IT MASS 1 Instrucoes Comunicacao VPN

8/18/2019 IT MASS 1 Instrucoes Comunicacao VPN

1/13

Academia Volkswagen

Manual de Administração – Sistemas de Serviços

MASS 1 – Comunica ão VPN

Conteúdo

1. Introdução2. Aquisição do módulo VPN3. Infraestrutura na concessionária4. Configuração inicial do módulo VPN SonicWall5. Implementação e testes

B-VMT-1 - MASS 1 - Comunicação VPN - edição: 03/2012Somente para uso interno

Página 1/13


2/13

Comunicação VPNInstruções detalhadas

1. Introdução

Dentro do conceito de Sistemas de Serviços VW as Concessionárias devem acessar asaplicações e sistemas existentes de forma “on line” e exclusivamente através de um link de

.Para que este link seguro possa ser estabelecido as Concessionárias deverão utilizar ummódulo de hardware específico, conforme definição e recomendações da VWB.Através deste módulo será estabelecida uma comunicação tipo VPN (Virtual PrivateNetwork) configurada com parâmetros específicos para garantir a conexão com o portal desistemas VW.

2. Aquisição do módulo VPNA aquisição de um módulo VPN Sonicwall deve ser feita diretamente pela ConcessionáriaVW junto ao representante oficial da marca Sonicwall, conforme instruções a seguir.

2.1. Informações para o pedido

Deverá ser solicitada a cotação dos itens abaixo:• SonicWALL TZ Series – Firewall

Unrestricted nodeRef. 01-SSC-8734

• SonicWALL Dynamic Support 8x5 for TZ100 Unrestricted node1 Year Ref. 01-SSC-7276

2.2. Ofertas adicionais

Além dos itens acima existem serviços adicionais que podem ser ofertados pelorepresentante, tais como garantia estendida, suporte diferenciado, etc..Este serviços adicionais somente deverão ser adquiridos se a Concessionária julgarnecessário, conforme suas necessidades ou políticas internas.

2.3. Representante comercial

Cor flex - Cleomedes Maran [email protected] Tel PABX: (11) 4208-9500Cel.: (11) 8457-7833Alameda Tocantins, 125 - 30º andar Ed. West Side – AlphavilleBarueri - São Paulo – SP


Página 2/13

-


3/13


2.4. Dados técnicos

As informações detalhadas devem ser consultadas no site do fabricante no endereçohttp://www.sonicwall.com/br/. Localize os dados do produto TZ 100.

eguem a guns os pr nc pa s a os cn cos:

• Número médio de usuários concorrentes = 120 USUÁRIOS• Nº de usuários concorrentes com autenticação AD / LDAP = 100 USUÁRIOS• Suporta até 2 links Internet de operadoras distintas• Realiza redundância entre links de operadoras distintas

• Realiza balanceamento WEB entre 02 links• Link Internet recomendado = até 10 Mbps• Interfaces: 5 portas 10/100• Stateful firewall performance: 100 Mbps• UTM Performance: 25 Mbps• VPN Performance: 75 Mbps (3DES/AES)• Conexões concorrentes: 6.000

3. Infraestrutura na concessionária

Para que a implementação do módulo VPN possa ser efetuada são necessários algunsrequisitos e condições na Concessionária.

3.1. Link de internet

Em função da diversidade de provedores e tipos de serviço de Internet, algumasrecomendações mínimas precisam ser consideradas.O link disponível deve ser dimensionado para suportar os sistemas de Serviços e asaplicações normais da Concessionária.De modo geral recomenda-se inicialmente para as aplicações dos sistemas de serviços umlink de internet de 2Mbps.Também é recomendável estabelecer uma política interna de utilização o monitoramentodeste recurso, gerenciando as aplicações concorrentes e inibindo a utilização para fins nãorelacionados aos trabalhos da Concessionária (acesso a redes sociais, downloads, etc.).


