campo IP Master(s) e clique no boto Add para adicion-lo. Este campo permite que vrios
servidores Masters sejam cadastrados. Clique em Next para finalizar a criao do domnio reverso secundrio.
Na tela New Host, preencha os campos Host Name e Host IP address. Selecionando-se o item Create associated
pointer (PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso
correspondente. Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona
corretamente e no deve ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma sub-
rede de endereamento Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto
Add Host para adicionar o registro.
Aps a incluso dos registros PTR no arquivo de configurao, reinicie o servio de DNS. Os registros PTR
cadastrados manualmente devero aparecer no DNS Manager.
Caso o registro PTR a ser criado no pertena a uma sub-rede de endereamento Classe C, a ferramenta DNS
Manager poder ser utilizada. Dessa forma, selecione o domnio reverso no qual ser criado o novo registro com o
boto da direita do mouse e escolha a opo New Pointer.
Na tela New resource Record, selecione PTR Record na janela Record Type, cadastre no campo IP Address o
endereo IP, e no campo Host DNS Name, preencha com o nome completo (nome do host + domnio) do servidor.
Clique em OK para finalizar a criao do registro PTR.
Na tela apresentada, selecione a pasta Forwarders. Clique no item Use Forwarders para ativar a sua utilizao e
cadastre o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto Add para efetivar o
cadastramento e no boto OK para fechar a tela.