Академический Документы
Профессиональный Документы
Культура Документы
Nos ltimos anos, as redes de computadores e telecomunicao sofreram inmeras transformaes. Com
os crescentes avanos nas reas tecnolgicas, contriburam para o desenvolvimento de sistemas de
transmisso de dados com alto desempenho. No final dos anos 90, foi introduzida no mercado mundial a
tecnologia MPLS (Multi Protocol Label Switching), onde se permitiu controlar a forma com que o trfego
flui atravs das redes IPs, otimizando o desempenho da rede e tambm melhorando o uso dos seus
recursos.
Em redes IPs tradicionais, o encaminhamento dos pacotes, requer uma pesquisa que compara o endereo
de destino do pacote com cada uma das entradas na tabela de roteamento, encaminhando cada um para a
sada correspondente. Esse procedimento repetido a cada n percorrido ao longo do caminho, da origem
ao destino. Isso de fato parece relativamente simples, porm, considerando que cada equipamento
processa milhares e as vezes milhes de pacotes por segundo, essa tarefa pode sobrecarregar a rede.
O MPLS uma tecnologia de encaminhamento de pacotes baseada em rtulos que vem sendo adotado
por operadoras para oferecer servios diferenciados com eficincia nos transportes de dados. Os produtos
oferecidos por operadoras baseados em MPLS, permitem disponibilizar no apenas velocidade de
conexo, mas tambm a diferenciao de trfego como Multimdia (Voz, Vdeo) e aplicaes crticas,
com garantias aplicveis de QoS (Quality of Service), atravs das classes de servio.
Atualmente o MPLS um passo fundamental para a escalabilidade da rede, considerado essencial para
um novo modelo de Internet no sculo XXI. MPLS relativamente jovem, porm vem sendo implantada
com xito em redes de grandes operadoras de servios em todo mundo.
Nesse trabalho ser abordada a utilizao de VPN camada 3 em redes MPLS como soluo na
segmentao de redes e segregao de trfego, provendo aos assinantes/clientes das operadoras de servio
a interligao de estaes distribudas em uma ampla rea geogrfica de maneira rpida e seguras.
Objetivos
Os objetivos deste trabalho foram divididos em objetivo geral e objetivos especficos.
O objetivo geral implementar uma soluo de VPN de camada 3 em redes MPLS, utilizando emuladores
como ferramenta de teste para demonstrar o desempenho e analise comparativa com outros tipos de redes.
Entre os objetivos especficos, destacam-se:
Estudar a tecnologia MPLS;
Estudar os tipos de roteamento;
Estudar as VRFs (VPN Routing and Forwarding Table) em uma estrutura MPLS;
Estudar os softwares utilizados na proposta;
Configurar as tecnologias de redes estudadas nos softwares utilizados;
Analisar o desempenho do funcionamento da implementao;
Comparar com outras estruturas de redes convencionais.
Abrangncia
Prope-se realizar um projeto de rede onde uma estrutura MPLS ser montada, configurada e analisada
atravs do uso de softwares, bem como emuladores de rede, emuladores de Sistemas Operacionais
esniffers.
O simulador de rede usado emula os IOS (Internetwork Operating System) que so os softwares que
rodam em roteadores da linha Cisco Systems, sendo que cada equipamento opera como uma mquina real,
com acesso a todas as funcionalidades e protocolos, podendo comportar uma topologia de rede ampla em
um nico computador. Nessa estrutura sero estudadas as formas de roteamento que
osbackbones (operadoras) usam para comunicar-se com outros backbones e roteadores de assinantes
(clientes) CPE (customer premises equipment), tendo como foco principal do trabalho, mostrar e
analisar o desempenho e vantagem da utilizao de VPNs de camada 3 em redes MPLS atravs de nuvem
privada.
A nuvem privada a forma utilizada por operadoras de servio para interligar vrios pontos de uma
mesma organizao isolando o trfego da nuvem pblica a qual todos tm acesso. As anlises sero
executadas atravs da utilizao de softwares especficos para o monitoramento de rede, capturando
dados e posteriormente a gerando grficos e relatrios. Assuntos como QoS, Engenharia de Trfego, VPN
de camada 2 e segurana no sero aprofundados, como tambm no sero implementadas solues
MPLS para a internet pblica.
Para esse estudo ser utilizado o programa GNS3 verso 0.7.2, um programa gratuito resultado de um
projeto open source que pode ser utilizado em diversos sistemas operacionais como Windows, Linux e
MacOS X. Com o GNS3 pode-se fazer praticamente tudo o que possvel fazer com roteadores e pix da
linha Cisco. O GN3 um gerenciador grfico que est ligado diretamente a outros 3 softwares:
Dynamips: o ncleo do programa que permite a emulao Cisco IOS.
Dynagen: um texto baseado em front-end para o Dynamips.
Qemu: uma mquina de fonte genrica e aberta emulador e virtualizador.
