Dinamismo de Redes (Sistemas Operativos II)

Materia: Sistemas Operativos II (Redes) Profesor Diego La Serna

- 1 -

Unidad 3: Extensión y Fragmentación de Redes Una Internet es una red conectada por routers a través de protocolos de ruteo. Uno de éstos últimos mas utilizados es el Protocolo Internet (IP), que es un protocolo de capa 3. Los investigadores y diseñadores que crearon IP respondieron a los requerimientos del Departamento de Defensa de los EEUU para un protocolo que pudiera: 3.1. Definiciones Se ha visto que las tramas físicas tienen un campo de datos y que es aquí donde se transportan los datagramas IP. Sin embargo, este campo de datos no puede tener una longitud indefinida debido a que está limitado por el diseño de la red. El MTU de una red es la mayor cantidad de datos que puede transportar su trama física en cada datagrama. El MTU de las redes Ethernet es 1500 bytes y el de las redes Token-Ring, 8192 bytes. Esto significa que una red Ethernet nunca podrá transportar un datagrama de más de 1500 bytes sin fragmentarlo. Un encaminador (router) fragmenta un datagrama en varios si el siguiente tramo de la red por el que tiene que viajar el datagrama tiene un MTU inferior a la longitud del datagrama. Veamos con el siguiente ejemplo cómo se produce la fragmentación de un datagrama. Queremos transmitir un datagrama IP desde el ordenador A que se encuentra en la Red 1 hasta el ordenador B de la Red 2 y que contiene 1400 bytes de datos (1420 bytes en total). El datagrama no tiene ningún problema en atravesar la Red 1 ya que 1420 < 1500. Sin embargo, no es capaz de atravesar la red 2 (1420 >= 620). El encaminador 1 fragmenta el datagrama en el menor número de fragmentos posibles que sean capaces de atravesar la Red 2. Cada uno de estos fragmentos es un nuevo datagrama con el mismo identificador pero distinta información en los campos de Desplazamiento de fragmentación y MF. Veamos el resultado. Todos los fragmentos tienen la misma cabecera, solamente cambian los campos MF y F.Offset. Fragmento 1: Long. total = 620 bytes; Desp = 0; MF=1 Fragmento 2: Long. total = 620 bytes; Desp = 600; MF=1 Fragmento 3: Long. total = 220 bytes; Desp = 1200; MF=0 ¿Qué hace el encaminador 2? No reensambla, encamina cada uno de los tres datagramas hasta la Red 2. Cuando el ordenador B reciba los fragmentos, recompondrá el datagrama original. Observemos que los encaminadores intermedios no reensamblan los fragmentos ya que esto supondría una carga de trabajo adicional, a parte de memorias temporales. Fijémonos también en que el ordenador destino puede recibir los fragmentos en distinto orden y que esto no supone ningún problema para el reensamblado del datagrama original. Si el datagrama del ejemplo tuviese a 1 su bit de DF (no fragmentar), no hubiera podido llegar a su destino debido a que la Red 2 no es capaz de atravesarla sin una fragmentación previa. El encaminador R1 descartaría el datagrama. FRAGMENTACIÓN TRANSPARENTE El gateway parte el paquete. Se mandan todos los fragmentos al mismo gateway de salida, donde se los montan de nuevo. El gateway de salida tiene que saber cuando tiene todos los fragmentos. Todos los paquetes tienen que salir a través del mismo gateway. Hay que pagar el overhead de partir y montar en cada red de paquetes pequeños. FRAGMENTACIÓN NO TRANSPARENTE


- 2 -

El host de destino tiene que montar el paquete de nuevo. Hay más overhead porque los fragmentos persisten hasta el fin del viaje. Empero, se pueden usar gateways múltiples de salida.

Una manera para enumerar los fragmentos es que cada encabezamiento tiene el número del paquete original, el número del primer fragmento elemental en el paquete, y un bit que indica el fragmento final. Los fragmentos consisten en conjuntos de fragmentos elementales que son suficientes pequeños para cualquiera red en la Internet. Se los dividen cuando sea necesario. 3.2. El Problema de los Dominios de Colisión y Difusión El uso de switches para segmentar una LAN y disminuir el tamaño de los dominios de colisión es otro aspecto importante a considerar. Los nodos Ethernet utilizan CSMA/CD. Si dos nodos transmiten al mismo tiempo, se produce una colisión. Las colisiones excesivas pueden reducir el ancho de banda disponible de un segmento de red a treinta y cinco o cuarenta por ciento del ancho de banda disponible. Los dispositivos de la Capa 2 como por ejemplo puentes y switches se pueden utilizar para segmentar una LAN. La segmentación se realiza cuando un sólo dominio de colisión se divide en dominios de colisión más pequeños. Los dominios de colisión más pequeños reducen la cantidad de colisiones en un segmento LAN y permiten una mayor utilización del ancho de banda Ethernet es una tecnología conflictiva, todos los equipos de trabajo que se conectan al mismo medio físico reciben las señales enviadas por otros dispositivos. Si dos estaciones transmiten a la vez se genera una colisión. Si no existieran mecanismos que detectaran y corrigieran los errores de estas colisiones, ethernet no podría funcionar. Se pueden crear dominios de colisión a partir de switches, puentes o routers. Evidentemente la conmutación de capa 2 es la más eficaz, los switches conmutan a nivel de hardware y crean un


- 3 -

dominio de colisión por cada segmento conectado. Más adelante trataremos la conmutación de capa 2 más a fondo. Dominio de difusión (Broadcast) Dominio de colisión: Grupo de dispositivos conectados al mismo medio físico, de tal manera que si dos dispositivos acceden al medio al mismo tiempo, el resultado será una colisión entre las dos señales. Como resultado de estas colisiones se produce un consumo inadecuado de recursos y de ancho de banda. Cuanto menor sea la cantidad de dispositivos afectados a un dominio de colisión mejor desempeño de la red. Dominio de difusión. Grupo de dispositivos de la red que envían y reciben mensajes de difusión entre ellos. Una cantidad inapropiada de estos mensajes de difusión (broadcast) provocara un bajo rendimiento en la red, una cantidad exagerada (tormenta de broadcast) dará como resultado el mal funcionamiento de la red hasta tal punto de poder dejarla completamente congestionada. Los hubs o concentradores tienen un único dominio de colisión, eso quiere decir que si dos equipos provocan una colisión en un segmento asociado a un puerto del hubs, todos los demás dispositivos aun estando en diferentes puertos se verán afectados. De igual manera se verían afectados si una estación envía un Broadcast, debido a que un hub también tiene un solo dominio de difusión. 3.3. Enrutamiento Estático Es la forma más simple de hacer ruteo. Se basa en rutas programadas estáticamente por el administrador de la red. Así los routers no tienen que descubrir ni propagar nuevas rutas a través de la red. Existe una relación entre la dirección destino de un paquete y el interfaz por el cual debe ser enviado ese paquete. Esta relación es la que se programa de forma estática en los routers y no variará con el paso del tiempo. Entonces un paquete dirigido a una dirección de red determinada se enviará siempre por el mismo interfaz. Este tipo de encaminamiento no tiene en cuenta el estado de la subred al tomar las decisiones para encaminar el tráfico. Las tablas de encaminamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. El cálculo de la ruta óptima es también off-line por lo que no importa ni la complejidad del algoritmo ni el tiempo requerido para su convergencia. Ej.: algoritmo de Dijkstra. Estos algoritmos son rígidos, rápidos y de diseño simple, sin embargo son los que peores decisiones toman en general. VENTAJAS Es muy útil para aquellas redes donde no hay caminos alternativos para llegar a un determinado lugar de la red; Es el que menos recursos del router y de la red consume, ahorrando ancho de banda en cada uno de sus enlaces al no necesitar información proveniente de la red para construirse las tablas de Routing; ahorra tiempo de CPU y memoria en el router porque no tiene que calcular rutas; Ayuda a crear redes mas seguras puesto que solo existe un camino para entrar o salir de este tipo de redes. También se hace mucho mas fácil la monitorización en previsión de ataques, o el rastreo una vez que se han producido dichos ataques. DESVENTAJAS


- 4 -

El principal inconveniente de utilizar rutas estáticas es la ausencia de tolerancia a fallos en las redes configuradas con este tipo de Routing. Si cayese una línea en cualquier parte de la red, ésta no sería capaz de reaccionar y automáticamente dirigir los paquetes por otro camino ya que solo tienen una única ruta para hacerlo. Otra desventaja es la cantidad de rutas estáticas que habría que configurar en redes grandes y complejas; Por último, cabe citar la imposibilidad de reparto de tráfico entre varios caminos posibles (balance de carga). Ejemplo de Ruta Estática

COMANDO “IP-ROUTE” La distancia administrativa es una calificación para determinar la confiabilidad de una fuente de información de enrutamiento, expresada por un valor numérico de 0 a 255. Cuanto mayor sea el número, menor será la calificación de confiabilidad. (Se suelen utilizar números bajos, por defecto el 1). COMANDO Router(config)# ip route [network] [mask] (address | interface) [disntace] Network: red ó subred destino; Mask: subred; Address: dirección de IP del router del siguiente salto; Interface: nombre de la interfaz que se debe utilizar para llegar a la red destino; Distance: distancia administrativa. RUTA POR DEFECTO


- 5 -

COMANDO “IP-DEFAULT NETWORK Rutas por defecto: definidas manualmente por el administrador del sistema como la ruta a tomar cuando no existe ninguna ruta conocida para llegar al destino. Mantienen las tablas de enrutamiento más cortas. Cuando no existe una entrada para una red destino en una tabla de enrutamiento, el paquete se envía a la red por defecto. Como un router no tiene un conocimiento completo acerca de todas las redes destino, puede usar un número de red por defecto para indicar la dirección a seguir para los números de red desconocidos. COMANDO Router(config)# ip default network [network number] Network number: número de red IP ó número de subred definido como valor por defecto; Ejemplo de Red Rutas estáticas de cada Router

En la columna 2 de la tabla inmediata superior de rutas estáticas se muestra en negrita la parte de red de la dirección. EJEMPLO DE CONFIGURACIÓN Las líneas entre los routers son siempre líneas serie;


- 6 -

Las redes conectadas directamente a los routers lo hacen por la interfaz Ethernet; La sintaxis utilizada para la configuración de los routers es la de un sistema operativo de redes en particular y así debe ser tomada, no universal (en este caso es el IOS (Internetworking Operating System) propiedad de la firma Cisco Systems; Para las líneas serie utilizaremos las siguientes redes: Para la línea A-B utilizaremos la red de clase C 192.168.1.0; Para la línea A-C utilizaremos la red de clase C 192.168.2.0; Para la línea B-C utilizaremos la red de clase C 192.168.3.0; Para la línea C-D utilizaremos la red de clase C 192.168.4.0 HOSTNAME ROUTER A HOSTNAME ROUTER B HOSTNAME ROUTER C HOSTNAME ROUTER D interface Ethernet0 ip address 10.0.0.1 255.0.0.0 interface Serial0 ip address 192.168.1.1 255.255.255.0 interface Serial1 ip address 192.168.2.1 255.255.255.0 ! Rutas estáticas ip route 172.16.0.0 255.255.0.0 192.168.1.2 ip route 192.168.125.0 255.255.255.0 192.168.2.2 ip route 192.168.126.0 255.255.255.0 192.168.2.2

interface Ethernet0 ip address 172.16.0.1 255.255.0.0 interface Serial0 ip address 192.168.1.2 255.255.255.0 interface Serial1 ip address 192.168.3.1 255.255.255.0 ! Rutas estáticas ip route 10.0.0.0 255.0.0.0 192.168.1.1 ip route 192.168.125.0 255.255.255.0 192.168.3.2 ip route 192.168.126.0 255.255.255.0 192.168.3.2

interface Ethernet0 ip address 192.168.25.1 255.255.255.0 interface Serial0 ip address 192.168.2.2 255.255.255.0 interface Serial1 ip address 192.168.3.2 255.255.255.0 interface Serial2 ip address 192.168.4.1 255.255.255.0 ! Rutas estáticas ip route 10.0.0.0 255.0.0.0 192.168.2.1 ip route 172.16.0.0 255.255.0.0 192.168.3.1 ip route 192.168.126.0 255.255.255.0 192.168.4.2

interface Ethernet0 ip address 192.168.126.1 255.255.255.0 interface Serial0 ip address 192.168.4.2 255.255.255.0 ! Rutas estáticas ! Esta ruta es lo que se suele llamar ruta por defecto. ip route 0.0.0.0 0.0.0.0 192.168.4.1

3.4. Enrutamiento Dinámico Para empezar vamos a revisar los conceptos básicos del enrutamiento. Para la determinación de ruta: La determinación de ruta se produce en la capa de red (Capa 3) y consta de: Evaluación de las rutas disponibles hacia un destino. Utilizando información de la topología de la red. Establecimiento del mejor manejo de un paquete. Escoger la ruta. ¿De dónde se obtiene la información? La puede configurar el administrador de red de forma estática. Se puede recopilar a través de procesos dinámicos ejecutados en la red. La capa de red proporciona entrega de paquetes de máximo esfuerzo y de extremo a extremo a través de redes interconectadas. La capa de red utiliza la tabla de enrutamiento IP para enviar paquetes desde la red origen a la red destino.


- 7 -

ENRUTAMIENTO DE PAQUETES DEL ORIGEN AL DESTINO POR PARTE DE LOS ROUTERS Una red debe representar de manera coherente las rutas disponibles entre los routers. Las direcciones de red deben proporcionar información que un proceso de enrutamiento puede utilizar para transportar paquetes desde un origen hacia un destino. La coherencia de las direcciones de Capa 3 en toda la internetwork mejora el uso del ancho de banda evitando los broadcasts innecesarios

DIRECCIONAMIENTO DE RED Y DE HOST El router utiliza la dirección de red para identificar la red destino (LAN) de un paquete dentro de una internetwork. La asignación de direcciones de host dentro de una red puede ser: Establecida por el administrador de red, que asigna direcciones de host de acuerdo con un plan predeterminado de direccionamiento de internetwork. Parcial o totalmente dinámica.


- 8 -

PROTOCOLO ENRUTADO VERSUS PROTOCOLO DE ENRUTAMIENTO Protocolo enrutado es cualquier protocolo de red que proporcione suficiente información en su dirección de capa de red para permitir que un paquete se envíe desde un host a otro tomando como base el esquema de direccionamiento. Los paquetes generalmente se transfieren de un sistema final a otro. Ejemplo : IP. Los protocolos de enrutamiento soportan un protocolo enrutado proporcionando mecanismos para compartir la información de enrutamiento. Permite que los routers se comuniquen con otros routers para actualizar y mantener las tablas. Los mensajes se desplazan entre los routers. Ejemplos : RIP, IGRP, EIGRP, OSPF ENRUTAMIENTO MULTIPROTOCOLO Los routers pueden soportar varios protocolos de enrutamiento independientes y mantener tablas de enrutamiento para varios protocolos enrutados. Esta capacidad le permite al router entregar paquetes desde varios protocolos enrutados a través de los mismos enlaces de datos.


