Conmutación y Enrutamiento UNIDAD 1 (1)

��

��

Instituto Tecnológico de San Luis Potosí.

Programa de Conmutación Conmutación y Enrutamiento

Ing. José Gastón Cortés Torres.

Departamento: Sistemas y Computación. Computación.

Desarrollo de la Materia. Conmutación y Enrutamiento.

Revisión : San Luis Potosí, a 15 de Agosto de 2013.

��

��

� � ��

��

��

CONTENIDO. CONMUTACIÓN Y ENRUTAMIENTO.

Unidad 1 Direccionamiento y enrutamiento IP. 1.1 Direccionamiento IP y subredes: Máscaras de longitud fija y variable. 1.2 Segmentación Tráfico, Niveles de Seguridad 1.3 Modos de conmutación de capa 2 Store-and-forward switch, cut-through switch, fragment-free switch 1.3 Tecnologias de conmutación LAN (VLAN, VTP), WAN(ATM, MPLS) 1.4 Enrutamiento. Estático, Dinámico (vector-distancia, estado de enlace)

Unidad 2.- Tecnologías WAN. 2.1 Estándares 2.2 Tipos de enlaces: conmutados, dedicados 2.3 Topologías WAN 2.4 Tecnologías actuales: PPP, XDSL, Frame Relay, ISDN, ATM 2.5 Configuración de dispositivos dispositivos WAN

Unidad 3.- Tecnologías inalámbricas. 3.1 Clasificación de redes inalámbricas: PAN, LAN, WAN

��

��

� � ��

��

��

3.2 Estándares y protocolos de comunicación: Bluetooth, Infrarrojo, Wi-Fi, Wi-Max 3.3 Dispositivos y configuración. 3.4 Mecanismos y protocolos de seguridad: WEP, WAP, WPA-PSK, WEP2, Filtrado de MACs.

��

��

� � ��

��

��

CONMUTACIÓN Y ENRUTAMIENTO. Materia: Conmutación y Enrutamiento. Objetivo: • Realizar la planeación de un proyecto de red y documentar la propuesta de solución en base a los lineamientos establecidos por la organización. • Seleccionar la mejor propuesta entre los Proveedores de Servicios de Internet (ISP) con base a los requerimientos de ancho de banda, tráfico y seguridad de redes en conexiones WAN. • Instalar y configurar equipos de conmutación y enrutamiento siguiendo las Especificaciones del fabricante para asegurar la funcionalidad del mismo.

Unidad 1.- Direccionamiento y enrutamiento IP Los aspectos más complejos de IP son el direccionamiento y el enrutamiento. El direccionamiento se refiere a la forma como se asigna una dirección IP y cómo se dividen y se agrupan subredes de equipos. El enrutamiento consiste en encontrar un camino que conecte una red con otra y, aunque es llevado a cabo por todos los equipos, es realizado principalmente por routers, que no son más que computadoras especializadas en recibir y enviar paquetes por diferentes interfaces de red, así como proporcionar opciones de seguridad, redundancia de caminos y eficiencia en la utilización de los recursos. Una dirección IP es un número que identifica de manera lógica y jerárquicamente a una interfaz de un dispositivo (habitualmente una computadora o un dispositivo de red) dentro de una red que utilice el protocolo de Internet (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI. La dirección IP no se debe confundir con la dirección MAC que es un número físico que es asignado a la tarjeta o dispositivo de red (viene impuesta por el fabricante), mientras que la dirección IP se puede cambiar. Existen dos formas de asignar una dirección IP: Estática y Dinámicamente. El usuario al conectarse a Internet utiliza una dirección IP. Esta dirección puede cambiar al reconectar. A la posibilidad de cambio de dirección de la IP se denomina dirección IP dinámica.

��

��

� � ��

��

��

Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una dirección IP fija (IP fija o IP estática); es decir, no cambia con el tiempo. Los servidores de correo, dns, ftp públicos, servidores web, conviene que tengan una dirección IP fija o estática, ya que de esta forma se f acilita su ubicación. Las máquinas manipulan y jerarquizan la información de forma numérica, y son altamente eficientes para hacerlo y ubicar direcciones IP. Para el usuario normal debemos utilizar otra notación más fácil de recordar y utilizar, por ello las direcciones IP pueden utilizar un sinónimo, llamado nombre de dominio (Domain Name), para convertir los nombres de dominio en direcciones IP, se utiliza la resolución de nombres de dominio DNS. Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic Host Configuration Protocol).

1.1 Direccionamiento IP y subredes: Una dirección IP es una etiqueta numérica que identifica, de manera lógica y jerárquica, a un interfaz (elemento de comunicación/conexión) de un dispositivo Las direcciones IPv4 se expresan por un número binario de 32 bits, permitiendo un espacio de direcciones de hasta 4.294.967.296 (232) direcciones posibles. Las direcciones IP se pueden expresar como números de notación decimal y se dividen los 32 bits de la dirección en cuatro octetos. El valor decimal de cada octeto está comprendido en el rango de 0 a 255 [el número binario de 8 bits más alto es 11111111 y esos bits, de derecha a izquierda, tienen valores decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255]. En la expresión de direcciones IPv4 en decimal se separa cada octeto por un carácter único ".". Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo algunas excepciones. Los ceros iniciales, si los hubiera, se pueden obviar. Ejemplo de representación de dirección IPv4: 192.128.001.255 o 192.128.1.255 En las primeras etapas del desarrollo del Protocolo de Internet, los administradores de Internet interpretaban las direcciones IP en dos partes, los primeros 8 bits para designar la dirección de red y el resto para individualizar la computadora dentro de la red. Este método pronto probó ser inadecuado, cuando se comenzaron a agregar nuevas redes a las ya asignadas. El direccionamiento de internet fue revisado y se introdujo la arquitectura de clases (classful network architecture). En esta arquitectura hay tres clases de direcciones IP que una organización puede recibir de parte de la Internet Corporation for Assigned Names and Numbers (ICANN): clase A, c lase B y clase C.

��

��

� � ��

��

��

En una red de clase A, se asigna el primer octeto para identificar la red, reservando los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 224 - 2 (se excluyen la dirección reservada para broadcast (últimos octetos en 255) y de red (últimos octetos en 0)), es decir, 16.777.214 hosts. En una red de clase B, se asignan los dos primeros octetos para identificar la red, reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 216 - 2, o 65.534 hosts. En una red de clase C, se asignan los tres primeros octetos para identificar la red, reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la cantidad máxima de hosts es 28 - 2, ó 254 hosts.

Clase

Rango

A

1.0.0.0 - 126.255.255.255

B

N° de Redes N° de Host Por Red Máscara de Red Broadcast ID 126

16.777.214

255.0.0.0

x.255.255.255

128.0.0.0 - 191.255.255.255 16.384

65.534

255.255.0.0

x.x.255.255

C

192.0.0.0 - 223.255.255.255 2.097.152

254

255.255.255.0

x.x.x.255

(D)

224.0.0.0 - 239.255.255.255 histórico

(E)

240.0.0.0 - 255.255.255.255 histórico

La dirección 0.0.0.0 es reservada por la IANA para identificación local. La dirección que tiene los bits de host iguales a cero sirve para definir la red en la que se ubica. Se denomina dirección de red. La dirección que tiene los bits correspondientes a host iguales a 255, sirve para enviar paquetes a todos los hosts de la red en la que se ubica. Se denomina dirección de broadcast. Las direcciones 127.x.x.x se reservan para designar la propia máquina. Se denomina dirección de bucle local o loopback. El diseño de redes de clases (classful) sirvió durante la expansión de internet, sin embargo este diseño no era escalable y frente a una gran expansión de las redes en la década de los noventa, el sistema de espacio de direcciones de clases fue reemplazado por una arquitectura de redes sin clases Classless Inter-Domain Routing (CIDR)3 en el año 1993. CIDR está basada en redes de longitud de máscara de subred variable (variable-length subnet masking VLSM) que permite asignar redes de longitud de prefijo arbitrario. Permitiendo una distribución de direcciones más fina y granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas posibles.

Direcciones privadas. Existen ciertas direcciones en cada clase de dirección IP que no están asignadas y que se denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los hosts que no se conectan a Internet. En una misma red no pueden existir dos direcciones iguales, pero

��

��

� � ��

��

��

sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que se conecten mediante el protocolo NAT. Las direcciones privadas como ejemplo son:

Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts). Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts). 16 redes clase B contiguas, para uso en universidades y grandes compañías.

Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts). 256 redes clase C continuas, para uso de compañías medias y pequeñas además de pequeños proveedores de internet (ISP). Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan conectividad externa. En las redes de gran tamaño a menudo se usa TCP/IP. Por ejemplo, los bancos pueden utilizar TCP/IP para conectar los cajeros automáticos que no se conectan a la red pública, de manera que las direcciones privadas son ideales para estas circunstancias. Las direcciones privadas también se pueden utilizar en una red en la que no hay suficientes direcciones públicas disponibles. Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones de red (NAT) para suministrar conectividad a todos los hosts de una red que tiene relativamente pocas direcciones públicas disponibles. Según lo acordado, cualquier tráfico que posea una dirección destino dentro de uno de los intervalos de direcciones privadas no se enrutará a través de Internet.

Máscara de subred La máscara permite distinguir los bits que identifican la red y los que identifican el host de una dirección IP. Dada la dirección de clase A 10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y el host al que se refiere es el 2.1.2 dentro de la misma. La máscara se forma poniendo a 1 los bits que identifican la red y a 0 los bits que identifican el host. De esta forma una dirección de clase A tendrá como máscara 255.0.0.0, una de clase B 255.255.0.0 y una de clase C 255.255.255.0. Los dispositivos de red realizan un AND entre la dirección IP y la máscara para obtener la dirección de red a la que pertenece el host identificado por la dirección IP dada. Por ejemplo un router necesita saber cuál es la red a la que pertenece la dirección IP del datagrama destino para poder consultar la tabla de encaminamiento y poder enviar el datagrama por la interfaz de salida. Para esto se necesita tener cables directos. La máscara también puede ser representada de la siguiente forma 10.2.1.2/8 donde el /8 indica que los 8 bits más significativos de máscara están destinados a redes, es decir /8 = 255.0.0.0. Análogamente (/16 = 255.255.0.0) y (/24 = 255.255.255.0).

