Estudo Comparativo Entre Vpn Ip E Vpn Ip Mpls
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Estudo Comparativo Entre Vpn Ip E Vpn Ip Mpls as PDF for free.
More details
- Words: 23,663
- Pages: 111
Fundação Edson Queiroz Universidade de Fortaleza – UNIFOR Centro de Ciências Tecnológicas – CCT Curso de Informática
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Luis Rodrigues da Silva Filho
Fortaleza – 2006
Luis Rodrigues da Silva Filho
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Monografia apresentada ao Centro de Ciências Tecnológicas da Universidade de Fortaleza como parte dos pré-requisitos para a obtenção da graduação de Bacharel em Informática.
Orientador: Prof. Fernando Parente Garcia, M.Sc.
Fortaleza – 2006
ii
ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS
Luis Rodrigues da Silva Filho
PARECER: ______________________________
DATA: ____/____/_____
BANCA EXAMINADORA:
__________________________________________ Prof. Fernando Parente Garcia, M.Sc. (Orientador)
__________________________________________ Prof. Wellington Alves de Brito, M.Sc. (Examinador)
iii
“Eu sou o pão vivo que desceu do céu. Quem comer deste pão vai viver para sempre. O pão que eu vou dar é minha carne que é dada para a vida do mundo. Os judeus cochichavam entre si, dizendo : como é que este homem pode dar a sua carne para ser comida? Então ele respondeu. Em verdade eu vos digo: se não comerdes a carne do filho do homem e não beberdes o seu sangue, não tereis a vida em vós. Quem come a minha carne e bebe o meu sangue tem a vida eterna e eu o ressuscitarei no último dia”. (Jesus Cristo)
iv
AGRADECIMENTOS
Em primeiro lugar a Deus por me dar o dom da vida em segundo lugar aos meus pais, minha filha e parentes, pelo apoio e incentivo em todos os sentidos e que sempre estiveram ao meu lado me ajudando de alguma forma para que eu pudesse atingir os meus objetivos.
Ao Mestre Fernando Parente Garcia, meu orientador no curso de graduação, pela orientação neste trabalho, por incentivo à pesquisa, pela amizade e cavalheirismo, pelo aprendizado nas suas aulas da graduação, pelo exemplo de atitude científica, dedicação acadêmica e por entender as dificuldades que passei com a perda de meu pai.
A todos os professores da Unifor que, de uma forma ou de outra, contribuíram para o meu crescimento pessoal e profissional.
A todas as pessoas que me ajudaram direta e indiretamente para a realização de meus objetivos. Por fim, à minha família: ao meu pai, ao qual perdi em março deste ano, pelos conselhos, suporte, caráter e por ser exemplo de determinação e perseverança, à minha mãe, pelo amor, dedicação, entusiasmo, paciência, motivação, carinho e afeto.
v
RESUMO
Este trabalho apresenta uma avaliação comparativa entre as Redes Privadas Virtuais (VPN) e as Redes Privadas Virtuais baseadas em MPLS (MultiProtocol Label Switching). O propósito é analisar e avaliar o desempenho destas duas tecnologias realizando um estudo comparativo no que se refere a escalabilidade, custos, qualidade de serviço e engenharia de tráfego. Inicialmente, são abordados os funcionamentos das redes públicas FRAME RELAY, ATM e IP. Em seguida são apresentados os conceitos utilizados nas VPN’s e VPN’s MPLS, seu funcionamento, formação de VPN’s e aplicações. Finalmente, diante de todos os conceitos da tecnologia MPLS, e das tradicionais redes VPN’s, é apresentado, um estudo comparativo entre as duas tecnologias, encerrando com um estudo de caso, onde acontece uma análise de qual seria a melhor tecnologia a ser aplicada no cenário proposto.
Palavras-chave: VPN IP, VPN IP MPLS, Redes Privadas Virtuais, Label, Segurança, escalabilidade, Engenharia de tráfego.
vi
SUMÁRIO INTRODUÇÃO ........................................................................................................ 13 1. REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS....................................... 16 1.1. REDES FRAME RELAY.............................................................................. 16 1.1.1. Características .................................................................................. 17 1.1.1.1. Estrutura do Frame – Protocolo .......................................... 18 1.1.1.2. Circuitos Virtuais ................................................................. 21 1.1.1.2.1. Permanent Virtual Circuit (PVC) ......................... 21 1.1.1.2.2. Switched Virtual Circuit (SVC) ............................ 21 1.1.2. Controle de tráfego e congestionamento ......................................... 22 1.1.2.1. Aviso de Congestionamento.................................................. 22 1.1.2.1.1. Aviso Explícito de Congestionamento .................. 23 1.1.2.1.2. Aviso Implícito de Congestionamento................... 24 1.1.2.1.3. Elegibilidade para Descarte.................................. 24 1.1.2.2. Estado das Conexões ........................................................... 25 1.1.2.3. Sinalização SVC.................................................................... 26 1.1.3. Aplicações .......................................................................................... 26 1.1.3.1. Interligação de Redes LAN.................................................... 27 1.1.3.2. Voz sobre Frame Relay (VoFR) ........................................... 28 1.1.3.3. Interação Frame Relay - ATM ............................................... 29 1.2. REDES ATM (Asynchronous Transfer Mode) ................................................. 30 1.2.1. Características .................................................................................... 30 1.2.1.1. Estrutura da Célula ............................................................... 31 1.2.1.2. Conexões Virtuais ................................................................ 32 1.2.2. Controle de trafego ............................................................................. 35 1.2.3. Congestionamento.............................................................................. 36 1.2.4. Aplicações .......................................................................................... 38 1.2.4.1. Interligação de Redes Corporativas ..................................... 38 1.2.4.2. Interação ATM - Frame Relay .............................................. 40 1.2.5. Tipos de serviços ................................................................................ 41 1.3. REDES IP (Internet PROTOCOL) ................................................................... 42
vii
1.3.1. Características .................................................................................... 42
1.3.1.1. Formato do Datagrama ........................................................ 44 1.3.1.2. Endereços IP ........................................................................ 46 1.3.1.2.1. Endereçamento de máquinas na mesma rede .... 49 1.3.1.2.2.Endereçamento de máquinas em redes diferentes 49 2. VIRTUAL PRIVATE NETWORK......................................................................... 51 2.1. Introdução ........................................................................................................ 51 2.2. Tunelamento .................................................................................................... 52 2.2.1. Tipos de Túneis .................................................................................. 53 2.2.1.1. Tunelamento Voluntário ........................................................ 53 2.2.1.2. Tunelamento Compulsório .................................................... 54 2.2.2. Funcionamento dos Túneis................................................................. 55 2.3. Protolocos de Tunelamento.............................................................................. 56 2.3.1. Protocolo PPTP (Point-to-Point Tunneling Protocol) .......................... 57 2.3.1.1. Arquitetura PPTP .................................................................. 58 2.3.1.2. Datagrama PPTP .................................................................. 59 2.3.2. Protocolo L2F (Layer Two Forwarding) .............................................. 61 2.3.2.1. Datagrama L2F ..................................................................... 63 2.3.3. Protocolo L2TP ................................................................................... 63 2.3.3.1. Funcionamento do L2TP ....................................................... 64 2.3.3.2. Autenticação.......................................................................... 65 2.3.3.3. Formato do Datagrama ......................................................... 65 2.3.4. Protocolo IPSec .................................................................................. 67 2.3.4.1. Estrutura do pacote IPSec .................................................... 68 2.3.4.1.1. Protocolo AH (Authentication Header) ................. 69 2.3.4.1.2. Protocolo ESP (Encapsulated Security Payload)
70
2.3.4.2. Mecanismos de Segurança IPSec ........................................ 71 2.3.4.2.1. Autenticação e Integridade dos dados.................. 71 2.3.4.2.2. Controle de acesso............................................... 72 2.3.4.2.3. Confidencialidade ................................................. 72 2.4. Segurança ........................................................................................................ 72 2.4.1. Criptografia ......................................................................................... 73 2.4.1.1.Criptografia Simétrica ............................................................. 73 viii
2.4.1.2.Criptografia Assimétrica ......................................................... 74 2.4.2. Autenticação ....................................................................................... 75 2.4.3. Integridade.......................................................................................... 76 2.5. Aplicações VPN................................................................................................ 76 2.5.1.Acesso Remoto via Internet................................................................. 76 2.5.2.Conexão de Redes Corporativas Via Internet. .................................... 77 2.5.3.Conexão de Computadores Via Intranet. ............................................ 78 2.6 Performance e QoS........................................................................................... 79 3. MULTIPROTOCOL LABEL SWITCHING ............................................................ 81 3.1. Introdução ........................................................................................................ 81 3.2. Componentes ................................................................................................... 82 3.2.1. Label Switching Routers (LSR) .......................................................... 83 3.2.2. Label Switch Path (LSP) .................................................................... 84 3.2.3. Forward Equivalence Label (FEC) ..................................................... 85 3.2.4. Label Edge Routers (LER) ................................................................. 86 3.2.5. Labels (rótulos) .................................................................................. 87 3.2.6. Label Distribution Protocol (LDP) ....................................................... 88 3.2.7. Label Information Base (LIB) ............................................................. 89 3.3. Funcionamento................................................................................................. 89 3.4. Aplicações ........................................................................................................ 91 3.4.1. Engenharia de tráfego ........................................................................ 91 3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN) ..................................... 92 4. ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS ............................. 95 4.1. Infra-estrutura de rede multiserviço .................................................................. 95 4.2. Formação de VPN’s, custos e escalabildade ................................................... 96 4.3. Qualidade de serviço........................................................................................ 98 4.4. Engenharia de tráfego ...................................................................................... 99 4.5. Segurança ........................................................................................................100 4.6. Mercado brasileiro............................................................................................101 4.7. Cenário de aplicação do MPLS ................................................................................................ 102 4.7.1. Cenário ...............................................................................................103 4.7.2. Aplicação ............................................................................................103 CONCLUSÕES .......................................................................................................106 REFERÊNCIA BIBLIOGRÁFICAS ..........................................................................108 ix
LISTA DE FIGURAS
Figura 1.1 – Estrutura do Frame ............................................................................. 19 Figura 1.2 – Estrutura do cabeçalho ....................................................................... 19 Figura 1.3 – Estado de congestionamento.............................................................. 23 Figura 1.4 – Interligação de redes LAN................................................................... 27 Figura 1.5 – Aplicação de voz sobre Frame Relay.................................................. 28 Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's .......... 29 Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's ............. 31 Figura 1.8 – Estrutura da Célula ATM ..................................................................... 32 Figura 1.9 – Conceitos para implementar as conexões ATM.................................. 32 Figura 1.10 – Conexões Virtuais ATM..................................................................... 34 Figura 1.11 – Interligação de redes coorporativas. ................................................ 39 Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s........ 40 Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s ............ 41 Figura 1.14 - Estrutura host e roteador ................................................................... 43 Figura 1.15 - Formato do Datagrama ...................................................................... 44 Figura 1.16 - Classes utilizadas na Internet ............................................................ 48 Figura 1.17 - Endereçamento na mesma rede ........................................................ 49 Figura 1.18 - Endereçamento em redes diferentes ................................................. 50 Figura 2.1 – Funcionamento básico do tunelamento............................................... 52 Figura 2.2 – Tunelamento Voluntário ...................................................................... 53 Figura 2.3 – Tunelamento Compulsório .................................................................. 54 Figura 2.4 – Tunelamento ....................................................................................... 55 Figura 2.5 – Conexão PPTP.................................................................................... 58 Figura 2.6 – Quadro PPTP ...................................................................................... 60 Figura 2.7 – Quadro de encapsulamento PPTP...................................................... 61 Figura 2.8 – Tunelamento com o Protocolo L2F ..................................................... 62 Figura 2.9 – Cabeçalho do pacote L2F ................................................................... 62 Figura 2.10 – Funcionamento do protocolo L2TP ................................................... 65 x
Figura 2.11 – Cabeçalho do Pacote L2TP .............................................................. 66 Figura 2.12 – Cabeçalho modo Transporte............................................................ 68 Figura 2.13 – Cabeçalho modo túnel ...................................................................... 68 Figura 2.14 - Estrutura do pacote IPSec. ............................................................... 69 Figura 2.15 – Cabeçalho do Protocolo AH .............................................................. 69 Figura 2.16 – Cabeçalho do Protocolo ESP ............................................................ 70 Figura 2.17 – Conexão de redes Corporativas via Internet ..................................... 77 Figura 2.18 – Conexão de redes Corporativas via Internet ..................................... 78 Figura 2.19 – Conexão de computadores via Internet............................................. 79 Figura 3.1 – LSR de Borda e LSR de Núcleo. ........................................................ 83 Figura 3.2 – Criação da LSP ................................................................................... 84 Figura 3.3 – Encaminhamento do pacote FEC........................................................ 85 Figura 3.4 – Esquema do Label Edge Routers (LER) ........................................... 86 Figura 3.5 – Cabeçalho MPLS – Shim Header........................................................ 87 Figura 3.6 – Funcionamento básico do MPLS......................................................... 90 Figura 3.7 – MPLS sobre uma Rede Privada Virtual............................................... 93 Figura 4.1 – Rede VPN com PVC’s.........................................................................104 Figura 4.2 – Rede VPN MPLS com LSP’s ..............................................................104
xi
LISTA DE TABELAS
Tabela 1.1 – Descrição dos campos do cabeçalho ................................................. 19 Tabela 1.2 – Descrição dos campos do cabeçalho ................................................. 31 Tabela 1.3 – Descrição dos campos do datagrama IP............................................ 44 Tabela 2.1 – Descrição dos campos do Cabeçalho L2F ......................................... 63 Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP .................................. 66 Tabela 2.3 – Descrição dos campos do cabeçalho AH ........................................... 69 Tabela 2.4 – Descrição dos campos do cabeçalho ESP......................................... 71 Tabela 3.1 – Descrição dos campos do Label. ....................................................... 88
xii
INTRODUÇÃO
Como a Internet é uma rede pública com transmissão aberta da maior parte dos dados, devemos estar atentos aos aspectos de segurança, isto porque, cada vez mais as corporações necessitam estar conectadas de maneira privada e confiável, para facilitar a comunicação entre suas filiais, fornecedores e clientes.
Para se conseguir tal ambiente utiliza-se normalmente linhas dedicadas, o que onera sensivelmente os custos de implementação, além dos custos com pessoal e manutenção, tendo também sérios problemas de escalabilidade.
Surge então a necessidade de uma política de segurança, para que as corporações possam manter uma comunicação segura e confiável entre os seus diversos pontos. Várias pesquisas foram realizadas para o desenvolvimento de uma tecnologia que resolvesse este e outros problemas. Entre os diversos métodos estudados, surgiu a VPN (Virtual Private Network) ou Rede Privada Virtual.
A VPN surgiu com o propósito de garantir integridade, autenticidade, confidencialidade e controle de acesso, reduzindo os riscos de ataques externos não desejados. Ela cria “túneis virtuais" de comunicação entre as redes, fazendo com que os dados trafeguem de forma criptografada pelos túneis, garantindo principalmente que os dados não sejam modificados durante a transmissão, e que as partes envolvidas na transmissão sejam identificadas corretamente e mantendo o sigilo, isto é, não permitindo que pessoas não autorizadas identifiquem o conteúdo da mensagem.
Além disso, a VPN tem se tornado uma forma de diminuir os custos para interligar as redes das empresas, pois elimina a necessidade de links dedicados de longa distância, utilizando um meio público, normalmente a Internet, para trafegar dados entre elas.
13
Ela também permite o suporte a usuários móveis, sem a utilização de bancos de modem ou servidores de acesso remoto, ajudando a aumentar a flexibilidade e diminuir os gastos com equipamentos extras.
Entretanto, em aplicações onde o tempo de transmissão é crítico, como multimídia, o uso de VPN’s deve ser analisado com mais cuidado, pois podem ocorrer problemas de desempenho e atrasos.
Dentro deste contexto surge o MPLS (Multiprotocol Label Switching), uma tecnologia emergente que além de possuir, entre suas funções nativas, a qualidade de construções de VPN’s, pode também ser utilizado com qualquer protocolo de rede para o encaminhamento de pacotes. O MPLS é um Framework1 que realiza o encaminhamento dos dados através de caminhos pré-estabelecidos, sendo feita apenas a comutação, e não o roteamento tradicional.
Dentre as vantagens desta nova tecnologia estão: • Orientação à conexão em redes IP; • Construção de VPN’s (Virtual Private Networks); • Engenharia de tráfego; • Qualidade de Serviço (QoS); • Classes de Serviço (CoS). O objetivo deste estudo é realizar uma análise e avaliação comparativa entre as Redes Privadas Virtuais (VPN’s) tradicionais e as VPN’s baseadas em 1
Framework ou arcabouço é uma estrutura de suporte definida em que um outro projeto de software pode ser organizado e desenvolvido. Um framework pode incluir programas de suporte, bibliotecas de código, linguagens de script e outros softwares para ajudar a desenvolver e juntar diferentes componentes de um projeto de software.
14
MPLS, referente a segurança, desempenho, custos, qualidade de serviço e engenharia de tráfego.
O trabalho é composto de quatro capítulos assim divididos: No capitulo 1, são abordados as características, funcionalidades e aplicações das redes públicas Frame Relay, ATM e IP, como embasamento para os capítulos posteriores. No capítulo 2, é realizado um estudo das Redes Privadas Virtuais (VPN’s), mostrando sua arquitetura, protocolos de tunelamento, segurança e como são construídos e como funcionam os “Túneis Virtuais” que garantem a integridade, autenticidade, confidencialidade e controle de acesso.
No capitulo 3, discute-se
o Multiprotocol Label Switching (MPLS),
mostrando como são quebrados os paradigmas dos roteamentos tradicionais IP através de seus rótulos, como são construídas as Redes Privadas Virtuais (VPN’s) baseadas em MPLS, a sua capacidade de melhorar a qualidade de transmissões, principalmente as multimídias, através da QoS e seu planejamento de rotas através da Engenharia de tráfego.
No quarto e último capitulo, apresentamos uma análise comparativa entre as VPN’s IP e VPN’s IP MPLS, procurando mostrar as suas vantagens e desvantagens relativo aos itens já citados anteriormente. Neste capitulo discutimos, ainda, um cenário proposto, no qual colocamos nossa opinião sobre qual seria a melhor aplicação entre as duas tecnologias discutidas.
Ao final, nas conclusões, apresentamos nossas considerações sobre o assunto tema desenvolvido nesta pesquisa.
15
CAPÍTULO I
REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS Neste capítulo será abordado o funcionamento das redes Frame Relay, ATM e IP.
1.1. REDES FRAME-RELAY No fim da década de 80 e início da década de 90, vários fatores combinados demandaram a transmissão de dados com velocidades mais altas devido a: • A migração dos aplicativos de texto para aplicativos gráficos; • O aumento do tráfego do tipo rajada (bursty) nas aplicações de dados; • O aumento da capacidade de processamento dos equipamentos de usuário (PC’s, estações de trabalho, terminais Unix);
16
• A popularização das redes locais e aplicações cliente/ Servidor; • A disponibilidade de redes digitais de transmissão. Nessa época o Bell Labs (EUA) desenvolvia a tecnologia do protocolo Frame Relay, entretanto, devido a suas características, o protocolo foi desmembrado e evoluiu como um serviço de rede independente, com padrões e recomendações elaborados por órgão internacionais de Telecomunicações [6].
O Frame Relay é uma tecnologia de comunicação de dados que é usada em muitas redes ao redor do mundo para interligar aplicações do tipo LAN, Internet e Voz.
Basicamente a tecnologia Frame Relay é definida como um serviço orientado à conexão, modo comutação de pacote (as mensagens com tamanho acima de um limite determinado devem ser quebradas em unidades menores) [1], prestado por redes de suporte que oferecem interfaces de acesso a terminais de usuários. Ela utiliza a transferência unidirecional e bidirecional de SDU’s (Unidade de dados de serviço) entre duas ou mais interfaces usuário-rede (UNI), preservando a ordem de entrega das SDU’s de uma conexão virtual que atinjam o destino. O serviço Frame Relay não garante a entrega de todas as SDU’s que transmite, podendo descartar parte dessas SDU’s por ocorrência de erros e congestionamento na rede. O Frame Relay não utiliza mecanismos de controle de erros e de fluxo, ficando estas funções a cargo do aplicativo [5] .
1.1.1. Características O Frame Relay é uma tecnologia baseada em frames (quadros), ideal para tráfego de dados IP. Para cada largura de banda selecionada, existem diferentes taxas de CIR (Seção 1.1.2.1.3).
17
As taxas de CIR, representam uma estimativa do tráfego normal do usuário durante o período de trabalho pleno, ou seja, é a taxa em que a rede se compromete a aceitar dados do usuário, garantindo a transmissão em condições normais de funcionamento [2].
Para cada circuito virtual a ser ativado na rede, o usuário deve especificar o CIR de acordo com a necessidade de sua aplicação, quanto maior o CIR selecionado, maior a garantia de tráfego. 1.1.1.1. Estrutura do Frame – Protocolo
O Frame Relay é um serviço de frames que organiza as informações em frames, ou seja, em frames de dados com endereço de destino definido, ao invés de colocá-los em slots2 fixos de tempo. Este procedimento permite ao protocolo implementar as características de multiplexação e de compartilhamento de portas, ou seja, possibilita a utilização de múltiplos canais lógicos em uma mesma linha de acesso. Isto significa que podemos, utilizando uma única linha de dados em um ponto de concentração, acessar diversos pontos remotos.
Os frames podem ter comprimento variável e, dependendo do tipo de informação da aplicação do usuário, seu tamanho pode variar de alguns poucos até milhares de caracteres. Esta funcionalidade é essencial para a interoperabilidade com aplicações do tipo LAN e outros tipos de tráfego síncrono. Essa facilidade, porém, faz com que o atraso varie em função do tamanho do frame. Entretanto, a tecnologia Frame Relay tem sido adaptada para atender até mesmo as aplicações sensíveis a atrasos, como é o caso da Voz.
O protocolo Frame Relay utiliza um frame com estrutura comum e bastante simplificada, conforme demonstram as Figuras 1.1 e 1.2. Na tabela 1.1 são descritos os campos do cabeçalho.
2
Slot é um termo em inglês para designar conector, encaixe ou espaços livres dentro da CPU, em que é possível instalar novas placas para aumentar a capacidade de processamento.
18
CABEÇALHO
INFORMAÇÕES DO USUÁRIO
FCS
FLAG
Figura 1.1 – Estrutura do Frame
DLCI 876543
BYTE 1 C/R 2
EA 1
DLCI 8765
BYTE 2 FECN BENC 4 3
DE 2
EA 1
Figura 1.2 – Estrutura do cabeçalho
Tabela 1.1 – Descrição dos campos do cabeçalho Flags
Cabeçalho
Os campos Flag inicial e Flag final delimitam o quadro. Carrega as informações de controle do protocolo. É composto por 02 bytes com as seguintes informações: • DLCI (Data Link Connection Identifier), com 10 bits, representa o número (endereço) designado para o destinatário de um PVC (Permanent Virtual Circuit, item 1.1.1.2.1) dentro de um canal de usuário, e tem significado local apenas para a porta de origem; • C/R (Command / Response), com 01 bit, é usado pela aplicação usuária, só será utilizado na hipótese de estar em modo de controle e gerencia no Frame Relay; • FECN (Foward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento receptor que procedimentos de prevenção de congestionamento devem ser iniciados; • BECN (Backward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento transmissor que procedimentos de prevenção de congestionamento devem ser iniciados; • DE (Discard Eligibility Indicator), com 01 bit, se setado igual a um, elege o quadro que contém o frame como maior candidato a descarte na hipótese de congestionamento ao longo da rede. • EA (Extension Bit), com 02 bits, é usado para indicar 19
que o cabeçalho tem mais de 02 bytes, em caso especiais, sendo zerado todos os bits, a exceção do último, quando é setado um; Informação de Contém as informações da aplicação usuária a serem transportadas através da rede Frame Relay. usuário
FCS
O FCS (Frame Check Sequence) representa o CRC (Cyclic Redundancy Check) padrão de 16 bits (x16 + x12 + x5 = 1) usado pelo protocolo Frame Relay para detectar erros existentes entre o Flag de início do frame e o próprio FCS, e pode ser usado apenas para frames com até 4096 bytes.
O fluxo básico das informações é descrito a seguir: • As informações são enviadas através da rede Frame Relay usando o DLCI, que especifica o destinatário do frame; • Se a rede tiver algum problema ao processar o frame devido à falhas ou ao congestionamento nas linhas de dados, os frames são simplesmente descartados; • A rede Frame Relay não executa a correção de erros, pois ela considera que o protocolo da aplicação de usuário executa a recuperação de falhas através da solicitação de retransmissão dos frames perdidos; • A recuperação de falhas executada pelo protocolo da aplicação, embora confiável, apresenta como resultado o aumento do atraso (delay), do processamento de frames e do uso de banda, o que torna imprescindível que a rede minimize o descarte de frames; • A rede Frame Relay requer circuitos da rede de transmissão com baixas taxas de erros e falhas para apresentar boa eficiência;
20
• Em redes de transmissão de boa qualidade, o congestionamento é de longe a causa mais freqüente de descarte de frames, demandando da rede Frame Relay a habilidade de evitar e reagir rapidamente ao congestionamento como forma de determinar a sua eficiência.
1.1.1.2. Circuitos Virtuais
A tecnologia Frame Relay é baseada no uso de Circuitos Virtuais (VC's). Um VC é um circuito de dados virtual bidirecional configurado entre duas portas quaisquer da rede, que funciona como um circuito dedicado. Existem dois tipos de VC's, o Permanent Virtual Circuit (PVC) e o Switched Virtual circuit (SVC).
1.1.1.2.1. Permanent Virtual Circuit (PVC)
O PVC é configurado pelo operador na rede através do sistema de Gerência de Rede, como sendo uma conexão permanente entre dois pontos. Seu encaminhamento através dos equipamentos da rede pode ser alterado ao longo do tempo devido à falhas ou reconfigurações de rotas, porém as portas de cada extremidade são mantidas fixas e de acordo com a configuração inicial.
A configuração dos PVC's requer um planejamento criterioso para levar em consideração o padrão de tráfego da rede e o uso da banda disponível. Sua utilização é destinada a aplicações permanente e de longo prazo e são uma alternativa aos circuitos dedicados dos sistemas TDM com boa relação custo / benefício.
1.1.1.2.2. Switched Virtual Circuit (SVC)
O SVC é disponibilizado na rede de forma automática, sem intervenção do operador, como um circuito virtual sob demanda, para atender, entre outras, as aplicações de Voz que estabelecem novas conexões a cada chamada. O estabelecimento de uma chamada usando o protocolo de sinalização do SVC é comparável ao uso normal de telefone, onde a aplicação de usuário especifica um
21
número de destinatário para completar a chamada, e o SVC é estabelecido entre as portas de origem e destino.
O estabelecimento de SVC's na rede é mais complexo que os PVC's, embora seja transparente para o usuário final. As conexões devem ser estabelecidas de forma dinâmica na rede, atendendo as solicitações de destino e banda das diversas aplicações de usuários, e devem ser acompanhadas e cobradas de acordo com o serviço fornecido.
1.1.2. Controle de tráfego e congestionamento O protocolo Frame Relay foi desenvolvido para ser o mais simples possível, a sua função básica é determinar que os eventuais problemas de erros da rede sejam resolvidos pelos protocolos dos equipamentos de usuário, mas surgiram necessidades que levaram os órgão de padronização a definir mecanismos de sinalização para três tipos de situações: Aviso de Congestionamento, Estado das Conexões e Sinalização SVC.
1.1.2.1. Aviso de Congestionamento
A capacidade de transporte da Rede Frame Relay é limitada pela sua banda disponível. Conforme o tráfego aumenta, a banda vai sendo alocada até onde não é possível receber tráfego adicional. Quando o limite da banda é atingido, a rede é considerada congestionada, embora ainda possa transportar todo o tráfego que entra. Caso os usuários continuem a enviar tráfego adicional, a rede é levada ao estado de congestionamento extremo, o que provoca a perda de frames por falta de banda. Nesse estado, os procedimentos de reenvio de pacotes perdidos pelos usuários concorrem com o tráfego existente e a rede pode entrar em colapso.
Para evitar esse tipo de situação, foram definidos os seguintes mecanismos de aviso de congestionamento: Aviso Explícito de Congestionamento, Aviso Implícito de Congestionamento e Elegibilidade para Descarte.
22
1.1.2.1.1. Aviso Explícito de Congestionamento
Este mecanismo utiliza os bits FECN e BECN do cabeçalho do frame (Seção 1.1.1.1, Tabela 1.1), para avisar aos equipamentos dos usuários sobre o estado da rede.
A Figura 1.3 ilustra um exemplo onde o equipamento B está atingindo o estado
de
congestionamento,
oriundo
de
vários
usuários,
ou
de
um
congestionamento no entroncamento que interliga B e C.
Figura 1.3 – Estado de congestionamento
A identificação do congestionamento é feita pelo equipamento B, baseado no estado de seus buffers internos ou no tamanho de suas filas de frames a enviar. Nesse momento B ativa o bit FECN desta forma todos os equipamentos de rede e de usuário envolvidos no caminho entre B e o destino dos DLCI’s afetados tomam conhecimento do congestionamento.
Além de informar aos equipamentos de destino, B ativa também o bit BECN. Novamente, todos os equipamentos de rede e de usuário envolvidos no caminho entre B e a origem dos DLCI’s afetados tomam conhecimento do congestionamento. Dependendo da inteligência do protocolo da aplicação de usuário, procedimentos de diminuição de tráfego a ser enviado para a rede podem ser iniciados.
23
O processo de ativação dos bits FECN e BECN pode ocorrer simultaneamente
em
vários
DLCI’s,
como
resultado
da
ocorrência
de
congestionamento, avisando vários equipamentos de origem e destino. [6].
1.1.2.1.2. Aviso Implícito de Congestionamento
Alguns protocolos dos equipamentos de aplicação, como o TCP/IP, possuem mecanismos para verificar o congestionamento da rede. Esses protocolos analisam, por exemplo, o atraso (delay) de resposta dos frames enviados ou a perda de frames, para detectar de forma implícita se a rede está congestionada.
Esses protocolos limitam o envio de tráfego para a rede por meio de uma janela de tempo, que permite o envio de um determinado número de frames antes que uma resposta seja recebida. Quando detecta que um congestionamento está ocorrendo, o protocolo reduz a janela de tempo, o que reduz o envio de frames, diminuindo o carregamento da rede.
Esse mesmo procedimento de ajuste da janela de tempo é normalmente usado pelos equipamentos de usuário como resultado da sinalização de congestionamento explícito dos bits FECN e BECN.
Os avisos explícito e implícito de congestionamento são complementares, e devem ser usados de forma conjunta para avaliar o envio de tráfego para a rede, como forma de evitar eventuais congestionamentos.
1.1.2.1.3. Elegibilidade para Descarte
Alguns equipamentos de usuário não têm capacidade para analisar os avisos de congestionamento, que de fato são a parte opcional do padrão Frame Relay. Entretanto, como parte do padrão básico do Frame Relay existe no cabeçalho do protocolo o bit DE (Seção 1.1.1.1, Tabela 1.1) que, se ativado, indica aos equipamentos da rede que o frame pode ser descartado em caso de congestionamento.
24
Para definir o procedimento de ativação do bit DE, o padrão Frame Relay definiu o CIR (Committed Information Rate), que representa uma estimativa do tráfego normal do usuário durante o período de trabalho pleno, ou seja, é a taxa em que a rede se compromete a aceitar dados do usuário, garantindo a transmissão em condições normais de funcionamento [2]. Para cada VC a ser ativado na rede, o usuário deve especificar o CIR de acordo com a necessidade de sua aplicação. Normalmente o CIR é especificado como sendo uma porcentagem da capacidade máxima da porta física onde é conectado o equipamento de aplicação do usuário, ou seja, para uma porta de 64 kbits/s, por exemplo, pode-se adotar um CIR de 32 kbits/s (50%) a ser configurado para o circuito virtual. Desta forma, tanto os equipamentos de usuário como os de rede passam a ativar o bit DE toda vez que um frame a ser enviado ultrapasse o CIR configurado para o respectivo circuito virtual. Isto implica que, em caso de congestionamento, os frames que possuem o bit DE ativado são de preferência descartados para tentar normalizar o carregamento da rede [6].
Independente do estado do bit DE qualquer tipo de frame é descartado, quando o bit DE ativado não é suficiente para acabar com o congestionamento.
1.1.2.2. Estado das Conexões
Este tipo de sinalização define como os equipamentos do usuário e os da rede Frame Relay podem comunicar o status das portas e dos vários VC’s configurados para cada porta. São utilizados alguns frames especiais com DLCI's que são trocados entre a rede e as aplicações de usuário.
Esses frames monitoram o estado da conexão e fornecem as seguintes informações: • Estado ativo ou não da interface ou porta; • Os DLCI's válidos definidos para uma determinada porta ou interface;
25
• O estado de cada VC, como por exemplo, se ele está congestionado ou não.
Vale ressaltar que, como esta sinalização é opcional no Frame Relay, nem todos os equipamentos de usuário ou da rede possuem este tipo de funcionalidade implementada.
1.1.2.3. Sinalização SVC
A sinalização SVC (Seção 1.1.1.2.2) é apenas um procedimento para estabelecer um SVC de acordo com a demanda de uma determinada aplicação do usuário, não informando qual o estado atual da rede, ou seja, ela trata apenas do estabelecimento e controle de um determinado SVC, de forma automática na rede.
O padrão Frames Relay define as mensagens e os procedimentos necessários para ativar um SVC. Basicamente a rede avisa ao destinatário que existe uma demanda para estabelecer uma conexão, e ele deve decidir se aceita ou não. Se for aceita, a rede configura o SVC na rede entre a origem e o destinatário. Assim que o SVC estiver ativo, os equipamentos de aplicação da origem e do destino podem iniciar a transferência de informações. Quando as aplicações não necessitarem mais da conexão, qualquer um ou ambos comunicam à rede que desativa o SVC.
1.1.3. Aplicações Existe um variado leque de aplicações para Frame Relay, em virtude da flexibilidade e da amplitude de suas características. Comentaremos a seguir alguma delas como: Interligação de Redes LAN's, Voz sobre Frame Relay, Interação Frame Relay – ATM.
26
1.1.3.1. Interligação de Redes LAN
A interligação de redes LAN's compondo uma rede WAN, é uma aplicação típica para o uso da tecnologia Frame Relay. O tráfego usual das redes de dados é normalmente de dois tipos: interativo (comando - resposta), ou seja, solicitação de usuários, aplicações de clientes e respostas de aplicações servidoras, e por rajadas (bursty), quando grandes quantidades de dados são transferidas de forma não contínua.
O Frame Relay pode transportar múltiplas aplicações e protocolos correspondentes a diversos ambientes de comunicação de clientes. Em particular, adaptam-se especialmente bem as necessidades de interconexão de redes LAN’s e as arquiteturas de comunicação predominantes. Dirige-se ao ambiente corporativo, entendendo-se como tal às comunicações internas e externas de uma empresa, com conectividade tanto nacional quanto internacional, que requer alta velocidade, mínimo retardo, interconexão de ambientes, multiprotocolo, desempenho garantido, alta disponibilidade, arquitetura de rede flexível e de fácil evolução.
Figura 1.4 – Interligação de redes LAN O serviço Frame Relay foi projetado para uso em segmentos de LAN’s com bridges3 [3] (pontes), ou seja, uma organização com escritórios (Figura 1.4) em diferentes localidades pode obter uma conexão Frame Relay para cada escritório, e
3
Bridge é um dispositivo eletrônico que conecta uma LAN a outra LAN.
27
então usar a conexão para encaminhar pacotes de um segmento de LAN em um site a um segmento de LAN no outro.
1.1.3.2. Voz sobre Frame Relay (VoFR)
A tecnologia Frame Relay atende aos requisitos de redução de custos e de complexidade das grandes redes corporativas em relação ao transporte de Voz e dados, isto porque, existe a possibilidade de transportar a Voz proveniente de PABX's, sinais de fax e de modens, e os dados através da mesma porta Frame Relay usando procedimentos comuns de gerenciamento e manutenção.
