[GTER] Speedy business - novela de roteamento
Carlos Ribeiro
cribeiro at mail.inet.com.br
Thu May 16 21:08:00 -03 2002
Danton,
Na qualidade de responsável pelo projeto da rede ADSL da CTBC Telecom, posso
falar um pouco da tecnologia ADSL e das opções técnicas para resolver o
problema que você descreveu. No entanto, vou me abster de falar diretamente
da rede da Telefonica, que não conheço em detalhes. A apresentação que se
segue é genérica, e pode ou não refletir a prática de outras empresas de
telecomunicações, em qualquer lugar do mundo.
A tecnologia de serviços ADSL passou por algumas gerações principais:
1) inicialmente, os modens eram ponto-a-ponto; para cada modem no cliente, um
modem na central. A CTBC chegou a implantar centenas de acessos com esse tipo
de tecnologia (em 1997!). Obviamente, os custos de escala ficavam terríveis.
2) depois, surgiram os primeiros concentradores ADSL (DSLAMs). Porém, os
pioneiros no ramo, como a Alcatel, cometeram alguns enganos básicos, mas
compreensíveis em um sistema que está amadurecendo. Por exemplo, a maioria
das redes de segunda geração opera como um segmento 'flat' de nível 2, e usa
DHCP para designar o endereçamento IP; este sistema deixa verdadeiros
'rombos' de segurança na rede. Por exemplo, era possível roubar o endereço IP
do vizinho, inundar os vizinhos com broadcasts, coisas desse tipo. A única
solução encontrada por diversos provedores foi bloquear o roteamento local.
O seu problema é um dos casos típicos de redes de segunda geração. Note que
corrigir o problema não é trivial; envolve mudanças não só nos equipamentos,
mas em todos os procedimentos operacionais, e até mesmo no modelo de negócios
adotado.
3) finalmente, surgiram evoluções nos sistemas, com o desenvolvimento de
agregadores mais sofisticados. Quando a CTBC implantou o seu sistema, fomos a
primeira empresa no Brasil a utilizar este tipo de tecnologia. Optamos pelo
uso de túneis PPPoE, que oferecem algumas vantagens importantes:
- uso eficiente do espaço de endereçamento IP;
- flexibilidade na designação de endereços IP;
- fácil de adaptar para as ferramentas de controle típicas dos ISPs;
- facilita a venda de serviços através do ISP (usando 'proxy Radius').
A grande desvantagem do PPPoE é o fato de ele não ser 'always on'; porém,
isso não é nem de perto tão importante quanto parece para a grande maioria
das pessoas. Se o usuário precisa de conexão dedicada, então é possível usar
PPPoA, que preserva boa parte das vantagens do PPPoE, com pouquíssima
diferença prática (exceto pelo fato de que o túnel ATM sempre é fechado no
roteador; no PPPoE, o túnel é fechado no PC do assinante).
4) Há quem diga que agora o mercado está pronto para uma quarta geração de
DSLAMs, com duas tendências fortes:
- DSLAMs com terminação IP integrada;
- DSLAMs com portas de uplink Fast Ethernet ou Gigabit Ethernet (os
equipamentos atuais são ATM)
------------
Agora, voltando ao problema das redes ADSL de segunda geração, é importante
deixar bem claro que haviam alguns motivos para se fazer opções como as que
foram feitas.
a) os DSLAMs de segunda geração eram equipamentos de configuração limitada. A
configuração típica era assim: um VC por assinante, ligando o modem do
cliente até o roteador de concentração.
b) o transporte de dados dentro do VC era feito em nível 2, usando
encapsulamento Ethernet sobre ATM (RFC1483).
c) a solução original pedia um link ponto a ponto entre cada cliente e uma
interface dedicada no roteador de concentração. Para ficar mais claro:
imagine que roteador de grande porte na rede da operadora, com um link /30
para cada cliente. Fica impossível de escalar, e desperdiça 75% dos endereços
IP.
d) Para otimizar o roteamento IP, foi adotada uma solução intermediária. O
roteador de concentração enxerga todos os modens de um segmento como uma rede
de nível 2 'flat'. Por causa disso, ele NÃO PARTICIPA do roteamento entre os
usuários; isso é feito por uma 'bridge' que fica logicamente abaixo do
roteador.
e) assim, quando você quer falar com alguém fora da sua rede, os seus dados
passam pelo roteador. Se você quiser falar com seu vizinho, então a
conectividade é feita pela camada 2 (através da bridge).
f) acontece que essas bridges são notoriamente propensas a apresentar
verdadeiros rombos de segurança... como os já citados (permitindo ataque
direto através de pacotes de nível 2)
g) assim, para tornar a rede mais segura, a maioria dos provedores que tem
este tipo de solução teve que tomar uma atitude drástica - bloquear o
encaminhamento de pacotes de nível 2 entre os usuários de um mesmo segmento.
h) dependendo do equipamento da operadora, há algumas alternativas mais
avançadas para aliviar o problema; por exemplo, proxy-arp, etc. Porém, há que
se lembrar que nenhuma modificação que você faça vai resolver os problemas de
segurança decorrentes da conectividade direta em L2 (depois que você pegar o
endereço MAC, dá para fazer coisas do arco da velha...). Assim, não adianta
colocar ACL no router...
Apenas para complementar, há outras limitações no desenho; como todos os
vizinhos de um segmento estão na mesma rede de nível 2, então todo mundo tem
que ficar dentro de uma mesma faixa de endereçamento IP. Isso torna mais
difícil a implementação de outros modelos de acesso, como VPNs dinâmicas;
também torna imensamente complicada a tarefa de alocar faixas de IPs
separados para cada ISP, de forma a manter os endereços reversos corretamente
configurados.
Felizmente, nós aqui na CTBC já implementamos um modelo de acesso ADSL bem
mais flexível; apesar de ainda estar longe de ser perfeito, é sem dúvida
muito mais adequado do que o modelo apresentado acima.
Carlos Ribeiro
CTBC Telcom
More information about the gter
mailing list