estudo comparativo entre vpn ip e vpn ip mpls
DESCRIPTION
Escrito por Luis Rodrigues da Silva filhoTRANSCRIPT
Fundação Edson Queiroz Universidade de Fortaleza – UNIFOR Centro de Ciências Tecnológicas – CCT Curso de Informática
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Luis Rodrigues da Silva Filho
Fortaleza – 2006
ii
Luis Rodrigues da Silva Filho
Estudo Comparativo Entre VPN IP e VPN IP MPLS
Monografia apresentada ao Centro de Ciências Tecnológicas da Universidade de Fortaleza como parte dos pré-requisitos para a obtenção da graduação de Bacharel em Informática. Orientador: Prof. Fernando Parente Garcia, M.Sc.
Fortaleza – 2006
iii
ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS
Luis Rodrigues da Silva Filho
PARECER: ______________________________ DATA: ____/____/_____
BANCA EXAMINADORA:
__________________________________________ Prof. Fernando Parente Garcia, M.Sc.
(Orientador)
__________________________________________ Prof. Wellington Alves de Brito, M.Sc. (Examinador)
iv
“Eu sou o pão vivo que desceu do céu. Quem comer deste pão vai
viver para sempre. O pão que eu vou dar é minha carne que é dada
para a vida do mundo. Os judeus cochichavam entre si, dizendo : como
é que este homem pode dar a sua carne para ser comida? Então ele
respondeu. Em verdade eu vos digo: se não comerdes a carne do filho
do homem e não beberdes o seu sangue, não tereis a vida em vós.
Quem come a minha carne e bebe o meu sangue tem a vida eterna e
eu o ressuscitarei no último dia”.
(Jesus Cristo)
v
AGRADECIMENTOS
Em primeiro lugar a Deus por me dar o dom da vida em segundo lugar aos
meus pais, minha filha e parentes, pelo apoio e incentivo em todos os sentidos e que
sempre estiveram ao meu lado me ajudando de alguma forma para que eu pudesse
atingir os meus objetivos.
Ao Mestre Fernando Parente Garcia, meu orientador no curso de
graduação, pela orientação neste trabalho, por incentivo à pesquisa, pela amizade e
cavalheirismo, pelo aprendizado nas suas aulas da graduação, pelo exemplo de
atitude científica, dedicação acadêmica e por entender as dificuldades que passei
com a perda de meu pai.
A todos os professores da Unifor que, de uma forma ou de outra,
contribuíram para o meu crescimento pessoal e profissional.
A todas as pessoas que me ajudaram direta e indiretamente para a
realização de meus objetivos.
Por fim, à minha família: ao meu pai, ao qual perdi em março deste ano,
pelos conselhos, suporte, caráter e por ser exemplo de determinação e
perseverança, à minha mãe, pelo amor, dedicação, entusiasmo, paciência,
motivação, carinho e afeto.
vi
RESUMO
Este trabalho apresenta uma avaliação comparativa entre as Redes
Privadas Virtuais (VPN) e as Redes Privadas Virtuais baseadas em MPLS
(MultiProtocol Label Switching). O propósito é analisar e avaliar o desempenho
destas duas tecnologias realizando um estudo comparativo no que se refere a
escalabilidade, custos, qualidade de serviço e engenharia de tráfego. Inicialmente,
são abordados os funcionamentos das redes públicas FRAME RELAY, ATM e IP.
Em seguida são apresentados os conceitos utilizados nas VPN’s e VPN’s MPLS, seu
funcionamento, formação de VPN’s e aplicações. Finalmente, diante de todos os
conceitos da tecnologia MPLS, e das tradicionais redes VPN’s, é apresentado, um
estudo comparativo entre as duas tecnologias, encerrando com um estudo de caso,
onde acontece uma análise de qual seria a melhor tecnologia a ser aplicada no
cenário proposto.
Palavras-chave : VPN IP, VPN IP MPLS, Redes Privadas Virtuais, Label,
Segurança, escalabilidade, Engenharia de tráfego.
vii
SUMÁRIO
INTRODUÇÃO ........................................................................................................ 13
1. REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS....................................... 16
1.1. REDES FRAME RELAY.............................................................................. 16
1.1.1. Características .................................................................................. 17
1.1.1.1. Estrutura do Frame – Protocolo .......................................... 18
1.1.1.2. Circuitos Virtuais ................................................................. 21
1.1.1.2.1. Permanent Virtual Circuit (PVC) ......................... 21
1.1.1.2.2. Switched Virtual Circuit (SVC) ............................ 21
1.1.2. Controle de tráfego e congestionamento ......................................... 22
1.1.2.1. Aviso de Congestionamento.................................................. 22
1.1.2.1.1. Aviso Explícito de Congestionamento .................. 23
1.1.2.1.2. Aviso Implícito de Congestionamento................... 24
1.1.2.1.3. Elegibilidade para Descarte.................................. 24
1.1.2.2. Estado das Conexões ........................................................... 25
1.1.2.3. Sinalização SVC.................................................................... 26
1.1.3. Aplicações .......................................................................................... 26
1.1.3.1. Interligação de Redes LAN.................................................... 27
1.1.3.2. Voz sobre Frame Relay (VoFR) ........................................... 28
1.1.3.3. Interação Frame Relay - ATM ............................................... 29
1.2. REDES ATM (Asynchronous Transfer Mode) ................................................. 30
1.2.1. Características.................................................................................... 30
1.2.1.1. Estrutura da Célula ............................................................... 31
1.2.1.2. Conexões Virtuais ................................................................ 32
1.2.2. Controle de trafego ............................................................................. 35
1.2.3. Congestionamento.............................................................................. 36
1.2.4. Aplicações .......................................................................................... 38
1.2.4.1. Interligação de Redes Corporativas ..................................... 38
1.2.4.2. Interação ATM - Frame Relay .............................................. 40
1.2.5. Tipos de serviços ................................................................................ 41
1.3. REDES IP (Internet PROTOCOL) ................................................................... 42
viii
1.3.1. Características.................................................................................... 42
1.3.1.1. Formato do Datagrama ........................................................ 44
1.3.1.2. Endereços IP ........................................................................ 46
1.3.1.2.1. Endereçamento de máquinas na mesma rede .... 49
1.3.1.2.2.Endereçamento de máquinas em redes diferentes 49
2. VIRTUAL PRIVATE NETWORK......................................................................... 51
2.1. Introdução ........................................................................................................ 51
2.2. Tunelamento .................................................................................................... 52
2.2.1. Tipos de Túneis .................................................................................. 53
2.2.1.1. Tunelamento Voluntário ........................................................ 53
2.2.1.2. Tunelamento Compulsório .................................................... 54
2.2.2. Funcionamento dos Túneis................................................................. 55
2.3. Protolocos de Tunelamento.............................................................................. 56
2.3.1. Protocolo PPTP (Point-to-Point Tunneling Protocol) .......................... 57
2.3.1.1. Arquitetura PPTP .................................................................. 58
2.3.1.2. Datagrama PPTP .................................................................. 59
2.3.2. Protocolo L2F (Layer Two Forwarding) .............................................. 61
2.3.2.1. Datagrama L2F ..................................................................... 63
2.3.3. Protocolo L2TP ................................................................................... 63
2.3.3.1. Funcionamento do L2TP ....................................................... 64
2.3.3.2. Autenticação.......................................................................... 65
2.3.3.3. Formato do Datagrama ......................................................... 65
2.3.4. Protocolo IPSec .................................................................................. 67
2.3.4.1. Estrutura do pacote IPSec .................................................... 68
2.3.4.1.1. Protocolo AH (Authentication Header) ................. 69
2.3.4.1.2. Protocolo ESP (Encapsulated Security Payload) 70
2.3.4.2. Mecanismos de Segurança IPSec ........................................ 71
2.3.4.2.1. Autenticação e Integridade dos dados.................. 71
2.3.4.2.2. Controle de acesso............................................... 72
2.3.4.2.3. Confidencialidade ................................................. 72
2.4. Segurança ........................................................................................................ 72
2.4.1. Criptografia ......................................................................................... 73
2.4.1.1.Criptografia Simétrica ............................................................. 73
ix
2.4.1.2.Criptografia Assimétrica ......................................................... 74
2.4.2. Autenticação ....................................................................................... 75
2.4.3. Integridade.......................................................................................... 76
2.5. Aplicações VPN................................................................................................ 76
2.5.1.Acesso Remoto via Internet................................................................. 76
2.5.2.Conexão de Redes Corporativas Via Internet. .................................... 77
2.5.3.Conexão de Computadores Via Intranet. ............................................ 78
2.6 Performance e QoS........................................................................................... 79
3. MULTIPROTOCOL LABEL SWITCHING............................................................ 81
3.1. Introdução ........................................................................................................ 81
3.2. Componentes ................................................................................................... 82
3.2.1. Label Switching Routers (LSR) .......................................................... 83
3.2.2. Label Switch Path (LSP) .................................................................... 84
3.2.3. Forward Equivalence Label (FEC) ..................................................... 85
3.2.4. Label Edge Routers (LER) ................................................................. 86
3.2.5. Labels (rótulos) .................................................................................. 87
3.2.6. Label Distribution Protocol (LDP) ....................................................... 88
3.2.7. Label Information Base (LIB) ............................................................. 89
3.3. Funcionamento................................................................................................. 89
3.4. Aplicações ........................................................................................................ 91
3.4.1. Engenharia de tráfego ........................................................................ 91
3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN) ..................................... 92
4. ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS ............................. 95
4.1. Infra-estrutura de rede multiserviço.................................................................. 95
4.2. Formação de VPN’s, custos e escalabildade ................................................... 96
4.3. Qualidade de serviço........................................................................................ 98
4.4. Engenharia de tráfego...................................................................................... 99
4.5. Segurança ........................................................................................................100
4.6. Mercado brasileiro............................................................................................101
4.7. Cenário de aplicação do MPLS................................................................................................102
4.7.1. Cenário ...............................................................................................103
4.7.2. Aplicação ............................................................................................103
CONCLUSÕES .......................................................................................................106
REFERÊNCIA BIBLIOGRÁFICAS ..........................................................................108
x
LISTA DE FIGURAS
Figura 1.1 – Estrutura do Frame ............................................................................. 19
Figura 1.2 – Estrutura do cabeçalho ....................................................................... 19
Figura 1.3 – Estado de congestionamento.............................................................. 23
Figura 1.4 – Interligação de redes LAN................................................................... 27
Figura 1.5 – Aplicação de voz sobre Frame Relay.................................................. 28
Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's .......... 29
Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's ............. 31
Figura 1.8 – Estrutura da Célula ATM..................................................................... 32
Figura 1.9 – Conceitos para implementar as conexões ATM.................................. 32
Figura 1.10 – Conexões Virtuais ATM..................................................................... 34
Figura 1.11 – Interligação de redes coorporativas. ................................................ 39
Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s........ 40
Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s............ 41
Figura 1.14 - Estrutura host e roteador ................................................................... 43
Figura 1.15 - Formato do Datagrama ...................................................................... 44
Figura 1.16 - Classes utilizadas na Internet ............................................................ 48
Figura 1.17 - Endereçamento na mesma rede........................................................ 49
Figura 1.18 - Endereçamento em redes diferentes ................................................. 50
Figura 2.1 – Funcionamento básico do tunelamento............................................... 52
Figura 2.2 – Tunelamento Voluntário ...................................................................... 53
Figura 2.3 – Tunelamento Compulsório .................................................................. 54
Figura 2.4 – Tunelamento ....................................................................................... 55
Figura 2.5 – Conexão PPTP.................................................................................... 58
Figura 2.6 – Quadro PPTP...................................................................................... 60
Figura 2.7 – Quadro de encapsulamento PPTP...................................................... 61
Figura 2.8 – Tunelamento com o Protocolo L2F ..................................................... 62
Figura 2.9 – Cabeçalho do pacote L2F ................................................................... 62
Figura 2.10 – Funcionamento do protocolo L2TP ................................................... 65
xi
Figura 2.11 – Cabeçalho do Pacote L2TP .............................................................. 66
Figura 2.12 – Cabeçalho modo Transporte............................................................ 68
Figura 2.13 – Cabeçalho modo túnel ...................................................................... 68
Figura 2.14 - Estrutura do pacote IPSec. ............................................................... 69
Figura 2.15 – Cabeçalho do Protocolo AH .............................................................. 69
Figura 2.16 – Cabeçalho do Protocolo ESP............................................................ 70
Figura 2.17 – Conexão de redes Corporativas via Internet ..................................... 77
Figura 2.18 – Conexão de redes Corporativas via Internet ..................................... 78
Figura 2.19 – Conexão de computadores via Internet............................................. 79
Figura 3.1 – LSR de Borda e LSR de Núcleo. ........................................................ 83
Figura 3.2 – Criação da LSP ................................................................................... 84
Figura 3.3 – Encaminhamento do pacote FEC........................................................ 85
Figura 3.4 – Esquema do Label Edge Routers (LER) ........................................... 86
Figura 3.5 – Cabeçalho MPLS – Shim Header........................................................ 87
Figura 3.6 – Funcionamento básico do MPLS......................................................... 90
Figura 3.7 – MPLS sobre uma Rede Privada Virtual............................................... 93
Figura 4.1 – Rede VPN com PVC’s.........................................................................104
Figura 4.2 – Rede VPN MPLS com LSP’s ..............................................................104
xii
LISTA DE TABELAS
Tabela 1.1 – Descrição dos campos do cabeçalho ................................................. 19
Tabela 1.2 – Descrição dos campos do cabeçalho ................................................. 31
Tabela 1.3 – Descrição dos campos do datagrama IP............................................ 44
Tabela 2.1 – Descrição dos campos do Cabeçalho L2F ......................................... 63
Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP .................................. 66
Tabela 2.3 – Descrição dos campos do cabeçalho AH........................................... 69
Tabela 2.4 – Descrição dos campos do cabeçalho ESP......................................... 71
Tabela 3.1 – Descrição dos campos do Label. ....................................................... 88
13
INTRODUÇÃO
Como a Internet é uma rede pública com transmissão aberta da maior
parte dos dados, devemos estar atentos aos aspectos de segurança, isto porque,
cada vez mais as corporações necessitam estar conectadas de maneira privada e
confiável, para facilitar a comunicação entre suas filiais, fornecedores e clientes.
Para se conseguir tal ambiente utiliza-se normalmente linhas dedicadas, o
que onera sensivelmente os custos de implementação, além dos custos com pessoal
e manutenção, tendo também sérios problemas de escalabilidade.
Surge então a necessidade de uma política de segurança, para que as
corporações possam manter uma comunicação segura e confiável entre os seus
diversos pontos. Várias pesquisas foram realizadas para o desenvolvimento de uma
tecnologia que resolvesse este e outros problemas. Entre os diversos métodos
estudados, surgiu a VPN (Virtual Private Network) ou Rede Privada Virtual.
A VPN surgiu com o propósito de garantir integridade, autenticidade,
confidencialidade e controle de acesso, reduzindo os riscos de ataques externos não
desejados. Ela cria “túneis virtuais" de comunicação entre as redes, fazendo com
que os dados trafeguem de forma criptografada pelos túneis, garantindo
principalmente que os dados não sejam modificados durante a transmissão, e que as
partes envolvidas na transmissão sejam identificadas corretamente e mantendo o
sigilo, isto é, não permitindo que pessoas não autorizadas identifiquem o conteúdo
da mensagem.
Além disso, a VPN tem se tornado uma forma de diminuir os custos para
interligar as redes das empresas, pois elimina a necessidade de links dedicados de
longa distância, utilizando um meio público, normalmente a Internet, para trafegar
dados entre elas.
14
Ela também permite o suporte a usuários móveis, sem a utilização de
bancos de modem ou servidores de acesso remoto, ajudando a aumentar a
flexibilidade e diminuir os gastos com equipamentos extras.
Entretanto, em aplicações onde o tempo de transmissão é crítico, como
multimídia, o uso de VPN’s deve ser analisado com mais cuidado, pois podem
ocorrer problemas de desempenho e atrasos.
Dentro deste contexto surge o MPLS (Multiprotocol Label Switching), uma
tecnologia emergente que além de possuir, entre suas funções nativas, a qualidade
de construções de VPN’s, pode também ser utilizado com qualquer protocolo de rede
para o encaminhamento de pacotes.
O MPLS é um Framework1 que realiza o encaminhamento dos dados
através de caminhos pré-estabelecidos, sendo feita apenas a comutação, e não o
roteamento tradicional.
Dentre as vantagens desta nova tecnologia estão:
• Orientação à conexão em redes IP;
• Construção de VPN’s (Virtual Private Networks);
• Engenharia de tráfego;
• Qualidade de Serviço (QoS);
• Classes de Serviço (CoS).
O objetivo deste estudo é realizar uma análise e avaliação comparativa
entre as Redes Privadas Virtuais (VPN’s) tradicionais e as VPN’s baseadas em
1 Framework ou arcabouço é uma estrutura de suporte definida em que um outro projeto de software pode ser organizado e desenvolvido. Um framework pode incluir programas de suporte, bibliotecas de código, linguagens de script e outros softwares para ajudar a desenvolver e juntar diferentes componentes de um projeto de software.
15
MPLS, referente a segurança, desempenho, custos, qualidade de serviço e
engenharia de tráfego.
O trabalho é composto de quatro capítulos assim divididos: No capitulo 1,
são abordados as características, funcionalidades e aplicações das redes públicas
Frame Relay, ATM e IP, como embasamento para os capítulos posteriores.
No capítulo 2, é realizado um estudo das Redes Privadas Virtuais (VPN’s),
mostrando sua arquitetura, protocolos de tunelamento, segurança e como são
construídos e como funcionam os “Túneis Virtuais” que garantem a integridade,
autenticidade, confidencialidade e controle de acesso.
No capitulo 3, discute-se o Multiprotocol Label Switching (MPLS),
mostrando como são quebrados os paradigmas dos roteamentos tradicionais IP
através de seus rótulos, como são construídas as Redes Privadas Virtuais (VPN’s)
baseadas em MPLS, a sua capacidade de melhorar a qualidade de transmissões,
principalmente as multimídias, através da QoS e seu planejamento de rotas através
da Engenharia de tráfego.
No quarto e último capitulo, apresentamos uma análise comparativa entre
as VPN’s IP e VPN’s IP MPLS, procurando mostrar as suas vantagens e
desvantagens relativo aos itens já citados anteriormente. Neste capitulo discutimos,
ainda, um cenário proposto, no qual colocamos nossa opinião sobre qual seria a
melhor aplicação entre as duas tecnologias discutidas.
Ao final, nas conclusões, apresentamos nossas considerações sobre o
assunto tema desenvolvido nesta pesquisa.
16
CAPÍTULO I
REDES PÚBLICAS DE COMUNICAÇÃO DE DADOS
Neste capítulo será abordado o funcionamento das redes Frame Relay,
ATM e IP.
1.1. REDES FRAME-RELAY
No fim da década de 80 e início da década de 90, vários fatores
combinados demandaram a transmissão de dados com velocidades mais altas
devido a:
• A migração dos aplicativos de texto para aplicativos gráficos;
• O aumento do tráfego do tipo rajada (bursty) nas aplicações de dados;
• O aumento da capacidade de processamento dos equipamentos de
usuário (PC’s, estações de trabalho, terminais Unix);
17
• A popularização das redes locais e aplicações cliente/ Servidor;
• A disponibilidade de redes digitais de transmissão.
