Manual Redes SFN v8

RSFN - Manual de Redes do SFN Verso 8.
Rede do Sistema
Financeiro Nacional
Manual de Redes do SFN

Agosto/2016
Verso 8.0
Manual de Redes do SFN * Pgina 1 de 109

RSFN - Manual de Redes do SFN Verso 8.0
NDICE
NDICE ........................................................................................................................................................................... 2
CONTROLE DE VERSO ........................................................................................................................................... 5
VISO GERAL .............................................................................................................................................................. 7
ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO .................................. 7
Apresentao ............................................................................................................................................................................. 7
RSFN - Rede do Sistema Financeiro Nacional ........................................................................................................................ 7
Sobre a Arquitetura ................................................................................................................................................................... 7
Atribuies e Responsabilidades do Subgrupo de Redes ......................................................................................................... 8
Normas de utilizao da RSFN ................................................................................................................................................... 8
Recomendaes .......................................................................................................................................................................... 8
CENTRAL DE ATENDIMENTO ............................................................................................................................... 9
PROCEDIMENTOS PARA ACESSO RSFN ........................................................................................................ 10
Solicitao de conexo ............................................................................................................................................................ 10
Para solicitao das conexes as Entidades Solicitantes devero: ......................................................................................... 10
Questionrio: ............................................................................................................................................................................ 11
Pr-requisito: ........................................................................................................................................................................... 11
Poltica de encaminhamento do trfego de entrada e sada de dados: ................................................................................... 11
Testes de conectividade .......................................................................................................................................................... 12
Testes de contingncia ............................................................................................................................................................ 13
DESCRIO TCNICA ............................................................................................................................................ 22
Arquitetura de endereamento IP ...................................................................................................................................................... 22
ROTEAMENTO DA RSFN ........................................................................................................................................ 27
Roteamento para o Perfil A e B (Modelo 2)............................................................................................................................... 27
Roteamento para o Perfil C (Modelo 1) ..................................................................................................................................... 28
Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo /28 (Modelo 6) ........ 30
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 4) .................................................... 31
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 5) .................................................... 32
OBSERVAO IMPORTANTE RELATIVA AOS MODELOS 4 E 5 .................................................................................... 32
MODELOS DE TOPOLOGIA PARA CONEXES COM REDES INTERNAS ............................................ 33
SERVIDOR DE TEMPO (TIME SERVER) .............................................................................................................. 41
SERVIDOR WEB DA RSFN ...................................................................................................................................... 41
SERVIDOR FTP .......................................................................................................................................................... 42
INFRA-ESTRUTURA DE MENSAGERIA .............................................................................................................. 42
Diretrizes bsicas ...................................................................................................................................................................... 42
Definies do MQseries .......................................................................................................................................................... 43
CONFIGURAO DO SERVIDOR MQ - OPO ADOPTNEWMCA........................................................... 53
CONFIGURAO DO MQ - BANCO CENTRAL ................................................................................................. 54
GERNCIA DE SEGUNDA NVEL DA RSFN ........................................................................................................ 55
Diretrizes bsicas ...................................................................................................................................................................... 55
REQUISITOS PARA O MODELO OPERACIONAL DE PSTI ............................................................................. 56
Obrigaes das Instituies Financeiras quando operam no modelo de PSTI: ........................................................................... 56
Obrigaes dos PSTIs: .............................................................................................................................................................. 56
Utilizao de rede dedicada homologada pelo BACEN: ........................................................................................................... 56
Gerncia Integrada de Segundo Nvel: ...................................................................................................................................... 57
Infra-RSFN:.............................................................................................................................................................................. 57
QUALIDADE DE SERVIO NA RSFN .................................................................................................................... 58
Configurao atual de Qualidade de Servio na RSFN ......................................................................................................... 58
Nova configurao de Qualidade de Servio na RSFN.............................................................................................................. 59
ANEXO I CONFIGURAO DE DNS (DOMAIN NAME SYSTEM) ............................................................... 60
INTRODUO ...................................................................................................................................................................... 60
PREMISSAS BSICAS ......................................................................................................................................................... 61
DNS NA RSFN ....................................................................................................................................................................... 62
Aplicaes de DNS recomendadas ......................................................................................................................................... 63
DNS em Servidores Unix........................................................................................................................................................ 63
DNS em Servidores Windows ................................................................................................................................................ 63
ARQUITETURA DE DNS DA RSFN ................................................................................................................................... 64
Sub-Domnios da RSFN ......................................................................................................................................................... 65
Delegando Direitos Para os Sub-Domnios ............................................................................................................................ 65
Incluindo ou Excluindo Domnios ou Sub-Domnios ............................................................................................................ 66
Domnios Reversos da RSFN ................................................................................................................................................. 66
Sub-Domnios Reversos da RSFN .......................................................................................................................................... 68
Delegando Direitos Para os Sub-Domnios Reversos ............................................................................................................ 68
Incluindo ou Excluindo Domnios ou Sub-Domnios Reversos ............................................................................................ 70
Sub-Domnios Reversos da RSFN .......................................................................................................................................... 71
Servidores de DNS da RSFN .................................................................................................................................................. 72
Servidor Primrio dos Domnios Superiores IRS (Internal Root Server) ....................................................................... 72
Servidores Primrios dos Sub-Domnios ................................................................................................................................ 73
Servidores Secundrios dos Sub-Domnios ............................................................................................................................ 75
Registro dos Domnios Superiores nas Entidades Competentes ............................................................................................ 76
Registro dos Sub-Domnios das Entidades ............................................................................................................................. 77
rvore de DNS da Parte Externa ............................................................................................................................................ 77
Restries sobre a Configurao do PNS e SNS dos Sub-Domnios ..................................................................................... 83
CONFIGURAO DOS RESOLVERS ................................................................................................................................. 83
PADRONIZAO DE NOMES DE HOSTS E INTERFACES ........................................................................................... 83
Padronizao de Nomes de Usurios ...................................................................................................................................... 84
IMPACTO DO TRFEGO DO DNS NA REDE .................................................................................................................. 84
Localizao dos Servidores..................................................................................................................................................... 84
Parmetros de Temporizao do Registro SOA ..................................................................................................................... 85
Configurao dos Resolvers .................................................................................................................................................... 85
FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP ............................................................................... 87
INTRODUO ...................................................................................................................................................................... 87
DNS EM SERVIDORES DA MICROSOFT ............................................................................................................. 89
INTRODUO ...................................................................................................................................................................... 89
CONFIGURAO DO DNS SERVER EM AMBIENTE WINDOWS 2000 ..................................................................... 89
Criando um Domnio Reverso Primrio ................................................................................................................................. 93
Criando um Domnio Direto Secundrio ................................................................................................................................ 95
Criando um Domnio Reverso Secundrio ............................................................................................................................. 96
Criando um Registro do Tipo A ............................................................................................................................................. 96
Criando um Registro do Tipo PTR ......................................................................................................................................... 97
Configurando os Servidores Forwarders ............................................................................................................................... 99
SERVIO DNS EM AMBIENTE WINDOWS NT 4.0 ...................................................................................................... 100
Criando um Domnio Direto Primrio .................................................................................................................................. 101
Criando um Domnio Reverso Primrio ............................................................................................................................... 102
Criando um Domnio Reverso Secundrio ........................................................................................................................... 103
Criando um Domnio Direto Secundrio .............................................................................................................................. 105
Criando um Registro do Tipo A ........................................................................................................................................... 105
Criando um Registro do Tipo PTR ....................................................................................................................................... 106
Configurando os Servidores Forwarders ............................................................................................................................. 108

Figura 1 Modelo de conexo da rede RSFN 13

Figura 2 - Dois sites com interconexo pela rede interna 15
Figura 3 - Dois sites, porm com apenas dois CPE 17
Figura 4 - Conexo do Perfil D com roteamento iBGP 18
Figura 5 - Conexo direta do Perfil D com a clula de segurana 20
Figura 6 Comunicao entre as entidades participantes da RSFN 22
Figura 7 - Perfis de conexo com a RSFN 23
Figura 8 - Servio PSTI 24
Tabela 1 - Faixa de Endereos dos hosts TCP/IP com mscara /27 25
Tabela 2- Faixa de Endereos dos hosts TCP/IP com mscara /26 25
Tabela 3 - Faixa de Endereos dos hosts TCP/IP das IF com mscara /28 26
Tabela 4 - Faixa de Endereos dos hosts TCP/IP das IFs com mscara /27 26
Figura 9 - Topologia com dois sites, porm com apenas dois CPE 27
Figura 10 - Topologia com dois sites com interconexo pela rede interna 28
Figura 11 - Conexo do Perfil D com roteamento iBGP 29
Figura 12 -Topologia com dois sites, quatro roteadores da Entidade e NAT interno 30
Figura 13 - Conexo direta do Perfil D com a clula de segurana 31
Figura 14 - Topologia com dois domnios de broadcast 32
Figura 15 - Topologia de Acesso com Firewall 33
Figura 16 - Topologia de Acesso com Roteadores, Firewall e DMZ 35
Figura 17 - Topologia Redundante com Site de Contingncia 37
Figura 18 - Topologia de Redundncia Mxima Sem Site de Contingncia 39
Figura 19 - Topologia de Redundncia Mxima Com Site de Contingncia 40
Tabela 5 Domnios, ambientes e portas 47
Tabela 6 - Atributos Comuns a Todas as Filas 49
Tabela 7 - Atributos de Filas Locais 50
Tabela 8 - Atributos de Filas Remotas 50
Tabela 9 - Atributos de Alias Queues 50
Tabela 10 - Atributos de NameLists 50
Tabela 11 - Atributos de Processos 51
Tabela 12 - Atributos de Queue Managers 51
Tabela 13 - Atributos de Canais 52
Tabela 14 Atual configurao de Qualidade de Servio na RSFN 59

CONTROLE DE VERSO
Verso Descrio das Modificaes Data da Modificao

8.0 - Incluso do domnio SPB02 16 de agosto de 2016
7.6.4 - Melhoria de texto (pg 54) 5 de Novembro de 2015
- Correo do telefone da Primesys (pg 8)
7.6.3 - Alterao Viso Geral Normas de utilizao da RSFN (p.7) 5 de Maio de 2015
7.6.2 - Alterao Pgina 45, inserindo o range de portas de Homologao do 29 de Agosto de 2014
domnio MES03
7.6.1 - Alterao dos Endereos de hostnames 28 de janeiro de 2014
7.6 - Alterao do sistema de Qualidade de Servio da RSFN 03 de dezembro de 2013
- Incluso do ambiente PPRO
- Alterao na configurao do Servio FTP
- Alterao do e-mail de contato da equipe de infraestrutura da RSFN
para infra.rsfn@bcb.gov.br
7.5.1 Atualizao do Normativo que trata de provedores PSTI 25 de setembro de 2013
7.5 Incluso de informaes sobre Poltica de encaminhamento do trfego 11 de setembro de 2013
de entrada e sada de dados
7.4 Incluso de informao sobre transao para acesso configurao do 5 de setembro de 2013
MES02 no MQConfig
7.3.1 Incluso do Manual de DNS como Anexo I 12 de maro de 2013
7.3 - Referncia Circular N 3629 de 19 de fevereiro de 2013, incluso 26 de fevereiro de 2013
dos Requisitos para o Modelo Operacional de PSTI e alterao do
nome do Manual Tcnico.
7.2 - Substituio da PRED300 e PCCS400 em Homologa e Produo 8 de Novembro de 2012
7.1 - Troca de menes ao PCCS400 e acrscimo do MQConfig 19 de Julho de 2012
7.0 - Incluso dos domnios MES02 e MES03 13 de Julho de 2012
6.1 - Incluso do domnio MES 9 de Abril de 2009
6.0 - Incluso da Gerncia de Segundo Nvel da RSFN e da Qualidade de 20 de dezembro de 2006
Servio na RSFN
5.0 - Incluso dos campos que comprovam a emisso do COA pelo 02 de janeiro de 2004
Banco Central no item Diretrizes Bsicas da Infraestrutura de
Mensageria.
4.0 - Adequao Circular BACEN 3014 26 de agosto de 2003
- alterao da redao das Normas de Utilizao da RSFN;
- retirada do item Sobre o Comit Gestor da RSFN.
- Incluso da obrigatoriedade do TTL igual a zeros para o nome do

servidor MQ no item Recomendaes
- Incluso de observao sobre perda de conectividade nos

modelos 4 e 5.
- Incluso do Roteiro de Testes de Contingncia da RSFN.
- Incluso da configurao obrigatria do parmetro ADOPTMCA no

servidor MQSeries.
3.0 - Incluso do Template para Roteamento do o Perfil D com

roteadores da Entidade no barramento RSFN e NAT do 2 prefixo 5 de Novembro de 2001
/28 (Modelo 6).
- Incluso do captulo referente infraestrutura da mensageria.

2.0 Incluso do Template para segmentao do prefixo /27 em duas 3 de Setembro de 2001
VLANs: SPB (prefixo /28) e outra para NAT (prefixo /28).


VISO GERAL
ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO
Apresentao
A Arquitetura de Rede de Comunicao de Dados entre o Banco Central do Brasil, as Instituies
Financeiras e as Cmaras, foi projetada para suportar a implantao do novo Sistema de Pagamentos
Brasileiro (SPB) e que deve estar preparada para agregar tambm outros servios de comunicao entre
instituies do sistema financeiro.
Para atingir os objetivos acima, o Subgrupo de Redes avaliou as diversas alternativas tcnicas e solues dos
fornecedores e concessionrias, resultando na RSFN.
Este manual foi elaborado para a correta utilizao desta rede, contendo informaes tcnicas e operacionais para as
Instituies Financeiras se conectarem RSFN, institudo pela Circular BACEN 3.629, de 19.02.2013.
RSFN - Rede do Sistema Financeiro Nacional

A RSFN, Rede do Sistema Financeiro Nacional, que utiliza atualmente a infraestrutura de comunicao das
concessionrias Primesys e Embratel / RTM (que foram as qualificadas pelo Subgrupo de Redes), tem como
finalidade suportar o trfego entre as Instituies Financeiras participantes, o Banco Central do Brasil
(BACEN) e as Cmaras de Liquidao (Cmaras). Baseada no protocolo TCP/IP, a rede foi implantada
considerando a utilizao de ferramentas/conceitos de Intranet que suportam as aplicaes desenvolvidas para
atender as necessidades do SPB, bem como agregar outros servios de comunicao entre seus participantes.
Sobre a Arquitetura
Considerando-se que as operaes dos sistemas sero processadas em regime de tempo real, esta arquitetura
foi especificada partindo-se da premissa de que dever ter alta disponibilidade, desempenho, segurana e
contingncia.
Baseado nas premissas acima, o Subgrupo de Redes estabeleceu critrios rigorosos nas suas especificaes que,
alm de adotar as melhores tecnologias disponveis atualmente, exigiu das concessionrias qualificadas a garantia
de que a rede ter total aderncia s nossas especificaes e redundncia em todos os seus segmentos: no seu
backbone, nos seus entroncamentos e meios fsicos, nos seus equipamentos, nos ns da rede e na sua ltima
milha.
Estabeleceu tambm que, futuramente, essa rede dever agregar novos servios como Voz sobre IP,
interconexo entre as instituies financeiras etc., sem a necessidade de se alterar a sua arquitetura com novos
investimentos.

Atribuies e Responsabilidades do Subgrupo de Redes
Especificar a arquitetura da Rede.

Especificar a Topologia da Rede.
Especificar a Estrutura Fsica da Rede.
Especificar normas e padres para conexo IP entre as redes das concessionrias e as instituies
participantes.
Definir a melhor tecnologia, sob os aspectos evolutivos, tendncias, segurana, contingncias e custo /
beneficio.
Especificar os pr-requisitos para os fornecedores e concessionrias apresentarem suas solues e
propostas.
Negociar custos e propostas dos fornecedores e concessionrias.
Avaliar, homologar e indicar os fornecedores e concessionrias para a elaborao da nova rede.
Acompanhar, auditar e avaliar o processo de operacionalizao da rede junto s concessionrias.
Normas de utilizao da RSFN
Todos os servios a serem implementados na rede devero ser homologados pelo Subgrupo de Redes, que definir
os padres de endereamento IP para cada tipo de servio.
As configuraes de roteamento da RSFN no permitem a comunicao indiscriminada entre os participantes. A

conectividade na RSFN regulada conforme abaixo:
a. permitido a todos os participantes da RSFN estabelecer comunicao direta com o Banco Central, com as
cmaras, com os prestadores de servios de compensao e de liquidao e com os seus respectivos
Provedores de Servios de Tecnologia da Informao PSTIs.
b. permitido ao Banco Central, s cmaras e aos prestadores de servios de compensao e de liquidao
estabelecer comunicao direta com todos os participantes da RSFN.
c. permitido aos PSTIs estabelecer comunicao direta com o Banco Central e com os participantes da RSFN
que utilizam o seu servio.
d. vedado aos participantes da RSFN estabelecer comunicao direta entre si que no esteja prevista nos casos
anteriores.
e. vedada a comunicao entre os dois sites de um mesmo participante via RSFN.
Recomendaes
Para a implementao da conexo com a RSFN, as seguintes recomendaes so pertinentes:

a) Atentar para as recomendaes sobre segurana descritas no Captulo Modelos de Topologia para
Conexes com Redes Internas, deste documento;
b) Escolha e implementao adequadas do Modelo de Topologia para Conexes com a Rede Interna da
Entidade Participante;
c) obrigatria a utilizao do servio de DNS (Domain Name System) e a configurao do
parmetro TTL (Time to Live) igual a ZERO para hosts disponibilizados na RSFN, ressaltamos
que a contingncia dos servidores de MQ, componente fundamental na estrutura dos domnios
SPB01, SPB02, MES01, MES02 e MES03, est baseada na utilizao do servio de DNS;
d) Observar as normas de endereamento e do Servio de DNS descritas no Captulo Arquitetura de
Endereamento IP e Anexo I, deste documento;
e) Execuo de testes de funcionalidade e contingncia da rede.

CENTRAL DE ATENDIMENTO
O servio de comunicao entre as Entidades Participantes da RSFN est sendo provido pelas
concessionrias: Primesys e Embratel/RTM, que recebero as solicitaes de conexo com a RSFN,
informaes e abertura de chamados tcnicos referentes a problemas de conectividade encontrados pelas Entidades
Participantes, atravs de suas Centrais de Atendimento pelos telefones 0800-7021358 e 0800-7077400,
respectivamente.
Efetuada a conexo, poder ser acessado o Site Web da RSFN no BACEN, atravs do endereo
www.rsfn.net.br, onde esto disponveis outros documentos relevantes, incluindo a lista de escalonamento para
problemas recorrentes ou no-resolvidos.

