Integração Internet por Múltiplos Meios de Acesso

Carlos Alberto Reis RibeiroCoordenação de Planejamento

CTBC TelecomMaio, 2001

Agenda

• Apresentação• Acesso IP por múltiplos meios• Agregadores de banda larga• Autenticação Radius• Controle de banda e segurança• Arquiteturas de interconexão

Apresentação

• CTBC Telecom– Fundada em 1947

– Concessionária privada desde a sua fundação

• Image Telecom– Concessionária de TV a Cabo do Grupo Algar

• Pioneirismo no Brasil– Primeira rede ADSL comercial (1997)

– Primeira rede de cabo bidirecional (1999)

– Primeira rede convergente (Surpass & Engine)

Acesso IP por Múltiplos Meios

• Meios de acesso– Discado– Dedicado convencional (via Frame Relay)– xDSL– Cable modem– Celular

• Características técnicas próprias• Serviços diferenciados• Finalidades distintas

– Acesso Internet, VPNs corporativas...

A experiência do usuário

• Forma como o usuário percebe o serviço que lhe é oferecido

• Fatores objetivos e subjetivos– Processos de operação: login, configuração, etc.

– Velocidade percebida

• A experiência consistente...– Simplifica o aprendizado do usuário

– Reduz custos de suporte e help desk

– Facilita o posicionamento comercial

Objetivos

• Integrar meios de acesso distintos• Oferecer ao usuário uma experiência consistente,

respeitando as vantagens de cada meio de acesso• Disponibilizar serviços flexíveis• Mapear de forma consistente o universo de

usuários ao universo dos serviços• Prover mecanismos de operação simples e seguros

Plataforma convergente de serviços

?? Redeprivativa 2

AcessoDiscado

PlataformaxDSL

PlataformaCable Modem

AcessoWireless

Redeprivativa 1

Internet

AAGGRREEGGAADDOORR

Características principais

• Tratamento do tráfego individual– Alta densidade de conexões (da ordem de milhares)

– Compatível com a tecnologia da rede de acesso

– Determina perfil de cada acesso

– Isola o tráfego de cada usuário final

– Estabelece mecanismos de bilhetagem

• Tratamento do tráfego por serviço– Alta velocidade

– Compatível com a tecnologia de backbone

– Determina perfil do serviço

Arquitetura genérica

AGREGADORAGREGADOR

Acesso 1Acesso 1

Acesso 2Acesso 2

ATMATM

EthernetEthernet

Serviço AServiço A

Serviço BServiço B

Serviço CServiço C

Funcionalidade

1. Separa o tráfego de cada usuário

2. Identifica o usuário de forma segura

3. Determina o perfil de serviço desejado

4. Controla os parâmetros de acesso

5. Encaminha o tráfego para a rede de serviço

6. Armazena informações sobre a utilização

7. Facilita reconfiguração dinâmica da rede

Camada de acesso

Interface com a rede de acesso

• Separa o tráfego individual– Nível 2: VCs ATM, VLANs Ethernet, endereço MAC

– Nível 3: endereço IP

• Depende da tecnologia da rede de acesso– DSLAM: interface ATM

– CMTS: interface Ethernet

• Grande número de circuitos/interfaces– Força os limites dos roteadores convencionais

– Cria um desafio para manutenção da configuração

Camada de acesso

Identificação e personalização

• Identificação implícita– Associada a característica estável:

endereço MAC, endereço IP, VCI

– Processo de login automático

• Identificação explícita– Associada a uma identificação do usuário

– Processo de login explícito

• Mapeia o usuário ao serviço desejado• Estabelece os parâmetros de controle• Parte fundamental da experiência do usuário

Camada de acesso

Segurança e controle de banda

• Controles individuais por conexão/sessão/usuário• Segurança

– Filtro de pacotes

– ‘Stateful firewall’

• Controle de banda– Limite de banda upstream/downstream

• Nível 2: implementado sobre Ethernet ou ATM

• Nível 3: implementado na camada IP

• Outros tipos de controle são possíveis

Radius: autenticação e bilhetagem

• Essencial para os processos de controle• Torna a plataforma mais flexível• Proxy Radius