Figura 1.5 – Aplicação de voz sobre Frame Relay
Esta modalidade prevê a utilização de equipamentos multiplexadores, conhecidos como FRAD’S (Frame Relay Acess Devices), a serem instalados nas dependências dos usuários de modo a realizar a integração de voz e dados através de um único acesso à rede Frame Relay. Estes FRAD’S (Figura 1.5) possuem aplicações para a interligação dos equipamentos de telefonia e de rede local dos usuários a uma interface Frame Relay capaz de concentrar ambos os tráfegos. Eles
comprimem os canais de voz em taxas de Kbits/s efetuando ainda a supressão do silêncio, ou seja, não são transportados quadros sem sons [10].
28
1.1.3.3. Interação Frame Relay - ATM
Procurando aumentar a interoperabilidade do Frame Relay com outros protocolos de dados, o FR Fórum e o ATM Fórum, órgãos responsáveis pelo desenvolvimento de Acordos de Implementação, desenvolveram padrões para interligar equipamentos dessas duas tecnologias através de PVC's, são eles: Frame Relay / ATM Network Interworking for PVC's e o Frame Relay / ATM Service Interworking for PVC's. •
Frame Relay / ATM Network Interworking for PVC's - padroniza uma funcionalidade responsável pelo encapsulamento dos PVC's para que os mesmos possam ser transportados indistintamente nas redes das duas tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como núcleo uma rede ATM (Figura 1.6), para otimizar ainda mais o uso de banda e a segurança.
Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's •
Frame Relay / ATM Service Interworking for PVC's - padroniza uma funcionalidade responsável pela conversão dos protocolos (FR <--> ATM), que pode ser incorporada tantos aos equipamentos de acesso como aos equipamentos da rede. Seu uso típico ocorre quando a corporação possui redes Frame Relay em alguns escritórios e que devem se interligar com a rede ATM de sua matriz, conforme ilustrado na Figura 1.7.
29
Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's
1.2. REDES ATM (ASYNCHRONOUS TRANSFER MODE) O ATM foi projetado no início dos anos 90, nessa época consolidava-se o desenvolvimento da tecnologia Frame Relay. Entretanto, a crescente necessidade de uso de banda e de classes de serviços diferenciadas, de acordo com o tipo de aplicação, levou ao desenvolvimento da tecnologia ATM, com padrões e recomendações elaborados por órgão internacionais de Telecomunicações e suportados pela indústria mundial. Em português ATM significa “modo de transferência assíncrono”, e surgiu através do organismo ITU-T (International Telecommunication Union - Telecommunication).
O ATM é baseado na transmissão de dados de pequenas unidades de informação, denominadas de células, com tamanho fixo e formato padronizado, que são transmitidas através de conexões com VC’s e tem seu encaminhamento baseado na informação dos cabeçalhos contidos em cada uma delas. O ATM é capaz de suportar diferentes tipos de serviços, desde os de tempo real (voz e vídeo) até a transmissão de dados entre computadores [11].
1.2.1. Características A tecnologia ATM utiliza a multiplexação e comutação de pacotes dispondo de um serviço de transferência de dados orientado a conexão, em modo assíncrono, atendendo as necessidades de diversos tipos de aplicações de dados, voz, áudio e vídeo.
30
Diferentemente do Frame Relay, o ATM utiliza um pacote de tamanho fixo denominado célula, onde cada célula ATM enviada para a rede contém uma informação de endereçamento que estabelece uma conexão virtual entre origem e destino.
1.2.1.1. Estrutura da Célula
A célula do protocolo ATM utiliza uma estrutura simplificada com tamanho fixo de 53 bytes, sendo 48 bytes para a informação e 5 bytes [7] para o cabeçalho (Figura 1.8). O campo de Cabeçalho carrega as informações de controle do protocolo. Devido a sua importância, possui mecanismo de detecção e correção de erros para preservar o seu conteúdo, conforme Tabela 1.2.
Figura 1.8 – Estrutura da Célula ATM
Tabela 1.2 – Descrição dos campos do cabeçalho
VPI (Virtual Path Identifier)
VCI (Virtual Channel Identifier)
com 12 bits, representa o número da rota virtual até o destinatário da informação útil, e tem significado local apenas para a porta de origem. Nas conexões UNI o VPI pode ainda ser dividido em 2 campos: o GFC (Generic Flow Control), com 4 bits, que identifica o tipo de célula para a rede, e o VPI propriamente dito, com 8 bits. com 16 bits, representa o número do canal virtual dentro de uma rota virtual específica. Também se refere ao destinatário da informação útil e tem significado local apenas para a porta
31
PT (Payload Type)
CLP (Cell Loss Priority)
HEC (Header Error Check)
Informação Útil
de origem. com 3 bits, identifica o tipo de informação que a célula contém: de usuário, de sinalização ou de manutenção. com 1 bit, indica a prioridade relativa da célula. Células de menor prioridade são descartadas antes que as células de maior prioridade durante períodos de congestionamento. com 8 bits, é usado para detectar e corrigir erros no cabeçalho. com 384 bits (48 bytes) carrega as informações de usuário ou de controle do protocolo. A informação útil é mantida intacta ao longo de toda a rede, sem verificação ou correção de erros. A camada ATM do protocolo considera que essas tarefas são executadas pelos protocolos das aplicações de usuário ou pelos processos de sinalização e gerenciamento do próprio protocolo para garantir a integridade desses dados. Quando a informação é de controle do protocolo, o primeiro byte é usado como campo de controle e os demais bytes contém informação de sinalização, configuração e gerenciamento da rede.
1.2.1.2. Conexões Virtuais
A tecnologia ATM é baseada no uso de VC’S. O ATM implementa essas conexões virtuais utilizando três conceitos (Figura 1.9):
Figura 1.9 – Conceitos para implementar as conexões ATM
• TP (Transmission Path): é a rota de transmissão física entre dois equipamentos da rede ATM.
32
• VP (Virtual Path): é a rota virtual configurada entre dois equipamentos adjacentes da rede ATM. O VP usa como infra-estrutura os TP’s. Um TP pode ter um ou mais VP’s. Cada VP tem um identificador VPI (Virtual Paths Identifier), que deve ser único para um dado TP. • VC (Virtual Channel): é o canal virtual configurado também entre dois equipamentos adjacentes da rede ATM. O VC usa como infra-estrutura o VP. Um VP pode ter um ou mais VC’s, Cada VC tem um identificador VCI (Virtual Channel Identifier), que também deve ser único para um dado TP.
A partir desses conceitos, definem-se dois tipos de conexões virtuais: • VPC (Virtual Paths Connection): é a conexão de rota virtual definida entre dois equipamentos de acesso ou de usuário. Uma VPC é uma coleção de VP’s configuradas para interligar origem e destino. • VCC (Virtual Channel Connection): é a conexão de canal virtual definida entre dois equipamentos de acesso ou de usuário. Uma VCC é uma coleção de VC’s configuradas para interligar origem e destino.
Essas conexões são sempre bidirecionais, embora a banda em cada direção possa ter taxas distintas ou até mesmo zero. Ao serem configuradas, apenas os identificadores VPI / VCI nas conexões UNI4 da origem e do destino tem os mesmos valores. Nas conexões NNI5 entre equipamentos os valores de VPI / VCI são definidos em função da disponibilidade de VP’s ou VC’s [19], conforme mostra a Figura 1.10.
4 5
User-Network Interface (UNI), é a conexão entre equipamentos de acesso e equipamentos de rede. Network Node Interface (NNI), é a conexão entre equipamentos de rede.
33
Figura 1.10 – Conexões Virtuais ATM O ATM é um protocolo orientado a conexão. A rede estabelece uma conexão através de um procedimento de sinalização, ou seja, um pedido de estabelecimento de conexão é enviado pela origem até o destinatário através da rede. Se o destinatário concorda com a conexão, um VCC / VPC é estabelecido na rede, definido o VPI / VCI da conexão entre as UNI de origem e de destino, e alocando os recursos dos VP’s e / ou VC’s ao longo da rota.
Como o ATM usa a técnica de roteamento para enviar as células, ao configurar um VPC ou VCC, o sistema usa como parâmetros os endereços ATM dos equipamentos de origem e destino, e o VPI / VCI adotado. Essas informações são então enviadas para as tabelas de roteamento dos equipamentos de rede, que usam para encaminhar as células. A partir dessas conexões virtuais o ATM implementa todos os seus serviços. Em especial, o ATM implementa também os circuitos virtuais (VC) mais comuns, quais sejam: • PVC (Permanent Virtual Circuit): esse circuito virtual é configurado pelo operador na rede através do sistema de Gerência de Rede, como sendo uma conexão permanente entre 2 pontos. Seu encaminhamento através dos equipamentos da rede pode ser alterado ao longo do tempo devido à falhas ou reconfigurações de rotas, porém as portas de cada extremidade são mantidas fixas e de acordo com a configuração inicial. • SVC (Switched Virtual Circuit): esse circuito virtual é disponibilizado na rede de forma automática, sem intervenção do operador, para atender, entre outras, as aplicações de Voz que estabelecem novas conexões a
34
cada chamada. O estabelecimento de uma chamada é comparável ao uso normal de telefone, onde a aplicação de usuário especifica um número de destinatário para completar a chamada, e o SVC então é estabelecido entre as portas de origem e destino.
1.2.2. Controle de tráfego Os mecanismos de sinalização do protocolo ATM são parte dos seus mecanismos de controle. As funções principais definidas são as seguintes: • Estabelecimento e finalização de conexões ponto a ponto; • Seleção e alocação de VPI / VCI (Seção 1.2.1.1, Tabela 2.1); • Solicitação de classe de qualidade de serviço; • Identificação de solicitante de conexão; • Gerenciamento básico de erros; • Notificação de informações na solicitação de conexões; • Especificação de parâmetros de tráfego. O ATM possui procedimentos de sinalização específicos para essas funções baseados no envio de mensagens a partir dos equipamentos de acesso de origem para os equipamentos de destino, a fim de negociar ao longo da rede o estabelecimento de conexões.
É basicamente uma evolução dos procedimentos de estabelecimento de chamadas dos sistemas de telefonia convencional aplicados às redes de dados, com sinalizações indicando se a conexão pode ser efetuada ou não, se ela deve ou não ser terminada de forma normal ou anormal e o estado da conexão. Sua duração
35
pode ser variável, para uma conexão estabelecida sob demanda e de forma automática, ou permanente, para uma conexão configurada pelo operador que deve estar sempre disponível.
A partir desse conjunto de funções podem ser estabelecidas as diversas funcionalidades dos serviços existentes no ATM. Entre elas podemos citar: • Estabelecimento de conexões ponto-a-ponto; • Estabelecimento de conexões ponto-multiponto; • Estabelecimento de conexões multiponto-multiponto; • Estabelecimento de conexões multicast (um para muitos unidirecional).
1.2.3. Congestionamento A capacidade de transporte da Rede ATM é limitada pela sua banda disponível. Conforme o tráfego a ser transportado aumenta, a banda vai sendo alocada até onde não for possível receber o tráfego adicional. Quando atinge esse limite, a rede é considerada congestionada, embora ainda possa transportar todo o tráfego que entra.
Caso os equipamentos de usuário continuem a enviar tráfego adicional, a rede é levada ao estado de congestionamento severo, o que provoca a perda de células por falta de banda. Nesse estado, os procedimentos de reenvio de pacotes perdidos dos equipamentos usuários concorrem com o tráfego existente e a rede entra em acentuado processo de degradação.
O ATM possui os seguintes mecanismos de gerenciamento de congestionamento:
36
• Alocação de Recursos: evita que ocorra o congestionamento fazendo o controle severo de alocação dos recursos de armazenamento (buffers) dos equipamentos e de banda, e recusando as solicitações de novas conexões. • UPC (Usage Parameter Control): se o processo de controle do uso da rede indicar estado de descarte, os equipamentos situados na periferia da rede não aceitam novo tráfego evitando o congestionamento. • CAC (Connection Admission Control): caso o parâmetro de admissão de novas conexões estiver selecionado para “cheio”, não serão aceitas novas conexões porque não é possível garantir a qualidade de serviços com os recursos existentes.
Além disso, outros mecanismos para evitar o congestionamento estão inseridos no próprio protocolo ou nos processos de gerenciamento do sistema, conforme descrito a seguir: • Aviso Explícito de Congestionamento: este mecanismo utiliza o bit EFCI (Explicit Foward Congestion Indication) do campo PT (Seção 1.2.1.1, Tabela 2.1) do cabeçalho da célula para avisar os equipamentos de usuários e de rede sobre o estado da rede. O equipamento que se encontra em estado de congestionamento ou na iminência de entrar nesse estado, ativa o bit. Desta forma podem ser iniciados procedimentos de controle de fluxo para diminuir o tráfego até que este se normalize. • Alteração de Prioridade da Célula: caso o processo de verificação de uso da rede verificar a ocorrência de congestionamento, este pode ativar o bit CLP (Seção 1.2.1.1, Tabela 2.1) do cabeçalho das células, forçando o seu descarte até que a rede se normalize.
37
• Controle de Estabelecimento de Conexões: o processo de admissão de novas conexões atinge o estado de sobrecarregado e recusa as chamadas até que a rede se normalize. • Algoritmos de Controle de Fluxo: em alguns sistemas ATM são usados algoritmos de controle de fluxo, baseados em janelas de tempo de resposta de envio de células, taxa de envio variável de células ou quantidade de células para envio, os quais permitem ao sistema obter um feedback do estado de congestionamento de forma implícita e agir para normalizar o problema.
1.2.4. Aplicações A tecnologia ATM é capaz de suportar diferentes tipos de serviços, desde as de tempo real, como voz e vídeo, até a transmissão de dados entre computadores que satisfazem os requisitos exigidos pelos diferentes tipos de tráfego com altas velocidades de transmissão, como: Interligação de redes corporativas, interação ATM – Frame Relay.
1.2.4.1. Interligação de Redes Corporativas
A interligação das redes corporativas (LAN) compondo uma rede WAN, é uma aplicação típica para o uso da tecnologia ATM. O tráfego usual das redes de dados é normalmente composta por dois tipos: • interativo (comando–resposta), ou seja, solicitação de usuários, aplicações de clientes e respostas de aplicações servidoras; • por rajadas, quando grandes quantidades de dados são transferidas de forma não contínua.
O ATM, através de roteadores instalados nos escritórios, permite utilizar uma porta única em cada escritório, para compor redes do tipo malha, onde, a
38
comunicação de um escritório com todos os outros é possível sem a complexidade do uso de múltiplas portas e múltiplos circuitos dedicados.
O transporte de Voz, fax e sinais de modens analógicos sobre ATM atende os requisitos de atraso (delay) específicos para esse tipo de aplicação, já que pode ser definida a qualidade de serviço necessária. Ele pode ainda oferecer na mesma estrutura, serviços adicionais como os serviços de voz e mesmo de vídeo conferência ponto a ponto ou ponto multiponto.
Os sistemas de vídeo conferência podem fazer uso dos serviços de tempo real do ATM para vídeo comprimido, utilizando parte da banda alocada para cada escritório, com pleno atendimento aos seus requisitos de tempo e taxa de bits.
A aplicação interligando redes corporativas, é realizada basicamente da seguinte forma (Figura 1.11):[1] Primeiro o usuário deve encontrar o endereço ATM do servidor de emulação de LAN (LES), para que possa se juntar a uma rede virtual; depois determinar o tipo de rede virtual a qual ele está prestes a se juntar e o tamanho máximo de quadros nela utilizado; uma vez que o usuário tem todas as informações, ele se junta a rede, para tanto ele cria uma conexão com o LES, envia a ele uma solicitação de entrada, contendo o seu endereço ATM, tipo de LAN e tamanho máximo de quadros, o LES envia uma resposta a solicitação de entrada, que pode confirmar a aceitação da solicitação do usuário ou recusá-la. Se recusada a solicitação, o usuário ao terminar a conexão poderá recomeçar todo o processo,
Figura 1.11 – Interligação de redes
39
caso contrário, o registro sendo aceito no LES, o usuário solicita a ele o envio do endereço ATM de conexão, então o usuário também estabelece a conexão.
1.2.4.2. Interação ATM - Frame Relay
Com
o
objetivo
de
desenvolver
padrões
para
aumentar
a
interoperabilidade entre ATM e Frame Relay, foram desenvolvidos pelo ATM Forum e o FR Forum dois padrões para interligar essas duas tecnologias através de PVC’s.
A primeira, chamada de Frame Relay / ATM Network Interworking for PVC’s, padroniza uma funcionalidade responsável pelo encapsulamento dos PVC’s para que os mesmos possam ser transportados indistintamente nas redes das duas tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como núcleo uma rede ATM, para otimizar ainda mais o uso de banda e a segurança [19]. A Figura 1.12 apresenta esta solução.
Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s A segunda forma, chamada de Frame Relay/ATM Service Interworking for PVC’s, padroniza uma funcionalidade responsável pela conversão dos protocolos (Frame Relay – ATM), que pode ser incorporada tanto aos equipamentos de acesso como aos equipamentos da rede. Seu uso típico ocorre quando o usuário possui redes Frame Relay, por exemplo, em filiais que devem se interligar com a rede ATM da matriz. A Figura 1.13 apresenta esta solução.
40
Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s
1.2.5. Tipos de serviços A tecnologia ATM define classes de serviços baseado em vários parâmetros aos quais comentaremos algumas delas como:[11] CBR (Constant Bit Rate), VBR (Variable Bit Rate), ABR (Available Bit Rate) e UBR (Unspecified Bit Rate). •
CBR – A taxa de transmissão constante é aplicada a conexões que necessitam de banda fixa (estática) devido aos requisitos de tempo bastante apertados entre a origem e o destino. Aplicações típicas deste serviço são: áudio interativo (telefonia), distribuição de áudio e vídeo (televisão, pay-per-view, etc), áudio e vídeo on demand, e emulação de circuitos TDM.
•
VBR – A taxa de transmissão variável pode ser de tempo real ou não. Na modalidade tempo real (rt-VBR), é aplicado a conexões que tem requisitos apertados de tempo entre origem e destino, porém a taxa de bits pode variar. Aplicações típicas deste serviço são voz com taxa variável de bits e vídeo comprimido (MPEG, por exemplo). Na modalidade não tempo real (nrt-VBR), o VBR pode ser utilizado com ou sem conexão, destina-se a conexões que, embora críticas e com requisitos de tempo apertados, podem aceitar variações na taxa de bits. Aplicações típicas deste serviço são os sistemas de reserva de aviação, home banking, emulação de LAN’s e interligação de redes com protocolos diversos (interação com redes Frame Relay, etc.).
41
•
ABR – A taxa de transmissão disponível é aplicada a conexões que transportam tráfego em rajadas que podem prescindir da garantia de banda, variando a taxa de bits de acordo com a disponibilidade da rede ATM. Aplicações típicas deste serviço também são as interligações entre redes (com protocolo TCP/IP, entre outros) e a emulação de LAN’s onde os equipamentos de interfaces têm funcionalidades ATM.
•
UBR – A taxa de transmissão não especificada é aplicada a conexões que transportam tráfego que não tem requisitos de tempo real e cujos requisitos e atraso ou variação do atraso são mais flexíveis. Aplicações típicas deste serviço também são as interligações entre redes e a emulação de LAN’s que executam a transferência de arquivos e e-mails.
1.3. REDES IP (INTERNET PROTOCOL) O protocolo Internet (IP), definido e aprovado pelo DoD (Departamento de Defesa Americano), foi concebido para uso em sistemas de computação interconectados através de comutação de pacotes [12].
Como o principal objetivo da Internet era manter a informação circulando entre os principais centros de conhecimento e os centros militares, mesmo em caso de guerra, o protocolo de rede deveria ser robusto e autoconfigurável, garantindo alguma imunidade quanto à destruição das linhas de comunicação e/ou destes centros. O elemento que mantém a Internet unida é o protocolo da camada de rede, é o IP (Internet Protocol). Ao contrário da maioria dos protocolos de rede mais antigos, o IP foi projetado desde o início tendo como objetivo principal à interligação de redes [4].
1.3.1. Características O Protocolo IP é responsável pela comunicação entre máquinas em uma estrutura de rede TCP/IP [13]. Ele provê a capacidade de comunicação entre cada
42
elemento componente da rede para permitir o transporte de uma mensagem de uma origem até o destino. O protocolo IP provê um serviço sem conexão e não-confiável entre máquinas em uma estrutura de rede. Qualquer tipo de serviço com estas características deve ser fornecido pelos protocolos de níveis superiores. As funções mais importantes realizadas pelo protocolo IP são a atribuição de um esquema de endereçamento independente do endereçamento da rede utilizada abaixo e independente da própria topologia da rede utilizada, além da capacidade de rotear e tomar decisões de roteamento para o transporte das mensagens entre os elementos que interligam as redes.
Na arquitetura TCP/IP, os elementos responsáveis por interligar duas ou mais redes distintas são chamados de roteadores. As redes interligadas podem ser tanto redes locais, redes geograficamente distribuídas, redes de longa distância com chaveamento de pacotes ou ligações ponto-a-ponto seriais. Um roteador tem como característica principal a existência de mais de uma interface de rede, cada uma com seu próprio endereço específico. Um roteador pode ser um equipamento específico ou um computador de uso geral com mais de uma interface de rede. Por outro lado, um componente da arquitetura TCP/IP que é apenas a origem ou destino de um datagrama IP (não realiza a função de roteamento) é chamado de host. A Figura 1.14 representa esta arquitetura.
Figura 1.14 - Estrutura host e roteador
43
1.3.1.1. Formato do Datagrama
A Figura 1.15 e a Tabela 1.3 mostram respectivamente o cabeçalho de um datagrama IP e a descrição de seus campos [9]. Seu tamanho mínimo é de 20 bytes, mas pode variar em função das opções.
Figura 1.15 - Formato do Datagrama
Tabela 1.3 – Descrição dos campos do datagrama IP 4 bits, identifica a versão do protocolo IP usada no Version
datagrama.
Datagramas
recebidos
com
versões
não
conhecidas devem ser simplesmente ignorados. 4 bits, informa o comprimento do cabeçalho em palavras de 32 bits (4 octetos ou 4 bytes). O tamanho mínimo do cabeçalho é de 5 palavras de 32 bits (20 octetos), e o IHL (Internet Header Length )
tamanho máximo (o campo Option 3 + Padding tem tamanho variável) é de 15 palavras de 32 bits (60 octetos). Aponta para o campo de dados. O tamanho variável permite o uso de campos opcionais, mas dificulta o processamento. Por isso, seu uso deve ser evitado. 8 bits, define a qualidade do serviço (QOS) desejada , mas é ignorado na maioria das implementações. Com o uso deste
TOS (Type of service)
campo é possível escolher as prioridades de serviço para aplicações do tipo interativa, de transferência em massa ou de tempo real.
44
16 bits, é o tamanho total, em bytes, do datagrama (ou de um fragmento), incluindo o cabeçalho. Todos os hosts devem Total Length
aceitar datagramas de, pelo menos, 576 bytes. O valor máximo a ser usado numa sub-rede pode ser negociado entre os hosts. 16 bits, número de identificação do datagrama para permitir
Identification Flags
que o destino remonte os datagramas. 3 bits, identificam a transmissão de sinais de controle. 13 bits, esse campo indica a posição desse fragmento em relação ao do datagrama original. O valor desse campo é
Fragment Offset
expresso em unidades de 8 octetos (64 bits), portanto o tamanho mínimo do campo de dados de um fragmento é de 64 bits. O primeiro fragmento tem valor 0 nesse campo. 8 bits, a cada nó (roteador) por onde o datagrama passa, este campo deve ser decrementado de uma unidade de vida. Os roteadores mais inteligentes podem decidir por decrementar um valor proporcional ao tempo despendido pelo datagrama
TTL (Time to Live)
em seus buffers. Quando o valor do TTL chega a zero, o datagrama é descartado e uma mensagem é enviada ao emissor, através do protocolo ICMP. O objetivo de toda esta operação é evitar que um erro nas tabelas de roteamento permita
que
alguns
datagramas
fiquem
circulando
eternamente pela rede. 8 Protocol
bits,
identificador
do
protocolo
usado
na
camada
imediatamente acima. 16 bits, faz a verificação da soma do cabeçalho garantindo a
Header Checksum
integridade do cabeçalho IP. Caso haja erro o datagrama deve ser ignorado, mas não garante a integridade dos dados.
Source Address
32 bits, endereço de origem do datagrama.
Destination Address
32 bits, endereço destino do datagrama. tem tamanho variável, entre 0 e 320 bits, este campo pode
Options
ser usado para usar serviços extras. Apesar do nome, todas as implementações de IP devem suportar todas as opções.
45
Alguns exemplos de opções válidas: • Source Routing: especifica no datagrama qual a rota a ser seguida, retirando esta liberdade do roteador. Em geral é usado para testes de rede. • Record Route: anota a rota por onde o datagrama passou, roteador por roteador. • Time Stamps: além de anotar a rota, anota também o horário em cada ponto. • Formato: 32 bits, milisegundos após meia-noite, em relação a GMT. Usado apenas como referência, uma vez que a sincronização de tempo entre os roteadores é muito difícil de ser realizada. tamanho variável, entre 0 e 31 bits, serve apenas para que o cabeçalho IP tenha um tamanho múltiplo de 32 bits. Só se faz
Padding
o enchimento (obrigatoriamente com 0), se o tamanho do campo Option não for múltiplo de 32 bits.
1.3.1.2. Endereços IP
Um endereço IP é um identificador único para certa interface de rede de uma máquina. Este endereço é formado por 32 bits (4 bytes) e possui uma porção de identificação da rede na qual a interface está conectada e outra para a identificação da máquina dentro daquela rede. O endereço IP é representado pelos 4 bytes separados por (.) e representados por números decimais. Desta forma o endereço IP: 11010000 11110101 0011100 10100011 é representado por 208.245.28.63.
Como o endereço IP identifica tanto uma rede quanto a estação a que se refere, fica claro que o endereço possui uma parte para rede e outra para a estação. Desta forma, uma porção do endereço IP designa a rede na qual a estação está conectada, e outra porção identifica a estação dentro daquela rede.
46
Uma vez que o endereço IP tem tamanho fixo, uma das opções dos projetistas seria dividir o endereço IP em duas metades, dois bytes para identificar a rede e dois bytes para a estação. Entretanto isto traria inflexibilidade, pois só poderiam ser endereçados 65536 redes, cada uma com 65536 estações. Uma rede que possuísse apenas 100 estações estaria utilizando um endereçamento de rede com capacidade de 65536 estações, o que também seria um desperdício.
A forma original de dividir o endereçamento IP em rede e estação foi feita por meio de classes [4]. Um endereçamento de classe A consiste em endereços que tem uma porção de identificação de rede de 1 byte e uma porção de identificação de máquina de 3 bytes. Desta forma, é possível endereçar até 256 redes com 2 elevado a 32 estações. Um endereçamento de classe B utiliza 2 bytes para rede e 2 bytes para estação, enquanto um endereço de classe C utiliza 3 bytes para rede e 1 byte para estação. Para permitir a distinção de uma classe de endereço para outra, utilizou-se os primeiros bits do primeiro byte para estabelecer a distinção. Nesta forma de divisão é possível acomodar um pequeno número de redes muito grandes (classe A) e um grande número de redes pequenas (classe C). Esta forma de divisão é histórica e não é mais empregada na Internet devido ao uso de uma variação que é a sub-rede, entretanto sua compreensão é importante para fins didáticos [13].
As classes originalmente utilizadas na Internet são A, B, C, D e E (Figura 1.16). A classe D é uma classe especial para identificar endereços de grupo (multicast) e a classe E é reservada para uso futuro.
A Classe A possui endereços suficientes para endereçar 128 redes diferentes com até 16.777.216 hosts (estações) cada uma.
A Classe B possui endereços suficientes para endereçar 16.284 redes diferentes com até 65.536 hosts cada uma.
A Classe C possui endereços suficientes para endereçar 2.097.152 redes diferentes com até 256 hosts cada uma.
47
As máquinas com mais de uma interface de rede (caso dos roteadores ou máquinas interligadas a mais de uma rede, mas que não efetuam a função de roteamento) possuem um endereço IP para cada uma, e podem ser identificados por qualquer um dos dois de modo independente. Um endereço IP identifica não uma máquina, mas uma conexão à rede.
Figura 1.16 - Classes utilizadas na Internet
Alguns endereços são reservados para funções especiais: • Endereço de Rede: Identifica a própria rede e não uma interface de rede específica, representado por todos os bits de host id com o valor ZERO. • Endereço de Broadcast: Identifica todas as máquinas na rede específica, representado por todos os bits de host id com o valor UM. Desta forma, para cada rede A, B ou C, o primeiro endereço e o último são reservados e não podem ser usados por interfaces de rede. • Endereço de Broadcast Limitado: Identifica um broadcast na própria rede, sem especificar a que rede pertence. Representado por todos os bits do endereço iguais a UM = 255.255.255.255.
48
• Endereço de Loopback: Identifica a própria máquina. Serve para enviar uma mensagem para a própria máquina rotear para ela mesma, ficando a mensagem no nível IP, sem ser enviada à rede. Este endereço é 127.0.0.1. Permite a comunicação inter-processos (entre aplicações) situados na mesma máquina.
1.3.1.2.1. Endereçamento de máquinas na mesma rede.
Como pode ser observado na Figura 1.17, o endereço começa por 200 (ou seja, os dois primeiros bits são 1 e o terceiro 0), eles são de classe C. Por isto, os três primeiros bytes do endereço identificam a rede. Como ambas as estações tem o endereço começando por 200.18.171, elas estão na mesma rede.
Figura 1.17 - Endereçamento na mesma rede
1.3.1.2.2. Endereçamento de máquinas em redes diferentes.
Na Figura 1.18, existem 6 redes, identificadas por 200.1.2.0, 139.82.0.0, 210.200.4.0, 210.201.0.0, 10.0.0.0 e 200.1.3.0, que ilustra um diagrama de rede com o endereçamento de máquinas em redes diferentes. Note que não há necessidade de correlação entre os endereços utilizados nas redes adjacentes. O mecanismo para que uma mensagem chegue na rede correta é o roteamento. Cada elemento conectando mais de uma rede realiza a função de roteamento IP, baseado em decisões de rotas. Mesmo os enlaces formados por ligações ponto-a-pontos são também redes distintas. 49
Talvez os aspectos mais complexos do IP sejam o endereçamento e o roteamento. O endereçamento define como os endereços IP dos hosts finais são atribuídos e como as sub-redes dos endereços de IP dos hosts são divididos e agrupados. O roteamento IP é feito por todos os host’s, mas mais comumente por roteadores de rede, que tipicamente usam qualquer protocolos IGP (Interior Gateway Protocol) ou protocolos EGP (External Gateway Protocol) para ajudar na leitura de datagramas IP que reencaminham decisões através de IP’s em redes ligadas.
Figura 1.18 - Endereçamento em redes diferentes
Neste capitulo, foram abordados as definiçoes, características e arquiteturas das redes públicas Frame Relay, ATM e IP.
No próximo capitulo serão abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
50
CAPÍTULO II VIRTUAL PRIVATE NETWORK Neste capítulo serão abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
2.1. INTRODUÇÃO A Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede particular construída sobre a infra-estrutura de uma rede pública, normalmente a Internet, ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay) para conectar redes remotas, utiliza-se da infra-estrutura da Internet, tornando-a uma opção economicamente vantajosa.
A VPN combina as vantagens de redes públicas e privadas permitindo que uma empresa com múltiplas localizações tenha a impressão de uma rede completamente privada [3]. A VPN cria um caminho seguro (túneis) dentro da rede pública, através da encriptação dos dados em uma conexão (criptografia end-toend). Essa tecnologia está sendo implementada em Firewalls, permitindo que as
51
empresas criem túneis seguros na Internet, possibilitando conexões seguras com sites remotos.
Com a utilização da infra-estrutura da Internet, consegue-se uma redução considerável com equipamentos e conexões. Contudo a segurança e a confidencialidade das informações da empresa não podem ser esquecidas, uma vez que os dados que transitam pela Internet podem ser capturados e lidos por qualquer equipamento. Para manter a privacidade nas transmissões corporativas a tecnologia VPN utiliza recursos de Criptografia (Seção 2.4.1) e de Certificação (Seção 2.4.2).
2.2. TUNELAMENTO Tunelamento é, em geral, a melhor opção para tornar redes privadas compatíveis
com
a
Internet.
Protocolos
de
Tunelamento
e
técnicas
de
encapsulamento vêm sendo usadas para integrar diferentes tipos de protocolos em um mesmo backbone e, ultimamente, estas tecnologias vêm sendo otimizadas para uso em VPN’s.
Figura 2.1 – Funcionamento básico do tunelamento
O tunelamento, Figura 2.1, basicamente funciona da seguinte forma: • Em uma conexão entre dois nós, primeiramente é feita a autenticação entre estes dois pontos para saber se a origem faz parte da rede, depois o servidor verifica quais os serviços que o usuário tem permissão para acessar;
52
• Uma vez formado o túnel, o nó de origem encapsula os pacotes em pacotes IP (o pacote original será tratado como área de dados) para transmissão via Internet. Este mesmo encapsulamento provê proteção contra usuários não-autorizados, usando técnicas de criptografia; • Na recepção, o nó de destino desencapsula o pacote original do pacote IP recebido, deixando somente as informações do protocolo da rede local.
2.2.1. Tipos de Túneis
Quanto à abertura de sessão de túneis, eles podem ser criados de duas diferentes formas: voluntárias e compulsórias.
2.2.1.1. Tunelamento Voluntário
Ocorre quando uma estação de trabalho ou um servidor utiliza um software para cliente de tunelamento para criar uma conexão até o servidor VPN.
No caso de acesso discado, o mais comum é o cliente estabelecer a conexão discada antes da criação do túnel.
Já nas LAN’s o cliente encontra-se conectado à rede que pode prover o roteamento de dados encapsulados para o servidor do túnel selecionado. Este é o caso de clientes numa LAN corporativa que inicializa túneis para alcançar uma subrede privada na mesma rede [14]. O tunelamento voluntário pode ser ilustrado na Figura 2.2.
Figura 2.2 – Tunelamento Voluntário 53
2.2.1.2. Tunelamento Compulsório
Esta configuração é conhecida como tunelamento compulsório (Figura 2.3) porque o cliente é obrigado a usar um túnel criado pelo NAS6.
Figura 2.3 – Tunelamento Compulsório
Uma vez que a conexão é estabelecida, todo o tráfego de / ou para o cliente é automaticamente enviada através do túnel, não sendo necessário que os clientes da rede possuam software cliente para tunelamento. Desta forma, o final do túnel é no servidor NAS e não no cliente, que passa a acessar as informações da outra rede por meio do servidor de autenticação.
Diferente dos túneis individualizados criados no tunelamento voluntário, um túnel entre o NAS e o servidor de túnel pode ser compartilhado por múltiplos clientes discados. Quando um cliente disca para o servidor de acesso (NAS) e já existe um túnel para o destino desejado, não se faz necessária à criação de um novo túnel redundante, o próprio túnel pode transportar os dados deste novo cliente [14].
No tunelamento compulsório com múltiplos clientes, o tunelamento só é finalizado no momento em que o último usuário do túnel se desconecta.
6
Network Acess Server ou Servidor de acesso / autenticação de rede
54
2.2.2. Funcionamento dos Túneis
A técnica de tunelamento funciona da seguinte forma: numa conexão entre dois nós, o nó de origem encapsula os pacotes de outros protocolos em pacotes IP para transmissão via Internet; O processo de encapsulamento consiste em adicionar um cabeçalho IP padrão e o pacote original ser tratado como área de dados; Na recepção, o nó de destino desencapsula o pacote original do pacote IP recebido, ou seja, remove o cabeçalho IP. Este mesmo encapsulamento provê proteção contra usuários não-autorizados, usando técnicas de criptografia.
Imagine que clientes de uma rede privada em uma filial desejam acessar informações em um servidor na rede interna de sua matriz e toda a corporação emprega túneis de VPN em suas comunicações. Os clientes fazem a requisição a um agente local através de um servidor compatível com a VPN. Este servidor de origem cria o cabeçalho de túnel especificando os endereços de Internet dos servidores de origem e destino como endereços de origem e destino do cabeçalho. Ao chegar ao servidor de destino, este desencapsula a mensagem original retirando o cabeçalho de túnel e a entrega para o servidor da Intranet. A Figura 2.4 traduz o funcionamento desta técnica.
