Introduo s Redes e Protocolos TCP/IP Sesso n4

Jorge Gomes jorge@lip.pt

Virtual LANs

Virtual LAN (VLAN)

Tal como uma LAN uma VLAN pode ser definida como um domnio de broadcast:
Um pacote de broadcast chega a todas as estaes da VLAN Sobre o ponto de vista conceptual uma VLAN igual a uma LAN

VLANs permitem a separao das portas dos switches

Podem criar-se subconjuntos de portas que funcionam como uma LAN independente Permite criar uma rede virtual dentro da rede fsica

SWITCH

SWITCH

SWITCH

VLAN 1

VLAN 2

VLAN 3

Virtual LAN (VLAN)

Uma VLAN pode atravessar mltiplos switches
SWITCH C SWITCH A

VLAN 2 VLAN 1 VLAN 2 SWITCH B

VLAN 2

VLAN 3

Virtual LAN (VLAN)

Uma VLAN pode atravessar mltiplos switches
SWITCH A
SWITCH sem suporte p/ VLANs Todas as portas ficam na mesma VLAN

VLAN 1

VLAN 2 SWITCH Z

VLAN 2

Virtual LAN (VLAN)

As VLANs pode atravessar mltiplos switches
SWITCH A

VLAN Trunk Uma porta com mltiplas VLANs

VLAN 1

VLAN 2

SWITCH Y

VLAN 2

VLAN 1

Virtual LAN (VLAN)

Uma porta de switch ou uma interface de rede de uma maquina pode ser adicionada a uma VLAN de duas formas:
Untagged

Tagged

Virtual LAN (VLAN)

Untagged
A VLAN untagged configurada na porta do switch Do lado do computador no necessrio fazer NADA

Todo o trfego enviado pela interface do computador para a porta do switch automaticamente colocado na VLAN configurada
S pode haver uma VLAN untagged por porta do switch Uma interface de rede de um computador s pode pertencer a uma VLAN untagged Sob o ponto de vista do computador nem se percebe que est ligado numa VLAN o switch que coloca todo o trfego na VLAN configurada

Virtual LAN (VLAN)

Untagged
Uma porta est associada a uma nica VLAN especifica No preciso configurar nada do lado dos computadores Os frames recebidos nas portas do switch so colocados na VLAN escolhida
Interface vlan 21 Untagg GigabitEthernet 1 Untagg GigabitEthernet 2

Gi1

VLAN 21

Gi2

Virtual LAN (VLAN)

Tagged
A interface do computador e a porta do switch tem de ser ambas explicitamente configuradas Com interfaces tagged uma interface pode pertencer a mltiplas VLANs Cada interface adiciona informao ao header do frame Ethernet sobre a VLAN a que o frame pertence:
Tanto do lado do computador como do switch de rede Requer frames Ethernet com suporte para VLANs

As interfaces recebem os frames e de acordo com a marca (TAG) e encaminham os frames no contexto da VLAN pretendida
Quando uma interface recebe um frame verifica se a marca (TAG) do frame corresponde a alguma das VLANs configuradas na porta Caso no corresponda a interface deita o frame fora

Virtual LAN (VLAN)

Tagged
Uma porta pode estar associada a mais de uma VLAN preciso mapear as portas dos switches nas VLANs

Interface vlan 21 tagg GigabitEthernet 28 Interface vlan 57 tagg GigabitEthernet 28

Interface vlan 21 tagg GigabitEthernet 1 Interface vlan 57 tagg GigabitEthernet 1

Gi28

Gi1

VLAN 21

VLAN 57

VLAN 21

VLAN 57

Virtual LAN (VLAN)

Tagged
Uma porta/interface pode estar associada a mais de uma VLAN Do lado do computador preciso configurar interfaces virtuais mapeadas nas VLANs Para o sistema operativo do computador como se a maquina tivesse mltiplas interfaces de rede
vconfig add eth0 21 vconfig add eth0 57 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up Interface vlan 21 tagg GigabitEthernet 1 tagg GigabitEthernet 2 Interface vlan 57 tagg GigabitEthernet 1

