Академический Документы
Профессиональный Документы
Культура Документы
DIRETORIA DE REDE
Índice
Introdução ......................................................................................................................... 4
1. Descrição da Arquitetura de Rede .......................................................................... 4
2. Características das VPNs......................................................................................... 5
3. Acessos Dedicados (CPEs) ....................................................................................... 9
4. Agregador Multisserviços (Juniper ERX) ............................................................11
5. Roteadores de Acesso (Cisco 7500 / 7600) ............................................................13
6. Rede Frame Relay / ATM ......................................................................................14
7. Rede IP / MPLS ......................................................................................................16
8. Acesso Remoto ........................................................................................................18
9. RADIUS / LDAP / SDX..........................................................................................20
10. Gerência ...............................................................................................................21
11. Quality of Service (QoS).....................................................................................22
12. Extranets para acesso a serviços de valor adicionado (conteúdo)..................23
13. Interconexão (VPN Inter-AS)............................................................................25
14. Multicast para MPLS/VPN................................................................................26
15. Anexo I: Configuração de CPEs........................................................................29
16. Anexo II: Mapeamento de Aplicativos .............................................................30
17. Anexo III: Configuração IPSEC (ERX e Cliente) ...........................................31
17.1. Requisitos do Sistema Operacional do cliente ..............................................31
17.2. Requisitos de Hardware e sistema Operacional do ERX ............................31
17.3. Parâmetros necessários antes de se configurar cliente ou ERX .................31
17.4. Procedimentos de configuração .....................................................................31
18. Anexo IV: Configuração IPSEC (ERX e Netscreen).......................................33
18.1. Requisitos do Sistema Operacional do Netscreen........................................33
18.2. Requisitos hardware e Sistema Operacional do ERX.................................33
Introdução
Este documento apresenta a arquitetura para o atendimento do serviço Vetor, as características do serviço,
principais requisitos técnico-operacionais e limitações e evolução do serviço.
Este documento considera somente a Release II do serviço, sem as limitações associadas a Release I.
O serviço Vetor possui duas características básicas:
Ø Formação de uma IP-VPN, permitindo o acesso através de tecnologias diversas (xDSL, TDM, FR);
Ø QoS (Quality-of-Service), através da distinção das aplicações do cliente, são fornecidas quatro
classes de serviço distintas, de acordo com os requisitos dos aplicativos envolvidos.
Uma IP-VPN (IP Virtual Private Network) é uma rede privada em Layer-3 (rede), ou seja, a operadora passa
a ser parte integrante do roteamento IP do cliente.
Nesta figura, são apresentadas as diversas formas de acesso possíveis para este serviço: TDM (acessos
determinísticos), Frame Relay (FR), ATM, xDSL (ADSL ou G.SHDSL), acessos remotos (discados – dial-up
e IPSec – acessos provenientes da Internet).
Por ser um protocolo proprietário, o EIGRP n ão deverá ser utilizado na conexão CE-PE.
Ø Serão oferecidas quatro Classes de Serviço (CoS), onde cada uma delas deverá atender aos requisitos
abaixo.
Tais parâmetros são válidos desde que as seguintes condições sejam obedecidas:
1. Tamanho do pacote que deve ser usado nas medições = 100 bytes;
2. A velocidade mínima dos acessos deverá ser de 128 kbps;
3. Os “links” de acesso devem estar com baixa carga.
4. Os parâmetros de desempenho dependem da distância entre os acessos. A tabela é válida para distâncias
entre acessos menores que 1000 Km (Hum mil quilômetros);
5. Os parâmetros de desempenho dependem da velocidade dos entroncamentos da Rede IP. A tabela não é
válida para acessos de Rondônia e do Acre;
6. Os parâmetros de retardo e perda de pacotes deverão ser medidos através do módulo de software Cisco
IOS IP SLA (antigo SAA) UDP Jitter Operation;
7. Os clientes deverão contratar o serviço VIP Report para que os relatórios fim-a-fim possam ser
disponibilizados. As medições devem ser uni-direcionais. A periodicidade da coleta deverá ser de 15
minutos, sendo armazenada/plotada a média das medições do período. A periodicidade da medição
deverá ser a padrão do IP SLA:
UDP Jitter default settings:
• Frequency = 1 minute
• Interval = 20 milliseconds
• Number of Packets = 10
Ø Por exemplo, a Rede IP da Brasil Telecom se comportará como um único equipamento, isto é, será
apenas um hop IP para a VPN do cliente..
Ø Roteamento Dinâmico
• Diferentes protocolos de roteamento no acesso poderão ser combinados em uma mesma VPN,
isto é, uma VPN pode ter um acesso utilizando RIPv2 e um outro acesso utilizando eBGP.
• Métrica: deverão ser definidas, junto ao cliente, as métricas a serem utilizadas pela Brasil
Telecom, para troca de rotas via RIP e qualquer outro protocolo de roteamento dinâmico que
venha a ser suportado. Por default, será utilizada métrica transparente, isto é, as métricas
recebidas pelo IGP serão replicadas no MP-BGP e vice-versa.
• Para os cenários em que o cliente possuir diferentes protocolos de roteamento em diferentes
acessos, será necessário solicitar as métricas desejadas pelo cliente para as rotas que serão
anunciadas para cada protocolo e/ou rota;
• eBGP: Clientes poderão realizar trocas de rotas utilizando eBGP, com a principal vantagem da
escalabilidade no número de rotas na tabela de roteamento. O cliente deverá ser informado que
serão trocadas somente rotas da IP-VPN do cliente, sem troca de rotas “públicas” (Internet).
• Tabela de Roteamento Pública (Internet): Para os casos de clientes que necessitem de
divulgar as rotas públicas dentro de sua Rede Corporativa, seja completa ou parcial, deverá ser
indicado ao cliente que utilize iBGP entre seus próprios roteadores (CPEs) para realização de
troca de rotas. Roteadores da BrT (PEs) não participarão da troca destas rotas.
