Escolar Documentos
Profissional Documentos
Cultura Documentos
IER-2011-1
De IF-SC So Jos
Tabela de contedo
1 Instalao de Equipamentos de Redes: Dirio de Aula 2011-1
1.1 Bibliografia
1.2 Curiosidades
1.3 Listas de exerccios
1.4 Avaliaes
1.5 Softwares
1.6 18/02: Introduo e camada de enlace
1.6.1 Enlaces de dados (Data Link)
1.7 25/02: Enquadramento e Deteco de erros
1.7.1 Enquadramento
1.7.2 Deteco de erros
1.7.3 Desenvolvimento da aula
1.7.4 Atividade extra-aula
1.8 04/03: A parte fsica do enlace ponto-a-ponto
1.8.1 Laboratrio
1.8.2 Leitura adicional
1.9 11/03: A parte fsica do enlace ponto-a-ponto: modems e interfaces digitais
1.9.1 Modems analgicos e Interfaces digitais
1.9.2 Atividade
1.10 18/03: Redes locais
1.10.1 Distino entre WAN, MAN e LAN
1.10.2 LANs
1.10.3 Tecnologias de LAN switches
1.10.4 Atividade extra
1.11 25/03: Redes locais: implantao com VLANs
1.12 01/04: Redes locais: implantao com VLANs e 1a avaliao
1.13 08/04: Redes locais: continuando a usar VLANs e aumentando capacidade de enlaces
1.13.1 Atividade
1.13.2 Encaminhamentos quanto ao andamento das aulas
1.13.2.1 Uma proposta para recuperar o tempo perdido
1.13.3 Conceitos da 1a avaliao
1.14 15/04: Redes locais: recapitulao
1.15 29/04: Redes locais: enlaces redundantes para tolerncia a falhas
1.15.1 Interligao de LANs e Spanning Tree Protocol (STP)
1.16 06/05: Redes locais: controle de acesso
1.16.1 Ainda STP
1.16.2 Norma IEEE 802.1x
1.16.3 Atividade
1.17 13/05: ADSL e PPPoE
1.17.1 PPPoE (PPP over Ethernet)
1.17.2 Dicas vistas no laboratrio
1.17.3 Atividade extra
1.18 20/05: Reviso geral
1.18.1 Reviso
1.19 27/05: 2a avaliao
1.19.1 2a avaliao: incio 20:40
1.20 03/06: Rede sem-fio IEEE 802.11
1.21 10/06: Segurana em redes sem-fio IEEE 802.11
1.21.1 Conceitos da 3a avaliao
1.22 10/06: Infraestrutura de rede sem-fio IEEE 802.11 e handover
1.22.1 Transio de BSS (Handover)
1.23 17/06: Projeto Integrador e 3a avaliao
1.24 28 ou 30/6: Projeto Integrador
1.24.1 Conceitos com recuperao
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
1/26
25/3/2014
Bibliografia
Antiga pgina da disciplina (2009-1 e 2009-2) (http://www.sj.ifsc.edu.br/~msobral/IER/)
Links para outros materiais, normas, artigos, e apostilas do prof. Jorge Casagrande (http://www.sj.ifsc.edu.br/~msobral/RCO2/docs.html)
Comunicao de dados e Redes de Computadores, de Berhouz Forouzan (alguns captulos no Google Books)
(http://books.google.com/books?id=C9ZN-jYKHpMC&printsec=frontcover&dq=forouzan&hl=ptBR&ei=fvt2TP3eCMH58Aa77cS1Bw&sa=X&oi=book_result&ct=result&resnum=3&ved=0CDMQ6AEwAg#v=onepage&q&f=false)
Para pesquisar o acervo das bibliotecas do IFSC:
Acesso ao acervo da Biblioteca do IFSC (http://biblioteca.ifsc.edu.br/sophia/)
Curiosidades
Telex (http://en.wikipedia.org/wiki/Telegraphy#Telex) : um servio j extinto (?!)