Figura 2.4 – Tunelamento
Os túneis podem ser estáticos ou dinâmicos. Túneis estáticos, são aqueles que permanecem ativos por longos períodos de tempo, são mais apropriados para VPN’s LAN-para-LAN enquanto que túneis dinâmicos, ficam ativos apenas quando o tráfego é necessário, eles são mais seguros para VPN’s Cliente-para-LAN. 55
Em VPN’s LAN-para-LAN, um gateway de segurança em cada extremidade atua como interface entre o túnel e a LAN. Apesar disso, os clientes em cada LAN privada podem utilizar o túnel transparentemente para a comunicação entre si.
Em VPN’s Cliente-para-LAN, usuários móveis se conectam com LAN’s corporativas através de túneis dinâmicos criados a partir de sua estação móvel.
Estes túneis só são possíveis através de softwares especiais no computador do usuário móvel, projetados para garantir a proteção dos dados da LAN corporativa[15].
2.3. PROTOLOCOS DE TUNELAMENTO O tunelamento pode ocorrer nas camadas 2 ou 3 (respectivamente enlace e rede) do modelo de referência OSI (Open System interconnection), sendo necessário para estabelecimento do túnel que as suas extremidades utilizem o mesmo protocolo de tunelamento.
Os
Protocolos
de
Tunelamento
são
responsáveis
pela
abertura
e
gerenciamento de sessões de túneis em VPN’s. Estes protocolos podem ser divididos em dois grupos: • Protocolos de camada 2 (PPP7 sobre IP): transportam protocolos, de camada 3, utilizando quadros como unidade de troca. Os pacotes são encapsulados em quadros PPP; •
PPTP – Point-to-Point Tunneling Protocol ou Protocolo de tunelamento ponto a ponto;
•
L2F – Layer 2 Forwarding ou Protocolo de encaminhamento de camada 2;
•
L2TP – Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de camada 2.
7
Point-to-Point Protocol ou Protocolo ponto a ponto é o mais difundido para acesso remoto na Internet.
56
• Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los . •
IPSec – IP Security ou Protocolo de Segurança IP.
Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão, etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção do túnel.
2.3.1. Protocolo PPTP (Point-to-Point Tunneling Protocol)
O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um fórum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem.
Ele tem sido uma solução muito utilizada em VPN discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos.
O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-toPoint Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino. O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE8), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.
Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário. 8
Os protocolos de roteamento genéricos (GRE) são geralmente configurados entre roteadores fonte e roteadores de destino (pacotes ponto-a-ponto).
57
Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o NAS e o Servidor PPTP.
O cliente se conecta a um NAS e pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de Internet. Depois do cliente ter feito a conexão PPP inicial, uma segunda chamada dial-up é realizada sobre a conexão PPP existente. Os dados desta segunda conexão são enviados na forma de datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão que cria o túnel com o servidor PPTP. O esquema desta conexão pode ser visualizado na Figura 2.5.
Figura 2.5 – Conexão PPTP 2.3.1.1. Arquitetura PPTP O PPTP cria uma comunicação segura que envolve três processos [10], exigindo de cada um deles que os anteriores sejam satisfeitos, são eles: • Conexão e Comunicação PPP: o cliente PPTP usa o PPP para se conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O PPP é utilizado aqui para estabelecer a conexão e criptografar os dados; • Conexão de Controle PPTP: Utilizando a conexão estabelecida pelo PPP, o PPTP cria um controle de conexão desde o cliente até o
58
servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada de túnel PPTP; • Tunelamento de Dados PPTP: O PPTP cria os datagramas IP contendo os pacotes PPP criptografados e os envia através do túnel até o servidor PPTP. Neste servidor, os datagramas são então desmontados e os pacotes PPP descriptografados para que finalmente sejam enviados até a rede privada corporativa. No primeiro processo, o PPP, protocolo que permite enviar dados multiprotocolares encapsulados através de redes TCP/IP, é utilizado para desempenhar três funções: iniciar e terminar conexões físicas, autenticar usuários e criar datagramas PPP contendo pacotes criptografados.
No segundo processo, o PPTP especifica uma série de mensagens de controle a serem trocadas entre o cliente PPTP e o servidor PPTP. Estas mensagens estabelecem, mantêm e terminam os túneis PPTP. Elas são enviadas em pacotes de controle dentro de um datagrama TCP através de uma conexão TCP especialmente criada para trocar mensagens de controle.
Após o túnel PPTP ter sido estabelecido, os dados do usuário são finalmente transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar que o cliente PPTP não necessariamente identifica o usuário numa extremidade da comunicação. Podem haver usuários utilizando máquinas sem suporte ao PPTP e nestes casos, a comunicação PPTP começa a partir do NAS [16].
2.3.1.2. Datagrama PPTP Existem dois tipos básicos de datagrama PPTP: os datagrama de mensagens de controle e os datagrama de mensagens de dados. As mensagens de controle são enviadas em segmentos TCP e as mensagens de dados em datagramas IP.
O controle da conexão PPTP utiliza uma porta reservada para estabelecer a conexão de controle, que fica entre o IP dinâmico do cliente da VPN e o endereço IP
59
fixo do servidor. Após o estabelecimento da conexão, inicia a troca de mensagens entre o controle de conexão PPTP e o gerenciamento de mensagens PPTP.
Os pacotes de controle de conexão PPTP, são compostos por um cabeçalho IP, um cabeçalho TCP e o controle de mensagens PPTP (Figura 2.6).
Cabeçalho De
IP
Mensagem de
Controle
Controle
Camada de
PPTP
Enlace
TCP
Enlace
Figura 2.6 – Quadro PPTP
O protocolo PPTP utiliza três níveis de encapsulamento para fazer o tunelamento dos dados, Figura 2.7 , são eles : • Encapsulamento do Frame PPP - O pacote PPP é encapsulado e criptografado com um cabeçalho PPP, originando um frame PPP. Esse frame recebe um cabeçalho GRE, que é utilizado para repassar informações de roteamento, para trafegar em redes IP; • Encapsulamento do pacote GRE - Esse pacote é encapsulado por um cabeçalho IP, onde estão os endereços IP de origem e destino do pacote; • Encapsulamento da camada de Enlace - Para que o pacote possa ir para uma LAN ou WAN, as informações desse cabeçalho são necessárias, pois são utilizadas para o envio desse pacote para a interface física.
60
Cabeçalho De Enlace
Controle Cabeçalho Cabeçalho Cabeçalho Criptografia IP
GRE
PPP
PPP
Camada Enlace
Figura 2.7 – Quadro de encapsulamento PPTP
Como o PPTP não oferece serviços de criptografia, o PPTP encapsula um quadro PPP previamente criptografado utilizando chaves de criptografia geradas pelo processo de autenticação.
2.3.2. Protocolo L2F (Layer Two Forwarding)
O Protocolo de Encaminhamento de Camada 2 (L2F), surgiu nos primeiros estágios da criação da tecnologia VPN e foi desenvolvido pela Cisco Systems.
O L2F foi desenvolvido para criação de túneis, assim como foi o PPTP. O L2F usa o PPP para autenticação de usuários remotos, tal qual o PPTP. Uma grande diferença entre o PPTP e o L2F é a de que o L2F não possui tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros protocolos. Outra diferença com o PPTP é a de que o L2F permite que os túneis possam dar conta de mais de uma conexão.
No L2F existem dois níveis de autenticação do usuário: uma antes do estabelecimento do túnel e outra quando a conexão é efetuada no gateway da corporação. Por ser o L2F um protocolo de camada 2, ele oferece, aos usuários, a mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP.
Quando um usuário deseja se conectar ao gateway da corporação, ele primeiro estabelece uma conexão PPP com o NAS. A partir daí, o NAS estabelece um túnel L2F com o gateway. Finalmente, o gateway autentica o nome de usuário e senha do cliente, e estabelece a conexão PPP com o cliente.
61
A Figura 2.8 mostra como funciona o tunelamento com L2F. O NAS local e o gateway da Intranet estabelecem um túnel L2F que o NAS utiliza para encaminhar os pacotes PPP até o gateway. A VPN de acesso se estende desde o cliente até o gateway.
Figura 2.8 – Tunelamento com o Protocolo L2F
A autenticação é feita quando uma sessão VPN - L2F é estabelecida, o cliente, o NAS e o gateway usam um sistema triplo de autenticação via CHAP9 (Challenge Handshake Authentication Protocol), isto possibilita a transmissão segura da senha do usuário entre a estação do cliente e o gateway de destino. Primeiro, o NAS contesta o cliente e o cliente responde. Em seguida, o NAS encaminha esta informação de CHAP para o gateway, que verifica a resposta do cliente e devolve uma terceira mensagem de CHAP (sucesso ou fracasso na autorização) para o cliente [10].
Figura 2.9 – Cabeçalho do pacote L2F 9
O CHAP é um protocolo de autenticação por contestação / resposta na qual a senha é enviada como uma assinatura de 64 bits ao invés de texto simples.
62
2.3.2.1. Datagrama L2F O formato do cabeçalho do pacote do protocolo L2F pode ser visto na Figura 2.9 e o detalhamento de seus campos na Tabela 2.1.
Tabela 2.1 – Descrição dos campos do Cabeçalho L2F Ver
Versão do L2F
Protocol
Protocolo carregado dentro do pacote L2F
Sequence Number
Quando o bit "S" (bit 3) for igual a 1, este campo identifica o número do pacote numa seqüência
Multiplex ID
Identifica uma conexão dentro de um túnel
Client ID
Campo utilizado para auxiliar a demultiplexação em túneis
Lenght
Indica o tamanho do pacote em octetos, sem levar em conta o campo de checksum Quando o bit "F" (bit 0) for igual a 1, este campo identifica
Offset
aonde começa a área de dados do pacote indicando o número de bytes após o cabeçalho O campo de chave está presente se o bit "K" (bit 1) for igual a
Key
1. Serve como chave durante toda a sessão para resistir a ataques de spoofing10. Checksum
O campo de checksum está presente se o bit "C" (bit 12) for igual a 1.
2.3.3. Protocolo L2TP
O L2TP - Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de Camada 2, é baseado no protocolo criado pela Cisco L2F (Layer 2 Forwarding) e homologado pela IETF (Internet Engineering Task Force) como protocolo padrão. Ele utiliza o que há de melhor nos protocolos PPTP e L2F. Suporta protocolos como NetBEUI, IPX, ATM, SONET, Frame Relay, significando que é multiprotocolo [15].
10
Spoofing é o ato de falsificar o remetente de um pacote, para que o receptor o trate como uma máquina confiável.
63
2.3.3.1. Funcionamento do L2TP
O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP localizado no PoP11 do ISP12 troca mensagens PPP com usuários remotos e se comunica por meio de requisições e respostas L2TP com o Servidor de Rede L2TP para criação de túneis. O L2TP passa os pacotes através do túnel virtual entre as extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário são aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados pelo túnel. No gateway de destino, os quadros L2TP são desencapsulados e os pacotes originais são processados para a interface apropriada.
O L2TP utiliza dois tipos de mensagem: mensagens de controle e mensagens de dados. • As mensagens de controle são usadas para gerenciar, manter e excluir túneis e chamadas, utilizando um confiável canal de controle para garantir entrega das mensagens. • As mensagens de dados são usadas para encapsular os pacotes PPP a serem transmitidos dentro do túnel.
O protocolo L2TP funciona basicamente, como ilustrado na Figura 2.10, da seguinte maneira: os roteadores R1 e R2 fornecem o serviço L2TP. Estes roteadores comunicam-se por protocolo IP, através do caminho composto pela interfaces Int2 e int3 a rede IP. Neste exemplo, os roteadores R3 e R4 comunicam-se por interfaces utilizando um túnel L2TP. O túnel Tu1 é estabelecido entre as interfaces Int1 de R1 e Int4 de R2. Qualquer pacote que chegue na interface Int1 de R1 é encapsulado pelo L2TP e enviado pelo túnel Tu1 para R2. R2 então desencapsula o pacote e o transmite na interface Int4 para R4. Quando R4 precisa enviar um pacote para R3, segue o mesmo caminho na forma inversa.
11
PoP - Points of Presence ou Pontos de Presença, é como se fosse um serviço do seu provedor que suporta VPN’s. 12 ISP - Internet Service Provider ou provedor de acesso à Internet
64
Figura 2.10 – Funcionamento do protocolo L2TP
2.3.3.2. Autenticação
A Autenticação difere do PPTP, pois é feita em duas etapas. Na primeira, antes do túnel ser instalado, o usuário é autenticado pelo provedor de acesso e na segunda, quando a conexão é estabelecida entre os gateways. No L2TP os dados são criptografados antes da conexão ser estabelecida, para que isto aconteça, ele utiliza o DES (Data Encryption Standard).
Diferentemente do PPTP, o L2TP utiliza o protocolo UDP para manter o túnel, Uma vez que o protocolo UDP não garante a entrega dos pacotes, o L2TP possui mensagens para certificar-se que os pacotes foram entregues, estas mensagens são: Next Received Field e Next Send Field. [8]
2.3.3.3. Formato do Datagrama
Os pacotes L2TP utiliza para o canal de controle e para o canal de dados o mesmo formato de cabeçalho, como podem ser visto na Figura 2.11 e na Tabela 2.2.
65
Figura 2.11 – Cabeçalho do Pacote L2TP
Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP
Type
Identifica o tipo de mensagem. Se o bit “T” for igual a 1 é uma mensagem de controle, se for igual a 0 é uma mensagem de dados.
Ver
Identifica o número da versão do protocolo.
Length
Identifica o tamanho do pacote em octetos se o bit "L" (bit 1) for igual a 1.
Tunnel ID
Indica o identificador do Túnel para controle de conexão.
Session ID
Indica o identificador de uma sessão dentro de um túnel.
Ns
Indica o número de seqüência para o atual pacote (mensagem ou controle). Sua presença é definida pelo bit "S" (bit 4).
Nr
Indica o número de seqüência esperado para o próximo pacote de mensagem de controle. Sua presença também é definida pelo bit "S".
Offset Size
Especifica o tamanho do offset (espaço entre o cabeçalho e a área de dados). Sua presença é definida pelo bit "O" (bit 6).
Priority (bit 7)
Se for igual a 1, o pacote deve receber tratamento preferencial com relação aos outros.
Bits X
Reservados para extensões futuras.
66
2.3.4. Protocolo IPSec IPSec, "É um conjunto de protocolos desenvolvidos para proteger o tráfego dos pacotes IP" [17]. É um protocolo que tem como principal característica prover a privacidade,
integridade
e
autenticidade
dos
dados
na
comunicação.
Foi
desenvolvido pela IETF com o intuito de ser o protocolo padrão de endereçamento da próxima versão do IP (IPv6), porém muitas de suas características estão sendo aproveitadas ainda no IPV4. Assim, a tecnologia IPSec é uma das opções para implementar VPN’s e seus serviços podem ser implementados para quaisquer protocolos das camadas superiores como TCP, UDP, ICMP, etc [6].
O IPSec é um protocolo de camada 3 projetado essencialmente para oferecer transferência segura de informações pela Internet pública, realizando funções de segurança de dados como criptografia, autenticação e integridade.
O IPsec protege os pacotes IP de dados privados e os encapsula em outros pacotes IP para serem transmitidos. Além disso, também realiza a função de gerenciamento de chaves.
O IPSec possui dois modos de trabalho para envio de dados entre os pontos de comunicação, modo de Transporte e modo Túnel: • No modo de transporte (Figura 2.12), que é o seu modo "nativo", o IPsec transmite diretamente os dados protegidos de host para host. Neste modo, somente a informação é encriptada, enquanto o cabeçalho IP original não é alterado, tendo a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pública vejam a origem e o destino do pacote. No entanto, passando o cabeçalho sem segurança, o modo de transporte permite que um atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o conteúdo das mensagens. • No modo túnel (Figura 2.13), o tráfego IP é gerado pelos host’s e é proporcionado uma proteção ao pacote IP, para isso, depois da adição dos campos de ESP ao pacote IP, todo o pacote é tratado como o módulo de dados
67
de um novo pacote IP, ou seja, todo o datagrama IP original é encriptado e passa a ser o payload de um novo pacote IP, deste modo, pode ser usado para enviar dados encriptados através de um túnel, o que permite enviar dados independentemente da infra-estrutura utilizada. A grande vantagem do modo de tunelamento é que os sistemas finais não precisam ser modificados para aproveitarem os benefícios da segurança IP, além disto, esse modo também protege contra a análise de tráfego, já que o atacante só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o destino reais.
Figura 2.12 – Cabeçalho modo Transporte
Figura 2.13 – Cabeçalho modo túnel
2.3.4.1. Estrutura do pacote IPSec
O IPSec especifica os cabeçalhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem ser utilizados independentemente ou em conjunto, de forma que um pacote IPSec poderá apresentar somente um dos cabeçalhos ou os dois, como mostrado na Figura 2.14.
68
Figura 2.14 - Estrutura do pacote IPSec. 2.3.4.1.1. Protocolo AH (Authentication Header)
O cabeçalho de autenticação, que pode ser visto na Figura 2.15 e seus campos na Tabela 2.3, é utilizado para prover integridade e autenticidade dos dados presentes no pacote, incluindo a parte invariável do cabeçalho, no entanto, não provê confidencialidade.
Próximo Cabeçalho
Comprimento Reservado do Payload SPI Sequence Number Dados de Autenticação
Figura 2.15 – Cabeçalho do Protocolo AH Tabela 2.3 – Descrição dos campos do cabeçalho AH Próximo Cabeçalho Comprimento do Payload Reservado SPI Security Parameter Index Sequence Number Dados de Autenticação
Contém o identificador do próximo cabeçalho. Comprimento do Payload. 16 bits reservados para extensão do protocolo. Este índice em conjunto com o protocolo AH e o endereço fonte identificam de forma única uma SA13 (Security Association) para um determinado pacote. Contador que identifica os pacotes pertencentes a uma determinada SA (usado como mecanismo anti-replay). Este campo tem comprimento variável e contém o ICV (Integrity Check Value) para este pacote, calculado seguindo o algoritmo de autenticação usado.
13
SA é uma "conexão" que viabiliza o tráfego de serviços de forma segura entre computadores ou gateways, utilizando protocolos de segurança (AH, ESP ou ambos), quando é usado o AH e o ESP em conjunto, mais de uma SA deve ser definida.
69
O protocolo AH adiciona autenticação, porém os dados trafegam na rede sem uma proteção e podem ser capturados. Este problema é resolvido com outro protocolo o ESP (Seção 2.3.4.1.2), que adiciona a confidencialidade. Alguns ataques podem ser evitados com a utilização do protocolo AH [15], são eles: • Replay, quando o atacante intercepta um pacote válido e autenticado pertencente a uma conexão, replica-o e o reenvia. Este ataque é evitado através do campo Sequence Number, que enumera os pacotes que trafegam em uma determinada SA; • Spoofing, quando um invasor assume o papel de uma máquina confiável para o destino, ganhando assim privilégios na comunicação. O uso de autenticação previne este tipo de ataque; • Connection hijacking, ou "roubo de conexões", é quando um invasor intercepta um pacote no contexto de uma conexão e com isso passa a participar da comunicação. Mecanismos de autenticação previnem este tipo de ataque.
2.3.4.1.2. Protocolo ESP (Encapsulated Security Payload)
O protocolo ESP, ver Figura 2.16 e Tabela 2.4, é quem garante a integridade, autenticidade e criptografia dos dados e que somente os destinatários autorizados, terão acesso ao conteúdo do pacote, adicionando autenticação e confidencialidade ao mesmo.
SPI Sequence Number Dados Cifrados e Parâmetros Dados de Autenticação Figura 2.16 – Cabeçalho do Protocolo ESP
70
Tabela 2.4 – Descrição dos campos do cabeçalho ESP SPI Security Parameter Index
Este índice em conjunto com o protocolo AH e o endereço fonte identificam de forma única uma SA para um determinado pacote.
Sequence Number
Contador que identifica os pacotes pertencentes a uma determinada SA (usado como mecanismo anti-replay).
Dados Cifrados e Parâmetros
Contém os dados cifrados e os parâmetros utilizados
Dados de Autenticação
Campo de comprimento variável que contém o ICV
pelo algoritmo de criptografia usado.
(Integrity Check Value) para este pacote, calculado a partir do algoritmo de autenticação usado.
2.3.4.2. Mecanismos de Segurança IPSec
Os requisitos de segurança necessários em relação aos usuários que acessam sua rede e aos dados que trafegam entre os diversos nós são: Autenticação, Controle de Acesso, Confidencialidade e Integridade de Dados.
2.3.4.2.1. Autenticação e Integridade dos dados
A autenticação dos usuários permite ao sistema enxergar se a origem dos dados faz parte da comunicação que pode ter acesso à rede. Já a integridade de dados garante que os dados não serão adulterados durante a travessia pela rede pública.
Os dados podem ser corrompidos ou vírus podem ser implantados com o fim de dificultar a comunicação. Para prover estes dois requisitos no datagrama IP, é utilizado o AH, neste mecanismo, a segurança é garantida com a inclusão de informações de autenticação, construídas através de um algoritmo que utiliza o conteúdo dos campos do datagrama IP. Para a construção destas informações, todos os campos do datagrama IP são utilizados, com exceção daqueles que não sofrem alterações durante o transporte.
71
2.3.4.2.2. Controle de acesso
O controle de acesso visa negar acesso a um usuário que não esteja autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira e desenvolvimento de produtos, é correto imaginar que um funcionário de um setor não deva acessar e possivelmente obter dados da rede de outro setor.
2.3.4.2.3. Confidencialidade
A confidencialidade visa prevenir que os dados sejam lidos e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações dentro da rede virtual.
Somente os usuários autorizados podem ter acesso às informações dos pacotes, não possibilitando que usuários não autorizados consigam acessar as informações destes pacotes, mesmo que consigam capturá-los.
No IPsec, o serviço que garante esta proteção é o ESP. O ESP também provê a autenticação da origem dos dados, integridade da conexão e serviço anti-reply. A confidencialidade independe dos demais serviços e pode ser implementada nos modos de transporte e túnel. No modo de transporte, o pacote da camada de transporte é encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é encapsulado dentro do cabeçalho do ESP.
2.4. SEGURANÇA A segurança é a primeira e mais importante função de uma VPN. Uma vez que os dados privados serão transmitidos pela rede pública, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
A especificação da VPN a ser implantada deve tomar por base o grau de segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar
72
pela rede. Dessa definição depende a escolha do protocolo de comunicação, dos algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento terão de ser os equipamentos, principalmente, no que se refere à complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.
2.4.1. Criptografia
A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma seqüência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, e que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso da Chave Simétrica (Seção 2.4.1.1) e da Chave Assimétrica (Seção 2.4.1.2).
Uma vez dentro da VPN, cada dispositivo envia sua chave de segurança pública aos integrantes da VPN. Sem o conhecimento dessa chave de segurança é quase impossível decodificar os dados criptografados. Após a chave de segurança estar implementada, a proteção da mesma é assegurada por um sistema de gerenciamento de chaves de Segurança. O gerenciamento é um processo de distribuição, com refresh a intervalos específicos e revogação de chaves quando necessário.
2.4.1.1.Criptografia Simétrica
A criptografia simétrica baseia-se na simetria das chaves do emissor e receptor, ou seja, a mesma chave usada para criptograr será usada para decriptografar à mensagem. Sendo assim, a manutenção da chave em segredo é fundamental para a eficiência do processo.
73
Essa chave, denominada chave privada, é previamente trocada entre o emissor e o receptor, através de uma comunicação segura. Esse método apesar de sua simplicidade possui alguns problemas, são eles: • A mesma chave é usada para cada par (emissor-receptor), se o número de pares for grande, será necessário um grande número de chaves,
dificultando
assim
a
administração
das
mesmas
e
comprometendo a segurança, visto que, nem sempre é possível garantir que a chave será armazenada de forma segura; • A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem.
Existem vários algorítimos simétricos [15], que citamos a seguir, que produzem chaves de tamanhos variados, quanto maior a chave, maior a segurança. • Data Encryption Standard (DES) - 56 bits; • Triple Data Encryption Standard (3DES) - 112 bits; • Blowfish - até 448 bits; • Twofish - 128, 192 ou 256 bits; • Advanced Encryption Standard (AES) - 128, 192 ou 256 bits.
2.4.1.2.Criptografia Assimétrica
As chaves utilizadas para criptografar e descriptografar são diferentes, sendo, no entanto relacionadas. A chave utilizada para criptografar os dados é formada por duas partes, sendo uma pública e outra privada, da mesma forma que a chave utilizada para descriptografar.
74
A criptografia assimétrica surgiu para contornar os problemas da criptografia simétrica, através de algorítmos que utilizam chave pública e privada. Pode-se utilizar qualquer das chaves para criptografar a mensagem, entretanto só a chave inversa pode ser usada para descriptografá-la.
Os algorítmos que implementam a chave pública e privada, exploram propriedades específicas dos números primos e a dificuldade de fatorá-los mesmo em equipamentos rápidos. O RSA (Rivest Shamir Adleman), composto por chaves de 512, 768, 1024 e 2048 bits, é o algorítimo que serve de base para a maioria das aplicações de criptografia assimétrica.
2.4.2. Autenticação
A Autenticação é importante para garantir que a origem dos dados que trafeguem na VPN seja, realmente, quem diz ser. Um usuário deve ser identificado no seu ponto de acesso a VPN, de forma que, somente usuários autenticados transitem pela rede. Tal ponto de acesso fica responsável por rejeitar as conexões que não sejam identificadas. Para realizar o processo de autenticação, podem ser utilizados sistemas de identificação/senha, senhas geradas dinamicamente, autenticação por RADIUS (Remote Authentication Dial-In User Service) ou um código duplo.
Todo dispositivo que quiser se juntar a VPN precisa ser certificado por uma Autoridade Certificadora. Geralmente, essa certificação é dupla, incluindo uma chave eletrônica e um PIN (Personal Identification Number), reduzindo a probabilidade de intrusos acessarem o sistema.
A definição exata do grau de liberdade que cada usuário tem dentro do sistema, tendo como conseqüência o controle dos acessos permitidos, é mais uma necessidade que justifica a importância da autenticação, pois é a partir da garantia da identificação precisa do usuário que poderá ser selecionado o perfil de acesso permitido para ele.
75
2.4.3. Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que sejam praticamente impossíveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a mensagem, fazendo assim a sua verificação.
A seguir relacionamos alguns algoritmos para Integridade dos dados: • SHA-1 (Secure Hash Algorithm One) - É um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqüência de até 264 bits. • MD5 (Message Digest Algorithm 5) - É um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqüência de qualquer tamanho [11].
2.5. APLICAÇÕES VPN Uma VPN poderá ser usada para o tráfego interno entre a matriz e suas filiais, poderá incorporar conexões com fornecedores ou clientes e dar acesso remoto a funcionários que realizam trabalhos externos como vendedores ou assistência técnica.
2.5.1.Acesso Remoto via Internet
É chamado de acesso remoto aquele realizado por usuários móveis que utilizam um computador para conexão com a rede corporativa, partindo de suas residências ou hotéis. Esse tipo de conexão, que também é denominado Point-toSite, está se tornando cada vez mais utilizada.
76
O acesso remoto a redes corporativas via Internet através da ligação local a algum provedor de acesso (Internet Service Provider - ISP), acontece quando a estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet, como mostrado na Figura 2.17. As aplicações típicas do acesso remoto são:
Figura 2.17 – Acesso Remoto via Internet • Acesso de vendedores para encaminhamento de pedidos, verificação de processos ou estoques; • Acesso de gerentes e diretores em viagens, mantendo atualizadas suas comunicações com sua base de operação, tanto para pesquisas na rede corporativa como acompanhamento de seu correio eletrônico; • Equipe técnica em campo, para acesso a sistemas de suporte e documentação, bem como a atualização do estado dos atendimentos.
2.5.2.Conexão de Redes Corporativas Via Internet.
Uma solução que substitui as conexões entre LAN’s através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligandoas à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa.
77
A depender também das aplicações, pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito dedicado local ficando disponível 24 horas por dia para eventuais tráfegos provenientes da VPN. A Figura 2.18 ilustra essa forma.
Figura 2.18 – Conexão de redes Corporativas via Internet 2.5.3.Conexão de Computadores Via Intranet.
As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas. Observe que o servidor VPN (Figura 2.19), não irá atuar como um roteador entre a rede de departamentos e o resto da rede corporativa, uma vez que, o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede de departamentos. Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede de departamentos restrita. Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a confidencialidade das informações. Os demais usuários não credenciados sequer enxergarão a rede de departamentamentos.
78
Figura 2.19 – Conexão de computadores via Internet
2.6 PERFORMANCE E QOS Dois fatores determinam a performance das VPN’s: • A velocidade das transmissões sobre a Internet, sobre outra rede ou backbone IP. • A eficiência do processamento dos pacotes (estabelecimento de uma sessão segura, encapsulamento e criptografia dos pacotes) em cada ponto da conexão, ou seja, origem e destino.
A Internet não foi projetada inicialmente para garantir níveis confiáveis e consistentes de tempo de resposta. Na verdade, a Internet é um meio de comunicação best effort, ou seja, realiza o máximo de esforço para prestar o serviço a qual é destinada, que é a transmissão de dados de origem para o destino. Além disso, a criptografia e o processo de tunelamento podem influir bastante na velocidade de transmissão de dados pela Internet. Contudo, muitas redes corporativas, não podem ficar a mercê dessas flutuações de performance e acesso da Internet.
Alguns provedores de serviço resolveram o problema de velocidade de transmissão oferecendo acordos de Qualidade de Serviço (QoS), e garantia de banda a níveis específicos. Mas, atualmente, o método mais eficaz para adquirir QoS é enviar o tráfego VPN sobre o próprio IP backbone do provedor de serviços e não sobre a Internet [11].
79
Existem hoje, diversos grupos de estudo tentando solucionar alguns problemas relacionados à performance e QoS na Internet, são eles: • RFC2211, “specificantion of the Controlled-Load Network Element Service” J. Wroclawski, September 1997. • RFC2212, “specIfication of Guaranteed Quality of Service,” S. Shenker, C. Partridge, R. Guerin, September 1997. • RFC2208, “Resource ReSerVation Protocol (RSVP) Verson 1 – applicability statement, Some guidelines on Deployment,” A. Mankin, S. Bradner, M. O’Dell, A. Romanov, A. Weinrib, L. Zhang, September 1997.
Neste capítulo foram abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
No próximo capitulo serão abordados o funcionamento e a arquitetura do MPLS (Multiprotocol Label Switching).
80
CAPÍTULO III MULTIPROTOCOL LABEL SWITCHING Neste capítulo apresentaremos uma análise da tecnologia MPLS (Multiprotocol Label Switching), uma tecnologia emergente que surge como alternativa para a engenharia de tráfego e o encaminhamento rápido de pacotes IP. Faremos
também
uma
análise
de
sua
arquitetura
e
como
funciona
o
encaminhamento desses pacotes sobre o MPLS.
3.1. INTRODUÇÃO Nos anos 90, o mercado de redes de computadores se questionava sobre como seria utilizado até então a nova técnica de comutação IP para encaminhamento de pacotes, tornando-se uma alternativa ao roteamento tradicional. Seguindo essa trilha e combinando diversas tecnologias, o IETF criou o MPLS.
O MPLS é uma tecnologia que permite ampliar o desempenho de tecnologias de redes já existentes. Ele representa o próximo passo da evolução baseada em padrões, combinando tecnologias de comutação da camada 2 (camada de enlace) com as tecnologias de roteamento da camada 3 (camada de rede) [21].
81
Outro fator importante para o desenvolvimento desta tecnologia é a necessidade de estender a funcionalidade de roteamento da Internet e das redes IP em geral. Modificar o roteamento IP é extremamente caro, pois é necessário alterar tanto o plano de controle quanto o algoritmo de encaminhamento, que geralmente é implementado em hardware. Em contraste, os comutadores (switch) são muito simples, pois suportam poucos protocolos e tipos de interface, fazendo com que a relação custo/performance de comutadores seja muito melhor do que a de roteadores. Uma das motivações do MPLS é construir aparelhos com a maioria das funcionalidades dos roteadores e hardware semelhante ao de um comutador.
O MPLS (RFC 3031 [20]) é uma tecnologia a qual encaminha pacotes de um computador a outro, orientada através de rótulos (labels) colocados nos cabeçalhos IP. Para que haja a compreensão destes rótulos é necessário que os gateways envolvidos na transmissão consigam reconhecê-los. Essa tecnologia pode ser enquadrada entre a camada de enlace e a de rede do modelo OSI, isso ocorre devido o cabeçalho IP não ter sido projetado para suportar esses labels, consequentemente ele não possui espaço disponível para um novo campo necessitando uma adição (extensão) do cabeçalho MPLS. O rótulo existente no cabeçalho MPLS dos pacotes que estão trafegando são vistos como índices em tabelas, determinando o caminho a ser percorrido para atingir o próximo nó da rede. O encaminhamento de pacotes passa a ser uma pesquisa em tabela extraída dos pacotes, diferentemente do roteamento tradicional, o qual pesquisa em tabelas de roteamento, obtendo dos pacotes apenas o endereço IP de destino.
3.2. COMPONENTES Para entender como é realizado o encaminhamento dos pacotes, ou seja, o funcionamento do MPLS, neste tópico serão abordados os seus principais componentes como: Label switching routers (LSR), Label switch path (LSP), Forward Equivalence Label (FEC), Label Edge Routers (LER), Labels (Rótulos), Label Distribution Protocol (LDP) e Label Information Base (LIB). .
82
3.2.1. Label Switching Routers (LSR)
O LSR é um nó do MPLS. Ele recebe o pacote de dados, extrai o label do pacote e o utiliza para descobrir na tabela de encaminhamento qual a porta de saída e o novo rótulo [22].
Existem dois tipos de LSR: O E-LSR (Edge–Label Switch Router), ou seja, o LSR de borda e os LSR’s que ficam situados no núcleo de uma rede MPLS (Figura 3.1).
Figura 3.1 – LSR de Borda e LSR de Núcleo.
Quando o E-LSR está situado na entrada de uma rede MPLS, ele tem a função de inserir um label ao pacote, agrupá-los a uma FEC (Seção 3.2.3) e encaminhá-los através de uma LSP (Seção 3.2.3). Quando está situado na saída, é responsável pela retirada do label e a entrega do pacote a uma rede não MPLS.
Os LSR do núcleo têm a função de encaminhar os pacotes baseados apenas no label. Ao receber um pacote, cada LSR troca o label existente por outro, passando o pacote para o próximo LSR e assim por diante até chegar no E-LSR de saída.
83
3.2.2. Label Switch Path (LSP) No MPLS a transmissão de dados ocorre em caminhos comutados por rótulos, ou seja, um caminho através de uma seqüência ordenada de LSR’s, estabelecido entre uma origem e um destino, sendo unidirecional, isto é, suportam encaminhamentos de datagramas em um único sentido de modo que um LSP pode definir uma seqüência ordenada de LSR’s, portanto é preciso ter dois LSP’s para uma comunicação entre duas entidades [23].
Quando um pacote entra numa rede MPLS, este é associado a uma FEC (Seção 3.3.3) e então é criada uma LSP para esta FEC. Como a criação da LSP ocorre somente na entrada de uma rede MPLS, os LSR’s do núcleo irão somente chavear os labels (distribuídos no momento do estabelecimento das LSP’s), encaminhando os pacotes de acordo com a LSP pré-determinada [24], não precisando mais fazer um roteamento dos pacotes, como pode ser visto na Figura 3.2.
Figura 3.2 – Criação da LSP
84
3.2.3. Forward Equivalence Label (FEC) Uma FEC representa condições determinadas para verificar se um dado pacote pertence ou não a FEC estabelecida e se compartilham das mesmas exigências para seu transporte. Estes pacotes estando associados a uma mesma FEC serão encaminhados pelo mesmo caminho.
Em todo o pacote a um grupo específico e a este é dado o mesmo tratamento da origem ao destino, ao contrário da remessa convencional do IP, em MPLS, as atribuições de um determinado pacote a uma FEC são baseadas em exigências de serviços ou simplesmente no prefixo do endereço.
