integração internet por múltiplos meios de acesso carlos alberto reis ribeiro coordenação de...
TRANSCRIPT
Integração Internet por Múltiplos Meios de Acesso
Carlos Alberto Reis RibeiroCoordenação de Planejamento
CTBC TelecomMaio, 2001
Agenda
• Apresentação• Acesso IP por múltiplos meios• Agregadores de banda larga• Autenticação Radius• Controle de banda e segurança• Arquiteturas de interconexão
Apresentação
• CTBC Telecom– Fundada em 1947
– Concessionária privada desde a sua fundação
• Image Telecom– Concessionária de TV a Cabo do Grupo Algar
• Pioneirismo no Brasil– Primeira rede ADSL comercial (1997)
– Primeira rede de cabo bidirecional (1999)
– Primeira rede convergente (Surpass & Engine)
Acesso IP por Múltiplos Meios
• Meios de acesso– Discado– Dedicado convencional (via Frame Relay)– xDSL– Cable modem– Celular
• Características técnicas próprias• Serviços diferenciados• Finalidades distintas
– Acesso Internet, VPNs corporativas...
A experiência do usuário
• Forma como o usuário percebe o serviço que lhe é oferecido
• Fatores objetivos e subjetivos– Processos de operação: login, configuração, etc.
– Velocidade percebida
• A experiência consistente...– Simplifica o aprendizado do usuário
– Reduz custos de suporte e help desk
– Facilita o posicionamento comercial
Objetivos
• Integrar meios de acesso distintos• Oferecer ao usuário uma experiência consistente,
respeitando as vantagens de cada meio de acesso• Disponibilizar serviços flexíveis• Mapear de forma consistente o universo de
usuários ao universo dos serviços• Prover mecanismos de operação simples e seguros
Plataforma convergente de serviços
?? Redeprivativa 2
AcessoDiscado
PlataformaxDSL
PlataformaCable Modem
AcessoWireless
Redeprivativa 1
Internet
AAGGRREEGGAADDOORR
Características principais
• Tratamento do tráfego individual– Alta densidade de conexões (da ordem de milhares)
– Compatível com a tecnologia da rede de acesso
– Determina perfil de cada acesso
– Isola o tráfego de cada usuário final
– Estabelece mecanismos de bilhetagem
• Tratamento do tráfego por serviço– Alta velocidade
– Compatível com a tecnologia de backbone
– Determina perfil do serviço
Arquitetura genérica
AGREGADORAGREGADOR
Acesso 1Acesso 1
Acesso 2Acesso 2
ATMATM
EthernetEthernet
Serviço AServiço A
Serviço BServiço B
Serviço CServiço C
Funcionalidade
1. Separa o tráfego de cada usuário
2. Identifica o usuário de forma segura
3. Determina o perfil de serviço desejado
4. Controla os parâmetros de acesso
5. Encaminha o tráfego para a rede de serviço
6. Armazena informações sobre a utilização
7. Facilita reconfiguração dinâmica da rede
Camada de acesso
Interface com a rede de acesso
• Separa o tráfego individual– Nível 2: VCs ATM, VLANs Ethernet, endereço MAC
– Nível 3: endereço IP
• Depende da tecnologia da rede de acesso– DSLAM: interface ATM
– CMTS: interface Ethernet
• Grande número de circuitos/interfaces– Força os limites dos roteadores convencionais
– Cria um desafio para manutenção da configuração
Camada de acesso
Identificação e personalização
• Identificação implícita– Associada a característica estável:
endereço MAC, endereço IP, VCI
– Processo de login automático
• Identificação explícita– Associada a uma identificação do usuário
– Processo de login explícito
• Mapeia o usuário ao serviço desejado• Estabelece os parâmetros de controle• Parte fundamental da experiência do usuário
Camada de acesso
Segurança e controle de banda
• Controles individuais por conexão/sessão/usuário• Segurança
– Filtro de pacotes
– ‘Stateful firewall’
• Controle de banda– Limite de banda upstream/downstream
• Nível 2: implementado sobre Ethernet ou ATM
• Nível 3: implementado na camada IP
