ESCUELA POLITÉCNIC NACIONAA L - EPN: Página de...

ESCUELA POLITÉCNICA NACIONAL

ESCUELA DE INGENIERÍA

SISTEMAS AUTÓNOMOS PARA PROVEEDORES DE SERVICIODE INTERNET

PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO ENELECTRÓNICA Y TELECOMUNICACIONES

HUGO IVAN PROAÑO AYABACA

DIRECTOR: ING. PABLO HIDALGO

Quito, Noviembre 2001

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Hugo Iván Proaño

Ayabaca, bajo mi supervisión.

Ing. Pablo Hidalgo Lnsran

DIRECTOR DE PROYECTO

DECLARACIÓN

Yo, Hugo Iván Proaño Ayabaca, declaro que el trabajo aquí descrito es de mi

autoría; que no ha sido previamente presentado para ningún grado o calificación

profesional; y, que he consultado las referencias bibliográficas que se incluyen

en este documento.

La Escuela Politécnica Nacional, puede hacer uso de los derechos

correspondientes a este trabajo, según lo establecido por la Ley, Reglamento de

Propiedad Intelectual y por la normatividad institucional vigente.

Hugo Iván Proaño Ayabaca

A mi esposa Lizette:

Mi compañera y amiga

A mis Padres:

Los espejos en loscuales trato deReflejarme

A mi Padre: José ProañoQue me enseñó que estamos aquí para hacernos másfácil la vida los unos a los otros, y que la adversidadpuede ser un regalo.

A mi Madre: María de Lourdes AyabacaQue me enseña a sobrevivir y a aceptar las nuevasdirectivas de Dios.

A mi Esposa: Lizette GavilanesEl ser humano contemporáneo más importante de mivida.

Y a mis Hermanos: Edison, Byron y SantiagoGracias a los tres por vuestra habilidad paciencia ysabiduría.

ÍNDICE

Pag.

índice

índice de figuras viii

índice de Tablas xi

Resumen

Descripción General xii

Presentación

Perspectivas Actuales xv

Objetivos xvi

Alcances xvi

CAPITULO I

Introducción a las redes

1.1 Introducción al Modelo OSI 1

1.2 Concepto del Modelo OSI 1

1.3 Capas del Modelo OSI 2

1.3.1 Características Generales del Modelo OSI 3

1.3.2 Capa Física 3

1.3.3 Capa Enlace 4

1.3.4 Capa Red 6

1.3.5 Capa Transporte 7

1.3.6 Capa Sesión 8

1.3.7 Capa Presentación 9

1.3.8 Capa Aplicación 9

1.3.9 Trabajo de las Capasen el Modelo OSI 10

1.4 Protocolos TCP/IP 12

1.4.1 Introducción 12

1.4.2 Origen de los Protocolos TCP/IP 13

1.5 Estructura del modelo TCP/IP 13

1.6 IP (Internet Protoco!) 14

1.6.1 Encabezado de Datagrama del Protocolo Internet 16

1.6.2 Clases y números de opción válidos para encabezados IP 18

1.7 TCP (Transmission Control Protocol) 19

1.8 El Direccionamiento IP 22

1.9 La máscara de Subred 25

1.10 Comparación de los modelos OSI y TCP/IP 28

Referencias Bibliográficas 31

CAPÍTULO II

Protocolos de Encaminamiento

2.1 Introducción 32

2.2 Métodos de Encaminamiento 36

2.2.1 Conceptos Básicos 36

2.2.2 Clasificación de los Métodos de Encaminamiento 38

2.2.2.1 En función de donde se decide encaminar 38

2.2.2.2 En función de la adaptabilidad 41

2.2.2.3 Comparación de los Métodos de Encaminamiento 46

2.3 Algoritmos de Encaminamiento 46

2,3.1 Introducción 46

2.3.1.1 Algoritmo de camino más corto 46

2.3.1.2 Algoritmos aislados 47

u

2.3.1.3 Algoritmos de difusión 47

2.3.2 Teoría de Grafos 48

2.3.2.1 Árbol de expansión (Spanning Tree) de una red 49

2.3.2.2 Árbol de expansión de costo o distancia mínima (Minimun

Spanning Tree) 49

2.3.2.3 Árbol divergente (Sink Tree) de un nodo 50

2.3.3 Algoritmo de Dijkstra 51

2.3.4 Algoritmo de Floyd-Marshall 55

2.3.5 Algoritmo de Bellman-Ford 57

2.3.6 Algoritmo de Bellman-Ford Distribuido 61

2.3.7 Algoritmos de Inundación 64

2.3.8 Algoritmo de Aprendizaje hacia Atrás 65

2.4 Ambiente de enrutamiento 67

2.5 Enrutamiento Interior 68

2.5.1 RIP (Routing Information Protocof) 68

2.5.2 IGRP (Interior Gateway Routing Protocof) 69

2.5.3 OSPF (Open Shortest Path First) 70

2.5.4 IS-IS (Intermedíate System-Intermedíate System) 70

2.5.5 Enrutamiento Exterior 71

2.5.5.1 EGP (Exterior Gateway Protocof) 71

2.5.5.2 BGP (Border Gateway Protocol) 72


CAPITULO III

Sistemas Autónomos y BGP4


3.2 Conceptos Generales 75

3.2.1 Definición de Sistema Autónomo 75

111

3.2.2 Definición de Backbone 75

3.2.3 Definición de Dominio 76

3.2.4 Interacción entre dos Sistemas Autónomos 77

3.3 Problemas que se presentan en la asignación de Sistemas Autónomos. 79

3.4 Cuando es necesario crear un Sistema Autónomo ? 80

3.4.1 Intercambio de información de ruteo externo 81

3.4.2 Existencia de muchos prefijos en un Sistema Autónomo SA 81

3.4.3 Requerimientos de una única política de enrutamiento 81

3.5 Guía de Creación de un Sistema Autónomo 81

3.5.1 Formularios para la obtención de un Sistema Autónomo 82

3.5.1.1 Formulario para una empresa Privada 82

3.5.1.2 Formulario para una empresa del Gobierno o Militar 83

3.5.2 Numeración de los Sistemas Autónomos 85

3.5.3 Costos de un Sistema Autónomo 86

3.5.4 Sistemas Autónomos en el Mundo 87

3.6 Introducción a una Sesión de BGP 87

3.6.1 Definición de Border Gateway Protocol 90

3.7 Tipo de Mensajes del Protocolo BGP 91

3.7.1 Common Header- Cabecera Común 91

3.7.2 Mensaje OPEA/ 92

3.7.3 Mensaje UPDATE 94

3.7.4 Mensaje NOTIFICATION 95

3.7.5 Mensaje KEEPALIVE 98

3.8 Modelo Conceptual de Operación de BGP4 99

3.9 Atributos de Base Estándar del Protocolo BGP4 100

3.9.1 Atributo OR/G/A/ 100

3.9.2 Atributo AS-PATH 100

3.9.3 Atributo NEXT-HOP 100

3.9.4 Atributo MULTI-EXIT-DISCRIMINATOR 100

3.9.5 Atributo LOCAL-PREF 100

3.9.6 Atributo ATOMIC-AGGREGATE 101

IV

3.9.7 Atributo AGGREGATOR 101

3.10 Interior BGP vs. Exterior BGP 101

3.11 Procesos de Selección de una ruta BGP 106


CAPÍTULO IV

Caso de Estudio


4.2 Componentes de un ISP 110

4.2.1 Servicios Básicos de un ISP 111

4.2.1.1 Servicios de información en línea 111

4.2.1.2 Acceso a base de datos 112

4.2.1.3 Oficina Virtual 112

4.2.1.4 Servicios de correo electrónico 113

4.2.1.5 Transferencia de archivos 113

4.2.1.6 Servicio de DNS 114

4.2.1.7 Servicio de Web Hosting y Web Housing 114

4.2.1.8 Servicios de teleacción: telealarmas, telecontrol, telemedia,

teleseguridad, telemedicina, etc 114

4.2.1.9 Comercio electrónico 115

4.3 Descripción General 116

4.3.1 RADIUS Server 117

4.3.2 Servidores WEB 117

4.3.3 Servidor Proxy 118

4.3.4 Servidores de correo 118

4.3.5 Servidores de noticias 118

4.3.6 Servidores de terminales 118

4.3.7 Mirror Servers 119

4.3.8 Enlaces E1 con Andinatel y Pacifictel 119

4.3.9 Enlace Internacional 119

4.3.10 Enlaces Nacionales 120

4.3.11 Enlace a clientes 121

4.4 Detalle del nodo 122

4.4.1 Equipos de computación: Servidores 122

4.4.1.1 Definición de Firewall 125

4.4.2 Equipos y Tecnologías de comunicación 127

4.4.2.1 Network Access Servar (ÑAS) 127

4.4.2.2 Modems 127

a) Tipo de Modulación 127

b) Velocidad de Transmisión 128

c) Sistemas de seguridad 128

d) Normalización 129

e) Estándares 129

4.4.2.3 RDSIoISDN 131

a) Canales digitales 132

a1) Canal B (Bearer) 132

a2) Canal D (Señalización) 132

a3) Canal H 132

b) Accesos 132

b1) Acceso Básico (2B+D) 133

b2) Acceso Primario (30B+D) 133

4.4.2.4 Routers 134

4.5 Esquema Total 135

4.6 Tolerancia a Fallos 137

4.6.1 Servidores de Respaldo 137

4.6.2 Enlaces Redundantes 139

4.7 Direcciones de red del ISP y Ancho de Banda del ISP 140

4.8 Definición del Sistema Autónomo 140

4.9 Requerimientos para el funcionamiento del Sistema Autónomo 141

VI

4.10 Programación del Sistema Autónomo 144

4.10.1 Configuración del Routerde\o Local 145

4.10.2 Configuración del Router6e\o Internacional 147

4.10.3 Configuración del Routerde\o Backup 149

4.11 Costos referenciales de la Infraestructura de un ISP para el caso

demostrativo 150


CAPITULO V

Conclusiones y recomendaciones

5.1 Conclusiones 155

5.2 Recomendaciones 161

Bibliografía 163

Anexos

A1 RFC 1655

A2 Formulario para empresas Privadas

A3 Formulario para empresas del Gobierno o Militares

A4 Lista parcial de Sistemas Autónomos creados en el Internet

A5 Características generales de un Firewall (CISCO PIX)

A6 Implementación de un Firewall bajo la Plataforma Linux

A7 Características del Router CISCO 2500 y SWITCH CISCO 1548M

Vil

ÍNDICE DE FIGURAS

RESUMEN

i Esquema General de un ISP xiü

CAPITULO I

1.1 Capas del Modelo OSI 2

1.2 Operación de las capas del modelo OSI 11

1.3 Formato del datagrama IP 16

1.4 Segmento TCP 19

1.5 Estructuras de las direcciones IP 22

1.6 Modelo OSI vsTCP/IP 29

1.7 Familia de protocolos TCP/IP 30

CAPITULO II

2.1 Esquema de un nodo de conmutación 36

2.2 Ejemplo de gráfico de Nodos 37

2.3 Ejemplo de Encaminamiento salto a salto 39

2.4 Ejemplo del vector de distancias 43

2.5 Ejemplo para la teoría de gratos 48

2.6 Ejemplo de árbol de expansión para la red anterior 49

2.7 Árbol de expansión de distancia mínima 50

2.8 Árbol divergente para el nodo A 51

2.9 Ejemplo del Algoritmo de Dijkstra 53

2.10 Otro ejemplo de Algoritmo de Dijsktra 54

VIH

2.11 Ejemplo de Algoritmo de Floyd-Marshall 56

2.12 Matriz de distancias 56

2.13 Ejemplo para el análisis de Bellman/Ford 59

2.14 Distancia con n=0 59




2.18 Ejemplo de Algoritmo de Bellman-Ford Distribuido 63

2.19 Ejemplo de Algoritmo de Aprendizaje 66

2.20 Representación de la Arquitectura de Internet 68

2.21 EGP y los Sistemas Autónomos 72

CAPÍTULO III

3.1 Cabecera Común 91

3.2 Mensaje OPEN. 92

3.3 Mensaje ÚRDATE 95

3.4 Prefijo IP 95

3.5 Mensaje NOTIFICATION 96

3.6 Ejemplo de E-BGP versus I-BGP 102

3.7 Comparando I-BGP y E-BGP 103

3.8 Conexión completa de I-BGP 104

3.9 Topología física para I-BGP 105

CAPITULO IV

4.1 Esquema del enlace Internacional a Internet 120

4.2 Enlace Nacional 121

4.3 Enlace Dial-Up con clientes 122

IX

4.4 Esquema Total 136

4.5 Tolerancia a Fallos 138

4.6 Enlace Redundante 139

4.7 Enlace Proveedor Internacional 139

4.8 Sistemas Autónomos 141

4.9 Análisis SNMP para un NAs de 2 E1 's 143

4.10 Configuración de Nodos 145

ÍNDICE DE TABLAS

CAPÍTULO I

1.1 Direcciones de Subredes 28

CAPITULO II

2.1 Definición de Mejor Ruta y Métrica 33

2.2 Tabla de Encaminamiento del NODO D 38

2.3 Tabla de Encaminamiento para los nodos A y B 39

2.4 Tabla de Encaminamiento Source-Routing para los nodos A-B 40

2.5 Comparación entre Salto a Salto y Fijado en el Origen 40

2.6 Comparación de Métodos de Encaminamiento 46

CAPITULO III

3.1 Formulario para empresa privada 82

3.2 Formulario para empresa Militar o del Gobierno 85

CAPITULO IV

4.1 Direcciones IP para el ISP local 140

4.2 Detalle de costos de Banda Satelital, Última milla y T1 151

4.3 Detalle de costos del nodo satelital 151

4.4 Detalle de costos por equipo del ISP 151

4.5 Detalle de Inversión (un solo pago) 152

4.6 Pago Mensual 153

XI

RESUMEN

Descripción General

Este proyecto de titulación es una contribución teórica, que presenta los

lineamientos para la implementación práctica de un Sistema Autónomo en el

país.

Los lineamientos marcados en este proyecto, en primer lugar muestran un

marco teórico de las tecnologías a utilizarse para luego dar a conocer el porque

de utilizar Sistemas Autónomos para los proveedores de Servicio de Internet;

adicionalmente se da a conocer las ventajas y desventajas de este Sistema, así

como también el procedimiento a seguir para la obtención del mismo.

Para la definición y puesta en marcha de un Sistema Autónomo se necesitarán

stock de protocolos de Encaminamiento tales como Bordar Gateway Protocol y

el stock de Protocolos de Internet que es TCP/IP. Se analizará los componentes

básicos que se deben tener para poder operar un ISP en el país.

Un ISP debe tener los siguientes componentes:

• Red Local, con sus respectivos servidores; Radius Server, Mail Server,

Cache Server, DNS Server, Web Server, FTP Server, News Server.

• Infraestructura de Comunicación Satelital del enlace Principal: Modem

Satelital, Amplificador de Potencia con decodificador HPA, Antena

Satelital, Router, Switch.

• Acceso a la nube de Internet con el Proveedor Internacional: Ultima milla

con el Proveedor Internacional, Acceso al backbone de Internet.

• Enlace de backup hacia la nube de Internet: Modem Satelital,

Amplificador de Potencia con decodificador HPA, Antena Satelital, Router,

Switch.

Xll

Enlaces de E1's (canales digitales) con el proveedor autorizado de

telefonía en el País (en el caso de la Sierra es Andinatel, para la Costa es

Pacifictel y para el Austro es Etapa).

Enlaces de Backup sobre los servidores.

ACCESO A LA NUBE DEINTERNET

INFRAESTRUCTURASATELITAL

ISP

RED LOCAL

ACCESO A LA NUBE DEINTERNET

Switch

Figura i Esquema General de un ISP

En el Capítulo 1, "Introducción a las redes", aquí se presentan los conceptos

básicos de redes, como el modelo OSl y el modelo TCP/IP, además de cómo

están estructurados los dos modelos con sus respectivas comparaciones

En el Capítulo 2, "Protocolos de Encaminamiento", presenta una visión sobre los

protocolos de ruteo, su clasificación, su funcionamiento y sus algoritmos en los

que se basa los diferentes protocolos de comunicación, existentes en la

actualidad.

Xl l l

En el Capitulo 3, "Sistemas Autónomos y BGP4", describe los conceptos

básicos, su definición y funcionamiento dentro de la gran red de Internet.

Además de su operación conjunta con el protocolo BGP.

En el Capítulo 4, "Caso de Estudio", Se presentará un diseño de un Sistema

Autónomo con un ISP local y un proveedor Internacional, para esto se prevé de

un enlace de Backup con el Proveedor Internacional, además de la definición del

mismo y la programación de los equipos de los diferentes nodos.

Capitulo 5, Conclusiones y Recomendaciones

Bibliografía

XIV

PRESENTACIÓN

PERSPECTIVAS ACTUALES

El acelerado crecimiento tecnológico que las comunicaciones han venido

sufriendo, obliga a que las empresas Proveedoras de Internet optimicen su

infraestructura en busca de nuevas tecnologías con altos rendimientos de

eficiencia y automatización, preparándose de esta manera para un futuro muy

competitivo.

Los proveedores de Servicio de Internet que brindan servicios de valor agregado

en el País se ven en la necesidad de automatizar sus enlaces con los

proveedores Internacionales, quienes tienen ya estructurado dentro de la nube

sistemas autónomos entre todos ellos.

Los proveedores locales no cuentan con sistemas autónomos, por lo que se

dificulta la administración del mismo y desmejora el rendimiento de la red; al no

existir el ruteo automático, obliga a los administradores de red a trabajar en

forma manual sobre la comunicación global que mantienen con los proveedores

Internacionales

Son éstos los motivos que impulsan a buscar en el presente, un proyecto que

permita analizar y diseñar de un Sistema Autónomo con ciertas características,

que brinda un esquema automático de ruteo dentro de la nube de Internet; esta

alternativa se ha visto que se puede alcanzar con la utilización de la tecnología

BGP4 y el stock de protocolos estándar de Internet que es el TCP/IP.

XV

OBJETIVOS

• Elaborar el análisis, diseño y descripción de los elementos de la

infraestructura para la implementación de un Sistema Autónomo para una

empresa distribuidora de Internet modelo (ISP), con el fin de mejorar la

administración de la red, Optimización del uso del Ancho de Banda de los

diferentes enlaces, como también la Tolerancia a Fallos en los enlaces de

comunicación en donde se tenga redundancia, además lograr la

independencia de otros ISP's

• Diseñar un Sistema Autónomo para proveedores locales de Servicio de

Internet (ISP) en el País sobre la gran red mundial de Internet.

• Realizar el estudio para la implementación de protocolos de enrutamiento

para Sistemas Autónomos como son EGP, BGP4 (Border Gateway Protocol)

sobre Empresas que proveen Internet, con otros Sistemas Autónomos.

• Determinar los requerimientos actuales para la implementación del Sistema

Autónomo sobre el proveedor local.

• Definir los lineamientos y procedimientos sobre la obtención del Sistema

Autónomo sobre el NIC Internacional.

ALCANCES

• Llegar a determinar el procedimiento para que un Proveedor de Servicio de

Internet, llegue a ser un Sistema Autónomo dentro de la red de Internet.

XVI

Establecer los protocolos a utilizarse para la imptementación del Sistema

Autónomo

Determinar los elementos de un Proveedor de Servicio de Internet, partiendo

de una demanda proporcionada por la Empresa TelcoNET.

Elaborar la programación del Sistema Autónomo en los diferentes equipos de

Comunicación tanto a nivel local como Internacional.

Tener una análisis de costos sobre la infraestructura del ISP y del valor a

pagar sobre ARIN para la implementación del Sistema Autónomo.

XVll

Capítulo I

Introducción a las Redes

1.1 Introducción al Modelo OSI

Un proceso de comunicación de datos es un proceso muy común, que en

ocasiones, incluso aquellas personas distanciadas del mundo de la

computación la utilizan y se ven en la necesidad de manejar y transmitir

información.

Es evidente que para el progreso y desarrollo de la sociedad son necesarios

la divulgación y el manejo de la información; pero en ocasiones el manejo y

la transmisión de los datos resulta distorsionada, por lo que los usuarios

deben asegurarse que sus datos se entreguen y reciban de manera

adecuada. Es necesario que los datos tengan un formato claro y eficiente, por

lo que se debe verificar los servicios que involucra la comunicación, tales

como los protocolos de traducción de formatos, códigos y sintaxis de los

lenguajes entre una computadora emisora y una receptora.

Es aquí donde el Modelo de Referencia de Interconexión de Sistemas

Abiertos (OSI) cobra la importancia que se merece, al permitir que sistemas

de computación diferentes se interconecten e interoperen, gracias a reglas

preestablecidas que deben ir cumpliéndose nivel a nivel para su total

desempeño logrando el concepto de Internetworking.

1.2 Concepto del Modelo OSI [1-1J

El Modelo de Referencia de Interconexión de Sistemas Abiertos, conocido

mundialmente como Modelo OS/ (Open System Interconnection), fue creado

por la Organización Internacional de Estandarización (ISO) y en él pueden

modelarse o referenciarse diversos dispositivos que reglamenta la ITU (Unión

Internacional de Telecomunicaciones), con el fin de poner orden entre todos

los sistemas y componentes requeridos en la transmisión de datos, además

de simplificar la interrelación entre fabricantes. Así, todo dispositivo de

cómputo y telecomunicaciones podrá ser referenciado al modelo y por ende

concebido como parte de un sistema interdependiente con características

muy precisas en cada nivel. Esta idea da la pauta para comprender que el

modelo OSI existe potencialmente en todo sistema de cómputo y

telecomunicaciones, pero que solo cobra importancia al momento de concebir

o llevar a cabo la transmisión de datos.

1.3 Capas del Modelo OSI[1-21Í1-3J

La mayoría de las redes se organizan en una serie de capas o niveles, con

objeto de reducir la complejidad de su diseño, construyéndose cada una de

ellas sobre su predecesora. El número de capas, el nombre, contenido y

función de cada una varían de una red a otra. Sin embargo en cualquier red

el propósito de cada capa es ofrecer ciertos servicios a las capas superiores,

liberándolas del conocimiento detallado sobre cómo se realizan dichos

servicios.

El modelo de referencia OSI[1'1] presenta siete capas como se muestra en lafigura 1.1

CAPA DE APLICACIÓN

CAPA DE PRESENTACIÓN

CAPA DE TRANSPORTE

Figura 1.1 Capas del Modelo OSI

1.3.1 Características Generales del Modelo OS/

• Cada una de las capas desempeña funciones bien definidas.

• Una capa se creará en situaciones en donde se necesita un nivel de

abstracción.

• Los servicios proporcionados por cada nivel son utilizados por el nivel

superior.

• Existe una comunicación virtual entre 2 capas similares, de manera

horizontal.

• La función que realizará cada capa deberá seleccionarse con la intención

de definir protocolos normalizados internacionalmente.

• Existe una comunicación vertical entre una capa de nivel N y la capa de

nivel N +1.

• La comunicación física se lleva a cabo entre las capas de nivel 1.

• El número de capas deberá ser lo suficientemente grande para que

funciones diferentes no tengan que ponerse juntas en la misma capa, y

por otra parte también deberá ser lo suficientemente pequeño para que su

arquitectura no llegue a ser difícil de manejar.

1.3.2 Capa Física

Es el primer nivel del modelo OSI y en él se definen y se reglamentan todas

las características físicas-mecánicas y eléctricas que debe cumplir e! sistema

para poder operar. Como es el nivel más bajo, éste se encargará de las

comunicaciones físicas entre dispositivos, así como de cuidar su correcta

operación. Es bien conocido que la información computarizada es procesada

y transmitida en forma digital siendo ésta de bits: 1 y 0. Por esta razón, toda

aplicación que se desee enviar, será transmitida en forma serial mediante la

representación de unos y ceros.

En este nivel, se encuentran reglamentados los interíaces de sistemas de

cómputo y telecomunicaciones (RS-232 o V.24, V.35, etc.) así como los tipos

de conectores o ensambles mecánicos asociados a los interíaces (DB-25 y

RJ-45 para RS-232 o V.24, y BNC de 75 ohms para G.703)

Debajo del nivel 1 del modelo OSI o nivel físico se ubican todos los medios

de transmisión de los sistemas de telecomunicaciones para el mundo WAN

(Wide Área Network), tales como sistemas satelitales, microondas,

radioenlaces, canales digitales y líneas privadas, así como los medios de

transmisión para redes de área local (LAN: Local Área Network), cables de

cobre (UTP.STP) y fibra óptica. Igualmente, en este nivel se ubican todos

aquellos dispositivos pasivos y activos que permiten la conexión de los

medios de comunicación como repetidores de redes LAN, repetidores de

microondas y fibra óptica, conmutadores de circuitos físicos de telefonía o

datos, equipos de modulación y demodulación (modems).

En resumen se dice que la capa Física transmite el flujo de bits sobre un

medio físico, en el que se realiza la adaptación de las señales de los

dispositivos.

1.3.3 Capa Enlace

Conocida también como nivel de Trama (Frame) o Marco, se encarga de

preparar la información codificada en forma binaria en formatos previamente

definidos por el protocolo a utilizar.

Tiene su aplicación en el contexto de redes WAN y LAN, ya que como se

estableció previamente la transmisión de datos no es mas que el envío en

forma ordenada de bits de información. Se podría de hecho concebir a ésta

como una cadena de bits que marchan en una fila inmensa (para el caso de

transmisiones seriales), cadena que carece de significado hasta el momento

en que las señales binarias se agrupan bajo reglas, a fin de permitir su

interpretación en el lado receptor de una manera constante.

Este nivel ensambla los datos en tramas y los transmite a través del medio

(LAN o WAN). Es el encargado de ofrecer un control de flujo entre tramas, así

como un mecanismo para control de errores. Es en este nivel y mediante

algoritmos como CRC1 (Cyclic Redundancy Check), donde se podrá validar la

integridad física de la trama.

En el nivel enlace de datos se lleva a cabo el direccionamiento físico de la

información; es decir, se leerán los encabezados que definen las direcciones

de los nodos (para el caso WAN) o de los segmentos (para el caso LAN) por

donde viajarán las tramas. Se dice que son direcciones físicas ya que las

direcciones lógicas o de la aplicación que se pretende transmitir serán

direccionadas o enruladas en un nivel superior llamado nivel de red. En este

nivel de enlace sólo se da tratamiento a las direcciones MAC (Media Access

Control) para el caso de LAN y a las direcciones de las tramas síncronas

como HDLC2 (High-Level Data Link Controf), SDLC3 (Synchronous Data Link

Control, de IBM), LAP-B (Link Access Procedure Balance) por citar algunos

para el caso WAN.

Como se ha expuesto hasta este momento, en el nivel dos del modelo OSI o

nivel de enlace, se definen los protocolos que manejan tramas como HDLC,

SDLC, LAP-B, direcciones MAC, LLC, estándares de red como Token Ring,

Ethernet, FDDI, ya que estos últimos manejan tramas específicas que

involucran direcciones MAC. Las topologías de Bus, Anillo o Estrella se

pueden referenciar al nivel físico del modelo OSI, ya que son consideradas

infraestructuras de transmisión antes que protocolos y por lo tanto carecen de

direcciones.

No sólo se puede referenciar protocolos al nivel de enlace del modelo OSI,

también hay dispositivos como los puentes LAN (Bridges4), que por su

funcionamiento (operación con base en direcciones MAC únicamente) se les

puede ubicar en este nivel del modelo de referencia. El puente, a diferencia

1 CRC, Método de control de errores que emplea redundancia cíclica.2 HDLC, Control de enlace de datos de alto nivel.3 SDLC, Control de enlace de datos Sincrónicos.4 Bridges, se usan para interconectar redes locales, trabaja en el nivel de enlace.

del repetidor, puede segmentar y direccionar estaciones de trabajo en función

de la lectura e interpretación de las direcciones físicas de cada dispositivo

conectado a la red.

En resumen, se puede decir que la capa de Enlace de Datos es aquella que

transmite la información como grupos de bits, o sea que transforma los bits

en trames, por lo cual si se recibe una trama se espera un conjunto de

señales para convertirlas en caracteres, en cambio si se manda una trama se

convierte directamente cada carácter en señales ya sean digitales o

analógicas.

1.3.4 Capa Red

Encargada del enrutamiento de los paquetes dentro de la red. En este nivel la

unidad de información ya no es la trama - propia del nivel de enlace de datos

- sino el paquete o en su caso el datagrama.

Se le denomina paquete cuando se hace uso de un servicio orientado a

conexión, que significa utilizar circuitos virtuales cuyo caso típico es el del

protocolo X.25. Se denomina datagrama cuando se hace uso de un servicio

no orientado a conexión, donde el protocolo IP es el más representativo.

En este nivel no sólo se lleva a cabo el enrutamiento de los paquetes o

datagramas, también se realiza el direccionamiento de la aplicación, conocido

como direccionamiento lógico.

En esta capa se conoce hacia donde va, pero no se sabe por donde se irá, es

aquí donde los protocolos de enrutamiento como RIP5 (Routing Information

Protocof), OSPF (Open Shortest Path First), IGRP (Interior Gateway Routing

Protocof), entre otros, que viven en este nivel del modelo OSI, decidirán cual

es la mejor ruta. Esta decisión se lleva a cabo con base en el costo de la ruta

5 RIP, OSPF, IGRP, Protocolos de Enrutamiento

(métrica), número de nodos intermedios y cantidad de tráfico que se

encuentre cursando una ruta específica. Una cosa es "a dónde se va" y otra

distinta "por dónde se va".

En este nivel del modelo de referencia de la red se lleva a cabo el

direccionamiento de la aplicación mediante direcciones lógicas (no físicas),

las cuales según el protocolo indicarán no sólo el nodo de conmutación de la

red de transporte, sino la dirección final del usuario; ésta puede ser una

estación de trabajo o algún dispositivo bien determinado que se encuentre en

un segmento de red. Un caso de dirección lógica es el direccionamiento IP

(Internet Protocof), el cual representa a un usuario específico en una red, y

otro nivel representa también una dirección física del segmento o nodo al que

pertenece.

En resumen, la capa red se encarga del manejo de la información de

enrutador e interceptores, así como de manejar el Hardware, ruteadores,

multiplexores para mejorar el enrutamiento de los paquetes.

1.3.5 Capa Transporte

En esta capa se realiza y se garantiza la calidad de la comunicación, ya que

asegura la integridad de los datos. Es aquí donde se realizan las

retransmisiones cuando la información fue corrompida o porque alguna trama

(del nivel 2) detectó errores en el formato y se requiere volver a enviar el

paquete o datagrama.

El nivel transporte notifica a las capas superiores si se está logrando la

calidad requerida. Este nivel utiliza reconocimientos, números de secuencia y

control de flujo.

Los protocolos TCP (Transmission Control Protocof} y UDP (User Datagram

Profoco/) son ejemplos de protocolos de capa de transporte, al igual que SPX

(Sequenced Packet Exchange) de Novell.

En resumen, se dice que la capa Transporte determina la integridad de datos

de extremo a extremo; esto es, se encarga el flujo de datos del transmisor al

receptor verificando la integridad de los mismos por medio de algoritmos de

detección y corrección de errores.

1.3.6 Capa Sesión

Esta capa es la encargada de proveer servicios de conexión entre las

aplicaciones, tales como iniciar, mantener y finalizar una sesión. Establece,

mantiene, sincroniza y administra el diálogo entre aplicaciones remotas.

Cuando se establece una comunicación y se solicita un comando como login,

se está iniciando una sesión con un host remoto y se puede referenciar esta

función con el nivel de sesión del modelo OSI. Del mismo modo, cuando se

notifica de una suspensión en el proceso de impresión por falta de papel en la

impresora, es el nivel de sesión el encargado de esta notificación y de todo lo

relacionado con la administración de la sesión. Cuando se desea finalizar una

sesión, quizá mediante un logout, es el nivel de sesión el que se encargará

de sincronizar y atender esta petición a fin de liberar los recursos de procesos

y canales (lógicos y físicos) que se hayan estado utilizando.

NetBIOS (Network Basic Input/Output System) es un protocolo que se

referencia en el nivel de sesión del modelo OSI, al igual que RPC6 (Remote

Procedure Calí) utilizado en el modelo cliente-servidor.

6 RPC es una infraestructura cliente/servidor que incrementa la interoperabilidad, portabilidady flexibilidad de una aplicación al permitir que ésta pueda distribuirse sobre diversasplataformas heterogéneas. Reduce la complejidad del desarrollo de aplicaciones queabarcan diferentes sistemas operativos y protocolos de red, al aislar al programador de losdetalles de estos entornos.

En resumen, se puede decir que la capa Sesión es un espacio en tiempo que

se asigna al acceder al sistema por medio de un login en el cual se obtiene

acceso a los recursos del mismo servidor conocido como "circuitos virtuales".

La información que utiliza nodos intermedios, y que puede seguir una

trayectoria no lineal se conoce como "sin conexión".

1.3.7 Capa Presentación

Tiene relación con la forma en la que los datos son representados en una

computadora. Proporciona conversión de códigos y reformateo de datos de la

aplicación del usuario. Es conocido que la información es procesada en forma

binaria y en este nivel se llevan a cabo las adaptaciones necesarias para que

pueda ser presentada de una manera más accesible.

Códigos como ASCII (American Standard Code for Information Interchange) y

EBCDIC (Extended Binary Codeó Decimal Interchange Code), que permiten

interpretar los datos binarios en caracteres que puedan ser fácilmente

manejados, tienen su posicionamiento en la capa de presentación del modelo

OSI.

Los sistemas operativos como DOS y UNIX también se ubican en este nivel,

al igual que los códigos de comprensión y encriptamiento de datos. El nivel

Presentación negocia la sintaxis de la transferencia de datos hacia el nivel

aplicación.

En resumen, se dice que la capa Presentación es aquella que provee

representación de datos, es decir, mantiene la integridad y valor de los datos

independientemente de la representación.

1.3.8 Capa Aplicación

Es el nivel más cercano al usuario y a diferencia de los demás niveles, por

ser el más alto o el último, no proporciona servicio a ningún otro nivel.

Cuando se habla de aplicaciones lo primero que viene a la mente son las

aplicaciones que se procesan, es decir, una base de datos, una hoja de

cálculo, un archivo de texto, etc., lo cual tiene sentido ya que son las

aplicaciones que finalmente se desea transmitir. Sin embargo, en el contexto

del Modelo de Referencia de Interconexión de Sistemas Abiertos, al hablar

del nivel de Aplicación no se está refiriendo a las aplicaciones que se acaba

de citar; en OSI el nivel de aplicación se refiere a las aplicaciones de red que

se van a utilizar para transportar las aplicaciones del usuario.

FTP (File Transfer Protocol), Mail, Rlogin, Telnet, son entre otras las

aplicaciones relacionadas con el nivel 7 del modelo OSI y sólo cobran vida al

momento de requerir una comunicación entre dos entidades.

Es por eso que al principio se citó que el modelo OSI tiene relevancia en el

momento de surgir la necesidad de intercomunicar dos dispositivos disímiles,

aunque OSI vive potencialmente en todo dispositivo de cómputo de

telecomunicaciones.

En resumen, se puede decir que esta capa es una sesión específica de

aplicación (API) es decir, son los programas que ve el usuario.

1.3.9 Trabajo de las Capas en el Modelo OSI

La comunicación según el modelo OSI siempre se realizará entre dos

sistemas. Si la información se genera en el nivel 7 de uno de ellos,

descenderá por el resto de los niveles hasta llegar al nivel 1, y a través del

medio de transmisión (por ejemplo el cable de red) llegará hasta el nivel 1 del

otro sistema, donde ascenderá hasta alcanzar el nivel 7.

En este proceso, cada uno de los niveles va añadiendo a los datos a

transmitir la información de control relativa a su nivel, de forma que los datos

originales van siendo recubiertos por datos de control.

De forma análoga, al recibirse dicho segmento en el otro sistema, según va

ascendiendo del nivel 1 al 7, va dejando en cada nivel los datos añadidos por

10

el nivel equivalente del otro sistema, hasta quedar únicamente los datos a

transmitir.

EmisorAplicación

PresentaciónSesión

TransporteRed

EnlaceFísico

PaqueteC7 Datos

C6 C7 DatosC5 C6 C7 Datos

C4 C5 C6 C7 DatosC3 C4 C5 C6 C7 Datos

C2 C3 C4 C5 C6 C7 DatosC2 C3 C4 C5 C6 C7 Datos

ReceptorAplicación

PresentaciónSesión

TransporteRed

EnlaceFísico

C7-C2 : Datos de control específicos de cada nivel.

Figura 1.2 Operación de las capas del modelo OSI

Los niveles OSI se entienden entre ellos, es decir, el nivel 5 enviará

información al nivel 5 del otro sistema (lógicamente, para alcanzar el nivel 5

del otro sistema debe recorrer los niveles 4 al 1 de su propio sistema y el 1 al

4 del otro), de manera que la comunicación siempre se establece entre

niveles iguales. A las normas para la comunicación entre niveles iguales es a

lo que se llama protocolos. Este mecanismo asegura la medularidad del

conjunto, ya que cada nivel es independiente de las funciones del resto, lo

cual garantiza que a la hora de modificar las funciones de un determinado

nivel no sea necesario rescribir todo el conjunto.

En las familias de protocolos más utilizadas en redes de ordenadores

(TCP/IP, IPX/SPX, etc.) se encontrará a menudo funciones de diferentes

niveles en un solo nivel, debido a que la mayoría de ellos fueron

desarrollados antes que el modelo OSI.

1.4 Protocolos TCP/IP

1.4.1 Introducción

Un protocolo es un conjunto de reglas que establece la forma en que dos

equipos van a establecer una comunicación.

Los protocolos TCP/IP son protocolos ampliamente usados en todo el mundo.

Ello es debido a que son protocolos usados por Internet (la red de redes) y

por que su uso ha sido muy difundido en UNIX.

Como ya se ha mencionado TCP/IP son protocolos utilizados por Internet, de

modo que para que pueda existir una comunicación los distintos ordenadores

conectados al Internet deben hablar el mismo idioma, es decir, se debe usar

el mismo protocolo de comunicaciones.

Los protocolos TCP/IP se encargan de fraccionar la información que se va a

transmitir en paquetes más pequeños en los que se insertan las direcciones

de los ordenadores de origen y destino, estableciendo distintos mecanismos

de control para asegurar que la información transmitida llegue intacta a su

destino. Para ello eligen las rutas más convenientes hasta el receptor por las

que se efectuarán los envíos. Una vez que todos los paquetes han llegado a

su destino y tras hacer comprobaciones de la integridad de la información

transmitida, estos protocolos se encargan de reordenar y componer las

fracciones de la información original de forma que ésta quede como

inicialmente se envió.

Los paquetes transmitidos utilizando los protocolos TCP/IP pueden viajar a

diferentes velocidades (siendo almacenados temporalmente en los nodos

cuando se disminuye la velocidad de transmisión) y utilizar diferentes medios

físicos para llegar a su destino (satélites, líneas telefónicas, fibras ópticas,

12

cables coaxiales, etc.), sin embargo todo este proceso permanecerá

transparente para el usuario de la Internet.

1.4.2 Origen de los Protocolos TCP/IP

A mediados de los 70, el departamento de Defensa de los Estados Unidos se

vio obligado a dar solución a los problemas de comunicaciones electrónicas

internas que usaban sistemas informáticos variados. Por ello se encargó al

ARPA (Avanced Research Projects Agency) que desarrollara junto con las

principales Universidades y fabricantes de equipos informáticos, un protocolo

estándar de comunicaciones. Todo ello dio lugar a dos redes: una de uso

exclusivamente militar MILNET y otra con fines experimentales de

investigación ARPANET. Todo ello constituyó el origen del actual Internet y

del conjunto de protocolos TCP/IP.

1.5. Estructura del modelo TCP/IP[14J

El modelo TCP/IP se conforma de cuatro niveles en donde cada nivel

manipula una unidad básica con nombre diferente :

• Nivel de Aplicación (mensajes)

• Nivel de Transporte (segmentos)

• Nivel de Internet (paquetes o datagramas)

• Nivel de interfaz de red (frames)

Los protocolos del Internet pueden ser utilizados para interconectar cualquier

tipo de red, ya sea del tipo LAN o también WAN. Además dentro de estos

protocolos no solo se incluyen especificaciones de bajo nivel (como TCP e

IP), también se incluyen especificaciones para aplicaciones comunes como

correo electrónico, emulación de terminal y transferencia de archivos.

13

1.6 IP (Internet Protocof)

IP es un protocolo primario del modelo OSI, así como una parte integral de

TCP/IP. Aunque la palabra Internet aparece en el nombre del protocolo, no

está restringido para uso con Internet. IP no solo se usa para máquinas con

Internet, puede también utilizarse en redes dedicadas que no tienen relación

en absoluto con Internet. IP define un protocolo, más no una conexión.

En efecto IP es una relación muy buena para cualquier red que necesite un

protocolo eficiente para comunicaciones máquina a máquina, aunque

enfrenta alguna competencia de protocolos como IPX de Novell (el cual poco

a poco irá desapareciendo, debido a que los nuevos sistemas operativos de

Novell usan ya como protocolo principal IP).

Una de las tareas principales de IP es direccionar datagramas de información

entre computadoras y manejar el proceso de fragmentación de estos

datagramas. El protocolo tiene una definición formal de la disposición de un

datagrama de información y de la formación de un encabezado, la cual

transporta información acerca del datagrama. IP es responsable del

enrutamiento de un datagrama, determinando a donde será enviado y

concibiendo rutas alternativas en caso de problemas.

Otro aspecto importante del propósito de IP tiene que ver con el envío no

confiable de un datagrama. No confiable en el sentido que el envío del

datagrama no está garantizado, debido a que puede demorarse, enrularse

mal o mutilarse en la descomposición y reensamblaje de los fragmentos del

mensaje. IP no tiene nada que ver con el control o la confiabilidad de flujo; no

tiene capacidad inherente para verificar que un mensaje enviado se reciba en

forma correcta.