PROCEDIMENTOS PARA ACESSO RSFN
Solicitao de conexo
a) Todos os participantes da RSFN devero contratar obrigatoriamente pelo menos uma conexo com a
Primesys e outra com a Embratel/RTM;
b) As conexes sero instaladas pelas concessionrias nos endereos onde os Participantes indicarem, na
modalidade Turn Key, ou seja, acesso local (par metlico, fibra ptica ou rdio) e roteador configurado;
c) Em todas as conexes, as concessionrias fornecero o Roteador devidamente homologado pelo Subgrupo
de Redes, com o hardware, software e configurao necessria para suportar os servios da RSFN;
d) Essa rede dever respeitar as especificaes estabelecidas na RFP pelo Subgrupo de Redes e de total
conhecimento das concessionrias Primesys e Embratel / RTM;
e) A no observncia das especificaes citadas no item anterior pelas concessionrias ou pelo Participante
poder comprometer a conectividade e segurana deste ltimo, podendo no participar dos testes e
implantao dos seus sistemas;
f) Os roteadores sero de uso exclusivo para a RSFN e sero instalados e configurados pelas concessionrias
conforme as regras de endereamento IP definidos pelo Subgrupo de Redes.
Para solicitao das conexes as Entidades Solicitantes devero:
a) Contatar as concessionrias, atravs das respectivas Centrais de Atendimento, que verificaro os dados na
lista fornecida pelo Banco Central e encaminharo ao responsvel administrativo do Solicitante o
questionrio abaixo listado, juntamente com outras informaes que julgarem relevantes, o qual dever ser
preenchido e devolvido, por meio eletrnico, para as concessionrias;
b) As concessionrias recebero as informaes e as encaminharo para o Banco Central, por meio eletrnico,
aos cuidados de infra.rsfn@bcb.gov.br;
c) O Banco Central preencher a planilha de cadastro contendo a faixa de endereos IP designada para utilizao
do Solicitante, que ser enviada caixa postal do responsvel tcnico do Solicitante e s duas concessionrias.
Tambm ser providenciado o cadastro do nome do subdomnio informado pelo Solicitante, eventual
duplicidade de nomes de subdomnio ser previamente comunicada e ser negociado um novo nome entre o
Banco Central e o Solicitante;
d) Com a informao recebida, as concessionrias estaro autorizadas a incluir a Entidade Solicitante na RSFN e
tomar as providncias necessrias para liberao dos circuitos;
e) Solicitar das concessionrias o contrato completo para aquisio da ltima milha e os seus servios.

Questionrio:
1) Em qual das categorias abaixo se enquadra o Solicitante?

a. Instituio Financeira;
b. Provedores de Servios de Tecnologia da Informao - PSTI;
c. Cmaras ou Outros.
2) O Solicitante tem um site backup ou pretende implant-lo no prazo mximo de um ano?
3) Se a resposta ao item 2 for positiva, definir qual ser o perfil adotado para a comunicao entre os sites,
dentre as opes sugeridas no Captulo Roteamento da RSFN deste documento.
4) Qual o nome do Subdomnio pretendido pelo Solicitante (se j possuir um nome de domnio na
Internet, recomenda-se utiliz-lo, este domnio ter obrigatoriamente a extenso .rsfn.net.br, p. ex., se o
nome do domnio na Internet xyz.com.br, sugere-se utilizar para a RSFN o nome xyz.rsfn.net.br).
5) Se o Solicitante for uma Instituio Financeira, utilizar a estrutura de Provedor PSTI? Qual ser este
provedor?
6) O Solicitante implantar o servio de DNS prprio ou utilizar o servio fornecido pela Concessionria?
Caso queira utilizar o Servio de DNS de uma das Concessionrias, dever informar ao Banco Central os
endereos IPs dos Servidores Autoritativos para o domnio do Solicitante.
Pr-requisito:
Conexo dos roteadores das duas concessionrias em barramento de rede local, conforme modelos sugeridos no
Captulo Modelos de Topologia para Conexes com redes Internas deste documento.
Poltica de encaminhamento do trfego de entrada e sada de dados:
Segundo a definio do comit gestor do grupo de redes da RSFN, o critrio de escolha do caminho de sada de cada
Entidade ser definido pela configurao HSRP (Hot Standby Router Protocol). Nesta configurao, todos os Hosts da
VLAN devero apontar para um default gateway virtual, onde os roteadores (CPE EBT/RTM e PRIMESYS) iro
responder, sendo que um deles ter uma prioridade maior.
Para que uma concessionria no seja mais sobrecarregada que a outra, as Entidades sero divididas em dois grupos,
em que um grupo preferencialmente ter como acesso ao backbone RSFN via o CPE Primesys e o outro ter acesso via
o CPE EBT/RTM.

Na configurao proposta, a regra se resume em: o circuito Primesys ter preferncia na comunicao entre entidades
de mesmo grupo e o circuito EBT/RTM ter preferncia na comunicao entre entidades de grupos diferentes. Desta
forma, o fluxo de entrada de dados depender da origem e haver balanceamento do trfego entre as operadoras,
conforme demonstra a figura abaixo:
Testes de conectividade
A partir do recebimento da faixa de endereamento IP da instituio, configurar uma estao com os

parmetros abaixo. Obs.: Caso a instituio opte por efetuar o teste atravs da sua rede local deve-se efetuar
NAT.
IP address do 10 host
Subnetmask: fornecida na documentao
Gateway: Endereo do HSRP
Configurada a estao, efetuar os seguintes testes:
Ping no endereo IP 200.218.66.5 (HSRP do BACEN)

Se OK, retirar o cabo ou desligar o modem da Primesys e efetuar novamente o ping
Se OK, reconectar o cabo ou ligar o modem Primesys e retirar o cabo ou desligar o modem da Embratel e
efetuar novamente o ping
Se OK, reconectar o cabo ou ligar o modem Embratel
Caso algum dos testes falhe, abrir chamado na Central de Atendimento da Concessionria e reportar o
procedimento e a falha .

Testes de contingncia
Os testes de contingncia e de backbone da RSFN consistem em validar as funcionalidades das redundncias

implementadas na rede pelas Concessionrias Primesys e Embratel/RTM. Sero realizados a critrio do Banco
Central.
A atual topologia da Rede e suas redundncias de conexo esto exemplificadas na figura 1.
Figura 1 Modelo de conexo da rede RSFN
Todas as Entidades possuem conexo com as duas nuvens: EBR/RTM e Primesys, o que dever garantir a
redundncia de acesso a todos os servios disponveis na RSFN.
Durante a realizao dos testes de contingncia, sero simuladas situaes de queda dessas conexes, a fim de
validar as funcionalidades das redundncias e medir os tempos de convergncia na RSFN. Para tanto, foram
definidos os procedimentos descritos a seguir:

Descrio dos procedimentos :
1. Antes do incio dos testes :
a) Ping em 2 instituies do Grupo A

Deve-se efetuar, a partir de uma mquina (de preferncia o DNS) com conexo rede RSFN, comando ping
utilizando o nome de, pelo menos, 100 pacotes no HSRP das instituies escolhidas .
Anotar o tempo de resposta mdio na tabela .
b) Ping em 2 instituies do Grupo B

utilizando o nome de, pelo menos, 100 pacotes no HSRP de uma das instituies escolhidas.
Anotar o tempo de resposta mdio na tabela.
c) Traceroute para verificao dos caminhos

Efetuar traceroute utilizando os mesmos hosts.
Anexar os resultados na tabela.
2. Durante a interrupo de cada dispositivo :
a) Ping nas mesmas instituies do Grupo A

(pelo nome) contnuo no HSRP das instituies escolhidas.
b) Ping nas mesmas instituies do Grupo B

(pelo nome) contnuo no HSRP das instituies escolhidas .
c) Verificar qual dos hosts fica indisponvel e qual o tempo de retorno

Anotar o host e o tempo de retorno.
d) Trace para verificao dos caminhos

Efetuar trace utilizando os mesmos hosts.
Anexar os resultados na tabela de testes.
3. Retorno do dispositivo :
a) Verificar se ocorre indisponibilidade e qual o tempo de retorno.

Anotar o host e o tempo de retorno.

Modelos de Topologia
MODELO 1:
Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via
roteadores ou Firewall.
Figura 2 - Dois sites com interconexo pela rede interna
Este modelo pode ter como variante a conexo de apenas 1 firewall por site.

Testes :
1- Queda do circuito Primesys do site principal
2- Queda do circuito EBT do site principal
3- Queda do circuito Primesys do site backup
4- Queda do circuito EBT do site backup
5- Queda dos 2 circuitos do site principal
6- Queda dos 2 circuitos do site principal + Primesys site backup
7- Queda dos 2 circuitos do site principal + EBT site backup
8- Queda do roteador Primesys do site principal
9- Queda do roteador EBT do site principal
10- Queda do roteador Primesys do site backup
11- Queda do roteador EBT do site backup
12- Queda dos 2 roteadores do site principal
13- Queda dos 2 roteadores do site principal + Primesys site backup
14- Queda dos 2 roteadores do site principal + EBT site backup
15- Queda do firewall 1 do site principal
17- Queda do firewall 1 do site backup
19- Queda dos 2 firewalls do site principal
20- Queda dos 2 firewalls do site principal + Firewall 1 site backup

MODELO 2:
Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE
em cada.
Figura 3 - Dois sites, porm com apenas dois CPE
Este modelo pode ter como variante a conexo dos 2 CPEs no mesmo site (sem site backup). Neste caso
tambm podemos ter 1 ou 2 firewalls.
Testes :
5- Queda do firewall do site principal
6- Queda do firewall do site backup

MODELO 3 e MODELO 6:
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e conexo
entre a RSFN e Entidade via roteadores (que suportem roteamento BGP).
Figura 4 - Conexo do Perfil D com roteamento iBGP
Esse modelo pode ter como variantes

1-Apenas 2 CPEs e n roteadores BGP (onde n um nmero entre 1 e 2) ; 2 em cada site 2-
Sem site backup , com os n roteadores no mesmo site

Testes :
3- Queda do circuito Primesys do site backup 4-
Queda do circuito EBT do site backup
13- Queda dos 2 roteadores do site principal + Primesys site backup
14- Queda dos 2 roteadores do site principal + EBT site backup
15- Queda do roteador BGP 1 do site principal
16- Queda do roteador BGP 2 do site principal
17- Queda do roteador BGP 1 do site backup
18- Queda do roteador BGP 2 do site backup
19- Queda dos 2 roteador BGPs do site principal
20- Queda dos 2 roteador BGPs do site principal + Roteador BGP 1 site backup
21- Queda dos 2 roteador BGPs do site principal + Roteador BGP 2 site backup

MODELO 4 e MODELO 5:
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo
entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento
BGP
Figura 5 - Conexo direta do Perfil D com a clula de segurana

Testes :
3- Queda do circuito Primesys do site backup
13- Queda dos 2 roteadores do site principal + Primesys site backup 14-
Queda dos 2 roteadores do site principal + EBT site backup
19- Queda dos 2 firewalls do site principal

DESCRIO TCNICA
Arquitetura de endereamento IP
A RSFN recebeu do Comit Gestor da Internet Brasil um prefixo /18 para ser distribudo entre as Entidades
Participantes, a fim de evitar conflito com o endereamento IP interno destas.
A topologia lgica da RSFN composta de dois nveis hierrquicos: core e acesso. O core composto pelas
Concessionrias e o acesso pelas Entidades Participantes, que so: BACEN, Cmaras, Provedores PSTI e as
Instituies Financeiras (IF).
O BACEN, as Cmaras e os Provedores PSTI devero ter, no mnimo, dois sites e as IF podero ter um ou mais
sites.
Os conglomerados que englobam mais de uma Instituio Financeira, e possuem todos os servios
concentrados, sero vistos como um Provedor PSTI, de acordo com a norma vigente pelo Banco Central do Brasil.
A Figura 6 ilustra a comunicao entre as Entidades Participantes da RSFN:
Figura 6 Comunicao entre as entidades participantes da RSFN
O servio de comunicao entre as Entidades Participantes da RSFN est sendo oferecido por duas
concessionrias: Primesys e pela Embratel/RTM, atravs de um backbone com o servio VPN/MPLS, garantindo um
isolamento lgico da RSFN.

As Entidades Participantes devero ter como conexo RSFN um dos cinco perfis ilustrados na Figura 7.
Figura 7 - Perfis de conexo com a RSFN

Caso o Participante adote os perfis A ou B, este receber um prefixo /28 para a VLAN de conexo com a
RSFN. Para os demais perfis receber dois prefixos /28.
O BACEN , as Cmaras e os Provedores PSTI utilizaro o perfil C ou D recebendo dois prefixos /27.
O Provedor PSTI pode se comunicar apenas com o BACEN, as Cmaras e as IFs s quais ele presta servio,
conforme apresentado na Figura 8.
Figura 8 - Servio PSTI

Definio da Faixa de endereos dos Hosts de cada VLAN
Para facilitar a administrao dos endereos IP dos diferentes ns TCP/IP dentro de cada VLAN, as faixas foram
padronizadas por tipo de hosts. Alm de permitir a identificao rpida do recurso, a utilizao de faixa de
endereos permite definir listas de acesso e de prioridades para cada recurso da rede.
VLAN das Cmaras e dos Provedores PSTI
A VLAN das Cmaras e dos Provedores PSTI possuem no mximo 30 hosts para cada prefixo /27. As faixas de
hosts recomendadas para estas subredes esto ilustradas nas Tabela 1 e Tabela 2.
1 2 byte 3 4 byte host Tipo do host

byte byte
X X X xxx00001 1o. Ethernet 0/0 CPE Primesys
X X X xxx00010 2o. Ethernet 0/0 CPE EBT/RTM
X X X xxx00011 3o. HSRP
X X X xxx00100 4o. 1o. switch
X X X xxx00101 5o. 2o. switch
X X X xxx00110 6o. 1o. Servidor DNS
X X X xxx01000 8o. 1o. Servidor MQSeries
X X X xxx01010 10o. Reservado
X X X ... ... Reservado
X X X xxx11110 30o. Firewall
Tabela 1 - Faixa de Endereos dos hosts TCP/IP com mscara /27
1 byte 2 byte 3 byte 4 byte host Tipo do host

X X X Xx000001 1o. Ethernet 0/0 CPE Primesys do site
principal
X X X Xx000010 2o. Ethernet 0/0 CPE EBT/RTM do
site principal
X X X Xx000011 3o. Ethernet 0/0 CPE Primesys do site
backup
X X X Xx000100 4o. Ethernet 0/0 CPE EBT/RTM do
site backup
X X X Xx000101 5o. HSRP
X X X Xx000110 6o. 1o. Servidor DNS
X X X Xx000111 7o. 2o. Servidor DNS
X X X Xx001000 8o. 1o. Servidor MQSeries
X X X Xx001001 9o. 2o. Servidor MQSeries
X X X Xx001010 10o. Reservado
X X X ... ... ...
X X X xx110111 55o. Switch
X X X
X X X xx111011 59o. Firewall
X X X
X X X xx111110 62o. Firewall
Tabela 2- Faixa de Endereos dos hosts TCP/IP com mscara /26

VLAN das IFs
A VLAN das IF possuem no mximo 14 hosts para cada prefixo /28. As faixas de hosts recomendadas para estas
subredes esto ilustradas nas Tabela 3 e Tabela 4.

X X X xxxx0001 1o. Ethernet 0/0 CPE Primesys
X X X xxxx0010 2o. Ethernet 0/0 CPE EBT/RTM
X X X xxxx0011 3o. HSRP
X X X xxxx0100 4o. 1o. switch
X X X xxxx0101 5o. 2o. switch
X X X xxxx0110 6o. 1o. Servidor DNS
X X X xxxx0111 7o. 2o. Servidor DNS
X X X xxxx1000 8o. 1o. Servidor MQSeries
X X X xxxx1001 9o. 2o. Servidor MQSeries
X X X xxxx1010 10o. Reservado
X X X ... ... Reservado
o
X X X xxxx1101 13 . Reservado
X X X xxxx1110 14o. Firewall
Tabela 3 - Faixa de Endereos dos hosts TCP/IP das IF com mscara /28

X X X xxx00001 1o. Ethernet 0/0 CPE Primesys do site principal
X X X xxx00010 2o. Ethernet 0/0 CPE EBT/RTM do site principal
X X X xxx00011 3o. Ethernet 0/0 CPE Primesys do site backup
X X X xxx00100 4o. Ethernet 0/0 CPE EBT/RTM do site backup
X X X xxx00101 5o. HSRP
X X X ... ... ...
X X X xxx10111 22o. Switch
X X X
o
X X X xxx11010 26 . Firewall
X X X
X X X xxx11110 30o. Firewall
Tabela 4 - Faixa de Endereos dos hosts TCP/IP das IFs com mscara /27

ROTEAMENTO DA RSFN
As concessionrias garantem que as rotas das VPN das Entidades Participantes da RSFN no sero
divulgadas para a Internet. A concessionria no deve interferir na Poltica de Roteamento das Entidades
Participantes da RSFN.
O Subgrupo de Redes definiu que todo o trfego das informaes de entrada das Entidades Participantes no
ter preferncia entre os circuitos das duas concessionrias; o mesmo se aplica para todo o trfego das
informaes de sada das Entidades Participantes, que no tero preferncia entre os circuitos, dividindo o trfego
entre as duas concessionrias. Este controle feito pelo protocolo de roteamento BGP responsvel pelo roteamento
dos pacotes entre os CPE e as concessionrias.
Roteamento para o Perfil A e B (Modelo 2)
Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE
em cada.
Figura 9 - Topologia com dois sites, porm com apenas dois CPE
Neste tipo de conexo, a Entidade receber apenas um prefixo de endereamento IP e ser cadastrado no
DNS um registro com apenas um prefixo. Internamente dever ser utilizado NAT sob total controle da
Entidade.
Na rede local da Entidade, o segmento que interliga os CPEs e a clula de segurana no possui nenhum
protocolo de roteamento dinmico, sendo utilizado apenas roteamento esttico.
Como nesse segmento de rede local existem dois roteadores, ser implementada a tecnologia HSRP. Desta forma,
os hosts tero alternativas de acesso externo em caso de falha de um roteador, sem necessidade de configurao
manual.
Os dois roteadores possuiro alocao de endereos das interfaces Ethernet, porm ser alocado um terceiro
endereo virtual, que corresponder ao HSRP. Este endereo virtual dever ser o mesmo em ambos os
roteadores e corresponder ao default gateway dos hosts deste segmento de rede.
Roteamento para o Perfil C (Modelo 1)
Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via
roteadores ou Firewall.
Figura 10 - Topologia com dois sites com interconexo pela rede interna
Para esta topologia, a Entidade ser cadastrada no DNS com dois registros de prefixo - um do site principal e outro do
site backup.
Sob o ponto de vista de roteamento IP, sero consideradas duas Entidades, isto , tanto no site principal como
no site backup sero configurados dois CPE.
Internamente dever ser utilizado NAT em ambos os sites sob total controle da Entidade. Isto significa que o pacote
que sair do site backup ter um endereo diferente em relao ao site principal.
Como o roteamento est ativo em ambos os sites, no caso de um dos sites ficar indisponvel, o outro
continuar em funcionamento de forma transparente para a RSFN.

Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN (Modelo 3)

Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e conexo
entre a RSFN e Entidade via roteadores (que suportem roteamento BGP).
Figura 11 - Conexo do Perfil D com roteamento iBGP
Embora neste tipo de conexo as Entidades recebam dois blocos de endereamento IP, para a RSFN ser
anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de Cmara ou Provedor PSTI ser o
prefixo /26).
Caso sejam utilizados roteadores entre o barramento da RSFN e a rede da Entidade, pode ser utilizado
roteamento BGP entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como route-
reflector (para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia
de um ou mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero
configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade
(os route-reflector), como ilustrado na Figura 6 - Conexo do Perfil D com roteamento iBGP. Os
roteadores das Entidades devero utilizar os endereos da interface local para as configuraes BGP, em vez de
utilizar interfaces loopbacks. Desta forma, a configurao do HSRP dever ser nos roteadores da Entidade em vez de
ser nos roteadores CPE.

Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2

prefixo /28 (Modelo 6)
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN, conexo
entre a rede RSFN e Entidade via roteadores (que suportem roteamento BGP) segmentando o prefixo
/27 em dois prefixos /28 internamente na rede da Entidade. O primeiro prefixo ser utilizado para a
VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de
NAT. Divulgao do segundo prefixo /28 a partir de roteadores internos para que os CPE possam
alcanar os endereos deste prefixo a partir dos route-reflectors.
Figura 12 -Topologia com dois sites, quatro roteadores da Entidade e NAT interno
Este modelo visa atender necessidade de uma entidade ter roteamento BGP em sua estrutura interna
(modelo 3) utilizando route-reflectors e realizar o NAT em um dispositivo de rede interna e no na VLAN das
interfaces ethernet dos roteadores CPE utilizando ARP (modelo 5).
Para a RSFN, ser anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de
Cmara/BACEN/Provedor PSTI ser o prefixo /26) e o grupo (grupo A/B) ser referente ao primeiro prefixo
fornecido pelo BACEN (ou seja, se o primeiro prefixo for grupo A, o sumrio ser do grupo A).

Caso haja roteadores entre o barramento RSFN e a rede da Entidade, dever ser utilizado roteamento BGP
entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como route-reflector
(para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia de um ou
mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero
configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade
(os route-reflectors), como ilustrado na Figura 11. Os roteadores das Entidades devero utilizar os endereos
da interface local para as configuraes BGP, em vez de utilizar interfaces loopbacks. Desta forma, as
configuraes do HSRP, caso seja necessrio, dever ser nos roteadores da Entidade em vez de nos
roteadores CPE.
O route-reflector do site principal dever ter a interface de rede da VLAN RSFN com o 13 o endereo do
primeiro prefixo /28 e o route-reflector do site secundrio o 14o. Apesar de, a partir dos CPE existirem dois
caminhos para a o segundo prefixo /28, a opo de acesso ser tomada para o vizinho (neighbor) com o menor
endereo IP (site principal).
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 4)
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo
entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento
BGP).
Figura 13 - Conexo direta do Perfil D com a clula de segurana
A diferena entre este modelo em relao ao anterior refere-se ao fato dos equipamentos de interface entre o
barramento da RSFN e o da Entidade no suportarem o protocolo de roteamento BGP (ou a Entidade optar em no
utilizar este protocolo). Neste caso, dever ser configurado HSRP envolvendo os 4 CPEs (dois de cada site). O
anncio do prefixo ser /27 para as IF e /26 para as demais Entidades.
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 5)
Similar ao modelo anterior, mas segmentando o prefixo /27 em dois prefixos /28 internamente na rede
da Entidade. O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores
CPE e o segundo prefixo ser utilizado para o pool de NAT. Desta forma no haver necessidade de
configurar uma tabela ARP estaticamente nos firewall, sendo necessria apenas a insero de uma rota
esttica nos CPE indicando o next-hop do segundo prefixo /28 .
A diferena entre este modelo em relao ao modelo 4 se refere em definir dois domnios de broadcast.
Figura 14 - Topologia com dois domnios de broadcast
OBSERVAO IMPORTANTE RELATIVA AOS MODELOS 4 E 5

Tendo em vista o roteamento adotado na RSFN, os modelos 4 e 5 devero ter garantida a comunicao entre os
quatro roteadores de forma a garantir que, quando ativos simultaneamente, no haja interrupo do trfego por
ausncia de comunicao entre os mesmos. A interrupo da conectividade entre os dois sites, nestes modelos,
poder causar perda de conectividade com a RSFN. As concessionrias devem ser consultadas para maiores detalhes
sobre essa caracterstica de trfego.

MODELOS DE TOPOLOGIA PARA CONEXES COM REDES INTERNAS

Foram apresentados alguns modelos de topologia para conectar o segmento da RSFN instalado em cada
Entidade Participante com suas respectivas Intranets. Os modelos so:
topologia de acesso com roteadores e firewalls;

topologia de acesso com roteadores, firewalls e DMZ;
topologia redundante com site de contingncia;
topologia de redundncia mxima sem site de contingncia;
topologia de redundncia mxima com site de contingncia.
Os modelos levam em considerao os aspectos de segurana, unicidade de endereos IP, converso de

endereos IP utilizados nas redes internas e na RSFN, resoluo de nomes via servio de DNS, redundncia e
balanceamento de carga.
A escolha de um dos modelos indicados fica a cargo de cada Entidade, levando-se em conta a anlise de custos
X benefcios.
Topologia de acesso com Firewall

Este modelo, considerado o modelo bsico para a interligao entre o segmento da RSFN com a Intranet do
Participante, apresentado na Figura 15.
Figura 15 - Topologia de Acesso com Firewall

As seguintes observaes so pertinentes:
em hiptese alguma, o segmento da RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de
Firewall ou que suportem a configurao de listas de acesso);
para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de
equipamentos redundantes;
o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta
disponibilidade, mecanismos de Failover ou duplicao de tabelas e permisso de acesso em
conjunto com protocolos de roteamento dinmico;
os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer
parte dos segmentos da Intranet da Entidade;
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma
a se evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais
segmentos de rede devem utilizar endereos da Intranet da Entidade;
os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de
seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT,
no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na
Intranet;
todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus
endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever
ser executada no servidor de Firewall, configurado com a funo NAT;
os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na
RSFN a serem fornecidos pelo Banco Central. Essas rotas devero apontar para o servidor de
Firewall utilizado na interligao da Intranet com a RSFN;
Os servidores de Firewall devero ser configurados com rota especfica para o endereo do host
hsrp.sub-domnio.rsfn.net.br.

Topologia de acesso com roteadores, Firewall e DMZ
Este modelo bastante similar ao anterior, diferenciando-se apenas pela utilizao de roteadores internos para
isolar o segmento da RSFN dos servidores de Firewall. A Figura 16 ilustra esta topologia.
Figura 16 - Topologia de Acesso com Roteadores, Firewall e DMZ
so utilizados roteadores internos entre o segmento da RSFN e os servidores de Firewall;

em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo
de Firewall ou que suportem a configurao de listas de acesso);
equipamentos redundantes;
disponibilidade, mecanismos de Failover ou duplicao de tabelas e permisso de acesso em
conjunto com protocolos de roteamento dinmico;

a evitar possveis problemas de converso de endereos;
Intranet;
RSFN a ser fornecido pelo Banco Central. Estas rotas devero apontar para o servidor de Firewall
utilizado na interligao da Intranet com a RSFN;
os servidores de Firewall devero ser configurados com rota especfica para o endereo do host

Topologia redundante com site de contingncia
Neste modelo so utilizados dois sites: um principal e um de contingncia, conforme ilustrado na Figura 17. Cabe
Entidade definir se os dois estaro ativos ou se o site de contingncia somente ser acionado em caso de falhas no
site principal.
Figura 17 - Topologia Redundante com Site de Contingncia
so utilizados switches de contedo com configurao de GLB (Global Load Balance) para realizar o
balanceamento de carga entre os servidores que oferecem servios para a RSFN;
equipamentos redundantes, neste caso um em cada localidade;
disponibilidade;
a interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes
tecnologias de LANs e MANs;

Intranet;
RSFN a ser fornecido pelo Banco Central. Estas rotas devero apontar para o servidor de Firewall

Topologia de redundncia mxima sem site de contingncia
Neste modelo a Entidade possui contingncia de todos os equipamentos utilizados em um determinado site mas
no possui site de contingncia / backup. A Figura 18 ilustra este modelo:
Figura 18 - Topologia de Redundncia Mxima Sem Site de Contingncia
so utilizados switches de contedo com configurao de GLB (Global Load Balance) e FLB
(Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem
servios para a RSFN e entre os servidores de Firewall;
equipamentos redundantes, neste caso um em cada localidade;

Intranet;
endereos da Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever
RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall
Topologia de redundncia mxima com site de contingncia
Neste modelo todos os equipamentos utilizados em um determinado site so contingenciados e existe

contingncia de site. Cabe Entidade definir se os dois estaro ativos ou se o site de contingncia somente ser
acionado em caso de falhas no principal. A Figura 19 ilustra esta topologia.
Figura 19 - Topologia de Redundncia Mxima Com Site de Contingncia

so utilizados switches de contedo com configurao de GLB (Global Load Balance) e FLB
(Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem
servios para a RSFN e entre os servidores de Firewall;
utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com
funo de Firewall ou que suportem a configurao de listas de acesso);
interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes
tecnologias de LANs e MANs;
os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou pode fazer
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de
forma a se evitar possveis problemas de converso de endereos;
Intranet;
todas as estaes de trabalho da Intranet que desejar acessar servios da RSFN, tero seus endereos
de Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever ser
executada no servidor de Firewall, configurado com a funo NAT;
RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall
SERVIDOR DE TEMPO (TIME SERVER)
Est disponvel um servidor de tempo no BACEN que poder ser utilizado pelos Participantes da RSFN para o
sincronismo de horrio dos servidores MQSeries e demais servidores da RSFN atravs do protocolo NTP. Abaixo
seguem descritos os dados necessrios para acesso a este Servio.
Servidor: ntp.bcb.rsfn.net.br
Port de acesso: 123 (UDP)
SERVIDOR WEB DA RSFN

O Banco Central disponibilizou na RSFN um servidor Web onde esto publicadas as informaes referentes
RSFN. Esse servio pode ser acessado atravs da rede pelo nome www.rsfn.net.br.

SERVIDOR FTP
O servio FTP no modo ativo utiliza a porta 20 para transferncia de dados e a porta 21 para comandos. Para
a RSFN, o servio FTP em modo passivo (Passive Mode) utilizar o range de portas 1110 a 1121.
Como exemplo, o arquivo de configurao, para a soluo VSFTP, acrescentar os seguintes parmetros:
pasv_enable=YES
pasv_min_port=1110
pasv_max_port=1121
port_enable=YES
INFRA-ESTRUTURA DE MENSAGERIA
Diretrizes bsicas
A mensageria baseada em um software gerenciador de filas, o MQSeries (ou simplesmente MQ). Recomenda-se
utilizar a verso mais atual deste software, entretanto isto no requisito de funcionamento, sendo possvel a
comunicao entre diferentes verses. No ser permitida a utilizao de outros aplicativos para transferncia de
mensagens, que no sejam de uso comum por todas as instituies participantes.
No haver conexes do MQSeries do tipo cliente-servidor entre os participantes da RSFN, todos devero se
conectar a rede usando o modo servidor-servidor. As conexes entre provedores PSTI (aglomerados,
conglomerados e provedores de contingncia) e seus agregados podem ser do tipo cliente-servidor.
Para o trfego de mensagens na RSFN, foram estabelecidos cinco domnios de sistemas: SPB01, SPB02, MES01,
MES02 e MES03.
Os domnios SPB01 e SPB02 dizem respeito ao trfego de mensagens dos grupos de servios relacionados ao
Sistema de Pagamentos Brasileiro.
Os domnios de sistema da Mensageria Sisbacen (MES01, MES02 e MES03) contm os grupos de mensagens no
relacionadas a pagamentos. Para o envio das mensagens nesses domnios, sero utilizados canais, filas, endereos
(DNS) e portas especficas, ou seja, diferentes daquelas utilizadas pelo SPB01 e pelo SPB02.
A permisso para trfego das mensagens nos domnios dar-se- conforme regulamentado no Catlogo de Servios
do SFN, para cada grupo de servios.
Em todos os domnios de sistema, as instituies sero identificadas pelo CNPJ bsico de oito posies ou, no caso
dos participantes das mensagerias do SPB01 e do SPB02, pelo ISPB. O Banco Central ser identificado por seu
ISPB, ou seja, 00038166.
O BACEN usar um conjunto de filas (objetos MQ) para cada instituio, diferenciados de acordo com os domnios
de sistema utilizado.
As instituies utilizaro os mesmos certificados digitais para os domnios SPB01 e SPB02, observando a separao
entre os ambientes de homologao e de produo. Portanto, um certificado digital ativo para o domnio SPB01 estar
ativo, automaticamente, no domnio SPB02. No ser possvel ativar certificados distintos para os domnios SPB01 e
SPB02 em um mesmo ambiente (de homologao ou de produo).

De forma anloga, as instituies utilizaro os mesmos certificados digitais para os domnios MES01, MES02 e MES03,
observando a separao entre os ambientes de homologao e de produo. Portanto, um certificado digital ativo para o
domnio MES01 estar ativo, automaticamente, nos domnios MES02 e MES03. No ser possvel ativar certificados
distintos para os domnios MES01, MES02 e MES03 em um mesmo ambiente (de homologao ou de produo).
Para o gerenciamento de certificados digitais, consulte o uso das mensagens do grupo de servios GEN no Catlogo de
Servios do SFN.
Definies do MQseries
Ser ignorada a fila informada no campo ReplyToQ do header do MQSeries para as respostas geradas pelas
aplicaes. Ser usada a fila de resposta padro previamente definida.
A fila informada no campo ReplyToQ do header do MQ ser usada apenas para as mensagens geradas
automaticamente pelo Queue Manager (reports COA e COD). O gerenciador de filas informado no campo
ReplyToQMgr deve ser informado no formato QM.ISPBRemoto.seq .
No ser permitida a gravao de mensagens nas filas de uma instituio definidas no BACEN por outra entidade
que no seja a prpria, exceto na situao de contingncia operada pelo BACEN e autorizada pela instituio.
Sero aceitas para processamento apenas as mensagens contidas na(s) fila(s) da respectiva instituio que as gerou.
Ou seja, o BACEN processar apenas as mensagens cujo contedo seja da prpria instituio que as emitiu, exceto
na situao de contingncia operada pelo BACEN e autorizada pela instituio.
No ser utilizada a segmentao de mensagens no mbito do MQSeries. A segmentao de mensagens, quando

houver, ocorrer da forma disposta no Catlogo de Servios do SFN, no mbito do parser XML.
Os ambientes de homologao e de produo devero utilizar queue managers distintos, tanto nos domnios de
sistema SPB quando nos domnios de sistema MES.
Todas as mensagens e arquivos trafegaro na RSFN obrigatoriamente em codificao UNICODE UTF-16

BE. A instalao que no o utiliza internamente dever providenciar a converso para cdigo interno ao receber
mensagens e o contrrio ao enviar mensagens. No poder ser usada a converso automtica de cdigo provida pelo
queue manager porque a mensagem cifrada. Logo, necessrio que ocorra o processo de decifragem antes da
converso de cdigo.
O tamanho mximo de uma mensagem ser 4 Mbytes, incluindo o header do MQSeries, o header de segurana e a
codificao do texto XML em UNICODE UTF-16 BE.
De acordo com o Artigo 27 do regulamento do STR, institudo pela Circular 3.488 de 18.03.2010, o COA
(Confirm on Arrival) emitido pelo Banco Central o protocolo de recebimento da mensagem.
Dessa forma, os campos importantes da mensagem COA (e COD, opcionalmente), emitida pelo Banco
Central, que devem ser guardados pelos participantes para fins de comprovao de emisso
so:
MsgId (MQBYTE24)
AccountingToken (MQBYTE32)
ApplIdentityData (MQCHAR32)
PutDate (MQCHAR8)
PutTime (MQCHAR8)
Padro de nomes para objetos MQSeries que ser usado no ambiente do Banco Central, dos prestadores de servios
e das demais instituies participantes do SPB01, SPB02, MES01, MES02 e MES03:
Filas locais (na IF):

BC/Prestador requisita IF QL.REQ.ISPBRemoto.ISPBLocal.seq
BC/ Prestador responde IF QL.RSP.ISPBRemoto.ISPBLocal.seq
BC/ Prestador reporta IF QL.REP.ISPBRemoto.ISPBLocal.seq
BC/ Prestador envia mensagens de suporte IF QL.SUP.ISPBRemoto.ISPBLocal.seq
Filas remotas (na IF):
IF requisita ao BC/ Prestador QR.REQ.ISPBLocal.ISPBRemoto.seq
IF responde ao BC/ Prestador QR.RSP.ISPBLocal.ISPBRemoto.seq
IF reporta ao BC/ Prestador REP.ISPBLocal.ISPBRemoto.seq
IF envia mensagens de suporte ao BC/ Prestador QR.SUP.ISPBLocal.ISPBRemoto.seq
Filas locais (no BC/Prestador):
IF requisita ao BC/Prestador QL.REQ.ISPBRemoto.ISPBLocal.seq
IF responde ao BC/Prestador QL.RSP.ISPBRemoto.ISPBLocal.seq
IF reporta ao BC/Prestador QL.REP.ISPBRemoto.ISPBLocal.seq
IF envia mensagens de suporte ao BC/Prestador QL.SUP.ISPBRemoto.ISPBLocal.seq
Filas remotas (no BC/Prestador):
BC/Prestador requisita IF QR.REQ.ISPBLocal.ISPBRemoto.seq
BC/Prestador responde IF QR.RSP.ISPBLocal.ISPBRemoto.seq
BC/Prestador reporta IF QR.REP.ISPBLocal.ISPBRemoto.seq
BC/Prestador envia mensagens de suporte IF QR.SUP.ISPBLocal.ISPBRemoto.seq
Filas de Transmisso:
QM.ISPBRemoto.seq
Queue Manager Alias Name:
QM.ISPBLocal.seq

seq ser igual a 01 para o domnio SPB01;
seq ser igual a 02 para o domnio MES01;
seq ser igual a 03 para o domnio MES02;
seq ser igual a 04 para o domnio MES03; e
seq ser igual a 05 para o domnio SPB02.
Exemplo: no domnio MES01, a fila de requisio da instituio 99999999 no BACEN a

QL.REQ.99999999.00038166.02 e o queue manager da instituio 99999999 QM. 99999999.02.
Canais
Sender: CISPBLocal.ISPBRemoto.n
Receiver: CISPBRemoto.ISPBLocal.n
n ser igual a 1 para o domnio SPB01;

n ser igual a 2 para o domnio MES01;
n ser igual a 3 para o domnio MES02;
n ser igual a 4 para o domnio MES03; e
n ser igual a 5 para o domnio SPB02.
Exemplo: no domnio MES01, no queue manager da IF, temos o canal receptor (receiver) C000038166. 99999999.2
(trfego do BACEN IF 99999999) e o canal emissor (sender) C99999999.00038166.2 (trfego da IF ao BACEN).
Padro mandatrio de endereos de hostnames
Domnios SPB (SPB01 e SPB02):
Ambiente Produo SPB: mqs01.sub-domnio.rsfn.net.br
Ambiente Homologao SPB: mqs02.sub-domnio.rsfn.net.br
Ambiente PPRO (somente SPB01): mqs02.sub-domnio.rsfn.net.br
Domnios MES (MES01, MES02 e MES03):Ambiente Produo MES: mqm01.sub-domnio.rsfn.net.br
Ambiente Homologao MES: mqm02.sub-domnio.rsfn.net.br
Exemplo: o endereo do MQSeries do Banco Central para o ambiente de produo dos domnios MES o
mqm01.bcb.rsfn.net.br, e o endereo de homologao o mqm02.bcb.rsfn.net.br.
No domnio SPB01, o Banco Central utilizar a porta 1414 para o ambiente de produo. As instituies
utilizaro apenas as portas 1414 a 1421. O Banco Central utilizar a porta 1514 para o ambiente de
homologao e, as instituies, as portas 1514 a 1521. Para o ambiente PPRO, o Banco Central utilizar a porta
24430 e as instituies utilizaro as portas 24430 a 24437. O ambiente PPRO somente est configurado no
domnio SPB01.
O Banco Central no oferecer, aos participantes da RSFN, conexo para o domnio SPB02.
No domnio MES01, o Banco Central utilizar a porta 12422 para o ambiente de produo. As instituies
homologao e, para as instituies as portas 12522 a 12529.