Uma FEC consiste em um conjunto de pacotes que serão encaminhados da mesma maneira em uma rede MPLS. Pacotes de um mesmo fluxo de dados geralmente pertencem à mesma FEC, sendo representada por um rótulo, e cada LSP é associado a uma FEC.
Figura 3.3 – Encaminhamento do pacote FEC
Ao receber um pacote (Figura 3.3), o LER verifica na tabela especÍfica a qual FEC ele pertence e o encaminha através do LSP correspondente. Portanto há uma associação entre o pacote, o rótulo, o FEC e o LSP [24]. A associação pacote e
85
FEC acontece apenas uma vez, quando o pacote entra na rede MPLS. Isto proporciona grande flexibilidade e escalabilidade a este tipo de rede [25].
3.2.4. Label Edge Routers (LER)
Figura 3.4 – Esquema do Label Edge Routers (LER)
LER’s ou Roteadores de Rótulos de Borda (Figura 3.4), estão situados na periferia da rede MPLS, atuando como fronteira entre o encaminhamento de nível três e o encaminhamento MPLS. Ele tem a habilidade de adicionar um rótulo a um pacote não rotulado (LER de ingresso), e remover os rótulos de um pacote rotulado (LER de egresso).
Eles devem possibilitar a conexão com várias redes distintas (Frame-relay, ATM, Ethernet) e realizar o encaminhamento dos tráfegos destas redes, para o interior da rede MPLS, pelo estabelecimento de LSP’s, inserindo e removendo os labels à medida que o tráfego entra ou sai da rede MPLS.
86
3.2.5. LABELS (Rótulos)
O rótulo é um identificador curto, de tamanho fixo e significado local que é usado para identificar uma FEC. Todo pacote ao entrar numa rede MPLS recebe um label, de uma forma mais simples podemos dizer que, um rótulo pode ser pensado como uma forma abreviada para o cabeçalho do pacote, de forma a indicar ao pacote a decisão de remessa que um roteador faria, ou seja, é uma abreviação para um fluxo de dados de usuário.
O cabeçalho MPLS, também conhecido como Shim Header, deve ser posicionado depois de qualquer cabeçalho de camada 2 e antes de um cabeçalho de camada 3. Seu tamanho é definido em 4 octetos (32 bits). O rótulo que associa pacotes às respectivas conexões, é algo semelhante ao VPI/VCI no ATM e DLCI no Frame Relay. O formato genérico do Label é ilustrado na Figura 3.5 e a descrição de seus campos pode ser vista na Tabela 3.1.
Figura 3.5 – Cabeçalho MPLS – Shim Header
87
Tabela 3.1 – Descrição dos campos do Label. (20 bits) carrega o valor atual do rótulo MPLS;
Label
(3 bits) define a classe de serviço a que um pacote pertence, ou seja, indica a prioridade do pacote. Pode afetar o EXP
enfileiramento e algoritmos de descarte aplicados ao pacote enquanto ele é transmitido pela rede. É um campo que ainda não está totalmente definido; (1 bit) suporta uma pilha hierárquica de rótulos, ou seja,
Stack
suporta o enfileiramento de labels, caso o pacote receba mais de um label; TTL (time to live)
(8 bits) tem o mesmo papel que no IP, contar por quantos roteadores o pacote passou, num total de 255. No caso do pacote viajar por mais de 255 roteadores, ele é descartado para evitar possíveis loops.
3.2.6. Label Distribution Protocol (LDP)
O LDP é um protocolo, definido pelo IETF, que permite a distribuição de labels entre os roteadores de comutação de rótulos (LSR), desta forma possibilita a criação das LSP’s.
O LDP ajuda no estabelecimento de um LSP através do uso de um conjunto de procedimentos para distribuir os rótulos entre os LSR. Um passo importante para a comutação de rótulos é que os LSR’s concordem em relação a quais rótulos eles devem usar para encaminhar o tráfego. Eles chegam a este entendimento utilizando o LDP [26].
O LDP possui um mecanismo de descoberta de LSR’s vizinhos que funciona da seguinte forma: um LSR utiliza o protocolo UDP (User Datagram Protocol) para enviar mensagens para uma porta conhecida onde estejam os roteadores desta rede. Quando um LSR descobre o endereço de outro LSR através deste mecanismo, é estabelecida uma conexão TCP com ele. Depois de
88
estabelecida a sessão, cada LSR pode informar a criação de novos rótulos. Um mecanismo de descoberta adicional permite que um LSR encontre vizinhos que não sejam adjacentes a ele, enviando mensagens para um endereço IP específico. Esse mecanismo é útil para a engenharia de tráfego, quando se deseja criar um LSP entre dois LSR’s e enviar, através deste LSP, pacotes já rotulados.
3.2.7. Label Information Base (LIB)
As Tabelas de encaminhamento dos comutadores de rótulo ou LIB’s, são as tabelas responsáveis pelo processo de encaminhamento de pacotes e são mantidas pelos LSR’s. Elas consistem basicamente de um campo de índice que é preenchido pelo valor do rótulo, uma ou mais entradas, contendo o rótulo de saída, interface de saída e endereço IP do próximo salto [26]. Uma vez criada uma LSP, a relação do label com a interface, será armazenada no LIB.
Quando o pacote entra no LSR, este verifica para qual interface esse pacote deve ser encaminhado, através do LIB. Sendo assim, realiza a troca do label de entrada por um label de saída, para que o pacote possa alcançar o próximo nó.
Desta forma o LIB contém uma tabela que é usada para adicionar ou remover um label a um pacote, enquanto determina a interface de saída pela qual o pacote deve ser enviado.
3.3. FUNCIONAMENTO Quando um pacote IP chega na periferia da rede MPLS, o roteador de rótulos de borda (LER), realiza o encaminhamento para o interior da rede MPLS (Figura 3.6). O E-LSR irá associar este pacote a uma FEC caso já exista uma, senão o E-LSR irá criar uma FEC que determinará o caminho deste pacote. Desta forma o pacote receberá um label e como a FEC está relacionada a uma LSP, o E-LSR encaminhará o pacote através desta LSP.
89
A cada LSR pelo qual o pacote passa, os labels são trocados, pois cada label representa um índice na tabela de encaminhamento (LIB) do próximo roteador. Sendo assim, quando um pacote rotulado chega, o LSR procura em sua tabela MPLS pelo índice representado pelo label. Ao encontrar este índice o LSR substitui o label de entrada por um label de saída associado a FEC a que pertence o pacote, depois de completada a operação da troca de labels o pacote é encaminhado pela interface que está especificada na LIB.
Este procedimento continua até a borda da rede MPLS, quando o E-LSR de saída, remove o label e o pacote é encaminhado pela interface associada a FEC a qual pertence o pacote. Neste momento o pacote deixa de ser analisado pelo protocolo MPLS e é roteado normalmente pelos protocolos de roteamento de uma rede não MPLS.
Figura 3.6 – Funcionamento básico do MPLS
90
3.4. APLICAÇÕES O MPLS (Multiprotocol Label Switching) é uma tecnologia emergente que, além de possibilitar um aumento no desempenho do encaminhamento de pacotes, facilita a implementação da Engenharia de Tráfego, Qualidade de Serviço (QoS) e Redes Virtuais Privadas (VPN).
3.4.1. Engenharia de tráfego.
O MPLS foi projetado originalmente para definir a engenharia de tráfego, ou seja, para determinar o caminho a ser percorrido pelo tráfego através da rede e estabelecer os atributos de performance para diferentes classes de tráfego. O mais importante é que, o MPLS combina a escalabilidade e a flexibilidade do roteamento com a performance e a capacidade de gerenciamento de tráfego da comutação de camada 2 (Modelo OSI), nas redes que disponibilizam rotas alternativas.
O MPLS é utilizado para mapear a rede IP privada do cliente para a rede pública. Qualquer mudança na topologia IP da rede do cliente é dinamicamente comunicada, por meio da rede pública, aos outros sites do cliente. Isso é possível porque o MPLS pode montar tabelas de roteamento virtual para a rede de cada cliente, encaminhando dados e informações de rotas para os outros sites que o cliente possui.
O MPLS pode ser utilizado para estabelecer caminhos que emulam as conexões ponto-a-ponto de camada dois, estabelecendo circuitos virtuais ou túneis, oferecendo um caminho alternativo para o encaminhamento de dados, sem o alto overhead das redes virtuais privadas (VPN’s). Além disso, as operadoras que possuem redes IP, Frame Relay e ATM podem utilizar o MPLS para interligá-las, evitando altos gastos com atualizações [7].
Em relação às aplicações que exigem tempo real, o MPLS oferece a implementação de QoS que não pode ser implementada pela rede IP.
91
Com a implementação do QoS, pelo MPLS, podemos diferenciar diversos tipos de tráfegos e tratá-los de forma distinta, dando prioridades às aplicações mais sensíveis, ou seja, o serviço MPLS implementa mecanismos de QoS para gestão de rede que permitem controlar de forma diferenciada a qualidade da transmissão e garantir a manutenção dos níveis de serviço por classes de tráfego. Ele disponibiliza classes de serviço para acomodar as diferentes necessidades de tipos de tráfego, entre elas estão: • RT (Real Time), para tráfego de Voz (VOIP) e Vídeo ; • B (Business), para o tráfego de aplicações críticas ao negócio (SAP, SNA) e File Sharing ou compartilhamento de arquivos); • BE (Best effort), para o tráfego geral (Mail, FTP, etc). 3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN).
O MPLS permite a criação de Redes Virtuais Privativas (VPN) garantindo um isolamento completo do tráfego com a criação de tabelas de labels, usadas para roteamento, exclusivas para cada VPN, com isto,
o MPLS atuando como
mecanismo de encaminhamento dentro de um cenário de VPN, provê agilidade, facilidade de gerenciamento e suporte a QoS, bem como suporte a segurança.
Podemos observar que com a criação de VPNs, notamos que o tráfego entre redes, que pode ser a internet ou um backbone, fica totalmente transparente, sendo mostrado como Túnel Virtual garantindo a privacidade da rede.
A seguir será descrito e ilustrado na Figura 3.7, o funcionamento básico do MPLS sobre uma Rede Virtual Privada.
92
Figura 3.7 – MPLS sobre uma Rede Privada Virtual
O computador A, envia um pacote IP, para o computador B, ambos pertencentes a VPN 1 (IP 10.1.1.1). O roteador UNIFOR, que é um E-LSR (seção 3.2.1), recebe este pacote IP e o associa a um label VPN (LV-22) e a um label MPLS (LM-19). O pacote é enviado para o roteador UNIFOR1 conforme sua LIB (seção 3.2.7). A partir desse momento os roteadores passam a encaminhar o pacote IP ao seu destino levando em conta apenas o label MPLS.
O pacote ao chegar no penúltimo roteador (G.E.Q 1), ou seja, no LSR (seção 3.2.1) conectado ao E-LSR de saída (G.E.Q), retira o label MPLS e o encaminha até o E-LSR. Ao chegar no E-LSR, este analisa o label da VPN e verifica que este pacote faz parte da VPN 1. Desta forma ele retira o label de VPN e encaminha o pacote até seu destino [24].
Podemos observar que, o computador C apresenta o mesmo endereço IP que o computador B, porém o pacote vindo do computador A nunca conseguirá chegar no computador C, pois eles pertencem a VPN’s diferentes. Desta forma o computador A só poderá ter conexão com o computador B, da mesma forma que o C só poderá ter conexão com o D.
93
Neste capítulo apresentamos uma análise da tecnologia MPLS, mostrando sua arquitetura e como funciona o encaminhamento desses pacotes sobre o MPLS.
No próximo capitulo será realizado uma análise comparativa entre a tradicional VPN e a VPN baseada na tecnologia MPLS, procurando mostrar suas diferenças, referente a escalabilidade, custos, formação das VPN’s, qualidade de serviço (QoS), engenharia de tráfego e a titulo de informação a situação mercadológica no Brasil.
94
CAPÍTULO IV ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS Neste capítulo apresentaremos uma análise comparativa entre a tradicional Rede Privada Virtual (VPN) e a emergente VPN baseada na tecnologia MPLS (Multiprotocol Label Switching), procurando mostrar suas diferenças, quando existirem, relativo à formação das VPN’s, escalabilidade, custos, qualidade de serviço (QoS), engenharia de tráfego e a titulo de informação a situação mercadológica no Brasil.
4.1. INFRA-ESTRUTURA DE REDE MULTISERVIÇO Como o próprio nome indica, o MPLS é um multi-protocolo, que agrega e transporta qualquer tecnologia de nível dois e tráfego IP, de maneira integrada sobre uma só rede, uniformemente gerenciada. Isto é um tipo de serviço exclusivo do MPLS, não se encontrando em VPN’s tradicionais.
95
O componente de encaminhamento do MPLS é independente do protocolo de rede, podendo ser utilizado com IP ou IPX, por exemplo, sendo também, atualmente, padronizada para Ethernet, ATM, FDDI, Frame Relay e PPP.
4.2. FORMAÇÃO DE VPN´S, CUSTOS E ESCALABILDADE. O problema de se criar VPN’s é que estão baseadas em um modelo topológico sobreposto a topologia física existente, e a base de circuitos virtuais (túneis fim a fim) entre cada par de roteadores de cliente em cada VPN. Daí as desvantagens quanto a pouca flexibilidade no gerenciamento deste serviço, como também no crescimento quando se quiser adicionar novos pontos, pois a cada novo ponto criado na rede, ele teria que ser conectado a todos os demais pontos existentes e ao longo do tempo haveria dificuldades em gerenciamento da rede.
Com a arquitetura MPLS estes inconvenientes relativo ao modelo topológico não se sobrepõem, mas se acoplam a rede do provedor. O modelo acoplado MPLS, em lugar de conexões fim a fim entre os distintos pontos de uma VPN, são conexões IP a uma "nuvem comum" em que somente podem entrar os membros da mesma VPN. As "nuvens" que representam as VPN’s se implementam mediante os caminhos LSP’s criados pelo mecanismo de intercâmbio de rótulos MPLS.
Os LSP’s são similares aos túneis, e a rede transporta os pacotes do usuário sem examinar o conteúdo, porque este é encapsulado sobre outro protocolo. Aqui está a diferença: os túneis utilizam-se do encaminhamento convencional IP para transportar a informação do usuário, já no MPLS esta informação é transportada sobre o mecanismo de intercâmbio dos rótulos. Assim se mantém em todo momento a visibilidade IP para usuário, que não sabe nada das rotas MPLS, o que ele vê é uma Internet privada entre os membros de sua VPN. Deste modo, podem-se aplicar técnicas de qualidade de serviços (QoS), podendo assim reservar parte da banda, para priorizar aplicações, e estabelecer classes de serviço (CoS) e otimizar os recursos da rede com técnicas de engenharia de tráfego.
96
A construção de VPN’s pode não ser o objetivo principal do MPLS, mas sem dúvida é uma de suas facilidades com maior apelo de marketing. O MPLS permite aos operadores de serviço criar VPN’s com a flexibilidade do IP. Labels separados garantem a privacidade entre VPN´s sem recorrer à criptografia. De fato, a criação de VPN´s está entre as primeiras aplicações do MPLS.
Um benefício muito particular, na utilização do MPLS, foi a substancial redução no número de PVC’s, que deveriam ser configurados para atender às necessidades dos clientes. Conseqüentemente, o trabalho de provisionamento ficou mais simples e o serviço mais barato para o cliente final, que agora só precisa de um único PVC, ou seja, a partir do momento que se entra no ambiente MPLS, os usuários ganham conectividade através de toda a rede VPN. Se tomarmos como exemplo uma VPN com 20 escritórios remotos, necessitaríamos criar 20 PVC’s, um para cada ponto remoto. Para manter uma conectividade de todos para todos, seria necessário criar 190 PVC’s conforme a equação [N (N-1)] / 2 (N é o número de pontos).
Fica claro então que as VPN´s baseadas em tecnologias de camada dois (circuitos virtuais) irão, eventualmente, tornar-se um incômodo para os gerentes de redes responsáveis por grandes VPN´s, que se tornam, ao longo do tempo, significativamente complexas em função da enorme quantidade de PVC’s que precisam ser provisionados e gerenciados. Em tal cenário, esse tipo de topologia não permite acomodar com eficiência as demandas dos usuários por conectividade siteto-site, além de oferecer grandes dificuldades para a construção de VPN´s a prova de falhas, pois o site central torna-se um ponto único de falha.
A base para a solução MPLS para VPN´s é o uso de túneis de LSP para encaminhar os dados entre os roteadores de serviços de uma VPN, rotulando os dados da VPN na sua entrada do túnel, o LSR segrega o fluxo da VPN do resto dos dados fluindo na rede.
97
4.3. QUALIDADE DE SERVIÇO Constata-se
um
crescente
interesse
pelas
aplicações
multimídia
distribuídas (vídeo-conferência, tele-medicina, telefonia IP, etc.) na utilização das redes IP na forma de redes privadas virtuais. Essas aplicações caracterizam-se, principalmente, pelo emprego de diversos tipos de mídia que impõem requisitos distintos de qualidade de serviço (QoS) ao sistema de comunicação.
Entretanto, as VPN’s IP tradicionais, com seu modelo de serviços do tipo melhor esforço, começam a dar sinais de estrangulamento. Uma das conseqüências da adoção desse modelo é que todo o tráfego é tratado de maneira uniforme, sem nenhum tipo de diferenciação ou priorização. Contudo, nem todos os tipos de tráfego e transações são equivalentes ou têm a mesma importância para os usuários.
É desejável que algumas aplicações recebam tratamento diferenciado segundo suas demandas específicas, o que não é possível nos modelos atuais de VPN’s.
Por outro lado, as redes VPN’s baseadas na tecnologia MPLS estão habilitadas para fornecer qualidade de serviço com tratamento diferenciado das aplicações com maior simplicidade.
O MPLS permite classificar classes de serviços conforme a priorização de cada aplicação, para isso, utiliza o campo EXP (Tabela 3.1 da Seção 3.2.5) para priorizar estas aplicações.
O tratamento da QoS em ambientes MPLS acontece basicamente de duas maneiras: • o rótulo contém informações sobre as classes de serviço (CoS), onde esta informação é utilizada para priorizar o tráfego em cada nó. • Para cada fluxo de informações é estabelecido um nível de serviço apropriado onde o tráfego é direcionado para o caminho adequado 98
estabelecendo múltiplos caminhos entre os equipamentos de entrada / saída.
Estes procedimentos classificam os pacotes em categorias de classes de serviço, determinando os recursos disponíveis para cada categoria definida.
4.4. ENGENHARIA DE TRÁFEGO A engenharia de tráfego pode ser efetuada manualmente, ou através de alguma técnica automatizada, como o MPLS, tendo como objetivo descobrir e fixar os caminhos considerados mais adequados aos fluxos dentro da rede.
O roteamento convencional pode selecionar caminhos na rede que resultem na utilização não balanceada de recursos. Nestes ambientes, alguns recursos podem ser subutilizados enquanto outros podem ser sobrecarregados com cargas excessivas de tráfego.
No roteamento convencional, todos os roteadores precisam consultar sua própria tabela de roteamento para poder encaminhar os pacotes. Com a utilização do MPLS, isto pode ser evitado, visto que basta os roteadores encaminharem os pacotes baseados em comutação de rótulos.
O MPLS pode ser utilizado para facilitar a engenharia de tráfego, pois ele tem a informação sobre a rota especifica a ser seguida por um pacote na rede, este roteamento explícito de pacotes garante que todo o fluxo de informações com as mesmas características transitem pelo mesmo caminho.
O MPLS visa otimizar a utilização da rede pela distribuição diferenciada dos tráfegos que a percorrem como: •
Evitar que um link da rede esteja saturado enquanto outros possuem banda livre;
99
• Nem sempre vai escolher o caminho mais curto entre dois dispositivos, mas sim o que melhor se adequar ao tráfego; • É possível que dois fluxos percorram caminhos totalmente distintos, mesmo que seus pontos de entrada e saída da rede sejam idênticos.
4.5. SEGURANÇA A segurança é a primeira e mais importante função da Rede Privada Virtual (VPN). Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
Outro serviço oferecido pelas VPN’s é a conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa
Sob o ponto de vista da segurança, em testes realizados por organismos independentes, como o MIERCOM [27], o MPLS tem demonstrado ser tão seguro quanto tecnologias tradicionais de camada dois. A arquitetura orientada à conexão do MPLS, pelo fato de trafegar em linhas privadas nas redes de acesso, fazem com que sejam isoladas e, como tal, imunes à maioria das técnicas de interceptação e outros riscos associados às redes tradicionais IP. Portanto, esta tecnologia passa ao cliente a segurança, mas, se, mesmo assim, ainda houver temores quanto à segurança, então a criptografia é empregada utilizando-se o IPSec (Seção 2.3.4), que pode ser adicionado sobre o MPLS, assim como seria feito com qualquer outro tipo de transporte.
Uma das grandes barreiras para a migração de usuários de VPN’s nível 2 para VPN’s nível 3 IP sempre foi à segurança que as VPN’s de nível 2 oferecem para seus usuários, pois as mesmas são orientadas à conexão por meio de circuitos virtuais privados (PVC). Com o surgimento das VPN’s MPLS criou-se o conceito de
100
LSP, que é equivalente ao PVC do nível 2 das VPN’s, oferecendo os mesmos níveis de segurança.
4.6. MERCADO BRASILEIRO Apesar de ser uma tecnologia nova no Brasil, já é percebido que as VPN MPLS começam a dominar as soluções de comunicação. Podemos citar os casos do SPB (Sistema Brasileiro de Pagamento) e do Banco do Brasil (Aproximadamente 8000 acessos ligando todas às agências). O crescimento do serviço tem a tendência de seguir o modelo mundial, ou seja, um crescimento exponencial.
O protocolo IP, segundo a IDC, deve responder por 40% do tráfego de longa distância em 2005 no Brasil e movimentar mais de US$ 800 milhões. As VPN’s baseadas em MPLS são, hoje, uma das principais estratégias de operadoras, fabricantes e integradores.
A AT&T[18], por exemplo, é uma das empresas que fornece o serviço VPN e já possui cerca de 1.200 clientes no Brasil que usam a rede VPN IP. As boas perspectivas de demanda foi um dos aspectos que também levou a Intelig [19] a apostar na VPN IP como plataforma de transmissão. O crescimento dos projetos de VPN’s também vem estimulando os fabricantes de dispositivos de rede a investirem alto no desenvolvimento da tecnologia.
As operadoras tradicionais de telecomunicações no Brasil já estão em fase de implementação de seus serviços baseados na tecnologia MPLS, porém, essa oferta de serviços deverá estar concentrada na expansão geográfica dos serviços e não nas redes atuais, pois a intenção destes fornecedores é otimizar a utilização das redes existentes e disponibilizar serviços sobre as mesmas.
Acredita-se que o mercado de VPN MPLS é
emergente, e crescerá
principalmente com ofertas para o setor corporativo de médias e grandes empresas. Muitas
destas
empresas
já
possuem
redes
de
comunicação
de
dados
implementadas, usando como acesso tecnologias tradicionais como Frame Relay,
101
ATM e DSL. Portanto, essas empresas deverão ser as primeiras beneficiárias das soluções de VPN MPLS em suas redes e principais usuárias dos novos serviços que estarão agregando valor à tecnologia.
O segmento de pequenas e médias empresas deverá ser o segundo grande mercado a receber os benefícios deste novo cenário de telecomunicações no Brasil. Com a ampliação da concorrência e a redução nos custos de implantação de uma rede de comunicação de dados, este mercado deve migrar gradativamente para os novos serviços baseados em comunicação de dados e serviços de valor agregado. Contudo, essa nova tecnologia requer novos investimentos, o que ocorrerá ao longo dos próximos anos.
O segmento residencial será o último setor a utilizar esses novos serviços e usufruir os benefícios da Tecnologia IP. É muito provável que com a evolução das tecnologias de acesso banda larga (xDSOL, cable modem e etc.) as classes de maior poder aquisitivo (A e B) começarão a utilizar os novos serviços e, principalmente, voz sobre IP e videoconferência.
O MPLS é uma realidade no mercado brasileiro. Pelo menos três grandes empresas de telecomunicações, abaixo relacionadas, oferecem serviços baseados nesta tecnologia. •
Embratel – Serviço IP VPN [28];
•
Telemar – TC VPN VIP [29];
•
Telefônica – Serviço VPN IP [30].
4.7. CENÁRIO DE APLICAÇÃO DO MPLS Nesta seção apresentamos um cenário no qual uma empresa deseja um estudo, que satisfaça suas necessidades, de qual seria a melhor tecnologia a ser aplicada no problema proposto.
102
O estudo realizou uma comparação entre as Redes Privadas Virtuais (VPN) tradicionais e as Redes Privadas Virtuais baseadas em MPLS, mostrando as vantagens existentes entre as duas tecnologias, procurando resolver e satisfazer as necessidade propostas pela empresa.
4.7.1. Cenário
Uma empresa resolveu investir em uma rede de computadores, interligando vinte pontos entre filiais, clientes e fornecedores, para transmissão, principalmente, em aplicações de multimídia (videoconferência, telefonia IP e etc).
Dentro desta proposta, esta mesma empresa queria saber, também, qual seria a melhor tecnologia a ser utilizada em uma possível ampliação de novos pontos de conexão.
4.7.2. Aplicação
Como a empresa deseja dar prioridade em suas transmissões nas aplicações de multimídia, propomos a utilização do MPLS, visto que, estes tipos de aplicações impõem qualidade de serviço na comunicação, e como as VPN’s tradicionais adotam o modelo do tipo melhor esforço, ou seja, os túneis utilizam-se do encaminhamento convencional IP para transportar a informação, o tráfego é tratado sem nenhum tipo de diferenciação ou priorização. Já o MPLS oferece um tratamento diferenciado permitindo ordenar a priorização de cada aplicação, ou seja, dependendo da QoS contida no rótulo é estabelecido um nível de serviço onde o tráfego é direcionado para o caminho adequado, como também, é dado prioridade de tráfego em cada nó.
Sobre a possível ampliação da rede com a criação de novas filias, propomos também o MPLS, isto porque, as VPN’s são pouco flexíveis quando se trata do fato de adicionar novos pontos. Como as VPN’s estão sobreposta à rede física a base de circuitos virtuais (PVC’s) , e a empresa possui vinte filiais, então necessitaríamos de 190 PVC’s, isto para manter uma conectividade de todos para 103
todos. Com o tempo e a necessidade de ampliações futuras, o gerenciamento se tornaria bastante complexo, em função da quantidade de PVC’s, como pode ser visto na Figura 4.1.
Figura 4.1 – Rede VPN com PVC’s
Figura 4.2 – Rede VPN MPLS com LSP’s
104
Por outro lado, o MPLS reduziu substancialmente o numero de PVC’s, agora ele só precisa de um único PVC na borda do MPLS, garantindo conectividade em toda a rede VPN, através do LSP (Figura 4.2). Com isto o gerenciamento e a previsão para ampliação da rede ficou mais fácil, conseqüentemente, acontece uma redução de custo no serviço.
Sob o ponto de vista de segurança, existe uma certa equivalência entre as duas tecnologias.
Uma das principais funções das Redes Privadas Virtuais (VPN’s) é a segurança, pois os dados, mesmo sendo transmitidos pela Internet, estariam protegidos de forma a não permitir que sejam interceptados ou modificados.
O MPLS passa a mesma segurança que as VPN’s tradicionais, mas se o cliente quiser aumentar ainda mais a confiabilidade deste item, então a criptografia pode ser empregada (IPSec), sendo adicionada ao MPLS, como seria realizado com qualquer outro tipo de transporte.
Concluímos que, entre as duas tecnologias estudadas, a que melhor satisfaz as necessidades da empresa, seria o MPLS. O MPLS leva vantagem em quase todos os requisitos, o único item em que existe um equilíbrio entre as VPN’s tradicionais e o MPLS seria a segurança, mas como comentado anteriormente, ambas as tecnologias passam a mesma confiabilidade.
105
CONCLUSÕES
Esta monografia teve como objetivo realizar um estudo comparativo entre as tradicionais Redes Privadas Virtuais e as Redes Privadas Virtuais baseadas em MPLS.
Observamos que, Inicialmente as redes locais de computadores, foram usadas para compartilhar alguns recursos como aplicações e impressora, sem a preocupação com o quesito segurança. Com o advento da internet comercial, surge a necessidade de uma política de segurança, que garanta os sistemas funcionando e permitindo o acesso remoto de uma forma segura e confiável. Vários métodos foram desenvolvidos com este intuito, entre eles a VPN (Virtual Private Network) ou Rede Privada Virtual. Cada vez mais as VPN’s são incorporadas às organizações, sejam elas privadas ou governamentais. Os principais motivos estão relacionados à segurança das informações e o custo no tráfego das mesmas, pois utiliza um meio público, como a internet, para trafegar dados entre elas. A VPN cria "túneis virtuais" de comunicação entre essas redes, fazendo com que os dados trafeguem de forma criptografada pelos túneis, dificultando e muito, a ação de possíveis invasores. As VPN’s
garantem
também
integridade,
confidencialidade
das
informações
106
transmitidas, bem como a autenticação e controle de acesso aos gateways, permitindo uma confiança maior por parte de quem as usa.
O MPLS é chamado de multiprotocolo porque qualquer protocolo de rede pode ser utilizado para o encaminhamento dos pacotes, ele modifica um paradigma fundamental hoje existente nas redes IP : a superposição de um rótulo ao datagrama tendo a propriedade de imprimir à comunicação uma característica de “orientação à conexão''. Sua característica de interligar roteadores IP o torna uma referência para construção de redes. O MPLS além de possuir a qualidade de construções de VPN’s, como uma de suas funções nativas, se mostra com uma característica atraente para a utilização de diversos tipos de serviços que demandam uma maior qualidade de serviço, e com um custo mais baixo, além de propiciar para a Engenharia de Tráfego, o roteamento explícito de maneira eficiente baseada em protocolos de comutação por rótulos. Conclui-se que o MPLS é uma tecnologia emergente que em comparação com as demais Redes Privadas Virtuais tradicionais é a mais promissora na tentativa de melhorar o desempenho das redes, por ser flexível e por permitir seu mapeamento em várias tecnologias de rede, nos fazendo crer que ele será capaz de melhorar a qualidade das transmissões de voz e vídeo (através do QoS), a segurança (através das VPN’s) e também a velocidade e planejamento nas transmissões de dados (através da engenharia de tráfego).
107
REFERÊNCIAS BIBLIOGRÁFICAS [1]
SOARES, Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de
computadores das Lans, Mas e Wans às redes ATM. Rio de Janeiro: Campus, p. 79249, 1995.
[2] AREDE. CIR (Commited Information Rate). Disponível em: www.arede.inf.br/ index.php?option=com_glossary&func=display&letter=C&Itemid=95&catid=41&page= 1 Acessado em: 13/12/2006.
[3] COMER, Douglas E. Redes de Computadores e Internet. Ed 2ª. Tradução de Marinho Barcellos. Porto Alegre: Bookman, p. 131-181, 2001.
[4] TANEMBAUM, Andrew S. Redes de Computadores. Tradução de sétima edição. Rio de Janeiro: Campus, p. 65-460, 2003.
[5] FILHO, José Valentim dos Santos. O Estado-da-Arte do Frame Relay. GTA / URFJ Grupo de teleinformática e automação. Disponível em:. Acessado em: 12/03/2006.
[6] FILHO, Huber Bernal. Seção: Banda larga e VOIP- Frame Relay. 2003. TELECO Informações e telecomunicações. Disponível em:. acessado em: 15/03/2006.
[7] PINHEIRO, Jose Mauricio Santos. O MPLS em Redes de Computadores. 2006. Projeto
de
Redes.
Disponível
em:
artigos/artigo_mpls_em_redes.php>. Acessado em: 23/09/2006.
[8] MACEDO, Carlil Gibran Fonseca; BRAGA, Nilton C. N. da Costa; ALVES, Nilton. Tutorial: Redes ATM. I Workshop do Rio de Janeiro em Redes de Alta Velocidade. 1999. Servidor Mesonpi. Disponível em:. Acessado em: 15/04/2006.
108
[9] SMETANA, George Marcel M. A.. Ipv4 e Ipv6. Escola Politécnica da Universidade de São Paulo e do Laboratório de Arquitetura e Redes de Computadores. Disponível em: < http://www.checchia.net/node/104>. Acessado em: 18/03/2006.
[10] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU – Brazilian
Open
University.
2004.
Disponível
em:
jornal/cabecalho_mono.cfm?target=monografias/VPN%20-%20Virtual%20Private% 20Network/vpn.htm>. Acessado em: 15/11/2006.
[11] CANEDO, Paulo Ricardo Lessa; ALMEIDA, Carlo Vinicius de Melo. Projeto, Suporte e Administração de Redes, UniFOA – Centro Universitário de Volta Redonda.
Disponível
em:
apostilas_rede.php>. Acessado em: 15/11/2006.
[12] RFC 791. Internet Protocol. Darpa Internet Program.Protcol Specification. September 1981. Disponível em:. Acessado em: 12/04/2006.
[13]
studiodigitall.
TCP/IP
Control
Protocol/Internet
Protocol.
Disponível:
. Acessado em: 12/03/2006.
[14] CHIN, Liou Kuo. VPN - Virtual Private Network. Boletim bimestral sobre tecnologia de redes produzido e publicado pela RNP – Rede Nacional de Ensino e Pesquisa. 1998
v 2, no. 8. Disponível em:
vpn.html#ng-tipos>. Acessado em: 15/11/2006.
[15] ASSIS, João Mário de. Implementando VPN em Linux. Universidade Federal de Lavras. Minas Gerais. 2003. Disponível em:. Acessado em: 11/10/2006.
109
[16] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU – Brazilian Open University. Angola. 2004. Disponível em:. Acessado em: 08/11/2006. [17] KOLENISKOV, Oleg; HATCH, Brian. Building Linux Virtual Private Networks (VPNs). 1ª Edição. EUA: New Riders, 2002. p.385 . [18] CARDOSO, Rogério Nesi Pereira. A integração de múltiplos serviços com o MPLS.
Cisco
System.
Disponivel
em:
redacao/perfistecnologicos/conectividad.asp?Id=18>. Acessado em: 15/11/2006. [19] FILHO, Huber Bernal,
Asynchronous Transfer Mode (ATM), TELECO
Informações e telecomunicações. 2003. Disponível em:. Acessado em: 12/09/2006. [20] E. Rosen, A. Viswanathan; R. Callon. Network Working Group, IETF, Multiprotocol
Label
Switching
Architecture.
January
2001.
Disponível
em:
. Acessado em: 12/11/2006. [21] ANDRADE, Aujor Tadeu Cavalca; WESTPHALL, Carlos Becker. Modelagem e Análise de Desempenho de Uma Rede Baseada em Tecnologia MPLS. Universidade Federal de Santa Catarina – UFSC. Disponível em: . Acessado em: 02/11/2006. [22] TUDE, Eduardo; FILHO, Huber Bernal. Multi Protocol Label Switching (MPLS) utilizado em redes IP. 2004. TELECO Informações e telecomunicações. Disponível em: < http://www.teleco.com.br/tutoriais.asp#>. Acessado em: 08/11/2006. [23] ABREU, Luis Henrique. Arquitetura MPLS para Formação de VPN. UNIMINAS. Uberlândia.
2004. Disponível em:
Monografia%20Luiz%20Henrique%20de%20abreu.pdf>. Acessado em: 08/11/2006. [24] ASSIS, Alexandre Urtado de; FERRAZ, Tatiana Lopes; ALBUQUERQUE, Marcelo Portes. Nota Técnica Protocolo MPLS, 2002. Servidor Mesonpi. Disponível em: < http://mesonpi.cat.cbpf.br/redes/mpls.pdf>. Acessado em: 10/11/2006.
110
[25] MESQUITA, Márcio Gurjão. Tutorial MPLS - Multi Protocol Label Switching. Universidade Estadual do Ceará. 2001.
Disponível em:
tutoriais/MPLS_MARCIO_TUTORIAL.PDF>. Acessado em: 10/11/2006. [26] TAFT, Bruno Prestes. MPLS - Multi Protocol Label Switching. GTA/URFJ Grupo de teleinformática e automação.
