VLAN - LIP Minho
Transcrição
VLAN - LIP Minho
Introdução às Redes e Protocolos TCP/IP Sessão nº4 Jorge Gomes [email protected] Virtual LANs Virtual LAN (VLAN) • Tal como uma LAN uma VLAN pode ser definida como um domínio de broadcast: – Um pacote de broadcast chega a todas as estações da VLAN – Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN • VLANs permitem a separação das portas dos switches – Podem criar-se subconjuntos de portas que funcionam como uma LAN independente – Permite criar uma rede virtual dentro da rede física SWITCH SWITCH SWITCH VLAN 1 VLAN 2 VLAN 3 Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH C SWITCH A VLAN 2 VLAN 1 VLAN 2 SWITCH B VLAN 2 VLAN 3 Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH A SWITCH sem suporte p/ VLANs Todas as portas ficam na mesma VLAN VLAN 1 VLAN 2 SWITCH Z VLAN 2 Virtual LAN (VLAN) • As VLANs pode atravessar múltiplos switches SWITCH A VLAN Trunk Uma porta com múltiplas VLANs VLAN 1 SWITCH Y VLAN 2 VLAN 2 VLAN 1 Virtual LAN (VLAN) • Uma porta de switch ou uma interface de rede de uma maquina pode ser adicionada a uma VLAN de duas formas: – Untagged – Tagged Virtual LAN (VLAN) • Untagged – A VLAN untagged é configurada na porta do switch – Do lado do computador não é necessário fazer NADA – Todo o tráfego enviado pela interface do computador para a porta do switch é automaticamente colocado na VLAN configurada – Só pode haver uma VLAN untagged por porta do switch – Uma interface de rede de um computador só pode pertencer a uma VLAN untagged – Sob o ponto de vista do computador nem se percebe que está ligado numa VLAN – É o switch que coloca todo o tráfego na VLAN configurada Virtual LAN (VLAN) • Untagged – Uma porta está associada a uma única VLAN especifica – Não é preciso configurar nada do lado dos computadores – Os frames recebidos nas portas do switch são colocados na VLAN escolhida Interface vlan 21 Untagg GigabitEthernet 1 Untagg GigabitEthernet 2 Gi1 VLAN 21 Gi2 Virtual LAN (VLAN) • Tagged – A interface do computador e a porta do switch têem de ser ambas explicitamente configuradas – Com interfaces tagged uma interface pode pertencer a múltiplas VLANs – Cada interface adiciona informação ao header do frame Ethernet sobre a VLAN a que o frame pertence: • Tanto do lado do computador como do switch de rede • Requer frames Ethernet com suporte para VLANs – As interfaces recebem os frames e de acordo com a marca (TAG) e encaminham os frames no contexto da VLAN pretendida • Quando uma interface recebe um frame verifica se a marca (TAG) do frame corresponde a alguma das VLANs configuradas na porta • Caso não corresponda a interface deita o frame fora Virtual LAN (VLAN) • Tagged – Uma porta pode estar associada a mais de uma VLAN – É preciso mapear as portas dos switches nas VLANs Interface vlan 21 tagg GigabitEthernet 28 Interface vlan 21 tagg GigabitEthernet 1 Interface vlan 57 tagg GigabitEthernet 28 Interface vlan 57 tagg GigabitEthernet 1 Gi28 Gi1 VLAN 57 VLAN 21 VLAN 57 VLAN 21 Virtual LAN (VLAN) • Tagged – Uma porta/interface pode estar associada a mais de uma VLAN – Do lado do computador é preciso configurar interfaces virtuais mapeadas nas VLANs – Para o sistema operativo do computador é como se a maquina tivesse múltiplas interfaces de rede Interface vlan 21 tagg GigabitEthernet 1 tagg GigabitEthernet 2 vconfig add eth0 21 vconfig add eth0 57 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 tagg GigabitEthernet 1 Gi1 VLAN 57 Gi2 VLAN 21 Interface eth0 Virtual LAN (VLAN) • Tagged e Untagged – Também é possível ter uma única default VLAN untagged e múltiplas VLANs tagged – Tráfego originário