Click here to load reader

Estudo QoS em redes IP baseadas em roteadores Cisco jamhour/RSS/TCCRSS08B/Celio Bitencour · PDF fileatravés do MP-BGP extensions e MP-BGP community attribute que definem quem se

  • View
    213

  • Download
    0

Embed Size (px)

Text of Estudo QoS em redes IP baseadas em roteadores Cisco jamhour/RSS/TCCRSS08B/Celio...

  • Estudo QoS em redes IP baseadas em roteadores Cisco

    Clio Bitencourt da Silva

    Especializao em Redes e Segurana de Sistemas

    Pontifcia Universidade Catlica do Paran

    Curitiba, Maro de 2010

    Resumo

    Este trabalho faz uma breve descrio da qualidade de servio aplicada sobre uma rede comroteadores Cisco. Ao longo do trabalho so abordados os diferentes mecanismos criados pelaCisco e aplicados as diversas finalidades no intuito de diminuir o jitter, o atraso, a perda depacotes. Aborda a motivao para o uso de VPN de sua comunicao segura e economicamentevivel juntamente com o roteamento por rtulos MPLS.

    1 Introduo

    At pouco tempo atrs as empresas utilizavam comunicao entre matriz e filial do tipoponto a ponto, o que de certa forma garantia a segurana no caminho dos dados, mas haviaum custo muito elevado na contratao destes servios de comunicao. Algumas tecnologiasorientadas a conexo surgiram como o Frame Relay e o ATM. Estas tecnologias permitiramdiminuir as linhas dedicadas atravs da criao de circuitos virtuais dentro da nuvem frame relayou ATM e conseqentemente baixar o custo dos aluguis.

    Figura 1: link ponto a ponto o encapsulamento pode ser HDLC.Apesar de estas tecnologias maximizarem a utilizao dos recursos da rede do provedor

    de servio, os custos na formao de rede de clientes ainda pesavam no bolso. Com o tempo osclientes buscavam alternativas para diminuir seus custos e que ao mesmo tempo priorizassem suasaplicaes mais importantes como a utilizao de VoIP entre suas filiais, trafego de transaesde banco de dados, multiconferncia, etc. Estas aplicaes foram tomando prioridades estrita dequalidade de servio a medida que se tornavam criticas para o negcio das empresas. Imagine umrede de lojas em que o VoIP funcione de maneira sofrvel devido a falta de recursos do provedorde servio para garantir a qualidade desejada, isto implica em perda de negcios e aumento docusto em ligaes telefnicas interurbanas. Os protocolos FR e ATM so de camada 2, o FR

  • no faz nenhum controle de erro e nenhum controle de fluxo o que torna o FR semelhante auma LAN de rea extensa [1]. O ATM prometia resolver todos os problemas de redes [1], masapesar de ainda hoje ser muito utilizado na planta interna das operadoras [1]. O tamanho dopayload do ATM para o IP e falta de garantia na entrega de clulas no destino [1] fizeram comque naturalmente recasse sobre o protocolo da Internet de camada 3 o protocolo IP a funo degarantir servios com qualidade devida sua funo de comunicao fim a fim.

    Figura 2: uma rede frame relay, as filiais se comunicam com a matriz ou concentrador atravs deseu identificador (DLCI).

    Figura 3: uma rede FR/ATM. A matriz um frame relay e filiais rodam sobre ATM.Este trabalho esta estruturado da seguinte maneira:

    Inicialmente problematizamos a questo das VPNs e sua segurana;

  • O capitulo 3 aborda a conceitos e a construo de VPN com a utilizao do MPLS; O capitulo 4 descreve as tcnicas da Cisco para alcanar a qualidade de servio; O capitulo 5 discute questes sobre a realidade do MPLS suas vantagens edesvantagens (se houver) enquanto o capitulo 5 faz um breve resumo de todo o trabalho.

    2 Problematizao

    Quando os clientes migram seus servios para a rede pblica, mecanismos adicionaisde segurana para o trafego so necessrios. As VPNs (Virtual Private Network) por ser ummtodo seguro de comunicao entre dois pontos dentro da rede pblica, tornou-se uma tendnciamundial. Segundo o IDC, em 2003, 10% das 500 maiores empresas brasileiras utilizavam VPNs,e previso para o final de 2004 metade das 500 deveriam adotar, na poca o crescimento mundialera em torno de 80%.

    Mas que ameaas uma rede pblica pode apresentar para o trafego? As ameaas de forada rede se manifestam quando existem dentro da prpria rede erros que permitam tais ameaas aagir. Configuraes mal feitas ou incompletas em firewalls e servidores deixando portas e serviosdesnecessrios ativos se constituem em vulnerabilidades, a utilizao de um portscanner comoo nmap pode facilmente detectar estes furos. A captura de pacotes TCP pelo prprio nmap paraanlise dos flags de cabealho para anlise e possvel utilizao de exploits em vulnerabilidadesdetectadas, se as portas do TCP estiverem abertas devem estar bem protegidas assim como asno utilizadas fechadas. Os compartilhamentos CIFS/SMB se no estiverem bem configuradospodem expor dados por completo da organizao e ainda permitir acessos indevidos, um simplescomando no navegador no formato do Windows: \\IP.DA.MAQUINA.DESCOBERTA podemostrar todo o compartilhamento se no houver uma senha forte. Outra maneira pelo samba-clients com o comando smbcliente L IP.DA.MAQUINA.DESCOBERTA. Rotas nopertencentes a rede existentes nos gateways da rede. Senhas fracas de fcil memorizao e quebrapor fora bruta.