Histria da Internet-BR (dissertao de Mestrado) (http://www.sj.ifsc.edu.br/~msobral/RCO2/docs/Internet-BR-Dissertacao-MestradoMSavio-v1.2.pdf)
O Ciberespao e as Redes de Computadores na Construo de Novo Conhecimento
(http://www.sj.ifsc.edu.br/~msobral/RCO2/docs/ciberespaco.pdf)
Uma histria das Redes de Computadores (http://www.sj.ifsc.edu.br/~msobral/RCO2/docs/comp-net-history.pdf)
Uso do HDLC em misses espaciais (artigo da Nasa) (http://www.aiaa.org/spaceops2002archive/papers/SpaceOps02-P-T5-21.pdf)
Tutorial sobre a interface CLI de roteadores Cisco (http://www.cisco.com/warp/cpropub/45/tutorial.htm)
Resoluo de problemas com PPP em roteadores Cisco
(http://www.cisco.com/en/US/tech/tk713/tk507/technologies_tech_note09186a008019cfa7.shtml#ppp01)
Listas de exerccios
1a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista1-2010-2.pdf)
2a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/RCO2/listas/lista3-2010-1.pdf)
3a lista de exerccios (http://tele.sj.ifsc.edu.br/~msobral/IER/listas/lista3-2011-1.pdf)
4a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista7.pdf)
5a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista7.pdf)
6a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista7.pdf)
7a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista8.pdf)
Avaliaes
Softwares
Netkit: possibilita criar experimentos com redes compostas por mquinas virtuais Linux
IPKit (http://tele.sj.ifsc.edu.br/~msobral/IER/ipkit/) : um simulador de encaminhamento IP (roda direto dentro do navegador)
2/26
25/3/2014
Captulos 1, 11 e 12 do livro "Comunicao de dados e Redes de Computadores", de Berhouz Forouzan (h uma cpia no
xerox).
Apresentao da disciplina: contedo, bibliografia e avaliao, laboratrio.
Apresentou-se uma viso geral dos conceitos sobre comunicao de dados, amparada em transparncias
(http://www.sj.ifsc.edu.br/~msobral/RCO2/slides/aula1.pdf) . Nesta aula se planta a base para iniciar o estudo com maior profundidade da
camada de enlace e da camada fsica.
Nosso ponto de partida sero pequenas redes compostas por uma ou mais redes locais (LANs) que se interligam, incluindo conexo para a
Internet. Em cada rede investigaremos seu funcionamento, incluindo as configuraes da subrede IP e os equipamentos usados.
Figura 1: uma pequena rede local (LAN) com conexo para Internet
Figura 2: duas redes locais (LAN) interligadas por um enlace de longa distncia (WAN)
Ser feito um experimento com base nas redes acima.
Roteiro do experimento (http://www.sj.ifsc.edu.br/~msobral/IER/roteiros/lab1-2010-2.pdf)
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
3/26
25/3/2014
Os servios identificados na figura acima esto descritos abaixo. A eles foram acrescentados outros dois:
Encapsulamento (ou enquadramento): identificao das PDUs (quadros) de enlace dentro de sequncias de bits enviadas e recebidas
da camada fsica
Controle de erros: garantir que quadros sejam entregues no destino
Deteco de erros: verificao da integridade do contedo de quadros (se foram recebidos sem erros de bits)
Controle de fluxo: ajuste da quantidade de quadros transmitidos, de acordo com a capacidade do meio de transmisso (incluindo o
atraso de transmisso) e do receptor
Endereamento: necessrio quando o enlace for do tipo multi-ponto, em que vrios equipamentos compartilham o meio de transmisso
(ex: redes locais e redes sem-fio)
Controle de acesso ao meio (MAC): tambm necessrio para meios compartilhados, para disciplinar as transmisses dos diversos
equipamentos de forma a evitar ou reduzir a chance de haver colises (transmisses sobrepostas)
Gerenciamento de enlace: funes para ativar, desativar e manter enlaces
Enquadramento
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
4/26
25/3/2014
Funcionamento do enquadramento (ou sincronizao de quadro) do tipo sentinela (usado pelo PPP e HDLC): usa-se uma flag delimitadora
para informar o incio e fim de quadro. H uma segunda flag, chamada de escape (ESC), para evitar que um byte com o valor de flag
delimitadora, o qual aparea em algum campo do quadro (ex: dados ou campos de controle) seja erroneamente interpretado como fim de
quadro. No caso do PPP e HDLC:
7E: flag delimitadora
7D: flag de escape
Deteco de erros
Probabilidade de erros de transmisso (BER - Bit Error Rate), cdigos de deteco de erro e CRC.
H um resumo nas transparncias (http://www.sj.ifsc.edu.br/~msobral/RCO2/slides/aula2.pdf) .
