V3PN Voice, Video and Integrated Data IP
Transcrição
V3PN Voice, Video and Integrated Data IP
V3PN Voice, Video and Integrated Data IP Palestra V3PN V3PN Voice, Video and Integrated Data Palestrante André Gustavo Lomônaco Diretor de Tecnologia da IPPLUS Tecnologia Mestre em Engenharia Elétrica Certificado Cisco CCIE e Microsoft MCSE [email protected] Palestra V3PN Qualidade de Serviço em VPN Telefonia IP Utilizando Link Dedicado Telefonia IP Utilizando Link Público Componentes de uma solução V3PN Telefonia IP Virtual Private Network Qualidade de Serviço Palestra V3PN Telefonia IP Utilizando Link Dedicado Palestra V3PN Telefonia IP Utilizando Link Público Palestra V3PN Componentes de Uma Solução V3PN Telefonia IP Qualidade de Serviço (QoS) Virtual Private Network Palestra V3PN Telefonia IP Telefonia IP pode ser implementada utilizando diferentes tipos de CODEC e taxas de amostragem. Cada uma oferece vantagens e desvantagens em termos de qualidade de voz, atraso adicionado, consumo de largura de banda e consumo de recursos do roteador Palestra V3PN Cenário : Chamada com sinalização H.323 Na chamada entre dois telefones analógicos, o roteador coleta a voz analógica, digitaliza a voz, codifica a voz utilizando um codec de voz e coloca esta voz no campo payload de voz, conforme figura abaixo. O roteador que receber o pacote reverte todo o processo para que possa executar a forma de onda analógica para o telefone analógico. Palestra V3PN Protocolos de Sinalização e Payload Palestra V3PN Definição de Codecs Codecs processam os sinais analógicos de entrada e convertem em um sinal digital (binário). Os valores binários reais utilizados para representar a voz variam de acordo com o Codec utilizado. Cada Codec apresenta suas próprias características, sendo as duas características mais importantes a qualidade da voz que o Codec consegue gerar e a quantidade de largura de banda que ele exige que o cliente tenha para cada chamada. Palestra V3PN Codecs de Voz Populares Exemplo do cálculo da taxa de acesso necessária para o payload do Codec G.711: 160 bytes equivale a 160*8 = 1280 bits. Como são necessários 1280 bits para transmitir 20ms de voz, são necessários 1280 bits*50 = 64000 bits para transmitir 1 segundo de voz Palestra V3PN Exigências de Bandwidth incluindo camada 2 Exemplo do cálculo da taxa de acesso necessária para uma chamada utilizando o Codec G.711 (50 pps) na Ethernet 802.1Q: 160 bytes (Payload) + 40 bytes (L3/L4) + 32 bytes (L2) equivale a 232*8 = 1856 bits. Como são necessários 1856 bits para transmitir 20 ms de voz, são necessários 1856 bits*50 = 92800 para transmitir 1 segundo de voz Palestra V3PN Exigência de Qos para Sinalização e Payload Bandwidth Delay Jitter Perda Payload de Baixo Voz Baixo Baixo Baixo Sinalização Baixo de Voz Baixo Médio Médio Palestra V3PN Exigências de Delay One-Way (Somente Ida) É importante destacar que um pacote de voz não pode ter um delay maior do 200ms para que o usuário tenha o mesmo grau de satisfação no uso da tecnologia VoIP do que teria na utilização da Telefonia Convencional. Palestra V3PN VPN (Virtual Private Network) Como o próprio nome sugere, a VPN pode ser definida como um serviço de rede privado a partir de uma infra-estrutura fornecida por uma rede pública. Uma ligação telefônica entre dois assinantes é o exemplo mais simples de uma conexão privada virtual através de uma rede de telefonia pública. Dois características Virtual e Privada. Palestra V3PN importantes de uma VPN: Motivações Redução de Custos É mais econômico se utilizar uma rede pública (como exemplo a Internet) para se conectar vários sites do que se utilizar links dedicados. Quanto maior a distância entre os sites, maior a redução de custos ao se utilizar VPNs. Se há a necessidade de todos os sites se conectarem a todos os sites (Full Mesh), a utilização de links dedicados se torna extremamente cara. Acesso Remoto Seguro. Palestra V3PN Motivações Palestra V3PN Tecnologias VPN Layer 2 VPNs : Frame Relay e ATM Operam na camada 2 do modelo OSI através de conexões ponto a ponto e estabelecem conectividade entre os sites através de um circuito virtual, geralmente permanente (Permanent Virtual Circuit) embora este circuito também possa ser dinâmico (Switched Virtual Circuit). Tem como vantagens não dependerem do protocolo utilizado na camada 3 (IP, IPX, AppleTalk, IP Multicast) e fornecerem bons recursos para se aplicar Qualidade de Serviço para tráfegos diferenciados (exemplo: VoFR e VoATM) Palestra V3PN Tecnologias VPN Layer 3 VPNs : GRE, MPLS, IPSec Generic Routing Encapsulation (GRE) definido originalmente pela Cisco e padronizado pela RFC 1701 fornece o tunelamento entre sites, porém a falta de mecanismos de segurança fazem com que ele raramente sejam utilizado como VPN. Palestra V3PN Tecnologias VPN Layer 3 VPNs : GRE, MPLS, IPSec Multiprotocol Label Switching (MPLS) têm como principal vantagem não necessitar de túneis ponto a ponto para se conectar sites, podendo todos os sites se conectarem entre si