da estação que não tenha TAG é encaminhado para a VLAN default – Tráfego com TAG vai para a VLAN correspondente Interface vlan 21 tagg GigabitEthernet 1 vconfig add eth0 21 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 untagg GigabitEthernet Gi1 VLAN 57 VLAN 21 Interface eth0 Virtual LAN (VLAN) • Em RH configurar uma VLAN através dos ficheiros de configuração /etc/sysconfig/network-scripts/ifcfg-eth0.21 DEVICE=eth0.21 VLAN=yes ONBOOT=no BOOTPROTO=none TYPE=Ethernet IPADDR= 193.139.66.1 NETMASK=255.255.255.0 Virtual LAN (VLAN) • A introdução de tags implica novos campos nos frames Ethernet (cabeçalho 802.1q com 32bits): – – – – Tag protocol id = 0x8100 (16bits) para identificar um frame tagged Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring VLAN id = (12bits) para indicar a VLAN • Atenção ao VLAN identifier: – VLAN id 1 é frequentemente usada para a VLAN de gestão – VLAN id 0xFFF é reservada e não pode ser usada – VLAN id 0 significa que o frame não pertence a uma VLAN pode ser usado para ter CoS sem VLAN Virtual LAN (VLAN) • O tamanho máximo de um frame Ethernet untagged são 1518 bytes excluindo: – Preambulo – Inicio de frame – Trailer • Para manter o MTU em 1500 bytes o tamanho máximo de um frame tagged é na maioria dos equipamentos 1522 bytes – 4 bytes de header 802.1q VLAN in VLAN • Usado por fornecedores de serviço para encapsularem nas suas VLANs tráfego de clientes que possui tags 802.1q • Acrescenta mais um header de 32bits tipo 802.1q • A service provider tag pode variar: – 0x9100, 0x9200, 0x9300 – A norma 802.1ad especifica a service provider flag em 0x88a8 Virtual LAN (VLAN) Force10#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 * Status Active Description REDE DE Gestao 45 Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38 Virtual LAN (VLAN) Force10#sh running ! interface Vlan 43 description VLAN PARA A REDE IP 172.70.51.0 name VLAN DA TRETA ip address 172.70.51.254/24 untagged GigabitEthernet 5/8,20-22,40-43 ip helper-address 172.70.2.167 no shutdown ! Virtual LAN (VLAN) Cisco#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 * Status Active Description REDE DE Gestao 45 Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38 Virtual LAN (VLAN) cisco#sh vlan VLAN ---34 61 Name Status Ports -------------------------------- --------- ------------------------------ VLAN ---34 61 Type ----enet enet default MY VLAN SAID ---------100001 100005 active active MTU ----1500 1500 Parent ------ RingNo ------ Gi1/43, Gi1/14, Gi1/35, Gi1/26 BridgeNo -------- Stp ---- BrdgMode -------- Trans1 -----0 0 Trans2 -----0 0 Spanning Tree Spanning Tree SWITCH A SWITCH B SWITCH C A B • STP - Spanning Tree Protocol (IEEE 802.1D): – evita loops na rede – permite criar ligações redundantes • Funcionamento: – usa apenas uma ligação e inibe as outras – se houver uma quebra da ligação activa usa uma ligação que estava inibida • Requer suporte de spanning-tree em todos os dispositivos – switches e bridges Spanning Tree • O STP foi inventado pela digital (DEC) • Mais tarde foi criado um standard pela IEEE • Existem diferenças entre as duas implementações – Não são compativeis – Alguns equipamentos possuem ambas as implementações • Mesmo com equipamentos que obedecem a uma mesma especificação: – Por vezes surgem problemas – Especialmente devido a parametrizações diferentes (timers etc) Spanning Tree • Cada bridge possui um identificador (bridge-id) de 8 bytes: – 2 primeiros bytes são uma prioridade – 6 últimos bytes são obtidos de um MAC address • De entre todas as bridges a que tiver menor bridge-id é eleita ROOT BRIDGE • O algoritmo calcula: – O caminho