VLAN - LIP Minho

Introdução às Redes e
Protocolos TCP/IP
Sessão nº4
Jorge Gomes
[email protected]
Virtual LANs
Virtual LAN (VLAN)
• Tal como uma LAN uma VLAN pode ser definida como
um domínio de broadcast:
– Um pacote de broadcast chega a todas as estações da VLAN
– Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN
• VLANs permitem a separação das portas dos switches
– Podem criar-se subconjuntos de portas que funcionam como
uma LAN independente
– Permite criar uma rede virtual dentro da rede física
SWITCH
SWITCH
SWITCH
VLAN 1
VLAN 2
VLAN 3
Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches
SWITCH C
SWITCH A
VLAN 2
VLAN 1
VLAN 2
SWITCH B
VLAN 2
VLAN 3
Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches
SWITCH A
SWITCH sem
suporte p/ VLANs
Todas as portas
ficam na mesma
VLAN
VLAN 1
VLAN 2
SWITCH Z
VLAN 2
Virtual LAN (VLAN)
• As VLANs pode atravessar múltiplos switches
SWITCH A
VLAN Trunk
Uma porta com múltiplas VLANs
VLAN 1
SWITCH Y
VLAN 2
VLAN 2
VLAN 1
Virtual LAN (VLAN)
• Uma porta de switch ou uma interface de rede de uma
maquina pode ser adicionada a uma VLAN de duas
formas:
– Untagged
– Tagged
Virtual LAN (VLAN)
• Untagged
– A VLAN untagged é configurada na porta do switch
– Do lado do computador não é necessário fazer NADA
– Todo o tráfego enviado pela interface do computador para a
porta do switch é automaticamente colocado na VLAN
configurada
– Só pode haver uma VLAN untagged por porta do switch
– Uma interface de rede de um computador só pode pertencer a
uma VLAN untagged
– Sob o ponto de vista do computador nem se percebe que está
ligado numa VLAN
– É o switch que coloca todo o tráfego na VLAN configurada
Virtual LAN (VLAN)
• Untagged
– Uma porta está associada a uma única VLAN especifica
– Não é preciso configurar nada do lado dos computadores
– Os frames recebidos nas portas do switch são colocados na
VLAN escolhida
Interface vlan 21
Untagg GigabitEthernet 1
Untagg GigabitEthernet 2
Gi1
VLAN 21
Gi2
Virtual LAN (VLAN)
• Tagged
– A interface do computador e a porta do switch têem de ser
ambas explicitamente configuradas
– Com interfaces tagged uma interface pode pertencer a
múltiplas VLANs
– Cada interface adiciona informação ao header do frame
Ethernet sobre a VLAN a que o frame pertence:
• Tanto do lado do computador como do switch de rede
• Requer frames Ethernet com suporte para VLANs
– As interfaces recebem os frames e de acordo com a marca
(TAG) e encaminham os frames no contexto da VLAN
pretendida
• Quando uma interface recebe um frame verifica se a marca (TAG)
do frame corresponde a alguma das VLANs configuradas na porta
• Caso não corresponda a interface deita o frame fora
Virtual LAN (VLAN)
• Tagged
– Uma porta pode estar associada a mais de uma VLAN
– É preciso mapear as portas dos switches nas VLANs
Interface vlan 21
tagg GigabitEthernet 28
Interface vlan 21
tagg GigabitEthernet 1
Interface vlan 57
tagg GigabitEthernet 28
Interface vlan 57
tagg GigabitEthernet 1
Gi28
Gi1
VLAN 57
VLAN 21
VLAN 57
VLAN 21
Virtual LAN (VLAN)
• Tagged
– Uma porta/interface pode estar associada a mais de uma VLAN
– Do lado do computador é preciso configurar interfaces virtuais
mapeadas nas VLANs
– Para o sistema operativo do computador é como se a maquina
tivesse múltiplas interfaces de rede
Interface vlan 21
tagg GigabitEthernet 1
tagg GigabitEthernet 2
vconfig add eth0 21
vconfig add eth0 57
ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up
ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up
Interface vlan 57
tagg GigabitEthernet 1
Gi1
VLAN 57
Gi2
VLAN 21
Interface eth0
Virtual LAN (VLAN)
• Tagged e Untagged
– Também é possível ter uma única default VLAN untagged e