• Estabilidade e Escalabilidade: O número máximo de rotas permitidas para cada cliente será
limitado em 500 rotas IP, a fim de possibilitar uma maior estabilidade tanto para a rede do
cliente quanto para a Rede IP BrT. Este limite permitirá o atendimento de redes de
aproximadamente 500 acessos, abrangendo a maior parte dos clientes previstos; caso um cliente
possua uma tabela de roteamento maior, este limite poderá ser modificado sob demanda.
• Route Leaking: Existe a possibilidade da IP-VPN da Brasil Telecom ser um fornecedor entre
outras operadoras de acesso para composição da Rede Corporativa de um determinado cliente.
Caso este cliente faça uso de roteamento dinâmico, podem acontecer redistribuições de rotas
indesejáveis ou inadequadas, conforme o diagrama abaixo. Será necessária a implementação de
filtros de rotas e/ou ajuste em métricas de rotas nos CPEs e VRF do cliente. A figura abaixo
ilustra a situação, onde um CPE utiliza um caminho não-otimizado.
Route Reflector
(MPLS -VPN)
Rede
MPLS
Redistribuicao Redistribuicao
BGP -> IGP IGP -> BGP
PE PE
CPE
A
CPE
CPE CPE
Posteriormente, CPEs de outros fornecedores poderão ser adotados para o atendimento do serviço Vetor,
desde que homologados para tal. Para o atendimento do Vetor, estes equipamentos deverão apresentar as
seguintes características para o atendimento deste serviço:
• Possibilidade de definição de 4 Classes de Serviço;
• Mecanismos de Classificação, podendo ser combinados, baseados em:
Ø Endereço IP de Origem / Destino;
Ø Porta TCP / UDP de Origem / Destino;
Ø Protocolos (p.ex. http, ftp e RT P/RTCP);
Ø Pacotes RTP baseado no campo Payload Type, conforme RFC1889;
• Mecanismos de Priorização por CoS, abaixo ou equivalentes:
Ø WFQ (Weighted Fair Queuing) ou WRR (Weighted Round Robin);
Ø LLQ (Low Latency Queuing) ou Strict Priority;
• Fragmentação em Layer 2:
o FRF.12 (Frame Relay Fragmentation Implementation Agreement);
o MP-RFC 1990 (The PPP Multilink Protocol) para FR e PPP.
• Buffer para armazenamento de pacotes em caso de congestionamento, com possibilidade de
controle do dimensionamento por Classe de Serviço;
• Ferramentas para monitoração de latência e jitter (p. ex. Cisco Service Assurance Agent ou
Lucent Quality of Service Management).
Estes requisitos não se aplicam para acessos utilizando IPSec, para requisitos de CPE para esta forma de
acesso, vide o Capítulo 9 – IPSec.
A configuração do CPE deverá ser detalhada para cada modelo adquirido. Este item é de extrema
importância pela estratégia adotada, onde o CPE será o principal elemento de controle de QoS para cada
acesso. No Anexo I é detalhado o procedimento de configuração para o serviço Vetor para o modelo
Cisco 827.
Os dados entre os agregadores serão transmitidos sobre MPLS, com os túneis sendo formados utilizando
LDP e MP-BGP. .
Será necessário que o agregador faça a classificação, marcação e policing dos pacotes IP, e se possível, o
mapeamento para as células ATM (CLP).
O QoS no ERX será baseado nas classificações realizadas no CPE (quanto o CPE for da BrT), utilizando
somente o campo DSCP. Caso o CPE não seja da Brasil Telecom, será necessário que os pacotes IP
sejam classificados e marcados.
As marcações IP no DSCP serão mapeadas no campo EXP (MPLS) conforme tabela abaixo:
Classes de Serviço Valores de EXP
(CS) DSCP (IP) (MPLS)
Voz EF PHB 101 110 101
Multimídia AF41 PHB 100 010 100
Dados Expressos AF21 PHB 010 010 010
Dados DF PHB 000 000 000
ERX
RAS
Rede IP/MPLS
BrT
Túneis L2TP
LSP
VRFs Vetor
(Inter- regionais)
Comunicam- se
com outros PEs
VR Local VR Default
ERX
VRFs Vetor (Locais) VR DialNet VRF DialNet
Presente somente neste ERX Básico Intranet
DSLAM
BPX/IGX BPX
MGX (DSL)
CPE TURBO Internet 6400
(Internet) PVP => CLP=1
CLP=0
Para comunicação entre ERXs, deverão ser configurados PVCs ATM VBR-nrt, estes PVCs serão
utilizados posteriormente como backup tunnels. A interface entre o ERX e o BPX deverá ser configurada
como NNI. A alocação de VPI, VCI poderá ser realizada da seguinte forma:
VPI: Código de Área do DSLAM (61 – BSA, 41 – CTA, 51 – PAE, etc)
VCI: # Seqüencial (número seqüencial)
O PVC de acesso, entre o Modem xDSL e o DSLAM poderá permanecer com os valores atuais (VPI:0,
VCI:35), enquanto para o PVC interno, entre o DSLAM e a Rede ATM, deverão ser utilizados VPI=241-
247 (sendo um alocado para cada DSLAM em cascata, iniciando em 247 para o DSLAM mais próximo
do BRAS), conforme documento do Serviço InterLan, a alocação de VCI será seqüencial e controlada
pela Operação.
DSLAM-4
VP=245
DSLAM-2
VP=246
DSLAM-5
VP=244
DSLAM-1 BPX
VP=247
DSLAM-6
VP=242
DSLAM-3
VP=243
DSLAM-7
VP=241
O plano de numeração de VPI/VCI entre a Rede ATM e o ERX deverá ser baseado na mesma política
utilizada para os acessos IP Light / Dedicado existentes na Rede IP BrT:
VPI= Porta (Interface do ERX)
VCI = # seqüencial.
7. Rede DT e SDH
A rede Determinística (DT) também pode ser usada para prover a conexão entre os roteadores de
distribuição e acesso até o roteador do cliente. Com essa topologia pode ser atendidos clientes vetor sem
a necessidade de passar pela rede Frame Relay ou ATM. O protoloco utilizado será o Frame Relay por
vários motivos. Um dos motivos é a necessidade de se utilizar FRF.12 para QoS de VoIP e para
multiplexação de circuitos lógicos dentro do mesmo enlace. A figura abaixo mostra a topologia, uma
delas seria o roteador de distribuição ligado direto na rede DT através de STM-1 canalizado/estruturado e
a outra ele ligado na rede SDH através de E1 ou STM-1 estruturado.
