Tcpip v2 sessao_4
-
Upload
efraim-morais -
Category
Technology
-
view
129 -
download
2
description
Transcript of Tcpip v2 sessao_4
Virtual LANs
Virtual LAN (VLAN)• Tal como uma LAN uma VLAN pode ser definida como
um domínio de broadcast:
– Um pacote de broadcast chega a todas as estações da VLAN
– Sobre o ponto de vista conceptual uma VLAN é igual a uma LAN
• VLANs permitem a separação das portas dos switches
– Podem criar-se subconjuntos de portas que funcionam como
uma LAN independente
– Permite criar uma rede virtual dentro da rede física
SWITCH
VLAN 1 VLAN 2 VLAN 3
SWITCHSWITCH
Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches
VLAN 1 VLAN 2
VLAN 2 VLAN 3
SWITCH A
SWITCH B
VLAN 2
SWITCH C
Virtual LAN (VLAN)
• Uma VLAN pode atravessar múltiplos switches
VLAN 1 VLAN 2
VLAN 2
SWITCH A
SWITCH Z
SWITCH sem
suporte p/ VLANs
Todas as portas
ficam na mesma
VLAN
Virtual LAN (VLAN)
• As VLANs pode atravessar múltiplos switches
VLAN 1 VLAN 2
VLAN 2 VLAN 1
SWITCH A
SWITCH Y
VLAN Trunk
Uma porta com múltiplas VLANs
Virtual LAN (VLAN)
• Uma porta de switch ou uma interface de rede de uma
maquina pode ser adicionada a uma VLAN de duas
formas:
– Untagged
– Tagged
Virtual LAN (VLAN)• Untagged
– A VLAN untagged é configurada na porta do switch
– Do lado do computador não é necessário fazer NADA
– Todo o tráfego enviado pela interface do computador para a
porta do switch é automaticamente colocado na VLAN
configurada
– Só pode haver uma VLAN untagged por porta do switch
– Uma interface de rede de um computador só pode pertencer a
uma VLAN untagged
– Sob o ponto de vista do computador nem se percebe que está
ligado numa VLAN
– É o switch que coloca todo o tráfego na VLAN configurada
Virtual LAN (VLAN)• Untagged
– Uma porta está associada a uma única VLAN especifica
– Não é preciso configurar nada do lado dos computadores
– Os frames recebidos nas portas do switch são colocados na
VLAN escolhida
Interface vlan 21
Untagg GigabitEthernet 1
Untagg GigabitEthernet 2V
LA
N 2
1
Gi1
Gi2
Virtual LAN (VLAN)• Tagged
– A interface do computador e a porta do switch têem de ser
ambas explicitamente configuradas
– Com interfaces tagged uma interface pode pertencer a
múltiplas VLANs
– Cada interface adiciona informação ao header do frame
Ethernet sobre a VLAN a que o frame pertence:
• Tanto do lado do computador como do switch de rede
• Requer frames Ethernet com suporte para VLANs
– As interfaces recebem os frames e de acordo com a marca
(TAG) e encaminham os frames no contexto da VLAN
pretendida
• Quando uma interface recebe um frame verifica se a marca (TAG)
do frame corresponde a alguma das VLANs configuradas na porta
• Caso não corresponda a interface deita o frame fora
Virtual LAN (VLAN)• Tagged
– Uma porta pode estar associada a mais de uma VLAN
– É preciso mapear as portas dos switches nas VLANs
Interface vlan 21
tagg GigabitEthernet 1
Interface vlan 57
tagg GigabitEthernet 1
Gi1
VL
AN
57
Gi28
VL
AN
21
Interface vlan 21
tagg GigabitEthernet 28
Interface vlan 57
tagg GigabitEthernet 28
VL
AN
57
VL
AN
21
Virtual LAN (VLAN)• Tagged