- 9 -

NECESIDAD DEL ENRUTAMIENTO DINÁMICO Adaptación a los cambios en la topología. Flexibilidad ante fallos, una ruta alternativa puede reemplazar una ruta defectuosa. Carga compartida. Los protocolos de enrutamiento dinámico también pueden dirigir el tráfico de una misma sesión a través de distintas rutas de una red para lograr un mejor rendimiento.

TRES CLASES DE PROTOCOLOS DE ENRUTAMIENTO DINÁMICO Vector-distancia: determina la dirección (vector) y la distancia hacia cualquier enlace en la internetwork. Estado-enlace: recrea la topología exacta de toda la internetwork (o por lo menos la porción en la que se ubica el router). Híbridos: el enrutamiento híbrido balanceado combina aspectos de los algoritmos de estado-enlace y vector-distancia. Tiempo de convergencia Siempre que la topología de una red cambia por razones de crecimiento, reconfiguración o falla, la base del conocimiento de la red también debe cambiar. Cuando todos los routers de una


- 10 -

internetwork se encuentran operando con el mismo conocimiento, se dice que la internetwork ha convergido. La convergencia rápida es una función de red deseable, ya que reduce el período de tiempo durante el cual los routers continúan tomando decisiones de enrutamiento incorrectas. El tiempo de convergencia es el tiempo que transcurre desde que se produce un cambio en la topología de una internetwork hasta que todos los routers actualizan su conocimiento de forma consistente con el resto y de forma que se vea reflejado el cambio. 3.4.1. RIP 1 y RIP 2 Las características esenciales de RIP son: Es un protocolo Maduro (fue el primero); Es Estable; Está Ampliamente soportado por los fabricantes (incluso en viejos servidores UNIX); Es muy fácil de configurar. Hay que tener en cuenta que, RIP v1 anuncia subredes sin la máscara (no sólo redes principales), únicamente si la subred anunciada tiene la misma submáscara que la interfaz a través de la cual son anunciados. Esto es debido a que el router RIP v1 piensa que si se tiene la misma subred en el interfaz de recepción, asume que ya se es capaz de manejar estas subredes. Y las subredes con una máscara diferente, no serán anunciadas. Algunas personas dicen que el RIP es un insulto para los protocolos de encaminamiento. RIP se especificó originalmente en RFC 1058. Sus principales características son las siguientes: Es un protocolo de enrutamiento por vector-distancia. Utiliza el número de saltos como métrica para la selección de rutas. Si el número de saltos es superior a 15, el paquete se descarta. Por defecto, se envía un broadcast de las actualizaciones de enrutamiento cada 30 segundos. La distancia administrativa es de 120.


- 11 -

COMANDOS RIP El comando router rip selecciona a RIP como el protocolo de enrutamiento. El comando network asigna una dirección de clase de red a la cual un router se conectará directamente. El proceso de enrutamiento asocia interfaces con direcciones de red y empieza a utilizar RIP en las redes especificadas. Nota: En RIP todas las máscaras de subred deben ser las mismas. RIP no comparte la información de división en subredes en las actualizaciones de enrutamiento.

EJEMPLO RIP router rip : selecciona a RIP como el protocolo de enrutamiento network 1.0.0.0 : especifica una red directamente conectada network 2.0.0.0 : especifica una red directamente conectada • Las interfaces del router A que se encuentran conectadas a las redes 1.0.0.0 y 2.0.0.0 envían y reciben actualizaciones RIP. Estas actualizaciones de enrutamiento permiten que el router conozca la topología de red.

RIP V2 Sus rasgos principales son: Permite Autenticación Adición of mascaras de red y VLSM Next hop IP addressed Multicasting RIP v2 en las actualizaciones de rutas


- 12 -

La clase principal 10.0.0.0/8 es particionada en subredes. FORMATO DEL MENSAJE RIP V2

COMPATIBILIDAD CON RIP v1 RFC 1723 define la compatibilidad, la cual permite que las versiones 1 y 2 interoperen: RIP v1, en el cual únicamente mensajes RIP v1 son transmitidos. RIP v1 Compatibilidad, la cual hace posible la difusión ( broadcast) de mensajes RIP v2 en lugar de hacer uso de multicast para que de este modo RIP v1 pueda recibirlas. RIP v2, en el cual los mensajes RIP v2 son dirigidos mediante multicast a la dirección destino 224.0.0.9. AUTENTICACIÓN RIP v2


- 13 -

LIMITACIONES DE RIP v2 Las limitaciones más significantes que son heredadas por RIP v2 incluyen las siguientes: Falta de rutas alternativas: Únicamente la mejor Cuenta al infinito 15-saltos máximos Estáticas métricas de vector distancia: ninguna información adicional sobre la red, únicamente saltos.

CONFIGURACIÓN DE ROUTER NEW YORK NewYork(config)#interface faste thernet0/0 NewYork(config-if)#ip address 192.168.50.129 255.255.255.192 NewYork(config-if)#ip rip send version 1 NewYork(config-if)#ip rip receive version 1 NewYork(config)#interface fastethernet0/1 NewYork(config-if)#ip address 172.25.150.193 255.255.255.240 NewYork(config-if)#ip rip send version 1 2 NewYork(config)#interface fastethernet0/2 NewYork(config-if)#ip address 172.25.150.225 225.255.255.240 NewYork(config)#router rip NewYork(config-router)#version 2 NewYork(config-router)#network 172.25.0.0 NewYork(config-router)#network 192.168.50.0 REDES DISCONTINUAS (SEPARADAS) Y CLASSLESS ROUTING


- 14 -

RIP v1 siempre usa sumarización automática. Por defecto, el comportamiento de RIP v2 es sumarizar en direcciones de clase de red al igual que RIP v1. Hay que usar el comando no auto-summary con el RIP para desactivar la sumarización y permitir que las subredes sean anunciadas. Esto permitirá a RIP v2 realizar enrutamiento entre redes discontinuas mediante el anuncio de información de subredes: Router(config)# router rip Router(config-router)#version 2 Router(config-router)#no auto-summary CONFIGURANDO AUTENTICACIÓN EN RIP V2 Los Pasos a seguir son: Definir una “key chain” con un nombre. Definir las “key” o “keys” sobre la “key chain”. Habilitar autenticación sobre una interfaz y especificar la “key chain” a usar. Especificar si la interfaz usará texto claro o autenticación MD5. Opcionalmente configurar la gestión de clave. Un Ejemplo de Autenticación Se configura una “key chain” denominada Romeo Key 1, la única clave sobre la cadena (chain), tiene el password Juliet FastEthernet0/0 then usa the clave, con autenticación MD5 para validar las actualizaciones desde los routers RIP v2 vecinos. Router(config)#key chain Romeo Router(config-keychain)#key 1 Router(config-keychain-key)#key-string Juliet interface fastethernet 0/0 Router(config-if)#ip rip authentication key-chain Romeo Router(config-if)#ip rip authentication mode md5 Verificación de Operación RIP v2: comando “show ip protocols”

COMANDOS DEBUG Dos problemas de configuración comunes a RIP v2 Entremezcladas versiones Inapropiada configuración de autenticación Usar el EXEC comando debug ip rip para mostrar información sobre las transacciones del enrutamiento RIP.


- 15 -

Router#debug ip rip [events] Usar the debug ip routing EXEC para mostrar información sobre las tablas de enrutamiento RIP y actualizaciones de “route-cache”. Router#debug ip routing 3.4.2. OSPF OSPF es un protocolo estándar de enrutamiento interior basado en el RFC 2328. Es un estándar abierto, lo que hace que esté disponible en múltiples sistemas operativos: Windows 2003 Server, Linux, Cisco IOS, otros. En lo que hace a enrutamiento opera como protocolo de estado de enlace, e implementa el algoritmo de Dijkstra para calcular la ruta más corta a cada red de destino. Su métrica de enrutamiento es el costo de los enlaces, parámetro que se calcula en función del ancho de banda; por este motivo es de gran importancia la configuración del parámetro bandwidth en las interfaces que participan de este proceso de enrutamiento. Opera estableciendo relaciones de adyacencia con los dispositivos vecinos, a los que envía periódicamente paquetes hello. Adicionalmente, cada vez que un enlace cambia de estado inunda la red con la notificación de este cambio. Adicionalmente, cada 30 minutos envía a los dispositivos vecinos (o adyacentes) una actualización conteniendo todos los cambios de estado de enlaces de ese período. OSPF es un protocolo apto para su implementación en redes de todo tipo y tamaño. Sin embargo, su debilidad principal es que demanda una configuración más compleja que otros protocolos, sobre todo para redes pequeñas. Sus principales features pueden sintetizarse así: Converge con mayor velocidad que los protocolos de vector distancia. Sus actualizaciones son pequeñas ya que no envía toda la tabla de enrutamiento. No es propenso a bucles de enrutamiento. Escala muy bien en redes grandes. Utiliza el ancho de banda de los enlaces como base de la métrica. Soporta VLSM y CIDR. Brinda múltiples opciones de configuración lo que permite adaptarlo a requerimientos muy específicos. OSPF puede ser usado y configurado como un área sola para pequeñas redes o puede ser usado para redes grandes. El Routing OSPF puede ser escalable a redes grandes si son usados principios de diseño de red jerárquicos. Múltiples áreas se conectan a un área de distribución, el


- 16 -

área 0, también llamada backbone. Este diseño permite el control extenso de encaminamiento de actualizaciones. La definición las áreas reducen la sobrecarga, acelera la convergencia, y mejora el funcionamiento.


- 17 -

MÉTRICA DE OSPF BASADA EN EL COSTE Cost: Valor asignado a un enlace, basado en bandwidth (velocidad de transmisión).

ÁREAS HACEN OSPF ESCALABLE Área: colección de routers OSPF que tienen el mismo área de identificación. Área 0: Información de toda la red Routers potentes ( backbone). Otras Áreas: Sólo información local y como llegar al Área 0.


- 18 -

Áreas OSPF Cada router OSPF debe pertenecer al menos a un área; Cada red OSPF debe de tener un Área 0 (área backbone) El resto de Áreas deberían estar conectadas al Área 0 Los routers en la misma área tienen la misma información. DR/BDR • Un DR/BDR se elige por medio en el caso de medios compartidos, en un enlace punto a punto no tiene sentido ya que no hay necesidad de centralizar la información de routing porque no es posible que cambie la topología de la red, de ahí la elección del DR/BDR; se hace en medios donde la topología es susceptible de cambiar (los compartidos). • DR - Designated Router • BDR – Backup DR.

Para reducir el número de intercambios de la información de encaminamiento entre varios vecinos en la misma red, los routers OSPF eligen un router designado (DR) y otro de reserva (BDR) que sirvan como los puntos focales para el intercambio de información de encaminamiento.


- 19 -

DR’s sirve como puntos de colección para Link State Advertisements (LSAs), desde donde se difunden estos al resto de la red.

Un BDR se usa como respaldo de DR. Si la red IP es multi-acceso (ejemplo= ethernet), los routers OSPF elegirán 1 DR y 1 BDR (a menos que haya un sólo router en la red). BASE DE DATOS DE ADYACENCIAS • Los routers OSPF mantienen una lista de todos los vecinos con los cuales ellos han establecido comunicación bidireccional (uso de protocolo “Hello”). LINK-STATE DATABASE • Los Routers tratan la información sobre estados de enlace y construyen una base de datos, manteniendo la pista del resto de la internetwork.


- 20 -

FORWARDING DATABASE Cada router OSPF usa su link-state database para generar una tabla de enrutamiento única. Cada router ejecuta el algoritmo del SPF en su propia copia de la base de datos. Este cálculo determina la mejor ruta a un destino. La trayectoria de coste más bajo se agrega a la tabla de encaminamiento (forwarding Database). RELACIONES CON VECINOS EN OSPF OSPF es capaz de establecer sofisticada comunicación entre vecinos. OSPF usa 5 tipos diferentes de paquetes para comunicar:

OPERACIONES EN OSPF Establecer adyacencias de router Elegir DR y BDR Descubrir Rutas Seleccionar Rutas


- 21 -

Mantener Información de enrutamiento CONFIGURACIÓN OSPF BÁSICA Router(config)#router ospf process-id Router(config-router)#network address wildcard-mask area area-id

CONFIGURANDO DIRECCIONES OSPF LOOPBACK Cuando el proceso del OSPF comienza, el IOS del Cisco utiliza el IP ADDRESS activo local más alto como identificación de router OSPF. Si no hay interfaz activo, el proceso del OSPF no comenzará. Si el interfaz esta caído, el proceso del OSPF no tiene ninguna identificación del router y por lo tanto deja de funcionar hasta que esté levantado. Para asegurar estabilidad del OSPF se utiliza un interfaz del loopback (lógico), cuando se configura un interfaz del loopback, el OSPF utiliza esta dirección como la identificación, sin importar el valor. En un router que tenga más de un interfaz de loopback, el OSPF toma el IP ADDRESS más alto.


- 22 -

ESTABLECER PRIORIDADES Las prioridades se pueden fijar a cualquier valor a partir de la 0 a 255. Un valor de 0 previene que ese router sea el elegido. Un router con la prioridad más alta será seleccionado como el DR y el que tenga la segunda prioridad más alta será el BDR. Después del proceso de la elección, el DR y los BDR conservan su rol incluso si otros routers se agregan a la red con valores más altos de prioridad.

MÉTRICA: COSTE OSPF utiliza como métrica el coste para determinar la mejor ruta. Se calcula el coste usando la fórmula 108/bandwidth, donde el ancho de banda se expresa en BPS. Router(config)#interface serial 0/0 Router(config-if)#bandwidth 64


- 23 -

Router(config-if)#ip ospf cost number

AUTENTICACIÓN CON MD5 Cada interfaz del OSPF puede presentar una clave de autenticación para que los routers puedan enviar la información del OSPF a otros routers en el segmento. La clave de la autenticación, conocida como contraseña, es secreta y compartida entre los routers. Esta clave se utiliza para generar los datos de la autenticación en la cabeza del paquete de OSPF. Se puede encriptar. Router(config-if)#ip ospf authentication-key password Router(config-router)#area area-number authentication Router(config-if)#ip ospf message-digest-key key-id md5 encryption-type key Router(config-router)#area area-id authentication message-digest

INTERVALOS HELLO Y DEAD Los routers deben tener los mismos hello intervalos y los mismos intervalos dead para intercambiar la información. Por defecto, el intervalo dead es cuatro veces el valor del intervalo hello. Esto significa que un router tiene cuatro ocasiones de enviar un paquete hello antes de ser declarado dead.