Caso o cliente requeira velocidades múltiplas de 2Mbps (nxE1 até 8Mbps), deverá ser utilizado MLPPP e
um roteador de distribuição como PE para terminar a conexão lógica do cliente. Essa conexão para o
roteador de distribuição deverá ser tipo E1 serial ou STM-x canalizada/estruturada, uma vez que o
protocolo MLPPP garante agregação de vários E1 somente nessa topologia (serial-serial). A figura abaixo
ilustra essa topologia:
9. Rede IP / MPLS
Inicialmente, a conexão entre o ERX e a Rede IP BrT será utilizada para:
Ø Gerência do elemento de rede (NMC-RX - Agregador)
Ø Gerência das VPNs
Ø Autenticação via RADIUS
Ø Autorização através de COPS associados à base de dados LDAP
Ø Conexões IPSec
Ø Acesso L2TP (Layer 2 Tunnel Protocol )
Após a implantação de MPLS (QoS e VPN) baseado nos roteadores Cisco (7500, 7600 e GSR12410) e
dos Route Reflectors para MPLS-VPN, a comunicação (dados, protocolos de controle e LDP, OSPF,
BGP e MP-BGP) entre os elementos pertencentes à Rede IP e o ERX será através da interface GbEth.
No Route Reflector deverá ser configurado o limite máximo de rotas para cada VPN, através do
comando: maximum routes <max-thresh> <mid-thresh (% of max)>, dentro de ip vrf [vrf-name], este
número deverá ser, por default, configurado em 500 rotas e um threshold de 80 %, para redes
corporativas de maior porte, este número poderá ser aumentado sob demanda.
MPLS-QoS será baseada somente sobre e-LSP (DiffServ), não será utilizado IntServ (RSVP). Para
atendimento adequado das classes de serviço comercializadas deverá ser acompanhado o volume de
tráfego que estará sendo utilizado em cada classe e os níveis de SLA apresentados pela Rede IP/MPLS,
através dos Shadow Routers existentes (perda de pacotes, latência e jitter).
CyDC
RADIUS Authent
BrT
1. Authentication -request
user@vetorii
3. Authentication -request
user (p/ Server IP1’)
NAT
2. Authentication-request
user (p/ Server IP1 )
IP1
IP1’
(pub)
(priv)
L2TP
LAC LNS
RADIUS Authent.
VetorII Cliente
PPP VRF
Default
Virtual Router
TSM (ERX)
Para clientes do serviço DialNet Básico, será necessária ainda a configuração de um PVC até o ERX mais
próximo, este PVC deverá ser dimensionado conforme o número de portas Dial contratadas e
configurado o(s) RADIUS Server do cliente. Deverá ser utilizado o mesmo dimensionamento utilizado
atualmente (8kbps / porta).
Maiores detalhes de configuração e requisitos necessários poderão ser encontrados no documento de
arquitetura de prestação do serviço DialNet Básico / Intranet.
10.2. IPSec
Todos acessos IPSec serão concentrados no Juniper ERX. Nesta forma de acesso, independente da
modalidade utilizada (CPE -based ou Client-based), não existirá suporte a nenhum mecanismo de QoS.
Esta funcionalidade será suportada para o Serviço Vetor somente para acessos conectados à Internet.
Clientes que desejem utilizar IPSec dentro de sua IP-VPN, deverá ser recomendada a utilização de
sessões IPSec fim-a-fim (cliente-servidor) para terminais e/ou aplicações específicas.
Estão previstas duas formas de acesso utilizando IPSec:
• CPE-based, onde a sessão IPSec é formada entre o CPE no site do cliente e o Agregador
Multisserviços, destinado a acessos via Internet, principalmente fora da Área II.
• Client-based, onde a sessão IPSec é estabelecida entre um Client IPSec (Microsoft) do
computador do cliente até o Agregador. Paraeste caso, o cliente poderá estar utilizando qualquer
acesso público para conectar-se a sua IP-VPN.
Os CPEs a serem utilizados para acessos IPSec deverão possuir as seguintes características:
• Endereço IP público fixo, ou seja, sem a presença de NAT entre o ERX e o CPE do cliente;
• ESP (Encapsulating Security Payload – RFC 2406)
• ESP-3DES (Data Encryption Standard)
• ESP-SHA (Secure Hash Algorithm)
• IKE (Internet Key Exchange – RFC 2409), baseado em pre-shared key
Inicialmente, será suportada somente criptografia baseada em ESP, utilizando 3DES e SHA. A troca de
chaves será baseada em IKE. Devido às restrições envolvendo o equipamento, cada cliente deverá utilizar
uma chave comum para todos os acessos envolvidos.
Para sessões IPSec Client -based, será estabelecida uma sessão IPSec associada a uma sessão PPP-L2TP,
conforme a figura abaixo. Todas as funcionalidades associadas à pilha de protocolos (stack ) no cliente
serão realizadas pelo Microsoft L2TP/IPSec VPN Client. Após o estabelecimento da conexão IPSec, uma
sessão PPP deverá ser autenticada, via RADIUS, do usuário em uma base de dados do cliente. O modelo
de prestação de serviço baseado em limitação de sessões simultâneas por parte do cliente será limitada
baseada em restrição no Pool de endereços IP disponíveis para acessos IPSec. Neste caso, é importante
notar que todo o processo de autenticação do cliente será realizado e somente após a autenticação do
cliente a sessão apresentará falha e o usuário não será capaz de utilizar o acesso IPSec.
Portanto, cada sessão IPSec Client-based consumirá três sessões IP no ERX.
Com o uso desta solução, conexões discadas a Internet apresentarão um cabeçalho extenso e
processamento intenso de pacotes no computador do cliente, o desempenho da conexão poderá ser
insatisfatório.