com menor custo de todos os segmentos de rede até à root bridge – Em situações em que existe mais de um caminho possível é escolhido o caminho através da bridge com menor bridge-id – O custo de cada interface depende da sua velocidade – Os custos podem ser configurados manualmente para mudar a topologia Spanning Tree • As bridges trocam entre si mensagens: – Bridge Protocol Data Units (BPDUs) – Para conhecer os bridge-ids – Para conhecer os root path costs • Os BPDUs: – Funcionam em Layer 2 – Endereço de origem é o endereço Ethernet da porta que transmite – Endereço de destino é o grupo de multicast 01:80:C2:00:00:00 • Tipos de BPDUs: – Configuration BPDUs (CBPDUs) usados para calculo da arvore – Topology Change Notification (TCN BPDU) para anuncio da alterações na topologia de rede – Topology Change Notification Acknowledgment (TCA) Spanning Tree • Os BPDUs são trocados constantemente para detecção de alterações de topologia • Os TCN BPDUs são usados para notificar da alteração de estado de portas das bridges • Quando um switch arranca espera durante 30s – – – – – Para aprender a topologia através dos BPDUs recebidos Para aprender endereços Para verifica se pode causar um loop Se puder ser causa de loop bloqueia as portas necessárias Só então começa a fazer forwarding de pacotes Spanning Tree Protocol STP baseia-se em grafos RP: root port DP: designated port BP: blocked port Spanning Tree • Custos para cada tipo de interface: Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001) 4 Mbit/s 250 5,000,000 10 Mbit/s 100 2,000,000 16 Mbit/s 62 1,250,000 100 Mbit/s 19 200,000 1 Gbit/s 4 20,000 2 Gbit/s 3 10,000 10 Gbit/s 2 2,000 Spanning Tree • RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w) – STP com convergência mais rápida (6s em vez de 30-50s) – Refinamento do STP, é a referência actual • MSTP – Multiple Spanning Tree Protocol – IEEE802.1s e IEEE802.1Q – Extensão do RSTP para suportar VLANs (uma Tree por VLAN) • PVST e PVST+ – Per VLAN Spanning Tree – STP por VLAN – Protocolo proprietário da CISCO • R-PVST – Rapid Per VLAN Spanning Tree – Versão Rapid Spanning Tree do PVST proprietária da CISCO Routers e Switches Routers e Switches • Switch L2 – Encaminha frames de baixo nível (nível 2) • Ethernet, FDDI, ATM, etc … – Não sabe o que é um protocolo L3 como o TCP/IP – Não consegue encaminhar frames para fora de um domínio de broadcast • Router ou um Switch L3 – Encaminha pacotes de alto nível (nível 3) • TCP/IP, Netbios, IPX, DECnet , etc … – Interpreta a informação L3 contida no payload dos frames – Pode ser usado para interligar: • Domínios de broadcast • Diferentes tipos de redes físicas • Virtual LANs Routers e Switches • • • As LANs azul e cinzenta são domínios de broadcast diferentes Um único frame Ethernet não pode percorrer o trajecto de A para Z O pacote TCP/IP tem de ser enviado – – – LAN – Azul Z Dentro de um frame Ethernet de A para o endereço Ethernet do router cinzento Dentro de células ATM do router cinzento com destino ao azul Dentro de um frame Ethernet do router azul para o endereço Ethernet de Z LAN – Cinzenta Rede ATM Router Cinzento Pacote TCP/IP para Z B Router azul A Switch L2 Routers e Switches LIP Coimbra Switch L2/L3 Force10 LAN RCTS Internet FCCN Switch L3 Switch L2/L3 Force10 FCCN Nuvem L2 Ethernet LAN • • • • Uma nuvem L2 Ethernet fornecida pela FCCN interliga os 3 locais Os equipamentos L2 da FCCN só vêem os frames Ethernet Dentro dos frames vão pacotes TCP/IP (L3) Os switches/routers do LIP processam a informação L3 LIP Lisboa Router L3 CISCO DMZ Nó Central LNEC Switch L2/L3 Force10 LAN Shaping, Policing e Qualidade de Serviço em Layer 