martes, 8 de abril de 2008




WIMAX

Introducción

Últimamente se habla mucho de Wi-Fi, una tecnología inalámbrica, que en sus diferentes versiones (802.11a, b y g) puede ofrecer desde 11 Mbit/s hasta 54 Mbit/s, y sus distintas aplicaciones, especialmente en los los hot-spots (hoteles, aeropuertos, estaciones de servicio, centros de convenciones y comerciales, pueblos, etc., en los que se ofrece acceso a Internet, en muchos casos, de forma gratuita, lo que hace que los modelos de negocio no prosperen.

Pues bien, todo esto se puede ver enormemente afectado por un nuevo estándar del que está empezando a hablar, el 802.16x, conocido como WiMAX, que es una especificación para redes metropolitanas inalámbricas (WMAN) de banda ancha, que está siendo desarrollado y promovido por el grupo de la industria WiMAX (Worldwide Interoperaability for Microwave Access), http://www.wimaxforum.org/home cuyo dos miembros más representativos son Intel y Nokia. Como sucedió con la marca Wi-Fi, que garantiza la interoperabilidad entre distintos equipos la etiqueta WiMAX se asociará globalmente con el propio nombre del estándar.

El hecho de que WiMAX no sea todavía una tecnología de consumo ha permitido que el estándar se desarrolle conforme a un ciclo bien establecido, lo que es garantía de su estabilidad y de cumplimiento con la especificaciones, algo parecido alo que sucedió con GSM, que es garantía de su estabilidad.

Estandarización

A pesar de que el proyecto para la creación de un nuevo estándar se gestó hace 6 años en el IEEE, no fue hasta abril de 2002 que la primera versión del mismo, la 802.16, se publicó, y se refería a enlaces fijos de radio con visión directa (LoS) entre transmisor y receptor, pensada para cubrir la "última milla" (o la primera, según desde que lado se mire), utilizando eficientemente varias frecuencias dentro de la banda de 10 a 66 GHz.

Un año más tarde, en marzo de 2003, se ratificó una nueva versión, el 802.16a, y fue entonces cuando WiMAX, como una tecnología de banda ancha inalámbrica, empezó a cobrar relevancia. También se pensó para enlaces fijos, pero llega a extender el rango alcanzado desde 40 a 70 kilómetros, operando en la banda de 2 a 11 GHz, parte del cual es de uso común y no requiere licencia para su operación. Es válido para topologías punto a multipunto y, opcionalmente, para redes en malla, y no requiere línea de visión directa. Emplea las bandas de 3,5 GHz y 10,5 GHZ, válidas internacionalmente, que requieren licencia (2,5-2,7 en Estados Unidos), y las de 2,4 GHz y 5,725-5,825 GHz que son de uso común y no requieren disponer de licencia alguna.

Un aspecto importante del estándar 802.16x es que define un nivel MAC (Media Acces Layer) que soporta múltiples enlaces físicos (PHY). Esto es esencial para que los fabricantes de equipos puedan diferenciar sus productos y ofrecer soluciones adaptadas a diferentes entornos de uso.

Pero WiMAX también tiene competidores, y así una alternativa es el estándar Hiperaccess (>11 GHz) e HiperMAN (<11 href="http://www.monografias.com/trabajos10/modul/modul.shtml" id="autolink" class="autolink">modulación OFDM. Sin olvidarnos de Mobile-Fi, el estándar 802.20 del IEEE, específicamente diseñado desde el principio para manejar tráfico IP nativo para un acceso móvil de banda ancha, que provee velocidad entre 1 y 16 Mbit/s, sobre distancias de hasta 15 o 20 km, utilizando frecuencias por debajo de la banda de 3,5 GHz.

Características

El estándar 802.16 puede alcanzar una velocidad de comunicación de más de 100 Mbit/s en un canal con un ancho de banda de 28 MHz (en la banda de 10 a 66 GHz), mientras que el 802.16a puede llegar a los 70 Mbit/s, operando en un rango de frecuencias más bajo (<11>


WiMAX

802.16

Wi-Fi

802.11

Mobile-Fi

802.20

UMTS y cdma2000

Velocidad

124 Mbit/s

11-54 Mbit/s

16 Mbit/s

2 Mbit/s

Cobertura

40-70 km

300 m

20 km

10 km

Licencia

Si/No

No

Si

Si

Ventajas

Velocidad y Alcance

Velocidad y Precio

Velocidad y Movilidad

Rango y Movilidad

Desventajas

Interferencias?

Bajo alcance

Precio alto

Lento y caro

Comparativa de WiMAX frente a otras tecnologías.

Estas velocidades tan elevadas se consiguen gracias a utilizar la modulación OFDM (Orthogonal Frequency División Multiplexing) con 256 subportadoras, la cual puede ser implementada de diferentes formas, según cada operador, siendo la variante de OFDM empleada un factor diferenciador del servicio ofrecido. Esta técnica de modulación es la que también se emplea para la TV digital, sobre cable o satélite, así como para Wi-Fi (802.11a) por lo que está suficientemente probada. Soporta los modos FDD y TDD para facilitar su interoperabilidad con otros sistemas celulares o inalámbricos.

Soporta varios cientos de usuarios por canal, con un gran ancho de banda y es adecuada tanto para tráfico continuo como a ráfagas, siendo independiente de protocolo; así, transporta IP, Ethernet, ATM etc. y soporta múltiples servicios simultáneamente ofreciendo Calidad de Servicio (QoS) en 802.16e, por lo cual resulta adecuado para voz sobre IP (VoIP), datos y vídeo. Por ejemplo, la voz y el vídeo requieren baja latencia pero soportan bien la pérdida de algún bit, mientras que las aplicaciones de datos deben estar libres de errores, pero toleran bien el retardo.

Otra característica de WiMAX es que soporta las llamadas antenas inteligentes (smart antenas), propias de las redes celulares de 3G, lo cual mejora la eficiencia espectral, llegando a conseguir 5 bps/Hz, el doble que 802.11a. Estas antenas inteligentes emiten un haz muy estrecho que se puede ir moviendo, electrónicamente, para enfocar siempre al receptor, con lo que se evitan las interferencias entre canales adyacentes y se consume menos potencia al ser un haz más concentrado.

También, se contempla la posibilidad de formar redes malladas (mesh networks) para que los distintos usuarios se puedan comunicar entres sí, sin necesidad de tener visión directa entre ellos. Ello permite, por ejemplo, la comunicación entre una comunidad de usuarios dispersos a un coste muy bajo y con una gran seguridad al disponerse de rutas alternativas entre ellos.

En cuanto a seguridad, incluye medidas para la autenticación de usuarios y la encriptación de los datos mediante los algoritmos Triple DES.(128 bits) y RSA (1.024 bits).

