Introdução às Redes e

Protocolos TCP/IP

Sessão nº4Jorge Gomes

jorge@lip.pt

Virtual LANs

Virtual LAN (VLAN)• Tal como uma LAN uma VLAN pode ser definida como

um domínio de broadcast:

– Um pacote de broadcast chega a todas as estações da VLAN

– Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN

• VLANs permitem a separação das portas dos switches

– Podem criar-se subconjuntos de portas que funcionam como

uma LAN independente

– Permite criar uma rede virtual dentro da rede física

SWITCH

VLAN 1 VLAN 2 VLAN 3

SWITCHSWITCH

Virtual LAN (VLAN)

• Uma VLAN pode atravessar múltiplos switches

VLAN 1 VLAN 2

VLAN 2 VLAN 3

SWITCH A

SWITCH B

VLAN 2

SWITCH C

Virtual LAN (VLAN)

• Uma VLAN pode atravessar múltiplos switches

VLAN 1 VLAN 2

VLAN 2

SWITCH A

SWITCH Z

SWITCH sem

suporte p/ VLANs

Todas as portas

ficam na mesma

VLAN

Virtual LAN (VLAN)

• As VLANs pode atravessar múltiplos switches

VLAN 1 VLAN 2

VLAN 2 VLAN 1

SWITCH A

SWITCH Y

VLAN Trunk

Uma porta com múltiplas VLANs

Virtual LAN (VLAN)

• Uma porta de switch ou uma interface de rede de uma

maquina pode ser adicionada a uma VLAN de duas

formas:

– Untagged

– Tagged

Virtual LAN (VLAN)• Untagged

– A VLAN untagged é configurada na porta do switch

– Do lado do computador não é necessário fazer NADA

– Todo o tráfego enviado pela interface do computador para a

porta do switch é automaticamente colocado na VLAN

configurada

– Só pode haver uma VLAN untagged por porta do switch

– Uma interface de rede de um computador só pode pertencer a

uma VLAN untagged

– Sob o ponto de vista do computador nem se percebe que está

ligado numa VLAN

– É o switch que coloca todo o tráfego na VLAN configurada

Virtual LAN (VLAN)• Untagged

– Uma porta está associada a uma única VLAN especifica

– Não é preciso configurar nada do lado dos computadores

– Os frames recebidos nas portas do switch são colocados na

VLAN escolhida

Interface vlan 21

Untagg GigabitEthernet 1

Untagg GigabitEthernet 2V

LA

N 2

1

Gi1

Gi2

Virtual LAN (VLAN)• Tagged

– A interface do computador e a porta do switch têem de ser

ambas explicitamente configuradas

– Com interfaces tagged uma interface pode pertencer a

múltiplas VLANs

– Cada interface adiciona informação ao header do frame

Ethernet sobre a VLAN a que o frame pertence:

• Tanto do lado do computador como do switch de rede

• Requer frames Ethernet com suporte para VLANs

– As interfaces recebem os frames e de acordo com a marca

(TAG) e encaminham os frames no contexto da VLAN

pretendida

• Quando uma interface recebe um frame verifica se a marca (TAG)

do frame corresponde a alguma das VLANs configuradas na porta

• Caso não corresponda a interface deita o frame fora

Virtual LAN (VLAN)• Tagged

– Uma porta pode estar associada a mais de uma VLAN

– É preciso mapear as portas dos switches nas VLANs

Interface vlan 21

tagg GigabitEthernet 1

Interface vlan 57

tagg GigabitEthernet 1

Gi1

VL

AN

57

Gi28

VL

AN

21

Interface vlan 21

tagg GigabitEthernet 28

Interface vlan 57

tagg GigabitEthernet 28

VL

AN

57

VL

AN

21

Virtual LAN (VLAN)• Tagged

– Uma porta/interface pode estar associada a mais de uma VLAN

– Do lado do computador é preciso configurar interfaces virtuais

mapeadas nas VLANs

– Para o sistema operativo do computador é como se a maquina

tivesse múltiplas interfaces de rede

Interface vlan 21

tagg GigabitEthernet 1

tagg GigabitEthernet 2

Interface vlan 57

tagg GigabitEthernet 1Gi1

Gi2

VL

AN

57

VL

AN

21

Interface eth0

vconfig add eth0 21

vconfig add eth0 57

ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up

ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up

Virtual LAN (VLAN)• Tagged e Untagged

– Também é possível ter uma única default VLAN untagged e

múltiplas VLANs tagged

– Tráfego originário da estação que não tenha TAG é

encaminhado para a VLAN default

– Tráfego com TAG vai para a VLAN correspondente

Interface vlan 21

tagg GigabitEthernet 1

Interface vlan 57

untagg GigabitEthernet 1

Gi1

VL

AN

57

VL

AN

21

vconfig add eth0 21

ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up

ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up

Interface eth0

Virtual LAN (VLAN)