Domnio Ambiente Porta

Produo Bacen 1414
Produo Instituio 1414 a 1421
Homologao Bacen 1514
SPB01 Homologao Instituio 1514 a 1521
PPro Bacen 24430
PPro Instituio 24430 a 24437
Produo Bacen No disponvel
SPB02 Produo Instituio 15422 a 15429
Homologao Bacen No disponvel
Homologao Instituio 15522 a 15529
Produo Bacen 12422
MES01 Homologao Bacen 12522
Produo Bacen 13422
Produo Bacen 14422
Tabela 5 Domnios, ambientes e portas
Observaes:
1) ISPBRemoto o ISPB ou o CNPJ base da instituio a qual pertence o queue manager remoto, com 8
dgitos;
2) ISPBLocal o ISPB ou o CNPJ base da instituio qual pertence o queue manager local, com 8
dgitos;
3) Sub-domnio a identificao DNS da instituio na RSFN;
4) Definir todos os objetos MQ usando letras MAISCULAS;
5) As filas de suporte so especficas para uso das equipes de suporte ao queue manager dos participantes
do sistema;
6) A diferenciao dos domnios MES baseia-se na porta TCP de conexo do MQSeries, alm do endereo na
RSFN;
7) Os canais emissores e receptores do BACEN no necessariamente ficaro conectados todo o tempo,

ocorrendo timeout e retorno do canal ao status de inatividade em caso de trfego inexistente por
determinado perodo de tempo. Para teste da conectividade, a IF deve enviar uma mensagem GEN0001.
Para se conectar RSFN, cada instituio dever definir um Queue Manager Alias Name da seguinte forma:
DEFINE QREMOTE (QM.ISPBLocal.seq)

DESCR('QUEUE MANAGER ALIAS NAME) RNAME (' )
RQMNAME ('nome real do queue manager da instituio')
XMITQ (' )
REPLACE

ATENO:
Para os aglomerados e conglomerados que concentram mais de uma instituio num

nico queue manager, o padro para o nome da fila de transmisso passa a ser
QM.ISPBLocal.ISPBRemoto.seq. Alm disso, para esses ambientes e para os que esto
conectados a eles (BC e Prestadores), h a incluso do conceito de ReplyToQ alias para permitir o
retorno dos reports solicitados. O uso do ReplyToQ alias permite que as aplicaes no precisem
colocar o nome do queue manager no campo ReplyToQMgr do header do MQ e retira da
aplicao a "deciso" sobre qual ReplyToQmgr apontar no MQMD para receber a resposta.
Para isso, a aplicao informa o alias no ReplyToQ e deixa o ReplyToQmgr em branco, e deve ser
definido o seguinte objeto no MQ para cada instituio qual se est conectado:
DEFINE QREMOTE (nome da reply-to-queue alias escolha da instituio)

DESCR('REPLYTOQUEUE ALIAS NAME)
RNAME (' nome da fila local de report ou QL.REP.ISPBRemoto.ISPBLocal.seq)
RQMNAME (QM.ISPBRemoto.seq ou QM.ISPBRemoto.ISPBLocal.seq)
XMITQ (' )
REPLACE
A deciso do nome do RQMNAME baseada no nome da fila de transmisso do queue manager remoto para o
queue manager local. Ou seja, no ambiente do conglomerado ou aglomerado o RQMNAME sempre
QM.ISPBRemoto.seq, e nos ambientes aos quais o conglomerado ou aglomerado est conectado,
QM.ISPBRemoto.ISPBLocal.seq.
HEADER DO MQSERIES (MQMD)
Alguns campos do header das mensagens que trafegam no MQSeries (MQMD) devero ser formatados de acordo
com o definido a seguir:
Report: ativar requisio dos reports do tipo COA (Confirm on Arrival), COD (Confirm on Delivery) e Report
Exception
MsgType: usar opo request para uma requisio, reply para resposta a uma requisio e report para um
report
Encoding: usar valor nativo da mquina onde est o MQ (opo native do MQ)
Persistence: usar opo Persistence
Format: usar opo NONE
CodedCharSetId: usar um dos listados abaixo:
37, 256, 273-275, 277-278, 280, 282, 284-285, 290, 297, 367, 420, 423-424, 437, 500, 813, 819, 833, 836, 838,
850-852, 855-858, 860-866, 869-871, 874-875, 880, 891, 895, 897,
903-905, 912, 915-916, 920, 923-924, 1004, 1009-1021,1023, 1025-1027, 1040-1043,
1046-1047, 1051, 1088-1089, 1097, 1100-1107, 1114-1115, 1126, 1140, 1148, 1250-1256, 1275, 5348

ReplyToQ: informar o nome da fila, ou o ReplyToQ alias definido no ambiente da instituio, que receber as
mensagens geradas automaticamente pelo Queue Manager, tais como COA, COD, Report Exceptions.
ReplyToQMgr: informar o queue manager alias name, de acordo com o definido anteriormente
(QM.ISPBLocal.seq) ou deixar em branco no caso de usar ReplyToQ alias.
ATRIBUTOS PARA OBJETOS DO MQSERIES
Atributos Comuns a Todas as Filas

ATRIBUTO DEFAULT CONSENSO
ClusterName na
ClusterNamelist na
DefBind na
DefPersistence NO YES
DefPriority 0 default
InhibitGet ENABLED default
InhibitPut ENABLED default
Qdesc livre
QName
QType
Scope QMGR livre
Tabela 6 - Atributos Comuns a Todas as Filas
Atributos de Filas Locais

ATRIBUTO DEFAULT
Archive livre
BackoutRequeueQName livre
BackoutThreshold livre
CreationDate livre
CreationTime livre
CurrentQDepth livre
DefinitionType TEMPDYN livre
DefInputOpenOption livre
DistLists NO livre
HardenGetBackout NO HARDENED
IndexType NONE livre
InitiationQName na
MaxMsgLength 4M 4M
MaxQDepth 5000 mximo
MsgDeliverySequence PRIORITY FIFO
OpenInputCount livre
OpenOutputCount livre
ProcessName livre
QDepthHighEvent DISABLED livre
QDepthHighLimit 80 (%) livre
QDepthLowEvent DISABLED livre
QDepthLowLimit 40(%) livre
QDepthMaxEvent ENABLED livre
QServiceInterval 999999999 livre
QServiceIntervalEvent NONE livre
RetentionInterval 999999999 livre
Shareability livre
StorageClass DEFAUT' livre
TriggerControl livre
TriggerData livre
TriggerDepth 1 livre
TriggerMsgPriority 0 livre
TriggerType FIRST livre
Usage NORMAL livre
Tabela 7 - Atributos de Filas Locais
Atributos de Filas Remotas

ATRIBUTO DEFAULT
RemoteQMgrName
RemoteQName
XmitQName
Tabela 8 - Atributos de Filas Remotas
Atributos de Alias Queues

ATRIBUTO DEFAULT
BaseQName
Tabela 9 - Atributos de Alias Queues
Atributos de NameLists
ATRIBUTO DEFAULT
AlterationDate livre
AlterationTime livre
NameCount livre
NamelistDesc livre
NamelistName livre
Names livre
Tabela 10 - Atributos de NameLists

Atributos de Processos
ATRIBUTO DEFAULT
AlterationDate livre
AlterationTime livre
ApplId livre
ApplType livre
EnvData livre
ProcessDesc livre
ProcessName livre
UserData livre
Tabela 11 - Atributos de Processos
Atributos de Queue Managers

ATRIBUTO DEFAULT
AuthorityEvent DISABLED livre
ChannelAutoDef DISABLED livre
ChannelAutoDefEvent DISABLED livre
ChannelAutoDefExit livre
ClusterWorkloadData na
ClusterWorkloadExit na
ClusterWorkloadLength na
CodedCharSetId livre
CommandInputQName livre
CommandLevel na
DeadLetterQName livre
DefXmitQName livre
DistLists livre
InhibitEvent DISABLED livre
LocalEvent DISABLED livre
MaxHandles 256 livre
MaxMsgLength 4 Mb 4Mb
MaxPriority 9 livre
MaxUncommittedMsgs 10000 livre
PerformanceEvent DISABLED livre
Platform livre
QmgrDesc livre
QmgrIdentifier livre
QmgrName padro
RemoteEvent DISABLED livre
RepositoryName livre
RepositoryNamelist livre
StartStopEvent ENABLED livre
SyncPoint AVAILABLE livre
TriggerInterval 999999999 livre
Tabela 12 - Atributos de Queue Managers

Atributos de Canais
ATRIBUTO DEFAULT
Auto start (AUTOSTART) DISABLED NA
Batch interval (BATCHINT) 0 default
Batch size (BATCHSZ) 50 default
Channel name (CHANNEL) padro
Channel type (CHLTYPE) padro
CICS profile name livre
Cluster (CLUSTER)
Cluster namelist (CLUSNL)
Connection name (CONNAME) DNS(PORTA)
Convert message (CONVERT) NO NO
Description (DESCR) padro
Disconnect interval (DISCINT) 6000 O
Heartbeat interval (HBINT) 300 default
Long retry count (LONGRTY) 999999999 livre
Long retry interval (LONGTMR) 1200 livre
LU 6.2 mode name (MODENAME) na
LU 6.2 transaction program name na
(TPNAME)
Maximum message length (MAXMSGL) 4Mb 4Mb
Maximum transmission size na
Message channel agent name (MCANAME) na
Message channel agent type (MCATYPE) PROCESS livre
Message channel agent user livre
ident(MCAUSER)
Message exit name (MSGEXIT) livre
Message exit user data (MSGDATA) livre
Message-retry exit name (MREXIT) livre
Message-retry exit user data (MRDATA) livre
Message retry count (MRRTY) 10 livre
Message retry interval (MRTMR) 1000 livre
Nonpersistent message speed FAST na
(NPMSPEED)
Network-connection priority (NETPRTY) na
Password (PASSWORD) na
PUT authority (PUTAUT) DEFAULT
Queue manager name (QMNAME) padro
Receive exit name (RCVEXIT) livre
Receive exit user data (RCVDATA) livre
Security exit name (SCYEXIT) livre
Security exit user data (SCYDATA) livre
Send exit name (SENDEXIT) livre
Send exit user data (SENDDATA) livre
Sequence number wrap (SEQWRAP) 999.999.999 99.999.999
Sequential delivery livre
Short retry count (SHORTRTY) 10 default
Short retry interval (SHORTTMR) 60 default
Target system identifier livre
Transmission queue name (XMITQ) padro
Transport type (TRPTYPE) TCP
Tabela 13 - Atributos de Canais

CONFIGURAO DO SERVIDOR MQ - OPO ADOPTNEWMCA
Foi detectada uma limitao na configurao do MQSeries que, na ocorrncia de falhas de comunicao, pode
levar, eventualmente, a uma perda de conectividade entre servidores MQ, que s pode ser solucionada mediante
comando STOP FORCE da conexo ou reinicializao do gerenciador de canais.
Para evitar tal falha, o suporte do fabricante do produto (IBM) recomendou a configurao de alguns
parmetros no MQ, com a utilizao de atributos, que, por "default", no esto ativados.
Desta forma, considerando-se que tal alterao acarretar melhora na disponibilidade do servio, dever ser
ativada, obrigatoriamente, a opo ADOPTNEWMCA.
Seguem, abaixo, exemplos com os parmetros a serem alterados no software, para os sistemas operacionais mais
utilizados.
Esclarecemos que eventuais dvidas acerca dos procedimentos envolvidos na alterao devero ser sanadas
diretamente junto ao suporte do fabricante do produto.
Ativao da opo ADOPTNEWMCA do MQSeries no ambiente Windows:
1. No servidor MQseries, abrir MQseries Services;

2. Clicar com o boto direito do mouse sobre o Qmgr a ser modificado;
3. Selecionar Properties;
4. Selecionar a pasta Channels;
5. Marcar a opo ALL do parmetro AdoptNewMCA;
6. Marcar a opo ALL do parmetro AdoptNewMCACheck
7. Manter o tempo default dessa opo (60 segundos).
Ativao da opo ADOPTNEWMCA do MQSeries no ambiente Unix:
Incluir as linhas abaixo no arquivo de configurao do queue manager (qm.ini):
CHANNELS:
AdoptNewMCACheck=ALL
AdoptNewMCATimeout=60
AdoptNewMCA=ALL
Ativao da opo ADOPTNEWMCA do MQSeries no ambiente z/OS:
Incluir os parmetros abaixo na macro CSQ6CHIP do mdulo de parmetros do channel-initiator:
ADOPTCHK=ALL
ADOPTMCA=YES
Observao: no MQSeries for OS/390 V2R1, esses parmetros so adicionados via PTF que deve ser
solicitada ao fabricante.

CONFIGURAO DO MQ - BANCO CENTRAL
Para que o Banco Central saiba referenciar corretamente os objetos MQ, o hostname e porta utilizados pela IF na RSFN,
necessrio por parte da IF o preenchimento de cadastro conforme procedimento descrito a seguir.
Procedimento relativo configurao do MQSeries no Banco Central:

1. Solicitar ao master Sisbacen de sua instituio a autorizao para a transao associada ao domnio, a saber:
a) Domnio MES01: SMES400
b) Domnio MES02: SMES402
c) Domnio MES03: SMES403
d) Domnio SPB01: SMES401
2. Acessar o site: https://www9.bcb.gov.br/mensageria/mqconfig (Homologao) ou
https://www3.bcb.gov.br/mensageria/mqconfig (Produo)
3. Escolher o domnio;
4. Definir os objetos MQ equivalentes na sua instituio, de acordo com os padres estabelecidos neste manual;
5. Clicar em Salvar informaes;
Observaes:
No caso do domnio SPB01, dada a possibilidade de criao de objetos perante o SELIC.

GERNCIA DE SEGUNDA NVEL DA RSFN
Diretrizes bsicas
A gerncia de segundo nvel da Rede do Sistema Financeiro Nacional tem como finalidades principais:
a) administrao e controle de todo o trfego de mensagens, arquivos e demais servios autorizados pelo Banco
Central;
b) controle centralizado dos servios prestados pelas operadoras; e
c) assessoramento Coordenao do Subgrupo de Redes nas questes relacionadas ao funcionamento da RSFN.
Este servio ser prestado por empresa contratada para este fim pelos signatrios do Instrumento de Acordo
Operacional", firmado com as provedoras de telecomunicaes da RSFN, que dever ter a concordncia do Banco
Central.
Cabe prestadora de servios:
a) cumprir os procedimentos descritos no Manual Operacional de Gerncia de Segundo Nvel;

b) seguir as diretrizes estabelecidas pelo Banco Central;
c) preparao de relatrios especficos sobre a RSFN solicitados pela Coordenao do Subgrupo de Redes; e
encaminhamento de relatrios gerenciais peridicos Coordenao do Subgrupo de Redes sobre a
utilizao da RSFN.
Tambm fazem parte dos servios de gerenciamento de Segundo Nvel as atividades abaixo relacionadas:
acompanhar as atividades de configurao e falhas da RSFN, com funes de planejamento, monitorao,

execuo e documentao;
garantir a manuteno e atualizao da arquitetura da RSFN, seus critrios de configurao e o
cumprimento dos acordos de nveis de servios estabelecidos nos contratos entre os participantes e as
provedoras;
acompanhar o desempenho da rede at o n de entrada dos participantes da RSFN;
acompanhar e auditar o funcionamento da RSFN e o cumprimento dos nveis de atendimento dos
provedores;
acompanhar e auditar todo o trfego dos participantes, comunicando ao Banco Central eventuais desvios
na utilizao da RSFN;
auxiliar na soluo de chamados dos participantes no atendidos pelas operadoras;
pesquisar e propor melhorias para a RSFN, tanto referentes ao desempenho e estabilidade , quanto
implementao de novos servios e de eventuais produtos que possam ser agregados;
planejar a implantao de novos servios.
As atividades desempenhadas pela Gerncia de Segundo Nvel sero executadas no perodo das 7 s 22 horas, de
segunda-feira sexta-feira, exceto quando no houver movimentao no Sistema de Transferncia de Reservas do
Banco Central.
Todos os participantes da Rede do Sistema Financeiro Nacional - RSFN devem assinar o termo de adeso do
Contrato de Prestao de Servios de Gerncia de Segundo Nvel.
A equipe da gerncia de segundo nvel estar tecnicamente ligada Coordenao do Subgrupo de Redes, a quem
devem ser encaminhados todos os pedidos de relatrios e informaes referentes RSFN.

REQUISITOS PARA O MODELO OPERACIONAL DE PSTI
Tendo como objetivo manter o mesmo nvel de controle e eficincia dos sistemas de pagamento que utilizam a
RSFN, alguns requisitos devem ser atendidos por cada um dos envolvidos na operao e manuteno do sistema
quando utilizado o modelo operacional de Prestador de Servio de Tecnologia da Informao PSTI, em
complemento ao definido na CIRCULAR N 3.629, DE 19 DE FEVEREIRO DE 2013:
Obrigaes das Instituies Financeiras quando operam no modelo de PSTI:
Solicitao de subdomnio DNS para a RSFN: Esta solicitao servir aos operadores do suporte RSFN
como controle das instituies usurias do PSTI;
Solicitao de configurao do subdomnio da RSFN nos root-servers do Banco Central do Brasil: Devem
ser indicados na solicitao os servidores DNS do provedor como autoritativos para o subdomnio;
Prestar informaes ao DEINF quando solicitado.
Obrigaes dos PSTIs:
Configurao dos canais MQS no Banco Central do Brasil utilizando o subdomnio especfico da
instituio, e no o subdomnio do PSTI;
Fornecer mensalmente para a Gerncia de Segundo Nvel da RSFN, relao com todas as instituies
interligadas ao provedor, com detalhamento quanto: instituies ativas, instituies autorizadas e em
ativao e/ou em homologao, alm das que cancelaram seus contratos com o provedor no perodo. O
documento dever conter obrigatoriamente: nome da instituio, informaes como o ISPB, subdomnio
da RSFN e informaes de contato tcnico, bem como outros dados que podero ser acrescidos em um
segundo momento;
Fornecer telefone de contato tcnico do provedor PSTI, tanto para seus clientes quanto para a Gerncia de
Segundo Nvel, para o suporte s aplicaes do SPB. Esse suporte deve estar capacitado para verificar a
conectividade dos canais do STR em ambos os sentidos, bem como para as demais ferramentas fornecidas
aos seus clientes como parte do servio prestado;
Fornecer caderno de homologao e testes para o servio prestado aos clientes. Os testes devem incluir a
soluo completa de mensageria desde o cliente at o Banco Central do Brasil;
Fornecer ao Banco Central do Brasil e Gerncia Integrada de 2 Nvel da RSFN o modelo adotado de
segurana na comunicao entre o cliente e o provedor PSTI;
Caso o PSTI utilize rede dedicada homologada pelo Banco Central do Brasil:
a. Possuir centro de gerenciamento de rede que realize atividades compatveis com as realizadas
pela Gerncia de Segundo Nvel, tanto quanto avaliao do desempenho de rede, quanto na
resoluo de problemas complexos que necessitem da articulao entre diversos envolvidos,
como operadora de telecomunicao, operadora de ltima milha e clientes;
b. Fornecer Gerncia de Segundo Nvel documento com plano de testes de aceitao de canais a
serem realizados nos acessos rede dedicada no momento da ativao. Os procedimentos
apresentados neste documento devem substituir os atualmente executados para os acessos
ativados na RSFN;
Utilizao de rede dedicada homologada pelo Banco Central do Brasil:
Somente por meio da RSFN ou de rede dedicada homologada pelo Banco Central do Brasil permitida a
troca de informaes entre o PSTI e as instituies detentoras de conta Reservas Bancrias que dele se
utilizam e entre o PSTI e os demais participantes do STR;
A troca de informaes entre o PSTI e os demais participantes do STR deve ocorrer por meio da RSFN;

Gerncia Integrada de Segundo Nvel:
Controle das instituies usurias do servio do PSTI atravs das configuraes do servio de DNS, e de
relatrio mensal fornecido pelo provedor;
Suporte ao cliente do PSTI indiretamente, na verificao de problemas relacionados aos acessos do
provedor RSFN, como ponto de contato para o suporte prprio PSTI e/ou Provedor da rede
homologada;
Gerenciamento do desempenho de rede apenas para o PSTI, por no ser possvel identificar comunicaes
individuais dentro do trfego nos circuitos do PSTI na RSFN;
Suporte ao Banco Central do Brasil para a verificao de falhas de conectividade de canal do STR at os
servidores do PSTI;
Realizao de auditoria in-loco para verificao da infra-estrutura do PSTI e da infra-estrutura de acesso
da operadora.
Infra-RSFN:
Alocao de subdomnio da RSFN para a instituio solicitante;

Encaminhamento de solicitaes de configurao e suporte aos servios de DNS Gerncia de Segundo
Nvel da RSFN.