IP Privado (VPN)
PPP
L2TP
IPSec
IP Público (iNET)
PPP
LAC L2TP LNS
IPSec
Cisco GSR
CPE
VRF
Rede IP IP-VPN
Internet
BrT (MPLS)
I/O ISM TSM
Juniper ERX
12. Gerência
A gerência das VPNs será através de uma VPN dedicada a gerenciamento, esta VPN não será definida no
ERX, com o objetivo de evitar NAT, que será feito em roteador dedicado ou Firewall, utilizando a
mesma infra-estrutura que está sendo elaborada para o Serviço VIP Report, conforme figura abaixo.
CyDC
Route e-Health HP OV
Reflector Collector Poller
ERX
CE
ERX
7500
CE
CE
Neste cenário, cada VPN é estendida ao “VIP Router” (que terá de função de PE em MPLS-VPN) que é
responsável pelo NAT e o Firewall é responsável apenas pelos aspectos de segurança.
O plano de endereçamento IP deverá seguir o plano de endereçamento previsto para o Serviço VIP. Uma
possibilidade de limitar a tabela de roteamento no “VIP Router” é utilizando filtro para importar /
exportar rotas baseadas em máscara /32, neste caso somente endereços de Loopback seriam conhecidos
pelo “VIP Router”.
As regras de segurança (access lists e regras de firewall) a serem definidas para as VPNs MPLS deverão
mais rigorosas que as regras previstas aos demais serviços VIP, pois, em caso de nenhuma política de
restrição seja adotada, a partir do “VIP Router” será possível acessar qualquer rede do cliente (servidores,
hosts, roteadores, switches).
Maiores detalhes a respeito do atendimento deste serviço poderão ser encontrados no documento de
Arquitetura do VIP Report.
Deverão ser elaborados procedimentos e regras de segurança com o objetivo de garantir a segunça das
VPNs.
Inicialmente, para simplificação do modelo de QoS, todas as políticas aplicadas estarão voltadas para
mecanismos de controle de saída (egress) das interfaces, sem controle de admissão para entrada de dados.
Para o atendimento de IP QoS, deverão ser elaboradas pré-configurações default para acessos de
256kbps, 512kbps e 2Mbps. Estas pré-configurações consideram determinadas premissas que são
apresentadas na tabela abaixo. Para alterações e/ou ajustes de parâmetros, foi elaborada uma planilha que
calcula os valores dos parâmetros de configuração de todos os elementos de rede envolvidos.
Acesso Canais de Voz Dados Expressos
256 kbps 0, 2, 4 128 kbps
512 kbps 0, 4, 8 256 kbps
2 Mbps 0, 15 e 30 (E1) 1 Mbps
Extranets são redes de determinados clientes que podem compartilhar ni formações com outras redes
corporativas. Por exemplo, empresas de cartão de crédito, ASPs (Application Service Providers), bancos
ou qualquer outro provedor de conteúdo podem permitir o acesso a determinados servidores a partir de
outras redes corporativas.
A arquitetura genérica para atendimento do Serviço Vetor de acesso a conteúdos (denominado pela área
comercial da BrT de CardConnect) é apresentada na figura abaixo.
Cliente 1
Loja z
Cliente 1 Acesso
Loja x Vetor
Cliente 1 FR
Matriz
Acesso
Vetor Host
xDSL Acesso Conteúdo A
Vetor FR
Rede ATM / FR
Cliente 3 VPN
Loja j Cliente 2
Acesso
Acessos VPN Vetor FR
Interlan VPN Conteúdo A
Cliente 3
Loja k FR Cliente 1 PE X-25
Acesso
Vetor FR Host
Rede IP / MPLS VPN VPN
Conteúdo B
Cliente 3 Conteúdo B
Cliente 3
Loja l
Acesso
Interlan L2TP
xDSL
RTPC
Switch
ATM
Acesso
Interlan
FR
Roteador de Acesso
à Internet Cliente 3
Consultor em Trânsito
RAS
Cada provedor de conteúdo terá sua própria VPN MPLS na rede Vetor. A conectividade entre as VPNs
de clientes corporativos e a VPN do conteúdo será realizada através de uma implementação de NAT entre
cliente e provedor de conteúdo.
O(s) pool(s) de endereços IP para a função NAT deverá ser definido pelo provedor de conteúdo para que
seja assegurado que não haverá conflito de endereçamento após a realização do NAT. Alternativamente,
poderá ser utilizado NAT Overload.
O(s) servidor(es) de conteúdo serão conhecidos com endereço IP público, designado e controlado pelo
provedor de conteúdo e alternativamente pela Brasil Telecom. Deverá ser importada uma rota de host
(/32) para cada um deste(s) endereço(s) de servidor(es) nas VRFs de clientes corporativos. Em cada CE,
deverá existir uma rota estática para estes endereços de host (/32).
Deve ser implementada política de segurança no CE que restrinja o acesso apenas ao(s) servidor(es) de
conteúdo.
A função de NAT entre VRFs será realizada através de um firewall externo ao roteador PE. Neste caso,
deve existir um firewall dedicado, por centro de roteamento, para esta função. O firewall externo e o
roteador PE estarão conectados via interface GigaEthernet configurada como trunk 802.1q. As VRFs
corporativas serão conectadas às VRFs de conteúdo por meio de VLANs, conforme figura abaixo.
Para garantir a disponibilidade do serviço, a função de NAT deve ser realizada através de firewalls
redundantes.
O Firewall Externo deverá suportar a funcionalidade de Virtual Context (Cisco) ou Virtual Systems
(Juniper). O número de VLANs suportadas deve ser pelo menos 2 (duas) vezes o número máximo de
contextos virtuais do firewall.
Alguns detalhes dessa implementação com relação à alocação de endereços IP de cada entidade:
• Deverá ser alocado pelo cliente que acessa o provedor de conteúdo um endereço IP com máscara
/30, independentemente dos números de pontos que eventualmente o cliente possua na rede
Vetor.
• Deverá ser alocado pelo Provedor de Conteúdo um endereço IP público de máscara de host para
representar o endereço IP do servidor do provedor de conteúdo.