2 Shaping e Policing • Por vezes é necessário limitar a largura de banda de uma interface de rede ou de um tipo de tráfego: – Alocação de largura de banda a determinados tipos de tráfego – Diminuir a probabilidade de perda de pacotes – Forçar a utilização a um limite acordado A C B 10Mbps 1Mbps D 7Mbps Pode fazer sentido limitar a 1Mbps para tudo o que vai para além de B • Shaping: – Introduzir intervalos entre a transmissão de pacotes de forma a limitar a largura de banda – Usa-se apenas à saída de uma interface • Policing: – Limitar o tráfego deitando fora todos os pacotes acima de uma largura de banda predeterminada – Pode usar-se à saída ou à entrada de uma interface Shaping e Policing • Shaping – Existem diversos algoritmos e métodos de shaping: – Token Bucket – Leaky Bucket – Controlo artificial to TCP manipulando as janelas e os ACKs – Pode obrigar à perda de pacotes quando o buffer ou fila de transmissão está cheia – Quando se deita fora os pacotes da cauda funciona como policing – É preferível usar algoritmos mais “inteligentes” para deitar alguns pacotes fora e evitar que a fila encha (drop mais esparso) – Algoritmos de congestion avoidance: – Random Early Detect (RED) – Weigthed Random Early Detect (WRED) – Ao longo de um caminho o shaping deve ser feito o mais cedo possível – Um bom shaping requer: – Mais “inteligência” nos dispositivos de rede – Sobretudo um grande buffer de acordo com a capacidade da interface – Não existe em todos os dispositivos de redes Shaping e Policing • Policing – Como o tráfego que ultrapassa o limite é deitado fora as perdas podem ser extremamente concentradas no tempo – Caso os protocolos não reajam bem à perda de pacotes – Falta de mecanismos de feedback e ajuste – Pode causar disrupção como se houvesse períodos de falta de conectividade – O impacto da perda é mais acentuado do que no shaping – Como não existe buffering é mais simples de implementar – Como não requer algoritmos sofisticados é mais simples de implementar Shaping e Policing Shaping e Policing • Todas os protocolos bem concebidos devem possuir mecanismos de adaptação à perda de pacotes: – – – – Retransmissão Feedback notificação de que os pacotes não chegaram Auto adaptação à perda de pacotes envio a um ritmo menor Em tráfego de tempo real como voz e vídeo idealmente a qualidade deve ser adaptada dinamicamente à largura de banda disponível • Se o mecanismo não existir no protocolo usado então deve ser implementado ao nível da aplicação: – Ao nível da aplicação pode efectuar-se uma adaptação mais inteligente – Por ex: um sistema de monitorização pode enviar a informação mais espaçada ou dar prioridade a alguma informação em detrimento de outra Shaping e Policing • Efectuar shaping numa interface de um Force10 para todo o tráfego à saida – Fazer o shapping a 600Mbps com burst de 20KBytes Force10#config Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate shape 600 20 Force10(conf-if)#end Force10 # Shaping e Policing • Efectuar policing numa interface de um Force10 para todo o tráfego à entrada – Largura de banda garantida 80Mbps com burst de 50KBytes – Pico 90Mbps com burst de 60KBytes Force10#config t Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate police 80 50 peak 90 60 Force10(conf-if)#end Force10# Shaping e Policing e Classificação • Métodos mais sofisticados incluem a classificação do tráfego de acordo com as suas características: – Origem, destino, protocolo, etc • Cada classe de tráfego pode então ser tratada de forma diferenciada: – Limites de utilização diferentes – Shaping ou policing – Algoritmos de drop diferentes etc • A classificação é