Gi1

VLAN 21

VLAN 57

Interface eth0

Gi2

Virtual LAN (VLAN)

Tagged e Untagged
Tambm possvel ter uma nica default VLAN untagged e mltiplas VLANs tagged Trfego originrio da estao que no tenha TAG encaminhado para a VLAN default Trfego com TAG vai para a VLAN correspondente
vconfig add eth0 21 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up

Interface vlan 21 tagg GigabitEthernet 1

Interface vlan 57 untagg GigabitEthernet

Gi1

VLAN 21

VLAN 57

Interface eth0

Virtual LAN (VLAN)

Em RH configurar uma VLAN atravs dos ficheiros de configurao
/etc/sysconfig/network-scripts/ifcfg-eth0.21

DEVICE=eth0.21 VLAN=yes ONBOOT=no BOOTPROTO=none TYPE=Ethernet IPADDR= 193.139.66.1 NETMASK=255.255.255.0

Virtual LAN (VLAN)

A introduo de tags implica novos campos nos frames Ethernet (cabealho 802.1q com 32bits):
Tag protocol id = 0x8100 (16bits) para identificar um frame tagged Priority code = Class of Service (3bits) prioridade 0 mnima a 7 mxima Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring VLAN id = (12bits) para indicar a VLAN

Ateno ao VLAN identifier:

VLAN id 1 frequentemente usada para a VLAN de gesto VLAN id 0xFFF reservada e no pode ser usada VLAN id 0 significa que o frame no pertence a uma VLAN pode ser usado para ter CoS sem VLAN

Virtual LAN (VLAN)

O tamanho mximo de um frame Ethernet untagged so 1518 bytes excluindo:
Preambulo Inicio de frame Trailer

Para manter o MTU em 1500 bytes o tamanho mximo de um frame tagged na maioria dos equipamentos 1522 bytes
4 bytes de header 802.1q

VLAN in VLAN
Usado por fornecedores de servio para encapsularem nas suas VLANs trfego de clientes que possui tags 802.1q Acrescenta mais um header de 32bits tipo 802.1q A service provider tag pode variar:
0x9100, 0x9200, 0x9300 A norma 802.1ad especifica a service provider flag em 0x88a8

Virtual LAN (VLAN)

Force10#sh vlan
Codes: Q: U x G * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack Status Active Active Description REDE DE Gestao REDE WIRELESS Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38

NUM 1 45

68 14

Active Inactive

REDE CENTRAL REDE DE TESTE

Virtual LAN (VLAN)

Force10#sh running
! interface Vlan 43 description VLAN PARA A REDE IP 172.70.51.0 name VLAN DA TRETA ip address 172.70.51.254/24 untagged GigabitEthernet 5/8,20-22,40-43 ip helper-address 172.70.2.167 no shutdown !

Virtual LAN (VLAN)

Cisco#sh vlan
Codes: Q: U x G * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack Status Active Active Description REDE DE Gestao REDE WIRELESS Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38

NUM 1 45

68 14

Active Inactive

REDE CENTRAL REDE DE TESTE

Virtual LAN (VLAN)

cisco#sh vlan VLAN ---34 61 VLAN ---34 61 Name Status Ports -------------------------------- --------- -----------------------------default MY VLAN Type ----enet enet SAID ---------100001 100005 MTU ----1500 1500 Parent -----active active RingNo ------

Gi1/43, Gi1/14, Gi1/35, Gi1/26 Stp ---BrdgMode -------Trans1 -----0 0 Trans2 -----0 0

BridgeNo --------

Spanning Tree

Spanning Tree
SWITCH A SWITCH B SWITCH C

STP - Spanning Tree Protocol (IEEE 802.1D):

evita loops na rede permite criar ligaes redundantes

Funcionamento:
usa apenas uma ligao e inibe as outras se houver uma quebra da ligao activa usa uma ligao que estava inibida

Requer suporte de spanning-tree em todos os dispositivos

switches e bridges

Spanning Tree
O STP foi inventado pela digital (DEC) Mais tarde foi criado um standard pela IEEE
Existem diferenas entre as duas implementaes
No so compativeis Alguns equipamentos possuem ambas as implementaes

Mesmo com equipamentos que obedecem a uma mesma especificao:

Por vezes surgem problemas Especialmente devido a parametrizaes diferentes (timers etc)

Spanning Tree
Cada bridge possui um identificador (bridge-id) de 8 bytes:
2 primeiros bytes so uma prioridade 6 ltimos bytes so obtidos de um MAC address

De entre todas as bridges a que tiver menor bridge-id eleita ROOT BRIDGE O algoritmo calcula:
O caminho com menor custo de todos os segmentos de rede at root bridge Em situaes em que existe mais de um caminho possvel escolhido o caminho atravs da bridge com menor bridge-id O custo de cada interface depende da sua velocidade Os custos podem ser configurados manualmente para mudar a topologia

Spanning Tree
As bridges trocam entre si mensagens:
Bridge Protocol Data Units (BPDUs) Para conhecer os bridge-ids Para conhecer os root path costs

Os BPDUs:
Funcionam em Layer 2 Endereo de origem o endereo Ethernet da porta que transmite Endereo de destino o grupo de multicast 01:80:C2:00:00:00

Tipos de BPDUs:
Configuration BPDUs (CBPDUs) usados para calculo da arvore Topology Change Notification (TCN BPDU) para anuncio da alteraes na topologia de rede Topology Change Notification Acknowledgment (TCA)

Spanning Tree
Os BPDUs so trocados constantemente para deteco de alteraes de topologia Os TCN BPDUs so usados para notificar da alterao de estado de portas das bridges Quando um switch arranca espera durante 30s
Para aprender a topologia atravs dos BPDUs recebidos Para aprender endereos Para verifica se pode causar um loop Se puder ser causa de loop bloqueia as portas necessrias S ento comea a fazer forwarding de pacotes

Spanning Tree Protocol

STP baseia-se em grafos RP: root port DP: designated port BP: blocked port

Spanning Tree
Custos para cada tipo de interface:

Data rate 4 Mbit/s 10 Mbit/s 16 Mbit/s 100 Mbit/s

STP Cost (802.1D-1998) STP Cost (802.1t-2001) 250 100 62 19 5,000,000 2,000,000 1,250,000 200,000

1 Gbit/s
2 Gbit/s 10 Gbit/s

4
3 2

20,000
10,000 2,000

Spanning Tree
RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)
STP com convergncia mais rpida (6s em vez de 30-50s) Refinamento do STP, a referncia actual

MSTP Multiple Spanning Tree Protocol

IEEE802.1s e IEEE802.1Q Extenso do RSTP para suportar VLANs (uma Tree por VLAN)

PVST e PVST+ Per VLAN Spanning Tree

STP por VLAN Protocolo proprietrio da CISCO

R-PVST Rapid Per VLAN Spanning Tree

Verso Rapid Spanning Tree do PVST proprietria da CISCO

Routers e Switches

Routers e Switches
Switch L2
Encaminha frames de baixo nvel (nvel 2)
Ethernet, FDDI, ATM, etc

No sabe o que um protocolo L3 como o TCP/IP No consegue encaminhar frames para fora de um domnio de broadcast

Router ou um Switch L3
Encaminha pacotes de alto nvel (nvel 3)
TCP/IP, Netbios, IPX, DECnet , etc

Interpreta a informao L3 contida no payload dos frames Pode ser usado para interligar:
Domnios de broadcast Diferentes tipos de redes fsicas Virtual LANs

Routers e Switches
As LANs azul e cinzenta so domnios de broadcast diferentes Um nico frame Ethernet no pode percorrer o trajecto de A para Z O pacote TCP/IP tem de ser enviado
Dentro de um frame Ethernet de A para o endereo Ethernet do router cinzento Dentro de clulas ATM do router cinzento com destino ao azul Dentro de um frame Ethernet do router azul para o endereo Ethernet de Z

LAN Azul Z

Router azul

Rede ATM

LAN Cinzenta

Router Cinzento Switch L2

Pacote TCP/IP para Z

Routers e Switches
LIP Coimbra
Switch L2/L3 Force10

FCCN Switch L3

RCTS Internet

LAN

FCCN Nuvem L2 Ethernet

Switch L2/L3 Force10

LAN
Uma nuvem L2 Ethernet fornecida pela FCCN interliga os 3 locais Os equipamentos L2 da FCCN s vem os frames Ethernet Dentro dos frames vo pacotes TCP/IP (L3) Os switches/routers do LIP processam a informao L3

N Central LNEC

LIP Lisboa

Router L3 CISCO

DMZ

Switch L2/L3 Force10

LAN

Shaping, Policing e Qualidade de Servio em Layer 2

Shaping e Policing
Por vezes necessrio limitar a largura de banda de uma interface de rede ou de um tipo de trfego:
Alocao de largura de banda a determinados tipos de trfego Diminuir a probabilidade de perda de pacotes Forar a utilizao a um limite acordado
A
10Mbps B 1Mbps

C
7Mbps

Pode fazer sentido limitar a 1Mbps para tudo o que vai para alm de B

Shaping:
Introduzir intervalos entre a transmisso de pacotes de forma a limitar a largura de banda Usa-se apenas sada de uma interface

Policing:
Limitar o trfego deitando fora todos os pacotes acima de uma largura de banda predeterminada Pode usar-se sada ou entrada de uma interface

Shaping e Policing
Shaping
Existem diversos algoritmos e mtodos de shaping: Token Bucket Leaky Bucket Controlo artificial to TCP manipulando as janelas e os ACKs Pode obrigar perda de pacotes quando o buffer ou fila de transmisso est cheia Quando se deita fora os pacotes da cauda funciona como policing prefervel usar algoritmos mais inteligentes para deitar alguns pacotes fora e evitar que a fila encha (drop mais esparso) Algoritmos de congestion avoidance:
Random Early Detect (RED) Weigthed Random Early Detect (WRED)

Ao longo de um caminho o shaping deve ser feito o mais cedo possvel Um bom shaping requer:
Mais inteligncia nos dispositivos de rede Sobretudo um grande buffer de acordo com a capacidade da interface

No existe em todos os dispositivos de redes

Shaping e Policing
Policing
Como o trfego que ultrapassa o limite deitado fora as perdas podem ser extremamente concentradas no tempo Caso os protocolos no reajam bem perda de pacotes Falta de mecanismos de feedback e ajuste Pode causar disrupo como se houvesse perodos de falta de conectividade O impacto da perda mais acentuado do que no shaping Como no existe buffering mais simples de implementar Como no requer algoritmos sofisticados mais simples de implementar

Shaping e Policing

Shaping e Policing
Todas os protocolos bem concebidos devem possuir mecanismos de adaptao perda de pacotes:
Retransmisso Feedback notificao de que os pacotes no chegaram Auto adaptao perda de pacotes envio a um ritmo menor Em trfego de tempo real como voz e vdeo idealmente a qualidade deve ser adaptada dinamicamente largura de banda disponvel

Se o mecanismo no existir no protocolo usado ento deve ser implementado ao nvel da aplicao:
Ao nvel da aplicao pode efectuar-se uma adaptao mais inteligente Por ex: um sistema de monitorizao pode enviar a informao mais espaada ou dar prioridade a alguma informao em detrimento de outra

Shaping e Policing
Efectuar shaping numa interface de um Force10 para todo o trfego saida
Fazer o shapping a 600Mbps com burst de 20KBytes

Force10#config
Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate shape 600 20 Force10(conf-if)#end Force10 #

Shaping e Policing
Efectuar policing numa interface de um Force10 para todo o trfego entrada
Largura de banda garantida 80Mbps com burst de 50KBytes Pico 90Mbps com burst de 60KBytes

Force10#config t Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate police 80 50 peak 90 60 Force10(conf-if)#end Force10#

Shaping e Policing e Classificao

Mtodos mais sofisticados incluem a classificao do trfego de acordo com as suas caractersticas:
Origem, destino, protocolo, etc

Cada classe de trfego pode ento ser tratada de forma diferenciada:

Limites de utilizao diferentes Shaping ou policing Algoritmos de drop diferentes etc

A classificao muito importante para privilegiar o trfego interactivo ou de tempo real sobre outros tipos de trfego

Quality of Service
Quality of Service (QoS) em redes de dados a capacidade de tratamento diferenciado para:
Determinados tipos de trfego Determinados fluxos de trfego

Objectivo garantir nveis de desempenho diferenciados de acordo com as necessidades A qualidade de servio importante:
Quando a largura de banda total insuficiente para as necessidades Quando algum trfego mais importante ou necessita de largura de banda ou atraso mnimos garantidos Exemplos: voz e dados numa mesma rede

Quality of Service
Existem diversos factores que podem afectar a qualidade de um servio de rede:
Largura de banda Perda de pacotes Atraso Variaes no atraso (jitter) Entrega fora de sequencia Erros Aplicaes interactivas que requerem resposta em tempo real (cirurgia remota) Voice Over IP (VOIP) Videoconferncia Protocolos de controle da prpria rede

Exemplos de aplicaes que necessitam/beneficiam de QoS:

O problema surge quando se mistura numa mesma rede trfego com requisitos de qualidade de servio com trfego de dados geral

Quality of Service
A maior parte das redes incluindo a Internet funcionam como servios best-effort:
No h qualquer garantia de servio No h tratamento diferenciado

A implementao de mecanismos de qualidade de servio extremamente complexa:

A qualidade de servio para funcionar tem de ser respeitada por todos os equipamentos ao longo de todo o caminho Requer processamento adicional A maioria dos equipamentos est concebia para efectuar encaminhamento rpido indiferenciado

Frequentemente prefervel resolver os problemas aumentando a largura de banda !

Ethernet QoS
IEEE 802.1p ou Class of Service (CoS) Define um campo de 3 bits
Usado para implementar prioritizao Presente nos frames 802.1q usados nas VLANs com tagging

O campo define 8 classes de servio:

0 best effort 1 background 2 spare 3 excellent effort 4 controlled load 5 video 6 voice 7 network control

Ethernet QoS Force10

Por exemplo num Force10 C300 as 8 prioridades so mapeadas em 4 filas:
dot1p dot1p dot1p dot1p 0, 1 fila 1 2, 3 fila 0 4, 5 fila 2 6, 7 fila 3 13.3% 6.6% 26.6% 53.3%

O trfego de entrada de uma interface pode ser classificado numa prioridade

Force10# config Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# switchport Force10(conf-if)# description IP-TELEPHONES Force10(conf-if)# dot1p-priority 6 Force10(conf-if)# end

Ethernet QoS Force10

Pode configurar-se as interfaces para respeitar a marcao dos pacotes que entram no switch Por defeito na maioria dos switches (Force10 includo) as marcaes dot1p no so respeitadas
Force10# config t

Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-class dynamic dot1p Force10(conf-if)# end

Ethernet QoS Force10

Pode mudar-se a atribuio de largura de banda s queues atravs de pesos Mudando os valores default que so aplicveis a todas as interfaces
Force10# config t Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32 queue2 64 queue3 128

Ethernet QoS Force10

Pode mudar-se a atribuio de largura de banda s queues atravs de pesos
Force10(conf)# qos-policy-output DATA
Force10(conf-qos-policy-out)# bandwidth-weight 8 Force10(conf)# qos-policy-output IMPORTANT Force10(conf-qos-policy-out)# bandwidth-weight 64 Force10(conf-qos-policy-out)# Force10(conf)# policy-map-output MY-OUT-POLICY Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT Force10(conf-policy-map-out)# Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-policy output MY-OUT-POLICY Force10(conf-if)# end

Wi-Fi

Wi-Fi
Tecnologia Wireless Local Area Network IEEE 802.11
Comunicao sem fios atravs de radiofrequncias

Algumas das normas IEEE 802.11:

802.11a 802.11b 802.11g 802.11n 54Mbps 11Mbps 54Mbps 600Mbps 23Mbps 4.3Mbps 19Mbps 30/130Mbps 5GHz 2.4GHz 2.4GHz 2.4GHz/5GHz

Usa espectro de rdio aberto no requer licenciamento

Dependendo da norma pode usar 2.4GHz ou 5GHz

As bandas so dividida em canais

A regulao da utilizao do espectro de radiofrequncias difere de pas para pas O numero de canais varia de acordo

Wi-Fi Frequncias
2.4GHz
Outros dispositivos podem interferir: telefones sem fios, bluetooth , monitores dos bebs, etc A banda de 2.4GHz est muito saturada Espaamento entre canais de 5MHz Na Europa a banda dividida em 13 Nos EUA so 11 canais e no Japo so 14 canais Existe sobreposio de canais

5GHz
O alcance menor Sinais mais absorvidos por paredes e objectos slidos A utilizao de antenas com maior ganho pode compensar o menor alcance Espaamento mnimo entre canais de 20MHz Na Europa a banda dividida em 19 canais EUA 20 canais, Japo 23 canais, China 5 canais etc

Wi-Fi Normas e Frequncias

Normas (b, g) a 2.4GHz:
Espaamento entre canais 5MHz Largura de cada canal 20MHz Canais 1, 6, 11 no so sobrepostos

Norma (n) a 2.4GHz:

Espaamento entre canais 5MHz Largura de cada canal 20MHz ou 40MHz A 22MHz canais 1, 6, 11 no so sobrepostos A 40MHz canais 1, 11 no so sobrepostos

Wi-Fi Normas e Frequncias

Norma (a) a 5GHz:
Espaamento mnimo entre canais 20MHz Largura de cada canal 20MHz 20 canais

Norma (n) a 5GHz:

Espaamento mnimo entre canais 20MHz Largura de cada canal 20MHz ou 40MHz 20 canais A 40MHz h sobreposio com o canal adjacente (10 canais)

Wi-Fi Normas e Frequncias

Norma a
6, 9, 12, 18, 24, 36, 48, 54 Mbps 35m 120m

Norma b
1, 2, 5.5, 11 Mbps 38m 140m

Norma g
1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps 38m 140m

Norma n
7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps 15, 30, 45, 60, 90, 120, 135, 150 Mbps 70m 250m a 20MHz de largura a 40MHz de largura

Wi-Fi mais normas

As normas de regulao do espectro de radiofrequncias variam:
O numero de canais por banda 2.4GHz ou 5GHz varia 5.47GHz a 5.725 GHz (802.11h)
Resolver problemas de interferncia com comunicaes via satlite e sistemas de radar Introduz a alocao dinmica de frequncias (DFS) Introduz o controlo dinmico da potencia de transmisso (TPC) A banda 5.47GHz a 5.725GHz no est autorizada em todos os pases

3.6GHz (802.11y)
Banda para transmisso c/ elevada potencia usada com o 802.11a Alcance at 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais Autorizado apenas nos EUA

Wi-Fi modos de funcionamento

Dois modos de funcionamento

Infrastructure
Baseia-se em access-points (AP) Centraliza o controlo de acesso nos AP Centraliza todas as comunicaes wireless nos AP Podem existir mltiplos AP numa mesma rede Wireless Os AP ficam interligados por uma rede wired Ethernet

ad-hoc
Comunicao directa (peer-to-peer) entre dispositivos wireless No necessita de um access point

Rede Wi-Fi tipo ad-hoc

Rede Wi-Fi tipo infrastructure

Ethernet LAN Ethernet

Access Point (AP)

Access Point (AP)

Bridge

Rede Wi-Fi tipo infrastructure

Router + Firewall Internet

Ethernet LAN

Access Point (AP)

Bridge ou Router

Rede Wi-Fi c/ Firewall

Ethernet LAN
Router + Firewall Internet Firewall

Ethernet LAN DMZ Access Point (AP) Access Point (AP)

Filtrar o trfego com origem nos portteis e destinado LAN

Bridge Permite usar o mesmo endereo IP nos portteis independentemente do AP

AP Wi-Fi / router / ADSL

Linha telefnica AP Wireless com router ADSL

Interface ADSL

NAT Firewall

Routing
Wireless Ethernet SWITCH

RF

Ethernet Interfaces

Antena

AP Wi-Fi / router / ADSL

Linha telefnica AP Wireless com router ADSL

Interface ADSL

NAT Firewall

Firewall
Wireless

Routing
Ethernet SWITCH

RF

Ethernet Interfaces

Antena

Wi-Fi
SSID
Service Set Identifier Identifica o nome da rede Wireless Numa mesma rede tipo infrastructure mltiplos APs podem partilhar o mesmo SSID Case sensitive, pode ter um mximo de 32 caracteres O SSID pode ser anunciado periodicamente ou no
SSID broadcast Rede visvel

BSSID
Basic Service Set Identifier Em modo infrastructure o MAC address da interface wireless de cada um dos access points Em modo ad-hoc um endereo MAC gerado aleatoriamente pelo primeiro dispositivo a ligar-se rede ad-hoc
Individual/Group bit 0 Universal/Local bit 1

Wi-Fi
Modo Infrastructure
Todos os dispositivos precisam de usar o mesmo SSID Identifica a rede Wireless Todos os dispositivos associados ao mesmo AP precisam de
Usar o mesmo BSSID do AP Usar o mesmo canal do AP

Modo Ad-hoc
Todos os dispositivos precisam de usar o mesmo SSID Todos os dispositivos precisam de usar o mesmo BSSID Todos os dispositivos precisam de usar o mesmo canal

Rede Wi-Fi tipo infrastructure

Ethernet LAN

SSID
Access Point (AP) BSSID Canal 1 Access Point (AP) BSSID Canal 11

Wi-Fi Transmisso
Funcionamento em half-duplex
Ou transmite ou recebe

As redes wireless so meios partilhados

Como as redes Ethernet antigas

Protocolo de transmisso tipo CSMA/CA:

Carrier Sense Multiple Access with Collision Avoidance Similar ao CSMA/CD das redes Ethernet O protocolo minimiza a possibilidade de colises:
Espera que no haja transmisses a decorrer Lana intervalo de espera aleatrio Transmite O transmissor espera um ACK do receptor O receptor verifica o CRC do frame recebido O receptor envia ACK se CRC ok

A perda de desempenho pela espera compensada pela menor ocorrncia de colises

Wi-Fi Frames

To AP From AP

Fragment Retrans

A frame Is available

Strict ordering

Wi-Fi Frames
PLCP header

Wi-Fi Frame
Existem 4 campos de endereo O significado depende do valor dos campos
To DS (to distribution system) From DS (from distribution system)

Addrs:
Addr1 Addr2 Addr3 receptor imediato emissor BSSID de uma rede ad-hoc (ToDS 0 FromDS 0) emissor original (ToDS 0 FromDS 1) destino final (ToDS 1 FromDS 0) apenas usado em relay de frames entre APs

Addr4

Wi-Fi Frames
Tipos de MAC frames 802.11
Control frames
RTS (request to send) CTS (clear to send) ACK (acknowledge)
Uso facultativo Obrigatrio em APs com mais de um modo Diminui o desempenho

Management Frames
Beacon Probe req, Probe resp Assoc req, Assoc resp Reassoc req, Reassoc resp Disassociation Authentication Deauthentication
Scan passivo Scan activo Associao S usado em redes tipo infrastructure Equivalente a ligar o cabo ficha

Data Frames

Wi-Fi RTS/CTS
Porqu usar o RTS/CTS ? O protocolo CSMA requer que uma estao antes de transmitir seja capaz de escutar o meio:
Se as estaes estiverem muito afastadas isto pode no ser possvel aumentando a probabilidade de colises Numa rede com APs a suportar por ex. as normas b e g as estaes com norma b no conseguem escutar as transmisses na norma g (modulaes diferentes CCK e OFDM)
AP B B