O experimento com o gerador de CRC-16 do PPP (http://www.sj.ifsc.edu.br/~msobral/RCO2/fcs-rfc.tgz) pode ser repetido em casa. Ele
capaz de verificar um quadro PPP, que pode ser conseguido usando-se a opo record do pppd. Essa opo grava em um arquivo de log os
contedos dos quadros PPP enviados e recebidos, que podem depois serem visualizados (ou terem seu bytes extrados) com o utilitrio
pppdump. Porm o gerador de CRC-16 fornecido inclui dois arquivos contendo quadros PPP previamente coletados: quadro_correto.raw e
quadro_errado.raw. Eles podem ser verificados com o programa fcs (o verificador de CRC-16):
# descompacta o arquivo do gerador de CRC-16
tar czf fcs-rfc.tgz
cd fcs
# Testa o quadro correto
./fcs quadro_correto.raw
# Testa o quadro_errado
./fcs quadro_errado.raw
H um testador que modifica aleatoriamente uma certa quantidade de bits do quadro_correto.raw, at que encontre um caso em que o erro
no seja detectado. Para us-lo deve-se executar o programa testa.py:
# executa testa.py com 4 erros de bit por quadro gerados aleatoriamente
./testa.py 4
O cdigo fonte do gerador de CRC-16 est no arquivo fcs-rfc.c, o qual foi obtido diretamente da RFC 1662 (http://tools.ietf.org/html/rfc1662)
.
Desenvolvimento da aula
Implantou-se a rede de computadores descrita no roteiro de laboratrio (http://www.sj.ifsc.edu.br/~msobral/IER/roteiros/lab2-2010-2.pdf) . A
implantao envolveu a configurao de todos os detalhes necessrios para que os computadores pudessem se comunicar e acessar a Internet
pelo enlace ponto-a-ponto. A rede local do experimento foi denominada subrede interna, o computador dessa rede local que fez papel de
roteador, e onde foi criado um enlace ponto-a-ponto, se chamou roteador interno, e o computador que estava do outro lado desse enlace
ponto-a-ponto foi chamado de roteador externo. Assim, as tarefa de configurao envolveram:
1.
2.
3.
4.
Configurar as interfaces ethernet dos computadores com endereos IP escolhidos dentro das subredes definidas pelo professor.
Criar a rotas default ("padro") nos computadores. O roteador default foi o computador onde se fez o enlace ponto-a-ponto.
Ativar o enlace ponto-a-ponto nos computadores que fizeram papel de roteadores.
Ativar a funo de gateway (liberar o encaminhamento de datagramas IP entre as interfaces de rede) nos computadores do enlace pontoa-ponto
5. No roteador interno definiu-se uma rota default pelo enlace ponto-a-ponto.
6. No roteador externo, definiu-se uma rota esttica para a subrede interna pelo enlace ponto-a-ponto.
7. No roteador externo ativou-se o NAT na sua interface ethernet, para mascarar os endereos da subrede interna.
Para melhor entender o experimento, ter em mente que:
A rede local implantada representa uma pequena rede corporativa.
O roteador externo representa o roteador da operadora ou de um provedor de acesso.
O enlace ponto-a-ponto corresponde a um link WAN.
O roteador interno o roteador default da rede local.
Foram observadas dificuldades da turma quanto a:
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
5/26
25/3/2014
Entender a necessidade de rotas estticas: quais rotas devem ser configuradas e em que equipamentos.
Entender a diviso de subredes IP.
A propagao dos datagramas (pacotes) pela rede.
Atividade extra-aula
Faa uma pesquisa sobre protocolos de enlace ponto-a-ponto usados em redes sem-fio. Tais enlaces podem ser feitos dentro de ou entre
cidades (ex: entre o Morro da Cruz em Florianpolis e So Jos ou Palhoa), via satlite, ou mesmo entre pontos no to distantes mas onde
no existe infraestrutura cabeada prvia. Descreva as caractersticas dos protocolos encontrados (onde so melhor aplicados, e que servios de
enlace so contemplados), e fornea exemplos de onde esto sendo usados. Se conhecer empresas que os utilizem, e para que finalidade,
informe em sua pesquisa.
Prazo de entrega: 04/03 (prxima aula).
O link WAN a ser investigado corresponde camada fsica da arquitetura de redes. Ele se compe de equipamentos e tcnicas criados para
fazer a transmisso de dados por meio de sinais eltricos.
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
6/26
25/3/2014
Laboratrio
Uma rede com enlaces WAN feitos com modems digitais SHDSL.