Nessa época o Bell Labs (EUA) desenvolvia a tecnologia do protocolo
Frame Relay, entretanto, devido a suas características, o protocolo foi desmembrado
e evoluiu como um serviço de rede independente, com padrões e recomendações
elaborados por órgão internacionais de Telecomunicações [6].
O Frame Relay é uma tecnologia de comunicação de dados que é usada
em muitas redes ao redor do mundo para interligar aplicações do tipo LAN, Internet e
Voz.
Basicamente a tecnologia Frame Relay é definida como um serviço
orientado à conexão, modo comutação de pacote (as mensagens com tamanho
acima de um limite determinado devem ser quebradas em unidades menores) [1],
prestado por redes de suporte que oferecem interfaces de acesso a terminais de
usuários. Ela utiliza a transferência unidirecional e bidirecional de SDU’s (Unidade de
dados de serviço) entre duas ou mais interfaces usuário-rede (UNI), preservando a
ordem de entrega das SDU’s de uma conexão virtual que atinjam o destino. O
serviço Frame Relay não garante a entrega de todas as SDU’s que transmite,
podendo descartar parte dessas SDU’s por ocorrência de erros e congestionamento
na rede. O Frame Relay não utiliza mecanismos de controle de erros e de fluxo,
ficando estas funções a cargo do aplicativo [5] .
1.1.1. Características
O Frame Relay é uma tecnologia baseada em frames (quadros), ideal para
tráfego de dados IP. Para cada largura de banda selecionada, existem diferentes
taxas de CIR (Seção 1.1.2.1.3).
18
As taxas de CIR, representam uma estimativa do tráfego normal do
usuário durante o período de trabalho pleno, ou seja, é a taxa em que a rede se
compromete a aceitar dados do usuário, garantindo a transmissão em condições
normais de funcionamento [2].
Para cada circuito virtual a ser ativado na rede, o usuário deve especificar
o CIR de acordo com a necessidade de sua aplicação, quanto maior o CIR
selecionado, maior a garantia de tráfego.
1.1.1.1. Estrutura do Frame – Protocolo
O Frame Relay é um serviço de frames que organiza as informações em
frames, ou seja, em frames de dados com endereço de destino definido, ao invés de
colocá-los em slots2 fixos de tempo. Este procedimento permite ao protocolo
implementar as características de multiplexação e de compartilhamento de portas, ou
seja, possibilita a utilização de múltiplos canais lógicos em uma mesma linha de
acesso. Isto significa que podemos, utilizando uma única linha de dados em um
ponto de concentração, acessar diversos pontos remotos.
Os frames podem ter comprimento variável e, dependendo do tipo de
informação da aplicação do usuário, seu tamanho pode variar de alguns poucos até
milhares de caracteres. Esta funcionalidade é essencial para a interoperabilidade
com aplicações do tipo LAN e outros tipos de tráfego síncrono. Essa facilidade,
porém, faz com que o atraso varie em função do tamanho do frame. Entretanto, a
tecnologia Frame Relay tem sido adaptada para atender até mesmo as aplicações
sensíveis a atrasos, como é o caso da Voz.
O protocolo Frame Relay utiliza um frame com estrutura comum e bastante
simplificada, conforme demonstram as Figuras 1.1 e 1.2. Na tabela 1.1 são descritos
os campos do cabeçalho.
2 Slot é um termo em inglês para designar conector, encaixe ou espaços livres dentro da CPU, em que é possível instalar novas placas para aumentar a capacidade de processamento.
19
CABEÇALHO
INFORMAÇÕES DO
USUÁRIO
FCS
FLAG
Figura 1.1 – Estrutura do Frame
BYTE 1 BYTE 2 DLCI C / R EA DLCI FECN BENC DE EA
8 7 6 5 4 3 2 1 8 7 6 5 4 3 2 1
Figura 1.2 – Estrutura do cabeçalho
Tabela 1.1 – Descrição dos campos do cabeçalho
Flags Os campos Flag inicial e Flag final delimitam o quadro.
Cabeçalho
Carrega as informações de controle do protocolo. É composto por 02 bytes com as seguintes informações:
• DLCI (Data Link Connection Identifier), com 10 bits, representa o número (endereço) designado para o destinatário de um PVC (Permanent Virtual Circuit, item 1.1.1.2.1) dentro de um canal de usuário, e tem significado local apenas para a porta de origem;
• C/R (Command / Response), com 01 bit, é usado pela aplicação usuária, só será utilizado na hipótese de estar em modo de controle e gerencia no Frame Relay;
• FECN (Foward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento receptor que procedimentos de prevenção de congestionamento devem ser iniciados;
• BECN (Backward Explicit Congestion Notification), com 01 bit, é usado pela rede para informar um equipamento transmissor que procedimentos de prevenção de congestionamento devem ser iniciados;
• DE (Discard Eligibility Indicator), com 01 bit, se setado igual a um, elege o quadro que contém o frame como maior candidato a descarte na hipótese de congestionamento ao longo da rede.
• EA (Extension Bit), com 02 bits, é usado para indicar
20
que o cabeçalho tem mais de 02 bytes, em caso especiais, sendo zerado todos os bits, a exceção do último, quando é setado um;
Informação de
usuário Contém as informações da aplicação usuária a serem transportadas através da rede Frame Relay.
FCS
O FCS (Frame Check Sequence) representa o CRC (Cyclic Redundancy Check) padrão de 16 bits (x16 + x12 + x5 = 1) usado pelo protocolo Frame Relay para detectar erros existentes entre o Flag de início do frame e o próprio FCS, e pode ser usado apenas para frames com até 4096 bytes.
O fluxo básico das informações é descrito a seguir:
• As informações são enviadas através da rede Frame Relay usando o
DLCI, que especifica o destinatário do frame;
• Se a rede tiver algum problema ao processar o frame devido à falhas
ou ao congestionamento nas linhas de dados, os frames são
simplesmente descartados;
• A rede Frame Relay não executa a correção de erros, pois ela
considera que o protocolo da aplicação de usuário executa a
recuperação de falhas através da solicitação de retransmissão dos
frames perdidos;
• A recuperação de falhas executada pelo protocolo da aplicação,
embora confiável, apresenta como resultado o aumento do atraso
(delay), do processamento de frames e do uso de banda, o que torna
imprescindível que a rede minimize o descarte de frames;
• A rede Frame Relay requer circuitos da rede de transmissão com
baixas taxas de erros e falhas para apresentar boa eficiência;
21
• Em redes de transmissão de boa qualidade, o congestionamento é de
longe a causa mais freqüente de descarte de frames, demandando da
rede Frame Relay a habilidade de evitar e reagir rapidamente ao
congestionamento como forma de determinar a sua eficiência.
1.1.1.2. Circuitos Virtuais
A tecnologia Frame Relay é baseada no uso de Circuitos Virtuais (VC's).
Um VC é um circuito de dados virtual bidirecional configurado entre duas portas
quaisquer da rede, que funciona como um circuito dedicado. Existem dois tipos de
VC's, o Permanent Virtual Circuit (PVC) e o Switched Virtual circuit (SVC).
1.1.1.2.1. Permanent Virtual Circuit (PVC)
O PVC é configurado pelo operador na rede através do sistema de
Gerência de Rede, como sendo uma conexão permanente entre dois pontos. Seu
encaminhamento através dos equipamentos da rede pode ser alterado ao longo do
tempo devido à falhas ou reconfigurações de rotas, porém as portas de cada
extremidade são mantidas fixas e de acordo com a configuração inicial.
A configuração dos PVC's requer um planejamento criterioso para levar
em consideração o padrão de tráfego da rede e o uso da banda disponível. Sua
utilização é destinada a aplicações permanente e de longo prazo e são uma
alternativa aos circuitos dedicados dos sistemas TDM com boa relação custo /
benefício.
1.1.1.2.2. Switched Virtual Circuit (SVC)
O SVC é disponibilizado na rede de forma automática, sem intervenção do
operador, como um circuito virtual sob demanda, para atender, entre outras, as
aplicações de Voz que estabelecem novas conexões a cada chamada. O
estabelecimento de uma chamada usando o protocolo de sinalização do SVC é
comparável ao uso normal de telefone, onde a aplicação de usuário especifica um
22
número de destinatário para completar a chamada, e o SVC é estabelecido entre as
portas de origem e destino.
O estabelecimento de SVC's na rede é mais complexo que os PVC's,
embora seja transparente para o usuário final. As conexões devem ser estabelecidas
de forma dinâmica na rede, atendendo as solicitações de destino e banda das
diversas aplicações de usuários, e devem ser acompanhadas e cobradas de acordo
com o serviço fornecido.
1.1.2. Controle de tráfego e congestionamento
O protocolo Frame Relay foi desenvolvido para ser o mais simples
possível, a sua função básica é determinar que os eventuais problemas de erros da
rede sejam resolvidos pelos protocolos dos equipamentos de usuário, mas surgiram
necessidades que levaram os órgão de padronização a definir mecanismos de
sinalização para três tipos de situações: Aviso de Congestionamento, Estado das
Conexões e Sinalização SVC.
1.1.2.1. Aviso de Congestionamento
A capacidade de transporte da Rede Frame Relay é limitada pela sua
banda disponível. Conforme o tráfego aumenta, a banda vai sendo alocada até onde
não é possível receber tráfego adicional. Quando o limite da banda é atingido, a rede
é considerada congestionada, embora ainda possa transportar todo o tráfego que
entra. Caso os usuários continuem a enviar tráfego adicional, a rede é levada ao
estado de congestionamento extremo, o que provoca a perda de frames por falta de
banda. Nesse estado, os procedimentos de reenvio de pacotes perdidos pelos
usuários concorrem com o tráfego existente e a rede pode entrar em colapso.
Para evitar esse tipo de situação, foram definidos os seguintes
mecanismos de aviso de congestionamento: Aviso Explícito de Congestionamento,
Aviso Implícito de Congestionamento e Elegibilidade para Descarte.
23
1.1.2.1.1. Aviso Explícito de Congestionamento
Este mecanismo utiliza os bits FECN e BECN do cabeçalho do frame
(Seção 1.1.1.1, Tabela 1.1), para avisar aos equipamentos dos usuários sobre o
estado da rede.
A Figura 1.3 ilustra um exemplo onde o equipamento B está atingindo o
estado de congestionamento, oriundo de vários usuários, ou de um
congestionamento no entroncamento que interliga B e C.
A identificação do congestionamento é feita pelo equipamento B, baseado
no estado de seus buffers internos ou no tamanho de suas filas de frames a enviar.
Nesse momento B ativa o bit FECN desta forma todos os equipamentos de rede e de
usuário envolvidos no caminho entre B e o destino dos DLCI’s afetados tomam
conhecimento do congestionamento.
Além de informar aos equipamentos de destino, B ativa também o bit
BECN. Novamente, todos os equipamentos de rede e de usuário envolvidos no
caminho entre B e a origem dos DLCI’s afetados tomam conhecimento do
congestionamento. Dependendo da inteligência do protocolo da aplicação de
usuário, procedimentos de diminuição de tráfego a ser enviado para a rede podem
ser iniciados.
Figura 1.3 – Estado de congestionamento
24
O processo de ativação dos bits FECN e BECN pode ocorrer
simultaneamente em vários DLCI’s, como resultado da ocorrência de
congestionamento, avisando vários equipamentos de origem e destino. [6].
1.1.2.1.2. Aviso Implícito de Congestionamento
Alguns protocolos dos equipamentos de aplicação, como o TCP/IP,
possuem mecanismos para verificar o congestionamento da rede. Esses protocolos
analisam, por exemplo, o atraso (delay) de resposta dos frames enviados ou a perda
de frames, para detectar de forma implícita se a rede está congestionada.
Esses protocolos limitam o envio de tráfego para a rede por meio de uma
janela de tempo, que permite o envio de um determinado número de frames antes
que uma resposta seja recebida. Quando detecta que um congestionamento está
ocorrendo, o protocolo reduz a janela de tempo, o que reduz o envio de frames,
diminuindo o carregamento da rede.
Esse mesmo procedimento de ajuste da janela de tempo é normalmente
usado pelos equipamentos de usuário como resultado da sinalização de
congestionamento explícito dos bits FECN e BECN.
Os avisos explícito e implícito de congestionamento são complementares,
e devem ser usados de forma conjunta para avaliar o envio de tráfego para a rede,
como forma de evitar eventuais congestionamentos.
1.1.2.1.3. Elegibilidade para Descarte
Alguns equipamentos de usuário não têm capacidade para analisar os
avisos de congestionamento, que de fato são a parte opcional do padrão Frame
Relay. Entretanto, como parte do padrão básico do Frame Relay existe no cabeçalho
do protocolo o bit DE (Seção 1.1.1.1, Tabela 1.1) que, se ativado, indica aos
equipamentos da rede que o frame pode ser descartado em caso de
congestionamento.
25
Para definir o procedimento de ativação do bit DE, o padrão Frame Relay
definiu o CIR (Committed Information Rate), que representa uma estimativa do
tráfego normal do usuário durante o período de trabalho pleno, ou seja, é a taxa em
que a rede se compromete a aceitar dados do usuário, garantindo a transmissão em
condições normais de funcionamento [2]. Para cada VC a ser ativado na rede, o
usuário deve especificar o CIR de acordo com a necessidade de sua aplicação.
Normalmente o CIR é especificado como sendo uma porcentagem da capacidade
máxima da porta física onde é conectado o equipamento de aplicação do usuário, ou
seja, para uma porta de 64 kbits/s, por exemplo, pode-se adotar um CIR de 32
kbits/s (50%) a ser configurado para o circuito virtual. Desta forma, tanto os
equipamentos de usuário como os de rede passam a ativar o bit DE toda vez que um
frame a ser enviado ultrapasse o CIR configurado para o respectivo circuito virtual.
Isto implica que, em caso de congestionamento, os frames que possuem o bit DE
ativado são de preferência descartados para tentar normalizar o carregamento da
rede [6].
Independente do estado do bit DE qualquer tipo de frame é descartado,
quando o bit DE ativado não é suficiente para acabar com o congestionamento.
1.1.2.2. Estado das Conexões
Este tipo de sinalização define como os equipamentos do usuário e os da
rede Frame Relay podem comunicar o status das portas e dos vários VC’s
configurados para cada porta. São utilizados alguns frames especiais com DLCI's
que são trocados entre a rede e as aplicações de usuário.
Esses frames monitoram o estado da conexão e fornecem as seguintes
informações:
• Estado ativo ou não da interface ou porta;
• Os DLCI's válidos definidos para uma determinada porta ou interface;
26
• O estado de cada VC, como por exemplo, se ele está congestionado ou
não.
Vale ressaltar que, como esta sinalização é opcional no Frame Relay, nem
todos os equipamentos de usuário ou da rede possuem este tipo de funcionalidade
implementada.
1.1.2.3. Sinalização SVC
A sinalização SVC (Seção 1.1.1.2.2) é apenas um procedimento para
estabelecer um SVC de acordo com a demanda de uma determinada aplicação do
usuário, não informando qual o estado atual da rede, ou seja, ela trata apenas do
estabelecimento e controle de um determinado SVC, de forma automática na rede.
O padrão Frames Relay define as mensagens e os procedimentos
necessários para ativar um SVC. Basicamente a rede avisa ao destinatário que
existe uma demanda para estabelecer uma conexão, e ele deve decidir se aceita ou
não. Se for aceita, a rede configura o SVC na rede entre a origem e o destinatário.
Assim que o SVC estiver ativo, os equipamentos de aplicação da origem e do
destino podem iniciar a transferência de informações. Quando as aplicações não
necessitarem mais da conexão, qualquer um ou ambos comunicam à rede que
desativa o SVC.
1.1.3. Aplicações
Existe um variado leque de aplicações para Frame Relay, em virtude da
flexibilidade e da amplitude de suas características. Comentaremos a seguir alguma
delas como: Interligação de Redes LAN's, Voz sobre Frame Relay, Interação Frame
Relay – ATM.
27
1.1.3.1. Interligação de Redes LAN
A interligação de redes LAN's compondo uma rede WAN, é uma aplicação
típica para o uso da tecnologia Frame Relay. O tráfego usual das redes de dados é
normalmente de dois tipos: interativo (comando - resposta), ou seja, solicitação de
usuários, aplicações de clientes e respostas de aplicações servidoras, e por rajadas
(bursty), quando grandes quantidades de dados são transferidas de forma não
contínua.
O Frame Relay pode transportar múltiplas aplicações e protocolos
correspondentes a diversos ambientes de comunicação de clientes. Em particular,
adaptam-se especialmente bem as necessidades de interconexão de redes LAN’s e
as arquiteturas de comunicação predominantes. Dirige-se ao ambiente corporativo,
entendendo-se como tal às comunicações internas e externas de uma empresa, com
conectividade tanto nacional quanto internacional, que requer alta velocidade,
mínimo retardo, interconexão de ambientes, multiprotocolo, desempenho garantido,
alta disponibilidade, arquitetura de rede flexível e de fácil evolução.
Figura 1.4 – Interligação de redes LAN
O serviço Frame Relay foi projetado para uso em segmentos de LAN’s
com bridges3 [3] (pontes), ou seja, uma organização com escritórios (Figura 1.4) em
diferentes localidades pode obter uma conexão Frame Relay para cada escritório, e
3 Bridge é um dispositivo eletrônico que conecta uma LAN a outra LAN.
28
então usar a conexão para encaminhar pacotes de um segmento de LAN em um site
a um segmento de LAN no outro.
1.1.3.2. Voz sobre Frame Relay (VoFR)
A tecnologia Frame Relay atende aos requisitos de redução de custos e
de complexidade das grandes redes corporativas em relação ao transporte de Voz e
dados, isto porque, existe a possibilidade de transportar a Voz proveniente de
PABX's, sinais de fax e de modens, e os dados através da mesma porta Frame
Relay usando procedimentos comuns de gerenciamento e manutenção.
Figura 1.5 – Aplicação de voz sobre Frame Relay
Esta modalidade prevê a utilização de equipamentos multiplexadores,
conhecidos como FRAD’S (Frame Relay Acess Devices), a serem instalados nas
dependências dos usuários de modo a realizar a integração de voz e dados através
de um único acesso à rede Frame Relay. Estes FRAD’S (Figura 1.5) possuem
aplicações para a interligação dos equipamentos de telefonia e de rede local dos
usuários a uma interface Frame Relay capaz de concentrar ambos os tráfegos. Eles
comprimem os canais de voz em taxas de Kbits/s efetuando ainda a supressão do
silêncio, ou seja, não são transportados quadros sem sons [10].
29
1.1.3.3. Interação Frame Relay - ATM
Procurando aumentar a interoperabilidade do Frame Relay com outros
protocolos de dados, o FR Fórum e o ATM Fórum, órgãos responsáveis pelo
desenvolvimento de Acordos de Implementação, desenvolveram padrões para
interligar equipamentos dessas duas tecnologias através de PVC's, são eles: Frame
Relay / ATM Network Interworking for PVC's e o Frame Relay / ATM Service
Interworking for PVC's.
• Frame Relay / ATM Network Interworking for PVC's - padroniza uma
funcionalidade responsável pelo encapsulamento dos PVC's para que os
mesmos possam ser transportados indistintamente nas redes das duas
tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como
núcleo uma rede ATM (Figura 1.6), para otimizar ainda mais o uso de banda e
a segurança.
• Frame Relay / ATM Service Interworking for PVC's - padroniza uma
funcionalidade responsável pela conversão dos protocolos (FR <--> ATM),
que pode ser incorporada tantos aos equipamentos de acesso como aos
equipamentos da rede. Seu uso típico ocorre quando a corporação possui
redes Frame Relay em alguns escritórios e que devem se interligar com a
rede ATM de sua matriz, conforme ilustrado na Figura 1.7.
Figura 1.6 – Aplicação Frame Relay / ATM Network Interworking for PVC's
30
Figura 1.7 – Aplicação Frame Relay/ATM Service Interworking for PVC's
1.2. REDES ATM (ASYNCHRONOUS TRANSFER MODE)
O ATM foi projetado no início dos anos 90, nessa época consolidava-se o
desenvolvimento da tecnologia Frame Relay. Entretanto, a crescente necessidade de
uso de banda e de classes de serviços diferenciadas, de acordo com o tipo de
aplicação, levou ao desenvolvimento da tecnologia ATM, com padrões e
recomendações elaborados por órgão internacionais de Telecomunicações e
suportados pela indústria mundial. Em português ATM significa “modo de
transferência assíncrono”, e surgiu através do organismo ITU-T (International
Telecommunication Union - Telecommunication).
O ATM é baseado na transmissão de dados de pequenas unidades de
informação, denominadas de células, com tamanho fixo e formato padronizado, que
são transmitidas através de conexões com VC’s e tem seu encaminhamento
baseado na informação dos cabeçalhos contidos em cada uma delas. O ATM é
capaz de suportar diferentes tipos de serviços, desde os de tempo real (voz e vídeo)
até a transmissão de dados entre computadores [11].
1.2.1. Características
A tecnologia ATM utiliza a multiplexação e comutação de pacotes
dispondo de um serviço de transferência de dados orientado a conexão, em modo
assíncrono, atendendo as necessidades de diversos tipos de aplicações de dados,
voz, áudio e vídeo.
31
Diferentemente do Frame Relay, o ATM utiliza um pacote de tamanho fixo
denominado célula, onde cada célula ATM enviada para a rede contém uma
informação de endereçamento que estabelece uma conexão virtual entre origem e
destino.
1.2.1.1. Estrutura da Célula
A célula do protocolo ATM utiliza uma estrutura simplificada com tamanho
fixo de 53 bytes, sendo 48 bytes para a informação e 5 bytes [7] para o cabeçalho
(Figura 1.8). O campo de Cabeçalho carrega as informações de controle do
protocolo. Devido a sua importância, possui mecanismo de detecção e correção de
erros para preservar o seu conteúdo, conforme Tabela 1.2.
Figura 1.8 – Estrutura da Célula ATM
Tabela 1.2 – Descrição dos campos do cabeçalho
VPI (Virtual Path Identifier)
com 12 bits, representa o número da rota virtual até o destinatário da informação útil, e tem significado local apenas para a porta de origem. Nas conexões UNI o VPI pode ainda ser dividido em 2 campos: o GFC (Generic Flow Control), com 4 bits, que identifica o tipo de célula para a rede, e o VPI propriamente dito, com 8 bits.
VCI (Virtual Channel Identifier)
com 16 bits, representa o número do canal virtual dentro de uma rota virtual específica. Também se refere ao destinatário da informação útil e tem significado local apenas para a porta
32
de origem. PT (Payload Type)
com 3 bits, identifica o tipo de informação que a célula contém: de usuário, de sinalização ou de manutenção.
CLP (Cell Loss Priority)
com 1 bit, indica a prioridade relativa da célula. Células de menor prioridade são descartadas antes que as células de maior prioridade durante períodos de congestionamento.
HEC (Header Error Check)
com 8 bits, é usado para detectar e corrigir erros no cabeçalho.
Informação Útil
com 384 bits (48 bytes) carrega as informações de usuário ou de controle do protocolo. A informação útil é mantida intacta ao longo de toda a rede, sem verificação ou correção de erros. A camada ATM do protocolo considera que essas tarefas são executadas pelos protocolos das aplicações de usuário ou pelos processos de sinalização e gerenciamento do próprio protocolo para garantir a integridade desses dados. Quando a informação é de controle do protocolo, o primeiro byte é usado como campo de controle e os demais bytes contém informação de sinalização, configuração e gerenciamento da rede.
1.2.1.2. Conexões Virtuais
A tecnologia ATM é baseada no uso de VC’S. O ATM implementa essas
conexões virtuais utilizando três conceitos (Figura 1.9):
Figura 1.9 – Conceitos para implementar as conexões ATM
• TP (Transmission Path): é a rota de transmissão física entre dois
equipamentos da rede ATM.
33
• VP (Virtual Path): é a rota virtual configurada entre dois equipamentos
adjacentes da rede ATM. O VP usa como infra-estrutura os TP’s. Um
TP pode ter um ou mais VP’s. Cada VP tem um identificador VPI
(Virtual Paths Identifier), que deve ser único para um dado TP.
• VC (Virtual Channel): é o canal virtual configurado também entre dois
equipamentos adjacentes da rede ATM. O VC usa como infra-estrutura
o VP. Um VP pode ter um ou mais VC’s, Cada VC tem um identificador
VCI (Virtual Channel Identifier), que também deve ser único para um
dado TP.
A partir desses conceitos, definem-se dois tipos de conexões virtuais:
• VPC (Virtual Paths Connection): é a conexão de rota virtual definida
entre dois equipamentos de acesso ou de usuário. Uma VPC é uma
coleção de VP’s configuradas para interligar origem e destino.
• VCC (Virtual Channel Connection): é a conexão de canal virtual
definida entre dois equipamentos de acesso ou de usuário. Uma VCC é
uma coleção de VC’s configuradas para interligar origem e destino.
Essas conexões são sempre bidirecionais, embora a banda em cada
direção possa ter taxas distintas ou até mesmo zero. Ao serem configuradas, apenas
os identificadores VPI / VCI nas conexões UNI4 da origem e do destino tem os
mesmos valores. Nas conexões NNI5 entre equipamentos os valores de VPI / VCI
são definidos em função da disponibilidade de VP’s ou VC’s [19], conforme mostra a
Figura 1.10.
4 User-Network Interface (UNI), é a conexão entre equipamentos de acesso e equipamentos de rede. 5 Network Node Interface (NNI), é a conexão entre equipamentos de rede.
34
Figura 1.10 – Conexões Virtuais ATM
O ATM é um protocolo orientado a conexão. A rede estabelece uma
conexão através de um procedimento de sinalização, ou seja, um pedido de
estabelecimento de conexão é enviado pela origem até o destinatário através da
rede. Se o destinatário concorda com a conexão, um VCC / VPC é estabelecido na
rede, definido o VPI / VCI da conexão entre as UNI de origem e de destino, e
alocando os recursos dos VP’s e / ou VC’s ao longo da rota.
Como o ATM usa a técnica de roteamento para enviar as células, ao
configurar um VPC ou VCC, o sistema usa como parâmetros os endereços ATM dos
equipamentos de origem e destino, e o VPI / VCI adotado. Essas informações são
então enviadas para as tabelas de roteamento dos equipamentos de rede, que usam
para encaminhar as células. A partir dessas conexões virtuais o ATM implementa
todos os seus serviços. Em especial, o ATM implementa também os circuitos virtuais
(VC) mais comuns, quais sejam:
• PVC (Permanent Virtual Circuit): esse circuito virtual é configurado pelo
operador na rede através do sistema de Gerência de Rede, como
sendo uma conexão permanente entre 2 pontos. Seu encaminhamento
através dos equipamentos da rede pode ser alterado ao longo do
tempo devido à falhas ou reconfigurações de rotas, porém as portas de
cada extremidade são mantidas fixas e de acordo com a configuração
inicial.
• SVC (Switched Virtual Circuit): esse circuito virtual é disponibilizado na
rede de forma automática, sem intervenção do operador, para atender,
entre outras, as aplicações de Voz que estabelecem novas conexões a
35
cada chamada. O estabelecimento de uma chamada é comparável ao
uso normal de telefone, onde a aplicação de usuário especifica um
número de destinatário para completar a chamada, e o SVC então é
estabelecido entre as portas de origem e destino.
1.2.2. Controle de tráfego
Os mecanismos de sinalização do protocolo ATM são parte dos seus
mecanismos de controle. As funções principais definidas são as seguintes:
• Estabelecimento e finalização de conexões ponto a ponto;
• Seleção e alocação de VPI / VCI (Seção 1.2.1.1, Tabela 2.1);
• Solicitação de classe de qualidade de serviço;
• Identificação de solicitante de conexão;
• Gerenciamento básico de erros;
• Notificação de informações na solicitação de conexões;
• Especificação de parâmetros de tráfego.
O ATM possui procedimentos de sinalização específicos para essas
funções baseados no envio de mensagens a partir dos equipamentos de acesso de
origem para os equipamentos de destino, a fim de negociar ao longo da rede o
estabelecimento de conexões.
É basicamente uma evolução dos procedimentos de estabelecimento de
chamadas dos sistemas de telefonia convencional aplicados às redes de dados, com
sinalizações indicando se a conexão pode ser efetuada ou não, se ela deve ou não
ser terminada de forma normal ou anormal e o estado da conexão. Sua duração
36
pode ser variável, para uma conexão estabelecida sob demanda e de forma
automática, ou permanente, para uma conexão configurada pelo operador que deve
estar sempre disponível.
A partir desse conjunto de funções podem ser estabelecidas as diversas
funcionalidades dos serviços existentes no ATM. Entre elas podemos citar:
• Estabelecimento de conexões ponto-a-ponto;
• Estabelecimento de conexões ponto-multiponto;
• Estabelecimento de conexões multiponto-multiponto;
• Estabelecimento de conexões multicast (um para muitos unidirecional).
1.2.3. Congestionamento
A capacidade de transporte da Rede ATM é limitada pela sua banda
disponível. Conforme o tráfego a ser transportado aumenta, a banda vai sendo
alocada até onde não for possível receber o tráfego adicional. Quando atinge esse
limite, a rede é considerada congestionada, embora ainda possa transportar todo o
tráfego que entra.
Caso os equipamentos de usuário continuem a enviar tráfego adicional, a
rede é levada ao estado de congestionamento severo, o que provoca a perda de
células por falta de banda. Nesse estado, os procedimentos de reenvio de pacotes
perdidos dos equipamentos usuários concorrem com o tráfego existente e a rede
entra em acentuado processo de degradação.
O ATM possui os seguintes mecanismos de gerenciamento de
congestionamento:
37
• Alocação de Recursos: evita que ocorra o congestionamento fazendo
o controle severo de alocação dos recursos de armazenamento
(buffers) dos equipamentos e de banda, e recusando as solicitações de
novas conexões.
• UPC (Usage Parameter Control): se o processo de controle do uso da
rede indicar estado de descarte, os equipamentos situados na periferia
da rede não aceitam novo tráfego evitando o congestionamento.
• CAC (Connection Admission Control): caso o parâmetro de admissão
de novas conexões estiver selecionado para “cheio”, não serão aceitas
novas conexões porque não é possível garantir a qualidade de serviços
com os recursos existentes.
Além disso, outros mecanismos para evitar o congestionamento estão
inseridos no próprio protocolo ou nos processos de gerenciamento do sistema,
conforme descrito a seguir:
• Aviso Explícito de Congestionamento: este mecanismo utiliza o bit
EFCI (Explicit Foward Congestion Indication) do campo PT (Seção
1.2.1.1, Tabela 2.1) do cabeçalho da célula para avisar os
equipamentos de usuários e de rede sobre o estado da rede. O
equipamento que se encontra em estado de congestionamento ou na
iminência de entrar nesse estado, ativa o bit. Desta forma podem ser
iniciados procedimentos de controle de fluxo para diminuir o tráfego até
que este se normalize.
• Alteração de Prioridade da Célula: caso o processo de verificação de
uso da rede verificar a ocorrência de congestionamento, este pode
ativar o bit CLP (Seção 1.2.1.1, Tabela 2.1) do cabeçalho das células,
forçando o seu descarte até que a rede se normalize.
38
• Controle de Estabelecimento de Conexões: o processo de admissão
de novas conexões atinge o estado de sobrecarregado e recusa as
chamadas até que a rede se normalize.
• Algoritmos de Controle de Fluxo: em alguns sistemas ATM são
usados algoritmos de controle de fluxo, baseados em janelas de tempo
de resposta de envio de células, taxa de envio variável de células ou
quantidade de células para envio, os quais permitem ao sistema obter
um feedback do estado de congestionamento de forma implícita e agir
para normalizar o problema.
1.2.4. Aplicações
A tecnologia ATM é capaz de suportar diferentes tipos de serviços, desde
as de tempo real, como voz e vídeo, até a transmissão de dados entre computadores
que satisfazem os requisitos exigidos pelos diferentes tipos de tráfego com altas
velocidades de transmissão, como: Interligação de redes corporativas, interação
ATM – Frame Relay.
1.2.4.1. Interligação de Redes Corporativas
A interligação das redes corporativas (LAN) compondo uma rede WAN, é
uma aplicação típica para o uso da tecnologia ATM. O tráfego usual das redes de
dados é normalmente composta por dois tipos:
• interativo (comando–resposta), ou seja, solicitação de usuários,
aplicações de clientes e respostas de aplicações servidoras;
• por rajadas, quando grandes quantidades de dados são transferidas de
forma não contínua.
O ATM, através de roteadores instalados nos escritórios, permite utilizar
uma porta única em cada escritório, para compor redes do tipo malha, onde, a
39
comunicação de um escritório com todos os outros é possível sem a complexidade
do uso de múltiplas portas e múltiplos circuitos dedicados.
O transporte de Voz, fax e sinais de modens analógicos sobre ATM atende
os requisitos de atraso (delay) específicos para esse tipo de aplicação, já que pode
ser definida a qualidade de serviço necessária. Ele pode ainda oferecer na mesma
estrutura, serviços adicionais como os serviços de voz e mesmo de vídeo
conferência ponto a ponto ou ponto multiponto.
Os sistemas de vídeo conferência podem fazer uso dos serviços de tempo
real do ATM para vídeo comprimido, utilizando parte da banda alocada para cada
escritório, com pleno atendimento aos seus requisitos de tempo e taxa de bits.
A aplicação interligando redes corporativas, é realizada basicamente da
seguinte forma (Figura 1.11):[1] Primeiro o usuário deve encontrar o endereço ATM
do servidor de emulação de LAN (LES), para que possa se juntar a uma rede virtual;
depois determinar o tipo de rede virtual a qual ele está prestes a se juntar e o
tamanho máximo de quadros nela utilizado; uma vez que o usuário tem todas as
informações, ele se junta a rede, para tanto ele cria uma conexão com o LES, envia
a ele uma solicitação de entrada, contendo o seu endereço ATM, tipo de LAN e
tamanho máximo de quadros, o LES envia uma resposta a solicitação de entrada,
que pode confirmar a aceitação da solicitação do usuário ou recusá-la. Se recusada
a solicitação, o usuário ao terminar a conexão poderá recomeçar todo o processo,
Figura 1.11 – Interligação de redes
40
caso contrário, o registro sendo aceito no LES, o usuário solicita a ele o
envio do endereço ATM de conexão, então o usuário também estabelece a conexão.
1.2.4.2. Interação ATM - Frame Relay
Com o objetivo de desenvolver padrões para aumentar a
interoperabilidade entre ATM e Frame Relay, foram desenvolvidos pelo ATM Forum
e o FR Forum dois padrões para interligar essas duas tecnologias através de PVC’s.
A primeira, chamada de Frame Relay / ATM Network Interworking for
PVC’s, padroniza uma funcionalidade responsável pelo encapsulamento dos PVC’s
para que os mesmos possam ser transportados indistintamente nas redes das duas
tecnologias. Seu uso típico ocorre quando a rede Frame Relay tem como núcleo uma
rede ATM, para otimizar ainda mais o uso de banda e a segurança [19]. A Figura
1.12 apresenta esta solução.
Figura 1.12 – Interação Frame Relay – ATM Network Interworking for PVC’s
A segunda forma, chamada de Frame Relay/ATM Service Interworking for
PVC’s, padroniza uma funcionalidade responsável pela conversão dos protocolos
(Frame Relay – ATM), que pode ser incorporada tanto aos equipamentos de acesso
como aos equipamentos da rede. Seu uso típico ocorre quando o usuário possui
redes Frame Relay, por exemplo, em filiais que devem se interligar com a rede ATM
da matriz. A Figura 1.13 apresenta esta solução.
41
Figura 1.13 – Interação Frame Relay/ATM Service Interworking for PVC’s
1.2.5. Tipos de serviços
A tecnologia ATM define classes de serviços baseado em vários
parâmetros aos quais comentaremos algumas delas como:[11] CBR (Constant Bit
Rate), VBR (Variable Bit Rate), ABR (Available Bit Rate) e UBR (Unspecified Bit
Rate).
• CBR – A taxa de transmissão constante é aplicada a conexões que
necessitam de banda fixa (estática) devido aos requisitos de tempo
bastante apertados entre a origem e o destino. Aplicações típicas deste
serviço são: áudio interativo (telefonia), distribuição de áudio e vídeo
(televisão, pay-per-view, etc), áudio e vídeo on demand, e emulação de
circuitos TDM.
• VBR – A taxa de transmissão variável pode ser de tempo real ou não. Na
modalidade tempo real (rt-VBR), é aplicado a conexões que tem requisitos
apertados de tempo entre origem e destino, porém a taxa de bits pode
variar. Aplicações típicas deste serviço são voz com taxa variável de bits e
vídeo comprimido (MPEG, por exemplo).
Na modalidade não tempo real (nrt-VBR), o VBR pode ser utilizado com ou
sem conexão, destina-se a conexões que, embora críticas e com requisitos
de tempo apertados, podem aceitar variações na taxa de bits. Aplicações
típicas deste serviço são os sistemas de reserva de aviação, home
banking, emulação de LAN’s e interligação de redes com protocolos
diversos (interação com redes Frame Relay, etc.).
42
• ABR – A taxa de transmissão disponível é aplicada a conexões que
transportam tráfego em rajadas que podem prescindir da garantia de
banda, variando a taxa de bits de acordo com a disponibilidade da rede
ATM. Aplicações típicas deste serviço também são as interligações entre
redes (com protocolo TCP/IP, entre outros) e a emulação de LAN’s onde
os equipamentos de interfaces têm funcionalidades ATM.
• UBR – A taxa de transmissão não especificada é aplicada a conexões que
transportam tráfego que não tem requisitos de tempo real e cujos
requisitos e atraso ou variação do atraso são mais flexíveis. Aplicações
típicas deste serviço também são as interligações entre redes e a
emulação de LAN’s que executam a transferência de arquivos e e-mails.
1.3. REDES IP (INTERNET PROTOCOL)
O protocolo Internet (IP), definido e aprovado pelo DoD (Departamento de
Defesa Americano), foi concebido para uso em sistemas de computação
interconectados através de comutação de pacotes [12].
Como o principal objetivo da Internet era manter a informação circulando
entre os principais centros de conhecimento e os centros militares, mesmo em caso
de guerra, o protocolo de rede deveria ser robusto e autoconfigurável, garantindo
alguma imunidade quanto à destruição das linhas de comunicação e/ou destes
centros.
O elemento que mantém a Internet unida é o protocolo da camada de
rede, é o IP (Internet Protocol). Ao contrário da maioria dos protocolos de rede mais
antigos, o IP foi projetado desde o início tendo como objetivo principal à interligação
de redes [4].
