IP reference

Referencia Técnica de Redes, Protocolos, Modelo OSI, TCP/IP, y otras tecnologías.

Posts Tagged ‘Cisco docs’

Cómo funciona una Red Privada Virtual (Virtual Private Network)

Posted by Luis R. en 2009/04/28

from:IPSec Negotiation/IKE Protocols/How Virtual Private Networks Work

El mundo ha cambiado últimamente y ya no sólo nos interesa tratar con asuntos locales o regionales, ahora muchas empresas tienen que lidiar con mercados y logística globales. Algunas empresas deciden hacerlo mediante presencia en todo su país, su continente, o incluso en todo el mundo; pero siempre hay algo que necesitan: comunicación segura, confiable y rápida, sin importar donde estén sus oficinas.

Hasta hace poco, comunicación confiable significaba tener enlaces dedicados para mantener redes WAN, que podían ir desde una línea ISDN (144Kbps) hasta un OC3 (Optical Carrier-3 a 155Mbp o también llamado STM1). Obviamente una red WAN tiene ventajas sobre una red pública, como Internet, en cuanto a confiabilidad, disponibilidad, performance, latencia, seguridad, etc.; pero mantener una red WAN, particularmente usando enlaces dedicados, se puede volver demasiado costoso, y dependiendo del tipo de servicio, puede que la distacia incremente ese costo aún más. Adicionalmente, las redes privadas no son la solución para una empresa que tiene usuarios con alta movilidad (como puede ser el personal de mercadeo), y que requiere conectarse a recursos corporativos para acceder a datos sensiblemente importantes o confidenciales.

Mientras crece la popularidad del internet, las empresas lo han utilizado como un medio para extender sus propias redes. Primero llegaron las intranets, sitios diseñados para el uso de los empleados únicamente. Ahora, muchas compañías tienen sus propias VPNs para dar solución a las necesidades de sus empleados y oficinas remotos.

Una red típica de VPN puede tener una red local (LAN) principal en el edificio corporativo, otras LANs en oficinas remotas y usuarios individuales que se conectan desde campo.
Una VPN es una red privada que usa una red pública (usualmente el internet) para conectar sitios remotos o usuarios. Y en lugar de usar enlaces dedicados, tales como una línea privada, usa conexiones “virtuales” enrutadas a través de internet desde la red privada de la compañía hasta el sitio remoto.

¿Qué hace una VPN?

Hay dos tipos comunes de VPN

  • Remote-Access: también llamada Virtual Private Dial-up Network (VPDN); es una conexión usuario-LAN usada por empresas que tienen empleados móviles que se conectan desde localidades remotas. Usualmente, las empresas que trabajan este esquema, también contratan un ISP que provea el servicio de Dial-up a sus empleados móviles, y podría incluso ser a través de un número gratuito para entrar a internet y comunicarse con la red corporativa a través de un cliente de VPN. Las redes VPN de Remote-Access permiten conexiones seguras y encriptadas entre la red privada de una empresa y los usuarios remotos a través de un proveedor de servicios.
  • Site-to-Site: A través del uso de equipo dedicado y encripción a gran escala, una empresa puede conectar múltiples sitios fijos sobre una red pública como Internet. Cada sitio requiere sólo una conexión local a la misma red pública; de ahí proviene el ahorro comparado con Líneas Privadas dedicadas. Las VPNs Site-to-Site se pueden clasificar como intranets(entre dos oficinas remotas de la  misma compañía) o extranets (si se construye la VPN entre oficinas de compañías distintas, ya sea un socio, cliente, proveedor, etc.)

Entre las ventajas de una Red Privada Virtual bien diseñada tenemos:

  • Conectividad extendida geográficamente
  • Costos de operación menores que en una WAN tradicional
  • Reduce los tiempos y costos de tránsito para usuarios remotos
  • Aumenta la productividad
  • Simplifica la topología de red
  • Provee oportunidades de trabajo en red globales
  • Hace posible el soporte a esos trabajadores remotos
  • Provee un retorno de inversión más rápido que una WAN tradicional

¿Qué características tiene una Red Privada Virtual bien diseñada? Debe incorporar al menos:

  • Seguridad (security)
  • Confiabilidad (reliability)
  • Escalabilidad (scalability)
  • Manejo de Red (network management)
  • Manejo de Políticas (policy management)

Analogía: cada LAN es una ISLA (each LAN is an isLANd)

Imagina que vive en una isla dentro de un enorme oceáno. Hay miles de islas alrededor, algunas muy cerca, otras muy lejos. La manera normal de viajar a ellas es tomar un ferry, y por tanto, significaría no tener casi ninguna privacidad; todo lo que haga puede ser visto por otros.

Pensemos en que cada isla es una LAN y el oceáno es la Internet. Cuando te conectas a un servidor web es similar a cuando viajas por ferry. No tienes control sobre los cables o routers que componen la internet, así como no tienes control de la gente en el ferry. Es así como tienes los detalles de seguridad por usar un medio público para conectar dos redes privadas.