Em caso de conflito entre o endereço IP privado fornecido pelo cliente e provedor de conteúdo para
interligação do Firewall, o cliente deverá escolher uma outra faixa de endereços não conflitante.
Para exemplificar, vamos criar um caso hipotético, onde um provedor de conteúdo possui 3 clientes na
rede Vetor. Para implementar essa solução seriam gastos:
• Endereços privados fornecidos pelo provedor de conteúdo: 3x /30 + 3x /32(caso não seja
adotado NAT Overload)
Uma outra vantagem dessa solução é que é possível aplicar outras políticas de segurança em cada
interface de acesso tanto de entrada como de saída sob o ponto de vista do cliente ou provedor de
conteúdo, uma vez que é utilizado um Firewall.
Solução VISANET
A solução CardConnect para atendimento à rede VISANET está descrita no Anexo V. Esta solução foi
desenhada especificamente para atender as especificações da VISANET para redes de acesso Wireline IP
para soluções de TEF e aplica-se estritamente ao atendimento da VISANET.
A solução VISANET possui as seguintes características/limitações:
• O uso da funcionalidade NAT (Network Address Translation) minimiza a possibilidade de
ocorrência de conflito de endereço IP, mas não consegue evitar a ocorrência deste conflito em
100% dos casos, principalmente para um número grande de acessos. Existe um risco de conflito
de endereçamento IP entre os endereços privados alocados para os links WAN da topologia e os
endereços IP do segmento LAN do estabelecimento comercial.
• Em função do exposto no item anterior, o controle de alocação de endereços IP é crítico para
minimizar a probabilidade de conflitos de endereçamento e, por conseqüência, o não
funcionamento do serviço.
• Pelo uso extensivo de configurações manuais de NAT e filtro de pacotes (ACLs), a solução é
propensa a erros humanos e não escala para uma grande quantidade de acessos.
Em função das limitações acima, deverá ser realizado um estudo de migração do atendimento da rede
VISANET para a solução definitiva com uso de firewall externo, descrita neste documento.
VRF Cliente
CPE CPE
Cliente Cliente
eBGP
PVC
Rede IP Frame Relay Operadora
BrT PE
CPE PE CPE
Cliente Cliente
Este modelo apresenta restrições com relação a escalabilidade pela necessidade de configuração de sub-
interfaces. Caso exista uma ampliação de interconexão com alguma operadora para atendimento superior
a 50 VRFs, este modelo será reavaliado para a possibilidade de substituição por uma interconexão
baseada em MP-eBGP ou OSPF-TE.
O Multicast para redes MPLS/VPN não é um protocolo padronizado na época em que se escreve esse
documento. Por demanda de Marketing, e dado que a rede é composta basicamente por dois fornecedores
de elementos da rede IP, foi seguido um draft chamado de “draft-rosen-vpn-mcast-06.txt” que está
disponível para as plataformas Cisco (10K, 7600 e GSR) como para as plataformas Juniper (ERX e M-
40).
Aspectos do protocolo
O Multicast será suportado nas versões IPv4 através do protocolo IGMPv2. Não será suportado IGMPv3
nesse momento. O cliente poderá utilizar quaisquer endereços de Multicast dentro da sua VPN.
Opções de topologia
Não será suportado Multicast em VPN formadas através do IPSEC (tanto no mo dos cliente como CPE
based). O Multicast será suportado tanto para acesssos ADSL como Frame Relay.
Aspectos de QoS
O tráfego de Multicast poderá ser classificado nas classes de Multimídia, Dados Expressos e Dados
Comum (Best Effort) e não poderá ser classificado como VoIP.
Aspectos de LAN
O cliente não precisa habilitar nada na sua LAN. Os quadros de multicast são encaminhados normalmente
na LAN do cliente através de um endereço destino de multicast ou broadcast. Não será suportado nenhum
protocolo específico de Multicast para LAN como o CGMP( proprietário da Cisco).
Gerência
Não existirá uma gerência específica de tráfego Multicast, a menos que algum tráfego de Multicast seja
classificado por Dados Expressos ou Multimídia.
Todo tráfego de Multicast será recebido através de um CE e encaminhado para os outros CE ou através
túneis entre PE (MTI – Multicast Tunnel Interface) ou diretamente aos outros CE. Todo tráfego de
Multicast será replicado a medida que a árvore do MDT (Multicast Domain Tree) for se ramificando. A
única limitação é que um tráfego de Multicast é enviado para todos os PEs, mesmo aqueles que não
possuem receptores para aquele grupo.
Quando o tráfego de Multicast é encaminhado dentro do Core da rede, ele é tratado como um tráfego de
Multicast normal. Isso quer dizer que o backbone tem que estar preparado para suportar esse tráfego. A
figura abaixo ilustra do funcionamento do Multicast para MPLS/VPN.
Serão utilizados os seguintes protocolos para suportar essa funcionalidade dentro da rede da
BrasilTelecom: PIM SM, IGMPv2, RP estático para a o RP do cliente e BSR para o RP da rede.
Parâmetros alocados
Cada cliente utilizará um endereço de Multicast único na rede Core. Esse endereço é utilizado pela
interfaces MTI. Esse endereço de Multicast deverá ser alocado exclusivamente para um cliente e
unicamente para a rede. Segue as faixas de endereços definidas pelo IANA:
Descrição Faixa
Endereços locais reservados 224.0.0.0/24
Endereços para Multicast globais 224.0.1.0 to 238.255.255.255
Source Specific Multicast 232.0.0.0/8
GLOP Addresses (endereços formados pelo AS 233.0.0.0/8
Number)
Endereços Administrativos 239.0.0.0/8
Traduzindo, apenas endereços IP da faixa 239.0.0.0/8 poderão ser alocados nesse momento.
Uma vez alocado o valor do IP do Multicast dentro do backbone para o cliente. Ele deverá ser utilizado para
configurar as VRF do cliente nos Cisco e o túnel MTI no ERX dentro do virtual router da VPN.
telnet 23 SIM
Além disso, SIP e H.323 são protocolos de sinalização utilizados por aplicativos de Voz e Multimídia,
estes pacotes deverão ser tratados como dados expressos.