Roteiro da experincia (http://www.sj.ifsc.edu.br/~msobral/IER/roteiros/lab4-2010-2.pdf)
Uma introduo a modems (http://www.sj.ifsc.edu.br/~msobral/RCO2/slides/aula5-modems.pdf)
Manual do modem Digitel DT2048 SHDSL
(http://www.sj.ifsc.edu.br/~msobral/RCO2/manuais/Guia_DT2048_SHDSL_T_E_S_VG_210.5088.00-1.pdf)
Leitura adicional
Transmisso digital:
Transmisso serial x paralela
Transmisso serial sncrona x assncrona
Experincia para comparar esses dois tipos de transmisso serial (http://www.sj.ifsc.edu.br/~msobral/RCO2/roteiros/lab3-20092.pdf)
7/26
25/3/2014
Atividade
Existem muitas interfaces digitais normatizadas e proprietrias, que foram criadas para serem usadas com diferentes meios de transmisso e
equipamentos. Procure por essas interfaces e acrescente-as ao seguinte artigo da wiki:
Catlogo de interfaces digitais
Cada contribuio ficar registrada na wiki, e ser considerada para conferir seu conceito no primeiro mdulo da disciplina.
Dicas de interfaces digitais:
V.35
RS-232
RS-485
G.703
HSSI
... e outras (procure-as !)
Obs: para poder editar a wiki voc precisa primeiro se cadastrar no Portal do Aluno (http://aluno.ifsc.edu.br/) .
Ajuda para edio da wiki (http://pt.wikipedia.org/wiki/Wikip%C3%A9dia:Tutorial)
8/26
25/3/2014
LANs
Caractersticas
Topologias
O problema do acesso ao meio
9/26
25/3/2014
Atividade extra
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
10/26
25/3/2014
Faa uma pesquisa sobre recursos e funcionalidades que podem ser encontrados em switches atualmente encontrados no mercado. Identifique
os modelos e fabricantes de switches que foram investigados, e publique-os na seguinte pgina da wiki :
Switches Ethernet
Ajuda para edio da wiki (http://pt.wikipedia.org/wiki/Wikip%C3%A9dia:Tutorial)
Esta animao possibilita simular a configurao de VLANs em um switch, e efetuar testes de transmisso. Experimente criar diferentes VLANs
e observar o efeito em transmisses unicast e broadcast (clique na figura para acessar o simulador).
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
11/26
25/3/2014
O padro IEEE 802.1q define, entre outras coisas, uma extenso ao quadro MAC para identificar a que VLAN este pertence. Essa extenso,
denominada tag (etiqueta) e mostrada na figura 4, composta por 4 bytes, e situa-se entre os campos de endereo de destino e ethertype. O
identificador de VLAN (VID) ocupa 12 bits, o que possibilita portanto 4096 diferentes VLANs.
Na aula de hoje ser criada uma rede composta por subredes implantadas com VLANs.
Roteiro do experimento (http://www.sj.ifsc.edu.br/~msobral/IER/roteiros/lab7-2010-2.pdf)
Manual do switch D-Link DES-3526 (http://www.sj.ifsc.edu.br/~msobral/IER/roteiros/manual-des3526.pdf)
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
12/26
25/3/2014
A norma IEEE 802.1AX define como equipamentos devem implementar a agregao de enlaces (link aggregation). Graas a ela, switches de
diferentes fabricantes podem interoperar. De acordo com essa norma, a agregao de enlaces implica agrupar portas do switch para operarem
como uma nica porta, como pode ser visto na figura abaixo. No entanto, cada porta individual mantm suas funes normalmente, com seu
MAC trabalhando de forma independente. A agregao de enlaces faz com que os quadros sejam enviados de forma balanceada pelas portas
agrupadas, assim distribuindo o trfego entre elas. O interessante disso que se uma porta perder comunicao (ex: o cabo for desconectado),
o grupo de portas se ajusta para usar somente as portas que possuem comunicao. Assim, alm de aumentar a capacidade de enlaces, essa
tcnica proporciona tolerncia a falhas de portas ou enlaces individuais.
Atividade
Na experincia de hoje ser implantada uma rede parecida com a aula anterior. Naquela aula foi criada uma rede local com duas VLANs
usando dois switches. O enlace entre esses switches transportava trfego de ambas as VLANs (i.e. operavam com VLAN trunking). Esse
enlace pode tanto se tornar um gargalo, quanto um ponto crtico em caso de falha. Assim, na atividade de hoje aquela rede ser novamente
implantada porm tende a capacidade desse enlace aumentada com agregao de enlace (link aggregation).
Roteiro (http://tele.sj.ifsc.edu.br/~msobral/IER/roteiros/lab8-2011-1.pdf)
13/26
25/3/2014
Professor: sempre que cabvel sero realizados exerccios em aula. Por cabvel entenda-se quando o assunto apresentado
demandar exerccios para ser melhor fixado.