Este programa um emulador e no um simulador, pois utiliza as mesmas imagens binrias dos
equipamentos reais, proporcionando assim, num local que j possua estes equipamentos, a possibilidade
de testar uma nova verso do IOS antes mesmo de coloc-lo nos equipamentos reais.
A motivao do uso desse software nesse TCC, se deu principalmente por ser gratuito e permitir utilizar
os mesmos IOS dos roteadores, criando um ambiente de simulao que se aproxima bastante do ambiente
real.
Para virtualizao dos sistemas operacionais ser utilizado o Virtual Box na verso 3.2.8. Virtual Box
um software de virtualizao desenvolvido pela Oracle para arquiteturas de hardware x86 tambm
gratuito, que visa criar ambientes para instalao de sistemas distintos. Ele permite a instalao e
utilizao de um sistema operacional dentro de outro em pleno funcionamento, assim como seus
respectivos softwares, com dois ou mais computadores independentes simultaneamente, compartilhando
fisicamente o mesmo hardware.
O sistema operacional que ser virtualizado no Virtual Box para gerar o trfego nos ambientes do GNS3
ser o Ubunto na verso 10.4. Ubuntu um sistema operacional de cdigo aberto mais popular do mundo
2
na atualidade. Desenvolvido para notebooks, desktops e servidores, ele contm todos os aplicativos que
qualquer outro sistema operacional tem, em verses similares e livre de licenas.
Para anlise do trfego de rede ser utilizado o Wireshark. O um programa que verifica os pacotes
transmitidos pelo dispositivo de comunicao (placa de rede, placa de fax modem, etc.) do computador. O
propsito deste tipo de software, tambm conhecido como sniffer, detectar problemas de rede, conexes
suspeitas, auxiliar no desenvolvimento e resoluo de problemas. O programa analisa o trfego de pacotes
recebidos e organiza-os por protocolo. Todo o trfego de entrada e sada analisado e exibido em um
ambiente grfico de fcil visualizao contribuindo para a explicao dos casos.
Metodologia
Para a realizao deste trabalho sero adotados os seguintes procedimentos:
Reviso Bibliogrfica de todo assunto abordados no projeto.
Estudo das tecnologias de redes.
Estudo das tcnicas de roteamento.
Estudo da topologia a ser implementada.
Estudo dos softwares a serem utilizados na implementao.
Pesquisa dos equipamentos suportados pela topologia.
Levantamento das IOS (Internetwork Operating System) dos equipamentos.
Implementao da topologia nos simuladores.
Configurao dos equipamentos nos simuladores.
Descrever detalhes de analise e desempenho.
Tutoriais
O tutorial parte I apresentou inicialmente os conceitos sobre Redes de Computadores, e a seguir os
conceitos das Redes IP MPLS, e finalizou apresentando a parte I do modelo conceitual utilizado neste
trabalho, relativa configurao bsica do MPLS com o protocolo OSPF.
Este tutorial parte II apresenta as parte II (configurao do BGP/MPLS VPN) e III (configurao do IPsec
em Redes IP) do modelo conceitual, a seguir apresenta a anlise comparativa desses modelos, e finalizar
com os resultados alcanados.
ROTEADORES
PE1
PE2
SERIAL 0/0
172.16.1.1/30
172.16.2.1/30
SERIAL 0/1
172.16.1.1/30
172.16.2.1/30
ROTEADORES
CE1
CE2
CE3
CE4
SERIAL0/0
172.16.1.2/30
172.16.2.2/30
172.16.1.2/30
172.16.2.2/30
FASTEHERNET0/0
192.168.1.1/24
192.168.2.1/24
192.168.1.1/24
192.168.2.1/24
ROUTER_PE_1> enable
ROUTER_PE_1# configure terminal
ROUTER_PE_1(config)# ip vrf VPN_A
ROUTER_PE_1(config-vrf)# rd 100:110
ROUTER_PE_1(config-vrf)# route-target export 100:110
ROUTER_PE_1(config-vrf)# route-target import 100:110
ROUTER_PE_1(config-vrf)# ip vrf VPN_B
ROUTER_PE_1(config-vrf)# rd 100:120
ROUTER_PE_1(config-vrf)# route-target export 100:120
ROUTER_PE_1(config-vrf)# route-target import 100:120
ROUTER_PE_1(config-vrf)# interface serial0/0
ROUTER_PE_1(config-if)# description ## ACESSO CE1 ##
ROUTER_PE_1(config-if)# ip vrf forwarding VPN_A
ROUTER_PE_1(config-if)# ip address 172.16.1.1 255.255.255.252
ROUTER_PE_1(config-if)# encapsulation PPP
ROUTER_PE_1(config-if)# no shutdown
ROUTER_PE_1(config-if)# interface serial0/1
ROUTER_PE_1(config-if)# description ## ACESSO CE2 ##
ROUTER_PE_1(config-if)# ip vrf forwarding VPN_B
ROUTER_PE_1(config-if)# ip address 172.16.1.1 255.255.255.252
ROUTER_PE_1(config-if)# encapsulation PPP
ROUTER_PE_1(config-if)# no shutdown
ROUTER_PE_1(config-if)# router bgp 100
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 remote-as 100
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 update-source Loopback0
ROUTER_PE_1(config-router)# neighbor 220.110.90.2 next-hop-self