Una de las principales limitaciones en los enlaces a larga distancia vía radio es la limitación de potencia, para prever interferencias con otros sistemas, y el alto consumo de batería que se requiere. Sin embargo, los más recientes avances en los procesadores digitales de señal hacen que señales muy débiles (llegan con poca potencia al receptor) puedan ser interpretadas sin errores, un hecho del que se aprovecha WiMAX. Con los avances que se logren en el diseño de baterías podrá haber terminales móviles WiMAX, compitiendo con los tradicionales de GSM, GPRS y de UMTS.

Aplicaciones.

Las primeras versiones de WiMAX están pensadas para comunicaciones punto a punto o punto a multipunto, típicas de los radioenlaces por microondas. Las próximas ofrecerán total movilidad, por lo que competirán con las redes celulares.

Los primeros productos que están empezando a aparecer en el mercado se enfocan a proporcionar un enlace de alta velocidad para conexión a las redes fijas públicas o para establecer enlaces punto a punto.

Así, WiMAX puede resultar muy adecuado para unir hot spots Wi-Fi a las redes de los operadores, sin necesidad de establecer un enlace fijo. El equipamiento Wi-Fi es relativamente barato pero un enlace E1 o DSL resulta caro y a veces no se puede desplegar, por lo que la alternativa radio parece muy razonable. WiMAX extiende el alcance de Wi-Fi y provee una seria alternativa o complemento a las redes 3G, según como se mire.

Para las empresas, es una alternativa a contemplar, ya que el coste puede ser hasta 10 veces menor que en el caso de emplear un enlace E1 o T1. De momento no se habla de WiMAX para el acceso residencial, pero en un futuro podría se una realidad, sustituyendo con enorme ventaja a las conexiones ADSL, o de cable, y haciendo que la verdadera revolución de la banda ancha llegue a todos los hogares.

Otra de sus aplicaciones encaja en ofrecer servicios a zonas rurales de difícil acceso, a las que no llegan las redes cableadas. Es una tecnología muy adecuada para establecer radioenlaces, dado su gran alcance y alta capacidad, a u coste muy competitivo frente a otras alternativas.

En los países en desarrollo resulta una buena alternativa par el despliegue rápido de servicios, compitiendo directamente con las infraestructuras basadas en redes de satélites, que son muy costosas y presentan una alta latencia.

La instalación de estaciones base WiMAX es sencilla y económica, utilizando un hardware que llegará a ser estándar, por lo que por los operadores móviles puede ser visto como una amenaza, pero también, es una manera fácil de extender sus redes y entrar en un nuevo negocio en el que ahora no están, lo que se presenta como una oportunidad.

Algunos operadores de LMDS (Local Multipoint Distribution System) están empezando a considerar esta tecnología muy en serio y ya han comenzado a hacer despliegues de red, utilizando los elementos que hoy por hoy están disponibles. Habrá que esperar para el ver resultado de estas pruebas y si se confirma su aceptación por el global de la industria y de los usuarios.

CONFIGURACION DE ROUTER

¿QUE ES UN ROUTER?

Cuando envias un email a alguien al otro lado del mundo, ¿ como sabe el mensaje llegar hasta ese punto y no a cualquiera de los otros millones de ordenadores conectados ?. Gran parte del trabajo de llevar un mensaje de un punto a otro es realizado por los routers.

Router quiere decir enrutador, es decir, "buscador" del camino o ruta.

A diferencia de una red local del tipo Ethernet (la más habitual) en la que un mensaje de una persona a otra se transmite a todos los ordenadores de la red, y solo lo recoge el que se identifica como destinatarios, en Internet, el volumen es tan alto que sería imposible que cada ordenador recibiese la totalidad del tráfico que se mueve para seleccionar sus mensajes, así que podríamos decir que el router en vez de mover un mensaje entre todas las redes que componen Internet, solo mueve el mensaje entre las dos redes que están involucradas, la del emisor y la del destinatario. Es decir, un router tiene dos misiones distintas aunque relacionadas.
  • El router se asegura de que la información no va a donde no es necesario
  • El router se asegura que la información si llegue al destinatario
El router unirá las redes del emisor y el destinatario de una información determinada (email, página Web, ...) y además solo transmitirá entre las mismas la información necesaria.

Transmisión de paquetes

Cuando establecemos una conversación telefónica, se crea una conexión directa entre el teléfono origen y el teléfono destino, si en el cable de la compañía de teléfonos que va del origen al destino hay un problema, será imposible establecer la llamada. El movimiento de información en Internet funciona de forma distinta, primero la información (emails, página web o lo que sea) de divide en pequeñas unidades o "paquetes" (de unos 1.500 bytes por paquete). Cada paquete lleva información del origen, el destinatario y lugar de ese paquete en el total de la información transmitida (para que luego el mensaje pueda ser reconstruido correctamente) e información de como confirmar su llegada al destino.

El router se encargará de analizar paquete por paquete el origen y el destino y buscará el camino más corto de uno a otro. Esta forma de transmitir información tiene grandes ventajas:
  • El router es capaz de ver si una ruta no funciona y buscar una alternativa.
  • El router es capaz incluso de buscar la ruta más rápida (por ejemplo la que tenga menos tráfico) en caso de poder escoger entre varias posibilidades.
Esto hace que Internet sea un sistema tan robusto para el envio de información.

Tipos de routers

Hay varios tipos de routers, a destacar :
  • Si usamos un PC con Windows 98 o superior para compartir una conexión a Internet, ese PC estará haciendo una funcionalidad de router básico. Tan solo se encargará de ver si los paquetes de información van destinados al exterior o a otro PC del grupo.
  • Los routers algo más sofisticados, y de hecho los más utilizados, hacen algo más, entre otras cosas protegen nuestra red del tráfico exterior, y son capaces de manejar bastante más tráfico. Es por ello que son la opción más tipica en pequeñas redes, e incluso, en usuarios domésticos.
  • Los routers más potentes, que se están repartidos por todo internet para gestionar el tráfico, manejan un volumen de millones de paquetes de datos por segundo y optimizan al máximo los caminos entre origen y destino.
En internet, como hemos mencionado, hay miles de routers que trabajan, junto con el nuestro, para buscar el camino más rápido de un punto a otro. Si tenemos un router en nuestra conexión a Internet, este buscará el router óptimo para llegar a un destinatario, y ese router óptimo, buscará a su vez el siguiente óptimo para llegar al destinatario. Digamos que es un gran trabajo en equipo.

Para ver cuantos routers intervienen entre nosotros y, por ejemplo, la web de ADSLzone, podemos hacer uso de una sencilla herramienta en nuestro sistema. Sencillamente vamos a una ventana de MS-DOS (Windows) o Terminal (Linux) y tecleamos "tracert www.adslzone.net" (Windows) o "traceroute www.adslzone.net" (Linux) y nos aparecerá una lista de los routers que han intervenido para que podamos conectarnos a esta web. También nos indicará el tiempo que ha tardado cada router en "pensar" el paso siguiente de la ruta a seguir.

Tanto los routers medianos como los más sofisticados permiten configurar que información deseamos que pueda entrar o salir de nuestro PC o red. En caso de que deseemos ampliar las posibilidades de control deberemos añadir un dispositivo llamado Firewall (cortafuegos).