O professor procurou explicar como preparou a disciplina, que se pretende ter um vis de aplicao de tcnicas de projeto de infraestrutura de
redes. Alm disso, na disciplina procuram-se contextualizar as tcnicas e tecnologias vistas, de forma que sempre se tenha a noo de como a
rede funciona como um todo. Finalmente, a disciplina foi concebida de forma a criar e analisar redes incialmente simples, e que aumentam de
tamanho e complexidade medida que so estudadas novas tcnicas e tecnologias.
Uma proposta para recuperar o tempo perdido
Uma limitao que temos est na pouca quantidade de equipamentos para as atividades em laboratrio. Com a turma grande, acaba que poucos
podem por a mo na massa, e os demais correm o risco de ficar boiando. Para contornar esse problema proponho que fora de aula se faam
exerccios com o uso de softwares que simulem redes. Existe um software desses em particular, chamado Netkit, que possibilita criar redes
virtuais, que nada mais so que mquinas virtuais interligadas com switches e links seriais virtuais (isso , tudo feito por software mas funciona
como se fosse de verdade). Com ele se podem criar redes compostas por mquinas virtuais Linux, que so conectadas por links ethernet e PPP.
Todos os cenrios que usamos at o momento (com exceo das configuraes de modems), por exemplo, poderiam ser reproduzidos com
esse software. Escrevi um guia de instalao e uso e publiquei na wiki:
Netkit
Esse guia contm uma coleo de exemplos, para que tenham ideia do que se pode fazer com o Netkit.
O Netkit fica assim como opo para complementar o estudo. Ele funciona como um laboratrio de redes, em que se podem criar redes como
aquelas que vemos em aula e mesmo inventar novas redes. Seu uso se destina a fixar conceitos, para que o uso dos equipamentos reais seja
facilitado. A prxima lista de exerccios ser formulada para possibilitar us-lo em algumas questes.
Atualizao: a 3a lista de exerccios (http://tele.sj.ifsc.edu.br/~msobral/IER/listas/lista3-2011-1.pdf) contm vrios exerccios sobre redes locais
e sobre endereamento IP.
Alm do Netkit, este simulador de roteamento IP, que roda dentro do prprio navegador, pode ajud-los a exercitar a diviso de subredes e a
criao de rotas estticas.
Simulador de encaminhamento IP (http://tele.sj.ifsc.edu.br/~msobral/IER/ipkit/)
Conceitos da 1a avaliao
Aluno
Conceito
Deficincias identificadas
Ademir
Endereamento IP
Alexandre
Amarildo
Augusto
Teste de modems
Beatriz
Clailton
Cleidiane
Daniel Estefano
Daniel Arndt
Denis Teixeira
Dimas
Evandro
Everton
Felipe
Endereamento IP
Guilherme
Jalles
Klaus
Leonardo
Endereamento IP
Luana
Luiz Gustavo
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
14/26
25/3/2014
Maicon
Marco Aurlio
Endereamento IP
Maurcio
Michel
Odair
Endereamento IP, modems (+/-), viso geral da rede (onde se usam as tecnologias)
Robson
Rodrigo de Oliveira D
Rodrigo Schmitt
Sergio
Teste de modems
William Jamir
William Arceno
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
15/26
25/3/2014
sw1[type]=switch
sw2[type]=switch
sw3[type]=switch
pc1[type]=generic
pc2[type]=generic
pc3[type]=generic
# Ativao do STP nos switches
sw1[stp]=on
sw2[stp]=on
sw3[stp]=on
sw1[eth0]=sw1-sw2
sw1[eth1]=sw1-port1
sw1[eth2]=sw1-sw3
sw2[eth0]=sw1-sw2
sw2[eth1]=sw2-port1
sw2[eth2]=sw2-sw3
sw3[eth0]=sw1-sw3
sw3[eth1]=sw3-port1
sw3[eth2]=sw2-sw3
pc1[eth0]=sw1-port1:ip=192.168.0.1/24
pc2[eth0]=sw2-port1:ip=192.168.0.2/24
pc3[eth0]=sw3-port1:ip=192.168.0.3/24
Apesar de desejvel em algumas situaes, uma topologia de rede com caminhos fechados, como visto na figura acima, no pode ser instalada
sem alguns cuidados. Uma rede como essa trancaria devido a um efeito chamado de tempestade de broadcasts (broadcast storm). Isso
acontece porque ao receber um quadro em broadcast, um switch sempre o retransmite por todas as demais portas. Para que a rede acima
funcione como esperado, uma ou mais portas de switches precisaro ser desativadas de forma que o caminho fechado seja removido. Ter que
fazer isso manulamente tira o sentido de ter tal configurao para tolerncia a falhas, por isso foi criado o protocolo STP
(http://en.wikipedia.org/wiki/Spanning_Tree_Protocol) (Spanning Tree Protocol, definido na norma IEEE 802.1d) para realizar
automaticamente essa tarefa.