ROUTER_PE_1(config-router)# no auto-summary
ROUTER_PE_1(config-router)# no synchronization
ROUTER_PE_1(config-router)# address-family ipv4
ROUTER_PE_1(config-router-af)# neighbor 220.110.90.2 activate
ROUTER_PE_1(config-router-af)# neighbor 220.110.90.2 send-community both
ROUTER_PE_1(config-router-af)# exit-address-family
ROUTER_PE_1(config-router)# address-family ipv4 vrf VPN_A
ROUTER_PE_1(config-router-af)# redistribute connected
ROUTER_PE_1(config-router-af)# redistribute static
ROUTER_PE_1(config-router-af)# no synchronization
ROUTER_PE_1(config-router-af)# exit-address-family
ROUTER_PE_1(config-router-af)# exit-address-family
ROUTER_PE_1(config-router)# address-family ipv4 vrf VPN_B
ROUTER_PE_1(config-router-af)# redistribute connected
ROUTER_PE_1(config-router-af)# redistribute static
ROUTER_PE_1(config-router-af)# no synchronization
ROUTER_PE_1(config-router-af)# exit-address-family
ROUTER_PE_1(config-router)# exit
ROUTER_PE_1(config)# ip route vrf VPN_A 192.168.1.0 255.255.255.0 172.16.1.2
ROUTER_PE_1(config)# ip route vrf VPN_B 192.168.1.0 255.255.255.0 172.16.1.2
ROUTER_PE_1#show running-config
!
ip vrf VPN_A
rd 100:110
route-target export 100:110
route-target import 100:110
!
ip vrf VPN_B
rd 100:120
route-target export 100:120
route-target import 100:120
!
interface Loopback0
ip address 220.110.90.1 255.255.255.255
!
interface FastEthernet0/0
description ## ACESSO P2 ##
ip address 220.110.90.10 255.255.255.252
speed 100
full-duplex
mpls label protocol ldp
mpls ip
!
interface Serial0/0
description ## ACESSO CE1 ##
ip vrf forwarding VPN_A
ip address 172.16.1.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
interface FastEthernet0/1
description ## ACESSO P1 ##
ip address 220.110.90.14 255.255.255.252
speed 100
full-duplex
mpls label protocol ldp
mpls ip
!
interface Serial0/1
description ## ACESSO CE3 ##
ip vrf forwarding VPN_B
ip address 172.16.1.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
!
router ospf 1
log-adjacency-changes
network 220.110.90.1 0.0.0.0 area 0
network 220.110.90.10 0.0.0.0 area 0
network 220.110.90.14 0.0.0.0 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 220.110.90.2 remote-as 100
neighbor 220.110.90.2 update-source Loopback0
neighbor 220.110.90.2 next-hop-self
no auto-summary
!
address-family vpnv4
neighbor 220.110.90.2 activate
neighbor 220.110.90.2 send-community both
exit-address-family
!
address-family ipv4 vrf VPN_B
redistribute connected
redistribute static
no synchronization
exit-address-family
!
address-family ipv4 vrf VPN_A
redistribute connected
redistribute static
no synchronization
exit-address-family
!
ip forward-protocol nd
ip route vrf VPN_A 192.168.1.0 255.255.255.0 172.16.1.2
ip route vrf VPN_B 192.168.1.0 255.255.255.0 172.16.1.2
!
ROUTER_PE_2#show running-config
!
ip vrf VPN_A
rd 100:110
route-target export 100:110
route-target import 100:110
!
ip vrf VPN_B
rd 100:120
route-target export 100:120
route-target import 100:120
!
interface Loopback0
ip address 220.110.90.2 255.255.255.255
!
interface FastEthernet0/0
description ## ACESSO P2 ##
ip address 220.110.90.18 255.255.255.252
speed 100
full-duplex
mpls label protocol ldp
mpls ip
!
interface Serial0/0
description ## ACESSO CE2 ##
ip vrf forwarding VPN_A
ip address 172.16.2.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
interface FastEthernet0/1
description ## ACESSO P1 ##
ip address 220.110.90.22 255.255.255.252
speed 100
full-duplex
mpls label protocol ldp
mpls ip
!
interface Serial0/1
description ## ACESSO CE4 ##
ip vrf forwarding VPN_B
ip address 172.16.2.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
10
!
router ospf 1
log-adjacency-changes
network 220.110.90.2 0.0.0.0 area 0
network 220.110.90.18 0.0.0.0 area 0
network 220.110.90.22 0.0.0.0 area 0
!
router bgp 100
no synchronization
bgp log-neighbor-changes
neighbor 220.110.90.1 remote-as 100
neighbor 220.110.90.1 update-source Loopback0
neighbor 220.110.90.1 next-hop-self
no auto-summary
!
address-family vpnv4
neighbor 220.110.90.1 activate
neighbor 220.110.90.1 send-community both
exit-address-family
!
address-family ipv4 vrf VPN_B
redistribute connected
redistribute static
no synchronization
exit-address-family
!
address-family ipv4 vrf VPN_A
redistribute connected
redistribute static
no synchronization
exit-address-family
!
ip forward-protocol nd
ip route vrf VPN_A 192.168.2.0 255.255.255.0 172.16.2.2
ip route vrf VPN_B 192.168.2.0 255.255.255.0 172.16.2.2
!
