Redes LAN Virtuales

Hasta principios de los noventa las grandes redes se desarrollaban, incluso a nivel de redes nacionales, basándose únicamente en el uso de conmutadores y puentes. Entre las grandes virtudes de los puentes y los conmutadores están su transparencia y sencillez de manejo siendo posible realizar redes complejas, incluso con enlaces WAN si se utilizan puentes remotos, sin tener que configurar ningún router. Sin embargo había dos inconvenientes serios:

• El exceso de propagación del tráfico broadcast y multicast ya que generalmente los protocolos orientados a redes locales utilizan estas tramas para anunciar todo tipo de servicios. Concretamente para las tramas broadcast no es tanto por el ancho de banda utilizado sino por los ciclos de CPU desperdiciados en todos los ordenadores de la red.
• La transparencia de esta electrónica de red hace difícil establecer mecanismos de control, protección y filtrado de tráfico, principalmente, debido a que las direcciones MAC no son agregables y no se dispone de ningún prefijo común que permita agruparlas por criterios.

Posteriormente se separarán mediante routers las diversas partes de la red ya que, al actuar a nivel de red, aíslan las tramas broadcast y multicast y facilitan la gestión al permitir la agregación de las direcciones de nivel de red.

Dividir una red local con criterios geográficos resulta sencillo ya que la topología del cableado nos permite realizar esa división de manera directa, sin embargo, a menudo se requiere realizar una división lógica de acuerdo a otros criterios. Normalmente habrá varias localizaciones en las que coexistirán varias unidades funcionales o departamentos diferentes, en cuyo caso habría que instalar en los correspondientes armarios de cableado conmutadores independientes e interconectarlos entre sí por separado.

Una solución a este problema es la creación de redes locales virtuales (VLANs) donde se realiza una partición lógica de los conmutadores dividiendo los puertos en grupos que son completamente independientes entre sí.

La conexión de las diferentes VLANs con el resto de la red se podría realizar conectando un puerto de cada VLAN en los conmutadores necesarios hasta que alcanzaran una interfaz física (diferente para cada VLAN) del router. Aunque físicamente las tres VLANs comparten los conmutadores sigue habiendo tres redes separadas en el cableado, ya que las tramas de VLANs diferentes nunca viajan por un mismo cable.

Un nivel adicional de optimización sería aquel donde se compartiera un mismo cable para diferentes VLANs con el objetivo de ahorrar el número de puertos utilizados en los enlaces troncales o de agregación, especialmente cuando se manejan muchas VLANs. Esto se denomina configurar un enlace ‘trunk’. Como es lógico los enlaces trunk suelen ser de mayor capacidad que los puertos normales del conmutador ya que soportan un tráfico más elevado. Al mezclar tramas de diferentes VLANs por el mismo cable es preciso marcarlas o etiquetarlas de alguna manera a fin de poder entregarlas a la VLAN adecuada en el otro extremo. El marcado se hace añadiendo un campo nuevo en la cabecera de la trama MAC. Los primeros sistemas de etiquetado de tramas eran propietarios, por lo que los enlaces trunk solo podían interoperar entre equipos del mismo fabricante. Hoy en día existe un formato estándar para colocar las etiquetas de VLAN que es el conocido como IEEE 802.1q que es el que utilizan prácticamente la totalidad de los equipos actuales.

Redes Privadas Virtuales

Una red privada virtual o VPN (Virtual Private Network) consiste en la interconexión de un conjunto de ordenadores haciendo uso de una infraestructura pública, normalmente compartida, para simular una infraestructura dedicada o privada.

Se crea un túnel VPN entre un ordenador externo a la red y un equipo que denominaremos ‘servidor de túneles’, ubicado en la red local, el cual se encargará de encapsular y desencapsular los paquetes. El túnel va a permitir a los usuarios remotos acceder a la red interna como si estuviera conectado en la red local (aunque con una velocidad que dependerá obviamente de la conexión física que utilice).

Mientras el túnel está operativo todo el tráfico del usuario remoto a cualquier destino de Internet se realiza, por defecto, a través del servidor de túneles. Esto significa que el usuario sufrirá las limitaciones asociadas a la capacidad del servidor de túneles y, si accede a destinos ubicados fuera de la red local, sufrirá también las limitaciones que le imponga la conexión a Internet.

Además de conectar un ordenador aislado es posible establecer un túnel VPN entre routers. Esto nos permite conectar toda una red local a través de un único equipo y además no requiere soporte de túneles en el host final. En este caso, los routers serán los encargados de realizar la labor de encapsulado/desencapsulado de datagramas. La reciente aparición de conexiones a Internet de alta velocidad y bajo costo hace especialmente atractivo el uso de túneles VPN sobre este tipo de servicios para constituir enlaces entre redes sin incurrir en los elevados costos de constituir una infraestructura dedicada mediante enlaces punto a punto o Circuitos frame Relay / ATM.