• Em RH configurar uma VLAN através dos ficheiros de

configuração

/etc/sysconfig/network-scripts/ifcfg-eth0.21

DEVICE=eth0.21

VLAN=yes

ONBOOT=no

BOOTPROTO=none

TYPE=Ethernet

IPADDR= 193.139.66.1

NETMASK=255.255.255.0

Virtual LAN (VLAN)• A introdução de tags implica novos campos nos frames

Ethernet (cabeçalho 802.1q com 32bits):– Tag protocol id = 0x8100 (16bits) para identificar um frame tagged

– Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima

– Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring

– VLAN id = (12bits) para indicar a VLAN

• Atenção ao VLAN identifier:

– VLAN id 1 é frequentemente usada para a VLAN de gestão

– VLAN id 0xFFF é reservada e não pode ser usada

– VLAN id 0 significa que o frame não pertence a uma VLAN

pode ser usado para ter CoS sem VLAN

Virtual LAN (VLAN)

• O tamanho máximo de um frame Ethernet

untagged são 1518 bytes excluindo:

– Preambulo

– Inicio de frame

– Trailer

• Para manter o MTU em 1500 bytes o tamanho

máximo de um frame tagged é na maioria dos

equipamentos 1522 bytes

– 4 bytes de header 802.1q

VLAN in VLAN• Usado por fornecedores de serviço para encapsularem

nas suas VLANs tráfego de clientes que possui tags

802.1q

• Acrescenta mais um header de 32bits tipo 802.1q

• A service provider tag pode variar:

– 0x9100, 0x9200, 0x9300

– A norma 802.1ad especifica a service provider flag em 0x88a8

Virtual LAN (VLAN)

Force10#sh vlan

Codes: * - Default VLAN, G - GVRP VLANs

Q: U - Untagged, T - Tagged

x - Dot1x untagged, X - Dot1x tagged

G - GVRP tagged, M - Vlan-stack

NUM Status Description Q Ports

1 Active REDE DE Gestao T Te 0/6-7

T Gi 5/43

45 Active REDE WIRELESS T Te 0/2

T Gi 6/1

U Gi 6/3,11

* 68 Active REDE CENTRAL U Te 2/0,6-7

T Gi 6/5-7,21-38

14 Inactive REDE DE TESTE

Virtual LAN (VLAN)

Force10#sh running

!

interface Vlan 43

description VLAN PARA A REDE IP 172.70.51.0

name VLAN DA TRETA

ip address 172.70.51.254/24

untagged GigabitEthernet 5/8,20-22,40-43

ip helper-address 172.70.2.167

no shutdown

!

Virtual LAN (VLAN)

Cisco#sh vlan

Codes: * - Default VLAN, G - GVRP VLANs

Q: U - Untagged, T - Tagged

x - Dot1x untagged, X - Dot1x tagged

G - GVRP tagged, M - Vlan-stack

NUM Status Description Q Ports

1 Active REDE DE Gestao T Te 0/6-7

T Gi 5/43

45 Active REDE WIRELESS T Te 0/2

T Gi 6/1

U Gi 6/3,11

* 68 Active REDE CENTRAL U Te 2/0,6-7

T Gi 6/5-7,21-38

14 Inactive REDE DE TESTE

Virtual LAN (VLAN)

cisco#sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

34 default active

61 MY VLAN active Gi1/43, Gi1/14, Gi1/35, Gi1/26

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

34 enet 100001 1500 - - - - - 0 0

61 enet 100005 1500 - - - - - 0 0

Spanning Tree

Spanning Tree

• STP - Spanning Tree Protocol (IEEE 802.1D):

– evita loops na rede

– permite criar ligações redundantes

• Funcionamento:

– usa apenas uma ligação e inibe as outras

– se houver uma quebra da ligação activa usa uma ligação que estava

inibida

• Requer suporte de spanning-tree em todos os dispositivos

– switches e bridges

SWITCH A SWITCH B SWITCH C

A B

Spanning Tree

• O STP foi inventado pela digital (DEC)

• Mais tarde foi criado um standard pela IEEE

• Existem diferenças entre as duas implementações

– Não são compativeis

– Alguns equipamentos possuem ambas as implementações

• Mesmo com equipamentos que obedecem a uma mesma

especificação:

– Por vezes surgem problemas

– Especialmente devido a parametrizações diferentes (timers etc)

Spanning Tree

• Cada bridge possui um identificador (bridge-id) de 8

bytes:– 2 primeiros bytes são uma prioridade

– 6 últimos bytes são obtidos de um MAC address

• De entre todas as bridges a que tiver menor bridge-id é eleita

ROOT BRIDGE

• O algoritmo calcula:

– O caminho com menor custo de todos os segmentos de rede até à root

bridge

– Em situações em que existe mais de um caminho possível é escolhido o

caminho através da bridge com menor bridge-id

– O custo de cada interface depende da sua velocidade

– Os custos podem ser configurados manualmente para mudar a

topologia

Spanning Tree

• As bridges trocam entre si mensagens:

– Bridge Protocol Data Units (BPDUs)

– Para conhecer os bridge-ids

– Para conhecer os root path costs

• Os BPDUs:

– Funcionam em Layer 2

– Endereço de origem é o endereço Ethernet da porta que

transmite

– Endereço de destino é o grupo de multicast 01:80:C2:00:00:00

• Tipos de BPDUs:

– Configuration BPDUs (CBPDUs) usados para calculo da arvore

– Topology Change Notification (TCN BPDU) para anuncio da

alterações na topologia de rede

– Topology Change Notification Acknowledgment (TCA)

Spanning Tree

• Os BPDUs são trocados constantemente para detecção

de alterações de topologia

• Os TCN BPDUs são usados para notificar da alteração

de estado de portas das bridges

• Quando um switch arranca espera durante 30s

– Para aprender a topologia através dos BPDUs recebidos

– Para aprender endereços

– Para verifica se pode causar um loop

– Se puder ser causa de loop bloqueia as portas necessárias

– Só então começa a fazer forwarding de pacotes

Spanning Tree Protocol

STP baseia-se em grafos

RP: root port

DP: designated port

BP: blocked port

Spanning Tree

• Custos para cada tipo de interface:

Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001)

4 Mbit/s 250 5,000,000

10 Mbit/s 100 2,000,000

16 Mbit/s 62 1,250,000

100 Mbit/s 19 200,000

1 Gbit/s 4 20,000

2 Gbit/s 3 10,000

10 Gbit/s 2 2,000

Spanning Tree

• RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)

– STP com convergência mais rápida (6s em vez de 30-50s)

– Refinamento do STP, é a referência actual

• MSTP – Multiple Spanning Tree Protocol

– IEEE802.1s e IEEE802.1Q

– Extensão do RSTP para suportar VLANs (uma Tree por VLAN)

• PVST e PVST+ – Per VLAN Spanning Tree

– STP por VLAN

– Protocolo proprietário da CISCO

• R-PVST – Rapid Per VLAN Spanning Tree

– Versão Rapid Spanning Tree do PVST proprietária da CISCO

Routers e Switches

Routers e Switches• Switch L2

– Encaminha frames de baixo nível (nível 2)

• Ethernet, FDDI, ATM, etc …

– Não sabe o que é um protocolo L3 como o TCP/IP

– Não consegue encaminhar frames para fora de um domínio de

broadcast

• Router ou um Switch L3

– Encaminha pacotes de alto nível (nível 3)

• TCP/IP, Netbios, IPX, DECnet , etc …

– Interpreta a informação L3 contida no payload dos frames

– Pode ser usado para interligar:

• Domínios de broadcast

• Diferentes tipos de redes físicas

• Virtual LANs

LAN – Azul

LAN – Cinzenta

Routers e Switches

Switch L2AB

Pacote TCP/IP

para Z

Router azul

Rede ATM

Z

• As LANs azul e cinzenta são domínios

de broadcast diferentes

• Um único frame Ethernet não pode

percorrer o trajecto de A para Z

• O pacote TCP/IP tem de ser enviado – Dentro de um frame Ethernet de A para o

endereço Ethernet do router cinzento

– Dentro de células ATM do router cinzento

com destino ao azul

– Dentro de um frame Ethernet do router azul

para o endereço Ethernet de Z

Router

Cinzento

Routers e Switches

Switch

L2/L3

Force10

Switch

L2/L3

Force10

Switch

L2/L3

Force10

Router

L3

CISCO

FCCN

Nuvem L2

Ethernet

LAN

LAN

LAN

DMZ

FCCN

Switch

L3

RCTS

Internet

Nó

Central

LNEC

LIP

Coimbra

LIP

Lisboa

• Uma nuvem L2 Ethernet

fornecida pela FCCN

interliga os 3 locais

• Os equipamentos L2 da

FCCN só vêem os frames

Ethernet

• Dentro dos frames vão

pacotes TCP/IP (L3)