muito importante para privilegiar o tráfego interactivo ou de tempo real sobre outros tipos de tráfego Quality of Service • Quality of Service (QoS) em redes de dados é a capacidade de tratamento diferenciado para: – Determinados tipos de tráfego – Determinados fluxos de tráfego • Objectivo garantir níveis de desempenho diferenciados de acordo com as necessidades • A qualidade de serviço é importante: – Quando a largura de banda total é insuficiente para as necessidades – Quando algum tráfego é mais importante ou necessita de largura de banda ou atraso mínimos garantidos – Exemplos: voz e dados numa mesma rede Quality of Service • Existem diversos factores que podem afectar a qualidade de um serviço de rede: – – – – – – Largura de banda Perda de pacotes Atraso Variações no atraso (jitter) Entrega fora de sequencia Erros • Exemplos de aplicações que necessitam/beneficiam de QoS: – – – – Aplicações interactivas que requerem resposta em tempo real (cirurgia remota) Voice Over IP (VOIP) Videoconferência Protocolos de controle da própria rede • O problema surge quando se mistura numa mesma rede tráfego com requisitos de qualidade de serviço com tráfego de dados geral Quality of Service • A maior parte das redes incluindo a Internet funcionam como serviços best-effort: – Não há qualquer garantia de serviço – Não há tratamento diferenciado • A implementação de mecanismos de qualidade de serviço é extremamente complexa: – A qualidade de serviço para funcionar tem de ser respeitada por todos os equipamentos ao longo de todo o caminho – Requer processamento adicional – A maioria dos equipamentos está concebia para efectuar encaminhamento rápido indiferenciado • Frequentemente é preferível resolver os problemas aumentando a largura de banda ! Ethernet QoS • IEEE 802.1p ou Class of Service (CoS) • Define um campo de 3 bits – Usado para implementar prioritização – Presente nos frames 802.1q usados nas VLANs com tagging • O campo define 8 classes de serviço: – – – – – – – – 0 best effort 1 background 2 spare 3 excellent effort 4 controlled load 5 video 6 voice 7 network control Ethernet QoS Force10 • Por exemplo num Force10 C300 as 8 prioridades são mapeadas em 4 filas: – – – – dot1p dot1p dot1p dot1p 0, 1 fila 1 2, 3 fila 0 4, 5 fila 2 6, 7 fila 3 13.3% 6.6% 26.6% 53.3% • O tráfego de entrada de uma interface pode ser classificado numa prioridade Force10# config Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# switchport Force10(conf-if)# description IP-TELEPHONES Force10(conf-if)# dot1p-priority 6 Force10(conf-if)# end Ethernet QoS Force10 • Pode configurar-se as interfaces para respeitar a marcação dos pacotes que entram no switch • Por defeito na maioria dos switches (Force10 incluído) as marcações dot1p não são respeitadas Force10# config t Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-class dynamic dot1p Force10(conf-if)# end Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos • Mudando os valores default que são aplicáveis a todas as interfaces Force10# config t Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32 queue2 64 queue3 128 Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos Force10(conf)# qos-policy-output DATA Force10(conf-qos-policy-out)# bandwidth-weight 8 Force10(conf)# qos-policy-output IMPORTANT Force10(conf-qos-policy-out)# bandwidth-weight 64 Force10(conf-qos-policy-out)# Force10(conf)# policy-map-output MY-OUT-POLICY Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT Force10(conf-policy-map-out)# Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-policy output MY-OUT-POLICY Force10(conf-if)# end Wi-Fi Wi-Fi • Tecnologia Wireless Local