IP no tiene una suma de verificación para el contenido de datos de un

datagrama, solo lo tiene para la información del encabezado. Las tareas de

verificación y control de flujo se dejan a otros componentes en el modelo de

14

capas. Parte del sistema IP define cómo manejar los gateways7, los

datagramas, cómo y cuándo deben producir mensajes de error y cómo

recuperarse de problemas que podrían surgir.

IP proporciona un tamaño de paquete máximo de 65.535 bytes, el cual es

mucho más grande de lo que pueden manejar la mayor parte de las redes, de

ahí la necesidad de fragmentación. IP tiene la capacidad para dividir de

manera automática, un datagrama de información en datagramas más

pequeños si es necesario.

Cuando el primer datagrama de un mensaje más grande, que se ha dividido

en fragmentos, llega a su destino, se inicia un temporizador de reensamblaje

con la capa IP de la máquina receptora. Si todas la piezas del datagrama

entero no se reciben cuando el temporizador alcanza un valor

predeterminado, todos los datagramas que se han recibido se desechan. La

máquina receptora conoce el orden en que han de reensamblarse las piezas,

debido a un campo en el encabezado IP. Una consecuencia de este proceso

es que un mensaje fragmentado tiene una probabilidad menor de llegar que

un mensaje no fragmentado, por lo cual la mayoría de la aplicaciones tratan

de evitar la fragmentación siempre que sea posible.

IP es sin conexión, lo que significa que no se preocupa por los nodos por

donde pasa un datagrama a lo largo de la ruta o incluso, en cuáles máquinas

empieza y termina el datagrama. Esta información está en el encabezado,

pero el proceso de analizar y pasar un datagrama no tiene nada que ver con

el análisis que hace IP del envío y recepción de direcciones.

IP maneja el direccionamiento de un datagrama con la dirección Internet de

32 bits completa, aún cuando las direcciones del protocolo de transporte

usen 8 bits. Una versión nueva de IP, llamada versión 6 o Ipv6 (IP Siguiente

Generación) puede manejar encabezados muchos más grandes.

7 Gateways, literalmente puerta de acceso, dispositivo que permite conectar dos redes entresí, normalmente de distinto protocolo.

15

1.6.1 Encabezado de Datagrama del Protocolo Internet1141

El formato del datagrama IP queda representado en la figura 1.3. El tamaño

de la cabecera es de 20 bytes, a no ser que presente opciones.

O 1516 31Ver 4 HL4

bits bitsTOS 8 bits

Identificación

TTL 8 bit Protocolo 8 bits

LONGITUD TOTAL 16 bits

Flag de 3 bits Fragment Offset 13 bits

Suma de Control de cabecera 16 bits

Dirección IP Fuente 32 bits

Dirección IP Destino 32 bits

Opciones (Si existen) Múltiplo de 32 bits

Datos

Figura 1.3 Formato del datagrama IP

El bit más significativo está marcado como O en el lado izquierdo, mientras

que el menos significativo de la palabra de 32 bits se etiqueta como 31 en el

lado derecho. Los 4 octetos de cada palabra de 32 bits se trasmiten

empezando por el O hasta el 31.

La versión en curso actualmente es la 4 también conocida como IPv4

aunque ya ha comenzado a ser operativa la IPv6. El campo 'Ver" sobre 4 bits

transporta esta información.

El campo HL indica el número de palabras de 32 bits que componen la

cabecera, el cual se tendrá incluyendo las opciones eventuales. Puesto que

su tamaño es de 4 bits, se puede tener hasta 64 bytes de longitud máxima en

la cabecera IP. Este campo posee habitualmente el valor 5 (cuando no

existen opciones).

16

TOS (Type of service) indica el Tipo de Servicio. Actualmente los 3 primeros

bits son ignorados, los 4 siguientes representan el TOS y el último está

inutilizado y su valor debe ser siempre 0.

El campo Longitud Total contiene el tamaño en octetos del datagrama IP.

Gracias a él y al campo HL se puede conocer donde empieza y termina la

porción de datos. Como utiliza 16 bits, se puede deducir que el tamaño

máximo o MTU de un datagrama IP será de 65535 bytes .

El mecanismo de fragmentación utilizado por IP hace uso de los siguientes 3

campos. El primero, Identificación, permite marcar de forma única cada

datagrama enviado por una máquina. Se incrementa normalmente en cada

nuevo envío. Cuando se produce una fragmentación, este valor es copiado

en cada uno de los trozos o fragmentos que componen el datagrama original.

El campo flag de 3 bits, activa entonces uno de ellos (el número 2) conocido

como more fragmente colocando a 1 en todos los trozos excepto en el

último. El campo Fragment Offset contiene el índice del fragmento a partir

del datagrama original. Además, el nuevo campo Longitud Total de cada

fragmento es actualizado a su nuevo valor.

Existe un bit (el número 1) en el campo Flag conocido como Don't fragment

Si está activado a 1, IP no producirá ninguna fragmentación eliminando el

datagrama y enviando un mensaje de error ICMP8 a la fuente, en caso que el

tamaño del datagrama supere el máximo permitido.

Para evitar que un datagrama quede atrapado en algún bucle dentro de la red

(problemas con los protocolos de encaminamiento, p.ej.) existe un tiempo de

vida representado mediante el campo TTL (Time to Uve). Se inicializa a un

cierto valor por el remitente y se decrementa en una unidad por cada

Pasarela o Routerque atraviesa.

8 ICMP, (Internet Control Message Protocol) es un protocolo robusto encargado de generarmensajes de error en caso de fallas durante el transporte de los datos por el cable. Lanotificación de errores no depende de un centro de gestión de red central. ICMP envía losmensajes de error a todos los host.

17

Cuando se alcanza el valor O, el datagrama se elimina y un mensaje ICMP es

enviado a la fuente indicando el suceso.

IP identifica el protocolo (TCP, UDP, ICMP) al cual debe hacer llegar la

información, a través de campo Protocolo.

La Suma de Control abarca únicamente la cabecera IP. Se calcula como

una suma sin acarreo sobre 16 bits, de todos los bytes que componen la

cabecera IP considerándolos como una secuencia de palabras de 16 bit. Sin

embargo, otros protocolos como TCP, UDP, ICMP utilizan códigos de

redundancia cíclica (CRC) basados en algoritmos más sofisticados.

El motivo es claro, una Pasarela o Router debe procesar grandes cantidades

de paquetes por unidad de tiempo. Generalmente, el único valor que modifica

a cada datagrama es el TTL, decrementándolo en una unidad. El cálculo de

la suma de control puede ser realizado de forma incrementa! disminuyendo

drásticamente el tiempo de proceso de cada datagrama por las pasarelas

intermedias.

Como ya se comentó anteriormente, cada datagrama contiene la dirección

IP del destinatario y la del remitente.

El campo Opciones es una lista de longitud variable con información

específica del datagrama.

1.6.2 Clases y números de opción válidos para encabezados IP

Las clases y números de opción válidos se los verá en el siguiente cuadro:

Clase de Opción000

00

02

Número de Opción012

37

94

DescripciónMarca el final de la lista de opcionesNinguna opción (usada para relleno)Opciones de seguridad (sólo parapropósitos militares)Enrutamiento de fuente holgadaActiva el registro de enrutamiento (agregacampos)Enrutamiento de fuente estrictaActiva el marcador de tiempo (agregacampos)

1.7 TCP (Transmission Control Protocol) {1-4}

Es un protocolo de transporte orientado a conexión, el mismo que cuenta con

detección y corrección de errores en el host9 de origen y destino. Es el

responsable de dividir los mensajes en paquetes y reensamblarlos en el host

de destino, reenviar cualquier dato perdido, reconocer mensajes duplicados y

descartarlos, garantizando la integridad de los datagramas. TCP pone una

identificación delante del paquete, que incluye el número del puerto de origen

y destino, un número de secuencia y un valor de control (checksum). Ver

figura 1.4

O 15 16 31Puerto Fuente (16 bits) Destino (16 bits)

Número de secuencia (32 bits)

Numero de acuse de recibo (32 bits)

Longitud de lacabecera

Reservado Flags6 bits

Suma de verificación (16 bits)

Ventana (16 bits)

Señalador urgente (16 bits)Opciones y Relleno

Datos (variable)

Figura 1.4 Segmento TCP

9 host significa que cualquier computador tiene doble vía total de acceso para otroscomputadores sobre el Internet.

I9

Puerto fuente: Un campo de 16 bits que identifica al usuario TCP local (por

lo general un programa de aplicación de capa superior)

Puerto destino: Un campo de 16 bits que identifica al usuario TCP de la

máquina remota.

Número de Secuencia: Un número que indica la posición del bloque actual

en el mensaje total. Este número se usa también entre dos implementaciones

TCP para proporcionar el número de secuencia de envió inicial.

Número de acuse de recibo: Un campo que indica el siguiente número de

secuencia esperado. De una manera ambigua, éste muestra además el

número de secuencia de los últimos datos recibidos indicando el último

número de secuencia recibido más 1.

Longitud de la cabecera: Indica el número de palabras de 32 bits en el

encabezado TCP.

Reservado: Un campo de 6 bits reservado para uso futuro. Los 6 bits deben

fijarse en 0.

Flags: contiene las siguientes 6 banderas

• Bandera Urg: Si está activa (un valor de 1), indica que el campo del

señalador urgente es significativo.

• Bandera Ack: Si está activa, indica que el campo Acuse de recibo es

significativo.

• Bandera Psh: Si está activa, indica que la función push debe

ejecutarse.

• Bandera Rst: Si está activa, indica que la conexión debe reiniciarse.

20

• Bandera Syn: Si está activa, indica que los números de secuencia

deben sincronizarse. Esta bandera se usa cuando se está

estableciendo una conexión.

• Bandera Fin: Si está activa, indica que el transmisor no tiene más

datos que enviar. Este es el equivalente de un marcador de fin de la

transmisión.

Ventana: Un número que indica cuántos bloques de datos puede aceptar la

máquina receptora.

Suma de verificación: Calculada tomando el complemento de uno de 16

bits, que corresponde a la suma del complemento de uno de las palabras de

16 bits en el encabezado (incluyendo seudoencabezado) y texto juntos. (Un

proceso bastante largo que se requiere para ajustar la suma de verificación

en el encabezado.)

Señalador urgente: Usado si se estableció la bandera urg; indica la parte del

mensaje de datos que es urgente al especificar la compensación del número

de secuencia en el encabezado. TCP no toma ninguna acción específica con

respecto a los datos urgentes; la acción la determina la aplicación.

Opciones: Similar al campo opciones del encabezado IP, éste se usa para

especificar opciones TCP. Cada opción consta de un número de opción (un

byte), el número de bytes en ésta y los valores de la opción. En la actualidad,

sólo están definidas tres opciones para TCP:

• O Fin de la lista de opciones

• 1 No operación

• 2 Tamaño máximo del segmento

Relleno: Se usa para asegurar que el encabezado sea un múltiplo de 32

bits.

21

1.8 El Direccionamiento IPÍ1-7J

Las direcciones MAC permiten identificar máquinas dentro de un mismo

segmento de red pero ello no es suficiente para satisfacer las necesidades de

comunicación dentro de una red que puede estar compuesta por miles de

ellos. Se necesita pues un protocolo de red que permita hacer llegar a su

destino una unidad de información, datagrama IP en nuestro caso, que a lo

largo de su recorrido pueda atravesar redes con protocolos de enlace muy

dispares. (Ethernet, Token Ring, Token Bus, líneas punto a punto con SLIP,

PPP, HDLC y un sin fin de combinaciones a través de otras redes como RDSI

o Frame Relay)

Las direcciones IP tienen una longitud de 32 bits, organizadas en 4 grupos de

8 bits cada uno. Se dividen fundamentalmente en dos partes: la porción de la

Red y la porción de la máquina.

La porción de red identifica a un grupo de máquinas que comparten al mismo

protocolo de enlace dentro del mismo medio físico. El campo de máquina

hace referencia a todas aquellas estaciones conectadas a la misma red.

El tamaño de cada parte depende del valor de los bits de mayor peso, tal y

como se muestra en la figura 1.5.

Clase

A 07 bits 24 bits

Red | Máquina14 bits 16 bits

B 1 0 Red | Máquina21 bits 8 bits

C 1 1 0| Red | Máquina28 bits

D (T 1 1 1 0 Multicast27 bits

E [T 1 1 1 1 | 0 1 Futuras Aplicaciones

0.0.0.0127.255.255.255

128.0.0-0191.255-255.255

192.0-0.0223.255.255.255

224-0.0.0239.255.255.255

240.0.0.0247.255.255.255

Figura 1.5 Estructuras de las direcciones IP

22

De aquí surge una clasificación en 5 tipos de redes en función del contenido

de cada uno de los campos de dirección.

Las direcciones Cíase A corresponden a redes grandes con muchas

máquinas y en las que son necesarios 24 bits para identificarlas, mientras

que los restantes 7 bits sirven para especificar la red. En estas clases de

redes se pueden definir:

27 Redes distintas.

224-2 Nodos o máquinas distintas.

Nota: Son menos 2 debido a que todos los bits en O se asignan a la red

misma y todos los bits en 1 corresponde a una dirección de broadcastw

Las direcciones Clase B sirven para Redes de tamaño intermedio, con

direcciones locales de 16 bits y direcciones de red de 14 bits para identificar

las redes. En estas clases de redes se pueden definir:

214 Redes distintas.

216-2 Nodos distintos.

Las direcciones Clase C tienen 8 bits y esto limita el número de dispositivos a

256 y la dirección de la red hasta 21 bits. En estas clases de redes se pueden

definir:

221 Redes distintas.

28-2 Nodos distintos.

Es importante hacer notar el uso de las máscaras de red11, donde para cada

clase de red están asumidas por defecto las siguientes:

10 Broadcast, está definido para trasmitir datos para todo el conjunto de máquinas sobre lared o un segmento de la red.

11 Máscara de Red, la máscara de red es un valor con el mismo formato e importancia que ladirección IP. Aplicada sobre la dirección IP de un adaptador de red, establece donde terminala dirección de la red externa y dónde comienza la dirección de la red local o segmento alque se encuentra conectado dicho adaptador.

23

Clase A: 255.0.0.0.

Clase B: 255.255.0.0.

Clase C: 255.255.255.0.

De esta forma, se logra una mayor optimización en las tablas de

encaminamiento de los Routers y Gafetvays, puesto que únicamente tienen

que localizar la porción de la red a la hora de encaminar un datagrama.

Dentro del direccionamiento IP, al igual que en las direcciones MAC, existe

una dirección de Broadcast definida con todos los bits a 1 correspondientes a

la porción de máquina. Es decir, la dirección 134.215.255.255 sería una

dirección de Broadcast perteneciente a la red 134.215. A diferencia de MAC,

dentro de IP las redes también poseen direcciones que se obtienen con todos

los bits de la porción de máquina a 0.

Cualquier dispositivo que se adapte a las especificaciones del nivel de control

de acceso al medio (MAC, Media Access Control} puede conectarse con

otros dispositivos del nivel MAC. Hay que tener presente que el nivel MAC es

subnivel del nivel del enlace de datos.

Continuando con el ejemplo anterior, la dirección 134.215.0.0 correspondería

a la dirección IP de la red 134.215.

Cada interfaz IP situado dentro de una misma máquina, tiene una dirección

propia IP. Significa que si se tuviera una tarjeta de red en el servidor, y una

conexión SLIP (Serial Une Internet Profoco/) asociada a uno de sus puertos

serie, éste presentaría por tanto dos direcciones IP. Se podría acceder a él a

través de cualquiera de ellas siempre que sus tablas de enrutamiento lo

permitiesen.

24

1.9 La máscara de Subred

Todo interfaz IP, necesita como mínimo dos parámetros: la dirección IP y su

máscara asociada.

La máscara, se compone de 32 bits. Estos se superponen bit a bit a la

dirección IP de tal forma que aquellos cuyo valor es 1, indican la porción de la

dirección correspondiente a la parte de red. El valor O, señala la parte

correspondiente a la máquina. Lógicamente, existe siempre una máscara por

defecto asociada a la dirección IP, en función de la clase.

Por ejemplo, la dirección 10.2.45.1 pertenece a la red 10.0.0.0 de clase A. Su

máscara por defecto deberá ser 255.0.0.0 en notación decimal o

11111111.00000000.00000000.00000000 en notación binaria.

En un único segmento Ethernet, resulta muy sencillo. Todas las máquinas

conectadas llevarían la máscara 255.0.0.0 y se numerarían 10.2.45.1,

10.7.23.124, 10.0.12.253 etc..., manteniendo la porción de la red siempre

igual a 10. Se dispondría por tanto de 224 máquinas menos 2 (las direcciones

de broadcast 10.255.255.255 y de red 10.0.0.0 no válidas para numerar

máquinas).

Hay muchas redes que solo se necesitan pocas IP's, por lo que en este caso

no justifica dar toda una red a un Nodo donde no se lo va a utilizar, para esto

es necesario subdidir la red en varias subredes, de tal forma que se utilicen

los IP's estrictamente necesarios.

Para poder hacer subredes se debe modificar la máscara IP, así se obtiene

una subdivisión de la red. Para nuestro ejemplo en caso de querer conectar

el segmento de red con dos segmentos más, a través de un Router, se

necesitaría ampliar la máscara como mínimo con 2 bits más para tener así 4

subredes. De este modo quedaría una máscara de

11111111.11000000.00000000.00000000 o 255.192.0.0. Se dispondría en

este caso de las siguientes subredes:

25

00001010.00000000.00000000.00000000 ó 10.0.0.0

00001010.01000000.00000000.00000000 ó 10.64.0.0

00001010.10000000.00000000.00000000 ó 10.128.0.0

00001010.11000000.00000000.00000000 ó 10.192.0.0

El número de máquinas por cada una de estas subredes sería 222 menos 2.

Por tanto, cada vez que se amplía la máscara, se pierden 2 direcciones IP en

cada subred ( Broadcasty subred ).

Resumiendo, se ha considerado que una dirección IP está compuesta de dos

identificadores, uno para la red y otro para la máquina. El ámbito de cada uno

de ellos depende de la clase a la que pertenece esa dirección.

A continuación se verá un ejemplo de una subred, en el que se supone que

se obtienen 8 subredes, a partir de la red clase C 196.100.1.0

196.100.1.10

Se hace 2X - 2 = 14 donde x=4; no podría ser x=3 ya que no se alcanzaría el

número de subredes que se piden.

La red corresponde a una clase C, por lo que la máscara por defecto es

255.255.255.0.

Ahora se procede al cálculo de la máscara de subred para poder definir las

subredes.

26

Con x=4, se ocupan 4 bits para definir las subredes en el cuarto Byte de la

máscara.

196.100.1. 0000 0000 O No utilizada

196.100.1. 0001 0000 16 Primera Subred

196.100.1. 0010 0000 32 Segunda Subred

196.100.1. 0011 0000 48 Tercera Subred

196.100.1. 0100 0000 64 Cuarta subred

196.100.1. 0101 0000 80 Quinta Subred

196.100.1. 0110 0000 96 Sexta Subred

196.100.1. 0111 0000 112 Séptima Subred

196.100.1. 1000 0000 128 Octava Subred

196.100.1. 1001 0000 144 Novena Subred

196.100.1. 1010 0000 160 Décima Subred

196.100.1. 1011 0000 176 Décima primera Subred

196.100.1. 1100 0000 192 Décima segunda Subred

196.100.1. 1101 0000 208 Décima tercera Subred

196.100.1. 1110 0000 224 Décima cuarta Subred

196.100.1. 1111 0000 240 No utilizada (Broadcast)

Como se utilizarán los 4 bits del cuarto byte, la máscara tomará un valor de

240 quedando de la siguiente manera:

255.255.255.240

El valor correspondiente en binario es:

11111111.11111111.11111111.11110000

Entonces las direcciones de subred son las siguientes:

27

Subred

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

Dirección

196.100.1.0

196.100.1.16

196.100.1.32

196.100.1.48

196.100.1.64

196.100.1.80

196.100.1.96

196.100.1.112

196.100.1.128

196.100.1.144

196.100.1.160

196.100.1.176

196.100.1.192

196.100.1.208

196.100.1.224

196.100.1.240

Tabla 1.1 Direcciones de Subred es

• Para la primera subred se tendrá 15 nodos comenzando desde

196.100.1.17 hasta la 196.100.1.31

• Para la segunda subred se tendrá 15 nodos pero ahora comenzarán

desde 196.100.1.33 hasta la 196.100.1.47

• Para la tercera subred los nodos comenzarán desde 196.100.1.49 hasta

la 196.100.1.63

• Para la cuarta subred los nodos comenzarán desde 196.100.1.65 hasta la

196.100.1.79

1.10. Comparación de los modelos OSI y TCP/IP[15J

La estandarización de las comunicaciones también se ha desarrollado con un

modelo alternativo al modelo OSI el cual como se indicó describe siete

28

niveles bien definidos. El modelo TCP/IP realmente no describe una

estructura tan precisa de niveles aunque se pueden asimilar y comparar

ambos modelos de la forma que se indica en la figura 1.6.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Enlace de datos

Física

Internet TCP/IP

SMTP, HTTP, FTP, TELNET, SMTP,...

ASCII, GIF, JPEG, MPEG, ...

TCP (UDP)

IP (RIP, IGRP, OSPF, BGP, ...)

Ethernet, Token Ring, FDDI, HDLC, PPP ..

RS-232.V35, Fibra, BNC, 10Bas-T,G.703

TCP/IP

FTPTelnetSNMP

NFS

XDR

RPC

TCP, UDP

Routlng Pro toe oí IP.tCMP

ARP, RARP

No especificado

Figura 1.6 Modelo OSI vs TCP/IP

Es importante hacer notar que el nivel TCP-UDP no tiene una

correspondencia perfecta con el modelo OSI. El protocolo TCP está orientado

a conexión con lo que, se podría hablar de sesión, asimilándose al nivel 4 o

5 del modelo OSI, pero UDP no está orientado a conexión y por ello no se

puede hablar propiamente de sesión. UDP utiliza datagramas, es decir que

en lugar de abrir una conexión con el destino para establecer un diálogo,

envía a la red fragmentos de información. FTP y TELNET son servicios muy

populares y son un buen ejemplo de protocolos orientados a conexión. NFS

es un servicio que permite montar un sistema de ficheros remoto de forma

que se pueda acceder a dicho sistema de ficheros sin apenas percibir que

está en una máquina remota. Este último es un clásico ejemplo de servicio

orientado a datagramas.

En el nivel 3 junto con el protocolo IP existen también los protocolos

siguientes: RIP (Routing Information Protocol), ICMP (Internet Control

Message Protocof), ARP (Address Resolution Protocol), RARP (Reverse

Address Resolution Protocol), y los ya indicados en la figura 1.6.

29

Ping

Aplicación

Enlace

medio

Figura 1.7 Familia de protocolos TCP/IP

30

Referencias Bibliográficas

[1.1] http://forpas.fie.us.es/redes/osi.asp

[1.2] Tanenbaum, AndrewS., Computer Network, Prentice-Hall, 1996

[1.3] http://pdi.cicese.mx/mavendan/estudios/rld/OSI-ISO.html

[1.4] http://www.lafacu.com/apuntes/informatica/tcpip/default.htm

[1.5] http://dali.ualm/~jamartin/html/c1_apun/node41.html

[1.6] Todd Lammie, Monica Lammie, James Chellis, TCP/IP for NTServer4Study Cuide, Second Edition, 1996

31

Capítulo I

Protocolos de Encaminamiento

2.1 Introducción

Se puede definir encaminamiento o enrutamiento como un proceso mediante

el cual se trata de encontrar un camino entre dos puntos de la red: el nodo

origen y el nodo destino. En esta definición se tiene que matizar el hecho de

que cuando se habla de un camino se está refiriendo a varios, el peor o el

mejor para llegar de 1 a N puntos.

Se debe tener en cuenta también la capilaridad de las redes, esto es la

conexión de los nodos con los terminales de usuario, por lo que no se debe

tratar de buscar un camino entre los nodos, sino entre dos terminales. Si se

resuelve lo primero se tiene resuelto lo segundo, por lo que se enunciará este

problema como la búsqueda de un camino de conexión entre dos nodos de la

red.

El objetivo que se persigue es encontrar las mejores rutas entre pares de

nodos j-k. Para esto se tiene que establecer lo que se entiende por mejor ruta

y la métrica que se emplea para determinarla. Ver Tabla 2.1

Algunos de los problemas comunes con los que se encuentra a la hora de

encaminar son:

• La carga de los enlaces no va a ser constante (es decir, el mejor camino

no siempre será el mismo), al igual que la tasa de generación de

mensajes. El encaminamiento busca el camino óptimo, pero como el

tráfico varía con el tiempo, el camino óptimo también dependerá del

instante en que se observa la red.

• Hay que tener en cuenta los cambios en la topología de la red (hay nodos

que se caen, o se añaden, o se quitan, etc).

• Existen recursos limitados, no pudiéndose cursar todos los paquetes a

infinita velocidad.

32

a) Mejor Ruta

b) Métrica de la Red

Por mejor ruta se entiende aquella que cumple algunas de

estas condiciones:

presenta el menor retardo medio de tránsito,

consigue mantener acotado el retardo entre pares de nodos

de la red (Tjk<T0)1,

consigue ofrecer altas cadencias efectivas

independientemente del retardo medio de tránsito,

ofrece el menor costo.

Se citarán dos de ellas:

• Número de saltos (canales) necesarios para ir de un

nodo a otro. Esta métrica no se comporta de forma

óptima, pero si ofrece buenos resultados, y es empleada;

con bastante frecuencia. La distancia (valor que se

asocia a cada canal) es igual a 1 para todos los

canales.

• Retardo de Tránsito entre nodos vecinos. En este caso

la distancia se expresa en unidades de tiempo2 (por

ejemplo ms), y no es constante a lo largo del tiempo

sino que depende del tráfico que soporta el canal.

Tabla 2.1 Definición de Mejor Ruta y Métrica

• La asincronía, en el sentido de que no hay un momento determinado para

que ocurran las cosas (un nodo transmite cuando le llega información, y

esto sucede a su vez cuando el usuario decide mandarla).

Por tanto, el encaminamiento debe proveer a la red de mecanismos para que

ésta sepa reaccionar ante situaciones como:

• Variabilidad del tráfico: se han de evitar las congestiones de la red.

• Variaciones topológicas, como las mencionadas anteriormente: caídas

de enlaces, caídas de nodos, etc.

1 TJk < To, Tiempo entre dos nodos debe ser menor que el tiempo inicial2 ms, tiempo en mili segundos

• Cambios en la QoS3 (Quality of Sen/ice): a veces se pide un servicio

donde no importa el retardo y sí un alto throughput* y viceversa.

Para una mejor comprensión de la teoría de enrutamiento a continuación se

analizarán algunos conceptos que serán de mucha importancia:

• Algoritmo de enrutamiento o encaminamiento: método para calcular la

mejor ruta para llegar de un sitio a otro. La mejor ruta podrá calcularse en

función de los costos, retardos, distancia, etc.

• Protocolo de enrutamiento o encaminamiento: es la manera que

tienen los nodos de intercambiar la información de encaminamiento

(probablemente generada por el algoritmo). Los protocolos serán los

encargados de ocultar la red y comprobar que las condiciones de

encaminamiento impuestas se verifican siempre.

• Decisión de encaminamiento:

En redes de conmutación de paquetes, se analizará tanto en modo

datagrama como en modo circuito virtual:

• Red en modo circuito virtual: Si la red funciona en modo circuito

virtual generalmente se establece una ruta que no cambia durante

el tiempo de vida de ese circuito virtual, ya que esto es lo más

sencillo para preservar el orden de los paquetes. El

encaminamiento se decide por sesión y no se cambia a menos que

sea imprescindible, es decir existen restricciones de cara a no

cambiar el encaminamiento en la sesión (ejemplo caída de un

enlace). Cuando eso ocurre se busca inmediatamente otra ruta,

pero este cambio demora en propagarse por la red, (al tardar los

nodos en enterarse) pudiendo presentarse en los sistemas finales

de tres formas:

o no se manifiesta

o se pierde información

o se pierde la sesión.

3 QoS, Calidad de Servicio sobre un enlace4 Throughput, El número de trabajos completados por un período de tiempo

34

Red en modo datagrama: Como en este caso no debe

garantizarse el ordenamiento final de los paquetes, en una red

funcionando en modo datagrama se puede cambiar el criterio de

encaminamiento por cada paquete a cursar (esto da origen a

menor número de problemas).

Para que un algoritmo de encaminamiento real funcione de forma razonable

debe cumplir las siguientes propiedades:

Corrección: Se entregará la información correctamente. Es algo obvio, se

quiere que el paquete llegue precisamente al nodo al que se envía.

Simplicidad: debe aportar soluciones sencillas. Esto es útil para redes

reales (grandes) y los protocolos más simples son los que en la actualidad

tienden a imponerse (por ejemplo RIP: Routing Information Protoco/).

Robustez: El algoritmo a de ser insensible a inestabilidades del sistema.

Estas inestabilidades son por ejemplo caídas de nodos, que han de ser

previstas de antemano.

Estabilidad (convergencia): Es muy importante que este requisito se

cumpla. El procedimiento debe converger antes de que la red cambie de

estado (caída de nodo, alto consumo en el nodo por el usuario, etc.).

Cuando esto ocurre, se recalculan de nuevo las rutas, debiendo los nodos

llevar a cabo acciones coherentes que conduzcan a situaciones estables.

Equidad (justicia): Debe tratar a todos los usuarios de la misma manera.

Trazabilidad (gestionabilidad): Supone tener información (trazas) de lo

que ha hecho la red para que en el caso de que ocurran "cosas raras" sea

posible corregirlas.

Escalabilidad: Se debe tener un comportamiento óptimo sea cual sea el

número de nodos (incluso si éste aumenta mucho).

35

2.2 Métodos de Encaminamiento

2.2.1 Conceptos Básicos

A continuación se verá la estructura general de un nodo de conmutación de

paquetes, lo cual valdrá para hacer una posterior clasificación de los métodos

de encaminamiento atendiendo a la forma en la que los nodos recogen y

distribuyen la información que les llega de la red y a otros factores:

Figura 2.1 Esquema de un nodo de conmutación

PDU (Protocol Data Unit): Unidad fundamental de intercambio de

información para un nivel determinado (a veces se indica

explícitamente el nivel poniendo N-PDU, o PDU de nivel N), como

nivel de enlace, red, etc.

R-PDU (Routing-PDU): Información de control entre nodos. Son

paquetes de control, enviados por otros nodos con información

sobre la red (no son datos). Por ejemplo, se manda información de

que el nodo sigue activo, y también las distancias a otros nodos

(vector de distancias).

FIB (Forward Information Base): Es la tabla de encaminamiento

que se consulta para hacer el reenvío de los paquetes generados

por los usuarios (los PDU representan estos paquetes).

36

• RIB (Routing Information Base): Tabla que almacena las distancias

a los nodos. Es la base de información de encaminamiento que se

consulta para decidir y formar la FIB. La información de la RIB se

consigue mediante interacción con el entorno local de cada nodo

(cada nodo observa sus enlaces) y mediante la recepción de R-

PDUs de información de control, procedentes de otros nodos

vecinos, que informan del conocimiento que estos nodos tienen

sobre el estado de la red. A su vez, con la información obtenida por

la RIB, ésta manda PDUs de control para informar del conocimiento

del estado de la red que el nodo tiene a los demás nodos.

• LOCAL: Información del entorno local del nodo. Contiene la

información de lo que el nodo ve (memoria disponible, enlaces

locales, etc.), más la que hay que proporcionarle.

Básicamente, el funcionamiento es el siguiente: a partir de la RIB, se utiliza el

algoritmo de encaminamiento para calcular la FIB, y cuando una PDU llega al

nodo, se consulta esta FIB. Ver figura 2.1

A continuación se tiene un ejemplo de establecimiento de la tabla de

encaminamiento:

Figura 2.2 Ejemplo de gráfico de Nodos

37

Destino

AB

cD

Er_...

Next

E

ccDE

"E

CosteQ

7

2

0

5

6"

Tabla 2.2 Tabla de Encaminamiento del NODO D

Sobre el gráfico se puede apreciar que el número que aparece junto a los

enlaces representa el 'costo1 o 'distancia' de los mismos, el cual puede ser

constante o variable.

Si se desea llegar desde el nodo D hasta el nodo A, para esto se debe seguir

la mejor ruta, en este caso debe pasar por E para luego ir a F y por último

llegar hacia A, dando un total de 9, que es el costo; de igual forma se procede

con el resto de los nodos.

Se conoce como MÉTRICA a la magnitud o medida a optimizar (retardo,

ancho de banda, coste económico, etc).

2.2.2 Clasificación de los Métodos de Encaminamiento I2-1Jf2-4J

2.2.2.1 En función de donde se decide encaminar

Salto a salto (Hop by Hop): Se basa en que cada nodo no tiene que

conocer la ruta completa hasta el destino, sino que debe saber cuál es el

siguiente nodo al que tiene que mandar el paquete: las tablas dan el nodo

siguiente en función del destino.

38

A continuación se verá un ejemplo de este encaminamiento:

Figura 2.3 Ejemplo de Encaminamiento sarto a salto

Las tablas de encaminamiento de los nodos A y B son:

Tabla de encaminamiento del nodo A

Destino

B

C

D

E

F

G

H

Ruta a seguir

B

B

B

H

H

H

H

Tabla de encaminamiento del nodo B

Destino

A

C

D

E

F

G

H

Ruta a seguir

A

C

C

C

C

G

A

Tabla 2.3 Tabla de encaminamiento para los nodos A y B

En la tabla de encaminamiento de cada nodo deberá aparecer una entrada

en el campo destino por cada nodo que se pueda alcanzar desde el citado

nodo, y en el campo siguiente nodo (Ruta a seguir) aparecerá el nodo vecino

al que se deberá enviar los datos para alcanzar el citado nodo destino. Las

soluciones propuestas no son únicas, pudiendo elegir otros caminos que

minimicen el tiempo de retardo, el número de saltos, etc. La única condición

que se impone es que debe haber consistencia: si, por ejemplo, para ir de A a

B se pasa por C, entonces para ir de S a C no se podrá pasar por A, porque

entonces se formaría un bucle y el paquete enviado estaría continuamente

viajando entre los nodos 6 y -A, como puede comprobarse fácilmente.

39

Fijado en el origen (Source Routing): son los sistemas finales los que

fijan la ruta a seguir por cada paquete. Para ello, cada paquete lleva un

campo que especifica su ruta (campo Rl: Routing Information), y los

nodos sólo se dedican a reenviar los paquetes por esas rutas ya

especificadas.

Así pues, son los sistemas finales los que tienen las tablas de

encaminamiento y no se hace necesaria la consulta o existencia de tablas

de encaminamiento en los nodos intermedios. Este tipo de

encaminamiento suele ser típico de las redes de IBM.

Tabla de encaminamiento del nodo A

Destino

B

C

D

E

F

G

H

Ruta a seguir

B

B-C

B-C-D

H-G-E

H-G-F

H-G

H

Tabla de encaminamiento del nodo B

Destino

A

C

D

E

F

G

H

Ruta a seguir

A

C

C-D

C-F-E

C-F

G

A-H

Tabla 2.4 Tabla de encaminamiento Source-Routing para los nodos A-B

Comparación entre ambos:

Conocimiento

Complejidad

Problemas deBucles

Fijado en Origen

Los sistemas finales deben tenerun conocimiento completo de lared

Recae toda en los sistemasfinales

No hay bucles: el sistema finalfija la ruta (ROBUSTEZ).

Salto a Salto

tener un conocimiento parcial de lared (saber qué rutas son lasmejores)En ios sistemas intermedios ya queson los que tienen que encaminarSí pueden ocurrir: no se tiene unavisión completa de la red(INCONSISTENCIA)

Tabla 2.5 Comparación entre Salto a Salto y Fijado en el Origen

40

Los bucles (situación que se da cuando los paquetes pasan más de una vez

por un nodo) ocurren porque los criterios de los nodos no son coherentes,

generalmente debido a los criterios de encaminamiento o a que no han

convergido después de un cambio en la ruta de un paquete. Cuando por

cualquier causa un paquete sufre un cambio de encaminamiento, la red tarda

en adaptarse a ese cambio pues la noticia del cambio tiene que llegar a todos

los nodos; es en ese transitorio cuando se pueden dar los bucles, ya que

unos nodos se han adaptado y otros no. El objetivo de los algoritmos de

encaminamiento es detener el curso de los paquetes antes de que se

produzcan bucles. Esto es importante sobre todo cuando se envían los

paquetes por varias rutas simultáneamente (técnicas de inundación).

2.2.2.2 En función de la adaptabilidadI2 2] M

No adaptables (estáticos)

Estáticos: Las tablas de encaminamiento de los nodos se configuran

de forma manual y permanecen inalterables hasta que no se vuelve a

actuar sobre ellas. La adaptación a cambios es nula. Tanto la

recolección como la distribución de información se realiza por gestión

(se realiza de manera externa a la red), sin ocupar capacidad de red.

El cálculo de ruta se realiza off-line (en una máquina específica), y las

rutas pueden ser las óptimas al no estar sometidas al requisito de

tiempo real. Este tipo de encaminamiento es el óptimo para topologías

en las que solo hay una posibilidad de encaminamiento (topologías en

estrella).

Q-Estáticos: Este encaminamiento, es igual que el estático pero en

vez de dar una sola ruta fija, se dan además varias alternativas en

caso de que la principal no funcione, de ahí que tenga una

adaptabilidad reducida.

41

Adaptables (dinámicos) [2'2) [2'3]

Centralizados: En este tipo de encaminamiento, todos los nodos son

iguales salvo el nodo central. Los nodos envían al centra! información

de control en relación de sus vecinos (R-PDUs). El nodo central será el

que se encargue de recolectar esta información para hacer la FIB de

cada nodo; es decir, el nodo central decide la tabla de encaminamiento

de cada nodo en función de la información de control que éstos le

mandan. El inconveniente de este método es que se consume

recursos de la red, y además, se harían necesaria rutas alternativas

para comunicarse con el nodo central, ya que estos métodos dejarían

de funcionar con la caída de éste.

Aislados: No se tiene en cuenta la información de los otros nodos a la

hora de encaminar. Se basa en que cada vez que un nodo recibe un

paquete que tiene que reenviar (porque no es para él) lo reenvía por

todos los enlaces salvo por el que llegó. Son muy útiles para enviar

información de emergencia. Destacan otros métodos de

encaminamiento aislados5:

o Algoritmo de inundación

o Algoritmo de aprendizaje hacia atrás (Backward Learning)

o Algoritmo de la patata caliente ("Hoí Potato")

Distribuidos: Son los más utilizados. En este tipo de encaminamiento

todos los nodos son iguales, todos envían y reciben información de

control y todos calculan a partir de su RIB (base de información de

encaminamiento), sus tablas de encaminamiento. La adaptación a

cambios es óptima siempre y cuando éstos sean notificados. Hay dos

familias de procedimientos distribuidos:

Estos métodos serán analizados en la sección 2.3 de este capítulo.

42

Vector de distancias

Estado de enlaces

Vector de Distancias

Cada nodo informa a sus vecinos de todas las distancias conocidas por él,

mediante vectores de distancias (de longitud variable según los nodos

conocidos). El vector de distancias es un vector de longitud variable que

contiene un par (nodo:distancia al nodo) de cada nodo conocido por el nodo

que lo envía; por ejemplo (A:0;B:1;D:1) dice que el nodo que lo manda dista

"O" de A,"1" de B y "1" de D, y de los demás no sabe nada (ésta es la forma

en la que un nodo dice lo que sabe en cada momento).

El nodo solo conoce la distancia a los distintos nodos de la red pero no

conoce la topología. Estos vectores de distancia se envían periódicamente y

cada vez que varíe su vector de distancias. Veamos el siguiente ejemplo:

Figura 2.4 Ejemplo del vector de distancias

El vector de distancias de A sería:

(áuaiaadtAhatíaA) AhattaB)

(&iantía&AkauaQ

43

Este vector de distancias de A llega al nodo B, el cual lo utiliza para actualizar

el suyo:

(B:0,A:1,C2,D;1)

Este VDB pasa al nodo A, el cual actualiza el suyo, etc. Al cabo de un tiempo,

se estabiliza la información de cada nodo, es decir, sus vectores de distancia

quedan constantes aún sin dejar de enviarse información periódicamente.

Con todos los vectores recibidos, cada nodo monta su tabla de

encaminamiento ya que al final conoce qué nodo vecino tiene la menor

distancia al destino del paquete, pues se lo han dicho con el vector de

distancias.

El envío de vectores de distancia entre nodos tiene lugar en el plano de

control.

Si no se sabe a donde enviar un paquete, éste se descarta.

Ventajas del método:

• Muy sencillo.

• Muy robusto (gracias al envío periódico de información)

• Consumo bajo de memoria: cada nodo sólo almacena las distancias con

el resto de nodos.

Los nodos no tienen información topológica de la red completa, es decir,

pueden conocer la distancia a nodos lejanos, pero no donde están.

Inconvenientes del método:

• Convergencia lenta (los vectores de distancia tardan en estabilizarse).

• Pueden aparecer bucles.

44

Adaptabilidad baja a los cambios, ya que sólo sabe a quién tiene que

reenviar un paquete, pero no tiene información de la topología.

Consumo alto de capacidad: se transmiten vectores cuyo tamaño es del

orden del número de nodos de la red, pues cada nodo comunica a su

vecino todas las distancias que conoce.

Estado de Enlaces

Cada nodo difunde a todos los demás nodos de la red sus distancias con sus

enlaces vecinos; es decir, cada nodo comunica su entorno local a todos los

nodos. Así cada nodo es capaz de conocer la topología de la red. La clave y

dificultad de este método es la difusión.

Ventajas del método:

• Detección de errores más sencilla (si un estado de enlace es infinito,

significa que el nodo ha caído).

• Convergencia rápida.