– Uma porta/interface pode estar associada a mais de uma VLAN
– Do lado do computador é preciso configurar interfaces virtuais
mapeadas nas VLANs
– Para o sistema operativo do computador é como se a maquina
tivesse múltiplas interfaces de rede
Interface vlan 21
tagg GigabitEthernet 1
tagg GigabitEthernet 2
Interface vlan 57
tagg GigabitEthernet 1Gi1
Gi2
VL
AN
57
VL
AN
21
Interface eth0
vconfig add eth0 21
vconfig add eth0 57
ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up
ifconfig eth0.57 10.34.210.98 netmask 255.255.0.0 up
Virtual LAN (VLAN)• Tagged e Untagged
– Também é possível ter uma única default VLAN untagged e
múltiplas VLANs tagged
– Tráfego originário da estação que não tenha TAG é
encaminhado para a VLAN default
– Tráfego com TAG vai para a VLAN correspondente
Interface vlan 21
tagg GigabitEthernet 1
Interface vlan 57
untagg GigabitEthernet 1
Gi1
VL
AN
57
VL
AN
21
vconfig add eth0 21
ifconfig eth0.21 193.139.66.1 netmask 255.255.255.0 up
ifconfig eth0 10.34.210.98 netmask 255.255.0.0 up
Interface eth0
Virtual LAN (VLAN)
• Em RH configurar uma VLAN através dos ficheiros de
configuração
/etc/sysconfig/network-scripts/ifcfg-eth0.21
DEVICE=eth0.21
VLAN=yes
ONBOOT=no
BOOTPROTO=none
TYPE=Ethernet
IPADDR= 193.139.66.1
NETMASK=255.255.255.0
Virtual LAN (VLAN)• A introdução de tags implica novos campos nos frames
Ethernet (cabeçalho 802.1q com 32bits):– Tag protocol id = 0x8100 (16bits) para identificar um frame tagged
– Priority code = Class of Service (3bits) prioridade 0 mínima a 7 máxima
– Canonical Format Id = (1bit) 0 em Ethernet e 1 em token ring
– VLAN id = (12bits) para indicar a VLAN
• Atenção ao VLAN identifier:
– VLAN id 1 é frequentemente usada para a VLAN de gestão
– VLAN id 0xFFF é reservada e não pode ser usada
– VLAN id 0 significa que o frame não pertence a uma VLAN
pode ser usado para ter CoS sem VLAN
Virtual LAN (VLAN)
• O tamanho máximo de um frame Ethernet
untagged são 1518 bytes excluindo:
– Preambulo
– Inicio de frame
– Trailer
• Para manter o MTU em 1500 bytes o tamanho
máximo de um frame tagged é na maioria dos
equipamentos 1522 bytes
– 4 bytes de header 802.1q
VLAN in VLAN• Usado por fornecedores de serviço para encapsularem
nas suas VLANs tráfego de clientes que possui tags
802.1q
• Acrescenta mais um header de 32bits tipo 802.1q
• A service provider tag pode variar:
– 0x9100, 0x9200, 0x9300
– A norma 802.1ad especifica a service provider flag em 0x88a8
Virtual LAN (VLAN)
Force10#sh vlan
Codes: * - Default VLAN, G - GVRP VLANs
Q: U - Untagged, T - Tagged
x - Dot1x untagged, X - Dot1x tagged
G - GVRP tagged, M - Vlan-stack
NUM Status Description Q Ports
1 Active REDE DE Gestao T Te 0/6-7
T Gi 5/43
45 Active REDE WIRELESS T Te 0/2
T Gi 6/1
U Gi 6/3,11
* 68 Active REDE CENTRAL U Te 2/0,6-7
T Gi 6/5-7,21-38
14 Inactive REDE DE TESTE
Virtual LAN (VLAN)
Force10#sh running
!
interface Vlan 43
description VLAN PARA A REDE IP 172.70.51.0
name VLAN DA TRETA
ip address 172.70.51.254/24
untagged GigabitEthernet 5/8,20-22,40-43
ip helper-address 172.70.2.167
no shutdown
!
Virtual LAN (VLAN)
Cisco#sh vlan
Codes: * - Default VLAN, G - GVRP VLANs
Q: U - Untagged, T - Tagged
x - Dot1x untagged, X - Dot1x tagged
G - GVRP tagged, M - Vlan-stack
NUM Status Description Q Ports
1 Active REDE DE Gestao T Te 0/6-7
T Gi 5/43
45 Active REDE WIRELESS T Te 0/2
T Gi 6/1
U Gi 6/3,11
* 68 Active REDE CENTRAL U Te 2/0,6-7
T Gi 6/5-7,21-38
14 Inactive REDE DE TESTE
Virtual LAN (VLAN)
cisco#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
34 default active
61 MY VLAN active Gi1/43, Gi1/14, Gi1/35, Gi1/26
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
34 enet 100001 1500 - - - - - 0 0
61 enet 100005 1500 - - - - - 0 0
Spanning Tree
Spanning Tree
• STP - Spanning Tree Protocol (IEEE 802.1D):
– evita loops na rede
– permite criar ligações redundantes
• Funcionamento:
– usa apenas uma ligação e inibe as outras
– se houver uma quebra da ligação activa usa uma ligação que estava
inibida
• Requer suporte de spanning-tree em todos os dispositivos
– switches e bridges
SWITCH A SWITCH B SWITCH C
A B
Spanning Tree
• O STP foi inventado pela digital (DEC)
• Mais tarde foi criado um standard pela IEEE
• Existem diferenças entre as duas implementações
– Não são compativeis
– Alguns equipamentos possuem ambas as implementações
• Mesmo com equipamentos que obedecem a uma mesma
especificação:
– Por vezes surgem problemas
– Especialmente devido a parametrizações diferentes (timers etc)
Spanning Tree
• Cada bridge possui um identificador (bridge-id) de 8
bytes:– 2 primeiros bytes são uma prioridade
– 6 últimos bytes são obtidos de um MAC address
• De entre todas as bridges a que tiver menor bridge-id é eleita
ROOT BRIDGE
• O algoritmo calcula:
– O caminho com menor custo de todos os segmentos de rede até à root
bridge
– Em situações em que existe mais de um caminho possível é escolhido o
caminho através da bridge com menor bridge-id
– O custo de cada interface depende da sua velocidade
– Os custos podem ser configurados manualmente para mudar a
topologia
Spanning Tree
• As bridges trocam entre si mensagens:
– Bridge Protocol Data Units (BPDUs)
– Para conhecer os bridge-ids
– Para conhecer os root path costs
• Os BPDUs:
– Funcionam em Layer 2
– Endereço de origem é o endereço Ethernet da porta que
transmite
– Endereço de destino é o grupo de multicast 01:80:C2:00:00:00
• Tipos de BPDUs:
– Configuration BPDUs (CBPDUs) usados para calculo da arvore
– Topology Change Notification (TCN BPDU) para anuncio da
alterações na topologia de rede
– Topology Change Notification Acknowledgment (TCA)
Spanning Tree
• Os BPDUs são trocados constantemente para detecção
de alterações de topologia
• Os TCN BPDUs são usados para notificar da alteração
de estado de portas das bridges
• Quando um switch arranca espera durante 30s
– Para aprender a topologia através dos BPDUs recebidos
– Para aprender endereços
– Para verifica se pode causar um loop
– Se puder ser causa de loop bloqueia as portas necessárias
– Só então começa a fazer forwarding de pacotes
Spanning Tree Protocol
STP baseia-se em grafos
RP: root port
DP: designated port
BP: blocked port
Spanning Tree
• Custos para cada tipo de interface:
Data rate STP Cost (802.1D-1998) STP Cost (802.1t-2001)
4 Mbit/s 250 5,000,000
10 Mbit/s 100 2,000,000
16 Mbit/s 62 1,250,000
100 Mbit/s 19 200,000
1 Gbit/s 4 20,000
2 Gbit/s 3 10,000
10 Gbit/s 2 2,000
Spanning Tree
• RSTP - Rapid Spanning Tree Protocol(IEEE 802.1w)
– STP com convergência mais rápida (6s em vez de 30-50s)
– Refinamento do STP, é a referência actual
• MSTP – Multiple Spanning Tree Protocol
– IEEE802.1s e IEEE802.1Q
– Extensão do RSTP para suportar VLANs (uma Tree por VLAN)
• PVST e PVST+ – Per VLAN Spanning Tree
– STP por VLAN
– Protocolo proprietário da CISCO
• R-PVST – Rapid Per VLAN Spanning Tree
– Versão Rapid Spanning Tree do PVST proprietária da CISCO
Routers e Switches
Routers e Switches• Switch L2
– Encaminha frames de baixo nível (nível 2)
• Ethernet, FDDI, ATM, etc …
– Não sabe o que é um protocolo L3 como o TCP/IP
– Não consegue encaminhar frames para fora de um domínio de
broadcast
• Router ou um Switch L3
– Encaminha pacotes de alto nível (nível 3)
• TCP/IP, Netbios, IPX, DECnet , etc …
– Interpreta a informação L3 contida no payload dos frames
– Pode ser usado para interligar:
• Domínios de broadcast
• Diferentes tipos de redes físicas
• Virtual LANs
LAN – Azul
LAN – Cinzenta
Routers e Switches
Switch L2AB
Pacote TCP/IP
para Z
Router azul
Rede ATM
Z
• As LANs azul e cinzenta são domínios
de broadcast diferentes
• Um único frame Ethernet não pode
percorrer o trajecto de A para Z
• O pacote TCP/IP tem de ser enviado – Dentro de um frame Ethernet de A para o
endereço Ethernet do router cinzento
– Dentro de células ATM do router cinzento
com destino ao azul
– Dentro de um frame Ethernet do router azul
para o endereço Ethernet de Z
Router
Cinzento
Routers e Switches
Switch
L2/L3
Force10
Switch
L2/L3
Force10
Switch
L2/L3
Force10
Router
L3
CISCO
FCCN
Nuvem L2
Ethernet
LAN
LAN
LAN
DMZ
FCCN
Switch
L3
RCTS
Internet
Nó
Central
LNEC
LIP
Coimbra
LIP
Lisboa
• Uma nuvem L2 Ethernet
fornecida pela FCCN
interliga os 3 locais
• Os equipamentos L2 da
FCCN só vêem os frames
Ethernet
• Dentro dos frames vão
pacotes TCP/IP (L3)
• Os switches/routers do LIP
processam a informação L3
Shaping, Policing e Qualidade
de Serviço em Layer 2
Shaping e Policing• Por vezes é necessário limitar a largura de banda de uma interface
de rede ou de um tipo de tráfego:
– Alocação de largura de banda a determinados tipos de tráfego
– Diminuir a probabilidade de perda de pacotes
– Forçar a utilização a um limite acordado
• Shaping:
– Introduzir intervalos entre a transmissão de pacotes de forma a limitar
a largura de banda
– Usa-se apenas à saída de uma interface
• Policing:
– Limitar o tráfego deitando fora todos os pacotes acima de uma largura
de banda predeterminada
– Pode usar-se à saída ou à entrada de uma interface
10Mbps 1Mbps 7Mbps
Pode fazer sentido limitar a
1Mbps para tudo o que vai
para além de B
A B C D
Shaping e Policing• Shaping
– Existem diversos algoritmos e métodos de shaping:
– Token Bucket
– Leaky Bucket
– Controlo artificial to TCP manipulando as janelas e os ACKs
– Pode obrigar à perda de pacotes quando o buffer ou fila de
transmissão está cheia
– Quando se deita fora os pacotes da cauda funciona como policing
– É preferível usar algoritmos mais “inteligentes” para deitar alguns
pacotes fora e evitar que a fila encha (drop mais esparso)
– Algoritmos de congestion avoidance:
– Random Early Detect (RED)
– Weigthed Random Early Detect (WRED)
– Ao longo de um caminho o shaping deve ser feito o mais cedo possível
– Um bom shaping requer:
– Mais “inteligência” nos dispositivos de rede
– Sobretudo um grande buffer de acordo com a capacidade da interface
– Não existe em todos os dispositivos de redes
Shaping e Policing• Policing
– Como o tráfego que ultrapassa o limite é deitado fora as perdas podem
ser extremamente concentradas no tempo
– Caso os protocolos não reajam bem à perda de pacotes
– Falta de mecanismos de feedback e ajuste
– Pode causar disrupção como se houvesse períodos de falta de
conectividade
– O impacto da perda é mais acentuado do que no shaping
– Como não existe buffering é mais simples de implementar
– Como não requer algoritmos sofisticados é mais simples de
implementar
Shaping e Policing
Shaping e Policing
• Todas os protocolos bem concebidos devem possuir
mecanismos de adaptação à perda de pacotes:
– Retransmissão
– Feedback notificação de que os pacotes não chegaram
– Auto adaptação à perda de pacotes envio a um ritmo menor
– Em tráfego de tempo real como voz e vídeo idealmente a
qualidade deve ser adaptada dinamicamente à largura de
banda disponível
• Se o mecanismo não existir no protocolo usado então
deve ser implementado ao nível da aplicação:
– Ao nível da aplicação pode efectuar-se uma adaptação mais
inteligente
– Por ex: um sistema de monitorização pode enviar a informação
mais espaçada ou dar prioridade a alguma informação em
detrimento de outra
Shaping e Policing
• Efectuar shaping numa interface de um Force10 para
todo o tráfego à saida
– Fazer o shapping a 600Mbps com burst de 20KBytes
Force10#config
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate shape 600 20
Force10(conf-if)#end
Force10 #
Shaping e Policing
• Efectuar policing numa interface de um Force10 para
todo o tráfego à entrada
– Largura de banda garantida 80Mbps com burst de 50KBytes
– Pico 90Mbps com burst de 60KBytes
Force10#config t
Force10(conf)#interface gigabitethernet 1/0
Force10(conf-if)#rate police 80 50 peak 90 60
Force10(conf-if)#end
Force10#
Shaping e Policing e
Classificação• Métodos mais sofisticados incluem a classificação do
tráfego de acordo com as suas características:
– Origem, destino, protocolo, etc
• Cada classe de tráfego pode então ser tratada de forma
diferenciada:
– Limites de utilização diferentes
– Shaping ou policing
– Algoritmos de drop diferentes etc
• A classificação é muito importante para privilegiar o
tráfego interactivo ou de tempo real sobre outros tipos
de tráfego
Quality of Service
• Quality of Service (QoS) em redes de dados é a
capacidade de tratamento diferenciado para:
– Determinados tipos de tráfego
– Determinados fluxos de tráfego
• Objectivo garantir níveis de desempenho diferenciados
de acordo com as necessidades
• A qualidade de serviço é importante:
– Quando a largura de banda total é insuficiente para as
necessidades
– Quando algum tráfego é mais importante ou necessita de
largura de banda ou atraso mínimos garantidos
– Exemplos: voz e dados numa mesma rede
Quality of Service• Existem diversos factores que podem afectar a
qualidade de um serviço de rede:– Largura de banda
– Perda de pacotes
– Atraso
– Variações no atraso (jitter)
– Entrega fora de sequencia
– Erros
• Exemplos de aplicações que necessitam/beneficiam de QoS:
– Aplicações interactivas que requerem resposta em tempo real (cirurgia remota)
– Voice Over IP (VOIP)
– Videoconferência
– Protocolos de controle da própria rede
• O problema surge quando se mistura numa mesma rede tráfego
com requisitos de qualidade de serviço com tráfego de dados geral
Quality of Service• A maior parte das redes incluindo a Internet funcionam
como serviços best-effort:
– Não há qualquer garantia de serviço
– Não há tratamento diferenciado
• A implementação de mecanismos de qualidade de
serviço é extremamente complexa:
– A qualidade de serviço para funcionar tem de ser respeitada
por todos os equipamentos ao longo de todo o caminho
– Requer processamento adicional
– A maioria dos equipamentos está concebia para efectuar
encaminhamento rápido indiferenciado
• Frequentemente é preferível resolver os problemas
aumentando a largura de banda !
Ethernet QoS• IEEE 802.1p ou Class of Service (CoS)
• Define um campo de 3 bits
– Usado para implementar prioritização
– Presente nos frames 802.1q usados nas VLANs com tagging
• O campo define 8 classes de serviço:
– 0 best effort
– 1 background
– 2 spare
– 3 excellent effort
– 4 controlled load
– 5 video
– 6 voice
– 7 network control
Ethernet QoS Force10• Por exemplo num Force10 C300 as 8 prioridades são
mapeadas em 4 filas:
– dot1p 0, 1 fila 1 13.3%
– dot1p 2, 3 fila 0 6.6%
– dot1p 4, 5 fila 2 26.6%
– dot1p 6, 7 fila 3 53.3%
• O tráfego de entrada de uma interface pode ser
classificado numa prioridade
Force10# config
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# switchport
Force10(conf-if)# description IP-TELEPHONES
Force10(conf-if)# dot1p-priority 6
Force10(conf-if)# end
Ethernet QoS Force10• Pode configurar-se as interfaces para respeitar a
marcação dos pacotes que entram no switch
• Por defeito na maioria dos switches (Force10 incluído)
as marcações dot1p não são respeitadas
Force10# config t
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-class dynamic dot1p
Force10(conf-if)# end
Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos
• Mudando os valores default que são aplicáveis a todas
as interfaces
Force10# config t
Force10(conf)# service-class bandwidth-weight queue0 8 queue1 32
queue2 64 queue3 128
Ethernet QoS Force10
• Pode mudar-se a atribuição de largura de banda às
queues através de pesos
Force10(conf)# qos-policy-output DATA
Force10(conf-qos-policy-out)# bandwidth-weight 8
Force10(conf)# qos-policy-output IMPORTANT
Force10(conf-qos-policy-out)# bandwidth-weight 64
Force10(conf-qos-policy-out)#
Force10(conf)# policy-map-output MY-OUT-POLICY
Force10(conf-policy-map-out)# service-queue 1 qos-policy DATA
Force10(conf-policy-map-out)# service-queue 2 qos-policy IMPORTANT
Force10(conf-policy-map-out)#
Force10(conf)# interface gigabitethernet 1/0
Force10(conf-if)# service-policy output MY-OUT-POLICY
Force10(conf-if)# end
Wi-Fi
Wi-Fi• Tecnologia Wireless Local Area Network IEEE 802.11
– Comunicação sem fios através de radiofrequências
• Algumas das normas IEEE 802.11:
– 802.11a 54Mbps 23Mbps 5GHz
– 802.11b 11Mbps 4.3Mbps 2.4GHz
– 802.11g 54Mbps 19Mbps 2.4GHz
– 802.11n 600Mbps 30/130Mbps 2.4GHz/5GHz
• Usa espectro de rádio aberto não requer licenciamento
– Dependendo da norma pode usar 2.4GHz ou 5GHz
• As bandas são dividida em canais
– A regulação da utilização do espectro de radiofrequências
difere de país para país
– O numero de canais varia de acordo
Wi-Fi Frequências• 2.4GHz
– Outros dispositivos podem interferir: telefones sem fios,
bluetooth , monitores dos bebés, etc
– A banda de 2.4GHz está muito saturada
– Espaçamento entre canais é de 5MHz
– Na Europa a banda é dividida em 13
– Nos EUA são 11 canais e no Japão são 14 canais
– Existe sobreposição de canais
• 5GHz
– O alcance é menor
– Sinais mais absorvidos por paredes e objectos sólidos
– A utilização de antenas com maior ganho pode compensar o
menor alcance
– Espaçamento mínimo entre canais é de 20MHz
– Na Europa a banda é dividida em 19 canais
– EUA 20 canais, Japão 23 canais, China 5 canais etc
Wi-Fi Normas e Frequências • Normas (b, g) a 2.4GHz:
– Espaçamento entre canais 5MHz
– Largura de cada canal 20MHz
– Canais 1, 6, 11 não são sobrepostos
• Norma (n) a 2.4GHz:
– Espaçamento entre canais 5MHz
– Largura de cada canal 20MHz ou 40MHz
– A 22MHz canais 1, 6, 11 não são sobrepostos
– A 40MHz canais 1, 11 não são sobrepostos
Wi-Fi Normas e Frequências
• Norma (a) a 5GHz:
– Espaçamento mínimo entre canais 20MHz
– Largura de cada canal 20MHz
– 20 canais
• Norma (n) a 5GHz:
– Espaçamento mínimo entre canais 20MHz
– Largura de cada canal 20MHz ou 40MHz
– 20 canais
– A 40MHz há sobreposição com o canal adjacente (10 canais)
Wi-Fi Normas e Frequências
• Norma a– 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 35m – 120m
• Norma b– 1, 2, 5.5, 11 Mbps
– 38m – 140m
• Norma g– 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 Mbps
– 38m – 140m
• Norma n– 7.2, 14.4, 21.7, 28.9, 43.3, 57.8, 65, 72.2 Mbps a 20MHz de largura
– 15, 30, 45, 60, 90, 120, 135, 150 Mbps a 40MHz de largura
– 70m – 250m
Wi-Fi mais normas• As normas de regulação do espectro de
radiofrequências variam:
– O numero de canais por banda 2.4GHz ou 5GHz varia
– 5.47GHz a 5.725 GHz (802.11h)
• Resolver problemas de interferência com comunicações via satélite e
sistemas de radar
• Introduz a alocação dinâmica de frequências (DFS)
• Introduz o controlo dinâmico da potencia de transmissão (TPC)
• A banda 5.47GHz a 5.725GHz não está autorizada em todos os países
– 3.6GHz (802.11y)
• Banda para transmissão c/ elevada potencia usada com o 802.11a
• Alcance até 5Km usando larguras de banda 5, 10 ou 20MHz, 8, 4 ou 2 canais
• Autorizado apenas nos EUA
Wi-Fi modos de funcionamento• Dois modos de funcionamento
• Infrastructure