Area Network IEEE 802.11 – Comunicação sem fios através de radiofrequências • Algumas das normas IEEE 802.11: – – – – 802.11a 802.11b 802.11g 802.11n 54Mbps 11Mbps 54Mbps 600Mbps 23Mbps 4.3Mbps 19Mbps 30/130Mbps 5GHz 2.4GHz 2.4GHz 2.4GHz/5GHz • Usa espectro de rádio aberto não requer licenciamento – Dependendo da norma pode usar 2.4GHz ou 5GHz • As bandas são dividida em canais – A regulação da utilização do espectro de radiofrequências difere de país para país – O numero de canais varia de acordo Wi-Fi Frequências • 2.4GHz – Outros dispositivos podem interferir: telefones sem fios, bluetooth , monitores dos bebés, etc – A banda de 2.4GHz está muito saturada – Espaçamento entre canais é de 5MHz – Na Europa a banda é dividida em 13 – Nos EUA são 11 canais e no Japão são 14 canais – Existe sobreposição de canais • 5GHz – O alcance é menor – Sinais mais absorvidos por paredes e objectos sólidos – A utilização de antenas com maior ganho pode compensar o menor alcance – Espaçamento mínimo entre canais é de 20MHz – Na Europa a banda é dividida em 19 canais – EUA 20 canais, Japão 23 canais, China 5 canais etc Wi-Fi Normas e Frequências • Normas (b, g) a 2.4GHz: – Espaçamento entre canais 5MHz – Largura de cada canal 20MHz – Canais 1, 6, 11 não são sobrepostos • Norma (n) a 2.4GHz: – – – – Espaçamento entre canais 5MHz Largura de cada canal 20MHz ou 40MHz A 22MHz canais 1, 6, 11 não são sobrepostos A 40MHz canais 1, 11 não são sobrepostos Wi-Fi Normas e Frequências • Norma (a) a 5GHz: – Espaçamento mínimo entre canais 20MHz – Largura de cada canal 20MHz – 20 canais • Norma (n) a 5GHz: – – – – Espaçamento mínimo entre canais 20MHz Largura de cada canal 20MHz ou 40MHz 20 canais A 40MHz há sobreposição com o canal adjacente (10 canais) Wi-Fi Normas e Frequências • Norma a – 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 35m – 120m • Norma b – 1, 2, 5.5, 11 Mbps – 38m – 140m • Norma g – 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 38m – 140m • Norma n – 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps – 15, 30, 45, 60, 90, 120, 135, 150 Mbps – 70m – 250m a 20MHz de largura a 40MHz de largura Wi-Fi mais normas • As normas de regulação do espectro de radiofrequências variam: – O numero de canais por banda 2.4GHz ou 5GHz varia – 5.47GHz a 5.725 GHz (802.11h) • Resolver problemas de interferência com comunicações via satélite e sistemas de radar • Introduz a alocação dinâmica de frequências (DFS) • Introduz o controlo dinâmico da potencia de transmissão (TPC) • A banda 5.47GHz a 5.725GHz não está autorizada em todos os países – 3.6GHz (802.11y) • Banda para transmissão c/ elevada potencia usada com o 802.11a • Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais • Autorizado apenas nos EUA Wi-Fi modos de funcionamento • Dois modos de funcionamento • Infrastructure – – – – – Baseia-se em access-points (AP) Centraliza o controlo de acesso nos AP Centraliza todas as comunicações wireless nos AP Podem existir múltiplos AP numa mesma rede Wireless Os AP ficam interligados por uma rede wired Ethernet • ad-hoc – Comunicação directa (peer-to-peer) entre dispositivos wireless – Não necessita de um access point Rede Wi-Fi tipo ad-hoc Rede Wi-Fi tipo infrastructure Ethernet LAN Ethernet Access Point (AP) Access Point (AP) Bridge Rede Wi-Fi tipo infrastructure Router + Firewall Internet Ethernet LAN Access Point (AP) Bridge ou Router Rede Wi-Fi c/ Firewall Router + Firewall Ethernet LAN Internet Firewall Ethernet LAN DMZ Access Point (AP) Filtrar o tráfego com origem nos portáteis e destinado à LAN Access Point (AP) Bridge Permite usar o mesmo endereço IP nos portáteis