11
Router>enable
Router# configure terminal
Router(config)#enable secret Ce1!+mp*
Router(config)#hostname ROUTER_CE_1
ROUTER_CE_1(config)# interface serial0/0
ROUTER_CE_1(config-if)# description ## ACESSO PE1 ##
ROUTER_CE_1(config-if)# ip address 172.16.1.2 255.255.255.252
ROUTER_CE_1(config-if)# encapsulation ppp
ROUTER_CE_1(config-if)# bandwidth 128
ROUTER_CE_1(config-if)# no shutdown
ROUTER_CE_1(config-if)# interface fastethernet0/0
ROUTER_CE_1(config-if)# description ## REDE LOCAL ##
ROUTER_CE_1(config-if)# ip address 192.168.1.1 255.255.255.0
ROUTER_CE_1(config-if)# no shutdown
ROUTER_CE_1(config-if)# ip dhcp pool host1
ROUTER_CE_1(dhcp-config)# network 192.168.1.0 255.255.255.0
ROUTER_CE_1(dhcp-config)# default-router 192.168.1.1 255.255.255.0
ROUTER_CE_1(dhcp-config)# exit
ROUTER_CE_1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
13
ROUTER_CE_2#show running-config
!
ip dhcp pool rede_local
network 192.168.2.0 255.255.255.0
default-router 192.268.2.1 255.255.255.0
!
interface FastEthernet0/0
description ## REDE LOCAL ##
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description ## ACESSO PE2 ##
bandwidth 128
ip address 172.16.2.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!
14
ROUTER_CE_3#show running-config
!
ip dhcp pool rede_local
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0
description ## REDE LOCAL ##
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description ## ACESSO PE1 ##
bandwidth 128
ip address 172.16.1.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
ROUTER_CE_4#show running-config
!
ip dhcp pool rede_local
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1 255.255.255.0
!
interface FastEthernet0/0
description ## REDE LOCAL ##
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description ## ACESSO PE2 ##
bandwidth 128
ip address 172.16.2.2 255.255.255.252
encapsulation ppp
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!
Como na seo anterior, algumas configuraes foram omitidas pelo fato de j virem configuradas por
padro nos equipamentos. Foi exibido o que de fato necessrio para o funcionamento.
Testes e Anlise do BGP/MPLS VPNs
Com os roteadores PEs e CEs devidamente configurados, o prximo passo foi verificar o funcionamento
e parmetros relevantes quanto ao funcionamento das VPNs em redes MPLS. Primeiro foi verificado as
informaes sobre o roteamento nos roteadores PE1 e PE2. No quadro 9 segue as informaes obtidas
com a sada do comando show ip router no roteador PE1.
ROUTER_PE_1#show ip route
-- Omitido -Gateway of last resort is not set
C
C
C
O
O
O
O
O
16
As linhas que precedem com B indica que para chegar nessa rede ser preciso passar pelo BGP. O S
so as rotas estticas usadas para o roteamento com os CEs, e o C como j foi visto, so as redes
diretamente conectadas as interfaces. Informaes sobre o roteamento das VPNs pode ser obtido atravs
do comando show ip bgp vpnv4 all, conforme mostrado no quadro abaixo.
17
18
19
Outgoing
interface
Fa0/0
Fa0/1
Fa0/1
Fa0/0
Fa0/0
Fa0/1
Next Hop
220.110.90.9
220.110.90.13
220.110.90.13
220.110.90.9
220.110.90.9
220.110.90.13
Se0/0
Se0/0
point2point
point2point
Se0/1
Se0/1
point2point
point2point
Conforme as informaes mostradas no quadro 16, a tabela de encaminhamento dos rtulos MPLS sofreu
alteraes quando comparada ao quadro 12 da seo Modelo Conceitual 1 MPLS com OSPF do
tutorial parte I. Para cada rede associada a uma VRFs, foi adicionado um novo rtulo. Observado tambm
que, mesmo contendo endereos IPs iguais, o mecanismo de encaminhamento MPLS tratar de maneira
diferenciada cada rede, tendo como base a associao das VRFs em cada interface. O
parmetro Aggregate significa que para esse prefixo, o rtulo ser removido do pacote, e ento ser feito
uma consulta na tabela de roteamento (nesse caso a tabela de roteamento da VRF). J o Untagged, indica
que o rtulo ser removido e encaminhado para o prximo salto. Os endereos 172.16.1.2/32 e
192.168.1.0/24, pertencem a roteadores CEs, no farem parte da rede MPLS, portanto no participaram
do processo LDP do MPLS.