• Alta adaptabilidad a los cambios, ya que los nodos tienen información

de toda la red

• Menor consumo de capacidad: el tamaño del tráfico enviado es

siempre el mismo independientemente del tamaño de la red.

Inconvenientes del método:

• Difusión.

• Consumo de memoria elevado: cada nodo almacena toda la topología

de la red.

45

2.2.2.3 Comparación de los Métodos de Encaminamiento

Tipos deEncaminamiento

Estático

Q-Estático

Centralizado

Aislado

Distribuido

Recepciónde

informaciónde Control

NO

NONodos ->

Nodo Central

NO

todos losnodos

Envío deInformaciónde Control

NO

NO

Nodo Central-> Nodos

NO

Todos losnodos

Decisión deencaminamiento(cálculo de FiB)

OFF-LINE

OFF-LINE

Nodo Central

Todos los nodos

Adaptación

NOReducida

SI

"" SI

SI

Tabla 2.6 Comparación de Métodos de Encaminamiento

En los encaminamientos estático y cuasi-estático la información necesaria se

recoge y se envía mediante gestión (al crear la red y en operaciones de

mantenimiento), y los cálculos de la FIB se realizan off-line (mediante gestión,

es decir en una máquina separada).

2.3 Algoritmos de Encaminamiento [2-1S2-3J

2.3.1 Introducción

Existen varios tipos de algoritmos de encaminamiento:

2.3.1.1 Algoritmos de camino más corto

Cada nodo decide cuál es el camino más corto hacia un destino, en función

de la información de control que recibe de otros nodos de la red. Estos

algoritmos minimizan el costo o distancia de la ruta que une dos nodos

46

cualesquiera. Por ejemplo, si la métrica utilizada es el número medio de

saltos, el algoritmo de camino más corto será el que minimice este número de

saltos entre los nodos que se pretende conectar.

En concreto, se verá los algortimos de Dijkstra, de Floyd - Marshall, de

Bellman - Ford y de Bellman - Ford distribuido.

2.3.1.2 Algoritmos aislados

Los nodos no intercambian información de control explícitamente. Se puede

distinguir dos clases de algoritmos para un encaminamiento de este tipo, que

son algoritmos de aprendizaje y algoritmos de inundación. Ejemplos

concretos de este tipo de algoritmos hay muchos, como el denominado

algoritmo de Hot Potato o Patata Caliente.

2.3.1.3 Algoritmos de difusión

Permiten hacer llegar un paquete a todos los nodos de una red. Este

procedimiento encuentra una aplicación directa para un encaminamiento

basado en el estado de enlaces, puesto que la información sobre los estados

de los enlaces se difunde a toda la red, y en general, lo que se hará será

mandar paquetes a todos los nodos y marcarlos para deshabilitarlos si

vuelven a pasar (para evitar bucles).

Se verá cuatro métodos de conseguir la difusión:

1er método: consiste en enviar paquetes a todos los demás nodos. Este

método es poco eficiente porque por un mismo nodo pasan varios paquetes

iguales, además de que no elimina el problema de la formación de bucles.

2- método: hace una inundación: se manda un paquete de un nodo origen a

todos los demás. Este tampoco es un buen método, porque consume muchos

recursos y también puede hacer que aparezcan bucles.

47

3- método: Se deshabiíita algunos enlaces de forma que todos los nodos

estén conectados pero sin bucles. Así, al inundar se consigue tener muy

pocos envíos. Es una solución bastante utilizada, aunque la forma de acordar

entre todos los nodos de la red qué enlaces se deshabilitan es complicada.

4- método: se hace un reenvío por ruta hacia atrás (Reverse Path

Forwarding). No requiere calcular el árbol de expansión. Los nodos tienen

calculadas las rutas, y cuando tienen que ayudar a difundir no siempre se

hace inundación: se mira la dirección origen del paquete; si llega por el

enlace que utiliza el nodo para ir al origen inunda; si llega por otra ruta el

nodo considera que el paquete está dando vueltas y lo descarta.

2.3.2 Teoría de Grafos

La distancia o costo de un canal: es una medida de la calidad de un enlace

en base a la métrica que se haya definido (por ejemplo, la sensibilidad al

aumento de tráfico; otras veces es costo económico, probabilidad de error,

etc.) en la práctica se usan varias métricas simultáneamente.

Para el desarrollo de los siguientes conceptos se toma como ejemplo la red

de la figura 2.5 (donde los números situados sobre cada enlace indican el

costo del mismo).

Figura 2.5 Ejemplo para la teoría de grafos

48

Sobre ésta se definirá:

2.3.2.1 Árbol de expansión (Spanning tree) de una red

Es un subconjunto del grafo que representa toda la red y tiene las siguientes

características:

• Mantener la conectividad: es posible alcanzar cualquier nodo desde

cualquier otro nodo.

• Eliminar los lazos: no hay bucles topológicos. Contiene a todos los

nodos de la red.

Este tipo de grafo no es único; un ejemplo sobre la red anterior es:

Figura 2.6 Ejemplo de árbol de expansión para la red anterior

Se lo suele usar cuando se desea hacer inundación, ya que si todos los

nodos tienen en su tabla de encaminamiento el mismo árbol de expansión, no

se producirán bucles y todos los paquetes llegan a todos los nodos. Se utiliza

sobre todo en difusión.

2.3.2.2 Árbol de expansión de costo o distancia mínima (Minimun

Spaning Tree)

El árbol de expansión hace que el sumatorio de distancias que emplea sea

mínima. Sobre el ejemplo anterior se tiene que el costo es de 10, porque se

suma lo siguiente:

49

AB (1) + BE(3) + BD(2) + BC(4) = 10

En la figura 2.7 se puede ver que este grafo es un mínimo (la suma de

distancias es 5; esto se puede comprobar sumando el peso de las distancias

de cada canal, tal y como aparecen en la figura 2.5); no existe otro con suma

de distancias menor, aunque en general podría haberlo, es decir, el árbol de

expansión del costo mínimo no es único, aunque en la práctica se escoge

uno y se trabaja con él en lo sucesivo.

Figura 2.7 Árbol de expansión de la distancia mínima

La suma de distancias es:

AB(1) + AE(2) + ED(1) + DC(1) = 5

2.3.2.3 Árbol divergente (Sink tree) de un nodo

Es un árbol con origen en un nodo y ramas a todos los restantes nodos. No

produce bucles. Hay un árbol divergente por cada nodo; sin embargo,

normalmente se trabaja con un sólo árbol de expansión para toda la red (lo

cual no quiere decir que no haya muchos árboles de expansión diferentes,

aunque se trabaje con uno sólo acordado por toda la red).

El árbol divergente determina las distancias más cortas de ese nodo al resto

de los nodos: el sumatorio del peso de los enlaces es mínimo entre el nodo

50

raíz y cualquier otro, siendo expresada de forma gráfica, la tabla de

encaminamiento de cada nodo.

En la red usada como ejemplo, el árbol divergente del nodo A, es el siguiente:

Figura 2.8 Árbol divergente para el nodo A

No se debe confundir el árbol divergente con el árbol de expansión de peso

mínimo, aunque puede coincidir. En el primero se minimiza las distancias del

nodo raíz a cada uno de los demás nodos, mientras que en el segundo

minimiza la suma de las distancias de los enlaces.

2.3.3 Algoritmo de Dijkstra '2-^2-

Se halla el camino de mínima distancia entre un nodo origen (o raíz) y

cualquier otro nodo de la red. Puede verse que esto equivale a decir que

construye el árbol divergente de la red.

La idea es construir el camino de distancia más corta en orden de longitud de

camino creciente, es decir, se va iterando con la distancia, seleccionando en

cada caso el nodo más cercano.

A cada nodo se le asigna una etiqueta, que es un indicador de la distancia del

nodo origen al nodo en cuestión. Así, se hace una partición de la red: se crea

un conjunto de nodos con etiqueta permanente (conjunto P) y un conjunto de

nodos con etiqueta tentativa (conjunto T), es decir un conjunto de nodos cuya

51

etiqueta puede cambiar en las siguientes iteraciones. El algoritmo en detalle

es el siguiente:

* Paso 0: Iniciación

Se selecciona un nodo de la red, al que se llama nodo 1, que será el nodo

origen. Entonces:

P = {1} , Di = 0 , Dj = dij, V j *1

es decir, el único nodo con etiqueta permanente es el origen (con etiqueta

"cero"). Para los demás, la etiqueta es la distancia al nodo origen (d¡j).

• Paso 1: Encontrar el nodo más cercano

Encontrar i e P tal que D¡ = min D¡

Sea P = P^{1}

Si P contiene todos los nodos, se debe parar porque el algoritmo está

completo.

• Paso 2: Actualización de etiquetas.

V j e P: DJ = min{Dj, D¡ + d¡j}

Ir al paso 1.

Si hay que elegir entre dos etiquetas iguales, se elige cualquiera de ellas (no

se soporta balanceo de carga).

Para comprender mejor este algoritmo, se verá un ejemplo sobre la red de la

figura 2.5 tomando como nodo origen el A. En las siguientes figuras, el

número que va sobre cada enlace representa la distancia física entre nodos y

52

el número que hay en cada nodo representa su etiqueta (un guión representa

una etiqueta de valor infinito: no hay conexión directa entre cualquier nodo

con etiqueta permanente y el nodo con dicha etiqueta):

Iterwié»! HerftcÍém2

0

IteraciénS

Figura 2.9 Ejemplo de Algoritmo de Dijkstra

Por último, se ingresa el nodo C en la partición de nodos con etiqueta

permanente, siendo su etiqueta "1" (se accedería a través del nodo D).

Como se puede ver, este algoritmo tiene una complejidad de N2 operaciones.

Para calcular las mejores distancias entre todo par de nodos, la complejidad

es del orden de N3 operaciones.

53

No se obtiene directamente las tablas de encaminamiento, sino las distancias

entre nodos. Para obtener las tablas de encaminamiento hay que fijarse en

los caminos que va escogiendo en cada iteración, que le sirven para

actualizar las etiquetas.

Las distancias obtenidas por cada Iteración son:

Iteración 1: DAk = {0,1,a>t oo,2)

Iteración 2: DAk = {0,1,5,3,2}



Luego la mínima distancia del nodo 1 al resto es: D1K = {0,1,4,3,2}

A continuación otro ejemplo (i = 1):

Figura 2.10 Otro ejemplo de Algoritmo de Dijkstra

El resultado, por pasos, es el siguiente:

Sobre la primera iteración se tendría:

1.- P = {1}; T = {2,3,4,5,6}; D1K = {0,1 ,-,4,-,-}

En la segunda Iteración:

2.- P = {1,2}; T = {3,4,5,6}; D1K = {0,1,4,4,2,-}

En la tercera Iteración:

54

3.- P = {1,2,5}; T = {3,4,6}; D1K = {0,1,3,3,2,6}

En la cuarta Iteración:

4.- P = {1,2,5,4}; T = {3,6}; D1K = {0,1,3,3,2,6}

En la quinta Iteración:

5.- P = {1,2,5,4,3}; T = {6}; D1K = {0,1,3,3,2,6}

En la última y sexta Iteración:

6.- P = {1,2,5,4,3,6}; T = {}; D1K = {0,1,3,3,2,6}

Luego la mínima distancia del nodo 1 al resto es: D1K = {0,1,3,3,2,6}

2.3.4 Algoritmo de Floyd-MarshallÍ21S25]

A diferencia del algoritmo anterior (algoritmo de Dijkstra), que consideraba un

nodo origen cada vez, este algoritmo obtiene la ruta más corta entre todo par

de nodos (todos con todos). Itera sobre el conjunto de nodos que se permiten

como nodos intermedios en los caminos. Empieza con caminos de un solo

salto y en cada paso ve si es mejor la ruta de la iteración anterior o si por el

contrario conviene ir por otro nodo intermedio más (aquel sobre el cual se

itera).

Para ello se construye la matriz D, cuyos elementos, D¡¡, son las etiquetas

(indicadores de distancia) de la ruta entre el nodo / y el / El algoritmo es el

siguiente:

D00es el camino del nodo T al nodo 'j1 pasando por 'n1 nodos intermedios.

Pasos del algoritmo:

1-PASO O (INICIACIÓN):

55

Z)(11) = du "

2.- PASO 1 (ITERACIÓN):

D(íí) , AJ )

En cada paso se ve si es mejor la ruta de la iteración anterior o si es mejor ir

a través del nodo n. Como ejemplo, para la siguiente red, se tendrá la

siguiente secuencia de matrices:

Figura 2.11 Ejemplo de Algoritmo de Floyd-Marshall

O 1 - - 2

1 0 4 2 3

- 4 0 1 -

- 2 1 0 1

2 3 - 1 0

0 1 5 3 2

1 0 4 2 3

5 4 0 1 7

3 2 1 0 1

2 3 7 1 0

1 0 4 2 3

- 4 O 1 - ->

- 2 1 3 1

2 3 - 1 0

0 1 4 3 2

1 0 3 2 3

4 3 0 1 2

3 2 1 0 1

2 3 2 1 0

0 1 5 3 2

1 0 4 2 3

5 4 0 1 7

3 2 1 0 1

2 3 7 1 0

0 1 4 3 2

1 0 3 2 3

4 3 0 1 2

3 2 1 0 1

2 3 2 1 0

Figura 2.12 Matriz de distancias

56

En la segunda matriz se tiene las distancias desde el punto A hasta el resto

de puntos, si no existe conexión directa se considera infinito; se analizará la

distancia para el nodo C de la primera matriz:

C con respecto a A no hay conexión, entonces le valor es «>, ahora C con B la

distancia es 4, C con C la distancia es O, C con D la distancia es 1 y por

último C con E la distancia es «>, porque no hay conexión directa entre los

nodos. Esto se realiza con todos los nodos sobre la primera matriz.

Para la tercera matriz se debe hacer lo mismo pero se debe poner al nodo B

como nodo intermedio, se analizará sobre el nodo C de la tercera matriz; C

con respecto a A es 5 porque tiene que pasar por B dando la suma de

(4+1 )=5, ahora C con B es 4, es una conexión directa, C con C es O, C con D

es 1, conexión directa y por último C con E es 7 porque tiene que pasar por

B. Se realiza con todos los nodos sobre la tercera matriz y con el restante de

las matrices.

La primera fila de la matriz (distancias del nodo A a todos los demás)

coincidiría con las etiquetas halladas con Dijkstra.

La última matriz es la matriz de distancias buscada, ya que se han probado

todos los nodos intermedios. Hay que tener en cuenta que el algoritmo da

sólo la menor distancia; se debe manejar información adicional para

encontrar tablas de encaminamiento.

La complejidad de este algoritmo es del orden de N3, igual que para Dijkstra.

Para un encaminamiento distribuido con estado de enlaces es mejor Dijkstra,

que tiene una menor complejidad para un nodo dado.

2.3.5 Algoritmo de Bellman/Ford [21Jf25J

Encuentra la mínima distancia de un nodo dado al resto de nodos; y si se

lleva información adicional proporciona las tablas de encaminamiento al igual

que los anteriores.

57

Itera sobre el número de saltos, h, es decir, se busca el mejor camino, el de

distancia más corta, con la restricción de llegar al destino en un número de

saltos h (número de la iteración). No encuentra las mejores rutas hasta que el

algoritmo no se ha ejecutado por completo.

Es decir, consiste fundamentalmente en calcular la distancia de un nodo

(aquel para el cual se aplicará el algoritmo) a los demás sin dar ningún salto,

luego dando uno, etc.

Sea el nodo i aquel para el que se quiere encontrar las mejores rutas al resto

de nodos. El algoritmo es el siguiente:


1.-PASOO:

n = O ('n' es el número de saltos)

2.-PASO 1:

A continuación se analizará un ejemplo de aplicación de este algoritmo para

la red de la figura 2.13

Se tendrá entonces:

58

Figura 2.13 Ejemplo para análisis de Bel Imán/Ford

Primero para n=0 (sin saltos), donde solo el nodo 1 se puede ver así mismo y

con el resto no, éste toma el valor de oo con el resto de nodos, como se

puede ver en la siguiente figura:

oo co

oo

00 00

Figura 2.14 Distancia con n=0

Siguiendo con el algoritmo el nuevo valor de n es 1, quedando el gráfico de la

siguiente manera:

59

00


Con n=1 se obtiene las mejores distancias que se puedan obtener con solo

un salto.

Para n=2 (dos saltos) se tiene:


Se ve que con un salto, cuesta más llegar al nodo 3 (distancia 5) que con dos

saltos (distancia 4)

Para 3 saltos (n=3) se tendrá;

60


En este punto el algoritmo se detiene, ya que (n=4) y (n=5) no aportan mejora

alguna.

Se prueba dando un salto más. Hay que notar que está permitido el caso i=j,

resultando entonces que no se da un nuevo salto (era mejor la ruta hallada

antes).

Tiene una complejidad del orden de N3 por cada nodo que realiza el

algoritmo; es decir, un orden mayor que Dijkstra. El interés del algoritmo

radica en que se asemeja al de una red en la que se parte de la ignorancia

total de un nodo, en la siguiente iteración conoce a sus nodos vecinos y así

va progresivamente conociendo nodos más lejanos. Puede verse que ésta es

la forma de trabajar de un encaminamiento mediante vector de distancias.

Para ello, necesita ser enunciado de forma distribuida, de Ea forma que se

analizará a continuación.

2.3.6 Algoritmo de Bellman-Ford Distribuido [2-1][2-5J

Es la base de un algoritmo de vector de distancia. Se ejecuta para cada nodo

61

n(i j) = k —> es d siguiente salto para ir del nodo 'i* al *js

D(i j) —> es la distanda del nodo 4' al 'j' (pasando por n


1.-PASOO:

d., sij esvecinodei, „«o parael resto

> j)=j (P°-ra ¿ y J

2.- PASO 1 (ACTUALIZACIÓN): cada cierto tiempo, el nodo Y envía la

información de actualización a sus vecinos D(i,j), recibiendo a su vez de

todos sus vecinos 'j' los D(j,k). Entonces, el nodo T calcula la distancia de Y a

'k' pasando por'j':

y realiza la siguiente actualización de su tabla de encaminamiento:

si .n(¡,k) = j

El proceso de actualización se sigue repitiendo: cuando un nodo / recibe un

vector de distancias de un nodo vecino j, calcula las distancias a todos los

demás nodos k a través del vecino j, y si es mejor que por el camino anterior

se actualiza la tabla de encaminamiento del nodo i, ( n(i,k)=j) y las nuevas

62

distancias D(i,k). Una vez obtenido el nuevo vector de distancias, i se lo

manda a los demás nodos j para que éstos actualicen a su vez los suyos.

Se analizará el siguiente ejemplo:

Figura 2.18 Ejemplo de Algoritmo de Bellman-f ord Distribuido

Inicio (nodo A)

Vector distancias de B: D(B,j) = (A,1;B)0;CI4;D,2;E,3)

El vector de distancia de B llega a A, el cual actualiza el suyo:

) = (A,A;B,B;C,B;D,B;E,E)

En el ejemplo, el nodo A conoce las distancias a sus vecinos B y E por lo que

su vector de distancias sería (A,0; B,1; E,2). Cuando le llega el vector de

distancias de 6, que sería (A,1; B,0; C,4; D,2¡ E,3), el nodo A realiza los

cálculos descritos y se da cuenta de que puede llegar a E, D y C a través de

B, siendo el vector de distancias resultante (A,0; B,1¡ C,5; D,3; E,2). Así, A

pone en su tabla de encaminamiento que C y D son accesibles a través de B

y manda el vector calculado a sus nodos vecinos, que a su vez calculan un

nuevo vector de distancias. Esto se repite hasta que todos los nodos saben

63

dónde deben mandar un paquete para que llegue a su destino a través de un

camino de distancia mínima

2.3.7 Algoritmos de Inundación

En este algoritmo los nodos no intercambian información de control. Cuando

un paquete llega a un nodo de la red, lo que éste hace es conmutarlo por

todos los puertos de salida sin mirar ninguna tabla de encaminamiento. De

esta forma se asegura que el paquete llegue al destino.

Hay problema si la topología presenta bucles ya que el paquete estará dando

vueltas de manera indefinida. Como consecuencia, se consume capacidad

de red ilimitada. Además, llegan paquetes duplicados.

La solución pasa por limitar la vida del paquete en la red con el TTL6, es

decir, establecer una caducidad. Cuando se genera un paquete se incluye

en un campo el número máximo de saltos que éste puede dar. Cada vez que

ese paquete es conmutado el campo "número de saltos" se decrementa en

una unidad hasta que sea cero, en cuyo caso los nodos ya no lo conmutan,

sino que lo descartan. De esta manera se asegura una existencia limitada del

paquete dentro de la red.

Es necesario establecer el valor inicial del contador lo suficientemente alto

como para que el paquete sea capaz de llegar al destino, pero tampoco

excesivamente alto porque podría consumir muchos recursos. La decisión

que se adopta es inicializar el contador al número de saltos necesario para

llegar desde cualquier nodo de la red a otro (el valor es el mismo para todos

los paquetes generados, sea cual sea el nodo de la red que lo haga).

6 TTL, time to Uve, tiempo de vida de un cierto paquete.

64

Otra solución es determinar si un nodo ha conmutado ya ese paquete. En

este caso, un nodo origen marca el paquete generado con un número de

secuencia de tal forma que la unicidad de ese paquete viene dada por el par

(origen, secuencia). Cuando un nodo conmuta un paquete mira en la tabla; si

ya lo ha conmutado lo descarta, y si no lo ha conmutado lo introduce en la

tabla.

Como ventaja respecto de la solución anterior se consume menos capacidad

de red, pero posee el inconveniente de que la tecnología del nodo es muy

compleja, pudiendo ser el tamaño de las tablas muy grande. Además esta

solución puede dar mayores retardos que la anterior.

Concluyendo, la inundación es buena si se tiene la red sobredimensionada,

ya que no se tendría tantas limitaciones en cuanto a ocupación de recursos.

En este caso, la inundación es el algoritmo más robusto y óptimo, ya que

encuentra todas las rutas, entre ellas la mejor.

2.5.5 Algoritmo de Aprendizaje hacia Atrás [2'1J

Son los utilizados en redes locales. Cuando llega un paquete a un nodo con

destino a otro nodo cualquiera, se hace lo siguiente:

1. Si no se conoce el nodo destino se inunda y se incrementa el campo

"número de saltos dados por el paquete" (al contrario que en inundación,

donde se decrementaba).

2. Si el destino se conoce, se envía el paquete por la ruta que se indica en

las tablas.

El aprendizaje se basa en que se parte de no tener ninguna información de

control, y según se van produciendo inundaciones se aprende. Cuando llega

un paquete se mira el origen, el puerto a través del que ha llegado y el

65

número de saltos dados por ese paquete hasta que ha llegado. Si no se tiene

ninguna entrada en la tabla de encaminamiento con el nodo del que ha

llegado o si la tiene pero con número de saltos mayor (mayor distancia) se

actualizan las tablas.

Para evitar que un paquete esté dando vueltas eternamente en la red y por lo

tanto consuma recursos innecesariamente, se limita el número de saltos que

éste puede dar.

En principio, cuando todos los nodos hayan aprendido las mejores rutas se

acabará la inundación. Sin embargo, a las entradas se les asocia un tiempo

de vida, que se renueva cada vez que se hace uso de la entrada. Si

transcurrido el tiempo de vida la entrada no ha sido empleada se borra,

volviendo a inundar. Así se logra que la red se adapte a los cambios.

Se analizará con un ejemplo:

Figura 2.19 Ejemplo de Algoritmo de Aprendizaje

Al nodo C le llega por la puerta 1 un paquete con origen en A y destino D.

Puede ser que C no sepa dónde está situado el nodo D pero aprende que A

es accesible por la puerta 1, y escribe esta información en su tabla de

encaminamiento. Así, si le llega luego un paquete con destino al nodo A, lo

mandará por la puerta 1.

• Problema: la inundación consume recursos indefinidamente y pueden

aparecer bucles. Esto puede evitarse añadiendo un poco de control: en

66

los paquetes se introduce información sobre el número de saltos que ha

realizado éste (se tiene un contador que se incrementa en cada salto);

cuando este número llega a un valor máximo, se descarta el paquete. De

esta forma se puede cuantificar distancias además de conocer la

conectividad entre dos nodos.

Este tipo de algoritmos es óptimo (consiguen la mejor ruta, ya que en realidad

consiguen todas), siempre que se controle que no se saturen los enlaces de

los nodos.

Estos algoritmos se llaman de Backward Leaming, o aprendizaje hacia atrás,

debido a que la forma que tienen de aprender los nodos es a través de la

información que les llega del nodo origen.

2.4 Ambiente de enrutamiento f2'4J

Un grupo Internet es un conjunto de redes interconectadas. El Internet por

otro lado es la colección de redes que permiten la comunicación entre la

mayoría de institutos de investigación, universidades y muchas otras

organizaciones alrededor del mundo.

Los enrutadores dentro del Internet están organizados jerárquicamente.

Algunos enrutadores son utilizados exclusivamente para mover información a

través de un grupo particular de redes bajo un mismo control y autoridad

administrativa (esa entidad es conocida como sistema autónomo-AS).

Los enrutadores usados para intercambiar información dentro del sistema

autónomo son llamados enrutadores interiores y usan una variedad de

protocolos IGPs (Interior Gateway Protocole) para cumplir con este fin.

Los enrutadores que se encargan de movilizar información entre los sistemas

autónomos son llamados enrutadores exteriores y ellos utilizan protocolos

EGP (Exterior Gateway Profoco/) o BGP (Border Gateway Protocol)

67

Autonomous' System

EGPBGP

Enhanced IGRPRIPOSPFIntegrated IS-IS

router

IBM PC

Ethernet Ethernet

I = Interior Routing ProtocolE = Exterior Routing Protocol

Figura 2.20 Representación de la Arquitectura de Internet

2.5 Enrutamiento Interior

Los protocolos de enrutamiento interior o IGPs operan dentro de un sistema

autónomo. A continuación se describirán algunos de los IGPs más populares

en las redes TCP/IP.

2.5.1 RIP (Routing Information Protocol)

Este protocolo fue desarrollado por Xerox Corporation a principios de 1980

para ser utilizado en redes XNS (Xerox Network Systems). RIP trabaja bien

en ambientes pequeños, aunque tiene serias limitaciones cuando es utilizado

68

en grandes ambientes de red. Por ejemplo, este protocolo limita el número de

saltos de enrutadores entre dos equipos cualquiera de una red tipo Internet a

16. RIP tiene baja convergencia o sea que toma mucho tiempo para adaptar

a todos los enrutadores a los cambios de red. Además determina la mejor

ruta a través de una Internet utilizando como métrica solamente el número de

saltos entre dos nodos.

Esta técnica ignora diferencias en la velocidad de la línea, utilización de la

línea, y otras métricas, muchas de las cuales pueden ser factores importantes

en la elección de la ruta óptima. Por estas razones muchas compañías con

grandes Internéis han migrado de RIP a protocolos de enrutamiento más

sofisticados.

2.5.2 IGRP (Interior Gateway Routing Protocol)

Con la creación de IGRP a principios de los 80's, Cisco Systems fue la

primera compañía en resolver los problemas asociados con el uso de RIP

para enrutar datagramas entre enrutadores interiores. IGRP determina la

mejor ruta a través de un Internet por el examen del ancho de banda y de la

demora de las redes entre los enrutadores. IGRP converge más rápido que

RIP, por lo tanto se evitan los ciclos de enrutamiento causados por el

desacuerdo entre enrutadores sobre cuál es el próximo salto a ser tomado.

Más aún, IGRP no tiene limitación en cuanto a contador de saltos. Por lo

anterior IGRP es utilizado en redes de gran tamaño, complejas y con

diversidad de topologías.

Cisco ha lanzado una nueva versión del IGRP para manipular redes de alto

crecimiento y misión-crítica de hoy día. Esta nueva versión es conocida como

EIGRP (Enhanced IGRP) y combina la facilidad de uso de los protocolos de

enrutamiento de vector de distancia tradicional, con las capacidades de re-

enrutamiento rápido de los actuales protocolos del tipo link-state.

69

EIGRP consume mucho menos ancho de banda que IGRP porque éste es

capaz de limitar el intercambio de información de enrutamiento para incluir

solamente la información que ha cambiado. Además, es capaz de manipular

información de enrutamiento de AppleTalk7 y Novell IPX, así como

información de enrutamiento de IP.

2.5.3 OSPF (Open Shortest Path First)

OSPF fue desarrollado por el IETF (Internet Engineering Task Forcé) como el

reemplazo de RIP. Este protocolo es soportado por todos los principales

vendedores de equipo de enrutamiento IP. OSPF es un protocolo de

enrutamiento jerárquico del tipo link-state . Soporta enrutamiento jerárquico

dentro de un sistema autónomo. OSPF provee un muy rápido enrutamiento y

soporta máscaras de subred de longitud variable. OSPF se derivó del

protocolo de enrutamiento /S-/S de la OSI. Algunas características especiales

del OSPF incluyen enrutamiento de múltiples caminos de costo y

enrutamiento basado en un tipo de nivel superior de solicitudes del servicio

(TOS type-of-servíces). Por ejemplo una aplicación puede especificar que

ciertos datos son urgentes. Si OSPF tiene enlaces de alta prioridad a su

disposición, ellos pueden ser utilizados para transportar un datagrama

urgente. OSPF soporta una o más métricas.

2.5.4 IS-IS (Intermedíate System-lntermediate System)

Este es un protocolo de enrutamiento jerárquico, intradominio y de estado de

enlace utilizado por el algoritmo de enrutamiento DECnet Phase V8. Este es

muy similar de muchas maneras al OSPF. Puede funcionar sobre una

variedad de subredes, incluyendo LAN con broadcast, WAN y enlaces punto

7 Apple Talk, Protocolo de enrutamiento de Sistemas Macintosh8 DECnet Phase V, Es un grupo de productos de Comunicaciones, desarrollado y soportadopor la firma Digital Equipment Corporation. DECnet Phase V está ampliamente basado en losprotocolos OSI.

70

a punto. El Integrated IS-IS es una implementación del /S-/S no solo para

OSI, ya que soporta protocolos de OSI e IP. Al igual que todos los protocolos

de enrutamiento integrados, llama a todos los enrutadores para "correr" un

solo algoritmo de enrutamiento. Los anuncios de todos los enrutadores de

estado del enlace corriendo el IS-IS incluyen todos los destinos que están

corriendo los protocolos ya sea IP u OSI.

2.5.5 Enrutamiento Exterior

Los protocolos de enrutamiento exterior intercambian información de

enrutamiento entre redes que no comparten una administración común.

Básicamente hay dos tipos :

• BGP (Border Gateway Protocol}

• EGP (Exterior Gateway Protocol)

2.5.5.1 EGP (Exterior Gateway Protocol)

El primer protocolo de enrutamiento exterior de mayor difusión fue el EGP, el

cual provee conectividad dinámica pero asume que todos los sistemas

autónomos están conectados en una topología de árbol. Esto fue una

realidad en los inicios de la Internet pero ya no lo es.

Aunque EGP es un protocolo de enrutamiento dinámico éste utiliza un diseño

muy simple; no utiliza métricas y por lo tanto no toma verdaderas decisiones

inteligentes de enrutamiento. Sus actualizaciones de enrutamiento contienen

información de los alcances en la red, es decir ellos especifican que ciertas

redes son alcanzables a través de la red.

71

Considerando sus limitaciones para las complejas interedes de hoy día, EGP

está siendo sustituido por otros protocolos como BGP.

Los protocolos EGP requieren tres elementos de información antes de que el

proceso de enrutamiento se pueda iniciar:

• Una lista de los servidores de comunicación vecinos con los cuales se

intercambiará información de enrutamiento.

• Una lista de las redes para anunciarse como alcanzables

• Un número de sistema autónomo del servidor de comunicación local.

Figura 2.21 EGP y los Sistemas Autónomos

2.5.5.2 BGP (Bordar Gateway Protocof)

BGP representa un intento para solucionar la mayoría de los problemas

serios de EGP. BGP es un protocolo de enrutamiento ínterdominio creado

para ser usado en los enrutadores centrales de la Internet. Este fue diseñado

para prevenir los ciclos de enrutamiento en topologías arbitrarias ya que

permite la selección inteligente de ruta basada en métricas. Aunque BGP fue

diseñado como un protocolo inter-dominio, puede ser utilizado dentro de los

dominios. Dos vecinos de BGP comunicándose entre dominios deben residir

sobre la misma red física. Los enrutadores BGP dentro del mismo dominio se

comunican con otro por dos razones:

72

• Asegurar que ambos tienen un visión consistente del dominio.

• Para determinar cuál enrutador BGP dentro del dominio puede servir

como un punto de conexión para o desde ciertos dominios externos.

Los mensajes de actualización de BGP consisten de pares de rutas de

números y de dominio de la red. La ruta del dominio contiene un grupo de

dominios a través del cual la red especificada puede ser alcanzada. Esos

mensajes de actualización son enviados sobre el mecanismo confiable de

transporte de TCP/IP. El intercambio inicial de datos entre dos enrutadores es

la tabla de enrutamiento completa de BGP. Las actualizaciones posteriores

son enviadas sobre cambios en las tablas de enrutamiento. Al igual que otros

protocolos de enrutamiento, BGP no requiere de refrescamientos periódicos

de la tabla de enrutamiento completa, aun cuando mantiene una tabla con

todas las rutas factibles para una red particular, este solo anuncia la ruta

(óptima) en sus mensajes de actualización.

La métrica de BGP es una unidad arbitraria que especifica el "grado de

preferencia" de un camino particular. Esas métricas son típicamente

asignadas por el administrador de la red a través de archivos de

configuración. Los grados de preferencia pueden basarse en diversos

criterios incluyendo contador de dominios (las rutas con un pequeño contador

de dominio son generalmente las mejores), de tipo de enlace ( es un enlace

estable, rápido y confiable) y otros factores.

73


[2.1] http://www.dc.uba.ar/people/materias/tc/informacion/apuntes/Apunte-Ruteo.html

[2.2] Lijding María Eva, Un Nuevo Protocolo de Ruteo Interno, Universidadde Buenos Aires, Departamento de Computación.

[2.3] Tanenbaum, Andrew S., Computer Network, Prentice-Hall, 1996

[2.4] http://fenix.sis.epn.edu.ee/-ntrujill/Topico/28.html

[2.5] http://www.etse.urv.es/-cmolina/XCI/files/trans_xci_i/sld108.htm

74

Capítulo I

Sistemas Autónomos y BGP4

3.1 Introducción

Cada día que pasa en el Internet se incrementan los usuarios, por lo tanto los

Proveedores de Servicios de Internet necesitan incrementar sus redes así

como administrar las mismas, razón por la cual es necesario que cada

Proveedor de Servicio de Internet (/SP) obtenga su propio Sistema Autónomo

para optimizar sus redes en el Backbone de Internet y tener una administración

de los routers* en forma automática.

3.2 Conceptos Generales

3.2.1 Definición de Sistema Autónomo I311 {Z2{

En la gran red mundial que es el Internet, un Sistema Autónomo es una política

de ruteo tanto para una red simple como para un grupo de redes, que es

controlada por un mismo Administrador o por un grupo de Administradores

sobre una única identidad administrativa como una Universidad, una empresa

de negocios, o una división de negocios, etc.

Las redes internas de un Sistema Autónomo se comunican entre sí a través de

un protocolo llamado "Interior Gateway Protoco/", y un Sistema Autónomo

comparte su información de ruteo con otros Sistemas Autónomos usando el

protocolo "Border Gateway Profoco/"

3.2.2 Definición de Backbone [3'3]

Una red backbone, es una red de alto rendimiento formada por líneas

especiales de alta velocidad (enlaces T3 que pueden transmitir 45 Mbps),

cables de fibra óptica y enlaces vía satélite.

1 Router, son dispositivos que conectan físicamente las redes en Internet que hacen uso delprotocolo TCP/IP. Son puentes inteligentes de enlace que leen la dirección contenida en lasprimeras líneas de cada paquete, y determinan la mejor forma de enviar el paquete a sudestino, teniendo en cuenta lo ocupada que puede estar la red. La última generación de routerspuede tomar decisiones de cuál es el mejor camino disponible, el más rápido y el de menorcosto.

75

A una red backbone (o columna vertebral) se conectan otras redes de menor

rendimiento encargadas de transmitir datos entre computadoras centrales,

locales u otras redes de tránsito.

Una de las superautopistas de Internet, es el backbone NSFNET en los

Estados Unidos. Otras redes importantes existentes en Internet son: NASA,

CERN, NREN, BITNET, BARRNET, SURANET, etc.

3.2.3 Definición de Dominio {3'4J

La definición de Dominio es bastante amplia y se la puede dividir de la

siguiente forma:

• Dentro de la computación y del área de telecomunicaciones, un dominio

es una referencia que es identificada por un nombre; esta referencia por

lo general es un número de puntos de red o direcciones.

• Sobre el Internet, un dominio consiste de un grupo de direcciones de

red; este dominio se organiza por niveles. El nivel más alto puede ser

identificado ya sea por una zona geográfica o por el propósito de la

empresa, por ejemplo éste puede ser comercial, de red, de gobierno,

etc.

• El segundo nivel, identifica un único puesto que se encuentra a

continuación del nivel más alto y debe ser una dirección única sobre el

Internet. El nivel o niveles más bajos pueden ser usados también y se

posesionan a continuación del nivel medio.

Estrictamente hablando, sobre el Internet en el DNS ("Domain Ñame

System"), un dominio es un nombre con el cual el registro del nombre

del servidor es asociado con subdominios o hosts. Por ejemplo

"telconet.net" puede ser un dominio con registro www.telconet.net.

76

• En Windows NT y Windows 2000, un dominio es un conjunto de

recursos de red utilizado para un grupo de usuarios. (Por ejemplo:

aplicaciones, impresoras, etc.)

Para esto, el usuario necesita ingresar dentro del dominio para tener

acceso a todos los recursos de la red, estos recursos pueden estar en

diferentes servidores sobre el dominio.

3.2.4 Interacción entre dos Sistemas Autónomos [3'5]

Se considerará el caso de dos Sistemas Autónomos X (SAX) y Y (SAY), que

intercambian información de enrutamiento:

Red 1 Red 2

Cada Sistema Autónomo se conecta con una Red privada llamada RED1 y

RED2 respectivamente, existiendo también una comunicación entre los

Sistemas Autónomos.

El Sistema Autónomo SAX sabe cómo localizar un prefijo llamado RED1 que es

su red interna privada. No importa si la Redi pertenece al Sistema Autónomo

SAX o a algún otro Sistema Autónomo (SA) que intercambia información con el

SAX, ya sea directa o indirectamente; simplemente se debe asumir que el

Sistema Autónomo SAX sabe cómo direccionar paquetes de información hacia

la REDI Así mismo el Sistema Autónomo SAY sabe cómo localizar la RED2.

77

A fin de que el tráfico desde la RED2 hacia la RED1 fluya entre el Sistema

Autónomo SAX y el Sistema Autónomo SAY, la RED1 debe ser anunciada

ante el Sistema Autónomo SAY por el Sistema Autónomo SAX utilizando un

protocolo de enrutamiento exterior; esto significa que el Sistema Autónomo

SAX está dispuesto a aceptar el tráfico direccionado hacia la RED1 desde el

Sistema Autónomo SAY. La política de enrutamiento entra en juego cuando el

Sistema Autónomo SAX decide anunciar a la RED1 ante el Sistema Autónomo

SAY.

Para que el tráfico fluya, el Sistema Autónomo SAY tiene que aceptar esta

información de enrutamiento y usarla. Es un privilegio del Sistema Autónomo

SAY usar o descartar la información que recibe del Sistema Autónomo SAX

acerca de la accesibilidad de la REDI

El Sistema Autónomo SAY puede decidir no usar esta información si no quiere

enviar tráfico a la RED1 en absoluto o si considera otra ruta más apropiada

para alcanzar a la RED1.

A fin de que el tráfico con dirección hacia la RED1 fluya entre el Sistema

Autónomo SAX y el Sistema Autónomo SAY, el Sistema Autónomo SAX deberá

anunciar esa ruta al Sistema Autónomo SAY y éste deberá aceptarla:

Flujo de Paquetes hacia Redi

Anuncio Redi

f Acepta Red2

Acepta Redi

Anuncio Red2

, _ __^

Flujo de Paquetes hacia Red2

Esta situación es Ideal, porque en la práctica rara vez las políticas del anuncio y

la aceptación del Sistema Autónomo SAX y del Sistema Autónomo SAY son

simétricas.

78

A fin de que el tráfico hacia la RED2 fluya, el anuncio y la aceptación de la

RED2 deben darse (imagen espejo de lo que sucede con la RED1). Para casi

todas las aplicaciones la conectividad en una sola dirección no es útil.

Se debe notar que, en topologías más complejas que la de este ejemplo, el

tráfico de la RED1 a la RED2 puede no necesariamente tomar el mismo camino

que el tráfico de la RED2 a la RED1; esto se conoce como enrutamiento

asimétrico. El enrutamiento asimétrico no es inherentemente malo, pero

muchas veces puede causar problemas de desempeño para protocolos de nivel

superior, tal como TCP, por lo que se debe usar con precaución y solamente

cuando sea necesario. Sin embargo, el enrutamiento asimétrico puede ser un

requerimiento para hosts móviles y situaciones evidentemente asimétricas, tal

como una conexión en la que el satélite descarga la información (download) y

el modem la carga (upload)

Las políticas no son configuradas para cada prefijo en forma separada sino

para grupos de prefijos. Estos grupos de prefijos son los Sistemas Autónomos

SAs.

Un Sistema Autónomo SA tiene un número global único (a veces llamado ASN

por las siglas de Autonomous System Number) asociado con él; este número

es usado tanto en el intercambio de información de enrutamiento exterior (entre

SAs vecinos), como para identificar al Sistema Autónomo SA en sí.