Sinalização Descrição Protocolo Porta Observação
DNS Service TCP/UDP 53 DNS
SIP Messages TCP/UDP 5060
Messages TLS (TCP/UDP) 5061 Alternativa túnel
ILS Registration (LDAP) TCP 389
User Location Service TCP 522
T.120 TCP 1503
Gatekeeper Discovery TCP 1718
H.323
Gatekeeper RAS TCP 1719
H.323 Call Setup TCP 1720
Audio Call Control TCP 1731
H.245 Call Parameters UDP Dinâmica ≥ 1024
• Windows XP com SP2. SP1 não suporta a funcionalidade de NAT Traversal (NAT-T).
1. No Windows XP, adicionar uma nova conexão tipo conectar-se a uma rede privada pela Internet.
2. Configurar para não discar para Internet.
3. Na janela endereço destino, digitar o endereço IP da loopback do virtual-router empresarial do ERX
que é utilizado para terminar as conexões IPSec.
4. Na disponibilidade de conexão, fica a critério do usuário a definição de criar um acesso disponível
para todos ou somente o usuário corrente.
5. Digitar o nome da conexão e concluir.
6. Abrir a caixa de conexões da rede, clicar na conexão recém-criada e selecionar propriedades.
7. Nas opções de segurança, clicar em IPSEC, checar o pré-shared key e entrar com a chave pré-
definida.
1. Primeiramente deve ser criada a vrf dentro do virtual-router empresarial utilizado os parâmetros e
procedimentos habituais.
2. Dentro do virtual-router empresarial:<nome da vrf> criar um pool de IP endereço:
profile tunnelppp
ip unnumbered loopback 0
ip mtu 1400
ppp authentication pap chap
ppp mru 1400
Comandos de troubleshooting:
Show subscribers
• O endereço IP ou nome do host utilizado pelo cliente para formação do túnel IPSec deve ser alcançável através de
qualquer ponto da Internet.
• O tamanho máximo de MTU do IP é reduzido para 1446 devido ao overhead do IPSec.
• Na criação do túnel IPSec, os mapeamentos entre redes IP que podem ser acessadas através do túnel são estáticos, logo
uma mudança de endereçamento na VPN do cliente pode requerer que haja uma mudança na configuração do Netscreen
e ERX na definição de redes locais e remotas.
• Unset all
• Reset (Não permitir salvar as configurações e confirmar)
A interface untrust é a interface cujo endereço IP é valido e está conectado a Internet e a interface trust está
conectada a LAN e tem endereço IP privado. A interface túnel tem o endereçamento IP alocado pelo cliente,
será o endereço IP da WAN. Utilizar os seguintes comandos:
3. Configuração das redes para as quais a política de IPSec será aplicada. Utilizar os seguintes
comandos:
Nessa fase será utilizado uma chave tipo PSK (Pre-shared Key), endereço IP público do ERX. O seguinte
comando será utilizado:
set ike gateway to_erx address <IP do ERX> main outgoing-interface untrust preshare <string da chave PSK>
proposal pre -g2-3des-sha
5. Configuração da Fase 2
Nessa etapa, serão necessários os parâmetros de identificação de rede local e remota. Deve ser utilizado o
endereço IP da rede LAN e da rede LAN IP do site ele será acessado pelo Netscreen via túnel IPSec.
set vpn "ns_erx" gateway "to_erx" no-replay tunnel idletime 0 proposal "g2-esp-3des-sha"
set vpn "ns_erx" id 1 bind interface tunnel.1
set vpn "ns_erx" proxy-id local-ip <endereco IP da LAN do NS>/<mascara> remote-ip <rede IP da LAN do
site destino "ANY"
6. Roteamento
set vrouter trust-vr route 0.0.0.0/0 interface untrust gateway <endereco IP do gateway da rede, possivelmente
o IP da LAN do router/modem>
set vrouter trust-vr route <endereco IP da rede IP remota que se deseja acessar>/<mascara> interface tunnel.1
7. Policy de IPSec
Deverá ser criada policy IPSec para a VPN criada definindo os interesses de tráfego. Os seguintes comandos
são utilizados:
set policy top name to_net from trust to untrust rede_local rede_remota any permit
set policy top name from_net from untrust to trust rede_remota rede_local any permit
Deve ser configurada a mesma chave utilizada no Netscreen. Utilizar o seguinte comando:
O túnel Ipsec deve ser criado dentro da instância de roteamento (ou vrf):
4. Roteamento
Criar uma rota para a rede LAN do cliente, dentro da vrf do mesmo, através do comando:
FRPR +RVW
9LVDQHW
) ORULDQySROLV
FRPR + RVW
$GP M $GPLQLVWUDGRUD M
' HD
I XOW
* :
&KHFNRXWV +RVW
7()
$&/ E
6H ,3 ' ( 6 7
6H [
,3 ' ( 6 7H, 3 25 ,* [ SHUPLWLU
9LVDQ ,3 ' ( 67
1$7 VHQmR
6H (VWiW QHJDU 1$7
6XE LQW
HUI E
,3 ' ( 6 7H, 3 25 ,* [ 6XE LQW
HUI D (VW
iW
$GPLQLVWUDGR M
['6/
N
5HGH,3 0 3/ 6
95)
1D 95) VmRFRQILJXUDGDVGXDV URWDV
$GP M HVWiWLFDVDP EDVFRP ,3 ' HVW
FRP QH[WKRS
UHVSHFWLYDPHQWHH
95) $V UHGHVH
9LVDQHW DSRQWDP SDUDRVGRLV FLUFXLW
RVYLUW
XDLV
GD9 LVDQHW
UHVSHFW
LYDP HQWH
)5
)5 0E
5HGH$ 7 0 ) 5 0E
G
['6/ / RD FH
%DO DQ ,3 ' ( 67
N
1$7
1$7 &LVFR +RVW
GH
(VWiW 3URGXomR
1$7
%U7 ) LO
LDO35
&KHFNRXWV 7()
9LVDQHW
' DWD&HQW
HU( ' 6 6 mR%HUQDUGR
Todos os estabelecimentos comerciais (lojas) devem ser conectados na VRF VISANET. A figura acima
indica os pontos na topologia onde devem ser configuradas as funcionalidade de NAT e ACL.