20
Da mesma forma como foi mostrado no quadro 16, no quadro 17 as mesmas informaes foram coletadas
s que desta vez no ilustrando a sada no roteador PE2.
Outgoing
interface
Fa0/0
Fa0/1
Fa0/1
Fa0/0
Fa0/0
Fa0/1
Next Hop
220.110.90.17
220.110.90.21
220.110.90.21
220.110.90.17
220.110.90.17
220.110.90.21
Se0/0
Se0/0
point2point
point2point
Se0/1
Se0/1
point2point
point2point
Depois de verificar o funcionamento da arquitetura BGP/VPN MPLS nos roteadores PEs, verificou-se
tambm o funcionamento entre os roteadores CEs. No quadro 18 mostra o resultado dos testes realizados
com pacotes ICMP disparados do roteador CE1 para o endereo da interface FastEthernet0/0 do CE2,
testando a conectividade da VPN_A, e entre CE3 e CE4 testando a conectividade da VPN_B mostrados
no quadro 19.
Quadro 19: Teste com pacotes ICMP entre os roteadores CE3 e CE4
Fonte: Elaborao do autor, 2010
De acordo com os resultados verificados nos quadros 18 e 19, constatou-se que tanto a conectividade da
VPN_A quando da VPN_B est em perfeito funcionamento. Outro fator importante analisado tambm foi
o caminho percorrido entre CE1 e CE2 atravs do comando traceroute, conforme o quadro abaixo.
22
ROUTER_CE_1#traceroute 192.168.2.1
Verificou-se no quadro 20 que o caminho percorrido entre os roteadores CE1 e CE2, conectados na
VPNA : CE1PE1 P1 PE2 CE2.
23
O retorno U significa nesse caso, que os pacotes esto sendo transmitidos do roteador CE1, porm o
roteador P1 no tem uma entrada na tabela de roteamento para retornar o pacote. Isso mostra que a
conexo da VPN de fato est isolada.
Sabendo-se que o caminho percorrido CE1PE1 P1 PE2 CE2, foi verificado como os
protocolos de roteamento fazem a convergncia de rota em caso de falhas.
24
ROUTER_P_1> enable
ROUTER_P_1# configure-terminal
ROUTER_P_1(config)# interface fastEthernet 1/1
ROUTER_P_1(config-if)# shutdown
ROUTER_P_1(config-if)#
*Nov
1 03:54:42.498: %OSPF-5-ADJCHG: Process 1, Nbr 220.110.90.1 on
FastEthernet1/1 from FULL to DOWN, Neighbor Down: Interface down or detached
*Nov 1 03:54:42.518: %LDP-5-NBRCHG: LDP Neighbor 220.110.90.1:0 (1) is
DOWN (Interface not operational)
*Nov 1 03:54:44.474: %LINK-5-CHANGED: Interface FastEthernet1/1, changed
state to administratively down
*Nov
1
03:54:44.478: %ENTITY_ALARM-6-INFO: ASSERT INFO Fa1/1
Physical Port Administrative State Down
*Nov
1 03:54:45.474: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet1/1, changed state to down
ROUTER_CE_1#traceroute 192.168.2.1
Type escape sequence to abort.
Tracing the route to 192.168.2.1
1 172.16.1.1 12 msec 16 msec 4 msec
2 220.110.90.9 12 msec 16 msec 16 msec
3 172.16.2.1 8 msec 32 msec 72 msec
4 172.16.2.2 16 msec 28 msec *
Quadro 24: Verificao do caminho entre o CE1 e CE2 aps falha provocado no P1
Fonte: Elaborao do autor, 2010
Pode-se observar que a topologia proposta para analise, configurada com os protocolos de roteamento
OSPF (para comunicao da nuvem pblica) e BGP (para comunicao das VPNs em nuvem privada),
reagiu com rapidez falha. No quadro 21, observou-se que apenas 3 pacotes foram perdidos dos 500
disparados, isso devido ao poder de convergncia que o protocolo OSPF oferece. Posteriormente no
quadro 24 foi realizado novamente o comando traceroute, e mostrou que a converso da rota para o IP
220.110.90.9 do roteador P2, foi realizado com sucesso, traando a rota CE1PE1 P2 PE2 CE2.
Testes com Virtual Box
Os testes realizados nesse tpico tiveram um ponto de vista do usurio final. Para esse teste foi recorrido
ao Virtual Box. O sistema operacional virtualizado foi Ubuntu 10.4 nos computadores C1 e C2 aos
25
roteadores CE1 e CE2, realizando testes e gerando trfego atravs da rede. O protocolo usado para esse
fim foi o FTP (File Transfer Protocol).
O FTP um dos protocolos mais usados para transferncia de arquivos na rede. Para melhor ilustrar o
processo de login e transferncia do arquivo, o servio HTTP (Hypertext Transfer Protocol) tambm foi
usado. O HTTP usado para comunicao de sites. Todos os dois servios foram disponibilizados no
computador C2 conectado a interface FastEthernet0/0 do roteador CE2.