En términos de enrutamiento, un Sistema Autónomo SA normalmente utilizará

uno o más IGPs (Interior Gateway Protocol) para intercambiar información de

accesibilidad dentro de su propio Sistema Autónomo SA. Sobre el RFC1655 se

puede ampliar este tema, ver Anexo A1.

3.3 Problemas que se presentan en la asignación de SistemasAutónomos

El término Sistema Autónomo SA es frecuentemente confundido o mal utilizado

como una manera conveniente de agrupar un conjunto de prefijos que

79

pertenecen a la misma administración, incluso si dentro de ese grupo de

prefijos hay varias políticas de enrutamiento diferentes. Sin excepción, un

Sistema Autónomo (SA) debe tener solamente una política de enrutamiento.

Es esencial tener una cuidadosa consideración y coordinación durante la

creación de un SA. Se debe evitar usar un SA simplemente por tenerlo, así

como también se debe evitar tener un SA por cada clase de red (lo IDEAL es

tener un prefijo, que contenga muchos prefijos mas largos, por cada SA). Esto

puede implicar que se requiera algo de reingeniería con el fin de aplicar los

criterios y lineamientos, que se listan, para la creación y asignación de un SA;

no obstante, hacerlo es probablemente la única manera de implementar la

política de enrutamiento deseada.

Cuando se diseña un SA, se debe tener cuidado de registrar los bloques CIDR2

clasificados adecuadamente según su tamaño con su autoridad de registro con

el fin de minimizar el número de prefijos anunciados desde su SA. Ese número

puede, y debería, ser igual a uno.

Algunos enrutadores usan un número de SA como una forma de etiquetado

para identificar los procesos de enrutamiento tanto interiores como exteriores.

Esa etiqueta no necesita ser única a menos que la información de enrutamiento

sea intercambiada con otros Sistemas Autónomos SA's.

3.4 Cuando es necesario crear un Sistema Autónomo ?

Hay características especiales que se deben considerar para poder tener un

criterio de cuando seleccionar o crear un Sistema Autónomo; estas

características son:

2 CIDR (Classless Inter-Domain Routing) es una manera para localizar y especificar la direcciónde Internet usada en el ruteo interno del dominio, más flexible que con el sistema original declases de direcciones del Protocolo de Internet. Como resultado, el número de direcciones deInternet disponible ha sido incrementado; CIDR es ahora el sistema de ruteo usado por todoslos gateways hosts sobre el backbone de Internet. Las autoridades que regulan el Internetahora permiten a todos los ISP que lo utilicen para ruteo.

80

3.4.1 Intercambio de información de ruteo externo

Un SA debe ser utilizado para intercambiar información de enrutamiento

externo con otros Sistemas Autónomos SA's a través de un protocolo de

enrutamiento exterior. El protocolo recomendado actualmente es BGP. Sin

embargo, el intercambio de información de enrutamiento exterior por si solo no

constituye una necesidad de un SA.

3.4.2 Existencia de muchos prefijos en un Sistema Autónomo SA

Como regla general, se debe tratar de ubicar tantos prefijos como sea posible

dentro de un Sistema Autónomo SA dado, con tal de que todos ellos estén bajo

la misma política de enrutamiento.

3.4.3 Requerimientos de una única política de enrutamiento

Un Sistema Autónomo SA es necesario únicamente cuando se tiene una

política de enrutamiento diferente a la del resto de miembros del grupo. Aquí la

política de enrutamiento se refiere a cómo el resto de la Internet toma

decisiones de enrutamiento basado en la información de su Sistema Autónomo

SA.

3.5 Guía de Creación de un Sistema Autónomo [3-6J

Existen varios pasos para llevar a la creación de un Sistema Autónomo, entre

los cuales se puede mencionar:

• El registro sobre NIC Internacional (formulario)

• Asignación de un Número para el Sistema Autónomo

• Pago a NIC Internacional

81

3.5.1 Formularios para la obtención de un Sistema Autónomo.

Existen dos tipos de formularios, el primero es para empresas privadas y ei

segundo es para empresas Militares o del Gobierno.

3.5.1.1 Formulario para una empresa Privada

Para hacer el requerimiento del sistema autónomo, es necesario llenar una

forma con los datos del sistema, tal como la que se indica en la tabla 3.1. En el

Anexo A2 se presenta un ejemplo del formulario lleno.

Forma Descripción

0. (N)ew (M)odify (D)elete.:

1. Autonomous System Ñame.

Organization Using ASN

2a. Organization Ñame.2b. Street address2c. City :2d. State :2e. Postal Code2f. Country :

Technical Contact

3a. ARIN-handle (if known).3b. Name(Last, First) :3c. Street address :3d. City :3e. State :3f. Postal Code :3g. Country :3h. Phone Number :3i. E-Mailbox :

Other Information:

Sección ONueva, Modificar o Borrar

Sección 1Nombre del Sistema Autónomo

Sección 2Organización usando ASN

Nombre de la OrganizaciónDirecciónCiudadEstadoCódigo PostalPaís

Sección 3Contacto Técnico

Manejo de ARINNombre (Segundo, Primero)DirecciónCiudadEstadoCódigo PostalPaísNúmero de teléfonoE-Mail

Otra Información:

Tabla 3.1 Formulario para empresa privada

82

3C. First Ñame...3D. Middle Initial.3E. Title/Rank

ADDRESS INFORMATION

3F. Organization Ñame3G. Address Une 1 :3H. Address Une 2 :31. Address Line 3 :3J. City orAPOorFPO3K. State or APO/FPO Code.3L, ZipCode :

PHONE INFORMATION

3M. Commercial Phone.3N. DSN Phone3O. Fax Phone

E-MAIL INFORMATION3P. E-mail Address

ADMINISTRATIVE CONTACT(Military Personnel or GovernmentEmployee Only)

4A. NICHandle :

ÑAME INFORMATION

4B. Last Ñame4C. First Ñame4D. Middle Initial4E. Title/Rank

ADDRESS INFORMATION

4F. Organization Ñame4G. Address Line 1 :4H. Address Line 2 :41. Address Line 3 :4J. City orAPOorFPO4K. State or APO/FPO Code.4L. ZipCode :

PHONE INFORMATION

4M. Commercial Phone.4N. DSN Phone

Primer NombreInicialesTitulo

Información de la Dirección

Nombre de la OrganizaciónDirección línea 1Dirección línea 2Dirección línea 3CiudadEstadoCódigo ZIP

Información de Teléfono

Teléfono ComercialTeléfono DSN (Deep space Network)Teléfono Fax

Información de CorreoDirección de Correo

Contacto AdministrativoSolo para personal Militar o delGobierno

Manejo del NIC

Información del Nombre

Segundo NombrePrimer NombreInicialesTitulo

Información de Dirección

Nombre de la OrganizaciónDirección línea 1Dirección línea 2Dirección línea 3CiudadEstadoCódigo ZIP

Información de Teléfono

Teléfono ComercialTeléfono DSN

84

4O. Fax Phone

E-MAIL INFORMATION

4P. E-mail Address

AUTONOMOUS SYSTEMCOMPOSITION (Free Form Section)

Protocol Information

5A. IGP used in AS:5B. EGPusedinAS:

Network Information

5C. IP Address of site Premise

Router:

5D. IP Address of Hub Router

connecting to:

5E. Number of Routers ín AS:5F IPAddresses of Routers in AS:5G. Number of Networks in AS:5H. IP Addresses of Networks in AS:

AUTONOMOUS SYSTEMJUSTIFICARON

6A. Additional supportingjustification:

Teléfono Fax

Información de E-mail

Dirección de Correo

Composición del Sistema Autónomo

Información del Protocolo

Protocolo usado para IGPProtocolo usado para EGP

Información de la Red

IP de su NIPRNET o SIPRNET Router

IP de su NIPRNET o SIPRNET Hub oRouter que se conectará

Número de Routers en el ASIP'sde los routersNúmero de redes in el ASIP's de las redes den el AS

Justificación del Sistema Autónomo

Justificación de la creación de suSistema Autónomo.

Tabla 3.2 Formulario para empresa Militar o del Gobierno

3.5.2 Numeración de los Sistemas Autónomos

Los números de Sistemas Autónomos (ASN) se utilizan para facilitar el

enrutamiento en redes con más de una conexión a proveedores diferentes. Se

asignan cuando su política de enrutamiento es diferente a la de su proveedor.

85

Esto generalmente significa que la red tiene más de una conexión a

proveedores diferentes. En casi todos los casos, a menos que se tenga más de

una conexión a diferentes ISP's, no se necesitará un ASN.

Si la política de enrutamiento coincide con la del proveedor, se debe utilizar el

ASN del proveedor. Si se tiene tráfico constante entre la red y un punto en otro

país, probablemente se tendrá que conectar a un segundo proveedor. La red

resultante, con más de una conexión a proveedores diferentes es más robusta,

y puede cambiar las relaciones con el tipo de registros (y por ende la forma de

solicitud). También incrementa el costo de operación sustancialmente.

Se puede ver obligado a reducir el tráfico en los enlaces internacionales

seleccionando conectarse a un punto de intercambio local. Este posibilita que

el tráfico local se mantenga dentro del país y no a través de costosos enlaces

internacionales; con la implementación de esto se tendrá más de una conexión

a diferentes proveedores.

Un Sistema Autónomo tiene un único número global (algunas veces referidos

como un ASN o Número de Sistema Autónomo) asociado con éste. Este

número es usado en el intercambio de información de ruteo exterior (entre

Sistemas Autónomos vecinos), y como un identificador de un Sistema

Autónomo.

En términos de ruteo, un Sistema Autónomo normalmente usará uno o más

protocolos de ruteo interior (IGP) cuando intercambia información dentro de su

propio Sistema Autónomo.

3.5.3 Costos de un Sistema Autónomo

ARIN, es la empresa que tiene el servicio de registrar dominios y Sistemas

Autónomos para las zonas América del Norte, América del Sur, el Caribe y

África; es el responsable de la registración, administración y la conservación del

espacio de dirección del Protocolo de Internet IP, en estas áreas geográficas.

86

La compañía ha establecido un costo de registración por un valor de USD

SOO.oo por cada Sistema Autónomo que se registre, y en lo posterior se deberá

pagar un valor de USD 30,oo anuales por concepto de mantenimiento, siendo

posible hacer pagos de mantenimiento por cada dos años, con un costo de

USD 60,00.

Los pagos anuales deben hacerse en cada aniversario del registro del Sistema

Autónomo, en caso de que no se realice el pago anual, se bloqueará al

Sistema Autónomo.

3.5.4 Sistemas Autónomos en el Mundo

Existen muchos Sistemas Autónomos registrados en el mundo actualmente se

tiene aproximadamente 16834, esta lista se encuentra en el anexo A4.

3.6 Introducción a una Sesión de BGP[37]

Cuando dos ruteadores están configurados para hablar BGP con el objeto de

intercambiar información de ruteo dinámica, la primera etapa es establecer una

conexión entre ellos. Los dos extremos de cada uno son llamados BGP peers

(semejantes), y juntos forman una sesión 6GP. Para que ambos extremos de la

sesión BGP se aseguren que nada de la información enviada entre los dos se

ha perdido, la conexión establecida entre los ruteadores debe ser confiable.

Hay dos maneras de lograr esta confiabilidad. La primera es que BGP invente

un protocolo interno en el mismo y que cumpla o que realice la entrega

ordenada de mensajes, detecte duplicados, reconozca cuando la información

se ha perdido y la retransmita, controle la tasa de envío para que el extremo

receptor no esté sobrecargado, etc. La otra opción es que BGP utilice un

protocolo existente que haga exactamente estas cosas. 8GP toma esta última

opción, específicamente utilizando el protocolo TCP. Antes que un intento se

haya realizado para establecer una conexión TCP entre los dos extremos, se

dice que la sesión BGP está en un estado vacío o disponible.

87

Cuando uno de los extremos empieza un intento de establecer una conexión

TCP, la Sesión BGP en este extremo estará en un estado de Conexión. Si la

conexión TCP no puede ser establecida después de un cierto tiempo el

extremo cambia al estado Activo, en el cual periódicamente reintenta

reestablecer la conexión. Después de que la conexión ha sido establecida, los

extremos pueden estar seguros de que los mensajes serán entregados

confiablemente siempre y cuando haya una conexión viable entre ellos.

Además los extremos conocen que si la conexión deja de ser viable ellos serán

comunicados de aquello localmente por el protocolo TCP. Este arreglo permite

que los mensajes BGP sean simples e incluyan solo la información necesaria

con el mínimo de overhead3. Una característica que BGP debe contener y no

puede confiar en un TCP como soporte es un keepalive 4 (mantener con vida).

En un sentido general un keepalive es una señal desde un extremo A a un

extremo B que indica que el extremo A está todavía allí y operando. Keepalives

se usan frecuentemente en circuitos conectados con ruteadores como una

manera de identificar circuitos con fallas. TCP por si solo no incluye un

keepalive, por esa razón BGP debe tomar en cuenta esa falta.

Después que la conexión TCP ha sido establecida, los dos extremos de la

conexión envían mensajes el uno al otro que son formateados de la manera

indicada por el protocolo BGP. Una reacción de un extremo a un mensaje del

otro extremo puede ser un mensaje BGP explícito en respuesta. O podría ser

un cambio a una entrada en ruta o envío de tablas o puede que no haya

ninguna reacción en lo absoluto.

A un nivel Alto, la primera cosa que los vecinos BGP hacen cuando la conexión

TCP es establecida, es identificarse entre ellos mismos en muchas maneras.

Cuando un extremo envía este mensaje de identificación, transpone al estado

Open Sent. Cuando un extremo recibe un mensaje de identificación similar de

su vecino, cambia al estado OpenConfirm. Basado en esta información de

identificación, cada vecino tiene el derecho de aceptar o rechazar una

3 Overhead: Sobre carga4 keepalive: mantener con vida

88

conexión. Si la conexión es rechazada, generalmente se realiza una

notificación de error de algún tipo y la conexión TCP se cierra. Si la conexión es

aceptada, cada extremo envía una notificación explícita de que está aceptando

la conexión. Cuando un extremo recibe esta aceptación se cambia al estado

Established.

En este punto, la sesión BGP se considera completamente activa y por primera

vez las rutas pueden ser intercambiadas. En este punto es necesario que cada

extremo anuncie una ruta por cada prefijo que quiera que el otro extremo

conozca. En otras palabras, si el ruteador A tiene 50000 prefijos y es

configurado para enviar todos al ruteador B, un gran número de mensajes

serán enviados anunciando todos estos prefijos.

Después de que estos mensajes iniciales han sido intercambiados, el ruteador

A necesita informar al ruteador B solamente de los cambios; el protocolo no

requiere que el ruteador refresque la información sobre estos prefijos al

ruteador B. Una característica importante de BGP es su apoyo a la política, lo

que significa que un emisor BGP no necesita aceptar cada ruta que aprende de

un vecino. Al contrario un emisor BGP puede aceptar selectivamente y

rechazar rutas basado en configuración.

Las sesiones BGP típicamente se quedan en el estado Established la mayor

parte del tiempo. Si un error ocurre mientras una sesión BGP está activa, el

vecino que percibe el error envía un mensaje a su vecino identificando el error

y después cierra la conexión TCP, regresando de esta manera al estado Idle.

Después que la conexión TCP ha terminado, cada extremo tiene que parar de

usar la información de ruteo que escuchó del otro. Si la conexión entre vecinos

BGP se detiene (por ejemplo porque uno de los ruteadores se cuelga o no hay

un canal viable entre ellos), la conexión TCP se detiene y cada extremo deja

de usar la información de ruteo que escuchó del otro.

89

3.6.1 Definición de Border Gateway Protocol BGP I3 81

Bordar Gateway Protocol es un protocolo que se utiliza para poder intercambiar

información entre redes de Sistemas Autónomos, el dispositivo que se utiliza

para esto son los routers, quienes facilitan este intercambio a través de este

protocolo.

Dentro de la tabla de ruteo se tiene las direcciones a las cuales los paquetes

deben alcanzar, así como también la métrica o costo.

Todos los hosts que trabajan con BGP usan la comunicación a través del

protocolo Transmission Control Protocol (TCP) y las tablas de información son

actualizadas solo cuando algún router BGP ha detectado algún cambio en su

tabla, siendo enviada solo la parte de la tabla que tuvo cambios, con esto se

optimiza la parte del enlace en el backbone de Internet.

Dentro de los Sistemas autónomos se utiliza el protocolo Interior Border

Gateway Protocol 5 (IBGP) el cual facilita el trabajo de ruteo dentro del mismo

Sistema Autónomo.

La versión 4 de BGP facilita el uso Classless ínter Domain Router que es un

ruteo sin clase; éste es un esquema que permite tener más direcciones dentro

de una red con la misma metodología asignación de direcciones IP.

El protocolo que se usa para comunicarse con Sistemas Autónomos es el

Exterior Gateway Protocol (EGPf.

s (Gp p.9] es un prO(OCO|O ¿e ruteo o encaminamiento que se utiliza para intercambiarinformación de ruteo dentro de redes autónomas, la información de ruteo puede serintercambiada a través del protocolo de Internet IP u otros protocolos como son RIP y OSPF.

6 EGP '310] es un protocolo de ruteo que intercambia información entre redes autónomas; lastablas de ruteo contienen listas de ruteadores, direcciones de las que se puede alcanzar comotambién su métrica o costo, cada router conversa con sus vecinos en periodos de 120 a 480segundos para actualizar sus tablas de ruteo.

90

3.7 Tipo de Mensajes del Protocolo BGP[3-7J

Aquí se describe en detalle los tipos y formatos de mensajes que se envían

entre emisores SGPen una conexión TCP.

3.7.1 Common Header- Cabecera Común

Un Common Header precede todos los mensajes BGP. El formato del Common

Header se muestra en la figura 3.1

Martcer{16 Octetos)

Length (2 Octetos)Type (1 Octeto)

Figura 3.1 Cabecera Común

El campo Marker puede ser usado con dos diferentes propósitos:

Sincronización y seguridad. El valor de este campo depende del mensaje que

está siendo enviado y el tipo de seguridad utilizada, si hay alguna. Si el

mensaje que está siendo enviado es un mensaje OPEA/, lo que quiere decir

que éste es el primer mensaje enviado entre los vecinos, el campo Marker

contiene todos los bits en 1. Si, cuando la sesión BGP fue establecida, una

opción de seguridad fue especificada, el campo Marker es predecible basado

en esa opción de seguridad; si no hay opción de seguridad, el campo Marker

tiene todos los bits en 1 para todos los tipos de mensajes.

El campo Length especifica el tamaño del mensaje completo BGP, incluyendo

el Common Header.

El campo Type especifica el mensaje BGP que está siendo enviado. Los

valores posibles son:

91

OPEN (1)

ÚRDATE (2)

NOTIFICATION (3)

KEEPALIVE (4)

Siguiendo a la cabecera común están ceros o más octetos adicionales para el

tipo de mensaje BGP que está siendo enviado. Los octetos adicionales, si

existiesen, son interpretados según el tipo de campo en la cabecera común.

Los cuatro tipos de mensajes se describen en las próximas cuatro secciones

3.7.2 Mensaje OPEN

Un mensaje OPEN es el primer mensaje enviado después que la conexión TCP

se ha establecido. El propósito del mensaje OPEN es para que cada extremo

se identifique y se ponga de acuerdo en los parámetros del protocolo, tales

como los temporizadores. El formato de un mensaje OPEN se muestra en la

figura 3.2.

Versión (1 Octeto)

My Autonomous System (2 Octetos)

Hold Time (2 Octetos)

BGP Identifier (4 Octetos)

Optional ParametersLenght (1 Octeto)

Optional Parameters (variable lenght)

Figura 3.2 Mensaje OPEN

El campo Versión especifica la versión BGP que el emisor del mensaje OPEN

está utilizando. La presencia de este campo da a los dos emisores o

conversadores BGP un mecanismo de negociación inicial para usar el número

92

de versión común más alto. Por ejemplo, si un emisor BGP 4 envía un mensaje

OPEN a un emisor BGP 3, el emisor BGP 3 regresa un mensaje de error

especificando que no puede soportar la versión 4 y después cierra la conexión

TCP . El emisor BGP 4 puede reaccionar a este mensaje de error abriendo una

nueva conexión TCP y actuando de acuerdo a las especificaciones BGP3

haciéndolo así compatible.

El campo MyAutonomous System especifica el Número del Sistema Autónomo

ASN (Autonomous System Number) del ruteadorque está enviando el mensaje

OPEN. El Internet es una colección de dominios de ruta. Cada uno de estos

dominios de ruta es únicamente identificado por un ASN. Los emisores BGP

están configurados con su propio ASN y los ASN's de cada vecino BGP.

Cuando un mensaje OPEN es recibido de un vecino y procesado, el campo My

Autonomous System es comparado con el ASN configurado para ese vecino. Si

los valores coinciden, el procesamiento continua, de lo contrario, un mensaje

de error se envía y la conexión TCP se cierra.

El campo Hold Time especifica el número de segundos que el emisor del

mensaje OPEN propone usar como un hold timer. El hold timer es la longitud

máxima de tiempo que un extremo esperará hasta escuchar algo del otro

extremo (sea un mensaje UPDATE o un KEEPALIVE) antes de asumir que la

sesión BGP sea cerrada. El campo Hold Time con un valor de cero significa

que el emisor propone no intercambiar mensajes KEEPALIVE (este modo de

operación no es recomendado porque podría resultar en que uno de los

emisores BGP no conozca que el otro se ha colgado). Un Hold Time que no

sea cero debe ser de al menos 3 segundos. El Hold Time escogido para la

sesión BGP es el mínimo del valor configurado (ocalmente y el valor anunciado

por el vecino. El protocolo permite explícitamente a los vecinos rechazar un

mensaje OPEN sí el valor del campo Hold Time es inaceptable.

El campo BGP Identifíer contiene un valor usado para identificar el emisor BGP.

Cuando cierto emisor BGP envía un mensaje OPEN, el emisor BGP escoge el

valor a poner en el campo BGP Identifíer. Por conveniencia, el identificador es

típicamente una de las direcciones IP asignadas al ruteador. La dirección

93

escogida generalmente no es una asociada con el interfaz físico sino con un

interfaz virtual distinguible. Un emisor BGP usa un BGP Identifier para cada

sesión BGP.

El campo Optional Parameters Lenght especifica el tamaño de cualquier opción

incluyendo la del mensaje OPEA/. Si no hay opciones presentes, el valor de

este campo es cero.

3.7.3 Mensaje ÚRDATE

El mensaje UPDATE es el mensaje más importante para comunicar

información entre dos emisores BGP. Cuando un emisor 6GP anuncia un

prefijo a un vecino BGP o retira un prefijo previamente anunciado, el emisor

BGP usa un mensaje UPDATE. El formato del mensaje UPDATE se muestra

en la figura 3.3

El campo Wirthdrawn Routes Length indica la longitud del campo Wirthdrawn

Routes en octetos. La especificación llama a este campo longitud de rutas no

factibles, pero es preferible llamar Wirthdrawn "retiradas" y no "no factibles"

porque es más consistente con otro lenguaje utilizado.

El campo Wirthdrawn Routes contiene una lista de prefijos IP por lo que el

emisor del mensaje UPDATE no necesita enviar paquetes.

Cuando un rutedor A envía un UPDATE a un ruteador B con un retiro

(withdrawaf) para un prefijo, generalmente significa que el camino entre el

ruteador A y el prefijo está al menos temporalmente no disponible. El ruteador

A puede que no conozca del prefijo directamente y en lugar de esto puede

haber escuchado del prefijo a través del vecino BGP o de un vecino de

cualquier otro protocolo dinámico de ruteo. El punto principal aquí es que el

ruteador A tiene que retirar el prefijo del ruteador B o sino el ruteador B

continuará enviando paquetes destinado al prefijo del ruteador A.

94

Los prefijos IP se pueden apreciar en la figura 3.4, el campo Length que es la

representación de un prefijo IP indica el número de bits en el prefijo. En otras

palabras, esta es la longitud del prefijo o máscara de Red.

El campo Prefix en la representación de un prefijo IP contiene el prefijo en sí,

seguido de suficientes bits para hacer que la longitud de todo el campo sea un

múltiplo entero de 8 bits. El propósito de este redondeo es simplemente hacer

que el campo sea de cierto número de octetos completos porque los mensajes

de protocolo están agrupados en filas de octetos y no en filas de bits

individuales. Al recibir un prefijo IP, el valor de los bits que restan debe ser

ignorado. Al regresar el mensaje ÚRDATE, el campo Total Path Attributes

Length indica la longitud del campo Path Attributes.

Wíthdrawn Routes Length (2 oclets)

Withdrawn Routes (variable Length )

Total Palh Attributes Length (2 octets)

Path Attributes (variable length)

Network Layer Reachabilíty Information (variable length)

Figura 3.3 Mensaje UPDATE

Length (1 octet)

Prefix (variable length)

Figura 3.4 Prefijo IP

3.7.4 Mensaje NOTIFICACIÓN

Si un error ocurre durante la vida de una sesión BGP el mensaje

NOTIFICATION (ver figura 3.5) puede ser usado para indicar la presencia de tal

error antes que la conexión TCP se cierre. Este arreglo permite al administrador

95

del sistema remoto recibir una notificación del porqué la sesión BGP fue

terminada. Se debe notar que la especificación BGP necesita que la conexión

BGP se cierre inmediatamente después de enviar una notificación. El campo

Error Code identifica el tipo de error que fue encontrado; a continuación se lista

algunos posibles tipos de errores y sus códigos

• Message Header Error (1) indica un error al procesar un common

headero un mensaje en general

• OPEA/ Message Error (2) Indica un error al procesar un mensaje

OPEA/

• UPDATE Message Error (3) indica un error al procesar un mensaje

ÚRDATE.

• Hold Timer Expirad (4) indica que ha pasado más tiempo desde la

recepción de un mensaje (OPEA/, UPDATE, o KEEPALIVE) que el

permitido por el hold timer negociado.

• Finito State Machine Error (5) indica que un evento ilegal fue recibido

en el actual estado.

• Cease (6) es el código de error usado cuando ningún otro código de

error puede aplicarse pero el emisor BGP elige terminar la sesión.

Error Code (1octet) | Error Subode (1 octet) |

DATA

Figura 3.5 Mensaje NOTIFICATION

El campo Error Subcode da información más especifica sobre el error

encontrado. Para errores de encabezamiento de mensaje los subcódigos

provistos son los siguientes:

• Connection A/oí Synchronized (1) indica que el campo Marker no fue

predicho correctamente.

• Bad Message Length (2) indica que la longitud del mensaje fue

menor que el mínimo permitido por la sintaxis del protocolo o mayor

que el permitido en el enlace.

96

• Bad Message Type (3) indica que el tipo de mensaje no fue OPEA/,

ÚRDATE, NOTIFICATION, o KEEPALIVE.

Para errores del encabezamiento del mensaje OPEN, los siguientes

subcódigos son aplicados:

• Unsupported Versión Number (1) indica que el emisor de la

notificación no soporta la versión BGP especificada para el emisor

del mensaje OPEN.

• Bad Pear AS (2) indica que el campo My Autonomous System en el

mensaje OPEN no coincide con la configuración del semejante en el

sistema que envió el mensaje NOTIFICATION.

• Bad BGP Identifier (3) indica que el campo BGP Identifier en el

mensaje OPEN no coincide con la configuración de su semejante en

el sistema que envió el mensaje NOTIFICATION.

• Unsupported Optional Parameter (4) indica que el emisor del

mensaje NOTIFICATION no soporta un parámetro opcional incluido

en el mensaje OPEN

• Authentification Failure (5) indica que el emisor del mensaje

NOTIFICATION no pudo autentificar en su semejante que envió el

mensaje OPEN

• Unacceptable Hold Time (6) indica que el emisor del mensaje

NOTIFICATION está rechazando la sesión BGP basada en el campo

Hold Time en el mensaje OPEN.

Para errores en el mensaje UPDATE, se tiene los siguientes subcódigos

• Malformed Attríbute List (1) indica que el emisor de la notificación

encontró un error mientras valida o chequea la sintaxis en el campo

Path Atthbutes en el mensaje UPDATE.

• Unrecognized Well-Known Attríbute (2), indica que el emisor de la

notificación no puede soportar el atributo recibido en un mensaje

update cuyo campo Attríbute Flags indica que el atributo es bien

conocido (Well-Known).

97

• Missing Well-Known Attríbute (3), indica que mientras se está

procesando un mensaje ÚRDATE, el emisor del mensaje de

notificación no recibió correctamente los atributos requeridos.

• Attríbute Flags Error (4), indica que el campo Attríbute Flags de un

atributo en el campo Path Attríbute no tenía sentido.

• Attríbute Length Error (5), indica que la longitud de un atributo en el

mensaje ÚRDATE es sintácticamente incorrecto (por ejemplo, la

longitud del atributo es más largo que lo que sobra del mensaje)

• Invalid ORIGIN Attríbute (6), indica que el valor especificado para el

atributo ORIGIN no es uno de los tres valores permitidos

• AS Routing Loop(7), Indica que el emisor de la notificación recibió un

mensaje ÚRDATE conteniendo un prefijo de enlace (looping)

• Invalid NEXT-HOR Attríbute (8), indica que el valor del atributo A/exí-

Hop en el mensaje ÚRDATE no es válido.

• Optional Attríbute Error (9), indica que un error se encontró al

procesar un atributo opcional incluido en el mensaje ÚRDATE

• Invalid Network Field (10) indica que un error se encontró al procesar

un prefijo en el mensaje ÚRDATE.

• Malformed AS-PATH (11) indica que un error fue encontrado al

procesar el atributo AS-Path en el mensaje ÚRDATE.

El Campo Data puede estar presente dependiendo del campo Error Code y

Error Subcode. Condiciones particulares de error pueden ser especificadas

para incluir información en el campo Dafa, para que de esta manera una

indicación acerca de cual parte del mensaje considera un error, pueda ser

enviada al terminal remoto.

3.7.5 Mensaje KEEPALIVE

Los vecinos BGP se envían un mensaje KEEPALIVE para confirmar que la

conexión entre ellos está todavía activa. La frecuencia a la cual los KEEPALIVE

son enviados depende del tiempo negociado en el hold time y de la frecuencia

a la cual los mensajes ÚRDATE son enviados. El protocolo requiere que alguna

98

información sea enviada entre los vecinos antes de que el Hold Time expire,

aunque esta información puede ser un mensaje KEEPALIVE o un UPDATE si

es que hay información real de ruteo para enviar. Si un mensaje UPDATE es

enviado el hold time se reinicializa al valor negociado. Sintácticamente, un

mensaje KEEPALIVE es simplemente un encabezamiento común (common

header) con ninguna otra información.

3.8 Modelo Conceptual de Operación de BGP4f3JJ

La especificación BGP 4 usa un grupo específico de términos para discutir la

manera que una implementación BGP debería comportarse con respecto a

aprender un prefijo en una sesión BGP y después posiblemente reanunciar ese

prefijo hacia otros vecinos BGP. El punto no es indicar una manera en que el

BGP debería ser implementado, un implementador puede tomar un enfoque

diferente. Al contrario el objetivo es describir la manera conceptual en que la

implementación BGP aprende los prefijos de sus vecinos, esto es cómo la

implementación usa los prefijos (ocalmente y cómo la implementación informa a

otros vecinos sobre los prefijos.

La especificación introduce los términos Adj-RIB-ln, Loc-RIB, y Adj-RIB-Out. El

R/B en cada uno de estos términos se refiere a una base de información de

ruteo, que es simplemente otro nombre para un tablero de ruteo. Un Adj-RIB-ln

es el lugar donde los prefijos aprendidos de un vecino particular son

guardados. Hay tantos Adj-RIBs-ln como emisores. Debido a que un emisor

BGP puede aprender el mismo prefijo a través de varios vecinos BGP debe

existir un proceso para analizar todos los prefijos en todos los Adj-RIBs-ln y

decidir cuál de los caminos a los prefijos utilizar.

Los prefijos que son seleccionados para usar son almacenados en el Loc-ROB

y solo hay un Loc-RIB por sistema. Finalmente, los Adj-RIBs-Out son usados

para guardar prefijos que van hacer anunciados a un vecino específico. Así

como con los Adj-RIBs-ln, hay solo un Adj-RIB-Out por cada emisor vecino.

99

3.9 Atributos de Base Estándar del Protocolo BGP4 f3'11J

Los atributos son una de las características más importantes del protocolo

BGP, ya que expresan la mayoría de la información a través de la descripción

de los prefijos ruteados. La manera en que los atributos son codificados

permite a BGP extenderse con nuevas características sin cambiar el protocolo

base. Aquí se describirá un resumen sobre los atributos definidos en la

especificación original BGP.

3.9.1 Atributo OR/GW

Define el origen de la información de la ruta; éste describe el origen como un

IGP, EGP, o el origen de algún otro recurso.

3.9.2 Atributo AS-PATH

Listas de los Sistemas Autónomos que han sido atravesados para alcanzar las

redes declaradas.

3.9.3 Atributo NEXT-HOP

Contiene la dirección IP del router fronterizo el cual es usado como próximo

salto para alcanzar las redes listadas en un mensaje de actualización.

3.9.4 Atributo MULTI-EXIT-DISCRIMINATOR

Usado en eslabones (links) externos para diferenciar entre múltiples salidas o

puntos de entrada al mismo Sistema Autónomo vecino.

3.9.5 Atributo LOCAL-PREF

Un grado de preferencia de un portavoz del BGP para cada ruta externa.

100

3.9.6 Atributo ATOMIC-AGGREGATE

Si un portavoz de BGP selecciona una ruta menos específica, entonces el

sistema local puede atar este atributo a la ruta cuando éste se propague a otros

portavoces del BGP.

3.9.7 Atributo AGGREGATOR

Notificación que una ruta previamente declarada se ha convertido en

inalcanzable.

3.10 Interior BGP vs. Exterior BGP [3'7J

Hasta este punto el protocolo BGP solo ha sido presentado como un EGP, lo

que significa que ha sido presentado como un protocolo de ruteo que opera

entre ASs. Esta operación entre ASs es solo una de los dos usos de BGP. El

uso EGP del BGP que ha sido presentado hasta aquí semeja la topología

mostrada en la figura 3.6.

En este ejemplo se ve que R3 (Router) en AS1 y R4 en AS2 tienen una sesión

BGP entre ellos, de manera que R3 aprende sobre las rutas de AS2 y R4

aprende sobre las rutas de AS1. El elemento importante que falta en esta figura

es una explicación de cómo R1 y R2 conocen las rutas de AS2 e igualmente

como R5 conoce sobre las rutas de ASI En otras palabras ¿Cómo los prefijos

son aprendidos por un solo ruteador en un AS por medio de una sesión SGP

distribuido a los otros ruteadores en el AS?. Una manera posible de hacer esto

es inyectar en el IGP los prefijos aprendidos por medio del SGP de otros ASs.

Algunas redes más pequeñas que no necesitan llevar una tabla completa de

ruteo pueden hacer esto. Sin embargo simplemente no funciona en el caso de

proveedores de servicio que llevan una tabla completa de ruteo porque el

volumen de las rutas es mucho más grande y la frecuencia de cambio es muy

alta. Generalmente los IGPs no escalan lo suficientemente bien para llevar un

101

completo ruteo de Internet; hay muchas razones específicas por la que los

IGPs no escalan lo suficientemente bien para llevar una completa tabla de

ruteo de Internet. La primera razón es la complejidad computacional de calcular

los caminos más pequeños. Otras razones se derivan del aumento en la

cantidad de información en un link state packet LSP7.

AS1 AS2

Figura 3.6 Ejemplo de E-BGP versus I-BGP

El link state datábase LSDB 8 crece demasiado, los LSPs se fragmentan y el<

trabajo de inundar (fíooding) crea una gran cantidad de tráfico de control. La

manera preferida de distribuir externamente los prefijos aprendidos dentro de

una red es a través del uso de un BGP llamado Internal BGP (IBGP).

El uso neto del EGP del BGP es más precisamente llamado Externa! BGP (E-

BGP). El E-BGP es usado entre ASs, por ejemplo donde dos proveedores se

conectan o donde un consumidor se conecta con su proveedor. El I-BGP por el

contrario se usa dentro de un AS (entre dos ruteadores en el mismo AS) y logra

el requerimiento de distribuir las rutas aprendidas a través del E-BGP al resto

de los ruteadores en el AS.

El I-BGP y el E-BGP son el mismo protocolo en el sentido que comparten los

mismos tipos de mensaje (OPEA/, UPDATE, KEEPALIVE, NOTIFICARON), los

mismos tipos de atributos (AS-PATH, NEXT-HOP, etc.) y el mismo estado de

máquina. Sin embargo una diferencia importante entre el I-BGP y el E-BGP es

que tienen diferentes reglas acerca del anuncio de prefijos. La especificación

7 LSP: Link State Packet El mensaje que posee la información es publicado por un routerdentro de la red por medio del protocolo LS8 LSDB: Link state datábase La colección de todos los LSP que un router conoce actualmente

102

SGP 4 dice que los prefijos aprendidos de un vecino E-BGP pueden ser

anunciados a un vecino I-BGP y viceversa, pero un prefijo aprendido de un

vecino I-BGP no puede ser anunciado a otro vecino I-BGP. Ver figura 3.7.

Note que este diagrama está presentado desde la perspectiva R3 y muestra

solamente las conexiones BGP relevantes a ella. Dada la especificación del

BGP4, R3 puede anunciar prefijos aprendidos de R4 a R1 y R2. Además R3

puede anunciar a R4 cualquier prefijo que reciba de R1 y R2. Sin embargo R3

no puede anunciar a R2 ningún prefijo que reciba de R1. Este último punto

sugiere la forma en que la figura 3.7 está incompleta. Para R1 alcanzar prefijos

inyectados en la red I-BGP por R2 (y viceversa), debe existir una conexión /-

BGP directa entre ellos. Esta conexión directa I-BGP entre R1 y R2 no está

mostrada en la figura 3.7.

E-BGP

I-BGP

AS1 AS2

Figura 3.7 Comparando I-BGP y E-BGP

La razón por la que BGP contiene esta regla sobre el reanunciamiento I-BGP

es para prevenir anuncios de ruteo de retorno dentro de AS. Recuerde que el

mecanismo SGP para detectar anuncios de retorno de ruteo es un atributo AS-

PATH. Sin embargo el AS-PATH se añade solo cuando las rutas cruzan los

límites del AS, y en el caso del /-BGP las rutas no cruzan los límites AS. El

resultado más importante de estas reglas sobre el anuncio de prefijos entre

vecino E-BGP e I-BGP es la necesidad de un full - mesh (malla-completa) de

las conexiones I-BGP; en otras palabras debe haber una sesión I-BGP entre

cada par de ruteadores dentro de un AS. La figura 3.8 muestra un ejemplo de

una malla completa.

103

Note cuidadosamente que esta malla completa de conexiones I-BGP es

totalmente independiente de la conectividad física, por lo tanto el hecho de que

dos ruteadores tienen una conexión directa entre ellos no significa

necesariamente que los ruteadores están directamente conectados. En

contraste, las sesiones E-BGP generalmente corresponden a un enlace físico.

Cuando dos ASs se conectan entre sí típicamente tienen un circuito entre dos

ruteadores y esos dos ruteadores hablan E-BGP entre ellos. Por ejemplo la

topología lógica f-BGP mostrada en la figura 3.8 puede ser construida encima

de una topología física como la que se muestra en la figura 3.9 Así en este

ejemplo R4 y R5 tienen una sesión I-BGP directamente entre ellos aunque no

tienen un enlace directo entre sí.

Figura 3.8 Conexión completa de I-BGP

En este caso R1 debe enviar los paquetes que son parte de las sesiones /-

BGP. R1 realmente no participa en la sesión I-BGP entre R4 y R5;

Simplemente envía paquetes y ni siquiera está conciente que alguno de esos

paquetes que él envía a R4 y R5 son parte de la sesión BGP. Otra importante

característica en el contexto E-BGP e I-BGP es establecer el grado de

preferencia de ruta. Cuando un ruteador inyecta una ruta para un prefijo

cualquiera en la malla I-BGP dentro de un AS, es responsabilidad de ese

ruteador establecer el grado de preferencia para la ruta.

04

El ruteador puede conocer la ruta por medio de E-BGP o a través de un

mecanismo interno como configuración estática o un IGP. De cualquier manera

el ruteador establece el grado de preferencia. Si el ruteador termina por

anunciar esta ruta a otros ruteadores dentro del AS el grado de preferencia se

incluye en el atributo LOCAL-PREF.

Debido a que los ruteadores dentro de un AS mantienen sesiones /-BGP entre

sí todos conocen el grado de preferencia de las rutas para esos ruteadores,

cada uno de los cuales está inyectando al /-BGP. Imagine que el ruteador A

conoce una ruta para 138.39.0.0/16 a través de algún mecanismo y calcula el

grado de preferencia para esa ruta como 100. SI el ruteador A había

previamente aprendido una ruta para 138.39.0.0/16 a través de una sesión /-

BGP con el ruteador B, la acción que el ruteador A tome depende del valor del

atributo LOCAL-PREF de la ruta aprendida desde el ruteador B. Si la ruta

aprendida del ruteador B tiene un LOCAL-PREF mayor que 100 la ruta del

ruteador B a ese prefijo es preferida y el ruteador A no inyectará su ruta en la

malla /-BGP. Si por el contrario la ruta del ruteador B tiene un LOCAL-PREF

menor que 100 la ruta del ruteador seré preferida y el ruteador A inyectará su

ruta en la malla /-BGP.

Debido a que los ruteadores están completamente entrelazados en /-BGP el

ruteador B conocerá de la ruta del ruteador A y reaccionará retirando su ruta

dejando solamente la ruta del ruteador A que es la preferida.

