1.

Apêndice 6 – Implementação da VPN na arquitetura SDH

A EEM dispunha de uma rede baseada na tecnologia SDH, o que lhe permitia garantir serviços de
transporte de tráfego de Ethernet, com a topologia ilustrada pela Figura 1.1.

Figura 1.1 – Topologia da rede de transporte Ethernet, com backbone SDH.

O transporte do tráfego Ethernet é realizado pelo SDH, que estabele um circuito dedicado entre
cada comutador instalado em vários edificios da EEM e o comutador L3 do Funchal. No acesso
ao exterior é sempre utilizado o comutador L3.
A Figura 1.2 representa a rede lógica para o transporte do tráfego Ethernet. O backbone SDH
permitia realizar uma extensão às VLAN, em que o comutador do Funchal também executava
encaminhamento. Como os comutadores só comutam tráfego das mesmas redes, cabe ao
comutador do Funchal, por dispor de funções L3, encaminhar tráfego entre outras VLAN. No
entanto, existe algumas diferenças entre os dispositivos de rede, apesar de que hoje em dia essa
diferença ser cada vez esbatida, pois tudo depende do custo de aquisição. Um dispositivo de
encaminhamento dispõe de uma tabela de resolução de endereços de IP (ARP) e outra de
resolução de endereços MAC, enquanto que o dispositivo de comutação apenas dispõe da tabela
de resolução de endereços MAC. Um dispositivo desenhado para exercer a função de
encaminhamento, e comparado com dispositivo de comutação, dispõe de mais RAM, melhor
processamento e aceita vários protocolos de encaminhamento em simultâneo. A vantagem do
comutador é o número de portos de que dispõe e é mais barato. No entanto, o comutador com
capacidade de encaminhamento tem como principal desvantagem a dimensão da tabela MAC,
conforme ilustrado pela Figura 1.3, agravado pela reduzida capacidade de RAM e de
processamento. Conforme só pode observar, todos os endereços MAC conhecidos pelos diversos
comutadores, são também conhecidos pelo comutador L3 do Funchal. A procura do endereço
MAC correto nas tabelas MAC, armazenadas nas memorias RAM, logo as mais caras, para a

Migração da tecnologia SDH para (IP) MPLS 1

comutação consome imensos ciclos de processamento. O ambiente de comutador funciona
muito à base do envio de mensagens em modo broadcast para todas as máquinas a solicitar
respostas. O objetivo é saber a que porto está associado um determinado endereço MAC de
destino, produzindo assim, muito tráfego desnecessário.

Figura 1.2 – Rede virtual para o transporte de tráfego Ethernet, utilizando apenas comutadores.

Sempre que um comutador recebe uma trama com um endereço MAC desconhecido, é enviado
para todos os portos uma solicitação para que o dispositivo em causa se identifique. Caso não
haja uma resposta, é reenviado para todos os portos a mesma solicitação, gerando assim imenso
tráfego sem informação útil. E é aqui que podem surgir problemas com loops se houver erros de
configuração. Após resposta positiva a essa solicitação, é registado na tabela de endereço MAC
o respetivo porto que respondeu.

Figura 1.3 – Crescimento acentuado da tabela MAC num comutador.

Migração da tecnologia SDH para (IP) MPLS 2

Ao se configurar um circuito primário e um circuito alternativo, ou pretender balancear a carga
(por VLAN) numa malha full mesh, há o perigo de se proporcionar a geração de ciclos sem fim
(loops). A camada 2 não suporta loop, sendo por isso necessário implementar um protocolo de
resolução de loops, como o Spanning Tree (STP). O mecanismo STP seleciona um comutador para
ser Root Bridge e utiliza uma mensagem BPDU para detetar a existência de loops na malha full
mesh. Os portos do comutador devem de ter a função PortFast BPDU ativadas.
O router só conhece os endereços MAC dos portos vizinhos e tem a tabela ARP, que é mais
reduzida, conforme ilustrado pela Figura 1.4 . O router também envia mensagens em broadcast
a solicitar para que o host de um determinado IP informe o seu endereço MAC.

Figura 1.4 – O router só conhece o MAC dos portos vizinhos.

Nas cartas Ethernet associadas ao SDH não se utilizava o STP porque a sua implementação é
extremamente complexa. Ou seja, num passado recente, a EEM dispunha de uma rede de
transporte que não era segura, pois o perigo de se configurar um serviço poderia criar a
possibilidade de surgir um loops.
Uma pessoa mal-intencionada (hacker), ao utilizar um qualquer PC existente nas instalações da
EEM, poderia entrar na rede de gestão dos elementos de rede, via TNMS. Uma vez conseguido
esse acesso, o hacker poderia provocar um DoS ao comutador L3 do Funchal, que tinha a função
de Core uma vez que dispunha de algumas funcionalidades de encaminhamento. Assim, ao ser
aplicado um DoS ao comutador L3 do Funchal, este fica incapacitado, prejudicando todo o
transporte de tráfego, pois é este comutador que distribui o tráfego entre as diversas VLAN
existentes na EEM.
A resolução do problema da dimensão da tabela ARP e da ocupação da largura de banda com as
mensagens de broadcast, passou pela adoção do MPLS. Esta arquitetura também permitiu anular
o problema provocado pelos loops, aplicar segurança à rede, assim como a implementação do
QoS ao longo de todo o caminho.

Migração da tecnologia SDH para (IP) MPLS 3

Migração da tecnologia SDH para (IP) MPLS 4