¿ Como funciona un router ?

La primera función de un router, la más básica, es, como ya hemos indicado, saber si el destinatario de un paquete de información está en nuestra propia red o en una remota. Para determinarlo, el router utiliza un mecanismo llamado "máscara de subred". La máscara de subred es parecida a una dirección IP (la identificación única de un ordenador en una red de ordenadores, algo así como su nombre y apellido) y determina a que grupo de ordenadores pertenece uno en concreto. Si la máscara de subred de un paquete de información enviado no se corresponde a la red de ordenadores de por ejemplo, nuestra oficina, el router determinará, lógicamente que el destino de ese paquete está en alguna otra red.

A diferencia de un Hub o un switch del tipo layer 2, un router inspecciona cada paquete de infromación para tomar decisiones a la hora de encaminarlo a un lugar a otro. Un switch del tipo "layer 3" si tiene también esta funcionalidad.

Cada PC conectado a una red (bien sea una local o a la red de redes - Internet-) tiene lo que llamamos una tarjeta de red. La tarjeta de red gestiona la entrada salida de información y tiene una identificación propia llamada identificación MAC. A esta identificación MAC la podriamos llamar identificación física, sería como las coordenadas terrestres de nuestra casa. Es única, real y exacta. A esta identificación física le podemos asociar una identificación lógica, la llamada IP. Siguiendo con el ejemplo de la casa, la identificación física (MAC) serian sus coordenadas terrestres, y su identificación lógica sería su dirección (Calle Pepe nº3). La identificación lógica podría cambiar con el tiempo (po ejemplo si cambian de nombre a la calle) pero la identificación física no cambia.

Pues bién, el router asocia las direcciones físicas (MAC) a direcciones lógicas (IP). En comunicaciones informáticas, una dirección física (Mac) puede tener varias direcciones lógicas (IP). Podemos conocer las direcciones Mac e IP de nuestro PC tecleando, desde una ventana de DOS, "winipcfg" (en Windows 98) o "ipconfig" (en Windows 2000 / XP).

Una vez nos identificamos en internet por nuestras direcciones lógicas, los routers entre nosotros y otros puntos irán creando unas tablas que, por decirlo de algún modo localizan donde estamos. Es como si estamos en un cruce de carreteras, y vemos que los coches de Francia siempre vienen del desvío del norte, pues lo memorizamos, y cuando un coche nos pregunte como se va a Francia le diremos que por el desvió del norte (espero que los entendidos me perdonen esta simplificación). Los routers crean unas tablas de como se suele ir a donde. Si hay un problema, el router prueba otra ruta y mira si el paquete llega al destino, si no es así, prueba otra, y si esta tiene éxito, la almacena como posible ruta secundaria para cuando la primera (la más rápida no funcione). Todo esta información de rutas se va actualizando miles de veces por segundo durante las 24 horas del día.


Configurar un Router

La configuración del router es un aparte fundamental del proceso de conseguir buenas velocidades con los programs p2p. Los routers tiene 2 tipos de configuración:

  • Monopuesto: es la configuración para un único ordenador, el router no filtra las conexiones. No requiere configuración ni apertura de puertos, pero apenas ofrece seguridad.
  • Multipuesto: permite conectar varios ordenadores. El router funciona como una términal, la información de internet llega al router y este la distribuye a través de los clientes (cada ordenador conectado).

El problema surge en las configuraciones de multipuesto. El router ha de saber a que ordenador mandar cada conexión; a esto se le llama redirección de IPs públicas en la red privada. Además, muchos routers llevan Firewalls integrados que cortan las conexiones de programas p2p, por lo que debemos habilitar los puertos necesarios para estas conexiones. Lo más normal es abrir uno o varios puertos del router y redirigirlos a una IP en la red privada.

Configurar el PC

Lo primero será configurar el ordenador para que tenga siempre la misma IP dentro de nuestra red privada. No tiene nada que ver con que tengais contratada una IP fija o dinámica, eso se refiere a vuestra IP Pública, aquí vamos a configurar el PC para que dentro de vuestra red local siempre tenga la misma dirección:

  • Inicio>Ejecutar y teclear "cmd". En la venta que sale escribe "ipconfig" y dale a enter. No cierres esta ventana.
  • Inicio > Panel de Control > Conexiones de red . Aquí vamos a hacer botón derecho en nuestra conexión y damos a Propiedades. Después seleccionamos "Protocolo TCP/IP" y damos a propiedades justo debajo a la derecha.
  • Ahora has de marcar "Usar la siguiente dirección IP" y rellenas los campos con la información que nos pone el ipconfig (la ventana de MS-DOS). En las DNS, en la primera escribe la puerta de enlace y deja la segunda vacía. Esto hará que nuestro ordenador le solicite al router las DNS directamente desde nuestro proveedor.

Ok pues con esto hemos conseguido que nuestro ordenador tenga siempre la misma dirección dentro de nuestra red. Apuntad esta Dirección IP, pues cuando abramos los puertos del router habrá que decir que los redirija a esta.

Características Esenciales

  • Es un dispositivo Inteligente
  • Procesa y toma decisiones
  • Genera tabla de enrutamiento (conoce si sus Routers vecinos están en funcionamiento).
  • Siempre toma una dirección Lógica.
  • Tiene varias interfases (sirven para interconectarse con las redes LAN u otros Routers).
  • Reconoce las redes que tiene directamente conectadas
  • Mantiene una actualización constante de la topología (depende del protocolo).
  • LOAD 1/255 entre menor sea el numerador esta mas ocupado.
  • RALY 255/255 entre mayor sea el numerador es mas confiable y seguro.

¿Cómo son los pasos al encender un Router?

ROM-bootstrap:

  1. carga el sistema operativo desde la Memoria FLASH.
  2. TFTP (ROM).
  3. carga el IOS.
  4. carga el archivo de configuración.

N V RAM----

TFTP --Carga el archivo de configuración.

CONSOLA—

Como acceder al Router ya teniendo el cable ROLLOVER conectado

(Pasos)

  1. Ingresar por HYPERTERMINAL (inicio, programas, accesorios, comunicaciones, HYPERTERMINAL.
  2. También se puede instalar desde panel de control, agregar y quitar programas, instalación de Windows, comunicaciones, chulear Hyperterminal y Aceptar.

  3. selecciona el icono que desees y el nombre a tu gusto.
  4. escoger cualquiera de los COM, por ejemplo COM1.
  5. En la siguiente opción: vel (velocidad Router por ejemplo, vel 9600 bits).
  6. Paridad: ninguno.
  7. Control de Flujo: ninguno.

Del paso 1


En el Router existen varios modos de trabajo, estos son

(>) Modo Usuario: Desde aquí se puede hacer muy poco trabajo.

(#) Modo Privilegiado: Desde aquí se pueden trabajar todos los comandos show,

(config#) Modo Global: Desde aquí se trabaja las listas de acceso.