��

��

� � ��

��

��

Creación de subredes El espacio de direcciones de una red puede ser subdividido a su vez creando subredes autónomas separadas. Un ejemplo de uso es cuando necesitamos agrupar todos los empleados pertenecientes a un departamento de una empresa. En este caso crearíamos una subred que englobara las direcciones IP de éstos. Para conseguirlo hay que reservar bits del campo host para identificar la subred estableciendo a uno los bits de red-subred en la máscara. Por ejemplo la dirección 191.18.1.1 con máscara 255.255.255.0 nos indica que los dos primeros octetos identifican la red (por ser una dirección de clase B), el tercer octeto identifica la subred (a 1 los bits en la máscara) y el cuarto identifica el host (a 0 los bits correspondientes dentro de la máscara). Hay dos direcciones de cada subred que quedan reservadas: aquella que identifica la subred (campo host a 0) y la dirección para realizar broadcast en la subred (todos los bits del campo host en 1).

IP dinámica Ua dirección IP dinámica es una IP asignada mediante un servidor DHCP (Dynamic Host Configuration Protocol) al usuario. La IP que se obtiene tiene una duración máxima determinada. El servidor DHCP provee parámetros de configuración específicos para cada cliente que desee participar en la red IP. Entre estos parámetros se encuentra la dirección IP del cliente. DHCP apareció como protocolo estándar y el estándar RFC 2131 especifica la última definición de DHCP (marzo de 1997). DHCP sustituye al protocolo BOOTP, que es más antiguo. Debido a la compatibilidad retroactiva de DHCP, muy pocas redes continúan usando BOOTP puro. Las IP dinámicas son las que actualmente ofrecen la mayoría de operadores. El servidor del servicio DHCP puede ser configurado para que renueve las direcciones asignadas cada tiempo determinado.

Ventajas: Reduce los costos de operación a los proveedores de servicios de Internet (ISP). Reduce la cantidad de IP asignadas (de forma fija) inactivas.

Desventajas: Obliga a depender de servicios que redirigen un host a una IP.

Asignación de direcciones IP Dependiendo de la implementación concreta, el servidor DHCP tiene tres métodos para asignar las direcciones IP: •

Manualmente, cuando el servidor tiene a su disposición una tabla que empareja direcciones MAC con direcciones IP, creada manualmente por el administrador de

��

��

� � ��

��

��

la red. Sólo clientes con una dirección MAC válida recibirán una dirección IP del servidor. •

Automáticamente, donde el servidor DHCP asigna por un tiempo pre-establecido ya por el administrador una dirección IP libre, tomada de un rango predefinido también por el administrador, a cualquier cliente que la requiera.

•

Dinámicamente, Es el único método que permite la re-utilización de direcciones IP. El administrador de la red asigna un rango de direcciones IP para el DHCP y cada cliente de la LAN tiene su software de comunicación TCP/IP configurado para solicitar una dirección IP del servidor DHCP cuando su tarjeta de interfaz de red se inicie. El proceso es transparente para el usuario y tiene un periodo de validez limitado.

IP fija Una dirección IP fija es una dirección IP asignada por el usuario de manera manual (Que en algunos casos el ISP o servidor de la red no lo permite), o por el servidor de la red (ISP en el caso de internet, router o switch en caso de LAN) con base en la Dirección MAC del cliente. Muchos usuarios confunden IP Fija con IP Pública e IP Dinámica con IP Privada. Una IP puede ser Privada ya sea dinámica o fija como puede ser IP Pública Dinámica o Fija. Una IP pública se utiliza generalmente para montar servidores en internet y necesariamente se desea que la IP no cambie por eso siempre la IP Pública se la configura de manera Fija y no Dinámica, aunque si se podría. En el caso de la IP Privada generalmente es dinámica asignada por un servidor DHCP, pero en algunos casos se configura IP Privada Fija para poder controlar el acceso a internet o a la red local, otorgando ciertos privilegios dependiendo del número de IP que tenemos, si esta cambiara (fuera dinámica) sería más complicado controlar estos privilegios (pero no imposible).

Direcciones IPv6 La función de la dirección IPv6 es exactamente la misma que la de su predecesor IPv4, pero dentro del protocolo IPv6. Está compuesta por 128 bits y se expresa en una notación hexadecimal de 32 dígitos. IPv6 permite actualmente que cada persona tenga asignados varios millones de IPs, ya que puede implementarse con 2128 (3.4×1038 hosts direccionables). La ventaja con respecto a la dirección IPv4 es en cuanto a su capacidad de direccionamiento. Su representación suele ser hexadecimal y para la separación de cada par de octetos se emplea el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas de notación acerca de la representación de direcciones IPv6 son: Los ceros iniciales, como en IPv4, se pueden obviar. Ejemplo: 2001:0123:0004:00ab:0cde:3403:0001:0063

��

��

-> 2001:123:4:ab:cde:3403:1:63

� � ��

��

��

Los bloques contiguos de ceros se pueden comprimir empleando "::". Esta operación sólo se puede hacer una vez. Ejemplo: 2001:0:0:0:0:0:0:4 -> 2001::4.

Ejemplo no 2001:0:0:0:2::1).

válido:

2001:0:0:0:2:0:0:1

->

2001::2::1 (debería

ser

2001::2:0:0:1

ó

Máscaras de longitud fija y variable. Para utilizar una máscara de subred de tamaño fijo (la misma máscara de subred en todas las subredes), todas las subredes van a tener el mismo tamaño. Por ejemplo, si la subred más grande necesita 200 hosts, todas las subredes van a tener el mismo tamaño de 256 direcciones IP (nota: se ha redondeado hacia arriba, hacia la siguiente potencia, de 2). Si una subred que necesita 10 equipos, se asigna la misma subred de 256 direcciones, aunque las restantes 246 direcciones no se utilicen. Incluso los enlaces seriales (WAN), que sólo necesitan dos direcciones IP, requieren una subred de 256 direcciones. Las máscaras de subred de tamaño variable (variable length subnet mask, VLSM) representan otra de las varias soluciones que se implementaron para el agotamiento de direcciones IP (1987) y otras como la división en subredes (1985), el enrutamiento de interdominio CIDR (1993), NAT y las direcciones ip privadas. Otra de las funciones de VLSM es descentralizar las redes y de esta forma conseguir redes más seguras y jerárquicas. Recordemos que una subred es un conjunto de direcciones IP y con ella podemos hacer dos cosas: asignar direcciones IP a los equipos o dividirlo nuevamente en subredes más pequeñas . En cada división, las subredes primera y última no se usan (actualmente, la mayoría del hardware ya soporta el poder trabajar con ambas, primera y última, aunque se deberá de comprobar antes de hacer uso de éstas). Este tipo tiene una aplicación parecida al direccionamiento IP donde la primera identificaba la red y la última es de broadcast - en este caso, la primera identificaba la subred y la última se aplicaba al broadcast de subred. Cabe aclarar que no se usan para asignar direcciones IP a los equipos, pero sí se pueden usar para dividirlas en subredes más pequeñas. El concepto básico de VLSM es muy simple: se toma una red y se divide en subredes fijas, luego se toma una de esas subredes y se vuelve a dividir, tomando bits "prestados" de la porción de hosts, ajustándose a la cantidad de hosts requeridos por cada segmento de nuestra red. Por ejemplo, si tomamos la dirección de red 192.168.1.0/24 y la subdividimos usando una máscara /26 tendremos 4 subredes (192.168.1.0/26, 192.168.1.64/26, 192.168.1.128/26 y 192.168.1.192/26). Supongamos que formamos un enlace serie entre dos routers y tomamos para ello una de nuestras subredes (la 192.168.1.0/26): con esta máscara de subred sin aplicar vlsm estaríamos desperdiciando 60 direcciones utilizables (2^6-2=62, menos las 2 direcciones aplicadas a las interfaces de los routers nos da 62 hosts, [64-2=62] una dirección para el nombre de la red o dirección de red y la otra para la dirección de difusión o broadcast).

��

��

� � ��

��

��

Ahora, si aplicamos vlsm a la subred anterior (la 192.168.1.0/26) y tomamos "prestados" 4 bits de la porción de host tendríamos otras 16 subredes /30 (192.168.1.0/30, 192.168.1.4/30, 192.168.1.8/30, 192.168.1.12/30, 192.168.1.16/30 y así sucesivamente hasta la 192.168.1.60/30) cada una con un total de 4 direcciones totales pero solamente dos direcciones utilizables y no se genera desperdicio. Finalmente podemos tomar cualquiera de ellas, por ejemplo la 192.168.1.4/30 y aplicar las direcciones 192.168.1.5/30 y 192.168.1.6/30 a las interfaces de los routers. Una alternativa, para ahorrar las escasas direcciones públicas, es utilizar direcciones privadas (RFC 1918), en combinación con traducción NAT, especialmente en las direcciones que no necesitan ser accedidos desde fuera de la red interna. También es posible, en algunos casos, que un enlace serial se "preste" la dirección IP de otro enlace conectado al mismo router; sin embargo, esto implica la desventaja de que ya no se puede acceder directamente a ese enlace, por ejemplo, mediante un ping. La alternativas de VLSM son más propias para el tipo de enrutamiento, en cuestiones de IPv6 es sumamente importante tener en cuenta las solicitudes dadas por el servidor para así poder crear el pool de direcciones dadas por el router.