• Outros tipos de controle são possíveis
Radius: autenticação e bilhetagem
• Essencial para os processos de controle• Torna a plataforma mais flexível• Proxy Radius
– Delega autenticação
– Seleção dinâmica do serviço
– Permite customização do serviço
• Radius accounting– Mantém log completo de todas as operações
Camada de serviços
• Interfaces de alta velocidade– ATM STM1 ou superior
– Fast Ethernet, evoluindo para Gigabit Ethernet
• Separação de contextos por serviço ou provedor– Autenticação via Proxy Radius
– Roteamento virtual
• Encaminhamento do tráfego– Roteamento OSPF & BGP4 por contexto
– Tunnel switching
– Perspectiva de evolução para MPLS
Plataforma de serviços CTBC
LucentTNT
BackboneInternet
ATM
Ethernet
DSLAMD50eNokia
CMTS3COM
VPN A
VPN B
Contexto ABackbone
InternetCTBC
RedbackSMS1800
Contexto B
Contexto Internet
ProxyRadius
Radius
Questões práticas
• Método de mapeamento dos acessos ao serviços• Protocolos de tunelamento• Alocação de endereços IP• Interconexão de provedores• Atributos Radius• Manutenção de logs
Mapeamento dos acessos
• Cada conexão deve ser mapeada em um serviço• Opção por mecanismo de tunelamento
– Processo em nível 3 não possui estados bem definidos
– Túnel fim a fim permite implementação mais clara
– Topologia ‘virtual’ aumenta flexibilidade
– Suportado em diversas plataformas - Windows, Linux
• Processo de login explícito– Maior controle e segurança
– Facilita seleção de serviços
– Eficiência na alocação de endereços
Protocolos de tunelamento
• PPPoE– Consistente com acesso discado
– Funciona com xDSL e cable modem
• L2TP– Consistente com acesso discado
– Interoperável com diversas plataformas
– VPNs simples com nível aceitável de segurança
• IPSEC– Apenas para VPNs mais avançadas
PPPoE na rede xDSL
Casa do usuário Ambiente CTBC
CPE/BridgeCPE/Bridge Internet
ATM
ADSL
PPP
Ethernet Ethernet
ADSL
ATM ATM
Bridge RFC1483
IP
Bridge RFC1483
Ethernet
Sessão PPP de ponta a ponta
PPP
IP
PC CPE DSLAM Agregador
Alocação de endereços IP
• Depende da forma da interconexão com o ISP• Problemas
– Alguns ISPs requerem endereçamento próprio
– Impacto na eficiência do roteamento
– Administração de DNS pode ser problemática
• Reserva de endereços– Tunelamento nível 2 permite oversubscription
– Pode ser necessário no futuro
– A abordagem atual é conservadora, reservando um IP para cada usuário
Interconexão de provedores• Acesso via backbone do ISP
– Ligação direta do agregador ao ISP– IP e DNS do próprio ISP– Exige link dedicado– Custo mais elevado
• Acesso via backbone CTBC– Usuário final acesso Internet usando backbone CTBC– IP pertencente ao bloco CTBC– DNS pode ser delegado (direto/reverso)– Reduz custos com link– Otimiza o uso do backbone
Interconexão de provedores
• Alternativa 1: tunelamento– Criação de túneis do agregador até o ISP
• Um túnel por usuário com L2TP
• Túnel GRE ou IPSEC para todo tráfego
– IP e DNS do próprio ISP
• Alternativa 2: peering– Troca de tráfego entre o ISP e a CTBC
– Otimiza desempenho
– Reduz custos
– Pode envolver colocation de roteadores na CTBC
Notas sobre autenticação
• Manutenção dos arquivos de log– Questões legais
– Questões comerciais
• Tratamento dos atributos Radius– Quais atributos são controlados pelo ISP
– Quais atributos são controlados pela CTBC
Tratamento dos atributos Radius• Delegar o controle para o ISP
– Todos os atributos vem do Radius do ISP– Serviço mais flexível– Problemas de segurança e tarifação
• Assumir o controle– Todos os atributos vem do Radius da CTBC– Aumenta a administração– Processo mais seguro– Minimiza problemas de tarifação
• Abordagem intermediária– Depende de customização do Radius
Perguntas?
Carlos RibeiroCTBC Telecom
Coordenação de Planejamento