Así que decides construir un puente entre tu isla y otra, para tener un medio más seguro y directo de viajar entre ellas. Claro que será más caro construir y mantener el puente, aún cuando sea un destino cercano; pero la necesidad de un medio confiable y seguro es grande, así que lo construyes. Quizás si quieres comunicarte a una isla más lejana será demasiado caro.

La situación es parecida a tener una línea privada. Los puentes (esas líneas privadas) están separadas del oceáno (Internet), aún pueden conectar las islas (LANs). Muchas compañiás han escogido esta ruta por la gran necesidad de seguridad y confiabilidad. Aún así, la gran distancia podría hacer prohibitivos los costos.

Así que, ¿cómo encaja una VPN en esta analogía?, le podríamos dar a cada habitante de nuestra isla un pequeño submarino con las siguientes propiedades:

  • Rápido
  • Fácil de llevar
  • Se puede esconder completamente de otros submarinos y barcos
  • Se puede depender de él
  • Es barato agregar submarinos a la flota que ya tienes

Aunque está viajando en el oceáno junto con otro tráfico, los habitantes de nuestras islas pueden viajar cuando quieran, con seguridad y privacía. Así funciona una VPN en esencia; cada miembro remoto de tu red puede comunicarse de manera segura a través de Internet hacia una LAN privada. Además, puede crecer la VPN para acomodar más usuarios o localidades de manera más sencilla que con enlaces dedicados. De hecho, la escalabilidad es una de las mayores ventajas de las VPNs sobre las líneas dedicadas, ya que la distancia geográfica no influye en los costos de la VPN.

Tecnologías VPN

Una VPN bien diseñada usa varios métodos para mantener el orden de la conexión y los datos seguros.

  • Confidencialidad de los datos: es quizás el servicio más importante que nos da cualquier implementación de VPN. Como tus datos privados viajan sobre un medio público, la confidencialidad es vital y puede ser obtenida por encriptación. En este proceso se codifican los datos de una manera que sólo la computadora de destino puede descifrar la información.

La mayoría de las VPN usan uno de estos protocolos de encriptación:

  1. IPsec– Internet Protocol security que nos da una seguridad mejorada con características tales como algoritmos de encriptación más fuertes y autenticación más comprensiva. IPsec tiene dos modos de encripción, túnel y transporte. El modo de túnel encripta el encabezado y la carga de cada paquete, mientras que el método de transporte sólo encripta la carga o contenido de los paquetes. Sólo sistemas que son compatibles con IPsec pueden usar este protocolo. También, todos los dispositivos deben usar una clave común o certificado y deben tener implementadas políticas de seguridad similares.
    Para usuarios de acceso remoto de VPN hay paquetes de software  que proveen encriptación y conexión en una PC. IPsec soporta encriptación de 56 bits (single DES) o 168 bits (triple-DES).
  2. PPTP/MPPE– PPTP fue creado en el foro PPTP, un consorcio que incluye a US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP soporta VPNs multiprotocolo, con encriptación de 40 y 128 bits usando un protocolo llamado Microsoft Point-to-Point Encryption (MPPE). Es importante notar que PPTP por si mismos no provee encriptación.
  3. L2TP/IPsec– conocido como L2TP sobre IPsec, provee la seguridad del protocolo de IPsec sobre la solución de túnel de Layer 2 Tunneling Protocol. L2TP es el producto de la alianza entre miembros del foro PPTP, Cisco y la Internet Engineering Task Force (IETF). Usado principalmente para VPNs de acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000 trae incorporado un cliente nativo de IPsec y L2TP. Los ISP (proveedores de servicio de Internet) también pueden ofrecer conexiones L2TP para usuarios de dial-up (conexión por módem analógico) y encriptar el tráfico con IPsec entre sus puntos de acceso y los servidores de red de las oficinas remotas.
  • Integridad de los datos– es imporante que tus datos estén encriptados sobre una red pública, y es igual de importante que no sean cambiados durante su tránsito. Por ejemplo, IPsec tiene un mecanismo para asegurar que la parte encriptada del paquete o el encabezado completo y los datos del paquete, no han sido alterados. Si se detecta alguna alteración, el paquete se descarta. La integridad de los datos también involucra autenticar el par remoto (remote peer).
  • Autenticación del origen de los datos– es extremadamente importante verificar la identidad de la fuente de los datos que se están enviando. Esto es para protegernos de una variedad de ataques que dependen de suplantar la identidad del transmisor (spoofing).
    Anti Replay- Es la habilidad de detectar y rechazar paquetes que son reproducidos o copiados, y sirve para evitar el spoofing.
  • Data Tunneling/Traffic Flow Confidentiality–  Tunneling es el proceso de encapsular un paquete completo dentro de otro paquete y enviarlo sobre una red. El tuneleo de datos es útil en casos donde es deseable esconder la identidad del dispositivo que origina el tráfico. Por ejemplo, un dispositivo único que encapsula tráfico que pertenece a un número de hosts detrás de él, y agrega su propio encabezado sobre los paquetes existentes. Encriptando el paquete original y su encabezado ( y ruteando el paquete basado en el encabezado capa 3 que se agregó encima), el dispositivo de tuneleo esconde efectivamente la fuente original del paquete. Sólo un par (peer) confiable es capaz de determinar la verdadera fuente, después desecha el encabezado adicional y desencripta el encabezado original. Como puede verse en el RFC 2401:

