Tema acessvel CISCO

Pgina 1 de 22

Alternar idioma para English | Pesquisar | Glossrio ndice do curso: 6 Servios de funcionrio remoto

Selecionar

CCNA Exploration - Acessando a WAN

6 Servios de funcionrio remoto
6.0 Introduo do captulo
6.0.1 Introduo do captulo Pgina 1: Trabalho remoto o trabalho longe de um local de trabalho tradicional, geralmente um escritrio em casa. As razes para escolher o trabalho remoto so variadas e incluem desde a convenincia pessoal at permitir oportunidades para que funcionrios lesionados ou isolados continuem trabalhando durante os perodos de convalescena. Trabalho remoto um termo amplo que se refere conduo de um trabalho atravs da conexo com um local de trabalho a partir de uma localizao remota, com a ajuda das telecomunicaes. Um trabalho remoto eficiente possvel por causa das conexes de Internet banda larga, redes virtuais privadas (VPN) e tecnologias mais avanadas, incluindo Voice over IP (VoIP, Voz sobre IP) e videoconferncia. O trabalho remoto pode economizar o dinheiro que seria gasto em viagens, infra-estrutura e suporte das instalaes. Empresas modernas empregam pessoas que no podem viajar para trabalhar diariamente ou que acreditam que trabalhar em um escritrio em casa mais prtico. Essas pessoas, chamadas de funcionrios remotos, devem conectar-se rede da empresa de forma que possam trabalhar em seus escritrios em casa. Este captulo explica como as organizaes podem fornecer conexes de rede remota seguras, rpidas e confiveis para os funcionrios remotos. Exibir meio visual

6.1 Requisitos de negcios para servios de funcionrio remoto

6.1.1 Os requisitos de negcios para servios de funcionrio remoto Pgina 1: cada vez maior o nmero de empresas que acreditam ser benfico ter funcionrios remotos. Com os avanos nas tecnologias de banda larga e sem fio, trabalhar longe do escritrio no apresenta mais os desafios que apresentava no passado. Os funcionrios podem trabalhar remotamente quase como se eles estivessem em suas baias ou na sala ao lado. As organizaes podem distribuir dados, voz, vdeo e aplicativos em tempo real de modo lucrativo, estendidos em uma nica conexo de rede comum por toda sua fora de trabalho, no importando o quo remota e espalhada ela esteja. Os benefcios do trabalho distncia se estendem muito alm da capacidade de os negcios renderem lucros. O trabalho distncia afeta a estrutura social das sociedades e pode ter efeitos positivos sobre o ambiente. Para as operaes de negcios do cotidiano, convm ser capaz de manter a continuidade no caso de fatores como clima, trfego, congestionamento, desastres naturais ou outros eventos imprevisveis atrapalharem os funcionrios de chegar ao local de trabalho. Em uma escala mais ampla, a capacidade dos negcios de prestar mais servios em todos os fusos horrios e fronteiras internacionais foi enormemente aprimorada utilizando os funcionrios remotos. A reduo e a terceirizao de solues so mais fceis de implementar e gerenciar.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 2 de 22

De uma perspectiva social, as opes de trabalho remoto aumentam as oportunidades de emprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e pessoas que moram em reas remotas. Os funcionrios remotos desfrutam de um tempo em famlia com maior qualidade, menor stress causado pelas viagens e, no geral, proporcionam aos seus chefes uma maior produtividade, satisfao e conservao. Na era da mudana de clima, o trabalho remoto uma outra maneira de as pessoas reduzirem sua emisso de gs carbnico. Ao criar arquiteturas de rede que suportam uma soluo de trabalho remoto, os programadores devem equilibrar os requisitos organizacionais para segurana, gerenciamento de infra-estrutura, escalabilidade e acessibilidade com relao s necessidades prticas dos funcionrios remotos para a facilidade de uso, velocidades de conexo e confiabilidade do servio. Para permitir que os negcios e os funcionrios remotos operem de modo efetivo, ns devemos equilibrar a seleo das tecnologias e criar cuidadosamente os servios de trabalho distncia. Exibir meio visual

6.1.2 A soluo do funcionrio remoto Pgina 1: As organizaes precisam de redes seguras, confiveis e econmicas para conectar as sedes sociais, filiais e fornecedores. Com o nmero crescente de funcionrios remotos, as empresas tm uma necessidade cada vez maior de maneiras seguras, confiveis e econmicas de conectar-se a pessoas trabalhando em pequenos escritrios e escritrios em casa (small offices, home offices), e outros locais remotos, com recursos nos locais corporativos. A figura ilustra as topologias de conexo remota que as redes modernas utilizam para conectarse a locais remotos. Em alguns casos, os locais remotos se conectam somente ao local da sede, enquanto, em outros casos, os locais remotos se conectam a diversos locais. A filial na figura se conecta aos locais da sede e de parceiros, enquanto o funcionrio remoto possui uma nica conexo com a sede. Clique no boto Opes na figura. A figura exibe trs tecnologias de conexo remota disponveis para as que organizaes suportem servios de funcionrios remotos:
z

As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo Frame Relay, ATM e linhas alugadas, fornecem muitas solues de conexo remota. A segurana destas conexes depende da operadora. As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexvel e escalvel. As conexes ponto a ponto podem fornecer uma conexo segura, rpida e confivel aos funcionrios remotos. Esta a opo mais comum para os funcionrios remotos, combinada com o acesso remoto por banda larga, a fim de estabelecer uma VPN segura sobre a Internet pblica. (Um meio menos confivel de conectividade que utiliza a Internet uma conexo discada.) O termo banda larga refere-se a sistemas de comunicao avanados capazes de fornecer uma transmisso de servios de alta velocidade, tais como dados, voz e vdeo, atravs da Internet e outras redes. A transmisso fornecida por uma grande variedade de tecnologias, incluindo a DSL (Digital subscriber line, DSL) e a tecnologia de cabo de fibra tica, cabo coaxial, sem fio e satlite. As velocidades de transmisso de dados do servio de banda larga geralmente ultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bits por segundo, em pelo menos uma direo: downstream (da Internet para o computador do usurio) ou upstream (do computador do usurio para a Internet).

Este captulo descreve como cada uma destas tecnologias opera e apresenta algumas das etapas necessrias para assegurar que as conexes de funcionrios remotos sejam seguras.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 3 de 22

Exibir meio visual

Pgina 2: Para conectar-se efetivamente s redes de suas organizaes, os funcionrios remotos precisam de dois conjuntos principais de componentes: componentes de escritrio em casa e componentes corporativos. A opo de adicionar componentes de telefonia IP est se tornando mais comum medida que as operadoras estendem os servios de banda larga para mais reas. Os componentes de Voice over IP (VoIP, Voz sobre IP) e de videoconferncia se tornaro, em breve, partes esperadas do conjunto de ferramentas dos funcionrios remotos. Conforme mostrado na figura, o trabalho distncia necessita dos seguintes componentes:
z

Componentes de escritrio em casa - Os componentes necessrios de um escritrio em casa so um laptop ou computador desktop, acesso de banda larga (cabo ou DSL) e um roteador de VPN ou software de cliente de VPN instalado no computador. Componentes adicionais podem incluir um ponto de acesso sem fio. Ao viajar, os funcionrios remotos precisam de uma conexo de Internet e um cliente de VPN para conectar-se rede corporativa por qualquer conexo discada, de rede ou de banda larga disponvel. Componentes corporativos - Os componentes corporativos so os roteadores habilitados para VPN, concentradores de VPN, mecanismos de segurana multifuncionais, autenticao e dispositivos de gerenciamento centrais para uma agregao e concluso flexveis das conexes de VPN.