(config-if) Modo Int: Desde aquí se trabaja la configuración de las interfases, se cargan las listas de acceso, y el clock rate.

(config-Router)# Modo Router: Desde aquí se trabaja la subida del protocolo y su respectiva configuración.

Comandos para el cambio de distintos Modos de trabajo

    • De Modo Usuario a Privilegiado.

(Enable).

    • De Modo Privilegiado a Global.

(Configure terminal).

    • De Modo Global a Int.

(interface serial 0) "serial 0" depende de la interfase en la que se este trabajando.

    • De Modo Global a Router.

(Router rip).

    • Estando en cualquiera de los Modos y desea bajar un Modo se utiliza el comando (Exit).
    • Estando en cualquiera de los Modos y se desea pasar a modo Privilegiado se utiliza el comando (ctrl.+Z).

Algunos comandos Necesarios para la buena configuración del Router

Los comandos show y otros que se ejecutan desde el Modo Privilegiado.

Show running: Muestra la versión del sistema operativo.

Muestra el nombre del Router.

Muestra la IP de todas las interfases y su respectiva descripción.

Muestra si esta cargado el clock rate.

Muestra las IDS de las redes y sub-redes conectadas directamente al Router.

Muestra las listas de acceso.

Muestra la manera de la que fue configurado el respectivo protocolo.

Show versión: Muestra la información del Router, como

Capacidades de memoria.

Sistema operativo.

IOS.

Archivo de registro.

Show Start: este comando hace lo mismo que Show running.

Show Interface (numero de interfase): muestra la información de la respectiva interfast (ejemplo show interface 1ß ).

Write: guarda los cambios efectuados en el archivo de Configuración.

Show ip Inter brief: este comando muestra las conexiones existentes y si están funcionales o no lo están.

Show ip route: muestra que redes y cuantas sub-redes están conectadas, si son funcionales o no, cuantas redes a aprendido, que tipo de protocolo esta

Cargado, y que interfases están conectadas.

Show access-list: muestra las listas de acceso.

-en general estos son los comandos mas usados en la configuración de un Router-

Pasos a seguir para la configuración de un Router

(Teniendo toda la parte de hardware lista)

  1. estando dentro del Router, vamos a darle un nombre a nuestro Router entonces:

Estando en Modo Global: (config#) hostname "nombre".

Como por ejemplo (config#) hostname Bogota. Al dar Enter debe de salir el siguiente renglón en blanco.

2. como necesitamos conectar las demás redes al Router, tendremos que darles una dirección IP, pero antes de proceder, una pequeña aclaración.

"Las mascara para las dos direcciones es de 30"

        1. 172.83.24.2

Las conexiones de un dispositivo a otro deben de tener la misma red y sub.-red, solo cambiara el nodo, de este modo será lo mismo con las demás conexiones.

Es muy recomendable utilizar una sola mascara para las conexiones entre Routers (CABLE SERIAL), personalmente utilizo mascara 30 para no tener que desperdiciar IP.

Continuando, para dar una IP a una interfase seguimos los siguientes pasos.

  1. ingresamos al Modo Int completo.
  2. Ejemplo: (config-if) interface serial 0

    En la parte de "serial" cambia si se va a configurar otra interfase.

    Ejemplo: (config-if) interface ethernet 0

  3. ingresamos a la interfase con el paso anteriormente nombrado.
  4. ya habiendo puesto esto, en la siguiente linea escribimos el comando para dar la IP
  5. El comando es (config-if)# ip address la direccion y mascara.

    Ejemplo (config-if)# ip address 172.83.24.1 255.255.255.252

  6. después de esto en la siguiente línea damos su descripción de la siguiente manera.
  7. La descripción debe de llevar el nombre del Router al que va conectado y a cual interfase, en general solo son estas dos cosas.

    (config-if)# description conecta al Router Manizales a la interfase serial 2/0

  8. ya para terminal en la siguiente linea escribimos el comando para cargar lo hecho a la interfase.

(Config-if)# No shutdown.

Después de escribir no shutdown, damos ctrl.+Z (aparecerá como ´Z) para pasar a modo privilegiado, y escribimos write (wr) para que cargue lo hecho al archivo de configuración.

Ahora vamos a configurar una Fast Ethernet

MAPA

  1. en esencia es lo mismo:
  2. Ingresamos al modo INT y damos el comando "interface FastEthernet 0/0.

  3. estando allí damos el siguiente comando "ip address (dirección y mascara) 192.16.24.1 255.255.255.0"
  4. a continuación damos la descripción "description este Router conecta con el SW 0 a la interfase 4/0.
  5. luego la cargamos a la interfase "no shutdown"
  6. a continuación damos ctrl.+Z.
  7. estando en Modo privilegiado escribimos Write.

Listo, ya sabes poner direcciones IP a las interfases, estos mismos pasos sirven para todas.

¿Como configurar el Computador para que acepte estos cambios en la topología?

Las direcciones IP de los Computadores deben de tener la misma red y sub.-red de la interfase fastEthernet o Ethernet que distes.

Ejemplo: 192.16.24.1 para la interfase del Router. (255.255.255.0 es la mascara).

192.16.24.2 para uno de los Computadores

192.16.24.3 para otro Computador etc.

Configurando el Computador debes de entrar al MS-DOS o SIMBOLO DEL SISTEMA, para Computadores Windows 2000 y XP.

Comandos: winipcfg.

Allí pondrás la dirección IP del Computador, la mascara de sub.-red y la puerta de enlace (gateway)

La puerta de enlace es por donde entra y sale la información, allí ponemos la IP de la interfase del Router, que esta conectada al SWITHS y luego al Router.

Al finalizar damos aceptar, escribimos el comando exit en MS-DOS y listo.

Imágenes de lo dicho anteriormente

Primer paso

Segundo paso

C:\WINDOWS>cd..

C:\>winipcfg

Tercer paso

Cargar el protocolo (RIP)

Ahora vamos a cargar un protocolo (RIP), este protocolo ya lo hemos visto en explicaciones pasadas, y es muy fácil trabájalo.

  1. Pasamos a Modo Router.
  2. escribimos el comando Network y procedemos a colocar las ID de todas las redes que se encuentren directamente conectadas al Router.
  3. Ejemplo: Network 192.168.192.192 (enter)

    200.192.224.224 (enter)

    10.192.0.0 (enter) etc.

  4. al terminar de hacer esto pasamos a Modo Privilegiado y guardamos los cambios hechos (ctrl.+Z).
  5. lo mismo es con todos los Routers.

Tipos de rutas, y como utilizarlas

Al momento de configurar un Router surgen las rutas Dinámicas, estas son las automáticas, el protocolo lo define.

Pero existe otro tipo de ruta, la Estática. El Administrador de la red define por cuales Routers quiere que pase los paquetes enviados.

Vemos que con las dinámicas no existe ningún problema, pero las estáticas se pueden utilizar para desviar la información. Aquí diremos como hacerlo.

Rojo: Estática Negro: Dinámica

La información sale desde Manizales hasta Medellín.

