Gerir e manter as redes
Apresentação
UC02844 (50h · 4,5 pts) do curso Técnico de Sistemas de Computação e Redes. Foca a operação contínua de uma rede: monitorização, gestão de configurações e mudanças, segurança operacional, continuidade (redundância e backups), resposta a incidentes e documentação. É o "depois de instalar" — o trabalho diário que mantém a rede fiável.
Modelo FCAPS
Modelo de referência (ISO/ITU) para gestão de redes — define o que gerir:
| Letra | Área | Inclui |
|---|---|---|
| F | Fault Management | Deteção, isolamento e correção de falhas; alarmes |
| C | Configuration Management | Inventário, configs, baseline, mudanças |
| A | Accounting Management | Uso de recursos, custos, faturação interna |
| P | Performance Management | Utilização, latência, capacidade, tendências |
| S | Security Management | Acessos, hardening, logs, conformidade |
O objetivo da gestão madura é mudar de reativo (corrigir quando parte) para proativo (antecipar pela análise de tendências) e até preditivo.
Monitorização
O que monitorizar
- Disponibilidade — equipamentos e links up/down (ping/ICMP, SNMP).
- Desempenho — utilização de interfaces (% da capacidade), latência, perda de pacotes, jitter.
- Recursos — CPU, memória, temperatura de switches/routers/servidores.
- Ambiente — energia, UPS, climatização da sala técnica.
- Logs/eventos — syslog centralizado.
- Aplicações/serviços — DNS, DHCP, web a responder.
SNMP
Simple Network Management Protocol — o padrão de gestão.
- Agente corre no equipamento; NMS (Network Management System) consulta.
- MIB (Management Information Base) — base hierárquica de objetos geríveis.
- OID (Object Identifier) — identifica uma métrica concreta (ex.: bytes recebidos numa porta).
- Polling — o NMS pergunta periodicamente.
- Trap / Inform — o equipamento envia um aviso espontâneo (ex.: porta caiu).
- Versões: v1/v2c (comunidade em texto claro — inseguro), v3 (autenticação + cifra). Em produção usar SNMPv3.
Outras fontes
- Syslog — eventos enviados para um servidor central (ex.: rsyslog, Graylog).
- NetFlow / sFlow / IPFIX — quem fala com quem, volumes (análise de tráfego).
- ICMP — disponibilidade básica.
- APIs / telemetria (streaming telemetry) — equipamentos modernos.
Ferramentas
| Ferramenta | Notas |
|---|---|
| Zabbix | Open-source, completo (SNMP, agentes, alertas) |
| PRTG | Comercial, fácil, gratuito até 100 sensores |
| Nagios / Icinga | Clássico, muito extensível |
| LibreNMS | Auto-descoberta, foco SNMP |
| Prometheus + Grafana | Métricas e dashboards modernos |
| Wireshark | Análise de pacotes pontual (não monitorização contínua) |
Alertas e indicadores
- Definir limiares sensatos (ex.: link > 80% durante 5 min; CPU > 90%).
- Severidades (info / aviso / crítico) e escalonamento (quem é avisado e quando).
- Combater a fadiga de alertas — ruído excessivo faz com que ninguém olhe; afinar limiares.
- Indicadores:
- Disponibilidade (uptime %) — ex.: 99,9% ≈ 8,7 h de indisponibilidade/ano.
- MTTR (tempo médio de reparação).
- MTBF (tempo médio entre falhas).
- SLA — define os objetivos contratuais (uptime, tempos de resposta/resolução) e baliza o que a monitorização tem de medir.
Gestão de configurações
- Backup automático e versionado das configs (RANCID, Oxidized, ou exportar para Git). Permite ver "o que mudou e quando" e restaurar rapidamente.
- Baseline — configuração de referência por tipo de equipamento (hardening, NTP, syslog, AAA).
- Templates padronizados — reduzem erros e tempo (gerar config por variáveis).
- Automação — Ansible, Netmiko, scripts; gerir muitos equipamentos de forma consistente.
- Inventário sempre atualizado — equipamentos, modelo, firmware, localização, IPs, portas, ligações.
Gestão de mudanças
A maioria das interrupções de rede resulta de mudanças mal planeadas. Processo disciplinado:
- Pedido de mudança (RFC) — o que, porquê.
- Avaliação de impacto e risco — o que pode correr mal, quem é afetado.
- Aprovação (CAB / responsável).