múltiplas VLANs tagged
– Tráfego originário da estação que não tenha TAG é
encaminhado para a VLAN default
– Tráfego com TAG vai para a VLAN correspondente
Interface vlan 21
tagg GigabitEthernet 1
vconfig add eth0 21
ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up
ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up
Interface vlan 57
untagg GigabitEthernet
Gi1
VLAN 57
VLAN 21
Interface eth0
Virtual LAN (VLAN)
• Em RH configurar uma VLAN através dos ficheiros de
configuração
/etc/sysconfig/network-scripts/ifcfg-eth0.21
DEVICE=eth0.21
VLAN=yes
ONBOOT=no
BOOTPROTO=none
TYPE=Ethernet
IPADDR= 193.139.66.1
NETMASK=255.255.255.0
Virtual LAN (VLAN)
• A introdução de tags implica novos campos nos frames
Ethernet (cabeçalho 802.1q com 32bits):
–
–
–
–
Tag protocol id = 0x8100 (16bits) para identificar um frame tagged
Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima
Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring
VLAN id = (12bits) para indicar a VLAN
• Atenção ao VLAN identifier:
– VLAN id 1
é frequentemente usada para a VLAN de gestão
– VLAN id 0xFFF é reservada e não pode ser usada
– VLAN id 0
significa que o frame não pertence a uma VLAN
pode ser usado para ter CoS sem VLAN
Virtual LAN (VLAN)
• O tamanho máximo de um frame Ethernet
untagged são 1518 bytes excluindo:
– Preambulo
– Inicio de frame
– Trailer
• Para manter o MTU em 1500 bytes o tamanho
máximo de um frame tagged é na maioria dos
equipamentos 1522 bytes
– 4 bytes de header 802.1q
VLAN in VLAN
• Usado por fornecedores de serviço para encapsularem
nas suas VLANs tráfego de clientes que possui tags
802.1q
• Acrescenta mais um header de 32bits tipo 802.1q
• A service provider tag pode variar:
– 0x9100, 0x9200, 0x9300
– A norma 802.1ad especifica a service provider flag em 0x88a8
Virtual LAN (VLAN)
Force10#sh vlan
Codes:
Q: U x G -
* - Default VLAN, G - GVRP VLANs
Untagged, T - Tagged
Dot1x untagged, X - Dot1x tagged
GVRP tagged, M - Vlan-stack
NUM
1
*
Status
Active
Description
REDE DE Gestao
45
Active
REDE WIRELESS
68
Active
REDE CENTRAL
14
Inactive
REDE DE TESTE
Q
T
T
T
T
U
U
T
Ports
Te 0/6-7
Gi 5/43
Te 0/2
Gi 6/1
Gi 6/3,11
Te 2/0,6-7
Gi 6/5-7,21-38
Virtual LAN (VLAN)
Force10#sh running
!
interface Vlan 43
description VLAN PARA A REDE IP 172.70.51.0
name VLAN DA TRETA
ip address 172.70.51.254/24
untagged GigabitEthernet 5/8,20-22,40-43
ip helper-address 172.70.2.167
no shutdown
!
Virtual LAN (VLAN)
Cisco#sh vlan
Codes:
Q: U x G -
* - Default VLAN, G - GVRP VLANs
Untagged, T - Tagged
Dot1x untagged, X - Dot1x tagged
GVRP tagged, M - Vlan-stack
NUM
1
*
Status
Active
Description
REDE DE Gestao
45
Active
REDE WIRELESS
68
Active
REDE CENTRAL
14
Inactive
REDE DE TESTE
Q
T
T
T
T
U
U
T
Ports
Te 0/6-7
Gi 5/43
Te 0/2
Gi 6/1
Gi 6/3,11
Te 2/0,6-7
Gi 6/5-7,21-38
Virtual LAN (VLAN)
cisco#sh vlan
VLAN
---34
61
Name
Status
Ports
-------------------------------- --------- ------------------------------
VLAN
---34
61
Type
----enet
enet
default
MY VLAN
SAID
---------100001
100005
active
active
MTU
----1500
1500
Parent
------
RingNo
------
Gi1/43, Gi1/14, Gi1/35, Gi1/26
BridgeNo
--------
Stp
----
BrdgMode
--------
Trans1
-----0
0
Trans2
-----0
0
Spanning Tree
Spanning Tree
SWITCH A
SWITCH B
SWITCH C
A
B
• STP - Spanning Tree Protocol (IEEE 802.1D):
– evita loops na rede
– permite criar ligações redundantes
• Funcionamento:
– usa apenas uma ligação e inibe as outras
– se houver uma quebra da ligação activa usa uma ligação que estava
inibida
• Requer suporte de spanning-tree em todos os dispositivos
– switches e bridges
Spanning Tree
• O STP foi inventado pela digital (DEC)
• Mais tarde foi criado um standard pela IEEE