• Os switches/routers do LIP

processam a informação L3

Shaping, Policing e Qualidade

de Serviço em Layer 2

Shaping e Policing• Por vezes é necessário limitar a largura de banda de uma interface

de rede ou de um tipo de tráfego:

– Alocação de largura de banda a determinados tipos de tráfego

– Diminuir a probabilidade de perda de pacotes

– Forçar a utilização a um limite acordado

• Shaping:

– Introduzir intervalos entre a transmissão de pacotes de forma a limitar

a largura de banda

– Usa-se apenas à saída de uma interface

• Policing:

– Limitar o tráfego deitando fora todos os pacotes acima de uma largura

de banda predeterminada

– Pode usar-se à saída ou à entrada de uma interface

10Mbps 1Mbps 7Mbps

Pode fazer sentido limitar a

1Mbps para tudo o que vai

para além de B

A B C D

Shaping e Policing• Shaping

– Existem diversos algoritmos e métodos de shaping:

– Token Bucket

– Leaky Bucket

– Controlo artificial to TCP manipulando as janelas e os ACKs

– Pode obrigar à perda de pacotes quando o buffer ou fila de

transmissão está cheia

– Quando se deita fora os pacotes da cauda funciona como policing

– É preferível usar algoritmos mais “inteligentes” para deitar alguns

pacotes fora e evitar que a fila encha (drop mais esparso)

– Algoritmos de congestion avoidance:

– Random Early Detect (RED)

– Weigthed Random Early Detect (WRED)

– Ao longo de um caminho o shaping deve ser feito o mais cedo possível

– Um bom shaping requer:

– Mais “inteligência” nos dispositivos de rede

– Sobretudo um grande buffer de acordo com a capacidade da interface

– Não existe em todos os dispositivos de redes

Shaping e Policing• Policing

– Como o tráfego que ultrapassa o limite é deitado fora as perdas podem

ser extremamente concentradas no tempo

– Caso os protocolos não reajam bem à perda de pacotes

– Falta de mecanismos de feedback e ajuste

– Pode causar disrupção como se houvesse períodos de falta de

conectividade

– O impacto da perda é mais acentuado do que no shaping

– Como não existe buffering é mais simples de implementar

– Como não requer algoritmos sofisticados é mais simples de

implementar

Shaping e Policing

Shaping e Policing

• Todas os protocolos bem concebidos devem possuir

mecanismos de adaptação à perda de pacotes:

– Retransmissão

– Feedback notificação de que os pacotes não chegaram

– Auto adaptação à perda de pacotes envio a um ritmo menor

– Em tráfego de tempo real como voz e vídeo idealmente a

qualidade deve ser adaptada dinamicamente à largura de

banda disponível

• Se o mecanismo não existir no protocolo usado então

deve ser implementado ao nível da aplicação:

– Ao nível da aplicação pode efectuar-se uma adaptação mais

inteligente

– Por ex: um sistema de monitorização pode enviar a informação

mais espaçada ou dar prioridade a alguma informação em

detrimento de outra

Shaping e Policing

• Efectuar shaping numa interface de um Force10 para

todo o tráfego à saida

– Fazer o shapping a 600Mbps com burst de 20KBytes

Force10#config

Force10(conf)#interface gigabitethernet 1/0

Force10(conf-if)#rate shape 600 20

Force10(conf-if)#end

Force10 #

Shaping e Policing

• Efectuar policing numa interface de um Force10 para

todo o tráfego à entrada

– Largura de banda garantida 80Mbps com burst de 50KBytes

– Pico 90Mbps com burst de 60KBytes

Force10#config t

Force10(conf)#interface gigabitethernet 1/0

Force10(conf-if)#rate police 80 50 peak 90 60

Force10(conf-if)#end

Force10#

Shaping e Policing e

Classificação• Métodos mais sofisticados incluem a classificação do

tráfego de acordo com as suas características:

– Origem, destino, protocolo, etc

• Cada classe de tráfego pode então ser tratada de forma

diferenciada:

– Limites de utilização diferentes

– Shaping ou policing

– Algoritmos de drop diferentes etc

• A classificação é muito importante para privilegiar o

tráfego interactivo ou de tempo real sobre outros tipos

de tráfego

Quality of Service

• Quality of Service (QoS) em redes de dados é a

capacidade de tratamento diferenciado para:

– Determinados tipos de tráfego

– Determinados fluxos de tráfego

• Objectivo garantir níveis de desempenho diferenciados

de acordo com as necessidades

• A qualidade de serviço é importante:

– Quando a largura de banda total é insuficiente para as

necessidades

– Quando algum tráfego é mais importante ou necessita de

largura de banda ou atraso mínimos garantidos

– Exemplos: voz e dados numa mesma rede

Quality of Service• Existem diversos factores que podem afectar a

qualidade de um serviço de rede:– Largura de banda

– Perda de pacotes

– Atraso

– Variações no atraso (jitter)

– Entrega fora de sequencia

– Erros

• Exemplos de aplicações que necessitam/beneficiam de QoS:

– Aplicações interactivas que requerem resposta em tempo real (cirurgia remota)

– Voice Over IP (VOIP)

– Videoconferência

– Protocolos de controle da própria rede

• O problema surge quando se mistura numa mesma rede tráfego

com requisitos de qualidade de serviço com tráfego de dados geral

Quality of Service• A maior parte das redes incluindo a Internet funcionam

como serviços best-effort:

– Não há qualquer garantia de serviço

– Não há tratamento diferenciado

• A implementação de mecanismos de qualidade de

serviço é extremamente complexa:

– A qualidade de serviço para funcionar tem de ser respeitada

por todos os equipamentos ao longo de todo o caminho

– Requer processamento adicional

– A maioria dos equipamentos está concebia para efectuar

encaminhamento rápido indiferenciado

• Frequentemente é preferível resolver os problemas

aumentando a largura de banda !

Ethernet QoS• IEEE 802.1p ou Class of Service (CoS)

• Define um campo de 3 bits

– Usado para implementar prioritização

– Presente nos frames 802.1q usados nas VLANs com tagging

• O campo define 8 classes de serviço:

– 0 best effort

– 1 background

– 2 spare

– 3 excellent effort

– 4 controlled load

– 5 video

– 6 voice

– 7 network control

Ethernet QoS Force10• Por exemplo num Force10 C300 as 8 prioridades são

mapeadas em 4 filas:

– dot1p 0, 1 fila 1 13.3%

– dot1p 2, 3 fila 0 6.6%

– dot1p 4, 5 fila 2 26.6%

– dot1p 6, 7 fila 3 53.3%

• O tráfego de entrada de uma interface pode ser

classificado numa prioridade

Force10# config

Force10(conf)# interface gigabitethernet 1/0

Force10(conf-if)# switchport

Force10(conf-if)# description IP-TELEPHONES

Force10(conf-if)# dot1p-priority 6

Force10(conf-if)# end

Ethernet QoS Force10• Pode configurar-se as interfaces para respeitar a

marcação dos pacotes que entram no switch

• Por defeito na maioria dos switches (Force10 incluído)

as marcações dot1p não são respeitadas

Force10# config t

Force10(conf)# interface gigabitethernet 1/0

Force10(conf-if)# service-class dynamic dot1p

Force10(conf-if)# end

Ethernet QoS Force10

• Pode mudar-se a atribuição de largura de banda às

queues através de pesos

• Mudando os valores default que são aplicáveis a todas

as interfaces

Force10# config t

Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32

queue2 64 queue3 128

Ethernet QoS Force10

• Pode mudar-se a atribuição de largura de banda às

queues através de pesos

Force10(conf)# qos-policy-output DATA

Force10(conf-qos-policy-out)# bandwidth-weight 8

Force10(conf)# qos-policy-output IMPORTANT

Force10(conf-qos-policy-out)# bandwidth-weight 64

Force10(conf-qos-policy-out)#

Force10(conf)# policy-map-output MY-OUT-POLICY

Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA

Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT

Force10(conf-policy-map-out)#

Force10(conf)# interface gigabitethernet 1/0

Force10(conf-if)# service-policy output MY-OUT-POLICY

Force10(conf-if)# end

Wi-Fi

Wi-Fi• Tecnologia Wireless Local Area Network IEEE 802.11

– Comunicação sem fios através de radiofrequências

• Algumas das normas IEEE 802.11:

– 802.11a 54Mbps 23Mbps 5GHz

– 802.11b 11Mbps 4.3Mbps 2.4GHz

– 802.11g 54Mbps 19Mbps 2.4GHz

– 802.11n 600Mbps 30/130Mbps 2.4GHz/5GHz

• Usa espectro de rádio aberto não requer licenciamento

– Dependendo da norma pode usar 2.4GHz ou 5GHz

• As bandas são dividida em canais

– A regulação da utilização do espectro de radiofrequências

difere de país para país

– O numero de canais varia de acordo

Wi-Fi Frequências• 2.4GHz

– Outros dispositivos podem interferir: telefones sem fios,

bluetooth , monitores dos bebés, etc

– A banda de 2.4GHz está muito saturada

– Espaçamento entre canais é de 5MHz

– Na Europa a banda é dividida em 13

– Nos EUA são 11 canais e no Japão são 14 canais

– Existe sobreposição de canais

• 5GHz

– O alcance é menor

– Sinais mais absorvidos por paredes e objectos sólidos

– A utilização de antenas com maior ganho pode compensar o

menor alcance

– Espaçamento mínimo entre canais é de 20MHz

– Na Europa a banda é dividida em 19 canais

– EUA 20 canais, Japão 23 canais, China 5 canais etc

Wi-Fi Normas e Frequências • Normas (b, g) a 2.4GHz:

– Espaçamento entre canais 5MHz

– Largura de cada canal 20MHz

– Canais 1, 6, 11 não são sobrepostos

• Norma (n) a 2.4GHz:

– Espaçamento entre canais 5MHz

– Largura de cada canal 20MHz ou 40MHz

– A 22MHz canais 1, 6, 11 não são sobrepostos

– A 40MHz canais 1, 11 não são sobrepostos

Wi-Fi Normas e Frequências

• Norma (a) a 5GHz:

– Espaçamento mínimo entre canais 20MHz

– Largura de cada canal 20MHz

– 20 canais

• Norma (n) a 5GHz:

– Espaçamento mínimo entre canais 20MHz

– Largura de cada canal 20MHz ou 40MHz

– 20 canais

– A 40MHz há sobreposição com o canal adjacente (10 canais)

Wi-Fi Normas e Frequências

• Norma a– 6, 9, 12, 18, 24, 36, 48, 54 Mbps

– 35m – 120m

• Norma b– 1, 2, 5.5, 11 Mbps

– 38m – 140m

• Norma g– 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps

– 38m – 140m

• Norma n– 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps a 20MHz de largura

– 15, 30, 45, 60, 90, 120, 135, 150 Mbps a 40MHz de largura

– 70m – 250m

Wi-Fi mais normas• As normas de regulação do espectro de

radiofrequências variam:

– O numero de canais por banda 2.4GHz ou 5GHz varia

– 5.47GHz a 5.725 GHz (802.11h)

• Resolver problemas de interferência com comunicações via satélite e

sistemas de radar

• Introduz a alocação dinâmica de frequências (DFS)

• Introduz o controlo dinâmico da potencia de transmissão (TPC)

• A banda 5.47GHz a 5.725GHz não está autorizada em todos os países

– 3.6GHz (802.11y)

• Banda para transmissão c/ elevada potencia usada com o 802.11a

• Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais

• Autorizado apenas nos EUA

Wi-Fi modos de funcionamento• Dois modos de funcionamento

• Infrastructure

– Baseia-se em access-points (AP)

– Centraliza o controlo de acesso nos AP

– Centraliza todas as comunicações wireless nos AP

– Podem existir múltiplos AP numa mesma rede Wireless

– Os AP ficam interligados por uma rede wired Ethernet

• ad-hoc

– Comunicação directa (peer-to-peer) entre dispositivos wireless

– Não necessita de um access point

Rede Wi-Fi tipo ad-hoc

Rede Wi-Fi tipo infrastructure

Access Point

(AP)

Access Point

(AP)

Ethernet LAN

Ethernet

Bridge

Rede Wi-Fi tipo infrastructure

Access Point

(AP)

Ethernet LAN

Bridge ou

Router

Router +

FirewallInternet

Rede Wi-Fi c/ Firewall

Access Point

(AP)