As figuras 3 e 4 mostram como ficaram as configuraes de endereamento IP dos computadores C1 e
C2. Na figura 5 foi realizado teste de conectividade, onde foram disparados 20 pacotes ICMP do C1 para
o C2, e na figura 6 disparados do C2 para o C1. J nas figuras 7 e 8, foi mostrado o caminho percorrido
pelo pacote para chegar de um ponto a outro na rede.
E por fim nas figuras 9, 10 e 11, exibem respectivamente o processo de login no servidor FTP do
computador C2, selecionamento do arquivo a ser transferido e a transferncia do arquivo.
26
27
28
29
30
31
32
33
Aps a realizao de todos os teste entre roteadores Ps, PEs e CEs na topologia proposta, nesse tpico
pode-se observar que da mesma forma os computadores C1 e C2, ligados respectivamente nos roteadores
CE1 e CE2, comunicaram-se de um ponto a outro da rede sem problemas. As informaes trafegadas na
rede foram coletadas com o Wireshark para anlise no prximo tpico.
Anlises com o Wireshark
Com base nas informaes extradas nos tpicos anteriores referentes ao BGP/MPLS VPN, foram
analisadas alguns pacotes relevantes ao tema. A seguir foram capturados alguns pacotes recorrendo
ao Wireshark.
34
Na figura 12, observou-se que logo aps o estabelecimento do OSPF, os pacotes BGP comeam a ser
enviados na rede com o finalidade de encontrar vizinhos. No pacote 129, pode verificar que trata-se de
uma mensagem OPEN, usado para iniciar uma sesso BGP. Em destaque, no cabealho MPLS o
campo Label j est rotulado com o valor 20. Assim como no OSPF e LDP, a identificao do BGP
tambm associada ao endereo IP da interface loopback, nesse caso 220.110.90.1.
Logo abaixo em destaque, dentro do campo Capabilities Advertisement, a extenso Multiprotocol do
protocolo BGP j aparece agregado a mensagem. Dentro desse campo onde so transportadas
informaes de VPN IPv4 address-family , visto com mais detalhes na figura 13.
35
36
37
38
39
Para isso foram usados os mesmos equipamentos de rede MPLS, porm removidas as configuraes de
roteamento BGP e MPLS dos roteadores Ps e PEs, aproveitando o roteamento global do OSPF que j
havia sido adotado. Para a comunicao entre roteadores Ps e PEs tambm foi aproveitado os mesmos
endereos IPs, acrescentando duas novas faixas de endereo global com prefixo /30, para a comunicao
das interfaces seriais que do acesso aos roteadores CEs. Para os roteadores CEs, apenas dois roteadores
foram usados, CE1 e CE2 com dois computadores ligados a eles C1 e C2.
Da mesma forma com que foi realizado nos tpicos anteriores, nessa experincia foram tambm usados as
ferramentas GNS3 para emulao dos roteadores, Wireshark para analise dos pacotes trafegados, e
o Virtual Box para gerar trfego de um host outro na rede. As tabelas 6, 7 e 8, mostram como ficou a
relao endereo IP/Interfaces dos roteadores.
40
ROTEADOR
LOOPBACK0
FASTETHERNET1/0
FASTETHERNET1/1
P1
220.110.90.3/32
220.110.90.21/30
220.110.90.13/30
P2
220.110.90.4/32
220.110.90.9/30
220.110.90.17/30
ROTEADOR
LOOPBACK0
FASTETHERNET0/0 FASTETHERNET0/1
SERIAL0/0
PE1
220.110.90.1/32
220.110.90.10/30
220.110.90.14/30
190.80.10.1/30
PE2
220.110.90.2/32
220.110.90.18/30
220.110.90.22/30
180.70.10.1/30
ROTEADOR
FASTETHERNET0/0
SERIAL0/0
CE1
192.168.1.1/24
190.80.10.2/30
CE2
192.168.2.1/24
180.70.10.2/30
41
ROUTER_P_1#show running-config
Building configuration...
!
interface Loopback0
ip address 220.110.90.3 255.255.255.255
!
interface FastEthernet1/0
description ## ACESSO PE2 ##
ip address 220.110.90.21 255.255.255.252
duplex full
speed 100
!
interface FastEthernet1/1
description # ACESSO PE1 ##
ip address 220.110.90.13 255.255.255.252
duplex auto
speed 100
!
router ospf 1
log-adjacency-changes
network 220.110.90.3 0.0.0.0 area 0
network 220.110.90.13 0.0.0.0 area 0
network 220.110.90.21 0.0.0.0 area 0
!
42
ROUTER_PE_1#show running-config
Building configuration...
