[GTER] Speedy business - novela de roteamento

[Carlos Ribeiro]

Danton,

Na qualidade de responsável pelo projeto da rede ADSL da CTBC Telecom, posso 
falar um pouco da tecnologia ADSL e das opções técnicas para resolver o 
problema que você descreveu. No entanto, vou me abster de falar diretamente 
da rede da Telefonica, que não conheço em detalhes. A apresentação que se 
segue é genérica, e pode ou não refletir a prática de outras empresas de 
telecomunicações, em qualquer lugar do mundo.

A tecnologia de serviços ADSL passou por algumas gerações principais:

1) inicialmente, os modens eram ponto-a-ponto; para cada modem no cliente, um 
modem na central. A CTBC chegou a implantar centenas de acessos com esse tipo 
de tecnologia (em 1997!). Obviamente, os custos de escala ficavam terríveis.

2) depois, surgiram os primeiros concentradores ADSL (DSLAMs). Porém, os 
pioneiros no ramo, como a Alcatel, cometeram alguns enganos básicos, mas 
compreensíveis em um sistema que está amadurecendo. Por exemplo, a maioria 
das redes de segunda geração opera como um segmento 'flat' de nível 2, e usa 
DHCP para designar o endereçamento IP; este sistema deixa verdadeiros 
'rombos' de segurança na rede. Por exemplo, era possível roubar o endereço IP 
do vizinho, inundar os vizinhos com broadcasts, coisas desse tipo. A única 
solução encontrada por diversos provedores foi bloquear o roteamento local.

O seu problema é um dos casos típicos de redes de segunda geração. Note que 
corrigir o problema não é trivial; envolve mudanças não só nos equipamentos, 
mas em todos os procedimentos operacionais, e até mesmo no modelo de negócios 
adotado.

3) finalmente, surgiram evoluções nos sistemas, com o desenvolvimento de 
agregadores mais sofisticados. Quando a CTBC implantou o seu sistema, fomos a 
primeira empresa no Brasil a utilizar este tipo de tecnologia. Optamos pelo 
uso de túneis PPPoE, que oferecem algumas vantagens importantes:

- uso eficiente do espaço de endereçamento IP;
- flexibilidade na designação de endereços IP;
- fácil de adaptar para as ferramentas de controle típicas dos ISPs;
- facilita a venda de serviços através do ISP (usando 'proxy Radius').

A grande desvantagem do PPPoE é o fato de ele não ser 'always on'; porém, 
isso não é nem de perto tão importante quanto parece para a grande maioria 
das pessoas. Se o usuário precisa de conexão dedicada, então é possível usar 
PPPoA, que preserva boa parte das vantagens do PPPoE, com pouquíssima 
diferença prática (exceto pelo fato de que o túnel ATM sempre é fechado no 
roteador; no PPPoE, o túnel é fechado no PC do assinante).

4) Há quem diga que agora o mercado está pronto para uma quarta geração de 
DSLAMs, com duas tendências fortes:

- DSLAMs com terminação IP integrada;
- DSLAMs com portas de uplink Fast Ethernet ou Gigabit Ethernet (os 
equipamentos atuais são ATM)

------------
Agora, voltando ao problema das redes ADSL de segunda geração, é importante 
deixar bem claro que haviam alguns motivos para se fazer opções como as que 
foram feitas.

a) os DSLAMs de segunda geração eram equipamentos de configuração limitada. A 
configuração típica era assim: um VC por assinante, ligando o modem do 
cliente até o roteador de concentração.

b) o transporte de dados dentro do VC era feito em nível 2, usando 
encapsulamento Ethernet sobre ATM (RFC1483). 

c) a solução original pedia um link ponto a ponto entre cada cliente e uma 
interface dedicada no roteador de concentração. Para ficar mais claro: 
imagine que roteador de grande porte na rede da operadora, com um link /30 
para cada cliente. Fica impossível de escalar, e desperdiça 75% dos endereços 
IP.

d) Para otimizar o roteamento IP, foi adotada uma solução intermediária. O 
roteador de concentração enxerga todos os modens de um segmento como uma rede 
de nível 2 'flat'. Por causa disso, ele NÃO PARTICIPA do roteamento entre os 
usuários; isso é feito por uma 'bridge' que fica logicamente abaixo do 
roteador.

e) assim, quando você quer falar com alguém fora da sua rede, os seus dados 
passam pelo roteador. Se você quiser falar com seu vizinho, então a 
conectividade é feita pela camada 2 (através da bridge).

f) acontece que essas bridges são notoriamente propensas a apresentar 
verdadeiros rombos de segurança... como os já citados (permitindo ataque  
direto através de pacotes de nível 2)

g) assim, para tornar a rede mais segura, a maioria dos provedores que tem 
este tipo de solução teve que tomar uma atitude drástica - bloquear o 
encaminhamento de pacotes de nível 2 entre os usuários de um mesmo segmento.

h) dependendo do equipamento da operadora, há algumas alternativas mais 
avançadas para aliviar o problema; por exemplo, proxy-arp, etc. Porém, há que 
se lembrar que nenhuma modificação que você faça vai resolver os problemas de 
segurança decorrentes da conectividade direta em L2 (depois que você pegar o 
endereço MAC, dá para fazer coisas do arco da velha...). Assim, não adianta 
colocar ACL no router...

Apenas para complementar, há outras limitações no desenho; como todos os 
vizinhos de um segmento estão na mesma rede de nível 2, então todo mundo tem 
que ficar dentro de uma mesma faixa de endereçamento IP. Isso torna mais 
difícil a implementação de outros modelos de acesso, como VPNs dinâmicas; 
também torna imensamente complicada a tarefa de alocar faixas de IPs 
separados para cada ISP, de forma a manter os endereços reversos corretamente 
configurados. 


Felizmente, nós aqui na CTBC já implementamos um modelo de acesso ADSL bem 
mais flexível; apesar de ainda estar longe de ser perfeito, é sem dúvida 
muito mais adequado do que o modelo apresentado acima.


Carlos Ribeiro
CTBC Telcom