1.3.1. Características
O Protocolo IP é responsável pela comunicação entre máquinas em uma
estrutura de rede TCP/IP [13]. Ele provê a capacidade de comunicação entre cada
43
elemento componente da rede para permitir o transporte de uma mensagem de uma
origem até o destino. O protocolo IP provê um serviço sem conexão e não-confiável
entre máquinas em uma estrutura de rede. Qualquer tipo de serviço com estas
características deve ser fornecido pelos protocolos de níveis superiores. As funções
mais importantes realizadas pelo protocolo IP são a atribuição de um esquema de
endereçamento independente do endereçamento da rede utilizada abaixo e
independente da própria topologia da rede utilizada, além da capacidade de rotear e
tomar decisões de roteamento para o transporte das mensagens entre os elementos
que interligam as redes.
Na arquitetura TCP/IP, os elementos responsáveis por interligar duas ou
mais redes distintas são chamados de roteadores. As redes interligadas podem ser
tanto redes locais, redes geograficamente distribuídas, redes de longa distância com
chaveamento de pacotes ou ligações ponto-a-ponto seriais. Um roteador tem como
característica principal a existência de mais de uma interface de rede, cada uma com
seu próprio endereço específico. Um roteador pode ser um equipamento específico
ou um computador de uso geral com mais de uma interface de rede. Por outro lado,
um componente da arquitetura TCP/IP que é apenas a origem ou destino de um
datagrama IP (não realiza a função de roteamento) é chamado de host. A Figura
1.14 representa esta arquitetura.
Figura 1.14 - Estrutura host e roteador
44
1.3.1.1. Formato do Datagrama
A Figura 1.15 e a Tabela 1.3 mostram respectivamente o cabeçalho de um
datagrama IP e a descrição de seus campos [9]. Seu tamanho mínimo é de 20 bytes,
mas pode variar em função das opções.
Tabela 1.3 – Descrição dos campos do datagrama IP
Version
4 bits, identifica a versão do protocolo IP usada no
datagrama. Datagramas recebidos com versões não
conhecidas devem ser simplesmente ignorados.
IHL ( Internet Header Length )
4 bits, informa o comprimento do cabeçalho em palavras de
32 bits (4 octetos ou 4 bytes). O tamanho mínimo do
cabeçalho é de 5 palavras de 32 bits (20 octetos), e o
tamanho máximo (o campo Option 3 + Padding tem tamanho
variável) é de 15 palavras de 32 bits (60 octetos). Aponta para
o campo de dados. O tamanho variável permite o uso de
campos opcionais, mas dificulta o processamento. Por isso,
seu uso deve ser evitado.
TOS (Type of service)
8 bits, define a qualidade do serviço (QOS) desejada , mas é
ignorado na maioria das implementações. Com o uso deste
campo é possível escolher as prioridades de serviço para
aplicações do tipo interativa, de transferência em massa ou
de tempo real.
Figura 1.15 - Formato do Datagrama
45
Total Length
16 bits, é o tamanho total, em bytes, do datagrama (ou de um
fragmento), incluindo o cabeçalho. Todos os hosts devem
aceitar datagramas de, pelo menos, 576 bytes. O valor
máximo a ser usado numa sub-rede pode ser negociado entre
os hosts.
Identification
16 bits, número de identificação do datagrama para permitir
que o destino remonte os datagramas.
Flags 3 bits, identificam a transmissão de sinais de controle.
Fragment Offset
13 bits, esse campo indica a posição desse fragmento em
relação ao do datagrama original. O valor desse campo é
expresso em unidades de 8 octetos (64 bits), portanto o
tamanho mínimo do campo de dados de um fragmento é de
64 bits. O primeiro fragmento tem valor 0 nesse campo.
TTL ( Time to Live)
8 bits, a cada nó (roteador) por onde o datagrama passa, este
campo deve ser decrementado de uma unidade de vida. Os
roteadores mais inteligentes podem decidir por decrementar
um valor proporcional ao tempo despendido pelo datagrama
em seus buffers. Quando o valor do TTL chega a zero, o
datagrama é descartado e uma mensagem é enviada ao
emissor, através do protocolo ICMP. O objetivo de toda esta
operação é evitar que um erro nas tabelas de roteamento
permita que alguns datagramas fiquem circulando
eternamente pela rede.
Protocol
8 bits, identificador do protocolo usado na camada
imediatamente acima.
Header Checksum
16 bits, faz a verificação da soma do cabeçalho garantindo a
integridade do cabeçalho IP. Caso haja erro o datagrama
deve ser ignorado, mas não garante a integridade dos dados.
Source Address 32 bits, endereço de origem do datagrama.
Destination Address 32 bits, endereço destino do datagrama.
Options
tem tamanho variável, entre 0 e 320 bits, este campo pode
ser usado para usar serviços extras. Apesar do nome, todas
as implementações de IP devem suportar todas as opções.
46
Alguns exemplos de opções válidas:
• Source Routing: especifica no datagrama qual a rota a
ser seguida, retirando esta liberdade do roteador. Em
geral é usado para testes de rede.
• Record Route: anota a rota por onde o datagrama
passou, roteador por roteador.
• Time Stamps: além de anotar a rota, anota também o
horário em cada ponto.
• Formato: 32 bits, milisegundos após meia-noite, em
relação a GMT. Usado apenas como referência, uma vez
que a sincronização de tempo entre os roteadores é
muito difícil de ser realizada.
Padding
tamanho variável, entre 0 e 31 bits, serve apenas para que o
cabeçalho IP tenha um tamanho múltiplo de 32 bits. Só se faz
o enchimento (obrigatoriamente com 0), se o tamanho do
campo Option não for múltiplo de 32 bits.
1.3.1.2. Endereços IP
Um endereço IP é um identificador único para certa interface de rede de
uma máquina. Este endereço é formado por 32 bits (4 bytes) e possui uma porção de
identificação da rede na qual a interface está conectada e outra para a identificação
da máquina dentro daquela rede. O endereço IP é representado pelos 4 bytes
separados por (.) e representados por números decimais. Desta forma o endereço
IP: 11010000 11110101 0011100 10100011 é representado por 208.245.28.63.
Como o endereço IP identifica tanto uma rede quanto a estação a que se
refere, fica claro que o endereço possui uma parte para rede e outra para a estação.
Desta forma, uma porção do endereço IP designa a rede na qual a estação está
conectada, e outra porção identifica a estação dentro daquela rede.
47
Uma vez que o endereço IP tem tamanho fixo, uma das opções dos
projetistas seria dividir o endereço IP em duas metades, dois bytes para identificar a
rede e dois bytes para a estação. Entretanto isto traria inflexibilidade, pois só
poderiam ser endereçados 65536 redes, cada uma com 65536 estações. Uma rede
que possuísse apenas 100 estações estaria utilizando um endereçamento de rede
com capacidade de 65536 estações, o que também seria um desperdício.
A forma original de dividir o endereçamento IP em rede e estação foi feita
por meio de classes [4]. Um endereçamento de classe A consiste em endereços que
tem uma porção de identificação de rede de 1 byte e uma porção de identificação de
máquina de 3 bytes. Desta forma, é possível endereçar até 256 redes com 2 elevado
a 32 estações. Um endereçamento de classe B utiliza 2 bytes para rede e 2 bytes
para estação, enquanto um endereço de classe C utiliza 3 bytes para rede e 1 byte
para estação. Para permitir a distinção de uma classe de endereço para outra,
utilizou-se os primeiros bits do primeiro byte para estabelecer a distinção. Nesta
forma de divisão é possível acomodar um pequeno número de redes muito grandes
(classe A) e um grande número de redes pequenas (classe C). Esta forma de divisão
é histórica e não é mais empregada na Internet devido ao uso de uma variação que é
a sub-rede, entretanto sua compreensão é importante para fins didáticos [13].
As classes originalmente utilizadas na Internet são A, B, C, D e E (Figura
1.16). A classe D é uma classe especial para identificar endereços de grupo
(multicast) e a classe E é reservada para uso futuro.
A Classe A possui endereços suficientes para endereçar 128 redes
diferentes com até 16.777.216 hosts (estações) cada uma.
A Classe B possui endereços suficientes para endereçar 16.284 redes
diferentes com até 65.536 hosts cada uma.
A Classe C possui endereços suficientes para endereçar 2.097.152 redes
diferentes com até 256 hosts cada uma.
48
As máquinas com mais de uma interface de rede (caso dos roteadores ou
máquinas interligadas a mais de uma rede, mas que não efetuam a função de
roteamento) possuem um endereço IP para cada uma, e podem ser identificados por
qualquer um dos dois de modo independente. Um endereço IP identifica não uma
máquina, mas uma conexão à rede.
Figura 1.16 - Classes utilizadas na Internet
Alguns endereços são reservados para funções especiais:
• Endereço de Rede: Identifica a própria rede e não uma interface de
rede específica, representado por todos os bits de host id com o valor
ZERO.
• Endereço de Broadcast: Identifica todas as máquinas na rede
específica, representado por todos os bits de host id com o valor UM.
Desta forma, para cada rede A, B ou C, o primeiro endereço e o último
são reservados e não podem ser usados por interfaces de rede.
• Endereço de Broadcast Limitado: Identifica um broadcast na própria
rede, sem especificar a que rede pertence. Representado por todos os
bits do endereço iguais a UM = 255.255.255.255.
49
• Endereço de Loopback: Identifica a própria máquina. Serve para enviar
uma mensagem para a própria máquina rotear para ela mesma, ficando
a mensagem no nível IP, sem ser enviada à rede. Este endereço é
127.0.0.1. Permite a comunicação inter-processos (entre aplicações)
situados na mesma máquina.
1.3.1.2.1. Endereçamento de máquinas na mesma rede.
Como pode ser observado na Figura 1.17, o endereço começa por 200 (ou
seja, os dois primeiros bits são 1 e o terceiro 0), eles são de classe C. Por isto, os
três primeiros bytes do endereço identificam a rede. Como ambas as estações tem o
endereço começando por 200.18.171, elas estão na mesma rede.
1.3.1.2.2. Endereçamento de máquinas em redes difer entes.
Na Figura 1.18, existem 6 redes, identificadas por 200.1.2.0, 139.82.0.0,
210.200.4.0, 210.201.0.0, 10.0.0.0 e 200.1.3.0, que ilustra um diagrama de rede com
o endereçamento de máquinas em redes diferentes. Note que não há necessidade
de correlação entre os endereços utilizados nas redes adjacentes. O mecanismo
para que uma mensagem chegue na rede correta é o roteamento. Cada elemento
conectando mais de uma rede realiza a função de roteamento IP, baseado em
decisões de rotas. Mesmo os enlaces formados por ligações ponto-a-pontos são
também redes distintas.
Figura 1.17 - Endereçamento na mesma rede
50
Talvez os aspectos mais complexos do IP sejam o endereçamento e o
roteamento. O endereçamento define como os endereços IP dos hosts finais são
atribuídos e como as sub-redes dos endereços de IP dos hosts são divididos e
agrupados. O roteamento IP é feito por todos os host’s, mas mais comumente por
roteadores de rede, que tipicamente usam qualquer protocolos IGP (Interior Gateway
Protocol) ou protocolos EGP (External Gateway Protocol) para ajudar na leitura de
datagramas IP que reencaminham decisões através de IP’s em redes ligadas.
Figura 1.18 - Endereçamento em redes diferentes
Neste capitulo, foram abordados as definiçoes, características e
arquiteturas das redes públicas Frame Relay, ATM e IP.
No próximo capitulo serão abordados o funcionamento e a arquitetura da
VPN (Virtual Private Network).
51
CAPÍTULO II
VIRTUAL PRIVATE NETWORK
Neste capítulo serão abordados o funcionamento e a arquitetura da VPN
(Virtual Private Network).
2.1. INTRODUÇÃO
A Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede
particular construída sobre a infra-estrutura de uma rede pública, normalmente a
Internet, ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como
Frame Relay) para conectar redes remotas, utiliza-se da infra-estrutura da Internet,
tornando-a uma opção economicamente vantajosa.
A VPN combina as vantagens de redes públicas e privadas permitindo que
uma empresa com múltiplas localizações tenha a impressão de uma rede
completamente privada [3]. A VPN cria um caminho seguro (túneis) dentro da rede
pública, através da encriptação dos dados em uma conexão (criptografia end-to-
end). Essa tecnologia está sendo implementada em Firewalls, permitindo que as
52
empresas criem túneis seguros na Internet, possibilitando conexões seguras com
sites remotos.
Com a utilização da infra-estrutura da Internet, consegue-se uma redução
considerável com equipamentos e conexões. Contudo a segurança e a
confidencialidade das informações da empresa não podem ser esquecidas, uma vez
que os dados que transitam pela Internet podem ser capturados e lidos por qualquer
equipamento. Para manter a privacidade nas transmissões corporativas a tecnologia
VPN utiliza recursos de Criptografia (Seção 2.4.1) e de Certificação (Seção 2.4.2).
2.2. TUNELAMENTO
Tunelamento é, em geral, a melhor opção para tornar redes privadas
compatíveis com a Internet. Protocolos de Tunelamento e técnicas de
encapsulamento vêm sendo usadas para integrar diferentes tipos de protocolos em
um mesmo backbone e, ultimamente, estas tecnologias vêm sendo otimizadas para
uso em VPN’s.
Figura 2.1 – Funcionamento básico do tunelamento
O tunelamento, Figura 2.1, basicamente funciona da seguinte forma:
• Em uma conexão entre dois nós, primeiramente é feita a autenticação
entre estes dois pontos para saber se a origem faz parte da rede,
depois o servidor verifica quais os serviços que o usuário tem
permissão para acessar;
53
• Uma vez formado o túnel, o nó de origem encapsula os pacotes em
pacotes IP (o pacote original será tratado como área de dados) para
transmissão via Internet. Este mesmo encapsulamento provê proteção
contra usuários não-autorizados, usando técnicas de criptografia;
• Na recepção, o nó de destino desencapsula o pacote original do pacote
IP recebido, deixando somente as informações do protocolo da rede
local.
2.2.1. Tipos de Túneis
Quanto à abertura de sessão de túneis, eles podem ser criados de duas
diferentes formas: voluntárias e compulsórias.
2.2.1.1. Tunelamento Voluntário
Ocorre quando uma estação de trabalho ou um servidor utiliza um software
para cliente de tunelamento para criar uma conexão até o servidor VPN.
No caso de acesso discado, o mais comum é o cliente estabelecer a
conexão discada antes da criação do túnel.
Já nas LAN’s o cliente encontra-se conectado à rede que pode prover o
roteamento de dados encapsulados para o servidor do túnel selecionado. Este é o
caso de clientes numa LAN corporativa que inicializa túneis para alcançar uma sub-
rede privada na mesma rede [14]. O tunelamento voluntário pode ser ilustrado na
Figura 2.2.
Figura 2.2 – Tunelamento Voluntário
54
2.2.1.2. Tunelamento Compulsório
Esta configuração é conhecida como tunelamento compulsório (Figura 2.3)
porque o cliente é obrigado a usar um túnel criado pelo NAS6.
Figura 2.3 – Tunelamento Compulsório
Uma vez que a conexão é estabelecida, todo o tráfego de / ou para o cliente é
automaticamente enviada através do túnel, não sendo necessário que os clientes da
rede possuam software cliente para tunelamento. Desta forma, o final do túnel é no
servidor NAS e não no cliente, que passa a acessar as informações da outra rede
por meio do servidor de autenticação.
Diferente dos túneis individualizados criados no tunelamento voluntário, um
túnel entre o NAS e o servidor de túnel pode ser compartilhado por múltiplos clientes
discados. Quando um cliente disca para o servidor de acesso (NAS) e já existe um
túnel para o destino desejado, não se faz necessária à criação de um novo túnel
redundante, o próprio túnel pode transportar os dados deste novo cliente [14].
No tunelamento compulsório com múltiplos clientes, o tunelamento só é
finalizado no momento em que o último usuário do túnel se desconecta.
6 Network Acess Server ou Servidor de acesso / autenticação de rede
55
2.2.2. Funcionamento dos Túneis
A técnica de tunelamento funciona da seguinte forma: numa conexão entre
dois nós, o nó de origem encapsula os pacotes de outros protocolos em pacotes IP
para transmissão via Internet; O processo de encapsulamento consiste em adicionar
um cabeçalho IP padrão e o pacote original ser tratado como área de dados; Na
recepção, o nó de destino desencapsula o pacote original do pacote IP recebido, ou
seja, remove o cabeçalho IP. Este mesmo encapsulamento provê proteção contra
usuários não-autorizados, usando técnicas de criptografia.
Imagine que clientes de uma rede privada em uma filial desejam acessar
informações em um servidor na rede interna de sua matriz e toda a corporação
emprega túneis de VPN em suas comunicações. Os clientes fazem a requisição a
um agente local através de um servidor compatível com a VPN. Este servidor de
origem cria o cabeçalho de túnel especificando os endereços de Internet dos
servidores de origem e destino como endereços de origem e destino do cabeçalho.
Ao chegar ao servidor de destino, este desencapsula a mensagem original retirando
o cabeçalho de túnel e a entrega para o servidor da Intranet. A Figura 2.4 traduz o
funcionamento desta técnica.
Figura 2.4 – Tunelamento
Os túneis podem ser estáticos ou dinâmicos. Túneis estáticos, são aqueles
que permanecem ativos por longos períodos de tempo, são mais apropriados para
VPN’s LAN-para-LAN enquanto que túneis dinâmicos, ficam ativos apenas quando o
tráfego é necessário, eles são mais seguros para VPN’s Cliente-para-LAN.
56
Em VPN’s LAN-para-LAN, um gateway de segurança em cada extremidade
atua como interface entre o túnel e a LAN. Apesar disso, os clientes em cada LAN
privada podem utilizar o túnel transparentemente para a comunicação entre si.
Em VPN’s Cliente-para-LAN, usuários móveis se conectam com LAN’s
corporativas através de túneis dinâmicos criados a partir de sua estação móvel.
Estes túneis só são possíveis através de softwares especiais no computador
do usuário móvel, projetados para garantir a proteção dos dados da LAN
corporativa[15].
2.3. PROTOLOCOS DE TUNELAMENTO
O tunelamento pode ocorrer nas camadas 2 ou 3 (respectivamente enlace e
rede) do modelo de referência OSI (Open System interconnection), sendo necessário
para estabelecimento do túnel que as suas extremidades utilizem o mesmo protocolo
de tunelamento.
Os Protocolos de Tunelamento são responsáveis pela abertura e
gerenciamento de sessões de túneis em VPN’s. Estes protocolos podem ser
divididos em dois grupos:
• Protocolos de camada 2 (PPP7 sobre IP): transportam protocolos, de
camada 3, utilizando quadros como unidade de troca. Os pacotes são
encapsulados em quadros PPP;
• PPTP – Point-to-Point Tunneling Protocol ou Protocolo de
tunelamento ponto a ponto;
• L2F – Layer 2 Forwarding ou Protocolo de encaminhamento de
camada 2;
• L2TP – Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de
camada 2.
7 Point-to-Point Protocol ou Protocolo ponto a ponto é o mais difundido para acesso remoto na Internet.
57
• Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com
cabeçalhos deste mesmo protocolo antes de enviá-los .
• IPSec – IP Security ou Protocolo de Segurança IP.
Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão,
onde as duas extremidades do túnel negociam a configuração dos parâmetros para
estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão,
etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes
casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias
de camada 3 (rede), não existe a fase de manutenção do túnel.