Figura 3.9 Topología física para /-BGP

105

3.11 Procesos de selección de una ruta BGP

Una parte importante de cualquier protocolo de ruta es el algoritmo usado para

seleccionar, si alguno de los caminos posibles hacia el prefijo deberían ser

seleccionados e instalados en el tablero de envío. Esta entrada de información

para el proceso de selección de ruteo es un listado de todas las rutas que han

sido aprendidas y aceptadas por el sistema local. Si hay una sola ruta hacia un

prefijo determinado, es obviamente esa la ruta que se va a usar. El caso

interesante es la existencia de múltiples rutas para un prefijo dado. Hay que

notar cuidadosamente que tener múltiples rutas para un prefijo dado significa

que el sistema local ha conocido más de una ruta para el mismo prefijo con la

misma longitud de prefijo. Si el sistema local aprendió de dos prefijos que se

sobrepusieron, pero que no tienen longitud de prefijos idénticos, esto no

satisface tener dos rutas para el mismo. Sin embargo si el sistema local a

aprendido más de una ruta para un prefijo idéntico, utiliza las siguientes reglas

de desempate para decidir cual ruta usar.

1. Se selecciona primero la ruta con el valor más alto de LOCAL-

PREF. Este grado de preferencia pudo haber sido computarizado

localmente o aprendido de otro ruteador. El valor habrá sido

computarizado localmente por rutas que se aprendieron a través de una

sección E-BGP o por rutas aprendidas de fuentes como un IGP o

configuración estática. La preferencia habrá sido aprendida desde otro

ruteador para las rutas aprendidas de un vecino IBGP, específicamente

el mensaje UPDATE para esa ruta habrá contenido un atributo LOCAL-

PREF indicando el grado de preferencia. Si este paso no selecciona

exactamente una ruta el sistema va al siguiente paso.

2. La ruta con el AS-PATH más corto se selecciona. Si este paso

selecciona exactamente una ruta el proceso de desempate se completa.

Si este paso no selecciona exactamente una ruta el sistema va al

siguiente paso.

106

3. Si el sistema local está configurado para considerar el valor del

MULITI-EXIT-DISCRIMINATOR, y si las rutas múltiples fueran

aprendidas del mismo AS en la red, la ruta con el valor más bajo de

MULTI-EXIT-DISCRIMINATOR se selecciona9; si este paso selecciona

exactamente una ruta el proceso de desempate está completo. Si este

paso no selecciona exactamente una ruta el sistema va al siguiente

paso.

4. En este paso el sistema local analiza el atributo NEXT-HOP de

cada una de las rutas. El sistema local selecciona la ruta que tiene el

mínimo costo para el NEXT-HOP. Decidir sobre el costo para un NEXT-

HOP generalmente significa investigar en la base de datos del IGP. Si

este paso selecciona exactamente una ruta el proceso de desempate se

completa. Si esta etapa no selecciona exactamente una ruta el sistema

va al siguiente paso.

5. Si todas las rutas fueron recibidas a través del I-BGP el sistema

va al siguiente paso. Si exactamente una de las rutas fue recibida a

través de E-BGP la ruta se selecciona. Si más de una ruta fue recibida o

aprendida a través del E-BGP entonces la ruta aprendida desde el

vecino E-BGP con el identificador BGP más bajo se selecciona.

6. Si todas las rutas fueron recibidas a través del /-BGP la ruta que

fue recibida del vecino I-BGP con el identificador BGP más bajo se

selecciona.

El listado anterior es probablemente aun más complicado de lo que parece. El

comportamiento real del proceso de selección de ruta en la práctica no es

siempre intuitivo. A pesar de su complejidad el proceso de decisión es

especialmente bien entendido por los grandes proveedores ya que tiene un

9 Hay que notar que la versión original de la especificación BGP no fue específica sobrecomparación de rutas cuando una tiene un MULTI-EXIT-DISCRIMINATOR y la otra no lo tiene.Una imple mentación trata al fallante MULTI-EXIT-DISCRIMINATOR como cero, mientras queotra lo trata con el valor máximo (4 octetos de 1s).

107


[3.1] http://whatis.techaterget.com/definition/0,289893,sid9_gci213662,00.html

[3.2] http://www.h4ck3r.co. nz/h4ck3r(original)/encyclopedia/4. htm

[3.3] http://www.clizio.com/Connected/RFC/1583/12.htm


[3.5] http://www.faqs.org/rfcs/rfc1930.html

[3.6] http://www.arin.net/templates/asntemplate.txt

[3.7] Stewart John W., BGP4 Inter-Domain Routing in the Internet, Addison-Wesley, 2000



[3.10] http://whatis.techaterget.eom/definition/0,289893,sid9_gc¡213930,00.html

[3.11] Black,Uyless D., IP Routing Protocols, Prentice Hall, New Jersey, 2000

109

4.1 Introducción

En este capítulo se presentará el diseño de un Sistema Autónomo, para lo cual se

tomará como referencia un ISP con características básicas de funcionamiento. Los

elementos a intervenir sobre el ejercicio, son el ISP local y el ISP Internacional como

Sistema Autónomo, además del enlace de backup que debe existir con el ISP local.

En el transcurso de este capítulo se explicarán los componentes tanto del ISP local

como del Internacional, así como los pasos a seguir para convertir al ISP local en

Autónomo.

4.2 Componentes de un ISP

Un ISP debe tener los siguientes componentes: (Ver figura 4.4)

• Red Local, con sus respectivos servidores

o Radius Server

o Mail Server

o Cache Server

o DNS Server

o Web Server

o FTP Server

o News Server

• Infraestructura de Comunicación Satelital del enlace Principal

o Modem Satelital

o Amplificador de Potencia con decodificador HPA

o Antena Satelital

o Router

o Switch

• Acceso a la nube de Internet con el Proveedor Internacional

o Ultima milla con el Proveedor Internacional

o Acceso al backbone de Internet

• Enlace de backup hacia la nube de Internet

o Modem Satelital

o Amplificador de Potencia con decodificador HPA

110

o Antena Satelital

o Router

o Switch

• Enlaces de E1 's (canales digitales) con el proveedor autorizado de telefonía

en el País (en el caso de la Sierra es Andinatel, para la Costa es Pacifictel y

para el Austro es Etapa)

• Enlaces de Backup sobre los servidores

A continuación se explicará en detalle cada uno de los componentes, empezando

con los servicios que debe tener un ISP.

4.2.1 Servicios Básicos de un ISP

En la actualidad existen muchos servicios que se ofrecen sobre cualquier ISP a nivel

mundial, con motivo del ejercicio se explicará los servicios más usados en el País.

4.2.1.1 Servicios de información en línea

Los servicios en línea se han convertido en herramientas esenciales para el futuro

de las comunicaciones, ya que en éstos se proporciona cualquier tipo de

información en línea, ya sea relacionada a museos, bibliotecas, almacenes, autos,

etc.

Todo proveedor de Internet debe dar un valor agregado al servicio que ofrece a sus

clientes, y este valor agregado se mide en función de que tan rápido se entrega la

información al cliente, como por ejemplo información desde que números telefónicos

el cliente se conecta, facturación en línea vía web, el tiempo de consumo de cierto

usuario, etc.

La información en línea se ha convertido ya en una necesidad para cualquier

persona que utiliza la gran red mundial del Internet.

I I I

4.2.1.2 Acceso a base de datos [4'1J

Base de Datos es la representación de la realidad (se debe entender como

organización) en forma de datos, los cuales están entrelazados de la manera

más coherente posible, almacenados con una redundancia calculada y

estructurados de tal manera que facilite su explotación, y que se pueda satisfacer

las necesidades de información de los diferentes usuarios.

En resumen, se puede deducir que las principales características de una Base de

Datos son:

• Conjunto (colección) de datos.

• Datos interrelacionados y estructurados.

• Redundancia controlada.

• Independencia de datos y de procesos.

• Soporte de múltiples usuarios y múltiples aplicaciones.

• La actualización y recuperación de datos debe asegurar Integridad,

Seguridad y Confidencialidad de los datos.

4.2.1.3 Oficina virtual

Hoy en día todas las empresas, sin importar su tamaño, tienen la urgente necesidad

de contar con una oficina virtual. Es necesario un ambiente de trabajo de

colaboración donde todos los miembros de una empresa puedan administrar y

compartir documentos, conocimiento, información sobre proyectos, noticias de

interés, comunicaciones por chai y muchas otras cosas que hoy se pueden

implementar en una Intranet empresarial.

Es increíble la cantidad de dinero que pierde una empresa cuando sus ejecutivos no

pueden obtener información oportuna de documentos durante un viaje, o no tienen

la posibilidad de tomar una decisión frente a algún problema surgido en un proyecto

que su compañía está ejecutando. A su vez, cuánto dinero se podría ahorrar si el

conocimiento de las experiencias vividas por otras personas de la misma

organización se reutilizara en proyectos semejantes. Herramientas de este tipo son

12

muy sencillas de implementar en todas las empresas, especialmente con la

tecnología que hoy se tiene. Para ello, existen dos caminos que se pueden seguir: la

primera es desarrollar una solución a medida, ya sea con recursos propios o de

terceros; la segunda es buscar alguna herramienta en el mercado que se adecué a

las necesidades de la empresa.

4.2.1.4 Servicios de correo electrónico [4'1J

Los mensajes electrónicos permiten en nuestros días las comunicaciones al

instante, sin importar horarios o distancias, ya que estos mensajes se distribuyen

por las redes de muchos países.

Este sistema de comunicación transforma la manera en que la gente se comunica a

todos los niveles, con el fin de intercambiar mensajes técnicos, información

comercial, cultural, laboral, etc., de tal manera que no resulte un proceso

complicado.

Una de las principales características de este medio es que presenta muchísimas

ventajas con respecto a otros medios de comunicación como lo pueden ser el

teléfono o el Fax.

4.2.1.5 Transferencia de archivos [4'2J

FTP significa Protocolo para Transferencia de Archivos (File Transfer Protocol}.

Como su nombre lo dice, el trabajo del protocolo es mover archivos de una máquina

a otra. Esto es indiferente con relación a dónde están las computadoras, cómo están

conectadas, o si usan o no el mismo sistema operativo. Ambas computadoras

pueden hablar a través del protocolo si tienen acceso a Internet. En resumen, el

comando FTP se usa para transferir archivos.

13

Algunas de sus características de uso pueden cambiar en referencia al sistema

operativo, pero la estructura básica de comandos es la misma de una máquina a

otra.

4.2.1.6 Servicio de DNS

El DNS (Domain Ñame System) es el sistema empleado en Internet para poder

asignar y usar umversalmente nombres unívocos para referirse a los equipos

conectados a la red. De esta forma, tanto los usuarios como las aplicaciones

pueden emplear nombres de DNS en lugar de direcciones numéricas de red IP. Esto

presenta grandes ventajas, entre ellas el hecho de ser más cómodo y menos técnico

para las personas el uso de nombres frente al uso de números y el permitir a una

organización independizar el nombre de máquinas, servicios, direcciones de correo

electrónico, etc., de las direcciones numéricas concretas que en un determinado

momento puedan tener sus equipos en función de aspectos cambiantes tales como

la topología de la red y el proveedor de acceso a Internet.

4.2.1.7 Servicio de Web Hosting y Web Housing [4-3]

Físicamente un servicio de web Hosting es una colección de servidores web

sen/ers, esto es computadoras poderosas colocadas con conexiones permanentes

al Internet a través de líneas de alta velocidad. Estas computadoras almacenan la

información que compone las páginas de Internet.

El servicio de Web Housing es en cambio cuando el cliente pone la infraestructura

de web se/ver sobre el Proveedor de Servicio de Internet ISP.

4.2.1.8 Servicios de teleacción: telealarmas, telecontrol, telemedida,teleseguridad, telemedicina, etc

Estos servicios son orientados para hacer control, seguridad, alarmas, etc. a través

del enlace de Internet que tienen los clientes. Por ejemplo activar alarmas desde

Internet, prender el calefactor de cierto lugar a través de Internet, etc.

II4

Sin embargo aunque estos casos especiales tienen una considerable importancia

económica, son sólo casos particulares del caso más general de cualquier forma de

operación o transacción comercial llevada a cabo a través de medios electrónicos.

Otros ejemplos igualmente válidos son las transacciones internas dentro de una

misma empresa o el suministro de información a una organización externa con o sin

cargo.

El comercio electrónico es tecnología para el cambio. Las empresas que lo miren

como un añadido a su forma habitual de hacer negocio obtendrán sólo beneficios

limitados, siendo el mayor beneficio para aquellas que sean capaces de cambiar su

organización y sus procesos comerciales para explotar completamente las

oportunidades ofrecidas por el comercio electrónico.

4.3 Descripción General

Para poder brindar el Servicio de Acceso a Internet el usuario debe enlazarse a

través de cualquier Carríer autorizado en el País, ya sean éstos Impsat,

RamTelecom, Suratel, etc., a uno de los proveedores de Internet en los Estados

Unidos o cualquier otro proveedor de Internet Internacional como son UUNET,

DIGEX, etc.

Cada nodo debe poseer una configuración que le permita la operación bajo los

estándares determinados por la respectiva empresa.

• DNS Serven Convierte los nombres canónicos (ejemplo: www.yahoo.com) en

direcciones IP, y viceversa.

• FTP Serven (File Transfer Protoco!): Proporciona servicio de transferencia de

archivos entre hosts TCP/1 P.

• WEB Serven Proporciona servicios de HTTP o HTTPS.

• Video Serven Servidor para Vídeo Conferencia

• Servidor de Aplicaciones

116

• Servidor de Bases de Datos: Permite almacenar y manipular gran cantidad de

información a la cual se accede utilizando un WEB Browser.

4.3.1 RADIUSServer

Es un Servidor de autenticación que proporciona los servicios de autenticación y de

contabilidad del tiempo de conexión a la red; esta información es utilizada para

facturación.

El servidor entrega más información que puede ser utilizada para fines estadísticos,

como por ejemplo:

• Tiempo de conexión

• Número telefónico desde donde se conectó

• Bytes de transferencia durante la conexión

• Protocolo que se está utilizando en la conexión

• El IP asignado

• Tipo de comunicación: Asincrónica o Sincrónica

• Username (Nombre de usuario)

• Password (Código de usuario)

• Número único de Conexión

4.3.2 Servidores WEB

Este tipo de servidores se utilizan para todos aquellos usuarios que desean exportar

información a la red. Los aspectos más importantes que se deben tener en cuenta, a

la hora de medir el rendimiento de este tipo de servidores, son el tiempo de

respuesta (tiempo empleado en cada petición HTTP) y la capacidad de transferencia

de datos del servidor (número de peticiones HTTP por segundo). Los factores que

influyen en el rendimiento de un servidor son de tipo hardware y software. Con

respecto al primero, es importante considerar el procesador, la memoria, el sistema

de E/S (entrada/salida de datos) y la interfaz de red. En cuanto al software, hay que

tener en cuenta la implementación del protocolo HTTP, la implementación del

117

4.3.7 Mirror Servers

Son servidores espejo, almacenan la información de otros servidores, permiten

seguir en operación si alguno de los servidores replicado falla.

4.3.8 Enlaces E1 con Andinatel y Pacifíctel

Existe un convenio de Interconexión entre Andinatel, Pacifictel y los ISP's; este

convenio especifica que los ISP's solo pueden tener E1 's como última milla para el

usuario final, las líneas convencionales de par de cobre ya no son permitidos para

los ISP's. Este tipo de enlaces canalizados puede tener 30 canales de 64 Kbps,

permitiendo la conexión de los clientes con módems V.341, K562, X23 o V.904 (Estos

protocolos se explicarán más adelante) con velocidades entre 2.400 bps y 56.000

bps.

Podría disponer además de módems ISDN o RSDI en los cuales es posible tener

canales digitales de hasta 64 Kbps. En la actualidad este tipo de comunicación se

está dando ya para empresas corporativas.

La señalización utilizada actualmente es SS7, que es la actual norma autorizada

por Andinatel, Pacifictel y Etapa, lo que permite tener información adicional de la

conexión; como por ejemplo el número telefónico desde el cual se conecta el cliente,

bytes trasmitidos, entre otros.

4.3.9 Enlace Internacional

El ISP debe salir al distribuidor de Internet a través de su Carrier, el cual se

comunica con Satélite a través de un telepuerto. La señal es recibida por el

Telepuerto Internacional, siendo a su vez direccionada para el proveedor de Internet

1 V.34, Estándar de velocidad a 28800 y 33600 bps2 K56, Estándar de velocidad a 56000 bps3 X2, Estándar de 3Com a 56000 bps4 V.90, Estándar por la ITU a 56000 bps

119

Internacional. A continuación un esquema de conexión con satélite y el respectivo

telepuerto. Verfigura 4.1.

Telepuetlo Quito

Modem SatelNal

Rouler

Figura 4.1 Esquema del enlace Internacional a Internet

Dentro de cada telepuerto se debe tener, una antena parabólica que soporte

recepción y transmisión, un modem satelital que maneje grandes anchos de banda y

que trabaje en frecuencias en las que el satélite permite y por último un Router con

interfaz similar a la del modem satelital.

4.3.10 Enlaces Nacionales

El enlace nacional consiste de la comunicación del ISP con el proveedor local de

Telefonía (Andinatel, Pacifictel o Etapa); como se mencionó anteriormente el ISP

solo podrá tener E1 's para dar el servicio de Internet a sus clientes.

Para esto el ISP debe tener ÑAS (Network Access Server) con soporte a E1 's, este

equipo permite la conexión entre el Proveedor de telefonía y el ISP local; el ÑAS

brinda además de conexiones remotas para los clientes dial-up, servicios como

NAT5 Network Adrress Traslation, DHCP6 , DNS, Autentificación vía Radius, etc.

5 NAT, Traducción de direcciones IP no reales a reales en el Internet.6 DHCP, Asignación dinámica de direcciones IP en una red LAN

120

Cuando un cliente dial-up se conecta desde su casa y tiene un modem con

protocolo V.90 y el ISP tiene como última milla E1's con el Proveedor local, la

conexión a 56 kbps es real. Mientras que un ISP, que no tenga E1 's como última

milla con el proveedor local, sino que tenga como medio de transmisión un par de

cobre la conexión no podrá llegar más allá de V.34. Es por eso la necesidad de que

los ISP tengan como última milla E1 's hacia el proveedor de telefonía.

En el acuerdo firmado entre los ISP y los Proveedores de telefonía se estableció

que ningún ISP podrá tener par de cobre como última milla y que los que tengan

actualmente tienen un plazo de hasta un año para cambiar esta tecnología7.

Además puesto que la señalización R2 desaparece en el país y se posesiona la

señalización SS7, se da un plazo para que todos los ISP actualicen su equipos en

base a esta tecnología.

El medio físico de transmisión de los E1 's es un cable coaxial de 75 Q

ISP Andinatel

m m11 H

ÑAS

M m.m m

ÑAS

E1

E1

• m

m mm m

Figura 4.2 Enlace Nacional

4,3.11 Enlace a clientes

Los clientes para poder acceder a Internet a través del ISP necesitarán de un

Computador con un módem y una línea telefónica. Con sus equipos deberán llamar

a un número telefónico del ISP previamente asignado por Andinatel, Pacifictel o

7 Acuerdo llegado entre ISP's y Portadores, Reglamento Interno, por lo que no existe un número dedecreto.

I 2 I

para luego ser entregadas al cliente en el menor tiempo, otro beneficio del

servidor es reducir los costos satelitales por el ahorro de ancho de banda.

• DNS Serven Este servidor se usa para la traducción de direcciones URL a

direcciones IP, este servicio es indispensable en todo ISP.

• WEB Server: Es un servidor de publicación de páginas WEB dentro del ISP

local.

• FTP Serven El servidor de FTP es utilizado para transferencias de archivos;

se recomienda hacer uso de este servicio para archivos grandes que no

pueden ser transferidos por otros servicios como correo.

• News Server: Servidor de Noticias, donde se encuentra almacenado

información de un cierto perfil, pudiendo los clientes acceder a esta

información en línea.

Estos servicios están configurados en Sistemas Operativos como SCO UNIX,

Windows NT, SOLARIS, LINUX, etc.

Es necesario tener un esquema de distribución de los servidores de tal forma que

siempre exista un backup de cada servicio en caso de que alguno de ellos falle,

Sobre esto a continuación se expondrá una recomendación de la distribución de los

servidores, la misma que se enfoca a tolerancia a fallos de los varios servicios que

se prestan.

a) Primer Servidor

Este es el principal servidor el cual deberá tener características buenas sobre

hardware, ya que en él estará los principales servicios del ISP:

• DNS (Domain Ñame Service) primario

• HTTP (Hyperíext Transfer Protocol) primario

• FTP (File Transport Protocoí) primario

• POP3 (Post Office Protocol - Versión 3) primario

• SMTP (Simple Mail Transfer Protocof) primario

• Radius Server primario

123

b) Segundo Servidor

En este servidor en adelante se trata de abrir varios servicios, de tal forma que no

exista una saturación sobre los servidores de backup, en este servidor se tendrá

toda la parte de un servidor de Correo y de Index Se/ver

• SMTP (Simple Mail Transfer Protoco!) secundario

• POP3 (Post Office Protocol - Versión 3) secundario

• Index Sefver

c) Tercer Servidor

Servidor de Backup

• DNS (Domain Ñame Service) secundario

• HTTP (Hypertext Transfer Protocol) secundario

• FTP (File Transport Protocof) secundario

d) Cuarto Servidor

Servidor principal y de backup.

• Proxy Server (Cache Server) principal

• DNS (Domain Ñame Service) tercero

e) Quinto Servidor

Firewall

124

4.4.1.1 Definición de Firewall

Firewall[4<8] es un componente o conjunto de componentes que restringen el acceso

entre una red interna (intranet) protegida y cualquier otra red, comunmente Internet.

El firewall puede estar basado en hardware o software o en una combinación de

ambos.

El objetivo principal de un firewall es implementar una política de seguridad

determinada.

Otras definiciones o términos importantes a tener en cuenta son:

a) Política de seguridad

La política de seguridad de una organización es un documento donde se definen las

reglas que se aplicarán en los firewalls. La política de seguridad más segura a

aplicar es no permitir cualquier acción a no ser que esté permitida expresamente.

Esta es la política que debería utilizarse en cualquier caso, puesto que los posibles

agujeros de seguridad son más fácilmente identificables con esta política.

b) Anfitrión

Es un sistema informático que deber ser altamente seguro porque es vulnerable a

un ataque, por lo general debido a que está expuesto a Internet o cualquier otra red

pública y es el punto principal de contacto para usuarios de redes internas.

El anfitrión contiene la información que queremos hacer accesible a través de la red

pública de datos como por ejemplo sería el caso de un servidor de correo o un

servidor HTTP.

I25

c) Filtrado de paquetes

Es la acción que realiza un dispositivo (generalmente routers) para controlar de

forma selectiva el flujo de datos hacia y desde una red. Los filtros permiten o

bloquean los paquetes, en general mientras se enrulan de una red a otra

(normalmente desde Internet a una intranet y viceversa). El filtrado de paquetes se

realiza en base a una serie de reglas que especifican qué tipo de paquetes van a

permitirse y qué tipo van a ser rechazados. Normalmente estas reglas se basan en

las direcciones de los paquetes y en los puertos o servicios para permitir o rechazar

paquetes.

Existen dos formas de tener un firewall sobre un ISP:

• El primero es vía hardware, y es un equipo dedicado solo para el propósito

de firewall, uno de los más populares sobre el mercado son los Cisco PIX del

la corporación Cisco, existen otras marcas en las que presentan el mismo

servicio de Firewall vía Hardware. En el anexo A5 se presenta la descripción

de un Firewall vía hardware

• El segundo es vía software, y consiste en un programa que se instala

dependiendo de la plataforma que se utiliza, estas plataformas pueden ser;

o Microsoft Windows NT 4.0

o Microsoft Windows 2000

o Seo Opens Server 5.0

o UnixWare 8.0

o Solaris para Intel

o Novell 5.0

o Linux

126

Estas plataformas son las más utilizadas en el mercado actual. En el anexo A6

se presenta la configuración de un Firewail vía software para el caso de la

Plataforma Linux.

4.4,2 Equipos y tecnologías de comunicación

4.4.2.1 Network Access Server (ÑAS)

Este equipo es capaz de soportar enlaces E1/T1 canalizados (R2, SS7), así como

conexiones con módems analógicos, sincrónicos o asincrónicos, soportando una

extensa gama de protocolos; además puede prestar servicios de CSU/DSU e ISDN

sobre cada canal, proporcionando una elevada escalabilidad.

Los servicios que se pueden disponer sobre este equipo son NAT, DHCP, Firewail,

Ruteo, Autentificación, etc.

4.4.2.2 MódemsI45J

La conexión de usuarios individuales a una red es posible a través de una línea

telefónica convencional, ya que ésta proporciona amplia cobertura a un bajo costo.

Puesto que la línea telefónica está concebida para la transmisión de señales

vocales (analógicas) y no de datos (digitales), es necesario transformar las señales

que envía el ordenador para adaptarlas a los circuitos telefónicos. Esto es posible

utilizando en ambos extremos de la línea un módem (palabra derivada de

MOdulador DEmodulador).

Las características más importantes que definen un módem son:

a) Tipo de modulación

Para traducir las señales digitales en analógicas existen tres métodos básicos de

modulación:

127

Modulación de Frecuencia, Modulación de Amplitud, y Modulación de Fase. Cada

una de estas técnicas consisten en alterar alguno de los parámetros, frecuencia,

amplitud o fase, de la onda portadora en función de los valores que adopte la

secuencia de datos a transmitir.

b) Velocidad de transmisión

Es la velocidad máxima a la que puede enviar datos un módem. Existen módems de

diferentes velocidades. Las más comunes son 1.200, 2.400, 9.600, 14.400 y 28.800

bits por segundo. Utilizar un módem de 14.400 bits por segundo en lugar de uno de

2.400 no sólo supone reducir hasta seis veces el tiempo que dura la transmisión,

sino que también se minimiza la probabilidad de errores al efectuarla.

Cuando se adquiere un módem, además del tipo de modulación y la velocidad de

transmisión, existen otros aspectos que hay que tener en cuenta, como son el grado

de seguridad requerido, las facilidades auxiliares o el tamaño.

Los módems pueden ser internos o externos. Los primeros suelen ser más baratos,

debido a que no disponen ni de la fuente de alimentación ni de la caja, además de

no ocupar espacio en la mesa. Sin embargo, tienen la desventaja de que solamente

se los puede emplear en el ordenador al que están conectados. Los externos, por su

parte, son más lentos, ya que se conectan al puerto serie del ordenador.

c) Sistemas de seguridad

La seguridad de la transmisión es un factor muy importante. En una comunicación

existe la probabilidad de que ocurran errores, es decir, alteración de la información

transmitida. Las causas más comunes son debidas a interferencias magnéticas que

producen ruido en el medio físico o al incorrecto funcionamiento del módem. La

detección y corrección de errores es posible gracias a los protocolos (reglas) de

comunicación que establecen un conjunto de normas que la rigen, definiendo

procedimientos para determinar cuándo se ha producido un error en la transmisión y

cómo debe ser corregido.

128

Otro tipo de seguridad que es conveniente tener en cuenta es la confidencialidad de

la información. Esto se consigue mediante el empleo de algoritmos de encriptación

que incorporan muchos módem avanzados.

d) Normalización

Por último, los módem se identifican de acuerdo con normas establecidas por un

organismo internacional (antes CCITT, hoy ITU-T, International Telecommunícations

Union-Telecoms) encargado de la normalización de estos dispositivos, fijando para

cada tipo de módem una serie de características (compatibilidad), de tal forma que

puedan conectarse entre sí aparatos de diferentes fabricantes. Por tanto, la elección

de un determinado modelo de módem va en función de las necesidades de

intercambio de información que se desea satisfacer.

En general, cuando los módems intercambian señales de handshake se ponen de

acuerdo en la máxima tasa estándar de transferencia de datos que los dos pueden

alcanzar.

Comenzando con el estándar V.22bis, las tasas de transferencia ITU se

incrementan en múltiplos de 2400 bps (bis significa segunda versión y terbo significa

tercera versión).

e) Estándares

V.22. Proporciona 1200 bits por segundo a 600 baudios (cambios de estado porsegundo).

V.22bis. El primer estándar mundial verdadero, permite 2400 bits por segundo a600 baudios.

V.32. Proporciona 4800 y 9600 bits por segundo a 2400 baudios.

129

V.32bís. Proporciona 14,400 bits por segundo pudiendo reducir su velocidad de

transmisión a 12,000, 9600, 7200, y 4800 bits por segundo.

V.32terbo. Proporciona 19,200 bits por segundo o baja a 12,000, 9600, 7200, y

4800 bits por segundo; puede operar a mayores tasas de transmisión de datos con

compresión, no fue estándar de CCITT/ITU.

V.34.Proporciona 28,800 bits por segundo o baja a 24,000 y 19,200 bits por

segundo y compatibilidad hacia atrás con V.32 y V.32bis.

V.34bis. Proporciona hasta 33,600 bits por segundo o baja a tasas de transferencia

de31,200oV.34.

V.35. Interfaz troncal de paquetes entre un dispositivo de acceso a una red y una

red a tasas de transmisión de datos mayores a 19.2 Kbps. El V.35 puede usar los

anchos de banda de varios circuitos telefónicos como grupo. Existen

Transformadores de Género y Adaptadores V.35.

V.42. Corrección de errores.

V.90. Proporciona hasta 56,000 bits por segundo corriente abajo (pero algo menos

en la práctica). Derivado de la tecnología x2 de 3Com (US Robotics) y la tecnología

K56flexde Rockwell.

Un estándar de la industria, la RDSI, usa métodos de codificación digital en las

líneas telefónicas para proporcionar tasas de transferencia de hasta 128,000 bits por

segundo. Otra tecnología, DSL10, proporciona tasas de transferencia incluso más

altas.

10 DSL es la forma abreviada de Digital Subscriber Line una tecnología que permite conexiones dealta velocidad utilizando líneas de teléfono y que permite estar on-line en forma continua. Con DSLno se tiene que llamar al ISP cada vez que se quiera entrar a la red sino que la PC estará conectadaen forma continua. A diferencia de las conexiones de cable módem, las conexiones de DSL sondedicadas y no comparten el ancho de banda con el resto de los usuarios que estén conectados enun momento dado.

I30

Entre los fabricantes de modems más utilizados en el mercado se encuentran:

• Microcom• 3Com• Telebit• US Robotics• Motorola• Cisco• Intel

4.4.2.3 RDSI o ISDN

Las redes telefónicas convencionales están abriendo paso a la Red Digital de

Servicios Integrados (RDSI), que constituye un gran avance en el tratamiento de la

información, permitiendo el envío y recepción de voz, datos, imágenes, etc. a gran

velocidad y con un elevado grado de fiabílidad y calidad.

La Red Digital de Servicios Integrados es un estándar internacional de

telecomunicaciones que permite la transmisión de información sobre una línea

única. Es decir, a través de una línea telefónica de cable de cobre o fibra óptica, el

usuario tiene derecho a accesos conmutados. El usuario que lo desee puede

contratar una línea RDSI con una compañía telefónica, ya sea Andinatel, Pacifictel o

Etapa siempre que se reúnan los siguientes requisitos:

1. La compañía telefónica debe tener instalados equipos de conmutación RDSI

en las zonas donde se desee contratar este servicio. Hoy en día este tipo de

red está muy difundido y abarca casi todo el territorio nacional.

2. El usuario debe tener el teléfono conectado a una central digital.

Actualmente, las redes RDSI que se utilizan son de Banda Estrecha (RDSI-BE) y

trabajan a una velocidad de 64 Kbps, pudiendo alcanzar hasta los 2 Mbps.

La velocidad en la transmisión de información que se obtiene con este tipo de redes

es muy superior al de la red telefónica convencional. La aparición de la RDSI de

Banda Ancha (RDSI-BA) con velocidades superiores a los 2 Mbps, ha favorecido el

surgimiento de nuevos servicios, como videotelefonía, por ejemplo.

13

a) Canales digitales

Para poder realizar la transferencia de información, la red RDSI se basa en tres

tipos de canales digitales, que sirven como vías de transferencia de información:

a1) Canal B (Bearer)

Canal de 64 Kbps. Se encarga del envío y recepción de la información que se

genera en el terminal de usuario. Los canales B se conectan de forma muy similar a

la que se establece en una llamada telefónica convencional.

a2) Canal D (Señalización)

Envía la información de control utilizada entre la oficina telefónica central y el punto

terminal del usuario. Es decir, transporta información de cómo establecer o terminar

conexiones, informa del estado de la línea, etc. Su velocidad depende del tipo de

acceso, y oscila entre los 16 y 64 Kbps. También puede ser utilizado para enviar

datos a baja velocidad (9.600 bps).

a3) Canal H

O de alta velocidad, el cual ha sido diseñado para la transmisión de vídeo en tiempo

real. Existen dos tipos: Canal HO de 384 Kbps, y Canal H12 de 1.920 Kbps.

b) Accesos

Para obtener distintos tipos de acceso es preciso combinar apropiadamente los

diferentes canales. Se ha optado por definir dos tipos de acceso, uno orientado al

uso particular, denominado Acceso básico y otro orientado al uso profesional

conocido como Acceso primario.

132

b1) Accesos Básico (2B+D)

Proporciona dos canales de tipo B de información de 64 kbps cada uno y uno de

tipo D de 16 Kbps para la señalización y control de los canales B. La velocidad de

transmisión de información puede llegar hasta los 192 Kbps. La instalación consta

de cuatro cables, dos para transmisión y dos para recepción (denominado Bus

Pasivo), que permite la conexión de hasta ocho equipos terminales. Por equipo

terminal se entiende desde un simple aparato de teléfono hasta el más sofisticado

ordenador personal, pasando por un equipo de Fax. Es posible conectar de forma

simultánea un PC con Internet a la vez que se establece una llamada telefónica a

través del teléfono.

b2) Acceso Primario (30B+D)

El acceso primario proporciona 30 canales de 64 Kbps (canales B) y un canal de

señalización (canal D) de 64 Kbps. La velocidad de transmisión de información

puede llegar hasta los 2.048 kbps. Este tipo de acceso está orientado al uso

profesional para las grandes empresas. Las ventajas de una línea RDSI sobre la

línea analógica son múltiples. Se verá algunos servicios a los que es posible

acceder a través de una línea RDSI:

• Telefonía a 7 kHz

Utilizando teléfonos digitales es posible ampliar el ancho de banda a 7 KHz,

ofreciendo más calidad en la señal de voz, posibilitando la reproducción musical.

• Videoconferencia

Permite transmitir, junto con la voz, la imagen de la persona que establece la

comunicación.

• Identificación de la llamada entrante

Permite conocer el número de teléfono de la persona que establece la comunicación

con la posibilidad de identificarla con anterioridad a la conversación.

133

• Llamada en espera

Avisa de la presencia de una llamada cuando el usuario está ocupado. Es posible

atenderla o ignorarla.

• Información del coste

Es posible conocer el importe de la llamada al término de la misma.

• Desvío de Llamadas

Permite desviar todas las llamadas entrantes a otro número de teléfono deseado. En

cuanto a comunicaciones, ofrece la posibilidad de conexión a redes externas como

Internet, InfoVía, acceso interactivo a bases de datos a gran velocidad y con mucha

fiabilidad, permitiendo la integración de datos y voz

4.4.2.4 Routersí49J

O enrutador, es un dispositivo de red que comunica dos redes distintas y que es

capaz de determinar en qué red se encuentra el dispositivo al que nos queremos

conectar.

Si el dispositivo al que nos queremos conectar está en nuestra misma red, el router

no dejará pasar la comunicación hacia la otra red. En caso contrario sí lo hará.

Los Routers (Encaminadores) se sitúan entre dos redes y a la vez que encaminan

los paquetes entre una red y otra buscando los recorridos más "rápidos" o más

precisos, realizan o pueden realizar un filtrado de paquetes (Por eso también le

podríamos llamar Firewall, porque están haciendo ese trabajo), comprobando las IP

y los puertos (Cada paquete lleva una franja de información en la cuál se incluyen

las IP de salida y destino y el puerto)

El Router no es solo un elemento físico para conectar una LAN a una internet

(WAN), sino que es una muy buena opción a la hora de ampliar una LAN.

134

Hay Routers que soportan el uso de NAT (Encapsulación de la IP interna en cada

paquete enviado).

Existe una amplia variedad de marcas como se puede ver en la sección 4.9 de este

capítulo; en el anexo A7 se encontrará las características del Router CISCO 2500.

4.5 Esquema Total

En la Figura 4.4 se presenta la configuración total del ISP, esta es su configuración

local así como también con el proveedor de Internet en los EEUU y el enlace de

backup.

Dentro del esquema se puede apreciar las siguientes partes:

• Enlace localo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Swítcho Servidoreso ÑAS (Network Access Se/ver)

• Enlace Internacionalo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Switcho DTUo Salida a Internet con Proveedor Internacional

• Enlace Backupo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Swítcho DTUo Salida a Internet con Proveedor Internacional

135

ISP

RadiusDNS ServerWeb SeverMaíl Sorver

Proxy Servar(Cachs Sorvsr)

DNS Seívr

Figura 4.4 Esquema total

Hay varias formas de tener un enlace de backup:

• Con el mismo satélite y con el mismo Telepuerto local y diferente Telepuerto

Internacional.

• Con el mismo satélite y con diferente Telepuerto local y diferente Telepuerto

Internacional.

136

• Con diferente satélite y con el mismo Telepuerto local y diferente Telepuerto

Internacional.

• Con diferente satélite y con diferente Telepuerto local y diferente Telepuerto

Internacional.

Estas configuraciones se las debe analizar en base a los costos que involucra cada

uno de estos ejercicios; como no es propósito de este proyecto de titulación analizar

costos se puede recomendar que la mejor configuración sea con diferente satélite y

con diferente Telepuerto ya que existe total independencia en caso de que se dañe

en forma total el enlace principal. Según estadísticas la configuración más común

tanto en la parte técnica como económica es con el mismo satélite y con diferente

Telepuerto para el enlace de backup.

4.6 Tolerancia a Fallos

La tolerancia a fallos cubre a los servidores de computación y a los enlaces.

4.6.1 Servidores de Respaldo

Los servidores que funcionan como principales tienen los diferentes servicios que

"corren" en el Internet, de modo de que si cae algún servidor, cualquiera de los otros

entra en funcionamiento en los servicios que estaba funcionando el servidor de falla.

De esta forma el ISP tiene un anillo de protección a falla con todos sus servidores,

consiguiendo un alto rendimiento en el servicio.

En la figura 4.5 se indica la disposición de los elementos del sistema de tolerancia a

fallos, cabe señalar que en esta distribución se aplica el sistema de Balance de

Carga, es decir en caso de detectar saturación sobre algún servicio, el servidor

secundario de un servicio puede entrar a operar sobre el mismo servicio.

I37

DNS Server PrimarioWeb Server PrimarioMail Server Primario

Radius Server PrincipalMail Server SecundarioIndex Server Primario

DNS Server SecundarioWeb Server Secundario

Proxy Server PrincipalDNS Server tercero

Firewall

Figura 4.5 Tolerancia a Fallos

Si el servicio de DNS deja de funcionar, automáticamente las máquinas o hosts que

están dentro del ISP deben cambiar la búsqueda hacia el servidor de servicio

secundario, este mecanismo es transparente para el usuario final.

Para el caso del WEB Server una vez que el servicio está fuera de línea, se

redirecciona automáticamente hacia el servidor de backup, donde existe una copia

del servidor principal, que de igual forma es transparente para el usuario.

Sobre el Mail Server existe una similitud con el WEB Server, una vez que deja de

funcionar el servicio principal, es automáticamente direccionado hacia otro servidor

de correo donde existe una copia exacta y actualizada de los correos de los

usuarios.

En los demás servicios como Radius y Index Server no es necesario tener un

backup ya que son servicios que no tienen un alto grado de importancia, por

ejemplo si el Radius Server deja de funcionar, entra en funcionamiento la base de

datos interna del ÑAS quien tiene una copia del servidor Radius.

38

4.6.2 Enlaces redundantes

Pensando en la fiabilidad del servicio se ve la necesidad de tener redundancia en el

enlace Internacional, éste puede ser ya sea con otro Camero puede ser con otro

ISP local. Figura 4.6

USA

USA

QUITO

Figura 4.6 Enlace Redundante

También se puede tener un enlace redundante con el Proveedor Internacional como

se aprecia en la figura 4.7. Para esto se debe tener dos enlaces satelitales como se

había mencionado antes, con diferentes proveedores de Internet en los Estados

Unidos con una comunicación entre los Telepuertos conocida como Peeríng donde

se reciben las dos señales satelitales, para poder establecer la redundancia, de tal

forma que si uno de ellos sale de línea automáticamente el otro entra a operar.

Tele puerto USA

Figura 4.7 Enlace Proveedor Internacional

139

Con esto se consigue que cualquier anomalía del sistema sea transparente para los

usuarios, y garantizar el enlace las 24 horas del día.

4.7 Direcciones de red del ISP y Ancho de Banda del ISP

Como caso de estudio se asignará direcciones para un ISP local tanto en la

configuración como en el diseño.

Se establece que el ISP local tiene las redes indicadas en la tabla 4.1, las que se

ocuparán para sus diferentes usuarios; éstas han sido asignadas en forma aleatoria

con el fin de logra hacer un diseño real del ISP a Sistema Autónomo:

Red123456

Dirección207.100.28.0207.100.29.0207.100.30.0207.100.31.0207.100.32.0207.100.33.0

Máscara255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0

Tabla 4.1 Direcciones IP para el ISP local

El ISP debe tener un Ancho de Banda siempre con un 20%11 de flexibilidad para

evitar cuellos de botella sobre los enlaces satelitales hacía el Internet, en caso de

no obtenerse estos porcentajes, se tendrá que incrementar la capacidad en el

Ancho de Banda.

4.8 Definición del Sistema Autónomo

Una vez entregado el formulario a Internic, se procede a la aprobación del mismo

previo al pago del Sistema Autónomo. Con la confirmación del Número asignado al

ISP, se entrega este número al Proveedor Internacional, conjuntamente con las

20%, dato tomado estadísticamente por la Empresa TelcoNET (ISP local en el País }

140

redes que serán manejadas por el Sistema Autónomo Local, las cuales están

interconectadas entre ellas como se muestra en la figura 4.8.