através de um devido roteamento, não exigindo uma Full Mesh para isso. A desvantagem é a necessidade de um ponto de presença da operadora para se conectar a uma rede MPLS. Palestra V3PN Tecnologias VPN Layer 3 VPNs : GRE, MPLS, IPSec Serviços IPSec permitem autenticação, integridade, controle de acesso e confidencialidade. Com o IPSec, a informação trocada entre sites remotos podem ser criptografadas e verificadas. Ambos as VPNs de acesso remoto e VPNs Site-toSite podem ser projetadas e desenvolvidas através da suíte de protocolos IPSec. Para VPNs de acesso remoto temos também os protocolos PPTP e L2TP Palestra V3PN Visão Geral do IPSec Um comum engano sobre o IPSec é defini-lo como um único protocolo para fornecer serviços para o tráfego IP. Na realidade, IPSec é realmente uma coleção de protocolos definidos pelo grupo de trabalho do IPSec no IETF. Palestra V3PN Arquitetura Básica A arquitetura básica do componentes básicos são: IPSec e os seus Protocolos de Segurança Authentication Header (AH) Encapsulation Security Payload (ESP) Gerenciamento de Chave ISAKMP IKE SKEME Algoritmos para Criptografia e Autenticação Palestra V3PN Modos IPSec O O tráfego tráfego éé criptografado criptografado pelo pelo ESP ESP ee assinado assinado digitalmente digitalmente pelo pelo AH AH ESP ESP Modo Modo Túnel Túnel fornece fornece segurança segurança para para oo tráfego tráfego entre entre duas duas redes redes AH AH Modo Modo Túnel Túnel Roteador Roteador Router Router Modo Modo Transporte Transporte fornece fornece segurança segurança para para oo tráfego tráfego entre entre dois dois hosts hosts Palestra V3PN Roteador Roteador Modo Modo Transporte Transporte Modo IPSec Transporte No modo de transporte, o cabeçalho IPSec (AH ou ESP) é introduzido entre o cabeçalho IP e o cabeçalho do protocolo da camada superior Palestra V3PN Modo IPSec Transporte O cabeçalho IP é o mesmo, somente alterando o campo do protocolo IP para ESP (50) ou AH (51). O fato de que tanto o endereço IP da origem quanto do destino não é alterado leva as seguintes considerações: 1. As terminações IP e terminações IPSec devem ser as mesmas 2. Utilizado para fornecer segurança para o tráfego entre dois hosts 3. Não pode ser utilizado quando há NAT entre os dois parceiros IPSec Palestra V3PN Modo IPSec Túnel No modo de túnel, o cabeçalho IPSec (AH ou ESP) é introduzido entre os cabeçalhos externos e internos Palestra V3PN Modo IPSec Túnel O fato de que tanto o endereço IP da origem quanto do destino são alterados leva as seguintes considerações: 1. As terminações IP e terminações IPSec não precisam ser as mesmas 2. Utilizado para fornecer segurança para o tráfego entre dois sites 3. Também utilizado para fornecer VPN de acesso remoto Palestra V3PN Encapsulation Security Payload ESP pode Fornecer confidencialidade através da criptografia do payload do pacote com um algoritmo de criptografia simétrico Opcionalmente pode fornecer autenticação e integridade para o payload (HMACs: keyed SHA or MD5) Palestra V3PN Aumento do Overhead do Cabeçalho do Pacote A adição de uma cabeçalho IPSec /ESP e também de um cabeçalho IP GRE e IPSec /AH aumenta o tamanho do pacote de vídeo ou voz original Igualmente ao caso de não se utilizar criptografia, para links WAN com pouca velocidade se recomenda o CODEC G.729 para se otimizar o uso da largura de banda Palestra V3PN Overhead do Cabeçalho do Pacote G.711 Exemplo do cálculo da taxa de acesso necessária para uma chamada utilizando o Codec G.711 (50 pps): 160 bytes (Payload) + 40 bytes (L3/L4) + 80 bytes (Criptografia) equivale a 280*8 = 2240 bits. Como são necessários 2240 bits para transmitir 20 ms de voz, são necessários 2240 bits*50 = 112000 bits para transmitir 1s de voz Palestra V3PN Overhead do Cabeçalho do Pacote G.729 Exemplo do cálculo da taxa de acesso necessária para uma chamada utilizando o Codec G.729 (50 pps): 20 bytes (Payload) + 40 bytes (L3/L4) + 76 bytes (Criptografia) equivale a 136*8 = 1088 bits. Como são necessários 1088 bits para transmitir 20 ms de voz, são necessários 1088 bits*50 = 54400 bits para transmitir 1s de voz Palestra V3PN QoS Categorias de Tráfego Palestra V3PN QoS Pre-Classify Palestra V3PN IP Precedence é Mantido Palestra V3PN Alocação de Banda por Link Palestra V3PN Alocação de Banda por Link Palestra V3PN Atraso Fim a Fim Um aspecto vital em um projeto de Telefonia IP envolve o cálculo do atraso fim a fim. Idealmente o atraso total fim a fim considerando somente um caminho deve ser menor do que 100msec, embora o padrão ITU G.114 aceite um atraso de até 150 msec para uma rede com qualidade para trafegar voz. Na prática limites de até 200msec e 250msec são aceitáveis. Palestra V3PN Atraso Fim a Fim Palestra V3PN Qualidade de Serviço QoS Palestra V3PN Qualidade de Serviço QoS Palestra V3PN V3PN Voice, Video and Integrated Data Telefonia IP Utilizando Link Dedicado Telefonia IP Utilizando Link Público Componentes de uma solução V3PN Telefonia IP Virtual Private Network Qualidade de Serviço Palestra V3PN