Introdução às Redes e

Protocolos TCP/IP
Sessão nº4
Jorge Gomes
jorge@lip.pt
Virtual LANs
 Virtual LAN (VLAN)
• Tal como uma LAN uma VLAN pode ser definida como
um domínio de broadcast:
– Um pacote de broadcast chega a todas as estações da VLAN
– Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN
• VLANs permitem a separação das portas dos switches
– Podem criar-se subconjuntos de portas que funcionam como
uma LAN independente
– Permite criar uma rede virtual dentro da rede física

SWITCH SWITCH SWITCH

VLAN 1 VLAN 2 VLAN 3

 Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches
SWITCH C
SWITCH A

VLAN 2
VLAN 1 VLAN 2

SWITCH B

VLAN 2 VLAN 3
 Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches

SWITCH A
SWITCH sem
suporte p/ VLANs
Todas as portas
ficam na mesma
VLAN

VLAN 1 VLAN 2
SWITCH Z

VLAN 2
 Virtual LAN (VLAN)
• As VLANs pode atravessar múltiplos switches
SWITCH A

VLAN Trunk
Uma porta com múltiplas VLANs

VLAN 2 SWITCH Y
VLAN 1

VLAN 2 VLAN 1
 Virtual LAN (VLAN)

• Uma porta de switch ou uma interface de rede de uma

maquina pode ser adicionada a uma VLAN de duas
formas:

– Untagged

– Tagged
 Virtual LAN (VLAN)
• Untagged
– A VLAN untagged é configurada na porta do switch
– Do lado do computador não é necessário fazer NADA

– Todo o tráfego enviado pela interface do computador para a

porta do switch é automaticamente colocado na VLAN
configurada

– Só pode haver uma VLAN untagged por porta do switch

– Uma interface de rede de um computador só pode pertencer a
uma VLAN untagged

– Sob o ponto de vista do computador nem se percebe que está

ligado numa VLAN
– É o switch que coloca todo o tráfego na VLAN configurada
 Virtual LAN (VLAN)
• Untagged
– Uma porta está associada a uma única VLAN especifica
– Não é preciso configurar nada do lado dos computadores
– Os frames recebidos nas portas do switch são colocados na
VLAN escolhida
Interface vlan 21
Untagg GigabitEthernet 1
Untagg GigabitEthernet 2

Gi1

VLAN 21

Gi2
 Virtual LAN (VLAN)
• Tagged
– A interface do computador e a porta do switch têem de ser
ambas explicitamente configuradas
– Com interfaces tagged uma interface pode pertencer a
múltiplas VLANs

– Cada interface adiciona informação ao header do frame

Ethernet sobre a VLAN a que o frame pertence:
• Tanto do lado do computador como do switch de rede
• Requer frames Ethernet com suporte para VLANs

– As interfaces recebem os frames e de acordo com a marca

(TAG) e encaminham os frames no contexto da VLAN
pretendida
• Quando uma interface recebe um frame verifica se a marca (TAG)
do frame corresponde a alguma das VLANs configuradas na porta
• Caso não corresponda a interface deita o frame fora
 Virtual LAN (VLAN)
• Tagged
– Uma porta pode estar associada a mais de uma VLAN
– É preciso mapear as portas dos switches nas VLANs

Interface vlan 21 Interface vlan 21

tagg GigabitEthernet 28 tagg GigabitEthernet 1

Interface vlan 57 Interface vlan 57

tagg GigabitEthernet 28 tagg GigabitEthernet 1

Gi28 Gi1
VLAN 21

VLAN 57

VLAN 21

VLAN 57
 Virtual LAN (VLAN)
• Tagged
– Uma porta/interface pode estar associada a mais de uma VLAN
– Do lado do computador é preciso configurar interfaces virtuais
mapeadas nas VLANs
– Para o sistema operativo do computador é como se a maquina
tivesse múltiplas interfaces de rede
vconfig add eth0 21 Interface vlan 21
vconfig add eth0 57 tagg GigabitEthernet 1
ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up tagg GigabitEthernet 2
ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up
Interface vlan 57
tagg GigabitEthernet 1
Gi1
VLAN 21