“…disclosure of the external characteristics of communication also can be a concern in some circumstances. Traffic flow confidentiality is the service that addresses this latter concern by concealing source and destination addresses, message length, or frequency of communication. In the IPsec context, using ESP in tunnel mode, especially at a security gateway, can provide some level of traffic flow confidentiality.”

“…La revelación de las características externas de comunicación también pueden ser una preocupación en ciertas circunstancias. La confidencialidad del flujo de tráfico es el servicio que resuelve esta preocupación ocultando las direcciones fuente y destino; longitud del mensaje, o la frecuencia de comunicación. En el contexto de IPsec, usar ESP en modo de túnel, especialmente en un gateway de seguridad, puede dar algún nivel de confidencialidad al flujo de tráfico.”

Todos los protocolos de encriptación listados aquí también usan tuneleo como un medio para transferir los datos encriptados a través de la red pública. Es importante notar que el tuneleo, por si mismo, no provee seguridad a los datos. El paquete original es encapsulado únicamente dentro de otro protocolo y podría aún ser visible con un dispositivo de captura de paquetes si no es encriptado. Sin embargo se menciona aquí porque es una parte integral de cómo funciona una VPN.

El tunneling requiere 3 protocolos diferentes:

  1. Passenger protocol– Datos originales a transportar (IPX, NetBeui, IP).
  2. Encapsulating protocol–  El protocolo que envolverá al paquete original.
  3. Carrier protocol– El protocolo usado por la red sobre el que la información viajará.

El paquete original (passenger protocol) es encapsulado dentro del protocolo de encapsulamiento, el cual es puesto dentro del encabezado del protocolo de carrier (usualmente IP) para mandarlo sobre la red pública. Debemos notar que el protocolo de encapsulamiento frecuentemente también lleva la encriptación de los datos. Protocolos como IPX y NetBeui, los cuales normalmente no serían transportados por la Internet, pueden ser transmitidos de manera segura.

Para VPNs site-to-site, el protocolo de encapsulamiento es usualmente IPsec o Generic Routing Encapsulation (GRE). GRE incluye información de que tipo de paquete estás encapsulando e información acerca de la conexión entre el servidor y el cliente.
Para VPNs de acceso remoto, el tunneling normalmente tiene lugar usando PPP (point to point protocol). Parte de la pila de TCP/IP, PPP es el transporte para otros protocolos de IP cuando se comunicam dos hosts sobre la red. PPP tunneling usará PPTP, L2TP o Layer 2 Forwarding (propietario de Cisco).

  • AAA– Authentication, authorization, and accounting; se usa para un acceso más seguro en una VPN de acceso remoto. Sin la autenticación de usuario cualquiera que tenga acceso a una computadora con un cliente de VPN preinstalado puede establecer una conexión segura a la red remota. Sin embargo, con la autenticación de usuario se le pedirán un nombre usuario y una contraseña válidos para completar la conexión. Los nomrbes de usuario y contraseñas peuden ser almacenados en el dispositivo terminador de VPNs, o en un servidor externo de AAA, el cual puede proveer autenticación a muchas otras bases de datos, tales como Windows NT, Novell, LDAP, y demás.

Cuando una petición para establecer un túnel viene de un cliente de dial-up, el dispositivo de VPN pregunta por un nombre de usuario y una contraseña. Éste puede ser autenticado localmente o enviado a un AAA server, el cual revisa:

  • Authentication ¿Quién eres?
  • Authorization ¿Qué te está permitido hacer?
  • Accounting ¿Qué es lo que estás haciendo?

La información de accounting es especialmente útil para seguir la actividad de un cliente para auditar la seguridad, cobrar los servicios usados o elaborar reportes.

  • Nonrepudiation– es una característica bastante deseable en ciertas transferencias de datos, especialmente las relacionadas con finanzas. Ayuda a prevenir situaciones donde un extremo niega haber tomado parte en una transacción. Así como un banco nos requiere la forma antes de pagar un cheque, nonrepudiation trabaja agregando una firma digital al mensaje enviado, así se adelanta a la posibilidad de que el transmisor niegue su participación en la transacción.

Hay varios protocolos que se pueden usar para contruir una solución deVPN y cada uno de ellos provee parte de los servicios que se listan en el documento. La elección de algún protocolo depende del juego de características deseado. Por ejemplo, una organización puede estar cómoda con la información transmitida en texto simple, pero extremadamente preocupada con la integridad de los datos, mientras que otra empresa podría encontrar que su confidencialidad es extremadamente esencial. Obviamente la elección de protocolos sería diferente. Para más información de los protocolos disponibles y sus fortalezas relativas puedes leer el documento de cisco: ¿Cuál solución de VPN es la correcta para ti? (inglés).