• Existem diferenças entre as duas implementações
– Não são compativeis
– Alguns equipamentos possuem ambas as implementações
• Mesmo com equipamentos que obedecem a uma mesma
especificação:
– Por vezes surgem problemas
– Especialmente devido a parametrizações diferentes (timers etc)
Spanning Tree
• Cada bridge possui um identificador (bridge-id) de 8
bytes:
– 2 primeiros bytes são uma prioridade
– 6 últimos bytes são obtidos de um MAC address
• De entre todas as bridges a que tiver menor bridge-id é eleita
ROOT BRIDGE
• O algoritmo calcula:
– O caminho com menor custo de todos os segmentos de rede até à root
bridge
– Em situações em que existe mais de um caminho possível é escolhido o
caminho através da bridge com menor bridge-id
– O custo de cada interface depende da sua velocidade
– Os custos podem ser configurados manualmente para mudar a
topologia
Spanning Tree
• As bridges trocam entre si mensagens:
– Bridge Protocol Data Units (BPDUs)
– Para conhecer os bridge-ids
– Para conhecer os root path costs
• Os BPDUs:
– Funcionam em Layer 2
– Endereço de origem é o endereço Ethernet da porta que
transmite
– Endereço de destino é o grupo de multicast 01:80:C2:00:00:00
• Tipos de BPDUs:
– Configuration BPDUs (CBPDUs) usados para calculo da arvore
– Topology Change Notification (TCN BPDU) para anuncio da
alterações na topologia de rede
– Topology Change Notification Acknowledgment (TCA)
Spanning Tree
• Os BPDUs são trocados constantemente para detecção
de alterações de topologia
• Os TCN BPDUs são usados para notificar da alteração
de estado de portas das bridges
• Quando um switch arranca espera durante 30s
–
–
–
–
–
Para aprender a topologia através dos BPDUs recebidos
Para aprender endereços
Para verifica se pode causar um loop
Se puder ser causa de loop bloqueia as portas necessárias
Só então começa a fazer forwarding de pacotes
Spanning Tree Protocol
STP baseia-se em grafos
RP: root port
DP: designated port
BP: blocked port
Spanning Tree
• Custos para cada tipo de interface:
Data rate
STP Cost (802.1D-1998) STP Cost (802.1t-2001)
4 Mbit/s
250
5,000,000
10 Mbit/s
100
2,000,000
16 Mbit/s
62
1,250,000
100 Mbit/s
19
200,000
1 Gbit/s
4
20,000
2 Gbit/s
3
10,000
10 Gbit/s
2
2,000
Spanning Tree
• RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)
– STP com convergência mais rápida (6s em vez de 30-50s)
– Refinamento do STP, é a referência actual
• MSTP – Multiple Spanning Tree Protocol
– IEEE802.1s e IEEE802.1Q
– Extensão do RSTP para suportar VLANs (uma Tree por VLAN)
• PVST e PVST+ – Per VLAN Spanning Tree
– STP por VLAN
– Protocolo proprietário da CISCO
• R-PVST – Rapid Per VLAN Spanning Tree
– Versão Rapid Spanning Tree do PVST proprietária da CISCO
Routers e Switches
Routers e Switches
• Switch L2
– Encaminha frames de baixo nível (nível 2)
• Ethernet, FDDI, ATM, etc …
– Não sabe o que é um protocolo L3 como o TCP/IP
– Não consegue encaminhar frames para fora de um domínio de
broadcast
• Router ou um Switch L3
– Encaminha pacotes de alto nível (nível 3)
• TCP/IP, Netbios, IPX, DECnet , etc …
– Interpreta a informação L3 contida no payload dos frames
– Pode ser usado para interligar:
• Domínios de broadcast
• Diferentes tipos de redes físicas
• Virtual LANs
Routers e Switches
•
•
•
As LANs azul e cinzenta são domínios
de broadcast diferentes
Um único frame Ethernet não pode
percorrer o trajecto de A para Z
O pacote TCP/IP tem de ser enviado
–
–
–
LAN – Azul
Z
Dentro de um frame Ethernet de A para o
endereço Ethernet do router cinzento
Dentro de células ATM do router cinzento
com destino ao azul
Dentro de um frame Ethernet do router azul
para o endereço Ethernet de Z
LAN – Cinzenta
Rede ATM