1.2 Segmentación Un conmutador o switch es un dispositivo de interconexión de redes de computadoras que opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red. Los conmutadores se utilizan cuando se desea conectar múltiples redes (voz, video, datos), fusionándolas en una sola. Al igual que los puentes, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las redes de área local Los switch poseen la capacidad de aprender y almacenar las direcciones de red de la capa 2 del modelo OSI (a través de sus direcciones MAC) de los dispositivos alcanzables a través de cada uno de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de switch o conmutador provoca que el conmutador almacene su dirección MAC. Esto permite que, a diferencia de los concentradores, la información dirigida a un dispositivo vaya desde el puerto origen al puerto de destino. Lo cual garantiza y eficienta el uso de los paquetes en la red. Una situación que se debe contemplar en los switch es como se puede tener 2 caminos o rutas para llegar a otro equipo en la red a través de los diferentes switch que conforman la red. Esto se conoce a través de un circuito o bucle. Estos circuitos se producen por que los switch se dan cuenta que pueden llegar de un switch a otro por multiples caminos, este proceso provoca que los paquetes se multipliquen de manera exponencial, lo cual provoca que se sature la red y se pueda caer la misma. Spanning Tree Protocol(STP): Es un protocolo de red de nivel capa 2 del modelo OSI. Su función es la de gestionar la presencia de bucles o ciclos en topologías de red debido a la existencia de

��

��

� � ��

��

��

enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexión activar o desactivar automáticamente los enlaces de conexión, de forma que se garantice la eliminación de bucles. STP es transparente a las estaciones de usuario. Los bucles ocurren cuando hay rutas alternativas hacia un mismo destino (sea una máquina o segmento de red). Estas rutas alternativas son necesarias para proporcionar redundancia y así ofrecer una mayor fiabilidad a la red, dado el caso en que un enlace falle, los otros puede seguir soportando el tráfico de ésta. Los problemas aparecen cuando utilizamos dispositivos de interconexión de nivel de enlace, como un puente de red o un conmutador de paquetes.

Cuando existen bucles en la topología de red, los dispositivos de interconexión de nivel de enlace de datos reenvían indefinidamente las tramas broadcast y multicast, creando así un bucle infinito que consume tanto el ancho de banda de la red como CPU de los dispositivos de enrutamiento. Esto provoca que se degrade el rendimiento de la red en muy poco tiempo, pudiendo incluso llegar a quedar inutilizable. Al no existir un campo TTL (tiempo de vida) en las tramas de capa 2, éstas se quedan atrapadas indefinidamente hasta que un administrador de sistemas rompa el bucle. Un router, por el contrario, sí podría evitar este tipo de reenvíos indefinidos. La solución consiste en permitir la existencia de enlaces físicos redundantes, pero creando una topología lógica libre de bucles. STP calcula una única ruta libre de bucles entre los dispositivos de la red pero manteniendo los enlaces redundantes desactivados como reserva, con el fin de activarlos en caso de fallo. Si la configuración de STP cambia, o si un segmento en la red redundante llega a ser inalcanzable, el algoritmo reconfigura los enlaces y restablece la conectividad, activando uno de los enlaces de reserva. Si el protocolo falla, es posible que ambas conexiones estén activas simultáneamente, lo que podrían dar lugar a un bucle de tráfico infinito en la LAN. El Spanning tree (árbol de expansión) permanece vigente hasta que ocurre un cambio en la topología, situación que el protocolo es capaz de detectar de forma automática. El máximo tiempo de duración del árbol de expansión es de cinco minutos. Cuando ocurre uno de estos cambios, el puente raíz actual redefine la topología del árbol de expansión o se elige un nuevo puente raíz. Tráfico y Niveles de Seguridad El tráfico en la red se determina en función del número de nodos y los paquetes de información que se generan en la red y que viajan a través del ancho de banda. Para que el trafico sea adecuado debe existir un equilibrio entre los usuarios y aplicaciones que se desempeñan en intercambio de información en la red. Un ejemplo de tráfico en la red es: El tráfico web, el cual se compone de la cantidad de datos enviados y recibidos por los visitantes de un sitio web. Esta es una proporción del tráfico de internet. El tráfico en la web es determinado por el número de visitantes y de páginas que visitan. El tráfico es medido para ver la popularidad de sitios y páginas individuales o secciones sin que estos estén en un portal.

��

��

� � ��

��

��

El tráfico puede ser analizado con ver las estadísticas encontradas en el archivo del servidor de la página, el cual genera automáticamente una lista de todas las páginas vistas. Un contador es generado e incrementado cuando cualquier archivo es visto. La página, en si misma, es considerada un archivo, pero las imágenes también son archivos, por consecuencia, una página con tres imágenes puede generar 4 contadores (las 3 imágenes y la página). Una vista de página es generada cuando un visitante consulta cualquier página del sitio. El visitante siempre generará al menos una vista a la página (portada) pero puede generar muchas más. También existen aplicaciones externas que toman registro de los sitios web insertando un indicador o metaetiqueta (pequeño código HTML) en cada página del sitio que genera información estadística de ocurrencias en la página. El tráfico también es medido a veces por un packet sniffing y también entrega muestras aleatorias de tráfico e información externa sobre todo el uso que tiene la página en Internet.

Criterios de medición. •

Número de visitantes.

•

Promedio de páginas vistas por un usuario (un promedio alto indica que los usuarios exploran constantemente la página, quizá porque la encuentran útil, o en caso contrario puede indicar inhabilidad del sitio o que el público encuentra la información fácil).

•

Promedio de tiempo de un usuario e n el sitio.

•

Promedio de duración en la página (por cuanto tiempo es vista).

•

Clases dominantes (niveles de direcciones IP requeridas para abrir páginas web y contenido).

•

Hora pico (el mayor tiempo de popularidad de la página puede mostrarse cuando se hacen campañas promocionales).

•

Páginas más requeridas (más populares).

•

Portadas más requeridas (es la primera página del sitio, la que más atrae a los visitantes).

Un herramienta para analizar el tráfico de la red es un Sniffer. Sniffer: Aplicación de análisis y monitoreo para el tráfico de una red para detectar problemas, lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de congestionamiento (cuellos de botella). En informática, un packet sniffer es un programa de captura de las tramas de red y puede usarse ilegalmente para recibir datos privados en una r ed, además son difíciles de detectar Uno de los principales problemas que se presentan en la red es el tráfico y la congestión de la red. La congestión de la red se conoce como: el fenómeno producido cuando a la red (o parte de ella) se le ofrece más tráfico del que puede atender o soportar.

Causas de la congestión Existen varias causas de congestionamiento de red, las más importantes son:

��

��

� � ��

��

��

Memoria insuficiente de los conmutadores o switch. Se reciben muchos paquetes demasiado rápido para ser procesados (lo que produce que se sature la memoria del conmutador). Adicional se puede presentar que para la memoria de salida haya demasiados paquetes esperando ser atendidos, entonces se llena memoria, se satura y se degrada el desempeño de la red Insuficiente CPU en los nodos. Puede que el nodo sea incapaz de procesar toda la información que le llega, con lo que hará que se saturen las colas y esto genera una velocidad de respuesta insuficiente de las líneas. Para poder resolver este tema existe el control de una congestión, el que comprende todo un conjunto de técnicas y opciones para detectar y corregir los problemas que surgen cuando no todo el tráfico de una red puede ser atendido. Existen mecanismos de control de una congestión de tráfico. El problema del control de congestión puede enfocarse matemáticamente desde el punto de vista de la teoría de control de procesos, y según esto pueden proponerse soluciones en bucle abierto y en bucle cerrado. Soluciones en bucle abierto: También llamadas soluciones pasivas. Combaten la congestión de las redes mediante un adecuado diseño de las mismas. Existen múltiples variables con las que el diseñador puede jugar a la hora de diseñar la red. Estas variables influirán en el comportamiento de la red frente a la congestión. Se resumen en función del nivel del modelo OSI al que hacen referencia:

Nivel de enlace: Variables de diseño: Diseño de parámetros y política de retransmisiones: Cuando los parámetros agotan su cuenta (tiempo de espera), los paquetes afectados serán retransmitidos por la fuente. Si este tiempo es muy pequeño, habrá gran cantidad de retransmisiones. Por el contrario, si es grande, habrá menos congestión, pero el retardo medio aumentará. Además, podemos controlar lo que se retransmite cuando el parámetro se agota.

Política de descarte y almacenamiento de paquetes que llegan fuera de orden: El rechazo puede ser simple y que origine más retransmisiones, o bien selectivo, obligando a un almacenamiento temporal de los paquetes que llegan fuera de orden y mejorando la congestión.

Política de asentimientos: El piggybacking, o utilización de parte de un paquete de datos para enviar asentimientos de paquetes recibidos anteriormente, reduce, en principio, el tráfico, pero puede provocar que las retransmisiones contribuyan a la congestión.

��

��

� � ��

��

��

Política de control de flujo: Deteniendo el nodo o fuente de red que vierte mucho tráfico podemos reducir el riesgo de congestión. Esta fuente puede ser un programa con código de spam, errores en protocolos, ciclos de programación, …. Nivel de Red.

Variables de diseño: Circuitos Virtuales frente a datagramas: Muchos algoritmos de control de congestión funcionan sólo en modo circuito virtual.

Política de colas (Teoría de colas) y de servicio: Los routers pueden diseñarse con una cola por línea de entrada, una cola por línea de salida, o ambos. Además, puede jugarse con el orden en que los paquetes son procesados, dando más prioridad a los paquetes de control, que contienen información útil desde el punto de vista de la congestión.

Política de descarte de paquetes: De nuevo, la correcta elección de los paquetes que se descartan puede disminuir el riesgo de congestión.

Algoritmo de enrutamiento: Es bueno desde el punto de vista de la congestión, realiza el balanceo del tráfico entre todas las líneas de la red.

Tiempo de vida de los paquetes: La correcta elección de esta variable permite reducir el número de retransmisiones, mejorando así el comportamiento de la red desde el punto de vista de la congestión.

Nivel de transporte: Análogo al nivel de enlace, pero mantiene estos parámetros entre sistemas finales.