Deverão ser utilizados CPEs homologados pela GTAR para o serviço Vetor classe dados. Além da
configuração Vetor normal, deve ser configurado NAT conforme topologia acima.
Deve ser configurada no CPE uma rota estática para o endereço do host de transação da VISANET (endereço
/32) tendo como next hop o endereço da interface do PE Router.
Os servidores de transação da VISANET deverão ser mapeados para endereços IP públicos na faixa
200.200.0.0/16. A alocação destes endereços será realizada pela Brasil Telecom.
A figura a seguir ilustra a topologia utilizada durante o teste piloto com a VISANET. O endereço IP para as
interfaces WAN deve ser alocado conforme tabela na figura. Por exemplo, para acessos localizados no
Distrito Federal o endereço da interface WAN será do tipo 10.61.X.Y/30.
Checkouts
TEF
192.168.0.0 / 24
.10 .1 .2
ACL
Se IP DEST 200.200.200.1
permitir
Se senão
IP DEST 200.200.200.1 (Visanet) e IP ORIG 192.168.0.x .254 negar
IP ORIG = 10.41.10.1
NAT
Estát .1
172.26.90.64 / 30
FR (SPO 0421006)
2 Mbps
Rede ATM / FR Load
Balance
Faixa de Endereçamento das FR .62
Redes WAN 2 Mbps
.66 IP DEST 200.200.200.1 192.168.10.1
(SPO 0421007)
NAT
UF Faixa .25
Cisco 1721
PR 10.41.0.0 / 16 (SPO 0421014)
SC 10.48.0.0 / 16
RS 10.51.0.0 / 16
192.168.10.0/24
DF 10.61.0.0 / 16
GO 10.62.0.0 / 16
.1
TO 10.63.0.0 / 16
MT 10.65.0.0 / 16
MS 10.67.0.0 / 16 (Porta: 975)
AC 10.69.0.0 / 16
RO 10.69.0.0 / 16
Visanet
Host Data Center PROCEDA
As configurações a seguir foram utilizadas no teste piloto com a VISANET e deve ser adotada como
referência para o aprovis ionamento do serviço.
encapsulation aal5snap
interface Serial0
bandwidth 2048
no ip address
encapsulation frame -relay IETF
no fair-queue
frame -relay traffic-shaping
frame -relay lmi-type cisco
!
interface Serial0.1 point-to-point
description PVC SPO 0421006#V00163
bandwidth 2048
ip address 172.26.90.62 255.255.255.252
ip nat outside
frame -relay class DADOS-VETOR
frame -relay interface-dlci 20 IETF
!
interface Serial1
bandwidth 2048
no ip address
encapsulation frame -relay IETF
no fair-queue
frame -relay traffic-shaping
frame -relay lmi-type cisco
!
interface Serial1.1 point-to-point
description PVC SPO 0421007#V00163
bandwidth 2048
ip address 172.26.90.66 255.255.255.252
ip nat outside
frame -relay class DADOS-VETOR
frame -relay interface-dlci 20 IETF
!
interface FastEthernet0
description LAN PROCEDA
ip address 192.168.10.25 255.255.255.0
ip nat inside
speed 100
full-duplex
ip nat inside source static 192.168.10.1 200.200.200.1
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
ip route 0.0.0.0 0.0.0.0 Serial1.1
ip route 200.200.200.1 255.255.255.255 FastEthernet0
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 10.67.0.1
no ip http server
!
access -list 1 permit 7.1.2.0 0.0.0.255
dialer-list 1 protocol ip permit
Habilitar Multicast PE
No Cisco:
virtual-router default:<vrf>
ip multicast-routing
Habilitar PIM PE
Cisco ou ERX
ip pim sparse-mode
virtual-router default:<vrf>
Configurar o RP da VPN no PE
Cisco
Juniper
ip multicast-routing
ip pim sparse-mode
Configurar o RP estatícamente:
A solução CARD poderá ser comercializada em conjunto com parceiros integradores ou parceiros
fornecedores de equipamentos de rede, desta forma existirão algumas variações da solução, como
indicado neste anexo.
A Solução CARD também tem o objetivo de substituir a Rede de Pacotes da Brasil Telecom para os
serviços X.25 dedicado e X.28 discado voltados ao transporte de transações eletrônicas e de
validação de cartão de crédito e débito.
/ 73
&
(
6
,3
U
R
HW
9
33
3
Existem cadeias de lojas onde o Servidor TEF está localizado no seu site central (matriz) – clientes
3 e 4 da figura - e aquelas cadeias de lojas em que o Servidor TEF estará localizado numa área de
colocation no Cyber Datacenter da Brasil Telecom em Curitiba (clientes 1 e 2 da figura).
Para os clientes cujo servidor TEF está localizado em sua matriz, a comunicação entre este servidor
e o host de transação da operadora de cartão com acesso X.25 será realizada através de uma
conexão XOT (X.25 over TCP) entre o roteador Cisco da matriz e os roteadores GW X25
localizados na estação FNS em Florianópolis. A funcionalidade XOT no roteador da ma triz do
lojista deve ser configurada com a opção Failover da seguinte forma:
Para os clientes cujo servidor TEF está localizado no Cyber Datacenter da Brasil Telecom, a
comunicação entre os checkouts das lojas e o servidor TEF será realizada em IP através da rede
Vetor, e a comunicação entre o servidor TEF e o host de transação da operadora de cartão será
realizada em X.25 através de um roteador Cyclades.
Para os CPEs conectados nas VPN dos provedores de conteúdo tipo C e D (provedores de conteúdo
com abordagem em IP) deverá ser configurado NAT, seguindo o modelo especificado no Anexo V
(Solução Visanet) deste documento. Deverá ser configurada nas interfaces de acesso dos roteadores
PE MPLS uma ACL (Access Control List) para permitir o acesso somente aos hosts de transação /
conteúdo, bloqueando qualquer outra tentativa de comunicação.
