SlideShare ist ein Scribd-Unternehmen logo

Introdução às VLANs e STP

Efraim Morais
Efraim Morais

TUDO SOBRE TCP/IP

Technologie
1 von 84
Downloaden Sie, um offline zu lesen
Introdução às Redes e Protocolos TCP/IP Sessão nº4 Jorge Gomes jorge@lip.pt
Virtual LANs
Virtual LAN (VLAN) • Tal como uma LAN uma VLAN pode ser definida como um domínio de broadcast: – Um pacote de broadcast chega a todas as estações da VLAN – Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN • VLANs permitem a separação das portas dos switches – Podem criar-se subconjuntos de portas que funcionam como uma LAN independente – Permite criar uma rede virtual dentro da rede física SWITCH SWITCH SWITCH VLAN 1 VLAN 2 VLAN 3
Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH C SWITCH A VLAN 2 VLAN 1 VLAN 2 SWITCH B VLAN 2 VLAN 3
Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH A SWITCH sem suporte p/ VLANs Todas as portas ficam na mesma VLAN VLAN 1 VLAN 2 SWITCH Z VLAN 2
Virtual LAN (VLAN) • As VLANs pode atravessar múltiplos switches SWITCH A VLAN Trunk Uma porta com múltiplas VLANs VLAN 1 SWITCH Y VLAN 2 VLAN 2 VLAN 1
Virtual LAN (VLAN) • Uma porta de switch ou uma interface de rede de uma maquina pode ser adicionada a uma VLAN de duas formas: – Untagged – Tagged
Virtual LAN (VLAN) • Untagged – A VLAN untagged é configurada na porta do switch – Do lado do computador não é necessário fazer NADA – Todo o tráfego enviado pela interface do computador para a porta do switch é automaticamente colocado na VLAN configurada – Só pode haver uma VLAN untagged por porta do switch – Uma interface de rede de um computador só pode pertencer a uma VLAN untagged – Sob o ponto de vista do computador nem se percebe que está ligado numa VLAN – É o switch que coloca todo o tráfego na VLAN configurada
Virtual LAN (VLAN) • Untagged – Uma porta está associada a uma única VLAN especifica – Não é preciso configurar nada do lado dos computadores – Os frames recebidos nas portas do switch são colocados na VLAN escolhida Interface vlan 21 Untagg GigabitEthernet 1 Untagg GigabitEthernet 2 Gi1 VLAN 21 Gi2
Virtual LAN (VLAN) • Tagged – A interface do computador e a porta do switch têem de ser ambas explicitamente configuradas – Com interfaces tagged uma interface pode pertencer a múltiplas VLANs – Cada interface adiciona informação ao header do frame Ethernet sobre a VLAN a que o frame pertence: • Tanto do lado do computador como do switch de rede • Requer frames Ethernet com suporte para VLANs – As interfaces recebem os frames e de acordo com a marca (TAG) e encaminham os frames no contexto da VLAN pretendida • Quando uma interface recebe um frame verifica se a marca (TAG) do frame corresponde a alguma das VLANs configuradas na porta • Caso não corresponda a interface deita o frame fora
Virtual LAN (VLAN) • Tagged – Uma porta pode estar associada a mais de uma VLAN – É preciso mapear as portas dos switches nas VLANs Interface vlan 21 tagg GigabitEthernet 28 Interface vlan 21 tagg GigabitEthernet 1 Interface vlan 57 tagg GigabitEthernet 28 Interface vlan 57 tagg GigabitEthernet 1 Gi28 Gi1 VLAN 57 VLAN 21 VLAN 57 VLAN 21
Virtual LAN (VLAN) • Tagged – Uma porta/interface pode estar associada a mais de uma VLAN – Do lado do computador é preciso configurar interfaces virtuais mapeadas nas VLANs – Para o sistema operativo do computador é como se a maquina tivesse múltiplas interfaces de rede Interface vlan 21 tagg GigabitEthernet 1 tagg GigabitEthernet 2 vconfig add eth0 21 vconfig add eth0 57 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 tagg GigabitEthernet 1 Gi1 VLAN 57 Gi2 VLAN 21 Interface eth0
Virtual LAN (VLAN) • Tagged e Untagged – Também é possível ter uma única default VLAN untagged e múltiplas VLANs tagged – Tráfego originário da estação que não tenha TAG é encaminhado para a VLAN default – Tráfego com TAG vai para a VLAN correspondente Interface vlan 21 tagg GigabitEthernet 1 vconfig add eth0 21 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 untagg GigabitEthernet Gi1 VLAN 57 VLAN 21 Interface eth0
Virtual LAN (VLAN) • Em RH configurar uma VLAN através dos ficheiros de configuração /etc/sysconfig/network-scripts/ifcfg-eth0.21 DEVICE=eth0.21 VLAN=yes ONBOOT=no BOOTPROTO=none TYPE=Ethernet IPADDR= 193.139.66.1 NETMASK=255.255.255.0
Virtual LAN (VLAN) • A introdução de tags implica novos campos nos frames Ethernet (cabeçalho 802.1q com 32bits): – – – – Tag protocol id = 0x8100 (16bits) para identificar um frame tagged Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring VLAN id = (12bits) para indicar a VLAN • Atenção ao VLAN identifier: – VLAN id 1 é frequentemente usada para a VLAN de gestão – VLAN id 0xFFF é reservada e não pode ser usada – VLAN id 0 significa que o frame não pertence a uma VLAN pode ser usado para ter CoS sem VLAN
Virtual LAN (VLAN) • O tamanho máximo de um frame Ethernet untagged são 1518 bytes excluindo: – Preambulo – Inicio de frame – Trailer • Para manter o MTU em 1500 bytes o tamanho máximo de um frame tagged é na maioria dos equipamentos 1522 bytes – 4 bytes de header 802.1q
VLAN in VLAN • Usado por fornecedores de serviço para encapsularem nas suas VLANs tráfego de clientes que possui tags 802.1q • Acrescenta mais um header de 32bits tipo 802.1q • A service provider tag pode variar: – 0x9100, 0x9200, 0x9300 – A norma 802.1ad especifica a service provider flag em 0x88a8
Virtual LAN (VLAN) Force10#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 Description REDE DE Gestao 45 * Status Active Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38
Virtual LAN (VLAN) Force10#sh running ! interface Vlan 43 description VLAN PARA A REDE IP 172.70.51.0 name VLAN DA TRETA ip address 172.70.51.254/24 untagged GigabitEthernet 5/8,20-22,40-43 ip helper-address 172.70.2.167 no shutdown !
Virtual LAN (VLAN) Cisco#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 Description REDE DE Gestao 45 * Status Active Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38
Virtual LAN (VLAN) cisco#sh vlan VLAN ---34 61 Name Status Ports -------------------------------- --------- ------------------------------ VLAN ---34 61 Type ----enet enet default MY VLAN SAID ---------100001 100005 active active MTU ----1500 1500 Parent ------ RingNo ------ Gi1/43, Gi1/14, Gi1/35, Gi1/26 BridgeNo -------- Stp ---- BrdgMode -------- Trans1 -----0 0 Trans2 -----0 0
Spanning Tree
Spanning Tree SWITCH A SWITCH B SWITCH C A B • STP - Spanning Tree Protocol (IEEE 802.1D): – evita loops na rede – permite criar ligações redundantes • Funcionamento: – usa apenas uma ligação e inibe as outras – se houver uma quebra da ligação activa usa uma ligação que estava inibida • Requer suporte de spanning-tree em todos os dispositivos – switches e bridges
Spanning Tree • O STP foi inventado pela digital (DEC) • Mais tarde foi criado um standard pela IEEE • Existem diferenças entre as duas implementações – Não são compativeis – Alguns equipamentos possuem ambas as implementações • Mesmo com equipamentos que obedecem a uma mesma especificação: – Por vezes surgem problemas – Especialmente devido a parametrizações diferentes (timers etc)
Spanning Tree • Cada bridge possui um identificador (bridge-id) de 8 bytes: – 2 primeiros bytes são uma prioridade – 6 últimos bytes são obtidos de um MAC address • De entre todas as bridges a que tiver menor bridge-id é eleita ROOT BRIDGE • O algoritmo calcula: – O caminho com menor custo de todos os segmentos de rede até à root bridge – Em situações em que existe mais de um caminho possível é escolhido o caminho através da bridge com menor bridge-id – O custo de cada interface depende da sua velocidade – Os custos podem ser configurados manualmente para mudar a topologia
Spanning Tree • As bridges trocam entre si mensagens: – Bridge Protocol Data Units (BPDUs) – Para conhecer os bridge-ids – Para conhecer os root path costs • Os BPDUs: – Funcionam em Layer 2 – Endereço de origem é o endereço Ethernet da porta que transmite – Endereço de destino é o grupo de multicast 01:80:C2:00:00:00 • Tipos de BPDUs: – Configuration BPDUs (CBPDUs) usados para calculo da arvore – Topology Change Notification (TCN BPDU) para anuncio da alterações na topologia de rede – Topology Change Notification Acknowledgment (TCA)
Spanning Tree • Os BPDUs são trocados constantemente para detecção de alterações de topologia • Os TCN BPDUs são usados para notificar da alteração de estado de portas das bridges • Quando um switch arranca espera durante 30s – – – – – Para aprender a topologia através dos BPDUs recebidos Para aprender endereços Para verifica se pode causar um loop Se puder ser causa de loop bloqueia as portas necessárias Só então começa a fazer forwarding de pacotes
Spanning Tree Protocol STP baseia-se em grafos RP: root port DP: designated port BP: blocked port
Spanning Tree • Custos para cada tipo de interface: Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001) 4 Mbit/s 250 5,000,000 10 Mbit/s 100 2,000,000 16 Mbit/s 62 1,250,000 100 Mbit/s 19 200,000 1 Gbit/s 4 20,000 2 Gbit/s 3 10,000 10 Gbit/s 2 2,000
Spanning Tree • RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w) – STP com convergência mais rápida (6s em vez de 30-50s) – Refinamento do STP, é a referência actual • MSTP – Multiple Spanning Tree Protocol – IEEE802.1s e IEEE802.1Q – Extensão do RSTP para suportar VLANs (uma Tree por VLAN) • PVST e PVST+ – Per VLAN Spanning Tree – STP por VLAN – Protocolo proprietário da CISCO • R-PVST – Rapid Per VLAN Spanning Tree – Versão Rapid Spanning Tree do PVST proprietária da CISCO
Routers e Switches
Routers e Switches • Switch L2 – Encaminha frames de baixo nível (nível 2) • Ethernet, FDDI, ATM, etc … – Não sabe o que é um protocolo L3 como o TCP/IP – Não consegue encaminhar frames para fora de um domínio de broadcast • Router ou um Switch L3 – Encaminha pacotes de alto nível (nível 3) • TCP/IP, Netbios, IPX, DECnet , etc … – Interpreta a informação L3 contida no payload dos frames – Pode ser usado para interligar: • Domínios de broadcast • Diferentes tipos de redes físicas • Virtual LANs
Routers e Switches • • • As LANs azul e cinzenta são domínios de broadcast diferentes Um único frame Ethernet não pode percorrer o trajecto de A para Z O pacote TCP/IP tem de ser enviado – – – LAN – Azul Z Dentro de um frame Ethernet de A para o endereço Ethernet do router cinzento Dentro de células ATM do router cinzento com destino ao azul Dentro de um frame Ethernet do router azul para o endereço Ethernet de Z LAN – Cinzenta Rede ATM Router Cinzento Pacote TCP/IP para Z B Router azul A Switch L2
Routers e Switches LIP Coimbra Switch L2/L3 Force10 LAN RCTS Internet FCCN Switch L3 Switch L2/L3 Force10 FCCN Nuvem L2 Ethernet LAN • • • • Uma nuvem L2 Ethernet fornecida pela FCCN interliga os 3 locais Os equipamentos L2 da FCCN só vêem os frames Ethernet Dentro dos frames vão pacotes TCP/IP (L3) Os switches/routers do LIP processam a informação L3 LIP Lisboa Router L3 CISCO DMZ Nó Central LNEC Switch L2/L3 Force10 LAN
Shaping, Policing e Qualidade de Serviço em Layer 2
Shaping e Policing • Por vezes é necessário limitar a largura de banda de uma interface de rede ou de um tipo de tráfego: – Alocação de largura de banda a determinados tipos de tráfego – Diminuir a probabilidade de perda de pacotes – Forçar a utilização a um limite acordado A C B 10Mbps 1Mbps D 7Mbps Pode fazer sentido limitar a 1Mbps para tudo o que vai para além de B • Shaping: – Introduzir intervalos entre a transmissão de pacotes de forma a limitar a largura de banda – Usa-se apenas à saída de uma interface • Policing: – Limitar o tráfego deitando fora todos os pacotes acima de uma largura de banda predeterminada – Pode usar-se à saída ou à entrada de uma interface
Shaping e Policing • Shaping – Existem diversos algoritmos e métodos de shaping: – Token Bucket – Leaky Bucket – Controlo artificial to TCP manipulando as janelas e os ACKs – Pode obrigar à perda de pacotes quando o buffer ou fila de transmissão está cheia – Quando se deita fora os pacotes da cauda funciona como policing – É preferível usar algoritmos mais “inteligentes” para deitar alguns pacotes fora e evitar que a fila encha (drop mais esparso) – Algoritmos de congestion avoidance: – Random Early Detect (RED) – Weigthed Random Early Detect (WRED) – Ao longo de um caminho o shaping deve ser feito o mais cedo possível – Um bom shaping requer: – Mais “inteligência” nos dispositivos de rede – Sobretudo um grande buffer de acordo com a capacidade da interface – Não existe em todos os dispositivos de redes
Shaping e Policing • Policing – Como o tráfego que ultrapassa o limite é deitado fora as perdas podem ser extremamente concentradas no tempo – Caso os protocolos não reajam bem à perda de pacotes – Falta de mecanismos de feedback e ajuste – Pode causar disrupção como se houvesse períodos de falta de conectividade – O impacto da perda é mais acentuado do que no shaping – Como não existe buffering é mais simples de implementar – Como não requer algoritmos sofisticados é mais simples de implementar
Shaping e Policing
Shaping e Policing • Todas os protocolos bem concebidos devem possuir mecanismos de adaptação à perda de pacotes: – – – – Retransmissão Feedback  notificação de que os pacotes não chegaram Auto adaptação à perda de pacotes  envio a um ritmo menor Em tráfego de tempo real como voz e vídeo idealmente a qualidade deve ser adaptada dinamicamente à largura de banda disponível • Se o mecanismo não existir no protocolo usado então deve ser implementado ao nível da aplicação: – Ao nível da aplicação pode efectuar-se uma adaptação mais inteligente – Por ex: um sistema de monitorização pode enviar a informação mais espaçada ou dar prioridade a alguma informação em detrimento de outra
Shaping e Policing • Efectuar shaping numa interface de um Force10 para todo o tráfego à saida – Fazer o shapping a 600Mbps com burst de 20KBytes Force10#config Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate shape 600 20 Force10(conf-if)#end Force10 #
Shaping e Policing • Efectuar policing numa interface de um Force10 para todo o tráfego à entrada – Largura de banda garantida 80Mbps com burst de 50KBytes – Pico 90Mbps com burst de 60KBytes Force10#config t Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate police 80 50 peak 90 60 Force10(conf-if)#end Force10#
Shaping e Policing e Classificação • Métodos mais sofisticados incluem a classificação do tráfego de acordo com as suas características: – Origem, destino, protocolo, etc • Cada classe de tráfego pode então ser tratada de forma diferenciada: – Limites de utilização diferentes – Shaping ou policing – Algoritmos de drop diferentes etc • A classificação é muito importante para privilegiar o tráfego interactivo ou de tempo real sobre outros tipos de tráfego
Quality of Service • Quality of Service (QoS) em redes de dados é a capacidade de tratamento diferenciado para: – Determinados tipos de tráfego – Determinados fluxos de tráfego • Objectivo garantir níveis de desempenho diferenciados de acordo com as necessidades • A qualidade de serviço é importante: – Quando a largura de banda total é insuficiente para as necessidades – Quando algum tráfego é mais importante ou necessita de largura de banda ou atraso mínimos garantidos – Exemplos: voz e dados numa mesma rede
Quality of Service • Existem diversos factores que podem afectar a qualidade de um serviço de rede: – – – – – – Largura de banda Perda de pacotes Atraso Variações no atraso (jitter) Entrega fora de sequencia Erros • Exemplos de aplicações que necessitam/beneficiam de QoS: – – – – Aplicações interactivas que requerem resposta em tempo real (cirurgia remota) Voice Over IP (VOIP) Videoconferência Protocolos de controle da própria rede • O problema surge quando se mistura numa mesma rede tráfego com requisitos de qualidade de serviço com tráfego de dados geral
Quality of Service • A maior parte das redes incluindo a Internet funcionam como serviços best-effort: – Não há qualquer garantia de serviço – Não há tratamento diferenciado • A implementação de mecanismos de qualidade de serviço é extremamente complexa: – A qualidade de serviço para funcionar tem de ser respeitada por todos os equipamentos ao longo de todo o caminho – Requer processamento adicional – A maioria dos equipamentos está concebia para efectuar encaminhamento rápido indiferenciado • Frequentemente é preferível resolver os problemas aumentando a largura de banda !
Ethernet QoS • IEEE 802.1p ou Class of Service (CoS) • Define um campo de 3 bits – Usado para implementar prioritização – Presente nos frames 802.1q usados nas VLANs com tagging • O campo define 8 classes de serviço: – – – – – – – – 0 best effort 1 background 2 spare 3 excellent effort 4 controlled load 5 video 6 voice 7 network control
Ethernet QoS Force10 • Por exemplo num Force10 C300 as 8 prioridades são mapeadas em 4 filas: – – – – dot1p dot1p dot1p dot1p 0, 1  fila 1 2, 3  fila 0 4, 5  fila 2 6, 7  fila 3  13.3%  6.6%  26.6%  53.3% • O tráfego de entrada de uma interface pode ser classificado numa prioridade Force10# config Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# switchport Force10(conf-if)# description IP-TELEPHONES Force10(conf-if)# dot1p-priority 6 Force10(conf-if)# end
Ethernet QoS Force10 • Pode configurar-se as interfaces para respeitar a marcação dos pacotes que entram no switch • Por defeito na maioria dos switches (Force10 incluído) as marcações dot1p não são respeitadas Force10# config t Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-class dynamic dot1p Force10(conf-if)# end
Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos • Mudando os valores default que são aplicáveis a todas as interfaces Force10# config t Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32 queue2 64 queue3 128
Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos Force10(conf)# qos-policy-output DATA Force10(conf-qos-policy-out)# bandwidth-weight 8 Force10(conf)# qos-policy-output IMPORTANT Force10(conf-qos-policy-out)# bandwidth-weight 64 Force10(conf-qos-policy-out)# Force10(conf)# policy-map-output MY-OUT-POLICY Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT Force10(conf-policy-map-out)# Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-policy output MY-OUT-POLICY Force10(conf-if)# end
Wi-Fi
Wi-Fi • Tecnologia Wireless Local Area Network IEEE 802.11 – Comunicação sem fios através de radiofrequências • Algumas das normas IEEE 802.11: – – – – 802.11a 802.11b 802.11g 802.11n 54Mbps 11Mbps 54Mbps 600Mbps 23Mbps 4.3Mbps 19Mbps 30/130Mbps 5GHz 2.4GHz 2.4GHz 2.4GHz/5GHz • Usa espectro de rádio aberto não requer licenciamento – Dependendo da norma pode usar 2.4GHz ou 5GHz • As bandas são dividida em canais – A regulação da utilização do espectro de radiofrequências difere de país para país – O numero de canais varia de acordo
Wi-Fi Frequências • 2.4GHz – Outros dispositivos podem interferir: telefones sem fios, bluetooth , monitores dos bebés, etc – A banda de 2.4GHz está muito saturada – Espaçamento entre canais é de 5MHz – Na Europa a banda é dividida em 13 – Nos EUA são 11 canais e no Japão são 14 canais – Existe sobreposição de canais • 5GHz – O alcance é menor – Sinais mais absorvidos por paredes e objectos sólidos – A utilização de antenas com maior ganho pode compensar o menor alcance – Espaçamento mínimo entre canais é de 20MHz – Na Europa a banda é dividida em 19 canais – EUA 20 canais, Japão 23 canais, China 5 canais etc
