Академический Документы
Профессиональный Документы
Культура Документы
Virtual LANs
SWITCH
SWITCH
SWITCH
VLAN 1
VLAN 2
VLAN 3
VLAN 2
VLAN 3
VLAN 1
VLAN 2 SWITCH Z
VLAN 2
VLAN 1
VLAN 2
SWITCH Y
VLAN 2
VLAN 1
Tagged
Todo o trfego enviado pela interface do computador para a porta do switch automaticamente colocado na VLAN configurada
S pode haver uma VLAN untagged por porta do switch Uma interface de rede de um computador s pode pertencer a uma VLAN untagged Sob o ponto de vista do computador nem se percebe que est ligado numa VLAN o switch que coloca todo o trfego na VLAN configurada
Gi1
VLAN 21
Gi2
As interfaces recebem os frames e de acordo com a marca (TAG) e encaminham os frames no contexto da VLAN pretendida
Quando uma interface recebe um frame verifica se a marca (TAG) do frame corresponde a alguma das VLANs configuradas na porta Caso no corresponda a interface deita o frame fora
Gi28
Gi1
VLAN 21
VLAN 57
VLAN 21
VLAN 57
Gi1
VLAN 21
VLAN 57
Interface eth0
Gi2
VLAN 21
VLAN 57
Interface eth0
Para manter o MTU em 1500 bytes o tamanho mximo de um frame tagged na maioria dos equipamentos 1522 bytes
4 bytes de header 802.1q
VLAN in VLAN
Usado por fornecedores de servio para encapsularem nas suas VLANs trfego de clientes que possui tags 802.1q Acrescenta mais um header de 32bits tipo 802.1q A service provider tag pode variar:
0x9100, 0x9200, 0x9300 A norma 802.1ad especifica a service provider flag em 0x88a8
NUM 1 45
68 14
Active Inactive
NUM 1 45
68 14
Active Inactive
Gi1/43, Gi1/14, Gi1/35, Gi1/26 Stp ---BrdgMode -------Trans1 -----0 0 Trans2 -----0 0
BridgeNo --------
Spanning Tree
Spanning Tree
SWITCH A SWITCH B SWITCH C
Funcionamento:
usa apenas uma ligao e inibe as outras se houver uma quebra da ligao activa usa uma ligao que estava inibida
Spanning Tree
O STP foi inventado pela digital (DEC) Mais tarde foi criado um standard pela IEEE
Existem diferenas entre as duas implementaes
No so compativeis Alguns equipamentos possuem ambas as implementaes
Spanning Tree
Cada bridge possui um identificador (bridge-id) de 8 bytes:
2 primeiros bytes so uma prioridade 6 ltimos bytes so obtidos de um MAC address
De entre todas as bridges a que tiver menor bridge-id eleita ROOT BRIDGE O algoritmo calcula:
O caminho com menor custo de todos os segmentos de rede at root bridge Em situaes em que existe mais de um caminho possvel escolhido o caminho atravs da bridge com menor bridge-id O custo de cada interface depende da sua velocidade Os custos podem ser configurados manualmente para mudar a topologia
Spanning Tree
As bridges trocam entre si mensagens:
Bridge Protocol Data Units (BPDUs) Para conhecer os bridge-ids Para conhecer os root path costs
Os BPDUs:
Funcionam em Layer 2 Endereo de origem o endereo Ethernet da porta que transmite Endereo de destino o grupo de multicast 01:80:C2:00:00:00
Tipos de BPDUs:
Configuration BPDUs (CBPDUs) usados para calculo da arvore Topology Change Notification (TCN BPDU) para anuncio da alteraes na topologia de rede Topology Change Notification Acknowledgment (TCA)
Spanning Tree
Os BPDUs so trocados constantemente para deteco de alteraes de topologia Os TCN BPDUs so usados para notificar da alterao de estado de portas das bridges Quando um switch arranca espera durante 30s
Para aprender a topologia atravs dos BPDUs recebidos Para aprender endereos Para verifica se pode causar um loop Se puder ser causa de loop bloqueia as portas necessrias S ento comea a fazer forwarding de pacotes
Spanning Tree
Custos para cada tipo de interface:
STP Cost (802.1D-1998) STP Cost (802.1t-2001) 250 100 62 19 5,000,000 2,000,000 1,250,000 200,000
1 Gbit/s
2 Gbit/s 10 Gbit/s
4
3 2
20,000
10,000 2,000
Spanning Tree
RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)
STP com convergncia mais rpida (6s em vez de 30-50s) Refinamento do STP, a referncia actual
Routers e Switches
Routers e Switches
Switch L2
Encaminha frames de baixo nvel (nvel 2)
Ethernet, FDDI, ATM, etc