Ethernet LAN

Bridge

Permite usar o

mesmo endereço IP

nos portáteis

independentemente

do AP

Ethernet LAN DMZ

Access Point

(AP)

Firewall

Filtrar o tráfego com

origem nos portáteis

e destinado à LAN

Router +

FirewallInternet

AP Wi-Fi / router / ADSL

AP Wireless

com router ADSL Interface ADSL

Linha

telefónica

NAT Firewall

Ethernet SWITCH

Ethernet Interfaces

Wireless

Routing

RF

Antena

AP Wi-Fi / router / ADSL

AP Wireless

com router ADSL Interface ADSL

Linha

telefónica

NAT Firewall

Ethernet SWITCH

Ethernet Interfaces

Wireless

RF

Antena

RoutingFirewall

Wi-Fi• SSID

– Service Set Identifier

– Identifica o nome da rede Wireless

– Numa mesma rede tipo infrastructure múltiplos APs podem

partilhar o mesmo SSID

– Case sensitive, pode ter um máximo de 32 caracteres

– O SSID pode ser anunciado periodicamente ou não

• SSID broadcast

• Rede visível

• BSSID

– Basic Service Set Identifier

– Em modo infrastructure é o MAC address da interface wireless

de cada um dos access points

– Em modo ad-hoc é um endereço MAC gerado aleatoriamente

pelo primeiro dispositivo a “ligar-se” à rede ad-hoc

• Individual/Group bit 0

• Universal/Local bit 1

Wi-Fi

• Modo Infrastructure

– Todos os dispositivos precisam de usar o mesmo SSID

• Identifica a rede Wireless

– Todos os dispositivos associados ao mesmo AP precisam de

• Usar o mesmo BSSID do AP

• Usar o mesmo canal do AP

• Modo Ad-hoc

– Todos os dispositivos precisam de usar o mesmo SSID

– Todos os dispositivos precisam de usar o mesmo BSSID

– Todos os dispositivos precisam de usar o mesmo canal

SSID

BSSID

Canal 1

BSSID

Canal 11

Rede Wi-Fi tipo infrastructure

Access Point

(AP)

Access Point

(AP)

Ethernet LAN

Wi-Fi Transmissão• Funcionamento em half-duplex

– Ou transmite ou recebe

• As redes wireless são meios partilhados

– Como as redes Ethernet antigas

• Protocolo de transmissão tipo CSMA/CA:

– Carrier Sense Multiple Access with Collision Avoidance

– Similar ao CSMA/CD das redes Ethernet

– O protocolo minimiza a possibilidade de colisões:

• Espera que não haja transmissões a decorrer

• Lança intervalo de espera aleatório

• Transmite

• O transmissor espera um ACK do receptor

• O receptor verifica o CRC do frame recebido

• O receptor envia ACK se CRC ok

– A perda de desempenho pela espera é compensada pela menor

ocorrência de colisões

Wi-Fi Frames

To AP From AP Fragment Retrans A frame

Is available

Strict

ordering

Wi-Fi FramesPLCP header

Wi-Fi Frame• Existem 4 campos de endereço

• O significado depende do valor dos campos

– To DS (to distribution system)

– From DS (from distribution system)

• Addrs:

– Addr1 receptor imediato

– Addr2 emissor

– Addr3 BSSID de uma rede ad-hoc (ToDS 0 FromDS 0)

emissor original (ToDS 0 FromDS 1)

destino final (ToDS 1 FromDS 0)

– Addr4 apenas usado em relay de frames entre APs

Wi-Fi Frames

• Tipos de MAC frames 802.11

– Control frames

• RTS (request to send)

• CTS (clear to send)

• ACK (acknowledge)

– Management Frames

• Beacon

• Probe req, Probe resp

• Assoc req, Assoc resp

• Reassoc req, Reassoc resp

• Disassociation

• Authentication

• Deauthentication

– Data Frames

Uso facultativo

Obrigatório em APs com mais de um modo

Diminui o desempenho

Associação

Só usado em redes tipo infrastructure

Equivalente a ligar o cabo à ficha

Scan passivo

Scan activo

Wi-Fi RTS/CTS• Porquê usar o RTS/CTS ?