Interface eth0 VLAN 57

Gi2
 Virtual LAN (VLAN)
• Tagged e Untagged
– Também é possível ter uma única default VLAN untagged e
múltiplas VLANs tagged
– Tráfego originário da estação que não tenha TAG é
encaminhado para a VLAN default
– Tráfego com TAG vai para a VLAN correspondente

vconfig add eth0 21 Interface vlan 21

ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up tagg GigabitEthernet 1
ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up
Interface vlan 57
untagg GigabitEthernet

Gi1
VLAN 21

Interface eth0 VLAN 57

 Virtual LAN (VLAN)
• Em RH configurar uma VLAN através dos ficheiros de
configuração

/etc/sysconfig/network-scripts/ifcfg-eth0.21

DEVICE=eth0.21
VLAN=yes
ONBOOT=no
BOOTPROTO=none
TYPE=Ethernet
IPADDR= 193.139.66.1
NETMASK=255.255.255.0
 Virtual LAN (VLAN)
• A introdução de tags implica novos campos nos frames
Ethernet (cabeçalho 802.1q com 32bits):
– Tag protocol id = 0x8100 (16bits) para identificar um frame tagged
– Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima
– Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring
– VLAN id = (12bits) para indicar a VLAN
• Atenção ao VLAN identifier:
– VLAN id 1 é frequentemente usada para a VLAN de gestão
– VLAN id 0xFFF é reservada e não pode ser usada
– VLAN id 0 significa que o frame não pertence a uma VLAN
pode ser usado para ter CoS sem VLAN
 Virtual LAN (VLAN)
• O tamanho máximo de um frame Ethernet
untagged são 1518 bytes excluindo:
– Preambulo
– Inicio de frame
– Trailer

• Para manter o MTU em 1500 bytes o tamanho

máximo de um frame tagged é na maioria dos
equipamentos 1522 bytes
– 4 bytes de header 802.1q
 VLAN in VLAN
• Usado por fornecedores de serviço para encapsularem
nas suas VLANs tráfego de clientes que possui tags
802.1q
• Acrescenta mais um header de 32bits tipo 802.1q
• A service provider tag pode variar:
– 0x9100, 0x9200, 0x9300
– A norma 802.1ad especifica a service provider flag em 0x88a8
 Virtual LAN (VLAN)
Force10#sh vlan

Codes: * - Default VLAN, G - GVRP VLANs

Q: U - Untagged, T - Tagged
x - Dot1x untagged, X - Dot1x tagged
G - GVRP tagged, M - Vlan-stack

NUM Status Description Q Ports

1 Active REDE DE Gestao T Te 0/6-7
T Gi 5/43
45 Active REDE WIRELESS T Te 0/2
T Gi 6/1
U Gi 6/3,11
* 68 Active REDE CENTRAL U Te 2/0,6-7
T Gi 6/5-7,21-38
14 Inactive REDE DE TESTE
 Virtual LAN (VLAN)
Force10#sh running

!
interface Vlan 43
description VLAN PARA A REDE IP 172.70.51.0
name VLAN DA TRETA
ip address 172.70.51.254/24
untagged GigabitEthernet 5/8,20-22,40-43
ip helper-address 172.70.2.167
no shutdown
!
 Virtual LAN (VLAN)
Cisco#sh vlan

Codes: * - Default VLAN, G - GVRP VLANs

Q: U - Untagged, T - Tagged
x - Dot1x untagged, X - Dot1x tagged
G - GVRP tagged, M - Vlan-stack

NUM Status Description Q Ports

1 Active REDE DE Gestao T Te 0/6-7
T Gi 5/43
45 Active REDE WIRELESS T Te 0/2
T Gi 6/1
U Gi 6/3,11
* 68 Active REDE CENTRAL U Te 2/0,6-7
T Gi 6/5-7,21-38
14 Inactive REDE DE TESTE
 Virtual LAN (VLAN)
cisco#sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- ------------------------------
-
34 default active
61 MY VLAN active Gi1/43, Gi1/14, Gi1/35, Gi1/26

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
34 enet 100001 1500 - - - - - 0 0
61 enet 100005 1500 - - - - - 0 0
Spanning Tree
 Spanning Tree
SWITCH A SWITCH B SWITCH C

A B

• STP - Spanning Tree Protocol (IEEE 802.1D):

– evita loops na rede
– permite criar ligações redundantes
• Funcionamento:
– usa apenas uma ligação e inibe as outras
– se houver uma quebra da ligação activa usa uma ligação que estava
inibida
• Requer suporte de spanning-tree em todos os dispositivos
– switches e bridges
 Spanning Tree
• O STP foi inventado pela digital (DEC)
• Mais tarde foi criado um standard pela IEEE