Disponível em:
04_2/MPLS>. Acessado em: 28/10/2006. [27] MIERCOM. Test/Analysis Tools, Package Speeds MPLS Diagnostics. November 2005. Disponível em: < http://www.miercom.com/?url=reports/&v=16>. Acessado em: 22/11/2006. [28] EMBRATEL. A maior rede corporativa IP VPN do país. Embratel vence leilão para
fornecer
serviços
ao
Banco
do
Brasil.
2004.
Disponível
em:
. Acessado em: 22/11/2006. [29] TELEMAR. Soluções por serviços. Formação de Redes de dados. TC VPN VIP. Corporate
online,
Disponível
em:
index.asp?idPage=3&idPageSub=a5>. Acessado em: 22/11/2006. [30] TELEFONICA. VPN IP. 2004. Disponível em:. Acessado em: 22/11/2006.
111
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Luis Rodrigues da Silva Filho
Fortaleza – 2006
Luis Rodrigues da Silva Filho
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Monografia apresentada ao Centro de Ciências Tecnológicas da Universidade de Fortaleza como parte dos pré-requisitos para a obtenção da graduação de Bacharel em Informática.
Orientador: Prof. Fernando Parente Garcia, M.Sc.
Fortaleza – 2006
ii
ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS
Luis Rodrigues da Silva Filho
PARECER: ______________________________
DATA: ____/____/_____
BANCA EXAMINADORA:
__________________________________________ Prof. Fernando Parente Garcia, M.Sc. (Orientador)
__________________________________________ Prof. Wellington Alves de Brito, M.Sc. (Examinador)
iii
“Eu sou o pão vivo que desceu do céu. Quem comer deste pão vai viver para sempre. O pão que eu vou dar é minha carne que é dada para a vida do mundo. Os judeus cochichavam entre si, dizendo : como é que este homem pode dar a sua carne para ser comida? Então ele respondeu. Em verdade eu vos digo: se não comerdes a carne do filho do homem e não beberdes o seu sangue, não tereis a vida em vós. Quem come a minha carne e bebe o meu sangue tem a vida eterna e eu o ressuscitarei no último dia”. (Jesus Cristo)
iv
AGRADECIMENTOS
Em primeiro lugar a Deus por me dar o dom da vida em segundo lugar aos meus pais, minha filha e parentes, pelo apoio e incentivo em todos os sentidos e que sempre estiveram ao meu lado me ajudando de alguma forma para que eu pudesse atingir os meus objetivos.
Ao Mestre Fernando Parente Garcia, meu orientador no curso de graduação, pela orientação neste trabalho, por incentivo à pesquisa, pela amizade e cavalheirismo, pelo aprendizado nas suas aulas da graduação, pelo exemplo de atitude científica, dedicação acadêmica e por entender as dificuldades que passei com a perda de meu pai.
A todos os professores da Unifor que, de uma forma ou de outra, contribuíram para o meu crescimento pessoal e profissional.
A todas as pessoas que me ajudaram direta e indiretamente para a realização de meus objetivos. Por fim, à minha família: ao meu pai, ao qual perdi em março deste ano, pelos conselhos, suporte, caráter e por ser exemplo de determinação e perseverança, à minha mãe, pelo amor, dedicação, entusiasmo, paciência, motivação, carinho e afeto.
v
RESUMO
Este trabalho apresenta uma avaliação comparativa entre as Redes Privadas Virtuais (VPN) e as Redes Privadas Virtuais baseadas em MPLS (MultiProtocol Label Switching). O propósito é analisar e avaliar o desempenho destas duas tecnologias realizando um estudo comparativo no que se refere a escalabilidade, custos, qualidade de serviço e engenharia de tráfego. Inicialmente, são abordados os funcionamentos das redes públicas FRAME RELAY, ATM e IP. Em seguida são apresentados os conceitos utilizados nas VPN’s e VPN’s MPLS, seu funcionamento, formação de VPN’s e aplicações. Finalmente, diante de todos os conceitos da tecnologia MPLS, e das tradicionais redes VPN’s, é apresentado, um estudo comparativo entre as duas tecnologias, encerrando com um estudo de caso, onde acontece uma análise de qual seria a melhor tecnologia a ser aplicada no cenário proposto.
Palavras-chave: VPN IP, VPN IP MPLS, Redes Privadas Virtuais, Label, Segurança, escalabilidade, Engenharia de tráfego.
vi
SUMÁRIO INTRODUÇÃO ........................................................................................................ 13 1. REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS....................................... 16 1.1. REDES FRAME RELAY.............................................................................. 16 1.1.1. Características .................................................................................. 17 1.1.1.1. Estrutura do Frame – Protocolo .......................................... 18 1.1.1.2. Circuitos Virtuais ................................................................. 21 1.1.1.2.1. Permanent Virtual Circuit (PVC) ......................... 21 1.1.1.2.2. Switched Virtual Circuit (SVC) ............................ 21 1.1.2. Controle de tráfego e congestionamento ......................................... 22 1.1.2.1. Aviso de Congestionamento.................................................. 22 1.1.2.1.1. Aviso Explícito de Congestionamento .................. 23 1.1.2.1.2. Aviso Implícito de Congestionamento................... 24 1.1.2.1.3. Elegibilidade para Descarte.................................. 24 1.1.2.2. Estado das Conexões ........................................................... 25 1.1.2.3. Sinalização SVC.................................................................... 26 1.1.3. Aplicações .......................................................................................... 26 1.1.3.1. Interligação de Redes LAN.................................................... 27 1.1.3.2. Voz sobre Frame Relay (VoFR) ........................................... 28 1.1.3.3. Interação Frame Relay - ATM ............................................... 29 1.2. REDES ATM (Asynchronous Transfer Mode) ................................................. 30 1.2.1. Características .................................................................................... 30 1.2.1.1. Estrutura da Célula ............................................................... 31 1.2.1.2. Conexões Virtuais ................................................................ 32 1.2.2. Controle de trafego ............................................................................. 35 1.2.3. Congestionamento.............................................................................. 36 1.2.4. Aplicações .......................................................................................... 38 1.2.4.1. Interligação de Redes Corporativas ..................................... 38 1.2.4.2. Interação ATM - Frame Relay .............................................. 40 1.2.5. Tipos de serviços ................................................................................ 41 1.3. REDES IP (Internet PROTOCOL) ................................................................... 42
vii
1.3.1. Características .................................................................................... 42
1.3.1.1. Formato do Datagrama ........................................................ 44 1.3.1.2. Endereços IP ........................................................................ 46 1.3.1.2.1. Endereçamento de máquinas na mesma rede .... 49 1.3.1.2.2.Endereçamento de máquinas em redes diferentes 49 2. VIRTUAL PRIVATE NETWORK......................................................................... 51 2.1. Introdução ........................................................................................................ 51 2.2. Tunelamento .................................................................................................... 52 2.2.1. Tipos de Túneis .................................................................................. 53 2.2.1.1. Tunelamento Voluntário ........................................................ 53 2.2.1.2. Tunelamento Compulsório .................................................... 54 2.2.2. Funcionamento dos Túneis................................................................. 55 2.3. Protolocos de Tunelamento.............................................................................. 56 2.3.1. Protocolo PPTP (Point-to-Point Tunneling Protocol) .......................... 57 2.3.1.1. Arquitetura PPTP .................................................................. 58 2.3.1.2. Datagrama PPTP .................................................................. 59 2.3.2. Protocolo L2F (Layer Two Forwarding) .............................................. 61 2.3.2.1. Datagrama L2F ..................................................................... 63 2.3.3. Protocolo L2TP ................................................................................... 63 2.3.3.1. Funcionamento do L2TP ....................................................... 64 2.3.3.2. Autenticação.......................................................................... 65 2.3.3.3. Formato do Datagrama ......................................................... 65 2.3.4. Protocolo IPSec .................................................................................. 67 2.3.4.1. Estrutura do pacote IPSec .................................................... 68 2.3.4.1.1. Protocolo AH (Authentication Header) ................. 69 2.3.4.1.2. Protocolo ESP (Encapsulated Security Payload)
70
2.3.4.2. Mecanismos de Segurança IPSec ........................................ 71 2.3.4.2.1. Autenticação e Integridade dos dados.................. 71 2.3.4.2.2. Controle de acesso............................................... 72 2.3.4.2.3. Confidencialidade ................................................. 72 2.4. Segurança ........................................................................................................ 72 2.4.1. Criptografia ......................................................................................... 73 2.4.1.1.Criptografia Simétrica ............................................................. 73 viii
2.4.1.2.Criptografia Assimétrica ......................................................... 74 2.4.2. Autenticação ....................................................................................... 75 2.4.3. Integridade.......................................................................................... 76 2.5. Aplicações VPN................................................................................................ 76 2.5.1.Acesso Remoto via Internet................................................................. 76 2.5.2.Conexão de Redes Corporativas Via Internet. .................................... 77 2.5.3.Conexão de Computadores Via Intranet. ............................................ 78 2.6 Performance e QoS........................................................................................... 79 3. MULTIPROTOCOL LABEL SWITCHING ............................................................ 81 3.1. Introdução ........................................................................................................ 81 3.2. Componentes ................................................................................................... 82 3.2.1. Label Switching Routers (LSR) .......................................................... 83 3.2.2. Label Switch Path (LSP) .................................................................... 84 3.2.3. Forward Equivalence Label (FEC) ..................................................... 85 3.2.4. Label Edge Routers (LER) ................................................................. 86 3.2.5. Labels (rótulos) .................................................................................. 87 3.2.6. Label Distribution Protocol (LDP) ....................................................... 88 3.2.7. Label Information Base (LIB) ............................................................. 89 3.3. Funcionamento................................................................................................. 89 3.4. Aplicações ........................................................................................................ 91 3.4.1. Engenharia de tráfego ........................................................................ 91 3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN) ..................................... 92 4. ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS ............................. 95 4.1. Infra-estrutura de rede multiserviço .................................................................. 95 4.2. Formação de VPN’s, custos e escalabildade ................................................... 96 4.3. Qualidade de serviço........................................................................................ 98 4.4. Engenharia de tráfego ...................................................................................... 99 4.5. Segurança ........................................................................................................100 4.6. Mercado brasileiro............................................................................................101 4.7. Cenário de aplicação do MPLS ................................................................................................ 102 4.7.1. Cenário ...............................................................................................103 4.7.2. Aplicação ............................................................................................103 CONCLUSÕES .......................................................................................................106 REFERÊNCIA BIBLIOGRÁFICAS ..........................................................................108 ix
LISTA DE FIGURAS
Figura 1.1 – Estrutura do Frame ............................................................................. 19 Figura 1.2 – Estrutura do cabeçalho ....................................................................... 19 Figura 1.3 – Estado de congestionamento.............................................................. 23 Figura 1.4 – Interligação de redes LAN................................................................... 27 Figura 1.5 – Aplicação de voz sobre Frame Relay.................................................. 28 Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's .......... 29 Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's ............. 31 Figura 1.8 – Estrutura da Célula ATM ..................................................................... 32 Figura 1.9 – Conceitos para implementar as conexões ATM.................................. 32 Figura 1.10 – Conexões Virtuais ATM..................................................................... 34 Figura 1.11 – Interligação de redes coorporativas. ................................................ 39 Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s........ 40 Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s ............ 41 Figura 1.14 - Estrutura host e roteador ................................................................... 43 Figura 1.15 - Formato do Datagrama ...................................................................... 44 Figura 1.16 - Classes utilizadas na Internet ............................................................ 48 Figura 1.17 - Endereçamento na mesma rede ........................................................ 49 Figura 1.18 - Endereçamento em redes diferentes ................................................. 50 Figura 2.1 – Funcionamento básico do tunelamento............................................... 52 Figura 2.2 – Tunelamento Voluntário ...................................................................... 53 Figura 2.3 – Tunelamento Compulsório .................................................................. 54 Figura 2.4 – Tunelamento ....................................................................................... 55 Figura 2.5 – Conexão PPTP.................................................................................... 58 Figura 2.6 – Quadro PPTP ...................................................................................... 60 Figura 2.7 – Quadro de encapsulamento PPTP...................................................... 61 Figura 2.8 – Tunelamento com o Protocolo L2F ..................................................... 62 Figura 2.9 – Cabeçalho do pacote L2F ................................................................... 62 Figura 2.10 – Funcionamento do protocolo L2TP ................................................... 65 x
Figura 2.11 – Cabeçalho do Pacote L2TP .............................................................. 66 Figura 2.12 – Cabeçalho modo Transporte............................................................ 68 Figura 2.13 – Cabeçalho modo túnel ...................................................................... 68 Figura 2.14 - Estrutura do pacote IPSec. ............................................................... 69 Figura 2.15 – Cabeçalho do Protocolo AH .............................................................. 69 Figura 2.16 – Cabeçalho do Protocolo ESP ............................................................ 70 Figura 2.17 – Conexão de redes Corporativas via Internet ..................................... 77 Figura 2.18 – Conexão de redes Corporativas via Internet ..................................... 78 Figura 2.19 – Conexão de computadores via Internet............................................. 79 Figura 3.1 – LSR de Borda e LSR de Núcleo. ........................................................ 83 Figura 3.2 – Criação da LSP ................................................................................... 84 Figura 3.3 – Encaminhamento do pacote FEC........................................................ 85 Figura 3.4 – Esquema do Label Edge Routers (LER) ........................................... 86 Figura 3.5 – Cabeçalho MPLS – Shim Header........................................................ 87 Figura 3.6 – Funcionamento básico do MPLS......................................................... 90 Figura 3.7 – MPLS sobre uma Rede Privada Virtual............................................... 93 Figura 4.1 – Rede VPN com PVC’s.........................................................................104 Figura 4.2 – Rede VPN MPLS com LSP’s ..............................................................104
xi
LISTA DE TABELAS
Tabela 1.1 – Descrição dos campos do cabeçalho ................................................. 19 Tabela 1.2 – Descrição dos campos do cabeçalho ................................................. 31 Tabela 1.3 – Descrição dos campos do datagrama IP............................................ 44 Tabela 2.1 – Descrição dos campos do Cabeçalho L2F ......................................... 63 Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP .................................. 66 Tabela 2.3 – Descrição dos campos do cabeçalho AH ........................................... 69 Tabela 2.4 – Descrição dos campos do cabeçalho ESP......................................... 71 Tabela 3.1 – Descrição dos campos do Label. ....................................................... 88
xii
INTRODUÇÃO
Como a Internet é uma rede pública com transmissão aberta da maior parte dos dados, devemos estar atentos aos aspectos de segurança, isto porque, cada vez mais as corporações necessitam estar conectadas de maneira privada e confiável, para facilitar a comunicação entre suas filiais, fornecedores e clientes.
Para se conseguir tal ambiente utiliza-se normalmente linhas dedicadas, o que onera sensivelmente os custos de implementação, além dos custos com pessoal e manutenção, tendo também sérios problemas de escalabilidade.
Surge então a necessidade de uma política de segurança, para que as corporações possam manter uma comunicação segura e confiável entre os seus diversos pontos. Várias pesquisas foram realizadas para o desenvolvimento de uma tecnologia que resolvesse este e outros problemas. Entre os diversos métodos estudados, surgiu a VPN (Virtual Private Network) ou Rede Privada Virtual.
A VPN surgiu com o propósito de garantir integridade, autenticidade, confidencialidade e controle de acesso, reduzindo os riscos de ataques externos não desejados. Ela cria “túneis virtuais" de comunicação entre as redes, fazendo com que os dados trafeguem de forma criptografada pelos túneis, garantindo principalmente que os dados não sejam modificados durante a transmissão, e que as partes envolvidas na transmissão sejam identificadas corretamente e mantendo o sigilo, isto é, não permitindo que pessoas não autorizadas identifiquem o conteúdo da mensagem.
Além disso, a VPN tem se tornado uma forma de diminuir os custos para interligar as redes das empresas, pois elimina a necessidade de links dedicados de longa distância, utilizando um meio público, normalmente a Internet, para trafegar dados entre elas.
13
Ela também permite o suporte a usuários móveis, sem a utilização de bancos de modem ou servidores de acesso remoto, ajudando a aumentar a flexibilidade e diminuir os gastos com equipamentos extras.
Entretanto, em aplicações onde o tempo de transmissão é crítico, como multimídia, o uso de VPN’s deve ser analisado com mais cuidado, pois podem ocorrer problemas de desempenho e atrasos.
Dentro deste contexto surge o MPLS (Multiprotocol Label Switching), uma tecnologia emergente que além de possuir, entre suas funções nativas, a qualidade de construções de VPN’s, pode também ser utilizado com qualquer protocolo de rede para o encaminhamento de pacotes. O MPLS é um Framework1 que realiza o encaminhamento dos dados através de caminhos pré-estabelecidos, sendo feita apenas a comutação, e não o roteamento tradicional.
Dentre as vantagens desta nova tecnologia estão: • Orientação à conexão em redes IP; • Construção de VPN’s (Virtual Private Networks); • Engenharia de tráfego; • Qualidade de Serviço (QoS); • Classes de Serviço (CoS). O objetivo deste estudo é realizar uma análise e avaliação comparativa entre as Redes Privadas Virtuais (VPN’s) tradicionais e as VPN’s baseadas em 1
Framework ou arcabouço é uma estrutura de suporte definida em que um outro projeto de software pode ser organizado e desenvolvido. Um framework pode incluir programas de suporte, bibliotecas de código, linguagens de script e outros softwares para ajudar a desenvolver e juntar diferentes componentes de um projeto de software.
14
MPLS, referente a segurança, desempenho, custos, qualidade de serviço e engenharia de tráfego.
O trabalho é composto de quatro capítulos assim divididos: No capitulo 1, são abordados as características, funcionalidades e aplicações das redes públicas Frame Relay, ATM e IP, como embasamento para os capítulos posteriores. No capítulo 2, é realizado um estudo das Redes Privadas Virtuais (VPN’s), mostrando sua arquitetura, protocolos de tunelamento, segurança e como são construídos e como funcionam os “Túneis Virtuais” que garantem a integridade, autenticidade, confidencialidade e controle de acesso.
No capitulo 3, discute-se
o Multiprotocol Label Switching (MPLS),
mostrando como são quebrados os paradigmas dos roteamentos tradicionais IP através de seus rótulos, como são construídas as Redes Privadas Virtuais (VPN’s) baseadas em MPLS, a sua capacidade de melhorar a qualidade de transmissões, principalmente as multimídias, através da QoS e seu planejamento de rotas através da Engenharia de tráfego.
No quarto e último capitulo, apresentamos uma análise comparativa entre as VPN’s IP e VPN’s IP MPLS, procurando mostrar as suas vantagens e desvantagens relativo aos itens já citados anteriormente. Neste capitulo discutimos, ainda, um cenário proposto, no qual colocamos nossa opinião sobre qual seria a melhor aplicação entre as duas tecnologias discutidas.
Ao final, nas conclusões, apresentamos nossas considerações sobre o assunto tema desenvolvido nesta pesquisa.
15
CAPÍTULO I
REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS Neste capítulo será abordado o funcionamento das redes Frame Relay, ATM e IP.
1.1. REDES FRAME-RELAY No fim da década de 80 e início da década de 90, vários fatores combinados demandaram a transmissão de dados com velocidades mais altas devido a: • A migração dos aplicativos de texto para aplicativos gráficos; • O aumento do tráfego do tipo rajada (bursty) nas aplicações de dados; • O aumento da capacidade de processamento dos equipamentos de usuário (PC’s, estações de trabalho, terminais Unix);
16
• A popularização das redes locais e aplicações cliente/ Servidor; • A disponibilidade de redes digitais de transmissão. Nessa época o Bell Labs (EUA) desenvolvia a tecnologia do protocolo Frame Relay, entretanto, devido a suas características, o protocolo foi desmembrado e evoluiu como um serviço de rede independente, com padrões e recomendações elaborados por órgão internacionais de Telecomunicações [6].
O Frame Relay é uma tecnologia de comunicação de dados que é usada em muitas redes ao redor do mundo para interligar aplicações do tipo LAN, Internet e Voz.
Basicamente a tecnologia Frame Relay é definida como um serviço orientado à conexão, modo comutação de pacote (as mensagens com tamanho acima de um limite determinado devem ser quebradas em unidades menores) [1], prestado por redes de suporte que oferecem interfaces de acesso a terminais de usuários. Ela utiliza a transferência unidirecional e bidirecional de SDU’s (Unidade de dados de serviço) entre duas ou mais interfaces usuário-rede (UNI), preservando a ordem de entrega das SDU’s de uma conexão virtual que atinjam o destino. O serviço Frame Relay não garante a entrega de todas as SDU’s que transmite, podendo descartar parte dessas SDU’s por ocorrência de erros e congestionamento na rede. O Frame Relay não utiliza mecanismos de controle de erros e de fluxo, ficando estas funções a cargo do aplicativo [5] .
1.1.1. Características O Frame Relay é uma tecnologia baseada em frames (quadros), ideal para tráfego de dados IP. Para cada largura de banda selecionada, existem diferentes taxas de CIR (Seção 1.1.2.1.3).
17
As taxas de CIR, representam uma estimativa do tráfego normal do usuário durante o período de trabalho pleno, ou seja, é a taxa em que a rede se compromete a aceitar dados do usuário, garantindo a transmissão em condições normais de funcionamento [2].
Para cada circuito virtual a ser ativado na rede, o usuário deve especificar o CIR de acordo com a necessidade de sua aplicação, quanto maior o CIR selecionado, maior a garantia de tráfego. 1.1.1.1. Estrutura do Frame – Protocolo
O Frame Relay é um serviço de frames que organiza as informações em frames, ou seja, em frames de dados com endereço de destino definido, ao invés de colocá-los em slots2 fixos de tempo. Este procedimento permite ao protocolo implementar as características de multiplexação e de compartilhamento de portas, ou seja, possibilita a utilização de múltiplos canais lógicos em uma mesma linha de acesso. Isto significa que podemos, utilizando uma única linha de dados em um ponto de concentração, acessar diversos pontos remotos.
Os frames podem ter comprimento variável e, dependendo do tipo de informação da aplicação do usuário, seu tamanho pode variar de alguns poucos até milhares de caracteres. Esta funcionalidade é essencial para a interoperabilidade com aplicações do tipo LAN e outros tipos de tráfego síncrono. Essa facilidade, porém, faz com que o atraso varie em função do tamanho do frame. Entretanto, a tecnologia Frame Relay tem sido adaptada para atender até mesmo as aplicações sensíveis a atrasos, como é o caso da Voz.
O protocolo Frame Relay utiliza um frame com estrutura comum e bastante simplificada, conforme demonstram as Figuras 1.1 e 1.2. Na tabela 1.1 são descritos os campos do cabeçalho.
2
Slot é um termo em inglês para designar conector, encaixe ou espaços livres dentro da CPU, em que é possível instalar novas placas para aumentar a capacidade de processamento.
18
CABEÇALHO
INFORMAÇÕES DO USUÁRIO
FCS
FLAG
Figura 1.1 – Estrutura do Frame
DLCI 876543
BYTE 1 C/R 2
EA 1
DLCI 8765
BYTE 2 FECN BENC 4 3
DE 2
EA 1
Figura 1.2 – Estrutura do cabeçalho
Tabela 1.1 – Descrição dos campos do cabeçalho Flags
Cabeçalho
Os campos Flag inicial e Flag final delimitam o quadro. Carrega as informações de controle do protocolo. É composto por 02 bytes com as seguintes informações: • DLCI (Data Link Connection Identifier), com 10 bits, representa o número (endereço) designado para o destinatário de um PVC (Permanent Virtual Circuit, item 1.1.1.2.1) dentro de um canal de usuário, e tem significado local apenas para a porta de origem; • C/R (Command / Response), com 01 bit, é usado pela aplicação usuária, só será utilizado na hipótese de estar em modo de controle e gerencia no Frame Relay; • FECN (Foward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento receptor que procedimentos de prevenção de congestionamento devem ser iniciados; • BECN (Backward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento transmissor que procedimentos de prevenção de congestionamento devem ser iniciados; • DE (Discard Eligibility Indicator), com 01 bit, se setado igual a um, elege o quadro que contém o frame como maior candidato a descarte na hipótese de congestionamento ao longo da rede. • EA (Extension Bit), com 02 bits, é usado para indicar 19
que o cabeçalho tem mais de 02 bytes, em caso especiais, sendo zerado todos os bits, a exceção do último, quando é setado um; Informação de Contém as informações da aplicação usuária a serem transportadas através da rede Frame Relay. usuário
FCS
O FCS (Frame Check Sequence) representa o CRC (Cyclic Redundancy Check) padrão de 16 bits (x16 + x12 + x5 = 1) usado pelo protocolo Frame Relay para detectar erros existentes entre o Flag de início do frame e o próprio FCS, e pode ser usado apenas para frames com até 4096 bytes.
O fluxo básico das informações é descrito a seguir: • As informações são enviadas através da rede Frame Relay usando o DLCI, que especifica o destinatário do frame; • Se a rede tiver algum problema ao processar o frame devido à falhas ou ao congestionamento nas linhas de dados, os frames são simplesmente descartados; • A rede Frame Relay não executa a correção de erros, pois ela considera que o protocolo da aplicação de usuário executa a recuperação de falhas através da solicitação de retransmissão dos frames perdidos; • A recuperação de falhas executada pelo protocolo da aplicação, embora confiável, apresenta como resultado o aumento do atraso (delay), do processamento de frames e do uso de banda, o que torna imprescindível que a rede minimize o descarte de frames; • A rede Frame Relay requer circuitos da rede de transmissão com baixas taxas de erros e falhas para apresentar boa eficiência;
20
• Em redes de transmissão de boa qualidade, o congestionamento é de longe a causa mais freqüente de descarte de frames, demandando da rede Frame Relay a habilidade de evitar e reagir rapidamente ao congestionamento como forma de determinar a sua eficiência.
1.1.1.2. Circuitos Virtuais
A tecnologia Frame Relay é baseada no uso de Circuitos Virtuais (VC's). Um VC é um circuito de dados virtual bidirecional configurado entre duas portas quaisquer da rede, que funciona como um circuito dedicado. Existem dois tipos de VC's, o Permanent Virtual Circuit (PVC) e o Switched Virtual circuit (SVC).
1.1.1.2.1. Permanent Virtual Circuit (PVC)
O PVC é configurado pelo operador na rede através do sistema de Gerência de Rede, como sendo uma conexão permanente entre dois pontos. Seu encaminhamento através dos equipamentos da rede pode ser alterado ao longo do tempo devido à falhas ou reconfigurações de rotas, porém as portas de cada extremidade são mantidas fixas e de acordo com a configuração inicial.
A configuração dos PVC's requer um planejamento criterioso para levar em consideração o padrão de tráfego da rede e o uso da banda disponível. Sua utilização é destinada a aplicações permanente e de longo prazo e são uma alternativa aos circuitos dedicados dos sistemas TDM com boa relação custo / benefício.
1.1.1.2.2. Switched Virtual Circuit (SVC)
O SVC é disponibilizado na rede de forma automática, sem intervenção do operador, como um circuito virtual sob demanda, para atender, entre outras, as aplicações de Voz que estabelecem novas conexões a cada chamada. O estabelecimento de uma chamada usando o protocolo de sinalização do SVC é comparável ao uso normal de telefone, onde a aplicação de usuário especifica um
21
número de destinatário para completar a chamada, e o SVC é estabelecido entre as portas de origem e destino.
O estabelecimento de SVC's na rede é mais complexo que os PVC's, embora seja transparente para o usuário final. As conexões devem ser estabelecidas de forma dinâmica na rede, atendendo as solicitações de destino e banda das diversas aplicações de usuários, e devem ser acompanhadas e cobradas de acordo com o serviço fornecido.
1.1.2. Controle de tráfego e congestionamento O protocolo Frame Relay foi desenvolvido para ser o mais simples possível, a sua função básica é determinar que os eventuais problemas de erros da rede sejam resolvidos pelos protocolos dos equipamentos de usuário, mas surgiram necessidades que levaram os órgão de padronização a definir mecanismos de sinalização para três tipos de situações: Aviso de Congestionamento, Estado das Conexões e Sinalização SVC.
1.1.2.1. Aviso de Congestionamento
A capacidade de transporte da Rede Frame Relay é limitada pela sua banda disponível. Conforme o tráfego aumenta, a banda vai sendo alocada até onde não é possível receber tráfego adicional. Quando o limite da banda é atingido, a rede é considerada congestionada, embora ainda possa transportar todo o tráfego que entra. Caso os usuários continuem a enviar tráfego adicional, a rede é levada ao estado de congestionamento extremo, o que provoca a perda de frames por falta de banda. Nesse estado, os procedimentos de reenvio de pacotes perdidos pelos usuários concorrem com o tráfego existente e a rede pode entrar em colapso.
Para evitar esse tipo de situação, foram definidos os seguintes mecanismos de aviso de congestionamento: Aviso Explícito de Congestionamento, Aviso Implícito de Congestionamento e Elegibilidade para Descarte.
22
1.1.2.1.1. Aviso Explícito de Congestionamento
Este mecanismo utiliza os bits FECN e BECN do cabeçalho do frame (Seção 1.1.1.1, Tabela 1.1), para avisar aos equipamentos dos usuários sobre o estado da rede.
A Figura 1.3 ilustra um exemplo onde o equipamento B está atingindo o estado
de
congestionamento,
oriundo
de
vários
usuários,
ou
de
um
congestionamento no entroncamento que interliga B e C.
Figura 1.3 – Estado de congestionamento
A identificação do congestionamento é feita pelo equipamento B, baseado no estado de seus buffers internos ou no tamanho de suas filas de frames a enviar. Nesse momento B ativa o bit FECN desta forma todos os equipamentos de rede e de usuário envolvidos no caminho entre B e o destino dos DLCI’s afetados tomam conhecimento do congestionamento.
Além de informar aos equipamentos de destino, B ativa também o bit BECN. Novamente, todos os equipamentos de rede e de usuário envolvidos no caminho entre B e a origem dos DLCI’s afetados tomam conhecimento do congestionamento. Dependendo da inteligência do protocolo da aplicação de usuário, procedimentos de diminuição de tráfego a ser enviado para a rede podem ser iniciados.
23
O processo de ativação dos bits FECN e BECN pode ocorrer simultaneamente
em
vários
DLCI’s,
como
resultado
da
ocorrência
de
congestionamento, avisando vários equipamentos de origem e destino. [6].
1.1.2.1.2. Aviso Implícito de Congestionamento
Alguns protocolos dos equipamentos de aplicação, como o TCP/IP, possuem mecanismos para verificar o congestionamento da rede. Esses protocolos analisam, por exemplo, o atraso (delay) de resposta dos frames enviados ou a perda de frames, para detectar de forma implícita se a rede está congestionada.
Esses protocolos limitam o envio de tráfego para a rede por meio de uma janela de tempo, que permite o envio de um determinado número de frames antes que uma resposta seja recebida. Quando detecta que um congestionamento está ocorrendo, o protocolo reduz a janela de tempo, o que reduz o envio de frames, diminuindo o carregamento da rede.
Esse mesmo procedimento de ajuste da janela de tempo é normalmente usado pelos equipamentos de usuário como resultado da sinalização de congestionamento explícito dos bits FECN e BECN.
Os avisos explícito e implícito de congestionamento são complementares, e devem ser usados de forma conjunta para avaliar o envio de tráfego para a rede, como forma de evitar eventuais congestionamentos.
1.1.2.1.3. Elegibilidade para Descarte
Alguns equipamentos de usuário não têm capacidade para analisar os avisos de congestionamento, que de fato são a parte opcional do padrão Frame Relay. Entretanto, como parte do padrão básico do Frame Relay existe no cabeçalho do protocolo o bit DE (Seção 1.1.1.1, Tabela 1.1) que, se ativado, indica aos equipamentos da rede que o frame pode ser descartado em caso de congestionamento.
24
Para definir o procedimento de ativação do bit DE, o padrão Frame Relay definiu o CIR (Committed Information Rate), que representa uma estimativa do tráfego normal do usuário durante o período de trabalho pleno, ou seja, é a taxa em que a rede se compromete a aceitar dados do usuário, garantindo a transmissão em condições normais de funcionamento [2]. Para cada VC a ser ativado na rede, o usuário deve especificar o CIR de acordo com a necessidade de sua aplicação. Normalmente o CIR é especificado como sendo uma porcentagem da capacidade máxima da porta física onde é conectado o equipamento de aplicação do usuário, ou seja, para uma porta de 64 kbits/s, por exemplo, pode-se adotar um CIR de 32 kbits/s (50%) a ser configurado para o circuito virtual. Desta forma, tanto os equipamentos de usuário como os de rede passam a ativar o bit DE toda vez que um frame a ser enviado ultrapasse o CIR configurado para o respectivo circuito virtual. Isto implica que, em caso de congestionamento, os frames que possuem o bit DE ativado são de preferência descartados para tentar normalizar o carregamento da rede [6].
Independente do estado do bit DE qualquer tipo de frame é descartado, quando o bit DE ativado não é suficiente para acabar com o congestionamento.
1.1.2.2. Estado das Conexões
Este tipo de sinalização define como os equipamentos do usuário e os da rede Frame Relay podem comunicar o status das portas e dos vários VC’s configurados para cada porta. São utilizados alguns frames especiais com DLCI's que são trocados entre a rede e as aplicações de usuário.
Esses frames monitoram o estado da conexão e fornecem as seguintes informações: • Estado ativo ou não da interface ou porta; • Os DLCI's válidos definidos para uma determinada porta ou interface;
25
• O estado de cada VC, como por exemplo, se ele está congestionado ou não.
Vale ressaltar que, como esta sinalização é opcional no Frame Relay, nem todos os equipamentos de usuário ou da rede possuem este tipo de funcionalidade implementada.
1.1.2.3. Sinalização SVC
A sinalização SVC (Seção 1.1.1.2.2) é apenas um procedimento para estabelecer um SVC de acordo com a demanda de uma determinada aplicação do usuário, não informando qual o estado atual da rede, ou seja, ela trata apenas do estabelecimento e controle de um determinado SVC, de forma automática na rede.
O padrão Frames Relay define as mensagens e os procedimentos necessários para ativar um SVC. Basicamente a rede avisa ao destinatário que existe uma demanda para estabelecer uma conexão, e ele deve decidir se aceita ou não. Se for aceita, a rede configura o SVC na rede entre a origem e o destinatário. Assim que o SVC estiver ativo, os equipamentos de aplicação da origem e do destino podem iniciar a transferência de informações. Quando as aplicações não necessitarem mais da conexão, qualquer um ou ambos comunicam à rede que desativa o SVC.
1.1.3. Aplicações Existe um variado leque de aplicações para Frame Relay, em virtude da flexibilidade e da amplitude de suas características. Comentaremos a seguir alguma delas como: Interligação de Redes LAN's, Voz sobre Frame Relay, Interação Frame Relay – ATM.
26
1.1.3.1. Interligação de Redes LAN
A interligação de redes LAN's compondo uma rede WAN, é uma aplicação típica para o uso da tecnologia Frame Relay. O tráfego usual das redes de dados é normalmente de dois tipos: interativo (comando - resposta), ou seja, solicitação de usuários, aplicações de clientes e respostas de aplicações servidoras, e por rajadas (bursty), quando grandes quantidades de dados são transferidas de forma não contínua.
O Frame Relay pode transportar múltiplas aplicações e protocolos correspondentes a diversos ambientes de comunicação de clientes. Em particular, adaptam-se especialmente bem as necessidades de interconexão de redes LAN’s e as arquiteturas de comunicação predominantes. Dirige-se ao ambiente corporativo, entendendo-se como tal às comunicações internas e externas de uma empresa, com conectividade tanto nacional quanto internacional, que requer alta velocidade, mínimo retardo, interconexão de ambientes, multiprotocolo, desempenho garantido, alta disponibilidade, arquitetura de rede flexível e de fácil evolução.
Figura 1.4 – Interligação de redes LAN O serviço Frame Relay foi projetado para uso em segmentos de LAN’s com bridges3 [3] (pontes), ou seja, uma organização com escritórios (Figura 1.4) em diferentes localidades pode obter uma conexão Frame Relay para cada escritório, e
3
Bridge é um dispositivo eletrônico que conecta uma LAN a outra LAN.
27
então usar a conexão para encaminhar pacotes de um segmento de LAN em um site a um segmento de LAN no outro.