Para os CPEs conectados em VPNs de provedores de conteúdo X.25 (VRF verde escura na figura),
deverá ser configurado NAT da seguinte forma:
Provedor de Conteúdo A
Mainframe FEP
PACPAR
RENPAC
Estação FNS
Endereços privados
definidos pela
X.25
Brasil Telecom 64 kbps
GW X25
Acesso
Vetor FR Provedor de Conteúdo B
ACL na interface de
acesso:
Se IP destino= IP z, permit
VPN
Senão, deny Conteúdos
X.25
XoT
Rede ATM / FR
Endereço IP Z
(IP privado definido
S0.1(XoT) X.25 pela BrT)
NAT overload entre Serial
1 (nat inside) e Serial 0.1 S0.2 S1 Cyclades
(nat outside). Cisco1721 PR 1000
GW
(translate)
(...) Servidor
TEF
MATRIZ
• A alocação dos endereços privados dos links ponto-a-ponto dentro da VPN Conteúdos X.25
deve seguir o especificado no Anexo V (Solução Visanet).
• Nos roteadores de acesso no Cyber Datacenter e na estação FNS os PVCs das diversas
VPNs devem ser mapeados nas VLANs correspondentes através de VRFs que isolem os
tráfegos das diferentes VPNs. Portanto, este roteador deve suportar a funcionalidade de
Multi-VRF Costumer Edge (VRF Lite).
• Cada servidor TEF no Cyber Datacenter deve ser conectado numa VLAN específica, com
endereçamento privado definido ou acordado com o cliente (cadeia de lojas).
• Os endereços X.25 devem ser definidos pela Brasil Telecom em conjunto com o integrador.
• Deverá ser configurada e aplicada nas interfaces de acesso de cada roteador PE MPLS uma
ACL com a seguinte regra:
o Se IP Destino = 200.200.0.0/16 (Faixa dos HOTS de transação ou conteúdo)
§ Então, PERMIT
o Senão, DENY.
A figura abaixo é uma referência para a alocação de endereços IP para a solução dedicada:
FRPR +RVW
9LVDQHW
) ORULDQySROLV
FRPR + RVW
$GP M $GPLQLVWUDGRUD M
' HD
I XOW
* :
&KHFNRXWV +RVW
7()
$&/ E
6H ,3 ' ( 6 7
6H [
,3 ' ( 6 7H, 3 25 ,* [ SHUPLWLU
9LVDQ ,3 ' ( 67
1$7 VHQmR
6H (VWiW QHJDU 1$7
6XE LQW
HUI E
,3 ' ( 6 7H, 3 25 ,* [ 6XE LQW
HUI D (VW
iW
$GPLQLVWUDGR M
['6/
N
5HGH,3 0 3/ 6
95)
1D 95) VmRFRQILJXUDGDVGXDV URWDV
$GP M HVWiWLFDVDP EDVFRP ,3 ' HVW
FRP QH[WKRS
UHVSHFWLYDPHQWHH
95) $V UHGHVH
9LVDQHW DSRQWDP SDUDRVGRLV FLUFXLW
RVYLUW
XDLV
GD9 LVDQHW
UHVSHFW
LYDP HQWH
)5
)5 0E
5HGH$ 7 0 ) 5 0E
G
['6/ / RD FH
%DO DQ ,3 ' ( 67
N
1$7
1$7 &LVFR +RVW
GH
(VWiW 3URGXomR
1$7
%U7 ) LO
LDO35
&KHFNRXWV 7()
9LVDQHW
' DWD&HQW
HU( ' 6 6 mR%HUQDUGR
Cada roteador GW X25 na estação FNS deve ter possuir as seguintes características
mínimas:
• Suporte às funcionalidades XOT (X25 over TCP), VRRP, X25 RBP ( Record Boundary
Preservation for Data Communications Networks) e CEF;
• Processador e Fonte de energia DC -48V redundantes;
• Arquitetura modular;
• Módulo de interface com 8 portas seriais (V35 / RS-232);
• Uma interface Fast Ethernet.
As chamadas serão atendidas e processadas pelo RAS da Lyra localizado no Cyber Datacenter da
Brasil Telecom e terá a função de encaminhar os pacotes de dados de cada transação para o host de
transação da operadora de cartão através de uma conexão IP ou X.25.
Foram executadas ligações entre um usuário da rede, que programamos com o endereço
48710012345, conforme segue:
1) Origem 48710012345 – Destino Transpac 48201332 Resultado OK
2) Origem 48710012345 – Destino Embratel 14802521 Resultado OK
3) Origem 48710012345 – Destino Embratel 11133651 (Visa) Resultado OK
4) Origem Transpac 48201332 - Destino 48710012345 Resultado OK
5) Origem IP (R2) para IP Destino 10.64.9.200 conectando com x25 48201332 Resultado OK
6) Origem IP (R2) para IP Destino 10.64.9.222 conectando com x25 14802521(EBT)
Resultado OK
R1#show running-config
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname R1
enable password cisco
memory-size iomem 15
ip subnet-zero
x25 routing
call rsvp-sync
interface FastEthernet0
no ip address
shutdown
speed auto
interface Serial0
no ip address
encapsulation x25
no ip mroute-cache
x25 address 48710012345
x25 win 5
x25 wout 5
x25 ips 256
x25 ops 256
x25 idle 1
clockrate 64000
interface Serial1
no ip address
shutdown
ip classless
no ip http server
line con 0
line aux 0
line vty 0 4
password cisco
login
end
R1#
R2#wr t
Building configuration...
end
R2#
R3#wr t
Building config
R3#
Debug das chamadas executadas (Call Request, Call Accept, numero chamador, numero
chamado, janela,.....)
R1#14802521
Trying 14802521...Open
Login incorrect
login:
Debug conexão
R1#11133651
Trying 11133651...Open
Debug conexão
ITBI_MASC01>48710012345
Trying 48710012345...Open
Password:
Password:
Debug conexão: