CCNA 4.0 - AW - 06 Serviço de funcionario remoto

5/7/2018 CCNA 4.0 - AW - 06 Serviço de funcionario remoto - slidepdf.com

http://slidepdf.com/reader/full/ccna-40-aw-06-servico-de-funcionario-remoto 1/22

Alternar idioma para English | Pesquisar | Glossário

Índice do curso:

CCNA Exploration - Acessando a WAN6 Serviços de funcionário remoto6.0 Introdução do capítulo6.0.1 Introdução do capítulo

Página 1:Trabalho remoto é o trabalho longe de um local de trabalho tradicional, geralmente um escritórioem casa. As razões para escolher o trabalho remoto são variadas e incluem desde aconveniência pessoal até permitir oportunidades para que funcionários lesionados ou isoladoscontinuem trabalhando durante os períodos de convalescença.

Trabalho remoto é um termo amplo que se refere à condução de um trabalho através da conexão

com um local de trabalho a partir de uma localização remota, com a ajuda das telecomunicações.Um trabalho remoto eficiente é possível por causa das conexões de Internet banda larga, redesvirtuais privadas (VPN) e tecnologias mais avançadas, incluindo Voice over IP (VoIP, Voz sobreIP) e videoconferência. O trabalho remoto pode economizar o dinheiro que seria gasto emviagens, infra-estrutura e suporte das instalações.

Empresas modernas empregam pessoas que não podem viajar para trabalhar diariamente ouque acreditam que trabalhar em um escritório em casa é mais prático. Essas pessoas, chamadasde funcionários remotos, devem conectar-se à rede da empresa de forma que possam trabalhar em seus escritórios em casa.

Este capítulo explica como as organizações podem fornecer conexões de rede remota seguras,rápidas e confiáveis para os funcionários remotos.Exibir meio visual

6.1 Requisitos de negócios para serviços de funcionário remoto6.1.1 Os requisitos de negócios para serviços de funcionário remoto

Página 1:É cada vez maior o número de empresas que acreditam ser benéfico ter funcionários remotos.Com os avanços nas tecnologias de banda larga e sem fio, trabalhar longe do escritório nãoapresenta mais os desafios que apresentava no passado. Os funcionários podem trabalhar remotamente quase como se eles estivessem em suas baias ou na sala ao lado. As organizações

podem distribuir dados, voz, vídeo e aplicativos em tempo real de modo lucrativo, estendidos emuma única conexão de rede comum por toda sua força de trabalho, não importando o quãoremota e espalhada ela esteja.

Os benefícios do trabalho à distância se estendem muito além da capacidade de os negóciosrenderem lucros. O trabalho à distância afeta a estrutura social das sociedades e pode ter efeitospositivos sobre o ambiente.

Para as operações de negócios do cotidiano, convém ser capaz de manter a continuidade nocaso de fatores como clima, tráfego, congestionamento, desastres naturais ou outros eventosimprevisíveis atrapalharem os funcionários de chegar ao local de trabalho. Em uma escala maisampla, a capacidade dos negócios de prestar mais serviços em todos os fusos horários efronteiras internacionais foi enormemente aprimorada utilizando os funcionários remotos. Aredução e a terceirização de soluções são mais fáceis de implementar e gerenciar.

6 Serviços de funcionário remoto Selecionar

Página 1 de 22Tema acessível CISCO

08/07/2011http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer...



p g y g

De uma perspectiva social, as opções de trabalho remoto aumentam as oportunidades deemprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e pessoas quemoram em áreas remotas. Os funcionários remotos desfrutam de um tempo em família commaior qualidade, menor stress causado pelas viagens e, no geral, proporcionam aos seus chefesuma maior produtividade, satisfação e conservação. Na era da mudança de clima, o trabalhoremoto é uma outra maneira de as pessoas reduzirem sua emissão de gás carbônico.

Ao criar arquiteturas de rede que suportam uma solução de trabalho remoto, os programadoresdevem equilibrar os requisitos organizacionais para segurança, gerenciamento de infra-estrutura,escalabilidade e acessibilidade com relação às necessidades práticas dos funcionários remotospara a facilidade de uso, velocidades de conexão e confiabilidade do serviço.

Para permitir que os negócios e os funcionários remotos operem de modo efetivo, nós devemosequilibrar a seleção das tecnologias e criar cuidadosamente os serviços de trabalho à distância.Exibir meio visual

6.1.2 A solução do funcionário remoto

Página 1:As organizações precisam de redes seguras, confiáveis e econômicas para conectar as sedessociais, filiais e fornecedores. Com o número crescente de funcionários remotos, as empresastêm uma necessidade cada vez maior de maneiras seguras, confiáveis e econômicas deconectar-se a pessoas trabalhando em pequenos escritórios e escritórios em casa (small offices,home offices), e outros locais remotos, com recursos nos locais corporativos.

A figura ilustra as topologias de conexão remota que as redes modernas utilizam para conectar-se a locais remotos. Em alguns casos, os locais remotos se conectam somente ao local da sede,enquanto, em outros casos, os locais remotos se conectam a diversos locais. A filial na figura seconecta aos locais da sede e de parceiros, enquanto o funcionário remoto possui uma únicaconexão com a sede.

Clique no botão Opções na figura.

A figura exibe três tecnologias de conexão remota disponíveis para as que organizaçõessuportem serviços de funcionários remotos:

z As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo Frame Relay, ATM elinhas alugadas, fornecem muitas soluções de conexão remota. A segurança destasconexões depende da operadora.

z As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexível e escalável.As conexões ponto a ponto podem fornecer uma conexão segura, rápida e confiável aosfuncionários remotos. Esta é a opção mais comum para os funcionários remotos,

combinada com o acesso remoto por banda larga, a fim de estabelecer uma VPN segurasobre a Internet pública. (Um meio menos confiável de conectividade que utiliza a Interneté uma conexão discada.)

z O termo banda larga refere-se a sistemas de comunicação avançados capazes de fornecer uma transmissão de serviços de alta velocidade, tais como dados, voz e vídeo, através daInternet e outras redes. A transmissão é fornecida por uma grande variedade detecnologias, incluindo a DSL (Digital subscriber line, DSL) e a tecnologia de cabo de fibraótica, cabo coaxial, sem fio e satélite. As velocidades de transmissão de dados do serviçode banda larga geralmente ultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bitspor segundo, em pelo menos uma direção: downstream (da Internet para o computador dousuário) ou upstream (do computador do usuário para a Internet).

Este capítulo descreve como cada uma destas tecnologias opera e apresenta algumas dasetapas necessárias para assegurar que as conexões de funcionários remotos sejam seguras.





p g y g

Exibir meio visual

Página 2:Para conectar-se efetivamente às redes de suas organizações, os funcionários remotos precisam

de dois conjuntos principais de componentes: componentes de escritório em casa e componentescorporativos. A opção de adicionar componentes de telefonia IP está se tornando mais comum àmedida que as operadoras estendem os serviços de banda larga para mais áreas. Oscomponentes de Voice over IP (VoIP, Voz sobre IP) e de videoconferência se tornarão, em breve,partes esperadas do conjunto de ferramentas dos funcionários remotos.

Conforme mostrado na figura, o trabalho à distância necessita dos seguintes componentes:

z Componentes de escritório em casa - Os componentes necessários de um escritório emcasa são um laptop ou computador desktop, acesso de banda larga (cabo ou DSL) e umroteador de VPN ou software de cliente de VPN instalado no computador. Componentesadicionais podem incluir um ponto de acesso sem fio. Ao viajar, os funcionários remotosprecisam de uma conexão de Internet e um cliente de VPN para conectar-se à redecorporativa por qualquer conexão discada, de rede ou de banda larga disponível.

z Componentes corporativos - Os componentes corporativos são os roteadores habilitadospara VPN, concentradores de VPN, mecanismos de segurança multifuncionais,autenticação e dispositivos de gerenciamento centrais para uma agregação e conclusãoflexíveis das conexões de VPN.

Normalmente, a prestação de suporte para VoIP e videoconferência exige melhorias para estescomponentes. Os roteadores precisam da funcionalidade de Qualidade de Serviço (Quality of Service, QoS). O QoS refere-se à capacidade de uma rede de fornecer um melhor serviço para otráfego de rede selecionado, conforme necessário para os aplicativos de voz e vídeo. Umadiscussão mais aprofundada sobre o QoS está além do escopo deste curso.

A figura mostra um túnel de VPN criptografado que conecta o funcionário remoto à redecorporativa. Este é o coração das conexões seguras e confiáveis do funcionário remoto. UmaVPN é uma rede de dados privada que utiliza a infra-estrutura de telecomunicação pública. Asegurança de VPN mantém a privacidade utilizando um protocolo de tunelamento eprocedimentos de segurança.

Este curso apresenta o protocolo IPsec (Segurança de IP) como a abordagem escolhida paracriar túneis de VPN seguros. Ao contrário das abordagens de segurança anteriores, que aplicama segurança na camada de Aplicativos do modelo de Interconexão de Sistemas Abertos (OSI), oIPsec funciona na camada de rede ou processamento de pacote.Exibir meio visual

6.2 Serviços de banda larga6.2.1 Conectando os funcionários remotos à WAN

Página 1:Os funcionários remotos geralmente utilizam diversos aplicativos (por exemplo, email, aplicativosda web, aplicativos importantes para o trabalho, colaboração em tempo real, voz, vídeo evideoconferência) que exigem uma conexão com uma largura de banda alta. A escolha datecnologia de rede de acesso e a necessidade de assegurar uma largura de banda satisfatóriasão as primeiras considerações a serem feitas ao conectar os funcionários remotos.

As conexões por cabo residencial, DSL e banda larga sem fio são as três opções que fornecemuma largura de banda alta para os funcionários remotos. A baixa largura de banda fornecida por uma conexão de modem discada normalmente não é suficiente, embora seja útil para um acesso





p g y g

móvel durante viagens. Uma conexão discada de modem somente deve ser considerada quandoas outras opções não estiverem disponíveis.

Os funcionários remotos precisam de uma conexão a um ISP para acessar a Internet. Os ISPsoferecem diversas opções de conexão. Os principais métodos de conexão utilizados por escritórios em casa e pequenas empresas são:

z Acesso discado - Uma opção barata que utiliza qualquer linha telefônica e um modem.Para conectar-se ao ISP, um usuário liga para o número de telefone de acesso ISP. Aconexão discada é a opção de conexão mais lenta, utilizada geralmente por funcionáriosmóveis em áreas onde não estão disponíveis opções de conexão de velocidade mais alta.

z DSL - Normalmente mais caro que a discada, mas proporciona uma conexão mais rápida.A conexão DSL também utiliza linhas telefônicas, mas, diferentemente do acesso discado,ele fornece uma conexão contínua com a Internet. O DSL utiliza um modem de altavelocidade especial que separa o sinal de DSL do sinal de telefone e fornece uma conexãoEthernet com um computador host ou rede local.

z Modem a cabo - Oferecido por provedores de serviços de televisão a cabo. O sinal deInternet é levado no mesmo cabo coaxial que leva a televisão a cabo. Um modem a caboespecial separa o sinal da Internet dos outros sinais levados no cabo e fornece umaconexão Ethernet com um computador host ou rede local.

z Satélite - Oferecido por provedores de serviços de satélite. O computador é conectadoatravés da Ethernet a um modem de satélite que transmite sinais de radiofreqüência aoponto de presença (point of presence, POP) mais próximo dentro da rede de satélite.

Nesta seção, você aprenderá como os serviços de banda larga, tais como o DSL, cabo econexão de banda larga sem fio, estendem as redes da empresa para permitir o acesso dosfuncionários remotos.Exibir meio visual

6.2.2 Cabo

Página 1:Acessar a Internet por uma rede a cabo é uma opção popular utilizada pelos funcionários remotospara acessar a rede de sua empresa. O sistema a cabo utiliza um cabo coaxial que leva os sinaisde freqüência de rádio (RF) através da rede. O cabo coaxial é o primeiro meio utilizado para criar sistemas de TV a cabo.

A televisão a cabo surgiu na Pensilvânia em 1948. John Walson, o proprietário de uma loja deeletrodomésticos em uma pequena cidade montanhesca, precisava resolver problemas derecepção pelos quais seus clientes passavam ao tentar receber sinais de TV da Filadélfia pelasmontanhas. Walson ergueu uma antena em um poste de eletricidade no topo de uma montanha

que permitiu que ele demonstrasse as televisões em sua loja com broadcasts provenientes dastrês estações da Filadélfia. Ele conectou a antena à sua loja de eletrodomésticos por um cabo emodificou os otimizadores de sinal. Em seguida, ele conectou diversos clientes seus que estavamlocalizados pelo caminho do cabo. Este foi o primeiro sistema de televisão de antena comunitária(CATV, community antenna television) nos Estados Unidos.

A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador daindústria de televisão a cabo. Ele também foi o primeiro operador de cabo a utilizar microondaspara importar estações de televisão distantes, o primeiro a utilizar o cabo coaxial para aprimorar aqualidade da imagem e o primeiro a distribuir a programação de televisão paga.

A maioria das operadoras a cabo utilizam antenas parabólicas para reunir os sinais de TV. No

início, os sistemas eram unidirecionais, com amplificadores em cascata colocados em série aolongo da rede para compensar a perda de sinal. Estes sistemas utilizavam grampos para juntar os sinais de vídeo dos troncos principais para as casas dos assinantes por meio dos cabos de





p g y g

derivação.

Os sistemas de c abo modernos fornec em uma c omunic ação bidirec ional entre os assinantes e ooperador de c abo. As operadores a c abo oferec em agora serviços de telec omunic açõesavançados, inc luindo ac esso de alta veloc idade à Internet, televisão a c abo digital e serviço detelefone residenc ial. As operadoras a c abo geralmente implantam redes c oaxiais de fibra híbrida

(HFC) para permitir uma transmissão de dados de alta veloc idade para os modems a c aboloc alizados em um esc ritório em c asa.

A figura ilustra os c omponentes de um típic o sistema a c abo moderno.

Passe o mouse sobre cada componente na figura para ver uma desc rição sobre o que elesfazem.Exibir meio visual

Página 2:O espec tro eletromagnétic o abrange uma grande variedade de freqüênc ias.

A frequênc ia é a taxa na qual os c i c los (ou voltagem) atuais oc orrem, c omputada c omo o númerode "ondas" por segundo. Comprimento de onda é a veloc idade de propagação do sinaleletromagnétic o dividida por sua freqüênc ia em c i c los por segundo.

As ondas de rádio, geralmente c hamadas de RF, c onstituem uma parte do espec troeletromagnétic o entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando os usuáriosajustam um rádio ou TV para loc alizar diferentes estações de rádio ou c anais de TV, eles estãoajustando diferentes freqüênc ias eletromagnétic as por esse espec tro de RF. O mesmo princ ípiose aplic a ao sistema a c abo.

A indústria da TV a c abo utiliza uma parte do espec tro eletromagnétic o de RF. Dentro do c abo,freqüênc ias diferentes levam c anais de TV e dados. Na extremidade do assinante, equipamentosc omo TVs, VCRs e c onversores de TVs de alta definição são ajustados para determinadasfreqüênc ias que permitem que o usuário veja o c anal ou, utilizando um modem a c abo, tenhaac esso à Internet de alta veloc idade.

Uma rede a c abo é c apaz de transmitir sinais no c abo em ambas as direções ao mesmo tempo.Utiliza-se o seguinte esc opo de freqüênc ia:

z Downstream - A direção de uma transmissão de sinal RF (c anais de TV e dados) daorigem (headend) para o destino (assinantes). A transmissão da origem para o destino éc hamada de c aminho de enc aminhamento (forward path). As freqüênc ias downstreamestão no intervalo de 50 a 860 megahertz (MHz).

z Upstream - A direção da transmissão de sinal RF dos assinantes para o headend, retorno

ou c aminho reverso. As freqüênc ias de upstream estão no intervalo de 5 a 42 MHz.

Exibir meio visual

Página 3:O DOCSIS (Data-over-Cable Servi c e Interfac e Spec ifi c ation, Espec ifi c ação de Interfac e deServiço de Dados sobre Cabo) é um padrão internac ional desenvolvido pela CableLabs, umc onsórc io de pesquisa e desenvolvimento sem fins luc rativos para as tec nologias relac ionadas ac abo. A CableLabs testa e c ertific a os dispositivos de fornec edores de equipamento a c abo, c omomodems a c abo e sistemas de terminação de modem a c abo, e c onc ede o status de c ertific ado

ou qualific ado pela DOCSIS.

A DOCSIS define os requisitos de interfac e de suporte de c omunic ações e operação para um





p g y g

sistema de dados a cabo e permite a adição de transferência de dados de alta velocidade a umsistema de CATV existente. As operadoras a cabo empregam a DOCSIS para fornecer acesso àInternet através de sua infra-estrutura coaxial de fibra híbrida (HFC) existente.A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:

z Camada física - Para os sinais de dados que a operadora a cabo pode utilizar, a DOCSIS

especifica as larguras de canal (larguras de banda de cada canal) como 200 kHz, 400 kHz,800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS também especifica as técnicas demodulação (o modo de utilizar o sinal RF para comunicar os dados digitais).

z Camada MAC - Define um método de acesso determinístico: método de acesso múltiplopor divisão de tempo (Time-division multiple access, TDMA) ou método de acesso múltiplopor divisão de código síncrono (Synchronous code division multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convém explicar como asdiversas tecnologias de comunicação dividem o acesso por canal. O TDMA divide o acesso por tempo. O acesso múltiplo de divisão por freqüência (Frequency-division multiple access, FDMA)divide o acesso por freqüência. O acesso múltiplo por divisão de código (CDMA) emprega uma

tecnologia de amplo espectro e um esquema de codificação especial nos quais cada transmissor recebe um código específico.

Uma analogia que ilustra estes conceitos começa com uma sala representando um canal. A salaestá cheia de pessoas que precisam falar umas com as outras. Em outras palavras, elasprecisam de um acesso ao canal. Uma solução é permitir que as pessoas falem em turnos(divisão por tempo). Outra solução é que cada pessoa fale em tons diferentes (divisão por freqüência). Em CDMA, eles falariam em idiomas diferentes. Pessoas falando no mesmo idiomapodem se entender, mas não as outras pessoas. Em CDMA de rádio, utilizado por muitas redesde telefonia celular norte-americanas, cada grupo de usuários possui um código compartilhado.Muitos códigos ocupam o mesmo canal, mas somente os usuários associados com um códigoespecífico podem se entender. O S-CDMA é uma versão proprietária de CDMA desenvolvidapela Terayon Corporation para a transmissão de dados através de redes por cabo coaxial. O S-

CDMA espalha os dados digitais para ambas as direções com uma ampla banda de freqüência epermite que vários assinantes conectados à rede transmitam e recebam dados simultaneamente.O S-CDMA é seguro e extremamente resistente a ruídos.

Os planos para bandas de alocação de freqüência diferem entre os sistemas a cabo norte-americanos e europeus. O Euro-DOCSIS é adaptado para ser utilizado na Europa. As principaisdiferenças entre o DOCSIS e o Euro-DOCSIS estão relacionadas às larguras de banda do canal.Os padrões técnicos de TV variam pelo mundo, o que afeta o modo como as variantes deDOCSIS se desenvolvem. Os padrões de TV internacionais incluem o NTSC na América do Nortee em partes do Japão; PAL na maior parte da Europa, Ásia, África, Austrália, Brasil e Argentina, eo SECAM na França e em alguns países da Europa oriental.

Mais informações estão disponíveis nos seguintes sites:

z Sobre o DOCSIS: http://www.cablemodem.com/specificationsz Sobre o Euro-DOCSIS: http://www.eurocablelabs.com

Exibir meio visual

Página 4:Prestar serviços através de uma rede a cabo exige diferentes freqüências de rádio. Asfreqüências downstream estão na faixa de 50 a 860 MHz, e as freqüências upstream estão nointervalo de 5 a 42 MHz.

São necessários dois tipos de equipamento para enviar sinais de modem digitais upstream edownstream em um sistema a cabo:





p g y g

z O sistema de terminação de modem por cabo (Cable modem termination system, CMTS)no headend da operadora a cabo

z Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a função que cada umdesempenha.

Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes. Oheadend é, na verdade, um roteador com bancos de dados para prestar serviços na Internet paraassinantes a cabo. A arquitetura é relativamente simples, utilizando uma rede coaxial óticacombinada na qual a fibra ótica substitui a rede coaxial com a menor largura de banda.

Uma malha de cabos de tronco de fibra conecta o headend aos nós onde ocorre a conversão desinal ótico para sinal RF. A fibra leva o mesmo conteúdo de banda larga para as conexões deInternet, serviço de telefonia e fluxo de vídeo que o cabo coaxial leva. Os cabos alimentadorescoaxiais são originados do nó que leva os sinais de RF aos assinantes.

Em uma rede HFC moderna, são conectados geralmente 500 a 2.000 assinantes de dados ativosa um segmento de rede a cabo, todos compartilhando a largura de banda upstream edownstream. A largura de banda real para o serviço de Internet por uma linha de CATV pode ser de até 27 Mb/s no caminho de download para o assinante e de aproximadamente 2,5 Mb/s delargura de banda no caminho de carregamento. Baseado na arquitetura de rede a cabo, naspráticas de aprovisionamento do operador de cabo e na carga de tráfego, um assinante individualpode obter, normalmente, uma velocidade de acesso entre 256 kb/s e 6 Mb/s.

Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora a cabopode colocar uma largura de banda adicional para obter serviços de dados alocando um canal deTV adicional para dados de alta velocidade. Esta adição pode dobrar efetivamente a largura debanda de downstream disponível para os assinantes. Outra opção é reduzir o número de

assinantes atendidos por cada segmento de rede. Para reduzir o número de assinantes, aoperadora a cabo realiza mais uma divisão na rede colocando as conexões de fibra ótica maispróximas e mais profundas na vizinhança.Exibir meio visual

6.2.3 DSL

Página 1:O DSL é um meio de fornecer conexões de alta velocidade através de fios de cobre instalados.Nesta seção, nós observamos o DSL como uma das principais soluções disponíveis para ofuncionário remoto.

Há muitos anos, a Bell Labs identificou que uma conversação de voz típica através de um looplocal exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitos anos, as redes detelefonia não utilizaram uma largura de banda acima de 3 kHz. Os avanços na tecnologiapermitiram que o DSL utilizasse uma largura de banda adicional de 3 kHz até 1 MHz parafornecer os serviços de dados de alta velocidade através das linhas de cobre comuns.

Por exemplo, o DSL assimétrico (ADSL) utiliza um intervalo de freqüência de aproximadamente20 kHz a 1 MHz. Felizmente, são necessárias somente pequenas mudanças na infra-estruturadas empresas de telefonia existentes para fornecer os dados da largura de banda alta aosassinantes. A figura mostra uma representação da alocação do espaço de largura de banda emum fio de cobre para ADSL. A área azul identifica o intervalo de freqüência utilizado pelo serviçode telefonia de grau de voz, geralmente chamado de serviço de telefone antigo simples (Plain oldtelephone service, POTS). Os outros espaços coloridos representam o espaço de freqüênciautilizado pelos sinais DSL de upstream e downstream.





p g y g

Os dois tipos básicos de tecnologias DSL são assimétricos (ADSL) e simétricos (SDSL). Todasas formas de serviço DSL são classificadas como ADSL ou SDSL, e existem diversas variedadesde cada tipo. O ADSL fornece uma maior largura de banda de downstream do que largura debanda de carregamento para o usuário. O SDSL fornece a mesma capacidade em ambas asdireções.

As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas com recursosque excedem os recursos de uma linha alugada T1 ou E1. As taxas de transferência sãodependentes do comprimento real do loop local e do tipo e condição de seu cabeamento. Paraobter um serviço satisfatório, o loop deve ter menos do que 5,5 quilômetros (3,5 milhas).Exibir meio visual

Página 2:As operadoras implantam as conexões DSL na última etapa de uma rede de telefonia local,chamada de loop local ou última milha. A conexão é configurada entre um par de modems emqualquer extremidade de um fio de cobre que se estende entre o CPE (Customer premises

equipment, Equipamento do usuário) e o DSLAM (Digital subscriber line access multiplexer,Multiplexador de acesso à linha digital do assinante). Um DSLAM é o dispositivo localizado noescritório central (Central office, CO) da operadora e concentra as conexões de diversosassinantes de DSL.

Clique no botão Conexões DSL na figura.

A figura mostra o principal equipamento necessário para fornecer uma conexão de DSL com umescritório em casa. Os dois componentes principais são o transceiver DSL e o DSLAM:

z Transceiver - Conecta o computador do funcionário remoto ao DSL. Normalmente otransceiver é um modem DSL conectado ao computador utilizando um cabo USB ou

Ethernet. Os transceivers DSL mais novos podem ser integrados em roteadores pequenoscom portas de switch 10/100 múltiplas, adequadas para serem usadas no escritório emcasa.

z DSLAM - Situado no CO da operadora, o DSLAM combina as conexões DSL individuais deusuários em um link da alta capacidade para um ISP e, desse modo, para a Internet.

Clique no botão Roteador DSL e DSLAM na figura.

A vantagem que o DSL tem sobre a tecnologia a cabo é que o DSL não é um meiocompartilhado. Cada usuário tem uma conexão direta separada para o DSLAM. A adição deusuários não impede o desempenho, a menos que a conexão da Internet do DSLAM para o ISP,ou a Internet, fique saturada.

Exibir meio visual

Página 3:O principal benefício do ADSL é a capacidade de fornecer serviços de dados junto com serviçosde voz POTS.

Quando a operadora coloca a voz analógica e o ADSL no mesmo fio, a operadora divide oscanais POTS do modem ADSL utilizando filtros ou separadores. Esta configuração garante umserviço de telefonia regular ininterrupto mesmo se o ADSL falhar. Quando os filtros ouseparadores estiverem posicionados, o usuário pode utilizar a linha telefônica e a conexão ADSL

simultaneamente, sem efeitos adversos em qualquer serviço.

Os sinais ADSL distorcem a transmissão de voz e são divididos ou filtrados no equipamento do





p g y g

cliente. Existem duas maneiras de separar o ADSL da voz no equipamento do cliente, utilizandoum microfiltro ou um separador.

Um microfiltro é um filtro de baixa passagem passivo com duas extremidades. Uma extremidadese conecta ao telefone e a outra se conecta à tomada do telefone. Esta solução elimina anecessidade de um técnico visitar o local e permite que o usuário utilize qualquer tomada na casa

para voz ou serviço ADSL.

Os separadores POTS separam o tráfego DSL do tráfego POTS. O separador POTS é umdispositivo passivo. No caso de uma falha de energia, o tráfego de voz ainda vai para o switch devoz no CO da operadora. Os separadores estão localizados no CO e, em algumas implantações,no equipamento do cliente. No CO, o separador de POTS separa o tráfego de voz, destinado àsconexões POTS, e o tráfego de dados destinado ao DSLAM.

A figura mostra o loop local terminando no equipamento do cliente no ponto de demarcação. Odispositivo real é o dispositivo de interface de rede (NID, Network interface device). Este ponto énormalmente onde a linha telefônica entra no equipamento do cliente. Neste momento, umseparador pode ser anexado à linha telefônica. O separador bifurca a linha telefônica: uma pontafornece a instalação elétrica de telefone original para os telefones e a outra ponta se conecta ao

modem ADSL. O separador age como um filtro de baixa passagem, permitindo que somente asfreqüências de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador POTS aoNID geralmente significa que um técnico deve ir para o local do cliente.

Devido a este trabalho e suporte técnico adicional, a maioria das instalações em casa utilizamhoje microfiltros, conforme mostrado na figura. O uso de microfiltros também apresenta avantagem de fornecer uma conectividade mais ampla em toda a residência. Considerando que oseparador POTS separa os sinais ADSL e de voz no NID, normalmente existe somente umasaída ADSL disponível na casa.

Clique no botão Microfiltros na figura.

A figura mostra um layout de DSL de escritório em casa típico utilizando microfiltros. Nestasolução, o usuário pode instalar microfiltros de linha em cada telefone, ou instalar microfiltrosembutidos na parede no lugar de tomadas de telefone normais. Ao passar o mouse sobre osmicrofiltros no gráfico, serão mostradas fotos de produtos da Cisco.

Clique no botão Separador na figura.

Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema dedistribuição telefônica interno. Um fio iria diretamente para o modem DSL e o outro levaria o sinalde voz aos telefones. Ao passar o mouse sobre a caixa de separador no gráfico, um esquema deinstalação elétrica típico será revelado.Exibir meio visual

6.2.4 Banda larga sem fio

Página 1:O acesso de banda larga por ADSL ou cabo proporciona aos funcionários remotos conexõesmais rápidas do que a discada, mas, até recentemente, os PCs de escritório em casa tinham queconectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5. Os sistemas de rede semfio, ou Wi-Fi (wireless fidelity), aprimoraram esta situação, não somente no escritório em casa,mas também nos diversos prédios de empresas.

Utilizando os padrões de rede 802.11, os dados viajam de local para local em ondas de rádio. Oque torna o sistema de rede 802.11 relativamente fácil de implantar é que ele utiliza o espectro de

rádio não licenciado para enviar e receber os dados. A maioria das transmissões de rádio e TVsão reguladas pelo governo e exigem uma licença de uso.





p g y g

A partir de 2007, os fabricantes de computador iniciaram a criação de adaptadores de rede semfio na maioria dos laptops. Como o preço dos chipsets para Wi-Fi continua caindo, ele está setornando uma opção de sistema de rede muito econômica também para computadores desktop.

Os benefícios do Wi-Fi estão além de não ter de utilizar ou instalar conexões de rede com fios. O

sistema de rede sem fio fornece mobilidade. As conexões sem fio fornecem maior flexibilidade eprodutividade ao funcionário remoto.Exibir meio visual

Página 2:Até recentemente, havia a necessidade de uma limitação significativa do acesso sem fio paraestar dentro do intervalo de transmissão local (geralmente menos que 100 pés) de um roteador para rede sem fio ou ponto de acesso sem fio que possuísse uma conexão conectada por fioscom a Internet. Quando um trabalhador deixava o escritório ou casa, o acesso sem fio não estavaprontamente disponível.

Porém, com os avanços na tecnologia, o alcance das conexões sem fio foi estendido. O conceitode hotspots aumentou o acesso a conexões sem fio pelo mundo. Um hotspot é a área cobertapor um ou mais pontos de acesso interconectados. Locais de concentração de público, comocafés, parques e bibliotecas, criaram hotspots de Wi-Fi, esperando aumentar os negócios. Aosobrepor os pontos de acesso, os hotspots podem abranger muitas milhas quadradas.

Novos desenvolvimentos em tecnologia de banda larga sem fio estão aumentando adisponibilidade sem fio. São alguns deles:

z Wi-Fi municipalz WiMAXz Internet por satélite

Os governos municipais também se juntaram à revolução Wi-Fi. As cidades estão implantandoredes municipais sem fio, trabalhando geralmente com operadoras. Algumas dessas redesfornecem acesso à Internet de alta velocidade sem custos ou por um preço consideravelmentemenor do que o de outros serviços de banda larga. Outras cidades reservam suas redes Wi-Fipara uso oficial, fornecendo à polícia, aos bombeiros e aos funcionários públicos um acessoremoto à Internet e a redes municipais.

Clique no botão Único roteador na figura.

A figura mostra uma implantação doméstica típica utilizando um único roteador para rede sem fio.Esta implantação utiliza o modelo hub-and-spoke. Se o único roteador para rede sem fio falhar,

toda a conectividade é perdida. Passe seu mouse sobre a caixa de texto.

Clique no botão Malha na figura.

A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de um modelohub-and-spoke. Uma malha é uma série de pontos de acesso (transmissores de rádio), comomostrado na figura. Cada ponto de acesso está no intervalo e pode comunicar-se com pelomenos dois outros pontos de acesso. A malha cobre sua área com sinais de radiofreqüência. Ossinais viajam de ponto de acesso para ponto de acesso por esta nuvem.

Uma rede em malha possui diversas vantagens sobre os hotspots de único roteador. A instalaçãoé mais fácil e pode ser mais barata porque existem menos fios. A implantação sobre uma área

urbana grande é mais rápida. De um ponto de vista operacional, ela é mais confiável. No caso defalha de um nó, outros nós na malha compensarão.





p g y g

Clique no botão WiMAX na figura.

O WiMAX (Interoperabilidade Mundial para Acesso Microondas, Worldwide Interoperability for Microwave Access) é a tecnologia de telecomunicações destinada a fornecer dados sem fio por longas distâncias em uma variedade de modos, de links de ponto a ponto até o acesso de tipo decelular móvel completo. O WiMAX opera em velocidades mais altas, sobre maiores distâncias e

para um maior número de usuários que o Wi-Fi. Devido a sua maior velocidade (largura debanda) e preços de componentes em queda, prevê-se que o WiMAX suplantará em breve asredes de malha municipais para implantações sem fio.

Uma rede WiMAX consiste em dois componentes principais:

z Uma torre que é semelhante em conceito a uma torre de telefonia celular. Uma torre deWiMAX única pode fornecer cobertura para uma área de 3.000 milhas quadradas, ouquase 7.500 quilômetros quadrados.

z Um receptor de WiMAX, semelhante em tamanho e forma a uma placa de PCMCIA, ouincorporado a um laptop ou outro dispositivo sem fio.

Uma estação de torre WiMAX se conecta diretamente à Internet utilizando uma conexão delargura de banda alta (por exemplo, uma linha de T3). Uma torre também pode conectar-se aoutras torres de WiMAX utilizando os links de microondas de linha de visão. O WiMAX é capaz,dessa forma, de abranger áreas rurais fora do alcance do cabo de "última milha" e tecnologias deDSL.

Clique no botão Satélite na figura.

Os serviços de Internet por Satélite são utilizados em locais em que o acesso à Internet por terranão está disponível, ou para instalações temporárias que se movem continuamente. O acesso àInternet utilizando satélites está disponível mundiamente, inclusive para embarcações no mar,aviões em vôo e veículos em movimento por terra.

Existem três maneiras de conectar-se à Internet utilizando satélites: multicast unidirecional,retorno terrestre unidirecional e bidirecional.

z Os sistemas de Internet por satélite de multicast unidirecional são utilizados paradistribuição de dados, áudio e vídeo por multicast IP. Embora a maioria dos protocolos IPexijam uma comunicação bidirecional, para o conteúdo da Internet, incluindo páginas daweb, os serviços de internet por satélite unidirecional podem ser páginas enviadas paraarmazenamento local em instalações de usuários finais pela Internet por satélite. Não épossível obter uma interatividade completa.

z Os sistemas de internet por satélite de retorno terrestre unidirecional utilizam acessodiscado tradicional para enviar dados de saída por um modem e receber downloads dosatélite.

z A Internet por satélite bidirecional envia dados de locais remotos por meio de um satélitepara um hub, o qual envia os dados para a Internet. A antena parabólica em cada localdeve ser precisamente posicionada para evitar uma interferência com outros satélites.

A figura ilustra um satélite de sistema de internet bidirecional. As velocidades de upload são deaproximadamente um décimo da velocidade de download, que está na faixa de 500 kb/s.

O principal requisito de instalação é que a antena tenha uma visão clara em direção ao equador,onde a maioria dos satélites em órbita estão estacionados. Árvores e chuvas fortes podem afetar a recepção dos sinais.

A Internet por satélite bidirecional utiliza a tecnologia de multicast IP, que permite que um satélitesirva a até 5.000 canais de comunicação simultaneamente. O multicast IP envia dados de umponto para muitos pontos ao mesmo tempo enviando dados em um formato compactado. A





p g y g

compactação reduz o tamanho dos dados e a largura de banda.Exibir meio visual

Página 3:

O sistema de rede sem fio obedece a uma variedade de padrões que os roteadores e osreceptores utilizam para comunicar-se entre si. Os padrões mais comuns estão incluídos nopadrão de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), que abrange asbandas do espectro (não licenciado) público de 5 GHz e 2,4 GHz.

Os termos 802.11 e Wi-Fi parecem intercambiáveis, mas isso está incorreto. Wi-Fi é umacertificação de interoperabilidade orientada para a indústria baseada em um subconjunto de802.11. A especificação de Wi-Fi surgiu pois a demanda do mercado levou a Wi-Fi Alliance acomeçar a certificar os produtos antes de as emendas ao padrão 802.11 serem concluídas. Opadrão 802.11, desde então, alcançou e ultrapassou o Wi-Fi.

Do ponto de vista dos funcionários remotos, as abordagens de acesso mais populares para aconectividade são as definidas nos protocolos IEEE 802.11b e IEEE 802.11g. Originalmente, a

segurança era intencionalmente fraca nestes protocolos por causa dos requisitos de exportaçãorestritos de diversos governos. O padrão mais recente, 802.11n, é uma emenda propostaintegrada nos padrões 802.11 anteriores, adicionando entradas múltiplas e saídas múltiplas(multiple-input multiple-output, MIMO).

O padrão 802.16 (ou WiMAX) permite transmissões de até 70 Mb/s e possui um intervalo de até30 milhas (50 km). Ele pode operar em bandas licenciadas ou não licenciadas do espectro de 2 a6 GHz.Exibir meio visual

Página 4:Nesta atividade, você demonstrará a sua capacidade de adicionar dispositivos de banda larga econexões ao Packet Tracer. Embora não possa configurar DSL e modems a cabo, você podesimular uma conectividade fim-a-fim para dispositivos de funcionário remoto.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.Exibir meio visual

6.3 Tecnologia de VPN 6.3.1 VPNs e seus benefícios

Página 1:A Internet é uma rede IP mundial, publicamente acessível. Por causa de sua vasta proliferaçãoglobal, ela se tornou um modo atraente de interconectar locais remotos. Porém, o fato de ela ser uma infra-estrutura pública expõe as empresas e suas redes internas a riscos de segurança.Felizmente, a tecnologia de VPN permite que as organizações criem redes privadas sobre a infra-estrutura de Internet pública que mantêm a confidencialidade e a segurança.

As organizações utilizam as VPNs para fornecer uma infra-estrutura de WAN virtual que conectaas filiais, os escritórios em casa, os locais de parceiros de negócios e os funcionários remotos atoda sua rede corporativa ou à parte dela. Para que permaneça privado, o tráfego é criptografado.Em vez de utilizar uma conexão de Camada 2 dedicada, tal como uma linha alugada, uma VPN





p g y g

utiliza conexões virtuais que são roteadas pela Internet.

Foi apresentada, no início deste curso, uma analogia que envolvia conseguir bilhetes comprioridade para um show em estádio. Uma extensão para essa analogia ajudará a explicar comouma VPN funciona. Imagine o estádio como um local público da mesma maneira que a Internet éum local público. Quando o show acaba, o público sai pelos corredores e saídas públicas,

esbarrando-se e empurrando-se uns aos outros ao longo do caminho. Pequenos roubos sãoameaças pelas quais se pode passar.

Imagine como os artistas saem. Seus seguranças juntam seus braços e formam cordões pelamultidão e protegem as celebridades desses empurrões e esbarrões. De fato, estes cordõesformam túneis. As celebridades são levadas através de túneis até suas limusines, que os levamprotegidos aos seus destinos. Esta seção descreve como as VPNs funcionam dessa mesmamaneira, empacotando os dados e movendo-os seguramente pela Internet através de túneisprotetores. É essencial compreender a tecnologia de VPN para ser capaz de implementar serviços seguros de funcionário remoto em redes de empresa.

Analogia: cada rede local é uma ilha

Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vista diferente.Imagine que você vive em uma ilha em um oceano enorme. Existem milhares de outras ilhas aoseu redor, algumas muito próximas e outras mais distantes. O modo normal de viajar é levar umabarca de sua ilha para qualquer ilha que você deseje visitar. Viajar em uma barca significa quevocê não tem quase nenhuma privacidade. Qualquer coisa que você fizer pode ser visto por outrapessoa.

Suponha que cada ilha representa uma rede local privada e que o oceano é a Internet. Viajar pelabarca é semelhante a quando você se conecta a um servidor web ou a outro dispositivo pelaInternet. Você não tem controle sobre os fios e os roteadores que compõem a Internet, assimcomo você não tem nenhum controle sobre as outras pessoas na barca. Isto o deixa vulnerável aproblemas de segurança caso você tente conectar-se entre duas redes privadas utilizando umrecurso público.

Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo mais fácil, maisseguro e direto de as pessoas viajarem entre as duas. A construção e a manutenção da pontesão caras, mesmo que a ilha para a qual você está se conectando seja muito próxima. Mas anecessidade de um caminho confiável e seguro é tão grande que você a constrói mesmo assim.Sua ilha gostaria de conectar-se a uma segunda ilha que está muito mais distante, mas vocêdecide que isso sairá muito caro.

Esta situação é muito parecida com ter uma linha alugada. As pontes (linhas alugadas) estãoseparadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas (redes locais).Muitas empresas escolheram esta rota por causa da necessidade de segurança e confiabilidadena conexão de seus escritórios remotos. Entretanto, se os escritórios forem muito distantes, o

custo poderá ser proibitivamente alto - assim como tentar criar uma ponte que atravessa umagrande distância.

Desse modo, como a VPN se ajusta a esta analogia? Nós poderíamos dar a cada habitante dasilhas seu próprio submarino pequeno com estas propriedades:

z Rápidoz Fácil de levar com você onde você for z Capaz de escondê-lo completamente de qualquer outro barco ou submarinoz Confiávelz Poucos custos para adicionar submarinos à sua frota depois que o primeiro for comprado

Embora eles estejam viajando no oceano junto com outro tráfego, os habitantes de nossas duasilhas poderiam viajar de um lado para o outro sempre que desejassem, com privacidade e





p g y g

segurança. É essencialmente dessa maneira que uma VPN funciona. Cada membro remoto desua rede pode comunicar-se de uma maneira segura e confiável utilizando a Internet como omeio para conectar-se à rede local privada. Uma VPN pode crescer a fim de acomodar maisusuários e locais diferentes de forma muito mais fácil do que uma linha alugada. Na realidade, aescalabilidade é uma vantagem principal que as VPNs têm sobre as linhas alugadas comuns.Diferente das linhas alugadas, onde o custo aumenta proporcionalmente às distâncias

envolvidas, as localizações geográficas de cada escritório pouco importam na criação de umaVPN.Exibir meio visual

Página 2:As organizações que utilizam VPNs beneficiam-se de um aumento na flexibilidade e naprodutividade. Locais e funcionários remotos podem conectar-se de modo seguro à redecorporativa de quase qualquer lugar. Os dados em uma VPN são criptografados e tornam-seindecifráveis a qualquer um que não tenha permissão para fazê-lo. As VPNs trazem hostsremotos para dentro do firewall, dando-lhes quase os mesmos níveis de acesso para osdispositivos de rede como se eles estivessem em um escritório corporativo.

A figura mostra as linhas alugadas em vermelho. As linhas azuis representam as conexõesbaseadas em VPN. Considere estes benefícios ao utilizar as VPNs:

z Economia de custo - As organizações podem utilizar um transporte de Internet econômicoe externo para conectar escritórios remotos e usuários ao site corporativo principal. Istoelimina links de WAN dedicados caros e bancos de modem. Utilizando a banda larga, asVPNs reduzem os custos de conectividade ao mesmo tempo em que aumentam a largurade banda de conexão remota.

z Segurança - Criptografia e protocolos de autenticação avançados protegem os dados deacessos não autorizados.

z Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPs e

operadoras, facilitando a adição de novos usuários pelas organizações. As organizações,grandes e pequenas, podem adicionar uma grande quantidade de capacidade semadicionar uma infra-estrutura significativa.

Exibir meio visual

6.3.2 Tipos de VPNs

Página 1:As organizações utilizam as VPNs ponto a ponto a fim de conectar locais espalhados da mesmamaneira que uma linha alugada ou conexão de Frame Relay é utilizada. Como a maioria dasorganizações agora têm acesso à Internet, é conveniente tirar proveito dos benefícios das VPNsponto a ponto. Conforme ilustrado na figura, as VPNs ponto a ponto também suportam intranetsde empresas e extranets de parceiros de negócios.

Com efeito, uma VPN ponto a ponto é uma extensão de um sistema de rede WAN clássico. AsVPNs ponto a ponto conectam redes inteiras umas às outras. Por exemplo, elas podem conectar uma rede de filial a uma rede da sede da empresa.

Em uma VPN ponto a ponto, os hosts enviam e recebem o tráfego de TCP/IP através de umgateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou um Mecanismo deSegurança Adaptável (ASA). O gateway de VPN é responsável por encapsular e criptografar otráfego de saída para todo o tráfego de um local específico e por enviá-lo por um túnel de VPN

sobre a Internet para um gateway de VPN de mesmo nível no local designado. Ao receber, ogateway de VPN de mesmo nível retira os cabeçalhos, descriptografa o conteúdo e retransmite opacote para o host designado dentro de sua rede privada.





p g y g

Exibir meio visual

Página 2:Os usuários móveis e funcionários à distância utilizam amplamente as VPNs de acesso remoto.

No passado, as corporações suportavam os usuários remotos utilizando redes discadas. Acessar a corporação geralmente envolvia uma chamada de longa distância e tarifas de interurbano.

A maioria dos funcionários remotos agora tem acesso à Internet de suas casas e podeestabelecer VPNs remotas utilizando conexões de banda larga. Da mesma forma, um funcionáriomóvel pode fazer uma chamada local para um ISP local a fim de acessar a corporação pelaInternet. De fato, isto marca uma evolução em redes discadas. As VPNs de acesso remotopodem suportar as necessidades dos funcionários à distância, usuários móveis, bem comoextranet para transações de comércio eletrônico.

Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente de VPN.Sempre que o host tenta enviar algum tráfego, o software de cliente de VPN encapsula ecriptografa esse tráfego antes de enviá-lo pela Internet para o gateway de VPN na extremidade

da rede designada. Ao receber, o gateway de VPN trata os dados da mesma maneira que tratariaos dados de uma VPN ponto a ponto.Exibir meio visual

6.3.3 Componentes da VPN

Página 1:Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pública enquanto mantém aconfidencialidade e a segurança. As VPNs utilizam protocolos de tunelamento criptográfico parafornecer proteção contra detecção de pacotes, autenticação de remetentes e integridade damensagem.

A figura ilustra uma topologia de VPN típica. Os componentes necessários para estabelecer estaVPN incluem:

z Uma rede existente com servidores e estações de trabalhoz Uma conexão com a Internetz Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN e ASAs, que

agem como pontos de extremidade para estabelecer, gerenciar e controlar as conexões deVPN

z Software apropriado para criar e gerenciar túneis de VPN

A chave para a efetividade da VPN é a segurança. As VPNs protegem os dados encapsulando-osou criptografando-os. A maioria das VPNs pode fazer os dois.

z O encapsulamento também pode ser chamado de tunelamento, uma vez que oencapsulamento transmite os dados de forma transparente de rede para rede através deuma infra-estrutura de rede compartilhada.

z A criptografia codifica os dados em um formato diferente utilizando uma chave secreta. Adescriptografia decodifica os dados criptografados no formato não criptografado original.

O encapsulamento e a criptografia são discutidos em mais detalhes posteriormente neste curso.Exibir meio visual





p g y g

6.3.4 Características de VPNs seguras

Página 1:As VPNs utilizam técnicas de criptografia avançadas e tunelamento para permitir que asorganizações estabeleçam conexões de rede seguras, fim-a-fim e privadas pela Internet.

A base de uma VPN segura é a confidencialidade e integridade dos dados e a autenticação:

z Confidencialidade dos dados - Uma preocupação de segurança comum é proteger osdados de interceptadores. Como um recurso de design, a confidencialidade de dadosprocura proteger o conteúdo das mensagens da intercepção por fontes não autenticadasou não autorizadas. As VPNs obtêm a confidencialidade utilizando mecanismos deencapsulamento e criptografia.

z Integridade de dados - Os receptores não têm nenhum controle sobre o caminho peloqual os dados passaram e, portanto, não sabem se os dados foram vistos ou alteradosenquanto viajava pela Internet. Existe sempre a possibilidade de os dados terem sidomodificados. A integridade de dados garante que não ocorra nenhuma falsificação oualteração aos dados enquanto eles viajam entre a origem e o destino. As VPNsnormalmente utilizam hashes para assegurar a integridade dos dados. Um hash é comouma checksum ou selo que garante que ninguém leu o conteúdo, mas ele é mais potente.Os hashes são explicados no próximo tópico.

z Autenticação - A autenticação garante que uma mensagem venha de uma origemautêntica e vá para um destino autêntico. A identificação de usuário proporciona ao usuárioa confiança de que a parte com a qual ele estabelece as comunicações é quem elerealmente pensa. As VPNs podem utilizar senhas, certificados digitais, smart cards ebiométrica para estabelecer a identidade dos participantes na outra extremidade de umarede.

Exibir meio visual

6.3.5 Tunelamento de VPN

Página 1:Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura quesomente as origens e os destinos determinados sejam capazes de interpretar o conteúdo originaldas mensagens.

O tunelamento permite o uso de redes públicas como a Internet para levar os dados parausuários como se os usuários tivessem acesso a uma rede privada. O tunelamento encapsula umpacote inteiro dentro de outro pacote e envia o novo pacote composto sobre uma rede. Estafigura lista as três classes de protocolos utilizadas pelo tunelamento.

Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento, considere umexemplo de um envio de um cartão de natal por correio tradicional. O cartão de natal tem umamensagem dentro. O cartão é o protocolo de passagem. O remetente coloca o cartão dentro deum envelope (protocolo de encapsulamento) com o endereçamento apropriado escrito. Oremetente coloca o envelope em uma caixa de correio para entrega. O sistema postal (protocolode operadora) escolhe e entrega o envelope para a caixa de correio do destinatário. Os doispontos de extremidade no sistema da operadora são as "interfaces de túnel." O destinatárioremove o cartão de natal (extrai o protocolo de passagem) e lê a mensagem.

Clique no botão Encapsulamento na figura para exibir uma ilustração do processo deencapsulamento.

Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexão de VPN. OPPP leva a mensagem ao dispositivo de VPN, onde a mensagem é encapsulada dentro de umpacote de Encapsulamento de Rota Genérico (GRE, Generic Route Encapsulation). O GRE é um





p g y g

protocolo de tunelamento desenvolvido pela Cisco Systems que pode encapsular uma amplavariedade de tipos de pacote de protocolo dentro de túneis IP, criando um link ponto a pontovirtual para roteadores da Cisco em pontos remotos sobre uma rede IP interconectada. Na figura,o endereçamento de origem e destino externo do pacote é atribuído para "interfaces de túnel" e écolocado em condição de roteamento através da rede. Quando um pacote composto alcança ainterface de túnel de destino, o pacote interno é extraído.

Exibir meio visual

6.3.6 Integridade de dados da VPN

Página 1:Se os dados de texto simples forem transportados pela Internet pública, eles poderão ser interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados. Acriptografia de VPN criptografa os dados e os torna ilegíveis para receptores não autorizados.

Para que a criptografia funcione, o remetente e o receptor devem conhecer as regras utilizadaspara transformar a mensagem original em seu formato codificado. As regras de criptografia de

VPN incluem um algoritmo e uma chave. Um algoritmo é uma função matemática que combinauma mensagem, texto, dígitos ou os três com uma chave. A saída de dados é uma cadeia decódigos ilegível. A descriptografia é extremamente difícil ou impossível sem a chave correta.

No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail e Jeremyconcordaram previamente com uma chave secreta compartilhada. Na extremidade de Gail, osoftware de cliente de VPN combina o documento com a chave secreta compartilhada e a passaatravés de um algoritmo de criptografia. A saída de dados é um texto de códigos indecifrável. Otexto de códigos é enviado por um túnel de VPN sobre a Internet. Na outra extremidade, amensagem é recombinada com a mesma chave secreta compartilhada e processada pelo mesmoalgoritmo de criptografia. A saída de dados é o documento financeiro original que agora estálegível para Jeremy.Exibir meio visual

Página 2:O grau de segurança proporcionado por qualquer algoritmo de criptografia depende do tamanhoda chave. Para qualquer tamanho de chave determinado, o tempo necessário para processar todas as possibilidades para decodificar o texto codificado é uma função de potência decomputação do computador. Portanto, quanto menor a chave, mais fácil é a decodificação, mas,ao mesmo tempo, mais fácil é transmitir a mensagem.

Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados são:

z Algoritmo de criptografia padrão de dados (DES) - Desenvolvido pela IBM, o DES utilizauma chave de 56 bits, assegurando uma criptografia de alto desempenho. O DES é umsistema de criptografia de chave simétrica. As chaves simétricas e assimétricas sãoexplicadas abaixo.

z Algoritmo DES triplo (3DES) - Uma variante mais nova do DES que criptografa com umachave, decodifica com outra chave diferente e, em seguida, criptografa uma última vez comoutra chave. O 3DES proporciona uma potência significativamente maior ao processo decriptografia.

z Criptografia padrão avançada (AES) - O Instituto Nacional de Padrões e Tecnologia(NIST) adotou o AES para substituir a criptografia de DES existente em dispositivoscriptográficos. O AES proporciona uma segurança mais forte do que o DES e é maiseficiente que o 3DES do ponto de vista computacional. O AES oferece três tamanhos dechave diferentes: chaves de 128, 192, e 256 bits.

z Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chave assimétrica. Aschaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.





p g y g

Criptografia simétrica

Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secreta compartilhadapara executar criptografia e descriptografia. Cada um dos dois computadores deve conhecer achave para decodificar as informações. Com a criptografia de chave simétrica, também chamada

de criptografia de chave secreta, cada computador criptografa as informações antes de enviá-laspela rede para o outro computador. A criptografia de chave simétrica exige o conhecimento dequais computadores se comunicarão de modo que a mesma chave possa ser configurada emcada computador.

Por exemplo, um remetente cria uma mensagem codificada onde cada letra é substituída pelaletra que está duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", e assim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente já contou ao destinatárioque a chave secreta é "trocar por 2 antes”. Quando o destinatário receber a mensagemUGETGV, o computador do destinatário decodificará a mensagem deslocando-se para duasletras antes e calculando SECRET. Qualquer outra pessoa que veja a mensagem enxergarásomente a mensagem criptografada, que não tem sentido a menos que a pessoa saiba a chavesecreta.

A pergunta é: como ambos os dispositivos de criptografia e descriptografia possuem a chavesecreta compartilhada? Você pode utilizar o email, mensageiro ou correio noturno para enviar aschaves secretas compartilhadas aos administradores dos dispositivos. Outro método mais fácil eseguro é a criptografia assimétrica.

Criptografia assimétrica

A criptografia assimétrica utiliza diferentes chaves para criptografia e descriptografia. Conhecer uma das chaves não permite que um hacker deduza a segunda chave e decodifique asinformações. Uma chave criptografa a mensagem, enquanto uma segunda chave descriptografaa mensagem. Não é possível criptografar e descriptografar com a mesma chave.

A criptografia de chave pública é uma variante da criptografia assimétrica que utiliza umacombinação de uma chave privada e uma chave pública. O destinatário fornece uma chavepública a qualquer remetente com quem o destinatário deseja se comunicar. O remetente utilizauma chave privada combinada com a chave pública do destinatário para criptografar amensagem. Além disso, o remetente deve compartilhar sua chave pública com o destinatário.Para descriptografar uma mensagem, o destinatário utilizará a chave pública do remetente comsua própria chave privada.Exibir meio visual

Página 3:

Os hashes contribuem com a integridade e autenticação de dados assegurando que pessoas nãoautorizadas não adulterem as mensagens transmitidas. Um hash, também chamado de resumode mensagem (message digest), é um número gerado a partir de uma cadeia de texto. O hash émenor que o próprio texto. Ele é gerado utilizando uma fórmula de tal modo que sejaextremamente improvável que outro texto produza o mesmo valor de hash.

O remetente original gera um hash da mensagem e o envia com a própria mensagem. Odestinatário descriptografa a mensagem e o hash, gera outro hash da mensagem recebida ecompara os dois hashes. Se eles forem os mesmos, o destinatário poderá ficar razoavelmenteseguro de que a integridade da mensagem não foi afetada.

Na figura, alguém está tentando enviar um cheque de US$100 para Jeremy. Na extremidaderemota, Alex Jones (um provável criminoso) está tentando trocar o cheque para $1.000. Como o

cheque passou pela Internet, ele foi alterado. Tanto o destinatário quanto a quantia em dólar foram alterados. Neste caso, se um algoritmo de integridade de dados fosse utilizado, os hashes





p g y g

não seriam correspondentes e a transação não seria mais válida.

Os dados de VPN são transportados pela Internet pública. Como mostrado, há um potencial paraque esses dados sejam interceptados e modificados. Para se proteger dessa ameaça, os hostspodem adicionar um hash à mensagem. Se o hash transmitido corresponder ao hash recebido, aintegridade da mensagem terá sido preservada. Entretanto, se não houver nenhuma

correspondência, a mensagem foi alterada.

As VPNs utilizam um código de autenticação de mensagem para verificar a integridade e aautenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. Um HMAC (KeyedHashed Message Authentication Code, Código de Autenticação de Mensagem com Chave deHash) é um algoritmo de integridade de dados que garante a integridade da mensagem.

Um HMAC possui dois parâmetros: uma entrada de mensagem e uma chave secreta conhecidassomente pelo remetente e receptores pretendidos. O remetente da mensagem utiliza uma funçãoHMAC para gerar um valor (o código de autenticação da mensagem), formado pela compactaçãoda chave secreta e da entrada da mensagem. O código de autenticação da mensagem é enviado junto com a mensagem. O receptor computa o código de autenticação da mensagem namensagem recebida utilizando a mesma chave e função HMAC que o remetente utilizou e

compara o resultado computado com o código de autenticação de mensagem recebido. Sehouver correspondência entre os dois valores, a mensagem será recebida corretamente e oreceptor terá a segurança de que o remetente é um membro da comunidade de usuários quecompartilham a chave. A potência criptográfica do HMAC depende da potência criptográfica dafunção de hash, do tamanho e da qualidade da chave, e do tamanho da saída de dados de hashproduzida em bits.

Existem dois algoritmos HMAC comuns:

z Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits. Amensagem de tamanho variável e chave secreta compartilhada de 128 bits sãocombinadas e executadas pelo algoritmo hash de HMAC-MD5. A saída de dados é um

hash de 128 bits. O hash é acrescentado à mensagem original e encaminhado àextremidade remota.z Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits. A

mensagem de tamanho variável e chave secreta compartilhada de 160 bits sãocombinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A saída de dados é umhash de 160 bits. O hash é acrescentado à mensagem original e encaminhado àextremidade remota.

Clique no botão Autenticação de VPN na figura.

Ao administrar os negócios à longa distância, é necessário saber quem está na outraextremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivo da outraextremidade do túnel de VPN deve ser autenticado antes de o caminho de comunicação ser

considerado seguro. Existem dois métodos de autenticação do ponto (peer):

z Chave pré-compartilhada (PSK, Pre-shared key) - Uma chave secreta que écompartilhada entre os dois participantes utilizando um canal seguro antes de precisar ser utilizada. As PSKs utilizam algoritmos criptográficos de chave simétrica. Uma PSK écolocada em cada ponto manualmente e utilizada para autenticar esse ponto. Em cadaextremidade, a PSK é combinada com outras informações para formar a chave deautenticação.

z Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os pontos. Odispositivo local produz um hash e o criptografa com sua chave privada. O hashcriptografado (assinatura digital) é anexado à mensagem e encaminhado à extremidaderemota. Na extremidade remota, o hash criptografado é descriptografado utilizando a chave

pública da extremidade local. Se o hash descriptografado corresponder ao hashrecomputado, a assinatura será genuína.





p g y g

Observe uma demonstração de RSA para obter um exemplo de c riptografia de RSA.Exibir meio visual

6.3.7 Protocolos de segurança IPsec

Página 1:O IPsec é o c onjunto de aplic ações de protoc olo para proteger as c omunic ações de IP, quefornec e c riptografia, integridade e autentic ação. O IPsec explic ita a transmissão de mensagensnec essária para proteger as c omunic ações de VPN, mas c onfia nos algoritmos existentes.

Existem dois protoc olos de estrutura IPsec princ ipais.

z Cabeçalho de autenticação (AH, Authentication header) - Utilizado quando não seexige ou permite a c onfidenc ialidade. O AH fornec e a autentic ação e a integridade dedados e para pac otes IP transmitidos entre dois sistemas. Ele verific a se as mensagenstransmitidas de R1 para R2 não foram modific adas durante o trânsito. Ele também verific ase a origem dos dados era R1 ou R2. O AH não fornec e a c onfidenc ialidade de dados(c riptografia) dos pac otes. Se for utilizado sozinho, o protoc olo AH fornec e uma frac aproteção. Conseqüentemente, ele é utilizado c om o protoc olo ESP para fornec er ac riptografia de dados e rec ursos de segurança de monitoramento c ontra adulterações.

z Payload de segurança de encapsulamento (ESP, Encapsulating Security Payload) -Fornec e c onfidenc ialidade e autentic ação através da c riptografia do pac ote IP. Ac riptografia do pac ote IP oc ulta os dados e as identidades da origem e do destino. O ESPautentic a o pac ote IP interno e o c abeçalho de ESP. A autentic ação proporc iona aautentic ação da origem de dados e a integridade dos dados. Embora a c riptografia e aautentic ação sejam opc ionais no ESP, no mínimo uma delas deve ser selec ionada.

Clique no botão Estrutura IPsec na figura.

O IPsec c onta c om os algoritmos existentes para implementar a c riptografia, a autentic ação e atroc a de c haves. Alguns dos algoritmos padrão que o IPsec utiliza são:

z DES - Criptografa e desc riptografa os dados do pac ote.z 3DES - Fornec e uma potênc ia de c riptografia signifi c ativa sobre o DES de 56 bits.z AES – Proporc iona uma c riptografia mais potente, dependendo do tamanho de c have

utilizada, bem c omo uma melhor produtividade.z MD5 - Autentic a os dados do pac ote, utilizando uma c have sec reta c ompartilhada de 128

bits.z SHA-1 - Autentic a os dados do pac ote, utilizando uma c have sec reta c ompartilhada de 160

bits.z DH - Permite que os dois parti c ipantes estabeleçam uma c have sec reta c ompartilhada

utilizada pela c riptografia e pelos algoritmos hash, por exemplo, o DES e MD5, sobre umc anal de c omunic ações não seguro.

A figura mostra c omo o IPsec é c onfigurado. O IPsec fornec e a estrutura e o administrador esc olhe os algoritmos utilizados para implementar os serviços de segurança dentro dessaestrutura. Existem quatro quadrados da estrutura de IPsec a serem preenc hidos.

z Ao c onfigurar um gateway de IPsec para fornec er serviços de segurança, esc olha primeiroum protoc olo IPsec . As esc olhas são: ESP ou ESP c om AH.

z O segundo quadrado será um algoritmo de c riptografia se o IPsec for implementado c om

ESP. Esc olha o algoritmo de c riptografia apropriado para o nível desejado de segurança:DES, 3DES ou AES.

z O terc eiro quadrado é a autentic ação. Esc olha um algoritmo de autentic ação para fornec er





p g y g

a integridade dos dados: MD5 ou SHA.z O último quadrado é o grupo de algoritmos Diffie-Hellman (DH). Que estabelece o

compartilhamento das informações da chave entre os pontos. Escolha qual grupo utilizar:DH1 ou DH2.

Exibir meio visual

Página 2:Exibir meio visual


6.4 Resumo do capítulo6.4.1 Resumo do capítulo

Página 1:Neste capítulo, você aprendeu sobre a importância crescente dos funcionários remotos. Vocêpode descrever os requisitos de uma organização para fornecer serviços de funcionário remotoem termos do que o funcionário remoto precisa e do que a organização precisa para fornecer uma conectividade confiável e econômica. Entre os modos preferidos para conectar osfuncionários remotos, você pode descrever como utilizar os serviços de banda larga, inclusive oDSL, cabo e sem fio. Além disso, você sabe como a tecnologia de VPN pode ser utilizada parafornecer serviços de funcionário remoto seguros nas organizações, incluindo a importância, osbenefícios, a função e o impacto da tecnologia de VPN, bem como os tipos de acesso,

componentes, tunelamento e criptografia.Exibir meio visual


Página 3:Esta atividade exige que você configure uma rota padrão bem como um roteamento dinâmicoutilizando o RIP versão 2. Você também adicionará dispositivos de banda larga à rede. Por fim,

você irá configurar as ACLs em dois roteadores para controlar o tráfego de rede.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.Exibir meio visual

6.5 Teste do capítulo

6.5.1 Teste do capítulo

Página 1:





p g y g

Exibir meio visual

Ir para a próximaIr para a anterior Ir para a parte superior

All contents copyright © 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy.

Sobre


08/07/2011htt // i l t d t/ i t / l t/ li d li d i l t CCS

CCNA 4.0 - AW - 06 Serviço de funcionario remoto

Documents

Transcript of CCNA 4.0 - AW - 06 Serviço de funcionario remoto