Integração Internet por Múltiplos Meios de Acesso Carlos Alberto Reis Ribeiro Coordenação de Planejamento CTBC Telecom Maio, 2001
Agenda Apresentação Acesso IP por múltiplos meios Agregadores de banda larga Autenticação Radius Controle de banda e segurança Arquiteturas de interconexão
Apresentação CTBC Telecom Image Telecom Pioneirismo no Brasil Fundada em 1947 Concessionária privada desde a sua fundação Image Telecom Concessionária de TV a Cabo do Grupo Algar Pioneirismo no Brasil Primeira rede ADSL comercial (1997) Primeira rede de cabo bidirecional (1999) Primeira rede convergente (Surpass & Engine)
Acesso IP por Múltiplos Meios Meios de acesso Discado Dedicado convencional (via Frame Relay) xDSL Cable modem Celular Características técnicas próprias Serviços diferenciados Finalidades distintas Acesso Internet, VPNs corporativas...
A experiência do usuário Forma como o usuário percebe o serviço que lhe é oferecido Fatores objetivos e subjetivos Processos de operação: login, configuração, etc. Velocidade percebida A experiência consistente... Simplifica o aprendizado do usuário Reduz custos de suporte e help desk Facilita o posicionamento comercial
Objetivos Integrar meios de acesso distintos Oferecer ao usuário uma experiência consistente, respeitando as vantagens de cada meio de acesso Disponibilizar serviços flexíveis Mapear de forma consistente o universo de usuários ao universo dos serviços Prover mecanismos de operação simples e seguros
Plataforma convergente de serviços Acesso Discado Rede privativa 1 A G R E D O ? Plataforma xDSL Rede privativa 2 Plataforma Cable Modem Internet Acesso Wireless
Características principais Tratamento do tráfego individual Alta densidade de conexões (da ordem de milhares) Compatível com a tecnologia da rede de acesso Determina perfil de cada acesso Isola o tráfego de cada usuário final Estabelece mecanismos de bilhetagem Tratamento do tráfego por serviço Alta velocidade Compatível com a tecnologia de backbone Determina perfil do serviço
Arquitetura genérica AGREGADOR Serviço A Acesso 1 Serviço B Acesso 2 ATM Serviço B Acesso 2 Ethernet Serviço C
Funcionalidade 1. Separa o tráfego de cada usuário 2. Identifica o usuário de forma segura 3. Determina o perfil de serviço desejado 4. Controla os parâmetros de acesso 5. Encaminha o tráfego para a rede de serviço 6. Armazena informações sobre a utilização 7. Facilita reconfiguração dinâmica da rede
Camada de acesso Interface com a rede de acesso Separa o tráfego individual Nível 2: VCs ATM, VLANs Ethernet, endereço MAC Nível 3: endereço IP Depende da tecnologia da rede de acesso DSLAM: interface ATM CMTS: interface Ethernet Grande número de circuitos/interfaces Força os limites dos roteadores convencionais Cria um desafio para manutenção da configuração
Camada de acesso Identificação e personalização Identificação implícita Associada a característica estável: endereço MAC, endereço IP, VCI Processo de login automático Identificação explícita Associada a uma identificação do usuário Processo de login explícito Mapeia o usuário ao serviço desejado Estabelece os parâmetros de controle Parte fundamental da experiência do usuário
Camada de acesso Segurança e controle de banda Controles individuais por conexão/sessão/usuário Segurança Filtro de pacotes ‘Stateful firewall’ Controle de banda Limite de banda upstream/downstream Nível 2: implementado sobre Ethernet ou ATM Nível 3: implementado na camada IP Outros tipos de controle são possíveis
Radius: autenticação e bilhetagem Essencial para os processos de controle Torna a plataforma mais flexível Proxy Radius Delega autenticação Seleção dinâmica do serviço Permite customização do serviço Radius accounting Mantém log completo de todas as operações
Camada de serviços Interfaces de alta velocidade ATM STM1 ou superior Fast Ethernet, evoluindo para Gigabit Ethernet Separação de contextos por serviço ou provedor Autenticação via Proxy Radius Roteamento virtual Encaminhamento do tráfego Roteamento OSPF & BGP4 por contexto Tunnel switching Perspectiva de evolução para MPLS
Plataforma de serviços CTBC DSLAM D50e Nokia Backbone Internet Radius ATM Redback SMS1800 VPN A Contexto A Backbone Internet CTBC Contexto Internet VPN B Contexto B Ethernet Proxy Radius CMTS 3COM Lucent TNT
Questões práticas Método de mapeamento dos acessos ao serviços Protocolos de tunelamento Alocação de endereços IP Interconexão de provedores Atributos Radius Manutenção de logs
Mapeamento dos acessos Cada conexão deve ser mapeada em um serviço Opção por mecanismo de tunelamento Processo em nível 3 não possui estados bem definidos Túnel fim a fim permite implementação mais clara Topologia ‘virtual’ aumenta flexibilidade Suportado em diversas plataformas - Windows, Linux Processo de login explícito Maior controle e segurança Facilita seleção de serviços Eficiência na alocação de endereços
Protocolos de tunelamento PPPoE Consistente com acesso discado Funciona com xDSL e cable modem L2TP Interoperável com diversas plataformas VPNs simples com nível aceitável de segurança IPSEC Apenas para VPNs mais avançadas
Sessão PPP de ponta a ponta PPPoE na rede xDSL Casa do usuário Ambiente CTBC Internet CPE/Bridge PC CPE DSLAM Agregador IP IP PPP Bridge RFC1483 Bridge RFC1483 PPP Ethernet Ethernet ATM ATM ATM Ethernet ADSL ADSL Sessão PPP de ponta a ponta
Alocação de endereços IP Depende da forma da interconexão com o ISP Problemas Alguns ISPs requerem endereçamento próprio Impacto na eficiência do roteamento Administração de DNS pode ser problemática Reserva de endereços Tunelamento nível 2 permite oversubscription Pode ser necessário no futuro A abordagem atual é conservadora, reservando um IP para cada usuário
Interconexão de provedores Acesso via backbone do ISP Ligação direta do agregador ao ISP IP e DNS do próprio ISP Exige link dedicado Custo mais elevado Acesso via backbone CTBC Usuário final acesso Internet usando backbone CTBC IP pertencente ao bloco CTBC DNS pode ser delegado (direto/reverso) Reduz custos com link Otimiza o uso do backbone
Interconexão de provedores Alternativa 1: tunelamento Criação de túneis do agregador até o ISP Um túnel por usuário com L2TP Túnel GRE ou IPSEC para todo tráfego IP e DNS do próprio ISP Alternativa 2: peering Troca de tráfego entre o ISP e a CTBC Otimiza desempenho Reduz custos Pode envolver colocation de roteadores na CTBC
Notas sobre autenticação Manutenção dos arquivos de log Questões legais Questões comerciais Tratamento dos atributos Radius Quais atributos são controlados pelo ISP Quais atributos são controlados pela CTBC
Tratamento dos atributos Radius Delegar o controle para o ISP Todos os atributos vem do Radius do ISP Serviço mais flexível Problemas de segurança e tarifação Assumir o controle Todos os atributos vem do Radius da CTBC Aumenta a administração Processo mais seguro Minimiza problemas de tarifação Abordagem intermediária Depende de customização do Radius
Carlos Ribeiro CTBC Telecom Coordenação de Planejamento Perguntas? Carlos Ribeiro CTBC Telecom Coordenação de Planejamento