Router
Cinzento
Pacote TCP/IP
para Z
B
Router azul
A
Switch L2
Routers e Switches
LIP
Coimbra
Switch
L2/L3
Force10
LAN
RCTS
Internet
FCCN
Switch
L3
Switch
L2/L3
Force10
FCCN
Nuvem L2
Ethernet
LAN
•
•
•
•
Uma nuvem L2 Ethernet
fornecida pela FCCN
interliga os 3 locais
Os equipamentos L2 da
FCCN só vêem os frames
Ethernet
Dentro dos frames vão
pacotes TCP/IP (L3)
Os switches/routers do LIP
processam a informação L3
LIP
Lisboa
Router
L3
CISCO
DMZ
Nó
Central
LNEC
Switch
L2/L3
Force10
LAN
Shaping, Policing e Qualidade
de Serviço em Layer 2
Shaping e Policing
• Por vezes é necessário limitar a largura de banda de uma interface
de rede ou de um tipo de tráfego:
– Alocação de largura de banda a determinados tipos de tráfego
– Diminuir a probabilidade de perda de pacotes
– Forçar a utilização a um limite acordado
A
C
B
10Mbps
1Mbps
D
7Mbps
Pode fazer sentido limitar a
1Mbps para tudo o que vai
para além de B
• Shaping:
– Introduzir intervalos entre a transmissão de pacotes de forma a limitar
a largura de banda
– Usa-se apenas à saída de uma interface
• Policing:
– Limitar o tráfego deitando fora todos os pacotes acima de uma largura
de banda predeterminada
– Pode usar-se à saída ou à entrada de uma interface
Shaping e Policing
• Shaping
– Existem diversos algoritmos e métodos de shaping:
– Token Bucket
– Leaky Bucket
– Controlo artificial to TCP manipulando as janelas e os ACKs
– Pode obrigar à perda de pacotes quando o buffer ou fila de
transmissão está cheia
– Quando se deita fora os pacotes da cauda funciona como policing
– É preferível usar algoritmos mais “inteligentes” para deitar alguns
pacotes fora e evitar que a fila encha (drop mais esparso)
– Algoritmos de congestion avoidance:
– Random Early Detect (RED)
– Weigthed Random Early Detect (WRED)
– Ao longo de um caminho o shaping deve ser feito o mais cedo possível
– Um bom shaping requer:
– Mais “inteligência” nos dispositivos de rede
– Sobretudo um grande buffer de acordo com a capacidade da interface
– Não existe em todos os dispositivos de redes
Shaping e Policing
• Policing
– Como o tráfego que ultrapassa o limite é deitado fora as perdas podem
ser extremamente concentradas no tempo
– Caso os protocolos não reajam bem à perda de pacotes
– Falta de mecanismos de feedback e ajuste
– Pode causar disrupção como se houvesse períodos de falta de
conectividade
– O impacto da perda é mais acentuado do que no shaping
– Como não existe buffering é mais simples de implementar
– Como não requer algoritmos sofisticados é mais simples de
implementar
Shaping e Policing
Shaping e Policing
• Todas os protocolos bem concebidos devem possuir
mecanismos de adaptação à perda de pacotes:
–
–
–
–
Retransmissão
Feedback  notificação de que os pacotes não chegaram
Auto adaptação à perda de pacotes  envio a um ritmo menor
Em tráfego de tempo real como voz e vídeo idealmente a
qualidade deve ser adaptada dinamicamente à largura de
banda disponível
• Se o mecanismo não existir no protocolo usado então
deve ser implementado ao nível da aplicação:
– Ao nível da aplicação pode efectuar-se uma adaptação mais
inteligente
– Por ex: um sistema de monitorização pode enviar a informação
mais espaçada ou dar prioridade a alguma informação em
detrimento de outra
Shaping e Policing
• Efectuar shaping numa interface de um Force10 para
todo o tráfego à saida
– Fazer o shapping a 600Mbps com burst de 20KBytes
Force10#config
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate shape 600 20
Force10(conf-if)#end
Force10 #
Shaping e Policing
• Efectuar policing numa interface de um Force10 para
todo o tráfego à entrada
– Largura de banda garantida 80Mbps com burst de 50KBytes