Wi-Fi Normas e Frequências • Normas (b, g) a 2.4GHz: – Espaçamento entre canais 5MHz – Largura de cada canal 20MHz – Canais 1, 6, 11 não são sobrepostos • Norma (n) a 2.4GHz: – – – – Espaçamento entre canais 5MHz Largura de cada canal 20MHz ou 40MHz A 22MHz canais 1, 6, 11 não são sobrepostos A 40MHz canais 1, 11 não são sobrepostos
Wi-Fi Normas e Frequências • Norma (a) a 5GHz: – Espaçamento mínimo entre canais 20MHz – Largura de cada canal 20MHz – 20 canais • Norma (n) a 5GHz: – – – – Espaçamento mínimo entre canais 20MHz Largura de cada canal 20MHz ou 40MHz 20 canais A 40MHz há sobreposição com o canal adjacente (10 canais)
Wi-Fi Normas e Frequências • Norma a – 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 35m – 120m • Norma b – 1, 2, 5.5, 11 Mbps – 38m – 140m • Norma g – 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 38m – 140m • Norma n – 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps – 15, 30, 45, 60, 90, 120, 135, 150 Mbps – 70m – 250m a 20MHz de largura a 40MHz de largura
Wi-Fi mais normas • As normas de regulação do espectro de radiofrequências variam: – O numero de canais por banda 2.4GHz ou 5GHz varia – 5.47GHz a 5.725 GHz  (802.11h) • Resolver problemas de interferência com comunicações via satélite e sistemas de radar • Introduz a alocação dinâmica de frequências (DFS) • Introduz o controlo dinâmico da potencia de transmissão (TPC) • A banda 5.47GHz a 5.725GHz não está autorizada em todos os países – 3.6GHz  (802.11y) • Banda para transmissão c/ elevada potencia usada com o 802.11a • Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais • Autorizado apenas nos EUA
Wi-Fi modos de funcionamento • Dois modos de funcionamento • Infrastructure – – – – – Baseia-se em access-points (AP) Centraliza o controlo de acesso nos AP Centraliza todas as comunicações wireless nos AP Podem existir múltiplos AP numa mesma rede Wireless Os AP ficam interligados por uma rede wired Ethernet • ad-hoc – Comunicação directa (peer-to-peer) entre dispositivos wireless – Não necessita de um access point
Rede Wi-Fi tipo ad-hoc
Rede Wi-Fi tipo infrastructure Ethernet LAN Ethernet Access Point (AP) Access Point (AP) Bridge
Rede Wi-Fi tipo infrastructure Router + Firewall Internet Ethernet LAN Access Point (AP) Bridge ou Router
Rede Wi-Fi c/ Firewall Router + Firewall Ethernet LAN Internet Firewall Ethernet LAN DMZ Access Point (AP) Filtrar o tráfego com origem nos portáteis e destinado à LAN Access Point (AP) Bridge Permite usar o mesmo endereço IP nos portáteis independentemente do AP
AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena
AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena
Wi-Fi • SSID – Service Set Identifier – Identifica o nome da rede Wireless – Numa mesma rede tipo infrastructure múltiplos APs podem partilhar o mesmo SSID – Case sensitive, pode ter um máximo de 32 caracteres – O SSID pode ser anunciado periodicamente ou não • SSID broadcast • Rede visível • BSSID – Basic Service Set Identifier – Em modo infrastructure é o MAC address da interface wireless de cada um dos access points – Em modo ad-hoc é um endereço MAC gerado aleatoriamente pelo primeiro dispositivo a “ligar-se” à rede ad-hoc • Individual/Group bit 0 • Universal/Local bit 1
Wi-Fi • Modo Infrastructure – Todos os dispositivos precisam de usar o mesmo SSID • Identifica a rede Wireless – Todos os dispositivos associados ao mesmo AP precisam de • Usar o mesmo BSSID do AP • Usar o mesmo canal do AP • Modo Ad-hoc – Todos os dispositivos precisam de usar o mesmo SSID – Todos os dispositivos precisam de usar o mesmo BSSID – Todos os dispositivos precisam de usar o mesmo canal
Rede Wi-Fi tipo infrastructure Ethernet LAN SSID Access Point (AP) BSSID Canal 1 Access Point (AP) BSSID Canal 11
Wi-Fi Transmissão • Funcionamento em half-duplex – Ou transmite ou recebe • As redes wireless são meios partilhados – Como as redes Ethernet antigas • Protocolo de transmissão tipo CSMA/CA: – Carrier Sense Multiple Access with Collision Avoidance – Similar ao CSMA/CD das redes Ethernet – O protocolo minimiza a possibilidade de colisões: • • • • • • Espera que não haja transmissões a decorrer Lança intervalo de espera aleatório Transmite O transmissor espera um ACK do receptor O receptor verifica o CRC do frame recebido O receptor envia ACK se CRC ok – A perda de desempenho pela espera é compensada pela menor ocorrência de colisões
Wi-Fi Frames To AP From AP Fragment Retrans A frame Is available Strict ordering
Wi-Fi Frames PLCP header
Wi-Fi Frame • Existem 4 campos de endereço • O significado depende do valor dos campos – To DS (to distribution system) – From DS (from distribution system) • Addrs: – Addr1 – Addr2 – Addr3 – Addr4 receptor imediato emissor BSSID de uma rede ad-hoc (ToDS 0 FromDS 0) emissor original (ToDS 0 FromDS 1) destino final (ToDS 1 FromDS 0) apenas usado em relay de frames entre APs
Wi-Fi Frames • Tipos de MAC frames 802.11 – Control frames • RTS (request to send) • CTS (clear to send) • ACK (acknowledge) Uso facultativo Obrigatório em APs com mais de um modo Diminui o desempenho – Management Frames • • • • • • • Beacon Probe req, Probe resp Assoc req, Assoc resp Reassoc req, Reassoc resp Disassociation Authentication Deauthentication – Data Frames Scan passivo Scan activo Associação Só usado em redes tipo infrastructure Equivalente a ligar o cabo à ficha
Wi-Fi RTS/CTS • Porquê usar o RTS/CTS ? • O protocolo CSMA requer que uma estação antes de transmitir seja capaz de escutar o meio: – Se as estações estiverem muito afastadas isto pode não ser possível aumentando a probabilidade de colisões – Numa rede com APs a suportar por ex. as normas b e g as estações com norma b não conseguem escutar as transmissões na norma g (modulações diferentes CCK e OFDM) B B não ouve G B AP B B CCK G não ouve B AP B/G OFDM G porque B e G usam modulações diferentes
Fragmentação • Existe um mecanismo de fragmentação: – O Bit error rate pode ser elevado logo faz sentido enviar frames mais pequenos – Por outro lado faz sentido suportar frames de 1500 bytes tal como na Ethernet – A solução é a fragmentação
Wi-Fi Inicio de comunicação • Rede tipo infra-estrutura • Exemplo de estabelecimento de comunicação entre uma estação e um AP
Wi-Fi Overheads • Os desempenhos anunciados nas normas são raw • Na pratica os desempenhos na transmissão de dados são muito menores • O gráfico mostra os overheads com preambulo longo • O uso de preâmbulos curtos melhoram ligeiramente o desempenho
Inter Frame Spaces (Intervals)
Wi-Fi • Transmissão de um frame • Se o tamanho dos dados ultrapassar o limiar de fragmentação (threshold) é necessário transmitir mais de um frame • Se o protocolo RTS/CTS for usado a troca de frames aumenta
Wi-Fi WEP • Tipos de rede em termos de segurança: – Open • Estação envia um frame de autenticação • AP responde com frame de autenticação – Shared-key (WEP – Wired Equivalent Privacy) • • • • • • Método de encriptação inseguro (RC4 c/ chaves de 40bits) Chave comum entre todas as estações e o AP Estação envia de um frame de autenticação AP responde com frame de autenticação com desafio (texto) Estação encripta o texto de desafio com a chave AP verifica que o texto encriptado corresponde ao desafio e responde com frame de autenticação com status de sucesso – WPA / WPA2 (802.11i) • Usam o protocolo 802.1x para autenticação
Wi-Fi WAP • WPA - Wi-Fi Protected Access (draft standard) • Solução interina para substituição do WEP que é inseguro: – Usa o protocolo TKIP (Temporal Key Integrity Protocol) – Compromisso entre segurança e a possibilidade de usar o hardware que então existia – Usa RC4 como o WEP mas as chaves mudam a cada pacote transmitido, implementa protecção contra repetição de pacotes e verificação da integridade das mensagens • Dois modos possíveis WPA-enterprise e WPA-personal • WPA- enterprise – Autenticação através de um servidor de autenticação RADIUS e EAP – Muito à semelhança do WPA2 – Maior granularidade com controlo de acesso por utilizador • WPA-personal – Usa chaves partilhadas pré-definidas  pre-shared-keys (PSK) – Não requer servidor RADIUS e é menos complexo – As chaves são partilhas por todos os utilizadores
Wi-Fi WPA • Autenticador – Access Point Wireless • Suplicante – Estação (o vosso portátil) • Servidor de autenticação – RADIUS • O método para gerar e distribuir as chaves de acesso ao autenticador e suplicante e igual entre: – WPA personal – WPA enterprise • Apenas o método de geração das chaves mestras para cada sessão muda. – Porque existe o servidor Radius no meio
Wi-Fi WPA2 • O WPA2 (802.11i) é o sucessor do WPA: – Algoritmo de encriptação mais robust AES em vez de TKIP – Incorpora optimizações diversas – O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é usado para distribuir chaves entre o suplicante e o autenticador • Fortemente baseado no 802.1X que permite autenticação da ligação de estações a uma porta numa LAN: – A ligação a uma porta em 802.1X corresponde à associação ao AP – Uma vez associada a um AP todo o tráfego não 802.1X proveniente da estação é eliminado – Após autenticação 802.1X bem sucedida todo o tráfego pode passar • EAP permite múltiplos tipos de autenticação: – – – – – EAP-TLS EAP-LEAP EAP-PEAP EAP-MD5 EAP-TTLS usa certificados de utilizador para autenticação CISCO usa passwords usa passwords através de túnel via MSCHAPv2 RFC3748 passwords com encriptação MD5 Envio das passwords através de um túnel TLS
Wi-Fi WPA2 • 802.1x • Comunicação segura • Entre a estação e o servidor RADIUS através do AP • Usando certificados • O servidor Radius possui um certificado

