CAPITULO 1 Los módulos de red básicos incluyen lo siguiente: 1. Acceso y distribución: también denominado blo!ue de distribución"# es el elemento más conocido y el com$onente %undamental del dise&o de cam$us '%igura 1(. ). Servicios: este es un blo!ue genérico !ue se utili*a $ara identi%icar ser+icios como los controladores inalámbricos centralizados del $rotocolo de $unto de acceso ligero 'L,APP(# 'L,APP(# los ser+icios de comunicaciones comunicaciones uni%icadas# los gate-ays de $olticas# entre otros '%igura )(. /. Centro de datos: originalmente# se denominaba gran0a de ser+idores". ste blo!ue es res$o res$onsa nsable ble de admin administ istrar rar y manten mantener er muc2os muc2os sistem sistemas as de datos datos !ue son %undamen %undamentale taless $ara las o$eraci o$eraciones ones comercia comerciales les modernas modernas.. Los em$leado em$leados# s# los socios y los clientes con%an en los datos y los recursos del centro de datos $ara crear# colaborar e interactuar de manera e%ica* '%igura /(. 3. Perímetro empresarial: consta de Internet $erimetral y del $ermetro de ,A4. stos blo!ues o%recen conecti+idad a ser+icios de +o*# de +ideo y de datos %uera de la em$resa '%igura 3(. 56ué tres ar!uitecturas de red 2an sido introducidas $or Cisco $ara abordar los desa%os tecnológicos emergentes creados $or los modelos de negocio en e+olución7 1. Cisco Collaboration ). Cisco 8ata Center /. Cisco 9orderless Cisco AnyConnect Permite !ue di+ersos dis$ositi+os de red se conecten de %orma segura#
%iable y trans$arente a los recursos de la red em$resarial La ar!uit ar!uitect ectura ura Cisco Borderless Network es una solución de red !ue $ermite !ue las conecten de manera manera seura seura# co organi organi*ac *acion iones es y las $erso $ersonas nas se conecten c on con!ianza y sin inco incon+ n+en enie ient ntes es a la red red em$r em$res esar aria iall en un ento entorn rno o 9O8 9O8.. ;e basa basa en dis$ dis$os osititi+ i+os os conectados $or cable# inalámbricos# de routing# de s-itc2ing# de seguridad y de o$timi*ación de a$licaciones !ue %uncionan en sintona $ara ayudar a los $ro%esionales de TI a e!uilibrar los e
( ';8>( y API. Los com$onen com$onentes tes indi+idu indi+iduales ales traba0an traba0an 0untos 0untos $ara $ro$orcionar una solución integral.
CAPITULO ) ,A4
"#uipo local del cliente $CP"%:cables internos y dis$ositi+os ubicados en el $ermetro em$resarial !ue se conectan a un enlace de una $restadora de ser+icios. "l suscriptor es due&o del CP" o lo al!uila al $ro+eedor de ser+icios. n este conte
em$resa !ue obtiene los ser+icios ,A4 de un $ro+eedor de ser+icios.
"#uipo de comunicación de datos $'C"%: también llamado e!ui$o de terminación de
circuito de datos"# el 8C consta de dis$ositi+os !ue colocan los datos en el bucle local. Princi$almente# el 'C" proporciona una inter!az $ara conectar a los suscriptores a un enlace de comunicación en la nube (AN) "#uipo terminal de datos $'*"%: dispositivos del cliente !ue transmiten los datos desde un e!ui$o 2ost o la red de un cliente $ara la transmisión a tra+és de la (AN. l 8T se
conecta al bucle local a tra+és del 8C. Punto de demarcación: un punto establecido en un edi%icio o un com$le0o para separar el e#uipo del cliente del e#uipo del proveedor de servicios. n términos %sicos# el $unto de demarcación es la ca0a de cone
!ue sea de %ácil acceso $ara un técnico. l $unto de demarcación es el lugar donde la res$onsabilidad de la cone
Bucle local: cable de cobre o %ibra $ro$iamente dic2o !ue conecta el CP a la CO del
$ro+eedor de ser+icios. A +eces# el bucle local también se denomina ?ltima milla". +!icina central $C+%: la CO es la instalación o el edi%icio del $ro+eedor de ser+icios local !ue
conecta el CP a la red del $ro+eedor. ,ed interurbana: consta de lneas de comunicación# s-itc2es# routers y otros e!ui$os
digitales# de largo alcance y de %ibra ó$tica dentro de la red del $ro+eedor de ser+icios
CS-.'S-: las líneas arrendadas diitales re!uieren una CS- y una 'S- . Una C;U@8;U
$uede ser un dis$ositi+o se$arado# como un módem# o $uede ser una inter%a* en un router.
La C;U $ro$orciona terminación de la se&al diital y asegura la integridad de la cone
. ,ed Privadas : 'edicas /íneas Arrendadas usa un servicio de portadora * o " proporciona cone0iones punto a punto dedicadas permanentes
Conmutadas por circuitos
P;T4 red $?blica es una red con conmutación de de tele%ona de circuitos tradicional o$timi*ada $ara conmutación comunicaciones de +o* en tiem$o real. In%raestructura I;84 red digital de 1abilita al bucle local de una PS*N Pri+ada ser+icios integrados $ara trans$ortar se&ales digitales. I;84 cambia las cone
Conmutadas por pa#uetes 2rame ,elay 3etro" "t1ernet metropolitana A*3 modo de trans!erencia asíncrona
PL; conmutación de eti!uetas multi$rotocolo
'S/
unciona en ca$a 1 y ca$a )# es una alternati+a a las lneas dedicadas arrendadas ,A4 O$era en ca$a ) s-itc2 ,A4 $uede trans!erir voz4 video y datos a tra+és de redes $ri+adas y $?blicas. ;e construye sobre una ar#uitectura basada en celdas# en +e* de una ar!uitectura basada en tramas. Ca$a ) y /
,ed publica : 5nternet tecnologa de cone0ión permanente !ue usa las lneas
tele%ónicas de $ar tren*ado e
Darias lneas de suscri$tor 8;L se multi$le
7SA*
#
$ara uso de la administración de la ciudad I EF).1G. ,iAH $ro$orciona un ser+icio de banda anc2a de alta +elocidad con acceso inalámbrico y $ro$orciona una am$lia cobertura como una red de tele%ona celular Terminal de a$ertura muy $e!ue&a s una solución !ue crea una (AN privada mediante comunicaciones satelitales. Una D;AT es una pe#ue&a antena parabólica similar a las !ue se usan $ara Internet y tele+isión en el 2ogar. Las D;AT crean una (AN privada a la +e* !ue $ro$orcionan conecti+idad a ubicaciones remotas)
7P/S ser+icio de LA4 $ri+ada +irtual
CAPITULO / AT es el estándar internacional de retransmisión de celdas en el !ue los dis$ositi+os en+an +arios ti$os de ser+icios 'como +o*# +ideo o datos( en celdas de longitud %i0a '/ bytes(. Las celdas de longitud %i0a $ermiten !ue el $rocesamiento se lle+e a cabo en el 2ard-are# lo !ue disminuye las demoras en el tránsito. A*3 aprovec1a los medios de transmisión de alta velocidad4 como "84 S+N"* y *8)
Protocolos de enca$sulación
J8LC J8LC es un protocolo sincrónico de capa de enlace de datos orientado a bits 'Actual I;O 1/)/K(. $ro$orciona ser+icio orientado a la cone
J8LC de%ine una estructura de trama de capa !ue $ermite el control del %lu0o y de errores mediante el uso de acuses de recibo. Cada trama $resenta el mismo %ormato ya sea una trama de datos o una trama de control.
;e&ali*ador l $atrón de bits es F111111F. PPP Protocolo de enca$sulación de ca$a )# utili*ado cuando e
Com$onentes: "ntramado del estilo de >'/C $ara
trans$ortar $a!uetes multi$rotocolo a tra+és de enlaces $unto a $unto. MProtocolo de control de enlace '/CP( control de enlace# e
ane0o de distintos lmites en el tama&o de $a!uete 8etección de errores comunes de con%iguración inali*ación del enlace 8eterminación de cuándo un enlace %unciona correctamente o cuándo %alla
Mamilia de $rotocolos de control de red ' NCP( control de la red# $ara establecer y con!iurar distintos $rotocolos de ca$a de red.
PPP o%%ers a %eature t2at sim$li%ies t2e Layer / o$erations in to$ologies t2at use multi$le $arallel PPP lin=s# -it2 a %eature called ultilin= PPP 'LPPP( l CP"4 #ue eneralmente es un router # es el dis$ositi+o '*". l 'C" suele ser un módem o una CS-.'S-. Un cable de módem nulo se usa $ara conectar dos dis$ositi+os 8T cru*ando las lneas T< y B<# sin necesidad de un dis$ositi+o 8C. Cuando se usa este cable entre los routers en un laboratorio# uno de los routers debe $ro$orcionar la se&al de relo0.
*?."? *8."8
CAPNTULO 8UAL;TAC> es cuando los dis$ositi+os e0ecutan $rotocolos asociados a IP+3 y a IP+G.
TU44LI4 $ara IP+G es el $roceso de enca$sulación de un $a!uete IP+G dentro de un $a!uete IP+3. sto $ermite !ue el $a!uete IP+G se transmita a tra+és de una red solo IP+3.
CAPNTULO G 8OC;I; La es$eci%icación de inter%a* $ara ser+icios de datos $or cable ' '+CS5S( es un estándar internacional desarrollado $or CableLabs# un consorcio sin %ines de lucro $ara la in+estigación y el desarrollo de tecnologas relacionadas con el cable. 8OC;I; es$eci%ica la subca$a 'AC( como re!uisito de la ca$a ) !ue de%ine un método de acceso determinista# T8A o ; C8A. stándar es$eci%ica las !recuencias del canal y el m9todo de acceso determinista del cable
Canal de 9anda anc2a Técnica de modulación
CT; l sistema de terminación de cable módem 'CT;( en la cabecera del o$erador de cable C Un cable módem 'C( en el e
T2e PPP con%iguration is on t2e dialer inter%ace. T2e t2ernet inter%ace does not 2a+e an IP address.
;C8A ACC;O LTIPL POB 8IDI;IQ4 8 CQ8IO ;N4CBO4O s una versión e0clusiva de C'3A desarrollada $or Terayon Cor$oration $ara la transmisión de datos a trav9s de redes de cable coa
digitales $or toda una banda de %recuencia anc2a y $ermite !ue +arios suscri$tores conectados a la red transmitan y reciban simultáneamente. ;C8A es seuro y e
@,"
enca$sulación de routing genérico s un e0em$lo de un protocolo de tunnelin de 7PN de sitio a sitio básico y no seguro. B es un $rotocolo de tunneling desarrollado $or Cisco !ue $uede enca$sular una am$lia +ariedad de ti$os de $a!uete de $rotocolo dentro de t?neles IP. B crea un enlace +irtual $unto a $unto a los routers Cisco en $untos remotos a tra+és de una internet-or= IP. B está dise&ada $ara administrar el transporte del trá!ico multiprotocolo y de multidi!usión 5P entre dos o más sitios# !ue $robablemente solo tengan conecti+idad IP. Puede enca$sular +arios ti$os de $a!uete de $rotocolo dentro de un t?nel IP. @," no proporciona ci!rado ni ning?n otro mecanismo de seguridad. Por lo tanto# los datos !ue se en+an a tra+és de un t?nel @," no son seuros. ;i se necesita una comunicación de datos segura# se deben con%igurar redes 7PN con 5Psec o SS/.
DP4 ;;L (Virtual Private Network – Secure Sockets Layer) IPsec Psec es un estándar IT !ue de%ine la %orma en !ue se $uede con%igurar una DP4 de manera segura mediante el $rotocolo de Internet. IPsec es un marco de estándares abiertos !ue detalla las reglas $ara las comunicaciones seguras. IP;ec no se limita a ning?n ti$o es$ec%ico de ci%rado# autenticación# algoritmo de seguridad ni tecnologa de creación de cla+es. n realidad# IPsec de$ende de algoritmos
e
Las caractersticas de IPsec se $ueden resumir de la siguiente manera:
IPsec es un marco de estándares abiertos !ue no de$ende de algoritmos.
IPsec $ro$orciona con%idencialidad e integridad de datos# y autenticación del origen.
IPsec %unciona en la ca$a de red# $or lo !ue $rotege y autentica $a!uetes IP.
