Upload
internet
View
107
Download
1
Embed Size (px)
Citation preview
Integração Internet por Múltiplos Meios de Acesso
Carlos Alberto Reis RibeiroCoordenação de Planejamento
CTBC TelecomMaio, 2001
Agenda
• Apresentação• Acesso IP por múltiplos meios• Agregadores de banda larga• Autenticação Radius• Controle de banda e segurança• Arquiteturas de interconexão
Apresentação
• CTBC Telecom– Fundada em 1947
– Concessionária privada desde a sua fundação
• Image Telecom– Concessionária de TV a Cabo do Grupo Algar
• Pioneirismo no Brasil– Primeira rede ADSL comercial (1997)
– Primeira rede de cabo bidirecional (1999)
– Primeira rede convergente (Surpass & Engine)
Acesso IP por Múltiplos Meios
• Meios de acesso– Discado– Dedicado convencional (via Frame Relay)– xDSL– Cable modem– Celular
• Características técnicas próprias• Serviços diferenciados• Finalidades distintas
– Acesso Internet, VPNs corporativas...
A experiência do usuário
• Forma como o usuário percebe o serviço que lhe é oferecido
• Fatores objetivos e subjetivos– Processos de operação: login, configuração, etc.
– Velocidade percebida
• A experiência consistente...– Simplifica o aprendizado do usuário
– Reduz custos de suporte e help desk
– Facilita o posicionamento comercial
Objetivos
• Integrar meios de acesso distintos• Oferecer ao usuário uma experiência consistente,
respeitando as vantagens de cada meio de acesso• Disponibilizar serviços flexíveis• Mapear de forma consistente o universo de
usuários ao universo dos serviços• Prover mecanismos de operação simples e seguros
Plataforma convergente de serviços
?? Redeprivativa 2
AcessoDiscado
PlataformaxDSL
PlataformaCable Modem
AcessoWireless
Redeprivativa 1
Internet
AAGGRREEGGAADDOORR
Características principais
• Tratamento do tráfego individual– Alta densidade de conexões (da ordem de milhares)
– Compatível com a tecnologia da rede de acesso
– Determina perfil de cada acesso
– Isola o tráfego de cada usuário final
– Estabelece mecanismos de bilhetagem
• Tratamento do tráfego por serviço– Alta velocidade
– Compatível com a tecnologia de backbone
– Determina perfil do serviço
Arquitetura genérica
AGREGADORAGREGADOR
Acesso 1Acesso 1
Acesso 2Acesso 2
ATMATM
EthernetEthernet
Serviço AServiço A
Serviço BServiço B
Serviço CServiço C
Funcionalidade
1. Separa o tráfego de cada usuário
2. Identifica o usuário de forma segura
3. Determina o perfil de serviço desejado
4. Controla os parâmetros de acesso
5. Encaminha o tráfego para a rede de serviço
6. Armazena informações sobre a utilização
7. Facilita reconfiguração dinâmica da rede
Camada de acesso
Interface com a rede de acesso
• Separa o tráfego individual– Nível 2: VCs ATM, VLANs Ethernet, endereço MAC
– Nível 3: endereço IP
• Depende da tecnologia da rede de acesso– DSLAM: interface ATM
– CMTS: interface Ethernet
• Grande número de circuitos/interfaces– Força os limites dos roteadores convencionais
– Cria um desafio para manutenção da configuração
Camada de acesso
Identificação e personalização
• Identificação implícita– Associada a característica estável:
endereço MAC, endereço IP, VCI
– Processo de login automático
• Identificação explícita– Associada a uma identificação do usuário
– Processo de login explícito
• Mapeia o usuário ao serviço desejado• Estabelece os parâmetros de controle• Parte fundamental da experiência do usuário
Camada de acesso
Segurança e controle de banda
• Controles individuais por conexão/sessão/usuário• Segurança
– Filtro de pacotes
– ‘Stateful firewall’
• Controle de banda– Limite de banda upstream/downstream
• Nível 2: implementado sobre Ethernet ou ATM
• Nível 3: implementado na camada IP
• Outros tipos de controle são possíveis