QUALIDADE DE SERVIO NA RSFN
Configurao atual de Qualidade de Servio na RSFN
A funcionalidade Qualidade de Servio (QoS) na RSFN atribui parmetros e largura de banda para diferenciar os
servios e garantir a performance da rede. Trs classes de servio foram definidas: INFRA-ESTRUTURA, SPB-
MENSAGERIA e DEFAULT.
A classe de SPB-MENSAGERIA, com 65% da banda total de cada link podendo, por determinao do Banco
Central do Brasil, atingir at 95%, a classe misso crtica para a RSFN. Deve ter os seguintes parmetros:
a) tempo de resposta (one-way trip time) entre as portas de acesso dos CPEs de duas entidades quaisquer,
apurado mensalmente com 4 medidas a cada hora entre 7 e 21 horas a cada dia (com largura de banda
otimizada, sem congestionamento): inferior a 120 ms a cada mdia horria;
b) taxa mdia diria de perda de pacotes (round-trip) no backbone, apurado mensalmente: inferior a 1% ao
dia.
A classe de INFRA-ESTRUTURA, com 5% da banda total de cada link prov uma banda mnima para o trfego de
roteamento e divulgao de rotas BGP e outras aplicaes de controle de rede, como gerenciamento SNMP,
sincronismo de relgio atravs do protocolo NTP, informaes de domnio DNS e acessos telnet. Essa garantia de
banda necessria porque o trfego desses protocolos no beneficiado pelo mecanismo interno de
PAK_PRIORITY dos roteadores da Cisco.
A classe DEFAULT usada para a transferncia de arquivos atravs de FTP e demais servios expressamente
autorizados pelo Banco Central do Brasil que venham a utilizar a RSFN. Essa classe a tpica classe Best Effort, na
qual no h garantia de banda mnima.
As marcaes de pacotes devero ser feitas de acordo com as recomendaes do fabricante dos equipamentos
utilizados pela rede. A atribuio de classes de servio usando portas e access list na configurao de QoS no foi
implantada no InterAs em funo de limitaes tcnicas da rede existentes na poca da implantao do QoS e por
conta da baixa utilizao desses links.
Os dois provedores de telecomunicaes da RSFN adotaro o padro de classe de servio definido abaixo:

Classe de Servio Largura de banda Lista Servio/ Porta (in/out) Aplicao
102 Telnet/TCP
102 BGP/TCP
INFRA- 102 NTP/UDP Telnet/TCP
5%
ESTRUTURA 102 DOMAIN/UDP Infra-estrutura
102 SNMP/UDP
102 Tacacs/TCP
65% BC: 1414 Mensageria
SPB-MENSAGERIA IF/Prestador: 1414 a 1421 SPB
101 /TCP (SPB01)
30% FTP/TCP e UDP FTP
BC: 12422 Mensageria

IF/Prestador: 12422 a 12429 Sisbacen
/TCP (MES01)
DEFAULT IF/Prestador: 13422 a 13429 Sisbacen
/TCP (MES02)
IF/Prestador: 14422 a 14429 Sisbacen
/TCP (MES03)
Mensageria
IF/Prestador: 15422 a 15429 SPB
/TCP (SPB02)
Tabela 14 Atual configurao de Qualidade de Servio na RSFN
Nova configurao de Qualidade de Servio na RSFN
O Subgrupo de Redes decidiu, em reunio ocorrida no dia 30 de outubro de 2013, que a configurao atual de QoS
ser alterada para tratar adequadamente os novos servios que trafegam na RSFN. O projeto de migrao para a
nova configurao de QoS encontra-se em andamento.

ANEXO I CONFIGURAO DE DNS (DOMAIN NAME SYSTEM)
INTRODUO
A RSFN (Rede do Sistema Financeiro Nacional) permitir a comunicao direta entre o Banco Central do Brasil e
as instituies autorizadas nos termos dos artigos 1 e 28 do regulamento anexo Circular n 3.629, de 19 de
fevereiro de 2013.
Baseada no protocolo TCP/IP, esta rede foi implantada considerando a utilizao de ferramentas/conceitos de
Intranet (aplicaes cliente-servidor com interface Web e correio eletrnico, por exemplo). Estas caractersticas
tornam a utilizao do DNS obrigatria.
Por ser tratar de um projeto lgico (no amarrado a caractersticas fsicas da rede), o projeto de Arquitetura de DNS
atende tanto a topologia inicial do Backbone da RSFN, conforme os itens listados a seguir, bem como poder ser
facilmente escalado para atender novas Entidades que se conectaro a rede posteriormente.
O Comit Gestor da Internet no Brasil reservou um prefixo 0/18 para a RSFN;
foram registrados na Internet domnios de nvel superior e domnio reverso, de modo a permitir a futura integrao
da RSFN com a Internet;
2 provedores de servios de telecomunicaes (Primesys e o consrcio formado pelas empresas EMBRATEL e

RTM, denominado EBT/RTM, os quais fornecem servios de VPN/MPLS para garantir a privacidade dos dados
que trafegam nesta rede).
Este Anexo, tem por objetivo apresentar a Arquitetura de DNS recomendada para a RSFN. Os seguintes itens so
cobertos:
apresentao da arquitetura de DNS da RSFN;
apresentao do modelo de configurao do servio de DNS nesta rede;
sugesto de regras para nomeao de domnios, sub-domnios e hosts desta rede, alm da metodologia para
registros dos mesmos;
sugesto de padro de nomes para usurios dos servios de correio eletrnico via SMTP;
procedimentos para integrao dos servios de DNS necessrios para atender a Intranet de cada Entidade,
sua conexo com a Internet e sua conexo com a RSFN.
Ao final deste, so apresentados conceitos tcnicos do DNS, os quais sero teis para o completo entendimento
deste projeto, alm dos passos que devero ser seguidos para se configurar o DNS em servidores Windows com a
aplicao de DNS da Microsoft, uma vez que o corpo do relatrio ter como base a configurao do DNS em
servidores Unix e utilizao da aplicao Bind.

PREMISSAS BSICAS
Premissas bsicas contempladas na elaborao do Projeto de Arquitetura de DNS da RSFN:
domnios de DNS registrados junto Fapesp ou qualquer outro rgo internacional, para acesso
Internet:
o sero considerados os seguintes domnios diretos: rsfn.net.br e seguinte domnio reverso:
64.218.200.in-addr.arpa;
o cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as
regras de unicidade do mesmo. Recomenda-se a adoo de um nome j utilizado e registrado na
conexo Internet. Ser definido um rgo responsvel pela administrao dos registros e
nomeao dos sub-domnios;
servidores de DNS (primrios e secundrios) responsveis pelos domnios anteriores:

o cada uma das concessionrias dos servios de telecomunicaes (Primesys e EBT/RTM) ter
trs segmentos de rede (sendo um em So Paulo, um no Rio de Janeiro e um em Braslia) que
faro parte da VPN da RSFN. Estes segmentos abrigaro os servidores de DNS configurados
como internal root servers para os domnios anteriores. Cada concessionria providenciar um
servidor internal root server para cada segmento. Estes servidores apontaro os servidores de
DNS para cada um dos sub-domnios da rede;
sub-domnios da rede RSFN. Para facilitar a administrao da rede, foi criado um sub-domnio direto e
um sub-domnio reverso para cada Entidade Participante conectada rede. Cada Entidade ficar
responsvel por administrar seus respectivos sub-domnios. Exemplos dos sub-domnios:
o Primesys att.rsfn.net.br
o EBT/RTMebtrtm.rsfn.net.br
terceirizao da administrao dos sub-domnios de DNS:

o As Entidades ligadas RSFN podero terceirizar com as concessionrias a administrao do
servio de DNS. Neste caso, as concessionrias utilizaro servidores de DNS autoritativos,
servidores estes tambm localizados nos segmentos de rede que faro parte da VPN da RSFN, e
que obrigatoriamente estaro em mquinas diferentes dos servidores de DNS configurados como
internal root servers. Os servidores autoritativos sero configurados com informaes
especficas do domnio da entidade que solicitar este servio;
tipo de servidores que abrigaro os servios de DNS:

o embora no seja obrigatria sua utilizao, recomendada a adoo de servidores de DNS
baseados em sistema operacional Unix e uso da aplicao Bind 8.x ou 9.x. Todas as
configuraes utilizaro este padro como modelo.
interligao com a Internet:

o foi registrado o domnio de nvel superior (direto e reverso) na Internet;
interligao com as redes internas das Entidades:

o Provavelmente, Entidades que fazem (ou faro) parte da RSFN, utilizaro o DNS. Tais
servidores resolvem nomes das Intranets destas empresas e da Internet. Como alternativa, para
conexo rede RSFN, podem ser aproveitados os mesmos servidores utilizados atualmente,
tornando-os autoritativos para seus respectivos domnios (sub-domnio.rsfn.net.br) e
configurando-os para apontarem para os servidores de root da Internet ou para os servidores
internos de root da RSFN conforme necessrio. A Entidade pode optar tambm pela utilizao
de servidores de DNS especficos para a rede RSFN;
tipo de servidores que abrigaro os servios de DNS nas Intranets das empresas:
o devem ser mantidos os mesmos servidores de DNS utilizados atualmente;

padres de nomes de hosts (servidores, roteadores, hubs, switches, etc.) utilizados na RSFN:
o foi sugerida uma regra de formao de nomes de hosts utilizados na RSFN;
os nomes dos servidores MQ devero obedecer o seguinte padro:

o SPB01: mqsNN.sub-domnio.rsfn.net.br, onde NN varia de 01 a 02. Este padro utilizado para
todos os servidores MQ, sendo o 01 destinado ao servidor de produo e o 02 ao servidor de
homologao e ao servidor PPRO;
o MES01, MES02 e MES03: mqmNN.sub-domnio.rsfn.net.br, onde NN varia de 01 a 02. Este
padro utilizado para todos os servidores MQ, sendo o 01 destinado ao servidor de produo e
o 02 ao servidor de homologao.
DNS NA RSFN
O DNS (Domain Name System) um banco de dados distribudo que contm informaes sobre os hosts de uma
rede TCP/IP, permitindo a utilizao de nomes ao invs de endereos IP, quer seja pelos usurios da rede quer seja
pelas aplicaes residentes nos diversos hosts desta rede (Recomenda-se a leitura do Anexo I para mais
informaes sobre o DNS).
Como qualquer outra aplicao TCP/IP, o DNS mais uma aplicao que utiliza a arquitetura cliente-servidor.
Nesta arquitetura, a parte cliente (resolver) faz requisies especficas (queries de DNS) para a parte servidora
(name server) quando necessita resolver nomes atravs do DNS.
DNS X BIND
Freqentemente, ocorre uma grande confuso entre o que vem a ser o DNS (Domain Name System) e o que vem a
ser o BIND (Berkeley Internet Name Domain).
A primeira implementao do DNS foi chamada Jeeves, e foi escrita por Paul Mockapetris. Uma implementao
posterior foi chamada de BIND, e foi escrita por Kevin Dunlap para o sistema operacional UNIX 4.3BSD de
Berkeley.
Desde ento, o BIND a verso mais popular e a mais completa implementao de DNS, encontrando-se portada
para a maioria dos sistemas operacionais existentes (Unix, VMS, NT, Windows 2000). Mesmo implementaes
proprietrias de DNS fazem referncia verso do BIND qual so compatveis.
Atualmente o BIND apresenta trs linhas de verses:
BIND 4.x
BIND 8.x
BIND 9.x
A linha 4.x utiliza arquivos de configurao de DNS com formatos diferentes das demais linhas. At a verso
4.8.3, o grupo Computer Systems Research Group da universidade de Berkeley na Califrnia era responsvel pela
manuteno do BIND. As verses 4.9 e 4.9.1 foram liberadas pela Digital Equipment Corporation. A verso 4.9.2
foi patrocinada por Vixie Enterprises, e a partir da verso 4.9.3, a responsabilidade de manuteno e
desenvolvimento do BIND passou a ser do Internet Software Consortium (ISC).
Em Maio de 1997, o ISC liberou a primeira verso do BIND-8. O desenvolvimento da verso BIND-4 foi
completamente interrompido, com exceo da liberao de alguns patches para assuntos relacionados segurana.
A partir de agora, nenhuma nova funo dever ser adicionada ao BIND-4. Portanto, natural que as novas
implementaes passem a utilizar pelo menos o BIND-8.
As principais caractersticas existentes nas verses do BIND 8 e 9 so:

o suporte a atualizaes dinmicas de DNS - DNS Dynamic Updates, descrita na RFC 2136;
o permite que os servidores primrios notifiquem os secundrios das mudanas ocorridas, de forma a
diminuir o tempo de convergncia da rede - DNS Notify, descrita na RFC 1996;
o o arquivo de carga do servio de DNS utiliza sintaxe diferente da adotada no Bind 4;
o permite o registro (logging) de certas atividades relacionadas ao DNS;
o permite o controle de acesso baseado no endereo IP ACL Access Control List para queries, zone
transfers e updates; tal controle pode inclusive ser definido para uma zona especfica;
o possui mecanismo de suporte a transferncia incremental de zona;
o suporta at 16 milhes de zonas por servidor.
As principais diferenas existentes entre as linhas do BIND 9.x e BIND 8.x so apresentadas a seguir:
o suporte a banco de dados para maior flexibilidade na gerncia e manuteno das informaes de nomes;
o suporte a mecanismos de segurana para transferncia e requisies seguras mais abrangentes;
o suporte e melhor aproveitamento de ambientes multiprocessados;
o suporte a mecanismos de auditoria e controle;
o suporte a caractersticas especficas do IPV6.
Aplicaes de DNS recomendadas
O projeto de DNS da RSFN recomenda como base para este servio a utilizao da linha BIND 8.x, em virtude
dos seguintes motivos:
o a linha BIND 8.x a linha mais utilizada atualmente em grandes redes que utilizam o TCP/IP como
protocolo de comunicao. Desta forma natural que esta seja a aplicao de DNS mais estvel e
adequada para uso nestas redes;
o a rede da RSFN utilizar vrios servidores de DNS em ambientes Microsoft (Windows NT 4.0 e
Windows 2000), dificultando a padronizao dos servios em torno da linha Bind 9;
o o formato de configurao dos arquivos de DNS na linha BIND 9.x idntico ao utilizado na linha BIND
8.x, o que permite a migrao sem qualquer alterao significativa no projeto.
DNS em Servidores Unix
O BIND 8.2.3 a aplicao de DNS recomendada para todos os servidores Unix da RSFN que ofertaro o servio
de resoluo de nomes DNS. As plataformas Unix normalmente j incluem uma verso do BIND em seu conjunto
de aplicaes TCP/IP. No entanto, a verso desta aplicao depende do momento de aquisio da mquina.
Para utilizar a verso mais recente do BIND, os arquivos necessrios podero ser encontrados no site www.isc.org,
via Web ou no site ftp.isc.org/isc/bind, comprimidos (gz) e em formato tar. Eles devero ser descomprimidos,
extrados do formato tar e compilados seguindo as orientaes contidas no pacote.
A atualizao da verso do BIND poder ser feita sempre que necessrio utilizando os sites referenciados acima. O
ISC vem cada vez mais facilitando o processo de atualizao das verses do BIND, atualizaes estas cada vez
mais motivadas por acrscimos de funes de segurana no aplicativo.
DNS em Servidores Windows
A Microsoft disponibiliza junto com o pacote Windows 2000 uma verso proprietria e similar linha BIND 8.x.
e junto com o pacote Windows NT 4.0 uma verso proprietria e similar linha BIND 4.x.
A principal caracterstica das aplicaes de DNS providas pela Microsoft, para uso em servidores Windows 2000 e
Windows NT 4.0, a utilizao de uma interface grfica que tem por objetivo facilitar a administrao da base de
dados do DNS. A Microsoft entende tambm que redes que necessitem de resoluo de nomes TCP/IP via DNS e
nomes NetBIOS via WINS, podem ter ganhos se utilizar sua aplicao de DNS. Como a rede RSFN no utilizar o
protocolo NetBIOS, a vantagem pela utilizao do DNS da Microsoft restringe-se ao uso de interfaces grficas
para a administrao dos servios.
Desta forma, para unificar a soluo recomenda-se a adoo da aplicao BIND 8.2.3 tambm para os servidores
Windows 2000 e Windows NT 4.0. Estas aplicaes tambm podem ser obtidas no site do ISC. As aplicaes de
DNS proprietrias da Microsoft devem ser consideradas como segunda opo, embora tenham funcionado
corretamente no piloto da rede.