– Baseia-se em access-points (AP)
– Centraliza o controlo de acesso nos AP
– Centraliza todas as comunicações wireless nos AP
– Podem existir múltiplos AP numa mesma rede Wireless
– Os AP ficam interligados por uma rede wired Ethernet
• ad-hoc
– Comunicação directa (peer-to-peer) entre dispositivos wireless
– Não necessita de um access point
Rede Wi-Fi tipo ad-hoc
Rede Wi-Fi tipo infrastructure
Access Point
(AP)
Access Point
(AP)
Ethernet LAN
Ethernet
Bridge
Rede Wi-Fi tipo infrastructure
Access Point
(AP)
Ethernet LAN
Bridge ou
Router
Router +
FirewallInternet
Rede Wi-Fi c/ Firewall
Access Point
(AP)
Ethernet LAN
Bridge
Permite usar o
mesmo endereço IP
nos portáteis
independentemente
do AP
Ethernet LAN DMZ
Access Point
(AP)
Firewall
Filtrar o tráfego com
origem nos portáteis
e destinado à LAN
Router +
FirewallInternet
AP Wi-Fi / router / ADSL
AP Wireless
com router ADSL Interface ADSL
Linha
telefónica
NAT Firewall
Ethernet SWITCH
Ethernet Interfaces
Wireless
Routing
RF
Antena
AP Wi-Fi / router / ADSL
AP Wireless
com router ADSL Interface ADSL
Linha
telefónica
NAT Firewall
Ethernet SWITCH
Ethernet Interfaces
Wireless
RF
Antena
RoutingFirewall
Wi-Fi• SSID
– Service Set Identifier
– Identifica o nome da rede Wireless
– Numa mesma rede tipo infrastructure múltiplos APs podem
partilhar o mesmo SSID
– Case sensitive, pode ter um máximo de 32 caracteres
– O SSID pode ser anunciado periodicamente ou não
• SSID broadcast
• Rede visível
• BSSID
– Basic Service Set Identifier
– Em modo infrastructure é o MAC address da interface wireless
de cada um dos access points
– Em modo ad-hoc é um endereço MAC gerado aleatoriamente
pelo primeiro dispositivo a “ligar-se” à rede ad-hoc
• Individual/Group bit 0
• Universal/Local bit 1
Wi-Fi
• Modo Infrastructure
– Todos os dispositivos precisam de usar o mesmo SSID
• Identifica a rede Wireless
– Todos os dispositivos associados ao mesmo AP precisam de
• Usar o mesmo BSSID do AP
• Usar o mesmo canal do AP
• Modo Ad-hoc
– Todos os dispositivos precisam de usar o mesmo SSID
– Todos os dispositivos precisam de usar o mesmo BSSID
– Todos os dispositivos precisam de usar o mesmo canal
SSID
BSSID
Canal 1
BSSID
Canal 11
Rede Wi-Fi tipo infrastructure
Access Point
(AP)
Access Point
(AP)
Ethernet LAN
Wi-Fi Transmissão• Funcionamento em half-duplex
– Ou transmite ou recebe
• As redes wireless são meios partilhados
– Como as redes Ethernet antigas
• Protocolo de transmissão tipo CSMA/CA:
– Carrier Sense Multiple Access with Collision Avoidance
– Similar ao CSMA/CD das redes Ethernet
– O protocolo minimiza a possibilidade de colisões:
• Espera que não haja transmissões a decorrer
• Lança intervalo de espera aleatório
• Transmite
• O transmissor espera um ACK do receptor
• O receptor verifica o CRC do frame recebido
• O receptor envia ACK se CRC ok
– A perda de desempenho pela espera é compensada pela menor
ocorrência de colisões
Wi-Fi Frames
To AP From AP Fragment Retrans A frame
Is available
Strict
ordering
Wi-Fi FramesPLCP header
Wi-Fi Frame• Existem 4 campos de endereço
• O significado depende do valor dos campos
– To DS (to distribution system)
– From DS (from distribution system)
• Addrs:
– Addr1 receptor imediato
– Addr2 emissor
– Addr3 BSSID de uma rede ad-hoc (ToDS 0 FromDS 0)
emissor original (ToDS 0 FromDS 1)
destino final (ToDS 1 FromDS 0)
– Addr4 apenas usado em relay de frames entre APs
Wi-Fi Frames
• Tipos de MAC frames 802.11
– Control frames
• RTS (request to send)
• CTS (clear to send)
• ACK (acknowledge)
– Management Frames
• Beacon
• Probe req, Probe resp
• Assoc req, Assoc resp
• Reassoc req, Reassoc resp
• Disassociation
• Authentication
• Deauthentication
– Data Frames
Uso facultativo
Obrigatório em APs com mais de um modo
Diminui o desempenho
Associação
Só usado em redes tipo infrastructure
Equivalente a ligar o cabo à ficha
Scan passivo
Scan activo
Wi-Fi RTS/CTS• Porquê usar o RTS/CTS ?