Estando en el Router de origen (en este caso Manizales) configuramos utilizando lo siguiente.

Pasamos a Modo global

(Config#)# IP Route – ID de red – dirección del la interfase del Router.

Colocar una contraseña en las interfases del Router

Claro que como Administrador de red, solo yo puedo Administrar la red o personas con privilegios.

No podemos permitir que cualquier desconocido entre al Router a hacer cualquier maldad, por eso es bueno instaurar una contraseña para cada interfase del Router.

Los pasos son los siguientes:

  1. vamos al modo Global (config#).
  2. escribimos line (Modo que deseemos).
  3. Ejemplo: line con 0 ← (enter).

  4. password (contraseña que deseemos).
  5. Ejemplo: password Bogota.

  6. login (la palabra que desees).

Ejemplo: login Cisco.

Cárgalo al Router

  1. en Modo Global (config#) enable password Cisco.

Quitar la contraseña

1. estando en Modo Privilegiado # escribimos no enable (login)

Ejemplo: # no enable Cisco.

CONFIGURACION DE FIREWAL

El Centro de Seguridad

Una de las principales novedades del recientemente liberado Windows XP Service Pack 2 es el Centro de seguridad en el que se incluye un 'Firewall', 'Cortafuegos' o como Microsoft lo llama 'Servidor de Seguridad'. El Centro de Seguridad, también puede utilizarlo para buscar información sobre los virus o amenazas de seguridad más recientes u obtener servicios de atención al cliente de Microsoft en relación con un problema de seguridad.

Se puede tener acceder a el desde el Panel de control:

Para abrir el Centro de seguridad

1.- Haga clic en Inicio y, a continuación, en Panel de control.

Panel de control

Panel de control con el nuevo icono del Centro de seguridad

2.- Haga doble clic en Centro de seguridad. Verá una ventana como la que se muestra a continuación.

Centro de seguridad

Centro de seguridad

El Centro de seguridad también comprueba que se dispone de:

  • Un servidor de seguridad.
  • Un programa antivirus actualizado.
  • La configuración correcta de Actualizaciones automáticas para descargar e instalar actualizaciones de forma automática.

Si el Centro de seguridad detecta que el equipo podría beneficiarse de una mayor seguridad en alguna de las tres áreas mencionadas, muestra una alerta en el área de notificación (a la derecha de la barra de tareas, encima del reloj). Verá una alerta como la que se muestra debajo cada vez que inicie sesión, hasta que el problema se corrija.

Alerta de configuración de seguridad
Alerta de configuración de seguridad

Sugerencia Para averiguar cómo hacer frente a un problema, haga clic en una alerta y se abrirá el Centro de seguridad. En el Centro de seguridad, haga clic en Recomendaciones.

Arriba

El Firewall de Windows

El sistema operativo Windows XP con Service Pack 2 (SP2), incluye un Firewall , llamado hasta ahora Servidor de seguridad de conexión a Internet o ICF, que está activado de forma predeterminada. Esto significa que la mayor parte de los programas no podrán aceptar comunicaciones de Internet que no hayan solicitado a menos que decida catalogarlos como excepciones. Hay dos programas que, de manera predeterminada, se agregan a la lista de excepciones y pueden aceptar comunicaciones no solicitadas de Internet: Asistente para transferencia de archivos y configuraciones (en inglés) y Compartir impresoras y archivos (en inglés).

Puesto que los servidores de seguridad restringen la comunicación entre el equipo e Internet, es posible que tenga que ajustar la configuración de algunos programas que funcionan mejor con una conexión abierta. Puede hacer una excepción con estos programas, de modo que se puedan comunicar a través de Firewall de Windows.

Para abrir Firewall de Windows

  1. Haga clic en Inicio y, a continuación, haga clic en Panel de control.
  2. En el Panel de control, haga clic en Centro de seguridad de Windows.

    Centro de seguridad

  3. Haga clic en Firewall de Windows.

Nota No tiene que utilizar Firewall de Windows, puede instalar y ejecutar el servidor de seguridad que desee. Evalúe las características de otros servidores de seguridad y decida a continuación cuál satisface mejor sus necesidades. Si elige instalar y ejecutar otro servidor de seguridad, desactive Firewall de Windows.

Arriba

Cómo funciona Firewall de Windows

Cuando alguien en Internet o en una red intenta conectarse a un equipo, ese intento se conoce como "solicitud no solicitada". Cuando el equipo recibe una solicitud no solicitada, Firewall de Windows bloquea la conexión. Si utiliza un programa, por ejemplo, de mensajería instantánea o un juego de red con varios jugadores, que tiene que recibir información desde Internet o de una red, el servidor de seguridad le pregunta si desea bloquear o desbloquear (permitir) la conexión. Verá una ventana como la que se muestra a continuación.

Alerta de seguridad de servidor de seguridad
Alerta de seguridad de servidor de seguridad

Si elige desbloquear la conexión, Firewall de Windows crea una excepción de modo que el servidor de seguridad no se interpondrá cuando ese programa tenga que recibir información en el futuro. Para aprender más acerca de las excepciones, consulte la sección Excepciones de programas de esta guia.

Sugerencia Si bien Firewall de Windows se puede desactivar para conexiones de Internet y de red concretas, ello aumenta el riesgo para la seguridad del equipo.

Arriba

Qué hace Firewall de Windows y qué no hace

Lo que hace:

  • Ayuda a evitar que virus y gusanos informáticos lleguen a un equipo.

  • Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de conexión.

  • Crea un registro de seguridad, si desea tener uno, que almacene los intentos correctos y fallidos de conectarse a un equipo. Esto puede ser de utilidad como herramienta de solución de problemas.

Firewall de Windows no

  • Detecta o deshabilita los virus y gusanos informáticos, si ya se encuentran en el equipo. Por ese motivo, debería instalar también software antivirus y mantenerlo actualizado para ayudar a impedir que virus, gusanos y otras amenazas para la seguridad dañen el equipo o lo usen para propagarse.

  • Impide que el usuario abra correo electrónico con archivos adjuntos peligrosos. No abra archivos adjuntos de correo electrónico que provenga de remitentes que no conozca. Incluso aunque conozca y confíe en el origen del mensaje, debe actuar con precaución. Si alguien a quien conoce le envía un archivo adjunto en el correo electrónico, observe la línea de asunto cuidadosamente antes de abrirlo. Si la línea de asunto parece un galimatías o no tiene sentido para usted, consulte al remitente antes de abrirlo.

  • Impide que el correo no solicitado o spam aparezca en la bandeja de entrada. Sin embargo, algunos programas de correo electrónico pueden servir de ayuda en ese propósito.

Arriba

Configuración del Firewall

El acceso a la configuración del Firewall también es directamente accesible desde el panel de control, donde podremos encontrar un icono ocn el literal 'Firewall de Windows', que al pulsarlo nos muestra el siguiente cuadro de dialogo:

El primer cambio consiste en el modo en el que queremos configurar el Firewall, activado, desactivado o activado sin excepciones, este último modo resulta de gran utilidad para equipos con movilidad ya que si nos encontramos en un lugar publico podemos, simplemente marcando esta opción, cerrar completamente el acceso al PC en cuestión.