2.3.1. Protocolo PPTP ( Point-to-Point Tunneling Protocol)
O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um
fórum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e
US Robotics), foi um dos primeiros protocolos de VPN a surgirem.
Ele tem sido uma solução muito utilizada em VPN discadas desde que a
Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente
PPTP num service pack para Windows 95, o que praticamente assegura seu uso
continuado nos próximos anos.
O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-to-
Point Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP
para que o acesso remoto seja tunelado através da Internet para um site de destino.
O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de
encapsulamento genérico de roteamento (GRE8), que dá ao PPTP a flexibilidade de
lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.
Entretanto, este protocolo apresenta algumas limitações, tais como não prover
uma forte criptografia para proteção de dados e não suportar qualquer método de
autenticação de usuário.
8 Os protocolos de roteamento genéricos (GRE) são geralmente configurados entre roteadores fonte e roteadores de destino (pacotes ponto-a-ponto).
58
Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o
NAS e o Servidor PPTP.
O cliente se conecta a um NAS e pode enviar e receber pacotes via Internet.
O NAS utiliza TCP/IP para todo o tráfego de Internet. Depois do cliente ter feito a
conexão PPP inicial, uma segunda chamada dial-up é realizada sobre a conexão
PPP existente. Os dados desta segunda conexão são enviados na forma de
datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão
que cria o túnel com o servidor PPTP. O esquema desta conexão pode ser
visualizado na Figura 2.5.
Figura 2.5 – Conexão PPTP
2.3.1.1. Arquitetura PPTP
O PPTP cria uma comunicação segura que envolve três processos [10],
exigindo de cada um deles que os anteriores sejam satisfeitos, são eles:
• Conexão e Comunicação PPP : o cliente PPTP usa o PPP para se
conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O PPP
é utilizado aqui para estabelecer a conexão e criptografar os dados;
• Conexão de Controle PPTP : Utilizando a conexão estabelecida pelo
PPP, o PPTP cria um controle de conexão desde o cliente até o
59
servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada de
túnel PPTP;
• Tunelamento de Dados PPTP : O PPTP cria os datagramas IP
contendo os pacotes PPP criptografados e os envia através do túnel
até o servidor PPTP. Neste servidor, os datagramas são então
desmontados e os pacotes PPP descriptografados para que finalmente
sejam enviados até a rede privada corporativa.
No primeiro processo, o PPP, protocolo que permite enviar dados
multiprotocolares encapsulados através de redes TCP/IP, é utilizado para
desempenhar três funções: iniciar e terminar conexões físicas, autenticar usuários e
criar datagramas PPP contendo pacotes criptografados.
No segundo processo, o PPTP especifica uma série de mensagens de
controle a serem trocadas entre o cliente PPTP e o servidor PPTP. Estas mensagens
estabelecem, mantêm e terminam os túneis PPTP. Elas são enviadas em pacotes de
controle dentro de um datagrama TCP através de uma conexão TCP especialmente
criada para trocar mensagens de controle.
Após o túnel PPTP ter sido estabelecido, os dados do usuário são finalmente
transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar que o cliente
PPTP não necessariamente identifica o usuário numa extremidade da comunicação.
Podem haver usuários utilizando máquinas sem suporte ao PPTP e nestes casos, a
comunicação PPTP começa a partir do NAS [16].
2.3.1.2. Datagrama PPTP
Existem dois tipos básicos de datagrama PPTP: os datagrama de mensagens
de controle e os datagrama de mensagens de dados. As mensagens de controle são
enviadas em segmentos TCP e as mensagens de dados em datagramas IP.
O controle da conexão PPTP utiliza uma porta reservada para estabelecer a
conexão de controle, que fica entre o IP dinâmico do cliente da VPN e o endereço IP
60
fixo do servidor. Após o estabelecimento da conexão, inicia a troca de mensagens
entre o controle de conexão PPTP e o gerenciamento de mensagens PPTP.
Os pacotes de controle de conexão PPTP, são compostos por um cabeçalho
IP, um cabeçalho TCP e o controle de mensagens PPTP (Figura 2.6).
Figura 2.6 – Quadro PPTP
O protocolo PPTP utiliza três níveis de encapsulamento para fazer o
tunelamento dos dados, Figura 2.7 , são eles :
• Encapsulamento do Frame PPP - O pacote PPP é encapsulado e
criptografado com um cabeçalho PPP, originando um frame PPP. Esse
frame recebe um cabeçalho GRE, que é utilizado para repassar
informações de roteamento, para trafegar em redes IP;
• Encapsulamento do pacote GRE - Esse pacote é encapsulado por
um cabeçalho IP, onde estão os endereços IP de origem e destino do
pacote;
• Encapsulamento da camada de Enlace - Para que o pacote possa ir
para uma LAN ou WAN, as informações desse cabeçalho são
necessárias, pois são utilizadas para o envio desse pacote para a
interface física.
Cabeçalho
De
Enlace
IP
TCP
Mensagem de
Controle
PPTP
Controle
Camada de
Enlace
61
Figura 2.7 – Quadro de encapsulamento PPTP
Como o PPTP não oferece serviços de criptografia, o PPTP encapsula um
quadro PPP previamente criptografado utilizando chaves de criptografia geradas pelo
processo de autenticação.
2.3.2. Protocolo L2F ( Layer Two Forwarding)
O Protocolo de Encaminhamento de Camada 2 (L2F), surgiu nos primeiros
estágios da criação da tecnologia VPN e foi desenvolvido pela Cisco Systems.
O L2F foi desenvolvido para criação de túneis, assim como foi o PPTP. O L2F
usa o PPP para autenticação de usuários remotos, tal qual o PPTP. Uma grande
diferença entre o PPTP e o L2F é a de que o L2F não possui tunelamento
dependente do IP, sendo capaz de trabalhar diretamente com outros protocolos.
Outra diferença com o PPTP é a de que o L2F permite que os túneis possam dar
conta de mais de uma conexão.
No L2F existem dois níveis de autenticação do usuário: uma antes do
estabelecimento do túnel e outra quando a conexão é efetuada no gateway da
corporação. Por ser o L2F um protocolo de camada 2, ele oferece, aos usuários, a
mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP.
Quando um usuário deseja se conectar ao gateway da corporação, ele
primeiro estabelece uma conexão PPP com o NAS. A partir daí, o NAS estabelece
um túnel L2F com o gateway. Finalmente, o gateway autentica o nome de usuário e
senha do cliente, e estabelece a conexão PPP com o cliente.
Cabeçalho
De
Enlace
Cabeçalho
IP
Cabeçalho
GRE
Cabeçalho
PPP
Criptografia
PPP
Controle
Camada
Enlace
62
A Figura 2.8 mostra como funciona o tunelamento com L2F. O NAS local e o
gateway da Intranet estabelecem um túnel L2F que o NAS utiliza para encaminhar os
pacotes PPP até o gateway. A VPN de acesso se estende desde o cliente até o
gateway.
A autenticação é feita quando uma sessão VPN - L2F é estabelecida, o
cliente, o NAS e o gateway usam um sistema triplo de autenticação via CHAP9
(Challenge Handshake Authentication Protocol), isto possibilita a transmissão segura
da senha do usuário entre a estação do cliente e o gateway de destino. Primeiro, o
NAS contesta o cliente e o cliente responde. Em seguida, o NAS encaminha esta
informação de CHAP para o gateway, que verifica a resposta do cliente e devolve
uma terceira mensagem de CHAP (sucesso ou fracasso na autorização) para o
cliente [10].
Figura 2.9 – Cabeçalho do pacote L2F
9 O CHAP é um protocolo de autenticação por contestação / resposta na qual a senha é enviada como uma assinatura de 64 bits ao invés de texto simples.
Figura 2.8 – Tunelamento com o Protocolo L2F
63
2.3.2.1. Datagrama L2F
O formato do cabeçalho do pacote do protocolo L2F pode ser visto na Figura
2.9 e o detalhamento de seus campos na Tabela 2.1.
Tabela 2.1 – Descrição dos campos do Cabeçalho L2F
Ver Versão do L2F
Protocol Protocolo carregado dentro do pacote L2F
Sequence Number Quando o bit "S" (bit 3) for igual a 1, este campo identifica o
número do pacote numa seqüência
Multiplex ID Identifica uma conexão dentro de um túnel
Client ID Campo utilizado para auxiliar a demultiplexação em túneis
Lenght Indica o tamanho do pacote em octetos, sem levar em conta o
campo de checksum
Offset Quando o bit "F" (bit 0) for igual a 1, este campo identifica
aonde começa a área de dados do pacote indicando o
número de bytes após o cabeçalho
Key O campo de chave está presente se o bit "K" (bit 1) for igual a
1. Serve como chave durante toda a sessão para resistir a
ataques de spoofing10.
Checksum O campo de checksum está presente se o bit "C" (bit 12) for
igual a 1.
2.3.3. Protocolo L2TP
O L2TP - Layer 2 Tunneling Protocol ou Protocolo de Tunelamento de
Camada 2, é baseado no protocolo criado pela Cisco L2F (Layer 2 Forwarding) e
homologado pela IETF (Internet Engineering Task Force) como protocolo padrão. Ele
utiliza o que há de melhor nos protocolos PPTP e L2F. Suporta protocolos como
NetBEUI, IPX, ATM, SONET, Frame Relay, significando que é multiprotocolo [15].
10 Spoofing é o ato de falsificar o remetente de um pacote, para que o receptor o trate como uma máquina confiável.
64
2.3.3.1. Funcionamento do L2TP
O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP
localizado no PoP11 do ISP12 troca mensagens PPP com usuários remotos e se
comunica por meio de requisições e respostas L2TP com o Servidor de Rede L2TP
para criação de túneis. O L2TP passa os pacotes através do túnel virtual entre as
extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário são
aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados pelo
túnel. No gateway de destino, os quadros L2TP são desencapsulados e os pacotes
originais são processados para a interface apropriada.
O L2TP utiliza dois tipos de mensagem: mensagens de controle e mensagens
de dados.
• As mensagens de controle são usadas para gerenciar, manter e excluir
túneis e chamadas, utilizando um confiável canal de controle para
garantir entrega das mensagens.
• As mensagens de dados são usadas para encapsular os pacotes PPP
a serem transmitidos dentro do túnel.
O protocolo L2TP funciona basicamente, como ilustrado na Figura 2.10, da
seguinte maneira: os roteadores R1 e R2 fornecem o serviço L2TP. Estes roteadores
comunicam-se por protocolo IP, através do caminho composto pela interfaces Int2 e
int3 a rede IP. Neste exemplo, os roteadores R3 e R4 comunicam-se por interfaces
utilizando um túnel L2TP. O túnel Tu1 é estabelecido entre as interfaces Int1 de R1 e
Int4 de R2. Qualquer pacote que chegue na interface Int1 de R1 é encapsulado pelo
L2TP e enviado pelo túnel Tu1 para R2. R2 então desencapsula o pacote e o
transmite na interface Int4 para R4. Quando R4 precisa enviar um pacote para R3,
segue o mesmo caminho na forma inversa.
11 PoP - Points of Presence ou Pontos de Presença, é como se fosse um serviço do seu provedor que suporta
VPN’s. 12 ISP - Internet Service Provider ou provedor de acesso à Internet
65
Figura 2.10 – Funcionamento do protocolo L2TP
2.3.3.2. Autenticação
A Autenticação difere do PPTP, pois é feita em duas etapas. Na primeira,
antes do túnel ser instalado, o usuário é autenticado pelo provedor de acesso e na
segunda, quando a conexão é estabelecida entre os gateways. No L2TP os dados
são criptografados antes da conexão ser estabelecida, para que isto aconteça, ele
utiliza o DES (Data Encryption Standard).
Diferentemente do PPTP, o L2TP utiliza o protocolo UDP para manter o túnel,
Uma vez que o protocolo UDP não garante a entrega dos pacotes, o L2TP possui
mensagens para certificar-se que os pacotes foram entregues, estas mensagens
são: Next Received Field e Next Send Field. [8]
2.3.3.3. Formato do Datagrama
Os pacotes L2TP utiliza para o canal de controle e para o canal de dados o
mesmo formato de cabeçalho, como podem ser visto na Figura 2.11 e na Tabela 2.2.
66
Figura 2.11 – Cabeçalho do Pacote L2TP
Tabela 2.2 – Descrição dos campos do cabeçalho do L2TP
Type Identifica o tipo de mensagem. Se o bit “T” for igual a 1 é uma
mensagem de controle, se for igual a 0 é uma mensagem de
dados.
Ver Identifica o número da versão do protocolo.
Length Identifica o tamanho do pacote em octetos se o bit "L" (bit 1)
for igual a 1.
Tunnel ID Indica o identificador do Túnel para controle de conexão.
Session ID Indica o identificador de uma sessão dentro de um túnel.
Ns Indica o número de seqüência para o atual pacote
(mensagem ou controle). Sua presença é definida pelo bit "S"
(bit 4).
Nr Indica o número de seqüência esperado para o próximo
pacote de mensagem de controle. Sua presença também é
definida pelo bit "S".
Offset Size Especifica o tamanho do offset (espaço entre o cabeçalho e a
área de dados). Sua presença é definida pelo bit "O" (bit 6).
Priority (bit 7) Se for igual a 1, o pacote deve receber tratamento
preferencial com relação aos outros.
Bits X Reservados para extensões futuras.
67
2.3.4. Protocolo IPSec
IPSec, "É um conjunto de protocolos desenvolvidos para proteger o tráfego
dos pacotes IP" [17]. É um protocolo que tem como principal característica prover a
privacidade, integridade e autenticidade dos dados na comunicação. Foi
desenvolvido pela IETF com o intuito de ser o protocolo padrão de endereçamento
da próxima versão do IP (IPv6), porém muitas de suas características estão sendo
aproveitadas ainda no IPV4. Assim, a tecnologia IPSec é uma das opções para
implementar VPN’s e seus serviços podem ser implementados para quaisquer
protocolos das camadas superiores como TCP, UDP, ICMP, etc [6].
O IPSec é um protocolo de camada 3 projetado essencialmente para oferecer
transferência segura de informações pela Internet pública, realizando funções de
segurança de dados como criptografia, autenticação e integridade.
O IPsec protege os pacotes IP de dados privados e os encapsula em outros
pacotes IP para serem transmitidos. Além disso, também realiza a função de
gerenciamento de chaves.
O IPSec possui dois modos de trabalho para envio de dados entre os pontos
de comunicação, modo de Transporte e modo Túnel:
• No modo de transporte (Figura 2.12), que é o seu modo "nativo", o IPsec
transmite diretamente os dados protegidos de host para host. Neste modo,
somente a informação é encriptada, enquanto o cabeçalho IP original não é
alterado, tendo a vantagem de adicionar apenas alguns octetos a cada pacote,
deixando que dispositivos da rede pública vejam a origem e o destino do
pacote. No entanto, passando o cabeçalho sem segurança, o modo de
transporte permite que um atacante faça algumas análises de tráfego, mesmo
que ele não consiga decifrar o conteúdo das mensagens.
• No modo túnel (Figura 2.13), o tráfego IP é gerado pelos host’s e é
proporcionado uma proteção ao pacote IP, para isso, depois da adição dos
campos de ESP ao pacote IP, todo o pacote é tratado como o módulo de dados
68
de um novo pacote IP, ou seja, todo o datagrama IP original é encriptado e
passa a ser o payload de um novo pacote IP, deste modo, pode ser usado para
enviar dados encriptados através de um túnel, o que permite enviar dados
independentemente da infra-estrutura utilizada. A grande vantagem do modo
de tunelamento é que os sistemas finais não precisam ser modificados para
aproveitarem os benefícios da segurança IP, além disto, esse modo também
protege contra a análise de tráfego, já que o atacante só poderá determinar o
ponto de início e de fim dos túneis, e não a origem e o destino reais.
2.3.4.1. Estrutura do pacote IPSec
O IPSec especifica os cabeçalhos AH (Authentication Header) e ESP
(Encapsulated Security Payload), que podem ser utilizados independentemente ou
em conjunto, de forma que um pacote IPSec poderá apresentar somente um dos
cabeçalhos ou os dois, como mostrado na Figura 2.14.
Figura 2.13 – Cabeçalho modo túnel
Figura 2.12 – Cabeçalho modo Transporte
69
2.3.4.1.1. Protocolo AH ( Authentication Header)
O cabeçalho de autenticação, que pode ser visto na Figura 2.15 e seus
campos na Tabela 2.3, é utilizado para prover integridade e autenticidade dos dados
presentes no pacote, incluindo a parte invariável do cabeçalho, no entanto, não
provê confidencialidade.
Próximo Cabeçalho
Comprimento do Payload
Reservado
SPI Sequence Number
Dados de Autenticação
Figura 2.15 – Cabeçalho do Protocolo AH
Tabela 2.3 – Descrição dos campos do cabeçalho AH
Próximo Cabeçalho
Contém o identificador do próximo cabeçalho.
Comprimento do Payload
Comprimento do Payload.
Reservado 16 bits reservados para extensão do protocolo. SPI Security Parameter Index
Este índice em conjunto com o protocolo AH e o endereço fonte identificam de forma única uma SA13 (Security Association) para um determinado pacote.
Sequence Number
Contador que identifica os pacotes pertencentes a uma determinada SA (usado como mecanismo anti-replay).
Dados de Autenticação
Este campo tem comprimento variável e contém o ICV (Integrity Check Value) para este pacote, calculado seguindo o algoritmo de autenticação usado.
13 SA é uma "conexão" que viabiliza o tráfego de serviços de forma segura entre computadores ou gateways, utilizando protocolos de segurança (AH, ESP ou ambos), quando é usado o AH e o ESP em conjunto, mais de uma SA deve ser definida.
Figura 2.14 - Estrutura do pacote IPSec.
70
O protocolo AH adiciona autenticação, porém os dados trafegam na rede sem
uma proteção e podem ser capturados. Este problema é resolvido com outro
protocolo o ESP (Seção 2.3.4.1.2), que adiciona a confidencialidade. Alguns ataques
podem ser evitados com a utilização do protocolo AH [15], são eles:
• Replay, quando o atacante intercepta um pacote válido e autenticado
pertencente a uma conexão, replica-o e o reenvia. Este ataque é
evitado através do campo Sequence Number, que enumera os pacotes
que trafegam em uma determinada SA;
• Spoofing, quando um invasor assume o papel de uma máquina
confiável para o destino, ganhando assim privilégios na comunicação.
O uso de autenticação previne este tipo de ataque;
• Connection hijacking, ou "roubo de conexões", é quando um invasor
intercepta um pacote no contexto de uma conexão e com isso passa a
participar da comunicação. Mecanismos de autenticação previnem este
tipo de ataque.
2.3.4.1.2. Protocolo ESP ( Encapsulated Security Payload)
O protocolo ESP, ver Figura 2.16 e Tabela 2.4, é quem garante a integridade,
autenticidade e criptografia dos dados e que somente os destinatários autorizados,
terão acesso ao conteúdo do pacote, adicionando autenticação e confidencialidade
ao mesmo.
SPI Sequence Number
Dados Cifrados e Parâmetros Dados de Autenticação
Figura 2.16 – Cabeçalho do Protocolo ESP
71
Tabela 2.4 – Descrição dos campos do cabeçalho ESP
SPI Security Parameter Index
Este índice em conjunto com o protocolo AH e o
endereço fonte identificam de forma única uma SA para
um determinado pacote.
Sequence Number Contador que identifica os pacotes pertencentes a uma
determinada SA (usado como mecanismo anti-replay).
Dados Cifrados e Parâmetros
Contém os dados cifrados e os parâmetros utilizados
pelo algoritmo de criptografia usado.
Dados de Autenticação
Campo de comprimento variável que contém o ICV
(Integrity Check Value) para este pacote, calculado a
partir do algoritmo de autenticação usado.
2.3.4.2. Mecanismos de Segurança IPSec
Os requisitos de segurança necessários em relação aos usuários que
acessam sua rede e aos dados que trafegam entre os diversos nós são:
Autenticação, Controle de Acesso, Confidencialidade e Integridade de Dados.
2.3.4.2.1. Autenticação e Integridade dos dados
A autenticação dos usuários permite ao sistema enxergar se a origem dos
dados faz parte da comunicação que pode ter acesso à rede. Já a integridade de
dados garante que os dados não serão adulterados durante a travessia pela rede
pública.
Os dados podem ser corrompidos ou vírus podem ser implantados com o fim
de dificultar a comunicação. Para prover estes dois requisitos no datagrama IP, é
utilizado o AH, neste mecanismo, a segurança é garantida com a inclusão de
informações de autenticação, construídas através de um algoritmo que utiliza o
conteúdo dos campos do datagrama IP. Para a construção destas informações,
todos os campos do datagrama IP são utilizados, com exceção daqueles que não
sofrem alterações durante o transporte.
72
2.3.4.2.2. Controle de acesso
O controle de acesso visa negar acesso a um usuário que não esteja
autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de
usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira
e desenvolvimento de produtos, é correto imaginar que um funcionário de um setor
não deva acessar e possivelmente obter dados da rede de outro setor.
2.3.4.2.3. Confidencialidade
A confidencialidade visa prevenir que os dados sejam lidos e/ou copiados
durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior
privacidade das comunicações dentro da rede virtual.
Somente os usuários autorizados podem ter acesso às informações dos
pacotes, não possibilitando que usuários não autorizados consigam acessar as
informações destes pacotes, mesmo que consigam capturá-los.
No IPsec, o serviço que garante esta proteção é o ESP. O ESP também provê
a autenticação da origem dos dados, integridade da conexão e serviço anti-reply. A
confidencialidade independe dos demais serviços e pode ser implementada nos
modos de transporte e túnel. No modo de transporte, o pacote da camada de
transporte é encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é
encapsulado dentro do cabeçalho do ESP.
2.4. SEGURANÇA
A segurança é a primeira e mais importante função de uma VPN. Uma vez
que os dados privados serão transmitidos pela rede pública, eles devem ser
protegidos de forma a não permitir que sejam modificados ou interceptados.
A especificação da VPN a ser implantada deve tomar por base o grau de
segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar
73
pela rede. Dessa definição depende a escolha do protocolo de comunicação, dos
algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a
serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores
terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão
utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades
de processamento terão de ser os equipamentos, principalmente, no que se refere à
complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.
2.4.1. Criptografia
A criptografia é implementada por um conjunto de métodos de tratamento e
transformação dos dados que serão transmitidos pela rede pública. Um conjunto de
regras é aplicado sobre os dados, empregando uma seqüência de bits (chave) como
padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o
objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros,
e que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos
dados deve ser capaz de recuperar os dados originais fazendo uso da Chave
Simétrica (Seção 2.4.1.1) e da Chave Assimétrica (Seção 2.4.1.2).
Uma vez dentro da VPN, cada dispositivo envia sua chave de segurança
pública aos integrantes da VPN. Sem o conhecimento dessa chave de segurança é
quase impossível decodificar os dados criptografados. Após a chave de segurança
estar implementada, a proteção da mesma é assegurada por um sistema de
gerenciamento de chaves de Segurança. O gerenciamento é um processo de
distribuição, com refresh a intervalos específicos e revogação de chaves quando
necessário.
2.4.1.1.Criptografia Simétrica
A criptografia simétrica baseia-se na simetria das chaves do emissor e
receptor, ou seja, a mesma chave usada para criptograr será usada para
decriptografar à mensagem. Sendo assim, a manutenção da chave em segredo é
fundamental para a eficiência do processo.
74
Essa chave, denominada chave privada, é previamente trocada entre o
emissor e o receptor, através de uma comunicação segura. Esse método apesar de
sua simplicidade possui alguns problemas, são eles:
• A mesma chave é usada para cada par (emissor-receptor), se o
número de pares for grande, será necessário um grande número de
chaves, dificultando assim a administração das mesmas e
comprometendo a segurança, visto que, nem sempre é possível
garantir que a chave será armazenada de forma segura;
• A criptografia simétrica não garante a identidade de quem enviou ou
recebeu a mensagem.
Existem vários algorítimos simétricos [15], que citamos a seguir, que
produzem chaves de tamanhos variados, quanto maior a chave, maior a segurança.
• Data Encryption Standard (DES) - 56 bits;
• Triple Data Encryption Standard (3DES) - 112 bits;
• Blowfish - até 448 bits;
• Twofish - 128, 192 ou 256 bits;
• Advanced Encryption Standard (AES) - 128, 192 ou 256 bits.
2.4.1.2.Criptografia Assimétrica
As chaves utilizadas para criptografar e descriptografar são diferentes, sendo,
no entanto relacionadas. A chave utilizada para criptografar os dados é formada por
duas partes, sendo uma pública e outra privada, da mesma forma que a chave
utilizada para descriptografar.
75
A criptografia assimétrica surgiu para contornar os problemas da criptografia
simétrica, através de algorítmos que utilizam chave pública e privada. Pode-se
utilizar qualquer das chaves para criptografar a mensagem, entretanto só a chave
inversa pode ser usada para descriptografá-la.
Os algorítmos que implementam a chave pública e privada, exploram
propriedades específicas dos números primos e a dificuldade de fatorá-los mesmo
em equipamentos rápidos. O RSA (Rivest Shamir Adleman), composto por chaves
de 512, 768, 1024 e 2048 bits, é o algorítimo que serve de base para a maioria das
aplicações de criptografia assimétrica.
2.4.2. Autenticação
A Autenticação é importante para garantir que a origem dos dados que
trafeguem na VPN seja, realmente, quem diz ser. Um usuário deve ser identificado
no seu ponto de acesso a VPN, de forma que, somente usuários autenticados
transitem pela rede. Tal ponto de acesso fica responsável por rejeitar as conexões
que não sejam identificadas. Para realizar o processo de autenticação, podem ser
utilizados sistemas de identificação/senha, senhas geradas dinamicamente,
autenticação por RADIUS (Remote Authentication Dial-In User Service) ou um
código duplo.
Todo dispositivo que quiser se juntar a VPN precisa ser certificado por uma
Autoridade Certificadora. Geralmente, essa certificação é dupla, incluindo uma chave
eletrônica e um PIN (Personal Identification Number), reduzindo a probabilidade de
intrusos acessarem o sistema.
A definição exata do grau de liberdade que cada usuário tem dentro do
sistema, tendo como conseqüência o controle dos acessos permitidos, é mais uma
necessidade que justifica a importância da autenticação, pois é a partir da garantia
da identificação precisa do usuário que poderá ser selecionado o perfil de acesso
permitido para ele.
76
2.4.3. Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser fornecida
pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que
sejam praticamente impossíveis de serem conseguidos, caso estes dados sofram
qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo
algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a
mensagem, fazendo assim a sua verificação.
A seguir relacionamos alguns algoritmos para Integridade dos dados:
• SHA-1 (Secure Hash Algorithm One) - É um algoritmo de hash que
gera mensagens de 160 bits, a partir de uma seqüência de até 264 bits.
• MD5 (Message Digest Algorithm 5) - É um algoritmo de hash que gera
mensagens de 128 bits, a partir de uma seqüência de qualquer
tamanho [11].
2.5. APLICAÇÕES VPN
Uma VPN poderá ser usada para o tráfego interno entre a matriz e suas
filiais, poderá incorporar conexões com fornecedores ou clientes e dar acesso
remoto a funcionários que realizam trabalhos externos como vendedores ou
assistência técnica.
2.5.1.Acesso Remoto via Internet
É chamado de acesso remoto aquele realizado por usuários móveis que
utilizam um computador para conexão com a rede corporativa, partindo de suas
residências ou hotéis. Esse tipo de conexão, que também é denominado Point-to-
Site, está se tornando cada vez mais utilizada.
77
O acesso remoto a redes corporativas via Internet através da ligação local
a algum provedor de acesso (Internet Service Provider - ISP), acontece quando a
estação remota disca para o provedor de acesso, conectando-se à Internet e o
software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de
VPN corporativo através da Internet, como mostrado na Figura 2.17. As aplicações
típicas do acesso remoto são:
Figura 2.17 – Acesso Remoto via Internet
• Acesso de vendedores para encaminhamento de pedidos, verificação de
processos ou estoques;
• Acesso de gerentes e diretores em viagens, mantendo atualizadas suas
comunicações com sua base de operação, tanto para pesquisas na rede
corporativa como acompanhamento de seu correio eletrônico;
• Equipe técnica em campo, para acesso a sistemas de suporte e documentação,
bem como a atualização do estado dos atendimentos.
2.5.2.Conexão de Redes Corporativas Via Internet.
Uma solução que substitui as conexões entre LAN’s através de circuitos
dedicados de longa distância é a utilização de circuitos dedicados locais interligando-
as à Internet. O software de VPN assegura esta interconexão formando a WAN
corporativa.
78
A depender também das aplicações, pode-se optar pela utilização de
circuitos discados em uma das pontas, devendo a LAN corporativa estar,
preferencialmente, conectada à Internet via circuito dedicado local ficando disponível
24 horas por dia para eventuais tráfegos provenientes da VPN. A Figura 2.18 ilustra
essa forma.
Figura 2.18 – Conexão de redes Corporativas via Internet
2.5.3.Conexão de Computadores Via Intranet.
As VPNs possibilitam a conexão física entre redes locais, restringindo
acessos indesejados através da inserção de um servidor VPN entre elas. Observe
que o servidor VPN (Figura 2.19), não irá atuar como um roteador entre a rede de
departamentos e o resto da rede corporativa, uma vez que, o roteador possibilitaria a
conexão entre as duas redes permitindo o acesso de qualquer usuário à rede de
departamentos. Com o uso da VPN o administrador da rede pode definir quais
usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da
rede de departamentos restrita. Adicionalmente, toda comunicação ao longo da VPN
pode ser criptografada assegurando a confidencialidade das informações. Os demais
usuários não credenciados sequer enxergarão a rede de departamentamentos.
79
Figura 2.19 – Conexão de computadores via Internet
2.6 PERFORMANCE E QOS
Dois fatores determinam a performance das VPN’s:
• A velocidade das transmissões sobre a Internet, sobre outra rede ou backbone
IP.
• A eficiência do processamento dos pacotes (estabelecimento de uma sessão
segura, encapsulamento e criptografia dos pacotes) em cada ponto da conexão,
ou seja, origem e destino.
A Internet não foi projetada inicialmente para garantir níveis confiáveis e
consistentes de tempo de resposta. Na verdade, a Internet é um meio de
comunicação best effort, ou seja, realiza o máximo de esforço para prestar o serviço
a qual é destinada, que é a transmissão de dados de origem para o destino. Além
disso, a criptografia e o processo de tunelamento podem influir bastante na
velocidade de transmissão de dados pela Internet. Contudo, muitas redes
corporativas, não podem ficar a mercê dessas flutuações de performance e acesso
da Internet.
Alguns provedores de serviço resolveram o problema de velocidade de
transmissão oferecendo acordos de Qualidade de Serviço (QoS), e garantia de
banda a níveis específicos. Mas, atualmente, o método mais eficaz para adquirir QoS
é enviar o tráfego VPN sobre o próprio IP backbone do provedor de serviços e não
sobre a Internet [11].
80
Existem hoje, diversos grupos de estudo tentando solucionar alguns
problemas relacionados à performance e QoS na Internet, são eles:
• RFC2211, “specificantion of the Controlled-Load Network Element
Service” J. Wroclawski, September 1997.
• RFC2212, “specIfication of Guaranteed Quality of Service,” S. Shenker,
C. Partridge, R. Guerin, September 1997.
• RFC2208, “Resource ReSerVation Protocol (RSVP) Verson 1 –
applicability statement, Some guidelines on Deployment,” A. Mankin, S.
Bradner, M. O’Dell, A. Romanov, A. Weinrib, L. Zhang, September
1997.
Neste capítulo foram abordados o funcionamento e a arquitetura da VPN
(Virtual Private Network).
No próximo capitulo serão abordados o funcionamento e a arquitetura do
MPLS (Multiprotocol Label Switching).
81
CAPÍTULO III
MULTIPROTOCOL LABEL SWITCHING
Neste capítulo apresentaremos uma análise da tecnologia MPLS
(Multiprotocol Label Switching), uma tecnologia emergente que surge como
alternativa para a engenharia de tráfego e o encaminhamento rápido de pacotes IP.
Faremos também uma análise de sua arquitetura e como funciona o
encaminhamento desses pacotes sobre o MPLS.
3.1. INTRODUÇÃO
Nos anos 90, o mercado de redes de computadores se questionava sobre
como seria utilizado até então a nova técnica de comutação IP para
encaminhamento de pacotes, tornando-se uma alternativa ao roteamento tradicional.
Seguindo essa trilha e combinando diversas tecnologias, o IETF criou o MPLS.
O MPLS é uma tecnologia que permite ampliar o desempenho de
tecnologias de redes já existentes. Ele representa o próximo passo da evolução
baseada em padrões, combinando tecnologias de comutação da camada 2 (camada
de enlace) com as tecnologias de roteamento da camada 3 (camada de rede) [21].
82
Outro fator importante para o desenvolvimento desta tecnologia é a
necessidade de estender a funcionalidade de roteamento da Internet e das redes IP
em geral. Modificar o roteamento IP é extremamente caro, pois é necessário alterar
tanto o plano de controle quanto o algoritmo de encaminhamento, que geralmente é
implementado em hardware. Em contraste, os comutadores (switch) são muito
simples, pois suportam poucos protocolos e tipos de interface, fazendo com que a
relação custo/performance de comutadores seja muito melhor do que a de
roteadores. Uma das motivações do MPLS é construir aparelhos com a maioria das
funcionalidades dos roteadores e hardware semelhante ao de um comutador.
O MPLS (RFC 3031 [20]) é uma tecnologia a qual encaminha pacotes de
um computador a outro, orientada através de rótulos (labels) colocados nos
cabeçalhos IP. Para que haja a compreensão destes rótulos é necessário que os
gateways envolvidos na transmissão consigam reconhecê-los. Essa tecnologia pode
ser enquadrada entre a camada de enlace e a de rede do modelo OSI, isso ocorre
devido o cabeçalho IP não ter sido projetado para suportar esses labels,
consequentemente ele não possui espaço disponível para um novo campo
necessitando uma adição (extensão) do cabeçalho MPLS. O rótulo existente no
cabeçalho MPLS dos pacotes que estão trafegando são vistos como índices em
tabelas, determinando o caminho a ser percorrido para atingir o próximo nó da rede.
O encaminhamento de pacotes passa a ser uma pesquisa em tabela extraída dos
pacotes, diferentemente do roteamento tradicional, o qual pesquisa em tabelas de
roteamento, obtendo dos pacotes apenas o endereço IP de destino.
3.2. COMPONENTES
Para entender como é realizado o encaminhamento dos pacotes, ou seja,
o funcionamento do MPLS, neste tópico serão abordados os seus principais
componentes como: Label switching routers (LSR), Label switch path (LSP), Forward
Equivalence Label (FEC), Label Edge Routers (LER), Labels (Rótulos), Label
Distribution Protocol (LDP) e Label Information Base (LIB).
.
83
3.2.1. Label Switching Routers (LSR)
O LSR é um nó do MPLS. Ele recebe o pacote de dados, extrai o label do
pacote e o utiliza para descobrir na tabela de encaminhamento qual a porta de saída
e o novo rótulo [22].
Existem dois tipos de LSR: O E-LSR (Edge–Label Switch Router), ou seja,
o LSR de borda e os LSR’s que ficam situados no núcleo de uma rede MPLS (Figura
3.1).
Figura 3.1 – LSR de Borda e LSR de Núcleo.
Quando o E-LSR está situado na entrada de uma rede MPLS, ele tem a
função de inserir um label ao pacote, agrupá-los a uma FEC (Seção 3.2.3) e
encaminhá-los através de uma LSP (Seção 3.2.3). Quando está situado na saída, é
responsável pela retirada do label e a entrega do pacote a uma rede não MPLS.
Os LSR do núcleo têm a função de encaminhar os pacotes baseados
apenas no label. Ao receber um pacote, cada LSR troca o label existente por outro,
passando o pacote para o próximo LSR e assim por diante até chegar no E-LSR de
saída.
84
3.2.2. Label Switch Path (LSP)
No MPLS a transmissão de dados ocorre em caminhos comutados por
rótulos, ou seja, um caminho através de uma seqüência ordenada de LSR’s,
estabelecido entre uma origem e um destino, sendo unidirecional, isto é, suportam
encaminhamentos de datagramas em um único sentido de modo que um LSP pode
definir uma seqüência ordenada de LSR’s, portanto é preciso ter dois LSP’s para
uma comunicação entre duas entidades [23].
Quando um pacote entra numa rede MPLS, este é associado a uma FEC
(Seção 3.3.3) e então é criada uma LSP para esta FEC. Como a criação da LSP
ocorre somente na entrada de uma rede MPLS, os LSR’s do núcleo irão somente
chavear os labels (distribuídos no momento do estabelecimento das LSP’s),
encaminhando os pacotes de acordo com a LSP pré-determinada [24], não
precisando mais fazer um roteamento dos pacotes, como pode ser visto na Figura
3.2.
Figura 3.2 – Criação da LSP
85
3.2.3. Forward Equivalence Label (FEC)
Uma FEC representa condições determinadas para verificar se um dado
pacote pertence ou não a FEC estabelecida e se compartilham das mesmas
exigências para seu transporte. Estes pacotes estando associados a uma mesma
FEC serão encaminhados pelo mesmo caminho.
Em todo o pacote a um grupo específico e a este é dado o mesmo
tratamento da origem ao destino, ao contrário da remessa convencional do IP, em
MPLS, as atribuições de um determinado pacote a uma FEC são baseadas em
exigências de serviços ou simplesmente no prefixo do endereço.
Uma FEC consiste em um conjunto de pacotes que serão encaminhados
da mesma maneira em uma rede MPLS. Pacotes de um mesmo fluxo de dados
geralmente pertencem à mesma FEC, sendo representada por um rótulo, e cada
LSP é associado a uma FEC.
Ao receber um pacote (Figura 3.3), o LER verifica na tabela especÍfica a
qual FEC ele pertence e o encaminha através do LSP correspondente. Portanto há
uma associação entre o pacote, o rótulo, o FEC e o LSP [24]. A associação pacote e
Figura 3.3 – Encaminhamento do pacote FEC
86
FEC acontece apenas uma vez, quando o pacote entra na rede MPLS. Isto
proporciona grande flexibilidade e escalabilidade a este tipo de rede [25].
3.2.4. Label Edge Routers (LER)
Figura 3.4 – Esquema do Label Edge Routers (LER)
LER’s ou Roteadores de Rótulos de Borda (Figura 3.4), estão situados na
periferia da rede MPLS, atuando como fronteira entre o encaminhamento de nível
três e o encaminhamento MPLS. Ele tem a habilidade de adicionar um rótulo a um
pacote não rotulado (LER de ingresso), e remover os rótulos de um pacote rotulado
(LER de egresso).