1.1.3.2. Voz sobre Frame Relay (VoFR)
A tecnologia Frame Relay atende aos requisitos de redução de custos e de complexidade das grandes redes corporativas em relação ao transporte de Voz e dados, isto porque, existe a possibilidade de transportar a Voz proveniente de PABX's, sinais de fax e de modens, e os dados através da mesma porta Frame Relay usando procedimentos comuns de gerenciamento e manutenção.
Figura 1.5 – Aplicação de voz sobre Frame Relay
Esta modalidade prevê a utilização de equipamentos multiplexadores, conhecidos como FRAD’S (Frame Relay Acess Devices), a serem instalados nas dependências dos usuários de modo a realizar a integração de voz e dados através de um único acesso à rede Frame Relay. Estes FRAD’S (Figura 1.5) possuem aplicações para a interligação dos equipamentos de telefonia e de rede local dos usuários a uma interface Frame Relay capaz de concentrar ambos os tráfegos. Eles
comprimem os canais de voz em taxas de Kbits/s efetuando ainda a supressão do silêncio, ou seja, não são transportados quadros sem sons [10].
28
1.1.3.3. Interação Frame Relay - ATM
Procurando aumentar a interoperabilidade do Frame Relay com outros protocolos de dados, o FR Fórum e o ATM Fórum, órgãos responsáveis pelo desenvolvimento de Acordos de Implementação, desenvolveram padrões para interligar equipamentos dessas duas tecnologias através de PVC's, são eles: Frame Relay / ATM Network Interworking for PVC's e o Frame Relay / ATM Service Interworking for PVC's. •
Frame Relay / ATM Network Interworking for PVC's - padroniza uma funcionalidade responsável pelo encapsulamento dos PVC's para que os mesmos possam ser transportados indistintamente nas redes das duas tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como núcleo uma rede ATM (Figura 1.6), para otimizar ainda mais o uso de banda e a segurança.
Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's •
Frame Relay / ATM Service Interworking for PVC's - padroniza uma funcionalidade responsável pela conversão dos protocolos (FR <--> ATM), que pode ser incorporada tantos aos equipamentos de acesso como aos equipamentos da rede. Seu uso típico ocorre quando a corporação possui redes Frame Relay em alguns escritórios e que devem se interligar com a rede ATM de sua matriz, conforme ilustrado na Figura 1.7.
29
Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's
1.2. REDES ATM (ASYNCHRONOUS TRANSFER MODE) O ATM foi projetado no início dos anos 90, nessa época consolidava-se o desenvolvimento da tecnologia Frame Relay. Entretanto, a crescente necessidade de uso de banda e de classes de serviços diferenciadas, de acordo com o tipo de aplicação, levou ao desenvolvimento da tecnologia ATM, com padrões e recomendações elaborados por órgão internacionais de Telecomunicações e suportados pela indústria mundial. Em português ATM significa “modo de transferência assíncrono”, e surgiu através do organismo ITU-T (International Telecommunication Union - Telecommunication).
O ATM é baseado na transmissão de dados de pequenas unidades de informação, denominadas de células, com tamanho fixo e formato padronizado, que são transmitidas através de conexões com VC’s e tem seu encaminhamento baseado na informação dos cabeçalhos contidos em cada uma delas. O ATM é capaz de suportar diferentes tipos de serviços, desde os de tempo real (voz e vídeo) até a transmissão de dados entre computadores [11].
1.2.1. Características A tecnologia ATM utiliza a multiplexação e comutação de pacotes dispondo de um serviço de transferência de dados orientado a conexão, em modo assíncrono, atendendo as necessidades de diversos tipos de aplicações de dados, voz, áudio e vídeo.
30
Diferentemente do Frame Relay, o ATM utiliza um pacote de tamanho fixo denominado célula, onde cada célula ATM enviada para a rede contém uma informação de endereçamento que estabelece uma conexão virtual entre origem e destino.
1.2.1.1. Estrutura da Célula
A célula do protocolo ATM utiliza uma estrutura simplificada com tamanho fixo de 53 bytes, sendo 48 bytes para a informação e 5 bytes [7] para o cabeçalho (Figura 1.8). O campo de Cabeçalho carrega as informações de controle do protocolo. Devido a sua importância, possui mecanismo de detecção e correção de erros para preservar o seu conteúdo, conforme Tabela 1.2.
Figura 1.8 – Estrutura da Célula ATM
Tabela 1.2 – Descrição dos campos do cabeçalho
VPI (Virtual Path Identifier)
VCI (Virtual Channel Identifier)
com 12 bits, representa o número da rota virtual até o destinatário da informação útil, e tem significado local apenas para a porta de origem. Nas conexões UNI o VPI pode ainda ser dividido em 2 campos: o GFC (Generic Flow Control), com 4 bits, que identifica o tipo de célula para a rede, e o VPI propriamente dito, com 8 bits. com 16 bits, representa o número do canal virtual dentro de uma rota virtual específica. Também se refere ao destinatário da informação útil e tem significado local apenas para a porta
31
PT (Payload Type)
CLP (Cell Loss Priority)
HEC (Header Error Check)
Informação Útil
de origem. com 3 bits, identifica o tipo de informação que a célula contém: de usuário, de sinalização ou de manutenção. com 1 bit, indica a prioridade relativa da célula. Células de menor prioridade são descartadas antes que as células de maior prioridade durante períodos de congestionamento. com 8 bits, é usado para detectar e corrigir erros no cabeçalho. com 384 bits (48 bytes) carrega as informações de usuário ou de controle do protocolo. A informação útil é mantida intacta ao longo de toda a rede, sem verificação ou correção de erros. A camada ATM do protocolo considera que essas tarefas são executadas pelos protocolos das aplicações de usuário ou pelos processos de sinalização e gerenciamento do próprio protocolo para garantir a integridade desses dados. Quando a informação é de controle do protocolo, o primeiro byte é usado como campo de controle e os demais bytes contém informação de sinalização, configuração e gerenciamento da rede.
1.2.1.2. Conexões Virtuais
A tecnologia ATM é baseada no uso de VC’S. O ATM implementa essas conexões virtuais utilizando três conceitos (Figura 1.9):
Figura 1.9 – Conceitos para implementar as conexões ATM
• TP (Transmission Path): é a rota de transmissão física entre dois equipamentos da rede ATM.
32
• VP (Virtual Path): é a rota virtual configurada entre dois equipamentos adjacentes da rede ATM. O VP usa como infra-estrutura os TP’s. Um TP pode ter um ou mais VP’s. Cada VP tem um identificador VPI (Virtual Paths Identifier), que deve ser único para um dado TP. • VC (Virtual Channel): é o canal virtual configurado também entre dois equipamentos adjacentes da rede ATM. O VC usa como infra-estrutura o VP. Um VP pode ter um ou mais VC’s, Cada VC tem um identificador VCI (Virtual Channel Identifier), que também deve ser único para um dado TP.
A partir desses conceitos, definem-se dois tipos de conexões virtuais: • VPC (Virtual Paths Connection): é a conexão de rota virtual definida entre dois equipamentos de acesso ou de usuário. Uma VPC é uma coleção de VP’s configuradas para interligar origem e destino. • VCC (Virtual Channel Connection): é a conexão de canal virtual definida entre dois equipamentos de acesso ou de usuário. Uma VCC é uma coleção de VC’s configuradas para interligar origem e destino.
Essas conexões são sempre bidirecionais, embora a banda em cada direção possa ter taxas distintas ou até mesmo zero. Ao serem configuradas, apenas os identificadores VPI / VCI nas conexões UNI4 da origem e do destino tem os mesmos valores. Nas conexões NNI5 entre equipamentos os valores de VPI / VCI são definidos em função da disponibilidade de VP’s ou VC’s [19], conforme mostra a Figura 1.10.
4 5
User-Network Interface (UNI), é a conexão entre equipamentos de acesso e equipamentos de rede. Network Node Interface (NNI), é a conexão entre equipamentos de rede.
33
Figura 1.10 – Conexões Virtuais ATM O ATM é um protocolo orientado a conexão. A rede estabelece uma conexão através de um procedimento de sinalização, ou seja, um pedido de estabelecimento de conexão é enviado pela origem até o destinatário através da rede. Se o destinatário concorda com a conexão, um VCC / VPC é estabelecido na rede, definido o VPI / VCI da conexão entre as UNI de origem e de destino, e alocando os recursos dos VP’s e / ou VC’s ao longo da rota.
Como o ATM usa a técnica de roteamento para enviar as células, ao configurar um VPC ou VCC, o sistema usa como parâmetros os endereços ATM dos equipamentos de origem e destino, e o VPI / VCI adotado. Essas informações são então enviadas para as tabelas de roteamento dos equipamentos de rede, que usam para encaminhar as células. A partir dessas conexões virtuais o ATM implementa todos os seus serviços. Em especial, o ATM implementa também os circuitos virtuais (VC) mais comuns, quais sejam: • PVC (Permanent Virtual Circuit): esse circuito virtual é configurado pelo operador na rede através do sistema de Gerência de Rede, como sendo uma conexão permanente entre 2 pontos. Seu encaminhamento através dos equipamentos da rede pode ser alterado ao longo do tempo devido à falhas ou reconfigurações de rotas, porém as portas de cada extremidade são mantidas fixas e de acordo com a configuração inicial. • SVC (Switched Virtual Circuit): esse circuito virtual é disponibilizado na rede de forma automática, sem intervenção do operador, para atender, entre outras, as aplicações de Voz que estabelecem novas conexões a
34
cada chamada. O estabelecimento de uma chamada é comparável ao uso normal de telefone, onde a aplicação de usuário especifica um número de destinatário para completar a chamada, e o SVC então é estabelecido entre as portas de origem e destino.
1.2.2. Controle de tráfego Os mecanismos de sinalização do protocolo ATM são parte dos seus mecanismos de controle. As funções principais definidas são as seguintes: • Estabelecimento e finalização de conexões ponto a ponto; • Seleção e alocação de VPI / VCI (Seção 1.2.1.1, Tabela 2.1); • Solicitação de classe de qualidade de serviço; • Identificação de solicitante de conexão; • Gerenciamento básico de erros; • Notificação de informações na solicitação de conexões; • Especificação de parâmetros de tráfego. O ATM possui procedimentos de sinalização específicos para essas funções baseados no envio de mensagens a partir dos equipamentos de acesso de origem para os equipamentos de destino, a fim de negociar ao longo da rede o estabelecimento de conexões.
É basicamente uma evolução dos procedimentos de estabelecimento de chamadas dos sistemas de telefonia convencional aplicados às redes de dados, com sinalizações indicando se a conexão pode ser efetuada ou não, se ela deve ou não ser terminada de forma normal ou anormal e o estado da conexão. Sua duração
35
pode ser variável, para uma conexão estabelecida sob demanda e de forma automática, ou permanente, para uma conexão configurada pelo operador que deve estar sempre disponível.
A partir desse conjunto de funções podem ser estabelecidas as diversas funcionalidades dos serviços existentes no ATM. Entre elas podemos citar: • Estabelecimento de conexões ponto-a-ponto; • Estabelecimento de conexões ponto-multiponto; • Estabelecimento de conexões multiponto-multiponto; • Estabelecimento de conexões multicast (um para muitos unidirecional).
1.2.3. Congestionamento A capacidade de transporte da Rede ATM é limitada pela sua banda disponível. Conforme o tráfego a ser transportado aumenta, a banda vai sendo alocada até onde não for possível receber o tráfego adicional. Quando atinge esse limite, a rede é considerada congestionada, embora ainda possa transportar todo o tráfego que entra.
Caso os equipamentos de usuário continuem a enviar tráfego adicional, a rede é levada ao estado de congestionamento severo, o que provoca a perda de células por falta de banda. Nesse estado, os procedimentos de reenvio de pacotes perdidos dos equipamentos usuários concorrem com o tráfego existente e a rede entra em acentuado processo de degradação.
O ATM possui os seguintes mecanismos de gerenciamento de congestionamento:
36
• Alocação de Recursos: evita que ocorra o congestionamento fazendo o controle severo de alocação dos recursos de armazenamento (buffers) dos equipamentos e de banda, e recusando as solicitações de novas conexões. • UPC (Usage Parameter Control): se o processo de controle do uso da rede indicar estado de descarte, os equipamentos situados na periferia da rede não aceitam novo tráfego evitando o congestionamento. • CAC (Connection Admission Control): caso o parâmetro de admissão de novas conexões estiver selecionado para “cheio”, não serão aceitas novas conexões porque não é possível garantir a qualidade de serviços com os recursos existentes.
Além disso, outros mecanismos para evitar o congestionamento estão inseridos no próprio protocolo ou nos processos de gerenciamento do sistema, conforme descrito a seguir: • Aviso Explícito de Congestionamento: este mecanismo utiliza o bit EFCI (Explicit Foward Congestion Indication) do campo PT (Seção 1.2.1.1, Tabela 2.1) do cabeçalho da célula para avisar os equipamentos de usuários e de rede sobre o estado da rede. O equipamento que se encontra em estado de congestionamento ou na iminência de entrar nesse estado, ativa o bit. Desta forma podem ser iniciados procedimentos de controle de fluxo para diminuir o tráfego até que este se normalize. • Alteração de Prioridade da Célula: caso o processo de verificação de uso da rede verificar a ocorrência de congestionamento, este pode ativar o bit CLP (Seção 1.2.1.1, Tabela 2.1) do cabeçalho das células, forçando o seu descarte até que a rede se normalize.
37
• Controle de Estabelecimento de Conexões: o processo de admissão de novas conexões atinge o estado de sobrecarregado e recusa as chamadas até que a rede se normalize. • Algoritmos de Controle de Fluxo: em alguns sistemas ATM são usados algoritmos de controle de fluxo, baseados em janelas de tempo de resposta de envio de células, taxa de envio variável de células ou quantidade de células para envio, os quais permitem ao sistema obter um feedback do estado de congestionamento de forma implícita e agir para normalizar o problema.
1.2.4. Aplicações A tecnologia ATM é capaz de suportar diferentes tipos de serviços, desde as de tempo real, como voz e vídeo, até a transmissão de dados entre computadores que satisfazem os requisitos exigidos pelos diferentes tipos de tráfego com altas velocidades de transmissão, como: Interligação de redes corporativas, interação ATM – Frame Relay.
1.2.4.1. Interligação de Redes Corporativas
A interligação das redes corporativas (LAN) compondo uma rede WAN, é uma aplicação típica para o uso da tecnologia ATM. O tráfego usual das redes de dados é normalmente composta por dois tipos: • interativo (comando–resposta), ou seja, solicitação de usuários, aplicações de clientes e respostas de aplicações servidoras; • por rajadas, quando grandes quantidades de dados são transferidas de forma não contínua.
O ATM, através de roteadores instalados nos escritórios, permite utilizar uma porta única em cada escritório, para compor redes do tipo malha, onde, a
38
comunicação de um escritório com todos os outros é possível sem a complexidade do uso de múltiplas portas e múltiplos circuitos dedicados.
O transporte de Voz, fax e sinais de modens analógicos sobre ATM atende os requisitos de atraso (delay) específicos para esse tipo de aplicação, já que pode ser definida a qualidade de serviço necessária. Ele pode ainda oferecer na mesma estrutura, serviços adicionais como os serviços de voz e mesmo de vídeo conferência ponto a ponto ou ponto multiponto.
Os sistemas de vídeo conferência podem fazer uso dos serviços de tempo real do ATM para vídeo comprimido, utilizando parte da banda alocada para cada escritório, com pleno atendimento aos seus requisitos de tempo e taxa de bits.
A aplicação interligando redes corporativas, é realizada basicamente da seguinte forma (Figura 1.11):[1] Primeiro o usuário deve encontrar o endereço ATM do servidor de emulação de LAN (LES), para que possa se juntar a uma rede virtual; depois determinar o tipo de rede virtual a qual ele está prestes a se juntar e o tamanho máximo de quadros nela utilizado; uma vez que o usuário tem todas as informações, ele se junta a rede, para tanto ele cria uma conexão com o LES, envia a ele uma solicitação de entrada, contendo o seu endereço ATM, tipo de LAN e tamanho máximo de quadros, o LES envia uma resposta a solicitação de entrada, que pode confirmar a aceitação da solicitação do usuário ou recusá-la. Se recusada a solicitação, o usuário ao terminar a conexão poderá recomeçar todo o processo,
Figura 1.11 – Interligação de redes
39
caso contrário, o registro sendo aceito no LES, o usuário solicita a ele o envio do endereço ATM de conexão, então o usuário também estabelece a conexão.
1.2.4.2. Interação ATM - Frame Relay
Com
o
objetivo
de
desenvolver
padrões
para
aumentar
a
interoperabilidade entre ATM e Frame Relay, foram desenvolvidos pelo ATM Forum e o FR Forum dois padrões para interligar essas duas tecnologias através de PVC’s.
A primeira, chamada de Frame Relay / ATM Network Interworking for PVC’s, padroniza uma funcionalidade responsável pelo encapsulamento dos PVC’s para que os mesmos possam ser transportados indistintamente nas redes das duas tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como núcleo uma rede ATM, para otimizar ainda mais o uso de banda e a segurança [19]. A Figura 1.12 apresenta esta solução.
Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s A segunda forma, chamada de Frame Relay/ATM Service Interworking for PVC’s, padroniza uma funcionalidade responsável pela conversão dos protocolos (Frame Relay – ATM), que pode ser incorporada tanto aos equipamentos de acesso como aos equipamentos da rede. Seu uso típico ocorre quando o usuário possui redes Frame Relay, por exemplo, em filiais que devem se interligar com a rede ATM da matriz. A Figura 1.13 apresenta esta solução.
40
Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s
1.2.5. Tipos de serviços A tecnologia ATM define classes de serviços baseado em vários parâmetros aos quais comentaremos algumas delas como:[11] CBR (Constant Bit Rate), VBR (Variable Bit Rate), ABR (Available Bit Rate) e UBR (Unspecified Bit Rate). •
CBR – A taxa de transmissão constante é aplicada a conexões que necessitam de banda fixa (estática) devido aos requisitos de tempo bastante apertados entre a origem e o destino. Aplicações típicas deste serviço são: áudio interativo (telefonia), distribuição de áudio e vídeo (televisão, pay-per-view, etc), áudio e vídeo on demand, e emulação de circuitos TDM.
•
VBR – A taxa de transmissão variável pode ser de tempo real ou não. Na modalidade tempo real (rt-VBR), é aplicado a conexões que tem requisitos apertados de tempo entre origem e destino, porém a taxa de bits pode variar. Aplicações típicas deste serviço são voz com taxa variável de bits e vídeo comprimido (MPEG, por exemplo). Na modalidade não tempo real (nrt-VBR), o VBR pode ser utilizado com ou sem conexão, destina-se a conexões que, embora críticas e com requisitos de tempo apertados, podem aceitar variações na taxa de bits. Aplicações típicas deste serviço são os sistemas de reserva de aviação, home banking, emulação de LAN’s e interligação de redes com protocolos diversos (interação com redes Frame Relay, etc.).
41
•
ABR – A taxa de transmissão disponível é aplicada a conexões que transportam tráfego em rajadas que podem prescindir da garantia de banda, variando a taxa de bits de acordo com a disponibilidade da rede ATM. Aplicações típicas deste serviço também são as interligações entre redes (com protocolo TCP/IP, entre outros) e a emulação de LAN’s onde os equipamentos de interfaces têm funcionalidades ATM.
•
UBR – A taxa de transmissão não especificada é aplicada a conexões que transportam tráfego que não tem requisitos de tempo real e cujos requisitos e atraso ou variação do atraso são mais flexíveis. Aplicações típicas deste serviço também são as interligações entre redes e a emulação de LAN’s que executam a transferência de arquivos e e-mails.
1.3. REDES IP (INTERNET PROTOCOL) O protocolo Internet (IP), definido e aprovado pelo DoD (Departamento de Defesa Americano), foi concebido para uso em sistemas de computação interconectados através de comutação de pacotes [12].
Como o principal objetivo da Internet era manter a informação circulando entre os principais centros de conhecimento e os centros militares, mesmo em caso de guerra, o protocolo de rede deveria ser robusto e autoconfigurável, garantindo alguma imunidade quanto à destruição das linhas de comunicação e/ou destes centros. O elemento que mantém a Internet unida é o protocolo da camada de rede, é o IP (Internet Protocol). Ao contrário da maioria dos protocolos de rede mais antigos, o IP foi projetado desde o início tendo como objetivo principal à interligação de redes [4].
1.3.1. Características O Protocolo IP é responsável pela comunicação entre máquinas em uma estrutura de rede TCP/IP [13]. Ele provê a capacidade de comunicação entre cada
42
elemento componente da rede para permitir o transporte de uma mensagem de uma origem até o destino. O protocolo IP provê um serviço sem conexão e não-confiável entre máquinas em uma estrutura de rede. Qualquer tipo de serviço com estas características deve ser fornecido pelos protocolos de níveis superiores. As funções mais importantes realizadas pelo protocolo IP são a atribuição de um esquema de endereçamento independente do endereçamento da rede utilizada abaixo e independente da própria topologia da rede utilizada, além da capacidade de rotear e tomar decisões de roteamento para o transporte das mensagens entre os elementos que interligam as redes.
Na arquitetura TCP/IP, os elementos responsáveis por interligar duas ou mais redes distintas são chamados de roteadores. As redes interligadas podem ser tanto redes locais, redes geograficamente distribuídas, redes de longa distância com chaveamento de pacotes ou ligações ponto-a-ponto seriais. Um roteador tem como característica principal a existência de mais de uma interface de rede, cada uma com seu próprio endereço específico. Um roteador pode ser um equipamento específico ou um computador de uso geral com mais de uma interface de rede. Por outro lado, um componente da arquitetura TCP/IP que é apenas a origem ou destino de um datagrama IP (não realiza a função de roteamento) é chamado de host. A Figura 1.14 representa esta arquitetura.
Figura 1.14 - Estrutura host e roteador
43
1.3.1.1. Formato do Datagrama
A Figura 1.15 e a Tabela 1.3 mostram respectivamente o cabeçalho de um datagrama IP e a descrição de seus campos [9]. Seu tamanho mínimo é de 20 bytes, mas pode variar em função das opções.
Figura 1.15 - Formato do Datagrama
Tabela 1.3 – Descrição dos campos do datagrama IP 4 bits, identifica a versão do protocolo IP usada no Version
datagrama.
Datagramas
recebidos
com
versões
não
conhecidas devem ser simplesmente ignorados. 4 bits, informa o comprimento do cabeçalho em palavras de 32 bits (4 octetos ou 4 bytes). O tamanho mínimo do cabeçalho é de 5 palavras de 32 bits (20 octetos), e o IHL (Internet Header Length )
tamanho máximo (o campo Option 3 + Padding tem tamanho variável) é de 15 palavras de 32 bits (60 octetos). Aponta para o campo de dados. O tamanho variável permite o uso de campos opcionais, mas dificulta o processamento. Por isso, seu uso deve ser evitado. 8 bits, define a qualidade do serviço (QOS) desejada , mas é ignorado na maioria das implementações. Com o uso deste
TOS (Type of service)
campo é possível escolher as prioridades de serviço para aplicações do tipo interativa, de transferência em massa ou de tempo real.
44
16 bits, é o tamanho total, em bytes, do datagrama (ou de um fragmento), incluindo o cabeçalho. Todos os hosts devem Total Length
aceitar datagramas de, pelo menos, 576 bytes. O valor máximo a ser usado numa sub-rede pode ser negociado entre os hosts. 16 bits, número de identificação do datagrama para permitir
Identification Flags
que o destino remonte os datagramas. 3 bits, identificam a transmissão de sinais de controle. 13 bits, esse campo indica a posição desse fragmento em relação ao do datagrama original. O valor desse campo é
Fragment Offset
expresso em unidades de 8 octetos (64 bits), portanto o tamanho mínimo do campo de dados de um fragmento é de 64 bits. O primeiro fragmento tem valor 0 nesse campo. 8 bits, a cada nó (roteador) por onde o datagrama passa, este campo deve ser decrementado de uma unidade de vida. Os roteadores mais inteligentes podem decidir por decrementar um valor proporcional ao tempo despendido pelo datagrama
TTL (Time to Live)
em seus buffers. Quando o valor do TTL chega a zero, o datagrama é descartado e uma mensagem é enviada ao emissor, através do protocolo ICMP. O objetivo de toda esta operação é evitar que um erro nas tabelas de roteamento permita
que
alguns
datagramas
fiquem
circulando
eternamente pela rede. 8 Protocol
bits,
identificador
do
protocolo
usado
na
camada
imediatamente acima. 16 bits, faz a verificação da soma do cabeçalho garantindo a
Header Checksum
integridade do cabeçalho IP. Caso haja erro o datagrama deve ser ignorado, mas não garante a integridade dos dados.
Source Address
32 bits, endereço de origem do datagrama.
Destination Address
32 bits, endereço destino do datagrama. tem tamanho variável, entre 0 e 320 bits, este campo pode
Options
ser usado para usar serviços extras. Apesar do nome, todas as implementações de IP devem suportar todas as opções.
45
Alguns exemplos de opções válidas: • Source Routing: especifica no datagrama qual a rota a ser seguida, retirando esta liberdade do roteador. Em geral é usado para testes de rede. • Record Route: anota a rota por onde o datagrama passou, roteador por roteador. • Time Stamps: além de anotar a rota, anota também o horário em cada ponto. • Formato: 32 bits, milisegundos após meia-noite, em relação a GMT. Usado apenas como referência, uma vez que a sincronização de tempo entre os roteadores é muito difícil de ser realizada. tamanho variável, entre 0 e 31 bits, serve apenas para que o cabeçalho IP tenha um tamanho múltiplo de 32 bits. Só se faz
Padding
o enchimento (obrigatoriamente com 0), se o tamanho do campo Option não for múltiplo de 32 bits.
1.3.1.2. Endereços IP
Um endereço IP é um identificador único para certa interface de rede de uma máquina. Este endereço é formado por 32 bits (4 bytes) e possui uma porção de identificação da rede na qual a interface está conectada e outra para a identificação da máquina dentro daquela rede. O endereço IP é representado pelos 4 bytes separados por (.) e representados por números decimais. Desta forma o endereço IP: 11010000 11110101 0011100 10100011 é representado por 208.245.28.63.
Como o endereço IP identifica tanto uma rede quanto a estação a que se refere, fica claro que o endereço possui uma parte para rede e outra para a estação. Desta forma, uma porção do endereço IP designa a rede na qual a estação está conectada, e outra porção identifica a estação dentro daquela rede.
46
Uma vez que o endereço IP tem tamanho fixo, uma das opções dos projetistas seria dividir o endereço IP em duas metades, dois bytes para identificar a rede e dois bytes para a estação. Entretanto isto traria inflexibilidade, pois só poderiam ser endereçados 65536 redes, cada uma com 65536 estações. Uma rede que possuísse apenas 100 estações estaria utilizando um endereçamento de rede com capacidade de 65536 estações, o que também seria um desperdício.
A forma original de dividir o endereçamento IP em rede e estação foi feita por meio de classes [4]. Um endereçamento de classe A consiste em endereços que tem uma porção de identificação de rede de 1 byte e uma porção de identificação de máquina de 3 bytes. Desta forma, é possível endereçar até 256 redes com 2 elevado a 32 estações. Um endereçamento de classe B utiliza 2 bytes para rede e 2 bytes para estação, enquanto um endereço de classe C utiliza 3 bytes para rede e 1 byte para estação. Para permitir a distinção de uma classe de endereço para outra, utilizou-se os primeiros bits do primeiro byte para estabelecer a distinção. Nesta forma de divisão é possível acomodar um pequeno número de redes muito grandes (classe A) e um grande número de redes pequenas (classe C). Esta forma de divisão é histórica e não é mais empregada na Internet devido ao uso de uma variação que é a sub-rede, entretanto sua compreensão é importante para fins didáticos [13].
As classes originalmente utilizadas na Internet são A, B, C, D e E (Figura 1.16). A classe D é uma classe especial para identificar endereços de grupo (multicast) e a classe E é reservada para uso futuro.
A Classe A possui endereços suficientes para endereçar 128 redes diferentes com até 16.777.216 hosts (estações) cada uma.
A Classe B possui endereços suficientes para endereçar 16.284 redes diferentes com até 65.536 hosts cada uma.
A Classe C possui endereços suficientes para endereçar 2.097.152 redes diferentes com até 256 hosts cada uma.
47
As máquinas com mais de uma interface de rede (caso dos roteadores ou máquinas interligadas a mais de uma rede, mas que não efetuam a função de roteamento) possuem um endereço IP para cada uma, e podem ser identificados por qualquer um dos dois de modo independente. Um endereço IP identifica não uma máquina, mas uma conexão à rede.
Figura 1.16 - Classes utilizadas na Internet
Alguns endereços são reservados para funções especiais: • Endereço de Rede: Identifica a própria rede e não uma interface de rede específica, representado por todos os bits de host id com o valor ZERO. • Endereço de Broadcast: Identifica todas as máquinas na rede específica, representado por todos os bits de host id com o valor UM. Desta forma, para cada rede A, B ou C, o primeiro endereço e o último são reservados e não podem ser usados por interfaces de rede. • Endereço de Broadcast Limitado: Identifica um broadcast na própria rede, sem especificar a que rede pertence. Representado por todos os bits do endereço iguais a UM = 255.255.255.255.
48
• Endereço de Loopback: Identifica a própria máquina. Serve para enviar uma mensagem para a própria máquina rotear para ela mesma, ficando a mensagem no nível IP, sem ser enviada à rede. Este endereço é 127.0.0.1. Permite a comunicação inter-processos (entre aplicações) situados na mesma máquina.
1.3.1.2.1. Endereçamento de máquinas na mesma rede.
Como pode ser observado na Figura 1.17, o endereço começa por 200 (ou seja, os dois primeiros bits são 1 e o terceiro 0), eles são de classe C. Por isto, os três primeiros bytes do endereço identificam a rede. Como ambas as estações tem o endereço começando por 200.18.171, elas estão na mesma rede.
Figura 1.17 - Endereçamento na mesma rede
1.3.1.2.2. Endereçamento de máquinas em redes diferentes.
Na Figura 1.18, existem 6 redes, identificadas por 200.1.2.0, 139.82.0.0, 210.200.4.0, 210.201.0.0, 10.0.0.0 e 200.1.3.0, que ilustra um diagrama de rede com o endereçamento de máquinas em redes diferentes. Note que não há necessidade de correlação entre os endereços utilizados nas redes adjacentes. O mecanismo para que uma mensagem chegue na rede correta é o roteamento. Cada elemento conectando mais de uma rede realiza a função de roteamento IP, baseado em decisões de rotas. Mesmo os enlaces formados por ligações ponto-a-pontos são também redes distintas. 49
Talvez os aspectos mais complexos do IP sejam o endereçamento e o roteamento. O endereçamento define como os endereços IP dos hosts finais são atribuídos e como as sub-redes dos endereços de IP dos hosts são divididos e agrupados. O roteamento IP é feito por todos os host’s, mas mais comumente por roteadores de rede, que tipicamente usam qualquer protocolos IGP (Interior Gateway Protocol) ou protocolos EGP (External Gateway Protocol) para ajudar na leitura de datagramas IP que reencaminham decisões através de IP’s em redes ligadas.
Figura 1.18 - Endereçamento em redes diferentes
Neste capitulo, foram abordados as definiçoes, características e arquiteturas das redes públicas Frame Relay, ATM e IP.
No próximo capitulo serão abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
50
CAPÍTULO II VIRTUAL PRIVATE NETWORK Neste capítulo serão abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
2.1. INTRODUÇÃO A Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede particular construída sobre a infra-estrutura de uma rede pública, normalmente a Internet, ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay) para conectar redes remotas, utiliza-se da infra-estrutura da Internet, tornando-a uma opção economicamente vantajosa.
A VPN combina as vantagens de redes públicas e privadas permitindo que uma empresa com múltiplas localizações tenha a impressão de uma rede completamente privada [3]. A VPN cria um caminho seguro (túneis) dentro da rede pública, através da encriptação dos dados em uma conexão (criptografia end-toend). Essa tecnologia está sendo implementada em Firewalls, permitindo que as
51
empresas criem túneis seguros na Internet, possibilitando conexões seguras com sites remotos.
Com a utilização da infra-estrutura da Internet, consegue-se uma redução considerável com equipamentos e conexões. Contudo a segurança e a confidencialidade das informações da empresa não podem ser esquecidas, uma vez que os dados que transitam pela Internet podem ser capturados e lidos por qualquer equipamento. Para manter a privacidade nas transmissões corporativas a tecnologia VPN utiliza recursos de Criptografia (Seção 2.4.1) e de Certificação (Seção 2.4.2).
2.2. TUNELAMENTO Tunelamento é, em geral, a melhor opção para tornar redes privadas compatíveis
com
a
Internet.
Protocolos
de
Tunelamento
e
técnicas
de
encapsulamento vêm sendo usadas para integrar diferentes tipos de protocolos em um mesmo backbone e, ultimamente, estas tecnologias vêm sendo otimizadas para uso em VPN’s.
Figura 2.1 – Funcionamento básico do tunelamento
O tunelamento, Figura 2.1, basicamente funciona da seguinte forma: • Em uma conexão entre dois nós, primeiramente é feita a autenticação entre estes dois pontos para saber se a origem faz parte da rede, depois o servidor verifica quais os serviços que o usuário tem permissão para acessar;
52
• Uma vez formado o túnel, o nó de origem encapsula os pacotes em pacotes IP (o pacote original será tratado como área de dados) para transmissão via Internet. Este mesmo encapsulamento provê proteção contra usuários não-autorizados, usando técnicas de criptografia; • Na recepção, o nó de destino desencapsula o pacote original do pacote IP recebido, deixando somente as informações do protocolo da rede local.
2.2.1. Tipos de Túneis
Quanto à abertura de sessão de túneis, eles podem ser criados de duas diferentes formas: voluntárias e compulsórias.
2.2.1.1. Tunelamento Voluntário
Ocorre quando uma estação de trabalho ou um servidor utiliza um software para cliente de tunelamento para criar uma conexão até o servidor VPN.
No caso de acesso discado, o mais comum é o cliente estabelecer a conexão discada antes da criação do túnel.
Já nas LAN’s o cliente encontra-se conectado à rede que pode prover o roteamento de dados encapsulados para o servidor do túnel selecionado. Este é o caso de clientes numa LAN corporativa que inicializa túneis para alcançar uma subrede privada na mesma rede [14]. O tunelamento voluntário pode ser ilustrado na Figura 2.2.
Figura 2.2 – Tunelamento Voluntário 53
2.2.1.2. Tunelamento Compulsório
Esta configuração é conhecida como tunelamento compulsório (Figura 2.3) porque o cliente é obrigado a usar um túnel criado pelo NAS6.
Figura 2.3 – Tunelamento Compulsório
Uma vez que a conexão é estabelecida, todo o tráfego de / ou para o cliente é automaticamente enviada através do túnel, não sendo necessário que os clientes da rede possuam software cliente para tunelamento. Desta forma, o final do túnel é no servidor NAS e não no cliente, que passa a acessar as informações da outra rede por meio do servidor de autenticação.
Diferente dos túneis individualizados criados no tunelamento voluntário, um túnel entre o NAS e o servidor de túnel pode ser compartilhado por múltiplos clientes discados. Quando um cliente disca para o servidor de acesso (NAS) e já existe um túnel para o destino desejado, não se faz necessária à criação de um novo túnel redundante, o próprio túnel pode transportar os dados deste novo cliente [14].
No tunelamento compulsório com múltiplos clientes, o tunelamento só é finalizado no momento em que o último usuário do túnel se desconecta.
6
Network Acess Server ou Servidor de acesso / autenticação de rede
54
2.2.2. Funcionamento dos Túneis
A técnica de tunelamento funciona da seguinte forma: numa conexão entre dois nós, o nó de origem encapsula os pacotes de outros protocolos em pacotes IP para transmissão via Internet; O processo de encapsulamento consiste em adicionar um cabeçalho IP padrão e o pacote original ser tratado como área de dados; Na recepção, o nó de destino desencapsula o pacote original do pacote IP recebido, ou seja, remove o cabeçalho IP. Este mesmo encapsulamento provê proteção contra usuários não-autorizados, usando técnicas de criptografia.