Radius: autenticação e bilhetagem
• Essencial para os processos de controle• Torna a plataforma mais flexível• Proxy Radius
– Delega autenticação
– Seleção dinâmica do serviço
– Permite customização do serviço
• Radius accounting– Mantém log completo de todas as operações
Camada de serviços
• Interfaces de alta velocidade– ATM STM1 ou superior
– Fast Ethernet, evoluindo para Gigabit Ethernet
• Separação de contextos por serviço ou provedor– Autenticação via Proxy Radius
– Roteamento virtual
• Encaminhamento do tráfego– Roteamento OSPF & BGP4 por contexto
– Tunnel switching
– Perspectiva de evolução para MPLS
Plataforma de serviços CTBC
LucentTNT
BackboneInternet
ATM
Ethernet
DSLAMD50eNokia
CMTS3COM
VPN A
VPN B
Contexto ABackbone
InternetCTBC
RedbackSMS1800
Contexto B
Contexto Internet
ProxyRadius
Radius
Questões práticas
• Método de mapeamento dos acessos ao serviços• Protocolos de tunelamento• Alocação de endereços IP• Interconexão de provedores• Atributos Radius• Manutenção de logs
Mapeamento dos acessos
• Cada conexão deve ser mapeada em um serviço• Opção por mecanismo de tunelamento
– Processo em nível 3 não possui estados bem definidos
– Túnel fim a fim permite implementação mais clara
– Topologia ‘virtual’ aumenta flexibilidade
– Suportado em diversas plataformas - Windows, Linux
• Processo de login explícito– Maior controle e segurança
– Facilita seleção de serviços
– Eficiência na alocação de endereços
Protocolos de tunelamento
• PPPoE– Consistente com acesso discado
– Funciona com xDSL e cable modem
• L2TP– Consistente com acesso discado
– Interoperável com diversas plataformas
– VPNs simples com nível aceitável de segurança
• IPSEC– Apenas para VPNs mais avançadas
PPPoE na rede xDSL
Casa do usuário Ambiente CTBC
CPE/BridgeCPE/Bridge Internet
ATM
ADSL
PPP
Ethernet Ethernet
ADSL
ATM ATM
Bridge RFC1483
IP
Bridge RFC1483
Ethernet
Sessão PPP de ponta a ponta
PPP
IP
PC CPE DSLAM Agregador
Alocação de endereços IP
• Depende da forma da interconexão com o ISP• Problemas
– Alguns ISPs requerem endereçamento próprio
– Impacto na eficiência do roteamento
– Administração de DNS pode ser problemática
• Reserva de endereços– Tunelamento nível 2 permite oversubscription
– Pode ser necessário no futuro
– A abordagem atual é conservadora, reservando um IP para cada usuário
Interconexão de provedores• Acesso via backbone do ISP
– Ligação direta do agregador ao ISP– IP e DNS do próprio ISP– Exige link dedicado– Custo mais elevado
• Acesso via backbone CTBC– Usuário final acesso Internet usando backbone CTBC– IP pertencente ao bloco CTBC– DNS pode ser delegado (direto/reverso)– Reduz custos com link– Otimiza o uso do backbone
Interconexão de provedores
• Alternativa 1: tunelamento– Criação de túneis do agregador até o ISP
• Um túnel por usuário com L2TP
• Túnel GRE ou IPSEC para todo tráfego
– IP e DNS do próprio ISP
• Alternativa 2: peering– Troca de tráfego entre o ISP e a CTBC
– Otimiza desempenho
– Reduz custos
– Pode envolver colocation de roteadores na CTBC
Notas sobre autenticação
• Manutenção dos arquivos de log– Questões legais
– Questões comerciais
• Tratamento dos atributos Radius– Quais atributos são controlados pelo ISP
– Quais atributos são controlados pela CTBC
Tratamento dos atributos Radius• Delegar o controle para o ISP
– Todos os atributos vem do Radius do ISP– Serviço mais flexível– Problemas de segurança e tarifação
• Assumir o controle– Todos os atributos vem do Radius da CTBC– Aumenta a administração– Processo mais seguro– Minimiza problemas de tarifação
• Abordagem intermediária– Depende de customização do Radius
Perguntas?
Carlos RibeiroCTBC Telecom
Coordenação de Planejamento