• Existem diferenças entre as duas implementações

– Não são compativeis
– Alguns equipamentos possuem ambas as implementações

• Mesmo com equipamentos que obedecem a uma mesma

especificação:
– Por vezes surgem problemas
– Especialmente devido a parametrizações diferentes (timers etc)
 Spanning Tree
• Cada bridge possui um identificador (bridge-id) de 8
bytes:
– 2 primeiros bytes são uma prioridade
– 6 últimos bytes são obtidos de um MAC address

• De entre todas as bridges a que tiver menor bridge-id é eleita

ROOT BRIDGE

• O algoritmo calcula:
– O caminho com menor custo de todos os segmentos de rede até à root
bridge
– Em situações em que existe mais de um caminho possível é escolhido o
caminho através da bridge com menor bridge-id
– O custo de cada interface depende da sua velocidade
– Os custos podem ser configurados manualmente para mudar a
topologia
 Spanning Tree
• As bridges trocam entre si mensagens:
– Bridge Protocol Data Units (BPDUs)
– Para conhecer os bridge-ids
– Para conhecer os root path costs
• Os BPDUs:
– Funcionam em Layer 2
– Endereço de origem é o endereço Ethernet da porta que
transmite
– Endereço de destino é o grupo de multicast 01:80:C2:00:00:00
• Tipos de BPDUs:
– Configuration BPDUs (CBPDUs) usados para calculo da arvore
– Topology Change Notification (TCN BPDU) para anuncio da
alterações na topologia de rede
– Topology Change Notification Acknowledgment (TCA)
 Spanning Tree
• Os BPDUs são trocados constantemente para detecção
de alterações de topologia
• Os TCN BPDUs são usados para notificar da alteração
de estado de portas das bridges
• Quando um switch arranca espera durante 30s
– Para aprender a topologia através dos BPDUs recebidos
– Para aprender endereços
– Para verifica se pode causar um loop
– Se puder ser causa de loop bloqueia as portas necessárias
– Só então começa a fazer forwarding de pacotes
 Spanning Tree Protocol
STP baseia-se em grafos
RP: root port
DP: designated port
BP: blocked port
 Spanning Tree
• Custos para cada tipo de interface:

Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001)

4 Mbit/s 250 5,000,000
10 Mbit/s 100 2,000,000
16 Mbit/s 62 1,250,000
100 Mbit/s 19 200,000
1 Gbit/s 4 20,000
2 Gbit/s 3 10,000
10 Gbit/s 2 2,000
 Spanning Tree
• RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)
– STP com convergência mais rápida (6s em vez de 30-50s)
– Refinamento do STP, é a referência actual

• MSTP – Multiple Spanning Tree Protocol

– IEEE802.1s e IEEE802.1Q
– Extensão do RSTP para suportar VLANs (uma Tree por VLAN)

• PVST e PVST+ – Per VLAN Spanning Tree

– STP por VLAN
– Protocolo proprietário da CISCO

• R-PVST – Rapid Per VLAN Spanning Tree

– Versão Rapid Spanning Tree do PVST proprietária da CISCO
Routers e Switches
 Routers e Switches
• Switch L2
– Encaminha frames de baixo nível (nível 2)
• Ethernet, FDDI, ATM, etc …
– Não sabe o que é um protocolo L3 como o TCP/IP
– Não consegue encaminhar frames para fora de um domínio de
broadcast

• Router ou um Switch L3
– Encaminha pacotes de alto nível (nível 3)
• TCP/IP, Netbios, IPX, DECnet , etc …
– Interpreta a informação L3 contida no payload dos frames
– Pode ser usado para interligar:
• Domínios de broadcast
• Diferentes tipos de redes físicas
• Virtual LANs
 Routers e Switches
• As LANs azul e cinzenta são domínios LAN – Azul
de broadcast diferentes
• Um único frame Ethernet não pode Z
percorrer o trajecto de A para Z
• O pacote TCP/IP tem de ser enviado
– Dentro de um frame Ethernet de A para o
Router azul
endereço Ethernet do router cinzento
– Dentro de células ATM do router cinzento
com destino ao azul
– Dentro de um frame Ethernet do router azul Rede ATM
para o endereço Ethernet de Z