Empfohlen

Ccnafinalexamptbr
CcnafinalexamptbrCcnafinalexamptbr
CcnafinalexamptbrLuiz Souza
 
Clp varios modelos
Clp varios modelosClp varios modelos
Clp varios modelosdetectfelix
 
Cap4
Cap4Cap4
Cap4MobratuTure
 
Ccna final 4_atualizado
Ccna final 4_atualizadoCcna final 4_atualizado
Ccna final 4_atualizadoDenis Azevedo
 
2 manual - clp pic40-v3
2 manual - clp pic40-v32 manual - clp pic40-v3
2 manual - clp pic40-v3Vilson Braga Modesto
 
CURSO RÁDIO MODEM RM2060
CURSO RÁDIO MODEM RM2060CURSO RÁDIO MODEM RM2060
CURSO RÁDIO MODEM RM2060Alfacomp Automação Industrial Ltda.
 
Curso de utilização do rádio modem RM2060
Curso de utilização do rádio modem RM2060Curso de utilização do rádio modem RM2060
Curso de utilização do rádio modem RM2060Alfacomp Automação Industrial Ltda.
 
Bloqueando comunicacao entre clientes
Bloqueando comunicacao entre clientesBloqueando comunicacao entre clientes
Bloqueando comunicacao entre clientesLuiz Gomes
 

Empfohlen

Ccnafinalexamptbr
CcnafinalexamptbrCcnafinalexamptbr
CcnafinalexamptbrLuiz Souza
 
Clp varios modelos
Clp varios modelosClp varios modelos
Clp varios modelosdetectfelix
 
Cap4
Cap4Cap4
Cap4MobratuTure
 
Ccna final 4_atualizado
Ccna final 4_atualizadoCcna final 4_atualizado
Ccna final 4_atualizadoDenis Azevedo
 
2 manual - clp pic40-v3
2 manual - clp pic40-v32 manual - clp pic40-v3
2 manual - clp pic40-v3Vilson Braga Modesto
 
CURSO RÁDIO MODEM RM2060
CURSO RÁDIO MODEM RM2060CURSO RÁDIO MODEM RM2060
CURSO RÁDIO MODEM RM2060Alfacomp Automação Industrial Ltda.
 
Curso de utilização do rádio modem RM2060
Curso de utilização do rádio modem RM2060Curso de utilização do rádio modem RM2060
Curso de utilização do rádio modem RM2060Alfacomp Automação Industrial Ltda.
 
Bloqueando comunicacao entre clientes
Bloqueando comunicacao entre clientesBloqueando comunicacao entre clientes
Bloqueando comunicacao entre clientesLuiz Gomes
 
Uart[3]
Uart[3]Uart[3]
Uart[3]guest6b5829
 
Prova final 1
Prova final 1Prova final 1
Prova final 1Leandro Uglar
 
Endereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadoresEndereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadoresJorge Muchacuar
 
LEON3 e KIT ALTERA.
LEON3 e KIT ALTERA.LEON3 e KIT ALTERA.
LEON3 e KIT ALTERA.Marcos Antonio Vieira da Silva
 
Cascateamento de switch
Cascateamento de switchCascateamento de switch
Cascateamento de switchCarlos Veiga
 
CompactLogix
CompactLogixCompactLogix
CompactLogixADELSON PIMENTEL
 
Lab
LabLab
Labpakavira
 
Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERHelio Loureiro
 
Rede profibus
Rede profibusRede profibus
Rede profibusGerson Roberto da Silva
 
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKSWebinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKSEmbarcados
 
245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2Moacir De Caldas Mendes
 
126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01Moacir De Caldas Mendes
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2guest6a825195
 
Zilog
ZilogZilog
ZilogLíus Fontenelle Carneiro
 
Gestão do Projeto
Gestão do ProjetoGestão do Projeto
Gestão do ProjetoSgtmuniz15
 
R&C 0501 07 1
R&C 0501 07 1R&C 0501 07 1
R&C 0501 07 1guest6a825195
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - IIIMarcelo Barros de Almeida
 
ARM
ARMARM
ARMLíus Fontenelle Carneiro
 
Criando sub redes
Criando sub redesCriando sub redes
Criando sub redesPaulo Damas
 
Redes - IPv6 Pratica
Redes - IPv6 PraticaRedes - IPv6 Pratica
Redes - IPv6 PraticaLuiz Arthur
 
3. apostila sub-redes
3. apostila sub-redes3. apostila sub-redes
3. apostila sub-redesClebio Salarolli
 

Weitere ähnliche Inhalte

Was ist angesagt?

Endereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadoresEndereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadoresJorge Muchacuar
 
Cascateamento de switch
Cascateamento de switchCascateamento de switch
Cascateamento de switchCarlos Veiga
 
Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERHelio Loureiro
 
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKSWebinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKSEmbarcados
 
245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2Moacir De Caldas Mendes
 
126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01Moacir De Caldas Mendes
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Gestão do Projeto
Gestão do ProjetoGestão do Projeto
Gestão do ProjetoSgtmuniz15
 

Was ist angesagt? (19)

Uart[3]
Uart[3]Uart[3]
Uart[3]
 
Prova final 1
Prova final 1Prova final 1
Prova final 1
 
Endereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadoresEndereçamento IP_ montagem redes de computadores
Endereçamento IP_ montagem redes de computadores
 
LEON3 e KIT ALTERA.
LEON3 e KIT ALTERA.LEON3 e KIT ALTERA.
LEON3 e KIT ALTERA.
 
Cascateamento de switch
Cascateamento de switchCascateamento de switch
Cascateamento de switch
 
CompactLogix
CompactLogixCompactLogix
CompactLogix
 
Lab
LabLab
Lab
 
Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTER
 
Rede profibus
Rede profibusRede profibus
Rede profibus
 
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKSWebinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
Webinar: Unboxing e review do kit de avaliação LoRa: Semtech LR1110DVK1TxKS
 
245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2245837793 apostila-101-curso-basico-datacom-versao-2006-2
245837793 apostila-101-curso-basico-datacom-versao-2006-2
 
126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01126652786 procedimento-gerencia-cpu32-rev01
126652786 procedimento-gerencia-cpu32-rev01
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e Scripts
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2
 
Zilog
ZilogZilog
Zilog
 
Gestão do Projeto
Gestão do ProjetoGestão do Projeto
Gestão do Projeto
 
R&C 0501 07 1
R&C 0501 07 1R&C 0501 07 1
R&C 0501 07 1
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - III
 
ARM
ARMARM
ARM
 

Andere mochten auch

Criando sub redes
Criando sub redesCriando sub redes
Criando sub redesPaulo Damas
 
Redes - IPv6 Pratica
Redes - IPv6 PraticaRedes - IPv6 Pratica
Redes - IPv6 PraticaLuiz Arthur
 
Endereços IP
Endereços IPEndereços IP
Endereços IPIvo Cuco
 
Minicurso "Jogos Multiplataforma com Javascript"
Minicurso "Jogos Multiplataforma com Javascript"Minicurso "Jogos Multiplataforma com Javascript"
Minicurso "Jogos Multiplataforma com Javascript"Felipe Pedroso
 
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IPRedes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IPCleber Fonseca
 
Modelo OSI - Camada de Rede
Modelo OSI - Camada de RedeModelo OSI - Camada de Rede
Modelo OSI - Camada de RedeWalyson Vëras
 