!
interface Loopback0
ip address 220.110.90.1 255.255.255.255
!
interface FastEthernet0/0
description ## ACESSO PE2 ##
ip address 220.110.90.10 255.255.255.252
speed 100
full-duplex
!
interface Serial0/0
bandwidth 128000
ip address 190.80.10.1 255.255.255.252
no ip proxy-arp
encapsulation ppp
clock rate 128000
!
interface FastEthernet0/1
description ## ACESSO PE1 ##
ip address 220.110.90.14 255.255.255.252
speed 100
full-duplex
!
interface Serial0/1
ip address 190.80.10.5 255.255.255.252
encapsulation ppp
clock rate 128000
!
router ospf 1
log-adjacency-changes
redistribute connected
redistribute static
network 190.80.10.0 0.0.0.3 area 0
network 190.80.10.4 0.0.0.3 area 0
network 220.110.90.1 0.0.0.0 area 0
network 220.110.90.10 0.0.0.0 area 0
network 220.110.90.14 0.0.0.0 area 0
!
Em seguida foi verificado tambm as configuraes dos roteadores PE1 mostradas no quadro 27.
43
ROUTER_PE_2#show running-config
Building configuration...
!
interface Loopback0
ip address 220.110.90.2 255.255.255.255
!
interface FastEthernet0/0
description ## ACESSO PE2 ##
ip address 220.110.90.18 255.255.255.252
speed 100
full-duplex
!
interface Serial0/0
bandwidth 128
ip address 180.70.10.1 255.255.255.252
encapsulation ppp
clock rate 128000
!
interface FastEthernet0/1
description ## ACESSO P1 ##
ip address 220.110.90.22 255.255.255.252
speed 100
full-duplex
!
interface Serial0/1
ip address 180.70.10.5 255.255.255.252
encapsulation ppp
clock rate 128000
!
router ospf 1
log-adjacency-changes
redistribute connected
redistribute static
network 180.70.10.0 0.0.0.3 area 0
network 180.70.10.4 0.0.0.3 area 0
network 220.110.90.2 0.0.0.0 area 0
network 220.110.90.18 0.0.0.0 area 0
network 220.110.90.22 0.0.0.0 area 0
!
ROUTER_CE_1#show running-config
Building configuration...
!
ip dhcp pool host1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 255.255.255.0
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp key secret1 address 180.70.10.2
!
crypto ipsec transform-set CE1 esp-des esp-md5-hmac
!
crypto map VPN_CE1 70 ipsec-isakmp
set peer 180.70.10.2
set transform-set CE1
match address 100
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 190.80.10.2 255.255.255.252
encapsulation ppp
crypto map VPN_CE1
!
ip route 0.0.0.0 0.0.0.0 190.80.10.1
ip route 192.168.2.0 255.255.255.0 180.70.10.2
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
45
No segundo destaque aparece o comando crypto isakmp key secret1 address 180.70.10.2. Esse comando
informa a senha e o endereo IP da ponta remota da conexo VPN, ou seja, o IP pblico do roteador CE2.
Da mesma forma, esse mesmo comando foi usado no roteador CE2, porm apontando para o IP pblico
do CE1. Em seguida foi apresentado o comando crypto ipsec transform-set CE1 esp-des esp-md5-hma,
que cria com o nome CE1 um conjunto de mtodos para a negociao e segurana do trfego.
No prximo destaque aparece o comando crypto map VPN_CE1 70 ipsec-isakmp, que mapeia com o
nome VPN_CE1 as regras para aplicao das polticas da VPN. Seguido dos comandos set peer
180.70.10.2 (indica a outra ponta da conexo), set transform-set CE1 (associando a negociao CE1)
ematch address 100 (associa a lista de acesso 100 ao trfego que ser protegido). Em seguida, abaixo do
comando interface Serial0/0, foi aplicado o comando crypto map VPN_CE1, que associa as regras criadas
para a conexo VPN, interface de sada do roteador CE1.
Para o roteamento esttico alm da rota padro, foi adicionada outra rota indicando que para chegar na
rede 192.168.2.0, correspondente a rede local do roteador CE2, os pacotes preciso ser encaminhado ao
IP 180.70.10.2 (IP da interface serial do CE2).
E por ltimo o comando access-list, ou lista de acesso. Esse comando permite mapear o endereo IP, ou
uma faixa de endereo IP, para aplicar posteriormente como poltica em outro comando. Nesse caso
a access-list 100, mapeou a origem e o destino das faixas IPs do trfego interessante, que ser protegido
no tnel. O mesmo ocorre com o roteador CE2, porm em ordem inversa. Essa lista de acesso foi aplicado
dentro da regra crypto map VPN_CE1 70 ipsec-isakm como foi visto. No quadro 29 foi mostrado como
ficou as configuraes no roteador CE2.
46
ROUTER_CE_2#show running-config
Building configuration...
!
ip dhcp pool host2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1 255.255.255.0
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key secret1 address 190.80.10.2
!
crypto ipsec transform-set CE2 esp-des esp-md5-hmac
!
crypto map VPN_CE2 10 ipsec-isakmp
set peer 190.80.10.2
set transform-set CE2
match address 100
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 128
ip address 180.70.10.2 255.255.255.252
encapsulation ppp
clock rate 128000
crypto map VPN_CE2
!
ip route 0.0.0.0 0.0.0.0 180.70.10.1
ip route 192.168.1.0 255.255.255.0 190.80.10.2
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
47
conn-id
1001
slot
0
status
ACTIVE
O comando show de criptografia isakmp sa mostra as SAs, ou associaes seguras do gerenciador IKE
atual. O "Active" status significa que o ISAKMP SA est em estado ativo. O modo QM_IDLE indica que
o tnel est funcionado perfeitamente, ou seja, a SA IPSec permanece autenticado e tnel pode ser usado
para transmitir os dados. Os parmetros dst e src, indicam respectivamente o destino e a origem do tnel,
onde a origem o IP da interface serial do CE1 e a destino a o IP da interface serial do CE1.