No sabe o que um protocolo L3 como o TCP/IP No consegue encaminhar frames para fora de um domnio de broadcast
Router ou um Switch L3
Encaminha pacotes de alto nvel (nvel 3)
TCP/IP, Netbios, IPX, DECnet , etc
Interpreta a informao L3 contida no payload dos frames Pode ser usado para interligar:
Domnios de broadcast Diferentes tipos de redes fsicas Virtual LANs
Routers e Switches
As LANs azul e cinzenta so domnios de broadcast diferentes Um nico frame Ethernet no pode percorrer o trajecto de A para Z O pacote TCP/IP tem de ser enviado
Dentro de um frame Ethernet de A para o endereo Ethernet do router cinzento Dentro de clulas ATM do router cinzento com destino ao azul Dentro de um frame Ethernet do router azul para o endereo Ethernet de Z
LAN Azul Z
Router azul
Rede ATM
LAN Cinzenta
Routers e Switches
LIP Coimbra
Switch L2/L3 Force10
FCCN Switch L3
RCTS Internet
LAN
LAN
Uma nuvem L2 Ethernet fornecida pela FCCN interliga os 3 locais Os equipamentos L2 da FCCN s vem os frames Ethernet Dentro dos frames vo pacotes TCP/IP (L3) Os switches/routers do LIP processam a informao L3
N Central LNEC
LIP Lisboa
Router L3 CISCO
DMZ
LAN
Shaping e Policing
Por vezes necessrio limitar a largura de banda de uma interface de rede ou de um tipo de trfego:
Alocao de largura de banda a determinados tipos de trfego Diminuir a probabilidade de perda de pacotes Forar a utilizao a um limite acordado
A
10Mbps B 1Mbps
C
7Mbps
Pode fazer sentido limitar a 1Mbps para tudo o que vai para alm de B
Shaping:
Introduzir intervalos entre a transmisso de pacotes de forma a limitar a largura de banda Usa-se apenas sada de uma interface
Policing:
Limitar o trfego deitando fora todos os pacotes acima de uma largura de banda predeterminada Pode usar-se sada ou entrada de uma interface
Shaping e Policing
Shaping
Existem diversos algoritmos e mtodos de shaping: Token Bucket Leaky Bucket Controlo artificial to TCP manipulando as janelas e os ACKs Pode obrigar perda de pacotes quando o buffer ou fila de transmisso est cheia Quando se deita fora os pacotes da cauda funciona como policing prefervel usar algoritmos mais inteligentes para deitar alguns pacotes fora e evitar que a fila encha (drop mais esparso) Algoritmos de congestion avoidance:
Random Early Detect (RED) Weigthed Random Early Detect (WRED)
Ao longo de um caminho o shaping deve ser feito o mais cedo possvel Um bom shaping requer:
Mais inteligncia nos dispositivos de rede Sobretudo um grande buffer de acordo com a capacidade da interface
Shaping e Policing
Policing
Como o trfego que ultrapassa o limite deitado fora as perdas podem ser extremamente concentradas no tempo Caso os protocolos no reajam bem perda de pacotes Falta de mecanismos de feedback e ajuste Pode causar disrupo como se houvesse perodos de falta de conectividade O impacto da perda mais acentuado do que no shaping Como no existe buffering mais simples de implementar Como no requer algoritmos sofisticados mais simples de implementar
Shaping e Policing
Shaping e Policing
Todas os protocolos bem concebidos devem possuir mecanismos de adaptao perda de pacotes:
Retransmisso Feedback notificao de que os pacotes no chegaram Auto adaptao perda de pacotes envio a um ritmo menor Em trfego de tempo real como voz e vdeo idealmente a qualidade deve ser adaptada dinamicamente largura de banda disponvel
Se o mecanismo no existir no protocolo usado ento deve ser implementado ao nvel da aplicao:
Ao nvel da aplicao pode efectuar-se uma adaptao mais inteligente Por ex: um sistema de monitorizao pode enviar a informao mais espaada ou dar prioridade a alguma informao em detrimento de outra
Shaping e Policing
Efectuar shaping numa interface de um Force10 para todo o trfego saida
Fazer o shapping a 600Mbps com burst de 20KBytes
Force10#config
Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate shape 600 20 Force10(conf-if)#end Force10 #
Shaping e Policing
Efectuar policing numa interface de um Force10 para todo o trfego entrada