Andere mochten auch (8)

Criando sub redes
Criando sub redesCriando sub redes
Criando sub redes
 
Redes - IPv6 Pratica
Redes - IPv6 PraticaRedes - IPv6 Pratica
Redes - IPv6 Pratica
 
3. apostila sub-redes
3. apostila sub-redes3. apostila sub-redes
3. apostila sub-redes
 
Endereços IP
Endereços IPEndereços IP
Endereços IP
 
Minicurso "Jogos Multiplataforma com Javascript"
Minicurso "Jogos Multiplataforma com Javascript"Minicurso "Jogos Multiplataforma com Javascript"
Minicurso "Jogos Multiplataforma com Javascript"
 
obtenção de sinais discretos
obtenção de sinais discretosobtenção de sinais discretos
obtenção de sinais discretos
 
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IPRedes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
 
Modelo OSI - Camada de Rede
Modelo OSI - Camada de RedeModelo OSI - Camada de Rede
Modelo OSI - Camada de Rede
 

Ähnlich wie Introdução às VLANs e STP

Criando redes locais virtuais debian
Criando redes locais virtuais debianCriando redes locais virtuais debian
Criando redes locais virtuais debianCarlos Melo
 
VLAN - Conceitos Básicos
VLAN - Conceitos BásicosVLAN - Conceitos Básicos
VLAN - Conceitos BásicosAnderson Zardo
 
Equipamentos ativos de rede trabalho
Equipamentos ativos de rede trabalhoEquipamentos ativos de rede trabalho
Equipamentos ativos de rede trabalhoGustavo Fernandes
 
Prova roteamentoavancado-30102011
Prova roteamentoavancado-30102011Prova roteamentoavancado-30102011
Prova roteamentoavancado-30102011Carlos Melo
 
Projeto final módulo 4
Projeto final módulo 4Projeto final módulo 4
Projeto final módulo 4y3vg3n
 
Redes I - 6.Interconexão de LANs
Redes I - 6.Interconexão de LANsRedes I - 6.Interconexão de LANs
Redes I - 6.Interconexão de LANsMauro Tapajós
 
gk_2021_01_Aula07-twi.pdf
gk_2021_01_Aula07-twi.pdfgk_2021_01_Aula07-twi.pdf
gk_2021_01_Aula07-twi.pdfMicaelMarques13
 
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Saom Tecnologia
 
Projeto final m_243_dulo_4
Projeto final m_243_dulo_4Projeto final m_243_dulo_4
Projeto final m_243_dulo_4y3vg3n
 
Protocolos de comunicação
Protocolos de comunicaçãoProtocolos de comunicação
Protocolos de comunicaçãoLetícia Castro
 
R&c 05 14_1 - Protocolo IP (Parte 1)
R&c 05 14_1 - Protocolo IP (Parte 1)R&c 05 14_1 - Protocolo IP (Parte 1)
R&c 05 14_1 - Protocolo IP (Parte 1)Mariana Hiyori
 

Ähnlich wie Introdução às VLANs e STP (20)

CON08 - VLAN.pdf
CON08 - VLAN.pdfCON08 - VLAN.pdf
CON08 - VLAN.pdf
 
Criando redes locais virtuais debian
Criando redes locais virtuais debianCriando redes locais virtuais debian
Criando redes locais virtuais debian
 
Camada de enlace parte2
Camada de enlace parte2Camada de enlace parte2
Camada de enlace parte2
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNA
 
VLAN - Conceitos Básicos
VLAN - Conceitos BásicosVLAN - Conceitos Básicos
VLAN - Conceitos Básicos
 
Equipamentos ativos de rede trabalho
Equipamentos ativos de rede trabalhoEquipamentos ativos de rede trabalho
Equipamentos ativos de rede trabalho
 
R&C 0502 07 2
R&C 0502 07 2R&C 0502 07 2
R&C 0502 07 2
 
Prova roteamentoavancado-30102011
Prova roteamentoavancado-30102011Prova roteamentoavancado-30102011
Prova roteamentoavancado-30102011
 
Manual do Conversor Serial Ethernet CS-Ethernet
Manual do Conversor Serial Ethernet CS-EthernetManual do Conversor Serial Ethernet CS-Ethernet
Manual do Conversor Serial Ethernet CS-Ethernet
 
Curso redes seed
Curso redes seedCurso redes seed
Curso redes seed
 
Basico de protocolos
Basico de protocolosBasico de protocolos
Basico de protocolos
 
Projeto final módulo 4
Projeto final módulo 4Projeto final módulo 4
Projeto final módulo 4
 
Camada de rede parte1
Camada de rede parte1Camada de rede parte1
Camada de rede parte1
 
Redes I - 6.Interconexão de LANs
Redes I - 6.Interconexão de LANsRedes I - 6.Interconexão de LANs
Redes I - 6.Interconexão de LANs
 
gk_2021_01_Aula07-twi.pdf
gk_2021_01_Aula07-twi.pdfgk_2021_01_Aula07-twi.pdf
gk_2021_01_Aula07-twi.pdf
 
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
 
Cap6 smds
Cap6 smdsCap6 smds
Cap6 smds
 
Projeto final m_243_dulo_4
Projeto final m_243_dulo_4Projeto final m_243_dulo_4
Projeto final m_243_dulo_4
 
Protocolos de comunicação
Protocolos de comunicaçãoProtocolos de comunicação
Protocolos de comunicação
 
R&c 05 14_1 - Protocolo IP (Parte 1)
R&c 05 14_1 - Protocolo IP (Parte 1)R&c 05 14_1 - Protocolo IP (Parte 1)
R&c 05 14_1 - Protocolo IP (Parte 1)
 