B
B no ouve G

CCK

AP B/G

OFDM

G no ouve B

porque B e G usam modulaes diferentes

Fragmentao
Existe um mecanismo de fragmentao:
O Bit error rate pode ser elevado logo faz sentido enviar frames mais pequenos Por outro lado faz sentido suportar frames de 1500 bytes tal como na Ethernet A soluo a fragmentao

Wi-Fi Inicio de comunicao

Rede tipo infra-estrutura Exemplo de estabelecimento de comunicao entre uma estao e um AP

Wi-Fi Overheads
Os desempenhos anunciados nas normas so raw Na pratica os desempenhos na transmisso de dados so muito menores O grfico mostra os overheads com preambulo longo O uso de prembulos curtos melhoram ligeiramente o desempenho

Inter Frame Spaces (Intervals)

Wi-Fi
Transmisso de um frame

Se o tamanho dos dados ultrapassar o limiar de fragmentao (threshold) necessrio transmitir mais de um frame

Se o protocolo RTS/CTS for usado a troca de frames aumenta

Wi-Fi WEP
Tipos de rede em termos de segurana:
Open
Estao envia um frame de autenticao AP responde com frame de autenticao

Shared-key (WEP Wired Equivalent Privacy)

Mtodo de encriptao inseguro (RC4 c/ chaves de 40bits) Chave comum entre todas as estaes e o AP Estao envia de um frame de autenticao AP responde com frame de autenticao com desafio (texto) Estao encripta o texto de desafio com a chave AP verifica que o texto encriptado corresponde ao desafio e responde com frame de autenticao com status de sucesso

WPA / WPA2 (802.11i)

Usam o protocolo 802.1x para autenticao

Wi-Fi WAP
WPA - Wi-Fi Protected Access (draft standard) Soluo interina para substituio do WEP que inseguro:
Usa o protocolo TKIP (Temporal Key Integrity Protocol) Compromisso entre segurana e a possibilidade de usar o hardware que ento existia Usa RC4 como o WEP mas as chaves mudam a cada pacote transmitido, implementa proteco contra repetio de pacotes e verificao da integridade das mensagens

Dois modos possveis WPA-enterprise e WPA-personal WPA- enterprise

Autenticao atravs de um servidor de autenticao RADIUS e EAP Muito semelhana do WPA2 Maior granularidade com controlo de acesso por utilizador

WPA-personal
Usa chaves partilhadas pr-definidas pre-shared-keys (PSK) No requer servidor RADIUS e menos complexo As chaves so partilhas por todos os utilizadores

Wi-Fi WPA
Autenticador
Access Point Wireless

Suplicante
Estao (o vosso porttil)

Servidor de autenticao
RADIUS

O mtodo para gerar e distribuir as chaves de acesso ao autenticador e suplicante e igual entre:
WPA personal WPA enterprise

Apenas o mtodo de gerao das chaves mestras para cada sesso muda.
Porque existe o servidor Radius no meio

Wi-Fi WPA2
O WPA2 (802.11i) o sucessor do WPA:
Algoritmo de encriptao mais robust AES em vez de TKIP Incorpora optimizaes diversas O protocolo EAPOL (Extensible Authentication Protocol Over LAN) usado para distribuir chaves entre o suplicante e o autenticador

Fortemente baseado no 802.1X que permite autenticao da ligao de estaes a uma porta numa LAN:
A ligao a uma porta em 802.1X corresponde associao ao AP Uma vez associada a um AP todo o trfego no 802.1X proveniente da estao eliminado Aps autenticao 802.1X bem sucedida todo o trfego pode passar

EAP permite mltiplos tipos de autenticao:

EAP-TLS EAP-LEAP EAP-PEAP EAP-MD5 EAP-TTLS usa certificados de utilizador para autenticao CISCO usa passwords usa passwords atravs de tnel via MSCHAPv2 RFC3748 passwords com encriptao MD5 Envio das passwords atravs de um tnel TLS

Wi-Fi WPA2
802.1x Comunicao segura Entre a estao e o servidor RADIUS atravs do AP Usando certificados O servidor Radius possui um certificado