Eles devem possibilitar a conexão com várias redes distintas (Frame-relay,
ATM, Ethernet) e realizar o encaminhamento dos tráfegos destas redes, para o
interior da rede MPLS, pelo estabelecimento de LSP’s, inserindo e removendo os
labels à medida que o tráfego entra ou sai da rede MPLS.
87
3.2.5. LABELS (Rótulos)
O rótulo é um identificador curto, de tamanho fixo e significado local que é
usado para identificar uma FEC. Todo pacote ao entrar numa rede MPLS recebe um
label, de uma forma mais simples podemos dizer que, um rótulo pode ser pensado
como uma forma abreviada para o cabeçalho do pacote, de forma a indicar ao
pacote a decisão de remessa que um roteador faria, ou seja, é uma abreviação para
um fluxo de dados de usuário.
O cabeçalho MPLS, também conhecido como Shim Header, deve ser
posicionado depois de qualquer cabeçalho de camada 2 e antes de um cabeçalho de
camada 3. Seu tamanho é definido em 4 octetos (32 bits). O rótulo que associa
pacotes às respectivas conexões, é algo semelhante ao VPI/VCI no ATM e DLCI no
Frame Relay. O formato genérico do Label é ilustrado na Figura 3.5 e a descrição de
seus campos pode ser vista na Tabela 3.1.
Figura 3.5 – Cabeçalho MPLS – Shim Header
88
Tabela 3.1 – Descrição dos campos do Label.
Label (20 bits) carrega o valor atual do rótulo MPLS;
EXP
(3 bits) define a classe de serviço a que um pacote pertence,
ou seja, indica a prioridade do pacote. Pode afetar o
enfileiramento e algoritmos de descarte aplicados ao pacote
enquanto ele é transmitido pela rede. É um campo que ainda
não está totalmente definido;
Stack
(1 bit) suporta uma pilha hierárquica de rótulos, ou seja,
suporta o enfileiramento de labels, caso o pacote receba mais
de um label;
TTL (time to live)
(8 bits) tem o mesmo papel que no IP, contar por quantos
roteadores o pacote passou, num total de 255. No caso do
pacote viajar por mais de 255 roteadores, ele é descartado
para evitar possíveis loops.
3.2.6. Label Distribution Protocol (LDP)
O LDP é um protocolo, definido pelo IETF, que permite a distribuição de
labels entre os roteadores de comutação de rótulos (LSR), desta forma possibilita a
criação das LSP’s.
O LDP ajuda no estabelecimento de um LSP através do uso de um
conjunto de procedimentos para distribuir os rótulos entre os LSR. Um passo
importante para a comutação de rótulos é que os LSR’s concordem em relação a
quais rótulos eles devem usar para encaminhar o tráfego. Eles chegam a este
entendimento utilizando o LDP [26].
O LDP possui um mecanismo de descoberta de LSR’s vizinhos que
funciona da seguinte forma: um LSR utiliza o protocolo UDP (User Datagram
Protocol) para enviar mensagens para uma porta conhecida onde estejam os
roteadores desta rede. Quando um LSR descobre o endereço de outro LSR através
deste mecanismo, é estabelecida uma conexão TCP com ele. Depois de
89
estabelecida a sessão, cada LSR pode informar a criação de novos rótulos. Um
mecanismo de descoberta adicional permite que um LSR encontre vizinhos que não
sejam adjacentes a ele, enviando mensagens para um endereço IP específico. Esse
mecanismo é útil para a engenharia de tráfego, quando se deseja criar um LSP entre
dois LSR’s e enviar, através deste LSP, pacotes já rotulados.
3.2.7. Label Information Base (LIB)
As Tabelas de encaminhamento dos comutadores de rótulo ou LIB’s, são
as tabelas responsáveis pelo processo de encaminhamento de pacotes e são
mantidas pelos LSR’s. Elas consistem basicamente de um campo de índice que é
preenchido pelo valor do rótulo, uma ou mais entradas, contendo o rótulo de saída,
interface de saída e endereço IP do próximo salto [26]. Uma vez criada uma LSP, a
relação do label com a interface, será armazenada no LIB.
Quando o pacote entra no LSR, este verifica para qual interface esse
pacote deve ser encaminhado, através do LIB. Sendo assim, realiza a troca do label
de entrada por um label de saída, para que o pacote possa alcançar o próximo nó.
Desta forma o LIB contém uma tabela que é usada para adicionar ou
remover um label a um pacote, enquanto determina a interface de saída pela qual o
pacote deve ser enviado.
3.3. FUNCIONAMENTO
Quando um pacote IP chega na periferia da rede MPLS, o roteador de
rótulos de borda (LER), realiza o encaminhamento para o interior da rede MPLS
(Figura 3.6). O E-LSR irá associar este pacote a uma FEC caso já exista uma, senão
o E-LSR irá criar uma FEC que determinará o caminho deste pacote. Desta forma o
pacote receberá um label e como a FEC está relacionada a uma LSP, o E-LSR
encaminhará o pacote através desta LSP.
90
A cada LSR pelo qual o pacote passa, os labels são trocados, pois cada
label representa um índice na tabela de encaminhamento (LIB) do próximo roteador.
Sendo assim, quando um pacote rotulado chega, o LSR procura em sua tabela
MPLS pelo índice representado pelo label. Ao encontrar este índice o LSR substitui o
label de entrada por um label de saída associado a FEC a que pertence o pacote,
depois de completada a operação da troca de labels o pacote é encaminhado pela
interface que está especificada na LIB.
Este procedimento continua até a borda da rede MPLS, quando o E-LSR
de saída, remove o label e o pacote é encaminhado pela interface associada a FEC
a qual pertence o pacote. Neste momento o pacote deixa de ser analisado pelo
protocolo MPLS e é roteado normalmente pelos protocolos de roteamento de uma
rede não MPLS.
Figura 3.6 – Funcionamento básico do MPLS
91
3.4. APLICAÇÕES
O MPLS (Multiprotocol Label Switching) é uma tecnologia emergente que,
além de possibilitar um aumento no desempenho do encaminhamento de pacotes,
facilita a implementação da Engenharia de Tráfego, Qualidade de Serviço (QoS) e
Redes Virtuais Privadas (VPN).
3.4.1. Engenharia de tráfego.
O MPLS foi projetado originalmente para definir a engenharia de tráfego,
ou seja, para determinar o caminho a ser percorrido pelo tráfego através da rede e
estabelecer os atributos de performance para diferentes classes de tráfego. O mais
importante é que, o MPLS combina a escalabilidade e a flexibilidade do roteamento
com a performance e a capacidade de gerenciamento de tráfego da comutação de
camada 2 (Modelo OSI), nas redes que disponibilizam rotas alternativas.
O MPLS é utilizado para mapear a rede IP privada do cliente para a rede
pública. Qualquer mudança na topologia IP da rede do cliente é dinamicamente
comunicada, por meio da rede pública, aos outros sites do cliente. Isso é possível
porque o MPLS pode montar tabelas de roteamento virtual para a rede de cada
cliente, encaminhando dados e informações de rotas para os outros sites que o
cliente possui.
O MPLS pode ser utilizado para estabelecer caminhos que emulam as
conexões ponto-a-ponto de camada dois, estabelecendo circuitos virtuais ou túneis,
oferecendo um caminho alternativo para o encaminhamento de dados, sem o alto
overhead das redes virtuais privadas (VPN’s). Além disso, as operadoras que
possuem redes IP, Frame Relay e ATM podem utilizar o MPLS para interligá-las,
evitando altos gastos com atualizações [7].
Em relação às aplicações que exigem tempo real, o MPLS oferece a
implementação de QoS que não pode ser implementada pela rede IP.
92
Com a implementação do QoS, pelo MPLS, podemos diferenciar diversos
tipos de tráfegos e tratá-los de forma distinta, dando prioridades às aplicações mais
sensíveis, ou seja, o serviço MPLS implementa mecanismos de QoS para gestão de
rede que permitem controlar de forma diferenciada a qualidade da transmissão e
garantir a manutenção dos níveis de serviço por classes de tráfego. Ele disponibiliza
classes de serviço para acomodar as diferentes necessidades de tipos de tráfego,
entre elas estão:
• RT (Real Time), para tráfego de Voz (VOIP) e Vídeo ;
• B (Business), para o tráfego de aplicações críticas ao negócio (SAP,
SNA) e File Sharing ou compartilhamento de arquivos);
• BE (Best effort), para o tráfego geral (Mail, FTP, etc).
3.4.2. MPLS Sobre Redes Virtuais Privadas (VPN).
O MPLS permite a criação de Redes Virtuais Privativas (VPN) garantindo
um isolamento completo do tráfego com a criação de tabelas de labels, usadas para
roteamento, exclusivas para cada VPN, com isto, o MPLS atuando como
mecanismo de encaminhamento dentro de um cenário de VPN, provê agilidade,
facilidade de gerenciamento e suporte a QoS, bem como suporte a segurança.
Podemos observar que com a criação de VPNs, notamos que o tráfego
entre redes, que pode ser a internet ou um backbone, fica totalmente transparente,
sendo mostrado como Túnel Virtual garantindo a privacidade da rede.
A seguir será descrito e ilustrado na Figura 3.7, o funcionamento básico do
MPLS sobre uma Rede Virtual Privada.
93
Figura 3.7 – MPLS sobre uma Rede Privada Virtual
O computador A, envia um pacote IP, para o computador B, ambos
pertencentes a VPN 1 (IP 10.1.1.1). O roteador UNIFOR, que é um E-LSR (seção
3.2.1), recebe este pacote IP e o associa a um label VPN (LV-22) e a um label MPLS
(LM-19). O pacote é enviado para o roteador UNIFOR1 conforme sua LIB (seção
3.2.7). A partir desse momento os roteadores passam a encaminhar o pacote IP ao
seu destino levando em conta apenas o label MPLS.
O pacote ao chegar no penúltimo roteador (G.E.Q 1), ou seja, no LSR
(seção 3.2.1) conectado ao E-LSR de saída (G.E.Q), retira o label MPLS e o
encaminha até o E-LSR. Ao chegar no E-LSR, este analisa o label da VPN e verifica
que este pacote faz parte da VPN 1. Desta forma ele retira o label de VPN e
encaminha o pacote até seu destino [24].
Podemos observar que, o computador C apresenta o mesmo endereço IP
que o computador B, porém o pacote vindo do computador A nunca conseguirá
chegar no computador C, pois eles pertencem a VPN’s diferentes. Desta forma o
computador A só poderá ter conexão com o computador B, da mesma forma que o C
só poderá ter conexão com o D.
94
Neste capítulo apresentamos uma análise da tecnologia MPLS, mostrando
sua arquitetura e como funciona o encaminhamento desses pacotes sobre o MPLS.
No próximo capitulo será realizado uma análise comparativa entre a
tradicional VPN e a VPN baseada na tecnologia MPLS, procurando mostrar suas
diferenças, referente a escalabilidade, custos, formação das VPN’s, qualidade de
serviço (QoS), engenharia de tráfego e a titulo de informação a situação
mercadológica no Brasil.
95
CAPÍTULO IV
ESTUDO COMPARATIVO ENTRE VPN IP E VPN IP MPLS
Neste capítulo apresentaremos uma análise comparativa entre a
tradicional Rede Privada Virtual (VPN) e a emergente VPN baseada na tecnologia
MPLS (Multiprotocol Label Switching), procurando mostrar suas diferenças, quando
existirem, relativo à formação das VPN’s, escalabilidade, custos, qualidade de
serviço (QoS), engenharia de tráfego e a titulo de informação a situação
mercadológica no Brasil.
4.1. INFRA-ESTRUTURA DE REDE MULTISERVIÇO
Como o próprio nome indica, o MPLS é um multi-protocolo, que agrega e
transporta qualquer tecnologia de nível dois e tráfego IP, de maneira integrada sobre
uma só rede, uniformemente gerenciada. Isto é um tipo de serviço exclusivo do
MPLS, não se encontrando em VPN’s tradicionais.
96
O componente de encaminhamento do MPLS é independente do protocolo
de rede, podendo ser utilizado com IP ou IPX, por exemplo, sendo também,
atualmente, padronizada para Ethernet, ATM, FDDI, Frame Relay e PPP.
4.2. FORMAÇÃO DE VPN´S, CUSTOS E ESCALABILDADE.
O problema de se criar VPN’s é que estão baseadas em um modelo
topológico sobreposto a topologia física existente, e a base de circuitos virtuais
(túneis fim a fim) entre cada par de roteadores de cliente em cada VPN. Daí as
desvantagens quanto a pouca flexibilidade no gerenciamento deste serviço, como
também no crescimento quando se quiser adicionar novos pontos, pois a cada novo
ponto criado na rede, ele teria que ser conectado a todos os demais pontos
existentes e ao longo do tempo haveria dificuldades em gerenciamento da rede.
Com a arquitetura MPLS estes inconvenientes relativo ao modelo
topológico não se sobrepõem, mas se acoplam a rede do provedor. O modelo
acoplado MPLS, em lugar de conexões fim a fim entre os distintos pontos de uma
VPN, são conexões IP a uma "nuvem comum" em que somente podem entrar os
membros da mesma VPN. As "nuvens" que representam as VPN’s se implementam
mediante os caminhos LSP’s criados pelo mecanismo de intercâmbio de rótulos
MPLS.
Os LSP’s são similares aos túneis, e a rede transporta os pacotes do
usuário sem examinar o conteúdo, porque este é encapsulado sobre outro protocolo.
Aqui está a diferença: os túneis utilizam-se do encaminhamento convencional IP
para transportar a informação do usuário, já no MPLS esta informação é
transportada sobre o mecanismo de intercâmbio dos rótulos. Assim se mantém em
todo momento a visibilidade IP para usuário, que não sabe nada das rotas MPLS, o
que ele vê é uma Internet privada entre os membros de sua VPN. Deste modo,
podem-se aplicar técnicas de qualidade de serviços (QoS), podendo assim reservar
parte da banda, para priorizar aplicações, e estabelecer classes de serviço (CoS) e
otimizar os recursos da rede com técnicas de engenharia de tráfego.
97
A construção de VPN’s pode não ser o objetivo principal do MPLS, mas
sem dúvida é uma de suas facilidades com maior apelo de marketing. O MPLS
permite aos operadores de serviço criar VPN’s com a flexibilidade do IP. Labels
separados garantem a privacidade entre VPN´s sem recorrer à criptografia. De fato,
a criação de VPN´s está entre as primeiras aplicações do MPLS.
Um benefício muito particular, na utilização do MPLS, foi a substancial
redução no número de PVC’s, que deveriam ser configurados para atender às
necessidades dos clientes. Conseqüentemente, o trabalho de provisionamento ficou
mais simples e o serviço mais barato para o cliente final, que agora só precisa de um
único PVC, ou seja, a partir do momento que se entra no ambiente MPLS, os
usuários ganham conectividade através de toda a rede VPN.
Se tomarmos como exemplo uma VPN com 20 escritórios remotos,
necessitaríamos criar 20 PVC’s, um para cada ponto remoto. Para manter uma
conectividade de todos para todos, seria necessário criar 190 PVC’s conforme a
equação [N (N-1)] / 2 (N é o número de pontos).
Fica claro então que as VPN´s baseadas em tecnologias de camada dois
(circuitos virtuais) irão, eventualmente, tornar-se um incômodo para os gerentes de
redes responsáveis por grandes VPN´s, que se tornam, ao longo do tempo,
significativamente complexas em função da enorme quantidade de PVC’s que
precisam ser provisionados e gerenciados. Em tal cenário, esse tipo de topologia não
permite acomodar com eficiência as demandas dos usuários por conectividade site-
to-site, além de oferecer grandes dificuldades para a construção de VPN´s a prova
de falhas, pois o site central torna-se um ponto único de falha.
A base para a solução MPLS para VPN´s é o uso de túneis de LSP para
encaminhar os dados entre os roteadores de serviços de uma VPN, rotulando os
dados da VPN na sua entrada do túnel, o LSR segrega o fluxo da VPN do resto dos
dados fluindo na rede.
98
4.3. QUALIDADE DE SERVIÇO
Constata-se um crescente interesse pelas aplicações multimídia
distribuídas (vídeo-conferência, tele-medicina, telefonia IP, etc.) na utilização das
redes IP na forma de redes privadas virtuais. Essas aplicações caracterizam-se,
principalmente, pelo emprego de diversos tipos de mídia que impõem requisitos
distintos de qualidade de serviço (QoS) ao sistema de comunicação.
Entretanto, as VPN’s IP tradicionais, com seu modelo de serviços do tipo
melhor esforço, começam a dar sinais de estrangulamento. Uma das conseqüências
da adoção desse modelo é que todo o tráfego é tratado de maneira uniforme, sem
nenhum tipo de diferenciação ou priorização. Contudo, nem todos os tipos de tráfego
e transações são equivalentes ou têm a mesma importância para os usuários.
É desejável que algumas aplicações recebam tratamento diferenciado
segundo suas demandas específicas, o que não é possível nos modelos atuais de
VPN’s.
Por outro lado, as redes VPN’s baseadas na tecnologia MPLS estão
habilitadas para fornecer qualidade de serviço com tratamento diferenciado das
aplicações com maior simplicidade.
O MPLS permite classificar classes de serviços conforme a priorização de
cada aplicação, para isso, utiliza o campo EXP (Tabela 3.1 da Seção 3.2.5) para
priorizar estas aplicações.
O tratamento da QoS em ambientes MPLS acontece basicamente de duas
maneiras:
• o rótulo contém informações sobre as classes de serviço (CoS), onde
esta informação é utilizada para priorizar o tráfego em cada nó.
• Para cada fluxo de informações é estabelecido um nível de serviço
apropriado onde o tráfego é direcionado para o caminho adequado
99
estabelecendo múltiplos caminhos entre os equipamentos de entrada /
saída.
Estes procedimentos classificam os pacotes em categorias de classes de
serviço, determinando os recursos disponíveis para cada categoria definida.
4.4. ENGENHARIA DE TRÁFEGO
A engenharia de tráfego pode ser efetuada manualmente, ou através de
alguma técnica automatizada, como o MPLS, tendo como objetivo descobrir e fixar
os caminhos considerados mais adequados aos fluxos dentro da rede.
O roteamento convencional pode selecionar caminhos na rede que
resultem na utilização não balanceada de recursos. Nestes ambientes, alguns
recursos podem ser subutilizados enquanto outros podem ser sobrecarregados com
cargas excessivas de tráfego.
No roteamento convencional, todos os roteadores precisam consultar sua
própria tabela de roteamento para poder encaminhar os pacotes. Com a utilização do
MPLS, isto pode ser evitado, visto que basta os roteadores encaminharem os
pacotes baseados em comutação de rótulos.
O MPLS pode ser utilizado para facilitar a engenharia de tráfego, pois ele
tem a informação sobre a rota especifica a ser seguida por um pacote na rede, este
roteamento explícito de pacotes garante que todo o fluxo de informações com as
mesmas características transitem pelo mesmo caminho.
O MPLS visa otimizar a utilização da rede pela distribuição diferenciada
dos tráfegos que a percorrem como:
• Evitar que um link da rede esteja saturado enquanto outros possuem
banda livre;
100
• Nem sempre vai escolher o caminho mais curto entre dois dispositivos,
mas sim o que melhor se adequar ao tráfego;
• É possível que dois fluxos percorram caminhos totalmente distintos,
mesmo que seus pontos de entrada e saída da rede sejam idênticos.