Introdução às VLANs e STP

  • 1. Introdução às Redes e Protocolos TCP/IP Sessão nº4 Jorge Gomes jorge@lip.pt
  • 3. Virtual LAN (VLAN) • Tal como uma LAN uma VLAN pode ser definida como um domínio de broadcast: – Um pacote de broadcast chega a todas as estações da VLAN – Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN • VLANs permitem a separação das portas dos switches – Podem criar-se subconjuntos de portas que funcionam como uma LAN independente – Permite criar uma rede virtual dentro da rede física SWITCH SWITCH SWITCH VLAN 1 VLAN 2 VLAN 3
  • 4. Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH C SWITCH A VLAN 2 VLAN 1 VLAN 2 SWITCH B VLAN 2 VLAN 3
  • 5. Virtual LAN (VLAN) • Uma VLAN pode atravessar múltiplos switches SWITCH A SWITCH sem suporte p/ VLANs Todas as portas ficam na mesma VLAN VLAN 1 VLAN 2 SWITCH Z VLAN 2
  • 6. Virtual LAN (VLAN) • As VLANs pode atravessar múltiplos switches SWITCH A VLAN Trunk Uma porta com múltiplas VLANs VLAN 1 SWITCH Y VLAN 2 VLAN 2 VLAN 1
  • 7. Virtual LAN (VLAN) • Uma porta de switch ou uma interface de rede de uma maquina pode ser adicionada a uma VLAN de duas formas: – Untagged – Tagged
  • 8. Virtual LAN (VLAN) • Untagged – A VLAN untagged é configurada na porta do switch – Do lado do computador não é necessário fazer NADA – Todo o tráfego enviado pela interface do computador para a porta do switch é automaticamente colocado na VLAN configurada – Só pode haver uma VLAN untagged por porta do switch – Uma interface de rede de um computador só pode pertencer a uma VLAN untagged – Sob o ponto de vista do computador nem se percebe que está ligado numa VLAN – É o switch que coloca todo o tráfego na VLAN configurada
  • 9. Virtual LAN (VLAN) • Untagged – Uma porta está associada a uma única VLAN especifica – Não é preciso configurar nada do lado dos computadores – Os frames recebidos nas portas do switch são colocados na VLAN escolhida Interface vlan 21 Untagg GigabitEthernet 1 Untagg GigabitEthernet 2 Gi1 VLAN 21 Gi2
  • 10. Virtual LAN (VLAN) • Tagged – A interface do computador e a porta do switch têem de ser ambas explicitamente configuradas – Com interfaces tagged uma interface pode pertencer a múltiplas VLANs – Cada interface adiciona informação ao header do frame Ethernet sobre a VLAN a que o frame pertence: • Tanto do lado do computador como do switch de rede • Requer frames Ethernet com suporte para VLANs – As interfaces recebem os frames e de acordo com a marca (TAG) e encaminham os frames no contexto da VLAN pretendida • Quando uma interface recebe um frame verifica se a marca (TAG) do frame corresponde a alguma das VLANs configuradas na porta • Caso não corresponda a interface deita o frame fora
  • 11. Virtual LAN (VLAN) • Tagged – Uma porta pode estar associada a mais de uma VLAN – É preciso mapear as portas dos switches nas VLANs Interface vlan 21 tagg GigabitEthernet 28 Interface vlan 21 tagg GigabitEthernet 1 Interface vlan 57 tagg GigabitEthernet 28 Interface vlan 57 tagg GigabitEthernet 1 Gi28 Gi1 VLAN 57 VLAN 21 VLAN 57 VLAN 21
  • 12. Virtual LAN (VLAN) • Tagged – Uma porta/interface pode estar associada a mais de uma VLAN – Do lado do computador é preciso configurar interfaces virtuais mapeadas nas VLANs – Para o sistema operativo do computador é como se a maquina tivesse múltiplas interfaces de rede Interface vlan 21 tagg GigabitEthernet 1 tagg GigabitEthernet 2 vconfig add eth0 21 vconfig add eth0 57 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 tagg GigabitEthernet 1 Gi1 VLAN 57 Gi2 VLAN 21 Interface eth0
  • 13. Virtual LAN (VLAN) • Tagged e Untagged – Também é possível ter uma única default VLAN untagged e múltiplas VLANs tagged – Tráfego originário da estação que não tenha TAG é encaminhado para a VLAN default – Tráfego com TAG vai para a VLAN correspondente Interface vlan 21 tagg GigabitEthernet 1 vconfig add eth0 21 ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up Interface vlan 57 untagg GigabitEthernet Gi1 VLAN 57 VLAN 21 Interface eth0
  • 14. Virtual LAN (VLAN) • Em RH configurar uma VLAN através dos ficheiros de configuração /etc/sysconfig/network-scripts/ifcfg-eth0.21 DEVICE=eth0.21 VLAN=yes ONBOOT=no BOOTPROTO=none TYPE=Ethernet IPADDR= 193.139.66.1 NETMASK=255.255.255.0
  • 15. Virtual LAN (VLAN) • A introdução de tags implica novos campos nos frames Ethernet (cabeçalho 802.1q com 32bits): – – – – Tag protocol id = 0x8100 (16bits) para identificar um frame tagged Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring VLAN id = (12bits) para indicar a VLAN • Atenção ao VLAN identifier: – VLAN id 1 é frequentemente usada para a VLAN de gestão – VLAN id 0xFFF é reservada e não pode ser usada – VLAN id 0 significa que o frame não pertence a uma VLAN pode ser usado para ter CoS sem VLAN
  • 16. Virtual LAN (VLAN) • O tamanho máximo de um frame Ethernet untagged são 1518 bytes excluindo: – Preambulo – Inicio de frame – Trailer • Para manter o MTU em 1500 bytes o tamanho máximo de um frame tagged é na maioria dos equipamentos 1522 bytes – 4 bytes de header 802.1q
  • 17. VLAN in VLAN • Usado por fornecedores de serviço para encapsularem nas suas VLANs tráfego de clientes que possui tags 802.1q • Acrescenta mais um header de 32bits tipo 802.1q • A service provider tag pode variar: – 0x9100, 0x9200, 0x9300 – A norma 802.1ad especifica a service provider flag em 0x88a8
  • 18. Virtual LAN (VLAN) Force10#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 Description REDE DE Gestao 45 * Status Active Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38
  • 19. Virtual LAN (VLAN) Force10#sh running ! interface Vlan 43 description VLAN PARA A REDE IP 172.70.51.0 name VLAN DA TRETA ip address 172.70.51.254/24 untagged GigabitEthernet 5/8,20-22,40-43 ip helper-address 172.70.2.167 no shutdown !
  • 20. Virtual LAN (VLAN) Cisco#sh vlan Codes: Q: U x G - * - Default VLAN, G - GVRP VLANs Untagged, T - Tagged Dot1x untagged, X - Dot1x tagged GVRP tagged, M - Vlan-stack NUM 1 Description REDE DE Gestao 45 * Status Active Active REDE WIRELESS 68 Active REDE CENTRAL 14 Inactive REDE DE TESTE Q T T T T U U T Ports Te 0/6-7 Gi 5/43 Te 0/2 Gi 6/1 Gi 6/3,11 Te 2/0,6-7 Gi 6/5-7,21-38
  • 21. Virtual LAN (VLAN) cisco#sh vlan VLAN ---34 61 Name Status Ports -------------------------------- --------- ------------------------------ VLAN ---34 61 Type ----enet enet default MY VLAN SAID ---------100001 100005 active active MTU ----1500 1500 Parent ------ RingNo ------ Gi1/43, Gi1/14, Gi1/35, Gi1/26 BridgeNo -------- Stp ---- BrdgMode -------- Trans1 -----0 0 Trans2 -----0 0
  • 23. Spanning Tree SWITCH A SWITCH B SWITCH C A B • STP - Spanning Tree Protocol (IEEE 802.1D): – evita loops na rede – permite criar ligações redundantes • Funcionamento: – usa apenas uma ligação e inibe as outras – se houver uma quebra da ligação activa usa uma ligação que estava inibida • Requer suporte de spanning-tree em todos os dispositivos – switches e bridges
  • 24. Spanning Tree • O STP foi inventado pela digital (DEC) • Mais tarde foi criado um standard pela IEEE • Existem diferenças entre as duas implementações – Não são compativeis – Alguns equipamentos possuem ambas as implementações • Mesmo com equipamentos que obedecem a uma mesma especificação: – Por vezes surgem problemas – Especialmente devido a parametrizações diferentes (timers etc)
  • 25. Spanning Tree • Cada bridge possui um identificador (bridge-id) de 8 bytes: – 2 primeiros bytes são uma prioridade – 6 últimos bytes são obtidos de um MAC address • De entre todas as bridges a que tiver menor bridge-id é eleita ROOT BRIDGE • O algoritmo calcula: – O caminho com menor custo de todos os segmentos de rede até à root bridge – Em situações em que existe mais de um caminho possível é escolhido o caminho através da bridge com menor bridge-id – O custo de cada interface depende da sua velocidade – Os custos podem ser configurados manualmente para mudar a topologia
  • 26. Spanning Tree • As bridges trocam entre si mensagens: – Bridge Protocol Data Units (BPDUs) – Para conhecer os bridge-ids – Para conhecer os root path costs • Os BPDUs: – Funcionam em Layer 2 – Endereço de origem é o endereço Ethernet da porta que transmite – Endereço de destino é o grupo de multicast 01:80:C2:00:00:00 • Tipos de BPDUs: – Configuration BPDUs (CBPDUs) usados para calculo da arvore – Topology Change Notification (TCN BPDU) para anuncio da alterações na topologia de rede – Topology Change Notification Acknowledgment (TCA)
  • 27. Spanning Tree • Os BPDUs são trocados constantemente para detecção de alterações de topologia • Os TCN BPDUs são usados para notificar da alteração de estado de portas das bridges • Quando um switch arranca espera durante 30s – – – – – Para aprender a topologia através dos BPDUs recebidos Para aprender endereços Para verifica se pode causar um loop Se puder ser causa de loop bloqueia as portas necessárias Só então começa a fazer forwarding de pacotes
  • 28. Spanning Tree Protocol STP baseia-se em grafos RP: root port DP: designated port BP: blocked port
  • 29. Spanning Tree • Custos para cada tipo de interface: Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001) 4 Mbit/s 250 5,000,000 10 Mbit/s 100 2,000,000 16 Mbit/s 62 1,250,000 100 Mbit/s 19 200,000 1 Gbit/s 4 20,000 2 Gbit/s 3 10,000 10 Gbit/s 2 2,000
  • 30. Spanning Tree • RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w) – STP com convergência mais rápida (6s em vez de 30-50s) – Refinamento do STP, é a referência actual • MSTP – Multiple Spanning Tree Protocol – IEEE802.1s e IEEE802.1Q – Extensão do RSTP para suportar VLANs (uma Tree por VLAN) • PVST e PVST+ – Per VLAN Spanning Tree – STP por VLAN – Protocolo proprietário da CISCO • R-PVST – Rapid Per VLAN Spanning Tree – Versão Rapid Spanning Tree do PVST proprietária da CISCO