Imagine que clientes de uma rede privada em uma filial desejam acessar informações em um servidor na rede interna de sua matriz e toda a corporação emprega túneis de VPN em suas comunicações. Os clientes fazem a requisição a um agente local através de um servidor compatível com a VPN. Este servidor de origem cria o cabeçalho de túnel especificando os endereços de Internet dos servidores de origem e destino como endereços de origem e destino do cabeçalho. Ao chegar ao servidor de destino, este desencapsula a mensagem original retirando o cabeçalho de túnel e a entrega para o servidor da Intranet. A Figura 2.4 traduz o funcionamento desta técnica.
Figura 2.4 – Tunelamento
Os túneis podem ser estáticos ou dinâmicos. Túneis estáticos, são aqueles que permanecem ativos por longos períodos de tempo, são mais apropriados para VPN’s LAN-para-LAN enquanto que túneis dinâmicos, ficam ativos apenas quando o tráfego é necessário, eles são mais seguros para VPN’s Cliente-para-LAN. 55
Em VPN’s LAN-para-LAN, um gateway de segurança em cada extremidade atua como interface entre o túnel e a LAN. Apesar disso, os clientes em cada LAN privada podem utilizar o túnel transparentemente para a comunicação entre si.
Em VPN’s Cliente-para-LAN, usuários móveis se conectam com LAN’s corporativas através de túneis dinâmicos criados a partir de sua estação móvel.
Estes túneis só são possíveis através de softwares especiais no computador do usuário móvel, projetados para garantir a proteção dos dados da LAN corporativa[15].
2.3. PROTOLOCOS DE TUNELAMENTO O tunelamento pode ocorrer nas camadas 2 ou 3 (respectivamente enlace e rede) do modelo de referência OSI (Open System interconnection), sendo necessário para estabelecimento do túnel que as suas extremidades utilizem o mesmo protocolo de tunelamento.
Os
Protocolos
de
Tunelamento
são
responsáveis
pela
abertura
e
gerenciamento de sessões de túneis em VPN’s. Estes protocolos podem ser divididos em dois grupos: • Protocolos de camada 2 (PPP7 sobre IP): transportam protocolos, de camada 3, utilizando quadros como unidade de troca. Os pacotes são encapsulados em quadros PPP; •
PPTP – Point-to-Point Tunneling Protocol ou Protocolo de tunelamento ponto a ponto;
•
L2F – Layer 2 Forwarding ou Protocolo de encaminhamento de camada 2;
•
L2TP – Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de camada 2.
7
Point-to-Point Protocol ou Protocolo ponto a ponto é o mais difundido para acesso remoto na Internet.
56
• Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los . •
IPSec – IP Security ou Protocolo de Segurança IP.
Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão, etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção do túnel.
2.3.1. Protocolo PPTP (Point-to-Point Tunneling Protocol)
O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um fórum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem.
Ele tem sido uma solução muito utilizada em VPN discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos.
O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-toPoint Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino. O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE8), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.
Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário. 8
Os protocolos de roteamento genéricos (GRE) são geralmente configurados entre roteadores fonte e roteadores de destino (pacotes ponto-a-ponto).
57
Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o NAS e o Servidor PPTP.
O cliente se conecta a um NAS e pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de Internet. Depois do cliente ter feito a conexão PPP inicial, uma segunda chamada dial-up é realizada sobre a conexão PPP existente. Os dados desta segunda conexão são enviados na forma de datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão que cria o túnel com o servidor PPTP. O esquema desta conexão pode ser visualizado na Figura 2.5.
Figura 2.5 – Conexão PPTP 2.3.1.1. Arquitetura PPTP O PPTP cria uma comunicação segura que envolve três processos [10], exigindo de cada um deles que os anteriores sejam satisfeitos, são eles: • Conexão e Comunicação PPP: o cliente PPTP usa o PPP para se conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O PPP é utilizado aqui para estabelecer a conexão e criptografar os dados; • Conexão de Controle PPTP: Utilizando a conexão estabelecida pelo PPP, o PPTP cria um controle de conexão desde o cliente até o
58
servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada de túnel PPTP; • Tunelamento de Dados PPTP: O PPTP cria os datagramas IP contendo os pacotes PPP criptografados e os envia através do túnel até o servidor PPTP. Neste servidor, os datagramas são então desmontados e os pacotes PPP descriptografados para que finalmente sejam enviados até a rede privada corporativa. No primeiro processo, o PPP, protocolo que permite enviar dados multiprotocolares encapsulados através de redes TCP/IP, é utilizado para desempenhar três funções: iniciar e terminar conexões físicas, autenticar usuários e criar datagramas PPP contendo pacotes criptografados.
No segundo processo, o PPTP especifica uma série de mensagens de controle a serem trocadas entre o cliente PPTP e o servidor PPTP. Estas mensagens estabelecem, mantêm e terminam os túneis PPTP. Elas são enviadas em pacotes de controle dentro de um datagrama TCP através de uma conexão TCP especialmente criada para trocar mensagens de controle.
Após o túnel PPTP ter sido estabelecido, os dados do usuário são finalmente transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar que o cliente PPTP não necessariamente identifica o usuário numa extremidade da comunicação. Podem haver usuários utilizando máquinas sem suporte ao PPTP e nestes casos, a comunicação PPTP começa a partir do NAS [16].
2.3.1.2. Datagrama PPTP Existem dois tipos básicos de datagrama PPTP: os datagrama de mensagens de controle e os datagrama de mensagens de dados. As mensagens de controle são enviadas em segmentos TCP e as mensagens de dados em datagramas IP.
O controle da conexão PPTP utiliza uma porta reservada para estabelecer a conexão de controle, que fica entre o IP dinâmico do cliente da VPN e o endereço IP
59
fixo do servidor. Após o estabelecimento da conexão, inicia a troca de mensagens entre o controle de conexão PPTP e o gerenciamento de mensagens PPTP.
Os pacotes de controle de conexão PPTP, são compostos por um cabeçalho IP, um cabeçalho TCP e o controle de mensagens PPTP (Figura 2.6).
Cabeçalho De
IP
Mensagem de
Controle
Controle
Camada de
PPTP
Enlace
TCP
Enlace
Figura 2.6 – Quadro PPTP
O protocolo PPTP utiliza três níveis de encapsulamento para fazer o tunelamento dos dados, Figura 2.7 , são eles : • Encapsulamento do Frame PPP - O pacote PPP é encapsulado e criptografado com um cabeçalho PPP, originando um frame PPP. Esse frame recebe um cabeçalho GRE, que é utilizado para repassar informações de roteamento, para trafegar em redes IP; • Encapsulamento do pacote GRE - Esse pacote é encapsulado por um cabeçalho IP, onde estão os endereços IP de origem e destino do pacote; • Encapsulamento da camada de Enlace - Para que o pacote possa ir para uma LAN ou WAN, as informações desse cabeçalho são necessárias, pois são utilizadas para o envio desse pacote para a interface física.
60
Cabeçalho De Enlace
Controle Cabeçalho Cabeçalho Cabeçalho Criptografia IP
GRE
PPP
PPP
Camada Enlace
Figura 2.7 – Quadro de encapsulamento PPTP
Como o PPTP não oferece serviços de criptografia, o PPTP encapsula um quadro PPP previamente criptografado utilizando chaves de criptografia geradas pelo processo de autenticação.
2.3.2. Protocolo L2F (Layer Two Forwarding)
O Protocolo de Encaminhamento de Camada 2 (L2F), surgiu nos primeiros estágios da criação da tecnologia VPN e foi desenvolvido pela Cisco Systems.
O L2F foi desenvolvido para criação de túneis, assim como foi o PPTP. O L2F usa o PPP para autenticação de usuários remotos, tal qual o PPTP. Uma grande diferença entre o PPTP e o L2F é a de que o L2F não possui tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros protocolos. Outra diferença com o PPTP é a de que o L2F permite que os túneis possam dar conta de mais de uma conexão.
No L2F existem dois níveis de autenticação do usuário: uma antes do estabelecimento do túnel e outra quando a conexão é efetuada no gateway da corporação. Por ser o L2F um protocolo de camada 2, ele oferece, aos usuários, a mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP.
Quando um usuário deseja se conectar ao gateway da corporação, ele primeiro estabelece uma conexão PPP com o NAS. A partir daí, o NAS estabelece um túnel L2F com o gateway. Finalmente, o gateway autentica o nome de usuário e senha do cliente, e estabelece a conexão PPP com o cliente.
61
A Figura 2.8 mostra como funciona o tunelamento com L2F. O NAS local e o gateway da Intranet estabelecem um túnel L2F que o NAS utiliza para encaminhar os pacotes PPP até o gateway. A VPN de acesso se estende desde o cliente até o gateway.
Figura 2.8 – Tunelamento com o Protocolo L2F
A autenticação é feita quando uma sessão VPN - L2F é estabelecida, o cliente, o NAS e o gateway usam um sistema triplo de autenticação via CHAP9 (Challenge Handshake Authentication Protocol), isto possibilita a transmissão segura da senha do usuário entre a estação do cliente e o gateway de destino. Primeiro, o NAS contesta o cliente e o cliente responde. Em seguida, o NAS encaminha esta informação de CHAP para o gateway, que verifica a resposta do cliente e devolve uma terceira mensagem de CHAP (sucesso ou fracasso na autorização) para o cliente [10].
Figura 2.9 – Cabeçalho do pacote L2F 9
O CHAP é um protocolo de autenticação por contestação / resposta na qual a senha é enviada como uma assinatura de 64 bits ao invés de texto simples.
62
2.3.2.1. Datagrama L2F O formato do cabeçalho do pacote do protocolo L2F pode ser visto na Figura 2.9 e o detalhamento de seus campos na Tabela 2.1.
Tabela 2.1 – Descrição dos campos do Cabeçalho L2F Ver
Versão do L2F
Protocol
Protocolo carregado dentro do pacote L2F
Sequence Number
Quando o bit "S" (bit 3) for igual a 1, este campo identifica o número do pacote numa seqüência
Multiplex ID
Identifica uma conexão dentro de um túnel
Client ID
Campo utilizado para auxiliar a demultiplexação em túneis
Lenght
Indica o tamanho do pacote em octetos, sem levar em conta o campo de checksum Quando o bit "F" (bit 0) for igual a 1, este campo identifica
Offset
aonde começa a área de dados do pacote indicando o número de bytes após o cabeçalho O campo de chave está presente se o bit "K" (bit 1) for igual a
Key
1. Serve como chave durante toda a sessão para resistir a ataques de spoofing10. Checksum
O campo de checksum está presente se o bit "C" (bit 12) for igual a 1.
2.3.3. Protocolo L2TP
O L2TP - Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de Camada 2, é baseado no protocolo criado pela Cisco L2F (Layer 2 Forwarding) e homologado pela IETF (Internet Engineering Task Force) como protocolo padrão. Ele utiliza o que há de melhor nos protocolos PPTP e L2F. Suporta protocolos como NetBEUI, IPX, ATM, SONET, Frame Relay, significando que é multiprotocolo [15].
10
Spoofing é o ato de falsificar o remetente de um pacote, para que o receptor o trate como uma máquina confiável.
63
2.3.3.1. Funcionamento do L2TP
O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP localizado no PoP11 do ISP12 troca mensagens PPP com usuários remotos e se comunica por meio de requisições e respostas L2TP com o Servidor de Rede L2TP para criação de túneis. O L2TP passa os pacotes através do túnel virtual entre as extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário são aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados pelo túnel. No gateway de destino, os quadros L2TP são desencapsulados e os pacotes originais são processados para a interface apropriada.
O L2TP utiliza dois tipos de mensagem: mensagens de controle e mensagens de dados. • As mensagens de controle são usadas para gerenciar, manter e excluir túneis e chamadas, utilizando um confiável canal de controle para garantir entrega das mensagens. • As mensagens de dados são usadas para encapsular os pacotes PPP a serem transmitidos dentro do túnel.
O protocolo L2TP funciona basicamente, como ilustrado na Figura 2.10, da seguinte maneira: os roteadores R1 e R2 fornecem o serviço L2TP. Estes roteadores comunicam-se por protocolo IP, através do caminho composto pela interfaces Int2 e int3 a rede IP. Neste exemplo, os roteadores R3 e R4 comunicam-se por interfaces utilizando um túnel L2TP. O túnel Tu1 é estabelecido entre as interfaces Int1 de R1 e Int4 de R2. Qualquer pacote que chegue na interface Int1 de R1 é encapsulado pelo L2TP e enviado pelo túnel Tu1 para R2. R2 então desencapsula o pacote e o transmite na interface Int4 para R4. Quando R4 precisa enviar um pacote para R3, segue o mesmo caminho na forma inversa.
11
PoP - Points of Presence ou Pontos de Presença, é como se fosse um serviço do seu provedor que suporta VPN’s. 12 ISP - Internet Service Provider ou provedor de acesso à Internet
64
Figura 2.10 – Funcionamento do protocolo L2TP
2.3.3.2. Autenticação
A Autenticação difere do PPTP, pois é feita em duas etapas. Na primeira, antes do túnel ser instalado, o usuário é autenticado pelo provedor de acesso e na segunda, quando a conexão é estabelecida entre os gateways. No L2TP os dados são criptografados antes da conexão ser estabelecida, para que isto aconteça, ele utiliza o DES (Data Encryption Standard).
Diferentemente do PPTP, o L2TP utiliza o protocolo UDP para manter o túnel, Uma vez que o protocolo UDP não garante a entrega dos pacotes, o L2TP possui mensagens para certificar-se que os pacotes foram entregues, estas mensagens são: Next Received Field e Next Send Field. [8]
2.3.3.3. Formato do Datagrama
Os pacotes L2TP utiliza para o canal de controle e para o canal de dados o mesmo formato de cabeçalho, como podem ser visto na Figura 2.11 e na Tabela 2.2.
65
Figura 2.11 – Cabeçalho do Pacote L2TP
Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP
Type
Identifica o tipo de mensagem. Se o bit “T” for igual a 1 é uma mensagem de controle, se for igual a 0 é uma mensagem de dados.
Ver
Identifica o número da versão do protocolo.
Length
Identifica o tamanho do pacote em octetos se o bit "L" (bit 1) for igual a 1.
Tunnel ID
Indica o identificador do Túnel para controle de conexão.
Session ID
Indica o identificador de uma sessão dentro de um túnel.
Ns
Indica o número de seqüência para o atual pacote (mensagem ou controle). Sua presença é definida pelo bit "S" (bit 4).
Nr
Indica o número de seqüência esperado para o próximo pacote de mensagem de controle. Sua presença também é definida pelo bit "S".
Offset Size
Especifica o tamanho do offset (espaço entre o cabeçalho e a área de dados). Sua presença é definida pelo bit "O" (bit 6).
Priority (bit 7)
Se for igual a 1, o pacote deve receber tratamento preferencial com relação aos outros.
Bits X
Reservados para extensões futuras.
66
2.3.4. Protocolo IPSec IPSec, "É um conjunto de protocolos desenvolvidos para proteger o tráfego dos pacotes IP" [17]. É um protocolo que tem como principal característica prover a privacidade,
integridade
e
autenticidade
dos
dados
na
comunicação.
Foi
desenvolvido pela IETF com o intuito de ser o protocolo padrão de endereçamento da próxima versão do IP (IPv6), porém muitas de suas características estão sendo aproveitadas ainda no IPV4. Assim, a tecnologia IPSec é uma das opções para implementar VPN’s e seus serviços podem ser implementados para quaisquer protocolos das camadas superiores como TCP, UDP, ICMP, etc [6].
O IPSec é um protocolo de camada 3 projetado essencialmente para oferecer transferência segura de informações pela Internet pública, realizando funções de segurança de dados como criptografia, autenticação e integridade.
O IPsec protege os pacotes IP de dados privados e os encapsula em outros pacotes IP para serem transmitidos. Além disso, também realiza a função de gerenciamento de chaves.
O IPSec possui dois modos de trabalho para envio de dados entre os pontos de comunicação, modo de Transporte e modo Túnel: • No modo de transporte (Figura 2.12), que é o seu modo "nativo", o IPsec transmite diretamente os dados protegidos de host para host. Neste modo, somente a informação é encriptada, enquanto o cabeçalho IP original não é alterado, tendo a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pública vejam a origem e o destino do pacote. No entanto, passando o cabeçalho sem segurança, o modo de transporte permite que um atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o conteúdo das mensagens. • No modo túnel (Figura 2.13), o tráfego IP é gerado pelos host’s e é proporcionado uma proteção ao pacote IP, para isso, depois da adição dos campos de ESP ao pacote IP, todo o pacote é tratado como o módulo de dados
67
de um novo pacote IP, ou seja, todo o datagrama IP original é encriptado e passa a ser o payload de um novo pacote IP, deste modo, pode ser usado para enviar dados encriptados através de um túnel, o que permite enviar dados independentemente da infra-estrutura utilizada. A grande vantagem do modo de tunelamento é que os sistemas finais não precisam ser modificados para aproveitarem os benefícios da segurança IP, além disto, esse modo também protege contra a análise de tráfego, já que o atacante só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o destino reais.
Figura 2.12 – Cabeçalho modo Transporte
Figura 2.13 – Cabeçalho modo túnel
2.3.4.1. Estrutura do pacote IPSec
O IPSec especifica os cabeçalhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem ser utilizados independentemente ou em conjunto, de forma que um pacote IPSec poderá apresentar somente um dos cabeçalhos ou os dois, como mostrado na Figura 2.14.
68
Figura 2.14 - Estrutura do pacote IPSec. 2.3.4.1.1. Protocolo AH (Authentication Header)
O cabeçalho de autenticação, que pode ser visto na Figura 2.15 e seus campos na Tabela 2.3, é utilizado para prover integridade e autenticidade dos dados presentes no pacote, incluindo a parte invariável do cabeçalho, no entanto, não provê confidencialidade.
Próximo Cabeçalho
Comprimento Reservado do Payload SPI Sequence Number Dados de Autenticação
Figura 2.15 – Cabeçalho do Protocolo AH Tabela 2.3 – Descrição dos campos do cabeçalho AH Próximo Cabeçalho Comprimento do Payload Reservado SPI Security Parameter Index Sequence Number Dados de Autenticação
Contém o identificador do próximo cabeçalho. Comprimento do Payload. 16 bits reservados para extensão do protocolo. Este índice em conjunto com o protocolo AH e o endereço fonte identificam de forma única uma SA13 (Security Association) para um determinado pacote. Contador que identifica os pacotes pertencentes a uma determinada SA (usado como mecanismo anti-replay). Este campo tem comprimento variável e contém o ICV (Integrity Check Value) para este pacote, calculado seguindo o algoritmo de autenticação usado.
13
SA é uma "conexão" que viabiliza o tráfego de serviços de forma segura entre computadores ou gateways, utilizando protocolos de segurança (AH, ESP ou ambos), quando é usado o AH e o ESP em conjunto, mais de uma SA deve ser definida.
69
O protocolo AH adiciona autenticação, porém os dados trafegam na rede sem uma proteção e podem ser capturados. Este problema é resolvido com outro protocolo o ESP (Seção 2.3.4.1.2), que adiciona a confidencialidade. Alguns ataques podem ser evitados com a utilização do protocolo AH [15], são eles: • Replay, quando o atacante intercepta um pacote válido e autenticado pertencente a uma conexão, replica-o e o reenvia. Este ataque é evitado através do campo Sequence Number, que enumera os pacotes que trafegam em uma determinada SA; • Spoofing, quando um invasor assume o papel de uma máquina confiável para o destino, ganhando assim privilégios na comunicação. O uso de autenticação previne este tipo de ataque; • Connection hijacking, ou "roubo de conexões", é quando um invasor intercepta um pacote no contexto de uma conexão e com isso passa a participar da comunicação. Mecanismos de autenticação previnem este tipo de ataque.
2.3.4.1.2. Protocolo ESP (Encapsulated Security Payload)
O protocolo ESP, ver Figura 2.16 e Tabela 2.4, é quem garante a integridade, autenticidade e criptografia dos dados e que somente os destinatários autorizados, terão acesso ao conteúdo do pacote, adicionando autenticação e confidencialidade ao mesmo.
SPI Sequence Number Dados Cifrados e Parâmetros Dados de Autenticação Figura 2.16 – Cabeçalho do Protocolo ESP
70
Tabela 2.4 – Descrição dos campos do cabeçalho ESP SPI Security Parameter Index
Este índice em conjunto com o protocolo AH e o endereço fonte identificam de forma única uma SA para um determinado pacote.
Sequence Number
Contador que identifica os pacotes pertencentes a uma determinada SA (usado como mecanismo anti-replay).
Dados Cifrados e Parâmetros
Contém os dados cifrados e os parâmetros utilizados
Dados de Autenticação
Campo de comprimento variável que contém o ICV
pelo algoritmo de criptografia usado.
(Integrity Check Value) para este pacote, calculado a partir do algoritmo de autenticação usado.
2.3.4.2. Mecanismos de Segurança IPSec
Os requisitos de segurança necessários em relação aos usuários que acessam sua rede e aos dados que trafegam entre os diversos nós são: Autenticação, Controle de Acesso, Confidencialidade e Integridade de Dados.
2.3.4.2.1. Autenticação e Integridade dos dados
A autenticação dos usuários permite ao sistema enxergar se a origem dos dados faz parte da comunicação que pode ter acesso à rede. Já a integridade de dados garante que os dados não serão adulterados durante a travessia pela rede pública.
Os dados podem ser corrompidos ou vírus podem ser implantados com o fim de dificultar a comunicação. Para prover estes dois requisitos no datagrama IP, é utilizado o AH, neste mecanismo, a segurança é garantida com a inclusão de informações de autenticação, construídas através de um algoritmo que utiliza o conteúdo dos campos do datagrama IP. Para a construção destas informações, todos os campos do datagrama IP são utilizados, com exceção daqueles que não sofrem alterações durante o transporte.
71
2.3.4.2.2. Controle de acesso
O controle de acesso visa negar acesso a um usuário que não esteja autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira e desenvolvimento de produtos, é correto imaginar que um funcionário de um setor não deva acessar e possivelmente obter dados da rede de outro setor.
2.3.4.2.3. Confidencialidade
A confidencialidade visa prevenir que os dados sejam lidos e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações dentro da rede virtual.
Somente os usuários autorizados podem ter acesso às informações dos pacotes, não possibilitando que usuários não autorizados consigam acessar as informações destes pacotes, mesmo que consigam capturá-los.
No IPsec, o serviço que garante esta proteção é o ESP. O ESP também provê a autenticação da origem dos dados, integridade da conexão e serviço anti-reply. A confidencialidade independe dos demais serviços e pode ser implementada nos modos de transporte e túnel. No modo de transporte, o pacote da camada de transporte é encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é encapsulado dentro do cabeçalho do ESP.
2.4. SEGURANÇA A segurança é a primeira e mais importante função de uma VPN. Uma vez que os dados privados serão transmitidos pela rede pública, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
A especificação da VPN a ser implantada deve tomar por base o grau de segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar
72
pela rede. Dessa definição depende a escolha do protocolo de comunicação, dos algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento terão de ser os equipamentos, principalmente, no que se refere à complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.
2.4.1. Criptografia
A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma seqüência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, e que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso da Chave Simétrica (Seção 2.4.1.1) e da Chave Assimétrica (Seção 2.4.1.2).
Uma vez dentro da VPN, cada dispositivo envia sua chave de segurança pública aos integrantes da VPN. Sem o conhecimento dessa chave de segurança é quase impossível decodificar os dados criptografados. Após a chave de segurança estar implementada, a proteção da mesma é assegurada por um sistema de gerenciamento de chaves de Segurança. O gerenciamento é um processo de distribuição, com refresh a intervalos específicos e revogação de chaves quando necessário.
2.4.1.1.Criptografia Simétrica
A criptografia simétrica baseia-se na simetria das chaves do emissor e receptor, ou seja, a mesma chave usada para criptograr será usada para decriptografar à mensagem. Sendo assim, a manutenção da chave em segredo é fundamental para a eficiência do processo.
73
Essa chave, denominada chave privada, é previamente trocada entre o emissor e o receptor, através de uma comunicação segura. Esse método apesar de sua simplicidade possui alguns problemas, são eles: • A mesma chave é usada para cada par (emissor-receptor), se o número de pares for grande, será necessário um grande número de chaves,
dificultando
assim
a
administração
das
mesmas
e
comprometendo a segurança, visto que, nem sempre é possível garantir que a chave será armazenada de forma segura; • A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem.
Existem vários algorítimos simétricos [15], que citamos a seguir, que produzem chaves de tamanhos variados, quanto maior a chave, maior a segurança. • Data Encryption Standard (DES) - 56 bits; • Triple Data Encryption Standard (3DES) - 112 bits; • Blowfish - até 448 bits; • Twofish - 128, 192 ou 256 bits; • Advanced Encryption Standard (AES) - 128, 192 ou 256 bits.
2.4.1.2.Criptografia Assimétrica
As chaves utilizadas para criptografar e descriptografar são diferentes, sendo, no entanto relacionadas. A chave utilizada para criptografar os dados é formada por duas partes, sendo uma pública e outra privada, da mesma forma que a chave utilizada para descriptografar.
74
A criptografia assimétrica surgiu para contornar os problemas da criptografia simétrica, através de algorítmos que utilizam chave pública e privada. Pode-se utilizar qualquer das chaves para criptografar a mensagem, entretanto só a chave inversa pode ser usada para descriptografá-la.
Os algorítmos que implementam a chave pública e privada, exploram propriedades específicas dos números primos e a dificuldade de fatorá-los mesmo em equipamentos rápidos. O RSA (Rivest Shamir Adleman), composto por chaves de 512, 768, 1024 e 2048 bits, é o algorítimo que serve de base para a maioria das aplicações de criptografia assimétrica.
2.4.2. Autenticação
A Autenticação é importante para garantir que a origem dos dados que trafeguem na VPN seja, realmente, quem diz ser. Um usuário deve ser identificado no seu ponto de acesso a VPN, de forma que, somente usuários autenticados transitem pela rede. Tal ponto de acesso fica responsável por rejeitar as conexões que não sejam identificadas. Para realizar o processo de autenticação, podem ser utilizados sistemas de identificação/senha, senhas geradas dinamicamente, autenticação por RADIUS (Remote Authentication Dial-In User Service) ou um código duplo.
Todo dispositivo que quiser se juntar a VPN precisa ser certificado por uma Autoridade Certificadora. Geralmente, essa certificação é dupla, incluindo uma chave eletrônica e um PIN (Personal Identification Number), reduzindo a probabilidade de intrusos acessarem o sistema.
A definição exata do grau de liberdade que cada usuário tem dentro do sistema, tendo como conseqüência o controle dos acessos permitidos, é mais uma necessidade que justifica a importância da autenticação, pois é a partir da garantia da identificação precisa do usuário que poderá ser selecionado o perfil de acesso permitido para ele.
75
2.4.3. Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que sejam praticamente impossíveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a mensagem, fazendo assim a sua verificação.
A seguir relacionamos alguns algoritmos para Integridade dos dados: • SHA-1 (Secure Hash Algorithm One) - É um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqüência de até 264 bits. • MD5 (Message Digest Algorithm 5) - É um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqüência de qualquer tamanho [11].
2.5. APLICAÇÕES VPN Uma VPN poderá ser usada para o tráfego interno entre a matriz e suas filiais, poderá incorporar conexões com fornecedores ou clientes e dar acesso remoto a funcionários que realizam trabalhos externos como vendedores ou assistência técnica.
2.5.1.Acesso Remoto via Internet
É chamado de acesso remoto aquele realizado por usuários móveis que utilizam um computador para conexão com a rede corporativa, partindo de suas residências ou hotéis. Esse tipo de conexão, que também é denominado Point-toSite, está se tornando cada vez mais utilizada.
76
O acesso remoto a redes corporativas via Internet através da ligação local a algum provedor de acesso (Internet Service Provider - ISP), acontece quando a estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet, como mostrado na Figura 2.17. As aplicações típicas do acesso remoto são:
Figura 2.17 – Acesso Remoto via Internet • Acesso de vendedores para encaminhamento de pedidos, verificação de processos ou estoques; • Acesso de gerentes e diretores em viagens, mantendo atualizadas suas comunicações com sua base de operação, tanto para pesquisas na rede corporativa como acompanhamento de seu correio eletrônico; • Equipe técnica em campo, para acesso a sistemas de suporte e documentação, bem como a atualização do estado dos atendimentos.
2.5.2.Conexão de Redes Corporativas Via Internet.
Uma solução que substitui as conexões entre LAN’s através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligandoas à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa.
77
A depender também das aplicações, pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito dedicado local ficando disponível 24 horas por dia para eventuais tráfegos provenientes da VPN. A Figura 2.18 ilustra essa forma.
Figura 2.18 – Conexão de redes Corporativas via Internet 2.5.3.Conexão de Computadores Via Intranet.
As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas. Observe que o servidor VPN (Figura 2.19), não irá atuar como um roteador entre a rede de departamentos e o resto da rede corporativa, uma vez que, o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede de departamentos. Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede de departamentos restrita. Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a confidencialidade das informações. Os demais usuários não credenciados sequer enxergarão a rede de departamentamentos.
78
Figura 2.19 – Conexão de computadores via Internet
2.6 PERFORMANCE E QOS Dois fatores determinam a performance das VPN’s: • A velocidade das transmissões sobre a Internet, sobre outra rede ou backbone IP. • A eficiência do processamento dos pacotes (estabelecimento de uma sessão segura, encapsulamento e criptografia dos pacotes) em cada ponto da conexão, ou seja, origem e destino.
A Internet não foi projetada inicialmente para garantir níveis confiáveis e consistentes de tempo de resposta. Na verdade, a Internet é um meio de comunicação best effort, ou seja, realiza o máximo de esforço para prestar o serviço a qual é destinada, que é a transmissão de dados de origem para o destino. Além disso, a criptografia e o processo de tunelamento podem influir bastante na velocidade de transmissão de dados pela Internet. Contudo, muitas redes corporativas, não podem ficar a mercê dessas flutuações de performance e acesso da Internet.
Alguns provedores de serviço resolveram o problema de velocidade de transmissão oferecendo acordos de Qualidade de Serviço (QoS), e garantia de banda a níveis específicos. Mas, atualmente, o método mais eficaz para adquirir QoS é enviar o tráfego VPN sobre o próprio IP backbone do provedor de serviços e não sobre a Internet [11].
79
Existem hoje, diversos grupos de estudo tentando solucionar alguns problemas relacionados à performance e QoS na Internet, são eles: • RFC2211, “specificantion of the Controlled-Load Network Element Service” J. Wroclawski, September 1997. • RFC2212, “specIfication of Guaranteed Quality of Service,” S. Shenker, C. Partridge, R. Guerin, September 1997. • RFC2208, “Resource ReSerVation Protocol (RSVP) Verson 1 – applicability statement, Some guidelines on Deployment,” A. Mankin, S. Bradner, M. O’Dell, A. Romanov, A. Weinrib, L. Zhang, September 1997.
Neste capítulo foram abordados o funcionamento e a arquitetura da VPN (Virtual Private Network).
No próximo capitulo serão abordados o funcionamento e a arquitetura do MPLS (Multiprotocol Label Switching).
80
CAPÍTULO III MULTIPROTOCOL LABEL SWITCHING Neste capítulo apresentaremos uma análise da tecnologia MPLS (Multiprotocol Label Switching), uma tecnologia emergente que surge como alternativa para a engenharia de tráfego e o encaminhamento rápido de pacotes IP. Faremos
também
uma
análise
de
sua
arquitetura
e
como
funciona
o
encaminhamento desses pacotes sobre o MPLS.
3.1. INTRODUÇÃO Nos anos 90, o mercado de redes de computadores se questionava sobre como seria utilizado até então a nova técnica de comutação IP para encaminhamento de pacotes, tornando-se uma alternativa ao roteamento tradicional. Seguindo essa trilha e combinando diversas tecnologias, o IETF criou o MPLS.
O MPLS é uma tecnologia que permite ampliar o desempenho de tecnologias de redes já existentes. Ele representa o próximo passo da evolução baseada em padrões, combinando tecnologias de comutação da camada 2 (camada de enlace) com as tecnologias de roteamento da camada 3 (camada de rede) [21].
81
Outro fator importante para o desenvolvimento desta tecnologia é a necessidade de estender a funcionalidade de roteamento da Internet e das redes IP em geral. Modificar o roteamento IP é extremamente caro, pois é necessário alterar tanto o plano de controle quanto o algoritmo de encaminhamento, que geralmente é implementado em hardware. Em contraste, os comutadores (switch) são muito simples, pois suportam poucos protocolos e tipos de interface, fazendo com que a relação custo/performance de comutadores seja muito melhor do que a de roteadores. Uma das motivações do MPLS é construir aparelhos com a maioria das funcionalidades dos roteadores e hardware semelhante ao de um comutador.
O MPLS (RFC 3031 [20]) é uma tecnologia a qual encaminha pacotes de um computador a outro, orientada através de rótulos (labels) colocados nos cabeçalhos IP. Para que haja a compreensão destes rótulos é necessário que os gateways envolvidos na transmissão consigam reconhecê-los. Essa tecnologia pode ser enquadrada entre a camada de enlace e a de rede do modelo OSI, isso ocorre devido o cabeçalho IP não ter sido projetado para suportar esses labels, consequentemente ele não possui espaço disponível para um novo campo necessitando uma adição (extensão) do cabeçalho MPLS. O rótulo existente no cabeçalho MPLS dos pacotes que estão trafegando são vistos como índices em tabelas, determinando o caminho a ser percorrido para atingir o próximo nó da rede. O encaminhamento de pacotes passa a ser uma pesquisa em tabela extraída dos pacotes, diferentemente do roteamento tradicional, o qual pesquisa em tabelas de roteamento, obtendo dos pacotes apenas o endereço IP de destino.
3.2. COMPONENTES Para entender como é realizado o encaminhamento dos pacotes, ou seja, o funcionamento do MPLS, neste tópico serão abordados os seus principais componentes como: Label switching routers (LSR), Label switch path (LSP), Forward Equivalence Label (FEC), Label Edge Routers (LER), Labels (Rótulos), Label Distribution Protocol (LDP) e Label Information Base (LIB). .
82
3.2.1. Label Switching Routers (LSR)
O LSR é um nó do MPLS. Ele recebe o pacote de dados, extrai o label do pacote e o utiliza para descobrir na tabela de encaminhamento qual a porta de saída e o novo rótulo [22].
Existem dois tipos de LSR: O E-LSR (Edge–Label Switch Router), ou seja, o LSR de borda e os LSR’s que ficam situados no núcleo de uma rede MPLS (Figura 3.1).
Figura 3.1 – LSR de Borda e LSR de Núcleo.
Quando o E-LSR está situado na entrada de uma rede MPLS, ele tem a função de inserir um label ao pacote, agrupá-los a uma FEC (Seção 3.2.3) e encaminhá-los através de uma LSP (Seção 3.2.3). Quando está situado na saída, é responsável pela retirada do label e a entrega do pacote a uma rede não MPLS.
Os LSR do núcleo têm a função de encaminhar os pacotes baseados apenas no label. Ao receber um pacote, cada LSR troca o label existente por outro, passando o pacote para o próximo LSR e assim por diante até chegar no E-LSR de saída.
83
3.2.2. Label Switch Path (LSP) No MPLS a transmissão de dados ocorre em caminhos comutados por rótulos, ou seja, um caminho através de uma seqüência ordenada de LSR’s, estabelecido entre uma origem e um destino, sendo unidirecional, isto é, suportam encaminhamentos de datagramas em um único sentido de modo que um LSP pode definir uma seqüência ordenada de LSR’s, portanto é preciso ter dois LSP’s para uma comunicação entre duas entidades [23].
Quando um pacote entra numa rede MPLS, este é associado a uma FEC (Seção 3.3.3) e então é criada uma LSP para esta FEC. Como a criação da LSP ocorre somente na entrada de uma rede MPLS, os LSR’s do núcleo irão somente chavear os labels (distribuídos no momento do estabelecimento das LSP’s), encaminhando os pacotes de acordo com a LSP pré-determinada [24], não precisando mais fazer um roteamento dos pacotes, como pode ser visto na Figura 3.2.