independentemente do AP AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena Wi-Fi • SSID – Service Set Identifier – Identifica o nome da rede Wireless – Numa mesma rede tipo infrastructure múltiplos APs podem partilhar o mesmo SSID – Case sensitive, pode ter um máximo de 32 caracteres – O SSID pode ser anunciado periodicamente ou não • SSID broadcast • Rede visível • BSSID – Basic Service Set Identifier – Em modo infrastructure é o MAC address da interface wireless de cada um dos access points – Em modo ad-hoc é um endereço MAC gerado aleatoriamente pelo primeiro dispositivo a “ligar-se” à rede ad-hoc • Individual/Group bit 0 • Universal/Local bit 1 Wi-Fi • Modo Infrastructure – Todos os dispositivos precisam de usar o mesmo SSID • Identifica a rede Wireless – Todos os dispositivos associados ao mesmo AP precisam de • Usar o mesmo BSSID do AP • Usar o mesmo canal do AP • Modo Ad-hoc – Todos os dispositivos precisam de usar o mesmo SSID – Todos os dispositivos precisam de usar o mesmo BSSID – Todos os dispositivos precisam de usar o mesmo canal Rede Wi-Fi tipo infrastructure Ethernet LAN SSID Access Point (AP) BSSID Canal 1 Access Point (AP) BSSID Canal 11 Wi-Fi Transmissão • Funcionamento em half-duplex – Ou transmite ou recebe • As redes wireless são meios partilhados – Como as redes Ethernet antigas • Protocolo de transmissão tipo CSMA/CA: – Carrier Sense Multiple Access with Collision Avoidance – Similar ao CSMA/CD das redes Ethernet – O protocolo minimiza a possibilidade de colisões: • • • • • • Espera que não haja transmissões a decorrer Lança intervalo de espera aleatório Transmite O transmissor espera um ACK do receptor O receptor verifica o CRC do frame recebido O receptor envia ACK se CRC ok – A perda de desempenho pela espera é compensada pela menor ocorrência de colisões Wi-Fi Frames To AP From AP Fragment Retrans A frame Is available Strict ordering Wi-Fi Frames PLCP header Wi-Fi Frame • Existem 4 campos de endereço • O significado depende do valor dos campos – To DS (to distribution system) – From DS (from distribution system) • Addrs: – Addr1 – Addr2 – Addr3 – Addr4 receptor imediato emissor BSSID de uma rede ad-hoc (ToDS 0 FromDS 0) emissor original (ToDS 0 FromDS 1) destino final (ToDS 1 FromDS 0) apenas usado em relay de frames entre APs Wi-Fi Frames • Tipos de MAC frames 802.11 – Control frames • RTS (request to send) • CTS (clear to send) • ACK (acknowledge) Uso facultativo Obrigatório em APs com mais de um modo Diminui o desempenho – Management Frames • • • • • • • Beacon Probe req, Probe resp Assoc req, Assoc resp Reassoc req, Reassoc resp Disassociation Authentication Deauthentication – Data Frames Scan passivo Scan activo Associação Só usado em redes tipo infrastructure Equivalente a ligar o cabo à ficha Wi-Fi RTS/CTS • Porquê usar o RTS/CTS ? • O protocolo CSMA requer que uma estação antes de transmitir seja capaz de escutar o meio: – Se as estações estiverem muito afastadas isto pode não ser possível aumentando a probabilidade de colisões – Numa rede com APs a suportar por ex. as normas b e g as estações com norma b não conseguem escutar as transmissões na norma g (modulações diferentes CCK e OFDM) B B não ouve G B AP B B CCK G não ouve B AP B/G OFDM G porque B e G usam modulações diferentes Fragmentação • Existe um mecanismo de fragmentação: – O Bit error rate pode ser elevado logo faz sentido enviar frames mais pequenos – Por outro lado faz sentido suportar frames de 1500 bytes tal como na Ethernet – A solução é a fragmentação Wi-Fi Inicio de comunicação • Rede tipo infra-estrutura • Exemplo de estabelecimento de comunicação entre uma