  • 32. Routers e Switches • Switch L2 – Encaminha frames de baixo nível (nível 2) • Ethernet, FDDI, ATM, etc … – Não sabe o que é um protocolo L3 como o TCP/IP – Não consegue encaminhar frames para fora de um domínio de broadcast • Router ou um Switch L3 – Encaminha pacotes de alto nível (nível 3) • TCP/IP, Netbios, IPX, DECnet , etc … – Interpreta a informação L3 contida no payload dos frames – Pode ser usado para interligar: • Domínios de broadcast • Diferentes tipos de redes físicas • Virtual LANs
  • 33. Routers e Switches • • • As LANs azul e cinzenta são domínios de broadcast diferentes Um único frame Ethernet não pode percorrer o trajecto de A para Z O pacote TCP/IP tem de ser enviado – – – LAN – Azul Z Dentro de um frame Ethernet de A para o endereço Ethernet do router cinzento Dentro de células ATM do router cinzento com destino ao azul Dentro de um frame Ethernet do router azul para o endereço Ethernet de Z LAN – Cinzenta Rede ATM Router Cinzento Pacote TCP/IP para Z B Router azul A Switch L2
  • 34. Routers e Switches LIP Coimbra Switch L2/L3 Force10 LAN RCTS Internet FCCN Switch L3 Switch L2/L3 Force10 FCCN Nuvem L2 Ethernet LAN • • • • Uma nuvem L2 Ethernet fornecida pela FCCN interliga os 3 locais Os equipamentos L2 da FCCN só vêem os frames Ethernet Dentro dos frames vão pacotes TCP/IP (L3) Os switches/routers do LIP processam a informação L3 LIP Lisboa Router L3 CISCO DMZ Nó Central LNEC Switch L2/L3 Force10 LAN
  • 35. Shaping, Policing e Qualidade de Serviço em Layer 2
  • 36. Shaping e Policing • Por vezes é necessário limitar a largura de banda de uma interface de rede ou de um tipo de tráfego: – Alocação de largura de banda a determinados tipos de tráfego – Diminuir a probabilidade de perda de pacotes – Forçar a utilização a um limite acordado A C B 10Mbps 1Mbps D 7Mbps Pode fazer sentido limitar a 1Mbps para tudo o que vai para além de B • Shaping: – Introduzir intervalos entre a transmissão de pacotes de forma a limitar a largura de banda – Usa-se apenas à saída de uma interface • Policing: – Limitar o tráfego deitando fora todos os pacotes acima de uma largura de banda predeterminada – Pode usar-se à saída ou à entrada de uma interface
  • 37. Shaping e Policing • Shaping – Existem diversos algoritmos e métodos de shaping: – Token Bucket – Leaky Bucket – Controlo artificial to TCP manipulando as janelas e os ACKs – Pode obrigar à perda de pacotes quando o buffer ou fila de transmissão está cheia – Quando se deita fora os pacotes da cauda funciona como policing – É preferível usar algoritmos mais “inteligentes” para deitar alguns pacotes fora e evitar que a fila encha (drop mais esparso) – Algoritmos de congestion avoidance: – Random Early Detect (RED) – Weigthed Random Early Detect (WRED) – Ao longo de um caminho o shaping deve ser feito o mais cedo possível – Um bom shaping requer: – Mais “inteligência” nos dispositivos de rede – Sobretudo um grande buffer de acordo com a capacidade da interface – Não existe em todos os dispositivos de redes
  • 38. Shaping e Policing • Policing – Como o tráfego que ultrapassa o limite é deitado fora as perdas podem ser extremamente concentradas no tempo – Caso os protocolos não reajam bem à perda de pacotes – Falta de mecanismos de feedback e ajuste – Pode causar disrupção como se houvesse períodos de falta de conectividade – O impacto da perda é mais acentuado do que no shaping – Como não existe buffering é mais simples de implementar – Como não requer algoritmos sofisticados é mais simples de implementar
  • 40. Shaping e Policing • Todas os protocolos bem concebidos devem possuir mecanismos de adaptação à perda de pacotes: – – – – Retransmissão Feedback  notificação de que os pacotes não chegaram Auto adaptação à perda de pacotes  envio a um ritmo menor Em tráfego de tempo real como voz e vídeo idealmente a qualidade deve ser adaptada dinamicamente à largura de banda disponível • Se o mecanismo não existir no protocolo usado então deve ser implementado ao nível da aplicação: – Ao nível da aplicação pode efectuar-se uma adaptação mais inteligente – Por ex: um sistema de monitorização pode enviar a informação mais espaçada ou dar prioridade a alguma informação em detrimento de outra
  • 41. Shaping e Policing • Efectuar shaping numa interface de um Force10 para todo o tráfego à saida – Fazer o shapping a 600Mbps com burst de 20KBytes Force10#config Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate shape 600 20 Force10(conf-if)#end Force10 #
  • 42. Shaping e Policing • Efectuar policing numa interface de um Force10 para todo o tráfego à entrada – Largura de banda garantida 80Mbps com burst de 50KBytes – Pico 90Mbps com burst de 60KBytes Force10#config t Force10(conf)#interface gigabitethernet 1/0 Force10(conf-if)#rate police 80 50 peak 90 60 Force10(conf-if)#end Force10#
  • 43. Shaping e Policing e Classificação • Métodos mais sofisticados incluem a classificação do tráfego de acordo com as suas características: – Origem, destino, protocolo, etc • Cada classe de tráfego pode então ser tratada de forma diferenciada: – Limites de utilização diferentes – Shaping ou policing – Algoritmos de drop diferentes etc • A classificação é muito importante para privilegiar o tráfego interactivo ou de tempo real sobre outros tipos de tráfego
  • 44. Quality of Service • Quality of Service (QoS) em redes de dados é a capacidade de tratamento diferenciado para: – Determinados tipos de tráfego – Determinados fluxos de tráfego • Objectivo garantir níveis de desempenho diferenciados de acordo com as necessidades • A qualidade de serviço é importante: – Quando a largura de banda total é insuficiente para as necessidades – Quando algum tráfego é mais importante ou necessita de largura de banda ou atraso mínimos garantidos – Exemplos: voz e dados numa mesma rede
  • 45. Quality of Service • Existem diversos factores que podem afectar a qualidade de um serviço de rede: – – – – – – Largura de banda Perda de pacotes Atraso Variações no atraso (jitter) Entrega fora de sequencia Erros • Exemplos de aplicações que necessitam/beneficiam de QoS: – – – – Aplicações interactivas que requerem resposta em tempo real (cirurgia remota) Voice Over IP (VOIP) Videoconferência Protocolos de controle da própria rede • O problema surge quando se mistura numa mesma rede tráfego com requisitos de qualidade de serviço com tráfego de dados geral
  • 46. Quality of Service • A maior parte das redes incluindo a Internet funcionam como serviços best-effort: – Não há qualquer garantia de serviço – Não há tratamento diferenciado • A implementação de mecanismos de qualidade de serviço é extremamente complexa: – A qualidade de serviço para funcionar tem de ser respeitada por todos os equipamentos ao longo de todo o caminho – Requer processamento adicional – A maioria dos equipamentos está concebia para efectuar encaminhamento rápido indiferenciado • Frequentemente é preferível resolver os problemas aumentando a largura de banda !
  • 47. Ethernet QoS • IEEE 802.1p ou Class of Service (CoS) • Define um campo de 3 bits – Usado para implementar prioritização – Presente nos frames 802.1q usados nas VLANs com tagging • O campo define 8 classes de serviço: – – – – – – – – 0 best effort 1 background 2 spare 3 excellent effort 4 controlled load 5 video 6 voice 7 network control
  • 48. Ethernet QoS Force10 • Por exemplo num Force10 C300 as 8 prioridades são mapeadas em 4 filas: – – – – dot1p dot1p dot1p dot1p 0, 1  fila 1 2, 3  fila 0 4, 5  fila 2 6, 7  fila 3  13.3%  6.6%  26.6%  53.3% • O tráfego de entrada de uma interface pode ser classificado numa prioridade Force10# config Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# switchport Force10(conf-if)# description IP-TELEPHONES Force10(conf-if)# dot1p-priority 6 Force10(conf-if)# end
  • 49. Ethernet QoS Force10 • Pode configurar-se as interfaces para respeitar a marcação dos pacotes que entram no switch • Por defeito na maioria dos switches (Force10 incluído) as marcações dot1p não são respeitadas Force10# config t Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-class dynamic dot1p Force10(conf-if)# end
  • 50. Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos • Mudando os valores default que são aplicáveis a todas as interfaces Force10# config t Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32 queue2 64 queue3 128
  • 51. Ethernet QoS Force10 • Pode mudar-se a atribuição de largura de banda às queues através de pesos Force10(conf)# qos-policy-output DATA Force10(conf-qos-policy-out)# bandwidth-weight 8 Force10(conf)# qos-policy-output IMPORTANT Force10(conf-qos-policy-out)# bandwidth-weight 64 Force10(conf-qos-policy-out)# Force10(conf)# policy-map-output MY-OUT-POLICY Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT Force10(conf-policy-map-out)# Force10(conf)# interface gigabitethernet 1/0 Force10(conf-if)# service-policy output MY-OUT-POLICY Force10(conf-if)# end
  • 52. Wi-Fi
  • 53. Wi-Fi • Tecnologia Wireless Local Area Network IEEE 802.11 – Comunicação sem fios através de radiofrequências • Algumas das normas IEEE 802.11: – – – – 802.11a 802.11b 802.11g 802.11n 54Mbps 11Mbps 54Mbps 600Mbps 23Mbps 4.3Mbps 19Mbps 30/130Mbps 5GHz 2.4GHz 2.4GHz 2.4GHz/5GHz • Usa espectro de rádio aberto não requer licenciamento – Dependendo da norma pode usar 2.4GHz ou 5GHz • As bandas são dividida em canais – A regulação da utilização do espectro de radiofrequências difere de país para país – O numero de canais varia de acordo
  • 54. Wi-Fi Frequências • 2.4GHz – Outros dispositivos podem interferir: telefones sem fios, bluetooth , monitores dos bebés, etc – A banda de 2.4GHz está muito saturada – Espaçamento entre canais é de 5MHz – Na Europa a banda é dividida em 13 – Nos EUA são 11 canais e no Japão são 14 canais – Existe sobreposição de canais • 5GHz – O alcance é menor – Sinais mais absorvidos por paredes e objectos sólidos – A utilização de antenas com maior ganho pode compensar o menor alcance – Espaçamento mínimo entre canais é de 20MHz – Na Europa a banda é dividida em 19 canais – EUA 20 canais, Japão 23 canais, China 5 canais etc
