Upload
arturo-cisneros-hernandez
View
351
Download
2
Embed Size (px)
Citation preview
Unidad 1 Redes de área amplia WAN
1.1 Interconexion de Redes
La Interconectividad (Internetworking) puede ser definida como:
“Comunicación entre dos o más redes”…IBM
“Proceso de comunicación el cual ocurre entre dos o más redes
que están conectadas entre sí de alguna manera”.
¿Porqué es importante la interconectividad de redes?
Compartir recursos
Acceso Instantáneo a bases de datos compartidas
Insensibilidad a la distancia física y a la limitación en
el número de nodos
Administración centralizada de la red
Da una ventaja estratégica en el mercado competitivo
global
¿Qué retos existen? El reto de la interconectividad
Reducción de presupuestos (tiempo, dinero)
Escasez de ingenieros especializados en redes
Capacidad de planeación, administración y soporte
Retos técnicos y retos de admisnitración de redes
¿Que retos técnicos existen?
Equipos de diferentes fabricantes
Arquitecturas, plataformas, sistemas operativos,
protocolos, medios de comunicación diferentes
Limitaciones en distancia y en tamaño de los
paquetes
Limitaciones en ancho de banda y potencia
¿Que retos de administración de redes existen?
configuración
Seguridad
Confiabilidad
Desempeño
Localización, aislamiento, corrección y prevención de
fallas
Planeación hacia el futuro
“El verdadero reto de la interconectividad es la conectividad del
transporte de información entre LAN dispersas
geográficamente”
¿Comó se interconectan las redes? Las redes se conectan
mediante equipos de telecomunicaciones conocidos como
equipos de interconexión. Equipos de Interconexión Dos o más
redes separadas están conectadas para intercambiar datos o
recursos forman una interred (internetwork). Enlazar LANs en
una interred requiere de equipos que realicen ese propósito.
Estos dispositivos están diseñados para sobrellevar los
obstáculos para la interconexión sin interrumpir el
funcionamiento de las redes. A estos dispositivos que realizan
esa tarea se les llama equipos de Interconexión.
Existen equipos de Interconexión a nivel de:
» LAN: Hub, switch, repetidor, gateway, puente, access
points.
» MAN: Repetidor, switch capa 3, enrutador,
multicanalizador, wireless bridges. puente, modem analógico,
modem ADSL, modem CABLE, DSU/CSU.
» WAN: Enrutador , multicanalizador, modem analógico,
DSU/CSU, modem satelital.
1.1.1 Modem multiplexor switch hub
El modem
Es otro de los periféricos que con el tiempo se ha convertido ya
en imprescindible y pocos son los modelos de ordenador que no
estén conectados en red que no lo incorporen. Su gran
utilización viene dada básicamente por dos motivos: Internet y
el fax, aunque también le podemos dar otros usos como son su
utilización como contestador automático incluso con funciones
de centralita o para conectarnos con la red local de nuestra
oficina o con la central de nuestra empresa.
Aún en el caso de estar conectado a una red, ésta tampoco se
libra de éstos dispositivos, ya que en este caso será la propia
red la que utilizará el modem para poder conectarse a otras
redes o a Internet estando en este caso conectado a nuestro
servidor o a un router.
Lo primero que hay que dejar claro es que los modem se utilizan
con líneas analógicas, ya que su propio nombre indica su
principal función, que es la de modular-demodular la señal
digital proveniente de nuestro ordenador y convertirla a una
forma de onda que sea asimilable por dicho tipo de líneas.
Es cierto que se suelen oír expresiones como modem ADSL o
incluso modem RDSI, aunque esto no es cierto en estos casos,
ya que estas líneas de tipo digital no necesitan de ningún tipo
de conversión de digital a analógico, y su función en este caso
es más parecida a la de una tarjeta de red que a la de un
modem.
Multiplexor
En el campo de las telecomunicaciones el multiplexor se utiliza
como dispositivo que puede recibir varias entradas y
transmitirlas por un medio de transmisión compartido. Para ello
lo que hace es dividir el medio de transmisión en múltiples
canales, para que varios nodos puedan comunicarse al mismo
tiempo. Una señal que está multiplexada debe demultiplexarse
en el otro extremo.
Según la forma en que se realice esta división del medio de
transmisión, existen varias clases de multiplexación:
Multiplexación por división de frecuencia
Multiplexación por división de tiempo
Multiplexación por división de código
Multiplexación por división de longitud de onda
Switch
Para el término en programación, véase estructuras de control.
Un switch (en castellano “conmutador”) es un dispositivo
electrónico de interconexión de redes de computadoras que
opera en la capa 2 (nivel de enlace de datos) del modelo OSI
(Open Systems Interconection. Un switch interconecta dos o
más segmentos de red, funcionando de manera similar a los
puentes (bridges), pasando datos de un segmento a otro, de
acuerdo con la dirección MAC de destino de los datagramas en la
red.
Un switch en el centro de una red en estrella.
Los switches se utilizan cuando se desea conectar múltiples
redes, fusionándolas en una sola. Al igual que los bridges, dado
que funcionan como un filtro en la red, mejoran el rendimiento y
la seguridad de las LANs (Local Area Network- Red de Área
Local).
Hub
Hub tiene varios significados, según el contexto en el cual es
empleado.
Tiene los siguientes significados técnicos:
1.- En inglés hub es el centro de una rueda, en el que coinciden
los radios y donde se encuentra el eje. El término se utiliza
internacionalmente para identificar sistemas que mantienen una
fuerte dependencia de un punto central.
2.- En informática un hub o concentrador es un equipo de redes
que permite conectar entre sí otros equipos y retransmite los
paquetes que recibe desde cualquiera de ellos a todos los
demás. Los hubs han dejado de ser utilizados, debido al gran
nivel de colisiones y tráfico de red que propician.
3.- En la aviación comercial se entiende por hub un aeropuerto
grande del que salen y al que llegan vuelos de larga distancia
que se realizan mediante aviones de gran capacidad. Estos
aeropuertos grandes tienen también enlaces con ciudades más
pequeñas, que son servidas con aviones de tamaño menor.
Mediante este sistema las compañías aéreas pueden llenar sus
aviones grandes en los trayectos de largo recorrido. En el caso
ideal, los horarios de los vuelos de corto alcance están
coordinados de tal manera con los vuelos de largo recorrido, que
los pasajeros tienen que esperar únicamente el tiempo preciso
para tomar el siguiente vuelo.
4.- También traducido como “centro de distribución”.
MODEM MULTIPLEXOR SWITCH HUB
Es el componente hardware central de una topología en estrella.
Además, los hubs se pueden utilizar para extender el tamaño de
una LAN. Aunque la utilización de un hub no implica convertir
una LAN en una WAN, la conexión o incorporación de hubs a una
LAN puede incrementar, de forma positiva, el número de
estaciones. Este método de expansión de una LAN es bastante
popular, pero supone muchas limitaciones de diseño.
Es importante tener cuidado cuando se conectan los hubs. Los
cables de paso se conectan de forma diferente que los cables
estándares de enlace. Compruebe con los fabricantes si se
necesita un cable de enlace estándar o un cable de paso.
1.1.2 Repetidor
Un repetidor es un dispositivo electrónico que recibe una señal
débil o de bajo nivel y la retransmite a una potencia o nivel más
alto, de tal modo que se puedan cubrir distancias más largas sin
degradación o con una degradación tolerable.
El término repetidor se creó con la telegrafía y se refería a un
dispositivo electromecánico utilizado para regenerar las señales
telegráficas. El uso del término ha continuado en telefonía y
transmisión de datos.
En telecomunicación el término repetidor tiene los siguientes
significados normalizados:
1.- Un dispositivo analógico que amplifica una señal de entrada,
independientemente de su naturaleza (analógica o digital).
2.- Un dispositivo digital que amplifica, conforma, retemporiza o
lleva a cabo una combinación de cualquiera de estas funciones
sobre una señal digital de entrada para su retransmisión.
En el modelo de referencia OSI el repetidor opera en el nivel
físico.
En el caso de señales digitales el repetidor se suele denominar
regenerador ya que, de hecho, la señal de salida es una señal
regenerada a partir de la de entrada.
Los repetidores se utilizan a menudo en los cables
transcontinentales y transoceánicos ya que la atenuación
(pérdida de señal) en tales distancias sería completamente
inaceptable sin ellos. Los repetidores se utilizan tanto en cables
de cobre portadores de señales eléctricas como en cables de
fibra óptica portadores de luz.
Los repetidores se utilizan también en los servicios de
radiocomunicación. Un subgrupo de estos son los repetidores
usados por los radioaficionados.
Asimismo, se utilizan repetidores en los enlaces de
telecomunicación punto a punto mediante radioenlaces que
funcionan en el rango de las microondas, como los utilizados
para distribuir las señales de televisión entre los centros de
producción y los distintos emisores o los utilizados en redes de
telecomunicación para la transmisión de telefonía.
En comunicaciones ópticas el término repetidor se utiliza para
describir un elemento del equipo que recibe una señal óptica, la
convierte en eléctrica, la regenera y la retransmite de nuevo
como señal óptica. Dado que estos dispositivos convierten la
señal óptica en eléctrica y nuevamente en óptica, estos
dispositivos se conocen a menudo como repetidores
electroópticos.
Como curiosidad histórica, cabe mencionar los repetidores
telefónicos consistentes en un receptor (auricular) acoplado
mecánicamente a un micrófono de carbón y que fueron
utilizados antes de la invención de los amplificadores
electrónicos dotados de tubos de vacío.
Caracteristicas del proceso de las señales
Cuando las señales viajan a través de un cable, se degradan y se
distorsionan en un proceso denominado «atenuación». Si un
cable es bastante largo, la atenuación provocará finalmente que
una señal sea prácticamente irreconocible. La instalación de un
repetidor permite a las señales viajar sobre distancias más
largas. Un repetidor funciona en el nivel físico del modelo de
referencia OSI para regenerar las señales de la red y reenviarla
a otros segmentos. El repetidor toma una señal débil de un
segmento, la regenera y la pasa al siguiente segmento. Para
pasar los datos de un segmento a otro a través del repetidor,
deben ser idénticos en cada segmento los paquetes y los
protocolos Control lógico de enlace (LLC; Logical Link Control).
Un repetidor no activará la comunicación, por ejemplo, entre
una LAN (Ethernet) 802.3 y una LAN (Token Ring) 802.5.
Los repetidores no traducen o filtran señales. Un repetidor
funciona cuando los segmentos que unen el repetidor utilizan el
mismo método de acceso. Un repetidor no puede conectar un
segmento que utiliza CSMA/CD con un segmento que utiliza el
método de acceso por paso de testigo. Es decir, un repetidor no
puede traducir un paquete Ethernet en un paquete Token Ring.
Los repetidores pueden desplazar paquetes de un tipo de medio
físico a otro. Pueden coger un paquete Ethernet que llega de un
segmento con cable coaxial fino y pasarlo a un segmento de
fibra óptica. Por tanto, el repetidor es capaz de aceptar las
conexiones físicas.