Productos de VPN (Cisco)

Basados en el tipo de VPN (remote-access o site-to-site) se necesitan ciertos componentes para construir tu red de VPN. Estos pueden incluir:

  • Software para cada host remoto que se requiera conectar
  • Hardware dedicado, como un concentrador de VPN o un Cisco Adaptive Security Appliance (ASA), un router con IOS features, un VPN router de Nortel (antes contivity), etc.
  • Servidor de VPN dedicado para los servicios de dial-in
  • Network Access Server (NAS) usado por los proveedores de servicios para el acceso de usuarios remotos de VPN.
  • Centro manejo de políticas y de red privada.

Muchas compañías han desarrollado soluciones llave en mano debido a que no hay un estándar ampliamente aceptado para implementar VPNs, por ejemplo, Cisco ofrece:

  • VPN Concentrator (fuera de ventas)
  • VPN enabled router (un 1841 security bundle por ejemplo)
  • Cisco ASA
  • Cisco VPN clients
Anuncios

Posted in Cisco docs, Security | Etiquetado: , , , , , , , , , , , , , , , , , , , , , , | 6 Comments »

Movilidad IPv6

Posted by Luis R. en 2009/03/18

del documento de cisco: IPv6 Mobility At-a-Glance

Los objetivos de la movilidad de IPv6 son:

  • no estar limitado a una ubicación
  • tener siempre conectividad IP
  • que sea independiente del transporte
  • conexiones en roaming robustas
  • movilidad de las aplicaciones
  • continuidad de las aplicaciones
  • que un server pueda ser un dispositivo móvil

Mobile IPv6 (MIPv6) se define en:

  • RFC 3775: Mobility Support in IPv6
  • RFC 3776: Using IPSec to Protect Mobile IPv6 Signalling between Mobile Nodes and Home Agents

Existen los mismos componentes básicos en MIPv6 como en MIPv4, excepto que no hay agentes externos en MIPv6.

figura 1 Lee el resto de esta entrada »

Posted in Cisco docs | Etiquetado: , , , , , , , , , , , , , , , , , , , | Leave a Comment »

Encabezado IPv6

Posted by Luis R. en 2009/02/20

Del documento de Cisco IPv6 Headers

Hay varios cambios al formato de encabezados de IPv6. Los diagramas describen en alto nivel la comparación entre IPv4 e IPv6.

IPv6 Headers

IPv6 Headers

Lee el resto de esta entrada »

Posted in Cisco docs | Etiquetado: , , , , , , , , , | Leave a Comment »

Internet Protocol version 6

Posted by Luis R. en 2009/02/12

Del Cisco’s Internetworking Techonology Handbook

IPv6

Uno de los mayores estándares en el horizonte es IPv6, aunque no se ha vuelto un estándar oficial, vale la pena revisarlo un poco, y es muy posible que esta información cambie mientras se libera una versión definitiva, por lo que este documento debe ser sólo una guía.

Hay una gran variedad de libros y RFCs disponibles que hablan sobre IPv6, con los grandes rasgos de cómo se desarrolla el estándar, aunque son documentos difíciles de interpretar con un vistazo y requieren un poco de dedicación para poder analizar todos los temas relacionados al desarrollo de IPv6.

IPv4 (Internet Protocol version 4) es el protocolo más popular usado hoy, aunque hay serias dudas acerca de su utilidad para la comunidad de Internet a largo plazo. IPv4 fue terminado en 1970 y ha comenzado a mostrar los signos de su edad. El principal problema es el direccionamiento, o la falta de espacio en el mismo, porque muchos expertos creen que están casi agotadas las 4mil millones de direcciones disponibles para IPv4. Y aunque parece un número enorme, enormes bloques han sido dados a las agencias de gobierno y organizaciones grandes. IPv6 podría ser la solución a muchos problemas, pero no está totalmente desarrollado y no es un estándar aún.

Ha habido muchos desarrolladores e ingenieros trabajando en IPv6 desde principios de los 90’s. Cientos de RFCs se han escrito y se han detallado algunas áreas importantes, incluyendo el direccionamiento expandido, el formato de encabezado simplificado, el etiquetado de flujo (flow labeling), autenticación, y privacidad.

El direccionamiento expandido nos lleva de 32 a 128 bits de direccionamiento y nos da nuevos métodos de broadcast y de unicast; inyecta hexadecimales en la dirección IP y cambia el delimitador “.” por “:“, en la figura 32-1 se muestra el formato de encabezado del paquete de IPv6.

