Pré-Requisitos: Conhecimento básico de redes, do protocolo TCP/IP e de roteamento.
Metodologia: Apresentação e configuração do roteamento de discagem por demanda no RRAS.
Técnica: Exemplos práticos, passo-a-passo.

Uma introdução ao roteamento de discagem por demanda.

O serviço de roteamento do RRAS no Windows Server 2003 (e também no Windows 2000 Server) inclui o suporte ao demand-dial routing (roteamento de discagem por demanda) também conhecido como roteamento dial-on-demand. Usando uma interface de discagem por demanda (como por exemplo uma conexão via modem e linha discada), o roteador pode iniciar uma conexão com um roteador remoto quando um pacote a ser roteado é recebido pelo roteador. A conexão se torna ativa apenas quando os dados são enviados para o site remoto. Quando houver um determinado período de inatividade no link, a conexão é desfeita e somente quando houver um novo pacote a ser roteado é que a conexão será criada novamente – sob demanda. Fazendo uma conexão de discagem por demanda, você pode usar linhas telefônicas dial-up existentes em vez de linhas dedicadas. Este uso gera economia, principalmente em situações de pouco tráfego. O roteamento de discagem por demanda pode reduzir significativamente os custos de conexão. A principal desvantagem deste método é que existe um retardo no roteamento dos pacotes, quando a conexão não está estabelecida e é preciso fazer uma discagem para fazer o roteamento. Durante o tempo de estabelecimento da discagem, os pacotes a serem roteados ficarão em espera. Por isso que este recurso somente é indicado para pequenas redes, com pouco tráfego de replicação, preferencialmente para empresas que precisam fazer o roteamento em horários específicos. Nestes casos se justifica o uso do roteamento sob demanda, por causa da redução de custo em comparação com o uso de um link dedicado.

Outra situação em que o uso do roteamento sob demanda é recomendado é para a criação de um link de reserva, para contingência, no caso de falha do link principal. Por exemplo, você pode criar uma conexão de roteamento sob-demanda e configura-la com um custo bem mais elevado do que o custo da conexão padrão. Nestas situações, a conexão de roteamento sob demanda somente será utilizada quando a conexão dedicada falhar. Neste caso a conexão de roteamento sob demanda funciona como um “backup”, a ser utilizado na contingência de falha da conexão principal.

O roteador do RRAS também inclui o suporte a filtros de discagem por demanda e a horários para discagem externa, ou seja, você pode configurar em qual horários será permitida a discagem para dar suporte ao roteamento de pacotes. Você pode definir horários de discagem externa para especificar os períodos em que um roteador tem permissão para fazer conexões de discagem por demanda. Você pode configurar quando o roteador pode aceitar conexões de entrada por meio de diretivas de acesso remoto.

Você pode usar filtros de discagem por demanda para especificar os tipos de tráfego permitidos para criar a conexão. Os filtros de discagem por demanda são separados dos filtros de pacotes IP (Internet Protocol, protocolo Internet), que você configura para especificar qual o tráfego permitido para uma interface, e a partir dela, depois que a conexão é feita. Você aprenderá a configurar estes filtros na parte prática deste tópico, mais adiante.

Uma conexão de roteamento sob demanda é feita entre um roteador “chamador”, que é o roteador que inicia a conexão e um roteador “respondedor”, que é quem atende a conexão. Os dois roteadores devem ter o RRAS instalado e configurado para aceitar conexões de roteamento sob demanda.

Quando um roteador configurado para iniciar chamadas de roteamento sob demanda, recebe um pacote, o RRAS determina (com base nas tabelas de roteamento), qual a melhor rota a ser utilizada para enviar o pacote. Se a rota selecionada é uma rota de uma interface de discagem sob demanda, e se a conexão não estiver estabelecida, será iniciada a discagem, para estabelecer uma conexão com o roteador de destino. Será iniciada uma conexão do tipo PPP. A conexão PPP pode utilizar uma linha telefônica comum ou uma conexão de alta velocidade, como ISDN ou ADSL. Pode inclusive ser uma conexão do tipo VPN, baseada em PPTP ou L2TP, conforme descrito no Capítulo 19.

Existem mais alguns fatores que devem ser considerados, em relação ao uso do roteamento sob demanda:

• Endereçamento do ponto de extremidade da conexão: A conexão deve ser feita por meio de redes de dados públicos, como o sistema de telefonia analógico. O ponto de extremidade da conexão deve ser identificado por um número de telefone ou outro identificador de ponto de extremidade. Ou se for uma conexão do tipo VPN, a identificação da outra “extremidade” da conexão pode ser o número IP do roteador e assim por diante.
• Autenticação e autorização do chamador: Qualquer um que chama o roteador deve ser autenticado e autorizado. A autenticação é baseada no conjunto de credenciais do chamador que são passadas durante o processo de estabelecimento da conexão. As credenciais que são passadas devem corresponder a uma conta do Windows Server 2003. A autorização é concedida com base na permissão de discagem desta conta do Windows Server 2003, nas diretivas de acesso remoto. Por exemplo, a conta que está sendo utilizada deve ter recebido permissão para fazer discagem remota. Esta permissão é configurada nas propriedades da conta, no Active Directory.
• Diferenciação entre clientes de acesso remoto e roteadores: Os serviços de roteamento e de acesso remoto coexistem no mesmo computador que executa o RRAS no Windows Server 2003. Os clientes de acesso remoto e roteadores podem chamar o mesmo número de telefone. O computador que executa o RRAS e que responde à chamada deve ser capaz de distinguir um cliente de acesso remoto de um roteador que está chamando para criar uma conexão de discagem por demanda. Para diferenciar um cliente de acesso remoto de um roteador de discagem por demanda, o nome de usuário nas credenciais de autenticação enviadas pelo roteador que fez a chamada deve corresponder exatamente ao nome de uma interface de discagem por demanda no roteador que está respondendo. Caso contrário, a conexão de entrada será considerada uma conexão de acesso remoto.
• Configuração das extremidades da conexão: As duas extremidades da conexão devem ser configuradas mesmo que somente uma delas esteja iniciando uma conexão de discagem por demanda. A configuração de apenas um lado da conexão significa que os pacotes só serão roteados com êxito em uma direção. A comunicação normal requer que as informações transitem nas duas direções.
• Configuração de rotas estáticas: Você não deve usar protocolos de roteamento dinâmico em conexões de discagem por demanda. Dessa forma, as rotas para as identificações de rede que estão disponíveis através da interface de discagem por demanda devem ser adicionadas à tabela de roteamento como rotas estáticas. Você pode executar isso manualmente ou usando atualizações auto-estáticas. Não que não seja possível usar os protocolos RIP e OSPF em uma interface de discagem sob demanda, é possível. Porém como estes protocolos enviam e recebem informações constantemente, a cada envio de um pacote de atualização, a conexão teria que ser inicializada. Por exemplo, o protocolo RIP envia anúncios, por padrão, a cada 30 segundos. Não daria nem tempo de conectar e desconectar e um novo anúncio do RIP já estaria sendo enviado.

Outro cuidado especial que deve ser tomado é em relação a configurar a conexão de roteamento sob demanda, como sendo a rota padrão (0.0.0.0). Rota padrão significa: se não houver uma rota específica, manda para a rota padrão. Esta configuração fará com que a conexão sob demanda seja inicializada sempre que houver um pacote a ser enviado e não houver uma rota específica ou até mesmo um quando um endereço inválido for utilizado, o RRAS não terá uma rota específica e mandará para a rota padrão. Claro que em determinadas situações pode ser necessária a definição da rota padrão, associada com a conexão de discagem sob demanda. Nos até já fizemos esta configuração no capítulo 20, ao configurar e habilitar o NAT. Um dos passos era criar uma conexão de discagem sob demanda e configura-la como rota padrão. Mas no exemplo do NAT este é a configuração necessária, já que todo acesso à Internet deve passar pelo NAT e se não houver uma conexão estabelecida, uma nova conexão deve ser iniciada – exatamente o que faz o roteamento em uma interface de discagem sob demanda.

Diversos recursos podem ser utilizados para garantir a segurança na utilização de roteamento de conexões sob demanda. O primeiro deles é o uso de uma conta do domínio, para fazer a autenticação com o roteador de destino (servidor RRAS que irá atender a chamada). Com o uso de uma conta do Active Directory, o roteador que recebe a chamada, tem como verificar se o roteador que está solicitando a conexão é um roteador autorizado, pois está informando uma conta e senha válidas no domínio. Estou usando o termo roteador, mas entenda-se como sendo um servidor RRAS executando a função de roteamento, já que para estabelecer uma conexão de roteamento sob demanda, as duas pontas tem que ser servidores RRAS.  Além disso o administrador pode definir qual conta será utilizada para fazer a conexão sob demanda, habilitando esta conta a fazer a conexão com o servidor RRAS. Esta habilitação pode ser feita diretamente nas propriedades da conta, na guia Dial-in (Discagem) ou usando uma política de acesso remoto para dar permissão de discagem para o grupo ao qual pertence a conta. Também pode ser uma política de acesso remoto configurada em um servidor RADIUS, caso você esteja utilizando o IAS para autenticação de conexões no RRAS.

Nota: Para detalhes sobre o RRAS, RADIUS, IAS e políticas de acesso remoto, consulte o Capítulo 19, onde estes assuntos foram discutidos em detalhes.

Como a conexão de discagem sob demanda é feita com base no PPP, estão disponíveis os protocolos de autenticação aceitos pelo PPP: PAP, SPAP, CHAP, MS-CHAP v1, MS-CHPA v2 e EAP-MD5. Para mais detalhes sobre estes protocolos de autenticação, consulte o Capítulo 19. Os mecanismos de autenticação baseados em certificados, tais como EAP-TLS também são suportados em conexões de discagem sob demanda. Outra opção é o uso de uma conexão do tipo VPN, baseada em LT2P/IPSec. Neste caso não são usadas informações de autenticação de uma conta do usuário. Ao invés o próprio protocolo IPSec é responsável por fazer que os dois lados da conexão se autentiquem mutuamente. Os mecanismos de call back e de identificador de segurança (security ID), discutidos no Capítulo 19 também podem ser utilizados para conexões de roteamento sob demanda.

Mais um mecanismo importante de segurança, disponível para conexões de roteamento usando discagem sob demanda, é a possibilidade de bloqueio de conta (lockout account). O administrador pode definir um número máximo de tentativas de autenticação sem sucesso, dentro de um período de tempo, que podem ser feitas antes que a conta seja bloqueada. Uma vez bloqueada, dependendo das configurações do Active Directory, somente o administrador poderá desbloquear a conta. Para mais detalhes sobre políticas de bloqueio de contas no Active Directory, consulte o Capítulo 9.

Muito bem, de teoria sobre a utilização de discagem sob demanda para roteamento era isso. Nos próximos itens mostrarei as configurações práticas, relacionadas com a criação e configuração de interfaces de discagem sob demanda, para roteamento.

Habilitando e configurando o roteamento de discagem por demanda.

Neste item mostrarei como executar a habilitação, configuração e criação de interfaces para roteamento de discagem por demanda. A primeira ação é habilitar o servidor RRAS para fazer o roteamento tanto através de rede local como através de discagem por demanda.

EXEMPLO:
Para habilitar o servidor RRAS a utilizar o roteamento de discagem por demanda, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console de administração do RRAS: Start -> Administrative Tools -> Routing and Remote Access (Inicar -> Ferramentas Administrativas -> Roteamento e Acesso Remoto).
3.         Clique com o botão direito do mouse no nome do servidor RRAS e, no menu de opções que é exibido clique em Properties (Propriedades).
4.         Será aberta a janela de propriedades com a guia General (Geral), selecionada por padrão. Nesta guia marque a opção LAN and demand-dial routing (Roteamento de discagem por demanda e de rede local), conforme indicado na Figura 21.20:

Figura 21.20 Habilitando o roteamento de discagem por demanda.

5.         Clique em OK e pronto, o roteamento de discagem por demanda já está habilitado. Agora é hora de verificar se a interface que será utilizada para discagem está habilitada para o roteamento de discagem sob demanda. Depois disso é hora de criar uma nova interface de discagem por demanda, que será o assunto do próximo exemplo. Então vamos lá, uma passo de cada vez.

No próximo exemplo, mostrarei como verificar se a porta (interface a ser utilizada), que no nosso exemplo será o modem, está habilitada para o roteamento sob demanda.

EXEMPLO:
Para habilitar a interface a ser utilizada para o roteamento de discagem sob demanda, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console de administração do RRAS: Start -> Administrative Tools -> Routing and Remote Access (Inicar -> Ferramentas Administrativas -> Roteamento e Acesso Remoto).
3.         Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4.         Clique com o botão direito do mouse na opção Ports (Portas) e, no menu de opções que é exibido clique em Properties (Propriedades).
5.         Na janela de propriedades é exibida a lista de dispositivos instalados. Clique na opção que representa o modem, conforme indicado na Figura 21.21:

Figura 21.21 Selecionando o modem.

6.         Clique no botão Configure... (Configurar...). Será aberta a janela de configuração do dispositivo selecionado. Certifique-se de ter marcado a opção Demand-dial routing connections (inbound and outbound), conforme indicado na Figura 21.22:

Figura 21.22 Habilitando o roteamento de discagem sob demanda.

7.         Clique em OK.
8.         Você estará de volta á janela de propriedades das portas. Clique em OK para fecha-la.

Pronto, o roteamento de discagem sob demanda foi habilitado no dispositivo a ser utilizado. O próximo passo é criar uma nova interface de roteamento de discagem sob demanda, conforme exemplo a seguir.

EXEMPLO:
Para criar uma interface de roteamento discagem sob demanda., siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console de administração do RRAS: Start -> Administrative Tools -> Routing and Remote Access (Inicar -> Ferramentas Administrativas -> Roteamento e Acesso Remoto).
3.         Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4.         Clique com o botão direito do mouse na opção Network Interfaces e, no menu de opções que é exibido, clique em New Demand-dial Interface... (Nova interface de discagem sob demanda...).
5.         Será aberto o assistente para criação de interfaces de discagem sob demanda. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
4.         Nesta etapa você deve informar um nome para a interface. Digite um nome e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
5.         Nesta etapa você deve informar o tipo de conexão que será utilizado. No exemplo da Figura 21.23, selecionei uma conexão usando modem:

Figura 21.23 Selecionando o tipo de conexão.

6.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Nesta etapa serão exibidos os dispositivos disponíveis para o tipo de conexão selecionado. Selecione o dispositivo (no nosso exemplo um modem) a ser utilizado e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8.         Nesta etapa você deve informar o número do telefone. Este é o número que você utiliza para fazer a conexão com servidor RRAS configurado como roteador, no outro lado da conexão. Informe o número do telefone e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa você pode selecionar várias opções. Certifique-se de que a opção Route IP packets on this interface (Rotear pacotes IP nesta interface) esteja selecionada, conforme indicado na Figura 21.24. Marque também a opção Add a user account so a remote router can dial in (Adicionar uma conta de usuário para que um roteador remoto possa fazer a discagem). Ao marcar esta opção você permite que um outro servidor RRAS, configurado como roteador e usando uma interface de discagem sob demanda, possa se conectar com a interface que está sendo criada. Ao marcar esta opção, em uma das próximas etapas, serão exibidos campos para que você informe a conta, senha e domínio. Os roteadores remotos terão que informar estas credenciais, para poder fazer uma conexão com a interface que está sendo configurada.

Figura 21.24 Selecionando opções da nova conexão.

10.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       Nesta etapa você pode informar rotas estáticas que serão acrescentadas nesta interface que está sendo criada. Vamos adicionar uma nova rota estática, a título de exemplo. Clique em Add (Adicionar). Será aberta a janela Static Route (Rota estática), para que você informe a rota estática a ser adicionada a esta interface, conforme exemplo da Figura 21.25:

Figura 21.25 Adicionando uma rota estática.

12.       Clique em OK para adicionar a nova rota. Para adicionar mais rotas estáticas utilize novamente o botão Add (Adicionar).
13.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
14.       Nesta interface você informa a senha (duas vezes), para uma conta que será criada no Active Directory. Esta é a conta que os roteadores remotos devem utilizar para fazer uma conexão remota com esta interface. Por padrão o nome da conta já é preenchido com o nome da conexão remota que está sendo criada. Informe a senha a ser utilizada, conforme exemplo da Figura 21.26:

Figura 21.26 Criando a conta para acesso remoto de outros roteadores.

Nota: Se a opção Add a user account so a remote router can dial in (Adicionar uma conta de usuário para que um roteador remoto possa fazer a discagem) não tivesse sido marcada, no passo 9, esta etapa do assistente não seria exibida.

15.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
16.       Nesta etapa você informa os dados para autenticação quando a interface fizer a conexão. Deve ser informada a conta configurada com permissão de fazer conexão remoto no servidor RRAS para o qual esta interface irá fazer a discagem. Informe os dados de logon e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
17.       Será exibida a tela final do assistente. Você pode utilizar o botão Back (Voltar), para fazer alterações em alguma das etapas do assistente. Clique em Finish (Concluir). O assistente será encerrado e a nova interface de discagem sob demanda terá sido criada, conforme indicado na Figura 21.27:

Figura 21.27 Interface para roteamento de discagem sob demanda, recém criada.

18.       Mantenha o console do RRAS aberto, pois irá utiliza-los nos próximos passos.

Agora você aprenderá a definir os horários em que a interface criada no exemplo anterior, poderá ser utilizada para roteamento de discagem sob demanda. Se um pacote chegar nesta interface, fora dos horários permitidos, a conexão não será iniciada e o pacote será descartado.

EXEMPLO:
Para definir os horários em que é permitida a discagem para o roteamento, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console de administração do RRAS: Start -> Administrative Tools -> Routing and Remote Access (Inicar -> Ferramentas Administrativas -> Roteamento e Acesso Remoto).
3.         Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4.         Clique na opção Network Interfaces para seleciona-la. No painel da direita será exibida a lista de interfaces disponíveis. Clique com o botão direito do mouse na interface de roteamento de discagem sob demanda a ser configurada e, no menu de opções que é exibido, clique em Dial-out Hours (Horas de discagem). Será exibida a janela Dial-out hours, na qual você pode definir quais horários a discagem é permitida, em cada dia da semana, conforme indicado na Figura 21.28:

Figura 21.28 Definindo as horas permitidas para a discagem.

Nota: Você aprendeu a habilitar e a desabilitar horários nesta janela em exemplos do Capítulo 9 e do Capítulo 19.

5.         Defina os horários desejados e clique em OK para aplica-los.

Outra opção que está disponível é a definição de filtros. Você pode definir que pacotes vindos de uma determinada rede, somente serão roteados para um determinado destino se utilizarem um determinado protocolo. No exemplo a seguir, mostro como criar estes filtros.

EXEMPLO:
Para definir filtros, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console de administração do RRAS: Start -> Administrative Tools -> Routing and Remote Access (Inicar -> Ferramentas Administrativas -> Roteamento e Acesso Remoto).
3.         Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4.         Clique na opção Network Interfaces para seleciona-la. No painel da direita será exibida a lista de interfaces disponíveis. Clique com o botão direito do mouse na interface de roteamento de discagem sob demanda a ser configurada e, no menu de opções que é exibido, clique em Set IP Demand-dial filters (Definir filtros de discagem por demanda IP). Será exibida a janela Set Demand-dial Filters (Configurar filtros de discagem por demanda).
5.         Para criar um novo filtro clique em New... (Novo...). Na janela que é exibida, defina as características do filtro a ser aplicado,conforme exemplo da Figura 21.29:

Figura 21.29 Definindo filtros.

6.         Clique em OK.
7.         Você estará de volta a janela de Set Demand-dial Filters, com o filtro recém criado já sendo exibido. Nesta janela você pode selecionar uma, entre duas opções:

• Only for the following trafic (Somente para o seguinte tráfego): Ao marcar esta opção, somente será iniciada uma discagem para o roteamento, quando o pacote a ser roteado, coincidir com um dos filtros definidos.
• For all trafic except (Para todos os tráfegos exceto): Ao marcar esta opção, será iniciada uma discagem para o roteamento para qualquer tipo de pacote, exceto para pacotes que atendam os critérios definidos em um dos filtros.

8.         Defina os filtros desejados e clique em OK para aplica-los.

Algumas observações finais sobre os tipos de conexões.

Existem basicamente dois tipos de conexões possíveis: on-demand (sob demanda) e permanentes (permanent).

Nas conexões sob demanda, a conexão somente é iniciada quando houver um pacote a ser roteado. Após o roteamento, se não houver mais tráfego, dentro do período definido como time-out (nas propriedades da conexão), a conexão será automaticamente encerrada pelo RRAS. Uma conexão sob demanda pode ser de dois tipos diferentes:

• One-way: Existe apenas um roteador que pode iniciar a chamada. Na interface de roteamento sob demanda, criada neste roteador, deve ser informada a conta com permissão para fazer a conexão no roteador que está sendo chamado e as rotas estáticas associadas a esta conexão.
• Two-way: Neste caso, os roteadores nas duas pontas estão configurados um para discar para o outro. Ou seja, a conexão pode ser iniciada por qualquer um dos roteadores. É como se fossem duas conexões one-way, só que em sentidos contrários.

As conexões permanentes tem a vantagem de não ter o retardo que existe nas conexões sob demanda, retardo devido ao tempo necessário para iniciar a conexão, caso ele não esteja ativa. Em caso de quebra da conexão, o roteador que iniciou a conexão pode ser configurado para reinicia-la, automaticamente. Este tipo de conexão requer um link X.25 ou ISDN.