Los repetidores constituyen la forma más barata de extender
una red. Cuando se hace necesario extender la red más allá de
su distancia o limitaciones relativas a los nodos, la posibilidad
de utilizar un repetidor para enlazar segmentos es la mejor
configuración, siempre y cuando los segmentos no generen
mucho tráfico ni limiten los costes.
Ni aislamiento ni filtrado. Los repetidores envían cada bit de
datos de un segmento de cable a otro, incluso cuando los datos
forman paquetes mal configurados o paquetes no destinados a
utilizarse en la red. Esto significa que la presencia de un
problema en un segmento puede romper el resto de los
segmentos. Los repetidores no actúan como filtros para
restringir el flujo del tráfico problemático. Además, los
repetidores pasarán una «tormenta» de difusión de un
segmento al siguiente, y así a través de toda la red. Una
«tormenta» de difusión se produce cuando el número de
mensajes de difusión que aparece en la red es superior al límite
del ancho de banda de la red. El rendimiento de la red va a
disminuir cuando un dispositivo está respondiendo a un paquete
que está continuamente circulando por la red o a un paquete
que está continuamente intentando contactar con un sistema
que nunca responde. Implementación de un repetidor.
Los pasos a considerar cuando se decide implementar
repetidores en la red son:
Conectar dos segmentos de medio similar o no similar.
Regenerar la señal para incrementar la distancia transmitida.
Pasar todo el tráfico en ambas direcciones.
Conectar dos segmentos de la forma más efectiva en cuanto al
coste.
Los repetidores mejoran el rendimiento dividiendo la red en
segmentos y, por tanto, reduciendo el número de equipos por
segmento. Cuando se utilizan repetidores para extender la red,
no olvide la regla 5–4−3.
1.1.3 Puente
Un puente o bridge es un dispositivo de interconexión de redes
de ordenadores que opera en la capa 2 (nivel de enlace de
datos) del modelo OSI.
Funciona a través de una tabla de direcciones MAC detectadas
en cada segmento a que está conectado. Cuando detecta que un
nodo de uno de los segmentos está intentando transmitir datos
a un nodo del otro, el bridge copia la trama para la otra subred.
Por utilizar este mecanismo de aprendizaje automático, los
bridges no necesitan configuración manual.
La principal diferencia entre un bridge y un hub es que el
segundo pasa cualquier trama con cualquier destino para todos
los otros nodos conectados, en cambio el primero sólo pasa las
tramas pertenecientes a cada segmento. Esta característica
mejora el rendimiento de las redes al disminuir el tráfico inútil.
ATT MAURICIO ROSADO TEC. COMITANCILLO
PUENTE O BRIDGE
Al igual que un repetidor, un bridge puede unir segmentos o
grupos de trabajo LAN. Sin embargo, un bridge puede, además,
dividir una red para aislar el tráfico o los problemas. Por
ejemplo, si el volumen del tráfico de uno o dos equipos o de un
departamento está sobrecargando la red con los datos y
ralentizan todas las operaciones, el bridge podría aislar a estos
equipos o al departamento. Los bridges se pueden utilizar para:
Extender la longitud de un segmento.
Proporcionar un incremento en el número de equipos de la red.
Reducir los cuellos de botella del tráfico resultantes de un
número excesivo de equipos conectados.
Dividir una red sobrecargada en dos redes separadas,
reduciendo la cantidad de tráfico en cada segmento y haciendo
que la red sea más eficiente.
Enlazar medios físicos diferentes como par trenzado y Ethernet
coaxial.
Los bridges trabajan a nivel de enlace de datos del modelo de
referencia OSI y, por tanto, toda la información de los niveles
superiores no está disponible para ellos. Más que distinguir
entre un protocolo y otro, los bridges pasan todos los protocolos
que aparecen en la red. Todos los protocolos se pasan a través
de los bridges, de forma que aparecen en los equipos personales
para determinar los protocolos que pueden reconocer.
Los bridges trabajan en el nivel MAC y, por ello, algunas veces
se conocen como bridges de nivel MAC. Un bridge de nivel MAC:
Escucha todo el tráfico.
Comprueba la direcciones origen y destino de cada paquete.
Construye una tabla de encaminamiento, donde la información
está disponible.
Reenvían paquetes de la siguiente forma:
o Si el destino no aparece en la tabla de encaminamiento, el
bridge reenvía el paquete a todos los segmentos.
o Si el destino aparece en la tabla de encaminamiento, el bridge
reenvía el paquete al segmento correspondiente (a menos que
este segmento sea también el origen).
Funcionamiento:
Un bridge funciona considerando que cada nodo de la red tiene
su propia dirección. Un bridge reenvía paquetes en función de la
dirección del nodo destino.
Realmente, los bridges tienen algún grado de inteligencia
puesto que aprenden a dónde enviar los datos. Cuando el tráfico
pasa a través del bridge, la información sobre las direcciones de
los equipos se almacenan en la RAM del bridge. El bridge utiliza
esta RAM para generar una tabla de encaminamiento en función
de las direcciones de origen. Inicialmente, la tabla de
encaminamiento del bridge está vacía. Cuando los nodos
transmiten los paquetes, la dirección de origen se copia en la
tabla de encaminamiento. Con esta información de la dirección,
el bridge identifica qué equipos están en cada segmento de la
red.
Una red grande no está limitada a un solo bridge. Se pueden
utilizar múltiples bridge para combinar diferentes redes
pequeñas en una red más grande.
Ventajas de un Bridge:
Los bridges tienen todas las características de los repetidores,
pero también proporcionan más ventajas. Ofrecen mejor
rendimiento de red que los repetidores. Las redes unidas por
bridges se han dividido y, por tanto, un número menor de
equipos compiten en cada segmento por los recursos
disponibles. Visto de otra forma, si una gran red Ethernet se
dividió en dos segmentos conectados por un bridge, cada red
nueva transportaría un número menor de paquetes, tendríamos
menos colisiones y operaría de forma mucho más eficiente.
Aunque cada red estaría separada, el bridge pasaría el tráfico
apropiado entre ellas. Un bridge puede constituir una pieza de
equipamiento autónoma, independiente (un bridge externo) o se
puede instalar en un servidor. Si el sistema operativo de red
(NOS) lo admite, puede instalar una o más tarjetas de red (NIC)
generando un bridge interno. Su popularidad en grandes redes
de debe a que:
Son sencillos de instalar y transparentes a los usuarios.
Son flexibles y adaptables.
Son relativamente baratos.
1.1.4 Router
La primera función de un router, la más básica, es, como ya
hemos indicado, saber si el destinatario de un paquete de
información está en nuestra propia red o en una remota. Para
determinarlo, el router utiliza un mecanismo llamado “máscara
de subred”. La máscara de subred es parecida a una dirección IP
(la identificación única de un ordenador en una red de
ordenadores, algo así como su nombre y apellido) y determina a
que grupo de ordenadores pertenece uno en concreto. Si la
máscara de subred de un paquete de información enviado no se
corresponde a la red de ordenadores de por ejemplo, nuestra
oficina, el router determinará, lógicamente que el destino de
ese paquete está en alguna otra red.
A diferencia de un Hub o un switch del tipo layer 2, un router
inspecciona cada paquete de infromación para tomar decisiones
a la hora de encaminarlo a un lugar a otro. Un switch del tipo
“layer 3″ si tiene también esta funcionalidad.
Cada PC conectado a una red (bien sea una local o a la red de
redes - Internet-) tiene lo que llamamos una tarjeta de red. La
tarjeta de red gestiona la entrada salida de información y tiene
una identificación propia llamada identificación MAC. A esta
identificación MAC la podriamos llamar identificación física,
sería como las coordenadas terrestres de nuestra casa. Es única,
real y exacta. A esta identificación física le podemos asociar una
identificación lógica, la llamada IP. Siguiendo con el ejemplo de
la casa, la identificación física (MAC) serian sus coordenadas
terrestres, y su identificación lógica sería su dirección (Calle
Pepe nº3). La identificación lógica podría cambiar con el tiempo
(po ejemplo si cambian de nombre a la calle) pero la
identificación física no cambia.
Pues bién, el router asocia las direcciones físicas (MAC) a
direcciones lógicas (IP). En comunicaciones informáticas, una
dirección física (Mac) puede tener varias direcciones lógicas
(IP). Podemos conocer las direcciones Mac e IP de nuestro PC
tecleando, desde una ventana de DOS, “winipcfg” (en Windows
98) o “ipconfig” (en Windows 2000 / XP). Una vez nos
identificamos en internet por nuestras direcciones lógicas, los
routers entre nosotros y otros puntos irán creando unas tablas
que, por decirlo de algún modo localizan donde estamos. Es
como si estamos en un cruce de carreteras, y vemos que los
coches de Francia siempre vienen del desvío del norte, pues lo
memorizamos, y cuando un coche nos pregunte como se va a
Francia le diremos que por el desvió del norte (espero que los
entendidos me perdonen esta simplificación). Los routers crean
unas tablas de como se suele ir a donde. Si hay un problema, el
router prueba otra ruta y mira si el paquete llega al destino, si
no es así, prueba otra, y si esta tiene éxito, la almacena como
posible ruta secundaria para cuando la primera (la más rápida
no funcione). Todo esta información de rutas se va actualizando
miles de veces por segundo durante las 24 horas del día.
1.1.5 Brouters
Como sugiere el nombre, un bruoter (bridge/router) es un
conector que ayuda a transferir la información entre redes y que
combina simultáneamente las funciones de bridge y router, y
que elige “la mejor solución de los dos”.
Los Brouters trabajan como router con los protocolos
encaminables y como bridge con los que no lo son. Tratan estas
funciones independientemente y proporcionan soporte de
hardware para ambos.
Un brouter puede chequear primero si la red soporta el
protocolo usado por el paquete que recibe y, si no lo hace, en
lugar de descartar el paquete, lo reenvía usando información de
direcciones físicas.
Los brouters pueden encaminar uno o varios protocolos, como
TCP/IP y XNS, y puentear todo el tráfico restante.
Los brouters pueden:
Encaminar protocolos encaminables seleccionados.
Actuar de bridge entre protocolos no encaminables.
Proporcionar un mejor coste y gestión de interconexión que el
que proporcionan los bridges y routers por separado.
Ventajas e inconvenientes de los bridge/routers
Brouters ofrecen todas las ventajas de los routers para
protocolos de router, y todas aquellas de los bridges para
protocolos de bridge.
Pensando que ellos son los sistemas más complejos de instalar,
proporcionan el más alto grado de flexibilidad, lo que los hace
ideales para rápidos cambios o expansiones de la red.
1.1.6 Gateways
Un gateway es un equipo que permite interconectar redes con
protocolos y arquitecturas completamente diferentes a todos los
niveles de comunicación. La traducción de las unidades de
información reduce mucho la velocidad de transmisión a través
de estos equipos.
Operan en los niveles más altos del modelo de referencia OSI y
realizan conversión de protocolos para la interconexión de redes
con protocolos de alto nivel diferentes.
Los gateways incluyen los 7 niveles del modelo de referencia
OSI, y aunque son más caros que unbridge o un router, se
pueden utilizar como dispositivos universales en una red
corporativacompuesta por un gran número de redes de
diferentes tipos.