IPv6 Header

IPv6 Header

El encabezado simplificado es de 40 bits y el formato consiste de:

  • Version
  • Class
  • Flow Label
  • Payload length
  • Next Header
  • Hop Limit
  • Source Address
  • Destination Address
  • Data
  • Payload Fields

Lee el resto de esta entrada »

Posted in Cisco docs, Internetworking | Etiquetado: , , , , , , , , | Leave a Comment »

Actualizar el PIX OS en un ASA 5500

Posted by Luis R. en 2009/02/04

Roberto pregunta en un comentario ¿cómo puede cargar el sistema operativo en un ASA 5510 que no tiene imagen?.

Básicamente es el mismo proceso que en un router, y lo primero que debemos hacer es obtener una imagen adecuada para nuestro Adaptive Security Appliance; por ejemplo PIX OS 7.0.8 que es una General Deployment y por tanto debe tener pocos bugs y debe ser muy estable.

El problema con un ASA a diferencia de un router es que involucra licencias; para un router basta con obtener la imagen y si estamos registrados como partners de Cisco, tenemos acceso a ese software, pero para un ASA debemos obtener la imagen y registrarn nuestro ASA para obtener una license key que activa las características de VPN, lo más sencillo sería abrir un caso en el TAC si contamos con el soporte; si no, bajemos la imagen y el ASA básicamente funcionará como firewall, sólo que sin la funcionalidad de SSL por ejemplo.

Ya que tenemos la imagen en nuestra computadora, debemos instalar un tftp server para que de ahí copiemos la imagen.

Ahora ponemos una IP en nuestra PC, nos conectamos al ASA por el puerto de consola, iniciamos nuestra hyperterminal o un programa de telnet de nuestra preferencia y prendemos el ASA; si efectivamente no tiene imagen entrará directo a ROMMON, que es una versión muy básica del PIX OS, y desde ahí vamos a configurar una IP para el puerto fast ethernet que está conectado a nuestra PC con el TFTP server.

Una vez configuradas las IP, y activado el puerto (no shutdown) hacemos un ping entre ambos, y comenzamos con la copia de la imagen:

rommon# copy tftp flash

y el proceso es el mismo que en un router, puedes consultar la descripción en el post original y si hay dudas por favor díganme.

En este link pueden encontrar información sobre como manejar software (imágenes):

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html

Aquí está el procedimiento para instalar una imagen usando la línea de comandos (CLI command line interface):

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask2

Posted in Cisco docs, Security | Etiquetado: , , , , , , , | 4 Comments »

El modelo jerárquico de 3 capas de Cisco

Posted by Luis R. en 2008/11/28

La jerarquía tiene muchos beneficios en el diseño de las redes y nos ayuda a hacerlas más predecibles. En si, definimos funciones dentro de cada capa, ya que las redes grandes pueden ser extremadamente complejas e incluir múltiples protocolos y tecnologías; así, el modelo nos ayuda a tener un modelo fácilmente entendible de una red y por tanto a decidir una manera apropiada de aplicar una configuración.

Ciscos Hierarchical Model

Cisco's Hierarchical Model

Entre las ventajas que tenemos de separar las redes en 3 niveles tenemos que es más fácil diseñar, implementar, mantener y escalar la red, además de que la hace más confiable, con una mejor relación costo/beneficio. Cada capa tiene funciones específicas asignadas y no se refiere necesariamente a una separación física, sino lógica; así que podemos tener distintos dispositivos en una sola capa o un dispositivo haciendo las funciones de más de una de las capas.

Las capas y sus funciones típicas son:

  • La capa de Acceso (access layer): Conmutación (switching); controla a los usuarios y el acceso de grupos de trabajo (workgroup access) o los recursos de internetwork, y a veces se le llama desktop layer. Los recursos más utilizados por los usuarios deben ser ubicados localmente, pero el tráfico de servicios remotos es manejado aquí, y entre sus funciones están la continuación de control de acceso y políticas, creación de dominios de colisión separados (segmentación), conectividad de grupos de trabajo en la capa de distribución (workgroup connectivity). En esta capa se lleva a cabo la conmutación Ethernet (Ethernet switching), DDR y ruteo estático (el dinámico es parte de la capa de distribución). Es importante considerar que no tienen que ser routers separados los que efectúan estas funciones de diferentes capas, podrían ser incluso varios dispositivos por capa o un dispositivo haciendo funciones de varias capas.
  • La capa de Distribución (distribution layer): Enrutamiento (routing); también a veces se llama workgroup layer, y es el medio de comunicación entre la capa de acceso y el Core. Las funciones de esta capa son proveer ruteo, filtrado, acceso a la red WAN y determinar que paquetes deben llegar al Core. Además, determina cuál es la manera más rápida de responder a los requerimientos de red, por ejemplo, cómo traer un archivo desde un servidor.
    Aquí además se implementan las políticas de red, por ejemplo: ruteo, access-list, filtrado de paquetes, cola de espera (queuing), se implementa la seguridad y políticas de red (traducciones NAT y firewalls), la redistribución entre protocolos de ruteo (incluyendo rutas estáticas), ruteo entre VLANs y otras funciones de grupo de trabajo, se definen dominios de broadcast y multicast.
    Debemos evitar que se hagan funciones en esta capa que son exclusivas de otras capas.
  • La capa de Núcleo (core layer): Backbone; es literalmente el núcleo de la red, su única función es switchear tráfico tan rápido como sea posible y se encarga de llevar grandes cantidades de tráfico de manera confiable y veloz, por lo que la latencia y la velocidad son factores importantes en esta capa. El tráfico que transporta es común a la mayoría de los usuarios, pero el tráfico se procesa en la capa de distribución que a su vez envía las solicitudes al core si es necesario. EN caso de falla se afecta a todos los usuarios, por lo que la tolerancia a fallas es importante.
    Además, dada la importancia de la velocidad, no hace funciones que puedan aumentar la latencia, como access-list, ruteo interVLAN, filtrado de paquetes, ni tampoco workgroup access. Se debe evitar a toda costa aumentar el número de dispositivos en el Core (no agregar routers), si la capacidad del Core es insufuciente, debemos considerar aumentos a la plataforma actual (upgrades) antes que expansiones con equipo nuevo.
    Debemos diseñar el Core para una alta confiabilidad (high reliability), por ejemplo con tecnologías de Data Link (capa 2) que faciliten redundancia y velocidad, como FDDI, Fast Ethernet (con enlaces redundantes), ATM, etc, y seleccionamos todo el diseño con la velocidad en mente, procurando la latencia más baja, y considerando protocolos con tiempos de convergencia más bajos.