– Delega autenticação

– Seleção dinâmica do serviço

– Permite customização do serviço

• Radius accounting– Mantém log completo de todas as operações

Camada de serviços

• Interfaces de alta velocidade– ATM STM1 ou superior

– Fast Ethernet, evoluindo para Gigabit Ethernet

• Separação de contextos por serviço ou provedor– Autenticação via Proxy Radius

– Roteamento virtual

• Encaminhamento do tráfego– Roteamento OSPF & BGP4 por contexto

– Tunnel switching

– Perspectiva de evolução para MPLS

Plataforma de serviços CTBC

LucentTNT

BackboneInternet

ATM

Ethernet

DSLAMD50eNokia

CMTS3COM

VPN A

VPN B

Contexto ABackbone

InternetCTBC

RedbackSMS1800

Contexto B

Contexto Internet

ProxyRadius

Radius

Questões práticas

• Método de mapeamento dos acessos ao serviços• Protocolos de tunelamento• Alocação de endereços IP• Interconexão de provedores• Atributos Radius• Manutenção de logs

Mapeamento dos acessos

• Cada conexão deve ser mapeada em um serviço• Opção por mecanismo de tunelamento

– Processo em nível 3 não possui estados bem definidos

– Túnel fim a fim permite implementação mais clara

– Topologia ‘virtual’ aumenta flexibilidade

– Suportado em diversas plataformas - Windows, Linux

• Processo de login explícito– Maior controle e segurança

– Facilita seleção de serviços

– Eficiência na alocação de endereços

Protocolos de tunelamento

• PPPoE– Consistente com acesso discado

– Funciona com xDSL e cable modem

• L2TP– Consistente com acesso discado

– Interoperável com diversas plataformas

– VPNs simples com nível aceitável de segurança

• IPSEC– Apenas para VPNs mais avançadas

PPPoE na rede xDSL

Casa do usuário Ambiente CTBC

CPE/BridgeCPE/Bridge Internet

ATM

ADSL

PPP

Ethernet Ethernet

ADSL

ATM ATM

Bridge RFC1483

IP

Bridge RFC1483

Ethernet

Sessão PPP de ponta a ponta

PPP

IP

PC CPE DSLAM Agregador

Alocação de endereços IP

• Depende da forma da interconexão com o ISP• Problemas

– Alguns ISPs requerem endereçamento próprio

– Impacto na eficiência do roteamento

– Administração de DNS pode ser problemática

• Reserva de endereços– Tunelamento nível 2 permite oversubscription

– Pode ser necessário no futuro

– A abordagem atual é conservadora, reservando um IP para cada usuário

Interconexão de provedores• Acesso via backbone do ISP

– Ligação direta do agregador ao ISP– IP e DNS do próprio ISP– Exige link dedicado– Custo mais elevado

• Acesso via backbone CTBC– Usuário final acesso Internet usando backbone CTBC– IP pertencente ao bloco CTBC– DNS pode ser delegado (direto/reverso)– Reduz custos com link– Otimiza o uso do backbone

Interconexão de provedores

• Alternativa 1: tunelamento– Criação de túneis do agregador até o ISP

• Um túnel por usuário com L2TP

• Túnel GRE ou IPSEC para todo tráfego

– IP e DNS do próprio ISP

• Alternativa 2: peering– Troca de tráfego entre o ISP e a CTBC

– Otimiza desempenho

– Reduz custos

– Pode envolver colocation de roteadores na CTBC

Notas sobre autenticação

• Manutenção dos arquivos de log– Questões legais

– Questões comerciais

• Tratamento dos atributos Radius– Quais atributos são controlados pelo ISP

– Quais atributos são controlados pela CTBC

Tratamento dos atributos Radius• Delegar o controle para o ISP

– Todos os atributos vem do Radius do ISP– Serviço mais flexível– Problemas de segurança e tarifação

• Assumir o controle– Todos os atributos vem do Radius da CTBC– Aumenta a administração– Processo mais seguro– Minimiza problemas de tarifação

• Abordagem intermediária– Depende de customização do Radius

Perguntas?

Carlos RibeiroCTBC Telecom

Coordenação de Planejamento