COMANDOS DE VERIFICACIÓN


- 24 -

3.4.3. IGRP Para entender el funcionamiento de este protocolo: IGRP envía actualizaciones de enrutamiento a intervalos de 90 segundos, publicando las redes en un sistema autónomo en particular. La ruta elegida será la de menor métrica compuesta (Intervienen 5 factores: ancho de banda, retraso, carga, confiabilidad y Unidad Máxima de Transferencia o MTU). Utiliza por defecto dos métricas, ancho de banda y retardo. IGRP puede utilizar una combinación de variables para determinar una métrica compuesta. La distancia administrativa es de 100. La consideración principal es la velocidad.


- 25 -

COMANDOS IGRP

EJEMPLO IGRP Se selecciona IGRP como el protocolo de enrutamiento para el sistema autónomo 109. Todas las interfaces conectadas a las redes 1.0.0.0 y 2.0.0.0 se utilizarán para enviar y recibir actualizaciones de enrutamiento IGRP. En el ejemplo siguiente: router igrp 109: selecciona IGRP como el protocolo de enrutamiento para el sistema autónomo 109 network 1.0.0.0: especifica una red directamente conectada network 2.0.0.0: especifica una red directamente conectada


- 26 -

COMANDO show ip interfaces El comando show ip interfaces muestra el estado y los parámetros globales asociados con todas las interfaces IP. El software del router (recordar que cada fabricante aplica sus criterios sobre las normas y tiene sus programas) introduce automáticamente una ruta directamente conectada en la tabla de enrutamiento si el software puede enviar y recibir paquetes a través de esa interfaz. Esa interfaz se marca como activada o up. Si la interfaz no se puede utilizar, se elimina de la tabla de enrutamiento. Al eliminar esa entrada se permite el uso de rutas de respaldo, en el caso de que existan. Ver en la siguiente figura:


- 27 -

COMANDO SHOW IP PROTOCOLS El comando show ip protocol muestra parámetros, filtros e información de red acerca de todos los protocolos de enrutamiento (es decir, RIP, IGRP, otro.) en uso en el router. El algoritmo utilizado para calcular la métrica de enrutamiento para IGRP aparece en la pantalla. Define el valor de la métrica K1-K5 y el máximo número de saltos. La métrica K1 representa el ancho de banda y la métrica K3 representa el retardo. Por defecto, los valores de las métricas K1 y K3 se establecen en 1. Los valores métricos de K2, K4 y K5 se establecen en 0.


- 28 -

COMANDO SHOW IP ROUTE Muestra el contenido de la tabla de encaminamiento IP, que contiene todas las entradas para todas las redes y subredes conocidas, y los códigos que indican como se ha aprendido la información (I,C,R.).

COMANDO DEBUG IP PROTOCOLO El comando debug ip rip o debug ip igrp transactions muestran las actualizaciones de enrutamiento RIP o IGRP respectivamente a medida que se envían y reciben. En este ejemplo,


- 29 -

183.8.128.130 envía la actualización. Informa sobre tres routers, uno de los cuales es inaccesible debido a que su número de saltos es mayor que 15. Los comandos debug son muy exigentes para el procesador y pueden empeorar el desempeño de la red o provocar pérdida de conectividad. Se debe utilizar únicamente en los horarios de uso menos intenso de la red. Hay que desactivar el comando una vez que se termina de usarlo (no debug ip rip o no debug ip transactions ( en IOS versión 11 o superiores ) y undebug (en IOS de versiones inferiores). 3.4.4. EIGRP Este protocolo es propiedad de la empresa Cisco Systems, creado en 1994. Está basado en IGRP. EIGRP es un protocolo de routing de vector distancia avanzado que hace uso de rasgos comúnmente asociados con protocolos de estado de enlace. (algunas veces llamado protocolo de routing híbrido ). EIGRP vs IGRP IGRP y EIGRP son compatibles, aunque EIGRP ofrece soporte multiprotocolo e IGRP no. EIGRP soporta: TCP/IP; IPX/SPX; AppleTalk. Redistribuye automáticamente cuando se usa el mismo número de Sistema Autónomo.

EIGRP VS OSPF OSPF EIGRP De convergencia rápida, actualizaciones parciales, descubre el “vecindario”

De convergencia rápida, actualizaciones parciales, descubre el “vecindario”

El administrador puede definir sumarización de rutas

Sumarización de rutas automático y rutas definidas por el usuario

Estándar abierto; compatibilidad

Propietario, solo en routers cisco

Escalable; capacidad de administración jerárquica a través de “áreas” definidas

Escalable

Difícil de implementar Fácil de implementar


- 30 -

CALCULO DE METRICAS: IGRP / EIGRP

Nota: Cuando K2, K4 y K5 son cero la formula se reduce a metric = bandwidth + delay IGRP tiene un número máximo del saltos de 255. EIGRP tiene un límite máximo de de 224. Esto es más que adecuado para redes más grandes, correctamente diseñadas. CÁLCULO DE MÉTRICA Nosotros fijamos el bandwidth y delay, y el router dinámicamente calcula load y reliability. Los cuatro valores pueden ser examinados usando show interface.

REVISANDO LA AUTOSUMARIZACIÓN


- 31 -

La autosumarización ayuda a los routers a aprender sobre redes discontinuadas/separadas. Si la sumarización está apagada, los routes EIGRP serán los encargados de descubrir las subredes. La Sumarización es por defecto a direcciones de clases de red: máscaras /8, /16 o /24. Pero RIP v2 o EIGRP realizan un auto- summarization únicamente cada vez que se cruza una frontera entre dos clases principales difererentes. En esta figura, debido a que RTC y RTD tienen ambos redes de clase general (1.0.0.0/8 y 2.0.0.0/8) y los paquetes son enviados a través de ellas , entonces se sumarizará por defecto. SUMARIZACIÓN MANUAL

RTC(config)#router eigrp 2446 RTC(config-router)#no auto-summary RTC(config-router)#exit RTC(config)#interface serial0 RTC(config-if)#ip summary-address eigrp 2446 2.1.0.0 255.255.0.0 Las direcciones del summary EIGRP pueden ser configuradas manualmente en la interfaz de comandos como se ve arriba. TECNOLOGÍAS EIGRP Tecnologías que forman EIGRP a parte de IGRP: Neighbor discovery and recovery: Routers EIGRP establecen adyacencias con routers vecinos usando paquetes hello pequeños. Un router EIGRP asume que, mientras recibe paquetes ¡hello! De vecinos conocidos, aquellos vecinos (y sus rutas) permanecen accesibles. Reliable Transport Protocol (RTP): EIGRP es independiente de protocolos; es decir esto no se basa en TCP/IP para intercambiar la información de encaminamiento de la manera en que el RIP, IGRP, y OSPF lo hacen. Para conseguir ser independiente de IP, usa su propio protocolo de


- 32 -

transporte, para garantizar la entrega de info. de routing: RTP. Soporta entrega fiable y no fiable. Soporta unicasting y multicasting. DUAL finite-state machine (FSM1): La pieza central de EIGRP es DUAL, mecanismo de cálculo de ruta EIGRP. El nombre completo de esta tecnología es DUAL finite state machine (FSM). Este mecanismo contiene toda la lógica usada para calcular y comparar rutas en una red EIGRP. PDM (Protocol-dependent Module): EIGRP es modular. Diferentes PDMs pueden ser añadidos a EIGRP con la mejora o desarrollo de nuevos protocolos enrutados IPv4, IPv6, IPX, and AppleTalk TERMINOLOGÍA EIGRP Routers EIGRP guardan la ruta y la información de topología en la RAM, permitiendo reaccionar rápidamente a cambios. Como OSPF, EIGRP salva esta información en varias tablas y bases de datos. EIGRP mantiene tres tablas: Tabla de vecinos ( Neighbor table) Tabla de topología (Topology table) Tabla de routing ( Routing Table) Otros términos ya mencionados: Successor y Feasible Successor. Tabla Neighbor Cada router EIGRP mantiene una tabla de vecinos que lista los routers adyacentes. Es comparable a la BD de adyacencias usada por OSPF. Hay una tabla por cada protocolo que EIGRP soporta. SHOW IP EIGRP NEIGHBORS RTX#show ip eigrp neighbors IP-EIGRP neighbors for process 1 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 10.2.0.2 Se1 12 00:27:39 333 1998 0 10 0 10.1.0.1 Se0 14 01:17:14 40 240 0 27 Smooth Round Trip Timer (SRTT) Tiempo medio que se necesita para enviar un recibir paquetes desde un vecino Hold Time Intervalo de tiempo de espera sin recibir nada des un vecino antes de considerar el enlace como no accesible Neighbor address Dirección de red del router vecino Queue count Número de paquetes esperando en la cola para ser enviados. Un número alto indica congestión TOPOLOGY TABLE ( TABLA TOPOLÓGICA)

1 Un FSM es una máquina abstracta, no un dispositivo mecánico. Los FSMs definen un juego de estados posibles que se puede examinar, que acontecimientos causan aquellos estados, y que acontecimientos son resultado de aquellos estados. Los diseñadores usan FSMS para describir como un dispositivo, programa de ordenador, o el algoritmo de encaminamiento reaccionarán a unos determinados eventos de entrada. DUAL FSM selecciona rutas alternativas rápidamente usando la información de las tablas EIGRP. Si un link cae, DUAL busca un sucesor factible en su vecino y tablas de topología. • Un sucesor es una ruta que actualmente es usada para envios de paquetes. Es la ruta de menor coste al destino, y no forma parte de un bucle. Sucesores factibles (Feasible successors) son rutas que representan los siguientes caminos de costemás bajo a un destino sin introducir bucles de encaminamiento. Rutas de sucesor factibles pueden ser usadas en caso de fallo en la ruta existente ; los paquetes a la red de destino inmediatamente son enviados usando al sucesor factible, que en este punto, alcanza el estado de sucesor.


- 33 -

EIGRP usa su tabla topologica para almacenar toda la información que necesita par calcular un conjunto de distancias y direcciones a todos los destinos alcanzables. Cada router EIGRP mantiene una tabla de la topología para cada protocolo de red configurado. Esta tabla incluye las entradas de la ruta para todos los destinos que el router ha aprendido. Todas las rutas aprendidas a un destino se mantienen en la tabla de la topología. 3.4.5. BGP El BGP o Border Gateway Protocol es un protocolo mediante el cual se intercambia información de encaminamiento entre sistemas autónomos. Por ejemplo, los ISP registrados en Internet suelen componerse de varios sistemas autónomos y para este caso es necesario un protocolo como BGP.

Entre los sistemas autónomos de los ISP se intercambian sus tablas de rutas a través del protocolo BGP. Este intercambio de información de encaminamiento se hace entre los routers externos de cada sistema autónomo. Estos routers deben soportar el protocolo BGP. Se trata del protocolo más utilizado para redes con intención de configurar un EGP (external gateway protocol). La forma de configurar y delimitar la información que contiene e intercambia el protocolo BGP es creando lo que se conoce como sistema autónomo. Cada sistema autónomo (AS) tendrá conexiones o, mejor dicho, sesiones internas (iBGP) y además sesiones externas (eBGP). El protocolo de gateway fronterizo (BGP) es un ejemplo de protocolo de gateway exterior (EGP). BGP intercambia información de enrutamiento entre sistemas autónomos a la vez que garantiza una elección de rutas libres de bucles. Es el protocolo principal de publicación de rutas utilizado por las compañías más importantes e ISP en Internet. BGP4 es la primera versión que admite enrutamiento entre dominios sin clase (CIDR) y agregado de rutas. A diferencia de los protocolos de Gateway internos (IGP), como RIP, OSPF y EIGRP, no usa métricas como número de saltos, ancho de banda, o retardo. En cambio, BGP toma decisiones de enrutamiento basándose en políticas de la red, o reglas que utilizan varios atributos de ruta BGP. Los enrutadores BGP deben configurarse para saber con quiénes deben intercambiar información de enrutamiento. Los mensajes se intercambian a través de conexiones TCP.


- 34 -

Al interior de un Sistema Autónomo todos los enrutadores de frontera son vecinos: interconexión total reflector de rutas servidor de rutas confederación de SAs privados

El Marcador inicialmente consiste de 1s. Si los vecinos deciden utilizar un mecanismo de autenticación, entonces este campo contiene la información de autenticación. El campo Longitud (en bytes) sirve para delimitar los mensajes en el flujo de bytes de TCP. Tipos de Mensajes: La adquisición de vecinos se realiza mediante el envío de mensajes OPEN y KEEPALIVE. Un mensaje OPEN inicia una relación de vecinos BGP con otro enrutador. Un mensaje KEEPALIVE reconoce un mensaje OPEN y confirma periódicamente la relación de vecinos. Un mensage NOTIFICATION termina una relación de vecinos cuando se detecta un error en el diálogo. Los mensajes UPDATE contienen anuncios de nuevas redes accesibles y la ruta correspondiente (AS_PATH), así como retiros de redes que ya no son accesibles. Anunciar una ruta implica que el Sistema Autónomo correspondiente puede y acepta transportar información hacia un destino. Cada enrutador BGP recibe de sus vecinos las rutas que emplean para llegar a cada posible destino y escoge la mejor. El criterio de selección no forma parte del protocolo. Para tomar decisiones de enrutamiento, pueden tenerse en cuenta, por ejemplo, cuestiones políticas, económicas, de confiabilidad o de seguridad. Este tipo de consideraciones se configura manualmente en los enrutadores. Por ejemplo, en función del SA fuente o de la composición del AS_PATH, la configuración manual puede: autorizar o no un anuncio asignar diferente preferencia a diferentes anuncios Los anuncios de nuevas redes accesibles contienen atributos que pueden utilizarse para tomar decisiones de enrutamiento: LOCAL_PREF; AS_PATH; ORIGIN; MULTI_EXIT_DISC; NEXT_HOP. 3.5. Parámetros de Decisión de Rutas: Vectoriales y Complejos Principios básicos del enrutamiento de vector-distancia Envían copias periódicas de una tabla de enrutamiento de un router a otro. Estas actualizaciones regulares entre routers comunican los cambios de topología. Es decir el tiempo entre la actualización de los estados de los parámetros suele ser corto ó muy corto. Cada router recibe una tabla de enrutamiento de los routers vecinos directamente conectados. Los algoritmos vector-distancia no permiten, sin embargo, que un router conozca la topología exacta de una internetwork.


- 35 -

EL PROBLEMA DE LOS LOOPS DE ENRUTAMIENTO Los loops de enrutamiento se pueden producir si la convergencia lenta de una red en una nueva configuración hace que las entradas de enrutamiento sean incorrectas.

1. La red ha convergido. La ruta preferida de C a 1 es a través de B. 2. La red 1 falla, E manda actualización a A. A manda actualización a B y D, C no sabe nada. 3. C envía actualización a D, éste a A, y éste a B y E? loop C, B, A, D ……. EL PROBLEMA DE LA CUENTA AL INFINITO Las actualizaciones no válidas de la Red 1 (está caída) seguirán andando en círculos hasta que algún otro proceso detenga el recorrido del loop ? cuanta al infinito. Mientras los routers cuentan al infinito, la información no válida permite que se produzca un loop de enrutamiento.


- 36 -

Si no se toman medidas para detener el proceso, el vector-distancia (métrica) de número de saltos se incrementa cada vez que el paquete atraviesa otro router. SOLUCION: Definir un máximo: definir el infinito como un número máximo específico. Este número se refiere a la métrica de enrutamiento (por ej., un número de saltos simple). Superado el máximo, se descarta paquete, y se considera la red inalcanzable.

SPLIT HORIZON (HORIZONTE DIVIDIDO) Otro origen posible de un loop de enrutamiento es cuando información incorrecta que se ha enviado a un router se contradice con la información correcta que éste envió. 1. A - B y D, red 1 fuera de servicio; C - B, red 1 distancia 4 a través de D. 2. B - A, le comunica la nueva ruta…….. 3. Loop de enrutamiento : A- B - C - D Lógica del Split Horizon : Nunca es conveniente devolver una información sobre una ruta a la dirección desde la que ha llegado. El split horizon reduce así la cantidad de información de enrutamiento incorrecta y reduce también el gasto de enrutamiento.


- 37 -

TEMPORIZADORES DE ESPERA Se puede evitar el problema de cuenta al infinito mediante temporizadores de espera. Suponemos: red 1 inicialmente accesible, RouterA recibe de RouterE actualización: red 1 inaccesible, RouterA marca la ruta a la red 1 como inaccesible e inicia un temporizador de espera. 1. Antes de que expire el temporizador, se recibe act. desde RouterE como accesible, se elimina el temporizador y se marca la red 1 como accesible. 2. Antes de que expire el temporizador, se recibe act. desde RouterX (cualquiera) como accesible con mejor métrica que la inicialmente registrada, se elimina el temporizador y se marca la red1 como accesible. 3. Antes de que expire el temporizador, se recibe act. desde RouterX (cualquiera) como accesible con peor métrica que la inicialmente registrada, se ignora la actualización.


- 38 -

3.6. Enrutamiento Interior y Exterior Los protocolos de enrutamiento exterior se utilizan para las comunicaciones entre sistemas autónomos (Ej. BGP). Los protocolos de enrutamiento interior se utilizan dentro de un mismo sistema autónomo.

3.7. Enrutamiento Regulado Encaminamiento regulado es la capacidad de encaminar entre distintas redes en base a la información que contiene la cabecera o datos de los paquetes que circulan por ellas. Se pueden crear normas para clasificar los paquetes que vendrán determinadas de varias maneras: dirección origen, destino, interfaz entrante, TOS y fwmark. En concreto iproute2 permite usar la información de marcado de iptables (fwmark) para encaminar por una ruta u otra los paquetes dependiendo de estas marcas. Utilidades que puede tener esto: No sólo podemos usar información de la cabecera (como por ejemplo puerto, o tipo de protocolo) sino también otra información extendida que permite iptables, aunque es un dato propio de una máquina y no de una red, vamos a redirigir por ejemplo el tráfico TCP del usuario con UID 1000 por la IP 172.16.70.70 y dispositivo eth1, (los demás irán por la ruta por defecto): 1)# echo “200 FILTRO”>> /etc./iproute2/rt_tables 2)# ip rule add fwmark 1 table FILTRO 3)# ip route add table FILTRO via 172.16.70.70 dev eth1 4)# iptables -t mangle -A OUTPUT -p tcp -m owner –uid-owner 1000 -j MARK –set-mark 1 1) Creamos la tabla en el rt_tables 2) Añadimos una regla, asociando nuestra tabla FILTRO con la marca “1″ en los paquetes. 3) Añadimos una ruta para la regla FILTRO, configurando que saldrán por lainterfaz eth1, ip 172.16.70.70


- 39 -

4) Marcamos con iptables el tráfico TCP del usuario con UID 1000 con la marca “1″ El redirigir tráfico de un UID específico puede servirnos para salir a Internet por una interfaz distinta (otra interfaz física o vpn) cuando la ruta por defecto no permita el paso de ese tipo de tráfico, simplemente corriendo el proceso con uid distinto. El marcado por UID es un ejemplo curioso que permite iptables, pero también se podrían marcar por otros características como tipo de protocolo de transporte TCP o UDP, marcarlo con distintas marcas y luego asociar rutas distintas mediante reglas que asocien estas marcas con la ruta que nos interese. Una aplicación interesante del encaminamiento regulado puede ser el balanceo de carga que veremos mas adelante. Hay muchos escenarios en los que es interesante esta técnica. Un ejemplo puede ser una compañia que tiene contratadas dos conexiones a Internet, cada una con un router e interfaz independiente. Sería bueno configurar en el router central un balanceo de carga para el tráfico de Internet. De esta forma, habría varias rutas por defecto, aunque el destino sea el mismo. La información necesaria sería la siguiente: ISP #1: Router Interface = 1.1.1.30/27 ISP #2: Router Interface = 2.2.2.30/27 Hay varias formas diferentes de implementar esta técnica, cada una depende del comportamiento que se desea obtener. La primera solución es el método “por paquete”. Bajo este escenario cada paquete (trama) que entre en el router central saldrá por una ruta diferente. Así el primer paquete será enviado a través del router#1, el segundo a través del router#2, el tercero a través del router#1, otro. La implementación de este método sería algo parecido a: ip route add equalize default \ nexthop via 1.1.1.30 dev eth1 \ nexthop via 2.2.2.30 dev eth1 El comando nexthop define múltiples pasarelas para enviar paquetes, y el comando “equalize” indica que el método de enrutamiento va a ser “por paquete”. El principal problema de esta solución es que en los caminos hacia el destino final puede variar el tránsito de cada fragmento (paquete) el suficiente tiempo para causar problemas en la cola de reensamblaje en el destino. La segunda solución para balancear la carga sería el método “por flujo”. En este escenario se permitiría a cada flujo (no la trama) viajar a través de uno de los routers. Para implementar esta solución simplemente habría que eliminar el modificador “equalize”. Ahora el tráfico sería enrutado a uno de los routers mediante el método “por flujo” en lugar de “por paquete”. ip route add default \ nexthop via 1.1.1.30 dev eth1 \ nexthop vía 2.2.2.30 dev eth1 ACCIONES DE REGULACIÓN DE ENCAMINAMIENTO Dar prioridad a distintos tipos de tráfico y no que todos tengan la misma prioridad


- 40 -

Controlar el tráfico de programas como el emule, … Sin afectar a la red interna Priorizando los envíos importantes sobre otros Limite el número máximo de conexiones concurrentes desde y hacia uno/varios host limite el ancho de banda que se otorga a cada cliente POR IP http://quarkblog.org/2005/03/15/mi-script-qos/ http://es.wikipedia.org/wiki/Iproute2 http://bulma.net/body.phtml?nIdNoticia=2084 Una posible aplicación seria en el caso de que circule por la red, el denominado trafico elástico (múltiples usuarios estableciendo conexiones TCP, típicamente navegando en la Web), y tráfico de flujo (voz y video). Si se regula el tráfico por ejemplo en cuanto a la demanda del servicio, se puede llegar a evitar en un caso la perdida de la conexión y en el otro volver a enviar los datos desde el comienzo. Otra cosa interesante es usar algoritmos de encaminamiento para agilizar la red. Por ejemplo: -ENCAMINAMIENTO DE CAMINO MÚLTIPLE (algoritmo de encaminamiento) Existe un solo “mejor” camino entre cualquier par de nodos y que todo él trafico entre ellos deberá utilizar. Con frecuencia, se puede obtener un mejor rendimiento al dividir él tráfico entre varios caminos, para reducir la carga en cada una de las líneas de comunicación. La técnica se conoce como Encaminamiento de camino múltiple, o algunas veces encaminamiento bifurcado. Se aplica tanto en subredes con data gramas, como en subredes con circuitos virtuales. El encaminamiento de camino múltiple se realiza de la siguiente manera. Cada IMP mantiene una tabla con una ristra reservada para cada uno de los posibles IMP destinatarios; cada ristra ofrece la mejor, la segunda mejor, la tercera mejor, otro. Línea de salida para este destino en particular. Una de las ventajas del encaminamiento del camino múltiple es la posibilidad de poder transmitir diferentes clases de tráfico sobre diferentes caminos. El encaminamiento clásico se resume como: “Todo encaminamiento es un proceso de destino”. Bueno para redes sencillas con una posible salida u objetivo y también para el objetivo inicial de ARPAnet (alcanzar el objetivo independientemente de todo lo demás). Con la explosión de Internet llega la QoS (o Servicios diferenciados o integrados) y la seguridad. ¿Cuál es el conjunto de información mínimo para encaminar un paquete? Regulación: conjunto de normas y acciones descriptivas o prohibitivas que persiguen un objetivo ideal y que las implicaciones se ajusten bien al objetivo. Regular el encaminamiento NO es encaminamiento regulado. El primero son las normas administrativas impuestas al encaminamiento (filtros), el segundo es la estructura central de la red. Encaminamiento regulado: Capacidad de dirigir los paquetes de una red a otra en base a alguna o toda la información que contiene tanto la cabecera del paquete como los datos que contiene. Al conjunto de normas descriptoras y prohibitivas que implementan la estructura de encaminamiento de una red es lo que se conoce como Encaminamiento Regulado. ELEMENTOS DEL ENCAMINAMIENTO REGULADO La estructura alrededor de la cual se forma el E.R.está formada por 3 elementos: dirección, ruta y norma.

Dirección: identificación de equipo. Importante tanto la de origen como la de destino Ruta: Decisión que indica cómo llegar desde la dirección de origen a la de destino.


- 41 -

Norma (regla): provisión de información adicional que demanda el Encaminamiento Regulado y permite especificar qué estructura de rutas se escogerán para dirigir un paquete. Múltiples tablas de encaminamiento que garantizan múltiples rutas para el mismo destino.

¿Qué tabla se usa para elegir el destino? Por ejemplo en Linux: 255 tablas y 2^32 normas (una IP existente bajo IPv4) Primero se analizan las normas en el orden impuesto por el administrador de redes mediante la asignación a cada una de un valor numérico de prioridad. Una norma consiste en un selector y una acción. El selector se aplica a: dirección origen, destino, interfaz entrante, TOS y fwmark. Si concuerda con el paquete, se ejecuta la acción que puede devolver: Éxito: la salida de la norma facilita una ruta Fallo: termina la búsqueda. Si no concuerda, continúa con la siguiente norma. Inicialmente se dispone de 3 normas:

Prioridad 0: Selector = concuerda con cualquier cosa Acción = busca la tabla local (ID 255) con direcciones locales y de difusión No puede ser eliminada o cancelada

Prioridad 32766: Selector = concuerda con cualquier cosa Acción = busca la tabla main (ID 254) es la normal con rutas no reguladas SI puede ser eliminada o cancelada

Prioridad 32767: Selector = concuerda con cualquier cosa Acción = busca la tabla default (ID 253) está vacía y reservada para procesamiento posterior si las normas predeterminadas anteriores no seleccionaron el paquete. SI puede ser eliminada o cancelada

Resumen: las normas señalan a tablas de encaminamiento que contendrá rutas. Varias normas pueden referirse a una misma tabla y algunas tablas pueden NO estar señaladas por normas (¿Qué pasa con ellas?). Una tabla desaparecerá sólo cuando se eliminen todas las rutas que contenga. Las normas pueden:

Devolver la ruta encontrada (unicast) Soltar silenciosamente un paquete (Blackhole) Generar el error de red inaccesible (Unreachable) Generar el error de comunicación prohibida administrativamente (Prohibit) Traducir la dirección de origen del paquete IP a otro valor (NAT)

Ejemplo de Configuración del núcleo para utilizar E.R. Comando ip de linux: Referente a las tarjetas (ifconfig)

Activación de la NIC ip link set eth0 up ip link ls eth0

Manejos de IP ip addr add 172.16.40.48/24 dev eth0


- 42 -

ip addr del 172.16.40.48/24 dev eth0 ip addr ls eth0

Administración de rutas ip route add 172.16.40.0/24 via 172.16.40.1 ip route add add default scope global nexthop dev eth0 ip route list ip route flush

Administración de normas ip rule add from 172.16.40.0/24 table AIRC prio 220 Ip rule list

3.8. Cambio del paradigma de entrega Los algoritmos de ruteo estáticos son tablas de mapeo establecidas por el administrador de la red al principio del comienzo de operación de ruteo. Estos mapeos no cambiarán excepto que el administrador los modifique. Los algoritmos que usan rutas estáticas aplican para diseñar y trabajar con entornos donde el tráfico de la red es relativamente predecible y la red no requiere alta complejidad. Como los sistemas de ruteo estático no reaccionan a los cambios de la red, generalmente se los considera que no son aptos para las redes actuales, que están cambiando permanentemente. La mayoría de los algoritmos de ruteo dominantes actuales son dinámicos, es decir que se ajustan a los cambios de la red en la medida que van ocurriendo mediante un análisis de los mensajes de ruteo entrantes. Si el mensaje indica que ha ocurrido un cambio en la red, el software de ruteo recalcula las rutas y envía nuevos mensajes de ruteo actualizados. Estos mensajes permeabilizan la red, estimulan a los routers a volver a ejecutar los algoritmos y a cambiar sus tablas de ruteo de acuerdo a aquellos cambios. Los algoritmos de ruteo dinámico pueden suplementarse con rutas estáticas donde es apropiado. Un router de última opción (donde todos los paquetes no ruteables son enviados), por ejemplo, puede ser designado para actuar como un repositorio de todos los paquetes no ruteables, asegurando que todos los mensajes son manejados de alguna manera. 3.9. Balanceo de Carga El balance o balanceo de carga es un concepto usado que se refiere a la técnica usada para compartir el trabajo a realizar entre varios procesos, ordenadores, discos u otros recursos. Está íntimamente ligado a los sistemas de multiprocesamiento, o que hacen uso de más de una unidad de procesamiento para realizar labores útiles. El balance de carga se mantiene gracias a un algoritmo que divide de la manera más equitativa posible el trabajo, para evitar los así denominados cuellos de botella que es el objetivo del multiprocesamiento. Una de las formas de implementar en la práctica el balanceo de carga es mediante la aplicación de un cluster. Cluster es poner varias unidades de procesamiento que en principio son independientes, conectadas entre sí para formar así una única unidad lógica de trabajo, pero ahora formada por varias unidades físicas. Mediante placas ó vía software se logra que esas unidades realicen trabajos en común, como el.