A seguir foi analisado outros parmetros com a sada do comando show crypto ipsec sa, omitindo apenas
algumas informaes desnecessrias para essa anlise.
48
49
Os testes realizados a seguir, foram recorridos ao Virtual Box, virtualizando o sistema operacional Ubuntu
10.4, conectados nos roteadores CE1 e CE2 a fim de gerar um trfego no tnel VPN. Na figura 18 foram
apresentados os testes de conectividade da VPN, disparando 20 pacotes ICMP computador C1 ligado no
roteador CE1 ao computador C2 conectado ao CE1. Considerando os computadores j devidamente
configurados com o endereamento IP correspondente a cada rede, foi obtido os seguintes resultados.
50
51
52
53
55
56
MPLS VPN
IPSec VPN
Custo
Segurana
QoS
Caracterstica
Confiabilidade
57
58
Dificuldades Encontradas
A falta de uma abordagem dessa tecnologia no curso foi um fator que dificultou a pesquisa dos principais
conceitos. A busca de ferramentas que suportassem todos os protocolos envolvidos no MPLS foi outro
fator que implicou na dificuldade da elaborao do trabalho. No foi possvel fazer uma anlise de
desempenho mais detalhada, como taxa de transferncia, tempo de resposta precisa e latncia do trfego,
devido algumas limitaes das ferramentas usadas no trabalho. Em virtude deste motivo, alguns
resultados de testes realizados no foram divulgados neste trabalho.
Referncias
UNIX network programming. 2 ed. Upper Saddle River: Prentice Hall, 1998.
BRENT D. Stewart. CCNP BSCI Official Exam Certification Guide. 4 ed. Indianpolis: Cisco Press,
2008.
COLCHER, Srgio. et al. VOIP Voz sobre IP. Rio de Janeiro: Elsevier, 2005.
COMER, Douglas E. Redes de Computadores e Internet: Abrange Transmisso de Dados Ligao Interredes e Web. 4 ed. Editora Bookman: Porto Alegre. 2007.
COSTA, Daniel Gouveia. DNS Um Guia para Administradores de Redes. Rio de Janeiro: Brasport,
2006.
CUTHBERT L. G.; SPANEL J. C., "ATM the Broadband Telecommunications Solution". The Institution
of Electrical Engineers, 1993.
ENNE, Antnio Jos Figueiredo. TCP/IP sobre MPLS. Rio de Janeiro: Cincia Moderna Ltda, 2009.
FILIPPETTI, Marco. CCNA 4.1 - Guia Completo de Estudo. Florianpolis: Visual Books, 2008.
FOROUZAN, Behrouz A. Comunicao de Dados e Redes de Computadores. 3 ed. Porto Alegre:
Bookman, 2006.
McHOES, A. M.; FLYNN, I. M. Introduo aos sistemas operacionais. So Paulo: Pioneira Thomson
Learning, 2002.
MORGAN, B. e LOVERING, N. CCNP ISCW Official Exam Certification Guide. Indianapolis: Cisco
Press, 2009.
PEPELNJAK, Ivan. et al. MPLS and VPN Architectures. Indianapolis: Cisco Press, 2003.
PEPELNJAK, Ivan e GUICHARD, Jim. MPLS and VPN Architectures. Indianapolis: Cisco Press, 2007.
POSTEL, J. Transmission control protocol: DARPA Internet program, protocol specification. Request for
Comments RFC 793. [online]. http://www.rfc-editor.org/rfc/rfc793.txt. July 2002.
RANJBAR, Amir. CCNP ONT Official Exam Certification Guide. Indianapolis: Cisco Press, 2007.
REAGAN, James. CCIP Study Guide. San Francisco: Sybex, 2002.
STEVEN, W. R. TCP/IP illustrated: the protocols. Boston: Addisson-Wesley, 1994.
TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Campus, 2006.
59
TITTEL, Ed. Coleo Schaum. Redes de Computadores. Porto Alegre: Bookman, 2003.
TORRES, Gabriel. Redes de computadores: curso completo. Rio de janeiro: Axecel books, 2001.
60
2. No modelo conceitual da Configurao do IPsec em Redes IP, qual foi a alterao feita na
configurao dos roteadores Ps e PEs?
Remoo dos parmetros de endereamento IP das interfaces FastEthernet.
Remoo das duas novas faixas de endereo global com prefixo /30.
Remoo das configuraes de roteamento global do OSPF.
Remoo das configuraes de roteamento BGP e MPLS.
61