Por fines de demostración los Sistemas Autónomos definidos serán los siguientes:

ISP Local: AS100

ISP Internacional: AS200

ISP Internacional Backup: AS300

ISP INTERNACIONAL

ISP INTERNACIONALBACKUP

Figura 4.8 Sistemas Autónomos

La lista completa de los Sistemas Autónomos es distribuida por Internic y se

encuentra en ftp://rs.arin.net/netinfo/asn.txt o una parte de la lista se encuentra en

el anexo A4.

4.9 Requerimientos para el funcionamiento del Sistema Autónomo

Un ISP debe cumplir con ciertas características para poder operar en el País. Como

primer paso es la formación de la Empresa en la Superintendecia de Compañías,

141

además de hacer el estudio y Presentación del proyecto de Valor Agregado en la

Secretaría Nacional de Telecomunicaciones, aquí en el anteproyecto técnico se

evalúa la infraestructura con la que entrará a operar el ISP.

La Secretaría a su vez analiza al ISP para que tenga un buen funcionamiento en el

País y le obliga a que su enlace satelital salga por algún Portador Autorizado en el

País12, como también para que su infraestructura a nivel local se haga con los

autorizados en el País como son: Andinatel, Pacifictel o Etapa.

Con la Infraestructura funcionando se procede a los convenios con Internic y los

registros respectivos con los Proveedores Internacionales.

Una vez registrado el Sistema en Internic, se procede a la programación de los

mismos tanto en el ISP local como en el Internacional y por último en el de Backup.

Cabe señalar que para ello se necesita enlaces entre los diferentes nodos, ya sean

éstos Satélite, Microonda, Fibra Óptica, etc. Para este caso específico se analiza

que el link o enlace entre los nodos sean a través de satélite, no se analizará el

equipamiento satelital sino solo a nivel de datos, es decir Routers.

Dentro del mercado existe una gama bastante amplia de marcas de routers que

soportan BGP, entre las más significativas están:

Cisco

3com

RAD

Lucent

Intel

Telebit

Para el caso de demostración los valores tomados estadísticamente son de la

Empresa TelcoNET, quien facilitó la información para propósito de este proyecto.

12 Portador Autorizado, Empresa que puede dar servicio de Enlaces satelitales en forma legal en elPaís.

142

Para el caso demostrativo se tomara un ISP con 1600 usuarios Dial-Up,

estadísticamente se mide que cada 400 clientes se necesita un E1, por lo tanto en

este caso se requerirán 4 E1's.

Para esto se requiere de 2 ÑAS, cada uno con un soporte de 2 E1 's, el consumo de

cada ÑAS puede ser medido a través del Protocolo SNMP y se lo puede ver en la

figura 4.9.

System; Switch 3300 in TelcoNET - QuitoMaintamer: Hugo Pro añoDcscriptioa RMON:10/100Port6 onUnit 1ifType: ethenietCsmacd (6)

ifNamc:MaxSpeed: 1250.0 kBytes/s

The stañstics were last updated Thursday, 18 Octofoer 2001 at 15:45,ai which time 'Switch 3300' had be en up for 21 days, 4:55:11

Daily' Graph (5 Minute Average)

56.0 k

0.0 R14 12 10 8 O 22 20 18 16 14 12 10 8

Max In:20.5kB/s(1.6%) Avetage In:9204.0 B/s (0.7%) Current In: 13.0 kB/s (1.0%)Max Out:55PkB/s(4J%) Average Out: 25.2 kB/s (2.0%) Cuirent Out:44.1 kB/s(3_5%)

Figura 4.9 Análisis SNMP para un ÑAS de2E1's

En la figura se aprecia que 2 Ef's tienen en promedio un consumo en la bajada

(DOWN) satelital de 201.6 kbps (25.2 kBps) y de subida (UP) 73.6 kbps (9.2 kBps).

Como consumos pico en la parte de bajada se tiene 448 kbps (56 kBps) y en la

subida 112 kbps (14 kBps). Se tendría similar información para el otro ÑAS que

soporta los 2 E1 's.

143

Para obtener un servicio eficiente, el ancho de banda satelital debe estar basado en

los valores máximos con un margen de error del 10% (Dato estadístico, dado por la

empresa TelcoNET), con esto se tendría un ancho de banda satelital aproximado

de:

• De subida (UP) 224 kbps + 10% (margen de error) = 256 kbps

• De bajada (DOWN) 896 kbps + 10% (margen de error) = 960 kbps

Es importante ver que la relación de subida y bajada está en el orden de 3.75

4.10 Programación del Sistema Autónomo

Para el caso de estudio, la programación de los routers se hará con la tecnología

Cisco, una de las más utilizadas dentro del mercado Nacional e Internacional. La

información del ISP es la expuesta anteriormente.

Los equipos a usar son:

• Routers 2500

• Switch Cisco 1548M

La documentación referente a estos equipos se encuentran en el anexo A7 donde

se encontrará características a nivel de software y hardware.

Estos Routers y Switches son instalados sobre cada lado, tanto en el nodo Nacional

e Internacional y Backup. En el Switch local se instalará todos los servidores como

también el interfaz Ethernet del Router, en el caso del Proveedor Internacional y del

Enlace de Backup, de igual forma los Routers se instalarán en forma directa con los

Switches. Ver figura 4.10

144

Switch1548

AS 100

Nodo Local207.100.28.1

cisco 250

29.29.29.1

AS 200 207.100.34.1

NodoInternacional

39.39.39.2

co 2500

19.19.19.2Switch1548

AS 300

19.19.19.1 Switch1548

29.29.29.2^"- „„„cisco 2500

Nodo Backup207.100.35.1

Figura 4.10 Configuración de Nodos

4.10.1 Configuración del Router del Nodo Local

Sobre el router local se tendría la siguiente configuración:[47'

service timestamps debug uptime

service timestamps log uptime

service password-encryption

no service tcp-small-servers

no service udp-small-servers

hostname local Nombre del router local

enable password 1234

ip ñame server 207.100.28.130

password del router

IP del DA/S Se/ver

145

ip routing Habilita el Ruteo

interface Ethernet O

ipaddress 207.100.28.1

Configuración Ethernet

interface Serial O

ip address 39.39.39.1 255.255.255.252

ip broadcast-address 39.39.39.3

Configuración WAN O

interface Serial 1

ip address 29.29.29.1 255.255.255.252


Configuración WAN 1

router bgp 100

network 207.100.28.0

network 207.100.29.0

network 207.100.30.0

network 207.100.31.0

network 207.100.32.0

network 207.100.33.0

neighbor 39.39.39.2 remote-as 200


Configuración Sistema Autónomo

Definición de redes que maneja

el Sistema Autónomo.

Definición de Vecinos ASN's

ip classless

ip 0.0.0.0 0.0.0.0 39.39.39.2

ip 0.0.0.0 0.0.0.0 29.29.29.2

snmp-server community public RO

snmp-server location Quito-Ecuador

snmp-server contact Hugo Proaño,[email protected]

Definición de Rutas

Definición de Gateway

Definición de Gateway Backup

Definicón de SNMP13

SNMP, (Simple Network Management Protocol), en sus distintas versiones, es un conjunto deaplicaciones de gestión de red que emplea los servicios ofrecidos por TCP/IP, protocolo del mundoUNIX, y que ha llegado a convertirse en un estándar.

146

line consolé O Definición de Consola

exec-timeout O O

password 1234 Password de Consola

login

!

line vty O 4 Definición de Telnet

password 1234 Password de Telnet

login

end

4.10.2 Configuración del Router del Nodo Internacional

Sobre el routerdel Nodo Internacional se tendría la siguiente configuración:

i

service timestamps debug uptime

service timestamps log uptime

service password-encryption

no service tcp-small-servers

no service udp-small-servers

i

hostname internacional

enable password 1234

ip ñame server 207.100.34.130

ip routing

i

interface Ethernet O

ipaddress 207.100.34.1

147

interface Serial O

ip address 39.39.39.2 255.255.255.252

¡p broadcast-address 39.39.39.3

!

interface Serial 1

ip address 19.19.19.2 255.255.255.252


!

router bgp 200

network 207.100.34.0


neighbor 19.19.19.1 remote-as 300!

ip classless

ip default-gateway 207.100.34.1



snmp-servercontact Hugo Proaño,593-2-599215,[email protected]

line consolé O

exec-timeout O O

password 1234

login

!

line vty O 4

password 1234

login

end

148

ip classless

ip default-gateway 207.100.35.1



snmp-server contact Hugo Proaño,593-2-59921 5, [email protected]

!

line consolé O

exec-timeout O O

password 1234

login

i

line vty O 4

password 1234

login

end

4.11 Costos referenciales de la Infraestructura de un ISP para el caso

demostrativo

Dentro de este caso de demostración se asume que el ISP necesita como

Capacidad de banda Satelital 1.2 Mbps, entre el enlace de subida y bajada, además

4 E1 's que soportarán 1600 clientes.

Todo ISP debe contratar con algún proveedor Internacional quien da el servicio

hacia la Red de Internet. En este caso los valores Satelitales y últimas millas son

proporcionados por la Empresa SATMEX de México. Cada Mhz satelital tiene un

costo mensual de US 5600,oo (incluido landingu), a esto se le debe sumar la última

milla de donde se recibe el Telepuerto (landindg) en USA hacia el proveedor de

Internet Internacional que tiene un costo de US 800,oo mensuales y por último se

Landind, Telepuerto privado, donde recoge la señal incluyendo el modem satelital.

150

suma el acceso a Internet que se paga hacia el proveedor Internacional que tiene un

costo de US 2500,0o mensuales por un acceso T1 hacía la red de Internet.

Cantidad111

DescripciónMHz en satéliteUltima millaT1 hacia InternetTotal

Costo US $$ 5600,oo$800,00

$ 2500Too$ 8900,oo

Tabla 4.2 Detalle de costos de Banda Satelital, Última Milla y T1

Hasta aquí se analizó la parte Internacional, el costo del Telepuerto (landing) local

se analizará como que el ISP lo debe adquirir, para esto se necesita :

Cantidad1111

EquipoAntena Parabólica de 3.7m diámetroAmplificador de Potencia con Decodificador HPA (10W)Modem Satelital soporta 2 MbpsInstalaciónTotal

Costo US $$ SOOO.oo

$ 16000,oo$ 4000,00$ 1500,oo

$ 26500,oo

Tabla 4.3 Detalle de costos del nodo Satelital

Sobre los E1's, el costo de cada E1*s tiene un valor de US 5400,oo dólares

americanos a la firma del contrato y un pago mensual de US 540,oo.

El costo de los equipos a utilizar sobre el ISP son:

Cantidad23341

EquipoÑAS de 2 E1 'sRouter Cisco 2500Switch Cisco 1 548MServidores Proliant 2500Enlace de backupTotal

Costo US$ 50000,oo$ 5000,oo$ 2700,oo

$ 15200,00$ 3000,oo

$ 75900,oo

Tabla 4.4 Detalle de costos por equipo del ISP

51

En software no tiene un valor predeterminado ya que la preferencia del ISP local

(Información de TelcoNET) es la plataforma LINUX, donde no tiene costo. El único

costo de software es sobre el BHIing System que es una aplicación de facturación

para Proveedores de Servicio de Internet, el cual en el mercado se encuentra a US

9500,oo para 5000 usuarios.

A todo esto se le debe adicionar el pago hacia la Secretaría Nacional de

Telecomunicaciones, según el articulo 34 15 del Capítulo Vi del Reglamento para la

prestación de Servicios del Valor Agregado que corresponde a 100 UVC para la

concesión. Este valor a la fecha de realización de este proyecto se encuentra en US

2.62

En resumen para levantar el ISP con esta infraestructura de 1600 clientes se

necesitan aproximadamente US 144822,oo de primer pago y un mensual de US

14060,oo, cabe recalcar que solo se han hecho análisis de los equipos y enlaces

que se utilizarán en el caso demostrativo de este proyecto de titulación.

Resumen Un solo Pagoítem

Banda Satelital, Ultima Milla, 11Nodo Satelital (local)Costo de 4 E1 's (Andinatel)Tarifa Básica de 4 E1 'sEquipos de ISPBHIing SystemPermiso de Valor Agregado (c/UVC=$ 2.62)Total

Valor $8900

2650021600

2160759009500

262144822

Tabla 4.5 Total de Inversión (Un solo Pago)

15 Articulo 34, Todo permisionario para operar en Servicio de Valor Agregado deberá cancelarpreviamente a la Secretaria Nacional de Telecomunicaciones por derechos de concesión un valorequivalente a 100 UVC, aplicándose el UVC vigente al primer día del mes en que se presento lasolicitud.

152

Resumen Pago Mensualítem

Banda Satelital, Ultima Milla, T1Tarifa Básica de 4 E1 'sEnalce de backupTotal

Valor $890021603000

14060

Tabla 4.6 Pago Mensual

153


[4.1] http://abc.es/teknoabc/a/que/que90/que90.asp

[4.2] http://reduant.uanl.mx/RedUANL/Servicios/FTP/Que_es_FTP.html

[4.3] http://www.vivire.com/queeswebhosting.shtml

[4.4] http://www.sopde.es/cajon/biblioteca/comercio/quees.html

[4.5] http://www.terra.com/informatica/que-es/vdotxx.cfm

[4.6] http://abc.eS/teknoabc/a/que/que42/que42.asp

[4.7] Cisco System, Taller Border Gateway Protocol ver4.0 BGP4, versión 2.0

[4.8] http://www.timagazine.net/magazine/1198/firewalls.cfm

[4.9] http://www.nicatech.com.ni/r.htm

54

Capítulo V

Conclusiones y Recomendaciones

5.1 Conclusiones

El conjunto de protocolos TCP/IP ha sido de vital importancia para el

desarrollo de las redes de comunicación, sobre todo para Internet. El

ritmo de expansión de Internet también es una consecuencia de estos

protocolos, sin los cuales, conectar redes de distintas naturalezas

(diferente Hardware, sistema operativo, etc..), hubiera sido mucho mas

difícil, por no decir imposible. Así pues, se puede decir que los protocolos

TCP/IP fueron y son el motor necesario para que las redes en general, e

Internet en particular, se mejoren y se pueda lograr una buena "autopista

de la información".

El modelo de referencia OSI presenta 7 capas puntuales y el modelo

TCP/IP presenta 4 capas. El modelo TCP/IP realmente no describe una

estructura tan precisa de niveles, aunque se puede visualizar a las capas

de Aplicación, Presentación y Sesión de OSI como similares a la capa de

Aplicación del modelo TCP/IP; igualmente la capa de Transporte similar a

la penúltima capa del modelo TCP/IP, la capa de Internet de TCP/IP

corresponde a la capa de Red de OSI y la primera capa de TCP/IP que es

Enlace, encuentra su correspondiente en las capas Física y Enlace de

Datos del modelo OSI.

El protocolo de IP usa direcciones de IP para identificar los HOST y

encaminar los datos hacia ellos. Todos los host o nodos deben tener una

dirección IP única para poder ser identificados en la red. El nombre de

host se traduce a su dirección de IP consultando el nombre en una base

de datos de pares nombre - dirección (DNS).

155

En relación a los dos métodos de encaminamientos, se puede decir que

el uno está en función de donde se decide encaminar y el otro está en

función de la adaptabilidad; cada uno de ellos tienen su clasificación a la

que la información que se transmite de un lado hacia otro sea enviada en

forma óptima dependiendo del estado en el que se encuentra configurada

una comunicación entre dos nodos.

En el método de encaminamiento que está en función de donde se decide

encaminar, el óptimo es el Fijado en el origen, ya que el sistema final

impone la ruta a seguir para cada paquete, de tal forma que los nodos

sólo se dedican a reenviar paquetes.

Sobre el método de encaminamiento que está en función de la

adaptabilidad, el óptimo es el de Estado de Enlaces ya que cada nodo

difunde la información de distancias con sus vecinos, teniendo ventajas

como detección más sencilla de errores, alta disponibilidad a los cambios

y menor consumo de capacidad en el tráfico enviado por el enlace.

Todos los Algoritmos ya sean de Dijkstra, Floy-Marshall, etc., buscan

hacer una eficiente rutina para poder encontrar el mejor camino a seguir

desde un cierto punto hasta su destino; en estas rutinas o algoritmos se

analizan puntos como el costo entre diferentes vecinos y el costo con el

nodo final haciendo de está la mejor selección para poder enviar la

información deseada.

Existen otros algoritmos como los de inundación y de aprendizaje hacia

atrás que nos son óptimos ya que se basan en una inundación de

información por todos los puertos de comunicación provocando una

saturación innecesaria sobre los enlaces de comunicación.

156

• Un Sistema Autónomo es una política de ruteo o encaminamiento tanto

para una red simple como para un grupo de redes, que es controlada por

un mismo Administrador o por un grupo de Administradores sobre una

única identidad administrativa. Un Sistema Autónomo tiene un número

global único ASN asociado con él; este número es usado tanto en el

intercambio de información de enrutamiento exterior, como para identificar

al Sistema Autónomo en sí.

• Un Sistema Autónomo normalmente utilizará uno o más IGPs (Interior

Gateway Protocol) para intercambiar información de accesibilidad dentro

de su propio Sistema Autónomo. Un Sistema Autónomo debe ser utilizado

para intercambiar información de enrutamiento externo con otros

Sistemas Autónomos a través de un protocolo de enrutamiento exterior

Bordar Gateway Protocol.

• Los pasos a seguir para la creación de un Sistema Autónomo no son

complicados ya que se debe hacer el registro sobre ARIN con un

formulario dependiendo del tipo de empresa, con este formulario se

asigna un número y luego se procede con el pago del mismo en ARIN, la

empresa encargada de registrar los Sistemas Autónomo en el Internet.

• Bordar Gateway Protocol es un protocolo de ruteo que se utiliza para

poder intercambiar información entre dos o más redes de Sistemas

Autónomos en el Internet o ya sea en redes privadas. Para poder

comunicarse dentro de los Sistemas Autónomos se utiliza el protocolo

Interior Border Gateway Protocol el cual facilita el trabajo de ruteo dentro

del mismo Sistema Autónomo. El protocolo que se usa para comunicarse

con Sistemas Autónomos es el Exterior Border Gateway Protocol.

• Existen cinco tipos de mensajes que utiliza el Border Gateway Protocol

que son: Common Header, Open, Update, Notificaron, Keepalive que son

157

utilizados por este protocolo para la comunicación con otros routers sobre

los enlaces de comunicación.

• Los atributos son una de las características más importantes del protocolo

BGP, ya que expresan la mayoría de la información a través de la

descripción de los prefijos ruteados. La manera en que los atributos son

codificados permite a BGP extenderse con nuevas características sin

cambiar el protocolo base.

• Un Proveedor de Servicio de Internet debe tener ciertos componentes

indispensables para su operación, los cuales son divididos en varias

partes como la satelital con el acceso al Internet con el Proveedor

Internacional, que contiene un Telepuerto con sus respectivos equipos de

comunicación satelital. El otro componente del Proveedor de Internet es la

red Interna, esta red debe tener ciertos servidores con servicios básicos

del Internet como son el Mail Se/ver, DNS Server, Web Se/ver, etc. Y por

último la comunicación con los clientes de Internet son a través de

canales digitales conocidos como E1's los cuales constan de 30 canales

para su utilización con los clientes. Estos canales pueden llegar a tener

estándares como V.22, V.22bis, V.32, V.32bis, V.34 y V.90. Si el ISP

utiliza líneas análogas en vez de E1's, las velocidades de transmisión

podrán llegar hasta V.34.

• La parte principal del ISP es la facturación, esta parte se debe manejar

con 2 programas, el uno es el que maneja la información de conexiones

(RADIUS) del cliente, donde también existe información como desde el

número que se conectó, la cantidad de bytes que descargó, etc.; el otro

programa se llama Billing System que se encarga de facturar a los

clientes en base al consumo o planes que haya tenido los mismos.

158

Todo ISP debe tener un Firewall para protección de los Hacker y

Crackers, este Firewall pude ser aplicado ya sea a nivel de hardware

(recomendado) o a nivel de software. El Firewall impide que ciertos

puertos que no se están ocupando sean cerrados para evitar visitas

inesperadas, por ejemplo el servicio de Telnet sobre el puerto 23.

Debe existir una redundancia sobre los servicios que se ofrecen en el

ISP, en caso de que alguno de ellos se encuentra fuera de operación por

alguna situación, automáticamente el se/ver con funciones del servicio

secundario debe entrar a operar en forma transparente para el usuario.

El enlace de backup Internacional es el secreto de poder mantener una

operación del 100% en línea, ya que en caso de que el enlace principal

salga de operación el enlace de backup o redundante entra a operar y

automáticamente el ruteo es cambiado hacia este nuevo enlace (atributos

del BGP), de tal forma de tener siempre una salida hacia el Internet.

En el diseño del Ancho de banda satelital, se debe tomar en cuenta

ciertos puntos como que el enlace no siempre se encuentra al 100% de

saturación; para asegurar que la calidad del servicio sea buena el nivel

permitido de saturación puede ser de 120% (Información estadística dada

por la empresa TelcoNET). De esta forma se pueden incrementar el

número de clientes hasta poder llegar a este valor, una vez que

sobrepase este valor se debe incrementar el ancho de banda satelital

para mantener la misma calidad de servicio.

La programación sobre los routers no son muy complejas, en el caso

específico del caso demostrativo se observó que con definiciones exactas

se puede establecer una comunicación a través del protocolo BGP.

159

• El sistema compartido del enlace satelital, es decir, en el que existe un

solo canal para todos los clientes, es muy práctico y económicamente

atractivo ya que se pudo ver que los clientes no siempre utilizan el

servicio las 24 horas del día de la semana y del mes.

• El costo satelital todavía tiene un valor elevado, por lo que es necesario

hacer un esquema de utilización del producto tipo VSAT para poder

optimizar el espacio de clientes que no ocupan para poder dar a otros

clientes en este tiempo.

• La inversión que un ISP debe hacer para poder instalar su infraestructura

dependerá de los servicios que se instalen, para el caso de demostración

se han analizado los servicios básicos que un ISP debe tener.

160

5.2 Recomendaciones

• Se recomienda que todo ISP utilice E1's ya que con estos canales se

pueden incrementar las velocidades de transmisión a 56 kbps.

• Se recomienda siempre tener un enlace de backup para todo ISP, en

vista de que el enlace principal salga de operación, el enlace de backup

entrará en funcionamiento, esto es para que los usuarios no sientan estos

problemas.

• Todo ISP debe tener un Firewall para evitar ataques externos e internos;

para esto los puertos que no se están utilizando por el ISP deben ser

cerrados. Además se debe evitar el ICMP sobre todos los host y se/vers

de la red del ISP.

• Se recomienda hacer un estudio detallado sobre la configuración de un

Firewall para ISP's, donde se debe analizar todos los servicios que un

ISP ofrece a sus clientes.

• Se recomienda tener un esquema de backup de servicios sobre varios

servidores para poder tener un rendimiento del 100% sobre los servicios

que ofrece el ISP.

• Se recomienda hacer un estudio y análisis sobre el requerimiento de

ancho de banda en base a la utilización de los clientes de Internet,

además de hacer un análisis de qué servicios en el Internet son los que

más ocupan ancho de banda.

• Hacer un análisis de costos para poder saber el costo real por cada kbps

que utilizan los clientes, como también hacer un estudio de mercado

161

sobre los planes que más se utilizan en el medio. Adicional a esto es

necesario saber cuál de los planes en el mercado son los que

económicamente más rinden o se tienen mejores utilidades. Para esto se

tiene que hacer un estudio de consumos de Internet en base a la hora

como también en base al tipo de servicio que se utiliza en el mismo.

Es necesario hacer un análisis de la utilidad que presenta la empresa

para la infraestructura instalada, en el caso demostrativo para los 1600

clientes Dial-up que se tiene.

En la actualidad muchos ISP's como otras empresas en el Internet tales

como Amazon han puesto como plataforma base el sistema operativo

Linux, se recomienda hacer un estudio de esta plataforma para poder

recomendar o no a los ISP para que usen como estándar.

162

BIBLIOGRAFÍA

Tanenbaum, Andrew S., Computer Network, Prentice-Hall, 1996

Todd Lammle, Monica Lammle, James Chellis, TCP/IP for NT Server4 StudyGuide, Second Edition, 1996

Lijding María Eva, Un Nuevo Protocolo de Ruteo Interno, Universidad de BuenosAires, Departamento de Computación.

Stewart John W., BGP4 Inter-Domain Routing in the Internet, Addison-Wesley,2000

Black.Uyless D., IP Routing Protocols, Prentice Hall, New Jersey, 2000

Cisco System, Taller Border Gateway Protocol ver4.0 BGP4, versión 2.0

http://forpas.fie.us.es/redes/osi.asp

http://pdi.cicese.mx/mavendan/estudios/rld/OSI-ISO.html

http://www.lafacu.com/apuntes/informatica/tcpip/default.htm

http://dali.ualm/~jamartin/html/c1_apun/nod e41.html

http://www.dc.uba.ar/people/materias/tc/informacion/apuntes/Apunte-Ruteo.html

http://fenix.sis.epn.edu.ee/~ntrujill/Topico/28.html

http://www.etse.urv.es/~cmolina/XCI/files/trans_xcij/sld108.htm

http://whatis.techaterget.eom/definition/0,289893,sid9_gc¡213662,00.html

http://www.h4ck3r.co.nz/h4ck3r(original)/encyclopedia/4.htm

http://www.clizio.com/Connected/RFC/1583/12.htm

http://whatis.techaterget.com/definition/0,289893,sid9_gci211987.00.html

http://www.faqs.org/rfcs/rfc1930.html

http://www.arin.net/templates/asntemplate.txt

http://whatis.techaterget.com/definition/0,289893,sid9_gci213813,00.html

163

http://whatis.techaterget.com/definition/0,289893Tsid9_gci214018,OO.html

http://whatis.techaterget.com/definition/0,289893,sid9_gc¡213930,00.html

http://abc.eS/teknoabc/a/que/que90/que90.asp

http://reduanl.uanl.mx/RedUANI_/Servicios/FTP/Que_es_FTP.html

http://www.vivire.com/queeswebhosting.shtml

http://www.sopde.es/cajon/biblioteca/comercio/quees.html

http://www.terra.com/informatica/que-es/vdotxx.cfm

http://abc.eS/teknoabc/a/que/que42/que42.asp

http://www.timagazine.net/magazine/1198/firewalls.cfm

http://www.nicatech.com.ni/r.htm

164

ANEXOS

A1 RFC 1655

A2 FORMULARIO PARA EMPRESAPRIVADA

A3 FORMULARIO PARA EMPRESA DELGOBIERNO O MILITAR

A4 LISTA PARCIAL DE SISTEMASAUTÓNOMOS EN EL INTERNET

A5 CARACTERÍSTICAS GENERALES DEUN FIREWALL (CISCO PIX)

A6 IMPLEMENTACION DE UN FIREWALLBAJO LA PLATAFORMA LINUX

A7 CARACTERÍSTICAS DEL ROUTERCISCO 2500 Y SWITCH CISCO 1548M

Network Working GroupRequest for Comments: 1655Obsoletes: 1268Category: Standards Track

Y. RekhterT.J. Watson Research Center, IBM Corp.

P. GrossMCI

EditorsJuly 1994

Application of the Border Gateway Protocol in the Internet

Status of this Memo

This document specifies an Internet standards track protocol for theInternet community, and requests discussion and suggestions forimprovements. Please refer to the current edition of the "InternetOfficial Protocol Standards" (STD 1} for the standardization stateand status of this protocol. Distribution of this memo is unlimited

Abstract

This document, together with its companion document, "A BorderGateway Protocol 4 (BGP-4)", define an inter-autonomous systemrouting protocol for the Internet. "A Border Gateway Protocol 4(BGP-4)" defines the BGP protocol specification, and this documentdescribes the usage of the BGP in the Internet.

Information about the progresa of BGP can be monitored and/orreported on the BGP mailing list ([email protected]).

Acknowledgements

This document was originally published as RFC 1164 in June 1990,jointly authored by Jeffrey C. Honig (Cornell University), Dave Katz(MERIT), Matt Mathis (PSC), Yakov Rekhter (IBM), and Jessica Yu(MERIT).

The following also made key contributions to RFC 1164 -- Guy Almes{ANS, then at Rice University), Kirk Lougheed {cisco Systems), Hans-Werner Braun {SDSC, then at MERIT), and Sue Mares (MERIT).

We like to explicitly thank Bob Braden (ISI) for the review of theprevious versión of this document.

This updated versión of the document is the product of the IETF BGPWorking Group with Phill Gross (MCI) and Yakov Rekhter (IBM) aseditors.

Rekhter & Gross Page 1]

RFC 1655 BGP-4 Application July 1994

John Moy (Proteon) contributed Section 7 "Required set of supportedrouting policies".

Scott Brim (Cornell University) contributed the basis for Section 8"Interaction with other exterior routing protocols".

Most of the text in Section 9 was contributed by Gerry Meyer(Spider).

Parts of the Introduction were taken almost verbatim from [3].

We would like to acknowledge Dan Long (NEARNET) and Tony Li (ciscoSystems) for their review and comments on the current versión of thedocument.

1. Introduction

This memo describes the use of the Border Gateway Protocol (BGP} [1]in the Internet environment. BGP is an inter-Autonomous Systemrouting protocol. The network reachability information exchanged víaBGP provides sufficient information to detect routing loops andenforce routing decisions based on performance preference and policyconstraints as outlined in RFC 1104 [2]. In particular, BGP exchangesrouting information containing full AS paths and enforces routingpolicies based on configuration information.

As the Internet has evolved and grown over in recent years, it hasbecome painfully evident that it is soon to face several seriousscaling problems. These include:

- Exhaustion of the class-B network address space. Onefundamental cause of this problem is the lack of a networkclass of a size which is appropriate for mid-sizedorganization; class-C, with a máximum of 254 host addresses, istoo small while class-B, which allows up to 65534 addresses, istoo large to be densely populated.

- Growth of routing tables in Internet routers are beyond theability of current software (and people) to effectively manage.

- Eventual exhaustion of the 32-bit IP address space.

It has become clear that the first two of these problems are likelyto become critical within the next one to three years. ClasslessÍnter-domain routing (CIDR) attempts to deal with these problems byproposing a mechanism to slow the growth of the routing table and theneed for allocating new IP network numbers. It does not attempt tosolve the third problem, which is of a more long-term nature, but

Rekhter & Gross [Page 2]


instead endeavors to ease enough of the short to mid-termdifficulties to allow the Internet to continué to funetionefficiently while progress is made on a longer- term solution.

BGP-4 is an extensión of BGP-3 that provides support for routingInformation aggregation and reduction based on the Classless inter-domain routing architecture (CIDR) [3]. This memo describes theusage of BGP-4 in the Internet.

All of the discussions in this paper are based on the assumption thatthe Internet is a collection of arbitrarily connected AutonomousSystems. That is, the Internet will be modeled as a general graphwhose nodes are AS's and whose edges are connections between pairs ofAS's-

The classic definition of an Autonomous System is a set of routersunder a single technical administration, using an interior gatewayprotocol and common metrics to route packets within the AS and usingan exterior gateway protocol to route packets to other AS's. Sincethis classic definition was developed, it has become common for asingle AS to use several interior gateway protocols and sornetimesseveral sets of metrics within an AS. The use of the term AutonomousSystem here stresses the fact that, even when múltiple IGPs andmetrics are used, the adrainistration of an AS appears to other AS'sto have a single coherent interior routing plan and presents aconsistent picture of which networks are reachable through it.

AS' s are assumed to be administered by a single administrativeentity, at least for the purposes of representation of routingInformation to systems outside of the AS.

2. BGP Topological Model

When we say that a connection exists between two AS's, we mean twothings:

Physical connection: There is a shared network between the twoAS's, and on this shared network each AS has at least one bordergateway belonging to that AS. Thus the border gateway of each AScan forward packets to the border gateway of the other AS withoutresorting to Inter-AS or Intra-AS routing.

BGP connection: There is a BGP session between BGP speakers ineach of the AS's, and this session communicates those routes thatcan be used for specific networks via the advertising AS.Throughout this document we place an additional restriction on theBGP speakers that forra the BGP connection: they must themselvesshare the same network that their border gateways share. Thus, a



BGP session between adjacent AS's requires no support from eitherInter-AS or Intra-AS routing. Cases that do not conform to thisrestriction fall outside the scope of this document.

Thus, at each connection, each AS has one or more BGP speakers andone or more border gateways, and these BGP speakers and bordergateways are all located on a shared network. Note that BGP speakersdo not need to be a border gateway, and vice versa. Paths announcedby a BGP speaker of one AS on a given connection are taken to befeasible for each of the border gateways of the other AS on the sameshared network, i.e. indirect neighbors are allowed.

Much of the traffic carried within an AS either originates orterminates at that AS (i.e., either the source IP address or thedestination IP address of the IP packet identifÍes a host on anetwork Ínternal to that AS). Traffic that fits this description iscalled "local traffic". Traffic that does not fit this description iscallad "transit traffic". A major goal of BGP usage is to control theflow of transit traffic.

Based on how a particular AS deals with transit traffic, the AS maynow be placed into one of the following categories:

stub AS: an AS that has only a single connection to one other AS.Naturally, a stub AS only carries local traffic.

multihomed AS: an AS that has connections to more than one otherAS, but refuses to carry transit traffic.

transit AS: an AS that has connections to more than one other AS,and is designed (under certain policy restrictions) to carry bothtransit and local traffic.

Since a full AS path provides an efficient and straightforward way ofsuppressing routing loops and eliminates the "count-to-infinity"problem associated with some distance vector algorithms, BGP imposesno topological restrictions on the interconnection of AS's.

3. BGP in the Internet

3.1 Topology Considerations

The overall Internet topology may be viewed as an arbitraryinterconnection of transit, multihomed, and stub AS's. In order tominimize the impact on the current Internet infrastructure, stub andmultihomed AS's need not use BGP. These AS's may run other protocols(e.g., EGP) to exchange reachability information with transit AS's.Transit AS' s using BGP will tag this information as having been

Rekhter & Gross [Page 4


learned by some method other than BGP. The fact that BGP need not runon stub or multihomed AS's has no negative impact on the overallquality of inter-AS routing for traffic that either destined to ororiginated from the stub or multihomed AS's in question.

However, it is recommended that BGP be used for stub and multihomedAS's as well. In these sitúations, BGP will provide an advantage inbandwidth and performance over some of the currently used protocols(such as EGP). In addition, this would reduce the need for the useof default routes and in better choices of Inter-AS routes formultihomed AS's.

3.2 Global Nature of BGP

At a global level, BGP is used to distribute routing informationamong múltiple Autonomous Systems. The Information flows can berepresented as follows:

BGP | BGP | BGP | BGP | BGP+ + + +| IGP | | IGP |

<-AS A—> <—AS B->

This diagram points out that, while BGP alone carries Informationbetween AS's, both BGP and an IGP may carry Information across an AS.Ensuring consistency of routing Information between BGP and an IGPwithin an AS is a significant issue and is discussed at length laterin Appendix A.

3 . 3 BGP Neighbor Relationships

The Internet is viewed as a set of arbitrarily connected AS's. BGPspeakers in each AS corrununicate with each other to exchange networkreachability information based on a set of policies establishedwithin each AS. Routers that communicate directly with each other viaBGP are known as BGP neighbors. BGP neighbors can be located withinthe same AS or in different AS's. For the sake of discussion, BGPCommunications with neighbors in different AS's will be referred toas External BGP, and with neighbors in the same AS as Internal BGP.

There can be as many BGP speakers as deemed necessary within an AS.Usually, if an AS has múltiple connections to other AS's, múltipleBGP speakers are needed. All BGP speakers representing the same ASmust give a consistent image of the AS to the outside. This requires



that the BGP speakers have consistent routing inforination among them.These gateways can communicate with each other vía BGP or by othermeans. The policy constraints applied to all BGP speakers within anAS must be consistent. Techniques such as using a tagged IGP (seeA. 2. 2) may be employed to detect possible inconsistencies.

In the case of External BGP, the BGP neighbors must belong todifferent AS's, but share a common network. This common networkshould be used to carry the BGP messages between them. The use of BGPacross an intervening AS invalidates the AS path information. AnAutonomous System number must be used with BGP to specify whichAutonomous System the BGP speaker belongs to.

4. Requirements for Route Aggregation

A conformant BGP-4 implementation is required to have the ability tospecify when an aggregated route may be generated out of partialrouting information. For example, a BGP speaker at the border of anautonomous system (or group of autonomous systems) must be able togenérate an aggregated route for a whole set of destination IPaddresses (in BGP-4 terminology such a set is called the NetworkLayer Reachability Information or NLRI) over which it hasadministrative control (including those addresses it has delegated),even when not all of them are reachable at the same time.

A conformant implementation may provide the capability to specifywhen an aggregated NLRI may be generated.

A conformant implementation is required to have the ability tospecify how NLRI rnay be de-aggregated.

A conformant implementation is required to support the followingoptions when dealing with overlapping routes:

- Install both the less and the more specific routes

- Install the more specific route only

- Install the less specific route only

- Install neither route

By default a BGP speaker should aggregate NLRI representing subnetsto the corresponding network.

Injecting NLRI representing arbitrary subnets into BGP withoutaggregation to the corresponding network shall be controlled víaconfiguration parameters.

Rekhter & Gross [Page6]


Certain routing policies may depend on the NLRI (e.g., "research"versas "commercial"). Therefore, a BGP speaker that performs routeaggregation should be cognizant, if possible, of potentialimplications on routing policies when aggregating NLRI.

5. Policy Making with BGP

BGP provides the capability for enforcing policies based on variousrouting preferenees and constraints. Policies are not directlyencoded in the protocol. Rather, policies are provided to BGP in theform of configuration information.

BGP enforces policies by affecting the selection of paths frommúltiple alternatives and by controlling the redistribution ofrouting information. Policies are determined by the ASadministration.

Routing policies are related to political, security, or economicconsiderations. For exaraple, if an AS is unwilling to carry trafficto another AS, it can enforce a policy prohibiting this. Thefollowing are examples of routing policies that can be enforced withthe use of BGP:

1. A multihomed AS can refuse to act as a transit AS for otherAS's. (It does so by only advertising routes to networksinternal to the AS.)

2. A multihomed AS can become a transit AS for a restricted set ofadjacent AS's, i.e., some, but not all, AS's can use themultihomed AS as a transit AS. (It does so by advertising itsrouting information to this set of AS's.)

3. An AS can favor or disfavor the use of certain ñS's forcarrying transit traffic from itself.

A number of performance-related criteria can be controlled with theuse of BGP:

1. An AS can minimize the number of transit AS's. (Shorter ASpaths can be preferred over longer ones.)

2. The quality of transit AS's. If an AS determines that two ormore AS paths can be used to reach a given destination, that AScan use a variety of means to decide which of the candidate ASpaths it will use. The quality of an AS can be measured by suchthings as diameter, link speed, capacity, tendency to becomecongested, and quality of operation. Information about thesequalities might be determined by means other than BGP.

Rekhter & Gross [Page 7


3. Preference of internal routes over external routes.

For consistency within an AS, equal cost paths, resulting fromcombinations of policies and/or normal route selection procedures,must be resolved in a consistent fashion.

Fundamental to BGP is the rule that an AS advertises to itsneighboring AS's only those routes that it uses. This rule reflectathe "hop-by-hop" routing paradigm generally used by the currentInternet.

6. Path Selection with BGP

One of the major tasks of a BGP speaker is to evalúate differentpaths to a destination network from its border gateways at thatnetwork, select the best one, apply appropriate policy constraints,and then advertise it to all of its BGP neighbors. The key issue ishow different paths are evaluated and compared. In traditionaldistance vector protocols (e.g., RIP) there is only one metric (e.g.,hop count} associated with a path. As such, comparison of differentpaths is reduced to simply comparing two numbers. A complication inInter-AS routing arises from the lack of a universally agreed-uponmetric among AS's that can be used to evalúate external paths.Rather, each AS may have its own set of criteria for path evaluation.

A BGP speaker builds a routing datábase consisting of the set of allfeasible paths and the list of networks reachable through each path.For purposes of precise discussion, it's useful to consider the setof feasible paths for a given destination network. In most cases, wewould expect to find only one feasible path. However, when this isnot the case, all feasible paths should be maintained, and theirmaintenance speeds adaptation to the loss of the primary path. Onlythe primary path at any given time will ever be advertised.

The path selection process can be formalized by defining a completeorder over the set of all feasible paths to a given destinationnetwork. One way to define this complete order is to define afunction that maps each full AS path to a non-negative integer thatdenotes the path's degree of preference. Path selection is thenreduced to applying this function to all feasible paths and choosingthe one with the highest degree of preference.

In actual BGP implementations, the criteria for assigning degree ofpreferences to a path are specified as configuration information.

The process of assigning a degree of preference to a path can bebased on several sources of information:

Rekhter & Gross [Page


1. Information explicitly present in the full AS path.

2. A combination of Information that can be derived from the fullAS path and information outside the scope of BGP (e.g., policyrouting constraints provided as configuration information).

Possible criteria for assigning a degree of preference to a path are:

- AS count. Paths with a smaller AS count are generally better.

- Policy considerations. BGP supports policy-based routing basedon the controlled distribution of routing information. A BGPspeaker may be aware of some policy constraints (both withinand outside of its own AS) and do appropriate path selection.Paths that do not comply with policy requirements are notconsidered further,

- Présenes or absence of a certain AS or AS' s in the path. Bymeans of information outside the scope of BGP, an AS may knowsome performance characteristias (e.g., bandwidth, MTU, intra-AS diameter) of certain AS's and may try to avoid or preferthem.

- Path origin. A path learned entirely from BGP (i.e-, whoseendpoint is Ínternal to the last AS on the path) is generallybetter than one for which part of the path was learned via EGPor some other means.

- AS path subsets. An AS path that is a subset of a longer ASpath to the same destination should be preferred over thelonger path. Any problem in the shorter path (such as anoutage) will also be a problem in the longer path.