Arriba

Excepciones por programa.

Permitir excepciones tiene ciertos riesgos:

Cada vez que permite una excepción para que un programa se comunique a través de Firewall de Windows, el equipo se vuelve más vulnerable. Permitir una excepción es como hacer un agujero en el servidor de seguridad. Si hay demasiados agujeros, no queda mucha pared en el muro que es el servidor de seguridad. Los piratas informáticos suelen usar software que examina Internet en busca de equipos con conexiones sin proteger. Si tiene muchas excepciones y puertos abiertos, el equipo puede ser mucho más vulnerable.

Para contribuir a reducir el riesgo para la seguridad:

  • Permita una excepción únicamente cuando la necesite en realidad.

  • No permita nunca una excepción para un programa que no reconozca.

  • Quite una excepción cuando ya no la necesite

En versiones anteriores esta configuración se debía realizar a mano, con lo que muchos usuarios se veían incapaces de realizarla. Para dar permisos a un programa pulse el botón 'Agregar programa...'

y seleccione el programa que desea añadir:

b3379bb.jpg

Si no se encuentra en la lista, puede buscarlo pulsando el boton 'Examinar' el cual le abrirá un 'Explorador de Archivos' de su PC.

El Firewall detecta automáticamente los puertos que usa el programa seleccionado y los abre cuando ese programa se ejecuta, cerrándolos cuando el programa se cierra. Aunque seleccionando un programa en el cuadro de dialogo de 'Excepciones' y pulsando el botón 'Modificar' podemos controlar individualmente los puertos que se abren al ejecutar el programa.

b337af3.jpg

Desde la ventana de excepciones también es posible añadir simplemente puertos tanto TCP como UDP, pulsando en el botón 'Agregar puerto...'.

b337a86.jpg

Otra de las configuraciones de este apartado es el rango de direcciones IP al que vamos a permitir el acceso, se dividen en tres tipos: las de mi red (Intranet o red interna, técnicamente la misma subred), cualquiera, o un rango definido a mano en una lista de direcciones IP.

Arriba

Permitir excepciones a pesar del riesgo

En ocasiones, puede que desee que alguien pueda conectarse a su equipo, a pesar del riesgo; por ejemplo, cuando espere recibir un archivo enviado a través de un programa de mensajería instantánea o cuando participe en un juego con varios jugadores en Internet.

Por ejemplo, si intercambia mensajes instantáneos con alguien que desea enviarle un archivo (como una fotografía), Firewall de Windows le preguntará si desea desbloquear la conexión y permitir que la fotografía llegue a su equipo. O bien, si desea participar en un juego de red con varios amigos en Internet, puede agregar el juego como excepción para que el servidor de seguridad permita que la información del juego llegue al equipo.

Arriba

Para agregar un programa a la lista de excepciones:

  1. Haga clic en Inicio y, a continuación, en Panel de control.
  2. En el Panel de control, haga clic en Firewall de Windows.
  3. En la ficha Excepciones, en Programas y servicios, active la casilla de verificación correspondiente al programa o servicio que desee permitir y haga clic en Aceptar.

Ficha Excepciones de Firewall de Windows
Ficha Excepciones de Firewall de Windows

Si el programa (o servicio) que desea permitir no aparece en la lista:

  1. Haga clic en Agregar programa.
  2. En el cuadro de diálogo Agregar un programa, haga clic en el programa que desee agregar y, después, haga clic en Aceptar. El programa aparecerá, seleccionado, en la ficha Excepciones, debajo de Programas y servicios.
  3. Haga clic en Aceptar.

Sugerencia: Si el programa o servicio que desea permitir no se menciona en el cuadro de diálogo Agregar un programa, haga clic en Examinar, localice el programa que desea agregar y, a continuación, haga doble clic en él. Los programas suelen almacenarse en la carpeta Archivos de programa. El programa aparecerá en Programas, en el cuadro de diálogo Agregar un programa.

Arriba

Como último recurso, abra un puerto.

Si sigue sin encontrar el programa, puede abrir un puerto en su lugar. Un puerto es como una pequeña puerta en el servidor de seguridad que permite que las comunicaciones pasen por ella. Para especificar qué puerto abrir, en la ficha Excepciones, haga clic en Agregar puerto. (Cuando abra un puerto, recuerde volver a cerrarlo cuando haya terminado de usarlo.)

Agregar una excepción es mejor que abrir un puerto porque:

  • Es más facil
  • No necesita saber qué número de puerto usar.
  • Es más seguro que abrir un puerto, porque el servidor de seguridad sólo está abierto mientras el programa espera recibir la conexión.

Arriba

Otras configuraciones.

Los usuarios avanzados pueden abrir puertos para conexiones individuales y configurar su ámbito, con el fin de reducir las oportunidades de que los intrusos se conecten a un equipo o una red. Para ello, abra Firewall de Windows, haga clic en la ficha Opciones avanzadas y utilice las opciones de configuración de Configuración de conexión de red.

En “Opciones Avanzadas”,podemos encontrar otras configuraciones generales del Firewall. Desde este cuadro de diálogo podremos configurar el archivo de log, las conexiones que se verán afectadas por el Firewall (deberían ser todas) y el ICMP (Internet Control Message Protocol).

El apartado más interesante es el que afecta a las conexiones, ya que nos permite gestionar todo lo anterior pero esta vez por conexión, lo que en caso de disponer por ejemplo de una tarjeta de red y un módem, nos permitirá gestionar cada uno de ellos de manera diferente. Por último destacar el botón que nos permite restaurar los valores por defecto, extremadamente útil si nos encontramos de pruebas.

En el apartado de configuración ICMP podemos deshabilitar el que equipos externos nos hagan 'Ping', para saber si nuestra maquina esta encendida. Para ello desmarque 'Permitir solicitud de eco entrante', aunque si tenemos activo el servicio SMB en el puerto TCP 445 estas solicitudes se permiten automaticamente.

b337b8f.jpg

Recomiendo a cualquier usuario de SP2 que use esta funcionalidad, quizás la más brillante del nuevo paquete, le mantendrá protegido de los ataques más conocidos, lo que vienen de la red y de esta manera su PC estará más seguro.

Arriba

¿Qué significan los nuevos iconos de seguridad?

SP2 de Windows XP dispone de un nuevo conjunto de iconos de seguridad que pueden ayudar a reconocer posibles riesgos de seguridad y elegir la configuración de seguridad adecuada. Esto es lo que significa cada uno de los nuevos iconos.

Icono de seguridadProporciona información importante sobre la seguridad y su configuración.

Icono de seguridadLe notifica un posible riesgo de seguridad.

Icono de seguridadLa situación es más segura. El equipo usa la configuración de seguridad recomendada.