estação e um AP Wi-Fi Overheads • Os desempenhos anunciados nas normas são raw • Na pratica os desempenhos na transmissão de dados são muito menores • O gráfico mostra os overheads com preambulo longo • O uso de preâmbulos curtos melhoram ligeiramente o desempenho Inter Frame Spaces (Intervals) Wi-Fi • Transmissão de um frame • Se o tamanho dos dados ultrapassar o limiar de fragmentação (threshold) é necessário transmitir mais de um frame • Se o protocolo RTS/CTS for usado a troca de frames aumenta Wi-Fi WEP • Tipos de rede em termos de segurança: – Open • Estação envia um frame de autenticação • AP responde com frame de autenticação – Shared-key (WEP – Wired Equivalent Privacy) • • • • • • Método de encriptação inseguro (RC4 c/ chaves de 40bits) Chave comum entre todas as estações e o AP Estação envia de um frame de autenticação AP responde com frame de autenticação com desafio (texto) Estação encripta o texto de desafio com a chave AP verifica que o texto encriptado corresponde ao desafio e responde com frame de autenticação com status de sucesso – WPA / WPA2 (802.11i) • Usam o protocolo 802.1x para autenticação Wi-Fi WAP • WPA - Wi-Fi Protected Access (draft standard) • Solução interina para substituição do WEP que é inseguro: – Usa o protocolo TKIP (Temporal Key Integrity Protocol) – Compromisso entre segurança e a possibilidade de usar o hardware que então existia – Usa RC4 como o WEP mas as chaves mudam a cada pacote transmitido, implementa protecção contra repetição de pacotes e verificação da integridade das mensagens • Dois modos possíveis WPA-enterprise e WPA-personal • WPA- enterprise – Autenticação através de um servidor de autenticação RADIUS e EAP – Muito à semelhança do WPA2 – Maior granularidade com controlo de acesso por utilizador • WPA-personal – Usa chaves partilhadas pré-definidas pre-shared-keys (PSK) – Não requer servidor RADIUS e é menos complexo – As chaves são partilhas por todos os utilizadores Wi-Fi WPA • Autenticador – Access Point Wireless • Suplicante – Estação (o vosso portátil) • Servidor de autenticação – RADIUS • O método para gerar e distribuir as chaves de acesso ao autenticador e suplicante e igual entre: – WPA personal – WPA enterprise • Apenas o método de geração das chaves mestras para cada sessão muda. – Porque existe o servidor Radius no meio Wi-Fi WPA2 • O WPA2 (802.11i) é o sucessor do WPA: – Algoritmo de encriptação mais robust AES em vez de TKIP – Incorpora optimizações diversas – O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é usado para distribuir chaves entre o suplicante e o autenticador • Fortemente baseado no 802.1X que permite autenticação da ligação de estações a uma porta numa LAN: – A ligação a uma porta em 802.1X corresponde à associação ao AP – Uma vez associada a um AP todo o tráfego não 802.1X proveniente da estação é eliminado – Após autenticação 802.1X bem sucedida todo o tráfego pode passar • EAP permite múltiplos tipos de autenticação: – – – – – EAP-TLS EAP-LEAP EAP-PEAP EAP-MD5 EAP-TTLS usa certificados de utilizador para autenticação CISCO usa passwords usa passwords através de túnel via MSCHAPv2 RFC3748 passwords com encriptação MD5 Envio das passwords através de um túnel TLS Wi-Fi WPA2 • 802.1x • Comunicação segura • Entre a estação e o servidor RADIUS através do AP • Usando certificados • O servidor Radius possui um certificado
Documentos relacionados
Equipamentos de Redes de Computadores
• Correção de falhas de transmissão entre nós • Roteamento e encaminhamento dos pacotes, selecionando o melhor caminho • Suporte para mais de 500 estações Se utilizado em LANs, um switch camada 3 p...
Leia mais