- Planeamento — passos, janela de manutenção fora de horas, e plano de rollback (como reverter).
- Execução controlada.
- Verificação — confirmar que funciona e nada partiu.
- Documentação — registar a mudança (e atualizar diagramas/inventário).
Mudanças de emergência têm processo abreviado mas continuam a exigir registo e revisão posterior.
Segurança operacional
- Hardening de equipamentos: SSH (não Telnet), AAA com RADIUS/TACACS+, contas nominais, desativar serviços/portas não usados,
service password-encryption. - Acesso de gestão restrito — rede/VLAN de gestão separada, idealmente out-of-band; ACLs no acesso VTY.
- Segmentação — VLANs, ACLs, firewalls entre zonas; princípio do menor privilégio.
- Controlo de acesso à rede (NAC) / 802.1X nas portas de acesso — só dispositivos autorizados.
- Port security — limitar MACs por porta; proteção contra rogue devices.
- Patches de firmware — corrigir vulnerabilidades (com janela e teste).
- Logs centralizados + revisão; deteção de anomalias.
- Hardening de Wi-Fi (WPA3/Enterprise) e de serviços (DNS, DHCP snooping, ARP inspection).
Continuidade e recuperação
Redundância
- Links redundantes + Spanning Tree (RSTP/MSTP) para evitar loops; EtherChannel/LACP para agregação e tolerância.
- Gateway redundante — HSRP/VRRP/GLBP.
- Equipamentos redundantes em pontos críticos (core, firewall em HA).
- Energia — UPS + gerador; fontes duplas.
- ISP — segundo acesso/operador para failover.
Backups e DR
- Backup das configurações (versionado) — restauro rápido de um equipamento substituído.
- Plano de Disaster Recovery documentado e testado.
- RPO (Recovery Point Objective) — quanto de dados/estado se pode perder.
- RTO (Recovery Time Objective) — em quanto tempo tem de estar reposto.
- Ensaios periódicos (não basta ter o plano em papel).
Resposta a incidentes
- Deteção — alerta de monitorização ou reporte de utilizador.
- Triagem — impacto (quantos afetados), severidade, prioridade.
- Comunicação — informar stakeholders (e manter atualizações durante).
- Contenção / mitigação — solução temporária para repor serviço.
- Diagnóstico — camada a camada (física → L2 → L3 → serviços), uma variável de cada vez.
- Resolução definitiva e verificação.
- Post-mortem — sem culpabilização: cronologia, causa raiz, o que correu bem/mal, ações corretivas com responsáveis e prazos.
Boas práticas: runbooks para incidentes comuns; war room em incidentes graves; registar tudo para aprender.
Documentação
Documentação viva (atualizada a cada mudança):
- Diagramas físico e lógico.
- Inventário de ativos (com firmware/garantia).
- Plano de endereçamento (sub-redes, VLANs, gateways, DHCP).
- Runbooks — procedimentos repetíveis (ex.: substituir um switch, abrir VLAN nova).
- Registo de mudanças e de incidentes.
- Contactos — operador, fornecedores, escalonamento interno.
Documentação desatualizada é pior do que não existir, porque induz em erro durante uma crise.
Apêndices
A · Checklist de gestão diária/periódica
- [ ] Painel de monitorização sem alertas críticos por tratar.
- [ ] Backups de configs do dia OK e versionados.
- [ ] Capacidade dos links sob controlo (tendência).
- [ ] Logs revistos (eventos anómalos).
- [ ] Mudanças planeadas com janela + rollback.
- [ ] Inventário/diagramas refletem a realidade.
- [ ] Firmware crítico sem CVE por aplicar.
- [ ] Teste de restauro / DR agendado.
B · Glossário
AAA. Authentication, Authorization, Accounting. FCAPS. Modelo de gestão de redes (Fault, Config, Accounting, Performance, Security). HSRP/VRRP. Protocolos de gateway redundante. MIB/OID. Estrutura/identificador de objetos SNMP. MTTR/MTBF. Tempo médio de reparação / entre falhas. RPO/RTO. Objetivos de ponto/tempo de recuperação. SNMP. Simple Network Management Protocol. Syslog. Protocolo de envio de eventos para servidor central.
C · Recursos
- Zabbix / LibreNMS / Grafana · documentação oficial.
- Oxidized · backup de configs de rede.
- ITIL · gestão de mudanças e incidentes.
- Cisco / NIST · guias de hardening de rede.