IPsec utliza el inercambio de claves de Inerne (IKE) DES y 3DES ya no se consideran seguros; por lo ano, se recomienda utlizar AES para el cifrado de IPSec !ifrado Sim"rico# $ES, %$ES y &ES !ifrado &simerico# 'S& os algoritmos de cifrado# $ES, %$ES y &ES, os algoritmos de hash: $* y S+&- (auentcaci.n de mensa/es basado en 0as0 HMAC) Autencación: PSK y 1irma 'S& 1irmas $igiales# El algorimo de 2rma digial ($S&) IPsec utliza 'S& (sisema cripogr32co de claves p4blicas) para la auentcaci.n en el cone5o de IKE El m"odo de 2rmas 'S& utliza una con2guraci.n de 2rma digial en la 6ue cada dispositvo 2rma un con/uno de daos de forma digial y lo env7a a la ora pare as 2rmas 'S& usan una entdad de cert2caci.n (!&) para generar un cert2cado digial de identdad e5clusiva 6ue se asigna a cada peer para la auentcaci.n
Marco del protocolo IPsec Como se mencionó anteriormente, el marco del protocolo IPSec describe la mensajería para proteger las comunicaciones, pero depende de los algoritmos existentes. En la figura 1, se describen dos protocolos IPSec principales:
Encabezado de autencación AH!: &+ es el proocolo 6ue se debe utlizar cuando no se re6uiere o no se permie la con2dencialidad Proporciona la autencación y la integridad de daos para los pa6uees IP 6ue se ransmien enre dos sisemas Sin embargo, &+ no proporciona la con2dencialidad (el cifrado) de daos de los pa6uees 8odo el e5o se ranspora como e5o no cifrado !uando se utliza solo, el proocolo &+ proporciona una proecci.n poco e2caz Contenido de seguridad enca"sulado ES#!: es un proocolo de seguridad 6ue proporciona con$dencialidad y autencación mediane el cifrado del pa6uee IP El cifrado de pa6uees IP ocula los daos y las identdades del origen y el destno ESP auentca el pa6uee IP y el encabezado ESP inernos a auentcaci.n proporciona la auentcaci.n del origen de los daos y la inegridad de los daos Si bien el cifrado y la auentcaci.n son opatvos en ESP, se debe seleccionar, como m7nimo, uno de ellos
En la figura , se muestran los componentes de la configuración de IPSec. Se deben seleccionar cuatro componentes b!sicos del marco de IPsec.
#rotocolo del marco de %#sec: al con2gurar un gae9ay IPsec para proporcionar servicios de seguridad, se debe seleccionar un proocolo IPsec as opciones son una combinaci.n de ESP y &+ En realidad, las opciones de ESP o ESP:&+ casi siempre se seleccionan por6ue &+ en s7 mismo no proporciona el cifrado, como se muesra en la 2gura % Con$dencialidad si se im"lementa %#sec con ES#!: el algorimo de cifrado elegido se debe a/usar al nivel deseado de seguridad ($ES, %$ES o &ES) Se recomienda &ES, ya 6ue &ES! proporciona la mayor seguridad %ntegridad: garantza 6ue el conenido no se 0aya alerado en r3nsio Se implemena mediane el uso de algorimos de 0as0 Enre las opciones se incluye $* y S +& Autencación: represena la forma en 6ue se auentcan los dispositvos en cual6uiera de los e5remos del 4nel ? proporciona la mayor seguridad
"a combinación de estos componentes es la #ue proporciona las opciones de confidencialidad, integridad $ autenticación para las %P& con IPsec. Nota: en
esta sección, se presentó IPsec para proporcionar una comprensión de cómo IPsec protege los t'neles %P&. "a configuración de %P& con IPsec excede el !mbito de este curso.
El nivel de con2dencialidad 6ue proporciona el cifrado depende del algorimo utlizado y la longiud de la clave El cifrado puede ser sim"rico o asim"rico DH es un m"odo 6ue se utliza para intercambiar de forma segura las cla'es "ara cifrar datos
DP4: Acceso remoto DP4 no se con%igura de %orma estática# $ero $ermite el intercambio dinámico de in%ormación y se $uede 2abilitar y des2abilitar Las DP4 de acceso remoto admiten una ar!uitectura cliente@ser+idor# en la !ue el cliente DP4 '2ost remoto( obtiene acceso seguro a la red em$resarial mediante un dis$ositi+o del ser+idor DP4 en el $ermetro de la red. ;e utili*an $ara conectar 2osts indi+iduales !ue deben acceder a la red de su em$resa de %orma segura a tra+és de Internet. Existen dos m(todos principales para implementar %P& de acceso remoto:
Capa de soc)ets seguros *SS"+
Seguridad IP *IPsec+
Internet ngineering Tas= orce 'IT(
8escribir o$ciones de acceso a conecti+idad ,A4 'se incluye PL;# etrot2ernet# PPPo en banda anc2a y DP4s sobre Internet '8DP4# DP4 sitetosite# cliente DP4((.