  • 55. Wi-Fi Normas e Frequências • Normas (b, g) a 2.4GHz: – Espaçamento entre canais 5MHz – Largura de cada canal 20MHz – Canais 1, 6, 11 não são sobrepostos • Norma (n) a 2.4GHz: – – – – Espaçamento entre canais 5MHz Largura de cada canal 20MHz ou 40MHz A 22MHz canais 1, 6, 11 não são sobrepostos A 40MHz canais 1, 11 não são sobrepostos
  • 56. Wi-Fi Normas e Frequências • Norma (a) a 5GHz: – Espaçamento mínimo entre canais 20MHz – Largura de cada canal 20MHz – 20 canais • Norma (n) a 5GHz: – – – – Espaçamento mínimo entre canais 20MHz Largura de cada canal 20MHz ou 40MHz 20 canais A 40MHz há sobreposição com o canal adjacente (10 canais)
  • 57. Wi-Fi Normas e Frequências • Norma a – 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 35m – 120m • Norma b – 1, 2, 5.5, 11 Mbps – 38m – 140m • Norma g – 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps – 38m – 140m • Norma n – 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps – 15, 30, 45, 60, 90, 120, 135, 150 Mbps – 70m – 250m a 20MHz de largura a 40MHz de largura
  • 58. Wi-Fi mais normas • As normas de regulação do espectro de radiofrequências variam: – O numero de canais por banda 2.4GHz ou 5GHz varia – 5.47GHz a 5.725 GHz  (802.11h) • Resolver problemas de interferência com comunicações via satélite e sistemas de radar • Introduz a alocação dinâmica de frequências (DFS) • Introduz o controlo dinâmico da potencia de transmissão (TPC) • A banda 5.47GHz a 5.725GHz não está autorizada em todos os países – 3.6GHz  (802.11y) • Banda para transmissão c/ elevada potencia usada com o 802.11a • Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais • Autorizado apenas nos EUA
  • 59. Wi-Fi modos de funcionamento • Dois modos de funcionamento • Infrastructure – – – – – Baseia-se em access-points (AP) Centraliza o controlo de acesso nos AP Centraliza todas as comunicações wireless nos AP Podem existir múltiplos AP numa mesma rede Wireless Os AP ficam interligados por uma rede wired Ethernet • ad-hoc – Comunicação directa (peer-to-peer) entre dispositivos wireless – Não necessita de um access point
  • 60. Rede Wi-Fi tipo ad-hoc
  • 61. Rede Wi-Fi tipo infrastructure Ethernet LAN Ethernet Access Point (AP) Access Point (AP) Bridge
  • 62. Rede Wi-Fi tipo infrastructure Router + Firewall Internet Ethernet LAN Access Point (AP) Bridge ou Router
  • 63. Rede Wi-Fi c/ Firewall Router + Firewall Ethernet LAN Internet Firewall Ethernet LAN DMZ Access Point (AP) Filtrar o tráfego com origem nos portáteis e destinado à LAN Access Point (AP) Bridge Permite usar o mesmo endereço IP nos portáteis independentemente do AP
  • 64. AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena
  • 65. AP Wi-Fi / router / ADSL Linha telefónica AP Wireless com router ADSL Interface ADSL NAT Firewall Firewall Routing Wireless Ethernet SWITCH RF Ethernet Interfaces Antena
  • 66. Wi-Fi • SSID – Service Set Identifier – Identifica o nome da rede Wireless – Numa mesma rede tipo infrastructure múltiplos APs podem partilhar o mesmo SSID – Case sensitive, pode ter um máximo de 32 caracteres – O SSID pode ser anunciado periodicamente ou não • SSID broadcast • Rede visível • BSSID – Basic Service Set Identifier – Em modo infrastructure é o MAC address da interface wireless de cada um dos access points – Em modo ad-hoc é um endereço MAC gerado aleatoriamente pelo primeiro dispositivo a “ligar-se” à rede ad-hoc • Individual/Group bit 0 • Universal/Local bit 1
  • 67. Wi-Fi • Modo Infrastructure – Todos os dispositivos precisam de usar o mesmo SSID • Identifica a rede Wireless – Todos os dispositivos associados ao mesmo AP precisam de • Usar o mesmo BSSID do AP • Usar o mesmo canal do AP • Modo Ad-hoc – Todos os dispositivos precisam de usar o mesmo SSID – Todos os dispositivos precisam de usar o mesmo BSSID – Todos os dispositivos precisam de usar o mesmo canal
  • 68. Rede Wi-Fi tipo infrastructure Ethernet LAN SSID Access Point (AP) BSSID Canal 1 Access Point (AP) BSSID Canal 11
  • 69. Wi-Fi Transmissão • Funcionamento em half-duplex – Ou transmite ou recebe • As redes wireless são meios partilhados – Como as redes Ethernet antigas • Protocolo de transmissão tipo CSMA/CA: – Carrier Sense Multiple Access with Collision Avoidance – Similar ao CSMA/CD das redes Ethernet – O protocolo minimiza a possibilidade de colisões: • • • • • • Espera que não haja transmissões a decorrer Lança intervalo de espera aleatório Transmite O transmissor espera um ACK do receptor O receptor verifica o CRC do frame recebido O receptor envia ACK se CRC ok – A perda de desempenho pela espera é compensada pela menor ocorrência de colisões
  • 70. Wi-Fi Frames To AP From AP Fragment Retrans A frame Is available Strict ordering
  • 72. Wi-Fi Frame • Existem 4 campos de endereço • O significado depende do valor dos campos – To DS (to distribution system) – From DS (from distribution system) • Addrs: – Addr1 – Addr2 – Addr3 – Addr4 receptor imediato emissor BSSID de uma rede ad-hoc (ToDS 0 FromDS 0) emissor original (ToDS 0 FromDS 1) destino final (ToDS 1 FromDS 0) apenas usado em relay de frames entre APs
  • 73. Wi-Fi Frames • Tipos de MAC frames 802.11 – Control frames • RTS (request to send) • CTS (clear to send) • ACK (acknowledge) Uso facultativo Obrigatório em APs com mais de um modo Diminui o desempenho – Management Frames • • • • • • • Beacon Probe req, Probe resp Assoc req, Assoc resp Reassoc req, Reassoc resp Disassociation Authentication Deauthentication – Data Frames Scan passivo Scan activo Associação Só usado em redes tipo infrastructure Equivalente a ligar o cabo à ficha
  • 74. Wi-Fi RTS/CTS • Porquê usar o RTS/CTS ? • O protocolo CSMA requer que uma estação antes de transmitir seja capaz de escutar o meio: – Se as estações estiverem muito afastadas isto pode não ser possível aumentando a probabilidade de colisões – Numa rede com APs a suportar por ex. as normas b e g as estações com norma b não conseguem escutar as transmissões na norma g (modulações diferentes CCK e OFDM) B B não ouve G B AP B B CCK G não ouve B AP B/G OFDM G porque B e G usam modulações diferentes
  • 75. Fragmentação • Existe um mecanismo de fragmentação: – O Bit error rate pode ser elevado logo faz sentido enviar frames mais pequenos – Por outro lado faz sentido suportar frames de 1500 bytes tal como na Ethernet – A solução é a fragmentação
  • 76. Wi-Fi Inicio de comunicação • Rede tipo infra-estrutura • Exemplo de estabelecimento de comunicação entre uma estação e um AP
  • 77. Wi-Fi Overheads • Os desempenhos anunciados nas normas são raw • Na pratica os desempenhos na transmissão de dados são muito menores • O gráfico mostra os overheads com preambulo longo • O uso de preâmbulos curtos melhoram ligeiramente o desempenho
  • 78. Inter Frame Spaces (Intervals)
  • 79. Wi-Fi • Transmissão de um frame • Se o tamanho dos dados ultrapassar o limiar de fragmentação (threshold) é necessário transmitir mais de um frame • Se o protocolo RTS/CTS for usado a troca de frames aumenta
  • 80. Wi-Fi WEP • Tipos de rede em termos de segurança: – Open • Estação envia um frame de autenticação • AP responde com frame de autenticação – Shared-key (WEP – Wired Equivalent Privacy) • • • • • • Método de encriptação inseguro (RC4 c/ chaves de 40bits) Chave comum entre todas as estações e o AP Estação envia de um frame de autenticação AP responde com frame de autenticação com desafio (texto) Estação encripta o texto de desafio com a chave AP verifica que o texto encriptado corresponde ao desafio e responde com frame de autenticação com status de sucesso – WPA / WPA2 (802.11i) • Usam o protocolo 802.1x para autenticação
  • 81. Wi-Fi WAP • WPA - Wi-Fi Protected Access (draft standard) • Solução interina para substituição do WEP que é inseguro: – Usa o protocolo TKIP (Temporal Key Integrity Protocol) – Compromisso entre segurança e a possibilidade de usar o hardware que então existia – Usa RC4 como o WEP mas as chaves mudam a cada pacote transmitido, implementa protecção contra repetição de pacotes e verificação da integridade das mensagens • Dois modos possíveis WPA-enterprise e WPA-personal • WPA- enterprise – Autenticação através de um servidor de autenticação RADIUS e EAP – Muito à semelhança do WPA2 – Maior granularidade com controlo de acesso por utilizador • WPA-personal – Usa chaves partilhadas pré-definidas  pre-shared-keys (PSK) – Não requer servidor RADIUS e é menos complexo – As chaves são partilhas por todos os utilizadores
  • 82. Wi-Fi WPA • Autenticador – Access Point Wireless • Suplicante – Estação (o vosso portátil) • Servidor de autenticação – RADIUS • O método para gerar e distribuir as chaves de acesso ao autenticador e suplicante e igual entre: – WPA personal – WPA enterprise • Apenas o método de geração das chaves mestras para cada sessão muda. – Porque existe o servidor Radius no meio
  • 83. Wi-Fi WPA2 • O WPA2 (802.11i) é o sucessor do WPA: – Algoritmo de encriptação mais robust AES em vez de TKIP – Incorpora optimizações diversas – O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é usado para distribuir chaves entre o suplicante e o autenticador • Fortemente baseado no 802.1X que permite autenticação da ligação de estações a uma porta numa LAN: – A ligação a uma porta em 802.1X corresponde à associação ao AP – Uma vez associada a um AP todo o tráfego não 802.1X proveniente da estação é eliminado – Após autenticação 802.1X bem sucedida todo o tráfego pode passar • EAP permite múltiplos tipos de autenticação: – – – – – EAP-TLS EAP-LEAP EAP-PEAP EAP-MD5 EAP-TTLS usa certificados de utilizador para autenticação CISCO usa passwords usa passwords através de túnel via MSCHAPv2 RFC3748 passwords com encriptação MD5 Envio das passwords através de um túnel TLS
  • 84. Wi-Fi WPA2 • 802.1x • Comunicação segura • Entre a estação e o servidor RADIUS através do AP • Usando certificados • O servidor Radius possui um certificado