Normalmente, a prestao de suporte para VoIP e videoconferncia exige melhorias para estes componentes. Os roteadores precisam da funcionalidade de Qualidade de Servio (Quality of Service, QoS). O QoS refere-se capacidade de uma rede de fornecer um melhor servio para o trfego de rede selecionado, conforme necessrio para os aplicativos de voz e vdeo. Uma discusso mais aprofundada sobre o QoS est alm do escopo deste curso. A figura mostra um tnel de VPN criptografado que conecta o funcionrio remoto rede corporativa. Este o corao das conexes seguras e confiveis do funcionrio remoto. Uma VPN uma rede de dados privada que utiliza a infra-estrutura de telecomunicao pblica. A segurana de VPN mantm a privacidade utilizando um protocolo de tunelamento e procedimentos de segurana. Este curso apresenta o protocolo IPsec (Segurana de IP) como a abordagem escolhida para criar tneis de VPN seguros. Ao contrrio das abordagens de segurana anteriores, que aplicam a segurana na camada de Aplicativos do modelo de Interconexo de Sistemas Abertos (OSI), o IPsec funciona na camada de rede ou processamento de pacote. Exibir meio visual

6.2 Servios de banda larga

6.2.1 Conectando os funcionrios remotos WAN Pgina 1: Os funcionrios remotos geralmente utilizam diversos aplicativos (por exemplo, email, aplicativos da web, aplicativos importantes para o trabalho, colaborao em tempo real, voz, vdeo e videoconferncia) que exigem uma conexo com uma largura de banda alta. A escolha da tecnologia de rede de acesso e a necessidade de assegurar uma largura de banda satisfatria so as primeiras consideraes a serem feitas ao conectar os funcionrios remotos. As conexes por cabo residencial, DSL e banda larga sem fio so as trs opes que fornecem uma largura de banda alta para os funcionrios remotos. A baixa largura de banda fornecida por uma conexo de modem discada normalmente no suficiente, embora seja til para um acesso

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 4 de 22

mvel durante viagens. Uma conexo discada de modem somente deve ser considerada quando as outras opes no estiverem disponveis. Os funcionrios remotos precisam de uma conexo a um ISP para acessar a Internet. Os ISPs oferecem diversas opes de conexo. Os principais mtodos de conexo utilizados por escritrios em casa e pequenas empresas so:
z

Acesso discado - Uma opo barata que utiliza qualquer linha telefnica e um modem. Para conectar-se ao ISP, um usurio liga para o nmero de telefone de acesso ISP. A conexo discada a opo de conexo mais lenta, utilizada geralmente por funcionrios mveis em reas onde no esto disponveis opes de conexo de velocidade mais alta. DSL - Normalmente mais caro que a discada, mas proporciona uma conexo mais rpida. A conexo DSL tambm utiliza linhas telefnicas, mas, diferentemente do acesso discado, ele fornece uma conexo contnua com a Internet. O DSL utiliza um modem de alta velocidade especial que separa o sinal de DSL do sinal de telefone e fornece uma conexo Ethernet com um computador host ou rede local. Modem a cabo - Oferecido por provedores de servios de televiso a cabo. O sinal de Internet levado no mesmo cabo coaxial que leva a televiso a cabo. Um modem a cabo especial separa o sinal da Internet dos outros sinais levados no cabo e fornece uma conexo Ethernet com um computador host ou rede local. Satlite - Oferecido por provedores de servios de satlite. O computador conectado atravs da Ethernet a um modem de satlite que transmite sinais de radiofreqncia ao ponto de presena (point of presence, POP) mais prximo dentro da rede de satlite.

Nesta seo, voc aprender como os servios de banda larga, tais como o DSL, cabo e conexo de banda larga sem fio, estendem as redes da empresa para permitir o acesso dos funcionrios remotos. Exibir meio visual

6.2.2 Cabo Pgina 1: Acessar a Internet por uma rede a cabo uma opo popular utilizada pelos funcionrios remotos para acessar a rede de sua empresa. O sistema a cabo utiliza um cabo coaxial que leva os sinais de freqncia de rdio (RF) atravs da rede. O cabo coaxial o primeiro meio utilizado para criar sistemas de TV a cabo. A televiso a cabo surgiu na Pensilvnia em 1948. John Walson, o proprietrio de uma loja de eletrodomsticos em uma pequena cidade montanhesca, precisava resolver problemas de recepo pelos quais seus clientes passavam ao tentar receber sinais de TV da Filadlfia pelas montanhas. Walson ergueu uma antena em um poste de eletricidade no topo de uma montanha que permitiu que ele demonstrasse as televises em sua loja com broadcasts provenientes das trs estaes da Filadlfia. Ele conectou a antena sua loja de eletrodomsticos por um cabo e modificou os otimizadores de sinal. Em seguida, ele conectou diversos clientes seus que estavam localizados pelo caminho do cabo. Este foi o primeiro sistema de televiso de antena comunitria (CATV, community antenna television) nos Estados Unidos. A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador da indstria de televiso a cabo. Ele tambm foi o primeiro operador de cabo a utilizar microondas para importar estaes de televiso distantes, o primeiro a utilizar o cabo coaxial para aprimorar a qualidade da imagem e o primeiro a distribuir a programao de televiso paga. A maioria das operadoras a cabo utilizam antenas parablicas para reunir os sinais de TV. No incio, os sistemas eram unidirecionais, com amplificadores em cascata colocados em srie ao longo da rede para compensar a perda de sinal. Estes sistemas utilizavam grampos para juntar os sinais de vdeo dos troncos principais para as casas dos assinantes por meio dos cabos de

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 5 de 22

derivao. Os sistemas de c abo modernos fornec uma c em omunic ao bidirec ional entre os assinantes e o operador de c abo. As operadores a c abo oferec agora servios de telec em omunic aes avanados, inc luindo ac esso de alta veloc idade Internet, televiso a c abo digital e servio de telefone residenc As operadoras a c ial. abo geralmente implantam redes c oaxiais de fibra hbrida (HFC) para permitir uma transmisso de dados de alta veloc idade para os modems a c abo loc alizados em um esc ritrio em c asa. A figura ilustra os c omponentes de um tpic sistema a c o abo moderno. Passe o mouse sobre cada componente na figura para ver uma desc rio sobre o que eles fazem. Exibir meio visual

Pgina 2: O espec eletromagntic abrange uma grande variedade de freqnc tro o ias. ia ic orrem, c omputada c omo o nmero A frequnc a taxa na qual os c los (ou voltagem) atuais oc de "ondas" por segundo. Comprimento de onda a veloc idade de propagao do sinal eletromagntic dividida por sua freqnc em c los por segundo. o ia ic As ondas de rdio, geralmente c hamadas de RF, c onstituem uma parte do espec tro eletromagntic entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando os usurios o ajustam um rdio ou TV para loc alizar diferentes estaes de rdio ou c anais de TV, eles esto ajustando diferentes freqnc eletromagntic por esse espec de RF. O mesmo princ ias as tro pio se aplic ao sistema a c a abo. A indstria da TV a c abo utiliza uma parte do espec eletromagntic de RF. Dentro do c tro o abo, freqnc diferentes levam c ias anais de TV e dados. Na extremidade do assinante, equipamentos c omo TVs, VCRs e c onversores de TVs de alta definio so ajustados para determinadas freqnc que permitem que o usurio veja o c ias anal ou, utilizando um modem a c abo, tenha ac esso Internet de alta veloc idade. Uma rede a c abo c apaz de transmitir sinais no c abo em ambas as direes ao mesmo tempo. Utiliza-se o seguinte esc opo de freqnc ia:
z

Downstream - A direo de uma transmisso de sinal RF (c anais de TV e dados) da origem (headend) para o destino (assinantes). A transmisso da origem para o destino c hamada de c aminho de enc aminhamento (forward path). As freqnc downstream ias esto no intervalo de 50 a 860 megahertz (MHz). Upstream - A direo da transmisso de sinal RF dos assinantes para o headend, retorno ou c aminho reverso. As freqnc de upstream esto no intervalo de 5 a 42 MHz. ias

Exibir meio visual

Pgina 3: O DOCSIS (Data-over-Cable Servic Interfac Spec ation, Espec ao de Interfac de e e ific ific e Servio de Dados sobre Cabo) um padro internac ional desenvolvido pela CableLabs, um c onsrc de pesquisa e desenvolvimento sem fins luc io rativos para as tec nologias relac ionadas a c abo. A CableLabs testa e c ertific os dispositivos de fornec a edores de equipamento a c abo, c omo modems a c abo e sistemas de terminao de modem a c abo, e c ede o status de c onc ertific ado ou qualific ado pela DOCSIS. A DOCSIS define os requisitos de interfac de suporte de c e omunic aes e operao para um