- 43 -

Entonces, un cluster está compuesto por uno o más ordenadores (llamados nodos) que actúan como fron-end del cluster, y que se ocupan de repartir las peticiones de servicio que reciba el cluster, a otros ordenadores del cluster que forman el back-end de éste. La mayoría de los fabricantes de equipos de interconectividad tienen su diseño de cluster y le dan las funcionalidades estándares y le aplican además funcionalidades propietarias. Estas aplicaciones se utilizan cuando los servicios de las redes se transforman en muy importantes para las empresas y organizaciones. Entonces comienzan a “duplicarse” las cadenas que permiten la prestación de servicios y soluciones tecnológicas. Se contratan dos accesos a Internet ó mas, esos accesos se conectan a dos soluciones de Internet divididas, que si una no responde, la otra se mantiene activa y permite reaccionar en la puesta en marcha de la anterior de forma que siempre tengamos los servicios activos. Existen soluciones de redundancia, cuando hay más de un equipo en un solo sitio para brindar el mismo servicio. Y además hay soluciones de alta disponibilidad. Esto suma a lo anterior, la existencia de 2 sitios, entonces tenemos redundancia y alta disponibilidad. Este es el modelo de máxima prestación del servicio con el menor riesgo posible a una caída de servicios NO PROGRAMADA. Topología de Red de Alta Disponibilidad en Modo NAT

Como la instalación tiene 2 unidades en el cluster, se pueden conectar entre sí Topología de Red de Alta Disponibilidad en Modo Transparente


- 44 -

Balance de carga en servidores web Uno de los principales problemas de los mayores sitios web en Internet es cómo gestionar las solicitudes de un gran número de usuarios. Se trata de un problema de escalabilidad que surge con el continuo crecimiento del número de usuarios. Este servicio se puede brindar tanto con un enrutador como con una computadora con dos placas de red y software específico. Hay balanceadores de carga tipo round-robin (uno a uno) y por pesos (que son capaces de saber cuál de los nodos está más libre y lanzarle la petición). El más conocido es LVS, sin embargo hay otro muy buenos como el de Red-Hat Piranha. Y en la plataforma para Windows Server se tiene al ISA Server (Microsoft Internet Security and Acceleration Server). 3.10. Tablas de Rutas Múltiples Un host TCP/IP único tiene que tomar decisiones de enrutamiento. Estas decisiones de están controladas por la tabla de rutas. La tabla de rutas se puede mostrar escribiendo "route print" en el


- 45 -

símbolo del sistema. A continuación se muestra un ejemplo de una tabla de rutas de una máquina de host único. Esta tabla de rutas simple la construye automáticamente Windows NT basándose en la configuración IP del host. Dirección de red Máscara de red Dirección de puerta de enlace Interfaz Métrica 0.0.0.0 0.0.0.0 157.57.8.1 157.57.11.169 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 157.57.8.0 255.255.248.0 157.57.11.169 157.57.11.169 1 157.57.11.169 255.255.255.255 127.0.0.1 127.0.0.1 1 157.57.255.255 255.255.255.255 157.57.11.169 157.57.11.169 1 224.0.0.0 224.0.0.0 157.57.11.169 157.57.11.169 1 255.255.255.255 255.255.255.255 157.57.11.169 157.57.11.169 1 Los títulos de cada columna de la tabla anterior se explican a continuación: Dirección de red: La dirección de red es el destino. La columna de la dirección de red puede contener: Dirección del host Dirección de subred Dirección de red Puerta de enlace predeterminada El orden de búsqueda es también como el anterior, desde la ruta más exclusiva (la dirección del host) a la más general (la puerta de enlace predeterminada): 0.0.0.0 es la ruta predeterminada 127.0.0.0 es la dirección de bucle invertido 157.57.8.0 es la dirección de subred local 157.57.11.169 es la dirección de tarjeta de red 157.57.255.255 es la dirección de difusión de subred 224.0.0.0 es la dirección de multidifusión 255.255.255.255 es la dirección de difusión limitada Máscara de red: La máscara de red define qué parte de la dirección de red debe coincidir para que se pueda utilizar una ruta. Cuando la máscara aparece en formato binario, un 1 es significativo (debe coincidir), y un 0 no es necesario que coincida. Por ejemplo, una máscara de 255.255.255.255 se utiliza para una entrada de host. La máscara entera de 255 (todo unos) significa que la dirección de destino del paquete que se tiene que enrutar debe coincidir exactamente con la dirección de red para que se pueda utilizar dicha ruta. Otro ejemplo: la dirección de red 157.57.8.0 tiene una máscara de red de 255.255.248.0. Esta máscara de red significa que los dos primeros octetos deben coincidir exactamente, los primeros 5 bits del tercer octeto deben coincidir (248=11111000) y el último octeto no tiene importancia. Debido a que en el sistema decimal 8 equivale a 00001000 en formato binario, la coincidencia tendría que empezar por 00001. Por lo tanto, cualquier


- 46 -

dirección con 157.57 y el tercer octeto de 8 a 15 (15=00001111) utilizará esta ruta. Ésta es una máscara de red para una ruta de subred y por lo tanto se le llama máscara de subred. Dirección de la puerta de enlace: La dirección de la puerta de enlace es la ubicación a la que debe enviarse el paquete. Puede ser la tarjeta de red local o una puerta de enlace (enrutador) de la subred local. Interfaz: La interfaz es la dirección de la tarjeta de red a través de la que se debería enviar el paquete. 127.0.0.1 es la dirección de bucle invertido. Métrica: La métrica es el número de saltos hasta el destino. Cualquier cosa en la red local LAN es un salto y cada enrutador que se cruce después es un salto adicional. La métrica se utiliza para determinar la mejor ruta. 3.11. VLANs Una red de área local virtual (VLAN) es una subdivisión de una red de área local en la capa de vínculo de datos de la pila de protocolo TCP/IP. Puede crear redes VLAN para redes de área local que utilicen tecnología de nodo. Al asignar los grupos de usuarios en redes VLAN, puede mejorar la administración de red y la seguridad de toda la red local. También puede asignar interfaces del mismo sistema a redes VLAN diferentes. Es recomendable dividir una red de área local en redes VLAN si necesita lo siguiente: Cree una división lógica de grupos de trabajo. Por ejemplo, suponga que todos los hosts de la planta de un edificio están conectados mediante una red de área local con nodos. Puede crear una VLAN para cada grupo de trabajo de la planta. Designe diferentes directivas de seguridad para los grupos de trabajo. Por ejemplo, las necesidades de seguridad del departamento de finanzas y el de informática son muy diferentes. Si los sistemas de ambos departamentos comparten la misma red local, puede crear una red VLAN independiente para cada departamento. Después, puede asignar la directiva de seguridad apropiada para cada VLAN. Divida los grupos de trabajo en dominios de emisión administrables. El uso de redes VLAN reduce el tamaño de los dominios de emisión y mejora la efectividad de la red. DESCRIPCIÓN GENERAL DE UNA CONFIGURACIÓN VLAN La tecnología de red LAN con nodos permite organizar los sistemas de una red local en redes VLAN. Para poder dividir una red de área local en redes VLAN, debe tener nodos compatibles con la tecnología VLAN. Puede configurar todos los puertos de un nodo para que transfieran datos para una única VLAN o para varias VLAN, según el diseño de configuración VLAN. Cada fabricante utiliza procedimientos diferentes para configurar los puertos de un nodo. En la figura siguiente se muestra una red de área local con la dirección de subred 192.168.84.0. Esta red LAN está subdividida en tres redes VLAN, Roja, Amarilla y Azul. Figura: red de área local con 3 vlans


- 47 -

Los conmutadores 1 y 2 se encargan de la conexión a la red LAN192.168.84.0. La red VLAN contiene sistemas del grupo de trabajo Contabilidad. Los sistemas del grupo de trabajo Recursos humanos se encuentran en la red VLAN Amarilla. Los sistemas del grupo de trabajo Tecnologías de la información se asignan a la VLAN Azul. ETIQUETAS VLANY PUNTOS DE CONEXIÓN FÍSICOS Cada VLAN de una red de área local está identificada por una etiqueta VLAN, o ID VLAN (VID). El VID se asigna durante la configuración de la red VLAN. El VID es un identificador de 12 bits entre 1 y 4094 que proporciona una identidad única para cada VLAN. En la Figura superior, la VLAN Roja tiene el VID 789, la VLAN Amarilla tiene el VID 456 y la VLANAzul tiene el VID 123. Al configurar los nodos para que admitan redes VLAN, es necesario asignar un VID a cada puerto. El VID del puerto debe ser el mismo que el VID asignado a la interfaz que se conecta al puerto, como se muestra en la siguiente figura.


- 48 -

Configuración de Nodos de una red con VLANs En esta figura, las interfaces de red primaria de los tres hosts se conectan al conmutador 1. El host A es miembro de la red VLAN Azul. Por lo tanto, la interfaz del host A está configurada con el VID 123. Esta inferfaz se conecta al puerto 1 en el conmutador 1, que se configura con el VID 123. El host B es miembro de la red VLAN Amarilla con el VID 456. La interfaz del host B se conecta al puerto 5 en el conmutador 1, que se configura con el VID 456. Por último, la interfaz del host C se conecta al puerto 9 en el conmutador 1. La red VLAN Azul se configura con el VID 123. Durante la configuración de la red VLAN, debe especificar el punto de conexión físico o PPA de la red VLAN. El valor PPA se obtiene con esta fórmula: driver-name + VID * 1000 + device-instance El número de instancia de dispositivo debe ser menor que 1000. Por ejemplo, para configurar una interfaz ce1 como parte de la red VLAN 456, se crearía el siguiente PPA: ce + 456 * 1000 + 1= ce456001 Planificación de una red para redes VLAN Utilice el procedimiento siguiente para planificar las VLAN de la red. Cómo planificar la configuración de una VLAN Examine la distribución de red local y determine dónde es apropiado realizar las subdivisiones en redes VLAN. Para ver un ejemplo básico de esta topología, consulte la Figura 6–1. Cree un esquema numerado para los VID y asigne un VID a cada VLAN. Nota – Puede que ya haya un esquema numerado de VLAN en la red. En tal caso, deberá crear los VID dentro del esquema numerado de VLAN. En cada sistema, determine las interfaces que deben ser miembros de una VLAN determinada.


- 49 -

Determine las interfaces que se configuran en un sistema. Esto se realiza mediante algún comando del equipo que está configurando. Identifique qué VID debe asociarse con cada vínculo de datos del sistema. Cree puntos PPA para cada interfaz que vaya a configurarse con una VLAN. No es necesario configurar todas las interfaces de un sistema en la misma red VLAN. Compruebe las conexiones de las interfaces con los nodos de red. Anote el VID de cada interfaz y el puerto de nodo al que están conectadas. Configure cada puerto del nodo con el mismo VID de la interfaz al que está conectado. Consulte la documentación del fabricante del nodo para ver las instrucciones de configuración. 3.12. Segmentación Estática de una Red LAN Por Virtualización de Topología Una funcionalidad importante de la conmutación Ethernet es la red de área local virtual (VLAN). Una VLAN es una agrupación lógica de dispositivos o usuarios. Estos dispositivos o usuarios pueden agruparse por función, departamento o aplicación sin tener en cuenta la ubicación en el segmento físico de la LAN. Los dispositivos de una VLAN se limitan sólo a la comunicación con dispositivos que estén en su propia VLAN. Así como los routers proporcionan conectividad entre diferentes segmentos de la LAN, los routers proporcionan conectividad entre diferentes segmentos de la VLAN. Cada fabricante ha desarrollado su propio producto VLAN propietario que puede no ser enteramente compatible. Las VLANs incrementan el desempeño general de la red agrupando lógicamente usuarios y recursos. Los negocios utilizan a menudo las VLANs como medio de asegurar que un conjunto particular de usuarios estén agrupados lógicamente independientemente de la ubicación física. Por lo tanto, los usuarios del departamento de Marketing se ubican en la VLAN de Marketing, mientras que los usuarios del departamento de Ingeniería se ubican en la VLAN de Ingeniería. Las VLANs pueden mejorar la escalabilidad, seguridad y administración de la red. Los routers en las topologías VLAN proporcionan filtrado de broadcasts, seguridad y administración del flujo de tráfico. Las VLANs son herramientas potentes para los administradores de red cuando se las diseña y configura apropiadamente. Las VLANs simplifican las tareas cuando son necesarias adiciones, movimientos y cambios en una red. Las VLANs mejoran la seguridad en la red y ayudan a controlar los broadcasts de Capa 3. No obstante, VLANs inapropiadamente configuradas pueden hacer que una red funcione pobremente o no funcione en absoluto. Al diseñar una red es importante comprender cómo implementar VLANs en diferentes switches. Introducción a las VLANs Una VLAN es un grupo de servicios de red que no se limitan a un segmento físico o switch LAN. La figura siguiente ilustra como un ruteador segmenta físicamente la red dentro de dominios de broadcast. En este ejemplo, el administrador de red instala un ruteador como política de seguridad, además para evitar los efectos del broadcast, que alentan la red.


- 50 -

Las VLANs segmentan lógicamente a las redes basándose en las funciones, equipos de proyecto o aplicaciones de la organización independientemente de la ubicación física o conexiones a la red. Todas las estaciones de trabajo y servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, independientemente de la conexión o ubicación física. La configuración o reconfiguración de VLANs se lleva a cabo a través del software. Conectar o desplazar cables y equipamiento físicamente es innecesario en estos casos. Una estación de trabajo que se encuentre en el grupo de una VLAN se limita a comunicarse con servidores de archivos en el mismo grupo de la VLAN. Las VLANs funcionan segmentando lógicamente la red en diferentes dominios de broadcast para que los paquetes sean los únicos conmutados entre puertos que están diseñados para la misma VLAN. Las VLANs consisten en hosts o en equipamiento de networking conectado por un único dominio de bridging. El dominio de bridging es soportado en diferentes equipos de networking. Los switches LAN operan con protocolos de bridging con un grupo de bridge separado para cada VLAN. En la figura los puertos de cada switch son configurados como miembros ya sea de la VLAN A o la VLAN B. Si la estación final transmite tráfico de broadcast o multicast, el tráfico es reenviado a todos los puertos miembros. El tráfico que fluye entre las dos VLANs es reenviado por el ruteador, dando así seguridad y manejo del tráfico.