- Link dynamics. Stable paths should be preferred over unstableones. Note that this criterion must be used in a very carefulway to avoid causing unnecessary route fluctuation. Generally,any criteria that depend on dynamic information might causerouting instability and should be treated very carefully.

7. Required set of supported routing policies

Policies are provided to BGP in the form of configurationinformation. This information is not directly encoded in theprotocol. Therefore, BGP can provide support for very complex routingpolicies. However, it is not required that all BGP implementationssupport such policies.



We are not attempting to standardiza the routing policies that mustbe supported in every BGP implementation; we strongly encourage allimplementors to support the following set of routing policies:

1. BGP implementations should allow an AS to control announcementsof BGP-learned routes to adjacent AS's. Implementations shouldalso support such control with at least the granularity of asingle network. Implementations should also support suchcontrol with the granularity of an autonomous system, where theautonomous system may be either the autonomous system thatoriginated the route, or the autonomous system that advertísedthe route to the local system (adjacent autonomous system}.Care must be taken when a BGP speaker selects a new route thatcan't be announced to a particular external peer, while thepreviously selected route was announced to that peer.Specifically, the local system must explicitly indícate to thepeer that the previous route is now infeasible.

2. BGP implementations should allow an AS to prefer a particularpath to a destination (when more than one path is available).At the minimum an implementation shall support thisfunctionality by allowing to administratively assign a degreeof preference to a route based solely on the IP address of theneighbor the route is received from. The allowed range of theassigned degree of preference shall be between O and 2^(31) -1.

3. BGP implementations should allow an AS to ignore routes withcertain AS's in the AS_PATH path attribute. Such function canbe implemented by using the technique outlined in [2], and byassigning "infinity" as "weights" for such AS's. The routeselection process must ignore routes that have "weight" equalto "infinity".

Interaction with other exterior routing protocols

The guidelines suggested in this section are consistent with theguidelines presented in [3] .

An AS should advertise a minimal aggregate for its internal networkswith respect to the amount of address space that it is actuallyusing. This can be used by administrators of non-BGP 4 AS's todetermine how many routes to explode from a single aggregate.

A route that carries the ATOMIC_AGGREGATE path attribute shall not beexported into either BGP-3 or EGP2, unless such an exportation can beaccomplished without exploding the NLRI of the route.

Rekhter & Gross [PagelO]


8.1 Exchanging Information with EGP2

This document suggests the following guidelines for exchangingrouting information between BGP-4 and EGP2.

To provide for graceful migration, a BGP speaker raay particípate inEGP2, as well as in BGP-4. Thus, a BGP speaker may receive IPreachability information by means of EGP2 as well as by means ofBGP-4. The information received by EGP2 can be injected into BGP-4with the ORIGIN path attribute set to 1. Likewise, the informationreceived via BGP-4 can be injected into EGP2 as well. In the lattercase, however, one needs to be aware of the potential informationexplosión when a given IP prefix received from BGP-4 denotes a set ofconsecutivo A/B/C class networks. Injection of BGP-4 received NLRIthat denotes IP subnets requires the BGP speaker to inject thecorresponding network into EGP2. The local system shall providemechanisms to control the exchange of reachability informationbetween EGP2 and BGP-4. Specifically, a conformant implementation isrequired to support all of the following options when injecting BGP-4received reachability information into EGP2:

- inject default only (0.0.0.0); no export of any other NLRI

- allow controlled deaggregation, but only of specific routes;allow export of non-aggregated NLRI

- allow export of only non-aggregated NLRI

The exchange of routing information via EGP2 between a BGP speakerparticipating in BGP-4 and a puré EGP2 speaker may occur only at thedomain (autonomous system) boundaries.

8.2 Exchanging information with BGP-3

This document suggests the following guidelines for exchangingrouting information between BGP-4 and BGP-3.

To provide for graceful migration, a BGP speaker may particípate inBGP-3, as well as in BGP-4. Thus, a BGP speaker may receive IPreachability information by means of BGP-3, as well as by means ofBGP-4.

A BGP speaker may inject the information received by BGP-4 into BGP-3as follows.

If an AS_PATH attribute of a BGP-4 route carries A5_SET pathsegments, then the AS_PATH attribute of the BGP-3 route shall beconstructed by treating the AS SET segrnents as AS SEQUENCE segments,



with the resulting AS_PATH being a single AS_SEQUENCE. While thisprocedure loses set/sequence information, it doesn't affectprotection for routing loops suppression, but may affect policies, ifthe policies are based on the content or ordering of the AS_PATHattribute.

While injecting BGP-4 derived NLRI into BGP-3, one needs to be awareof the potential information explosión when a given IP prefix denotesa set of consecutive A/B/C class networks. Injection of BGP-4 derivedNLRI that denotes IP subnets requires the BGP speaker to inject thecorresponding network into BGP-3. The local system sha11 providemechanisms to control the exchange of routing information betweenBGP-3 and BGP-4. Specifically, a conformant implementation isrequired to support all of the following options when injecting BGP-4received routing information into BGP-3:

- inject default only (0.0.0.0), no export of any other NLRI

- allow controlled deaggregation, but only of specific routes;allow export of non-aggregated NLRI

- allow export of only non-aggregated NLRI

The exchange of routing information via BGP-3 between a BGP speakerparticipating in BGP-4 and a puré BGP-3 speaker may occur only atthe autonomous system boundaries. Within a single autonomous systemBGP conversations between all the BGP speakers of that autonomoussystem have to be either BGP-3 or BGP-4, but not a mixture.

9. Operations over Switched Virtual Circuíts

When using BGP over Switched Virtual Circuit (SVC) subnetworks it maybe desirable to minimize traffic generated by BGP. Specifically, itmay be desirable to elimínate traffic associated with periodicKEEPALIVE messages. BGP includes a mechanism for operation overswitched virtual circuit {SVC) services which avoids keeping SVCspermanently open and allows it to eliminates periodic sending ofKEEPALIVE messages.

This section describes how to opérate without periodic KEEPALIVEmessages to minimise SVC usage when using an intelligent SVC circuitmanager. The proposed scheme may also be used on "permanent"circuits, which support a feature like link quality monitoring orecho request to determine the status of link connectivity.

The mechanism described in this section is suitable only between theBGP speakers that are directly connected over a common virtualcircuit.



9.1 Establishing a BGP Connection

The feature is selected by specifying zero Hold Time in the OPENmessage.

9.2 Circuit Manager Properties

The circuit manager must have sufficient functionality to be able tocompénsate for the lack of periodic KEEPALIVE messages:

- It must be able to determine link layer unreachability in apredictable finite period of a failure occurring.

- On determining unreachability it should:

- start a configurable dead timer (comparable to atypical Hold timer valué).

- attempt to re-establish the Link Layer connection.

- If the dead timer expires it should:

- send an internal circuit DEAD indication to TCP.

- If the connection is re-established it should:

- cancel the dead timer.

- send an internal circuit UP indication to TCP.

9.3 TCP Properties

A small modification must be made to TCP to process internalnotifications frora the circuit manager:

- DEAD: Flush transmit queue and abort TCP connection.

- UP: Transmit any queued data or allow an outgoing TCP cali toproceed.

9.4 Combined Properties

Some implementations may not be able to guarantee that the BGPprocess and the circuit manager will opérate as a single entity; i.e.they can have a sepárate existence when the other has been stopped orhas crashed.



If this is the case, a periodic two-way poli between the BGP processand the circuit manager should be implemented. If the BGP processdiscovers the circuit manager has gone away it should cióse allrelevant TCP connections. If the circuit manager discovers the BGPprocess has gone away it should cióse all its connections associatedwith the BGP process and reject any further incorning connections.

10. Conclusión

The BGP protocol provides a high degree of control and flexibilityfor doing interdomain routing while enforcing policy and performanceconstraints and avoiding routing loops. The guidelines presentad herewill provide a starting point for using BGP to provide moresophisticated and manageable routing in the Internet as it grows.

Appendix A. The Interaction of BGP and an IGP

This section outlines methods by which BGP can exchange routinginformation with an IGP. The methods outlined here are not proposedas part of the standard BGP usage at this time. These methods areoutlined for information purposes only. Implementors may want toconsider these methods when importing IGP information.

This is general information that applies to any generic IGP.

Interaction between BGP and any specific IGP is outside the scope ofthis section. Methods for specific IGP's should be proposed insepárate documents. Methods for specific IGP's could be proposed forstandard usage in the future.

Overview

By definition, all transit AS's must be able to carry traffic whichoriginates from and/or is destined to locations outside of that AS.This requires a certain degree of interaction and coordinationbetween BGP and the Interior Gateway Protocol (IGP) used by thatparticular AS. In general, traffic originating outside of a given ASis going to pass through both interior gateways (gateways thatsupport the IGP only) and border gateways (gateways that support boththe IGP and BGP). All interior gateways receive information aboutexternal routes from one or more of the border gateways of the AS viathe IGP.

Depending on the mechanism used to propágate BGP information within agiven AS, special care must be taken to ensure consistency betweenBGP and the IGP, since changas in state are likely to propágate atdifferent rates across the AS. There may be a time window between themoment when some border gateway (A) receives new BGP routing



information which was originated from another border gateway (B)within the same AS, and the moment the IGP within this AS is capableof routing transit traffic to that border gateway (B). During thattime window, either incorrect routing or "black boles" can occur.

In order to minimiza such routing problems, border gateway (A) shouldnot advertise a route to some exterior network X vía border gateway(B) to all of its BGP neighbors in other AS's until all the interiorgateways within the AS are ready to route traffic destinad to X víathe correct exit border gateway (B). In other words, interior routingshould converge on the proper exit gateway before/advertísing routesvia that exit gateway to other AS's.

A.2 Methods for Achieving Stable Interactions

The following discussion outlines several techniques capable ofachieving stable interactions between BGP and the IGP within anAutonomous System.

A. 2.1 Propagation of BGP Information via the IGP

While BGP can provide its own mechanism for carrying BGP informationwithin an AS, one can also use an IGP to transport this information,as long as the IGP supports complete flooding of routing information(providing the mechanism to distribute the BGP information) and onepass convergence (making the mechanism effectively atomic). If an IGPis used to carry BGP information, then the period ofdesynchronization described earlier does not occur at all, since BGPinformation propagates within the AS synchronously with the IGP, andthe IGP converges more or less simultaneously with the arrival of thenew routing information. Note that the IGP only carries BGPinformation and should not interpret or process this information.

A.2.2 Tagged Interior Gateway Protocol

Certain IGPs can tag routes exterior to an AS with the identity oftheir exit points while propagating them within the AS. Each bordergateway should use identical tags for announcing exterior routinginformation (received via BGP) both into the IGP and into InternalBGP when propagating this information to other border gateways withinthe same AS. Tags generated by a border gateway must uniquelyidentify that particular border gateway--different border gatewaysmust use different tags.

All Border Gateways within a single AS must observe the following tworules:

Relchter & Gross [Page 15]


1. Information received vía Internal BGP by a bordar gateway Adeclaring a network to be unreachable must immediately bepropagated to all of the External BGP neighbors of A.

2. Information received via Internal BGP by a border gateway Aabout a reachable network X cannot be propagated to any of theExternal BGP neighbors of A unless/until A has an IGP route toX and both the IGP and the BGP routing Information haveidentical tags.

These rules guarantee that no routing Information is announcedexternally unless the IGP is capable of correctly supporting it. Italso avoids some causes of "black holes".

One possible method for tagging BGP and IGP routes within an AS is touse the IP address of the exit border gateway announcing the exteriorroute into the AS. In this case the "gateway" field in the BGP UPDATEmessage is used as the tag.

An altérnate method for tagging BGP and IGP routes is to have BGP andthe IGP agree on a router ID. In this case, the router ID isavailable to all BGP (versión 3 or higher) speakers. Since this IDis already unique it can be used directly as the tag in the IGP.

A.2.3 Encapsulation

Encapsulation provides the simplest (in terms of the interactionbetween the IGP and BGP) mechanism for carrying transit trafficacross the AS. In this approach, transit traffic is encapsulatedwithin an IP datagram addressed to the exit gateway. The onlyrequirement imposed on the IGP by this approach is that it should becapable of supporting routing between border gateways within the sameAS.

The address of the exit gateway A for some exterior network X isspecified in the BGP identifier field of the BGP OPEN messagereceived from gateway A via Internal BGP by all other border gatewayswithin the same AS, In order to route traffic to network X, eachborder gateway within the AS encapsulates it in datagrams addressedto gateway A. Gateway A then performs decapsulation and forwards theoriginal packet to the proper gateway in another AS.

Since encapsulation does not rely on the IGP to carry exteriorrouting information, no synchronization between BGP and the IGP isrequired.



Some means of identifying datagrams containing encapsulated IP, suchas an IP protocol type code, must be defined if this method is to beused.

Note that, if a packet to be encapsulated has length that is verycióse to the MTU, that packet would be fragmentad at the gateway thatperforms encapsulation.

A.2.4 Pervasive BGP

If all routers in an AS are BGP speakers, then there is no need tohave any interaction between BGP and an IGP. In such cases, allrouters in the AS already have full Information of all BGP routes.The IGP is then only used for routing within the AS, and no BGProutes are imported into the IGP.

For routers to opérate in this fashion, they must be able to performa recursive lookup in their routing table. The first lookup will usea BGP route to establish the exit router, while the second lookupwill determine the IGP path to the exit router.

Since the IGP carries no external Information in this scenario, allrouters in the AS will have converged as soon as all BGP speakershave new information about this route. Since there is no need todelay for the IGP to converge, an implementation may advertise theseroutes without further delay due to the IGP.

A.2.5 Other Cases

There may be AS's with IGPs which can neither carry BGP Informationñor tag exterior routes (e.g., RIP). In addition, encapsulation maybe either infeasible or undesirable. In such sitúations, thefollowing two rules must be observed:

1. Information received vía Internal BGP by a border gateway Adeclaring a network to be unreachable must immediately bepropagated to all of the External BGP neighbors of A.

2. Information received vía Internal BGP by a border gateway Aabout a reachable network X cannot be propagated to any of theExternal BGP neighbors of A unless A has an IGP route to X andsufficient time has passed for the IGP routes to haveconverged.

The above rules present necessary (but not sufficient) conditions forpropagating BGP routing information to other AS's. In contrast totagged IGPs, these rules cannot ensure that interior routes to theproper exit gateways are in place before propagating the routes to



other AS's.

If the convergence time of an IGP is less than some small valué X,then the time window during which the IGP and BGP are unsynchronizedis less than X as well, and the whole issue can be ignored at thecost of transient periods (of less than length X) of routinginstability. A reasonable valué for X is a matter for further study,but X should probably be less than one second.

If the convergence time of an IGP cannot be ignored, a differentapproach is needed. Mechanisms and techniques which might beappropriate in this situation are subjects for further study.

References

[1J Rekhter, Y., and T. Li, "A Border Gateway Protocol 4 (BGP-4), RFC1654, cisco Systems, T.J. Watson Research Center, IBM Corp., July1994 .

[2] Braun, H-W., "Models of Policy Based Routing", RFC 1104,Merit/NSFNET, July 1989.

[3] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Supernetting: anAddress Assignment and Aggregation Strategy", RFC 1519, BARRNet,cisco, MERIT, OARnet, September 1993.



Security Considerations

Security issues are not discussed in this memo

Authors' Addresses

Yakov RekhterT.J. Watson Research Center IBM CorporationP.O. Box 218Yorktown Heights, NY 10598

Phone: (914) 945-3896EMail: [email protected]

Phill GrossDirector of Broadband EngineeringMCI Data Services División2100 Resten Parkway, Room 6001Resten, VA 22091

Phone: +1 703 715 7432Fax: +1 703 715 7436EMail: [email protected]

IETF BGP WG mailing list: [email protected] be added: [email protected]


Ejemplo del Formulario para empresas Privadas:

Forma Descripción

0. (N)ew (M)odify (D)elete.

1. Autonomous System Ñame.

Organization Using ASN

2a. Organization Ñame.2b. Street address2c. City :2d. State :2e. Postal Code2f. Country :

Technical Contact

3a. ARIN-handle (if known).3b. Ñame (Last, First) :3c. Street address :3d. City :3e. State :3f. Postal Code :3g. Country :3h. Phone Number :3¡. E-Mailbox :

Other Information:

N

TELCONET

TelcoNETPedro Gosseal 148QuitoPichincha5932Ecuador

Hugo ProañoBernal 225QuitoPichincha5932Ecuador2483978Proañ[email protected]. net

ANEXO A3

FORMULARIO PARA EMPRESA DELGOBIERNO O MILITAR

Ejemplo del Formulario para empresas del Gobierno o Militares:

Forma DescripciónAUTONOMOUS SYSTEMINFORMATION

+ 1A. (N)ew (M)odify (D)elete:

+ 1B. Autonomous System Ñame:

1C. Network Connecting to:N = NIPRNET

S = SIPRNET

O = OTHER

1D. Existíng AS Number:Line 1D. is for Modifying or Deleting

Only

1E. Service or Agency :

ORGANIZATION INFORMATION

2A. Organization Ñame2B. Address Line 1 :2C. Address Line 2 :2D. Address Line 3 :2E. CityorAPOorFPO2F. State or APO/FPO Code.2G. ZipCode :2H. AUTODINPLA

TECHNICALCONTACT

3A. NICHandle

ÑAME INFORMATION

3B. LastName3C. First Ñame3D. Middle Initial3E. Title/Rank

N

CONAM

S

CONAM10 de Agosto y

QuitoPichincha5932

Sprinet

Proa ñoHugoHPGerente Técnico

ADDRESS INFORMATION

3F. Organization Ñame3G. Address Line 1 :3H. Address Line 2 :31. Address Line 3 :3J. CityorAPOorFPO3K. State or APO/FPO Code.3L ZipCode :

PHONE INFORMATION

3M. Commercial Phone.3N. DSN Phone3O. Fax Phone

E-MAIL INFORMATION3P. E-mail Address

ADMINISTRATIVE CONTACT(Military Personnel or GovernmentEmployee Only)

4A. NICHandle :

ÑAME INFORMATION

4B. Last Ñame :4C. First Ñame :4D. Middle Initial :4E. Title/Rank :

ADDRESS INFORMATION

4F. Organization Ñame4G. Address Line 1 :4H. Address Line 2 :41. Address Line 3 :4J. CityorAPOorFPO4K. State or APO/FPO Code.4L ZipCode :

PHONE INFORMATION

4M. Commercial Phone.4N. DSN Phone

CONAM10 de Agosto y Patria

QuitoPichincha5932

5932599215

5932435856

[email protected]

Hugo Proaño

Sprinter

ProañoHugoHPGerente Técnico

CONAM10 de Agosto y Patria

QuitoPichincha5932

5932599215

4O. Fax Phone

E-MAIL INFORMATION

4P. E-mail Address

AUTONOMOUS SYSTEMCOMPOSITION (Free Form Section)

Protocol Information

5A. IGP used in AS:5B. EGP used in AS:

Network Information

5C. IP Address of site Premise

Router:

5D. IP Address of Hub Router

connecting to:

5E. Number of Routers in AS:5F IP Addresses of Routers in AS:5G. Number of Networks in AS:5H. IP Addresses of Networks in AS:

AUTONOMOUS SYSTEMJUSTIFICARON

6A. Additional supportingjustifi catión:

5932435856

[email protected]

IGPEGP

207.100.28.1

207.100.28.2

4251000

Conexión con el Backbone de Interneten forma segura.

[asn.txt] 2001-10-22

This file contains a list of autonomous system numbers and ñames of allregistered ASNs. The colaran on the right below contains the ARINdatábase "handle" of the coordinator for the ASN. White-pagesInformation may be obtained about any of the ASN coodinators in thislist querying the ARIN WHOIS server. For questions or updates on thisInformation please contact the ARIN Registration Services Hostmaster staff,[email protected].

ASN Number

123456789101112131415161718192021222324252627282930313233343536373839404142434445

Ñame

GNTY-1DCN-ASMIT-GATEWAYSISI-ASSYMBOLICSBULL-HNUK-MODRICE-ASCMU-ROUTERCSNET-EXT-ASHARVARDNYU-DOMAINBRL-ASCOLUMBIA-GWNET-DYNAMICS-EXPLBLPURDUEUTEXASCSS-DOMAINURRANDNOSCRIACS-ASAMES-NAS-GWUCBCORNELLUMDNETDFVLR-SYSYALE-ASSRI-AICNETCITSTANFORDDEC-WRL-ASUDELNETMICATÓNEGP-TESTORNSWCUIUCNRL-ITDMIT-TESTAMESWOODYNET-1BNL-ASSl-DOMAINLLL-TIS-AS

Handle

[CS15-ARIN][DW19-ARIN][RH164-ARIN][JKR1-ARIN][SG52-ARIN][JLM23-ARIN][RNM1-ARIN][RUH-ORG-ARIN][HC-ORG-ARIN][CS15-ARIN][WJO3-ARIN][ZN68-ARIN][RR33-ARIN][ZC26-ARIN][ZSü-ARIN][CAL3-ARIN][JRS8-ARIN][DLN12-ARIN][CR11-ARIN][LB16-ARIN][ZT72-ARIN][RLB3-ARIN][DG28-ARIN][MT2149-ARIN][DLW31-ARIN][PP252-ARIN][UM-ORG-ARIN][GB7-ARIN][HML1-ARIN][WMT-ARIN][HS140-ARIN][JK231-ARIN][SS486-ARIN][DJG2-ARIN][WDL-ARIN][PEM4-ARIN][DAF9-ARIN][CK185-ARIN][AP-ARIN][ZM80-ARIN][NN02-ARIN][BW1324-ARIN][FL105-ARIN][RAK12-ARIN][D091-ARIN]

464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102

RUTGERSUSC-OBERONNRL-ASICST-ASORNL-MSRNETUSAREUR-EM-ASUCLANORTHROP-ASCOA-FIN-NET-ASUPENN-CISOPTIMIS-PUMN-REI-UCDREA-ASWISC-MADISON-ASDARPA-BFLYDEC-MARLBORO-ASTEKVAXCLL-MIMITRE-B-ASLOGNET-ASETL-AISDC-PRC-ASLANL-INET-ASWHARTON-ASNLM-GWHP-INTERNET-ASSCHLUMBERGER-ASWASHINGTON-ASXDRENET-ASANL-ASSDC-CAM-ASJHUAPL-ASSYNTEGRADSPO-HC-ASGE-CRDCONCERTTWG-DEMO-ASPICANET-ASDTNSRDC-AS1AERO-NETSURANET-ASINDIANA-ASPRINCETON-ASNUSC-CSTLNET-ASSUN-ASRPI-ASCLARKSON-ASVRIO-93BELVOIR-NETNUSCLSB1JTELS-BEN1-ASVERIO-ECROCKEFELLER-ASINTEL-IWARPFMC-CTCWASH-NSF-ASNSF-HQ-AS

[RU-ORG-ARIN][UNA2-ARIN][MD51-ARIN][CWH3-ARIN][SH1294-ARIN][FWD-ARIN][UNO4-ARIN][DEC3-ARIN][WRR2-ARIN][GM229-ARIN][GPL1-ARIN][TPB3-ARIN][KDR-ARIN][N013-ORG-ARIN][RPD2-ARIN][JM60-ARIN][TE16-ARIN][ZM44-ARIN][BSW-ARIN][JRA18-ARIN][MMM3-ARIN][JS1325-ARIN][PCW-ARIN][HK2-ARIN][JA1-ARIN][MM53-ARIN][CG64-ARIN][UW-NOC-ARIN][JS161-ARIN][ANA3-ORG-ARIN][JS1325-ARIN][ZJ20-ARIN][RET9-ARIN][BT5-ARIN][JEB50-ARIN][NH34-ORG-ARIN][JS171-ARIN][RFD1-ARIN][RWT2-ARIN][LCN-ARIN][SURA-NOC-ARIN][BS69-ARIN][LCV-ARIN][MP20-ARIN][FL59-ARIN][PDA4-ARIN][RP503-ARIN][VIA4-ORG-ARIN][MDS30-ARIN][RPP-ARIN][WRR2-ARIN][VIA4-ORG-ARIN][MK38-ARIN][RLS115-ARIN][WW82-ARIN][UW-NOC-ARIN][FW17-ARIN]

103104105106107108109110111113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160

NWU-ASCOLORADO-ASMOT-MCD-ASGTEGSC-WLOECSNET-ASXEROX-ASCISCOSYSTEMSXAIT-ASBOSTONU-ASSCCNET-ASVRIO-114PBAS-BEN2-GW-ASTELCORDIAALBM-NET-ASNSWSES-NAVY-ASAMS-ASMITRE-OMAHAIH-POE-ASU-PGH-NET-ASLOGAIRCOMNET-ASENCORE-GW-ASHI-NET-ASMINSY-POE-ASJPL-ASADS-ASCDA-ASCSOCNET-ASUCSB-NET-ASWPAFB-CSD-NET-ASAFIT-ASCORONA-GW-ASBRL-CDCNET-GW-ASECONET-ASITALY-ASBRL-CMCGW-ASNUWESNET-ASDAITC-NET-ASNWCNET-ASWESTPOINTOOGl-ASATT-INTERNETVBNSHQEIS-ASNAVCAMS-LAN-ASNWSC-GW-ASADEL-ASSEANET-ASIND-NTC-ASSRI-ACCATT-ASSAAD-ARPA-ASUSACEC-NET-ASCACNET-ASNORTHEASTERN-GW-ASINTELLIAUTONACC-ASSONNET-ASU-CHICAGO-AS

[TW1261-ARIN][DCMW-ARIN][DP7-ARIN][SMS1-ARIN][CAL7-ARIN][DCS-ARIN][MRK4-ARIN][AL6-ARIN][VLC-ORG-ARIN][MJ04-ARIN][VIA4-ORG-ARIN][WRR2-ARIN][DW648-ARIN][DV42-ARIN][DD41-ARIN][NK19-ARIN][SM62-ARIN][LK27-ARIN][MS222-ARIN][MS311-ARIN][PYC-ARIN][CV136-ARIN][CV14-ARIN][JAW16-ARIN][PD5-ARIN][FJS3-ARIN][JJD12-ARIN][KS1217-ARIN][JLS6-ARIN][DWD20-ARIN][LM35-ARIN][RR33-ARIN][TD40-ARIN][ABB2-ARIN][RR33-ARIN][RM125-ARIN][JFH5-ARIN][EG17-ARIN][GH178-ARIN][JD86-ARIN][DP1272-ARIN][RB1412-ARIN][SMK2-ARIN][JM246-ARIN][GS24-ARIN][CM115-ARIN][JH10-ARIN][AI2-ORG-ARIN][RDQ-ARIN][DRM24-ARIN][DEA-ARIN][BG25-ARIN][BW364-ARIN][EL30-ARIN][AB20-ARIN][GS1050-ARIN][RJR21-ARIN]

161162163164165166167168169170172173174175176177178179180181182183184185186188189190191192193194195196197198199-203204205206207208209210211212213214215216217218219220221222223

TI-ASNOSL-POE-ASIBM-RESEARCH-ASDDN-MB-ASNESEA-DDN-GW-ASIDA-ASWESLEYAN-ASUMASS-AMHERSTHANSCOM-NET-ASYKTNPOE-GW-ASCSDA-ASECLNETPSINETAFWL-ASBCN-ASMERIT-ASIBMYORKTOWN-ASIBMMILFORD-ASMCIRESTON-ASNSFNETTEST1-ASNSFNETTEST2-ASNSFNETTEST3-ASNSFNETTEST4-ASNSFNETTEST5-ASCUA-ASSAIC-ASBARRNET-189NSYPTSMH-POE-ASNORDA-ASROCHINSTTECHFORD-ASNUSAN-ASSDSC-ASRISC-SYSTEMRAYTHEON-AS-2ARL-SNI-ASBARRNET-BLKPSCNET-ASMONTCLAIR-ASCSC-LONS-GW-ASCLI-GW-ASLBNS-POE-ASASN-QWESTWEST-NET-WESTRADC-LONS-GW-ASHQAFSC-LONS-GW-ASAPGEA-NET1-ASUSNA-ASRIA-2-AUTO-ASLMSC-HOSTNET-ASUMN-AGS-NET-ASAFOTECPCNET-ASPUGET-POE-ASOOALC-HOSTNET-ASWRALC-HOSTNET-ASSMALC-HOSTNET-ASTISW-AS

[DF71-ARIN][DB211-ARIN][TR783-ARIN][RH6-ARIN][DN48-ARIN][MM227-ARIN][DW485-ARIN][ASG-ARIN][DD63-ARIN][WRR5-ARIN][LJC2-ARIN][KM82-ARIN][MF19-ARIN][BSR-ARIN][RF50-ARIN][AA179-ARIN][ZM8-ARIN][AA179-ARIN][AA179-ARIN][CL289-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][ECM6-ARIN][SDF5-ARIN][BNOC-ARIN][TSD3-ARIN][MG120-ARIN][CF35-ARIN][WRL6-ARIN][PS24-ARIN][TH60-ARIN][CH974-ARIN][SR46-ARIN][JTA2-ARIN][BNOC-ARIN][EFH4-ARIN][MG564-ARIN][SWR3-ARIN][WAH11-ARIN][GC104-ARIN][QN-ARIN][MC2185-ARIN][SWR3-ARIN][SWR3-ARIN][REA3-ARIN][RAD15-ARIN][TC72-ARIN][ST55-ARIN][TP63-ARIN][KDA5-ARIN][GC104-ARIN][ST55-ARIN][MS544-ARIN][ST55-ARIN][PW18-ARIN]

224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262-263264265267268269270271272273274275276277278279280281282

UNINETT-ASVIRGINIA-ASLOS-NETTOS-ASSHAFTER-ASDC-SUN-NET-ASNSFNETTEST6-ASNSFNETTEST7-ASNSFNETTEST8-ASNSFNETTEST9-ASNSFNETTEST10-ASBLACKROSE-1NSFNETTEST12-ASNSFNETTEST13-ASNSFNETTEST14-ASNSFNETTEST15-ASUTORONTO-ASSAALC-HOSTNET-ASOCALC-HOSTNET-ASSSSD-ASHARRIS-ATD-ASITT-FEC-ASPRC-ASASIFICS-GW-ASROMENET-ASOBL-LINK-ASRDM-LINK-ASLON-LINK-ASCPO-LINK-ASCECOM-A-TACTVRIO253TWG-NET-ASPAFB-GWNCSC-NET-ASNPS-GATOR-ASBRAGGSRI-EGP-ASSCÜBED-ASDSI-WR-15EASINET-ASVRIO-262-3SRINET-ASDSI-WR-16NETHER-NETUSUHSNET-ASINCSYS-ASPSCNI-ASBCNET-ASFTLEENET-ASDARPA-CISCO-ASSOFT-CON-NTS-ASVRIO-275UTX-AUSBBNSTC-KNOX-ASRAM-ASSURANET-AS-2VRIO-280NEARNET-ASMERIT-AUX-AS

[JT122-ARIN][JAJ17-ARIN][WP8-ARIN][CR131-ARIN][MC202-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][DK109-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][LO24-ARIN][ST55-ARIN][ST55-ARIN][RGH21-ARIN][TS14-ARIN][RW45-ARIN][SS172-ARIN][SC139-ARIN][PV23-ARIN][MCB5-ARIN][MCB5-ARIN][MCB5-ARIN][MCB5-ARIN][MB31-ARIN][VIA4-ORG-ARIN][DP221-ARIN][NW29-ARIN][JD130-ARIN][][TN5-ARIN][SS135-ARIN][RPD2-ARIN][JLD31-ARIN][VIA4-ORG-ARIN][DP2-ARIN][RPD2-ARIN][JM568-ARIN][MK124-ARIN][JS281-ARIN][BH162-ARIN][JCD8-ARIN][TWH19-ARIN][SC3-ARIN][RPD2-ARIN][VIA4-ORG-ARIN][WCB3-ARIN][JC347-ARIN][NU4-ARIN][SURA-NOC-ARIN][VIA4-ORG-ARIN][BNOC-ARIN][JRJ18-ARIN]

284285286287288289290291292293294295296297298299300301302303304305306-371372373374375376377378379-508509510511512514515516517518519520521522523524525526527528529530531532533534535

UUNET-ASAVTRQS-ASEUNET-ASCNSYD-POE-ASESA-ASAPGNET-ASSHOWNET-ASESNET-EAST291ESNET-CENTRAL292ESNET-WEST293FRANCE-IP-NET-ASOSI-GW-ASACFP-NET-TST-ASNSN-UMD-ASRADC-LONEX-ASUCINET-ASGUNTER-LAN-ASC3PO-ASBCM-INFO-NET-ASNPRDC-ASSRIEXPRIGNET-ASWALTER-REED-ASNGNET-ASNSN-AMES-ASIE-TESTBED-ASBROOKS-ASTIETOTIE-ASRISQ-ASSNLA-NET-ASILAN-ASAFCONC-BLOCK1-ASWORMS-GW1-ASCSNET-INT-ASCSNET-MIS-ASNAVDEC-NET1EDMICS-POEPMS312GATE-ASNKODAK-BTCXLINK-UKACONCORD-POE-ASISCNETCOINSDISNET3FORD-SRL-ASAFSC-SSD-ASREDSTONE-ASBBN-PCNETSIM-ASWUERZBURG-GW1-ASASCHAFFENBURG-GW1-ASANSBACH-GWl-ASAUGSBURG-GW1-ASBURTONWOOD-GW1-ASGEOPPINGEN-GW1-ASGRAFENWOEHR-GW1-ASHEIDELBERG-GW1-ASHEILBRONN-GW1-ASKARLSRUHE-GW1-ASMUNICH-GW1-AS

[JM3614-ARIN][CAD10-ARIN][EU-NIC-ARIN][MI1-ARIN][ZE36-ARIN][VC5-ARIN][ED18-ARIN][MC434-ARIN][MC434-ARIN][MC434-ARIN][AR41-ARIN][WLW-ARIN][HR43-ARIN][MT2149-ARIN][JAM38-ARIN][DM331-ARIN][TMD6-ARIN][RR184-ARIN][JCY-ARIN][RFS2-ARIN][PEM4-ARIN][BSA2-ARIN][CAP5-ARIN][MSM1-ARIN][GH122-ARIN][RDB35-ARIN][TA100-ARIN][SC166-ORG-ARIN][TCH2-ARIN][HN7-ARIN][MWJ6-ARIN][SAS49-ARIN][JC347-ARIN][WHN2-ARIN][DG163-ARIN][PWP2-ARIN][DL164-ARIN][RM295-ARIN][AN45-ARIN][SJG2-ARIN][MB487-ARIN][RLS6-ARIN][FJB3-ARIN][DD38-ARIN][RT64-ARIN][BNOC-ARIN][LT70-ARIN][GP129-ARIN][JLP35-ARIN][LW137-ARIN][LW138-ARIN][PO2-ARIN][SD131-ARIN][AH130-ARIN][MG205-ARIN][OT5-ARIN][RJ127-ARIN]

536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571573574575576577580581582583584585586587588589590591592593594-598599

NUERNBERG-GW1-ASULM-GW1-ASSCHWEINFURT-GW1-ASSTUTTGART-GW1-ASBAMBERG-GW1-ASIGAUTONARNETCONVEXPTN-FINLANDNRISPARTA-ASTST-RGN-47-ASHQUSAF-ASONET-ASCORNETT-ASTIS-ASPATCH-ASBELWUE-ASCALINET-ASNETWORKCSCALREN-ASUMAINE-SYS-ASOLIVETTI-AS1SWITCH-ASNEARNET-EXT-AS3COM-A3COM-B3COM-COPSNETVTTNET-ASCSSP-ASNASN-DART-ASSUMNET-ASDIMNET-ASSSD-NET-ASCENTCOM-ASNAVDEC-NET3-ASPSC-TEST-ASWIESBADDN-GW1NAVDAC-NET3-ASBACOMMAINZ-GWl-ASGDSS-XRSNET-ASGDSS-21AF-ASGDSS-22AF-ASGDSS-23AF-ASGDSS-322ALD-ASGDSS-834ALD-ASGDS5-ANG-ASFRANKFRT-GW1-ASUNT-CAMPUS-ASEASINET-AS1NSTN-ASUSNA-NADN-ASEASINET-AS1BARRNET-BNOCNISC-AS

[SJ65-ARIN][CR167-ARIN][WN4-ARIN][CJC31-ARIN][DS335-ARIN][EL30-ARIN][ZA28-ARIN][JE126-ARIN][ET49-ARIN][DKE2-ARIN][MS1073-ARIN][DM353-ARIN][PBV-ARIN][ONET-NOC-ARIN][PCW-ARIN][DID1-ARIN][TTS8-ARIN][PM178-ARIN][WP8-ARIN][NAS-ARIN][WP8-ARIN][IKA-ARIN][JA13-ARIN][TL99-ARIN][BNOC-ARIN][ZG18-ARIN][ZG18-ARIN][ZG18-ARIN][LC151-ARIN][JK187-ARIN][AJ29-ARIN][WP8-ARIN][JC536-ARIN][FZ-ARIN][DD38-ARIN][KMC3-ARIN][DG163-ARIN][SBG4-ARIN][][JC275-ARIN][EQ-ARIN][MM413-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][SDM8-ARIN][PB226-ARIN][WP90-ARIN][MM583-ARIN][AF60-ARIN][][BNOC-ARIN][VN-ARIN]

600601602603610611612613614615616-665666667668669670671672673674675676677678679680681682683684685686687

689690691692693694695696697698700701-705706707708709710711712713714715716

CARNET-ASBACOM4-ASBACOM3-ASBACOM2-ASCANET10-ASCANET11-ASCANET12-ASARCO-ASCSUNET-ASAS-RITCHIE-GW1PENS-NET-ASCSTA-CISCO-ñSFSTC-MIL-ASASN-ASNET-NET-ASOFRIR-IP-INTERNET-ASDARMSTADT-GW1-ASBAUMHOLDER-GW1-ASFULDA-GW1-ASHANAU-GW1-ASBBN-DSIMSUS-ASARNET-ASASU-ASNTSC-IELN-ASTUNET-ASDFN-WIN-ASKAWAIHIKO-1AS-ORNL-IGRP1-ASARGONNE-ASMBNET-ASVRIO-685OSD-GW-ASNATC-CSDRD-ASRECNET-ASAS-NSFNET-T3-BB-ASNSFNET-T3-RT-ASPEINET-ASSEMATECH-ASNOTRE-DAME-ASUTACCS-ASNSWITCH-R1-ASSWITCH-R2-ASEASINET-AS2ASN-UIUC-REGION-ASROKNET-ASALTERNET-ASTEST-AUSTIN-IBM-ASELAN-ASSB-COMM-ASUHEY-NET-ASBENT-NET-ASSB-COMM-ASALCON-NET-ASAFMPCGW-ASAPPLE-ENGINEERINGZOCALO-ASZAMA-AS

[GS1050-ARIN][EQ-ARIN][EQ-ARIN][EQ-ARIN][CA-NOC-ARIN][CA-NOC-ARIN][CA-NOC-ARIN][SC199-ARIN][DR161-ARIN][JH257-ARIN][DAG32-ARIN][MH74-ARIN][BB64-ARIN][RJR3-ARIN][YD-ARIN][KL84-ARIN][LN10-ARIN][SM48-ARIN][RS521-ARIN][JSW27-ARIN][DK142-ARIN][OS27-ARIN][SMB33-ARIN][DW198-ARIN][JD238-ARIN][MW238-ARIN][DS555-ARIN][THD-ARIN][ANA3-ORG-ARIN][GM219-ARIN][VIA4-ORG-ARIN][WSW11-ARIN][DS95-ARIN][JIMWW-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][DC307-ARIN][MP5121-ARIN][SPS5-ARIN][SW123-ARIN][TL99-ARIN][TL99-ARIN][WP90-ARIN][RV80-ARIN][RR280-ARIN][IE8-ARIN][MH486-ARIN][DDK1-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][RAN13-ARIN][ZA42-ARIN][BW1324-ARIN][SLV4-ARIN]

717718719720721-726727-746747748749750751752753754755756757758759760761762763764765766767768769770771772773774-783780784785786787788789790791792-794795-797798799800801802803804805-836806810811812

PEOCU-NET-ASSEABAT-ASLANLINK-ASWR-LOGDIS-ASDLA-ASNBLOCK-ASAFCONC-BLOCK2-ASTAEGU-ASUSCAPAC-ASANAD-ASNSFNETTEST16-ASNSFNETTEST17-ASNSFNETTEST18-ASNSFNETTEST19-ASNSFNETTEST20-ASNSFNETTEST21-ASNSFNETTEST22-ASNSFNETTEST23-ASNSFNETTEST24-ASNSFNETTEST25-ASUNIVIE-ASTIETORAITTI-ASWELLFLEET-ASSQNT-TEAMNET-ASVN-VERKKO-ASDCA-JDSSCIRIS-ASNTSC-PEN-ASNCCS-A-ASNTSC-LANT-ASNTSC-PAC-ASNSN-RICE-ASWALTER-REED1-ASSPARTA-MD-ASOFRIR-IP-ASNBLOCK-ASARAMISHJFNET-ASASN-ETLASN-ASJANETCRCASN-ASSUBMEPP-ASNIN2P3-LYON-ASFUUG-NET-AS-ASDWS-ASNORACLE-ASNBLOCK-ASNAMERITECH-ASBERLIN-ASN-ASHDLBRG-ASN-ASCABLEATLANTICMFRC1-ASYORKU-ASSASK-NET-ASISTS-AS-ASCANET1-ASNALCIDE-ASSSCWESTSSCEASTROGERS-AS