Los gateways tienen mayores capacidades que los routers y
los bridges porque no sólo conectan redes de diferentes tipos,
sino que también aseguran que los datos de una red que
transportan son compatibles con los de la otra red. Conectan
redes de diferentes arquitecturas procesando sus protocolos y
permitiendo que los dispositivos de un tipo de red puedan
comunicarse con otros dispositivos de otro tipo de red.
1.1.7 Tunelizacion de Protocolos
Protocolo tunelizado
Un protocolo tunelizado es un protocolo de red que encapsula
un protocolo de sesión dentro de otro. El protocolo A es
encapsulado dentro del protocolo B, de forma que el primero
considera al segundo como si estuviera en el nivel de enlace de
datos. La técnica de tunelizar se suele utilizar para trasportar un
protocolo determinado a través de una red que, en condiciones
normales, no lo aceptaría. Otro usos de la tunelización de
protocolos es la creación de diversos tipos de redes privadas
virtuales.
tunel SSH
El protocolo SSH (secure shell) se utiliza con frecuencia para
tunelizar tráfico confidencial sobre Internet de una manera
segura. Por ejemplo, un servidor de ficheros puede compartir
archivos usando el protocolo SMB (Server Message Block), cuyos
datos no viajan cifrados. Esto permitiría que una tercera parte,
que tuviera acceso a la conexión (algo posible si las
comunicaciones se realizan en Internet) pudiera examinar a
conciencia el contenido de cada fichero trasmitido.
Para poder montar el sistema de archivo de forma segura, se
establece una conexión mediante un tunel SSH que encamina
todo el tráfico SMB al servidor de archivos dentro de una
conexión cifrada SSH. Aunque el protocolo SMB sigue siendo
inseguro, al viajar dentro de una conexión cifrada se impide el
acceso al mismo.
Por ejemplo, para connectar con un servidor web de forma
segura, utilizando SSH, haríamos que el Cliente (informatica)
web, en vez de conectarse al servidor directamente, se conecte
a un cliente SSH. El cliente SSH se conectaría con el servidor
tunelizado, el cual a su vez se conectaría con el servidor web
final. Lo atractivo de este sistema es que hemos añadido una
capa de cifrado sin necesidad de alterar ni el cliente ni el
servidor web.
Tunelizar para evitar un Cortafuegos
La técnica de tunelizar puede ser usada también para evitar o
circunvalar en cortafuegos. Pare ello, se encapsula el protocolo
bloqueado en el cortafuegos dentro de otro permitido,
habitualmente HTTP.
TEC OAXACA
TUNELES
El túnel es un método por el cual se hace uso de una red
intermedia para transferir datos de un extremo a otro. Los
paquetes que se transmiten se encapsulan sobre otro
encabezado correspondiente al protocolo de túnel, este nuevo
encabezado contiene la información necesaria para que el
paquete atravesando la red intermedia llegue al destino
correspondiente, una vez llegados a destino son
desencapsulados y dirigidos al destino final. Un túnel es un
canal virtual, configurado entre dos sistemas remotos que se
encuentran en diferentes redes, sobre una conexión real que
involucra más de un nodo intermedio.
La técnica de “tunneling” consiste en encapsular un mensaje de
un protocolo dentro de sí mismo aprovechando ciertas
propiedades del paquete externo con el objetivo de que el
mensaje sea tratado de forma diferente a como habría sido
tratado el mensaje encapsulado. De esta forma un paquete
puede “saltar” la topología de una red. Por ejemplo, un túnel
puede ser usado para evitar un firewall (con los peligros
consecuentes de esta decisión). Esta es una consideración a
tener en cuenta al configurar un túnel.
El túnel es creado encapsulando un protocolo de red dentro de
los paquetes del mismo protocolo, que serán llevados por la red
real. Adicionalmente, el paquete encapsulado es encriptado por
el emisor, en acuerdo con el receptor (el sistema que se
encuentra en del otro lado del túnel) de manera que sólo ambos
extremos puedan acceder a los datos transportados. Éste tipo
de comunicación solo es posible si el protocolo soporta esta
facilidad, denominada modo túnel. La otra modalidad posible,
modo transporte, provee protección sólo para protocolos de la
capa superior.
1.1.8 Creacion Redes Virtuales
Concepto
Una red de área local (LAN) esta definida como una red de
computadoras dentro de un área geográficamente acotada como
puede ser una empresa o una corporación. Uno de los problemas
que nos encontramos es el de no poder tener una
confidencialidad entre usuarios de la LAN como pueden ser los
directivos de la misma, también estando todas las estaciones de
trabajo en un mismo dominio de colisión el ancho de banda de la
misma no era aprovechado correctamente. La solución a este
problema era la división de la LAN en segmentos físicos los
cuales fueran independientes entre si, dando como desventaja
la imposibilidad de comunicación entre las LANs para algunos de
los usuarios de la misma.
La necesidad de confidencialidad como así el mejor
aprovechamiento del ancho de banda disponible dentro de la
corporación ha llevado a la creación y crecimiento de las VLANs.
Una VLAN se encuentra conformada por un conjunto de
dispositivos de red interconectados (hubs, bridges, switches o
estaciones de trabajo) la definimos como como una subred
definida por software y es considerada como un dominio de
Broadcast que pueden estar en el mismo medio físico o bien
puede estar sus integrantes ubicados en distintos sectores de la
corporación (Figura 1).
La tecnología de las VLANs se basa en el empleo de Switches, en
lugar de hubs, de tal manera que esto permite un control mas
inteligente del tráfico de la red, ya que este dispositivo trabaja
a nivel de la capa 2 del modelo OSI y es capaz de aislar el
tráfico, para que de esta manera la eficiencia de la red entera se
incremente. Por otro lado, al distribuir a los usuarios de un
mismo grupo lógico a través de diferentes segmentos, se logra
el incremento del ancho de banda en dicho grupo de usuarios.
Segmentación
Con los switches se crean pequeños dominios, llamados
segmentos, conectando un pequeño hub de grupo de trabajo a
un puerto de switch o bien se aplica microsegmentación la cual
se realiza conectando cada estación de trabajo y cada servidor
directamente a puertos de switch teniendo una conexión
dedicada dentro de la red, con lo que se consigue aumentar
considerablemente el ancho de banda a disposición de cada
usuario.
Una de las ventajas que se pueden notar en las VLAN es la
reducción en el trafico de la red ya que solo se transmiten los
paquetes a los dispositivos que estén incluidos dentro del
dominio de cada VLAN, una mejor utilización del ancho de banda
y confidencialidad respecto a personas ajenas a la VLAN, alta
performance, reducción de latencia, facilidad para armar grupos
de trabajo.
La comunicación que se hace entre switches para interconectar
VLANs utiliza un proceso llamado Trunking. El protocolo VLAN
Trunk Protocol (VTP) es el que se utiliza para esta conexión, el
VTP puede ser utilizado en todas las líneas de conexión
incluyendo ISL, IEEE 810.10. IEEE 810.1Q y ATM LANE.
Tipos de VLAN
VLAN de puerto central Es en la que todos los nodos de una
VLAN se conectan al mismo puerto del switch.
VLAN Estáticas
Los puertos del switch están ya preasignados a las estaciones
de trabajo.
Por puerto
Se configura por una cantidad “n” de puertos en el cual
podemos indicar que puertos pertenecen a cada VLAN. Para la
Figura 1 tendríamos en el Switch 9 puertos de los cuales el 1,5 y
7 pertenecen a la VLAN 1; el 2, 3 y 8 a la VLAN 2 y los puertos 4,
6 y 9 a la VLAN 3 como la tabla lo indica (Figura 2).
Puerto VLAN 1 1 2 2 3 2 4 3 5 1 6 3 7 1 8 2 9 3
Ventajas:
Facilidad de movimientos y cambios. Microsegmentación y
reducción del dominio de Broadcast. Multiprotocolo: La
definición de la VLAN es independiente del o los protocolos
utilizados, no existen limitaciones en cuanto a los protocolos
utilizados, incluso permitiendo el uso de protocolos dinámicos.
Desventajas:
Administración: Un movimiento en las estaciones de trabajo
hace necesaria la reconfiguración del puerto del switch al que
esta conectado el usuario. Esto se puede facilitar combinando
con mecanismos de LAN Dinámicas. Por dirección MAC Los
miembros de la VLAN están especificados en una tabla por su
dirección MAC (Figura 3).
MAC VLAN
12.15.89.bb.1d.aa 1 12.15.89.bb.1d.aa 2 aa.15.89.b2.15.aa 2
1d.15.89.6b.6d.ca 2 12.aa.cc.bb.1d.aa 1
Ventajas:
Facilidad de movimientos: No es necesario en caso de que una
terminal de trabajo cambie de lugar la reconfiguración del
switch. Multiprotocolo. Se pueden tener miembros en múltiples
VLANs. Desventajas:
Problemas de rendimiento y control de Broadcast: el tráfico de
paquetes de tipo Multicast y Broadcast se propagan por todas
las VLANs. Complejidad en la administración: En un principio
todos los usuarios se deben configurar de forma manual las
direcciones MAC de cada una de las estaciones de trabajo.
También se puede emplear soluciones de DVLAN. Por protocolo
Asigna a un protocolo una VLAN. El switch se encarga de
dependiendo el protocolo por el cual venga la trama derivarlo a
la VLAN correspondiente (Figura 4).
Protocolo VLAN
IP 1 IPX 2 IPX 2 IPX 2 IP 1
Ventajas:
Segmentación por protocolo. Asignación dinámica. Desventajas
Problemas de rendimiento y control de Broadcast: Por las
búsquedas en tablas de pertenencia se pierde rendimiento en la
VLAN. No soporta protocolos de nivel 2 ni dinámicos. Por
direcciones IP Esta basado en el encabezado de la capa 3 del
modelo OSI. Las direcciones IP a los servidores de VLAN
configurados. No actúa como router sino para hacer un mapeo
de que direcciones IP están autorizadas a entrar en la red VLAN.
No realiza otros procesos con la dirección IP.
Ventajas:
Facilidad en los cambios de estaciones de trabajo: Cada estación
de trabajo al tener asignada una dirección IP en forma estática
no es necesario reconfigurar el switch. Desventajas:
El tamaño de los paquetes enviados es menor que en el caso de
utilizar direcciones MAC. Perdida de tiempo en la lectura de las
tablas. Complejidad en la administración: En un principio todos
los usuarios se deben configurar de forma manual las
direcciones MAC de cada una de las estaciones de trabajo. Por
nombre de usuario Se basan en la autenticación del usuario y no
por las direcciones MAC de los dispositivos.
1.2 Protocolos en Redes Wan
Un protocolo de red es como un lenguaje para la comunicación
de información. Son las reglas y procedimientos que se utilizan
en una red para comunicarse entre los nodos que tienen acceso
al sistema de cable. Los protocolos gobiernan dos niveles de
comunicaciones:
Los protocolos de alto nivel: Estos definen la forma en que se
comunican las aplicaciones.
Los protocolos de bajo nivel: Estos definen la forma en que se
transmiten las señales por cable.
