PJI3-lab11
Revisão de 20h34min de 13 de novembro de 2018 por Msobral (discussão | contribs) (→Parte 2: os enlaces PPPoE em equipamentos reais)
Objetivos
- Implantar uma rede de acesso baseada em links ethernet
- Experimentar técnicas de isolamento dos clientes na rede de acesso
Roteiro
Neste experimento uma rede de acesso ethernet será disponibilizada para clientes do provedor. Essa rede deve isolar os clientes, de forma que eles consigam se comunicar somente com o roteador do provedor que dá acesso a Internet. Para isso serão usadas as técnicas de VLAN e PPPoE.
A rede de acesso ethernet a ser implantada
Parte 1: os enlaces PPPoE em uma rede virtual
- Usando do Netkit2, carregue este arquivo de configuração e inicie a rede nele descrita.
- Uma vez que a rede estiver em execução, investigue as interfaces de rede e rotas nos CPE e no AC. Observe em particular o tipo de interface de rede que os CPE usam para seus link para Internet.
- Teste a comunicação entre um CPE e a Internet.
- No AC inicie o wireshark para capturar pacotes na interface eth0. Em seguida, repita o teste de comunicação com a Internet a partir de algum CPE.
- Observe os quadro capturados pelo wireshark, e compare-os com a estrutura dos quadros PPPoE apresentados em aula.
- Veja como os datagramas IP são encapsulados nos quadros PPP.
- Observe os endereços MAC contidos nos quadros ethernet capturados, e compare-os com os endereços MAC das interfaces do AC e dos CPE.
- Encerre o wireshark no AC
- Agora force o término do enlace PPPoE em CPE1, o que pode ser feito assim: ... e, em seguida, verifique as interface de rede existentes em CPE1. Algo mudou ?
killall pppd
- Teste a comunicação com a Internet a partir de CPE1. Foi possível realizar a comunicação ?
- Inicie o wireshark no CPE1, capturando na interface eth0, e depois execute este comando:
pppd call adsl
- Verifique os pacotes capturados pelo wireshark. Identifique a sequência de estabelecimento de enlace PPPoE, comparando-a com o que foi mostrado em aula. Além da negociação feita com PPPoE, há uma segunda etapa realizada pelo protocolo PPP (que será estudado algumas aulas à frente).
- Conclusão: qual a utilidade de usar enlaces PPPoE ?
Parte 2: os enlaces PPPoE em equipamentos reais
- Implante a rede do cliente, composta por um computador e um CPE. Deve ser usado um roteador TP-Link AC1750 como CPE.
- Use um switch TP-Link SG-3210 (o mesmo usado nos experimentos sobre LAN na etapa 1) como equipamento de agregação para a rede de acesso.
- Implante o AC PPPoE em uma máquina virtual. Para isso siga estes passos:
- Antes de executar a máquina virtual, configure-a com duas interfaces de rede em modo bridge e vinculadas à interface física eth0.
- Instale este software servidor PPPoE:
sudo apt install pppoe
- No ac, a interface eth1 será usada para os enlaces PPPoE, e a interface eth0 dará acesso à rede externa (LAN do laboratório).
- Crie o arquivo /etc/ppp/pppoe-server-options com o seguinte conteúdo:
require-chap noauth login lcp-echo-interval 10 lcp-echo-failure 2 ms-dns 191.36.8.3 netmask 255.255.255.0 noipdefault debug kdebug 4
- Crie o arquivo /etc/ppp/chap-secrets com o seguinte conteúdo:
usuario1 * senha1
- Crie o arquivo /etc/ppp/faixa-ip com o seguinte conteúdo:
172.18.1.1-100
- Ative o servidor PPPoE:
pppoe-server -C pji3 -L 172.18.1.254 -p /etc/ppp/faixa-ip -I eth1
- Configure o CPE para estabelecer um link PPPoE em sua interface WAN.
- Ative Nat no AC pela interface eth0:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- Habilite o encaminhamento IP no AC: Obs: você pode editar /etc/sysctl.conf para que isso fique permanente !
sudo sysctl -w net.ipv4.ip_forward=1
- Teste a comunicação do computador com a Internet.
- Teste a comunicação do computador com os outros CPE;
- Estenda a rede para que um CPE sem-fio tenha seu enlace WAN estabelecido com PPPoE.
Tornando o PC um cliente PPPoE
- No pc deve-se criar o arquivo /etc/ppp/peers/pji3 com este conteúdo:
pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452 -C pji3" noipdefault usepeerdns defaultroute hide-password lcp-echo-interval 20 lcp-echo-failure 3 connect /bin/true noauth persist mtu 1492 noaccomp user usuario1 default-asyncmap
- Crie no pc o arquivo /etc/ppp/chap-secrets com este conteúdo:
usuario1 * senha1
- Em pc ative o enlace PPPoE, executando:
pppd call pji3
Parte 3: o isolamento dos clientes
Mesmo com os enlaces PPPoE, é possível que um cliente envie pacotes para outro, pois o switch de agregação faz com que os clientes estejam em uma mesma LAN. Isso deve ser impedido, pois cada cliente deve poder se comunicar somente com o AC.
- Investigue no manual do switch se há alguma forma de isolar o tráfego das portas, de forma que apenas uma das portas (aquela onde se conecta o AC) consiga se comunicar com as demais. Dica: veja na seção sobre VLANs.
- Implante o isolamento dos clientes, e teste-o tentando fazer a comunicação direta entre CPEs (ou computadores no lugar dos CPE).
Gambiarra no Linux para agregar as VLANs |
---|
|