Soluciones en bucle cerrado : También llamadas soluciones activas. Actúan cuando se detectan problemas. Tienen tres fases:

a) Monitorización de parámetros: Se vigilan los siguientes parámetros: 1. Ocupación de los enlaces y de los buffers (colas de espera en los nodos). 2. Porcentaje de descartes. 3. Número de retransmisiones. 4. Retardos y jitters. Los jitters son oscilaciones de la separación temporal entre paquetes. En aplicaciones que requieren sincronización (videoconferencia, sincronizar audio con vídeo), es muy importante que esas oscilaciones sean pequeñas.

b) Reacción: envío de información a los puntos necesarios. La comunicación se realiza gracias a:

��

��

� � ��

��

��

1. Paquetes especiales. No están sometidos a control de congestión y se saltan las colas de espera en los nodos. Los envía el nodo que, gracias a la monitorización, ha detectado la congestión. 2. Bits de cabecera. En los paquetes enviados, indico en la cabecera que empieza a haber congestión. (Ejemplo: Frame Relay). 3. Información específica. Si se recibe una alerta de congestión (mediante bits de cabecera de paquetes que circulan por la red), se solicita más información.

c) Ajuste del sistema. Hay varias medidas: 1. Reducir la velocidad de envío 2. Control de acceso. No se permiten más conexiones. 3. Tirar paquetes. Controlar ráfagas de paquetes que llegan.

Algoritmos de control de congestión. Se describen dos algoritmos en bucle cerrado: el algoritmo de descarte de paquetes, y un algoritmo de paquetes reguladores, así como un algoritmo en bucle abierto llamado mecanismo de Traffic Shaping.

Algoritmo de descarte de paquetes . Es un algoritmo de control de congestión en bucle cerrado. Se basa en que los nodos descartan paquetes cuando su ocupación es alta. Para esto los nodos han de conocer sus recursos (CPU y memoria). Hace una asignación dinámica de los buffers en base a las necesidades de cada línea. Sin embargo, cada línea necesita al menos una (o más) posiciones de memoria para gestionar información relevante, tal como asentimientos, que permite la liberación de posiciones de memoria ocupadas por paquetes que estaban esperando por si necesitaban retransmitirse. Si a la línea llegan datos (no asentimientos u otra información relevante) y el buffers de salida de la línea correspondiente está lleno, se descarta el paquete. Hay varias formas de hacer la asignación de buffers: a) En base al uso. No es muy eficiente, porque cuando una línea se empieza a cargar acapara todos los recursos. b) Asignación fija. Tampoco es muy buena, ya que desaprovecha recursos. c) Asignación subóptima (de Irland).

Algoritmo de paquetes reguladores Al paquete regulador se le llama choke packet. Se hace en bucle cerrado. Asocia un peso a cada línea que cambia con el tiempo.

��

��

� � ��

��

��

Si el peso supera un cierto umbral, se pone la línea en estado de alerta y se considera que puede haber congestión. Si pasa un determinado tiempo sin recibir notificaciones de congestión, se vuelve a subir el flujo que puede cursar el origen. Si por el contrario se supera un umbral mayor, se pasa directamente a hacer descarte de paquetes. Se fundamenta en la siguiente función: Un=a·Un-1 + (1-a)·f donde:

Un es una función del peso que depende del instante actual a través de f y del instante anterior a través de Un-1

f tiene el valor 0 si no se transmite en el instante actual y 1 si se trata del instante actual. a es una constante, cuyo valor debe estar entre 0 y 1 y que debe de asignarse según la importancia dada a cada enlace. En el momento en que Un alcanza el primer valor umbral asignado, la línea se colca en alerta, por lo que se envía un paquete regulador hacia atrás. En los sucesivos paquetes que el nodo anterior envía hacia adelante se coloca un flag a 1 que indica que el enrutador anterior está avisado. Este enrutador reduce su flujo de trasmisión y si, en un tiempo estipulado, no vuelve a recibir un paquete regulador aumenta de nuevo su flujo de transmisión. Si se alcanza el segundo valor umbral asignado, se pasa a descartar paquetes.

Variaciones de este algoritmo: Pueden mandarse paquetes reguladores con información de estado ( grave, muy grave, etc.) . En vez de monitorizar las líneas de salida pueden medirse otros parámetros, tales como el tamaño de las colas en los nodos. Mecanismo de Traffic Shaping:

Traffic Shaping significa conformado de tráfico. Es un mecanismo en bucle abierto. Conforma el tráfico que una fuente puede inyectar a la red. Se usa en redes ATM (Asynchronous Transfer Mode) con una tecnología de red orientada a conexión. Si se tiene una ráfaga lista para transmitir, el sistema obliga a no transmitir todo seguido (porque conforma el tráfico). Requiere un acuerdo entre emisor y receptor. El proveedor garantiza que se cursa el tráfico si se transmite a una tasa determinada y tira el tráfico si se supera. Esto puede realizarse mediante un algoritmo de Leaky Bucket (cubo agujereado), cuyo nombre se debe a que el sistema se comporta como un recipiente que se va llenando con un caudal determinado y por el que sale el líquido con otro caudal (menor) distinto. Si llenamos muy deprisa el recipiente acabará llenándose y desbordándose, lo que asemeja una pérdida de paquetes en una red.

1.3 Modos de conmutación de capa 2

��

��

� � ��

��

��

Existen varios modos de conmutación de Red, store and forward, Cut-Through y algunos otros, a continuación analizaremos algunos de ellos: Store-and-Forward (Almacenamiento y reenvío): Los conmutadores Store-and-Forward guardan cada paquete en un búfer antes del intercambio de información hacia el puerto de salida. Mientras la trama está en el búfer, el switch calcula el CRC (comunicación de circuito de redes) y mide el tamaño de la misma. Si el CRC falla, o el tamaño es muy pequeño o muy grande (un cuadro Ethernet tiene entre 64 bytes y 1518 bytes) la trama es descartada. Si todo se encuentra en orden es encaminada hacia el puerto de salida. Este método asegura operaciones sin error y aumenta la confianza de la red. Pero el tiempo utilizado para guardar y chequear cada trama añade un tiempo de demora importante al procesamiento de las mismas. La demora o delay total es proporcional al tamaño de las tramas: cuanto mayor es la trama, más tiempo toma este proceso.

Cut-Through Los conmutadores cut-through fueron diseñados para reducir la latencia. Los switches minimizan el delay leyendo sólo los 6 primeros bytes de datos de la trama, que contiene la dirección de destino MAC, e inmediatamente la encaminan. El problema de este tipo de switch es que no detecta tramas corruptas causadas por colisiones (conocidos como runts), ni errores de CRC. Cuanto mayor sea el número de colisiones en la red, mayor será el ancho de banda que consume al encaminar tramas corruptas. Existe un segundo tipo de switch cut-through, los denominados fragment free, fue proyectado para eliminar este problema. El switch siempre lee los primeros 64 bytes de cada trama, asegurando que tenga por lo menos el tamaño mínimo, y evitando el encaminamiento de runts por la red.

Adaptative Cut-Through Son los conmutadores que procesan tramas en el modo adaptativo y son compatibles tanto con store-and-forward como con cut-through. Cualquiera de los modos puede ser activado por el administrador de la red, o el switch puede ser lo bastante inteligente como para escoger entre los dos métodos, basado en el número de tramas con error que pasan por los puertos. Cuando el número de tramas corruptas alcanza un cierto nivel, el conmutador puede cambiar del modo cut-through a store-and-forward, volviendo al modo anterior cuando la red se normalice. Los conmutadores cut-through son más utilizados en pequeños grupos de trabajo y pequeños empresas. En esas aplicaciones es necesario un buen volumen de trabajo o throughput, ya que los errores potenciales de red quedan en el nivel del segmento, sin impactar la red corporativa. Los conmutadores store-and-forward son utilizados en redes corporativas, donde es necesario un control de errores. Atendiendo a la forma de segmentación de las subredes, analizamos los siguientes conmutadores:

��

��

� � ��

��

��

Conmutadores de la capa 2: Son los switch tradicionales, que funcionan como puentes multipuertos. Su principal finalidad es dividir una LAN en múltiples dominios de colisión, o en los casos de las redes en anillo, segmentar la LAN en diversos anillos. Basan su decisión de envío en la dirección MAC destino que contiene cada trama. Los conmutadores de la capa 2 posibilitan múltiples transmisiones simultáneas sin interferir en otras sub-redes. Estos equipos, no consiguen, sin embargo, filtrar difusiones o broadcasts, multicasts (en el caso en que más de una sub-red contenga las estaciones pertenecientes al grupo multicast de destino), ni tramas cuyo destino aún no haya sido incluido en la tabla de direccionamiento.

Conmutadores de la capa 3: Son los conmutadores que, además de las funciones tradicionales de la capa 2, incorporan algunas funciones de enrutamiento o routing, como por ejemplo la determinación del camino basado en informaciones de capa de red (capa 3 del modelo OSI), validación de la integridad del cableado de la capa 3 por checksum y soporte a los protocolos de routing tradicionales (RIP, OSPF, etc) Los conmutadores de capa 3 soportan también la definición de redes virtuales (VLAN), y según modelos posibilitan la comunicación entre las diversas VLAN sin la necesidad de utilizar un router externo. Para permitir la unión de segmentos de diferentes dominios de difusión o broadcast, los switches de capa 3 son particularmente recomendados para la segmentación de la LAN muy grande, donde la utilización de switches capa 2 provocaría una pérdida de rendimiento y eficiencia de la LAN, debido a la cantidad excesiva de broadcasts. Se puede afirmar que la implementación de un switch capa 3 es más escalable que un enrutador, pues éste último utiliza las técnicas de enrutamiento a nivel 3 y nivel 2 como complementos, mientras que los switches sobreponen la función de enrutamiento encima del encaminamiento, aplicando el primero donde sea necesario. Dentro de los conmutador de la capa 3 tenemos:

Paquete por paquete: Básicamente, un conmutador packet by packet es un caso especial de un conmutador Store-and-Forward pues, al igual que este, almacena y examina el paquete, calculando el CRC y decodificando la cabecera de la capa de red para definir su ruta a través del protocolo de enrutamiento adoptado.

Cut-through: Un conmutador de la capa 3, examina los primeros campos, determina la dirección de destino (a través de la información de los headers o cabeceras de capa 2 y 3) y, a partir de ese instante, establece una conexión punto a punto (a nivel 2) para conseguir una alta tasa de transferencia de paquetes. Cada fabricante tiene su diseño propio para posibilitar la identificación correcta de los flujos de datos. Como ejemplo, tenemos el "IP Switching" de Ipsilon, el "SecureFast Virtual Networking de Cabletron", el "Fast IP" de 3Com (Ahora HP).

��

��

� � ��

��

��

El único proyecto adoptado como un estándar, implementado por diversos fabricantes, es el MPOA (Multi Protocol Over ATM). El MPOA, es medido de su comprobada eficiencia, es complejo y bastante caro de implementar, y limitado a enlaces ATM. Además, un switch Layer 3 Cut-Through, a partir del momento en que la conexión punto a punto es establecida, podrá funcionar en el modo " Store-and-Forward" o "Cut-Through" Conmutadores de las capas 4 a 7, Están en el mercado hace poco tiempo y hay una controversia en relación con la clasificación adecuada de estos equipos. Básicamente, incorporan a las funcionalidades de un conmutador de la capa 3; la habilidad de implementar las políticas y filtros a partir de informaciones de la capa 4 o superiores, como puertos TCP/UDP, SNMP, FTP, etc.

1.3 Tecnologías de conmutación LAN (VLAN, VTP,STP), WAN (ATM, MPLS). Red de área local virtual, o VLAN (Virtual LAN), es un grupo de nodos de red con un conjunto común de recursos a compartir y de requerimientos, que se comunican como si estuvieran adjuntos a una división lógica de nodos de red en la cual todos los nodos pueden alcanzar a los otros por medio de broadcast (dominio de broadcast) en la capa de enlace de datos, a pesar de su diversa localización física. Este tipo de red, surgió como respuesta a la necesidad de poder estructurar las conexiones de equipos de un edificio por medio de software, permitiendo dividir un conmutador en varios switch o segmentos virtuales.

VLAN Trunking Protocol VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs (ejemplo en equipos Cisco). Permite centralizar y simplificar la administración en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de administración para redes de cierto tamaño, donde la gestión manual se vuelve complicada. VTP opera en 3 modos distintos: •

Servidor

•

Cliente

•

Transparente

Servidor: Es el modo por omisión. Desde él se pueden crear, eliminar o modificar VLANs. Su función es anunciar su configuración al resto de switches del mismo dominio VTP y sincronizar dicha configuración con la de otros servidores, basándose en los mensajes VTP recibidos a través de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticación MD5. Cliente: En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN.

��

��

� � ��

��

��

Transparente: Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los demás switches. La información para la VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio. Los administradores de red cambian la configuración de las VLANs en el switch en modo servidor. Después de realizar cambios, estos son distribuidos a todos los demás dispositivos en el dominio VTP a través de los enlaces permitidos en el trunk (VLAN 1, por defecto), lo que minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben, ni envían las suyas a otros dispositivos. Sin embargo, aquellos que usan la versión 2 del protocolo VTP, enviarán la información que reciban (publicaciones VTP) a otros dispositivos a los que estén conectados con una frecuencia de 5 minutos. Los dispositivos que operen en modo cliente, automáticamente aplicarán la configuración que reciban del dominio VTP. En este modo no se podrán crear VLANs, sino que sólo se podrá aplicar la información que reciba de las publicaciones VTP. Para que dos equipos que utilizan VTP y que puedan compartir información sobre VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan mensajes de otro dominio VTP. Las configuraciones VTP en una red son controladas por un número de revisión. Si el número de revisión de una actualización recibida por un switch en modo cliente o servidor es más alto que la revisión anterior, entonces se aplicará la nueva configuración. De lo contrario se ignoran los cambios recibidos. Cuando se añaden nuevos dispositivos a un dominio VTP, se deben resetear los números de revisión de todo el dominio VTP para evitar conflictos. Se recomienda tener mucho cuidado al usar VTP cuando haya cambios de topología, ya sean lógicos o físicos. Realmente no es necesario resetear todos los números de revisión del dominio. Sólo hay que asegurarse de que los switches nuevos que se agregen al dominio VTP tengan números de revisión más bajos que los que están configurados en la red. Si no fuese así, bastaría con eliminar el nombre del dominio del switch que se agrega. Esa operación vuelve a poner a cero su contador de re visión. El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, denominada vlan.dat.

�� VTP puede operar sin autenticación, en cuyo caso resulta fácil para un atacante falsificar paquetes VTP para añadir, cambiar o borrar la información sobre las VLANs. Existen herramientas disponibles gratuitamente para realizar esas operaciones. Debido a eso se recomienda establecer un password para el dominio VTP y usarlo en conjunto con la función hash MD5 para proveer autenticación a los paquetes VTP. Resulta de vital importancia para los enlaces troncales de la VLAN.

��

��

� � ��

��

��

�� Los paquetes VTP se pueden enviar tanto en tramas Inter-Switch Link (ISL) como en tramas IEEE 802.1Q (dot1q). El formato de los paquetes VTP encapsulados en tramas ISL es el siguiente: • •

Versión del protocolo VTP: 1, 2 o 3 Tipos de mensaje VTP: • • • •

• •

Resumen de advertencias Subconjunto de advertencias Peticiones de advertencias Mensajes de unión VTP

Longitud del dominio de control Nombre del dominio de control

En el caso de paquetes VTP encapsulados en IEEE 802.1Q (dot1q), tanto la cabecera ISL (ISL Header) como CRC son sustituidos por etiquetas dot1q. Por otro lado, salvo el formato de la cabecera VTP (VTP Header), que puede variar, todos los paquetes VTP contienen los siguientes campos en la cabecera:

�� Es un número de 32 bits que indica el nivel de revisión del paquete VTP. Cada nodo VTP rastrea el número de configuración de revisión que le ha sido asignado. La mayoría de paquetes VTP contienen el número de configuración de revisión del emisor. La información que aporta el número de configuración de revisión se usa para saber si la información recibida es más reciente que la actual. Cada vez que hay un cambio en la configuración de la VLAN en algún dispositivo VTP del dominio, el número de configuración de revisión se incrementa en una unidad. Para resetearlo, basta con cambiar el nombre del dominio VTP y después restablecerlo.

�� Los switches Catalyst emiten, por defecto, publicaciones resumidas que informan a los demás switches del nombre actual del dominio VTP, así como de su número de revisión. Cuando un switch recibe un paquete de resumen, compara su propio nombre de dominio VTP con el recibido. Si el nombre es diferente ignora el paquete, y si es igual, compara el número de revisión propio con el recibido. Si el número de revisión es menor o igual, ignora el paquete, y si no, envía una solicitud de publicación (ya que el switch está desactualizado). El formato de los paquetes de resumen es el siguiente: La siguiente lista aclara los campos del paquete de publicación de resúmenes: 1.

�� (��) �� .

��

��

� � ��

�� 2. �. �.

��

�� (�� ) �� . �� (�� ) �� . �� (�� ) �� , �� .

�� Cuando se cambia la configuración VLAN en un switch, éste incrementa el número de revisión y envía una publicación de resumen. A una publicación de resumen le pueden seguir una o más publicaciones de subconjunto, que contienen una lista de información referente a VLANs. Si hay varias VLANs, se puede requerir más de una publicación para informar a todas ellas. Hay dos aclaraciones pertinentes en el formato de paquetes respecto a los campos del paquete: • •

�� (��) �� 0�02 �� . �� (�� ) �� (�� 1) �� .

Como ejemplo, se menciona que los campos de información VLAN son exclusivos de cada VLAN.

�� Un switch necesita solicitar publicaciones VTP en las siguientes situaciones: • • •

�� . �� . �� .

Cuando un nodo VTP recibe una solicitud de publicación, envía una publicación de resumen o más publicaciones de subconjunto, el campo Code (código) tiene un formato de 0x03 para

publicaciones de subconjunto y el campo Start value (valor de comienzo) se usa cuando hay varios subconjuntos. �� El modo por defecto de los swithes es el de servidor VTP. Se recomienda el uso de este modo para redes de pequeña escala en las que la información de las VLANs es pequeña y por tanto de fácil almacenamiento en las NVRAMs de los switches. En redes de mayor tamaño, el administrador debe elegir qué switches actúan como servidores, basándose en las capacidades de éstos (los mejor equipados serán servidores y los demás, c lientes). A continuación analizamos algunos de los comandos utilizados para configurar VLAN utilizando comandos para VTP:

��

��

� � ��

��

��

Configuración VTP Los comandos IOS más utilizados para la configuración de un dominio VTP son los siguientes: Switch#vlan database : Selecciona el modo de creación y edición de VLANs. Switch(vlan)#vtp domain nombre-dominio : Nombre del dominio VTP. Switch(vlan)#vtp [mode] {server | client | transparent} : Selección del modo VTP del switch. Switch(vlan)#vtp pruning : Permite la poda en el dominio VTP. Switch#show vtp status : Permite verificar la configuración del dominio VTP. Switch(config-if)# switchport mode trunk : Configura un puerto en modo trunk. Switch(config-if)# switchport trunk native vlan 2 : Configura la VLAN como predeterminada. Switch(config-if)# switchport trunk {allowed | pruning} vlan [add|all|except|remove] vlanlist : Configura las VLANs permitidas (allowed) o filtradas (pruning). Utilizar switchs para interconectar redes Ethernet permite separar dominios de colisión, aumentando la eficiencia y la escalabilidad de la red. Una red tolerante a fallos y con un nivel alto de disponibilidad requiere que se usen topologías redundantes: enlaces múltiples entre switches y equipos redundantes. De esta manera, ante un fallo en un único punto es posible recuperar de forma automática y rápida el servicio. Este diseño redundante requiere la habilitación del protocolo spanning tree (STP) para asegurarse de que sólo haya activo un camino lógico para ir de un nodo a otro y evitar así el fenómeno conocido como tormentas broadcast. El principal inconveniente de esta topología lógica de la red es que los switches centrales se conviereten en cuellos de botella, pues la mayor parte del tráfico circula a través de ellos. Se consiguió aliviar la sobrecarga de los switches inventado LANs virtuales al añadir una etiqueta a las tramas Ethernet con la que diferenciar el tráfico. Al definir varias LANs virtuales cada una de ellas tendrá su propio spanning tree y se podrá asignar los distintos puertos de un switch a cada una de las VLANs. Para unir VLANs que están definidas en varios switches se puede crear un enlace especial llamado trunk, por el que fluye tráfico de varias VLANs. Los switches sabrán a qué VLAN pertenece cada trama observando la etiqueta VLAN (definida en la norma IEEE 802.1Q). Aunque hoy en día el uso de LANs virtuales es generalizado en las redes Ethernet modernas, usarlas para el propósito original puede ser un tanto extraño, ya que lo habitual es utilizarlas para separar dominios de difusión (hosts que pueden ser alcanzados por una trama broadcast).