Página 3/13


4/13


3.2. Suporte interno de TI (pessoa de contato)

É necessário que o processo seja internamente suportado por alguém com osconhecimentos necessários de TI.Esta pessoa de contato também deve ter os acessos e privilégios para executar asmodificações eventualmente necessárias.

3.3. Rede dados na concessionária

equipamentos que possam estabelecer a comunicação VPN através do módulo Sonicwall.Dentro do processo de serviços, diversos colaboradores tem esta necessidade de acesso(Agendamento, Consultores Técnicos, Oficina e Garantia).A melhor alternativa é promover a integração do módulo VPN Sonicwall em sua rede dedados de forma que os sistemas possam ser acessados de qualquer ponto da sua rede.As soluções técnicas para esta integração dependem das características específicas econdições do seu Concessionário.Esta integração deve permitir que a solicitação de acesso a VPN seja resolvida pela sua infraestrutura de hardware e software a partir de qualquer ponto da sua rede de dados (DHCP,

NAT, proxy, IP tables ou qualquer outra possibilidade cabível).

Observe que a implementação é de responsabilidade do próprio Concessionário e asdiversas solu ões técnicas deverão ser analisadas conforme a sua estrutura dis onível,


Página 4/13

perspectivas de investimento e outros fatores.


5/13


4. Configuração inicial do módulo VPN

Uma vez adquirido o módulo VPN são necessárias algumas etapas, em sequência, para que.

4.1. Contato com VWB – informações necessárias

A concessionária deve providenciar as seguintes informações:• Razão Social• Nome Fantasia• Número do DN• Pessoa de contato• Telefone de Contato

• IP da WAN para o módulo Sonicwall (um IP reservado em sua rede interna)• Máscara• w y• Numero de série do módulo VPN• Modelo do módulo VPN

Enviar estas informações para o email [email protected]

4.2. Ar uivos de confi ura ão inicial do módulo VPN

Mediante os dados enviados será criado um arquivo de setup para a configuração básicados parâmetros do módulo VPN, enviado para o email do responsável pelo processo no DN.

4.2.1. Importação do arquivo para o módulo

1. Acessar a página de administração do módulo VPN2. Clique em “System” - “Settings” - “Import Settings”


Página 5/13


6/13


3. Na tela que surgir selecione o local do arquivo clicando em “Browse”

4. Localize o arquivo de configuração enviado e clique em “Import”

. que em

6. O módulo VPN Sonicwall irá reinicializar após a importação do arquivo.


Página 6/13


7/13


4.2.2. Setup Adicional

Após a reinicialização do sonicwall o responsável devera realizar algumas alteraçõesmanuais na configuração.

faixa de IP que obrigatoriamente deverão ser trocados a fim de associá-los ao DN correto.As informações para esta configuração foram enviadas no mesmo email com o arquivo desetup.Na VPN Box devem ser alterados os seguintes itens:

1. Firewall name

Alterar no menu System > Administration > Ferewall NameEx.: R1_VPN_nomefantasiaO nome é formado pelo número da região daconcessionária, o tipo de serviço e o nome fantasia doconcessionário, separados por um caractere underscore.

2. LAN

Alterar no menu Network > Interfaces > LAN > Configure

nser r uma a xa v e c asse com o range s vres.


Página 7/13


8/13


3. Unique Firewall Identifier Alterar no menu VPN > Settings > Unique Firewall Identifier Deverá conter os mesmos dados do item Firewall Name

4. Local IKE IDAlterar no menu VPN Policies > GEDAS-CONCENTRADOR > Local IKE

Alterar no menu VPN Policies > GEDAS-SGMS > Local IKE IDDeverá conter os mesmos dados do item Firewall Name

>


Página 8/13


9/13


4.3. Parâmetros específicos para liberação

Além do arquivo de configuração e setup adicional existem alguns pontos que precisam serverificados, pois podem impedir o pleno funcionamento da comunicação VPN.