– Pico 90Mbps com burst de 60KBytes
Force10#config t
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate police 80 50 peak 90 60
Force10(conf-if)#end
Force10#
Shaping e Policing e
Classificação
• Métodos mais sofisticados incluem a classificação do
tráfego de acordo com as suas características:
– Origem, destino, protocolo, etc
• Cada classe de tráfego pode então ser tratada de forma
diferenciada:
– Limites de utilização diferentes
– Shaping ou policing
– Algoritmos de drop diferentes etc
• A classificação é muito importante para privilegiar o
tráfego interactivo ou de tempo real sobre outros tipos
de tráfego
Quality of Service
• Quality of Service (QoS) em redes de dados é a
capacidade de tratamento diferenciado para:
– Determinados tipos de tráfego
– Determinados fluxos de tráfego
• Objectivo garantir níveis de desempenho diferenciados
de acordo com as necessidades
• A qualidade de serviço é importante:
– Quando a largura de banda total é insuficiente para as
necessidades
– Quando algum tráfego é mais importante ou necessita de
largura de banda ou atraso mínimos garantidos
– Exemplos: voz e dados numa mesma rede
Quality of Service
• Existem diversos factores que podem afectar a
qualidade de um serviço de rede:
–
–
–
–
–
–
Largura de banda
Perda de pacotes
Atraso
Variações no atraso (jitter)
Entrega fora de sequencia
Erros
• Exemplos de aplicações que necessitam/beneficiam de QoS:
–
–
–
–
Aplicações interactivas que requerem resposta em tempo real (cirurgia remota)
Voice Over IP (VOIP)
Videoconferência
Protocolos de controle da própria rede
• O problema surge quando se mistura numa mesma rede tráfego
com requisitos de qualidade de serviço com tráfego de dados geral
Quality of Service
• A maior parte das redes incluindo a Internet funcionam
como serviços best-effort:
– Não há qualquer garantia de serviço
– Não há tratamento diferenciado
• A implementação de mecanismos de qualidade de
serviço é extremamente complexa:
– A qualidade de serviço para funcionar tem de ser respeitada
por todos os equipamentos ao longo de todo o caminho
– Requer processamento adicional
– A maioria dos equipamentos está concebia para efectuar
encaminhamento rápido indiferenciado
• Frequentemente é preferível resolver os problemas
aumentando a largura de banda !
Ethernet QoS
• IEEE 802.1p ou Class of Service (CoS)
• Define um campo de 3 bits
– Usado para implementar prioritização
– Presente nos frames 802.1q usados nas VLANs com tagging
• O campo define 8 classes de serviço:
–
–
–
–
–
–
–
–
0 best effort
1 background
2 spare
3 excellent effort
4 controlled load
5 video
6 voice
7 network control
Ethernet QoS Force10
• Por exemplo num Force10 C300 as 8 prioridades são
mapeadas em 4 filas:
–
–
–
–
dot1p
dot1p
dot1p
dot1p
0, 1  fila 1
2, 3  fila 0
4, 5  fila 2
6, 7  fila 3
 13.3%
 6.6%
 26.6%
 53.3%
• O tráfego de entrada de uma interface pode ser
classificado numa prioridade
Force10# config
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# switchport
Force10(conf-if)# description IP-TELEPHONES
Force10(conf-if)# dot1p-priority 6
Force10(conf-if)# end
Ethernet QoS Force10
• Pode configurar-se as interfaces para respeitar a
marcação dos pacotes que entram no switch
• Por defeito na maioria dos switches (Force10 incluído)
as marcações dot1p não são respeitadas
Force10# config t
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-class dynamic dot1p
Force10(conf-if)# end
Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos
• Mudando os valores default que são aplicáveis a todas
as interfaces
Force10# config t
Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32
queue2 64 queue3 128
Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos
Force10(conf)# qos-policy-output DATA
Force10(conf-qos-policy-out)# bandwidth-weight 8
Force10(conf)# qos-policy-output IMPORTANT
Force10(conf-qos-policy-out)# bandwidth-weight 64
Force10(conf-qos-policy-out)#
Force10(conf)# policy-map-output MY-OUT-POLICY
Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA
Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT
Force10(conf-policy-map-out)#
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-policy output MY-OUT-POLICY
Force10(conf-if)# end
Wi-Fi
Wi-Fi
• Tecnologia Wireless Local Area Network IEEE 802.11
– Comunicação sem fios através de radiofrequências
• Algumas das normas IEEE 802.11:
–
–
–
–
802.11a
802.11b
802.11g
802.11n
54Mbps
11Mbps
54Mbps
600Mbps
23Mbps
4.3Mbps
19Mbps
30/130Mbps
5GHz
2.4GHz
2.4GHz
2.4GHz/5GHz
• Usa espectro de rádio aberto não requer licenciamento
– Dependendo da norma pode usar 2.4GHz ou 5GHz
• As bandas são dividida em canais
– A regulação da utilização do espectro de radiofrequências
difere de país para país
– O numero de canais varia de acordo
Wi-Fi Frequências
• 2.4GHz
– Outros dispositivos podem interferir: telefones sem fios,
bluetooth , monitores dos bebés, etc
– A banda de 2.4GHz está muito saturada
– Espaçamento entre canais é de 5MHz
– Na Europa a banda é dividida em 13
– Nos EUA são 11 canais e no Japão são 14 canais
– Existe sobreposição de canais
• 5GHz
– O alcance é menor
– Sinais mais absorvidos por paredes e objectos sólidos
– A utilização de antenas com maior ganho pode compensar o
menor alcance
– Espaçamento mínimo entre canais é de 20MHz
– Na Europa a banda é dividida em 19 canais
– EUA 20 canais, Japão 23 canais, China 5 canais etc
Wi-Fi Normas e Frequências
• Normas (b, g) a 2.4GHz:
– Espaçamento entre canais 5MHz
– Largura de cada canal 20MHz
– Canais 1, 6, 11 não são sobrepostos
• Norma (n) a 2.4GHz:
–
–
–
–
Espaçamento entre canais 5MHz
Largura de cada canal 20MHz ou 40MHz
A 22MHz canais 1, 6, 11 não são sobrepostos
A 40MHz canais 1, 11 não são sobrepostos
Wi-Fi Normas e Frequências
• Norma (a) a 5GHz:
– Espaçamento mínimo entre canais 20MHz
– Largura de cada canal 20MHz
– 20 canais
• Norma (n) a 5GHz:
–
–
–
–
Espaçamento mínimo entre canais 20MHz
Largura de cada canal 20MHz ou 40MHz
20 canais
A 40MHz há sobreposição com o canal adjacente (10 canais)
Wi-Fi Normas e Frequências
• Norma a
– 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 35m – 120m
• Norma b
– 1, 2, 5.5, 11 Mbps
– 38m – 140m
• Norma g
– 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 38m – 140m
• Norma n
– 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps
– 15, 30, 45, 60, 90, 120, 135, 150 Mbps
– 70m – 250m
a 20MHz de largura
a 40MHz de largura
Wi-Fi mais normas
• As normas de regulação do espectro de
radiofrequências variam:
– O numero de canais por banda 2.4GHz ou 5GHz varia
– 5.47GHz a 5.725 GHz  (802.11h)
• Resolver problemas de interferência com comunicações via satélite e
sistemas de radar
• Introduz a alocação dinâmica de frequências (DFS)
• Introduz o controlo dinâmico da potencia de transmissão (TPC)
• A banda 5.47GHz a 5.725GHz não está autorizada em todos os países
– 3.6GHz  (802.11y)
• Banda para transmissão c/ elevada potencia usada com o 802.11a
• Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais
• Autorizado apenas nos EUA
Wi-Fi modos de funcionamento
• Dois modos de funcionamento
• Infrastructure
–
–
–
–
–
Baseia-se em access-points (AP)
Centraliza o controlo de acesso nos AP
Centraliza todas as comunicações wireless nos AP
Podem existir múltiplos AP numa mesma rede Wireless
Os AP ficam interligados por uma rede wired Ethernet
• ad-hoc