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 6 de 22

sistema de dados a cabo e permite a adio de transferncia de dados de alta velocidade a um sistema de CATV existente. As operadoras a cabo empregam a DOCSIS para fornecer acesso Internet atravs de sua infra-estrutura coaxial de fibra hbrida (HFC) existente. A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:
z

Camada fsica - Para os sinais de dados que a operadora a cabo pode utilizar, a DOCSIS especifica as larguras de canal (larguras de banda de cada canal) como 200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS tambm especifica as tcnicas de modulao (o modo de utilizar o sinal RF para comunicar os dados digitais). Camada MAC - Define um mtodo de acesso determinstico: mtodo de acesso mltiplo por diviso de tempo (Time-division multiple access, TDMA) ou mtodo de acesso mltiplo por diviso de cdigo sncrono (Synchronous code division multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convm explicar como as diversas tecnologias de comunicao dividem o acesso por canal. O TDMA divide o acesso por tempo. O acesso mltiplo de diviso por freqncia (Frequency-division multiple access, FDMA) divide o acesso por freqncia. O acesso mltiplo por diviso de cdigo (CDMA) emprega uma tecnologia de amplo espectro e um esquema de codificao especial nos quais cada transmissor recebe um cdigo especfico. Uma analogia que ilustra estes conceitos comea com uma sala representando um canal. A sala est cheia de pessoas que precisam falar umas com as outras. Em outras palavras, elas precisam de um acesso ao canal. Uma soluo permitir que as pessoas falem em turnos (diviso por tempo). Outra soluo que cada pessoa fale em tons diferentes (diviso por freqncia). Em CDMA, eles falariam em idiomas diferentes. Pessoas falando no mesmo idioma podem se entender, mas no as outras pessoas. Em CDMA de rdio, utilizado por muitas redes de telefonia celular norte-americanas, cada grupo de usurios possui um cdigo compartilhado. Muitos cdigos ocupam o mesmo canal, mas somente os usurios associados com um cdigo especfico podem se entender. O S-CDMA uma verso proprietria de CDMA desenvolvida pela Terayon Corporation para a transmisso de dados atravs de redes por cabo coaxial. O SCDMA espalha os dados digitais para ambas as direes com uma ampla banda de freqncia e permite que vrios assinantes conectados rede transmitam e recebam dados simultaneamente. O S-CDMA seguro e extremamente resistente a rudos. Os planos para bandas de alocao de freqncia diferem entre os sistemas a cabo norteamericanos e europeus. O Euro-DOCSIS adaptado para ser utilizado na Europa. As principais diferenas entre o DOCSIS e o Euro-DOCSIS esto relacionadas s larguras de banda do canal. Os padres tcnicos de TV variam pelo mundo, o que afeta o modo como as variantes de DOCSIS se desenvolvem. Os padres de TV internacionais incluem o NTSC na Amrica do Norte e em partes do Japo; PAL na maior parte da Europa, sia, frica, Austrlia, Brasil e Argentina, e o SECAM na Frana e em alguns pases da Europa oriental. Mais informaes esto disponveis nos seguintes sites:
z z

Sobre o DOCSIS: http://www.cablemodem.com/specifications Sobre o Euro-DOCSIS: http://www.eurocablelabs.com

Exibir meio visual

Pgina 4: Prestar servios atravs de uma rede a cabo exige diferentes freqncias de rdio. As freqncias downstream esto na faixa de 50 a 860 MHz, e as freqncias upstream esto no intervalo de 5 a 42 MHz. So necessrios dois tipos de equipamento para enviar sinais de modem digitais upstream e downstream em um sistema a cabo:

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 7 de 22

z z

O sistema de terminao de modem por cabo (Cable modem termination system, CMTS) no headend da operadora a cabo Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a funo que cada um desempenha. Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes. O headend , na verdade, um roteador com bancos de dados para prestar servios na Internet para assinantes a cabo. A arquitetura relativamente simples, utilizando uma rede coaxial tica combinada na qual a fibra tica substitui a rede coaxial com a menor largura de banda. Uma malha de cabos de tronco de fibra conecta o headend aos ns onde ocorre a converso de sinal tico para sinal RF. A fibra leva o mesmo contedo de banda larga para as conexes de Internet, servio de telefonia e fluxo de vdeo que o cabo coaxial leva. Os cabos alimentadores coaxiais so originados do n que leva os sinais de RF aos assinantes. Em uma rede HFC moderna, so conectados geralmente 500 a 2.000 assinantes de dados ativos a um segmento de rede a cabo, todos compartilhando a largura de banda upstream e downstream. A largura de banda real para o servio de Internet por uma linha de CATV pode ser de at 27 Mb/s no caminho de download para o assinante e de aproximadamente 2,5 Mb/s de largura de banda no caminho de carregamento. Baseado na arquitetura de rede a cabo, nas prticas de aprovisionamento do operador de cabo e na carga de trfego, um assinante individual pode obter, normalmente, uma velocidade de acesso entre 256 kb/s e 6 Mb/s. Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora a cabo pode colocar uma largura de banda adicional para obter servios de dados alocando um canal de TV adicional para dados de alta velocidade. Esta adio pode dobrar efetivamente a largura de banda de downstream disponvel para os assinantes. Outra opo reduzir o nmero de assinantes atendidos por cada segmento de rede. Para reduzir o nmero de assinantes, a operadora a cabo realiza mais uma diviso na rede colocando as conexes de fibra tica mais prximas e mais profundas na vizinhana. Exibir meio visual

6.2.3 DSL Pgina 1: O DSL um meio de fornecer conexes de alta velocidade atravs de fios de cobre instalados. Nesta seo, ns observamos o DSL como uma das principais solues disponveis para o funcionrio remoto. H muitos anos, a Bell Labs identificou que uma conversao de voz tpica atravs de um loop local exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitos anos, as redes de telefonia no utilizaram uma largura de banda acima de 3 kHz. Os avanos na tecnologia permitiram que o DSL utilizasse uma largura de banda adicional de 3 kHz at 1 MHz para fornecer os servios de dados de alta velocidade atravs das linhas de cobre comuns. Por exemplo, o DSL assimtrico (ADSL) utiliza um intervalo de freqncia de aproximadamente 20 kHz a 1 MHz. Felizmente, so necessrias somente pequenas mudanas na infra-estrutura das empresas de telefonia existentes para fornecer os dados da largura de banda alta aos assinantes. A figura mostra uma representao da alocao do espao de largura de banda em um fio de cobre para ADSL. A rea azul identifica o intervalo de freqncia utilizado pelo servio de telefonia de grau de voz, geralmente chamado de servio de telefone antigo simples (Plain old telephone service, POTS). Os outros espaos coloridos representam o espao de freqncia utilizado pelos sinais DSL de upstream e downstream.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 8 de 22

Os dois tipos bsicos de tecnologias DSL so assimtricos (ADSL) e simtricos (SDSL). Todas as formas de servio DSL so classificadas como ADSL ou SDSL, e existem diversas variedades de cada tipo. O ADSL fornece uma maior largura de banda de downstream do que largura de banda de carregamento para o usurio. O SDSL fornece a mesma capacidade em ambas as direes. As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas com recursos que excedem os recursos de uma linha alugada T1 ou E1. As taxas de transferncia so dependentes do comprimento real do loop local e do tipo e condio de seu cabeamento. Para obter um servio satisfatrio, o loop deve ter menos do que 5,5 quilmetros (3,5 milhas). Exibir meio visual

Pgina 2: As operadoras implantam as conexes DSL na ltima etapa de uma rede de telefonia local, chamada de loop local ou ltima milha. A conexo configurada entre um par de modems em qualquer extremidade de um fio de cobre que se estende entre o CPE (Customer premises equipment, Equipamento do usurio) e o DSLAM (Digital subscriber line access multiplexer, Multiplexador de acesso linha digital do assinante). Um DSLAM o dispositivo localizado no escritrio central (Central office, CO) da operadora e concentra as conexes de diversos assinantes de DSL. Clique no boto Conexes DSL na figura. A figura mostra o principal equipamento necessrio para fornecer uma conexo de DSL com um escritrio em casa. Os dois componentes principais so o transceiver DSL e o DSLAM:
z

Transceiver - Conecta o computador do funcionrio remoto ao DSL. Normalmente o transceiver um modem DSL conectado ao computador utilizando um cabo USB ou Ethernet. Os transceivers DSL mais novos podem ser integrados em roteadores pequenos com portas de switch 10/100 mltiplas, adequadas para serem usadas no escritrio em casa. DSLAM - Situado no CO da operadora, o DSLAM combina as conexes DSL individuais de usurios em um link da alta capacidade para um ISP e, desse modo, para a Internet.