• O protocolo CSMA requer que uma estação antes de
transmitir seja capaz de escutar o meio:
– Se as estações estiverem muito afastadas isto pode não ser
possível aumentando a probabilidade de colisões
– Numa rede com APs a suportar por ex. as normas b e g as
estações com norma b não conseguem escutar as transmissões
na norma g (modulações diferentes CCK e OFDM)
AP
B
BB
AP
B/GGB
B não ouve G G não ouve B porque B e G usam modulações diferentes
CCK OFDM
Fragmentação• Existe um mecanismo de fragmentação:
– O Bit error rate pode ser elevado logo faz sentido enviar frames
mais pequenos
– Por outro lado faz sentido suportar frames de 1500 bytes tal
como na Ethernet
– A solução é a fragmentação
Wi-Fi Inicio de comunicação
• Rede tipo infra-estrutura
• Exemplo de estabelecimento
de comunicação entre uma
estação e um AP
Wi-Fi Overheads• Os desempenhos
anunciados nas normas são
raw
• Na pratica os desempenhos
na transmissão de dados
são muito menores
• O gráfico mostra os
overheads com preambulo
longo
• O uso de preâmbulos curtos
melhoram ligeiramente o
desempenho
Inter Frame Spaces (Intervals)
Wi-Fi• Transmissão de um frame
• Se o tamanho dos dados ultrapassar o limiar de fragmentação
(threshold) é necessário transmitir mais de um frame
• Se o protocolo RTS/CTS for usado a troca de frames aumenta
Wi-Fi WEP
• Tipos de rede em termos de segurança:
– Open
• Estação envia um frame de autenticação
• AP responde com frame de autenticação
– Shared-key (WEP – Wired Equivalent Privacy)
• Método de encriptação inseguro (RC4 c/ chaves de 40bits)
• Chave comum entre todas as estações e o AP
• Estação envia de um frame de autenticação
• AP responde com frame de autenticação com desafio (texto)
• Estação encripta o texto de desafio com a chave
• AP verifica que o texto encriptado corresponde ao desafio e
responde com frame de autenticação com status de sucesso
– WPA / WPA2 (802.11i)
• Usam o protocolo 802.1x para autenticação
Wi-Fi WAP• WPA - Wi-Fi Protected Access (draft standard)
• Solução interina para substituição do WEP que é inseguro:
– Usa o protocolo TKIP (Temporal Key Integrity Protocol)
– Compromisso entre segurança e a possibilidade de usar o hardware
que então existia
– Usa RC4 como o WEP mas as chaves mudam a cada pacote
transmitido, implementa protecção contra repetição de pacotes e
verificação da integridade das mensagens
• Dois modos possíveis WPA-enterprise e WPA-personal
• WPA- enterprise
– Autenticação através de um servidor de autenticação RADIUS e EAP
– Muito à semelhança do WPA2
– Maior granularidade com controlo de acesso por utilizador
• WPA-personal
– Usa chaves partilhadas pré-definidas pre-shared-keys (PSK)
– Não requer servidor RADIUS e é menos complexo
– As chaves são partilhas por todos os utilizadores
Wi-Fi WPA• Autenticador
– Access Point Wireless
• Suplicante
– Estação (o vosso portátil)
• Servidor de autenticação
– RADIUS
• O método para gerar e distribuir as chaves de acesso
ao autenticador e suplicante e igual entre:
– WPA personal
– WPA enterprise
• Apenas o método de geração das chaves mestras para
cada sessão muda.
– Porque existe o servidor Radius no meio
Wi-Fi WPA2• O WPA2 (802.11i) é o sucessor do WPA:
– Algoritmo de encriptação mais robust AES em vez de TKIP
– Incorpora optimizações diversas
– O protocolo EAPOL (Extensible Authentication Protocol Over LAN) é
usado para distribuir chaves entre o suplicante e o autenticador
• Fortemente baseado no 802.1X que permite autenticação da
ligação de estações a uma porta numa LAN:
– A ligação a uma porta em 802.1X corresponde à associação ao AP
– Uma vez associada a um AP todo o tráfego não 802.1X proveniente da
estação é eliminado
– Após autenticação 802.1X bem sucedida todo o tráfego pode passar
• EAP permite múltiplos tipos de autenticação:
– EAP-TLS usa certificados de utilizador para autenticação
– EAP-LEAP CISCO usa passwords
– EAP-PEAP usa passwords através de túnel via MSCHAPv2
– EAP-MD5 RFC3748 passwords com encriptação MD5
– EAP-TTLS Envio das passwords através de um túnel TLS
Wi-Fi WPA2• 802.1x
• Comunicação segura
• Entre a estação e o
servidor RADIUS
através do AP
• Usando certificados
• O servidor Radius
possui um certificado