Posted in A-Bases, CCNA, Cisco docs, Internetworking | Etiquetado: , , , , , , , | 24 Comments »

Cableado Ethernet

Posted by Luis R. en 2008/11/22

Hay 3 tipos de configuración para el cableado UTP que es utilizado en las redes Ethernet:

  • Straight-through (o directo): que se utiliza para conectar un host a un switch o a un router, o un router a un switch o hub. 
  • Crossover: que se utiliza para conectar de un host a un host, de un switch a un switch, router a router, hub a switch, de router a host.
  • Rolled

Straight-Through

Se usan 4 alambres del cable en la configuración straight-through para conectar dispositivos Ethernet y es relativamente simple armar estos cables. Debemos notar que sólo se usan los alambres 1, 2, 3 y 6; pero esta configuración funciona sólo con Ethernet, no con voz, Token Ring, ISDN, etc.

1————1
2————2
3————3
6————6

Crossover

1————3
2————6
3————1
6————2

Se usan los mismos 4 pares, pero intercambiamos las posiciones. En realidad no importa mucho que colores se utilicen mientras un par trenzado se conecte a los pines 1 y 2, y el otro par a los pines 3 y 6, y dependiendo de si necesitamos un cable directo (straight-through) o un cable cruzado (crossover) vamos a usar alguna de estas dos configuraciones.

Rolled Cable

El cable rolado se utiliza para conectar un host a un puerto de consola de un router (puerto serial de comunicaciones). Si tienes dispositivos Cisco, lo común es usar un cable de este tipo para conectar una computadora que está ejecutando la Hyperterminal (a un router o un switch ).

1————8
2————7
3————6
4————5
5————4
6————3
7————2
8————1

Para ver un esquema o fotografías de los conectores, les recomiendo visitar el artículo de wikipedia referente al cableado categoría 5e o este documento que describe los estándares TIA568A y TIA 568B.

Y pueden visitar este artículo (cortesía de un amigo mío) para ver que no sólo una PC se puede conectar en Ethernet, hay variedad de dispositivos sobre los que se puede montar un adaptador Ethenet (NIC) para integrarlo a la red, en este caso, se usa para lectores de datos (lectores de tarjetas de identificación, lectores biométricos, checadores, etc.)

Posted in A-Bases, CCNA, Cisco docs, Internetworking | Etiquetado: , , , , , , , , | Leave a Comment »

Ethernet en la Capa Física

Posted by Luis R. en 2008/11/21

Ethernet fue implementado por Digital, Intel y Xerox, quienes crearon e implementaron las primeras especificaciones LAN para Ethernet en las que se basó la IEEE para crear su comité 802.3; ésta era una red de 10Mbps que funcionaba sobre cable coaxial y eventualmente sobre par trenzado y sobre fibra.

Posteriormente la IEEE extendió su comité 802.3 a dos nuevos comités, 802.3u (Fast Ethernet) y 802.3ab (Gigabit Ethernet en categoría 5) y finalmente 802.3ae (10Gbps sobre fibra y coaxial).

Es  de suma importancia entender las diferencias entre los medios que se utilizan para Ethernet, ya que los costos no son los mismos, y posiblemente pensemos en implementar 10Gbps pero la diferencia de inversión lo haría muy difícil; pero entendiendo los diferentes medios de transmisión disponibles, se puede llegar a una solución que mezcle distintas opciones y que funcione muy bien y que sea de una excelente relación costo/beneficio.

ethernet

ethernet

La EIA/TIA (Electronic Industries Association y la nueva Telecommunications Industry Alliance) son los organismos que crearon el cuerpo del standard de Ethernet para la capa física. La EIA/TIA especifica que Ethernet use un conector registrado (registred jack RJ) con una secuencia de cableado 4 5 sobre par trenzado sin blindaje (unshielded twisted-pair UTP) que resulta ser el RJ45.