Icono de seguridadAviso: La situación es posiblemente dañina. Considere ajustar la configuración de seguridad para mejorar la seguridad del equipo.

Icono de seguridadLa configuración de seguridad actual del equipo no se recomienda.

Arriba

Cómo deshabilitar las alertas del servidor de seguridad

Si ejecuta Windows XP Service Pack 2 (SP2), Firewall de Windows se activará automáticamente. El Centro de seguridad de Windows le indicará el estado del servidor de seguridad y mostrará un alerta si deja de funcionar. Sin embargo, no tiene que usar Firewall de Windows, puede instalar y ejecutar cualquier servidor de seguridad que prefiera. El Centro de seguridad de Windows le indicará el estado del servidor de seguridad y mostrará un alerta si deja de funcionar.

Existen varios servidores de seguridad que Windows no encontrará, por ejemplo, un servidor de seguridad de hardware o ciertos tipos de servidor de seguridad de software. Si el equipo utiliza un servidor de seguridad de hardware, no debe deshabilitar Firewall de Windows. Si instala y ejecuta otro servidor de seguridad, debe desactivar Firewall de Windows. Si utiliza un programa de servidor de seguridad de software que Windows no reconoce, podría interesarle deshabilitar las alertas de servidor de seguridad del Centro de seguridad.

Nota Sólo debe deshabilitar estas alertas si está seguro de que el equipo está protegido por un servidor de seguridad.

Para especificar que está usando un servidor de seguridad que Windows no encuentra:

  1. Haga clic en Inicio y, a continuación, en Panel de control.

  2. Haga doble clic en Centro de seguridad. (También puede tener acceso al Centro de seguridad haciendo clic en una alerta enviada por el Centro de seguridad. Por ejemplo, si recibe una alerta que le indica que el software antivirus está anticuado, al hacer clic en dicha alerta, se abrirá el Centro de seguridad).

  3. En el Centro de seguridad, en Servidor de seguridad, haga clic en Recomendaciones. El botón Recomendaciones no estará disponible cuando la opción Servidor de seguridad esté marcada como ACTIVADO.

  4. En el cuadro de diálogo Recomendaciones, active la casilla de verificación Tengo una solución de servidor de seguridad que yo supervisaré y, a continuación, haga clic en Aceptar.

    Cuando usa este procedimiento, el Centro de seguridad muestra la opción Servidor de seguridad como Conocido y no le envía alertas.

VPN

La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación:

  • Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
  • Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
  • Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de intercepción, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma.Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
  • No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.

Tabla de contenidos

[ocultar]

Requerimientos básicos

  • Identificación de usuario: Las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.
  • Codificación de datos: Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor.
  • Administración de claves: Las VPN deben actualizar las claves de cifrado para los usuarios.

Tipos de VPN

Básicamente existen tres arquitecturas de conexión VPN:

VPN de acceso remoto

Es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones preparadas), etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura «dial-up» (módems y líneas telefónicas).

VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el punto anterior, también llamada tecnología de túnel o tunneling:

Tunneling

Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que evite que nuestras comunicaciones puedan ser interceptadas y espiadas. HTTP, FTP, POP3 y otros muchos protocolos ampliamente usados, utilizan comunicaciones que viajan en claro a través de la red. Esto supone un grave problema, en todas aquellas situaciones en las que queremos transferir entre máquinas información sensible, como pueda ser una cuenta de usuario (nombre de usuario y contraseña), y no tengamos un control absoluto sobre la red, a fin de evitar que alguien pueda interceptar nuestra comunicación por medio de la técnica del hombre en el medio (man in the middle), como es el caso de la Red de redes.

El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan las máquinas puede ver dichos datos. De este modo, alguien que conecte su máquina a una red y utilice un sniffer recibirá y podrá analizar por tanto todos los paquetes que circulen por dicha red. Si alguno de esos paquetes pertenece a un protocolo que envía sus comunicaciones en claro, y contiene información sensible, dicha información se verá comprometida. Si por el contrario, se cifran las comunicaciones con un sistema que permita entenderse sólo a las dos máquinas que son partícipes de la comunicación, cualquiera que intercepte desde una tercera máquina los paquetes, no podrá hacer nada con ellos, al no poder descifrar los datos.

Una forma de evitar este problema, sin dejar por ello de utilizar todos aquellos protocolos que carezcan de medios de cifrado, es usar una técnica llamada tunneling. Básicamente, esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. De esta analogía viene el nombre de la técnica, siendo la conexión segura (en este caso de ssh) el túnel por el cual se envían los datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos. Este tipo de técnica requiere de forma imprescindible tener una cuenta de acceso seguro en la máquina con la que se quiere comunicar.

VPN interna WLAN

Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la información.

¿Por qué VPN?

Las VPN son una salida al costo que puede significar el pagar una conexión de alto coste, para usar líneas alquiladas que estén conectadas a otros puntos que puedan hacer uso de la conexión a Internet o para hacer negocios con clientes frecuentes a través de la red.

Los datos son codificados o cifrados y recién enviados a través de la conexión, para de esa manera asegurar la información y el password que se esté enviando.

Esta tecnología proporciona un medio para aprovechar un canal público de Internet como un canal privado o propio para comunicar datos que son privados. Mas aún, con un método de codificación y encapsulamiento, una VPN básica, crea un camino privado a través de Internet. Esto reduce el trabajo y riesgo en una gestión de red

La tecnología de túneles esta basado en estándares. Esta tecnología permite transmitir datos entre dos redes similares. A esto también se llama "encapsulación", es decir, a la tecnología que coloca algún tipo de paquetes dentro de otro protocolo (TCP). Aparte de todo esto, también se añade otra información necesaria para poder descifrar la información que se encuentra codificada. Estos paquetes llegan a su destino después de haber atravesado Internet, pero para verificar que ha llegado al destino correcto se realiza un proceso de autentificación.

Las VPNs son una gran solución a distintos problemas, pero solo en el campo de la economía de los usuarios porque por ejemplo en el caso de que se realice una conexión entre dos sedes de empresas, una en Japón y la otra en Perú, sería muy costoso el realizar un cableado entre estos dos países, y un enlace inalámbrico satelital sería muy costoso. Es por ello que una red privada virtual es más económica porque solo se hace uso de Internet que es un conjunto de redes conectadas entre si.

Coste

La principal motivación del uso y difusión de esta tecnología es la reducción de los costos de comunicaciones directos, tanto en líneas dial-up como en vínculos WAN dedicados. Los costos se reducen drásticamente en estos casos:

  • En el caso de accesos remotos, llamadas locales a los ISP (Internet Service Provider) en vez de llamadas de larga distancia a los servidores de acceso remoto de la organización. O también mediante servicios de banda ancha.
  • En el caso de conexiones punto a punto, utilizando servicios de banda ancha para acceder a Internet, y desde Internet llegar al servidor VPN de la organización. Todo esto a un costo sensiblemente inferior al de los vínculos WAN dedicados.


Implementaciones

El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.

Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas soluciones.