Largura de banda garantida 80Mbps com burst de 50KBytes Pico 90Mbps com burst de 60KBytes
A classificao muito importante para privilegiar o trfego interactivo ou de tempo real sobre outros tipos de trfego
Quality of Service
Quality of Service (QoS) em redes de dados a capacidade de tratamento diferenciado para:
Determinados tipos de trfego Determinados fluxos de trfego
Objectivo garantir nveis de desempenho diferenciados de acordo com as necessidades A qualidade de servio importante:
Quando a largura de banda total insuficiente para as necessidades Quando algum trfego mais importante ou necessita de largura de banda ou atraso mnimos garantidos Exemplos: voz e dados numa mesma rede
Quality of Service
Existem diversos factores que podem afectar a qualidade de um servio de rede:
Largura de banda Perda de pacotes Atraso Variaes no atraso (jitter) Entrega fora de sequencia Erros Aplicaes interactivas que requerem resposta em tempo real (cirurgia remota) Voice Over IP (VOIP) Videoconferncia Protocolos de controle da prpria rede
O problema surge quando se mistura numa mesma rede trfego com requisitos de qualidade de servio com trfego de dados geral
Quality of Service
A maior parte das redes incluindo a Internet funcionam como servios best-effort:
No h qualquer garantia de servio No h tratamento diferenciado
Ethernet QoS
IEEE 802.1p ou Class of Service (CoS) Define um campo de 3 bits
Usado para implementar prioritizao Presente nos frames 802.1q usados nas VLANs com tagging
Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-class dynamic dot1p Force10(conf-if)# end
Wi-Fi
Wi-Fi
Tecnologia Wireless Local Area Network IEEE 802.11
Comunicao sem fios atravs de radiofrequncias
Wi-Fi Frequncias
2.4GHz
Outros dispositivos podem interferir: telefones sem fios, bluetooth , monitores dos bebs, etc A banda de 2.4GHz est muito saturada Espaamento entre canais de 5MHz Na Europa a banda dividida em 13 Nos EUA so 11 canais e no Japo so 14 canais Existe sobreposio de canais
5GHz
O alcance menor Sinais mais absorvidos por paredes e objectos slidos A utilizao de antenas com maior ganho pode compensar o menor alcance Espaamento mnimo entre canais de 20MHz Na Europa a banda dividida em 19 canais EUA 20 canais, Japo 23 canais, China 5 canais etc
Norma b
1, 2, 5.5, 11 Mbps 38m 140m
Norma g
1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps 38m 140m
Norma n
7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps 15, 30, 45, 60, 90, 120, 135, 150 Mbps 70m 250m a 20MHz de largura a 40MHz de largura
3.6GHz (802.11y)
Banda para transmisso c/ elevada potencia usada com o 802.11a Alcance at 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais Autorizado apenas nos EUA
Infrastructure
Baseia-se em access-points (AP) Centraliza o controlo de acesso nos AP Centraliza todas as comunicaes wireless nos AP Podem existir mltiplos AP numa mesma rede Wireless Os AP ficam interligados por uma rede wired Ethernet
ad-hoc
Comunicao directa (peer-to-peer) entre dispositivos wireless No necessita de um access point
Bridge
Ethernet LAN
Bridge ou Router
Interface ADSL
NAT Firewall
Routing
Wireless Ethernet SWITCH
RF
Ethernet Interfaces
Antena
Interface ADSL
NAT Firewall
Firewall
Wireless
Routing
Ethernet SWITCH
RF
Ethernet Interfaces
Antena
Wi-Fi
SSID
Service Set Identifier Identifica o nome da rede Wireless Numa mesma rede tipo infrastructure mltiplos APs podem partilhar o mesmo SSID Case sensitive, pode ter um mximo de 32 caracteres O SSID pode ser anunciado periodicamente ou no
SSID broadcast Rede visvel
BSSID
Basic Service Set Identifier Em modo infrastructure o MAC address da interface wireless de cada um dos access points Em modo ad-hoc um endereo MAC gerado aleatoriamente pelo primeiro dispositivo a ligar-se rede ad-hoc
Individual/Group bit 0 Universal/Local bit 1
Wi-Fi
Modo Infrastructure
Todos os dispositivos precisam de usar o mesmo SSID Identifica a rede Wireless Todos os dispositivos associados ao mesmo AP precisam de
Usar o mesmo BSSID do AP Usar o mesmo canal do AP
