Inicio wiki
Aula Virtual
 Administración de Sistemas Operativos
Inicio ASO Aula Virtual
Vistas
  •   5. VLANs y VPNs
De ASO
Figura 1. LANs con red tradicional I
Figura 2. LANs con red tradicional II
Figura 3. Virtual LANs con switches
Figura 4. Dos conmutadores con dos VLANs
Figura 5. Etiquetado de VLAN
Figura 6. Etiquetado 802.1q

Redes LAN Virtuales

Hasta principios de los noventa las grandes redes se desarrollaban, incluso a nivel de redes nacionales, bas谩ndose 煤nicamente en el uso de conmutadores y puentes. Entre las grandes virtudes de los puentes y los conmutadores est谩n su transparencia y sencillez de manejo siendo posible realizar redes complejas, incluso con enlaces WAN si se utilizan puentes remotos, sin tener que configurar ning煤n router. Sin embargo hab铆a dos inconvenientes serios:

  • El exceso de propagaci贸n del tr谩fico broadcast y multicast ya que generalmente los protocolos orientados a redes locales utilizan estas tramas para anunciar todo tipo de servicios. Concretamente para las tramas broadcast no es tanto por el ancho de banda utilizado sino por los ciclos de CPU desperdiciados en todos los ordenadores de la red.
  • La transparencia de esta electr贸nica de red hace dif铆cil establecer mecanismos de control, protecci贸n y filtrado de tr谩fico, principalmente, debido a que las direcciones MAC no son agregables y no se dispone de ning煤n prefijo com煤n que permita agruparlas por criterios.

Posteriormente se separar谩n mediante routers las diversas partes de la red ya que, al actuar a nivel de red, a铆slan las tramas broadcast y multicast y facilitan la gesti贸n al permitir la agregaci贸n de las direcciones de nivel de red.

Dividir una red local con criterios geogr谩ficos resulta sencillo ya que la topolog铆a del cableado nos permite realizar esa divisi贸n de manera directa, sin embargo, a menudo se requiere realizar una divisi贸n l贸gica de acuerdo a otros criterios. Normalmente habr谩 varias localizaciones en las que coexistir谩n varias unidades funcionales o departamentos diferentes, en cuyo caso habr铆a que instalar en los correspondientes armarios de cableado conmutadores independientes e interconectarlos entre s铆 por separado.

Una soluci贸n a este problema es la creaci贸n de redes locales virtuales (VLANs) donde se realiza una partici贸n l贸gica de los conmutadores dividiendo los puertos en grupos que son completamente independientes entre s铆.

La conexi贸n de las diferentes VLANs con el resto de la red se podr铆a realizar conectando un puerto de cada VLAN en los conmutadores necesarios hasta que alcanzaran una interfaz f铆sica (diferente para cada VLAN) del router. Aunque f铆sicamente las tres VLANs comparten los conmutadores sigue habiendo tres redes separadas en el cableado, ya que las tramas de VLANs diferentes nunca viajan por un mismo cable.

Un nivel adicional de optimizaci贸n ser铆a aquel donde se compartiera un mismo cable para diferentes VLANs con el objetivo de ahorrar el n煤mero de puertos utilizados en los enlaces troncales o de agregaci贸n, especialmente cuando se manejan muchas VLANs. Esto se denomina configurar un enlace 鈥榯runk鈥. Como es l贸gico los enlaces trunk suelen ser de mayor capacidad que los puertos normales del conmutador ya que soportan un tr谩fico m谩s elevado. Al mezclar tramas de diferentes VLANs por el mismo cable es preciso marcarlas o etiquetarlas de alguna manera a fin de poder entregarlas a la VLAN adecuada en el otro extremo. El marcado se hace a帽adiendo un campo nuevo en la cabecera de la trama MAC. Los primeros sistemas de etiquetado de tramas eran propietarios, por lo que los enlaces trunk solo pod铆an interoperar entre equipos del mismo fabricante. Hoy en d铆a existe un formato est谩ndar para colocar las etiquetas de VLAN que es el conocido como IEEE 802.1q que es el que utilizan pr谩cticamente la totalidad de los equipos actuales.













Redes Privadas Virtuales

Figura 7. Modo transporte en IPSec
Figura 8. Modo t煤nel en IPSec
Figura 9. Protocolo IPSec en modo transporte y t煤nel (AH)
Figura 10. Protocolo IPSec en modo transporte (ESP)
Figura 11. Protocolo IPSec en modo t煤nel (ESP)

Una red privada virtual o VPN (Virtual Private Network) consiste en la interconexi贸n de un conjunto de ordenadores haciendo uso de una infraestructura p煤blica, normalmente compartida, para simular una infraestructura dedicada o privada.

Se crea un t煤nel VPN entre un ordenador externo a la red y un equipo que denominaremos 鈥榮ervidor de t煤neles鈥, ubicado en la red local, el cual se encargar谩 de encapsular y desencapsular los paquetes. El t煤nel va a permitir a los usuarios remotos acceder a la red interna como si estuviera conectado en la red local (aunque con una velocidad que depender谩 obviamente de la conexi贸n f铆sica que utilice).

Mientras el t煤nel est谩 operativo todo el tr谩fico del usuario remoto a cualquier destino de Internet se realiza, por defecto, a trav茅s del servidor de t煤neles. Esto significa que el usuario sufrir谩 las limitaciones asociadas a la capacidad del servidor de t煤neles y, si accede a destinos ubicados fuera de la red local, sufrir谩 tambi茅n las limitaciones que le imponga la conexi贸n a Internet.

Adem谩s de conectar un ordenador aislado es posible establecer un t煤nel VPN entre routers. Esto nos permite conectar toda una red local a trav茅s de un 煤nico equipo y adem谩s no requiere soporte de t煤neles en el host final. En este caso, los routers ser谩n los encargados de realizar la labor de encapsulado/desencapsulado de datagramas. La reciente aparici贸n de conexiones a Internet de alta velocidad y bajo costo hace especialmente atractivo el uso de t煤neles VPN sobre este tipo de servicios para constituir enlaces entre redes sin incurrir en los elevados costos de constituir una infraestructura dedicada mediante enlaces punto a punto o Circuitos frame Relay / ATM.

Con bastante frecuencia cuando se establecen t煤neles VPN dado que los datagramas viajan por una infraestructura p煤blica en la que la informaci贸n puede ser capturada y/o modificada por usuarios externos se constituyen t煤neles VPN con ciertos requerimientos de seguridad, constituyendo lo que podr铆amos denominar redes privadas virtuales seguras. El problema de una comunicaci贸n segura a trav茅s de una red se resuelve normalmente a nivel de enlace, a nivel de red o a nivel de aplicaci贸n. Cada una de estas tres alternativas tiene sus ventajas e inconvenientes:

  • Nivel de enlace: La seguridad a nivel de enlace se implementa en los dispositivos que se conectan al medio de transmisi贸n, por ejemplo dos routers que se comunican mediante una l铆nea punto a punto. En este caso los mecanismos de seguridad se pueden aplicar de forma transparente al protocolo utilizado a nivel de red.
  • Nivel de red: Esta es la aproximaci贸n adoptada por los est谩ndares IPSec. En este caso la seguridad se limita al protocolo IP y otros protocolos s贸lo podr谩n aprovecharla si se encapsulan previamente en paquetes IP. El usuario puede aplicar la seguridad a nivel de red de forma transparente al proveedor del servicio.
  • Nivel de aplicaci贸n: Esta es la aproximaci贸n adoptada por ejemplo en correo electr贸nico por PEM (Privacy Enhanced Mail) o PGP (Pretty Good Privacy), en HTTP por Secure HTTP o SSL (Secure Sockets Layer), o por SNMP versi贸n 3. El principal inconveniente de abordar la seguridad a nivel de aplicaci贸n estriba precisamente en la necesidad de incorporar funcionalidades similares en cada uno de los protocolos del nivel de aplicaci贸n que deban utilizarlas, replicando as铆 gran cantidad de tareas en diferentes partes de c贸digo. La ventaja es que la seguridad se puede desarrollar de forma selectiva, aplic谩ndola 煤nicamente en el intercambio de informaci贸n confidencial o importante.