Clique no boto Roteador DSL e DSLAM na figura. A vantagem que o DSL tem sobre a tecnologia a cabo que o DSL no um meio compartilhado. Cada usurio tem uma conexo direta separada para o DSLAM. A adio de usurios no impede o desempenho, a menos que a conexo da Internet do DSLAM para o ISP, ou a Internet, fique saturada. Exibir meio visual

Pgina 3: O principal benefcio do ADSL a capacidade de fornecer servios de dados junto com servios de voz POTS. Quando a operadora coloca a voz analgica e o ADSL no mesmo fio, a operadora divide os canais POTS do modem ADSL utilizando filtros ou separadores. Esta configurao garante um servio de telefonia regular ininterrupto mesmo se o ADSL falhar. Quando os filtros ou separadores estiverem posicionados, o usurio pode utilizar a linha telefnica e a conexo ADSL simultaneamente, sem efeitos adversos em qualquer servio. Os sinais ADSL distorcem a transmisso de voz e so divididos ou filtrados no equipamento do

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 9 de 22

cliente. Existem duas maneiras de separar o ADSL da voz no equipamento do cliente, utilizando um microfiltro ou um separador. Um microfiltro um filtro de baixa passagem passivo com duas extremidades. Uma extremidade se conecta ao telefone e a outra se conecta tomada do telefone. Esta soluo elimina a necessidade de um tcnico visitar o local e permite que o usurio utilize qualquer tomada na casa para voz ou servio ADSL. Os separadores POTS separam o trfego DSL do trfego POTS. O separador POTS um dispositivo passivo. No caso de uma falha de energia, o trfego de voz ainda vai para o switch de voz no CO da operadora. Os separadores esto localizados no CO e, em algumas implantaes, no equipamento do cliente. No CO, o separador de POTS separa o trfego de voz, destinado s conexes POTS, e o trfego de dados destinado ao DSLAM. A figura mostra o loop local terminando no equipamento do cliente no ponto de demarcao. O dispositivo real o dispositivo de interface de rede (NID, Network interface device). Este ponto normalmente onde a linha telefnica entra no equipamento do cliente. Neste momento, um separador pode ser anexado linha telefnica. O separador bifurca a linha telefnica: uma ponta fornece a instalao eltrica de telefone original para os telefones e a outra ponta se conecta ao modem ADSL. O separador age como um filtro de baixa passagem, permitindo que somente as freqncias de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador POTS ao NID geralmente significa que um tcnico deve ir para o local do cliente. Devido a este trabalho e suporte tcnico adicional, a maioria das instalaes em casa utilizam hoje microfiltros, conforme mostrado na figura. O uso de microfiltros tambm apresenta a vantagem de fornecer uma conectividade mais ampla em toda a residncia. Considerando que o separador POTS separa os sinais ADSL e de voz no NID, normalmente existe somente uma sada ADSL disponvel na casa. Clique no boto Microfiltros na figura. A figura mostra um layout de DSL de escritrio em casa tpico utilizando microfiltros. Nesta soluo, o usurio pode instalar microfiltros de linha em cada telefone, ou instalar microfiltros embutidos na parede no lugar de tomadas de telefone normais. Ao passar o mouse sobre os microfiltros no grfico, sero mostradas fotos de produtos da Cisco. Clique no boto Separador na figura. Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema de distribuio telefnica interno. Um fio iria diretamente para o modem DSL e o outro levaria o sinal de voz aos telefones. Ao passar o mouse sobre a caixa de separador no grfico, um esquema de instalao eltrica tpico ser revelado. Exibir meio visual

6.2.4 Banda larga sem fio Pgina 1: O acesso de banda larga por ADSL ou cabo proporciona aos funcionrios remotos conexes mais rpidas do que a discada, mas, at recentemente, os PCs de escritrio em casa tinham que conectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5. Os sistemas de rede sem fio, ou Wi-Fi (wireless fidelity), aprimoraram esta situao, no somente no escritrio em casa, mas tambm nos diversos prdios de empresas. Utilizando os padres de rede 802.11, os dados viajam de local para local em ondas de rdio. O que torna o sistema de rede 802.11 relativamente fcil de implantar que ele utiliza o espectro de rdio no licenciado para enviar e receber os dados. A maioria das transmisses de rdio e TV so reguladas pelo governo e exigem uma licena de uso.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 10 de 22

A partir de 2007, os fabricantes de computador iniciaram a criao de adaptadores de rede sem fio na maioria dos laptops. Como o preo dos chipsets para Wi-Fi continua caindo, ele est se tornando uma opo de sistema de rede muito econmica tambm para computadores desktop. Os benefcios do Wi-Fi esto alm de no ter de utilizar ou instalar conexes de rede com fios. O sistema de rede sem fio fornece mobilidade. As conexes sem fio fornecem maior flexibilidade e produtividade ao funcionrio remoto. Exibir meio visual

Pgina 2: At recentemente, havia a necessidade de uma limitao significativa do acesso sem fio para estar dentro do intervalo de transmisso local (geralmente menos que 100 ps) de um roteador para rede sem fio ou ponto de acesso sem fio que possusse uma conexo conectada por fios com a Internet. Quando um trabalhador deixava o escritrio ou casa, o acesso sem fio no estava prontamente disponvel. Porm, com os avanos na tecnologia, o alcance das conexes sem fio foi estendido. O conceito de hotspots aumentou o acesso a conexes sem fio pelo mundo. Um hotspot a rea coberta por um ou mais pontos de acesso interconectados. Locais de concentrao de pblico, como cafs, parques e bibliotecas, criaram hotspots de Wi-Fi, esperando aumentar os negcios. Ao sobrepor os pontos de acesso, os hotspots podem abranger muitas milhas quadradas. Novos desenvolvimentos em tecnologia de banda larga sem fio esto aumentando a disponibilidade sem fio. So alguns deles:
z z z

Wi-Fi municipal WiMAX Internet por satlite

Os governos municipais tambm se juntaram revoluo Wi-Fi. As cidades esto implantando redes municipais sem fio, trabalhando geralmente com operadoras. Algumas dessas redes fornecem acesso Internet de alta velocidade sem custos ou por um preo consideravelmente menor do que o de outros servios de banda larga. Outras cidades reservam suas redes Wi-Fi para uso oficial, fornecendo polcia, aos bombeiros e aos funcionrios pblicos um acesso remoto Internet e a redes municipais. Clique no boto nico roteador na figura. A figura mostra uma implantao domstica tpica utilizando um nico roteador para rede sem fio. Esta implantao utiliza o modelo hub-and-spoke. Se o nico roteador para rede sem fio falhar, toda a conectividade perdida. Passe seu mouse sobre a caixa de texto. Clique no boto Malha na figura. A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de um modelo hub-and-spoke. Uma malha uma srie de pontos de acesso (transmissores de rdio), como mostrado na figura. Cada ponto de acesso est no intervalo e pode comunicar-se com pelo menos dois outros pontos de acesso. A malha cobre sua rea com sinais de radiofreqncia. Os sinais viajam de ponto de acesso para ponto de acesso por esta nuvem. Uma rede em malha possui diversas vantagens sobre os hotspots de nico roteador. A instalao mais fcil e pode ser mais barata porque existem menos fios. A implantao sobre uma rea urbana grande mais rpida. De um ponto de vista operacional, ela mais confivel. No caso de falha de um n, outros ns na malha compensaro.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 11 de 22

Clique no boto WiMAX na figura. O WiMAX (Interoperabilidade Mundial para Acesso Microondas, Worldwide Interoperability for Microwave Access) a tecnologia de telecomunicaes destinada a fornecer dados sem fio por longas distncias em uma variedade de modos, de links de ponto a ponto at o acesso de tipo de celular mvel completo. O WiMAX opera em velocidades mais altas, sobre maiores distncias e para um maior nmero de usurios que o Wi-Fi. Devido a sua maior velocidade (largura de banda) e preos de componentes em queda, prev-se que o WiMAX suplantar em breve as redes de malha municipais para implantaes sem fio. Uma rede WiMAX consiste em dois componentes principais:
z

Uma torre que semelhante em conceito a uma torre de telefonia celular. Uma torre de WiMAX nica pode fornecer cobertura para uma rea de 3.000 milhas quadradas, ou quase 7.500 quilmetros quadrados. Um receptor de WiMAX, semelhante em tamanho e forma a uma placa de PCMCIA, ou incorporado a um laptop ou outro dispositivo sem fio.