Como es frecuente en el caso de las computadoras el constante
cambio, también los protocolos están en continuo cambio.
Actualmente, los protocolos más comúnmente utilizados en las
redes son Ethernet, Token Ring y ARCNET. Cada uno de estos
esta diseñado para cierta clase de topología de red y tienen
ciertas características estándar.
Ethernet
Actualmente es el protocolo más sencillo y es de bajo costo.
Utiliza la topología de “Bus” lineal.
Token Ring
El protocolo de red IBM es el Token ring, el cual se basa en la
topología de anillo.
Arnet
Se basa en la topología de estrella o estrella distribuida, pero
tiene una topología y protocolo propio.
PROTOCOLOS EN REDES WAN
Algunos protocolos sólo trabajan en ciertos niveles OSI. El nivel
al que trabaja un protocolo describe su función. Por ejemplo, un
protocolo que trabaje a nivel físico asegura que los paquetes de
datos pasen a la tarjeta de red (NIC) y salgan al cable de la red.
Los protocolos también puede trabajar juntos en una jerarquía o
conjunto de protocolos. Al igual que una red incorpora funciones
a cada uno de los niveles del modelo OSI, distintos protocolos
también trabajan juntos a distintos niveles en la jerarquía de
protocolos.
Los niveles de la jerarquía de protocolos se corresponden con
los niveles del modelo OSI. Por ejemplo, el nivel de aplicación
del protocolo TCP/IP se corresponde con el nivel de presentación
del modelo OSI. Vistos conjuntamente, los protocolos describen
la jerarquía de funciones y prestaciones.
Cómo funcionan los protocolos La operación técnica en la que
los datos son transmitidos a través de la red se puede dividir en
dos pasos discretos, sistemáticos. A cada paso se realizan
ciertas acciones que no se pueden realizar en otro paso. Cada
paso incluye sus propias reglas y procedimientos, o protocolo.
El equipo origen
Los protocolos en el equipo origen:
1.- Se dividen en secciones más pequeñas, denominadas
paquetes.
2.- Se añade a los paquetes información sobre la dirección, de
forma que el equipo de destino pueda determinar si los datos le
pertenecen.
3.- Prepara los datos para transmitirlos a través de la NIC y
enviarlos a través del cable de la red.
El equipo de destino
Los protocolos en el equipo de destino constan de la misma
serie de pasos, pero en sentido inverso.
1.- Toma los paquetes de datos del cable y los introduce en el
equipo a través de la NIC.
2.- Extrae de los paquetes de datos toda la información
transmitida eliminando la información añadida por el equipo
origen.
3.- Copia los datos de los paquetes en un búfer para
reorganizarlos enviarlos a la aplicación.
Los equipos origen y destino necesitan realizar cada paso de la
misma forma para que los datos tengan la misma estructura al
recibirse que cuando se enviaron.
Protocolos en una arquitectura multinivel
En una red, tienen que trabajar juntos varios protocolos. Al
trabajar juntos, aseguran que los datos se preparan
correctamente, se transfieran al destino correspondiente y se
reciban de forma apropiada.
El trabajo de los distintos protocolos tiene que estar coordinado
de forma que no se produzcan conflictos o se realicen tareas
incompletas. Los resultados de esta coordinación se conocen
como trabajo en niveles.
1.2.1 Pptp (point to point tunneling
protocol)
Indicador Inicio: Indicador estándar de inicio de paquete de
HDLC (0111110). Dirección: Se llena con 11111111 para indicar
que todas las estaciones de trabajo deben aceptar el paquete.
Control: Valor predeterminado 00000011, esto indica que es un
paquete sin número. Protocolo: Indica que paquete esta en la
parte de la información. Información: Carga útil del paquete.
CRC: Control de redundancia cíclica. Indicador Fin: Indicador de
fin de paquete, con un valor estándar 01111110. Los tamaños de
los campos del paquete se pueden negociar por medio del LCP,
también de esta forma obviar los campos de Dirección y control.
PAC
Dispositivo conectado a una o mas líneas PSTN o ISDN con la
capacidad de operar con PPP y manejo del protocolo PPTP. El
PAC solo necesita implementar TCP/IP para el paso del trafico
hacia una o mas PNS. También puede trabajar con túneles en
protocolos no IP.
PNS
Un PNS esta preparado para operar en un servidor de propósito
general. El PNS maneja del lado del servidor el protocolo PPTP.
Como el PPTP cuenta con TCP/IP y es independiente de la
interfaz de hardware utilizada, el PNS puede utilizar cualquier
combinación de interfaces IP incluyendo periféricos de LAN y
WAN.
ICMP
Protocolo de control de errores en Internet. Este protocolo se
complementa con el IP. Se utilizan este tipo de mensajes para el
aviso a los host de posibles anomalías en el ruteo de los
paquetes.
IGMP
Protocolo de administración del grupo Internet. Este protocolo
es parte del ICMP descrito anteriormente, IGMP se utiliza para
intercambiar información acerca del estado de pertenencia
entre routers IP que admiten multidifusión y miembros de
grupos de multidifusión.
1.2.2 Ppp
Protocolo de bajo nivel que permite transferir paquetes de
información a través de una línea asíncrona o síncrona. Es capaz
de optimizar el uso de la línea mediante conexión y desconexión
dinámica, es la conexión más rápida para Internet y la utilizada
por casi todos los proveedores. El PPP es el programa que llama
por teléfono, como puede ser el Trumpet Winsock, el Config
PPP ? del MacOS ? o el Acceso Telefónico a Redes de Windows 95
(Tipo de Servidor PPP). Protocolo para comunicaciones entre
ordenadores mediante una interfaz de serie. Utiliza el protocolo
Internet.
¿Para qué sirve el protocolo PPP?
El protocolo PPP proporciona un método estándar para
transportar datagramas multiprotocolo sobre enlaces simples
punto a punto entre dos “pares” (a partir de aquí, y hasta el
final de este trabajo, utilizaremos el término “par” para
referirnos a cada una de las máquinas en los dos extremos del
enlace -en inglés es peer-).
Estos enlaces proveen operación bidireccional full dúplex y se
asume que los paquetes serán entregados en orden.
Tiene tres componentes:
1. Un mecanismo de enmarcado para encapsular datagramas
multiprotocolo y manejar la detección de errores.
2. Un protocolo de control de enlace (LCP, Link Control Protocol)
para establecer, configurar y probar la conexión de datos.
3. Una familia de protocolos de control de red (NCPs, Network
Control Protocols) para establecer y configurar los distintos
protocolos de nivel de red.
PROTOCOLO PUNTO A PUNTO
PPP es un protocolo WAN de enlace de datos. Se diseño como un
protocolo abierto para trabajar con varios protocolos de capa de
red, como IP, IPX y Apple Talk.
Se puede considerar a PPP la versión no propietaria de HDLC,
aunque el protocolo subyacente es considerablemente
diferente. PPP funciona tanto con encapsulación síncrona como
asíncrona porque el protocolo usa un identificador para denotar
el inicio o el final de una trama. Dicho indicador se utiliza en las
encapsulaciones asíncronas para señalar el inicio o el final de
una trama y se usa como una encapsulación síncrona orientada
a bit. Dentro de la trama PPP el Bit de entramado es el
encargado de señalar el comienzo y el fin de la trama PPP
(identificado como 01111110).
El campo de direccionamiento de la trama PPP es un Broadcast
debido a que PPP no identifica estaciones individuales.
PPP se basa en el protocolo de control de enlaces LCP (Link
Control Protocol), que establece, configura y pone a prueba las
conexiones de enlace de datos que utiliza PPP. El protocolo de
control de red NCP (Network Control Protocol) es un conjunto de
protocolos (uno por cada capa de red compatible con PPP) que
establece y configura diferentes capas de red para que
funcionen a través de PPP. Para IP, IPX y Apple Talk, las
designaciones NCP son IPCP, IPXCP y ATALKCP,
respectivamente. PPP soporta los siguientes tipos de interfaces
físicas:
Serie Sincronía
Serie Asíncrona
RDSI
HSSI
Establecimiento de una conexión PPP tiene 3 fases:
1 . Establecimiento del enlace: en esta fase cada dispositivo PPP
envía paquetes LCP para configurar y verificar el enlace de
datos.
2 . Autenticación: fase opcional, una vez establecido el enlace es
elegido el método de autenticación. Normalmente los métodos
de autenticación son PAP y CHAP.
3 . Protocolo de capa de red, en esta fase el router envía
paquetes NCP para elegir y configurar uno o más protocolos de
capa de red. A partir de esta fase los datagramas pueden ser
enviados.
Autenticación PAP
PAP (protocolo de autenticación de contraseña) proporciona un
método de autenticación simple utilizando un intercambio de
señales de dos vías. El proceso de autenticación solo se realiza
durante el establecimiento de inicial del enlace. Una vez
completada la fase de establecimiento PPP, el nodo remoto
envía repetidas veces al router extremo su usuario y contraseña
hasta que se acepta la autenticación o se corta la conexión. PAP
no es un método de autenticación seguro, las contraseñas se
envían en modo abierto y no existe protección contra el registro
de las mismas o los ataques externos.
Autenticación CHAP
CHAP (protocolo de autenticación por intercambio de señales
por desafió) es un método de autenticación mas seguro que
PAP. Se emplea durante el establecimiento del enlace y
posteriormente se verifica periódicamente para verificar la
identidad del router remoto utilizando señales de tres vías. La
contraseña es encriptada utilizando MD5, una vez establecido el
enlace el router agrega un mensaje desafió que es verificado
por ambos routers, si ambos coinciden se acepta la
autenticación de lo contrario la conexión se cierra
inmediatamente. CHAP ofrece protección contra ataques
externos mediante el uso de un valor de desafió variable que es
único e indescifrable. Esta repetición de desafíos limita la
posibilidad de ataques.
1.2.3 Pstn (public switched telephone
network)
Conectividad analógica
La misma red que utiliza nuestro teléfono está disponible para
los equipos. El nombre de esta red mundial es la Red telefónica
pública conmutada (PSTN). En el marco de la informática,
podemos pensar en PSTN como un gran enlace WAN que ofrece
líneas telefónicas de llamada de grado de voz.
Líneas de llamada
El hecho de que PSTN fuese diseñada principalmente para la
comunicación de voz hace que sea lenta. Las líneas analógicas
de llamada requieren módems que pueden incluso hacerlas más
lentas todavía. Por otro lado, la calidad de la conexión es
inconsistente debido a que PSTN es una red de circuitos
conmutados. Cualquier sesión de comunicación única será tan
buena como los circuitos enlazados para esta sesión
determinada. Sobre largas distancias, por ejemplo, país a país,
pueden resultar considerablemente inconsistentes en los
circuitos de una sesión a la siguiente.
Líneas analógicas dedicadas
A diferencia de las líneas de llamada que deben volver a abrir la
sesión cada vez que se utilizan, las líneas analógicas dedicadas
(o alquiladas) se mantienen abiertas en todo momento. Una
línea analógica alquilada es más rápida y fiable que una
conexión de llamada. Sin embargo, es relativamente cara puesto
que el proveedor de servicio está dedicando recursos a la
conexión alquilada, independientemente de si se está utilizando
la línea o no.
¿De llamada o dedicada?
Ningún tipo de servicio es el mejor para todos los usuarios. La
mejor opción dependerá de un número de factores destacando:
La cantidad de tiempo de conexión que se utilizará.
El coste del servicio.
La importancia de tener tasas de transferencia de datos
superiores y más fiable que una línea condicionada.
La necesidad de tener una conexión 24 horas al día.
Si no es frecuente la necesidad de establecer la conectividad,
pueden resultar más adecuadas las líneas de llamada. Si es
necesario una conexión de alto nivel de fiabilidad y de
utilización continua, entonces no resulta adecuada la calidad del
servicio que proporciona una línea de llamada.
1.3 Uniones y Conexiones Wan
Uniones y Conexiones WAN
Los protocolos de capa física WAN describen cómo proporcionar
conexiones eléctricas, mecánicas, operacionales, y funcionales
para los servicios de una red de área amplia. Estos servicios se
obtienen en la mayoría de los casos de proveedores de servicio
WAN tales como las compañías telefónicas, portadoras alternas,
y agencias de Correo, Teléfono, y Telégrafo (PTT: Post,
Telephone and Telegraph).
Topología de redes WAN Cuando se usa una subred punto a
punto, una consideración de diseño importante es la topología
de interconexión del enrutador. Las redes WAN típicamente
tienen topologías irregulares. Las posibles topologías para una
subred punto a punto son: Estrella, Anillo, Bus, Árbol.
Configuración de estrella: En este esquema, todas las estaciones
están conectadas por un cable a un módulo central ( Central hub
), y como es una conexión de punto a punto, necesita un cable
desde cada PC al módulo central. Una ventaja de usar una red
de estrella es que ningún punto de falla inhabilita a ninguna
parte de la red, sólo a la porción en donde ocurre la falla, y la
red se puede manejar de manera eficiente. Un problema que sí
puede surgir, es cuando a un módulo le ocurre un error, y
entonces todas las estaciones se ven afectadas. Configuración de
anillo: En esta configuración, todas las estaciones repiten la
misma señal que fue mandada por la terminal transmisora, y lo
hacen en un solo sentido en la red. El mensaje se transmite de
terminal a terminal y se repite, bit por bit, por el repetidor que
se encuentra conectado al controlador de red en cada terminal.
Una desventaja con esta topología es que si algún repetidor
falla, podría hacer que toda la red se caiga, aunque el
controlador puede sacar el repetidor defectuoso de la red,
evitando así algún desastre. Un buen ejemplo de este tipo de
topología es el de Anillo de señal, que pasa una señal, o token a
las terminales en la red. Si la terminal quiere transmitir alguna
información, pide el token, o la señal. Y hasta que la tiene,
puede transmitir. Claro, si la terminal no está utilizando el
token, la pasa a la siguiente terminal que sigue en el anillo, y
sigue circulando hasta que alguna terminal pide permiso para
transmitir.
Topología de bus: También conocida como topología lineal de bus,
es un diseño simple que utiliza un solo cable al cual todas las
estaciones se conectan. La topología usa un medio de
transmisión de amplia cobertura ( broadcast medium ), ya que
todas las estaciones pueden recibir las transmisiones emitidas
por cualquier estación. Como es bastante simple la
configuración, se puede implementar de manera barata. El
problema inherente de este esquema es que si el cable se daña
en cualquier punto, ninguna estación podrá transmitir. Aunque
Ethernet puede tener varias configuraciones de cables, si se
utiliza un cable de bus, esta topología representa una red de
Ethernet.
Topología de árbol: Esta topología es un ejemplo generalizado del
esquema de bus. El árbol tiene su primer nodo en la raíz, y se
expande para afuera utilizando ramas, en donde se encuentran
conectadas las demás terminales. Ésta topología permite que la
red se expanda, y al mismo tiempo asegura que nada más existe
una “ruta de datos” ( data path ) entre 2 terminales
cualesquiera.
1.3.1 Dds Dso Ds1 Ti E1 T3 switched 56
Conectividad Digital
En algunos casos, las líneas analógicas proporcionan conectividad
suficiente. No obstante, cuando una organización genera demasiado
tráfico WAN, se tiene que el tiempo de transmisión hace que la conexión
analógica sea ineficiente y costosa.
La organizaciones que requieren un entorno más rápido y seguro que el
proporcionado por las líneas analógicas, pueden cambiar a las líneas de
servicios de datos digitales (DDS). DDS proporciona comunicación
síncrona punto a punto a 2,4, 4,8, 9,6 o 56 Kbps. Los circuitos digitales
punto a punto son dedicados y suministrados por diferentes proveedores
de servicio de telecomunicaciones.
El proveedor de servicio garantiza ancho de banda completo en ambas
direcciones configurando un enlace permanente desde cada punto final
a la LAN.
La principal ventaja de las líneas digitales es que proporcionan una
transmisión cerca del 99 por 100 libre de errores. Las líneas digitales
están disponibles de diversas formas, incluyendo DDS, T1, T3, T4 y
Switched-56.
No se requiere módem puesto que DDS utiliza comunicación digital. En
su lugar, DDS envía datos desde un bridge o router a través de un
dispositivo denominado Unidad de servicio de canales/Unidad de servicio
de datos (CSU/DSU; Channel Service Unit/Data Service Unit).
Este dispositivo convierte las señales digitales estándar que genera el
ordenador en el tipo de señales digitales (bipolar) que forman parte del
entorno de comunicación síncrona. Además, contiene la electrónica
suficiente para proteger la red del proveedor de los servicios DDS.
Servicio T1
Para velocidades de datos muy altas, el servicio T1 es el tipo de línea
digital más utilizado. Se trata de una tecnología de transmisión punto a
punto que utiliza dos pares de hilos (un par para enviar y otro para
recibir) para transmitir una señal en ambos sentidos (full-duplex) a una
velocidad de 1,544 Mbps. T1 se utiliza para transmitir señales digitales
de voz, datos y vídeo.
Las líneas T1 están entre las más caras de todos los enlaces WAN. Los
abonados que ni necesitan ni pueden generar el ancho de banda de una
línea T1 pueden abonarse a uno a más canales T1 con incrementos de
64 Kbps, conocido como Fractional T-1 (FT-1).
Multiplexación.Desarrollado por los Laboratorios Bell, T1 utiliza la
tecnología denominada multiplexación. Diferentes señales de distintas
fuentes se reúnen en un componente denominado multiplexor y se
envían por un cable para la transmisión. En el punto destino de
recepción, los datos se convierten en su formato original. Esta
perspectiva surgió cuando se saturaban los cables telefónicos que
transportaban sólo una conversión por cable. La solución al problema,
denominada red T-Portadora, permitió a los Laboratorios Bell transportar
muchas llamadas sobre un cable.
División del canal.Un canal T1 puede transportar 1,544 megabits de
datos por segundo, la unidad básica de un servicio T-Portadora. T1 la
divide en 24 canales y muestrea cada canal 8.000 veces por segundo.
Con este método, T1 permite 24 transmisiones simultáneas de datos
sobre cada par de dos hilos.
Cada muestra del canal incorpora ocho bits. Cada uno de los 24 canales
pueden transmitir a 64 Kbps puesto que cada canal se muestrea 8.000
veces por segundo. Este estándar de velocidad de datos se conoce como
DS-0. La velocidad de 1,544 Mbps se conoce como DS-1.
Los velocidades de DS-1 se pueden multiplexar para proporcionar
incluso velocidades de transmisión superiores, conocidas como DS-1C,
DS-2, DS-3 y DS-4.
Nivel de
señal
Sistema de
portadora
Canales T-
1
Canales de
voz
Velocidad de datos
(Mbps)
DS-0 N/A N/A 1 0,064
DS-1 T1 1 24 1,544
DS-1C T-1C 2 48 3,152
DS-2 T2 4 96 6,312
DS-3 T3 28 672 44,736
DS-4 T4 168 4.032 274,760
Servicio T3
Los servicios de líneas alquiladas T3 y Fractional T3 proporcionan
servicios de datos y voz desde 6 Mbps hasta 45 Mbps. Ofrecen los
servicios de líneas alquiladas de más altas posibilidades disponibles hoy
en día. T3 y FT-3 se diseñan para el transporte de grandes volúmenes de
datos a alta velocidad entre dos puntos fijos. Una línea T3 se puede
utilizar para reemplazar diferentes líneas T1.
Servicio Switched-56
Las compañías telefónicas de larga y pequeña distancia ofrecen el
servicio Switched-56, un servicio de llamada digital LAN a LAN que
transmite los datos a 56 Kbps. Realmente, Switched-56 es una versión
de circuito conmutado de una línea DDS a 56 Kbps. La ventaja de
Switched-56 es que se utiliza por demanda, eliminando, por tanto, el
coste de una línea dedicada. Cada equipo que utiliza este servicio debe
estar equipado con una CSU/DSU que pueda llamar a otro sitio Switched-
56.
1.3.2 X25 Frame Relay Isdn Atm Smds
Tecnologia Adsl Sonet
X25
Uno de los protocolos estándar más ampliamente utilizado es
X.25 del ITU-T, que fue originalmente aprobado en 1976 y que
ha sufrido numerosas revisiones desde entonces. El estándar
especifica una interfaz entre un sistema host y una red de
conmutación de paquetes. Este estándar se usa de manera casi
universal para actuar como interfaz con una red de conmutación
de paquetes y fue empleado para la conmutación de paquetes
en ISDN. El estándar emplea tres niveles de protocolos:
Nivel físico
Nivel de enlace
Nivel de paquete
Estos tres niveles corresponden a las tres capas más bajas del
modelo OSI. El nivel físico define la interfaz física entre una
estación (computadora, terminal) conectada a la red y el enlace
que vincula esa estación a un nodo de conmutación de
paquetes.
El estándar denomina a los equipos del usuario como equipo
terminal de datos – DTE (Data Terminal Equipment) y al nodo de
conmutación de paquetes al que se vincula un DTE como equipo
terminal de circuito de datos – DCE (Data Cicuit-terminating
Equipment). X.25 hace uso de la especificación de la capa física
X.21, pero se lo sustituye en muchos casos por otros
estándares, tal como RS-232 de la EIA.
El nivel de enlace garantiza la transferencia confiable de datos a
través del enlace de datos, mediante la transmisión de datos
mediante una secuencia de tramas. El estándar del nivel de
enlace se conoce como LAPB (Link Access Protocol Balanced).
LAPB es un subconjunto de HDLC de ISO en su variante ABM
(Asynchronous Balanced Mode).
El nivel de paquete ofrece un servicio de circuito virtual externo.
Este servicio le permite a cualquier subscriptor de la red
establecer conexiones lógicas, denominados circuitos virtuales,
con otros subscriptores.
Las redes conmutadas por paquetes utilizando redes
compartidas se introdujeron para reducir costos de las líneas
alquiladas La 1ª de estas redes conmutadas por paquetes se
estandarizó como el grupo de protocolos X.25
X.25 ofrece una capacidad variable y compartida de baja
velocidad de transmisión que puede ser conmutada o
permanente
X.25 es un protocolo de capa de red y los suscriptores disponen
de una dirección de red . Los VC se establecen con paquetes de
petición de llamadas a la drección destino. Un nº de canal
identifica la SVC resultante. Los paquetes de datos rotulados
con el nº del canal se envian a la dirección correspondiente.
Varios canales pueden estar activos en una sola conexión
Los suscriptores se conectan a la red por linea alquilada o por
acceso telefónico. Las redes X.25 pueden tener canales
preestablecidos entre los suscriptores ( un PVC )
X.25 se tarifica por trafico enviado ( no el tiempo de conexión ni
la distancia ). Los datos se pueden enviar a velocidad igual o
menor a la capacidad de la conexión.
X.25 poca capacidad ( generalmente máximo 48kbps), los
aquetes sujetos a demoras de las redes compartidas
Frame relay es el sustituto a X.25. Aplicaciones típicas de X.25 =
lectores de tarjetas de TPV
Frame Relay
La configuración de la red parece similar a la de X.25. Pero la
velocidad es de hasta 4Mbps ( y superior ) Frame relay es un
protocolo más sencillo que opera a nivel de capa de enlace de
datos y no de red
No realiza ningún control de flujo o de errores. El resultado de la
administracion simplificada de las tramas es una reducción en la
latencia, y las medidas tomadas para evitar la acumulación de
tramas en los switches intermedios ayudan a reducir las
fluctuaciones de fase
La mayoria de las conexiones Fame relay son PVC y no SVC. La
conexión al extremo de la red con frecuencia es una linea
alquilada
Algunos proveedores ofrecen conexiones telefonicas usando
lineas ISDN. El canal D ISDN se usa para configurar un SVC en
uno o más canales B
Las tarifas de Frame relay: en función de capacidad del puerto
de conexión al extremo de la red, la capacidad acordada y la
velocidad de información suscrita ( CIR ) de los distintos PVC a
traves del puerto
Frame relay ofrece una conectividad permanente, compartida,
de BW mediano, con tráfico tanto de voz como datos. Ideal para
conectar las LAN de una empresa. El router de la LAN necesita
solo una interfaz aún cuando se usen varias VC
Se considera como un enlace WAN digital orientado a conexion
Se basa en la tecnologia de conmutacion de paquetes
Menor gasto y latencia que X.25
Se puede usar para interconectar LANs
Se suele implementar con PVC
De 56kbps a 45Mbps
Es flexible y soporta rafagas de datos
Usa una sola interfaz para varias conexiones
ATM
Modo de transferencia asíncrona ( ATM). Nace por la necesidad
de una tecnología de red compartida permanente que ofreciera
muy poca latencia y fluctuación a BW muy altos. Velocidad de tx
de datos superior a 155Mbps
Arquitectura basada en celdas más que en tramas)
Las celdas ATM tienen siempre una longitud fija de 53 bytes.
Encabezado de 5 bytes + 48 bytes de carga
Las celdas pequeñas de longitud fija: adecuadas para trafico de
voz y video que no toleran demoras
La celda ATM de 53 bytes es menos eficiente que las tramas y
paquetes más grandes de Frame relay y X.25
Cuando la celda esta transportando paquetes de capa de red
segmentados, la carga general sera mayor por que el switch
ATM tiene que reagrpar los paquetes en el destino.
Una linea ATM tipica necesita de un 20% de BW más que Frame
Relay para transportar el mismo volumen de datos de capa de
red
ATM ofrece tanto los PVC como los SVC (los PVC son más
comunes en la WAN)
redes SMDS
SMDS significa Servicio de datos conmutado multimegabits. Es
un servicio de red de área extendida diseñado para una
conectividad LAN a LAN. Es una red metropolitana, con base en
celdas, sin conexión, de alta velocidad, publico, banda ancha y
paquetes conmutados. SMDS utiliza celdas de longitud fija al
igual que ATM, estas celdas contienen 53 bytes compuesta por
un encabezado de 7 bytes, una carga útil de 44 bytes y una cola
de 2 bytes. SMDS puedes aportar varias velocidades de datos,
incluidas DS-1, DS-3 y SONET.
Especificaciones de la capa física SMDS se basa en un
subconjunto de la capa física y en un estándar de subcapa MAC,
que especifica un protocolo de red de alta velocidad similar al
token ring. En la capa física , especifica un diseño bus dual que
usa cable de fibra óptica. Especificaciones de la capa de enlace
de datos DQDB En la capa de enlace el acceso a la red SMDS es
regido por el protocolo Bus distribuido de cola dual y esto lo que
hace es subdividir cada bus en cuadros de tiempo, que se usan
para transmitir datos. El protocolo DQDB antes de enviar datos,
un nodo debe primero reservar cuadros sobre un bus para
usarlos sobre el segundo bus, esto permite avisar a sus vecinos
que ellos tienen datos que transmitir.
ADSL
- Asymmetric Digital Subscriber Line
Línea de abonado digital asimétrica. Permite la transmisión de
datos a mayor velocidad en un sentido que en el otro (de eso
viene el “asimétrica” en el nombre). Típicamente 2
megabits/segundo hacía el usuario y 300 kilobits/segundo desde
el usuario y puede alcanzar muchos kilómetros de distancia de
la central. El hecho que permita estas velocidades no quiere
decir que vengan “gratis”: las compañías normalmente limitan
la velocidad y cobran en función de la velocidad “contratada”.
SONET
es un estándar para el transporte de telecomunicaciones en
redes de fibra óptica.
La señal básica de SONET define una tecnología para
transportar muchas señales de diferentes capacidades a través
de una jerarquía óptica síncrona y flexible. Esto se logra por
medio de un esquema de multiplexado por interpolación de
bytes. La interpolación de bytes simplifica la multiplexación y
ofrece una administración de la red extremo a extremo.
1.3.3 Circuitos Virtuales
Circuitos virtuales. Dentro de la subred normalmente se llama
una conexión un circuito virtual. En un circuito virtual uno evita
la necesidad de elegir una ruta nueva para cada paquete.
Cuando se inicializa la conexión se determina una ruta de la
fuente al destino que es usada por todo el tráfico. Cada ruteador
tiene que guardar adónde debiera reenviar los paquetes para
cada uno de los circuitos que lo pasan. Los paquetes tienen un
campo de número de circuito virtual en sus encabezamientos, y
los ruteadores usan este campo, la línea de entrada, y sus
tablas de ruta para reenviar el paquete en la línea de salida
propia. Se cobra el tiempo que la conexión existe, que
corresponde a la reservación de entradas de tabla, ancho de
banda, etc. MAURICIO ROSADO TEC.COMI
CIRCUITOS VIRTUALES
Un circuito virtual (VC por sus siglas en inglés) es una sistema
de comunicación por el cual los datos de un usuario origen
pueden ser transmitidos a otro usuario destino a través de más
de un circuito de comunicaciones real durante un cierto periodo
de tiempo, pero en el que la conmutación es transparente para
el usuario.Un ejemplo de protocolo de circuito virtual es el
ampliamente utilizado TCP (Protocolo de Control de
Transmisión).
Es una forma de comunicación mediante conmutación de
paquetes en la cual la información o datos son empaquetados en
bloques que tienen un tamaño variable a los que se les
denomina paquetes. El tamaño de los bloques lo estipula la red.
Los paquetes suelen incluir cabeceras con información de
control. Estos se transmiten a la red, la cual se encarga de su
encaminamiento hasta el destino final. Cuando un paquete se
encuentra con un nodo intermedio, el nodo almacena
temporalmente la información y encamina los paquetes a otro
nodo según las cabeceras de control.
Es importante saber que en este caso los nodos no necesitan
tomar decisiones de encaminamiento, ya que la dirección a
seguir viene especificada en el propio paquete.
Las dos formas de encaminación de paquetes son:
Datagramas y
Circuitos Virtuales.
En los circuitos virtuales, al comienzo de la sesión se establece
una ruta única entre las ETD (entidades terminales de datos) o
los host extremos. A partir de aquí, todos los paquetes enviados
entre estas entidades seguirán la misma ruta.
Las dos formas de establecer la transmisión mediante circuitos
virtuales son los circuitos virtuales conmutados(SVC) y los
circuitos virtuales permanentes(PVC).
Los circuitos virtuales conmutados (SVC) por lo general se crean
ex profeso y de forma dinámica para cada llamada o conexión, y
se desconectan cuando la sesión o llamada es terminada. Un
ejemplo de circuito virtual conmutado es la red telefónica
tradicional así como los enlaces ISDN. Se utilizan principalmente
en situaciones donde las transmisiones son esporádicas.En
terminología ATM esto se conoce como conexión virtual
conmutada. Se crea un circuito virtual cuando se necesita y
existe sólo durante la duración del intercambio específico.
1.4 Redes Publicas
Una red publica se define como una red que puede usar
cualquier persona y no como las redes que están configuradas
con clave de acceso personal. Es una red de computadoras
interconectados, capaz de compartir información y que permite
comunicar a usuarios sin importar su ubicación geográfica.
Redes Públicas
Las redes públicas son los recursos de telecomunicación de área
extensa pertenecientes a las operadoras y ofrecidos a los
usuarios a través de suscripción.
Estas operadoras incluyen a:
Compañías de servicios de comunicación local. Entre estas
compañías tenemos a TELCOR.
Compañías de servicios de comunicación a larga distancia.Una
compañía de comunicación a larga distancia (IXC: Interexchange
carriers) es un operador de telecomunicaciones que suministra
servicios de larga distancia como AT&T, MCI y US SPRINT.
Proveedores de servicios de valor añadido. Los proveedores de
servicio de valor añadido (VACs: Value-added carriers)
como Compu ServeInformation y GE Information Services,
ofrecen con frecuencia, servicios de comunicación de área
amplia como complemento
Unidad 2 Seguridad
2.1 Tecnologias de Encriptacion
La tecnología de encriptación permite la transmisión segura de
información a través de internet, al codificar los datos
transmitidos usando una fórmula matemática que “desmenuza”
los datos. Sin el decodificador adecuado, la transmisión luciría
como un texto sin ningún sentido, el cual resulta completamente
inútil.
La tecnología de encriptación se usa para una variedad de
aplicaciones, tales como: comercio electrónico, envío de correo
electrónico y protección de documentos confidenciales.
La encriptación básica envuelve la transmisión de datos de una
parte a la otra. Quien envía la información la codifica al
“desmenuzarla” y enviarla de esta manera. El receptor
decodifica los datos con el decodificador adecuado, para poder
así leerla y usarla.
La efectividad, o nivel de seguridad, de la encriptación se mide
en términos del tamaño de la clave (mientras más larga es la
clave, mayor sería el tiempo que le tomaría a una persona sin el
decodificador correcto para decodificar el mensaje). Esto se
mide en bits (por ejemplo, el nivel de encriptación utilizado por
los sistemas de banca en línea en el país es de 40-bits, mientras
que el nivel de encriptación de Citibank Online es de 128-bits).
Para una clave de 40-bits existen 240 posibles combinaciones
distintas. Para una clave de 128-bits (el nivel de encriptación
utilizado en Citibank Online) existen 2128 posibles
combinaciones distintas. En opinión de Netscape, la encriptación
de 128-bits es 309.485.009.821.345.068.724.781.056 veces más
poderosa que la encriptación de 40-bits.
2.2 Validacion Firmas Digitales
La Firma Digital es una modalidad de firma electrónica,
resultado de una operación matemática que utiliza algoritmos
de criptografía asimétrica y permite inferir, con seguridad, el
origen y la integridad del documento.
Procedimiento:
1. Cálculo del resumen del mensaje: Un valor de “hash” del
mensaje (comúnmente denominado resumen del mensaje o
“mensaje digest”) es calculado por la aplicación de un algoritmo
criptográfico de hashing (Ej. MD2, MD4, MD5, SHA1, etc.). El
valor de hash calculado de un mensaje es una secuencia de bits,
usualmente con un tamaño fijo, extraído de alguna forma del
mensaje.
2. Cálculo de la firma digital: La información obtenida en el
primer paso (resumen del mensaje) es cifrada con la llave
privada de la persona que firma el mensaje y así un el valor que
es obtenido conforma la firma digital. Para el cálculo de la firma
digital de un determinado resumen es utilizado un algoritmo
critpográfico. Los algoritmos frecuentemente utilizados son RSA
(basado en la teoría de los números), DSA (basado en la teoría
de los logaritmos discretos) o el ECDSA (basado en la teoría de
las curvas elípticas).
Verificación de la firma digital
La tecnología de la firma digital permite al receptor de un
mensaje, con una firma digital, verificar su integridad. El
proceso de verificación busca determinar si un mensaje fue
firmado por la llave privada que corresponde a una dada llave
pública. La verificación de la firma digital no puede determinar
si un mensaje fue firmado por una determinada entidad, para
ello se precisaría obtener la llave pública de alguna manera
segura (CD, o procedimientos estipulados).
Procedimiento:
1. Cálculo del valor corriente del hash
Calcular un valor de hash del mensaje firmado: para este cálculo
es usado el mismo algoritmo tal cual fue aplicado en el proceso
de generación de la firma digital. El valor obtenido es
denominado valor de hash corriente, pues él es creado a partir
del estado actual del mensaje.
2. Calcular el valor original del hash
La firma digital es descifrada con el mismo algoritmo utilizado
durante la generación de la firma digital. El descifrado es
realizado con la llave pública asociada a la llave privada
utilizada durante la firma del mensaje. Como resultado, se
obtiene el valor original de hash que fue calculado del mansaje
original durante el primer paso de la creación de la firma digital
(el valor original del resumen del mensaje – valor de hash).
3. Comparar el valor corriente original de hash
Comparar el valor corriente del hash obtenido en el primer paso
con el valor original del hash obtenido en el segundo paso. Si los
dos valores son idénticos, prueba que el mensaje fue firmado
con la llave privada que corresponde a la llave pública usada en
la certificación.
Certificado Digital
El certificado digital es un documento conteniendo datos de
identificación de la persona o institución que desea comprobar
su propia identidad como así también confirmar la identidad de
terceros.
Los certificados digitales vinculan un par de llaves electrónicas
que pueden ser usadas para criptografiar y firmar información
digital. Usados en conjunto con la criptografìa, éstos proveen
una solución de seguridad que permiten asegurar la identidad
de una o de todas las partes comprometidas en una transacción.
Los certificados digitales evitan tentativas de substitución de
una llave pública por otra. Para evitar que esto ocurra, se hace
necesario el uso de certificados digitales de llave pública, ya
que estos garantizan seguridad y autenticidad a aquellos que
acceden a redes inseguras, previniendo el acceso a datos
confidenciales.
El certificado del destinatario contiene algo más que su llave
pública, contiene información sobre el destinatario como: su
nombre, dirección, etc. Es firmado por alguien en quien el origen
deposita su confianza denominada autoridad de certificación
(Certification Authority), que funciona como un registro
electrónico.
El certificado digital funciona de la siguiente forma:
Se debe localizar la llave pública de la persona con quien se
desea comunicar y Se debe obtener una garantía de que la llave
pública encontrada sea proveniente del destinatario.
2.3 Firewalls y Virtual Private Network ,
(VPN)
Red privada virtual (VPN)
La Red Privada Virtual (RPV), en inglés Virtual Private Network
(VPN), es una tecnología de red que permite una extensión de la
red local sobre una red pública o no controlada , como por
ejemplo Internet. Ejemplos comunes son, la posibilidad de
conectar dos o más sucursales de una empresa utilizando como
vínculo Internet, permitir a los miembros del equipo de soporte
técnico la conexión desde su casa al centro de cómputo, o que
un usuario pueda acceder a su equipo doméstico desde un sitio
remoto, como por ejemplo un hotel. Todo ello utilizando la
infraestructura de Internet.
Medios
Para hacerlo posible de manera segura es necesario
proporcionar los medios para garantizar la autenticación,
integridad y confidencialidad de toda la comunicación:
• Autenticación y autorización: ¿Quién está del otro lado?
Usuario/equipo y qué nivel de acceso debe tener.
• Integridad: La garantía de que los datos enviados no han sido
alterados. Para ello se utiliza funciones de Hash. Los algoritmos
de hash más comunes son los Message Digest (MD2 y MD5) y el
Secure Hash Algorithm (SHA).
• Confidencialidad: Dado que los datos viajan a través de un
medio tan hostil como Internet, dichos datos son susceptibles
de intercepción, por lo que resulta fundamental el cifrado de los
mismos. De este modo, la información no debe poder ser
interpretada por nadie más que los destinatarios de la misma.
Se hace uso de algoritmos de cifrado como Data Encryption
Standard (DES), Triple DES (3DES) y Advanced Encryption
Standard (AES).
• No repudio: es decir, un mensaje tiene que ir firmado, y el que
lo firma no puede negar que el mensaje lo envió él.
* Requerimientos básicos
• Identificación de usuario: las VPN deben verificar la identidad
de los usuarios y restringir su acceso a aquellos que no se
encuentren autorizados.
• Codificación de datos: los datos que se van a transmitir a
través de la red pública (Internet), antes deben ser cifrados,
para que así no puedan ser leídos. Esta tarea se realiza con
algoritmos de cifrado como DES o 3DES que solo pueden ser
leidos por el emisor y receptor.
• Administración de claves: las VPN deben actualizar las claves
de cifrado para los usuarios.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Es quizás el modelo más usado actualmente y consiste en
usuarios o proveedores que se conectan con la empresa desde
sitios remotos (oficinas comerciales, domicilios, hoteles, aviones
preparados, etcétera) utilizando Internet como vínculo de
acceso. Una vez autentificados tienen un nivel de acceso muy
similar al que tienen en la red local de la empresa. Muchas
empresas han reemplazado con esta tecnología su
infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la
sede central de la organización. El servidor VPN, que posee un
vínculo permanente a Internet, acepta las conexiones vía
Internet provenientes de los sitios y establece el túnel VPN. Los
servidores de las sucursales se conectan a Internet utilizando
los servicios de su proveedor local de Internet, típicamente
mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a punto tradicionales, sobre todo en las
comunicaciones internacionales. Es más común el punto
anterior, también llamada tecnología de túnel o tunneling.
TUNNELING
Internet se construyó desde un principio como un medio
inseguro. Muchos de los protocolos utilizados hoy en día para
transferir datos de una máquina a otra a través de la red
carecen de algún tipo de cifrado o medio de seguridad que evite
que nuestras comunicaciones puedan ser interceptadas y
espiadas. HTTP, FTP, POP3 y otros muchos protocolos
ampliamente usados, utilizan comunicaciones que viajan en
claro a través de la red. Esto supone un grave problema, en
todas aquellas situaciones en las que queremos transferir entre
máquinas información sensible, como pueda ser una cuenta de
usuario (nombre de usuario y contraseña), y no tengamos un
control absoluto sobre la red, a fin de evitar que alguien pueda
interceptar nuestra comunicación por medio de la técnica del
hombre en el medio (man in the middle), como es el caso de la
Red de redes.
El problema de los protocolos que envían sus datos en claro, es
decir, sin cifrarlos, es que cualquier persona que tenga acceso
físico a la red en la que se sitúan las máquinas puede ver dichos
datos. De este modo, alguien que conecte su máquina a una red
y utilice un sniffer recibirá y podrá analizar por tanto todos los
paquetes que circulen por dicha red. Si alguno de esos paquetes
pertenece a un protocolo que envía sus comunicaciones en
claro, y contiene información sensible, dicha información se verá
comprometida.
Si por el contrario, se cifran las comunicaciones con un sistema
que permita entenderse sólo a las dos máquinas que son
partícipes de la comunicación, cualquiera que intercepte desde
una tercera máquina los paquetes, no podrá hacer nada con
ellos, al no poder descifrar los datos. Una forma de evitar este
problema, sin dejar por ello de utilizar todos aquellos protocolos
que carezcan de medios de cifrado, es usar una técnica llamada
tunneling.
Básicamente, esta técnica consiste en abrir conexiones entre
dos máquinas por medio de un protocolo seguro, como puede
ser SSH (Secure S Hell ? ), a través de las cuales realizaremos las
transferencias inseguras, que pasarán de este modo a ser
seguras. De esta analogía viene el nombre de la técnica, siendo
la conexión segura (en este caso de ssh) el túnel por el cual se
envían los datos para que nadie más aparte de los
interlocutores que se sitúan a cada extremo del túnel, pueda ver
dichos datos. Este tipo de técnica requiere de forma
imprescindible tener una cuenta de acceso seguro en la máquina
con la que se quiere comunicar los datos.
VPN interna WLAN
Este esquema es el menos difundido pero uno de los más
poderosos para utilizar dentro de la empresa. Es una variante
del tipo “acceso remoto” pero, en vez de utilizar Internet como
medio de conexión, emplea la misma red de área local (LAN) de
la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalámbricas (Wi Fi ? ).
Un ejemplo clásico es un servidor con información sensible,
como las nóminas de sueldos, ubicado detrás de un equipo VPN,
el cual provee autenticación adicional más el agregado del
cifrado, haciendo posible que sólo el personal de recursos
humanos habilitado pueda acceder a la información.
2.4 Protocolos de Seguridad
Un escenario típico consiste de un número de principales,
tales como individuos, compañías, computadoras, lectores de
tarjetas magnéticas, los cuales se comunican usando una
variedad de canales (teléfono, correo electrónico, radio . . . ) o
dispositivos físicos (tarjetas bancarias, pasajes, cédulas . . . ).
Un protocolo de seguridad define las reglas que gobiernan estas
comunicaciones, diseñadas para que el sistema pueda soportar
ataques de carácter malicioso.
Protegerse contra todos los ataques posibles es generalmente
muy costoso, por lo cual los protocolos son diseñados bajo
ciertas premisas con respecto a los riesgos a los cuales el
sistema está expuesto.