Switches_e_STP_(Spanning_Tree_Protocol) no Netkit
Ver transparncias (http://www.sj.ifsc.edu.br/~msobral/RCO2/slides/aula11.pdf)
Roteiro do experimento (http://tele.sj.ifsc.edu.br/~msobral/IER/roteiros/lab9-2011-1.pdf)
Uma animao sobre STP (http://www.cisco.com/warp/public/473/spanning_tree1.swf)
... ver tambm:
timers do STP (hello e max-age), que influenciam o tempo de convergncia do protocolo
16/26
25/3/2014
Ainda STP
Finalizao do experimento da aula passada.
Os mecanismos so implementados em trs componentes que forma a estrutura de controle de acesso IEEE 802.1x, mostrada na figura abaixo:
Supplicant: o cliente que deseja se autenticar. Implementado com um software (ex: wpa_supplicant
(http://hostap.epitest.fi/wpa_supplicant/) , xsupplicant (http://open1x.sourceforge.net/) ).
Autenticador: o equipamento que d acesso rede para o cliente, e onde feito o bloqueio ou liberao do uso da rede. Implementado
em switches e Access Points (no caso de redes sem-fio).
Servidor de Autenticao: o equipamento que verifica as credenciais fornecidas pelo supplicant, e informa ao autenticador se ele
pode ou no acessar a rede. Implementado comumente em um servidor Radius (http://en.wikipedia.org/wiki/RADIUS) .
A autenticao se faz com protocolos especficos definidos na norma IEEE 802.1x:
EAP (Extensible Authentication Protocol): protocolo para intercmbio de informaes de autenticao entre supplicant e servidor de
autenticao.
EAPOL (EAP over LAN): protocolo para transportar as PDUs EAP entre supplicant e autenticador.
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
17/26
25/3/2014
Existem vrios mtodos EAP, que correspondem a diferentes mecanismos de autenticao. Assim, o mtodo de autenticao pode ser
escolhido de acordo com as necessidades de uma rede.
EAP-MD5: baseado em login e senha, usa um desafio MD5 para autenticar o usurio.
EAP-TLS: baseado em certificados digitais X.509, usados para autenticar a rede para o supplicant, e o supplicant para a rede.
EAP-TTLS: tambm baseado em certificados digitais, mas somente para autenticar a rede pro supplicant. O supplicant se autentica com
algum outro mtodo EAP mais simples, como EAP-MD5.
... e muitos outros ! (http://freeradius.org/features/eap.html)
Atividade
Deve ser criada uma infraestrutura no laboratrio em que os computadores tero acesso rede somente aps autenticarem-se frente aos
switches.
18/26
25/3/2014
No PPPoE suas PDUs so encapsuladas em quadros Ethernet, usando o ethertype 8863H (estgio de descoberta) ou 8864H (estgio de
sesso). Devido ao cabealho PPPoE (6 bytes) combinado ao identificador de protocolo do quadro PPP (2 bytes), a MTU em enlaces PPPoE
no pode ser maior que 1492 bytes. O quadro PPP simplificado, no possuindo as flags delimitadoras e os campos Address, Control e FCS.
A PDU PPPoE mostrada a seguir:
Em um enlace PPPoE um dos nodos o host (cliente), e o outro o concentrador de acesso (AC, que tem papel de servidor). O estabelecimento
do enlace iniciado pelo host, que procura um AC e em seguida solicita o incio do enlace. Esse procedimento composto por por dois
estgios:
Descoberta (Discovery): o cliente descobre um concentrador de acesso (AC) para se conectar. Ocorre uma troca de 4 PDUs de
controle:
PADI (PPPoE Active Discovery Indication): enviado em broadcast pelo cliente para descobrir os AC.
PADO (PPPoE Active Discovery Offer): resposta enviada por um ou mais AC, contendo seus identificadores e nomes de
servios disponveis (no mbito do PPPoE).
PADR (PPPoE Active Discovery Request): enviado pelo cliente para o AC escolhido, requisitando o incio de uma sesso.
PADS (PPPoE Active Discovery Session-Confirmation): resposta do AC escolhido.