4.5. SEGURANÇA
A segurança é a primeira e mais importante função da Rede Privada
Virtual (VPN). Uma vez que dados privados serão transmitidos pela Internet, que é
um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir
que sejam modificados ou interceptados.
Outro serviço oferecido pelas VPN’s é a conexão entre corporações
(Extranets) através da Internet, além de possibilitar conexões dial-up criptografadas
que podem ser muito úteis para usuários móveis ou remotos, bem como filiais
distantes de uma empresa
Sob o ponto de vista da segurança, em testes realizados por organismos
independentes, como o MIERCOM [27], o MPLS tem demonstrado ser tão seguro
quanto tecnologias tradicionais de camada dois. A arquitetura orientada à conexão
do MPLS, pelo fato de trafegar em linhas privadas nas redes de acesso, fazem com
que sejam isoladas e, como tal, imunes à maioria das técnicas de interceptação e
outros riscos associados às redes tradicionais IP. Portanto, esta tecnologia passa ao
cliente a segurança, mas, se, mesmo assim, ainda houver temores quanto à
segurança, então a criptografia é empregada utilizando-se o IPSec (Seção 2.3.4),
que pode ser adicionado sobre o MPLS, assim como seria feito com qualquer outro
tipo de transporte.
Uma das grandes barreiras para a migração de usuários de VPN’s nível 2
para VPN’s nível 3 IP sempre foi à segurança que as VPN’s de nível 2 oferecem para
seus usuários, pois as mesmas são orientadas à conexão por meio de circuitos
virtuais privados (PVC). Com o surgimento das VPN’s MPLS criou-se o conceito de
101
LSP, que é equivalente ao PVC do nível 2 das VPN’s, oferecendo os mesmos níveis
de segurança.
4.6. MERCADO BRASILEIRO
Apesar de ser uma tecnologia nova no Brasil, já é percebido que as VPN
MPLS começam a dominar as soluções de comunicação. Podemos citar os casos do
SPB (Sistema Brasileiro de Pagamento) e do Banco do Brasil (Aproximadamente
8000 acessos ligando todas às agências). O crescimento do serviço tem a tendência
de seguir o modelo mundial, ou seja, um crescimento exponencial.
O protocolo IP, segundo a IDC, deve responder por 40% do tráfego de
longa distância em 2005 no Brasil e movimentar mais de US$ 800 milhões. As VPN’s
baseadas em MPLS são, hoje, uma das principais estratégias de operadoras,
fabricantes e integradores.
A AT&T[18], por exemplo, é uma das empresas que fornece o serviço VPN
e já possui cerca de 1.200 clientes no Brasil que usam a rede VPN IP. As boas
perspectivas de demanda foi um dos aspectos que também levou a Intelig [19] a
apostar na VPN IP como plataforma de transmissão. O crescimento dos projetos de
VPN’s também vem estimulando os fabricantes de dispositivos de rede a investirem
alto no desenvolvimento da tecnologia.
As operadoras tradicionais de telecomunicações no Brasil já estão em fase
de implementação de seus serviços baseados na tecnologia MPLS, porém, essa
oferta de serviços deverá estar concentrada na expansão geográfica dos serviços e
não nas redes atuais, pois a intenção destes fornecedores é otimizar a utilização das
redes existentes e disponibilizar serviços sobre as mesmas.
Acredita-se que o mercado de VPN MPLS é emergente, e crescerá
principalmente com ofertas para o setor corporativo de médias e grandes empresas.
Muitas destas empresas já possuem redes de comunicação de dados
implementadas, usando como acesso tecnologias tradicionais como Frame Relay,
102
ATM e DSL. Portanto, essas empresas deverão ser as primeiras beneficiárias das
soluções de VPN MPLS em suas redes e principais usuárias dos novos serviços que
estarão agregando valor à tecnologia.
O segmento de pequenas e médias empresas deverá ser o segundo
grande mercado a receber os benefícios deste novo cenário de telecomunicações no
Brasil. Com a ampliação da concorrência e a redução nos custos de implantação de
uma rede de comunicação de dados, este mercado deve migrar gradativamente para
os novos serviços baseados em comunicação de dados e serviços de valor
agregado. Contudo, essa nova tecnologia requer novos investimentos, o que
ocorrerá ao longo dos próximos anos.
O segmento residencial será o último setor a utilizar esses novos serviços
e usufruir os benefícios da Tecnologia IP. É muito provável que com a evolução das
tecnologias de acesso banda larga (xDSOL, cable modem e etc.) as classes de
maior poder aquisitivo (A e B) começarão a utilizar os novos serviços e,
principalmente, voz sobre IP e videoconferência.
O MPLS é uma realidade no mercado brasileiro. Pelo menos três grandes
empresas de telecomunicações, abaixo relacionadas, oferecem serviços baseados
nesta tecnologia.
• Embratel – Serviço IP VPN [28];
• Telemar – TC VPN VIP [29];
• Telefônica – Serviço VPN IP [30].
4.7. CENÁRIO DE APLICAÇÃO DO MPLS
Nesta seção apresentamos um cenário no qual uma empresa deseja um
estudo, que satisfaça suas necessidades, de qual seria a melhor tecnologia a ser
aplicada no problema proposto.
103
O estudo realizou uma comparação entre as Redes Privadas Virtuais
(VPN) tradicionais e as Redes Privadas Virtuais baseadas em MPLS, mostrando as
vantagens existentes entre as duas tecnologias, procurando resolver e satisfazer as
necessidade propostas pela empresa.
4.7.1. Cenário
Uma empresa resolveu investir em uma rede de computadores,
interligando vinte pontos entre filiais, clientes e fornecedores, para transmissão,
principalmente, em aplicações de multimídia (videoconferência, telefonia IP e etc).
Dentro desta proposta, esta mesma empresa queria saber, também, qual
seria a melhor tecnologia a ser utilizada em uma possível ampliação de novos pontos
de conexão.
4.7.2. Aplicação
Como a empresa deseja dar prioridade em suas transmissões nas
aplicações de multimídia, propomos a utilização do MPLS, visto que, estes tipos de
aplicações impõem qualidade de serviço na comunicação, e como as VPN’s
tradicionais adotam o modelo do tipo melhor esforço, ou seja, os túneis utilizam-se
do encaminhamento convencional IP para transportar a informação, o tráfego é
tratado sem nenhum tipo de diferenciação ou priorização. Já o MPLS oferece um
tratamento diferenciado permitindo ordenar a priorização de cada aplicação, ou seja,
dependendo da QoS contida no rótulo é estabelecido um nível de serviço onde o
tráfego é direcionado para o caminho adequado, como também, é dado prioridade de
tráfego em cada nó.
Sobre a possível ampliação da rede com a criação de novas filias,
propomos também o MPLS, isto porque, as VPN’s são pouco flexíveis quando se
trata do fato de adicionar novos pontos. Como as VPN’s estão sobreposta à rede
física a base de circuitos virtuais (PVC’s) , e a empresa possui vinte filiais, então
necessitaríamos de 190 PVC’s, isto para manter uma conectividade de todos para
104
todos. Com o tempo e a necessidade de ampliações futuras, o gerenciamento se
tornaria bastante complexo, em função da quantidade de PVC’s, como pode ser visto
na Figura 4.1.
Figura 4.1 – Rede VPN com PVC’s
Figura 4.2 – Rede VPN MPLS com LSP’s
105
Por outro lado, o MPLS reduziu substancialmente o numero de PVC’s,
agora ele só precisa de um único PVC na borda do MPLS, garantindo conectividade
em toda a rede VPN, através do LSP (Figura 4.2). Com isto o gerenciamento e a
previsão para ampliação da rede ficou mais fácil, conseqüentemente, acontece uma
redução de custo no serviço.
Sob o ponto de vista de segurança, existe uma certa equivalência entre as
duas tecnologias.
Uma das principais funções das Redes Privadas Virtuais (VPN’s) é a
segurança, pois os dados, mesmo sendo transmitidos pela Internet, estariam
protegidos de forma a não permitir que sejam interceptados ou modificados.
O MPLS passa a mesma segurança que as VPN’s tradicionais, mas se o
cliente quiser aumentar ainda mais a confiabilidade deste item, então a criptografia
pode ser empregada (IPSec), sendo adicionada ao MPLS, como seria realizado com
qualquer outro tipo de transporte.
Concluímos que, entre as duas tecnologias estudadas, a que melhor
satisfaz as necessidades da empresa, seria o MPLS. O MPLS leva vantagem em
quase todos os requisitos, o único item em que existe um equilíbrio entre as VPN’s
tradicionais e o MPLS seria a segurança, mas como comentado anteriormente,
ambas as tecnologias passam a mesma confiabilidade.
106
CONCLUSÕES
Esta monografia teve como objetivo realizar um estudo comparativo entre
as tradicionais Redes Privadas Virtuais e as Redes Privadas Virtuais baseadas em
MPLS.
Observamos que, Inicialmente as redes locais de computadores, foram
usadas para compartilhar alguns recursos como aplicações e impressora, sem a
preocupação com o quesito segurança.
Com o advento da internet comercial, surge a necessidade de uma política
de segurança, que garanta os sistemas funcionando e permitindo o acesso remoto
de uma forma segura e confiável. Vários métodos foram desenvolvidos com este
intuito, entre eles a VPN (Virtual Private Network) ou Rede Privada Virtual.
Cada vez mais as VPN’s são incorporadas às organizações, sejam elas
privadas ou governamentais. Os principais motivos estão relacionados à segurança
das informações e o custo no tráfego das mesmas, pois utiliza um meio público,
como a internet, para trafegar dados entre elas. A VPN cria "túneis virtuais" de
comunicação entre essas redes, fazendo com que os dados trafeguem de forma
criptografada pelos túneis, dificultando e muito, a ação de possíveis invasores. As
VPN’s garantem também integridade, confidencialidade das informações
107
transmitidas, bem como a autenticação e controle de acesso aos gateways,
permitindo uma confiança maior por parte de quem as usa.
O MPLS é chamado de multiprotocolo porque qualquer protocolo de rede
pode ser utilizado para o encaminhamento dos pacotes, ele modifica um paradigma
fundamental hoje existente nas redes IP : a superposição de um rótulo ao datagrama
tendo a propriedade de imprimir à comunicação uma característica de “orientação à
conexão''. Sua característica de interligar roteadores IP o torna uma referência para
construção de redes.
O MPLS além de possuir a qualidade de construções de VPN’s, como uma
de suas funções nativas, se mostra com uma característica atraente para a utilização
de diversos tipos de serviços que demandam uma maior qualidade de serviço, e com
um custo mais baixo, além de propiciar para a Engenharia de Tráfego, o roteamento
explícito de maneira eficiente baseada em protocolos de comutação por rótulos.
Conclui-se que o MPLS é uma tecnologia emergente que em comparação
com as demais Redes Privadas Virtuais tradicionais é a mais promissora na tentativa
de melhorar o desempenho das redes, por ser flexível e por permitir seu
mapeamento em várias tecnologias de rede, nos fazendo crer que ele será capaz de
melhorar a qualidade das transmissões de voz e vídeo (através do QoS), a
segurança (através das VPN’s) e também a velocidade e planejamento nas
transmissões de dados (através da engenharia de tráfego).
108
REFERÊNCIAS BIBLIOGRÁFICAS
[1] SOARES, Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de
computadores das Lans, Mas e Wans às redes ATM. Rio de Janeiro: Campus, p. 79-
249, 1995.
[2] AREDE. CIR (Commited Information Rate). Disponível em: www.arede.inf.br/
index.php?option=com_glossary&func=display&letter=C&Itemid=95&catid=41&page=
1 Acessado em: 13/12/2006.
[3] COMER, Douglas E. Redes de Computadores e Internet. Ed 2ª. Tradução de
Marinho Barcellos. Porto Alegre: Bookman, p. 131-181, 2001.
[4] TANEMBAUM, Andrew S. Redes de Computadores. Tradução de sétima edição.
Rio de Janeiro: Campus, p. 65-460, 2003.
[5] FILHO, José Valentim dos Santos. O Estado-da-Arte do Frame Relay. GTA /
URFJ Grupo de teleinformática e automação. Disponível em: <http://www.gta.ufrj.br/
~valentim/Relay.html>. Acessado em: 12/03/2006.
[6] FILHO, Huber Bernal. Seção: Banda larga e VOIP- Frame Relay. 2003. TELECO
Informações e telecomunicações. Disponível em: <http://www.teleco.com.br/tutoriais/
tutorialfr/default.asp>. acessado em: 15/03/2006.
[7] PINHEIRO, Jose Mauricio Santos. O MPLS em Redes de Computadores. 2006.
Projeto de Redes. Disponível em: <http://www.projetoderedes.com.br/
artigos/artigo_mpls_em_redes.php>. Acessado em: 23/09/2006.
[8] MACEDO, Carlil Gibran Fonseca; BRAGA, Nilton C. N. da Costa; ALVES, Nilton.
Tutorial: Redes ATM. I Workshop do Rio de Janeiro em Redes de Alta Velocidade.
1999. Servidor Mesonpi. Disponível em: <http://mesonpi.cat.cbpf.br/naj/atm.pdf>.
Acessado em: 15/04/2006.
109
[9] SMETANA, George Marcel M. A.. Ipv4 e Ipv6. Escola Politécnica da Universidade
de São Paulo e do Laboratório de Arquitetura e Redes de Computadores. Disponível
em: < http://www.checchia.net/node/104>. Acessado em: 18/03/2006.
[10] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU –
Brazilian Open University. 2004. Disponível em: <http://www.esab.edu.br/
jornal/cabecalho_mono.cfm?target=monografias/VPN%20-%20Virtual%20Private%
20Network/vpn.htm>. Acessado em: 15/11/2006.
[11] CANEDO, Paulo Ricardo Lessa; ALMEIDA, Carlo Vinicius de Melo. Projeto,
Suporte e Administração de Redes, UniFOA – Centro Universitário de Volta
Redonda. Disponível em: <http://www.projetoderedes.com.br/apostilas/
apostilas_rede.php>. Acessado em: 15/11/2006.
[12] RFC 791. Internet Protocol. Darpa Internet Program.Protcol Specification.
September 1981. Disponível em: <http://www.faqs.org/rfcs/rfc791.html>. Acessado
em: 12/04/2006.
[13] studiodigitall. TCP/IP Control Protocol/Internet Protocol. Disponível:
<http://www.studiodigitall.com/trabalhos/redes/camadas_tcp.html#aplicacao>.
Acessado em: 12/03/2006.
[14] CHIN, Liou Kuo. VPN - Virtual Private Network. Boletim bimestral sobre
tecnologia de redes produzido e publicado pela RNP – Rede Nacional de Ensino e
Pesquisa. 1998 v 2, no. 8. Disponível em: <http://www.rnp.br/newsgen/9811/
vpn.html#ng-tipos>. Acessado em: 15/11/2006.
[15] ASSIS, João Mário de. Implementando VPN em Linux. Universidade Federal de
Lavras. Minas Gerais. 2003. Disponível em: <http://www.ginux.ufla.br/documentacao/
monografias/mono-JoaoAssis.pdf>. Acessado em: 11/10/2006.
110
[16] MACHADO, Gustavo Henrique de Farias. VPN - Virtual Private Network. BOU –
Brazilian Open University. Angola. 2004. Disponível em: <http://www.esab.edu.br/
jornal/cabecalho_mono.cfm?target=monografias/VPN%20-%20Virtual%20Private%
20Network/vpn.htm>. Acessado em: 08/11/2006.
[17] KOLENISKOV, Oleg; HATCH, Brian. Building Linux Virtual Private Networks
(VPNs). 1ª Edição. EUA: New Riders, 2002. p.385 .
[18] CARDOSO, Rogério Nesi Pereira. A integração de múltiplos serviços com o
MPLS. Cisco System. Disponivel em: <http://www.ciscoredacaovirtual.com/
redacao/perfistecnologicos/conectividad.asp?Id=18>. Acessado em: 15/11/2006.
[19] FILHO, Huber Bernal, Asynchronous Transfer Mode (ATM), TELECO
Informações e telecomunicações. 2003. Disponível em: <http://www.teleco.com.br/
tutoriais/tutorialatm/default.asp>. Acessado em: 12/09/2006.
[20] E. Rosen, A. Viswanathan; R. Callon. Network Working Group, IETF,
Multiprotocol Label Switching Architecture. January 2001. Disponível em:
<http://www.ietf.org/rfc/rfc3031.txt>. Acessado em: 12/11/2006.
[21] ANDRADE, Aujor Tadeu Cavalca; WESTPHALL, Carlos Becker. Modelagem e
Análise de Desempenho de Uma Rede Baseada em Tecnologia MPLS. Universidade
Federal de Santa Catarina – UFSC. Disponível em: <http://www.inf.furb.br/seminco/
2003/artigos/110-vf.pdf>. Acessado em: 02/11/2006.
[22] TUDE, Eduardo; FILHO, Huber Bernal. Multi Protocol Label Switching (MPLS)
utilizado em redes IP. 2004. TELECO Informações e telecomunicações. Disponível
em: < http://www.teleco.com.br/tutoriais.asp#>. Acessado em: 08/11/2006.
[23] ABREU, Luis Henrique. Arquitetura MPLS para Formação de VPN. UNIMINAS.
Uberlândia. 2004. Disponível em: <http://www.si.uniminas.br/TFC/monografias/
Monografia%20Luiz%20Henrique%20de%20abreu.pdf>. Acessado em: 08/11/2006.
[24] ASSIS, Alexandre Urtado de; FERRAZ, Tatiana Lopes; ALBUQUERQUE,
Marcelo Portes. Nota Técnica Protocolo MPLS, 2002. Servidor Mesonpi. Disponível
em: < http://mesonpi.cat.cbpf.br/redes/mpls.pdf>. Acessado em: 10/11/2006.
111
[25] MESQUITA, Márcio Gurjão. Tutorial MPLS - Multi Protocol Label Switching.
Universidade Estadual do Ceará. 2001. Disponível em: <http://www.larces.uece.br/
tutoriais/MPLS_MARCIO_TUTORIAL.PDF>. Acessado em: 10/11/2006.
[26] TAFT, Bruno Prestes. MPLS - Multi Protocol Label Switching. GTA/URFJ Grupo
de teleinformática e automação. Disponível em: <http://www.gta.ufrj.br/grad/
04_2/MPLS>. Acessado em: 28/10/2006.
[27] MIERCOM. Test/Analysis Tools, Package Speeds MPLS Diagnostics. November
2005. Disponível em: < http://www.miercom.com/?url=reports/&v=16>. Acessado em:
22/11/2006.
[28] EMBRATEL. A maior rede corporativa IP VPN do país. Embratel vence leilão
para fornecer serviços ao Banco do Brasil. 2004. Disponível em:
<http://www.embratel.com.br/Embratel02/cda/portal/0,2997,MG_P_1079_1407,00.ht
ml>. Acessado em: 22/11/2006.
[29] TELEMAR. Soluções por serviços. Formação de Redes de dados. TC VPN VIP.
Corporate online, Disponível em: <http://www.telemarcorporate.com.br/
index.asp?idPage=3&idPageSub=a5>. Acessado em: 22/11/2006.
[30] TELEFONICA. VPN IP. 2004. Disponível em: <http://www.telefonicaempresas
.com.br/dadoseinternet/vpn/ip/vpn_ip/index.html>. Acessado em: 22/11/2006.