  • Las aplicaciones VPN por software son las más configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, Linux y los Unix en general. Por ejemplo productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan.

En ambos casos se pueden utilizar soluciones de Firewall o Cortafuegos, obteniendo un nivel de seguridad alto por la protección que brinda el Cortafuegos, pero se pierde en rendimiento.

Ventajas

  • Integridad, confidencialidad y seguridad de datos.
  • Las VPN reducen costos y son sencillas de usar.

Tipos de Conexión

Conexión de acceso remoto

Una conexión de acceso remoto es realizada por un cliente o un usuario de un computador que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y este se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente.

Conexión VPN router a router

Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambien sirve para la intranet

Conexión VPN Firewall ASA a Firewall ASA

Una conexión VPN Firewall ASA a Firewall ASA es realizada por un Firewall ASA, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier Usuario en Internet. El Firewall ASA que realiza la llamada se autentica ante el Firewall ASA que responde y este a su vez se autentica ante el Firewall ASA que realiza la llamada.

INTERNET WORKING

Introducción

Los dispositivos de Internetworking permiten a las LAN seguir extendiéndose por encima de las distancias máximas y se pueden usar para dividir grandes LAN en varias más pequeñas para aumentar las prestaciones globales del sistema. Hay varias maneras diferentes de lograr interconexiones LAN a LAN. Para entender totalmente los diversos métodos de interconexión, es importante entender las diferentes capas del modelo OSI (Interconexión de Sistemas Abiertos - Open Systems Interconnect):

El Modelo OSI

Las comunicaciones de datos en una LAN pueden ser examinadas usando el modelo OSI. La comunicación de datos consiste en paquetes de información. Cada paquete puede contener información para cada sección del modelo OSI.

Las diferentes secciones se muestran a continuación. Los niveles bajos, del 1 a 3, se usa principalmente para comunicaciones de datos en la LAN. Los niveles superiores, se usan internamente para conexiones del host a la LAN y no contribuyen directamente a la comunicación de la LAN.

Capa Física

La capa física describe el método de transmisión de datos al nivel físico ("cableado") del medio de transmisión.

Capa de Enlace de Datos

La capa de enlace de datos describe el método de empaquetar datos en unidades llamadas tramas o paquetes y enviar estas tramas de una interfaz en la LAN a otra interfaz en la misma LAN. Dentro de cada LAN la capa de enlace de datos se emplea para la transmisión de los datos.

Capa de Red

La capa de red describe el método de transferir tramas entre dispositivos en redes diferentes. Usando la capa de red es posible separar una LAN en redes distintas.

La capa de red a veces se denomina "sin conexión" (connectionless) porque cada trama se encamina independientemente, sin que el protocolo de la capa de red proporcione ninguna garantía de la transmisión de los datos. La capa de red se limita a enviar la trama a la siguiente red en la ruta hacia la red de destino.

Capa de Transporte

La capa de transporte describe el método de proporcionar transferencias fiables de datos entre los dispositivos LAN. La capa de transporte es usada principalmente para la transmisión de tramas entre los protocolos de las capas superiores entre dispositivos diferentes en la red. La capa de red se usa para conseguir que los datos lleguen a la red destino apropiada y la capa de transporte para asegurar la entrega garantizada de los datos.

Protocolos de LAN más frecuentes

Los protocolos usados para comunicación entre ordenadores pueden ser muy diversos. Uno de los protocolos más comunes es el denominado Protocolo de Internet (IP o Internet Protocol). Otros dos ejemplos de protocolos de red son IPX y DECNET. Estos protocolos funcionan dentro de la capa 3 del modelo OSI.

Como se puede ver en el diagrama siguiente, un protocolo de red en la capa 3 puede existir tanto en una LAN Ethernet como en una LAN Token Ring. Las capas 1 y 2 se ocupan de la toma de comunicación física para cada tipo de LAN. Es factible por tanto generar una trama IP en una LAN Ethernet y enviarla a través de la red para llegar a un ordenador en una LAN Token Ring. Esta comunicación entre plataformas cruzadas es posible debido a que la capa de red es la misma en ambas LAN.

Figura 4 — Protocolos de LAN más frecuentes

Uniendo Múltiples LAN

Los dispositivos de Internetworking permiten la interconexión de redes LAN para extender los límites de distancias o para dividir grandes LAN en múltiples pequeñas LAN para aumentar las prestaciones globales del sistema. Hay varias maneras diferentes de lograr la interconexión de LAN a LAN.

El diagrama siguiente ilustra la representación de tres dispositivos diferentes de comunicaciones de datos y sus correspondencias a las capas del modelo OSI.

Figura 5 — Comunicaciones de Datos y el Modelo OSI

Repetidores

Los repetidores se pueden usar para conectar segmentos LAN y crear una LAN física más grande.

Un repetidor opera en la capa física de una LAN y se limita a aceptar bits de datos en un lado y retransmitirlos al otro lado. Con este proceso, se permite a las señales originales recorrer una distancia más larga. En la especificación Ethernet, un solo segmento esta limitado a 500 metros. Usando repetidores, Ethernet puede extenderse hasta 1.500 metros (usando un máximo de dos repetidores según Ethernet Versión 1), o 2.800 metros (usando un máximo de cuatro repetidores, según la Versión 2/IEEE 802.3). Es importante observar que los segmentos conectados al repetidor constituyen una LAN física y todo el tráfico está presente en cada segmento.

Puentes

Los puentes (bridge) se emplean para conectar segmentos LAN, para crear una LAN lógica más grande.

Un puente opera en la capa de enlace de datos de una LAN e inteligentemente acepta bits de datos en un lado y selectivamente los retransmite al otro lado. En el proceso, un puente aísla tráfico local LAN en cada segmento y sólo deja pasar tráfico dirigido a un dispositivo situado en el siguiente segmento LAN. Esto evita que los mismos datos LAN sean transmitidos innecesariamente por la LAN completa y mejora sus prestaciones globales.

Encaminadores

Los encaminadores o routers se emplean para conectar LAN's separadas permitiendo crear una "inter-red" de LAN's. Es el concepto "internetworking".

Un encaminador opera en la capa de red de una LAN e inteligentemente acepta bits de datos en un lado y los dirige a la red LAN correcta. Los protocolos usados en la capa de red facilitan, con el uso de los routers, comunicación de la inter-red. Un encaminador se usa para comunicar entre redes de tipos diferentes. Una red puede ser diferente de otras redes por su tipo físico o por su dirección.

Protocolos Enrutables vs No-Enrutables

Hay algunos protocolos de comunicación que no pueden encaminarse (enrutarse). No puede enrutarse LAT y NetBIOS porque su comunicación principal se realiza en la capa 2. Los encaminadores operan en la capa 3 del modelo OSI y por tanto no pueden encaminar protocolos que se sitúan en la capa 2.

El diagrama siguiente muestra la relación entre LAT, NetBIOS, e IP y cómo encaja cada protocolo dentro del modelo OSI.

Figura 6 — Protocolos No-Enrutables