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
19/26
25/3/2014
Sesso (Session): nessa etapa so trocados quadros PPP como no estabelecimento de um enlace PPP usual. A sesso pode ser
encerrada com a terminao PPP (i.e., via protocolo LCP), ou com a PDU PPPoE PADT (PPPoE Active Discovery Terminate).
Atividade extra
No roteiro foi proposto um desafio: fazer controle de banda diferenciado por usurios que se conectam com PPPoE. Discutimos que para fazer
isso necessrio:
1. Classificar os usurios nas categorias ouro e prata
2. Poder executar um programa (ou script) no momento em que o enlace PPP for estabelecido, de forma a configurar o controle de banda
de acordo com a categoria de usurio. Deve-se passar a esse programa o IP que o usurio obteve em seu enlace PPPoE, ou o nome da
interface PPP que foi criada no AC para esse enlace.
Ficou como tarefa para a turma detalhar como resolver esse problema, e trazer uma soluo. Quer dizer, que programas usar e que opes
desses programas devem ser configuradas. Imaginem que a soluo deve vir pronta para ser implantada.
Quem resolver esse desafio ficar em alta considerao (que se refletir em seu conceito ;-).
Reviso
Uma rede corporativa (http://tele.sj.ifsc.edu.br/~msobral/IER/roteiros/atividade-lans.pdf)
A rede de um provedor (http://tele.sj.ifsc.edu.br/~msobral/IER/roteiros/atividade-lans2.pdf)
27/05: 2a avaliao
Reviso.
20/26
25/3/2014
Ver captulo 15 do livro Comunicao de Dados e Redes de Computadores, 3a ed., de Behrouz Forouzan.
Ver captulo 4 (seo 4.4) do livro Redes de Computadores, 4a ed., de Andrew Tanenbaum.
Ver este livro on-line (http://www.sj.ifsc.edu.br/~msobral/RCO2/docs/livros/livro-802_11.chm) sobre redes IEEE 802.11.
Ver transparncias (http://www.sj.ifsc.edu.br/~msobral/RCO2/slides/aula15.pdf)
Resolver a 7a lista de exerccios (http://www.sj.ifsc.edu.br/~msobral/IER/listas/lista8.pdf)
Ser feito um experimento para configurar, usar e verificar a vazo de uma rede local sem-fio, e como funciona a comunicao entre a rede semfio e a rede cabeada. Tambm ser investigado o trfego nessa rede, usando o analisador de protocolo wireshark. A rede do experimento ser
parecida com a da figura abaixo:
Redes sem-fio oferecem muitos atrativos, como acesso ubquo, ausncia de cabeamento e suporte a usurios mveis. Mas tambm se sujeitaM
a uso indevido, uma vez que pessoas no-autorizadas no alcance do sinal do ponto de acesso podem tentar us-la para se comunicarem. Em
geral trs questes fundamentais aparecem no que diz respeito segurana em redes sem-fio:
1. Acesso indevido: uso indevido da infraestrutura por pessoas no-autorizadas.
2. Monitoramento do trfego da rede: os quadros na rede sem-fio podem ser coletados e interpretados, com possvel roubo ou revelao
de informao sensvel.
3. Infiltrao de equipamentos na rede: um ou mais pontos de acesso podem ser infiltrados na rede sem-fio, fazendo com que pessoas os
utilizem para se comunicarem. Assim, o trfego dessas pessoas pode passar por outra rede, sendo passvel de monitoramento.
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
21/26
25/3/2014
Por exemplo, redes em locais densamente ocupados (como edifcios) podem ser investigadas por algum em busca de uma rede aberta ou fcil
de ser invadida. Essa pessoa pode simplesmente querer usar o acesso Internet disponvel em alguma rede sem-fio, ou mesmo invadir os
equipamentos existentes em tal rede. A figura abaixo mostra uma situao hipottica em que uma pessoa investiga a existncia de redes sem-fio
a partir de um carro que trafega pelas ruas.
Assim, uma rede sem-fio minimamente bem configurado deve usar mecanismos de segurana que impeam ou dificultem seu uso indevido. Em
um cenrio usual, tal rede sem-fio poderia se apresentar como mostrado abaixo:
Para tratar essas questes, deve haver mecanismos de segurana que contemplem os seguintes requisitos:
1. Autenticao de usurios: usurios da rede sem-fio devem se identificar (ou autenticar) na infra-estrutura dessa rede, de forma a se
autorizarem ou no seus acessos.