Denominamos IPSec al conjunto de est谩ndares que trata todo lo relacionado con el intercambio seguro de informaci贸n a nivel de red. En realidad, IPSec es una arquitectura (descrita en el RFC 2401), y un conjunto de protocolos y mecanismos de autenticaci贸n y encriptado. Las principales funcionalidades que incorpora IPSec son las siguientes:

  • AH (Autentication Header): La cabecera de autentificaci贸n asegura al receptor que el datagrama no ha sido alterado ni en su contenido ni en su cabecera (salvo por la modificaci贸n del campo TTL y del checksum, que se han de realizar en cada salto); por consiguiente adem谩s de garantizarse el contenido se garantiza la autenticidad del remitente. AH se describe en el RFC 2402.
  • ESP (Encapsulating Security Payload): Garantiza la confidencialidad de la informaci贸n. La parte de datos del datagrama (incluida la cabecera de transporte) viaja encriptada de forma que s贸lo el destinatario pueda descifrar su contenido. Opcionalmente ESP puede incluir la funcionalidad de AH, es decir garantizar que el contenido no ha podido ser alterado por terceros. ESP se describe en el RFC 2406.
  • ISAKMP (Internet Security Association and Key Management Protocol): Consiste en una serie de mecanismos seguros para realizar, de forma manual o autom谩tica, el intercambio de claves necesarias para las labores de encriptado y autentificaci贸n realizadas por AH y ESP. ISAKMP se describe en el RFC 2408.


Podemos distinguir dos modos de funcionamiento de IPSec:

  • Modo transporte: La encriptaci贸n se realiza extremo a extremo, es decir del host de origen al host de destino. Para la implantaci贸n de IPSec en modo transporte es necesario que todos los hosts de las redes origen y destino dispongan de una implementaci贸n de IPSec.
  • Modo t煤nel: La encriptaci贸n se efect煤a 煤nicamente entre los routers de acceso a los hosts. En este caso la informaci贸n viaja no encriptada en la parte de la red local. El funcionamiento de IPSec en modo t煤nel permite integrar IPSec en una VPN ya que el mismo dispositivo que realiza el t煤nel VPN puede realizar las labores correspondientes al t煤nel IPSec.


Evidentemente el modo transporte es m谩s fiable puesto que ofrece comunicaci贸n segura host a host. Sin embargo, el modo t煤nel tiene la ventaja de permitir incorporar la seguridad sin necesidad de incorporar IPSec en los hosts; aunque la seguridad que se obtiene en este caso no sea tan alta la sencillez de implantaci贸n es mucho mayor y se consiguen la mayor parte de los beneficios ya que se protege la parte m谩s expuesta del trayecto que es la infraestructura p煤blica del operador. En funci贸n de las circunstancias que rodeen cada caso se deber谩 optar por una u otra, pudiendo haber incluso situaciones h铆bridas en las que determinado tipo de informaci贸n baste protegerla con el modo t煤nel mientras que para alg煤n host concreto, que maneje informaci贸n de mayor importancia, se deba utilizar el modo transporte.

Uno de los problemas que plantea la encriptaci贸n es el consumo intensivo de CPU que puede limitar el rendimiento de las comunicaciones. Esto suele ser un problema especialmente en los routers y servidores de t煤neles que atienden t煤neles IPSec con la funci贸n ESP activada ya que la funci贸n AH no requiere encriptaci贸n. Para evitar este problema muchos servidores de t煤neles y routers permiten incorporar m贸dulos que realizan los algoritmos de encriptaci贸n por hardware.


Image:ico_pps.gif   Presentaci贸n
Presentaci贸n VLAN y VPN
Obtenido de "http://www.adminso.es/index.php/5._VLANs_y_VPNs"
Menú















Libro Recomendado

PROGRAMACI脫N SHELL. APRENDE A PROGRAMAR CON M脕S DE 200 EJERCICIOS RESUELTOS
Ver fichaVer ficha
Comprar libroComprar