Uma estao de torre WiMAX se conecta diretamente Internet utilizando uma conexo de largura de banda alta (por exemplo, uma linha de T3). Uma torre tambm pode conectar-se a outras torres de WiMAX utilizando os links de microondas de linha de viso. O WiMAX capaz, dessa forma, de abranger reas rurais fora do alcance do cabo de "ltima milha" e tecnologias de DSL. Clique no boto Satlite na figura. Os servios de Internet por Satlite so utilizados em locais em que o acesso Internet por terra no est disponvel, ou para instalaes temporrias que se movem continuamente. O acesso Internet utilizando satlites est disponvel mundiamente, inclusive para embarcaes no mar, avies em vo e veculos em movimento por terra. Existem trs maneiras de conectar-se Internet utilizando satlites: multicast unidirecional, retorno terrestre unidirecional e bidirecional.
z

Os sistemas de Internet por satlite de multicast unidirecional so utilizados para distribuio de dados, udio e vdeo por multicast IP. Embora a maioria dos protocolos IP exijam uma comunicao bidirecional, para o contedo da Internet, incluindo pginas da web, os servios de internet por satlite unidirecional podem ser pginas enviadas para armazenamento local em instalaes de usurios finais pela Internet por satlite. No possvel obter uma interatividade completa. Os sistemas de internet por satlite de retorno terrestre unidirecional utilizam acesso discado tradicional para enviar dados de sada por um modem e receber downloads do satlite. A Internet por satlite bidirecional envia dados de locais remotos por meio de um satlite para um hub, o qual envia os dados para a Internet. A antena parablica em cada local deve ser precisamente posicionada para evitar uma interferncia com outros satlites.

A figura ilustra um satlite de sistema de internet bidirecional. As velocidades de upload so de aproximadamente um dcimo da velocidade de download, que est na faixa de 500 kb/s. O principal requisito de instalao que a antena tenha uma viso clara em direo ao equador, onde a maioria dos satlites em rbita esto estacionados. rvores e chuvas fortes podem afetar a recepo dos sinais. A Internet por satlite bidirecional utiliza a tecnologia de multicast IP, que permite que um satlite sirva a at 5.000 canais de comunicao simultaneamente. O multicast IP envia dados de um ponto para muitos pontos ao mesmo tempo enviando dados em um formato compactado. A

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 12 de 22

compactao reduz o tamanho dos dados e a largura de banda. Exibir meio visual

Pgina 3: O sistema de rede sem fio obedece a uma variedade de padres que os roteadores e os receptores utilizam para comunicar-se entre si. Os padres mais comuns esto includos no padro de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), que abrange as bandas do espectro (no licenciado) pblico de 5 GHz e 2,4 GHz. Os termos 802.11 e Wi-Fi parecem intercambiveis, mas isso est incorreto. Wi-Fi uma certificao de interoperabilidade orientada para a indstria baseada em um subconjunto de 802.11. A especificao de Wi-Fi surgiu pois a demanda do mercado levou a Wi-Fi Alliance a comear a certificar os produtos antes de as emendas ao padro 802.11 serem concludas. O padro 802.11, desde ento, alcanou e ultrapassou o Wi-Fi. Do ponto de vista dos funcionrios remotos, as abordagens de acesso mais populares para a conectividade so as definidas nos protocolos IEEE 802.11b e IEEE 802.11g. Originalmente, a segurana era intencionalmente fraca nestes protocolos por causa dos requisitos de exportao restritos de diversos governos. O padro mais recente, 802.11n, uma emenda proposta integrada nos padres 802.11 anteriores, adicionando entradas mltiplas e sadas mltiplas (multiple-input multiple-output, MIMO). O padro 802.16 (ou WiMAX) permite transmisses de at 70 Mb/s e possui um intervalo de at 30 milhas (50 km). Ele pode operar em bandas licenciadas ou no licenciadas do espectro de 2 a 6 GHz. Exibir meio visual

Pgina 4: Nesta atividade, voc demonstrar a sua capacidade de adicionar dispositivos de banda larga e conexes ao Packet Tracer. Embora no possa configurar DSL e modems a cabo, voc pode simular uma conectividade fim-a-fim para dispositivos de funcionrio remoto. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

6.3 Tecnologia de VPN

6.3.1 VPNs e seus benefcios Pgina 1: A Internet uma rede IP mundial, publicamente acessvel. Por causa de sua vasta proliferao global, ela se tornou um modo atraente de interconectar locais remotos. Porm, o fato de ela ser uma infra-estrutura pblica expe as empresas e suas redes internas a riscos de segurana. Felizmente, a tecnologia de VPN permite que as organizaes criem redes privadas sobre a infraestrutura de Internet pblica que mantm a confidencialidade e a segurana. As organizaes utilizam as VPNs para fornecer uma infra-estrutura de WAN virtual que conecta as filiais, os escritrios em casa, os locais de parceiros de negcios e os funcionrios remotos a toda sua rede corporativa ou parte dela. Para que permanea privado, o trfego criptografado. Em vez de utilizar uma conexo de Camada 2 dedicada, tal como uma linha alugada, uma VPN

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 13 de 22

utiliza conexes virtuais que so roteadas pela Internet. Foi apresentada, no incio deste curso, uma analogia que envolvia conseguir bilhetes com prioridade para um show em estdio. Uma extenso para essa analogia ajudar a explicar como uma VPN funciona. Imagine o estdio como um local pblico da mesma maneira que a Internet um local pblico. Quando o show acaba, o pblico sai pelos corredores e sadas pblicas, esbarrando-se e empurrando-se uns aos outros ao longo do caminho. Pequenos roubos so ameaas pelas quais se pode passar. Imagine como os artistas saem. Seus seguranas juntam seus braos e formam cordes pela multido e protegem as celebridades desses empurres e esbarres. De fato, estes cordes formam tneis. As celebridades so levadas atravs de tneis at suas limusines, que os levam protegidos aos seus destinos. Esta seo descreve como as VPNs funcionam dessa mesma maneira, empacotando os dados e movendo-os seguramente pela Internet atravs de tneis protetores. essencial compreender a tecnologia de VPN para ser capaz de implementar servios seguros de funcionrio remoto em redes de empresa. Analogia: cada rede local uma ilha Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vista diferente. Imagine que voc vive em uma ilha em um oceano enorme. Existem milhares de outras ilhas ao seu redor, algumas muito prximas e outras mais distantes. O modo normal de viajar levar uma barca de sua ilha para qualquer ilha que voc deseje visitar. Viajar em uma barca significa que voc no tem quase nenhuma privacidade. Qualquer coisa que voc fizer pode ser visto por outra pessoa. Suponha que cada ilha representa uma rede local privada e que o oceano a Internet. Viajar pela barca semelhante a quando voc se conecta a um servidor web ou a outro dispositivo pela Internet. Voc no tem controle sobre os fios e os roteadores que compem a Internet, assim como voc no tem nenhum controle sobre as outras pessoas na barca. Isto o deixa vulnervel a problemas de segurana caso voc tente conectar-se entre duas redes privadas utilizando um recurso pblico. Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo mais fcil, mais seguro e direto de as pessoas viajarem entre as duas. A construo e a manuteno da ponte so caras, mesmo que a ilha para a qual voc est se conectando seja muito prxima. Mas a necessidade de um caminho confivel e seguro to grande que voc a constri mesmo assim. Sua ilha gostaria de conectar-se a uma segunda ilha que est muito mais distante, mas voc decide que isso sair muito caro. Esta situao muito parecida com ter uma linha alugada. As pontes (linhas alugadas) esto separadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas (redes locais). Muitas empresas escolheram esta rota por causa da necessidade de segurana e confiabilidade na conexo de seus escritrios remotos. Entretanto, se os escritrios forem muito distantes, o custo poder ser proibitivamente alto - assim como tentar criar uma ponte que atravessa uma grande distncia. Desse modo, como a VPN se ajusta a esta analogia? Ns poderamos dar a cada habitante das ilhas seu prprio submarino pequeno com estas propriedades:
z z z z z