• O protocolo CSMA requer que uma estação antes de

transmitir seja capaz de escutar o meio:

– Se as estações estiverem muito afastadas isto pode não ser

possível aumentando a probabilidade de colisões

– Numa rede com APs a suportar por ex. as normas b e g as

estações com norma b não conseguem escutar as transmissões

na norma g (modulações diferentes CCK e OFDM)

AP

B

BB

AP

B/GGB

B não ouve G G não ouve B porque B e G usam modulações diferentes

CCK OFDM

Fragmentação• Existe um mecanismo de fragmentação:

– O Bit error rate pode ser elevado logo faz sentido enviar frames

mais pequenos

– Por outro lado faz sentido suportar frames de 1500 bytes tal

como na Ethernet

– A solução é a fragmentação

Wi-Fi Inicio de comunicação

• Rede tipo infra-estrutura

• Exemplo de estabelecimento

de comunicação entre uma

estação e um AP

Wi-Fi Overheads• Os desempenhos

anunciados nas normas são

raw

• Na pratica os desempenhos

na transmissão de dados

são muito menores

• O gráfico mostra os

overheads com preambulo

longo

• O uso de preâmbulos curtos

melhoram ligeiramente o

desempenho

Inter Frame Spaces (Intervals)

Wi-Fi• Transmissão de um frame

• Se o tamanho dos dados ultrapassar o limiar de fragmentação

(threshold) é necessário transmitir mais de um frame

• Se o protocolo RTS/CTS for usado a troca de frames aumenta

Wi-Fi WEP

• Tipos de rede em termos de segurança:

– Open

• Estação envia um frame de autenticação

• AP responde com frame de autenticação

– Shared-key (WEP – Wired Equivalent Privacy)

• Método de encriptação inseguro (RC4 c/ chaves de 40bits)

• Chave comum entre todas as estações e o AP

• Estação envia de um frame de autenticação

• AP responde com frame de autenticação com desafio (texto)

• Estação encripta o texto de desafio com a chave

• AP verifica que o texto encriptado corresponde ao desafio e

responde com frame de autenticação com status de sucesso

– WPA / WPA2 (802.11i)

• Usam o protocolo 802.1x para autenticação

Wi-Fi WAP• WPA - Wi-Fi Protected Access (draft standard)

• Solução interina para substituição do WEP que é inseguro:

– Usa o protocolo TKIP (Temporal Key Integrity Protocol)

– Compromisso entre segurança e a possibilidade de usar o hardware

que então existia

– Usa RC4 como o WEP mas as chaves mudam a cada pacote

transmitido, implementa protecção contra repetição de pacotes e

verificação da integridade das mensagens

• Dois modos possíveis WPA-enterprise e WPA-personal

• WPA- enterprise

– Autenticação através de um servidor de autenticação RADIUS e EAP

– Muito à semelhança do WPA2

– Maior granularidade com controlo de acesso por utilizador

• WPA-personal

– Usa chaves partilhadas pré-definidas pre-shared-keys (PSK)

– Não requer servidor RADIUS e é menos complexo

– As chaves são partilhas por todos os utilizadores

Wi-Fi WPA• Autenticador

– Access Point Wireless

• Suplicante

– Estação (o vosso portátil)

• Servidor de autenticação

– RADIUS

• O método para gerar e distribuir as chaves de acesso

ao autenticador e suplicante e igual entre:

– WPA personal

– WPA enterprise

• Apenas o método de geração das chaves mestras para

cada sessão muda.

– Porque existe o servidor Radius no meio

Wi-Fi WPA2• O WPA2 (802.11i) é o sucessor do WPA:

– Algoritmo de encriptação mais robust AES em vez de TKIP

– Incorpora optimizações diversas

– O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é

usado para distribuir chaves entre o suplicante e o autenticador

• Fortemente baseado no 802.1X que permite autenticação da

ligação de estações a uma porta numa LAN:

– A ligação a uma porta em 802.1X corresponde à associação ao AP

– Uma vez associada a um AP todo o tráfego não 802.1X proveniente da

estação é eliminado

– Após autenticação 802.1X bem sucedida todo o tráfego pode passar

• EAP permite múltiplos tipos de autenticação:

– EAP-TLS usa certificados de utilizador para autenticação

– EAP-LEAP CISCO usa passwords

– EAP-PEAP usa passwords através de túnel via MSCHAPv2

– EAP-MD5 RFC3748 passwords com encriptação MD5

– EAP-TTLS Envio das passwords através de um túnel TLS

Wi-Fi WPA2• 802.1x

• Comunicação segura

• Entre a estação e o

servidor RADIUS

através do AP

• Usando certificados

• O servidor Radius

possui um certificado