ARQUITETURA DE DNS DA RSFN
Domnios Superiores da RSFN
O primeiro ponto a ser definido em uma arquitetura de DNS so os domnios de nvel superior da rede. No caso
especfico da RSFN, estes domnios foram definidos contemplando a integrao total desta rede com a Internet.
Alm de definir os nomes dos domnios superiores, fundamental a definio da Entidade responsvel por sua
administrao e os servidores de DNS que so utilizados para armazenar as informaes relativas a cada domnio.
Na rede da RSFN, a administrao dos domnios superiores ser realizada pelo BACEN. Para prover
balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados nos
segmentos de redes das concessionrias.
A Tabela 1 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus
respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal
Root Servers IRS). A partir destes domnios sero delegados os respectivos direitos para cada sub-domnio desta
rede.
Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os mesmos tero que ser
registrados nos servidores internos de root desta rede.
Domnio Administrao do Domnio Servidores de Nomes

rsfn.net.br Bacen Servidor Primrio ns1.bcb.rsfn.net.br
Bacen Servidor Secundrio ns2.bcb.rsfn.net.br
Bacen Servidor Secundrio irs1.att.rsfn.net.br
Bacen Servidor Secundrio irs1.ebtrtm.rsfn.net.br
Tabela 1 - Domnios de Nveis Superiores da RSFN

Sub-Domnios da RSFN
Os sub-domnios foram criados para identificar cada uma das Entidades Participantes da VPN da RSFN. Cada
Entidade responsvel por administrar seus respectivos sub-domnios.
Cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as regras de unicidade
do mesmo. Recomenda-se adoo de um nome j utilizado e registrado na conexo Internet.
A Tabela 2 apresenta exemplos de nomes de sub-domnios desta rede.
rsfn.net.Br rsfn.net.br
Nome Completo Nome Abreviado
Banco Central do Brasil bcb.rsfn.net.br
Bolsa de Valores & Futuros bmf.rsfn.net.br
Companhia Brasileira de Liquidao e Custdia cblc.rsfn.net.br
Cmara de Custdia e Liquidao cetip.rsfn.net.br
Sistema Especial de Liquidao e Custdia selic.rsfn.net.br
Bank Boston bkb.rsfn.net.br
Banco Merrill Lynch ml.rsfn.net.br
Banco Sudameris sudameris.rsfn.net.br
Deutsche Bank db.rsfn.net.br
Telmex att.rsfn.net.br
Embratel ebtrtm.rsfn.net.br
Tabela 2 - Sub-Domnios da RSFN
Delegando Direitos Para os Sub-Domnios
O servidor primrio da zona rsfn.net.br quem tem o direito de criar e delegar direitos para seus sub-domnios.
Esta delegao ocorre atravs da configurao de registros do tipo NS (Name Servers), atrelados a registros do tipo
A (Address) para cada um dos sub-domnios criados (glue records).
A seguir segue um trecho para exemplificar a configurao para delegao de direitos para os sub-domnios de
rsfn.net.br, os quais devero estar totalmente compatveis com a tabela de endereos IP fornecida para cada
Entidade.
@ IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.gov.br. (

2001081401 ; Nmero de Srie
28800 ; refresh
3600 ; retry
604800 ; expire
86400 ; default_ttl
)
;
; Servidores de nomes deste domnio
;
IN NS ns1.bcb.rsfn.net.br.
IN NS irs1.att.rsfn.net.br.
IN NS irs1.ebtrtm.rsfn.net.br.
;
; Delegao de Direitos para Clerings/Bacen (4 linhas p/ cada sub-domnio)

;
bcb.rsfn.net.br. IN NS ns1.bcb.rsfn.net.br.
bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br.
ns1.bacenbsa.rsfn.net.br. IN A 200.218.66.6
ns2.bacenbsa.rsfn.net.br. IN A 200.218.66.7
selic.rsfn.net.br. IN NS ns1.selic.rsfn.net.br.
selic.rsfn.net.br. IN NS ns2.selic.rsfn.net.br.
ns1.selic.rsfn.net.br. IN A 200.218.66.38
ns2.selic.rsfn.net.br. IN A 200.218.66.39
clearing1.rsfn.net.br. IN NS ns1.clearing1.rsfn.net.br.
clearing1.rsfn.net.br. IN NS ns2.clearing1.rsfn.net.br.
ns1.clearing1.rsfn.net.br. IN A 200.218.66.70
ns2.clearing1.rsfn.net.br. IN A 200.218.66.71
;
; Delegao de Direitos para IFs (4 linhas p/ cada sub-domnio)
;
if1.rsfn.net.br. IN NS ns1.if1.rsfn.net.br.
if1.rsfn.net.br. IN NS ns2.if1.rsfn.net.br.
ns1.if1.rsfn.net.br. IN A 200.218.80.6
ns2.if1.rsfn.net.br. IN A 200.218.80.7
;
; Delegao de Direitos para SPs (6 linhas p/ cada sub-domnio)
;
att.rsfn.net.br. IN NS irs1.att.rsfn.net.br.
irs1.att.rsfn.net.br. IN A 200.218.64.6
ebtrtm.rsfn.net.br. IN NS irs1.ebtrtm.rsfn.net.br.
irs1.ebtrtm.rsfn.net.br. IN A 200.218.64.134
Incluindo ou Excluindo Domnios ou Sub-Domnios
A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios de DNS em sua rede, desde que
respeite as regras definidas neste manual:
o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona;
o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como
no SNS;
o registrar os domnios e seus respectivos servidores nos rgos competentes;
o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes
realizadas.
Domnios Reversos da RSFN
Alm dos domnios e sub-domnios diretos descritos anteriormente, a RSFN possui domnios reversos para
permitir a resoluo de nomes de hosts de DNS a partir de um dado endereo IP. Esta tcnica de resoluo tem
sido largamente utilizada tanto para permitir funes de gerenciamento de rede como para controlar o acesso a
aplicaes especficas da rede.

Definidos de maneira anloga a utilizada para os domnios reversos, os domnios diretos tambm apresentam sub-
domnios para cada Entidade Participante da rede e tambm foi contemplada a integrao total desta rede com a
Internet. Portanto, tais domnios possuem os mesmos nomes de domnios que so utilizados e registrados na rede
mundial, formados a partir do bloco CIDR reservado para esta rede: 200.218.64.0/18.
Na rede da RSFN, a administrao dos domnios reversos superiores ser tambm realizada pelo BACEN. Para
prover balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados
nos segmentos de redes das concessionrias.
A Tabela 3 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus
respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal
Root Servers IRS). A partir destes domnios foram delegados os respectivos direitos para cada sub-domnio
reverso desta rede. Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os
mesmos tero que ser registrados nos servidores internos de root desta rede.
Domnio Administrao do Domnio Servidores de Nomes

64.218.200.in-addr.arpa Bacen Servidor Primrio ns1.bcb.rsfn.net.br
. Bacen Servidor Primrio ns1.bcb.rsfn.net.br
. Bacen Servidor Secundrio ns2.bcb.rsfn.net.br
. Bacen Servidor Secundrio irs1.att.rsfn.net.br
Tabela 3 - Domnios Superiores Reversos da RSFN
Sub-Domnios Reversos da RSFN
Os sub-domnios reversos da RSFN refletem exatamente as faixas de endereos IP definidas para cada Entidade
Participante desta rede. Estes sub-domnios foram criados para identificar cada uma das Entidades Participantes da
VPN da RSFN.
Cada Entidade responsvel por administrar seus respectivos sub-domnios. O nome do sub-domnio derivado
da faixa de endereos IP reservada para cada Entidade.
A Tabela 4 apresenta exemplos de nomes:

Entidade Exemplo de Nomes de Domnios Reversos da RSFN
Bacen BSA 0-31.66.218.200.in-addr.arpa
Bacen RJO (Selic) 32-63.66.218.200.in-addr.arpa
Clearing1 64-95.66.218.200.in-addr.arpa
IF1 0-15.80.218.200.in-addr.arpa
IF2 16-31.80.218.200.in-addr.arpa
IF3 32-47.80.218.200.in-addr.arpa
IF4 48-63.80.218.200.in-addr.arpa
IF5 64-79.80.218.200.in-addr.arpa
Primesys 0-127.64.218.200.in-addr.arpa
EBT/RTM 128-255.64.218.200.in-addr.arpa
Tabela 4 - Exemplo de Sub-Domnios Reversos da RSFN
Delegando Direitos Para os Sub-Domnios Reversos
O servidor primrio das zonas 64.218.200.in-addr.arpa at 95.218.200.in-addr.arpa quem tem o direito de

criar e delegar direitos para seus sub-domnios. Esta delegao ocorre atravs da configurao de registros do tipo
NS (Name Servers), atrelados a registros do tipo A (Address) para cada um dos sub-domnios criados.
Adicionalmente, como so utilizadas zonas com endereos quebrados (14 ou 30 endereos vlidos), os
responsveis por cada zona de endereamento reverso tem que criar um registro CNAME para cada endereo
disponvel de cada Entidade Participante da rede.
A seguir apresentado o exemplo da configurao para delegao de direitos para o sub-domnio de

66.218.200.in-addr.arpa, o qual dever estar totalmente compatvel com a tabela de endereos IP fornecida para
cada Entidade da RSFN.
66.218.200.in-addr.arpa. IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.gov.br. (

28800 ; refresh
3600 ; retry
604800 ; expire
86400 ; default_ttl
)
;
;

;
; Delegao de Direitos para Clerings/Bacen (2 linhas p/ cada sub-domnio)
;
0-31.66.218.200.in-addr.arpa. IN NS ns1.bcb.rsfn.net.br.
0-31.66.218.200.in-addr.arpa. IN NS ns2.bcb.rsfn.net.br.
32-63.66.218.200.in-addr.arpa. IN NS ns1.selic.rsfn.net.br.
32-63.66.218.200.in-addr.arpa. IN NS ns2.selic.rsfn.net.br.
64-95.66.218.200.in-addr.arpa. IN NS ns1.clearing1.rsfn.net.br.
;
; CNAME para hosts de bacenbsa (1 linha p/ cada endereo vlido)
;
1 IN CNAME 1.0-31.66.218.200.in-addr.arpa.
.
.
.
;
; CNAME para hosts de bacenrjo (1 linha p/ cada endereo vlido)
;
.
.
.
;
; CNAME para hosts de Clearing1 (1 linha p/ cada endereo vlido)
;
.
.
.
;
;
.
.
.
;
;
.
.
.
;
;
.
.
.
Incluindo ou Excluindo Domnios ou Sub-Domnios Reversos
A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios reversos de DNS em sua rede,
desde que respeite as regras definidas neste manual:
o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona;
o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como
no SNS;
o registrar os domnios e seus respectivos servidores nos rgos competentes;
o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes
realizadas.

Sub-Domnios Reversos da RSFN
As rvores de DNS utilizadas na RSFN esto apresentadas nas Figura 1 e Figura 2:
Figura 1 - rvore de DNS da RSFN
Figura 2 rvore de DNS Reverso da RSFN

Servidores de DNS da RSFN
Cada domnio ou sub-domnio da RSFN possui um servidor primrio de nomes com autoridade sobre sua
respectiva zona. Todas as alteraes nos bancos de dados do DNS so feitas nestes servidores.
Para resolver problemas de contingncia, diviso de carga e performance da rede, cada domnio ter pelo menos
um servidor secundrio de nomes. Estes servidores mantero uma rplica dos bancos de dados dos servidores
primrios, e periodicamente e automaticamente contataro os servidores primrios para atualizao dos seus
bancos de dados.
Desde que todas as verses de DNS utilizadas na rede suportem a funo DNS Notify (RFC 1996), os servidores
primrios podem enviar imediatamente aps qualquer mudana no banco de dados do DNS, uma notificao para
os servidores secundrios solicitando que estes iniciem o processo de Zone Transfer, diminuindo o tempo de
convergncia das modificaes de DNS na rede.
Servidor Primrio dos Domnios Superiores IRS (Internal Root Server)
Os servidores primrios de nomes (PNS) dos domnios superiores da RSFN esto apresentados na Tabela 5:
Domnio Superior Servidor Primrio (PNS) Entidade Responsvel

rsfn.net.br ns1.bcb.rsfn.net.br Bacen
64.218.200.in-addr.arpa ns1.bcb.rsfn.net.br Bacen
80.218.200.in-addr.arpa at ns1.bcb.rsfn.net.br Bacen
95.218.200.in-addr.arpa
Tabela 5 - Servidores PNS dos Domnios Superiores da RSFN
Vale lembrar que uma mesma mquina pode ser configurada como servidor primrio de nomes para vrios
domnios, como servidor secundrio de nomes para vrios domnios e mesmo como servidor primrio para alguns
domnios e secundrio para outros.
Para resolver nomes de hosts da Internet, este servidor deve ser configurado para utilizar os servidores de root da
Internet.
Servidores Secundrios dos Domnios Superiores IRS (Internals Root Servers)
Os servidores secundrios de nomes (SNS) dos domnios superiores da RSFN esto apresentados na Tabela 6:
Domnio Superior Servidor Primrio (PNS) Entidade

Responsvel
rsfn.net.br ns2.bcb.rsfn.net.br Bacen
irs1.att.rsfn.net.br Primesys
irs1.ebtrtm.rsfn.net.br EBT/RTM
64.218.200. ns2.bcb.rsfn.net.br Bacen
in-addr.arpa

in-addr.arpa
in-addr.arpa
in-addr.arpa
At irs1.att.rsfn.net.br Primesys
95.218.200. irs2.att.rsfn.net.br Primesys
in-addr.arpa
in-addr.arpa
in-addr.arpa
in-addr.arpa
in-addr.arpa
at irs3.att.rsfn.net.br Primesys
95.218.200. irs1.ebtrtm.rsfn.net.br EBT/RTM
in-addr.arpa
Tabela 6 - Servidores SNS dos Domnios Superiores da RSFN
Servidores Primrios dos Sub-Domnios
Cada sub-domnio da RSFN ter seu prprio servidor primrio de nomes (PNS). Estes servidores estaro
localizados no segmento da RSFN de cada Entidade participante da rede, a qual ser responsvel pela
administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de
administrao de seus sub-domnios com um dos provedores de servios da rede.

A Tabela 7 apresenta exemplo de servidores primrios para os sub-domnios diretos da RSFN:
Sub-Domnio Direto da RSFN Servidor Primrio (PNS) Entidade Responsvel

bcb.rsfn.net.br ns1.bcb..rsfn.net.br Bacen
clearing1.rsfn.net.br ns1.clearing1.rsfn.net.br Clearing1
clearing2.rsfn.net.br ns1.clearing2.rsfn.net.br Primesys (*opcional)
Provedornx21.rsfn.net.br ns1.Provedornx21.rsfn.net.br Provedor nx2 1
if1.rsfn.net.br ns1.if1..rsfn.net.br IF1
if2.rsfn.net.br ns1.if2..rsfn.net.br EBT/RTM (*opcional)
att.rsfn.net.br irs1.att.rsfn.net.br Primesys
ebtrtm.rsfn.net.br irs1.ebtrtm.rsfn.net.br EBT/RTM
Tabela 7 - Servidores PNS dos Sub-Domnios Diretos da RSFN
A Tabela 8 apresenta exemplo de servidores primrios para os sub-domnios reversos da RSFN:
Sub-Domnio Reverso da RSFN Servidor Primrio (PNS) Entidade Responsvel

0-31.66.218.200.in-addr.arpa ns1.bcb.rsfn.net.br Bacen
64-95.66.218.200.in-addr.arpa ns1.clearing1.rsfn.net.br Clearing1
96.127.66.218.200.in-addr.arpa ns1.clearing2.rsfn.net.br Primesys (*opcional)
128.159.67.218.200.in-addr.arpa ns1.Provedornx21.rsfn.net.br Provedor nx2 1
0-15.80.218.200.in-addr.arpa ns1.if1.rsfn.net.br IF1
16-31.80.218.200.in-addr.arpa ns1.if2.rsfn.net.br EBT/RTM (*opcional)
0-127.64.218.200.in-addr.arpa irs1.att.rsfn.net.br Primesys
128-255.64.218.200.in-addr.arpa irs1.ebtrtm.rsfn.net.br EBT/RTM
Tabela 8 - Servidores PNS dos Sub-Domnios Reversos da RSFN
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de
DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os
servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios
dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos.
A Tabela 9 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios
reversos da RSFN sejam capazes de resolver endereos reversos:
Sub-Domnio Reverso da RSFN Servidor Primrio (PNS) Entidade Responsvel

66.218.200.in-addr.arpa ns1.clearing1.rsfn.net.br Clearing1
66.218.200.in-addr.arpa ns1.clearing2.rsfn.net.br Primesys (*opcional)
67.218.200.in-addr.arpa ns1.Provedornx21.rsfn.net.br Provedor nx2 1
80.218.200.in-addr.arpa ns1.if1.rsfn.net.br IF1
80.218.200.in-addr.arpa ns1.if2.rsfn.net.br EBT/RTM (*opcional)
64.218.200.in-addr.arpa irs1.att.rsfn.net.br Primesys
64.218.200.in-addr.arpa irs1.ebtrtm.rsfn.net.br EBT/RTM
Tabela 9 - Servidores SNS dos Sub-Domnios de Classe C Completos da RSFN
Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas
ter que ser utilizada:
o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN.
Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da
diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados
anteriormente;
o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a
RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso
contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser
necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN,
alm da prpria zona rsfn.net.br. Esta configurao conhecida como forward especfico;
o opo C RSFN conectada Internet configurao idntica a utilizada na opo B;

nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser
configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de
forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem
contrria.
Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de forward para uma zona
especfica, exigindo o uso da aplicao BIND.
Servidores Secundrios dos Sub-Domnios
Cada sub-domnio da RSFN dever ter pelo menos um servidor secundrio (SNS). Estes servidores estaro
localizados no segmento da RSFN de cada Entidade Participante da rede, a qual ser responsvel pela
administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de
administrao de seus sub-domnios com um dos provedores de servios da rede.
A Tabela 10 apresenta exemplo de servidores secundrios para os sub-domnios diretos da RSFN:
Sub-Domnio Direto da RSFN Servidor Secundrio (SNS) Entidade Responsvel

bcb.rsfn.net.br ns2.bcb.rsfn.net.br Bacen
clearing1.rsfn.net.br ns2.clearing1.rsfn.net.br Clearing1
clearing2.rsfn.net.br ns2.clearing2.rsfn.net.br Primesys (*opcional)
Provedornx21.rsfn.net.br ns2.Provedornx21.rsfn.net.br Provedor nx2 1
if1.rsfn.net.Br ns2.if1.rsfn.net.br IF1
if2.rsfn.net.br ns2.if2.rsfn.net.br EBT/RTM (*opcional)
att.rsfn.net.br irs2.att.rsfn.net.br Primesys
irs3.att.rsfn.net.br
ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br EBT/RTM
irs3.ebtrtm.rsfn.net.br
Tabela 10 - Servidores SNS dos Sub-Domnios Diretos da RSFN
A Tabela 11 apresenta exemplo de servidores secundrios para os sub-domnios reversos da RSFN:
Sub-Domnio Reverso da RSFN Servidor Secundrio (SNS) Entidade Responsvel

0-31.66.218.200.in-addr.arpa ns2.bcb.rsfn.net.br Bacen
64-95.66.218.200.in-addr.arpa ns2.clearing1.rsfn.net.br Clearing1
96.127.66.218.200.in-addr.arpa ns2.clearing2.rsfn.net.br Primesys (*opcional)
128-159.67.218.200.in-addr.arpa ns2.Provedornx21.rsfn.net.br Provedor nx2 1
0-15.80.218.200.in-addr.arpa ns2.if1.rsfn.net.br IF1
16-31.80.218.200.in-addr.arpa ns2.if2.rsfn.net.br EBT/RTM (*opcional)
0-127.64.218.200.in-addr.arpa irs2.att.rsfn.net.br Primesys
128.255.64.218.200.in-addr.arpa irs2.ebtrtm.rsfn.net.br EBT/RTM
Tabela 11 - Servidores SNS dos Sub-Domnios Reversos da RSFN
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de
DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os
servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios
dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos.
A Tabela 12 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios
reversos da RSFN sejam capazes de resolver endereos reversos:
Sub-Domnio Reverso da RSFN Servidor Secundrio (SNS) Entidade Responsvel