Rpido Fcil de levar com voc onde voc for Capaz de escond-lo completamente de qualquer outro barco ou submarino Confivel Poucos custos para adicionar submarinos sua frota depois que o primeiro for comprado

Embora eles estejam viajando no oceano junto com outro trfego, os habitantes de nossas duas ilhas poderiam viajar de um lado para o outro sempre que desejassem, com privacidade e

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 14 de 22

segurana. essencialmente dessa maneira que uma VPN funciona. Cada membro remoto de sua rede pode comunicar-se de uma maneira segura e confivel utilizando a Internet como o meio para conectar-se rede local privada. Uma VPN pode crescer a fim de acomodar mais usurios e locais diferentes de forma muito mais fcil do que uma linha alugada. Na realidade, a escalabilidade uma vantagem principal que as VPNs tm sobre as linhas alugadas comuns. Diferente das linhas alugadas, onde o custo aumenta proporcionalmente s distncias envolvidas, as localizaes geogrficas de cada escritrio pouco importam na criao de uma VPN. Exibir meio visual

Pgina 2: As organizaes que utilizam VPNs beneficiam-se de um aumento na flexibilidade e na produtividade. Locais e funcionrios remotos podem conectar-se de modo seguro rede corporativa de quase qualquer lugar. Os dados em uma VPN so criptografados e tornam-se indecifrveis a qualquer um que no tenha permisso para faz-lo. As VPNs trazem hosts remotos para dentro do firewall, dando-lhes quase os mesmos nveis de acesso para os dispositivos de rede como se eles estivessem em um escritrio corporativo. A figura mostra as linhas alugadas em vermelho. As linhas azuis representam as conexes baseadas em VPN. Considere estes benefcios ao utilizar as VPNs:
z

z z

Economia de custo - As organizaes podem utilizar um transporte de Internet econmico e externo para conectar escritrios remotos e usurios ao site corporativo principal. Isto elimina links de WAN dedicados caros e bancos de modem. Utilizando a banda larga, as VPNs reduzem os custos de conectividade ao mesmo tempo em que aumentam a largura de banda de conexo remota. Segurana - Criptografia e protocolos de autenticao avanados protegem os dados de acessos no autorizados. Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPs e operadoras, facilitando a adio de novos usurios pelas organizaes. As organizaes, grandes e pequenas, podem adicionar uma grande quantidade de capacidade sem adicionar uma infra-estrutura significativa.

Exibir meio visual

6.3.2 Tipos de VPNs Pgina 1: As organizaes utilizam as VPNs ponto a ponto a fim de conectar locais espalhados da mesma maneira que uma linha alugada ou conexo de Frame Relay utilizada. Como a maioria das organizaes agora tm acesso Internet, conveniente tirar proveito dos benefcios das VPNs ponto a ponto. Conforme ilustrado na figura, as VPNs ponto a ponto tambm suportam intranets de empresas e extranets de parceiros de negcios. Com efeito, uma VPN ponto a ponto uma extenso de um sistema de rede WAN clssico. As VPNs ponto a ponto conectam redes inteiras umas s outras. Por exemplo, elas podem conectar uma rede de filial a uma rede da sede da empresa. Em uma VPN ponto a ponto, os hosts enviam e recebem o trfego de TCP/IP atravs de um gateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou um Mecanismo de Segurana Adaptvel (ASA). O gateway de VPN responsvel por encapsular e criptografar o trfego de sada para todo o trfego de um local especfico e por envi-lo por um tnel de VPN sobre a Internet para um gateway de VPN de mesmo nvel no local designado. Ao receber, o gateway de VPN de mesmo nvel retira os cabealhos, descriptografa o contedo e retransmite o pacote para o host designado dentro de sua rede privada.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 15 de 22

Exibir meio visual

Pgina 2: Os usurios mveis e funcionrios distncia utilizam amplamente as VPNs de acesso remoto. No passado, as corporaes suportavam os usurios remotos utilizando redes discadas. Acessar a corporao geralmente envolvia uma chamada de longa distncia e tarifas de interurbano. A maioria dos funcionrios remotos agora tem acesso Internet de suas casas e pode estabelecer VPNs remotas utilizando conexes de banda larga. Da mesma forma, um funcionrio mvel pode fazer uma chamada local para um ISP local a fim de acessar a corporao pela Internet. De fato, isto marca uma evoluo em redes discadas. As VPNs de acesso remoto podem suportar as necessidades dos funcionrios distncia, usurios mveis, bem como extranet para transaes de comrcio eletrnico. Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente de VPN. Sempre que o host tenta enviar algum trfego, o software de cliente de VPN encapsula e criptografa esse trfego antes de envi-lo pela Internet para o gateway de VPN na extremidade da rede designada. Ao receber, o gateway de VPN trata os dados da mesma maneira que trataria os dados de uma VPN ponto a ponto. Exibir meio visual

6.3.3 Componentes da VPN Pgina 1: Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pblica enquanto mantm a confidencialidade e a segurana. As VPNs utilizam protocolos de tunelamento criptogrfico para fornecer proteo contra deteco de pacotes, autenticao de remetentes e integridade da mensagem. A figura ilustra uma topologia de VPN tpica. Os componentes necessrios para estabelecer esta VPN incluem:
z z z

Uma rede existente com servidores e estaes de trabalho Uma conexo com a Internet Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN e ASAs, que agem como pontos de extremidade para estabelecer, gerenciar e controlar as conexes de VPN Software apropriado para criar e gerenciar tneis de VPN

A chave para a efetividade da VPN a segurana. As VPNs protegem os dados encapsulando-os ou criptografando-os. A maioria das VPNs pode fazer os dois.
z

O encapsulamento tambm pode ser chamado de tunelamento, uma vez que o encapsulamento transmite os dados de forma transparente de rede para rede atravs de uma infra-estrutura de rede compartilhada. A criptografia codifica os dados em um formato diferente utilizando uma chave secreta. A descriptografia decodifica os dados criptografados no formato no criptografado original.

O encapsulamento e a criptografia so discutidos em mais detalhes posteriormente neste curso. Exibir meio visual

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 16 de 22

6.3.4 Caractersticas de VPNs seguras Pgina 1: As VPNs utilizam tcnicas de criptografia avanadas e tunelamento para permitir que as organizaes estabeleam conexes de rede seguras, fim-a-fim e privadas pela Internet. A base de uma VPN segura a confidencialidade e integridade dos dados e a autenticao:
z

Confidencialidade dos dados - Uma preocupao de segurana comum proteger os dados de interceptadores. Como um recurso de design, a confidencialidade de dados procura proteger o contedo das mensagens da intercepo por fontes no autenticadas ou no autorizadas. As VPNs obtm a confidencialidade utilizando mecanismos de encapsulamento e criptografia. Integridade de dados - Os receptores no tm nenhum controle sobre o caminho pelo qual os dados passaram e, portanto, no sabem se os dados foram vistos ou alterados enquanto viajava pela Internet. Existe sempre a possibilidade de os dados terem sido modificados. A integridade de dados garante que no ocorra nenhuma falsificao ou alterao aos dados enquanto eles viajam entre a origem e o destino. As VPNs normalmente utilizam hashes para assegurar a integridade dos dados. Um hash como uma checksum ou selo que garante que ningum leu o contedo, mas ele mais potente. Os hashes so explicados no prximo tpico. Autenticao - A autenticao garante que uma mensagem venha de uma origem autntica e v para um destino autntico. A identificao de usurio proporciona ao usurio a confiana de que a parte com a qual ele estabelece as comunicaes quem ele realmente pensa. As VPNs podem utilizar senhas, certificados digitais, smart cards e biomtrica para estabelecer a identidade dos participantes na outra extremidade de uma rede.