- 51 -

Las VLANs se crean para proporcionar los servicios de segmentación tradicionalmente proporcionados por routers físicos en configuraciones de LAN. Las VLANs tratan la escalabilidad, seguridad y administración de la red. Los routers de las topologías VLAN proporcionan filtrado de broadcast, seguridad y administración del flujo de tráfico. Los switches no pueden hacer bridging de cualquier tráfico entre VLANs, ya que esto violaría la integridad del dominio de broadcast de la VLAN. El tráfico sólo deberá enrutarse entre VLANs. Dominios de broadcast con VLANs y routers Una VLAN es un dominio de broadcast creado por uno o más switches. El enrutamiento de Capa 3 permite al router enviar paquetes a los dominios de broadcast diferentes. El router enruta el tráfico entre las VLANs utilizando enrutamiento de Capa 3. Implementar las VLANs en un switch hace que ocurra lo siguiente: El switch mantiene una tabla de bridging separada para cada VLAN. Si el frame entra por un puerto de la VLAN 1, el switch busca la tabla de bridging para la VLAN 1. Cuando se recibe el frame, el switch agrega la dirección de origen a la tabla de bridging si actualmente es desconocida. Se verifica el destino para que se pueda tomar una decisión de envío. Para aprender y enviar se efectúa la búsqueda contra la tabla de direcciones de esa VLAN sola. Operación de una VLAN Cada puerto de switch podría asignarse a una VLAN diferente. Los puertos asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a esa VLAN no comparten estos broadcasts. Esto mejora el desempeño general de la red. Las VLANs de membresía estática se denominan VLANs de membresía basada en puerto y puerto-céntrica. Cuando un dispositivo entra a la red, automáticamente asume la membresía de la VLAN al puerto al cual está conectado. Los usuarios conectados al mismo segmento compartido comparten el ancho de banda de dicho segmento. Cada usuario adicional conectado al medio compartido significa menos ancho de banda y un deterioro del desempeño de la red. Las VLANs ofrecen más ancho de banda a los usuarios que una red compartida. La VLAN por defecto para cada puerto del switch es la VLAN de administración. La VLAN de administración es siempre la VLAN 1 y no puede borrarse. Todos los otros puertos del switch pueden reasignarse a VLANs intercambiables. Las VLANs de membresía dinámica se crean a través del software de administración de redes. Las VLANs Dinámicas permiten una membresía basada en la dirección MAC del dispositivo conectado al puerto del switch. Cuando un dispositivo entra a la red, interroga a una base de datos dentro del switch en busca de una membresía VLAN. En una membresía VLAN basada en puerto o puerto-céntrica, el puerto es asignado a una membresía VLAN independiente del usuario o del sistema conectado al puerto. Al utilizar este método de membresía, todos los usuarios del mismo puerto deben encontrarse en la misma VLAN. Un único usuario, o múltiples usuarios, pueden estar conectados a un puerto y nunca darse cuenta de que existe una VLAN. Este enfoque es fácil de administrar porque no se requieren complejas tablas de búsqueda para la segmentación VLAN. Los administradores de red son responsables de configurar las VLANs tanto manual como estáticamente. Cada interfaz de un switch se comporta como un puerto de un bridge. Los bridges filtran el tráfico que no necesita ir a segmentos que no sean el segmento de origen. Si es necesario que un frame cruce el bridge, el bridge envía el frame hacia la interfaz correcta y ninguna otra. Si el bridge o switch no conoce el destino, provoca una inundación de frames a todos los puertos del dominio de broadcast o la VLAN, excepto el puerto de origen.


- 52 -

Beneficios de las VLANs El beneficio clave de las VLANs es que permiten al administrador de red organizar la LAN lógicamente y no físicamente. Esto significa que un administrador puede hacer todo lo siguiente: � Desplazar fácilmente estaciones de trabajo en la LAN. � Agregar fácilmente estaciones de trabajo a la LAN. � Cambiar fácilmente la configuración de la LAN. � Controlar fácilmente el tráfico de la red. � Mejorar la seguridad. Tipos de VLAN Existen tres membresías VLAN básicas para determinar y controlar cómo se asigna un paquete: - � VLANs basadas en el puerto � VLANs basadas en la dirección MAC � VLANs basadas en el protocolo Los encabezados del frame se encapsulan o modifican para reflejar la ID de una VLAN antes de que el frame se envíe a través del enlace entre switches. Antes de enviar al dispositivo de destino, el encabezado del frame se cambia nuevamente al formato original. La cantidad de VLANs en un switch varían dependiendo de varios factores: � Patrones de tráfico � Tipos de aplicaciones � Necesidades de la administración de redes � Comunidades dentro de un grupo Además, una consideración importante al definir el tamaño del switch y la cantidad de VLANs es el sistema de direccionamiento IP. Por ejemplo, una red que utiliza una máscara de 24 bits para definir una subred tiene un total de 254 direcciones de host permitidas en una única subred. Dado este criterio, se permite un total de 254 direcciones de host en una única subred. A causa de una correspondencia de uno a uno entre VLANs y subredes IP, se recomienda encarecidamente que no haya más de 254 dispositivos en cualquier VLAN. Además se recomienda que las VLANs no se extiendan fuera del dominio de Capa 2 del switch de distribución. Existen dos métodos importantes de etiquetado de frames, Enlace Entre Switches (ISL) y 802.1Q. ISL solía ser el más común, pero ahora está siendo reemplazado por el etiquetado de frames 802.1Q. La emulación de LAN (LANE) es una forma de hacer que una red en Modo de Transferencia Asíncrona (ATM) simule una red Ethernet. No hay etiquetado en LANE, sino que la conexión virtual utilizada implica una ID de VLAN. A medida que los paquetes son recibidos por el switch provenientes de cualquier dispositivo de estación final conectado, se agrega un identificador de paquetes exclusivo dentro de cada encabezado. Esta información en el encabezado designa la membresía VLAN de cada paquete. El paquete luego se envía a los switches o routers apropiados basándose en el identificador de VLAN y la dirección MAC. Al llegar al nodo de destino la ID de VLAN es quitada del paquete por el switch adyacente y se la envía al dispositivo conectado. El etiquetado de paquetes proporciona un mecanismo para controlar el flujo de broadcasts y aplicaciones mientras no interfieran con la red y las aplicaciones. Conceptos básicos sobre VLANs En un entorno conmutado, una estación verá sólo el tráfico destinada a ella. El switch filtra el tráfico de la red permitiendo que la estación de trabajo tenga un ancho de banda dedicado y


- 53 -

completo para enviar o recibir tráfico. A diferencia de un sistema de hub compartido donde sólo una estación puede transmitir a la vez, la red conmutada permite muchas transmisiones concurrentes dentro de un dominio de broadcast. La red conmutada hace esto sin afectar directamente a otras estaciones dentro o fuera del dominio de broadcast. Cada VLAN debe tener una dirección de red de Capa 3 exclusiva asignada. Esto permite a los routers conmutar paquetes entre VLANs. Las VLANs pueden existir como redes de extremo a extremo o pueden existir dentro de fronteras geográficas. Una red VLAN de extremo a extremo tiene las siguientes características: Los usuarios se agrupan en VLANs independientemente de la ubicación física, pero dependiendo del grupo o la función laboral. Todos los usuarios de una VLAN deberán tener los mismos patrones de flujo de tráfico 80/20. A medida que un usuario se desplaza por el campus, la membresía VLAN para dicho usuario no deberá cambiar. Cada VLAN tiene un conjunto común de requisitos de seguridad para todos sus miembros. Comenzando en la capa de acceso, se proveen puertos de switch para cada usuario. Cada color representa a una subred. Puesto que la gente se ha desplazado con el tiempo, cada switch se convierte eventualmente en miembro de todas las VLANs. El etiquetado de frames se utiliza para transportar información sobre múltiples VLANs entre los armarios para el cableado de la capa de acceso y los switches de la capa de distribución. ISL es un protocolo propietario de Cisco que mantiene información sobre una VLAN a medida que el tráfico fluye entre switches y routers. IEEE 802.1Q es un mecanismo de etiquetado de VLANs de estándar abierto (IEEE) utilizado en instalaciones de conmutación. Los switches Catalyst 2950 no soportan el trunking ISL. Los servidores de grupo de trabajo operan según un modelo de cliente/servidor. Por esta razón, se han efectuado intentos para mantener a los usuarios en la misma VLAN como servidor para maximizar el desempeño de la conmutación de Capa 2 y mantener localizado el tráfico. Se aplica ingeniería a la red, basándose en patrones del flujo de tráfico, para tener un 80 por ciento del tráfico contenido dentro de una VLAN. El restante 20 por ciento cruza el router hacia los servidores empresariales y hacia la Internet y la WAN. VLANs geográficas Las VLANs de extremo a extremo permiten a los dispositivos el agruparse basándose en el uso de recursos. Esto incluye parámetros tales como el uso del servidor, los equipos de proyecto y los departamentos. El objetivo de las VLANs de extremo a extremo es mantener el 80 por ciento del tráfico en la VLAN local. A medida que muchas redes corporativas se han desplazado para centralizar sus recursos, las VLANs de extremo a extremo se han vuelto más difíciles de mantener. Se requiere a los usuarios que utilicen muchos recursos diferentes, muchos de los cuales ya no se encuentran en su VLAN. A causa de este desplazamiento en la ubicación y en el uso de los recursos, las VLANs se crean ahora más frecuentemente en torno a fronteras geográficas y no de comunidad. Esta ubicación geográfica puede abarcar a todo el edificio o ser tan pequeña como un único switch dentro de un armario para el cableado. En la estructura de una VLAN, es común encontrar la nueva regla 20/80 en efecto. El 80 por ciento del tráfico es remoto en relación al usuario y el 20 por ciento del tráfico es local respecto al usuario. Aunque esta topología significa que el usuario debe cruzar un dispositivo de Capa 3 para llegar al 80 por ciento de los recursos, este diseño permite que la red proporcione un método determinista y consistente de acceder a los recursos. Configuración de VLANs estáticas Las VLANs estáticas son puertos de un switch manualmente asignados a una VLAN utilizando una aplicación de administración de VLAN o trabajando directamente dentro del switch. Estos


- 54 -

puertos mantienen su configuración de VLAN asignada hasta que se la cambie manualmente. Esta topología significa que el usuario debe cruzar un dispositivo de Capa 3 para llegar al 80 por ciento de los recursos. Este diseño también permite a la red proporcionar un método determinista y consistente de acceder a los recursos. Este tipo de VLAN funciona bien en redes donde lo siguiente es cierto: � Los movimientos son controlados y administrados. � Existe un software de administración de VLAN robusto para configurar los puertos. � No es deseable asumir la sobrecarga adicional requerida al mantener direcciones MAC de estaciones extremas y tablas de filtrado personalizadas. � Las VLANs dinámicas no se basan en puertos asignados a una VLAN específica.


- 55 -

Unidad 4: Protocolo IP v4 e IP v6 4.1. Características de cada uno IPv4 es la versión 4 del Protocolo IP (Internet Protocol). Esta fue la primera versión del protocolo que se implementó extensamente, y forma la base de Internet. IPv4 usa direcciones de 32 bits, limitándola a 232 = 4.294.967.296 direcciones únicas, muchas de las cuales están dedicadas a redes locales (LANs). Por el crecimiento enorme que ha tenido del Internet (mucho más de lo que esperaba, cuando se diseñó IPv4), combinado con el hecho de que hay desperdicio de direcciones en muchos casos (ver abajo), ya hace varios años se vio que escaseaban las direcciones IPv4. Esta limitación ayudó a estimular el impulso hacia IPv6, que esta actualmente en las primeras fases de implantación, y se espera que termine reemplazando a IPv4. Desperdicio de direcciones El desperdicio de direcciones IPv4 se debe a varios factores.

i. Uno de los principales es que inicialmente no se consideró el enorme crecimiento que iba a tener Internet; se asignaron bloques de direcciones grandes (de 16,71 millones de direcciones) a países, e incluso a empresas.

ii. Otro motivo de desperdicio es que en la mayoría de las redes, exceptuando las más pequeñas, resulta conveniente dividir la red en subredes. Dentro de cada subred, la primera y la última dirección no son utilizables; de todos modos no siempre se utilizan todas las direcciones restantes. Por ejemplo, si en una subred se quieren acomodar 80 hosts, se necesita una subred de 128 direcciones (se tiene que redondear a la siguiente potencia de base 2); en este ejemplo, las 48 direcciones restantes ya no se utilizan.

Como hace más de veinte años de vigencia, el stack TCP/iP ha demostrado tener un diseño flexible y poderoso. Pero presenta algunas limitaciones al funcionamiento de las redes actuales:

• Inminente saturación del espacio de direcciones; • Se requiere soportar aplicaciones de video conferencia, multimedia en tiempo real; • Se requieren mecanismos de seguridad en la capa de red.

ESCASEZ DE DIRECCIONES

• menos direcciones disponibles; • Limita el crecimiento de Internet; • Obstaculiza el uso de Internet a nuevos usuarios; • Actualmente el ruteo es ineficiente; • Provoca que los usuarios usen NAT.

SOPORTE INADECUADO PARA LAS APLICACIONES DEL SIGLO XXI

• las nuevas aplicaciones son mas demandantes, requieren garantías en: o tiempos de respuesta; o disponibilidad de ancho de banda; o seguridad;

• difícil de adecuar a las nuevas aplicaciones. LA SEGURIDAD ES OPCIONAL


- 56 -

• IPv4 no fue diseñado para ser seguro: o Originalmente fue diseñado para una red militar, de investigación y educación

aislada; o Posteriormente se convirtió en una red para fines comerciales;

• Se han definido varias herramientas de seguridad: o SSL; SHTTP; IPSEC v4; o Ninguna es una norma.

Como una solución a los problemas de IPv4, el IETF (Internet engineering task force) creó el proyecto IPng. En nov-1994, el RFC 1852 “the recommendation for the IP next generation” se convirtió en una norma para el sucesor de IPv4. IPng es también llamado IPv6. IPv6 El protocolo IPv6 es una nueva versión de IP (Internet Prococol), diseñada para reemplazar a la versión 4 (IPv4) RFC 791, actualmente en uso. Diseñado por Steve Deering de Xerox PARC y Craig Mudge, IPv6 está destinado a sustituir a IPv4, cuyo límite en el número de direcciones de red admisibles está empezando a restringir el crecimiento de Internet y su uso, especialmente en China, India, y otros países asiáticos densamente poblados. Pero el nuevo estándar mejorará el servicio globalmente; por ejemplo, proporcionará a futuras celdas telefónicas y dispositivos móviles con sus direcciones propias y permanentes. Al día de hoy se calcula que las dos terceras partes de las direcciones que ofrece IPv4 ya están asignadas. IPv4 posibilita 4.294.967.296 (232) direcciones de red diferentes, un número inadecuado para dar una dirección a cada persona del planeta, y mucho menos a cada coche, teléfono, PDA, otros. En cambio, IPv6 admite 340.282.366.920.938.463.463.374.607.431.768.211.456 (2128 o 340 sextillones) direcciones —cerca de 3,4 × 1020 (340 trillones) direcciones por cada pulgada cuadrada (6,7 × 1017 o 670 mil billones direcciones/mm2) de la superficie de La Tierra. Propuesto por el Internet Engineering Task Force en 1994 (cuando era llamado "IP Next Generation" o IPng), la adopción de IPv6 por parte de Internet es menor, la red todavía está dominada por IPv4. La necesidad de adoptar el nuevo protocolo debido a la falta de direcciones ha sido parcialmente aliviada por el uso de la técnica NAT. Pero NAT NAT rompe con la idea originaria de Internet donde todos pueden conectarse con todos y hace difícil o imposible el uso de algunas aplicaciones P2P, de voz sobre IP y de juegos multiusuario. Un posible factor que influya a favor de la adopción del nuevo protocolo podría ser la capacidad de ofrecer nuevos servicios, tales como la movilidad, Calidad de Servicio (QoS), privacidad, otro. Otra vía para la popularización del protocolo es la adopción de este por parte de instituciones. El gobierno de los Estados Unidos ha ordenado el despliegue de IPv6 por todas sus agencias federales para el año 2008. IPv6 es la segunda versión del Protocolo de Internet que se ha adoptado para uso general. También hubo un IPv5, pero no fue un sucesor de IPv4; mejor dicho, fue un protocolo experimental orientado al flujo de streaming que intentaba soportar voz, video y audio. LOS CAMBIOS


- 57 -

Los cambios de IPv4 a IPv6 recaen principalmente en las siguientes categorías:

1. Capacidad extendida de direccionamiento: IPv6 incrementa el tamaño de dirección IP de 32 bits a 128 bits, para dar soporte a más niveles de direccionamiento jerárquico, un número mucho mayor de nodos direccionables, y una autoconfiguración más simple de direcciones. La escalabilidad del enrutamiento multicast se mejora agregando un campo "ámbito" a estas direcciones. Y se define un nuevo tipo de dirección llamada "dirección envío a uno de", usado para enviar un paquete a cualquiera de un grupo de nodos.

2. Simplificación del formato de cabecera [editar]Algunos campos de la cabecera IPv4 se han sacado o se han hecho opcionales. Los motivos de esto son reducir el costo del caso común en el proceso los paquetes y para ahorrar ancho de banda.

3. Soporte mejorado para las extensiones y opciones [editar]Los cambios en la manera en que se codifican las opciones de la cabecera IP permiten un reenvío más eficiente, límites menos rigurosos en la longitud de opciones, y mayor flexibilidad para introducir nuevas opciones en el futuro.

4. Capacidad de etiquetado de flujos [editar]Una nueva capacidad se agrega para permitir el etiquetado de paquetes que pertenecen a "flujos" de tráfico particulares para lo cuál el remitente solicita tratamiento especial, como la calidad de servicio no estándar o el servicio en "tiempo real".

5. Capacidades de Autenticación y Privacidad [editar]IPv6 incluye la especificación de extensiones que proveen autenticación, integridad, y (opcionalmente) confidencialidad de los datos.

DIRECCIONAMIENTO IPV6 El cambio más grande de IPv4 a IPv6 es la longitud de las direcciones de red. Las direcciones IPv6, definidas en el RFC 2373 y RFC 2374, son de 128 bits; esto corresponde a 32 dígitos hexadecimales, que se utilizan normalmente para escribir las direcciones IPv6, como se describe en la siguiente sección. El número de direcciones IPv6 posibles es de 2128 ≈ 3.4 x 1038. Este número puede también representarse como 1632, con 32 dígitos hexadecimales, cada uno de los cuales puede tomar 16 valores (véase combinatoria). En muchas ocasiones las direcciones IPv6 están compuestas por dos partes lógicas: un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de interfaz, que casi siempre se genera automáticamente a partir de la dirección MAC de la interfaz a la que está asignada la dirección. Notación para las direcciones IPv6 Las direcciones IPv6, de 128 bits de longitud, se escriben como ocho grupos de cuatro dígitos hexadecimales. Por ejemplo, 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 es una dirección IPv6 válida. Si un grupo de cuatro dígitos es nulo (es decir, toma el valor "0000"), puede ser comprimido. Por ejemplo, 2001:0db8:85a3:0000:1319:8a2e:0370:7344 2001:0db8:85a3::1319:8a2e:0370:7344 Siguiendo esta regla, si más de dos grupos consecutivos son nulos, pueden comprimirse como "::". Si la dirección tiene más de una serie de grupos nulos consecutivos la compresión sólo se permite en uno de ellos. Así, las siguientes son representaciones posibles de una misma dirección: 2001:0DB8:0000:0000:0000:0000:1428:57ab 2001:0DB8:0000:0000:0000::1428:57ab


- 58 -

2001:0DB8:0:0:0:0:1428:57ab 2001:0DB8:0::0:1428:57ab 2001:0DB8::1428:57ab son todas válidas y significan lo mismo, pero 2001::25de::cade no es válida porque no queda claro cuántos grupos nulos hay en cada lado. Los ceros iniciales en un grupo pueden ser omitidos: 2001:0DB8:02de::0e13 2001:DB8:2de::e13 Si la dirección es una dirección IPv4 camuflada, los últimos 32 bits pueden escribirse en base decimal; así, ::ffff:192.168.89.9 ::ffff:c0a8:5909 No se debe confundir con: ::192.168.89.9 ::c0a8:5909 El formato ::ffff:1.2.3.4 se denomina dirección IPv4 mapeada, y el formato ::1.2.3.4 dirección IPv4 compatible. Las direcciones IPv4 pueden ser transformadas fácilmente al formato IPv6. Por ejemplo, si la dirección decimal IPv4 es 135.75.43.52 (en hexadecimal, 0x874B2B34), puede ser convertida a 0000:0000:0000:0000:0000:0000:874B:2B34 o ::874B:2B34. Entonces, uno puede usar la notación mixta dirección IPv4 compatible, en cuyo caso la dirección debería ser ::135.75.43.52. Este tipo de dirección IPv4 compatible casi no está siendo utilizada en la práctica, aunque los estándares no la han declarado obsoleta. Identificación de los tipos de direcciones Los tipos de direcciones IPv6 pueden identificarse tomando en cuenta los primeros bits de cada dirección. :: la dirección con todo ceros se utiliza para indicar la ausencia de dirección, y no se asigna ningún nodo. ::1 la dirección de loopback () es una dirección que puede usar un nodo para enviarse paquetes a sí mismo (corresponde con 127.0.0.1 de IPv4). No puede asignarse a ninguna interfaz física. ::1.2.3.4 La dirección IPv4 compatible se usa como un mecanismo de transición en las redes duales IPv4/IPv6. Es un mecanismo obsoleto. ::ffff:0:0 La dirección IPv4 mapeada es usada como un mecanismo de transición en terminales duales. fe80:: El prefijo de enlace local (< inglés link local) específica que la dirección sólo es válida en el enlace físico local. fec0:: El prefijo de emplazamiento local (< inglés site-local prefix) específica que la dirección sólo es válida dentro de una organización local. LA RFC 3879 lo declaró obsoleto, estableciendo que los sistemas futuros no deben implementar ningún soporte para este tipo de dirección especial. ff00:: El prefijo de multicast es usado para las direcciones multicast. Hay que resaltar que las direcciones de difusión (< inglés broadcast) no existen en IPv6, aunque la funcionalidad que prestan puede emularse utilizando la dirección multicast FF01::1, denominada todos los nodos (< inglés all nodes). PAQUETES IPV6


- 59 -

Estructura de la cabecera de un paquete IPv6.Un paquete en IPv6 está compuesto principalmente de dos partes: la cabecera y los datos. La cabecera está en los primeros 40 bytes (320 bits) del paquete y contiene las direcciones de origen y destino (128 bits cada una), la versión de IP (4 bits), la clase de tráfico (8 bits, Prioridad del Paquete), etiqueta de flujo (20 bits, manejo de la Calidad de Servicio), longitud del campo de datos (16 bits), cabecera siguiente (8 bits), y límite de saltos (8 bits, Tiempo de Vida). Después viene el campo de datos, con los datos que transporta el paquete, que puede llegar a 64k de tamaño en el modo normal, o más con la opción "jumbo payload". Hay dos versiones de IPv6 levemente diferentes. La ahora obsoleta versión inicial, descrita en el RFC 1883, difiere de la actual versión propuesta de estándar, descrita en el RFC 2460, en dos campos: 4 bits han sido reasignados desde "etiqueta de flujo" (flow label) a "clase de tráfico" (traffic class). El resto de diferencias son menores. En IPv6 la fragmentación se realiza sólo en el nodo origen del paquete, al contrario que en IPv4 en donde los routers pueden fragmentar un paquete. En IPv6, las opciones también se salen de la cabecera estándar y son especificadas por el campo "Cabecera Siguiente" (Next Header), similar en funcionalidad en IPv4 al campo Protocolo. Un ejemplo: en IPv4 uno añadiría la opción "ruta fijada desde origen" (Strict Source and Record Routing) a la cabecera IPv4 si quiere forzar una cierta ruta para el paquete, pero en IPv6 uno modificaría el campo "Cabecera Siguiente" indicando que una cabecera de encaminamiento es la siguiente en venir. La cabecera de encaminamiento podrá entonces especificar la información adicional de encaminamiento para el paquete, e indicar que, por ejemplo, la cabecera TCP será la siguiente. Este procedimiento es análogo al de AH y ESP en IPsec para IPv4 (que aplica a IPv6 de igual modo, por supuesto). Cabeceras de extensión de IPv6: El uso de un formato flexible de cabeceras de extensión opcionales es una idea innovadora que permite ir añadiendo funcionalidades de forma paulatina. Este diseño aporta gran eficacia y flexibilidad ya que se pueden definir en cualquier momento a medida que se vayan necesitando entre la cabecera fija y la carga útil. Hasta el momento, existen 8 tipos de cabeceras de extensión, donde la cabecera fija y las de extensión opcionales incluyen el campo de cabecera siguiente que identifica el tipo de cabeceras


- 60 -

de extensión que viene a continuación o el identificador del protocolo de nivel superior. Luego las cabeceras de extensión se van encadenando utilizando el campo de cabecera siguiente que aparece tanto en la cabecera fija como en cada una de las citadas cabeceras de extensión. Como resultado de la secuencia anterior, dichas cabeceras de extensión se tienen que procesar en el mismo orden en el que aparecen en el datagrama. Todas o parte de estas cabeceras de extensión tienen que ubicarse en el datagrama en el orden especificado: Cabecera principal, tiene al contrario que la cabecera de la versión IPv4 un tamaño fijo de 40 octetos. Cabecera de opciones de salto a salto (Hop-by-Hop), transporta información opcional, contiene los datos que deben ser examinados por cada nodo (cualquier sistema con IPv6) a través de la ruta de envío de un paquete. Su código es 0. Cabecera de encaminamiento (Routing), se utiliza para que un origen IPv6 indique uno o más nodos intermedios que se han de visitar en el camino del paquete hacia el destino. El código que utiliza es 43. Encaminamiento desde la fuente. Cabecera de fragmentación (Fragment), hace posible que el origen envíe un paquete más grande de lo que cabría en la MTU de la ruta (unidad máxima de transferencia). Hay que tener en cuenta que al contrario que en IPv4, en IPv6 la fragmentación de un paquete solo se puede realizar en los nodos de origen. El código empleado en esta cabecera es 44. Cabecera de autenticación (Authentication Header), nos sirve para proveer servicios de integridad de datos, autenticación del origen de los datos, antireplay para IP. El código de esta cabecera es 51. Cabecera de encapsulado de seguridad de la carga útil (Encapsulating Security Payload), permiten proveer servicios de integridad de datos. El código al que hace referencia esta cabecera es el 50. Cabecera de opciones para el destino (Destination), se usa para llevar información opcional que necesita ser examinada solamente por los nodos destino del paquete. La última de las cabeceras utiliza el código 60. Cada cabecera de extensión debe aparecer como mucho una sola vez, salvo la cabecera de opción destino, que puede aparecer como mucho dos veces, una antes de la cabecera encaminamiento y otra antes de la cabecera de la capa superior. IPv6 y el Sistema de Nombres de Dominio: Las direcciones IPv6 se representan en el Sistema de Nombres de Dominio (DNS) mediante registros AAAA (también llamados registros de quad-A, por analogía con los registros A para IPv4) El concepto de AAAA fue una de las dos propuestas al tiempo que la arquitectura IPv6 estaba siendo diseñada. La otra propuesta utilizaba registros A6 y otras innovaciones como las etiquetas de cadena de bits (bit-string labels) y los registros DNAME. Mientras que la idea de AAAA es una simple generalización del DNS IPv4, la idea de A6 fue una revisión y puesta a punto del DNS para ser más genérico, y de ahí su complejidad. La RFC 3363 recomienda utilizar registros AAAA hasta tanto se pruebe y estudie exhaustivamente el uso de registros A6. La RFC 3364 realiza una comparación de las ventajas y desventajas de cada tipo de registro.


- 61 -

Despliegue de IPv6: El 20 de julio de 2004 la ICANN anunció que los servidores raíz de DNS de Internet habían sido modificados para soportar ambos protocolos, IPv4 e IPv6. Desventajas: La necesidad de extender un soporte permanente para IPv6 a través de todo Internet y de los dispositivos conectados a ella. Para estar enlazada al universo IPv4 durante la fase de transición, todavía se necesita una dirección IPv4 o algún tipo de NAT (compartición de direcciones IP) en los routers pasarela (IPv6<-->IPv4) que añaden complejidad y que significa que el gran espacio de direcciones prometido por la especificación no podrá ser inmediatamente usado. Problemas restantes de arquitectura, como la falta de acuerdo para un soporte adecuado de IPv6 multihoming. Ventajas:

• Convivencia con IPv4, que hará posible una migración suave. • Gran cantidad de direcciones, que hará virtualmente imposible que queden agotadas. Se

estima que si se repartiesen en toda la superficie de la Tierra habría 6,67x1023 IPs por m². • Direcciones unicast, multicast y anycast. • Formato de cabecera más flexible que en IPv4 para agilizar el encaminamiento. • Nueva etiqueta de flujo para identificar paquetes de un mismo flujo. • No se usa checksum. • La fragmentación se realiza en el nodo origen y el reensamblado se realiza en los nodos

finales, y no en los routers como en IPv4. • Nuevas características de seguridad. IPSEC formará parte del estándar. • Nueva versión de ICMP, que incluye a MLD, el equivalente del IGMP de IPv4. • Auto-configuración de los nodos finales, que permite a un equipo aprender

automáticamente una dirección IPv6 al conectarse a la red. • Movilidad incluida en el estándar, que permitirá cambiar de red sin perder la conectividad.

Mecanismos de transición a IPv6 Ante el agotamiento de las direcciones IPv4, el cambio a IPv6 ya ha comenzado. Durante 20 años se espera que convivan ambos protocolos y que la implantación de IPv6 sea paulatina. Existe una serie de mecanismos que permitirán la convivencia y la migración progresiva tanto de las redes como de los equipos de usuario. En general, los mecanismos de transición pueden clasificarse en tres grupos:

1. Pila dual: La pila dual hace referencia a una solución de nivel IP con pila dual (RFC 2893), que implementa las pilas de ambos protocolos, IPv4 e IPv6, en cada nodo de la red. Cada nodo de pila dual en la red tendrá dos direcciones de red, una IPv4 y otra IPv6.

a. Pros: Fácil de desplegar y extensamente soportado. b. Contras: La topología de red requiere dos tablas de encaminamiento y dos

procesos de encaminamiento. Cada nodo en la red necesita tener actualizadas las dos pilas.