2. Sigilo das comunicaes: o trfego na rede sem-fio deve ser encriptado, para que no seja inteligvel caso sejam capturados por
usurios mal-intencionados que estejam monitorando a rede sem-fio.
3. Autenticao dos pontos de acesso: pontos de acesso devem se identificar para os usurios, para evitar a infiltrao de pontos de
acesso indevidos na rede.
H mecanismos de segurana usados em redes IEEE 802.11 que contemplam todos os requisitos acima (WPA-EAP, WPA Enterprise), ou
parcialmente (WPA-PSK ou WPA Personal). WPA-EAP aproveita a infraestrutura IEEE 802.1x, junto com tcnicas de encriptao entre
estaes sem-fio, para atender esses requisitos. J WPA-PSK usa apenas as tcnicas de encriptao, no havendo um controle de acesso
baseado em usurio. Na figura abaixo se mostra uma pequena rede sem-fio que usa WPA-EAP.
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
22/26
25/3/2014
Alm dos mecanismos WPA, definidos na norma IEEE 802.11i (http://en.wikipedia.org/wiki/IEEE_802.11i-2004) , outra forma de implantar
controle de acesso em redes sem-fio se vale de um portal de captura. Quando um usurio no identificado acessa a rede, o acesso ao ponto
de acesso concedido mas ao tentar navegar na Web seu acesso desviado para uma pgina predefinida. Nessa pgina o usurio deve se
identificar (ex: com login e senha), e em caso de sucesso seu acesso Internet liberado. Essa tcnica se vale de uma combinao de
mecanismos (firewall com filtro IP, servio Web, uso de programas para autenticao) para controlar o acesso dos usurios. No entanto, no
prov sigilo das comunicaes nem autenticao de pontos de acesso ao usurio. Sua atratividade reside na simplicidade de implantao e uso
(no necessita de supplicant), sendo uma escolha comum em hot spots como aeroportos e cyber cafes. No Projeto Integrador 2009.2 as
equipes implantaram uma infra-estrutura que usava essa tcnica.
Conceitos da 3a avaliao
Aluno
Conceito
Ademir
Alexandre
D*
Amarildo
Augusto
Beatriz
Clailton
Cleidiane
Daniel Estefano
Daniel Arndt
Denis Teixeira
Dimas
Evandro
Everton
Felipe
Guilherme
Jalles
Klaus
D*
Leonardo
Luana
Luiz Gustavo
Maicon
Marco Aurlio
Maurcio
Michel
Odair
Robson
Rodrigo de Oliveira D*
Rodrigo Schmitt
Sergio
William Jamir
William Arceno
D*
23/26
25/3/2014
A transio se desencadeia quando o sinal do enlace com o AP atual tem sua qualidade abaixo de um determinado limiar. Isso faz com que um
novo AP seja procurado (varredura, ou scanning). Ao escolher um novo AP, a estao precisa nele se autenticar e associar. A autenticao
depende do mtodo usado (WPA-PSK esquerda, ou WPA-EAP direita)
A associao em si leva apenas dois quadros de controle, como se pode ver abaixo:
Como se pode deduzir, a transio feita dessa forma no imediata. Na verdade, ela pode demorar muitos segundos ! Esse atraso de transio
pode influenciar negativamente nas comunicaes em andamento, uma vez que a transio costuma ocorrer quando o sinal est com baixa
qualidade (causando perdas de quadros), alm da demora para se completar. Esforos vm sendo feitos atualmente para reduzir o atraso de
transio, e dentre eles a norma IEEE 802.11r (http://en.wikipedia.org/wiki/IEEE_802.11r-2008) prope um mecanismo para acelerar a
autenticao. Porm o atraso de varredura ainda est por melhorar ...
24/26
25/3/2014
Ademir
C C
Alexandre
D*
D D
Amarildo
C C
Augusto
C B
Beatriz
B C
Clailton
B C
Cleidiane
D D
Daniel Estefano
C B
Daniel Arndt
C C
Denis Teixeira
C C
Dimas
B C
Evandro
C C
Everton
C C
Felipe
B B
Guilherme
D D
Jalles
B C
Klaus
D*
D*
D D
Leonardo
C B
Luana
B B
Luiz Gustavo
D D
Maicon
C C
Marco Aurlio
B B
Maurcio
D D
Michel
D D
Odair
C D
Robson
C D
Rodrigo de Oliveira D
D*
D D
Rodrigo Schmitt
D C
Sergio
B B
William Jamir
B B
William Arceno
D*
D D
25/26
25/3/2014
http://wiki.sj.ifsc.edu.br/wiki/index.php/IER-2011-1
26/26