Exibir meio visual

6.3.5 Tunelamento de VPN Pgina 1: Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura que somente as origens e os destinos determinados sejam capazes de interpretar o contedo original das mensagens. O tunelamento permite o uso de redes pblicas como a Internet para levar os dados para usurios como se os usurios tivessem acesso a uma rede privada. O tunelamento encapsula um pacote inteiro dentro de outro pacote e envia o novo pacote composto sobre uma rede. Esta figura lista as trs classes de protocolos utilizadas pelo tunelamento. Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento, considere um exemplo de um envio de um carto de natal por correio tradicional. O carto de natal tem uma mensagem dentro. O carto o protocolo de passagem. O remetente coloca o carto dentro de um envelope (protocolo de encapsulamento) com o endereamento apropriado escrito. O remetente coloca o envelope em uma caixa de correio para entrega. O sistema postal (protocolo de operadora) escolhe e entrega o envelope para a caixa de correio do destinatrio. Os dois pontos de extremidade no sistema da operadora so as "interfaces de tnel." O destinatrio remove o carto de natal (extrai o protocolo de passagem) e l a mensagem. Clique no boto Encapsulamento na figura para exibir uma ilustrao do processo de encapsulamento. Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexo de VPN. O PPP leva a mensagem ao dispositivo de VPN, onde a mensagem encapsulada dentro de um pacote de Encapsulamento de Rota Genrico (GRE, Generic Route Encapsulation). O GRE um

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 17 de 22

protocolo de tunelamento desenvolvido pela Cisco Systems que pode encapsular uma ampla variedade de tipos de pacote de protocolo dentro de tneis IP, criando um link ponto a ponto virtual para roteadores da Cisco em pontos remotos sobre uma rede IP interconectada. Na figura, o endereamento de origem e destino externo do pacote atribudo para "interfaces de tnel" e colocado em condio de roteamento atravs da rede. Quando um pacote composto alcana a interface de tnel de destino, o pacote interno extrado. Exibir meio visual

6.3.6 Integridade de dados da VPN Pgina 1: Se os dados de texto simples forem transportados pela Internet pblica, eles podero ser interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados. A criptografia de VPN criptografa os dados e os torna ilegveis para receptores no autorizados. Para que a criptografia funcione, o remetente e o receptor devem conhecer as regras utilizadas para transformar a mensagem original em seu formato codificado. As regras de criptografia de VPN incluem um algoritmo e uma chave. Um algoritmo uma funo matemtica que combina uma mensagem, texto, dgitos ou os trs com uma chave. A sada de dados uma cadeia de cdigos ilegvel. A descriptografia extremamente difcil ou impossvel sem a chave correta. No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail e Jeremy concordaram previamente com uma chave secreta compartilhada. Na extremidade de Gail, o software de cliente de VPN combina o documento com a chave secreta compartilhada e a passa atravs de um algoritmo de criptografia. A sada de dados um texto de cdigos indecifrvel. O texto de cdigos enviado por um tnel de VPN sobre a Internet. Na outra extremidade, a mensagem recombinada com a mesma chave secreta compartilhada e processada pelo mesmo algoritmo de criptografia. A sada de dados o documento financeiro original que agora est legvel para Jeremy. Exibir meio visual

Pgina 2: O grau de segurana proporcionado por qualquer algoritmo de criptografia depende do tamanho da chave. Para qualquer tamanho de chave determinado, o tempo necessrio para processar todas as possibilidades para decodificar o texto codificado uma funo de potncia de computao do computador. Portanto, quanto menor a chave, mais fcil a decodificao, mas, ao mesmo tempo, mais fcil transmitir a mensagem. Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados so:
z

Algoritmo de criptografia padro de dados (DES) - Desenvolvido pela IBM, o DES utiliza uma chave de 56 bits, assegurando uma criptografia de alto desempenho. O DES um sistema de criptografia de chave simtrica. As chaves simtricas e assimtricas so explicadas abaixo. Algoritmo DES triplo (3DES) - Uma variante mais nova do DES que criptografa com uma chave, decodifica com outra chave diferente e, em seguida, criptografa uma ltima vez com outra chave. O 3DES proporciona uma potncia significativamente maior ao processo de criptografia. Criptografia padro avanada (AES) - O Instituto Nacional de Padres e Tecnologia (NIST) adotou o AES para substituir a criptografia de DES existente em dispositivos criptogrficos. O AES proporciona uma segurana mais forte do que o DES e mais eficiente que o 3DES do ponto de vista computacional. O AES oferece trs tamanhos de chave diferentes: chaves de 128, 192, e 256 bits. Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chave assimtrica. As chaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 18 de 22

Criptografia simtrica Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secreta compartilhada para executar criptografia e descriptografia. Cada um dos dois computadores deve conhecer a chave para decodificar as informaes. Com a criptografia de chave simtrica, tambm chamada de criptografia de chave secreta, cada computador criptografa as informaes antes de envi-las pela rede para o outro computador. A criptografia de chave simtrica exige o conhecimento de quais computadores se comunicaro de modo que a mesma chave possa ser configurada em cada computador. Por exemplo, um remetente cria uma mensagem codificada onde cada letra substituda pela letra que est duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", e assim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente j contou ao destinatrio que a chave secreta "trocar por 2 antes. Quando o destinatrio receber a mensagem UGETGV, o computador do destinatrio decodificar a mensagem deslocando-se para duas letras antes e calculando SECRET. Qualquer outra pessoa que veja a mensagem enxergar somente a mensagem criptografada, que no tem sentido a menos que a pessoa saiba a chave secreta. A pergunta : como ambos os dispositivos de criptografia e descriptografia possuem a chave secreta compartilhada? Voc pode utilizar o email, mensageiro ou correio noturno para enviar as chaves secretas compartilhadas aos administradores dos dispositivos. Outro mtodo mais fcil e seguro a criptografia assimtrica. Criptografia assimtrica A criptografia assimtrica utiliza diferentes chaves para criptografia e descriptografia. Conhecer uma das chaves no permite que um hacker deduza a segunda chave e decodifique as informaes. Uma chave criptografa a mensagem, enquanto uma segunda chave descriptografa a mensagem. No possvel criptografar e descriptografar com a mesma chave. A criptografia de chave pblica uma variante da criptografia assimtrica que utiliza uma combinao de uma chave privada e uma chave pblica. O destinatrio fornece uma chave pblica a qualquer remetente com quem o destinatrio deseja se comunicar. O remetente utiliza uma chave privada combinada com a chave pblica do destinatrio para criptografar a mensagem. Alm disso, o remetente deve compartilhar sua chave pblica com o destinatrio. Para descriptografar uma mensagem, o destinatrio utilizar a chave pblica do remetente com sua prpria chave privada. Exibir meio visual

Pgina 3: Os hashes contribuem com a integridade e autenticao de dados assegurando que pessoas no autorizadas no adulterem as mensagens transmitidas. Um hash, tambm chamado de resumo de mensagem (message digest), um nmero gerado a partir de uma cadeia de texto. O hash menor que o prprio texto. Ele gerado utilizando uma frmula de tal modo que seja extremamente improvvel que outro texto produza o mesmo valor de hash. O remetente original gera um hash da mensagem e o envia com a prpria mensagem. O destinatrio descriptografa a mensagem e o hash, gera outro hash da mensagem recebida e compara os dois hashes. Se eles forem os mesmos, o destinatrio poder ficar razoavelmente seguro de que a integridade da mensagem no foi afetada. Na figura, algum est tentando enviar um cheque de US$100 para Jeremy. Na extremidade remota, Alex Jones (um provvel criminoso) est tentando trocar o cheque para $1.000. Como o cheque passou pela Internet, ele foi alterado. Tanto o destinatrio quanto a quantia em dlar foram alterados. Neste caso, se um algoritmo de integridade de dados fosse utilizado, os hashes