– Comunicação directa (peer-to-peer) entre dispositivos wireless
– Não necessita de um access point
Rede Wi-Fi tipo ad-hoc
Rede Wi-Fi tipo infrastructure
Ethernet LAN
Ethernet
Access Point
(AP)
Access Point
(AP)
Bridge
Rede Wi-Fi tipo infrastructure
Router +
Firewall
Internet
Ethernet LAN
Access Point
(AP)
Bridge ou
Router
Rede Wi-Fi c/ Firewall
Router +
Firewall
Ethernet LAN
Internet
Firewall
Ethernet LAN DMZ
Access Point
(AP)
Filtrar o tráfego com
origem nos portáteis
e destinado à LAN
Access Point
(AP)
Bridge
Permite usar o
mesmo endereço IP
nos portáteis
independentemente
do AP
AP Wi-Fi / router / ADSL
Linha
telefónica
AP Wireless
com router ADSL
Interface ADSL
NAT Firewall
Routing
Wireless
Ethernet SWITCH
RF
Ethernet Interfaces
Antena
AP Wi-Fi / router / ADSL
Linha
telefónica
AP Wireless
com router ADSL
Interface ADSL
NAT Firewall
Firewall
Routing
Wireless
Ethernet SWITCH
RF
Ethernet Interfaces
Antena
Wi-Fi
• SSID
– Service Set Identifier
– Identifica o nome da rede Wireless
– Numa mesma rede tipo infrastructure múltiplos APs podem
partilhar o mesmo SSID
– Case sensitive, pode ter um máximo de 32 caracteres
– O SSID pode ser anunciado periodicamente ou não
• SSID broadcast
• Rede visível
• BSSID
– Basic Service Set Identifier
– Em modo infrastructure é o MAC address da interface wireless
de cada um dos access points
– Em modo ad-hoc é um endereço MAC gerado aleatoriamente
pelo primeiro dispositivo a “ligar-se” à rede ad-hoc
• Individual/Group bit 0
• Universal/Local bit 1
Wi-Fi
• Modo Infrastructure
– Todos os dispositivos precisam de usar o mesmo SSID
• Identifica a rede Wireless
– Todos os dispositivos associados ao mesmo AP precisam de
• Usar o mesmo BSSID do AP
• Usar o mesmo canal do AP
• Modo Ad-hoc
– Todos os dispositivos precisam de usar o mesmo SSID
– Todos os dispositivos precisam de usar o mesmo BSSID
– Todos os dispositivos precisam de usar o mesmo canal
Rede Wi-Fi tipo infrastructure
Ethernet LAN
SSID
Access Point
(AP)
BSSID
Canal 1
Access Point
(AP)
BSSID
Canal 11
Wi-Fi Transmissão
• Funcionamento em half-duplex
– Ou transmite ou recebe
• As redes wireless são meios partilhados
– Como as redes Ethernet antigas
• Protocolo de transmissão tipo CSMA/CA:
– Carrier Sense Multiple Access with Collision Avoidance
– Similar ao CSMA/CD das redes Ethernet
– O protocolo minimiza a possibilidade de colisões:
•
•
•
•
•
•
Espera que não haja transmissões a decorrer
Lança intervalo de espera aleatório
Transmite
O transmissor espera um ACK do receptor
O receptor verifica o CRC do frame recebido
O receptor envia ACK se CRC ok
– A perda de desempenho pela espera é compensada pela menor
ocorrência de colisões
Wi-Fi Frames
To AP From AP
Fragment Retrans
A frame
Is available
Strict
ordering
Wi-Fi Frames
PLCP header
Wi-Fi Frame
• Existem 4 campos de endereço
• O significado depende do valor dos campos
– To DS (to distribution system)
– From DS (from distribution system)
• Addrs:
– Addr1
– Addr2
– Addr3
– Addr4
receptor imediato
emissor
BSSID de uma rede ad-hoc (ToDS 0 FromDS 0)
emissor original
(ToDS 0 FromDS 1)
destino final
(ToDS 1 FromDS 0)
apenas usado em relay de frames entre APs
Wi-Fi Frames
• Tipos de MAC frames 802.11
– Control frames
• RTS (request to send)
• CTS (clear to send)
• ACK (acknowledge)
Uso facultativo
Obrigatório em APs com mais de um modo
Diminui o desempenho
– Management Frames
•
•
•
•
•
•
•
Beacon
Probe req, Probe resp
Assoc req, Assoc resp
Reassoc req, Reassoc resp
Disassociation
Authentication
Deauthentication
– Data Frames
Scan passivo
Scan activo
Associação
Só usado em redes tipo infrastructure
Equivalente a ligar o cabo à ficha
Wi-Fi RTS/CTS
• Porquê usar o RTS/CTS ?