2. Túneles: Los túneles permiten conectarse a redes IPv6 "saltando" sobre redes IPv4. Estos túneles trabajan encapsulando los paquetes IPv6 en paquetes IPv4 teniendo como siguiente capa IP el protocolo número 41, y de ahí el nombre proto-41. De esta manera, los paquetes IPv6 pueden ser enviados sobre una infraestructura IPv4. Hay muchas tecnologías de túneles disponibles. La principal diferencia está en el método que usan los nodos encapsuladores para determinar la dirección a la salida del túnel.

3. Traducción: La traducción es necesaria cuando un nodo solo IPv4 intenta comunicar con un nodo solo IPv6. Los mecanismos de traducción pueden ser divididos en dos grupos basándonos en si la información de estado está guardada:


- 62 -

a. Con estado: NAT-PT[1], TCP-UDP Relay[2], Socks-based Gateway[3] b. Sin estado: Bump-in-the-Stack, Bump-in-the-API[4]

Actualmente el protocolo IPv6 está soportado en la mayoría de los sistemas operativos modernos, en algunos casos como una opción de instalación. Linux, Solaris, Mac OS, NetBSD, OpenBSD, FreeBSD, Windows (2000, XP y VISTA de forma nativa) y Symbian (dispositivos móviles) son sólo algunos de los sistemas operativos que pueden funcionar con IPv6. Anuncios importantes sobre IPv6 En 2003, Nihon Keizai Shimbun informa que Japón, China y Corea del Sur han tomado la determinación de convertirse en las naciones líderes en la tecnología de Internet, que conjuntamente han dado forma parcialmente al desarrollo de IPv6, y que lo adoptarán completamente a partir de 2005. ICANN anunció el 20 de julio de 2004 que los registros AAAA de IPv6 para Japón (.jp) y Corea (.kr) de código de país ya son visibles en los servidores raíz de DNS. El registro IPv6 para Francia fue añadido poco después. El 4 de febrero del 2008 se añade a los servidores raíz de la red (Master Address books) un pequeño número de registros que están escritos en IP versión 6 (IPv6).Esto significa que, por primera vez, las computadoras utilizando IPv6, por lo general, una PC y un servidor, cada una puede encontrar a la otra sin la participación de toda la tecnología IPv4. Desde el 2006 muchos sistemas operativos han estado trabajando IPv6 paralelamente con IPv4, sistemas como GNU/Linux, MAC, Unix y Windows. En 2008 Las redes empresariales que cuenten con Servidores Windows Server 2008 y a Windows Vista como "Cliente" ya utilizaran el protocolo IPv6 para comunicarse entre sí prescindiendo de la tecnologia IPv4, que solo es utilizada para comunicaciones a Internet. Este sistema operativo no es el único ni el primero que utiliza el protocolo IPv6. IPv6 EN INTERNET Internet 2 ha funcionado desde sus inicios con IPv4, sin embargo la tendencia mundial es la migración a IPv6 desde el backbone hasta los equipos terminales. En redes de Internet 2 de américa ya está operando IPv6 en algunos backbones como el de EUA y México. Direcciones IPv6 compatibles con IPv4 Son utilizadas en un mecanismo de transición de IPv4 a IPv6 conocido por túneles dinámicos/automáticos, que consiste básicamente en el envío de paquetes IPv6 sobre infraestructura de encaminamiento IPv4 de forma totalmente transparente, mediante el encapsulamiento del paquete IPv6 en un paquete IPv4. El formato de estas direcciones consiste en los primeros 96 bits a 0, y los otros 32 con la dirección IPv4. Direcciones IPv6 proyectadas desde IPv4 Son utilizadas para representar las direcciones IPv4 en los nodos que sólo soportan IPv4, como direcciones IPv6. Es decir, permiten que los nodos que sólo soportan IPv4, puedan seguir trabajando en IPv6. El formato de estas direcciones consiste en los primeros 80 bits a 0, los siguientes 16 bits a 1, y los últimos 32 bits con la dirección IPv4.


- 63 -

4.2. Comparación Práctica ENCABEZADOS IPv4 ENCABEZADO IPv6 IPv4 son 20 octetos + opciones: 13 campos y 3 bits de bandera; e IPv6 son 40 octetos y 8 campos. IPv6, a veces llamado el protocolo IP de próxima generación ó (IP next generation protocol), fué diseñado por al IETF para reemplazar la versión del protocolo IP actual (v4), que tiene mas de 20 años de uso. La mayoría de las actuales redes usan IPv4, la que está empezando a tener problemas, por ejemplo de direccionamiento. IPv6 arregla estas escaseces de la version 4, incluyendo principalmente el limitado número de IP restantes para asignar. Además agrega muchas mejoras, siendo las principales las siguientes:

• gran cantidad de direccioens de IP, suficientemente calculado; • configuración tipo enchufa y anda, con ó sin el protocolo DHCP; • mejor y mas eficiente uso del ancho de banda usando multicast y anycast sin broadcast; • mejor aplicación de QOS con soporte para todas las aplicaciones; • Framework de seguridad de la información nativo, para los paquetes de datos y de control; • Mobilidad mejorada con handover veloz, major optimización de ruteo y movilidad

jerárquica; La siguiente tabla compara las claves de IPv6 vs. IPv4:

Tema IPv4 IPv6 Ventajas en IPv6

Espacio de

Direcciones

4 Billones de

direcciones 2^128

79 Octillion times the IPv4

address space

Configuración DHCP manual ó

automático

Universal Plug and Play (UPnP)

with or without DHCP

Lower Operation Expenses and

reduce error


- 64 -

Broadcast /

Multicast Usa Ambos

No broadcast and has different

forms of multicast Better bandwidth efficiency

Soporte

Anycast

No es parte del

protocolo Original Explicit support of anycast

Allows new applications in

mobility, data center

Configuración

de la Red

La mayoría

manual de

actividad

intensiva

Facilitate the re-numbering of

hosts and routers

Lower operation expenses and

facilitate migration

Soporte QoS Uso de ToS con

DIFFServ Flow classes and flow labels More Granular control of QoS

Seguridad

Usa IPsec para

protección de

paquetes de

Datos

IPsec becomes the key

technology to protect data and

control packets

Unified framework for security

and more secure computing

environment

Movilidad Usa IPv4 Móvil

IPv6 Móvil entrega handover

veloz , better router optimization

and hierarchical mobility

Better efficiency and scalability;

Work with latest 3G mobile

technologies and beyond.

Few in the industry would argue with the principle that IPv6 represents a m

REVISEMOS ALGUNOS CONCEPTOS ÚTILES PARA ESTE ITEM Recordemos antes de seguir una definición de dirección IP: un número que identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de una red que utilice el protocolo IP. Es habitual que un usuario que se conecta desde su hogar tenga una dirección IP que cambia cada cierto tiempo; eso es una dirección IP dinámica (normalmente se abrevia como IP dinámica). Los sitios de Internet que están permanentemente conectados generalmente tienen una dirección IP fija (se aplica la misma reducción por IP fija), es decir, no cambia con el tiempo y esto facilita la resolución de nombres con el Servicio DNS: los humanos recordamos más fácilmente palabras con sentido que largas secuencias de números, pero las máquinas tienen una gran facilidad para manipular y jerarquizar la información numérica, y son altamente eficientes para hacerlo. Direcciones IPv4 Una dirección IP se representa mediante un número binario de 32 bits (IPv4). Las direcciones IP se expresan como números de notación decimal: se dividen los 32 bits de la dirección en cuatro octetos. El valor decimal máximo de cada octeto es 255 (el número binario de 8 bits más alto es 11111111, y esos bits, de derecha a izquierda, tienen valores decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255 en total).


- 65 -

Hay tres clases de direcciones IP que una organización puede recibir de parte de Internet Assigned Numbers authority (IANA): clase A, clase B y clase C. En la actualidad, IANA reserva las direcciones de clase A para los gobiernos de todo el mundo (aunque en el pasado se le hayan otorgado a empresas de gran envergadura como, por ejemplo, Hewlett Packard) y las direcciones de clase B para las medianas empresas. Se otorgan direcciones de clase C para todos los demás solicitantes. Cada clase de red permite una cantidad fija de equipos (hosts). En una red de clase A, se asigna el primer octeto para identificar la red, reservando los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 224 (menos dos: las direcciones reservadas de broadcast [tres últimos octetos a 255] y de red [tres últimos octetos a 0]), o sea, 16.777.214 hosts. En una red de clase B, se asignan los dos primeros octetos para identificar la red, reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de hosts es 216 (menos dos), o 65.534 hosts. En una red de clase C, se asignan los tres primeros octetos para identificar la red, reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la cantidad máxima de hosts es 28 (menos dos), o 254 hosts. Hay ciertas direcciones en cada clase de dirección IP que no están asignadas y que se denominan "direcciones privadas". Las direcciones privadas pueden ser utilizadas por los hosts que usan traducción de dirección de red (NAT), o un servidor proxy, para conectarse a una red pública, o por los hosts que no se conectan a Internet. A partir de 1993, ante la previsible futura escasez de direcciones IPv4 debido al crecimiento exponencial de hosts en Internet, se empezó a introducir el sistema CIDR, que pretende en líneas generales establecer una distribución de direcciones más fina y granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas posibles, para rodear el problema que las distribución por clases había estado gestando. Este sistema es, de hecho, el empleado actualmente para la delegación de direcciones. Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan conectividad externa. En las redes de gran tamaño, a menudo se usa TCP/IP, aunque la conectividad de capa de red no sea necesaria fuera de la red. Los bancos son buenos ejemplos; pueden utilizar TCP/IP para conectar los cajeros automáticos (ATM). Estas máquinas no se conectan a la red pública, de manera que las direcciones privadas son ideales para ellas. Las direcciones privadas también se pueden utilizar en una red en la que no hay suficientes direcciones públicas disponibles. Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones de red (NAT) o servidor proxy para suministrar conectividad a todos los hosts de una red que tiene relativamente pocas direcciones públicas disponibles. Según lo acordado, cualquier tráfico que posea una dirección destino dentro de uno de los intervalos de direcciones privadas NO se enrutará a través de Internet. La expresión de direcciones IPv4 es decimal, y se separa cada octeto por un carácter ".". Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo algunas excepciones. Los ceros iniciales, si los hubiera, se pueden obviar. Ejemplo de representación de dirección IPv4: 164.12.123.65 Direcciones IPv6 La función de la dirección IPv6 es exactamente la misma, pero dentro del protocolo IPv6. Está compuesta por 8 segmentos de 2 bytes cada uno, que suman un total de 128 bits, el equivalente a unos 3.4x1038 hosts direccionables. La ventaja con respecto a la dirección IPv4 es obvia en cuanto a su capacidad de direccionamiento.


- 66 -

Su representación es hexadecimal, y para la separación de cada par de octetos se emplea el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas acerca de la representación de direcciones IPv6 son: Los ceros iniciales, como en IPv4, se pueden obviar. Ejemplo: 2001:0123:0004:00ab:0cde:3403:0001:0063 -> 2001:123:4:ab:cde:3403:1:63 Los bloques contiguos de ceros se pueden comprimir empleando "::". Esta operación sólo se puede hacer UNA vez. Ejemplo: 2001:0:0:0:0:0:0:4 -> 2001::4. Ejemplo NO válido: 2001:0:0:0:2:0:0:1 -> 2001::2::1 (debería ser 2001::2:0:0:1 ó 2001:0:0:0:2::1). También hay la posibilidad de que un usuario doméstico de Internet cuente con una dirección IP fija. Esto depende de si su ISP (proveedor de Internet) utiliza DHCP (Dynamic Host Configuration Protocol) o no. Si emplea DHCP, entonces la dirección IP sí va a cambiar. Fuente: http://es.wikipedia.org/ VEAMOS UN ARTÍCULO DE INTERÉS AL RESPECTO Título: “advertencia sobre los límites de las direcciones en Internet” según Vint Cerf (uno de los creadores de Internet). Los proveedores de servicios de Internet necesitan urgente el lanzamiento de la las direcciones de IP de próxima generación para los dispositivos conecgtados on-line, según el pionero de Internet Vint Cerf. Todo dispositivo que está en línea tiene asociada una dirección de IP, pero el conjunto de números es finito y estaría acabado alrededor de 2010. un nuevo sistema llamado IPv6, se ha estado preparando por 10 años. Excepto que este nuevo sistema IPv6 sea puesto en marcha en los próximos años, algunos dispositivos no podrán conectarse en línea. Según el Sr. Cerf, quien además jugó un papel muy importante en el desarrollo de protocolos que rigen hoy la red global, “hay un riego de limitar los equipos de conexión” Agregó además: “el promedio de consumo de los números de IPv4 disponibles aparece acabado para 2010/2011.” El Sr. Cerf está a punto de dejar su puesto de Número 1 de Icann, el cuerpo que monitorea Internet, y es también un “evangelista” jefe en Google. Corta Edad POTENCIAL EL actual sistema, llamado IPv4 provee 4 billones de direcciones pero la explosión en la cantidad de dispositivos que están en línea ha puesto un plazo a este IPv4. Mientas las computadoras, servidores, routers, y otros dispositivos modernos son compatibles con IPv6, los proveedores de servicios de Internet no han implementado el IPv6 aún. “la razón por la que no han implementado es muy entendible, es que los clientes no han solicitado por ella aún”, dice el Sr. Cerf, y agrega “mi trabajo, es persuadir a los clientes que empiecen a pedir por IPv6”. “Si Ud. no pide por ella, entonces no habrá servicio probablemente”. IPv6 creará 340 trillones de trillones de trillones de direcciones, suficiente para satisfacer la demanda para las décadas que vienen. “para ser claro, si finalmente dejamos sin direcciones al IPv4, no significa que la Internet deje de trabajar. Pero las personas que requieran nuevas direcciones no las tendrán”. Si hay una Internet que no soporte IPv6, y además no puede obtener una IPv4, entonces no tendrá acceso a la red.


- 67 -

“la apreciación de la importancia de migrar a IPv6 está siendo cada vez mas visible. Se está anticipando en 2008 un importante crecimiento de las implementaciones de IPv6, en paralelo con IPv4. Un factor que complica es que IPv6 e IPv4 no son compatibles, entonces un ISP ó Internet service provider tendrá que correr los dos sistemas en paralelo, con el agregado de costos que esto significa. Los gobiernos de Asia (China, Korea y Japón) empezaron a liderar las implementaciones de IPv6 y la UE está en camino. CASO PRÁCTICO IPv4

IPv6

Dinamismo de Redes (Sistemas Operativos II)

Documents

Transcript of Dinamismo de Redes (Sistemas Operativos II)