Clasificación de las VLAN. Las VLANs más comunes son las basadas en puertos (nivel 1), las redes de área local virtuales se pueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:

��

��

� � ��

��

•

•

•

•

•

��

VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos del switch pertenecen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLANs si el usuario se mueve físicamente. Es la más . VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios habría que asignar los miembros uno a uno. VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX... VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en múltiples VLANs. VLAN de niveles superiores. Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo electrónico... La pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones MAC, subred, hora del día...

Protocolos para VLAN. Durante todo el proceso de configuración y funcionamiento de una VLAN es necesaria la participación de una serie de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP). El protocolo IEEE 802.1Q se encarga del etiquetado de la s tramas que se asociada inmediatamente con la información de la VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparición de bucles lógicos para que haya un sólo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolo propietario de Cisco que permite una gestión centralizada de todas las VLANs. El protocolo de etiquetado IEEE 802.1Q es el más común para el etiquetado de las VLANs. Antes de su introducción existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de trama similar a 802.3 (Ethernet) donde sólo cambia el valor del campo Ethertype, que en las tramas 802.1Q vale X'8100, y se añaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este protocolo es un estándar internacional y por lo dicho anteriormente es compatible con bridges y switches sin capacidad de VLAN. Para evitar el bloqueo de los switches debido a las tormentas broadcast, una red con topología redundante tiene que tener habilitado el protocolo STP. Los switches utilizan STP para intercambiar mensajes entre sí (BPDUs, Bridge Protocol Data Units) para lograr que en cada VLAN sólo haya activo un camino para ir de un nodo a otro. En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la coherencia de la configuración VLAN por toda la red. VTP utiliza tramas de nivel 2 para gestionar la creación, borrado y renombrado de VLANs en una red sincronizando todos los dispositivos entre sí y evitar tener que configurarlos uno a uno. Para eso hay que establecer primero un dominio de administración VTP. Un dominio VTP para una red es un conjunto contiguo de switches unidos con enlaces trunk que tienen el mismo nombre de dominio VTP.

��

��

� � ��

��

��

VTP también permite «podar» (función VTP prunning), lo que significa dirigir tráfico VLAN específico sólo a los conmutadores que tienen puertos en la VLAN destino. Con lo que se ahorra ancho de banda en los posiblemente saturados enlaces trunk. VLAN Estática y Dinámica. Las dos maneras más habituales para la asignación de miembros de una VLAN son las siguientes: VLAN estáticas y VLAN dinámicas. Las VLAN estáticas también se denominan VLAN basadas en el puerto. Las asignaciones en una VLAN estática se crean mediante la asignación de los puertos de un switch o conmutador a dicha VLAN. Cuando un dispositivo entra en la red, automáticamente asume su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN, el administrador de la red debe cambiar manualmente la asignación a la VLAN del nuevo puerto de conexión en el switch. En las VLAN dinámicas, la asignación se realiza mediante paquetes de software tales como el CiscoWorks 2000. Con el VMPS (acrónimo en inglés de VLAN Management Policy Server o Servidor de Gestión de Directivas de la VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN de manera automática basándose en información tal como la dirección MAC del dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la VLAN. Se puede consultar el software FreeNAC para ver un ejemplo de implementación de un servidor VMPS. VLAN Basado en puerto de Conexión. Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto serán miembros de la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a la VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de capa 3. Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las características VLAN: puertos de acceso y puertos trunk.

Un puerto de acceso (switchport mode access) pertenece únicamente a una VLAN asignada de forma estática (VLAN nativa). La configuración por defecto suele ser que todos los puertos sean de acceso de la VLAN 1.

Un puerto trunk (switchport mode trunk) puede ser miembro de múltiples VLANs. Por defecto es miembro de todas, pero la lista de VLANs permitidas es configurable. El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una subred y que puede ser capaz de hablar con otros miembros de la subred simplemente enviando información al segmento cableado. El switch es responsable de identificar que la información viene de una VLAN determinada y de asegurarse de que esa información llega a todos los demás

��

��

� � ��

��

��

miembros de la VLAN. El switch también se asegura de que el resto de puertos que no están en dicha VLAN no reciben dicha información. Este planteamiento es sencillo, rápido y fácil de administrar, dado que no hay complejas tablas en las que mirar para configurar la segmentación de la VLAN. Si la asociación de puerto a VLAN se hace con un ASIC (acrónimo en inglés de Application-Specific Integrated Circuit o Circuito integrado para una aplicación específica), el rendimiento es muy bueno. Un ASIC permite el mapeo de puerto a VLAN sea hecho a nivel hardware.

Diseño de VLANs. El objetivo de configurar las primeras V LAN era el reducir el tamaño del dominio de colisión en un segmento Ethernet y mejorar su rendimiento. Cuando los switches lograron esto, porque cada puerto es un dominio de colisión, su prioridad fue reducir el tamaño del dominio de difusión. Ya que, si aumenta el número de terminales, aumenta el tráfico difusión y el consumo de CPU por procesado de tráfico broadcast no deseado. Una de las maneras más eficientes de lograr reducir el domino de difusión es con la división de una red grande en varias VLANs.

Red Corporativa Actualmente, las redes institucionales y corporativas modernas suelen estar configuradas de forma jerárquica dividiéndose en varios grupos de trabajo o subredes (Switch Core y Switch de distribución). Por razones de seguridad y confidencialidad se recomienda limitar el ámbito del tráfico de difusión para que un usuario no autorizado no pueda acceder a recursos o a información que no le corresponde. Como ejemplo, en una red institucional de un campus universitario se separan los usuarios en tres grupos: alumnos, docentes y administración. Cada uno de estos grupos constituye un dominio de difusión, una VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera la comunicación entre miembros del mismo grupo se puede hacer en nivel 2, y los grupos están aislados entre sí, sólo se pueden comunicar a través de un router.

��

��

� � ��

��

��

Ejemplo de como un Router comunica 2 VLAN. Explicar esto solamente, no dictarlo ….. If host A needs to communicate with host D, it first sends an address resolution protocol (ARP) frame with host D’s destination IP address and a broadcast MAC address. The switch forwards this broadcast to all other ports in VLAN 10, including the one attached to the router. The router, recognizing that it can reach host D’s network, will send an ARP response frame with its own M AC address as the destination MAC address host A should use. For all subsequent traffic, host A will send frames with host D’s IP address but the router’s MAC address. The router, knowing that the destination network is on VLAN 20, will route the frame to the switch with a VLAN ID of 20. The switch, in turn, will deliver the frame to host D. The true benefits of VLANs are now realized: Bandwidth consumption is kept to a minimum by preventing cross-VLAN broadcast traffic, but hosts in different VLANs are still able to communicate through the use of a router. In networks with a central server running Dynamic Host Configuration Protocol (DHCP), the router can be configured to relay DHCP requests from each subnet. The DHCP server would be configured to assign IP addresses based on the origin IP subnet. La definición de múltiples VLANs y el uso de enlaces trunk, f rente a las redes LAN interconectadas con un router, es una solución escalable. Si se deciden crear nuevos grupos se pueden acomodar fácilmente las nuevas VLANs haciendo una redistribución de los puertos de los switches. Además, la pertenencia de un miembro de la comunidad universitaria a una VLAN es independiente de su ubicación física. Incluso se puede lograr que un equipo pertenezca a varias VLANs (mediante el uso de una tarjeta de red que soporte trunk). Imagine que el campus universitario tiene una red con un rango de direcciones IP del tipo 192.168.XXX.0/24, cada VLAN, definida en la capa de enlace de datos (nivel 2 de OSI), se corresponderá con una subred IP distinta: VLAN 10. Administración. Subred IP 192.168.10.0/24 VLAN 20. Profesores. Subred IP 192.168.20.0/24 VLAN 30. Alumnos. Subred IP 192.168.30.0/24 En cada edificio o subred del campus hay un switch denominado de acceso, porque a él se conectan directamente los sistemas finales. Los switches de acceso están conectados con enlaces trunk

��

��

� � ��

��

��

(enlace que transporta tráfico de las tres VLANs) a un switch troncal, de grandes prestaciones, típicamente Gigabit Ethernet o 10-Gigabit Ethernet. Este switch está unido a un router también con un enlace trunk, el router es el encargado de llevar el tráfico de una VLAN a otra A continuación mencionamos algunos comandos que nos permiten configurar la VLAN en los switch. Comandos para IOS: Se crean las VLAN en el Switch Core (principal), para este ejemplo este switch funciona como servidor y se sincroniza con el resto: Para entrar a este modo se entra con una sesión telnet por puerto ip o con una conexión serial o Hyperterminal al switch. (hacer práctica de conexión de Hyperterminal): Switch-troncal> enable Switch-troncal# configure terminal Switch-troncal(config)# vlan database Switch-troncal(config-vlan)# vlan 10 name administracion Switch-troncal(config-vlan)# vlan 20 name profesores Switch-troncal(config-vlan)# vlan 30 name alumnos Switch-troncal(config-vlan)# exit