66.218.200.in-addr.arpa ns2.clearing1.rsfn.net.br Clearing1
66.218.200.in-addr.arpa ns2.clearing2.rsfn.net.br Primesys (*opcional)
67.218.200.in-addr.arpa ns2.Provedornx21.rsfn.net.br Provedor nx2 1
80.218.200.in-addr.arpa ns2.if1.rsfn.net.br IF1
80.218.200.in-addr.arpa ns2.if2.rsfn.net.br EBT/RTM (*opcional)
64.218.200.in-addr.arpa irs2.att.rsfn.net.br Primesys
64.218.200.in-addr.arpa irs2.ebtrtm.rsfn.net.br EBT/RTM
Tabela 12 - Servidores SNS dos Sub-Domnios de Classe C Completos da RSFN
Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas
ter que ser utilizada:
o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN.
Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da
diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados
anteriormente;
o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a
RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso
contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser
necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN,
alm da prpria zona rsfn.net.br. Esta configurao conhecida como forward especfico;
o opo C RSFN conectada Internet configurao idntica a utilizada na opo B.
nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser
configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de
forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem
contrria.
Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de Forward para uma zona
especfica, exigindo o uso da aplicao BIND.
Registro dos Domnios Superiores nas Entidades Competentes
Para que a comunidade Internet saiba quem so os servidores de nomes dos domnios existentes na RSFN, todos
estes servidores (primrios e secundrios) tm que estar definidos nos domnios de nveis superiores relacionados
com a soluo (net.br.).
A administrao dos domnios brasileiros (.br) realizada pela FAPESP, e existem algumas restries para
registros de domnios no formato net.br.
O registro dos diferentes domnios superiores externos da RSFN feito atravs da pgina httpd://registro.br. Aps
o correto preenchimento dos dados cadastrais referentes aos domnios, ser efetuado um teste automtico de
transferncia de zona entre os servidores informados. Caso a resposta dos servidores esteja dentro das normas que
net.br. regem o servio de DNS, sero gerados registros deste domnio nos arquivos de zonas do domnio
conforme o exemplo abaixo:
;
; Trechos do Arquivo de Zona do Domnio NET.BR.
; Este arquivo administrado pela FAPESP. A RSFN no tem
; qualquer controle sobre ele.
; Os nomes e endereos utilizados para servidores de DNS devem ser
; considerados como exemplos.
; O exemplo considera que o PNS da Zona NET.BR. o servidor ns.dns.br
;
net.br. IN SOA ns.dns.br. root.ns.dns.br. (
2001050101 ; Nmero de Srie (yyyymmddss)
8h ; Refresh aps 8 horas
1h ; Retry aps 1 hora
1w ; Expire aps 1 semana
1d ) ; TTL de 1 dia
;
; PNS e SNS do domnio net.br.
;
IN NS ns.dns.br.
IN NS ns1.dns.br.
IN NS ns2.dns.br.
;
; Delegao de Direitos Para os domnios administrados pela RSFN
; Para a documentao, ser listado apenas o domnio
; rsfn.net.br
;
rsfn.net.br. IN NS ns1.bacen.com.br.
ns1.bacen.com.br. IN A 200.30.30.5
rsfn.net.br. IN NS ns2.bacen.com.br.
ns2.bacen.com.br. IN A 200.30.30.6
;
; Fim do arquivo
;
Registro dos Sub-Domnios das Entidades
Os sub-domnios da RSFN indicando as Entidades Participantes no preciso ser registrados na FAPESP. A

prpria regra de delegao de direitos do DNS se encarregar de permitir a resoluo de nomes de hosts dos sub-
domnios.
Incluindo ou Excluindo Domnios Superiores Externos

A RSFN pode a qualquer momento incluir ou excluir domnios superiores, desde que respeite as regras definidas
neste relatrio:
o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona com
endereos vlidos na Internet;
o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS com
no SNS;
o registrar os domnios externos e seus respectivos servidores nos rgos competentes;
o considerar os tempos de convergncia necessrios para que a Internet tome conhecimento das
modificaes realizadas.
rvore de DNS da Parte Externa
As rvores de DNS dos domnios superiores externos da RSFN apresentam uma estrutura similar anterior.
Configurao do PNS dos Sub-Domnios ns1.bcb.rsfn.net.br

Este captulo apresenta o modelo de configurao para os servidores PNS dos sub-domnios das Entidades.
Arquivo /etc/named.conf
options {
directory "/var/named";
recursion yes;
notify yes;
allow-query { any; };
allow-transfer { any; };
query-source address * port 53;
listen-on port 53 { any; };
};
zone "bcb.rsfn.net.br" {
type master;
file "db.bacen";
};

zone "0-31.66.218.200.in-addr.arpa" {
type master;
file "db.200.218.66.0-31";
};
zone "66.218.200.in-addr.arpa" {
type slave;
masters { 200.218.64.6; 200.218.64.134; };
file "db.200.218.66";
};
zone "rsfn.net.br" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
/* Configurar todas as zonas reversas at 95.218.200.in-addr.arpa */
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type master;
file "named.rev";
};
zone "localhost" {
type master;
file "named.local";
};
zone 0.in-addr.arpa {
type master;
file db.0;
};
type master;
file db.255;
};
zone "." {
type hint;
file "named.ca";
};
Arquivo /var/named/db.bacen.net
@ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. (
1d ) ; TTL de 1 dia
;
;
;
; Definio dos hosts do domnio.
;
att-bacen-bsa-cpe IN A 200.218.66.1
ebtrtm-bacen-bsa-cpe IN A 200.218.66.2
hsrp-bacen-bsa-cpe IN A 200.218.66.3
sw1 IN A 200.218.66.4
sw2 IN A 200.218.66.5
ns1 IN A 200.218.66.6
ns2 IN A 200.218.66.7
mqs01 0 IN A 200.218.66.8
mqs02 0 IN A 200.218.66.9
mqm01 0 IN A 200.218.66.14
mqm02 0 IN A 200.218.66.15
/var/named/db.200.218.66.0-31
1d ) ; TTL de 1 dia
;
;
;
; Definio dos hosts do domnio.
;
1 IN PTR att-bacen-bsa-cpe.bcb.rsfn.net.br
2 IN PTR ebtrtm-bacen-bsa-cpe.bcb.rsfn.net.br
3 IN PTR hsrp-bacen-bsa-cpe.bcb.rsfn.net.br
4 IN PTR sw1.bcb.rsfn.net.br
5 IN PTR sw2.bcb.rsfn.net.br
6 IN PTR ns1.bcb.rsfn.net.br
7 IN PTR ns2.bcb.rsfn.net.br
8 IN PTR mqs01.bcb.rsfn.net.br
9 IN PTR mqs02.bcb.rsfn.net.br
14 IN PTR mqm01.bcb.rsfn.net.br
15 IN PTR mqm02.bcb.rsfn.net.br
/var/named/db.200.218.66
Este arquivo ser atualizado automaticamente.
Arquivo /var/named/named.local
1d ) ; TTL de 1 dia
;
;
;
; Servidor local
;
localhost. IN A 127.0.0.1
Arquivo /var/named/db.127
1d ) ; TTL de 1 dia
;
;
;
; Servidor local
;
1 IN PTR localhost.
1d ) ; TTL de 1 dia
;
;
1d ) ; TTL de 1 dia
;
;
Arquivo /var/named/named.ca
Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente.
Configurao do SNS dos Sub-Domnios ns2.bcb.rsfn.net.br

Este captulo apresenta o modelo de configurao para os servidores SNS dos sub-domnios das Entidades.
Arquivo /etc/named.conf
options {
directory "/var/named";
recursion yes;
notify yes;
allow-query { any; };
allow-transfer { any; };
query-source address * port 53;
listen-on port 53 { any; };
};
zone "bcb.rsfn.net.br" {
type slave;
masters { 200.218.66.1; };
file "db.bacen";
};
zone "0-31.66.218.200.in-addr.arpa" {
type slave;
masters { 200.218.66.1; };
file "db.200.218.66.0-31";
};
type slave;
masters { 200.218.64.6; 200.218.64.134; };
file "db.200.218.66";
};
zone "rsfn.net.br" {
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
/* Configurar todas as zonas reversas at 95.218.200.in-addr.arpa */
type forward;
forward only;
forwarders { 200.218.64.6; 200.218.64.134; };
};
type master;
file "named.rev";
};
zone "localhost" {
type master;
file "named.local";
};
type master;
file db.0;
};
type master;
file db.255;
};
zone "." {
type hint;
file "named.ca";
};
Arquivo /var/named/db.bacen.net
/var/named/db.200.218.66.0-31
/var/named/db.200.218.66
Arquivo /var/named/named.local
Este arquivo ser idntico ao arquivo do PNS para este sub-domnio.
Arquivo /var/named/named.ca
Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente.

Restries sobre a Configurao do PNS e SNS dos Sub-Domnios
Caso a Entidade conectada a RSFN opte pela utilizao da aplicao de DNS da Microsoft, no ser possvel
utilizar o conceito de zona com type forward, para executar operaes de forward especfico por zona.
Se a Entidade estiver utilizando um servidor de DNS dedicado para a RSFN, poder configurar o servidor para
utilizar o conceito de forward genrico, que repassar qualquer requisio de hosts de outras zonas para os
servidores especificados. No entanto, esta opo no funcionar caso a Entidade queira compartilhar o servidor de
DNS da RSFN para tambm resolver nomes de hosts da rede interna e da Internet.
CONFIGURAO DOS RESOLVERS
Para que as diversas estaes da rede possam utilizar o DNS, estas foram configuradas como resolvers.
O resolver realiza as seguintes atividades:
o pergunta ao servidor de nomes qual o endereo IP do nome desejado;
o interpreta a resposta (informaes solicitadas ou erro de comunicao);
o repassa as informaes para a aplicao que solicitou.
Os resolvers possuem somente um arquivo de configurao de DNS, normalmente denominado resolv.cfg ou

resolv.conf (verificar o sistema operacional do host). Este arquivo identifica o nome do domnio ao qual pertence
o host e os endereos de at trs servidores de nomes deste domnio. Os servidores de nomes definidos neste
arquivo podem ser tanto primrio como secundrio. Os clientes de DNS no fazem qualquer restrio a isto. Os
clientes de DNS devero ser configurados da seguinte forma:
o o primeiro servidor de nomes da lista deve estar na mesma rede do host em questo;
o o segundo servidor de nomes da lista tambm deve pertencer ao sub-domnio respectivo, podendo ou no
estar na mesma sub-rede.
O exemplo a seguir mostra a configurao de um resolver do sub-domnio bcb.rsfn.net.br.

domain bcb.rsfn.net.br
nameserver 200.218.66.6 ;endereo do primeiro servidor de DNS
nameserver 200.218.66.7 ;endereo do segundo servidor de DNS
PADRONIZAO DE NOMES DE HOSTS E INTERFACES
O padro de nomes de hosts utilizados da RSFN apresentado na tabela seguinte. A qualquer momento o Grupo
de Redes da RSFN poder optar pela alterao deste padro.
Tipo de host Tipo de host

Roteador CPE Telmex att-sub-domnio-localidade-cpe
Roteador CPE EBTRTM ebtrtm-sub-domnio-localidade-cpe
HSRP hsrp-sub-domnio-localidade-cpe
1 switch sw01
2 switch sw02
1 Servidor de DNS ns1
2 Servidor de DNS ns2
1 Servidor MQSeries SPB Produo mqs01
1 Servidor MQSeries SPB Homologao mqs02
1 Servidor MQSeries MES Produo mqm01
2 Servidor MQSeries MES Homologao mqm02
3 Estao de trabalho wks03
1 Firewall fw01
2 Firewall fw02
Tabela 13 - Padronizao de host

Padronizao de Nomes de Usurios
Outra padronizao importante num projeto de DNS a de nomes de usurios. Foi proposto que seja utilizado o
padro recomendado pela WEMA (Worldwide Electronic Messaging Association) para facilitar a converso de
nomes entre os diferentes sistemas de correio eletrnico.
Tal padro prioriza a identificao do usurio atravs de trs variveis at se formar um nome nico na empresa:
Primeiro Nome, Sobrenome e Iniciais dos nomes do meio.
Por exemplo, o usurio Jos Roberto Teixeira poderia ter seu nome de usurio definido da seguinte forma:
Primeiro Nome Jos
Sobrenome Teixeira
Iniciais Intermedirias R
Nome de usurio Jose.Teixeira@bacen.rsfn.net.br ou
Jose.R.Teixeira@bacen.rsfn.net.br
Uma outra alternativa seria:

Primeiro Nome Jos
Sobrenome Teixeira
Nome do Meio Roberto
Nome do usurio Jose.Roberto.Teixeira@bacen.rsfn.net.br
IMPACTO DO TRFEGO DO DNS NA REDE
O DNS deve ser encarado como uma ferramenta de auxlio ao uso e administrao da rede, e no pode, em
hiptese alguma, comprometer a eficincia da rede, atravs da gerao de trfego excessivo na rede.
Para garantir que o trfego de DNS no influenciar negativamente a performance da rede, os seguintes pontos
devem ser cuidadosamente observados:
o localizao dos servidores de DNS;
o configurao dos parmetros de temporizao do registro SOA;
o configurao dos Resolvers;
o tamanho dos arquivos de cada zona.
Localizao dos Servidores
Conforme dito no decorrer deste manual, os servidores de nomes so os responsveis por armazenar informaes
sobre uma determinada regio do address space do DNS (Zona). Quando os resolvers (clientes do DNS)
precisarem resolver nomes de um determinado host da rede corporativa, perguntaro a estes servidores.
Caso os servidores sejam concentrados somente em algumas localidades, a maioria das requisies dos resolvers
atravessaria os circuitos seriais de baixa velocidade, o que implicaria em problemas de performance nestes
circuitos, normalmente j superutilizados com o trfego da rede.
Para resolver esta questo, o projeto definiu a utilizao de pelo menos um servidor de nomes (primrio ou
secundrio) em cada localidade remota interligada RSFN por meio de circuitos seriais de telecomunicaes
(circuitos de WAN). Desta forma, este servidor responder localmente por todas as requisies para resoluo de
nomes originadas pelos resolvers de sua rede local. Naturalmente, quando este servidor receber requisies para
nomes de hosts localizados fora de sua zona, estas requisies sero repassadas para os servidores Mestres RSFN.
No entanto, como os servidores de nomes utilizam tcnicas de cache, tais requisies implicam em trfego
consideravelmente menor quando comparado com todas as requisies dos clientes, no prejudicando de forma
alguma a operao da rede RSFN.

Parmetros de Temporizao do Registro SOA
O registro SOA contm parmetros de temporizao que definem o modo de comunicao entre os diferentes
servidores de nomes de uma rede corporativa.
O parmetro refresh indica a frequncia em que o servidor secundrio de nomes (SNS) verifica a acurcia dos seus
dados junto ao servidor primrio (PNS). Este valor deve ser definido para o perodo mximo que o cliente
considere adequado para que o SNS permanea com os dados desatualizados. Um valor entre 2 e 12 horas
recomendado para a maior parte das configuraes.
Considerando que a maioria das modificaes na rede devam ser executadas fora do horrio de produo
(normalmente no perodo noturno), entende-se que a definio deste parmetro para 8 horas concentrar todas as
operaes de Zone Transfer no perodo noturno, e em situaes normais, tal transferncia de zona ocorrer no
mximo uma nica vez a cada dia.
As verses mais recentes do BIND permitem que o PNS automaticamente notifique os secundrios sobre
modificaes verificadas em seu banco de dados de DNS. Desta forma, os servidores secundrios podero iniciar
as operaes de Zone Transfer imediatamente, diminuindo o tempo de convergncia da rede enquanto pode
aumentar o trfego entre operaes de transferncias de zonas.
Outro parmetro que afeta a comunicao entre servidores de DNS o parmetro retry. Em caso de falha na
comunicao entre o SNS e o PNS, o SNS tentar novamente estabelecer a conexo com o PNS aps a expirao
deste temporizador. Este valor tipicamente configurado como uma frao do intervalo de refresh. No caso da
RSFN, recomenda-se que seja utilizado uma hora.
O temporizador mais importante para a rede RSFN ser sem dvida o TTL. Este parmetro o tempo de vida
default para os registros do DNS de cada zona e indica quanto tempo um registro de outros domnios ficar
armazenado no cache dos servidores de nomes. Deve ser definido conforme a frequncia de modificaes no
banco de dados do DNS. Valores entre 1 e 5 dias normalmente atendem s necessidades das diferentes redes. Vale
lembrar que este valor pode ser definido especificamente para um determinado registro. A configurao deve
definir este valor para 1 dia.
Na prtica, o parmetro TTL quem far com que a utilizao de um servidor de nomes em cada segmento de
rede separado por circuitos seriais gere um trfego muito menor do que somente a utilizao de resolvers nestes
segmentos.
Configurao dos Resolvers
A configurao do resolver (arquivo resolv.conf ou resolv.cfg) permite que sejam especificados at trs
servidores de nomes atravs da diretiva (nameserver). O resolver questionar estes servidores, na ordem listada
neste arquivo, at receber uma resposta ou at que o intervalo de timeout se expire.
Na rede RSFN, cada resolver ser configurado com dois ou trs servidores de nomes, o primeiro estando
obrigatoriamente na mesma sub-rede do cliente. Caso a sub-rede do cliente tenha pelo menos dois servidores de
nomes, o segundo servidor do cliente tambm estar na rede local, e o terceiro remoto (na rede do concentrador
regional mais prximo). Se existir somente um servidor de nomes na sub-rede, o servidor de nomes localizado no
concentrador regional mais prximo ser o segundo servidor do cliente.
Com mais do que um servidor de nomes configurado no cliente, o comportamento deste ocorrer da seguinte
forma:
o resolver iniciar o processo de resoluo de nomes questionando o primeiro servidor de nomes de sua
lista (servidor local), com um timeout de 5 segundos. Se o perodo de timeout expirar ou se o cliente
receber uma mensagem de erro indicando que o processo servidor de nomes no est ativo no primeiro
servidor, o resolver ento questionar o prximo servidor da lista, tambm com um timeout de 5
segundos. Aps questionar todos os servidores listados, se o resolver no receber nenhuma resposta
dentro deste intervalo de tempo, os perodos de timeout sero sucessivamente aumentados para 10, 20 e

40 segundos, sendo que em cada ciclo, o questionamento a cada um dos servidores de nomes ser
devidamente repetido.
Portanto, em situaes normais, os resolvers da RSFN sempre tero suas requisies resolvidas por servidores de
nomes localizados no mesmo segmento de rede local, e com a ajuda do mecanismo de cache destes servidores e do
correto dimensionamento dos parmetros TTL dos hosts mais utilizados, pode-se garantir que o DNS
praticamente no ir utilizar os circuitos seriais de baixa velocidade para a resoluo de nomes de hosts na rede da
RSFN.

FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP
INTRODUO
A RSFN necessita de uma ferramenta eficiente para se certificar do correto funcionamento de seu DNS e para
auxili-lo na depurao de problemas de interoperabilidade com outras redes.
Neste captulo sero apresentados alguns comandos normalmente utilizados pelo nslookup, por ser esta ferramenta
distribuda sem custos adicionais com o Bind e com vrias outras aplicaes de DNS, tornando-a uma ferramenta
padro para anlise da funcionalidade do DNS.
O nslookup pode ser iniciado de forma interativa ou no interativa. A forma no interativa normalmente
utilizada quando se deseja uma nica resposta. A forma interativa tem preferncia quando se necessita verificar o
comportamento do DNS para diversas questes.
ACESSO NO INTERATIVO
Para se iniciar uma sesso no interativa, o usurio deve teclar nslookup seguido pelo nome a ser resolvido, no
promtp do servidor Unix.
% nslookup mqs01.bcb.rsfn.net.br
Default Server: ns1.bcb.rsfn.net.br
Address: 200.218.66.6
Name: mqs01.bcb.rsfn.net.br
Address: 200.218.66.8
ACESSO INTERATIVO
Para se iniciar uma sesso interativa, o usurio deve simplesmente teclar nslookup no promtp do servidor Unix.
% nslookup
Address: 200.218.66.6
O servidor default ser o primeiro servidor configurado com a diretiva nameserver no arquivo resolv.conf.
Somente este servidor ser utilizado para a resoluo das queries descritas nesta sesso interativa. Vale lembrar
que todos os nomes que no terminem com o ponto, tero acrescido o nome de domnio ou as listas de pesquisa
(search), tambm definidas no arquivo resolv.conf.
Solicitando Ajuda
O nslookup possui um help prprio que pode ser acionado sempre que houver dvidas sobre os comandos
suportados:
% nslookup
Address: 200.218.66.6
> ? ou help
Resoluo Direta de Nomes e Endereos

Uma das maiores utilizaes do nslookup encontrar o endereo IP de um determinado nome ou o nome a partir
de um determinado endereo. Estes tipos de queries devem ser utilizados sempre que um novo host for includo no
DNS, de forma que o administrador possa se certificar do correto funcionamento do DNS para este host.
% nslookup
Address: 200.218.66.6
> mqs01.bcb.rsfn.net.br
Address: 200.218.66.6

Address: 200.218.66.8
> 200.218.66.8
Address: 200.218.66.6
Address: 200.218.66.8
Chaveando Para Outros Servidores de DNS

s vezes necessrio chavear para um outro servidor de DNS a partir do nslookup, para que seja observado o
comportamento deste novo servidor. A partir deste ponto, o servidor ns2 passar a responder as queries desta
sesso interativa.
% nslookup
Address: 200.218.66.6
> server ns1.santos.rsfn.net.br

Default Server: ns1.santos.rsfn.net.br
Address: 200.218.80.6
Habilitando Debug Para Anlise das Queries

Em caso de anlise de problemas de resoluo de nomes via DNS, podem ser habilitadas funes de debug para
que o nslookup mostre as queries executadas e suas respectivas respostas. A opo debug, mostra somente as
respostas de cada query, enquanto que a opo d2 mostras as queries e suas respostas.
% nslookup
Address: 200.218.66.6
> set debug

> set d2
> set nodebug
Zone Transfer
Nslookup pode ser usado para transferir o arquivo completo de uma zona atravs do comando ls.
% nslookup
Address: 200.218.66.6
ls d rsfn.net.br

DNS EM SERVIDORES DA MICROSOFT
INTRODUO
Conforme mencionado anteriormente, as aplicaes de DNS proprietrias da Microsoft devem ser consideradas
como segunda opo para o servio de DNS da RSFN. Recomenda-se prioritariamente a utilizao da aplicao
BIND 8.2.3, tanto para servidores Unix como para servidores Microsoft (Windows NT 4.0 e Windows 2000).
Para as instituies que optarem pela utilizao da aplicao de DNS da Microsoft, este captulo descreve os
procedimentos para configurao deste servio nos servidores Windows 2000 e Windows NT 4.0, atravs da
ferramenta DNS Manager. Vale ressaltar que a aplicao de DNS da Microsoft funcionou corretamente no piloto
da rede.
Partindo do princpio que o servio de DNS est devidamente instalado no servidor, sero descritas as instrues
necessrias para a criao de domnios diretos, domnios reversos, registro do tipo A, registros do tipo PTR e a
configurao para utilizao de forwarders. Todos os nomes e endereos IP utilizados nas telas de exemplo so
aleatrios e devem ser utilizados apenas para orientao.
CONFIGURAO DO DNS SERVER EM AMBIENTE WINDOWS 2000

Para iniciar a ferramenta DNS Manager, clique em Start/Programs/Settings/Control Panel/Administrative
Tools/DNS Manager. Na tela inicial do DNS Manager, clique em DNS para apresentar os servidores cadastrados.
Figura 3 - Tela Inicial do DNS Manager em Servidores Windows 2000
Para adicionar um novo servidor, clique com o boto da direita do mouse em DNS e selecione a opo New
Server. Cadastre o nome ou o endereo IP do novo servidores de DNS na janela Add New Server.

Figura 4 - Adicionando um Novo Servidor de DNS Windows 2000
Criando um Domnio Direto Primrio

Para cadastrar um domnio direto, clique com o boto direito do mouse na opo Forward Lookup Zones que est
abaixo do servidor criado, e selecione New Zone.
Figura 5 - Criando um Domnio Direto Primrio Windows 2000
Neste momento ser iniciado um Wizard que coordenar todo o processo de criao do domnio. Clicando no
boto Next, ser solicitado o tipo de zona que se deseja criar. Clique na opo Standard Primary e em Next para
continuar.

Figura 6 - Definindo o Tipo de Zona de DNS Windows 2000
No campo Name, preencha com o nome do domnio a ser criado e clique em Next para continuar.
Figura 7 - Definindo o Nome de Zona de DNS Windows 2000

Ser apresentada uma tela para a confirmao do arquivo da zona que est sendo criada. recomendvel que se o
utilize o mesmo nome da zona para o arquivo que est sendo criado atravs da opo Create a new file with this
file name. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j existente. Aps a definio do nome
do arquivo, clique na opo Next.
Figura 8 - Definindo o Nome do Arquivo de Zona do DNS Windows 2000

A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio. Clique na
opo Finish para confirmar e finalizar a criao do domnio direto primrio.
Figura 9 - Criando um Domnio Direto Primrio Confirmao Windows 2000
Criando um Domnio Reverso Primrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse na opo Reverse Lookup Zones que est
abaixo do servidor criado, e selecione New Zone.
Na tela Zone Type selecione a opo Standard Primary.
Na tela Reverse Lookup Zone, existem duas opes para o preenchimento do nome do domnio reverso. Na
primeira opo, Network ID, deve ser cadastrado o endereo de rede do domnio reverso que est sendo criado. Na
segunda opo, o campo
Reverse lookup zone name deve ser preenchido com o endereo da rede no formato invertido, adicionando-se o
padro in-addr.arpa. Para a criao de domnios reversos de sub-redes de endereos Classe C, que sero utilizados
na RSFN, a segunda opo deve ser utilizada.

Figura 10 - Criando um Domnio Reverso Primrio Windows 2000
Clicando no boto Next, ser apresentada uma tela para a confirmao do arquivo do domnio que est sendo
criado. recomendvel que se utilize o mesmo nome do domnio, atravs da opo Create a new file with this file
name, para identificar o arquivo que est sendo criado. Nesta mesma tela, tem-se a possibilidade de escolher um
arquivo j existente, atravs da opo Use this existing file.
A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio reverso.
Clique na opo Finish para confirmar e finalizar a criao do domnio reverso primrio.

Figura 11 - Criando um Domnio Reverso Primrio Tela de Confirmao Windows 2000
Criando um Domnio Direto Secundrio

Para cadastrar um domnio direto secundrio, clique com o boto direito do mouse na opo Forward Lookup
Zones que est abaixo do servidor criado, e selecione New Zone. Na tela Zone Type, selecione a opo Standard
Secondary.
Na tela Zone Name, preencha o campo Name com o nome do domnio a ser criado, e no campo Server, o endereo
IP do servidor que est sendo configurado. Clicando no boto Next, ser apresentada a tela para a confirmao do
arquivo do domnio que est sendo criado.
Aps a confirmao do nome do arquivo do domnio, digite o endereo IP do servidor Master do domnio
secundrio no campo IP Master(s) e clique no boto Add para adicion-lo. Este campo permite que vrios
servidores Masters sejam cadastrados.

Figura 12 - Definindo os Servidores Masters do Domnio Direto Secundrio- Windows 2000
A ltima tela do Wizard solicita a confirmao dos dados fornecidos para a criao do novo domnio. Clique na
opo Finish para confirmar e finalizar a criao do domnio direto secundrio.
Criando um Domnio Reverso Secundrio

Para cadastrar um domnio reverso secundrio, clique com o boto direito do mouse na opo Reverse Lookup
Zones, que est abaixo do servidor criado, e selecione New Zone. Na tela Zone Type, selecione a opo Standard
Secondary.
Na tela Reverse Lookup Zone, existem duas opes para o preenchimento do nome do domnio reverso. Na
primeira opo, Network ID, deve ser cadastrado o endereo da rede para a qual o domnio reverso est sendo
criado. Na segunda opo, o campo Reverse lookup zone name deve ser preenchido com o endereo da rede no
formato invertido, adicionando-se o padro in-addr.arpa. Para a criao de domnios reversos de sub-redes de
endereamento Classe C, que sero utilizados na rede RSFN, a segunda opo deve ser utilizada.
Clicando no boto Next, ser apresentada a tela para a confirmao do arquivo do domnio que est sendo criado.
recomendvel que se o utilize o nome do domnio, atravs da opo Create a new file with this file name, para
identificar o arquivo que est sendo criado. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j
existente, atravs da opo Use this existing file.
A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio reverso.
Clique na opo Finish para confirmar e finalizar a criao do domnio reverso primrio.
Criando um Registro do Tipo A

Selecione o domnio direto no qual ser criado o novo registro com o boto direito do mouse e escolha a opo
New Host.

Figura 13 - Criando um Registro do Tipo A Windows 2000
Na tela New Host, preencha os campos Name e IP address. Selecionando-se o item Create associated pointer
(PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso correspondente.
Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona corretamente e no deve
ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma sub-rede de endereamento
Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto Add Host para adicionar o
registro.
Figura 14 - Definindo as Caractersticas do Registro do Tipo A Windows 2000
Criando um Registro do Tipo PTR

Selecione o domnio reverso no qual ser criado o novo registro com o boto da direita do mouse e escolha a
opo New Pointer.

Figura 15 - Criando um Registro do Tipo PTR Windows 2000
Na tela New resource record, cadastre no campo Host IP number o ltimo octeto do endereo IP e no campo Host
Name preencha com o nome completo (nome do host + domnio) do servidor. Clique em OK para finalizar a
criao do registro PTR.
Figura 16 - Definindo as Caractersticas do Registro do Tipo PTR Windows 2000

Configurando os Servidores Forwarders

Conforme mencionado anteriormente, o DNS da Microsoft no permite a utilizao da opo Forward para um
domnio especfico. Para contornar esta limitao, devem ser cadastrados os servidores genricos de forward, que
sero consultados quando uma query no for resolvida localmente.
Para cadastrar um Forwarder atravs do DNS Manager, selecione o servidor de DNS que est sendo utilizado na
lista de servidores disponveis com o boto da direita do mouse e escolha a opo Properties.
Figura 17 - Definindo as Configuraes de Servidores de Forward Genricos Windows 2000
Na tela apresentada, selecione a pasta Forwarders. Clique no item Enable Forwarders para ativar a sua utilizao
e cadastre no campo IP address o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto
Add para efetivar o cadastramento e no boto OK para fechar a tela.

Figura 18 - Definindo as Configuraes de Servidores de Forward Genricos Windows 2000
SERVIO DNS EM AMBIENTE WINDOWS NT 4.0

Para iniciar a ferramenta DNS Manager, clique em Start/Programs/Administrative Tools/DNS Manager. Na tela
inicial do DNS Manager, clique no cone Server List para apresentar os servidores cadastrados.
Figura 19 - Tela Inicial do DNS Manager em Servidores Windows NT 4.0
Para adicionar um novo servidor, clique com o boto da direita do mouse no cone Server List e selecione a opo
New Server. Cadastre o nome ou o endereo IP do novo servidor de DNS na janela Add New Server.
Figura 20 - Adicionando Servidores de DNS em Servidores Windows NT 4.0
Criando um Domnio Direto Primrio

Para cadastrar um domnio direto, clique com o boto direito do mouse no servidor que foi criado e selecione New
Zone.
Figura 21 - Criando Nova Zona de DNS em Servidores Windows NT 4.0
Na tela Zone Type selecione a opo Primary e clique no boto Next.

Figura 22 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0
Na tela Zone Info, preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o
campo Zone File seja preenchido automaticamente. Clique em Next para finalizar a criao do domnio direto.
Figura 23 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0
Criando um Domnio Reverso Primrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse no servidor que foi criado e selecione
New Zone. Na tela Zone Type selecione a opo Primary e clique no boto Next. A tela Zone Info ser apresentada,

preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o campo Zone File
seja preenchido automaticamente. Clique em Next para finalizar a criao do domnio direto.
Figura 24 - Definindo a Nova Zona Reversa de DNS - Servidores Windows NT 4.0
Criando um Domnio Reverso Secundrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse no servidor que foi criado e selecione
New Zone. Na tela Zone Type, selecione a opo Secondary e preencha o campo Zone com o endereo do domnio
reverso a ser criado, em formato invertido, mais o padro in-addr.arpa, e no campo Server, preencha com o
endereo IP do servidor que est sendo configurado.

Figura 25 - Definindo uma Zona Reversa Secundria de DNS - Servidores Windows NT 4.0
Clicando no boto Next, ser apresentada a tela Zone Info. Preencha o campo Zone Name com o nome do domnio
a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente.
servidores Masters sejam cadastrados. Clique em Next para finalizar a criao do domnio reverso secundrio.
Figura 26 - Configurao dos Servidores Masters da Zona Reversa Secundria de DNS

Criando um Domnio Direto Secundrio

Para cadastrar um domnio direto secundrio, clique com o boto direito do mouse no servidor que foi criado e
selecione New Zone. Na tela Zone Type, selecione a opo Secondary, preencha o campo Zone com o nome do
domnio direto, e o campo Server com o endereo IP do servidor que est sendo configurado.
Clicando no boto Next, ser apresentada a tela Zone Info. Preencha o campo Zone Name com o nome do domnio
a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente.
servidores Masters sejam cadastrados. Clique em Next para finalizar a criao do domnio direto secundrio.
Criando um Registro do Tipo A

Selecione o domnio direto no qual ser criado o novo registro com o boto da direita do mouse e escolha a opo
New Host.
Figura 27 - Criando um Registro do Tipo A Windows NT 4.0
Na tela New Host, preencha os campos Host Name e Host IP address. Selecionando-se o item Create associated
pointer (PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso
correspondente. Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona
corretamente e no deve ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma sub-
rede de endereamento Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto
Add Host para adicionar o registro.

Figura 28 - Definindo as Caractersticas do Registro do Tipo A Windows NT 4.0
Criando um Registro do Tipo PTR

A criao de registros PTR de uma sub-rede de endereo Classe C, atravs do utilitrio DNS Manager de
servidores Windows NT 4.0, no funciona corretamente. Neste caso, a criao destes registros deve ser feita de
forma manual, ou seja, editando-se o arquivo de configurao do domnio reverso correspondente. Para isso,
necessrio que o servio de DNS esteja parado.
Para finalizar o servio de DNS, clique em Start/Settings/Control Panel/Services, selecione o servio Microsoft
DNS Server, e clique no boto Stop. Os arquivos de configurao encontram-se no diretrio
c:\winnt\system32\dns. E possuem a exteno .dns. Utilize o notepad ou qualquer ferramenta de edio de
arquivos texto para edit-los. Um exemplo de um arquivo de configurao de um domnio reverso est descrito a
seguir:
@ IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.rsfn.net.br. (
1d ) ; TTL de 1 dia
;
;
;
; Equipamentos alocados neste dominio
;
1 IN PTR att-bacen-bsa-cpe.bcb.rsfn.net.br.
2 IN PTR ebtrtm-bacen-bsa-cpe.bcb.rsfn.net.br.
3 IN PTR hsrp-bacen-bsa-cpe.bcb.rsfn.net.br.
6 IN PTR pns.bcb.rsfn.net.br.
Aps a incluso dos registros PTR no arquivo de configurao, reinicie o servio de DNS. Os registros PTR
cadastrados manualmente devero aparecer no DNS Manager.
Caso o registro PTR a ser criado no pertena a uma sub-rede de endereamento Classe C, a ferramenta DNS
Manager poder ser utilizada. Dessa forma, selecione o domnio reverso no qual ser criado o novo registro com o
boto da direita do mouse e escolha a opo New Pointer.

Figura 29 - Criando um Registro do Tipo PTR Windows NT 4.0
Na tela New resource Record, selecione PTR Record na janela Record Type, cadastre no campo IP Address o
endereo IP, e no campo Host DNS Name, preencha com o nome completo (nome do host + domnio) do servidor.
Clique em OK para finalizar a criao do registro PTR.
Figura 30 - Definindo as Caractersticas do Tipo PTR Windows NT 4.0

Configurando os Servidores Forwarders
Conforme mencionado anteriormente, o DNS da Microsoft no permite a utilizao da opo Forward para um
domnio especfico. Para contornar esta limitao, devem ser cadastrados os servidores genricos de forward, que
sero consultados quando uma query no for resolvida localmente.
Para cadastrar um Forwarder atravs do DNS Manager, selecione o servidor de DNS que est sendo utilizado na
lista de servidores disponveis com o boto da direita do mouse e escolha a opo Properties.
Figura 31 - Configurao de Servidores de Forwarders Windows NT 4.0
Na tela apresentada, selecione a pasta Forwarders. Clique no item Use Forwarders para ativar a sua utilizao e
cadastre o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto Add para efetivar o
cadastramento e no boto OK para fechar a tela.

Figura 32 - Configurao de Servidores de Forwarders Windows NT 4.0

Manual Redes SFN v8

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual Redes SFN v8

Hochgeladen von

Copyright:

Verfügbare Formate

RSFN - Manual de Redes do SFN Verso 8.

Manual de Redes do SFN

Manual de Redes do SFN * Pgina 1 de 109

Manual de Redes do SFN * Pgina 3 de 109

Figura 1 Modelo de conexo da rede RSFN 13

Manual de Redes do SFN * Pgina 4 de 109

Verso Descrio das Modificaes Data da Modificao

- Incluso da obrigatoriedade do TTL igual a zeros para o nome do

- Incluso de observao sobre perda de conectividade nos

- Incluso do Roteiro de Testes de Contingncia da RSFN.

- Incluso da configurao obrigatria do parmetro ADOPTMCA no

3.0 - Incluso do Template para Roteamento do o Perfil D com

- Incluso do captulo referente infraestrutura da mensageria.

Manual de Redes do SFN * Pgina 5 de 109

Manual de Redes do SFN * Pgina 6 de 109

ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO

RSFN - Rede do Sistema Financeiro Nacional

Manual de Redes do SFN * Pgina 7 de 109

Atribuies e Responsabilidades do Subgrupo de Redes

Especificar a arquitetura da Rede.

Normas de utilizao da RSFN

As configuraes de roteamento da RSFN no permitem a comunicao indiscriminada entre os participantes. A

Para a implementao da conexo com a RSFN, as seguintes recomendaes so pertinentes:

Manual de Redes do SFN * Pgina 8 de 109

Manual de Redes do SFN * Pgina 9 de 109

PROCEDIMENTOS PARA ACESSO RSFN

Para solicitao das conexes as Entidades Solicitantes devero:

Manual de Redes do SFN * Pgina 10 de 109

1) Em qual das categorias abaixo se enquadra o Solicitante?

Poltica de encaminhamento do trfego de entrada e sada de dados:

Manual de Redes do SFN * Pgina 11 de 109

A partir do recebimento da faixa de endereamento IP da instituio, configurar uma estao com os

Configurada a estao, efetuar os seguintes testes:

Ping no endereo IP 200.218.66.5 (HSRP do BACEN)

Manual de Redes do SFN * Pgina 12 de 109

Os testes de contingncia e de backbone da RSFN consistem em validar as funcionalidades das redundncias

A atual topologia da Rede e suas redundncias de conexo esto exemplificadas na figura 1.

Figura 1 Modelo de conexo da rede RSFN

Manual de Redes do SFN * Pgina 13 de 109

Descrio dos procedimentos :

1. Antes do incio dos testes :

a) Ping em 2 instituies do Grupo A

b) Ping em 2 instituies do Grupo B

c) Traceroute para verificao dos caminhos

Anexar os resultados na tabela.

2. Durante a interrupo de cada dispositivo :

a) Ping nas mesmas instituies do Grupo A

b) Ping nas mesmas instituies do Grupo B

c) Verificar qual dos hosts fica indisponvel e qual o tempo de retorno

d) Trace para verificao dos caminhos

a) Verificar se ocorre indisponibilidade e qual o tempo de retorno.

Manual de Redes do SFN * Pgina 14 de 109

Figura 2 - Dois sites com interconexo pela rede interna

Manual de Redes do SFN * Pgina 15 de 109

Manual de Redes do SFN * Pgina 16 de 109

Figura 3 - Dois sites, porm com apenas dois CPE

Manual de Redes do SFN * Pgina 17 de 109

Figura 4 - Conexo do Perfil D com roteamento iBGP

Esse modelo pode ter como variantes

Manual de Redes do SFN * Pgina 18 de 109

Manual de Redes do SFN * Pgina 19 de 109

Figura 5 - Conexo direta do Perfil D com a clula de segurana

Manual de Redes do SFN * Pgina 20 de 109