• O protocolo CSMA requer que uma estação antes de
transmitir seja capaz de escutar o meio:
– Se as estações estiverem muito afastadas isto pode não ser
possível aumentando a probabilidade de colisões
– Numa rede com APs a suportar por ex. as normas b e g as
estações com norma b não conseguem escutar as transmissões
na norma g (modulações diferentes CCK e OFDM)
B
B não ouve G
B
AP
B
B
CCK
G não ouve B
AP
B/G
OFDM
G
porque B e G usam modulações diferentes
Fragmentação
• Existe um mecanismo de fragmentação:
– O Bit error rate pode ser elevado logo faz sentido enviar frames
mais pequenos
– Por outro lado faz sentido suportar frames de 1500 bytes tal
como na Ethernet
– A solução é a fragmentação
Wi-Fi Inicio de comunicação
• Rede tipo infra-estrutura
• Exemplo de estabelecimento
de comunicação entre uma
estação e um AP
Wi-Fi Overheads
• Os desempenhos
anunciados nas normas são
raw
• Na pratica os desempenhos
na transmissão de dados
são muito menores
• O gráfico mostra os
overheads com preambulo
longo
• O uso de preâmbulos curtos
melhoram ligeiramente o
desempenho
Inter Frame Spaces (Intervals)
Wi-Fi
• Transmissão de um frame
• Se o tamanho dos dados ultrapassar o limiar de fragmentação
(threshold) é necessário transmitir mais de um frame
• Se o protocolo RTS/CTS for usado a troca de frames aumenta
Wi-Fi WEP
• Tipos de rede em termos de segurança:
– Open
• Estação envia um frame de autenticação
• AP responde com frame de autenticação
– Shared-key (WEP – Wired Equivalent Privacy)
•
•
•
•
•
•
Método de encriptação inseguro (RC4 c/ chaves de 40bits)
Chave comum entre todas as estações e o AP
Estação envia de um frame de autenticação
AP responde com frame de autenticação com desafio (texto)
Estação encripta o texto de desafio com a chave
AP verifica que o texto encriptado corresponde ao desafio e
responde com frame de autenticação com status de sucesso
– WPA / WPA2 (802.11i)
• Usam o protocolo 802.1x para autenticação
Wi-Fi WAP
• WPA - Wi-Fi Protected Access (draft standard)
• Solução interina para substituição do WEP que é inseguro:
– Usa o protocolo TKIP (Temporal Key Integrity Protocol)
– Compromisso entre segurança e a possibilidade de usar o hardware
que então existia
– Usa RC4 como o WEP mas as chaves mudam a cada pacote
transmitido, implementa protecção contra repetição de pacotes e
verificação da integridade das mensagens
• Dois modos possíveis WPA-enterprise e WPA-personal
• WPA- enterprise
– Autenticação através de um servidor de autenticação RADIUS e EAP
– Muito à semelhança do WPA2
– Maior granularidade com controlo de acesso por utilizador
• WPA-personal
– Usa chaves partilhadas pré-definidas  pre-shared-keys (PSK)
– Não requer servidor RADIUS e é menos complexo
– As chaves são partilhas por todos os utilizadores
Wi-Fi WPA
• Autenticador
– Access Point Wireless
• Suplicante
– Estação (o vosso portátil)
• Servidor de autenticação
– RADIUS
• O método para gerar e distribuir as chaves de acesso
ao autenticador e suplicante e igual entre:
– WPA personal
– WPA enterprise
• Apenas o método de geração das chaves mestras para
cada sessão muda.
– Porque existe o servidor Radius no meio
Wi-Fi WPA2
• O WPA2 (802.11i) é o sucessor do WPA:
– Algoritmo de encriptação mais robust AES em vez de TKIP
– Incorpora optimizações diversas
– O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é
usado para distribuir chaves entre o suplicante e o autenticador
• Fortemente baseado no 802.1X que permite autenticação da
ligação de estações a uma porta numa LAN:
– A ligação a uma porta em 802.1X corresponde à associação ao AP
– Uma vez associada a um AP todo o tráfego não 802.1X proveniente da
estação é eliminado
– Após autenticação 802.1X bem sucedida todo o tráfego pode passar
• EAP permite múltiplos tipos de autenticação:
–
–
–
–
–
EAP-TLS
EAP-LEAP
EAP-PEAP
EAP-MD5
EAP-TTLS
usa certificados de utilizador para autenticação
CISCO usa passwords
usa passwords através de túnel via MSCHAPv2
RFC3748 passwords com encriptação MD5
Envio das passwords através de um túnel TLS
Wi-Fi WPA2
• 802.1x
• Comunicação segura
• Entre a estação e o
servidor RADIUS
através do AP
• Usando certificados
• O servidor Radius
possui um certificado