    Enfim, a utilizao de VPN entre os pontos para o trfego assegura maior seguranaaos dados, sendo criptografados na origem e descriptografados no destino evitando que terceirosescutem a transmisso pela rede pblica.

    3 Redes Virtuais

    Neste capitulo vamos introduzir o conceito de VPN, a tecnologia MPLS e seusmecanismos empregados para a formao de redes privadas existentes atualmente no mundocorporativo.

    3.1 VPN Virtual Private Network

    As VPNs foram ocupando lugar de destaque na soluo para a interligao de redesa medida que clientes (empresas, fornecedores, parceiros, usurios) necessitavam de um modoseguro na troca de informaes entre os pontos envolvidos na comunicao pela rede pblicaInternet, dita como insegura. O fato que pesa a seu favor o custo final e a segurana. Uma

  • VPN deve permitir fundamentalmente autenticao, integridade e confidencialidade, requisitosexigidos por polticas de segurana em qualquer contexto sobre segurana de redes.

    As VPNs podem ser estabelecidas dinamicamente ou por configuraes estticas atravsde tneis IPSec ou MPLS [9]:

    Por circuitos virtuais: neste modelo a tecnologia empregada o Frame Relay ou ATMe a configurao e manuteno so executados pelo provedor. A comunicao dentro dobackbone feita pelo par VP/VC. Tunelamento: neste modelo so utilizados protocolos de camada 2 (PPTP, L2TP) ecamada 3 o IPSec. A comunicao se d sobre a Internet. VPN/IP: neste modelo a comunicao sobre o backbone do provedor utilizando osprotocolos de tunelamento ou o MPLS.

    Em aplicaes onde o tempo de transmisso critico, a utilizao de VPN deve sercuidadosamente analisada devido a problemas de desempenho e atraso [8]. As operadoras utilizamVPN IP com MPLS em links principais e normalmente comercializam junto dependendo claroda necessidade do cliente links backup (utilizando o mecanismo HSRP ou VRPP) utilizando tnelIPSec na rede pblica.

    3.2 MPLS Multiprotocol Label Switching

    O protocolo MPLS descrito na RFC 3031 utilizado na criao de caminhos entreroteadores de borda e ncleo, cada enlace de roteadores recebe um rtulo (label) de significadolocal. Este rtulo utilizado para acelerar dentro da rede o roteamento. Os rtulos so distribudosentre roteadores atravs do protocolo de sinalizao LDP (Lable Distribution Protocol), mas afuno do LDP no simplesmente anunciar estas rotas, ele define regras e mensagens paraos LSR estabelecerem um LSP. Conceitualmente o MPLS considerado um protocolo de nvelintermedirio entre a camada 2 (enlace) e 3 (rede). Este fato se deve aos pacotes IP no suportaremcircuitos virtuais (no possui campo no cabealho) levando os projetistas a criarem um novocabealho entre o protocolo de nvel 2 e o cabealho IP [1].

    Um roteador ou n dentro do domnio MPLS chamado LSR (Label Switching Router)[6], o path ou caminho atravs de um ou mais LSRs comutados por rtulos em nvel de hierarquiaseguidos por pacotes de uma FEC so chamados de LSP (Label Switching Path) [6]. Uma FEC um grupo de fluxos com mesmos requisitos e que terminam normalmente em um mesmo roteadorou LAN [1] sua identificao feita por meio de rtulo inserido pelo roteador de ingresso (LER).A funo do LSR extrair o label do pacote entrante, verificar em sua tabela qual sua prximainterface e seu novo label, inserir este novo label e encaminhar para a prxima interface. O LSP(Label Switched Path) o caminho de comutao de labels marcado entre a origem e o destinodentro da nuvem MPLS, muito parecido com os circuitos virtuais do ATM ou Frame Relay [6].Um LSP nada mais que uma seqncia de labels.

    Existem duas famlias de roteadores dentro da nuvem MPLS os LSRs que se conectamentre si dentro da nuvem MPLS e os fazem interface para fora da nuvem chamados de LER (LabelEdge Router).O MPLS o burro de carga dos pacotes IP no processo de encaminhamento entre roteadores deborda (edge) e ncleo (core). O objetivo permitir um processo de roteamento de pacotes IP maisgil garantindo a qualidade de servio. Os pacotes IP quando entram no roteador de borda de

  • origem so marcados (etiquetados) por um rtulo de 20 bits (MPLS Label) e so desmarcados noroteador de borda de sada. Durante seu trajeto na nuvem MPLS o cabealho no mais analisado(o pacote est dentro da FEC) ocorrendo apenas trocas de label ao longo do percurso conforme atabela de rtulos que indicam qual o prximo hop e rtulo de cada roteador.

    Figura 4: cabealho MPLS.Na figura 4 o campo label a identificao do pacote com significado local. O campo exp indicaa prioridade do pacote (classe). O campo s de stack utilizado para empilhar labels quandoexistir mais de um label no pacote. E, finalmente o campo ttl de time to live conta os hops, casoseu contador atinja 255 o pacote descartado.

    3.3 MPLS VPN

    Uma VPN MPLS da Cisco uma soluo escalvel implementada em camada 3 econsiste num conjunto de sites clientes (intranet ou extranet) interligados por recursos MPLS deuma rede core de um provedor de servio [11]. Os roteadores CEs (Customer Edge) instalados nosvrios pontos do cliente esto interligados atravs de vrios PEs (Provider Edge) do prove