Existen varios protocolos posibles. Las distintas compañías que
instalan y administran este tipo de redes elige unos u otros
protocolos. En todos los casos se cran túneles entre origen y
destino. Dentro de estos túneles viaja la información, bien por
una conexión normal (en este caso no se encriptan los datos) o
bien por una conexión VPN. El protocolo IP Sec es uno de los
más empleados. Este se basa en GRE que es un protocolo de
tunneling. Este protocolo también se utiliza de forma conjunta
con otros protocolos como PPTP.
Generic Routing Encapsulation (GRE 47)
Point-to-Point Tunneling Protocol (PPTP)
IP Sec
Protocolo de tunelado nivel 2 (L2TP)
Secure shell (SSH)
Generic Routing Encapsulation (GRE 47)
Es el protocolo de Encapsulación de Enrutamiento Genérico. Se
emplea en combinación con otros protocolos de túnel para crear
redes virtuales privadas.
El GRE está documentado en el RFC 1701 y el RFC 1702. Fue
diseñado para proporcionar mecanismos de propósito general,
ligeros y simples, para encapsular datos sobre redes IP. El GRE
es un protocolo cliente de IP que usa el protocolo IP 47.
Este protocolo es normalmente usado con VPN de Microsoft
entre servidores con acceso remoto (RRAS) configurados para el
enrutamiento entre redes de área local.
Esquema:
GRE se encarga del encapsulamiento de los datos para enviarlos
por un túnel, pero él no crea no los túneles, de eso de encarga
el protocolo PPTP u otro que estemos empleando.
El proceso de encapsulamiento tienen los siguientes pasos:
El paquete IP con los datos se transmite desde el Ecliente al
servidor E-RRAS.
Se le añade la cabecera del PPP y se cifra todo junto obteniendo
un ‘fragmento PPP’.
Los datos cifrados se colocan dentro de un paquete GRE con su
correspondiente cabecera.
Se envía el paquete GRE del servidor E-RRAS al servidor R-RRAS
a través de Internet.
Este envía se realiza por una conexión VPN creada
anteriormente.
El servidor R-RRAS elimina el encabezados GRE, descifra,
elimina el encabezado PPP y transmite los datos (paquete IP) a
el Rcliente.
Los datos cifrados se colocan dentro de un paquete GRE con su
correspondiente cabecera.
Esquema: Formato de un paquete GRE
Point-to-Point Tunneling Protocol
El Protocolo de Túnel Punto a Punto (PPTP) encapsula los
paquetes (frames) del Protocolo Punto a Punto (Point-to-Point
Protocol, PPP) con datagramas IP para transmitirlos por una red
IP como Internet o una intranet privada.
El PPTP utiliza una conexión TCP conocida como la conexión de
control de PPTP para crear, mantener y terminar el túnel, y una
versión modificada de GRE, para encapsular los paquetes
(frames) PPP como datos para el túnel. Las cargas de los
paquetes encapsulados pueden estar encriptadas o comprimidas
o ambas cosas.
El PPTP supone la disponibilidad de una red IP entre un cliente
PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un
servidor PPTP (un servidor de túnel que utiliza el protocolo
PPTP). El cliente PPTP podría estar ya conectado a una red IP
por la que puede tener acceso al servidor PPTP, o podría tener
que llamar telefónicamente a un servidor de acceso de red
(Network Access Server, NAS) para establecer la conectividad IP
como en el caso de los usuarios de accesos telefónicos para
Internet.
La autentificación que ocurre durante la creación de una
conexión VPN con PPTP utiliza los mismos mecanismos de
autentificación que las conexiones PPP, tales como el Protocolo
de Autentificación Extendible (Extensible Authentication
Protocol, EAP), el Protocolo de Autentificación con
Reto/Negociación de Microsoft (Microsoft Challenge-Handshake
Authentication Protocol, MS-CHAP), el CHAP, el Protocolo de
Autentificación de Claves Shiva (Shiva Password Authentication
Protocol, SPAP) y el Protocolo de Autentificación de Claves
(Password Authentication Protocol, PAP). El PPTP hereda la
encriptación, la compresión o ambas de las cargas PPP del PPP.
Para servidores PPTP sobre Internet, el servidor PPTP es un
servidor VPN con PPTP con una interfase con Internet y una
segunda interfase con la intranet.
IP Sec
IP Sec es un grupo de extesiones de la familia del protocolo IP
pensado para proveer servicios de seguridad a nivel de red, de
un modo transparente a las aplicaciones superiores.
IP Sec está ya explicado en su trabajo correspondiente: I Pv
6 e IP Sec
Protocolo de tunelado de nivel 2 (L2TP)
Es un componente de creación importante para las VPN de
acceso. Es una extensión del protocolo Punto a Punto,
fundamental para la creación de VPNs. L2TP combina las
mejores funciones de los otros dos protocolos tunneling. Layer 2
Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling
(PPTP) de Microsoft. L2TP es un estándar emergente, que se
encuentra actualmente en codesarrollo y que cuenta con el
respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros
líderes en la industria de la conectividad.
A continuación una serie de términos relacionados con este
protocolo:
L2TP Access Concentrator (LAC): Se añade un dispositivo LAC a
los componentes físicos de la red conmutada; como la red
telefónica convencional o RDSI, o se coloca con un sistema de
terminación PPP capaz de gestionar el protocolo L2TP. Un LAC
sólo necesita implementar el medio sobre el cual opera el L2TP
para admitir el tráfico de una o más LNS. Puede “tunelizar”
cualquier protocolo que incluya el PPP. LAC es el iniciador de las
llamadas entrantes y el receptor de las llamadas salientes.
L2TP Network Server (LNS): Un LNS opera sobre cualquier
plataforma con capacidad de terminación PPP. LNS gestiona el
lado del servidor del protocolo L2TP. Ya que L2TP se apoya
sobre el medio al que llegan los túneles L2TP, LNS sólo puede
tener un único interfaz LAN o WAN, aunque es capaz de terminar
las llamadas entrantes en cualquiera de la amplia gama de los
interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre
Frame Relay).
Network Access Server (Servidor de acceso a la red): NAS es un
dispositivo que proporciona a los usuarios acceso temporal a la
red bajo demanda. Este acceso es punto a punto, de uso típico
en líneas de la red telefónica convencional o RDSI. En la
implementación Cisco, un NAS sirve como LAC.
Secure shell (SSH)
Tradicionalmente en sistemas Unix en el momento de entrar en
el sistema, tanto el login como el password, así como el resto de
la sesión, se transmiten a través de nuestra LAN o incluso a
través de routers y nodos ajenos al nuestro en texto claro. Esto
quiere decir que cualquiera que tenga activado un sniffer puede
capturar nuestras sesiones con el potencial peligro que ello
conlleva. La manera de evitar que alguien pueda espiar nuestras
claves y sesiones, es utilizar una herramienta muy potente, fácil
de instalar y muy cómoda para el usuario.
ssh/sshd actúan basándose en la arquitectura cliente/servidor ,
en este caso concreto sshd se ejecuta en el servidor en un
puerto (el defecto es el 22) a la espera de que alguien utilizando
un cliente ssh se conecte para ofrecerle una sesión segura
encriptándola de extremo a extremo.
Todo es como en una sesión telnet tradicional, pero con la
particularidad de que todas las comunicaciones serán
encriptadas. El manejo de cualquier programa cliente de SSH es
muy sencillo. Básicamente hay que introducir el servidor al que
te quieres conectar (por ejemplo fanelli.sindominio.net) y que
algoritmo de encriptación quieres usar (por ejemplo 3DES). Si no
se dispone de un programa cliente de SSH, puede bajarse de
Internet.
Los programas que vienen con la distribución son:
sshd Es el servidor propiamente dicho, escucha a la espera de
conexiones.
ssh Es el cliente, con él nos podemos conectar a un servidor
sshd así como ejecutar comandos.
scp Copia archivos con seguridad entre hosts. (Sustituto ideal
de rcp) .
ssh-keygen Usado para crear RSA keys (host keys y user
authentication keys).
ssh-agent Agente de autentificación (Usado para manejar RSA
keys en la autentificación).
ssh-add Se usa para añadir nuevas llaves con el agente.
make-ssh-known-hosts Usado para crear el archivo
/etc/ssh_known_hosts .
Unidad 3 Diseño e implementación de
redes
3.1 Redes Convergentes
Definición de una Red Convergente
Una red convergente no es únicamente una red capaz de
transmitir datos y voz sino un entorno en el que además existen
servicios avanzados que integran estas capacidades, reforzando
la utilidad de los mismos. A través de la convergencia, una
compañía puede reinventar tanto sus redes de comunicaciones
como toda su organización. Una red convergente apoya
aplicaciones vitales para estructurar el negocio -Telefonía IP,
videoconferencia en colaboración y Administración de
Relaciones con el Cliente (CRM) que contribuyen a que la
empresa sea más eficiente, efectiva y ágil con sus clientes.
3.1.1 Impacto en los negocios
Impacto en los Negocios
Las empresas descubren que los beneficios de la convergencia
afectan directamente los ingresos netos:
Las soluciones convergentes nos hacen más productivos, pues
simplifican el usar aplicaciones y compartir información.
Tener una red para la administración significa que el ancho de
banda será usado lo más eficientemente posible, a la vez que
permite otras eficiencias y ahorros de costos: en personal,
mantenimiento, cargos de interconexión, activaciones,
mudanzas y cambios.
Los costos más bajos de la red, productividad mejorada, mejor
retención de clientes, menor tiempo para llegar al mercado-son
los beneficios netos que posibilitan las soluciones de redes
convergentes.
Reducción de costos de personal para la administración de red y
mantenimiento.
Viabilidad de las Redes Convergentes
En lo general, los directores y/o gerentes de IT presentan
grandes proyectos de convergencia los cuales enfrentan el
problema de su justificación.
Es recomendable, crear una visión de la red convergente de la
empresa y empezar por resolver en etapa esta visión.
Las recomendaciones son:
1. Empezar por la red WAN de la empresa (si la tiene), unificar
en un mismo medio voz, datos y video por un mismo medio, nos
da los beneficios de:
Administrar un solo equipo (router)
Aprovechar anchos de banda desperdiciados por la demanda de
cada aplicación (voz, datos, video, etc.)
Aprovechar anchos de banda por horarios, existen generalmente
diferentes picos de demanda en cada aplicación (voz, datos,
video, etc.)
Eliminar costos de larga distancia y servicio medido
2. Adquisición de nueva infraestructura por crecimiento de
nuevas necesidades se realiza ya en un ambiente de una red
convergente, es decir, adquirir teléfonos IP, switches
preparados para telefonía IP con calidad de servicio (QoS).
3. Sustitución tecnológica se va realizando en función de que el
equipamiento está ya obsoleto o inservible.
4. Necesidades de seguridad en las conversaciones de voz, una
llamada entre teléfonos IP, la voz está encriptada.
5. Reducción de pérdidas de información y conectividad que
afectan los procesos productivos del negocio
6. Justificación basada en nuevas aplicaciones que aumentarán
la productividad y rentabilidad del negocio.
Al final del proyecto, Usted tendrá una Red Convergente en el
cual se justificó por los ahorros y beneficios que aportó a la
empresa.
3.2 Casos de estudio