Figura 3.2 – Criação da LSP
84
3.2.3. Forward Equivalence Label (FEC) Uma FEC representa condições determinadas para verificar se um dado pacote pertence ou não a FEC estabelecida e se compartilham das mesmas exigências para seu transporte. Estes pacotes estando associados a uma mesma FEC serão encaminhados pelo mesmo caminho.
Em todo o pacote a um grupo específico e a este é dado o mesmo tratamento da origem ao destino, ao contrário da remessa convencional do IP, em MPLS, as atribuições de um determinado pacote a uma FEC são baseadas em exigências de serviços ou simplesmente no prefixo do endereço.
Uma FEC consiste em um conjunto de pacotes que serão encaminhados da mesma maneira em uma rede MPLS. Pacotes de um mesmo fluxo de dados geralmente pertencem à mesma FEC, sendo representada por um rótulo, e cada LSP é associado a uma FEC.
Figura 3.3 – Encaminhamento do pacote FEC
Ao receber um pacote (Figura 3.3), o LER verifica na tabela especÍfica a qual FEC ele pertence e o encaminha através do LSP correspondente. Portanto há uma associação entre o pacote, o rótulo, o FEC e o LSP [24]. A associação pacote e
85
FEC acontece apenas uma vez, quando o pacote entra na rede MPLS. Isto proporciona grande flexibilidade e escalabilidade a este tipo de rede [25].
3.2.4. Label Edge Routers (LER)
Figura 3.4 – Esquema do Label Edge Routers (LER)
LER’s ou Roteadores de Rótulos de Borda (Figura 3.4), estão situados na periferia da rede MPLS, atuando como fronteira entre o encaminhamento de nível três e o encaminhamento MPLS. Ele tem a habilidade de adicionar um rótulo a um pacote não rotulado (LER de ingresso), e remover os rótulos de um pacote rotulado (LER de egresso).
Eles devem possibilitar a conexão com várias redes distintas (Frame-relay, ATM, Ethernet) e realizar o encaminhamento dos tráfegos destas redes, para o interior da rede MPLS, pelo estabelecimento de LSP’s, inserindo e removendo os labels à medida que o tráfego entra ou sai da rede MPLS.
86
3.2.5. LABELS (Rótulos)
O rótulo é um identificador curto, de tamanho fixo e significado local que é usado para identificar uma FEC. Todo pacote ao entrar numa rede MPLS recebe um label, de uma forma mais simples podemos dizer que, um rótulo pode ser pensado como uma forma abreviada para o cabeçalho do pacote, de forma a indicar ao pacote a decisão de remessa que um roteador faria, ou seja, é uma abreviação para um fluxo de dados de usuário.
O cabeçalho MPLS, também conhecido como Shim Header, deve ser posicionado depois de qualquer cabeçalho de camada 2 e antes de um cabeçalho de camada 3. Seu tamanho é definido em 4 octetos (32 bits). O rótulo que associa pacotes às respectivas conexões, é algo semelhante ao VPI/VCI no ATM e DLCI no Frame Relay. O formato genérico do Label é ilustrado na Figura 3.5 e a descrição de seus campos pode ser vista na Tabela 3.1.
Figura 3.5 – Cabeçalho MPLS – Shim Header
87
Tabela 3.1 – Descrição dos campos do Label. (20 bits) carrega o valor atual do rótulo MPLS;
Label
(3 bits) define a classe de serviço a que um pacote pertence, ou seja, indica a prioridade do pacote. Pode afetar o EXP
enfileiramento e algoritmos de descarte aplicados ao pacote enquanto ele é transmitido pela rede. É um campo que ainda não está totalmente definido; (1 bit) suporta uma pilha hierárquica de rótulos, ou seja,
Stack
suporta o enfileiramento de labels, caso o pacote receba mais de um label; TTL (time to live)
(8 bits) tem o mesmo papel que no IP, contar por quantos roteadores o pacote passou, num total de 255. No caso do pacote viajar por mais de 255 roteadores, ele é descartado para evitar possíveis loops.
3.2.6. Label Distribution Protocol (LDP)
O LDP é um protocolo, definido pelo IETF, que permite a distribuição de labels entre os roteadores de comutação de rótulos (LSR), desta forma possibilita a criação das LSP’s.
O LDP ajuda no estabelecimento de um LSP através do uso de um conjunto de procedimentos para distribuir os rótulos entre os LSR. Um passo importante para a comutação de rótulos é que os LSR’s concordem em relação a quais rótulos eles devem usar para encaminhar o tráfego. Eles chegam a este entendimento utilizando o LDP [26].
O LDP possui um mecanismo de descoberta de LSR’s vizinhos que funciona da seguinte forma: um LSR utiliza o protocolo UDP (User Datagram Protocol) para enviar mensagens para uma porta conhecida onde estejam os roteadores desta rede. Quando um LSR descobre o endereço de outro LSR através deste mecanismo, é estabelecida uma conexão TCP com ele. Depois de
88
estabelecida a sessão, cada LSR pode informar a criação de novos rótulos. Um mecanismo de descoberta adicional permite que um LSR encontre vizinhos que não sejam adjacentes a ele, enviando mensagens para um endereço IP específico. Esse mecanismo é útil para a engenharia de tráfego, quando se deseja criar um LSP entre dois LSR’s e enviar, através deste LSP, pacotes já rotulados.
3.2.7. Label Information Base (LIB)
As Tabelas de encaminhamento dos comutadores de rótulo ou LIB’s, são as tabelas responsáveis pelo processo de encaminhamento de pacotes e são mantidas pelos LSR’s. Elas consistem basicamente de um campo de índice que é preenchido pelo valor do rótulo, uma ou mais entradas, contendo o rótulo de saída, interface de saída e endereço IP do próximo salto [26]. Uma vez criada uma LSP, a relação do label com a interface, será armazenada no LIB.
Quando o pacote entra no LSR, este verifica para qual interface esse pacote deve ser encaminhado, através do LIB. Sendo assim, realiza a troca do label de entrada por um label de saída, para que o pacote possa alcançar o próximo nó.
Desta forma o LIB contém uma tabela que é usada para adicionar ou remover um label a um pacote, enquanto determina a interface de saída pela qual o pacote deve ser enviado.
3.3. FUNCIONAMENTO Quando um pacote IP chega na periferia da rede MPLS, o roteador de rótulos de borda (LER), realiza o encaminhamento para o interior da rede MPLS (Figura 3.6). O E-LSR irá associar este pacote a uma FEC caso já exista uma, senão o E-LSR irá criar uma FEC que determinará o caminho deste pacote. Desta forma o pacote receberá um label e como a FEC está relacionada a uma LSP, o E-LSR encaminhará o pacote através desta LSP.
89
A cada LSR pelo qual o pacote passa, os labels são trocados, pois cada label representa um índice na tabela de encaminhamento (LIB) do próximo roteador. Sendo assim, quando um pacote rotulado chega, o LSR procura em sua tabela MPLS pelo índice representado pelo label. Ao encontrar este índice o LSR substitui o label de entrada por um label de saída associado a FEC a que pertence o pacote, depois de completada a operação da troca de labels o pacote é encaminhado pela interface que está especificada na LIB.
Este procedimento continua até a borda da rede MPLS, quando o E-LSR de saída, remove o label e o pacote é encaminhado pela interface associada a FEC a qual pertence o pacote. Neste momento o pacote deixa de ser analisado pelo protocolo MPLS e é roteado normalmente pelos protocolos de roteamento de uma rede não MPLS.
Figura 3.6 – Funcionamento básico do MPLS
90
3.4. APLICAÇÕES O MPLS (Multiprotocol Label Switching) é uma tecnologia emergente que, além de possibilitar um aumento no desempenho do encaminhamento de pacotes, facilita a implementação da Engenharia de Tráfego, Qualidade de Serviço (QoS) e Redes Virtuais Privadas (VPN).
3.4.1. Engenharia de tráfego.
O MPLS foi projetado originalmente para definir a engenharia de tráfego, ou seja, para determinar o caminho a ser percorrido pelo tráfego através da rede e estabelecer os atributos de performance para diferentes classes de tráfego. O mais importante é que, o MPLS combina a escalabilidade e a flexibilidade do roteamento com a performance e a capacidade de gerenciamento de tráfego da comutação de camada 2 (Modelo OSI), nas redes que disponibilizam rotas alternativas.
O MPLS é utilizado para mapear a rede IP privada do cliente para a rede pública. Qualquer mudança na topologia IP da rede do cliente é dinamicamente comunicada, por meio da rede pública, aos outros sites do cliente. Isso é possível porque o MPLS pode montar tabelas de roteamento virtual para a rede de cada cliente, encaminhando dados e informações de rotas para os outros sites que o cliente possui.
O MPLS pode ser utilizado para estabelecer caminhos que emulam as conexões ponto-a-ponto de camada dois, estabelecendo circuitos virtuais ou túneis, oferecendo um caminho alternativo para o encaminhamento de dados, sem o alto overhead das redes virtuais privadas (VPN’s). Além disso, as operadoras que possuem redes IP, Frame Relay e ATM podem utilizar o MPLS para interligá-las, evitando altos gastos com atualizações [7].
Em relação às aplicações que exigem tempo real, o MPLS oferece a implementação de QoS que não pode ser implementada pela rede IP.
91
Com a implementação do QoS, pelo MPLS, podemos diferenciar diversos tipos de tráfegos e tratá-los de forma distinta, dando prioridades às aplicações mais sensíveis, ou seja, o serviço MPLS implementa mecanismos de QoS para gestão de rede que permitem controlar de forma diferenciada a qualidade da transmissão e garantir a manutenção dos níveis de serviço por classes de tráfego. Ele disponibiliza classes de serviço para acomodar as diferentes necessidades de tipos de tráfego, entre elas estão: • RT (Real Time), para tráfego de Voz (VOIP) e Vídeo ; • B (Business), para o tráfego de aplicações críticas ao negócio (SAP, SNA) e File Sharing ou compartilhamento de arquivos); • BE (Best effort), para o tráfego geral (Mail, FTP, etc). 3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN).
O MPLS permite a criação de Redes Virtuais Privativas (VPN) garantindo um isolamento completo do tráfego com a criação de tabelas de labels, usadas para roteamento, exclusivas para cada VPN, com isto,
o MPLS atuando como
mecanismo de encaminhamento dentro de um cenário de VPN, provê agilidade, facilidade de gerenciamento e suporte a QoS, bem como suporte a segurança.
Podemos observar que com a criação de VPNs, notamos que o tráfego entre redes, que pode ser a internet ou um backbone, fica totalmente transparente, sendo mostrado como Túnel Virtual garantindo a privacidade da rede.
A seguir será descrito e ilustrado na Figura 3.7, o funcionamento básico do MPLS sobre uma Rede Virtual Privada.
92
Figura 3.7 – MPLS sobre uma Rede Privada Virtual
O computador A, envia um pacote IP, para o computador B, ambos pertencentes a VPN 1 (IP 10.1.1.1). O roteador UNIFOR, que é um E-LSR (seção 3.2.1), recebe este pacote IP e o associa a um label VPN (LV-22) e a um label MPLS (LM-19). O pacote é enviado para o roteador UNIFOR1 conforme sua LIB (seção 3.2.7). A partir desse momento os roteadores passam a encaminhar o pacote IP ao seu destino levando em conta apenas o label MPLS.
O pacote ao chegar no penúltimo roteador (G.E.Q 1), ou seja, no LSR (seção 3.2.1) conectado ao E-LSR de saída (G.E.Q), retira o label MPLS e o encaminha até o E-LSR. Ao chegar no E-LSR, este analisa o label da VPN e verifica que este pacote faz parte da VPN 1. Desta forma ele retira o label de VPN e encaminha o pacote até seu destino [24].
Podemos observar que, o computador C apresenta o mesmo endereço IP que o computador B, porém o pacote vindo do computador A nunca conseguirá chegar no computador C, pois eles pertencem a VPN’s diferentes. Desta forma o computador A só poderá ter conexão com o computador B, da mesma forma que o C só poderá ter conexão com o D.
93
Neste capítulo apresentamos uma análise da tecnologia MPLS, mostrando sua arquitetura e como funciona o encaminhamento desses pacotes sobre o MPLS.
No próximo capitulo será realizado uma análise comparativa entre a tradicional VPN e a VPN baseada na tecnologia MPLS, procurando mostrar suas diferenças, referente a escalabilidade, custos, formação das VPN’s, qualidade de serviço (QoS), engenharia de tráfego e a titulo de informação a situação mercadológica no Brasil.
94
CAPÍTULO IV ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS Neste capítulo apresentaremos uma análise comparativa entre a tradicional Rede Privada Virtual (VPN) e a emergente VPN baseada na tecnologia MPLS (Multiprotocol Label Switching), procurando mostrar suas diferenças, quando existirem, relativo à formação das VPN’s, escalabilidade, custos, qualidade de serviço (QoS), engenharia de tráfego e a titulo de informação a situação mercadológica no Brasil.
4.1. INFRA-ESTRUTURA DE REDE MULTISERVIÇO Como o próprio nome indica, o MPLS é um multi-protocolo, que agrega e transporta qualquer tecnologia de nível dois e tráfego IP, de maneira integrada sobre uma só rede, uniformemente gerenciada. Isto é um tipo de serviço exclusivo do MPLS, não se encontrando em VPN’s tradicionais.
95
O componente de encaminhamento do MPLS é independente do protocolo de rede, podendo ser utilizado com IP ou IPX, por exemplo, sendo também, atualmente, padronizada para Ethernet, ATM, FDDI, Frame Relay e PPP.
4.2. FORMAÇÃO DE VPN´S, CUSTOS E ESCALABILDADE. O problema de se criar VPN’s é que estão baseadas em um modelo topológico sobreposto a topologia física existente, e a base de circuitos virtuais (túneis fim a fim) entre cada par de roteadores de cliente em cada VPN. Daí as desvantagens quanto a pouca flexibilidade no gerenciamento deste serviço, como também no crescimento quando se quiser adicionar novos pontos, pois a cada novo ponto criado na rede, ele teria que ser conectado a todos os demais pontos existentes e ao longo do tempo haveria dificuldades em gerenciamento da rede.
Com a arquitetura MPLS estes inconvenientes relativo ao modelo topológico não se sobrepõem, mas se acoplam a rede do provedor. O modelo acoplado MPLS, em lugar de conexões fim a fim entre os distintos pontos de uma VPN, são conexões IP a uma "nuvem comum" em que somente podem entrar os membros da mesma VPN. As "nuvens" que representam as VPN’s se implementam mediante os caminhos LSP’s criados pelo mecanismo de intercâmbio de rótulos MPLS.
Os LSP’s são similares aos túneis, e a rede transporta os pacotes do usuário sem examinar o conteúdo, porque este é encapsulado sobre outro protocolo. Aqui está a diferença: os túneis utilizam-se do encaminhamento convencional IP para transportar a informação do usuário, já no MPLS esta informação é transportada sobre o mecanismo de intercâmbio dos rótulos. Assim se mantém em todo momento a visibilidade IP para usuário, que não sabe nada das rotas MPLS, o que ele vê é uma Internet privada entre os membros de sua VPN. Deste modo, podem-se aplicar técnicas de qualidade de serviços (QoS), podendo assim reservar parte da banda, para priorizar aplicações, e estabelecer classes de serviço (CoS) e otimizar os recursos da rede com técnicas de engenharia de tráfego.
96
A construção de VPN’s pode não ser o objetivo principal do MPLS, mas sem dúvida é uma de suas facilidades com maior apelo de marketing. O MPLS permite aos operadores de serviço criar VPN’s com a flexibilidade do IP. Labels separados garantem a privacidade entre VPN´s sem recorrer à criptografia. De fato, a criação de VPN´s está entre as primeiras aplicações do MPLS.
Um benefício muito particular, na utilização do MPLS, foi a substancial redução no número de PVC’s, que deveriam ser configurados para atender às necessidades dos clientes. Conseqüentemente, o trabalho de provisionamento ficou mais simples e o serviço mais barato para o cliente final, que agora só precisa de um único PVC, ou seja, a partir do momento que se entra no ambiente MPLS, os usuários ganham conectividade através de toda a rede VPN. Se tomarmos como exemplo uma VPN com 20 escritórios remotos, necessitaríamos criar 20 PVC’s, um para cada ponto remoto. Para manter uma conectividade de todos para todos, seria necessário criar 190 PVC’s conforme a equação [N (N-1)] / 2 (N é o número de pontos).
Fica claro então que as VPN´s baseadas em tecnologias de camada dois (circuitos virtuais) irão, eventualmente, tornar-se um incômodo para os gerentes de redes responsáveis por grandes VPN´s, que se tornam, ao longo do tempo, significativamente complexas em função da enorme quantidade de PVC’s que precisam ser provisionados e gerenciados. Em tal cenário, esse tipo de topologia não permite acomodar com eficiência as demandas dos usuários por conectividade siteto-site, além de oferecer grandes dificuldades para a construção de VPN´s a prova de falhas, pois o site central torna-se um ponto único de falha.
A base para a solução MPLS para VPN´s é o uso de túneis de LSP para encaminhar os dados entre os roteadores de serviços de uma VPN, rotulando os dados da VPN na sua entrada do túnel, o LSR segrega o fluxo da VPN do resto dos dados fluindo na rede.
97
4.3. QUALIDADE DE SERVIÇO Constata-se
um
crescente
interesse
pelas
aplicações
multimídia
distribuídas (vídeo-conferência, tele-medicina, telefonia IP, etc.) na utilização das redes IP na forma de redes privadas virtuais. Essas aplicações caracterizam-se, principalmente, pelo emprego de diversos tipos de mídia que impõem requisitos distintos de qualidade de serviço (QoS) ao sistema de comunicação.
Entretanto, as VPN’s IP tradicionais, com seu modelo de serviços do tipo melhor esforço, começam a dar sinais de estrangulamento. Uma das conseqüências da adoção desse modelo é que todo o tráfego é tratado de maneira uniforme, sem nenhum tipo de diferenciação ou priorização. Contudo, nem todos os tipos de tráfego e transações são equivalentes ou têm a mesma importância para os usuários.
É desejável que algumas aplicações recebam tratamento diferenciado segundo suas demandas específicas, o que não é possível nos modelos atuais de VPN’s.
Por outro lado, as redes VPN’s baseadas na tecnologia MPLS estão habilitadas para fornecer qualidade de serviço com tratamento diferenciado das aplicações com maior simplicidade.
O MPLS permite classificar classes de serviços conforme a priorização de cada aplicação, para isso, utiliza o campo EXP (Tabela 3.1 da Seção 3.2.5) para priorizar estas aplicações.
O tratamento da QoS em ambientes MPLS acontece basicamente de duas maneiras: • o rótulo contém informações sobre as classes de serviço (CoS), onde esta informação é utilizada para priorizar o tráfego em cada nó. • Para cada fluxo de informações é estabelecido um nível de serviço apropriado onde o tráfego é direcionado para o caminho adequado 98
estabelecendo múltiplos caminhos entre os equipamentos de entrada / saída.
Estes procedimentos classificam os pacotes em categorias de classes de serviço, determinando os recursos disponíveis para cada categoria definida.
4.4. ENGENHARIA DE TRÁFEGO A engenharia de tráfego pode ser efetuada manualmente, ou através de alguma técnica automatizada, como o MPLS, tendo como objetivo descobrir e fixar os caminhos considerados mais adequados aos fluxos dentro da rede.
O roteamento convencional pode selecionar caminhos na rede que resultem na utilização não balanceada de recursos. Nestes ambientes, alguns recursos podem ser subutilizados enquanto outros podem ser sobrecarregados com cargas excessivas de tráfego.
No roteamento convencional, todos os roteadores precisam consultar sua própria tabela de roteamento para poder encaminhar os pacotes. Com a utilização do MPLS, isto pode ser evitado, visto que basta os roteadores encaminharem os pacotes baseados em comutação de rótulos.
O MPLS pode ser utilizado para facilitar a engenharia de tráfego, pois ele tem a informação sobre a rota especifica a ser seguida por um pacote na rede, este roteamento explícito de pacotes garante que todo o fluxo de informações com as mesmas características transitem pelo mesmo caminho.
O MPLS visa otimizar a utilização da rede pela distribuição diferenciada dos tráfegos que a percorrem como: •
Evitar que um link da rede esteja saturado enquanto outros possuem banda livre;
99
• Nem sempre vai escolher o caminho mais curto entre dois dispositivos, mas sim o que melhor se adequar ao tráfego; • É possível que dois fluxos percorram caminhos totalmente distintos, mesmo que seus pontos de entrada e saída da rede sejam idênticos.
4.5. SEGURANÇA A segurança é a primeira e mais importante função da Rede Privada Virtual (VPN). Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
Outro serviço oferecido pelas VPN’s é a conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa
Sob o ponto de vista da segurança, em testes realizados por organismos independentes, como o MIERCOM [27], o MPLS tem demonstrado ser tão seguro quanto tecnologias tradicionais de camada dois. A arquitetura orientada à conexão do MPLS, pelo fato de trafegar em linhas privadas nas redes de acesso, fazem com que sejam isoladas e, como tal, imunes à maioria das técnicas de interceptação e outros riscos associados às redes tradicionais IP. Portanto, esta tecnologia passa ao cliente a segurança, mas, se, mesmo assim, ainda houver temores quanto à segurança, então a criptografia é empregada utilizando-se o IPSec (Seção 2.3.4), que pode ser adicionado sobre o MPLS, assim como seria feito com qualquer outro tipo de transporte.
Uma das grandes barreiras para a migração de usuários de VPN’s nível 2 para VPN’s nível 3 IP sempre foi à segurança que as VPN’s de nível 2 oferecem para seus usuários, pois as mesmas são orientadas à conexão por meio de circuitos virtuais privados (PVC). Com o surgimento das VPN’s MPLS criou-se o conceito de
100
LSP, que é equivalente ao PVC do nível 2 das VPN’s, oferecendo os mesmos níveis de segurança.
4.6. MERCADO BRASILEIRO Apesar de ser uma tecnologia nova no Brasil, já é percebido que as VPN MPLS começam a dominar as soluções de comunicação. Podemos citar os casos do SPB (Sistema Brasileiro de Pagamento) e do Banco do Brasil (Aproximadamente 8000 acessos ligando todas às agências). O crescimento do serviço tem a tendência de seguir o modelo mundial, ou seja, um crescimento exponencial.
O protocolo IP, segundo a IDC, deve responder por 40% do tráfego de longa distância em 2005 no Brasil e movimentar mais de US$ 800 milhões. As VPN’s baseadas em MPLS são, hoje, uma das principais estratégias de operadoras, fabricantes e integradores.
A AT&T[18], por exemplo, é uma das empresas que fornece o serviço VPN e já possui cerca de 1.200 clientes no Brasil que usam a rede VPN IP. As boas perspectivas de demanda foi um dos aspectos que também levou a Intelig [19] a apostar na VPN IP como plataforma de transmissão. O crescimento dos projetos de VPN’s também vem estimulando os fabricantes de dispositivos de rede a investirem alto no desenvolvimento da tecnologia.
As operadoras tradicionais de telecomunicações no Brasil já estão em fase de implementação de seus serviços baseados na tecnologia MPLS, porém, essa oferta de serviços deverá estar concentrada na expansão geográfica dos serviços e não nas redes atuais, pois a intenção destes fornecedores é otimizar a utilização das redes existentes e disponibilizar serviços sobre as mesmas.
Acredita-se que o mercado de VPN MPLS é
emergente, e crescerá
principalmente com ofertas para o setor corporativo de médias e grandes empresas. Muitas
destas
empresas
já
possuem
redes
de
comunicação
de
dados
implementadas, usando como acesso tecnologias tradicionais como Frame Relay,
101
ATM e DSL. Portanto, essas empresas deverão ser as primeiras beneficiárias das soluções de VPN MPLS em suas redes e principais usuárias dos novos serviços que estarão agregando valor à tecnologia.
O segmento de pequenas e médias empresas deverá ser o segundo grande mercado a receber os benefícios deste novo cenário de telecomunicações no Brasil. Com a ampliação da concorrência e a redução nos custos de implantação de uma rede de comunicação de dados, este mercado deve migrar gradativamente para os novos serviços baseados em comunicação de dados e serviços de valor agregado. Contudo, essa nova tecnologia requer novos investimentos, o que ocorrerá ao longo dos próximos anos.
O segmento residencial será o último setor a utilizar esses novos serviços e usufruir os benefícios da Tecnologia IP. É muito provável que com a evolução das tecnologias de acesso banda larga (xDSOL, cable modem e etc.) as classes de maior poder aquisitivo (A e B) começarão a utilizar os novos serviços e, principalmente, voz sobre IP e videoconferência.
O MPLS é uma realidade no mercado brasileiro. Pelo menos três grandes empresas de telecomunicações, abaixo relacionadas, oferecem serviços baseados nesta tecnologia. •
Embratel – Serviço IP VPN [28];
•
Telemar – TC VPN VIP [29];
•
Telefônica – Serviço VPN IP [30].
4.7. CENÁRIO DE APLICAÇÃO DO MPLS Nesta seção apresentamos um cenário no qual uma empresa deseja um estudo, que satisfaça suas necessidades, de qual seria a melhor tecnologia a ser aplicada no problema proposto.
102
O estudo realizou uma comparação entre as Redes Privadas Virtuais (VPN) tradicionais e as Redes Privadas Virtuais baseadas em MPLS, mostrando as vantagens existentes entre as duas tecnologias, procurando resolver e satisfazer as necessidade propostas pela empresa.
4.7.1. Cenário
Uma empresa resolveu investir em uma rede de computadores, interligando vinte pontos entre filiais, clientes e fornecedores, para transmissão, principalmente, em aplicações de multimídia (videoconferência, telefonia IP e etc).
Dentro desta proposta, esta mesma empresa queria saber, também, qual seria a melhor tecnologia a ser utilizada em uma possível ampliação de novos pontos de conexão.
4.7.2. Aplicação
Como a empresa deseja dar prioridade em suas transmissões nas aplicações de multimídia, propomos a utilização do MPLS, visto que, estes tipos de aplicações impõem qualidade de serviço na comunicação, e como as VPN’s tradicionais adotam o modelo do tipo melhor esforço, ou seja, os túneis utilizam-se do encaminhamento convencional IP para transportar a informação, o tráfego é tratado sem nenhum tipo de diferenciação ou priorização. Já o MPLS oferece um tratamento diferenciado permitindo ordenar a priorização de cada aplicação, ou seja, dependendo da QoS contida no rótulo é estabelecido um nível de serviço onde o tráfego é direcionado para o caminho adequado, como também, é dado prioridade de tráfego em cada nó.
Sobre a possível ampliação da rede com a criação de novas filias, propomos também o MPLS, isto porque, as VPN’s são pouco flexíveis quando se trata do fato de adicionar novos pontos. Como as VPN’s estão sobreposta à rede física a base de circuitos virtuais (PVC’s) , e a empresa possui vinte filiais, então necessitaríamos de 190 PVC’s, isto para manter uma conectividade de todos para 103
todos. Com o tempo e a necessidade de ampliações futuras, o gerenciamento se tornaria bastante complexo, em função da quantidade de PVC’s, como pode ser visto na Figura 4.1.
Figura 4.1 – Rede VPN com PVC’s
Figura 4.2 – Rede VPN MPLS com LSP’s
104
Por outro lado, o MPLS reduziu substancialmente o numero de PVC’s, agora ele só precisa de um único PVC na borda do MPLS, garantindo conectividade em toda a rede VPN, através do LSP (Figura 4.2). Com isto o gerenciamento e a previsão para ampliação da rede ficou mais fácil, conseqüentemente, acontece uma redução de custo no serviço.
Sob o ponto de vista de segurança, existe uma certa equivalência entre as duas tecnologias.
Uma das principais funções das Redes Privadas Virtuais (VPN’s) é a segurança, pois os dados, mesmo sendo transmitidos pela Internet, estariam protegidos de forma a não permitir que sejam interceptados ou modificados.
O MPLS passa a mesma segurança que as VPN’s tradicionais, mas se o cliente quiser aumentar ainda mais a confiabilidade deste item, então a criptografia pode ser empregada (IPSec), sendo adicionada ao MPLS, como seria realizado com qualquer outro tipo de transporte.
Concluímos que, entre as duas tecnologias estudadas, a que melhor satisfaz as necessidades da empresa, seria o MPLS. O MPLS leva vantagem em quase todos os requisitos, o único item em que existe um equilíbrio entre as VPN’s tradicionais e o MPLS seria a segurança, mas como comentado anteriormente, ambas as tecnologias passam a mesma confiabilidade.
105
CONCLUSÕES
Esta monografia teve como objetivo realizar um estudo comparativo entre as tradicionais Redes Privadas Virtuais e as Redes Privadas Virtuais baseadas em MPLS.
Observamos que, Inicialmente as redes locais de computadores, foram usadas para compartilhar alguns recursos como aplicações e impressora, sem a preocupação com o quesito segurança. Com o advento da internet comercial, surge a necessidade de uma política de segurança, que garanta os sistemas funcionando e permitindo o acesso remoto de uma forma segura e confiável. Vários métodos foram desenvolvidos com este intuito, entre eles a VPN (Virtual Private Network) ou Rede Privada Virtual. Cada vez mais as VPN’s são incorporadas às organizações, sejam elas privadas ou governamentais. Os principais motivos estão relacionados à segurança das informações e o custo no tráfego das mesmas, pois utiliza um meio público, como a internet, para trafegar dados entre elas. A VPN cria "túneis virtuais" de comunicação entre essas redes, fazendo com que os dados trafeguem de forma criptografada pelos túneis, dificultando e muito, a ação de possíveis invasores. As VPN’s
garantem
também
integridade,
confidencialidade
das
informações
106
transmitidas, bem como a autenticação e controle de acesso aos gateways, permitindo uma confiança maior por parte de quem as usa.
O MPLS é chamado de multiprotocolo porque qualquer protocolo de rede pode ser utilizado para o encaminhamento dos pacotes, ele modifica um paradigma fundamental hoje existente nas redes IP : a superposição de um rótulo ao datagrama tendo a propriedade de imprimir à comunicação uma característica de “orientação à conexão''. Sua característica de interligar roteadores IP o torna uma referência para construção de redes. O MPLS além de possuir a qualidade de construções de VPN’s, como uma de suas funções nativas, se mostra com uma característica atraente para a utilização de diversos tipos de serviços que demandam uma maior qualidade de serviço, e com um custo mais baixo, além de propiciar para a Engenharia de Tráfego, o roteamento explícito de maneira eficiente baseada em protocolos de comutação por rótulos. Conclui-se que o MPLS é uma tecnologia emergente que em comparação com as demais Redes Privadas Virtuais tradicionais é a mais promissora na tentativa de melhorar o desempenho das redes, por ser flexível e por permitir seu mapeamento em várias tecnologias de rede, nos fazendo crer que ele será capaz de melhorar a qualidade das transmissões de voz e vídeo (através do QoS), a segurança (através das VPN’s) e também a velocidade e planejamento nas transmissões de dados (através da engenharia de tráfego).
107
REFERÊNCIAS BIBLIOGRÁFICAS [1]
SOARES, Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de
computadores das Lans, Mas e Wans às redes ATM. Rio de Janeiro: Campus, p. 79249, 1995.
[2] AREDE. CIR (Commited Information Rate). Disponível em: www.arede.inf.br/ index.php?option=com_glossary&func=display&letter=C&Itemid=95&catid=41&page= 1 Acessado em: 13/12/2006.
[3] COMER, Douglas E. Redes de Computadores e Internet. Ed 2ª. Tradução de Marinho Barcellos. Porto Alegre: Bookman, p. 131-181, 2001.
[4] TANEMBAUM, Andrew S. Redes de Computadores. Tradução de sétima edição. Rio de Janeiro: Campus, p. 65-460, 2003.
[5] FILHO, José Valentim dos Santos. O Estado-da-Arte do Frame Relay. GTA / URFJ Grupo de teleinformática e automação. Disponível em:
[6] FILHO, Huber Bernal. Seção: Banda larga e VOIP- Frame Relay. 2003. TELECO Informações e telecomunicações. Disponível em:
[7] PINHEIRO, Jose Mauricio Santos. O MPLS em Redes de Computadores. 2006. Projeto
de
Redes.
Disponível
em:
artigos/artigo_mpls_em_redes.php>. Acessado em: 23/09/2006.
[8] MACEDO, Carlil Gibran Fonseca; BRAGA, Nilton C. N. da Costa; ALVES, Nilton. Tutorial: Redes ATM. I Workshop do Rio de Janeiro em Redes de Alta Velocidade. 1999. Servidor Mesonpi. Disponível em:
108
[9] SMETANA, George Marcel M. A.. Ipv4 e Ipv6. Escola Politécnica da Universidade de São Paulo e do Laboratório de Arquitetura e Redes de Computadores. Disponível em: < http://www.checchia.net/node/104>. Acessado em: 18/03/2006.
[10] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU – Brazilian
Open
University.
2004.
Disponível
em:
jornal/cabecalho_mono.cfm?target=monografias/VPN%20-%20Virtual%20Private% 20Network/vpn.htm>. Acessado em: 15/11/2006.
[11] CANEDO, Paulo Ricardo Lessa; ALMEIDA, Carlo Vinicius de Melo. Projeto, Suporte e Administração de Redes, UniFOA – Centro Universitário de Volta Redonda.
Disponível
em:
apostilas_rede.php>. Acessado em: 15/11/2006.
[12] RFC 791. Internet Protocol. Darpa Internet Program.Protcol Specification. September 1981. Disponível em:
[13]
studiodigitall.
TCP/IP
Control
Protocol/Internet
Protocol.
Disponível:
[14] CHIN, Liou Kuo. VPN - Virtual Private Network. Boletim bimestral sobre tecnologia de redes produzido e publicado pela RNP – Rede Nacional de Ensino e Pesquisa. 1998
v 2, no. 8. Disponível em:
vpn.html#ng-tipos>. Acessado em: 15/11/2006.
[15] ASSIS, João Mário de. Implementando VPN em Linux. Universidade Federal de Lavras. Minas Gerais. 2003. Disponível em:
109
[16] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU – Brazilian Open University. Angola. 2004. Disponível em:
Cisco
System.
Disponivel
em:
redacao/perfistecnologicos/conectividad.asp?Id=18>. Acessado em: 15/11/2006. [19] FILHO, Huber Bernal,
Asynchronous Transfer Mode (ATM), TELECO
Informações e telecomunicações. 2003. Disponível em:
Label
Switching
Architecture.
January
2001.
Disponível
em:
2004. Disponível em:
Monografia%20Luiz%20Henrique%20de%20abreu.pdf>. Acessado em: 08/11/2006. [24] ASSIS, Alexandre Urtado de; FERRAZ, Tatiana Lopes; ALBUQUERQUE, Marcelo Portes. Nota Técnica Protocolo MPLS, 2002. Servidor Mesonpi. Disponível em: < http://mesonpi.cat.cbpf.br/redes/mpls.pdf>. Acessado em: 10/11/2006.
110
[25] MESQUITA, Márcio Gurjão. Tutorial MPLS - Multi Protocol Label Switching. Universidade Estadual do Ceará. 2001.
Disponível em:
tutoriais/MPLS_MARCIO_TUTORIAL.PDF>. Acessado em: 10/11/2006. [26] TAFT, Bruno Prestes. MPLS - Multi Protocol Label Switching. GTA/URFJ Grupo de teleinformática e automação.
Disponível em:
04_2/MPLS>. Acessado em: 28/10/2006. [27] MIERCOM. Test/Analysis Tools, Package Speeds MPLS Diagnostics. November 2005. Disponível em: < http://www.miercom.com/?url=reports/&v=16>. Acessado em: 22/11/2006. [28] EMBRATEL. A maior rede corporativa IP VPN do país. Embratel vence leilão para
fornecer
serviços
ao
Banco
do
Brasil.
2004.
Disponível
em:
online,
Disponível
em:
index.asp?idPage=3&idPageSub=a5>. Acessado em: 22/11/2006. [30] TELEFONICA. VPN IP. 2004. Disponível em:
111
Related Documents
Estudo Comparativo Entre Vpn Ip E Vpn Ip Mpls
June 2020 1
Mpls10s07-mpls Vpn Technology
June 2020 2
Vpn
May 2020 24
Vpn
June 2020 16
Vpn
July 2020 14