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 19 de 22

no seriam correspondentes e a transao no seria mais vlida. Os dados de VPN so transportados pela Internet pblica. Como mostrado, h um potencial para que esses dados sejam interceptados e modificados. Para se proteger dessa ameaa, os hosts podem adicionar um hash mensagem. Se o hash transmitido corresponder ao hash recebido, a integridade da mensagem ter sido preservada. Entretanto, se no houver nenhuma correspondncia, a mensagem foi alterada. As VPNs utilizam um cdigo de autenticao de mensagem para verificar a integridade e a autenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. Um HMAC (Keyed Hashed Message Authentication Code, Cdigo de Autenticao de Mensagem com Chave de Hash) um algoritmo de integridade de dados que garante a integridade da mensagem. Um HMAC possui dois parmetros: uma entrada de mensagem e uma chave secreta conhecidas somente pelo remetente e receptores pretendidos. O remetente da mensagem utiliza uma funo HMAC para gerar um valor (o cdigo de autenticao da mensagem), formado pela compactao da chave secreta e da entrada da mensagem. O cdigo de autenticao da mensagem enviado junto com a mensagem. O receptor computa o cdigo de autenticao da mensagem na mensagem recebida utilizando a mesma chave e funo HMAC que o remetente utilizou e compara o resultado computado com o cdigo de autenticao de mensagem recebido. Se houver correspondncia entre os dois valores, a mensagem ser recebida corretamente e o receptor ter a segurana de que o remetente um membro da comunidade de usurios que compartilham a chave. A potncia criptogrfica do HMAC depende da potncia criptogrfica da funo de hash, do tamanho e da qualidade da chave, e do tamanho da sada de dados de hash produzida em bits. Existem dois algoritmos HMAC comuns:
z

Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits. A mensagem de tamanho varivel e chave secreta compartilhada de 128 bits so combinadas e executadas pelo algoritmo hash de HMAC-MD5. A sada de dados um hash de 128 bits. O hash acrescentado mensagem original e encaminhado extremidade remota. Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits. A mensagem de tamanho varivel e chave secreta compartilhada de 160 bits so combinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A sada de dados um hash de 160 bits. O hash acrescentado mensagem original e encaminhado extremidade remota.

Clique no boto Autenticao de VPN na figura. Ao administrar os negcios longa distncia, necessrio saber quem est na outra extremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivo da outra extremidade do tnel de VPN deve ser autenticado antes de o caminho de comunicao ser considerado seguro. Existem dois mtodos de autenticao do ponto (peer):
z

Chave pr-compartilhada (PSK, Pre-shared key) - Uma chave secreta que compartilhada entre os dois participantes utilizando um canal seguro antes de precisar ser utilizada. As PSKs utilizam algoritmos criptogrficos de chave simtrica. Uma PSK colocada em cada ponto manualmente e utilizada para autenticar esse ponto. Em cada extremidade, a PSK combinada com outras informaes para formar a chave de autenticao. Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os pontos. O dispositivo local produz um hash e o criptografa com sua chave privada. O hash criptografado (assinatura digital) anexado mensagem e encaminhado extremidade remota. Na extremidade remota, o hash criptografado descriptografado utilizando a chave pblica da extremidade local. Se o hash descriptografado corresponder ao hash recomputado, a assinatura ser genuna.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 20 de 22

Observe uma demonstrao de RSA para obter um exemplo de c riptografia de RSA. Exibir meio visual

6.3.7 Protocolos de segurana IPsec Pgina 1: O IPsec o c onjunto de aplic aes de protoc para proteger as c olo omunic aes de IP, que fornec c e riptografia, integridade e autentic ao. O IPsec explic a transmisso de mensagens ita nec essria para proteger as c omunic aes de VPN, mas c onfia nos algoritmos existentes. Existem dois protoc olos de estrutura IPsec princ ipais.
z

Cabealho de autenticao (AH, Authentication header) - Utilizado quando no se exige ou permite a c onfidenc ialidade. O AH fornec a autentic e ao e a integridade de dados e para pac otes IP transmitidos entre dois sistemas. Ele verific se as mensagens a transmitidas de R1 para R2 no foram modific adas durante o trnsito. Ele tambm verific a se a origem dos dados era R1 ou R2. O AH no fornec a c e onfidenc ialidade de dados (c riptografia) dos pac otes. Se for utilizado sozinho, o protoc AH fornec uma frac olo e a proteo. Conseqentemente, ele utilizado c o protoc ESP para fornec a om olo er c riptografia de dados e rec ursos de segurana de monitoramento c ontra adulteraes. Payload de segurana de encapsulamento (ESP, Encapsulating Security Payload) Fornec c e onfidenc ialidade e autentic ao atravs da c riptografia do pac IP. A ote c riptografia do pac IP oc ote ulta os dados e as identidades da origem e do destino. O ESP autentic o pac IP interno e o c a ote abealho de ESP. A autentic ao proporc iona a autentic ao da origem de dados e a integridade dos dados. Embora a c riptografia e a autentic ao sejam opc ionais no ESP, no mnimo uma delas deve ser selec ionada.

Clique no boto Estrutura IPsec na figura. O IPsec c onta c os algoritmos existentes para implementar a c om riptografia, a autentic ao e a troc de c a haves. Alguns dos algoritmos padro que o IPsec utiliza so:
z z z z z z

DES - Criptografa e desc riptografa os dados do pac ote. 3DES - Fornec uma potnc de c e ia riptografia signific ativa sobre o DES de 56 bits. AES Proporc iona uma c riptografia mais potente, dependendo do tamanho de c have utilizada, bem c omo uma melhor produtividade. MD5 - Autentic os dados do pac a ote, utilizando uma c have sec reta c ompartilhada de 128 bits. SHA-1 - Autentic os dados do pac a ote, utilizando uma c have sec reta c ompartilhada de 160 bits. DH - Permite que os dois partic ipantes estabeleam uma c have sec reta c ompartilhada utilizada pela c riptografia e pelos algoritmos hash, por exemplo, o DES e MD5, sobre um c anal de c omunic aes no seguro.

A figura mostra c omo o IPsec c onfigurado. O IPsec fornec a estrutura e o administrador e esc olhe os algoritmos utilizados para implementar os servios de segurana dentro dessa estrutura. Existem quatro quadrados da estrutura de IPsec a serem preenc hidos.
z z

Ao c onfigurar um gateway de IPsec para fornec servios de segurana, esc er olha primeiro um protoc IPsec As esc olo . olhas so: ESP ou ESP c AH. om O segundo quadrado ser um algoritmo de c riptografia se o IPsec for implementado c om ESP. Esc olha o algoritmo de c riptografia apropriado para o nvel desejado de segurana: DES, 3DES ou AES. O terc eiro quadrado a autentic ao. Esc olha um algoritmo de autentic ao para fornec er

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 21 de 22

a integridade dos dados: MD5 ou SHA. O ltimo quadrado o grupo de algoritmos Diffie-Hellman (DH). Que estabelece o compartilhamento das informaes da chave entre os pontos. Escolha qual grupo utilizar: DH1 ou DH2.

Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Exibir meio visual

6.4 Resumo do captulo

6.4.1 Resumo do captulo Pgina 1: Neste captulo, voc aprendeu sobre a importncia crescente dos funcionrios remotos. Voc pode descrever os requisitos de uma organizao para fornecer servios de funcionrio remoto em termos do que o funcionrio remoto precisa e do que a organizao precisa para fornecer uma conectividade confivel e econmica. Entre os modos preferidos para conectar os funcionrios remotos, voc pode descrever como utilizar os servios de banda larga, inclusive o DSL, cabo e sem fio. Alm disso, voc sabe como a tecnologia de VPN pode ser utilizada para fornecer servios de funcionrio remoto seguros nas organizaes, incluindo a importncia, os benefcios, a funo e o impacto da tecnologia de VPN, bem como os tipos de acesso, componentes, tunelamento e criptografia. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Esta atividade exige que voc configure uma rota padro bem como um roteamento dinmico utilizando o RIP verso 2. Voc tambm adicionar dispositivos de banda larga rede. Por fim, voc ir configurar as ACLs em dois roteadores para controlar o trfego de rede. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

6.5 Teste do captulo

6.5.1 Teste do captulo Pgina 1:

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 22 de 22

Exibir meio visual

Ir para a prxima Ir para a anterior Ir para a parte superior

All contents copyright 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011