Cada tipo de cable Ethernet que está especificado por la EIA/TIA tiene una atenuación intrínseca del medio, es decir, la pérdida de la fuerza de la señal que se tiene cuando la señal pasa por el medio y que es medida en decibeles (dB). El mercado mide esta atenuación en categorías y entre mayor es la calidad del cable, mayor es la categoría y por tanto, menor es la atenuación. Por ejemplo, la categoría 5 tiene más vueltas (en el trenzado) que la categoría 3 y por tanto tiene menor interferencia por inducción (crosstalk).

Algunos de los estándares originales de la IEEE 802.3 son:

10Base2 10Mbps en banda base, hasta 185mt de distancia entre nodos, también conocido como thinnet y soporta 30 nodos por segmento. Usa un bus lógico y físico con conectores AUI; el 2 significa casi 200m. Usa tarjetas Ethernet con conectores BNC (British Naval Connector, Bayonet Neill Concelman o Bayonet Nut Connector) y conectores T para conectarse a la red.

10Base5 10Mbps,en banda base (baseband) y hasta 500m de distancia. Se conocía como thicknet, usa una topología lógica y física de bus con conectores AUI, hasta 2500m con repetidores y 1024 usuarios por segmento.

10BaseT usando cableado categoría3. Se conecta a través de un hub o un switch, sólo un host por segmento de cableado, usa conectores RJ45 con topología en estrella y un bus lógico.

Cada estándar 802.3 define una unidad de acoplamiento (conector Attachment Unit Interface) que permite una transferencia de un bit a la vez hacia la capa física desde el método de acceso (MAC) de la capa de enlace de datos (Data Link Layer). Ésto permite que MAC permanezca sin cambios, mientras que la capa física puede irse actualizando para utilizar nuevas tecnologías. El conector AUI original era un conector de 15 pines, pero que no soporta los 100Mbps por las altas frecuencias involucradas. Así que 100BaseT necesitó una nueva interfase y en el IEEE 802.3u se creó una llamado Media Independent Interfase (MII) que tiene un throughput de 100Mbps, y utiliza un nibble definido de 4bits, y el Gigabit Ethernet MII transmite 8 bits a la vez.

802.3u (fast ethernet) es compatible con 802.3 porque comparten las mismas características físicas. Fast Ethernet y Ethernet usan la misma unidad máxima de transmisión (MTU), usan los mismos mecanismos MAC (de acceso al medio),y preservan el formato de frame (descrito en el post anterior) que es usado por 10BaseT Ethernet. Básicamente, fast ethernet es sólo una actualización del estándar 802.3 original, sólo que 10 veces más rápido.

Algunos estándares extendidos de 802.3:

100BaseTX (IEEE 802.3u) cableado categoría 5, 6 o 7 de la EIA/TIA sobre par trenzado. un host por segmento de cableado, hasta 100m de distancia, conectores RJ45 con topología lógica de bus y física de estrella.

100BaseFX (IEEE 802.3u) usa cableado de fibra multimodo de 62.5/125 micrones. Topología punto a punto, hasta 412m de distancia, conectores ST o SC.

1000BaseCX (IEEE 802.3z) par trenzado de cobre llamado twinax (un par de coaxiales balanceados) que sólo llegan a los 25m.

1000BaseT (IEEE 802.3ab) Categoría 5, cuatro pares de UTP y hasta 100m.

1000BaseSX (IEEE 802.3z) MMF con núcleo de 62.5 y 50 micrones, usa un LASER de 850nm (nanómetros) y puede llegar a los 220m con la fibra de 62.5 micrones y 550m con la fibra de 50 micrones.

1000BaseLX (IEEE 802.3z) Fibra mono-modo, que usa núcleo de 9 micrones y lásers de 1300 nanómetros que puede alcanzar distancias desde 3km hasta 10kilómetros.

La fibra óptica es inmune a la interferencia Electromagnética (EMI).

Posted in CCNA | Etiquetado: , , , , , , , , , | 1 Comment »

Ethernet en la capa de aplicación

Posted by Luis R. en 2008/11/02

El direccionamiento de Ethernet (MAC addressing) es responsabilidad de la capa de enlace de datos. Aquí también se hacen los Frames con datos provenientes de la capa de red, y se preparan para transmitirlos en la LAN.

Direccionamiento Ethernet (addressing)

Ethernet usa el Media Access Control Address (dirección MAC o física) de cada tarjeta de red que se compone de 48 bits o 6 bytes. 