LAN – Cinzenta
Router
Cinzento
Pacote TCP/IP
para Z Switch L2
B A
 Routers e Switches
LIP FCCN RCTS
Coimbra Switch Internet
L3
Switch
L2/L3
Force10
LAN FCCN Switch Nó
Nuvem L2 L2/L3 Central
Ethernet Force10 LNEC
LAN
• Uma nuvem L2 Ethernet
fornecida pela FCCN
interliga os 3 locais
• Os equipamentos L2 da Router
LIP L3
FCCN só vêem os frames Switch
Ethernet Lisboa CISCO L2/L3
• Dentro dos frames vão
pacotes TCP/IP (L3) DMZ Force10
• Os switches/routers do LIP LAN
processam a informação L3
Shaping, Policing e Qualidade
de Serviço em Layer 2
 Shaping e Policing
• Por vezes é necessário limitar a largura de banda de uma interface
de rede ou de um tipo de tráfego:
– Alocação de largura de banda a determinados tipos de tráfego
– Diminuir a probabilidade de perda de pacotes
– Forçar a utilização a um limite acordado

Pode fazer sentido limitar a

A B C D 1Mbps para tudo o que vai
para além de B
10Mbps 1Mbps 7Mbps

• Shaping:
– Introduzir intervalos entre a transmissão de pacotes de forma a limitar
a largura de banda
– Usa-se apenas à saída de uma interface

• Policing:
– Limitar o tráfego deitando fora todos os pacotes acima de uma largura
de banda predeterminada
– Pode usar-se à saída ou à entrada de uma interface
 Shaping e Policing
• Shaping
– Existem diversos algoritmos e métodos de shaping:
– Token Bucket
– Leaky Bucket
– Controlo artificial to TCP manipulando as janelas e os ACKs
– Pode obrigar à perda de pacotes quando o buffer ou fila de
transmissão está cheia
– Quando se deita fora os pacotes da cauda funciona como policing
– É preferível usar algoritmos mais “inteligentes” para deitar alguns
pacotes fora e evitar que a fila encha (drop mais esparso)
– Algoritmos de congestion avoidance:
– Random Early Detect (RED)
– Weigthed Random Early Detect (WRED)
– Ao longo de um caminho o shaping deve ser feito o mais cedo possível
– Um bom shaping requer:
– Mais “inteligência” nos dispositivos de rede
– Sobretudo um grande buffer de acordo com a capacidade da interface
– Não existe em todos os dispositivos de redes
 Shaping e Policing
• Policing
– Como o tráfego que ultrapassa o limite é deitado fora as perdas podem
ser extremamente concentradas no tempo
– Caso os protocolos não reajam bem à perda de pacotes
– Falta de mecanismos de feedback e ajuste
– Pode causar disrupção como se houvesse períodos de falta de
conectividade
– O impacto da perda é mais acentuado do que no shaping

– Como não existe buffering é mais simples de implementar

– Como não requer algoritmos sofisticados é mais simples de
implementar
Shaping e Policing
 Shaping e Policing
• Todas os protocolos bem concebidos devem possuir
mecanismos de adaptação à perda de pacotes:
– Retransmissão
– Feedback  notificação de que os pacotes não chegaram
– Auto adaptação à perda de pacotes  envio a um ritmo menor
– Em tráfego de tempo real como voz e vídeo idealmente a
qualidade deve ser adaptada dinamicamente à largura de
banda disponível

• Se o mecanismo não existir no protocolo usado então

deve ser implementado ao nível da aplicação:
– Ao nível da aplicação pode efectuar-se uma adaptação mais
inteligente
– Por ex: um sistema de monitorização pode enviar a informação
mais espaçada ou dar prioridade a alguma informação em
detrimento de outra
 Shaping e Policing
• Efectuar shaping numa interface de um Force10 para
todo o tráfego à saida
– Fazer o shapping a 600Mbps com burst de 20KBytes

Force10#config
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate shape 600 20
Force10(conf-if)#end
Force10 #
 Shaping e Policing
• Efectuar policing numa interface de um Force10 para
todo o tráfego à entrada
– Largura de banda garantida 80Mbps com burst de 50KBytes
– Pico 90Mbps com burst de 60KBytes