Se definen como trunk, cuatro puertos del switch core: Switch-troncal(config)# interface range g0/0 -3 Switch-troncal(config-if-range)# switchport Switch-troncal(config-if-range)# switchport mode trunk Switch-troncal(config-if-range)# switchport trunk native vlan 10 Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30 Switch-troncal(config-if-range)# exit

Ahora habría que definir en cada switch de acceso qué rango de puertos dedicamos a cada VLAN. Vamos a definir que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan docentes y f0/32-47 para la vlan alumnos Switch-1(config)# interface range f0/0 -15 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range )# switchport access vlan 10 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/16 -31 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range )# switchport access vlan 20 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/32 -47

��

��

� � ��

�� Switch-1(config-if-range)# Switch-1(config-if-range)# Switch-1(config-if-range )# Switch-1(config-if-range)#

��

switchport switchport mode access switchport access vlan 30 exit

Definimos como trunk el puerto que conecta cada switch de acceso con el troncal: Switch-1(config)# interface g0/0 Switch-1(config-if)# switchport Switch-1(config-if)# switchport mode trunk Switch-1(config-if)# switchport trunk native vlan 10 Switch-1(config-if)# switchport trunk allowed vlan 20,30 Switch-1(config-if)# exit

En el router creamos una subinterfaz por cada VLAN transportada en e l enlace trunk Router(config)# interface f2 Router(config-if)# no ip address Router(config-if)# exit Router(config)# interface f2.1 Router(config-if)# encapsulation dot1q 10 native Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.2 Router(config-if)# encapsulation dot1q 20 Router(config-if)# ip address 192.168.20.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.3 Router(config-if)# encapsulation dot1q 30 Router(config-if)# ip address 192.168.30.1 255.255.255.0 Router(config-if)# exit

Esta sería la configuración relativa a la creación de las VLANs, se omite la configuración de otros elementos como los hosts, routers y otros dispositivos de red Como referencia :

http://www.cisco.com/en/US/tech/tk389/tk689/technologies_configuration_example09186a 0080890607.shtml ��

WAN (ATM, MPLS).

ATM.Asynchronous transfer mode (atm).- fue desarrollado por el itu-telecommunications standars sector (itu-tss) y surgió de los estándares b-isdn. Entro al mercado como un protocolo para wan. Se considera un protocolo para lan, man y wan ‘s. El despliegue de la tecnología ATM no ha sido el esperado por sus promotores. Las velocidades para las que estaba pensada (hasta 622 Mbps) han sido rápidamente superadas; no está claro que ATM sea la opción más adecuada para las redes actuales y futuras, de velocidades del orden del gigabit. ATM se ha encontrado con la competencia de las tecnologías provenientes de la industria

��

��

� � ��

��

��

de la Informática, que con proyectos tales como la VoIP parece que ofrecen las mejores perspectivas de futuro. En la actualidad, ATM es ampliamente utilizado allá donde se necesita dar soporte a velocidades moderadas, como es el caso de la ADSL, aunque la tendencia es sustituir esta tecnología por otras como Ethernet que está basada en tramas de datos ATM ofrece un servicio orientado a conexión, en el cual no hay un desorden en la llegada de las celdas al destino. Esto lo hace gracias a los caminos o rutas virtuales (VP, Virtual Path) y los canales o circuitos virtuales (VC, Virtual Channel). Los caminos y canales virtuales tienen el mismo significado que las conexiones de canales virtuales (VCC, Virtual Channel Connection) en X.25, que indica el camino fijo que debe seguir la celda. En el caso de ATM, los caminos virtuales (VP), son los caminos que siguen las celdas entre dos enrutadores ATM pero este camino puede tener varios circuitos virtuales (VC). En el momento de establecer la comunicación con una calidad de servicio deseada y un destino, se busca el camino virtual que van a seguir todas las celdas. Este camino no cambia durante toda la comunicación, así que si se cae un nodo la comunicación se pierde. Durante la conexión se reservan los recursos necesarios para garantizarle durante toda la sesión la calidad del servicio al usuario. Cuando una celda llega a un encaminador, éste le cambia el encabezado según la tabla que posee y lo envía al siguiente con un VPI y/o un VCI nuevo. La ruta inicial de encaminamiento se obtiene, en la mayoría de los casos, a partir de tablas estáticas que residen en los conmutadores. También podemos encontrar tablas dinámicas que se configuran dependiendo del estado de la red al comienzo de la conexión; éste es uno de los puntos donde se ha dejado libertad para los fabricantes. Gran parte del esfuerzo que están haciendo las compañías está dedicado a esta área, puesto que puede ser el punto fundamental que les permita permanecer en el mercado en un futuro.

MPLS.Multi Protocol Label Switching , está reemplazando rápidamente frame relay y ATM como la tecnología preferida para llevar datos de a lta velocidad y voz digital en una sola conexión. MPLS no sólo proporciona una mayor fiabilidad y un mayor rendimiento, sino que a menudo puede reducir los costos generales mediante una mayor eficiencia de la red. Su capacidad para dar prioridad a los paquetes que transportan tráfico de voz hace que sea la solución perfecta para llevar las llamadas VoIP. MPLS Circuitos virtuales en las redes IP, sobre las que introduce una serie de mejoras: • • • • •

Redes privadas virtuales. Ingeniería de tráfico. Mecanismos de protección frente a fallos y más. Soporte de QoS Soporte multiprotocolo

La tecnología MPLS ofrece un servicio orientado a conexión:

��

��

� � ��

��

• •

��

Mantiene un «estado» de la comunicación entre dos nodos. Mantiene circuitos virtuales

Los elementos que forman la arquitectura de MPLS son: •

• •

•

•

LER (Label Edge Router): elemento que inicia o termina el túnel (pone y quita cabeceras). Es decir, el elemento de entrada/salida a la red MPLS. Un router de entrada se conoce como Ingress Router y uno de salida como Egress Router. Ambos se suelen denominar Edge Label Switch Router ya que se encuentran en los extremos de la red MPLS. LSR (Label Switching Router): elemento que conmuta etiquetas. LSP (Label Switched Path): nombre genérico de un camino MPLS (para cierto tráfico o FEC), es decir, del túnel MPLS establecido entre los extremos. A tener en cuenta que un LSP es unidireccional. LDP (Label Distribution Protocol): un protocolo para la distribución de etiquetas MPLS entre los equipos de la red. FEC (Forwarding Equivalence Class): nombre que se le da al tráfico que se encamina bajo una etiqueta. Subconjunto de paquetes tratados del mismo modo por el conmutador.

Cabecera MPLS

Donde: • •

•

•

Label (20 bits): Es la identificación de la etiqueta. Exp (3 bits): Llamado también bits experimentales, también aparece como QoS en otros textos, afecta al encolado y descarte de paquetes. S (1 bit): Del inglés stack, sirve para el apilado jerárquico de etiquetas. Cuando S=0 indica que hay más etiquetas añadidas al paquete. Cuando S=1 estamos en el f ondo de la jerarquía. TTL (8 bits): Time-to-Live, misma funcionalidad que en IP, se decrementa en cada enrutador y al llegar al valor de 0, el paquete es descartado. Generalmente sustituye el campo TTL de la cabecera IP.

Pila de Etiquetas MPLS

MPLS funciona anexando un encabezado a cada paquete. Dicho encabezado contiene una o más "etiquetas", y al conjunto de etiquetas se le llama pila o "stack". Cada etiqueta consiste en cuatro campos: • • •

Valor de la etiqueta de 20 bits. Prioridad de Calidad de Servicio (QoS) de 3 bits. También llamados bits e xperimentales. Bandera de "fondo" de la pila de 1 bit.

��

��

� � ��

��

•

��

Tiempo de Vida (TTL) de 8 bits.

Estos paquetes MPLS son enviados después de una búsqueda por etiquetas en vez de una búsqueda dentro de una tabla IP. De esta manera, cuando MPLS fue concebido, la búsqueda de etiquetas y el envío por etiquetas eran más rápido que una búsqueda RIB (Base de información de Ruteo), porque las búsquedas eran realizadas en el switch fabric y no en la CPU. Los puntos de entrada en la red MPLS son llamados Enrutadores de Etiqueta de borde (LER), es decir enrutadores que son interfaces entre la red MPLS y otras redes. Los enrutadores que efectúan la conmutación basados únicamente en etiquetas se llaman Enrutadores Conmutadores de Etiqueta (LSR). Cabe notar que un LER es simplemente un LSR que cuenta con la habilidad de rutear paquetes en redes externas a MPLS. Las etiquetas son distribuidas usando el Protocolo de Distribución de Etiquetas (LDP). Es precisamente mediante el protocolo LDP que los enrutadores de etiquetas intercambian información acerca de la posibilidad de alcanzar otros enrutadores, y las etiquetas que son necesarias para ello. También es posible hacer la distribución de etiquetas usando el protocolo RSVP-TE. El operador de una red MPLS puede establecer Caminos Conmutados mediante Etiquetas (LSP), es decir, el operador establece caminos para transportar Redes Privadas Virtuales de tipo IP (IP VPN), pero estos caminos pueden tener otros usos. En muchos aspectos las redes MPLS se parecen a las redes ATM y FR, con la diferencia de que la red MPLS es independiente del transporte en capa 2 (en el modelo OSI). En el contexto de las Redes Privadas Virtuales, los enrutadores que funcionan como ingreso o regreso a la red son frecuentemente llamados enrutadores a la Orilla del Proveedor (enrutadores PE), los dispositivos que sirven solo de tránsito son llamados similarmente enrutadores de Proveedor (enrutadores P). En MPLS el camino que se sigue está prefijado desde el origen (se conocen todos los saltos de antemano): se pueden utilizar etiquetas para identificar cada comunicación y en cada salto se puede cambiar de etiqueta (mismo principio de funcionamiento que VPI/VCI en ATM, o que DLCI en Frame Relay). •

•

Paquetes destinados a diferentes IPs pueden usar el mismo camino LSP (pertenecer al mismo FEC). Las etiquetas con el mismo destino y tratamiento se agrupan en una misma etiqueta: los nodos mantienen mucha menos información de estado que por ejemplo ATM. Las etiquetas se pueden apilar, de modo que se puede encaminar de manera jerárquica

Cuando un paquete no etiquetado entra a un enrutador de ingreso y necesita utilizar un túnel MPLS, el enrutador primero determinará la Clase Equivalente de Envío (FEC), luego inserta una o más etiquetas en el encabezado MPLS recién creado. Acto seguido el paquete salta al enrutador siguiente según lo indica el túnel. Cuando un paquete etiquetado es recibido por un enrutador MPLS, la etiqueta que se encuentra en el tope de la pila será examinada. Basado en el contenido de la etiqueta el enrutador efectuará una operación apilar (PUSH), desapilar (POP) o intercambiar (SWAP).