Modo Ad-hoc
Todos os dispositivos precisam de usar o mesmo SSID Todos os dispositivos precisam de usar o mesmo BSSID Todos os dispositivos precisam de usar o mesmo canal
SSID
Access Point (AP) BSSID Canal 1 Access Point (AP) BSSID Canal 11
Wi-Fi Transmisso
Funcionamento em half-duplex
Ou transmite ou recebe
Wi-Fi Frames
To AP From AP
Fragment Retrans
A frame Is available
Strict ordering
Wi-Fi Frames
PLCP header
Wi-Fi Frame
Existem 4 campos de endereo O significado depende do valor dos campos
To DS (to distribution system) From DS (from distribution system)
Addrs:
Addr1 Addr2 Addr3 receptor imediato emissor BSSID de uma rede ad-hoc (ToDS 0 FromDS 0) emissor original (ToDS 0 FromDS 1) destino final (ToDS 1 FromDS 0) apenas usado em relay de frames entre APs
Addr4
Wi-Fi Frames
Tipos de MAC frames 802.11
Control frames
RTS (request to send) CTS (clear to send) ACK (acknowledge)
Uso facultativo Obrigatrio em APs com mais de um modo Diminui o desempenho
Management Frames
Beacon Probe req, Probe resp Assoc req, Assoc resp Reassoc req, Reassoc resp Disassociation Authentication Deauthentication
Scan passivo Scan activo Associao S usado em redes tipo infrastructure Equivalente a ligar o cabo ficha
Data Frames
Wi-Fi RTS/CTS
Porqu usar o RTS/CTS ? O protocolo CSMA requer que uma estao antes de transmitir seja capaz de escutar o meio:
Se as estaes estiverem muito afastadas isto pode no ser possvel aumentando a probabilidade de colises Numa rede com APs a suportar por ex. as normas b e g as estaes com norma b no conseguem escutar as transmisses na norma g (modulaes diferentes CCK e OFDM)
AP B B
B
B no ouve G
CCK
AP B/G
OFDM
G no ouve B
Fragmentao
Existe um mecanismo de fragmentao:
O Bit error rate pode ser elevado logo faz sentido enviar frames mais pequenos Por outro lado faz sentido suportar frames de 1500 bytes tal como na Ethernet A soluo a fragmentao
Wi-Fi Overheads
Os desempenhos anunciados nas normas so raw Na pratica os desempenhos na transmisso de dados so muito menores O grfico mostra os overheads com preambulo longo O uso de prembulos curtos melhoram ligeiramente o desempenho
Wi-Fi
Transmisso de um frame
Se o tamanho dos dados ultrapassar o limiar de fragmentao (threshold) necessrio transmitir mais de um frame
Wi-Fi WEP
Tipos de rede em termos de segurana:
Open
Estao envia um frame de autenticao AP responde com frame de autenticao
Wi-Fi WAP
WPA - Wi-Fi Protected Access (draft standard) Soluo interina para substituio do WEP que inseguro:
Usa o protocolo TKIP (Temporal Key Integrity Protocol) Compromisso entre segurana e a possibilidade de usar o hardware que ento existia Usa RC4 como o WEP mas as chaves mudam a cada pacote transmitido, implementa proteco contra repetio de pacotes e verificao da integridade das mensagens
WPA-personal
Usa chaves partilhadas pr-definidas pre-shared-keys (PSK) No requer servidor RADIUS e menos complexo As chaves so partilhas por todos os utilizadores
Wi-Fi WPA
Autenticador
Access Point Wireless
Suplicante
Estao (o vosso porttil)
Servidor de autenticao
RADIUS
O mtodo para gerar e distribuir as chaves de acesso ao autenticador e suplicante e igual entre:
WPA personal WPA enterprise
Apenas o mtodo de gerao das chaves mestras para cada sesso muda.
Porque existe o servidor Radius no meio
Wi-Fi WPA2
O WPA2 (802.11i) o sucessor do WPA:
Algoritmo de encriptao mais robust AES em vez de TKIP Incorpora optimizaes diversas O protocolo EAPOL (Extensible Authentication Protocol Over LAN) usado para distribuir chaves entre o suplicante e o autenticador
Fortemente baseado no 802.1X que permite autenticao da ligao de estaes a uma porta numa LAN:
A ligao a uma porta em 802.1X corresponde associao ao AP Uma vez associada a um AP todo o trfego no 802.1X proveniente da estao eliminado Aps autenticao 802.1X bem sucedida todo o trfego pode passar
Wi-Fi WPA2
802.1x Comunicao segura Entre a estao e o servidor RADIUS atravs do AP Usando certificados O servidor Radius possui um certificado