Force10#config t
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate police 80 50 peak 90 60
Force10(conf-if)#end
Force10#
 Shaping e Policing e
Classificação
• Métodos mais sofisticados incluem a classificação do
tráfego de acordo com as suas características:
– Origem, destino, protocolo, etc

• Cada classe de tráfego pode então ser tratada de forma

diferenciada:
– Limites de utilização diferentes
– Shaping ou policing
– Algoritmos de drop diferentes etc

• A classificação é muito importante para privilegiar o

tráfego interactivo ou de tempo real sobre outros tipos
de tráfego
 Quality of Service
• Quality of Service (QoS) em redes de dados é a
capacidade de tratamento diferenciado para:
– Determinados tipos de tráfego
– Determinados fluxos de tráfego

• Objectivo garantir níveis de desempenho diferenciados

de acordo com as necessidades

• A qualidade de serviço é importante:

– Quando a largura de banda total é insuficiente para as
necessidades
– Quando algum tráfego é mais importante ou necessita de
largura de banda ou atraso mínimos garantidos
– Exemplos: voz e dados numa mesma rede
 Quality of Service
• Existem diversos factores que podem afectar a
qualidade de um serviço de rede:
– Largura de banda
– Perda de pacotes
– Atraso
– Variações no atraso (jitter)
– Entrega fora de sequencia
– Erros
• Exemplos de aplicações que necessitam/beneficiam de QoS:
– Aplicações interactivas que requerem resposta em tempo real (cirurgia remota)
– Voice Over IP (VOIP)
– Videoconferência
– Protocolos de controle da própria rede

• O problema surge quando se mistura numa mesma rede tráfego

com requisitos de qualidade de serviço com tráfego de dados geral
 Quality of Service
• A maior parte das redes incluindo a Internet funcionam
como serviços best-effort:
– Não há qualquer garantia de serviço
– Não há tratamento diferenciado

• A implementação de mecanismos de qualidade de

serviço é extremamente complexa:
– A qualidade de serviço para funcionar tem de ser respeitada
por todos os equipamentos ao longo de todo o caminho
– Requer processamento adicional
– A maioria dos equipamentos está concebia para efectuar
encaminhamento rápido indiferenciado

• Frequentemente é preferível resolver os problemas

aumentando a largura de banda !
 Ethernet QoS
• IEEE 802.1p ou Class of Service (CoS)
• Define um campo de 3 bits
– Usado para implementar prioritização
– Presente nos frames 802.1q usados nas VLANs com tagging

• O campo define 8 classes de serviço:

– 0 best effort
– 1 background
– 2 spare
– 3 excellent effort
– 4 controlled load
– 5 video
– 6 voice
– 7 network control
 Ethernet QoS Force10
• Por exemplo num Force10 C300 as 8 prioridades são
mapeadas em 4 filas:
– dot1p 0, 1  fila 1  13.3%
– dot1p 2, 3  fila 0  6.6%
– dot1p 4, 5  fila 2  26.6%
– dot1p 6, 7  fila 3  53.3%

• O tráfego de entrada de uma interface pode ser

classificado numa prioridade

Force10# config
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# switchport
Force10(conf-if)# description IP-TELEPHONES
Force10(conf-if)# dot1p-priority 6
Force10(conf-if)# end
 Ethernet QoS Force10
• Pode configurar-se as interfaces para respeitar a
marcação dos pacotes que entram no switch
• Por defeito na maioria dos switches (Force10 incluído)
as marcações dot1p não são respeitadas

Force10# config t
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-class dynamic dot1p
Force10(conf-if)# end
 Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos
• Mudando os valores default que são aplicáveis a todas
as interfaces

Force10# config t
Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32
queue2 64 queue3 128
 Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos

Force10(conf)# qos-policy-output DATA

Force10(conf-qos-policy-out)# bandwidth-weight 8
Force10(conf)# qos-policy-output IMPORTANT
Force10(conf-qos-policy-out)# bandwidth-weight 64
Force10(conf-qos-policy-out)#
Force10(conf)# policy-map-output MY-OUT-POLICY
Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA
Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT
Force10(conf-policy-map-out)#
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-policy output MY-OUT-POLICY
Force10(conf-if)# end
Wi-Fi
 Wi-Fi
• Tecnologia Wireless Local Area Network IEEE 802.11
– Comunicação sem fios através de radiofrequências
• Algumas das normas IEEE 802.11:
– 802.11a 54Mbps 23Mbps 5GHz
– 802.11b 11Mbps 4.3Mbps 2.4GHz
– 802.11g 54Mbps 19Mbps 2.4GHz
– 802.11n 600Mbps 30/130Mbps 2.4GHz/5GHz

• Usa espectro de rádio aberto não requer licenciamento

– Dependendo da norma pode usar 2.4GHz ou 5GHz
• As bandas são dividida em canais
– A regulação da utilização do espectro de radiofrequências
difere de país para país
– O numero de canais varia de acordo
 Wi-Fi Frequências
• 2.4GHz
– Outros dispositivos podem interferir: telefones sem fios,
bluetooth , monitores dos bebés, etc
– A banda de 2.4GHz está muito saturada
– Espaçamento entre canais é de 5MHz
– Na Europa a banda é dividida em 13
– Nos EUA são 11 canais e no Japão são 14 canais
– Existe sobreposição de canais
• 5GHz
– O alcance é menor
– Sinais mais absorvidos por paredes e objectos sólidos
– A utilização de antenas com maior ganho pode compensar o
menor alcance
– Espaçamento mínimo entre canais é de 20MHz
– Na Europa a banda é dividida em 19 canais
– EUA 20 canais, Japão 23 canais, China 5 canais etc
 Wi-Fi Normas e Frequências
• Normas (b, g) a 2.4GHz:
– Espaçamento entre canais 5MHz
– Largura de cada canal 20MHz
– Canais 1, 6, 11 não são sobrepostos
• Norma (n) a 2.4GHz:
– Espaçamento entre canais 5MHz
– Largura de cada canal 20MHz ou 40MHz
– A 22MHz canais 1, 6, 11 não são sobrepostos
– A 40MHz canais 1, 11 não são sobrepostos
 Wi-Fi Normas e Frequências
• Norma (a) a 5GHz:
– Espaçamento mínimo entre canais 20MHz
– Largura de cada canal 20MHz
– 20 canais
• Norma (n) a 5GHz:
– Espaçamento mínimo entre canais 20MHz
– Largura de cada canal 20MHz ou 40MHz
– 20 canais
– A 40MHz há sobreposição com o canal adjacente (10 canais)
 Wi-Fi Normas e Frequências
• Norma a
– 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 35m – 120m
• Norma b
– 1, 2, 5.5, 11 Mbps
– 38m – 140m
• Norma g
– 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 38m – 140m
• Norma n
– 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps a 20MHz de largura
– 15, 30, 45, 60, 90, 120, 135, 150 Mbps a 40MHz de largura
– 70m – 250m
 Wi-Fi mais normas
• As normas de regulação do espectro de
radiofrequências variam:
– O numero de canais por banda 2.4GHz ou 5GHz varia

– 5.47GHz a 5.725 GHz  (802.11h)

• Resolver problemas de interferência com comunicações via satélite e
sistemas de radar
• Introduz a alocação dinâmica de frequências (DFS)
• Introduz o controlo dinâmico da potencia de transmissão (TPC)
• A banda 5.47GHz a 5.725GHz não está autorizada em todos os países

– 3.6GHz  (802.11y)
• Banda para transmissão c/ elevada potencia usada com o 802.11a
• Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais
• Autorizado apenas nos EUA
 Wi-Fi modos de funcionamento
• Dois modos de funcionamento

• Infrastructure
– Baseia-se em access-points (AP)
– Centraliza o controlo de acesso nos AP
– Centraliza todas as comunicações wireless nos AP
– Podem existir múltiplos AP numa mesma rede Wireless
– Os AP ficam interligados por uma rede wired Ethernet

• ad-hoc
– Comunicação directa (peer-to-peer) entre dispositivos wireless
– Não necessita de um access point
Rede Wi-Fi tipo ad-hoc
Rede Wi-Fi tipo infrastructure

Ethernet LAN
Ethernet

Access Point Access Point Bridge

(AP) (AP)
Rede Wi-Fi tipo infrastructure
Router + Internet
Firewall

Ethernet LAN

Access Point Bridge ou

(AP) Router
 Rede Wi-Fi c/ Firewall
Router +
Ethernet LAN Internet
Firewall

Firewall
Filtrar o tráfego com
origem nos portáteis
Ethernet LAN DMZ e destinado à LAN

Access Point Access Point

(AP) (AP)

Bridge
Permite usar o
mesmo endereço IP
nos portáteis
independentemente
do AP
 AP Wi-Fi / router / ADSL
Linha
telefónica

AP Wireless
com router ADSL Interface ADSL

NAT Firewall

Routing

Wireless Ethernet SWITCH

RF Ethernet Interfaces

Antena
 AP Wi-Fi / router / ADSL
Linha
telefónica

AP Wireless
com router ADSL Interface ADSL

NAT Firewall

Firewall Routing

Wireless Ethernet SWITCH

RF Ethernet Interfaces

Antena
 Wi-Fi
• SSID
– Service Set Identifier
– Identifica o nome da rede Wireless
– Numa mesma rede tipo infrastructure múltiplos APs podem
partilhar o mesmo SSID
– Case sensitive, pode ter um máximo de 32 caracteres
– O SSID pode ser anunciado periodicamente ou não
• SSID broadcast
• Rede visível
• BSSID
– Basic Service Set Identifier
– Em modo infrastructure é o MAC address da interface wireless
de cada um dos access points
– Em modo ad-hoc é um endereço MAC gerado aleatoriamente
pelo primeiro dispositivo a “ligar-se” à rede ad-hoc
• Individual/Group bit 0
• Universal/Local bit 1
 Wi-Fi
• Modo Infrastructure
– Todos os dispositivos precisam de usar o mesmo SSID
• Identifica a rede Wireless
– Todos os dispositivos associados ao mesmo AP precisam de
• Usar o mesmo BSSID do AP
• Usar o mesmo canal do AP

• Modo Ad-hoc
– Todos os dispositivos precisam de usar o mesmo SSID
– Todos os dispositivos precisam de usar o mesmo BSSID
– Todos os dispositivos precisam de usar o mesmo canal
Rede Wi-Fi tipo infrastructure
Ethernet LAN

SSID
Access Point BSSID Access Point BSSID
(AP) Canal 1 (AP) Canal 11
 Wi-Fi Transmissão
• Funcionamento em half-duplex
– Ou transmite ou recebe
• As redes wireless são meios partilhados
– Como as redes Ethernet antigas
• Protocolo de transmissão tipo CSMA/CA:
– Carrier Sense Multiple Access with Collision Avoidance
– Similar ao CSMA/CD das redes Ethernet
– O protocolo minimiza a possibilidade de colisões:
• Espera que não haja transmissões a decorrer
• Lança intervalo de espera aleatório
• Transmite
• O transmissor espera um ACK do receptor
• O receptor verifica o CRC do frame recebido
• O receptor envia ACK se CRC ok
– A perda de desempenho pela espera é compensada pela menor
ocorrência de colisões
Wi-Fi Frames

To AP From AP Fragment Retrans A frame Strict

Is available ordering
 Wi-Fi Frames
PLCP header
 Wi-Fi Frame
• Existem 4 campos de endereço
• O significado depende do valor dos campos
– To DS (to distribution system)
– From DS (from distribution system)
• Addrs:
– Addr1 receptor imediato
– Addr2 emissor
– Addr3 BSSID de uma rede ad-hoc (ToDS 0 FromDS 0)
emissor original (ToDS 0 FromDS 1)
destino final (ToDS 1 FromDS 0)
– Addr4 apenas usado em relay de frames entre APs
 Wi-Fi Frames
• Tipos de MAC frames 802.11
– Control frames
Uso facultativo
• RTS (request to send)
Obrigatório em APs com mais de um modo
• CTS (clear to send) Diminui o desempenho
• ACK (acknowledge)
– Management Frames
• Beacon Scan passivo
• Probe req, Probe resp Scan activo
• Assoc req, Assoc resp Associação
• Reassoc req, Reassoc resp Só usado em redes tipo infrastructure
• Disassociation Equivalente a ligar o cabo à ficha
• Authentication
• Deauthentication
– Data Frames
 Wi-Fi RTS/CTS
• Porquê usar o RTS/CTS ?
• O protocolo CSMA requer que uma estação antes de
transmitir seja capaz de escutar o meio:
– Se as estações estiverem muito afastadas isto pode não ser
possível aumentando a probabilidade de colisões
– Numa rede com APs a suportar por ex. as normas b e g as
estações com norma b não conseguem escutar as transmissões
na norma g (modulações diferentes CCK e OFDM)

B AP B
B

CCK AP OFDM G
B
B/G
B não ouve G G não ouve B porque B e G usam modulações diferentes
 Fragmentação
• Existe um mecanismo de fragmentação:
– O Bit error rate pode ser elevado logo faz sentido enviar frames
mais pequenos
– Por outro lado faz sentido suportar frames de 1500 bytes tal
como na Ethernet
– A solução é a fragmentação
Wi-Fi Inicio de comunicação

• Rede tipo infra-estrutura

• Exemplo de estabelecimento
de comunicação entre uma
estação e um AP
Wi-Fi Overheads
• Os desempenhos
anunciados nas normas são
raw
• Na pratica os desempenhos
na transmissão de dados
são muito menores

• O gráfico mostra os
overheads com preambulo
longo
• O uso de preâmbulos curtos
melhoram ligeiramente o
desempenho
Inter Frame Spaces (Intervals)
 Wi-Fi
• Transmissão de um frame

• Se o tamanho dos dados ultrapassar o limiar de fragmentação

(threshold) é necessário transmitir mais de um frame

• Se o protocolo RTS/CTS for usado a troca de frames aumenta

 Wi-Fi WEP
• Tipos de rede em termos de segurança:
– Open
• Estação envia um frame de autenticação
• AP responde com frame de autenticação
– Shared-key (WEP – Wired Equivalent Privacy)
• Método de encriptação inseguro (RC4 c/ chaves de 40bits)
• Chave comum entre todas as estações e o AP
• Estação envia de um frame de autenticação
• AP responde com frame de autenticação com desafio (texto)
• Estação encripta o texto de desafio com a chave
• AP verifica que o texto encriptado corresponde ao desafio e
responde com frame de autenticação com status de sucesso
– WPA / WPA2 (802.11i)
• Usam o protocolo 802.1x para autenticação
 Wi-Fi WAP
• WPA - Wi-Fi Protected Access (draft standard)
• Solução interina para substituição do WEP que é inseguro:
– Usa o protocolo TKIP (Temporal Key Integrity Protocol)
– Compromisso entre segurança e a possibilidade de usar o hardware
que então existia
– Usa RC4 como o WEP mas as chaves mudam a cada pacote
transmitido, implementa protecção contra repetição de pacotes e
verificação da integridade das mensagens
• Dois modos possíveis WPA-enterprise e WPA-personal
• WPA- enterprise
– Autenticação através de um servidor de autenticação RADIUS e EAP
– Muito à semelhança do WPA2
– Maior granularidade com controlo de acesso por utilizador
• WPA-personal
– Usa chaves partilhadas pré-definidas  pre-shared-keys (PSK)
– Não requer servidor RADIUS e é menos complexo
– As chaves são partilhas por todos os utilizadores
 Wi-Fi WPA
• Autenticador
– Access Point Wireless
• Suplicante
– Estação (o vosso portátil)
• Servidor de autenticação
– RADIUS
• O método para gerar e distribuir as chaves de acesso
ao autenticador e suplicante e igual entre:
– WPA personal
– WPA enterprise
• Apenas o método de geração das chaves mestras para
cada sessão muda.
– Porque existe o servidor Radius no meio
 Wi-Fi WPA2
• O WPA2 (802.11i) é o sucessor do WPA:
– Algoritmo de encriptação mais robust AES em vez de TKIP
– Incorpora optimizações diversas
– O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é
usado para distribuir chaves entre o suplicante e o autenticador
• Fortemente baseado no 802.1X que permite autenticação da
ligação de estações a uma porta numa LAN:
– A ligação a uma porta em 802.1X corresponde à associação ao AP
– Uma vez associada a um AP todo o tráfego não 802.1X proveniente da
estação é eliminado
– Após autenticação 802.1X bem sucedida todo o tráfego pode passar
• EAP permite múltiplos tipos de autenticação:
– EAP-TLS usa certificados de utilizador para autenticação
– EAP-LEAP CISCO usa passwords
– EAP-PEAP usa passwords através de túnel via MSCHAPv2
– EAP-MD5 RFC3748 passwords com encriptação MD5
– EAP-TTLS Envio das passwords através de um túnel TLS
Wi-Fi WPA2
• 802.1x
• Comunicação segura
• Entre a estação e o
servidor RADIUS
através do AP
• Usando certificados
• O servidor Radius
possui um certificado