4.3.1. Provedor de internet

Os serviços contratados devem contemplar o uso corporativo e precisam ter comercialmenteexplicitado a compreensão do uso de comunicação do tipo VPN.Serviços para uso doméstico possuem diversas restrições operacionais que normalmente

.

4.3.2. Portas de comunicação

Tanto o provedor de Internet como o ambiente de segurança interna da Concessionáriaprecisam assegurar que algumas portas de comunicação estejam devidamente liberadas.Mesmo com o túnel VPN estabelecido, sem a liberação das portas os sistemas de serviçosnão vão funcionar.

As portas são:• UDP 500• UDP 53• TCP 53

Caso haja um sistema de Firewall na Concessionária será necessária a criação dasseguintes regras:

Regras de Firewall - VPN

Endereço de Origem Endereço de Destino Protocolo Porta de Destino

Endereço definido naTabela Rede Local

Qualquer Destino UDP 500


Qualquer Destino UDP 53


Qualquer Destino TCP 53


Página 9/13


10/13


11/13


5.1.3. Testes operacionais (ping, portas, etc.)

Acesse o menu System > Diagnostics > Diagnostic Tools > altere para a opção Ping.

. . .O resultado deve ser um ping bem sucedido com um tempo de resposta proporcional avelocidade do seu link de internet

Caso isto não ocorra existe um problema de configuração ou com o link de internet.Verifique as configurações da WAN no menu Network > Settings > WAN.Volte ao menu Diagnostics e mude a opção para TraceRoute para localizar o ponto debloqueio, refazendo o teste de ping com o site de internet tipo www.terra.com.br

Obtendo sucesso na etapa acima, faça outro teste de ping utilizando o endereço IP10.112.198.242 observando o resultado.

Caso não obtenha entre em contato com o suporte através do e-mail. . .

5.1.4. Acesso aos sistemas de serviços

Se os resultados do teste anterior forem satisfatórios, abra uma outra janela do navegador edigite os seguintes endereços:

http://portal.cpn.vwghttp://cpnbb.cpn.vwg

Se tudo estiver correto você ira acessar paginas cujo acesso depende exclusivamente dacomunicação VPN.

. n egraç o na re e e a os a concess on r a

Terminados os testes isolados do módulo VPN Sonicwall deve-se então executar suaintegração na rede de dados, conforme sua disponibilidade de recursos e estratégia definidainicialmente.

, .


Página 11/13


12/13


5.2.1. Justificativas

O acesso aos sistemas deve ser garantido a todos os envolvidos no processo de prestaçãode serviços (Agendamento, Recepção, Consultores Técnicos, Oficina, Garantia).

A melhor alternativa é promover a integração do módulo VPN Sonicwall em sua rede dedados de forma que os sistemas possam ser acessados de qualquer ponto da sua rede.

As soluções técnicas para esta integração dependem das características específicas econdições do seu Concessionário.

5.2.2. Orientações e recomendações

A solução técnica adotada deverá permitir o acesso aos sistemas de modo transparente eamigável para os usuários.

Deve oferecer a estabilidade e o desempenho necessário para as atividades normais.

Ambiente estável - A integração não deve ficar dependente de combinações complexas,paliativas ou sob regras de segurança que estejam constantemente sendo alteradas sem osdevidos controles e rastreamentos.

5.2.3. Suporte parcial VWB

A implementação da integração é de responsabilidade da própria Concessionária.

A VWB não se responsabiliza pelas alterações promovidas a título desta integração e osuporte técnico que podemos prestar é parcial, restringindo-se às orientações básicas,eventuais pequenos ajustes de configuração e apoio nos testes operacionais.

Na página seguinte pode ser vista uma sugestão genérica de topologia para esta integração.


Página 12/13


13/13



Página 13/13

Documents

IT MASS 1 Instrucoes Comunicacao VPN