MAC Address

MAC Address

El bit más significativo (extrema izquierda) es de Individual Group (I/G), si es un 0 podemos asumir que es la MAC address de un dispositivo y es parte del encabezado de MAC; si es 1 podemos asumir que es parte de un broadcast o multicast de Ethernet, o un broadcast o dirección funcional de en TR y FDDI.

El siguiente bit es Global/Local (G/L o también U/L universal local ). Cuando es 0, es una dirección globalmente administrada (por ejemplo por la IEEE), cuando es 1 es una dirección localmente gobernada y administrada (como con DECnet).

Estos dos bits forman parte de los primeros 24, los otros 22 se usan como identificador único asignado a la organización (Organizationally Unique Identifier OUI) que le asigna la IEEE a una organización y se supone que es única e irrepetible aunque no hay garantías.

Los 24 bits restantes menos significativos (mitad de extrema derecha) reprensentan la parte localmente administrada (por el fabricante) y es un número único para cada tarjeta; cada fabricante generalmente usa estos números como el número de serie.

Frames de Ethernet

La capa de enlace de datos combina los bits en bytes, y los bytes en frames; un frame es el paquete utilizado en esta capa y se usa para encapsular datos que vienen desde la capa de red para poder entrar a algún medio de transmisión.

Ethernet Frames

Ethernet Frames

La función de las estaciones Ethernet es pasar frames de datos entre sí usando un formato llamado MAC Frame Format, que entre otras cosas nos otorga detección de errores (no corrección) por un método llamado revisión de redundancia cíclica (Cyclic Redundancy Check o CRC).

Para el Frame de Ethernet descrito por el estándar IEEE 802.3 y el Ethernet II tenemos los siguientes campos:

  • Preámbulo (preamble) es un patrón de 1 y 0 que se repite y sirve para sincronizar el reloj a 5MHz al principio de cada Frame.
  • Start Frame Delimiter (SFD)/Synch, el preámbulo es de 7 octetos (bytes) y el SFD es de un byte (1010 1011) dond el último par de 1 permite que el receptor detecte el inicio de los datos.
  • Destination Address (DA) Es un valor de 48 bits que contiene la dirección MAC de destino, lo importante es que el primer bit que se envía aquí es el menos significativo (extremo derecho) es el primero que se transmite. Y cuando un host recibe el frame, lee este campo y determina si va destinado a él para procesarlo, en caso contrario, desecharlo. Este campo puede contener una dirección individual, o de multicast o de broadcast, y cuando es un broadcast, todo el campo está formado por 1s y se envía a todos los hosts, y cuando es multicast se envía sólo a un grupo de nodos similares en la red.
  • Source Address (SA) es una dirección MAC (48 bits) que identifica el origen del frame y al igual que el DA, envía primero el bit menos significativo. Es ilegal que tenga un formato de bradcast o multicast.
  • Longitud o tipo (length or type) 802.3 usa un campo de longitud, pero el Ethernet usa un campo de Tipo para identificar el protocolo de Red que contiene. 802.3 no puede identificar el protocolo que recibió y debe ser usado con un protocolo propietario (IPX por ejemplo) lo que le resta versatilidad.
  • Data es el paquete que se recibió de la capa de red, y su tamaño puede variar entre 64 y 1500 bytes.
  • Frame Check Sequence (FCS) es un campo al final del Frame donde se almacena el CRC.

Posted in A-Bases, CCNA, Cisco docs, Internetworking | Etiquetado: , , , , , , , , , , | 1 Comment »

Ethernet Networking

Posted by Luis R. en 2008/09/23

Ethernet es un método de acceso al medio que permite que muchos hosts en una red puedan compartir el mismo ancho de banda de un enlace. Y entre sus características podemos contar que es fácilmente integrable a nuevas tecnologías de red, como FastEthernet, y Gigabit Ethernet; además es fácil de implementar y de resolver sus problemas si fuera el caso.
Ethernet abarca dos capas del modelo OSI para trabajar, el Data Link Layer y el Physical Layer, y entre sus definiciones describe las características necesarias del medio para poder transmitir, más no habla de configuraciones de cableado o algo similar, es importante recordar esto.

Ethernet usa un protocolo llamado Carrier Sense Multiple Access with Collision Detection (CSMA/CD) para poder compartir el medio entre los diferentes dispositivos sin que ocurra que dos hosts quieran transmitir al mismo tiempo sobre el medio de red y fue creado precisamente con este propósito, ya que es vital evitar las colisiones en el medio para asegurar que los mensajes que se intercambian entre los nodos lleguen de manera íntegra, y se logra ya que todos los hosts conectados reciben los mensajes y los examinan, ya que se encuentran en el mismo dominio de colisión, y sabemos que un switch, un bridge, un router, pueden cambiar ésto, pero hablamos de hosts conectados a un bus, que es como se desarrolló Ethernet.

La manera en la que funciona este protocolo es la siguiente:

Lee el resto de esta entrada »

Posted in A-Bases, CCNA, Internetworking, Uncategorized | Etiquetado: , , , , , , | Leave a Comment »