��

��

� � ��

��

•

•

•

��

En una operación SWAP la etiqueta es cambiada por otra y el paquete es enviado en el camino asociado a esta nueva etiqueta. En una operación PUSH una nueva etiqueta es empujada encima de otra (si existe). Si en efecto había otra etiqueta antes de efectuar esta operación, la nueva etiqueta «encapsula» la anterior. En una operación POP la etiqueta es retirada del paquete lo cual puede revelar una etiqueta interior (si existe). A este proceso se lo llama «desencapsulado» y es usualmente efectuada por el enrutador de egreso con la excepción de PHP.

Durante estas operaciones el contenido del paquete por debajo de la etiqueta MPLS no es examinado, de hecho los enrutadores de tránsito usualmente no necesitan examinar ninguna información por debajo de la mencionada etiqueta. El paquete es enviado basándose en el contenido de su etiqueta, lo cual permite «enrutar independiente del protocolo». En el enrutador de egreso donde la última etiqueta es retirada, sólo queda la «carga transportada», que puede ser un paquete IP o cualquier otro protocolo. Por tanto, el enrutador de egreso debe forzosamente tener información de ruteo para dicho paquete debido a que la información para el envío de la carga no se encuentra en la tabla de etiquetas MPLS. En algunas aplicaciones es posible que el paquete presentado al LER ya contenga una etiqueta MPLS, en cuyo caso simplemente se anexará otra etiqueta encima. Un aspecto relacionado que resulta importante es PHP. En ciertos casos, es posible que la última etiqueta sea retirada en el penúltimo salto (anterior al último enrutador que pertenece a la red MPLS); este procedimiento es llamado «remoción en el penúltimo salto» (PHP). Esto es útil, por ejemplo, cuando la red MPLS transporta mucho tráfico. En estas condiciones los penúltimos nodos auxiliarán al último en el procesamiento de la última etiqueta de manera que éste no se vea excesivamente forzado al cumplir con sus tareas de procesamiento. 1.4 Enrutamiento. Estático, Dinámico (vector-distancia, estado de enlace)

Descubrimiento de rutas .- Se le conoce como el proceso utilizado para identificar las rutas y mantener las tablas de ruteo . Estas tablas son listas que indican el siguiente salto que debe de seguir el paquete para llegar a su destino. Además incluyen direcciones de red y la siguiente dirección en la ruta de los datos y un tiempo estimado para alcanzar la red de destino. El tiempo estimado para alcanzar la red es calculado utilizando los algoritmos de ruteo y puede ser expresado en los siguientes términos : •

Hop counter, es el número de ruteos que deben pasar los datos para alcanzar su destino .

•

Tick counter, es la cantidad de tiempo requerido para alcanzar la red de destino .

•

Relative expense, es un número asignado basado en la cantidad de dinero u otro criterio requerido para utilizar una ruta especifica .

Se utilizan los siguientes métodos : •

Distance vector .- compila y envía las tablas de ruteo de la red a otros ruteadores los cuales están conectados a su mismo segmento. Estos métodos utilizan el algoritmo de BellmanFord. Busca la ruta de menor coste por el método de búsqueda indirecta El vector de

��

��

� � ��

��

��

distancias asociado al nodo de una red, es un paquete de control que contiene la distancia a los nodos de la red conocidos hasta el momento. Cada nodo envía a sus vecinos las distancias que conoce a través de este paquete. Los nodos vecinos examinan esta información y la comparan con la que ya tienen, actualizando su tabla de encaminamiento. Ejemplos de protocolos por vector de distancias: RIP (versión 1 y 2), IGRP •

Link-state.- identifica la red a la cual está asignado y recibe una tabla inicial de ruteo desde un ruteador local . Este tipo de encaminamiento se basa en que cada nodo llegue a conocer la topología de la red y los costes (retardos) asociados a los enlaces, para que a partir de estos datos, pueda obtener el árbol y la tabla de encaminamiento tras aplicar el algoritmo de coste mínimo (algoritmo de Dijkstra) al grafo de la red. Los protocolos estado de enlace incluyen OSPF e IS-IS.

Selección de ruteo .- Una vez que el ruteador construyo su tabla de ruteo, puede utilizar el costo de la información para calcular la mejor ruta a través de la interred . La selección de rutas especificas puede ser dinámica, para que el ruteador pueda ajustar constantemente los cambios de la red; o puede ser estática, para que los paquetes de datos siempre sigan una ruta predeterminada . Entendemos por mejor ruta aquella que cumple las siguientes condiciones: •

Consigue mantener acotado el retardo entre pares de nodos de la red.

•

Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito

•

Permite ofrecer el menor costo.

El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de “costo mínimo”. En general, el concepto de distancia o costo de un canal. Cuando la red de conmutación de paquetes funciona en modo circuito virtual, generalmente la función de encaminamiento establece una ruta que no cambia durante el tiempo de vida de ese circuito virtual. En este caso el encaminamiento se decide por sesión. Una red que funciona en modo datagrama no tiene el compromiso de garantizar la entrega ordenada de los paquetes, por lo que los nodos pueden cambiar el criterio de encaminamiento para cada paquete que ha de mandar. Cualquier cambio en la topología de la red tiene fácil solución en cuanto a encaminamiento se refiere, una vez que el algoritmo correspondiente haya descubierto el nuevo camino óptimo. Los algoritmos de encaminamiento pueden agruparse en:

Estático o Determinístico: No tienen en cuenta el estado de la subred al tomar las decisiones de encaminamiento. Las tablas de encaminamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. El cálculo de la ruta óptima es también off-line por lo que no importa ni la complejidad del algoritmo ni el tiempo requerido para su convergencia.

��

��

� � ��

��

��

Estos algoritmos son rígidos, rápidos y de diseño simple, sin embargo son los que peores decisiones toman en general.

Dinámico o Adaptativo: Pueden hacer más tolerantes a cambios en la subred tales como variaciones en el tráfico, incremento del retardo o fallas en la topología. El encaminamiento dinámico o adaptativo se puede clasificar a su vez en tres categorías, dependiendo de dónde se tomen las decisiones y del origen de la información intercambiada: •

Dinámico centralizado. Todos los nodos de la red son iguales excepto un nodo central que es quien recoge la información de control y los datos de los demás nodos para calcular con ellos la tabla de encaminamiento. Este método tiene el inconveniente de que consume abundantes recursos de la propia red.

•

Dinámico distribuido. Este tipo de encaminamiento se caracteriza porque el algoritmo correspondiente se ejecuta por igual en todos los nodos de la subred. Cada nodo recalcula continuamente la tabla de encaminamiento a partir de dicha información y de la que contiene en su propia base de datos. A este tipo pertenecen dos de los más utilizados en Internet que son los algoritmos por vector de distancias y los de estado de enlace.

•

Dinámico aislado. Se caracterizan por la sencillez del método que utilizan para adaptarse al estado cambiante de la red. Su respuesta a los cambios de tráfico o de topología se obtiene a partir de la información propia y local de cada nodo. Un caso típico es el encaminamiento “por inundación” cuyo mecanismo consiste en reenviar cada paquete recibido con destino a otros nodos, por todos los enlaces excepto por el que llegó.

En Internet, un sistema autónomo (AS) se trata de un conjunto de redes IP y routers que se encuentran bajo el control de una misma entidad (en ocasiones varias) y que poseen una política de encaminamiento similar a Internet. Dependiendo de la relación de un router con un sistema autónomo (AS), encontramos diferentes clasificaciones de protocolos: 1. Protocolos de encaminamiento Ad hoc. Se encuentran en aquellas redes que tienen poca o ninguna infraestructura. 2. IGPs (Interior Gateway Protocols). Intercambian información de encaminamiento dentro de un único sistema autónomo. Los ejemplos más comunes son: IGRP (Interior Gateway Routing Protocol). La diferencia con la RIP es la metrica de enrutamiento EIGRP (Enhanced Interior Gateway Routing Protocol). Es un protocolo de enrutamiento vector-distancia y estado de enlace OSPF (Open Shortest Path First). Enrutamiento jerárquico de pasarela interior RIPv2T (Routing Information Protocol). No soporta conceptos de sistemas autonomos IS-IS (Intermediate System to Intermediate System). Protocolo de intercambio enrutador de sistema intermedio a sistema intermedio

��

��

� � ��

��

��

3. EGPs (Exterior Gateway Protocol). Intercambian rutas entre diferentes sistemas autónomos. Encontramos: EGP. Utilizado para conectar la red de backbones de la Antigua Internet. BGP (Border Gateway Protocol). La actual versión, BGPv4 data de 1995.

��

��

� � ��

Conmutación y Enrutamiento UNIDAD 1 (1)

Recommend Documents