Con bastante frecuencia cuando se establecen túneles VPN dado que los datagramas viajan por una infraestructura pública en la que la información puede ser capturada y/o modificada por usuarios externos se constituyen túneles VPN con ciertos requerimientos de seguridad, constituyendo lo que podríamos denominar redes privadas virtuales seguras. El problema de una comunicación segura a través de una red se resuelve normalmente a nivel de enlace, a nivel de red o a nivel de aplicación. Cada una de estas tres alternativas tiene sus ventajas e inconvenientes:

• Nivel de enlace: La seguridad a nivel de enlace se implementa en los dispositivos que se conectan al medio de transmisión, por ejemplo dos routers que se comunican mediante una línea punto a punto. En este caso los mecanismos de seguridad se pueden aplicar de forma transparente al protocolo utilizado a nivel de red.
• Nivel de red: Esta es la aproximación adoptada por los estándares IPSec. En este caso la seguridad se limita al protocolo IP y otros protocolos sólo podrán aprovecharla si se encapsulan previamente en paquetes IP. El usuario puede aplicar la seguridad a nivel de red de forma transparente al proveedor del servicio.
• Nivel de aplicación: Esta es la aproximación adoptada por ejemplo en correo electrónico por PEM (Privacy Enhanced Mail) o PGP (Pretty Good Privacy), en HTTP por Secure HTTP o SSL (Secure Sockets Layer), o por SNMP versión 3. El principal inconveniente de abordar la seguridad a nivel de aplicación estriba precisamente en la necesidad de incorporar funcionalidades similares en cada uno de los protocolos del nivel de aplicación que deban utilizarlas, replicando así gran cantidad de tareas en diferentes partes de código. La ventaja es que la seguridad se puede desarrollar de forma selectiva, aplicándola únicamente en el intercambio de información confidencial o importante.

Denominamos IPSec al conjunto de estándares que trata todo lo relacionado con el intercambio seguro de información a nivel de red. En realidad, IPSec es una arquitectura (descrita en el RFC 2401), y un conjunto de protocolos y mecanismos de autenticación y encriptado. Las principales funcionalidades que incorpora IPSec son las siguientes:

• AH (Autentication Header): La cabecera de autentificación asegura al receptor que el datagrama no ha sido alterado ni en su contenido ni en su cabecera (salvo por la modificación del campo TTL y del checksum, que se han de realizar en cada salto); por consiguiente además de garantizarse el contenido se garantiza la autenticidad del remitente. AH se describe en el RFC 2402.
• ESP (Encapsulating Security Payload): Garantiza la confidencialidad de la información. La parte de datos del datagrama (incluida la cabecera de transporte) viaja encriptada de forma que sólo el destinatario pueda descifrar su contenido. Opcionalmente ESP puede incluir la funcionalidad de AH, es decir garantizar que el contenido no ha podido ser alterado por terceros. ESP se describe en el RFC 2406.
• ISAKMP (Internet Security Association and Key Management Protocol): Consiste en una serie de mecanismos seguros para realizar, de forma manual o automática, el intercambio de claves necesarias para las labores de encriptado y autentificación realizadas por AH y ESP. ISAKMP se describe en el RFC 2408.

Podemos distinguir dos modos de funcionamiento de IPSec:

• Modo transporte: La encriptación se realiza extremo a extremo, es decir del host de origen al host de destino. Para la implantación de IPSec en modo transporte es necesario que todos los hosts de las redes origen y destino dispongan de una implementación de IPSec.
• Modo túnel: La encriptación se efectúa únicamente entre los routers de acceso a los hosts. En este caso la información viaja no encriptada en la parte de la red local. El funcionamiento de IPSec en modo túnel permite integrar IPSec en una VPN ya que el mismo dispositivo que realiza el túnel VPN puede realizar las labores correspondientes al túnel IPSec.

Evidentemente el modo transporte es más fiable puesto que ofrece comunicación segura host a host. Sin embargo, el modo túnel tiene la ventaja de permitir incorporar la seguridad sin necesidad de incorporar IPSec en los hosts; aunque la seguridad que se obtiene en este caso no sea tan alta la sencillez de implantación es mucho mayor y se consiguen la mayor parte de los beneficios ya que se protege la parte más expuesta del trayecto que es la infraestructura pública del operador. En función de las circunstancias que rodeen cada caso se deberá optar por una u otra, pudiendo haber incluso situaciones híbridas en las que determinado tipo de información baste protegerla con el modo túnel mientras que para algún host concreto, que maneje información de mayor importancia, se deba utilizar el modo transporte.

Uno de los problemas que plantea la encriptación es el consumo intensivo de CPU que puede limitar el rendimiento de las comunicaciones. Esto suele ser un problema especialmente en los routers y servidores de túneles que atienden túneles IPSec con la función ESP activada ya que la función AH no requiere encriptación. Para evitar este problema muchos servidores de túneles y routers permiten incorporar módulos que realizan los algoritmos de encriptación por hardware.

	Presentación
	Presentación VLAN y VPN