[CF54-ARIN][MM379-ARIN][RA145-ARIN][JM773-ARIN][JC536-ARIN][MWJ6-ARIN][RJH71-ARIN][MF181-ARIN][ES20-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][HS118-ARIN][KV20-ARIN][SW159-ARIN][MJE18-ARIN][VH41-ARIN][ADP2-ARIN][CT66-ARIN][WRJ9-ARIN][DWJ5-ARIN][RWF29-ARIN][GRM-ARIN][JB525-ARIN][BSA2-ARIN][MS1073-ARIN][YD-ARIN][PL37-ARIN][JD734-ARIN][LV524-ARIN][DR222-ARIN][BS222-ARIN][ACD4-ARIN][GF94-ARIN][PO41-ARIN][RPD2-ARIN][JKD7-ARIN][JN409-ARIN][JSD19-ARIN][AH130-ARIN][DA3001-ORG-ARIN][RAF2-ARIN][NOH1-ARIN][DA156-ARIN][MR244-ARIN][CA-NOC-ARIN][JG266-ARIN][SC95-ARIN][SC95-ARIN][OR36-ARIN]

813814815816817818819820821822823824825826827828829830831832834837838-842843844-851851852853-11008561101-12001201120212031204120512061207120812091210121112121215121612171218121912201222122312241225122612271228-123212331234

UUNETCA-AS1ÜUNETCA-AS2UUNETCA-AS3UUNETCA-AS4ALTERNET-CADOC-ASLARG-NETISTC-ASDISCSTJOSEPHS-ASUWO-ASGLAXOCA-ASCFWS-NETCRTC-GC-ASALCAN-ASNLC-BNC-GC-ASSYGMA-INT-ORSYGMA-INT-QRSYGMA-EXT-ORSYGMA-EXT-QRATTCLDS-MISRCMPCANET2-ASNREPTILIAN-ASNCANET3-ASNRISQ-QIXA3N852CANET-ASNNBIX4SURFNET-ASASN-ODU-AS-ASJSC-JIN-ASITALTEL-ASSUNYNET-ASN-ASJKU-LAN-ASN-ASPSCNET-HS-ASPSCNET-HS-TEST-ASONREUR-ASNSOSGNET-ASNASN-NET-ASTOBY-GW1-ASWILDFLCKN-GW1-ASORACLE-NA-ASORACLE-EUROPE-ASORACLE-PACRIM-ASNCUBE-BELMONT-ASMCUBE-OREGON-ASINFOASN-ASEPCC-ASDSI-WR-17NCSA-ASVRIO1225TEALE-ASSDSC-TEST1-ASUNINET-ASNBLOCKNASDA-ASNIVOWAN-AS

[UC24-ORG-ARIN][UC24-ORG-ARIN][UC24-ORG-ARIN][UC24-ORG-ARIN][GM179-ARIN][WFM-ARIN][JL109-ARIN][LB40-ARIN][AH52-ARIN][DW87-ARIN][BE26-ARIN][DH79-ARIN][VD5-ARIN][FR15-ARIN][SDA3-ARIN][YL17-ARIN][CC52-ARIN][CC52-ARIN][CC52-ARIN][CC52-ARIN][RA262-ARIN][RA475-ARIN][CA-NOC-ARIN][JM7718-ARIN][CA-NOC-ARIN][SC166-ORG-ARIN][FTS1-ARIN][CA-NOC-ARIN][PJ90-ARIN][EJB-ARIN][SF16-ARIN][JC108-ARIN][AF88-ARIN][TP91-ARIN][GS268-ARIN][EFH4-ARIN][EFH4-ARIN][BJR14-ARIN][RA178-ARIN][RP210-ARIN][RS260-ARIN][CS293-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][AR2-ORG-ARIN][DH421-ARIN][RPD2-ARIN][ND63-ORG-ARIN][VIA4-ORG-ARIN][MC601-ARIN][TH60-ARIN][ML70-ARIN][JO129-ARIN][TT69-ARIN]

123512361237123812391240124112421243124412451246124712481249125012511252125312541255125612571258125912601261126212631264126512661267126812691270-12751276127812791280128112821283128412851290129112921293

CICB-AS-ASGTEGSCKREONETICM-MALAYSIASprintLinkICM-PacificGR-AUTO-ASPLH-ASAPG-GW1-ASAMOCO-ASDET4LAN-ASBBN-WACOM-ASAFTERLIFE-GW-ñSNOKIA-ASFIVE-COLLEGES-ASSINGAPORE-ASANBR-ASUNMC-ASVEROAUTOSYS-ASNASA-LARC-ASSMITHCOLLEGE-ASMASSNET-ASSWIPNET-ASXKL-NET-ASCAC-GW2-ASPLENATINST-AS-ASNSN-NCAR-AS-ASNSN-NCAR-AS-ASUSACESPK-ASSAINT-MARYS-ASNAVPGSCOL-ASIUNET-ASIUNET1-ASIUNET2-ASCW-ECRCDSI-WR-18UNIONCARBIDE-ASMCDOUGLAS-ASCIX-AS1CIX-AS2CIX-AS3CIX-AS4CIX-AS5CMC-ASUKNET-AS1290NAVSWC-WOASN-ASITESM-ASGM-EDS-AS

129512961297129812991300-13091310

GE-AEROSPACE-ASCHILI-AS-ASCERN1-ASSEA06-NET-ASTCN-ASFRANCE-ASNBLOCK-ASCACI-FED

[CC337-ARIN][NM47-ARIN][PH211-ARIN][CH86-ARIN][SPRINT-NOOARIN][RC471-ARIN][SS241-ARIN][DD63-ARIN](LC130-ARIN][JM1486-ARIN][DSG4-ARIN][WAU-ARIN][CAW21-ARIN][KM165-ARIN][PG138-ARIN][CL134-ARIN][ACG8-ARIN][MRN6-ARIN][TH202-ARIN][NC3-ORG-ARIN][DL395-AR1N][KCD-ARIN][LMJ4-ARIN][LB3-ARIN][AS97-ARIN][HCV1-ARIN][CO105-ARIN][JB525-ARIN][JB525-ARIN][JP220-ARIN][JLC32-ARIN][DN2-ARIN][IT2-ORG-ARIN][IT2-ORG-ARIN][IT2-ORG-ARIN][EN125-ARIN][RPD2-ARIN][HJT-ARIN][DW386-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][LP8-ARIN][JS9839-ARIN][RK93-ARIN][AS3919-ARIN][EH2-ORG-ARIN][GL8-ARIN][JEB50-ARIN][VU-ARIN][TB-ARIN][MH-ARIN][AH96-ARIN][YD-ARIN][EM29-ARIN]

13111312131313141315131613171318131913201321-1340134113421343134413451346134713481349135013511352135313541355135613571358136113621363136413651366136713681369137013711372137313741375137613771381-13951450148515281653165416551656165716581659

BARRA-NET-ASVA-TECH-ASADOBE1-AS-ASNWSCHS-ASSURANET-AS-3-ASLERC-AS-ASBUMED-SDIEGO-ASICRFNET-ASBÜMED-CPEND-ASBUMED-LBEACH-ASANSBB-ASNNET-1AB-ASNOKIA-DATA-ASCISCO-SHONET-AS-ASBÜMED-ORLANDO-ASBUMED-JAX-ASBUMED-PENSA-ASMRNET-ASCA-DOTNET-ASQUOTRON-AS-ASSEARSNET-ASUVM-EDU-ASSISSA-AS1-ASSISSA-AS2-ASNEXT-ASN-ASSÜRASTH-FDDI-ASFIXEAST-FDDI-ASORYX-ENERGY-ASHNSNET-ASBUMEDMILLTON-ASBUMEDLEMOORE-ASBUMEDLEJEUNE-ASBUMEDGROTON-ASBUMEDGLAKES-ASBUMEDCORPUS-ASBUMEDCHERRYP-ASBUMEDCHARLES-ASB UME DBEAU FORT-ASBUMEDNEWPORT-ASBUMEDRROADS-ASBUMEDBREMTON-ASBUMEDSEATTLE-ASBUMEDNHPORTS-ASBUMEDPHIL-ASBUMEDOAKHARB-ASBUMEDOAKLAND-ASANSBB-ASNNET-2NCCS-STI-GWTACOM-AS-ASNSTRICOM-NETlSUNETSWEDENSPAWAR-GW-ASPAGENETLOUISVILLENMI-NETTANET-ASN1

[RCB3-ARIN][PB123-ARIN][AIS-ARIN][JLP8-ARIN][SURA-NOC-ARIN][ZN14-ARIN][JS564-ARIN][JH210-ARIN][JS564-ARIN][JS564-ARIN][ANS-NOC-ARIN][WK60-ARIN][LBJ1-ARIN][KAH13-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][DB97-ARIN][SJ90-ARIN][CG203-ARIN][RB16-ARIN][TR156-ARIN][RI21-ARIN][RI21-ARIN][DG1895-ARIN][SURA-NOC-ARIN][SURA-NOC-ARIN][TJO7-ARIN][GC237-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][IH4-ARIN][LC1-ARIN][MIL-HSTMST-ARIN][JMG67-ARIN]

[BE10-ARIN][BE10-ARIN]

[DPB10-ARIN][DH81-ARIN][HF27-ARIN][AM196-ARIN][WSCl-ARIN]

166016611662166316641665166616671668166916701671167216731674167516761677167816791680168116821683168416851686168716881689169016911692169316941695169616971698169917001701170317041705170617071727172817291731173217331734173517361737

ANS-CORP-NYANS-ATLANTAANS-1662-ASBERTELSMANNAOL-CQRPANS-NYANS-DCANS-DC2AOL-PRIMEHOSTANS-BB2ANS-üKANS-1671-ASANS-CHICAGOANS-BBANS-SANFRANANS-NY2-ASTRANEANS-NY3-ASDOWRMTECHNETVISIONANS-CORP-MIAOL-1682-ASANS-NY4-ASANS-1684-ASANS-JAPANANS-1686-ASANS-1687-ASANS-AT-PACBELL-NAPANS-1689-ASBOCESTELUSANS-1692-ASANS-1693-ASANS-SANFRAN2-ASANS-1695-ASSMITH-BARNEYANS-1697-ASPRODIGYANS-1699-ASSESQUI-3EOSDIS-VOMIXKAIST-NETGM-INDY-NETUNIV-ARIZRENATER-ASNBLOCKAMRMS-WESTSRI-TPA-GW1TIPNET1THIOKOLMIKROK-ASCENTAF-SWAROP-COCA-AS01FISHER-ASMU-ASRAYTHEON-AS-1

[ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][AN03-ORG-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-MOC-ARIN][AOL-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANE-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][DN136-ARIN][ANS-NOC-ARIN][MS336-ARIN][BF1147-ARIN][GW10-ORG-ARIN][ANS-NOC-ARIN][AOL-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][WS26-ARIN][TR321-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][RF134-ARIN][ANS-NOC-ARIN][LWV2-ARIN][ANS-NOC-ARIN][SESQ-ARIN][TB264-ARIN][TP63-ARIN][WC1374-ARIN][EH2-ORG-ARIN][TF30-ARIN][AR41-ARIN][FEB3-ARIN][LJ69-ARIN][AH196-ARIN]

[WW148-ARIN][VP26-ARIN][MSP13-ARIN][OD19-ARIN][NG63-ARIN][SG68-ARIN][ZR46-ARIN]

173817391740174117421743174417451746174717481749175017511752175317541755175617571758175917601761176217631764176517661767176817691770177117721774177517761778177917801781178417851786178717881789179017911792179317941795179717981799

OKOBANK-ASTAMNETCERFNETFUNETHARVARD-UNIVMCI-SF-ASLOCKHEEDCRT-ASDRANET-ASIBMWATSON-ASFINNAIR-ASNASA-GSFC-ASGURÚLEXMARK-ASBT-MHOBT-ESCOMDESY-HAMBURGEBONE-INTERNALEBONE-EXTERNALLEXIS-ASAFMPCGW1-ASDATANETINTELNETTGSCNETDMIS-VAXITTHARTFORDEUNET-CH-AS1PM-NAWCMOBIL-CORPIHETSDATANETSEEDNET-ASN1IIINET-ASN1NORTELE-ANORTELE-TSENTRYHEANET-IEFMCC-1ASN-WU-WIENDMSSC-GATEWAYPSTAR-ASVALNETKAIST-NET1GNAPSAPPLIEDAIXSERV-ASEJV-ALPHASONAMNETSPRINTLINK1SPRINTLINK2SPRINTLINK3SPRINTLINK4SPRINTLINK5SPRINTLINK6SPRINTLINK7AS1797AS1798ICMNET-1

[KK160-ARIN][EA12-ARIN][PM200-ARIN][MS12-ARIN][LD238-ARIN][JG2573-ARIN][KS216-ARIN][MAH75-ARIN][DRA7-ORG-ARIN][NRT1-ARIN][ML446-ARIN][JPG18-ARIN][DA31-ARIN][V04-ARIN][AFP-ARIN][DGD11-ARIN][ME57-ARIN][BE10-ARIN][BE10-ARIN][JM19-ARIN][RAN13-ARIN][JL62-ARIN][NT48-ARIN][BB122-ARIN][MAS70-ARINJ[BM67-ARIN][SP164-ARIN][AR38-ARIN][JCP26-ARIN][AKB8-ARIN][MCF16-ARIN][MCF16-ARIN][HV6-ARIN][HV6-ARIN][RY41-ARIN][MN36-ARIN][FD-ORG-ARIN][GM62-ARIN][AB61-ARIN][AW180-ARIN][PN13-ARIN][SC435-ARIN][BFB-ARIN][NDA5-ARIN][JP631-ARIN][GJW12-ARIN][SR205-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN]

[SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][IH24-ARIN][RU5-ARIN][SPRINT-NOC-ARIN]

1800180118021803180418051806180718081809-1828182918301831183218331834183518361837183818391840184118421843-184818491850185118521853185418551856185718581859186018611862186318641865186618671868186918701871187218731874187518761877-1901188918931895

ICM-AtlanticICMNET-3ICMNET-4ICMNET-5ICMNET-6ICMNET-7ICMNET-8ICMNET-9ICMNET-10NEARNET-1NOTESIACNET2ITESO-GWYSMÜTELIANETNCTAMS-ETHERDENETEUNET-CH-AS2NC3ACERFNET-2DNA-SCNUDLAP-NETNETCS-AS1USGS-ASNASA-KSC-ASPIPEX-ASSURISADELAIDE-UNIUCDLA-ASAT-BONEKTTDISN-PILOTNET1DISN-PILOTNET2DISN-PILOTNET3DISN-PILOTNET4DISN-PILOTNET5DISN-PILOTNET6DISN-PILOTNET7DISN-PILOTNET8DISN-PILOTNET9DISN-PILOTNET10DISN-PILOTNETllDISN-PILOTNET12DISN-PILOTNET13DISN-PILOTNET14DISN-PILOTNET153COM-EUR3COM-USA3COM-HDQDMSSCA-ASDMSSCH-ASCISSEASASNBLK-RIPEAS1889DKRZ-HAMBURGERLANGEN-VFR

[SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][BNOC-ARIN][PCW-ARIN][CH4-ARIN][HG17-ARIN][RBM17-ARIN][RH1308-ARIN][DWC10-ARIN][EL16-ARIN][SP164-ARIN][AV900-ARIN][PM200-ARIN][RM56-ARIN][CA81-ARIN][SK120-ARIN][JRF-ARIN][JB234-ARIN][TB118-ARIN][HJ18-ARIN][PLN2-ARIN][UD14-ORG-ARIN][WK42-ARIN][ET35-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN](JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][ZG18-ARIN][ZG18-ARIN][ZG18-ARIN][BWR2-ARIN][BWR2-ARIN][RBM17-ARIN][RBM17-ARIN][RIPE-NCC-ARIN][KB57-ARIN][GH39-ARIN][JK198-ARIN]

1902190319041905190619071908190919101911191219131914191519161917191819191920192119221923192419251926192719281929193019311932193319341935-195419551956195719581959196019611962196319641965196619671968196919701971197219731974197519761977

FESNET-LCHEMNET-FESJITC-TESTBEDDRCINRI-ASIPSERV-ASNAWC-AD-INDYALPHA-NAP-ASDLA1DLA2DLA3DLA4DLA5SEQUOIA-ASRNP-ASCTCSERV-ASCNAP-INTRANETÜMASS-AMHERSTlQUOTRON-WANUDNVIEUAKOM-DAMISTAYSDAFFYDISA-EÜROPEUTANET-ASNADC-LAN-ASWRNL-PDVSUMASSNET-NETRCCNETGM-EDS-EUROCONEDNAVAIRHQANS-RESTON-ASRENATER-ASNBLOCKHBONEIBMEVS-ASANSCIX-ASNCRWIN1958DMSLABNETMARS-EUROPEMARS-AMERICASMARS-ASIA-PACIFICPENRIL-ASMCI-NETCSTUELECTRICMASSO-GWTR-NETUMASSP-DOMTELEDYNE-ASTAMUS-NETGITN-JITCHPC-NETPHNSY-POEGWGSI-DISNNTUMI-ASBUMEDPORTSNHBUMED29PALMS

[JG116-ARIN][CC317-ARIN][KL759-ARIN][DMS7-ARIN][DA192-ARIN][GM278-ARIN][JRH16-ARIN][HWB-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][KRF1-ARIN][DG36-ARIN][JL120-ARIN][RWS10-ARIN][DLB2-ARIN][DN30-ARIN][JD238-ARIN][LE2-ARIN][LL205-ARIN][CB355-ARIN][BMW13-ARIN][TK51-ARIN][RMF4-ARIN][SS163-ARIN][DLB2-ARIN][AD985-ARIN][EH2-ORG-ARIN][JL4612-ARIN][JG255-ARIN][GA44-ARIN][AR41-ARIN][LK93-ARIN][DG811-ARIN][JM1337-ARIN][TH31-ARIN][WS76-ARIN][GL62-ARIN][GL62-ARIN][GL62-ARIN][KH78-ARIN][IW41-ARIN][DM224-ARIN][CN9-ARIN][AO14-ARIN][MF5-ARIN][SK126-ARIN][NG16-ORG-ARIN][DMG21-ARIN][SW2975-ARIN][VR30-ARIN][RG315-ARIN][BH88-ARIN][RJW26-ARIN][RJW26-ARIN]

197819791980198119821983198419851986198719881989199019911992199319941995199719981999200220032004200520062007200820092010201120122013201420152016201720182019202020212022202320242025202620282029203020312032203320342035203620372038

BUMEDLONDONBUMEDKINGSBYBUMEDKEFLAVKBUMEDADAKASN-NWNEXUSBERNALILLOBUMEDSIGONELBUMEDYOKOSUKABUMEDROTABUMEDPHARBORBUMEDPAXRVERBUMEDOKINAWABUMEDORLEANSBUMEDNAPLESBUMEDKEYWESTBUMEDHUENEMEBUMEDGBAYBUMEDGUAMIBMDES-ASSTATE-OF-MNHOUSE-AS-1IBM-PV-ASEPRI-PATNO-HDOINFONET1INFONET2INFONET3INFONET4INFONET5INFONET6WACHOVIAUNINET1PACIFIC-GASSPRINT-INTLMSEN-SYSTEMOTANETKRPNETTERTIARY-1MORGAN-ASHWWILSON-ASUNISYS-INTSIEMENS-ASRUTYCNÚUTOLEDOHELSINKINORTEL-HARLOWGGR-ASRDYNECOWACONETCSC-TMD-CCPanixATK-AS1ATK-AS2JOANNEUMCSUFRESNOINFN-AS1

[RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][DA2237-ORG-ARIN][JM338-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][BHV-ARIN][KV30-ARIN][JA1117-ARIN][DM353-ARIN][DA159-ARIN][FV12-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][DWS30-ARIN][LD119-ARIN][ZP73-ARIN][ZK22-ARIN][MN05-ARIN][JT186-ARIN][SP157-ARIN][DM1581-ARIN][DL954-ARIN][MW177-ARIN][JS1325-ARIN][DL113-ARIN][MM304-ARIN][RN69-ARIN][WTD4-ARIN][JS797-ARIN][HN30-ORG-ARIN][IP-FIX-ARIN][LHS1-ARIN][JCD20-ARIN][BMV-ARIN][PANIX5-ARIN][FR20-ARIN][FR20-ARIN][RB467-ARIN][GW97-ARIN][AG113-ARIN]

ANEXO A5

CARACTERÍSTICAS GENERALES DE UNFIREWALL (CISCO PIX)

Cisco PIX Firewall Series

Product OverviewThe Cisco PIX Firewall series delivers strong security in an easy-to-install, integrated hardware/software firewall appliancethat ofFers outstanding performance. Cisco's world-leading PIX Firewall family spans the entirc user application spectrum,from compact, plug-n-play desktop firewalls for small/home offices to carrier-class gigabit firewalls for the most demandingenterprise and service provider environments. Cisco PIX Firewalls deliver superior performance of up to 500,000simultancous connections and nearly 1.7 Gigabits per second (Gbps) aggregate throughput—whilc providing Ciscocustomers world-class security, reliability and customcr service.

Key Features and Benefits• Security — Cisco PIX Firewalls are purpose-built firewall appliances that utilize a proprietary, hardened operating system

which eliminates security risks associated with general purpose operating systems. PIX firewalls also provide the latestin security technology ranging from stateful inspection fircwalling, IPsec and L2TP/PPTP-based VPNs, contení filteringcapabilities, and integrated intrusión detection to help secure your network environment from next-generation attacks. Atthe heart of the PIX Firewall family is the adaptive security algorithm (ASA), which maintains the secure perimetersbetween the networks controlled by the firewall. The stateful, connection-oricnted ASA design creatcs session flowsbased on source and destination addresses, TCP sequencc numbcrs (which are non-predictable), port numbers, andadditional TCP flags. All inbound and outbound traffic is controlled by applying security pohcies to each connection tableentry.

• Performance — Cisco PIX firewall's highly scalable, yet very secure architecture based upon stateful inspectiontechnology and application-aware "fixups" provides state-of-the-art performance and robust security. With support forupto 10 Gigabit Ethernet interfaces and 1.7 Gbpsof throughput, PIX Firewalls can scaleto mecí the needsofthe mostdemanding network environments.

• Reliability — Cisco PIX Firewalls provide resilient security services for mission-critical network environments byleveraging the integrated stateful failover capabilities within PIX. Network traffic can be automatically sent to a hotstandby unit in the event of a failure, while maintaining concurren! connections via automated state synchronizationbetween the primary and standby units.

• Virtual Prívate Networking (VPN) — Cisco PIX Firewalls support both standards-bascd IPsec and L2TP/PPTP-basedVPN services, which are suitablc for site-to-site and remote access VPN deployments. Tripe DES (3DES) based VPNthroughput can be scaled to nearly 100 Mbps using the PIX VPN Accelerator Card (VAC), which offloads compute-intensive encryption/decryption processes to specialized cryptographic coprocessors.

• Network Address Translation (NAT) and Port Address Translation (PAT) — Cisco PIX Firewalls provide robust NAT andPAT services to conceal IP addresses of internal networks and to expand network address space for intcmal networks.

• Denial-of-Service (DoS) Attack Prevention — Cisco PIX Firewalls protect the firewall and networks behind them fromdisruptive network hacking attempts that could otherwise bring a network to a halt.

• Simple, Web-Based Management with PIX Device Manager (PDM) — Cisco PIX Firewalls provide a simple, casy-to-use web-based interface for centrally managing the configuration of PIX firewalls. Furthermore, PDM provides a widerange of informative, real-time, and historical reports which give critical insight into usage trends, performance baselines,and security events. PDM provides all the tools necessary to manage a firewall, al l from the conveniencc of any webbrowser.

• Platform Extensibility — Cisco PIX Firewalls provide an cxtensible platform that can easily grow with your networkingneeds. With support from two 10/100 Ethernet interfaces all the way up to ten Gigabit Ethernet interfaces in a singlefirewall appliance solution, PIX Firewalls can fit your budget and your networking environment.

• Low Cost of Ownership — Simple installation and configuration minimizes time investmcnt required for administratorsto gct PIX firewalls up and running. Minimal time investment combined with an impressive price/performance ratioenable Cisco PIX Firewalls to provide low total cost of ownership (TCO).

Visit Cisco Connection Online at www.cisco.com

Specifications

Hardware

Table 20-21: Technlcal Specificatlons for Cisco PIX Firewalll

Description PIX 501 Firewail

Processor 1 33 MHz

RAM I6MB

Flash Memory 8 MB

PCI Slots None

Fixed Interfaces I I OBaseT Ethernet(outside)

4 port 10/100 switch(inside)

Máximum Interfaces 1 I OBascT Ethernet(outside)

4 port 10/100 swítch(inside)

VPN Aceelerator NoCard (VAC) Support

Failover Support No

Rack Mounlablc No

Si/e Dcsktop

PIX 506 Firewail

200 MHz

32 MB

8MB

None

2 I OBaseT Ethernet

2 I OBascT Ethernet

No

No

No

Desktop

PIX 515 Firewail

200 MHz

32MBor64MB

16 MB

2

2 10/IOOFast Ethernet

6 IO/100FastEthemet

Yes

Yes, UR only

Yes

1 RU

PIX 525 Firewail

350 MHz

128MBor256MB

I6MB

3

2 10/IOOFast Ethernet

8 10/IOOFast EthernetorGigabit Ethernet

Yes

Yes, UR only

Yes

2RU

PIX 535 Firewail

1 GHz

512MBor 1 GB

16MB

9

None

10 10/IOOFast EthernetorGigabit Ethernet

Yes

Yes, UR only

Yes

3RU

1 . Rack-mounlablc producís come with rack-mount hardware2, Failovcr rcquircs a spccial Cisco cable, includcd wilh failovcr capablc systcms

Table 20-22: Power Requirements for Cisco PIX Firewail

Descrfptfon PIX 501 Firewail

Autoswilching 1 00-240 VAC

Frequency 50-60 Hz

Curren! 0.05 1 Amps

PIX 506 Firewail

100-240 VAC

50-60 Hz

1.5-0.75 Amps

PIX 515 Firewail

100-240 VAC

50-60 Hz

1.5-0.75 Amps

PIX 525 Firewail

100-240 VAC

50-60 Hz

5-2.5 Amps

PIX 535 Firewail

100-240 VAC

50-60 Hz, single phase

4-2 Amps

Table 20-23: Physícal and Enviranmental Speclfications for Cisco PIX Firewail

Description PIX 501 Firewail

Dimensions I.O x 6.25 x 5.5 in.(HxWxD) (2 54 x |5 g?5 x 13 Q?

cm)

Weight 0.75 Ib. (0.34 kg)

Opcrating 32 to I04°FTemperature (Oto40'C)

Storage -4 to t49°FTemperature (_2Q w fi5.C)

Opcrational 90%relative humidityHumidily (RH)

Operalional Altitude 6500 ft (2000m)

PIX 506 Firewail

1.72 x 8.3 x 11. Sin.

(4.4x2I.7x29.9cm)

6 Ib.

-25 to 113°F

(-5 to +45°C)

-13 to 158°F

(-25 to +70°C)

95% relative humidity(RH)

9843 ft (3000m), 77°F(25'C)

PIX 515 Firewail

l.72x 16.82x 11. 8in.,1 RU

(4.4 x 42.7 x 29.9 cm)

1 1 Ib. (4.9 kg)

-25 to 113'F

(-5 to +45'C)

-13to l58°F

(-25lo+70'C)


9843 ft (3000m), 77°F(25'C)

PIX 525 Firewail

3.5 x 17.5 x 18.25 in., 2RU

(8.89x44.45x46.36cm)

32 Ib. (14.5 kg)

-25 to 13KF

(-5 to +55'C)

-13to I58°F

(-25 to +70'C)


9843 ft (3000m), 104°F(40-C)

PIX 535 Firewail

5.25 x 17.5 x 18.25 in.,3 RU

(8,89x44.45 x 46.36cm)

32 Ib. (I4.5kg)

-25 to 1I3°F

(-5 to+45'C)

-13 to 158°F

(-25 to +70'C)


9843 fl (3000m)

2 Cisco Product Catalog, November, 2001

DéserlptIon PIX 501 Firewall PIX 506 Firewall PIX 515 Flrewall PIX 525 Flrewall PIX 535 Firewall

Hcat Dissipation !7.0BTU/hr !02.4BTU/hr 160.37 BTU/hr 410 BTU/hr 750 BTU/hr(Worst Case wilhFul! Power Usage)

SoftwareFor additional specifications, see the Cisco PIX Firewall datasheet on the Cisco Web at

http://www.cisco.com/go/pix.

For software options for the Cisco PIX Firewall Series, see PIX Firewall Software in the tables below..

Cisco PIX Firewall Software Features• State-of-the-art Adaptive Security Algorithm (ASA) and stateftil inspection firewalling

• Cut-through proxy authenticates and authorizes connections, mcanwhile enhancing performance

• Easy-to-use Web-based interface for managing PIX firewalls remotely

• Support for up to 10 ethernet interfaces ranging from 10-BaseT, 10/100 Fast Ethernet to Gigabít Ethemct

• Stateful firewall failover capability with synchronized connection information and product configurations

• True Network Address Translation (NAT) as specified in RFC 1631

• Port Address Translation (PAT) further expands a company's address pool-one IP address supports more than 64,000hosts

• Support for IPsec and L2TP/PPTP-based VPNs

• Support for high performance URL filtering via integration with Webscnse-based URL filtering solutions

• Mail Guard removcs need for extemal mail relay server in perimeter network

• Support for broad range of authentication methods via TACACS+, Radius and Cisco ACS integration

• DNS Guard transparently protects outbound ñame and address lookups

• Flood Guard and Fragmentaron Guard protect against dcnial of service attacks

• Support for advanced Voice over IP (VoIP) standards including SIP, H.323 and othcrs

" Java blocking eliminates potenttally dangerous Java applets (not compressed or archived)

• Cisco lOS-style command-line interface

• Extended authentication, authorization, and accounting capabilities

• Net Aliasing transparently merges overlapping networks with the same IP address space

• Ability to customize protocol port numbers

• Integration with Cisco Intrusión Detection Systems for shunning connections of known malicious IP addrcsscs

• Enhanced customization of syslog messages

• Simple Network Management Protocol (SNMP) and syslog for remote management

• Reliable syslogging using either TCP or UDP

• Extended transparent application support (both with and without NAT enablcd) includes:

— Sun remote procedure cali (RPC)

—Microsoft Networking client and server communication (NetBIOS over IP) using NAT

—Multimedia, including RealNetworks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSceMe, VocalTec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme Web Theatre 2; and InteFs Internet VideoPhone and Microsoft's NetMeeting (based on H.323 standards)

Visit Cisco Connection Online at www.cisco.com 3

—Oracle SQL*Net client and server communication

Table 20-24: PIX Flrewall Manager Speciflcatlons

Operatlng Systems Browsers

Windows 2000 (Service Pack 1) MS Internet Explorer 5.01 (Service Packl) orhigher(5.5 recommended)Windows NT 4.0 (Service Pack 6a) Netscape Communicator 4.51 or higher (4.76 recommended)Windows 98 (original or 2 nd addition)

Sun Solaris 2.6 or 2.8 running CDE or MS Internet Explorer 5.0 or higher (5.5 recommended)OpenWindows window manager Netscape Communicator 4.51 or higher (4.76 recommended)

Redhat Linux 6.2 or7.0 running GNOME Netscape Communicator 4.76or KDE 2.0 desktop environment

For additional specifications, sce the Cisco PIX Firewall datasheet on the Cisco Web at

http://www.cisco.com/go/pix.

For software options for the Cisco PIX Firewall Series, see PIX Firewall Software in the tabics below.


Ordering Information

Where to buy Cisco producísVisit http://www.ci.sco.com/public/ordering_info.shtml

Product and Part Numbers

Part Numbers for the Cisco PIX Flrewall

Part Descrlptlon Part Number

PIX Firewall Solutions

ONE 10/100 Mbps ETHERNETINTERFACES, RJ45

ONE 10/100 Mbps ETHERNETINTERFACES, RJ45

Single Gigabit Ethernet Interface for PIXFirewall

Single Gigabit Ethernel Interface for PIXFirewall

Single 66MHz Gigabit Ethernet Interface

Single 66MHz Gigabit Ethernet Interface

PIX Four-port 10/100 Elhemet interface

PIX Four-port 10/100 Ethernet interface

FAILOVER UPGRADE KIT- SW V3.0OR LATER

PIX 501 (Chassis, software, 10 userlicense, integrated 4 port 10/100 switchand lOBaseTport)

10-user license for PIX 501

50-user license for PIX 501

IO-to-50 user upgrade license for PIX 501

10-io-SO user upgrade license for PIX 501

168-bit 3DES software license for PIX 501

168-bit 3DES software license for PIX 501

Spare AC power supply for PIX 501

PIX 506 (Chassis, software, two lOBaseTports)

3DES Software Licence for PIX 506

3DES Software Liccncc for PIX 506

PIX 506 spare AC powcr supply

5 1 5 R to UR License Upgrade (includes 32MB RAM)

Software upgrade from Failover toUnRestricted for PIX 51 5

Software upgrade from Failover toRcstrictedíbrPIX515

Blank to fill unused option slot on PIX 5 1 5

PIX 515 Chassis only

PIX-IFE

PIX-IFE-

PIX-1GE

PIX-1GF.=

PIX-1GE-66

PIX-lGE-66=

PIX-4FE

PIX-4FE-

PIX-FO-

PIX-501

PIX-50I-SW-IO

PIX-50 l-SW-50

PIX-50 1-SW- 10-50-

PIX-50I-SW-IO-50=

PIX-50 1-VPN-3DES

PIX-50I-VPN-3DES=

PIX-50 l-PWR-AC-

PIX-506

PIX-506-SW-3DES

P1X-506-SW-3DES=

P1X-506-PWR-AC=

PIX-5I5-SW-UPG-

PIX-515-SW-FO-UR-

PIX-515-SW-FO-R=

PIX-BLANK-SLOT

PIX-515


Part Descriptlon Part Number

PIX 515 DC Powered Firewall Appliance PIX-515-DC

P1X 515 Unrestrictcd Function softwareI ícense

PIX-515UR-SW

PIX 515 spare AC power supply PIX-515-PWR-AC=

PIX Firewall 525 Chassis PlX-525

P1X 525 DC Chassis PIX-525-DC

PIX Firewall 535 Chassis P1X-535

PIX 535 512MB RAM Upgrade(2-256MBDIMM, UROnly)

PIX-535-MEM-5I2

Redundan! AC power supply for PIX 535 PIX-535-PWR-AC

PIX 535 spare AC power supply PlX-535-PWR-AC=

Redundan! DC power supply for PIX 535 P1X-535-PWR-DC

PIX 535 spare DC power supply PIX-535-PWR-DC=

Blank to fill unuscd power supply slot onPIX 535

PIX-535-PWR-BLANK

PIX Classic, IOK, 510, 520 Failover loentry I i cense upgrade

PIX-CONN-FO-I28=

PIX Classic, IOK, 510, 520 failover lomidI ícense upgrade

PIX-CONN-FO-1K=

PIX Classic, IOK, 510, 520 failover to URI ícense upgrade

PIX-CONN-FO-UR=

PIX Classic. IOK, 510. 520 Entry tomídrange I Ícense upgrade

PIX-CONN-128-1K=

PIX Classic, IOK, 510, 520 entry to URI ícense upgrade

PIX-CONN-I28-UR=

PIX Classic, IOK, 510, 520 midrange toUR license upgrade

PIX-CONN-1K-UR=

PIX Software Upgrade Ibr Non-SupportCustomers

PIX-CONN-VER=

128 MB Memory Upgrade for PIXFirewall Models 510 and 520

P1X-MEM-5XX-128=

PIX Firewall IPSec Accelerator PIX-VPN-ACCEL

PIX Firewall IPSec Accelerator PIX-VPN-ACCEL=

PIX Firewall Bundles

PIX 501 10-user/DES Bundle (chassis,latest PIX software, 10-user and DESliccnses, integrated4-port 10/100 switchand lOBaseT port)

PIX-501-BUN-K8

PIX 501 lO-user/3DES Bundle (chassis,latest PIX software, 10-user and 3DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)

PIX-50I-BUN-K9

PIX 501 50-user/DES Bundle {chassis,latest PIX software, 50-user and DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)

PIX-501-50-BUN-K8

PIX 501 50-user/3DES Bundle (chassis,latest PIX software, 50-user and 3DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)

PIX-50I-50-BUN-K9

PIX 506 (Chassis, software, two lOBaseTports)

PIX-506


Part Description Part Number

PIX 515FO Bundle (Chassis, failover SW,2 FE ports)

PIX-515-FO-BUN

P1X 5I5R Bundle (Chassis, reslricted SW,2 FE ports)

PIX-5I5-R-BUN

PIX 515UR Bundte (Chassis, unrcstriciedSW, 2 FE ports)

PIX-515-UR-BUN

PIX 515-R DC Bundle (Chassis, Rsoftware, two 10/100 ports)

PIX-515-DC-R-BUN

PIX 515-UR DC Bundle(Chassis, URsoftware, two 10/100 ports)

PIX-515-DC-UR-BUN


PIX-525-FO-BUN

PIX 525R Bundle (Chassis, restricted SW,2 FE ports)

P1X-525-R-BUN

PIX 525UR Bundle (Chassis, unrestrictedSW, 2 FE ports)

PIX-525-UR-BUN


PIX-535-FO-BUN

PIX 535UR Bundle (Chassis, unrestrictedSW, 2 FE ports)

PIX-535-UR-BUN

PIX 535R Bundle (Chassis, reslricted SW,2 FE ports)

PIX-535-R-BUN

PIX Flrewall Flash Cards

PIX !6M0ISAFIashcard PIX-FLASH-16MB-

PIX Flrewall Crypto

PIX 3DES Software License WilhoutClient Software

PIX-VPN-3DES

P1X 3DES Software License WithoutClient Software

PIX-VPN-3DES-

Minimum Software Versions

Cisco PIX 501 Firewall: Minimum Software Versión: 6.1(1)

Table 20-25: Cisco PIX 501 Firewall Software Llcenses

Product Number Product Description

PIX-501-SW-IO 10-user license for PIX 50!

PIX-501-SW-50 50-user license for PIX 501

PIX-50I-SW-10-50= IO-to-50 user upgrade license for PIX 501

PIX-VPN-DES 56-bit DES IPSec software ticense for Cisco PIX 501 Firewalt

PIX-501-VPN-3DES 168-bit3DES IPSec software license for Cisco PIX 501 Firewall

Cisco PIX 506 Firewall: Minimum Software Versión: 5.1(2)The Cisco PIX 506 Firewall is provided in a single, unlimitcd mode.

Visií Cisco Connection Online at www.cisco.com

Table 20-26: Cisco PIX 506 Ffrewall Software Llcenses

Product Number Product Descrlptlon

P1X-VPN-DES 56-bit DES IPSec software license for Cisco PIX 506 Firewall

PIX-506-SW-3DES 168-bit 3DES IPSec software license for Cisco PIX 506 Firewall

Cisco PIX 515 Firewall: Minimum Software Versión: 4.4(1)Starting with Cisco PIX versión 5.1(2) the Cisco PIX 515-R Firewall supportsa máximum of three interfaces. Customersmust purchase the third interface. This is a free software upgrade for customers with SMARTnet contraéis and is availableon Cisco.com. Customers who upgrade from an earlier versión must obtain a new activation kcy from [email protected] who purchase a new Cisco PIX 515-R Firewall with software versión 5.1(2)preinstalled will notbe affccted.Software versión 5.2 or later does not require a new activation key for third-party interface support.

Table 20-27: Cisco PIX 515 Firewall Software Licenses

Product Number Requirements/Comments

Restricted PIX-515-SW-R Cisco PIX 515 Firewall Restricted software license. Failovcr is not supportcd.

Unrestricted PIX-515-SW-UR Cisco PIX 515 Firewall Unrestricted software license.

Requires PIX-515-MEM-32 to upgrade base chassis from 32 MB to 64 MB

Failover PIX-5I5-FO-SW Cisco PIX 515 Firewall Failovcr software liccnse.

Restricted to PIX-515-SW-UPG= Cisco PIX 515 Firewall Restricled to Unreslricted software license upgrade.Unrestricted Includes PIX-515-MEM-32 to upgrade base chassis from 32MB to 64MB,

Failover to Restricted PIX-5I5-SW-FO-R Cisco PIX 515 Firewall Failover to Restricted software license upgrade.

Failover to Unrestricted P1X-515-SW-FO-UR Cisco PIX 515 Firewall Failover to Unrestricted software liccnse upgrade

56-bit DES IPSec P1X-VPN-DES Zero cost option required to enable DES support.

168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for Cisco PIX Firewall.


Table 20-28: Cisco PIX 525 FirewallS Software Licenses


Restricted PIX-525-SW-R Cisco PIX 525 Firewall Reslricted software license. Failover not supportcd

Unrestricted P1X-525-SW-UR Cisco PIX 525 Firewall Unrestricted software license.

Fail-Over PIX-525-FO-SW Cisco PIX 525 Firewall Failover software license.

Restricted to PIX-525-SW-R-UR Cisco PIX 525 Firewall Restricted to Unrestricted software license upgrade.Unrestricted Includes 128 MB RAM.

Fail-Ovcr to Restricted PIX-525-SW-FO-R Cisco PIX 525 Firewall Failovcr to Restricted software liccnse upgrade.

Fail-Over to Unrestricted P1X-525-SW-FO-UR Cisco PIX 525 Firewall Failover to Unrestricted software liccnse upgrade.

56-bit DES IPSec P1X-VPN-DES Zero cosí option required to enable DIíS support.

168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for PIX Firewall.


Table 20-29: Cisco PIX 535 Firewall Software Llcenses

Product Number Requlrements/Comments

Restricted PIX-535-SW-R Cisco PIX 535 Firewall Restricted software license. Failover not supportcd.



Unrestricted PIX-535-SW-UR Cisco PIX 535 Firewail Unrestricted software license.

Fail-Over

Rcstricted toUnrestricted

Fail-Over to Restricted

P1X-535-FO-SW

PIX-535-SW-R-UR

P1X-535-SW-FO-R

Cisco PIX 535 Firewail Failovcr software license.

Cisco PIX 535 Firewail Restrictcd to Unrestricted software license upgrade.lncludes5l2MBRAM

Cisco PIX 535 Firewail Failover to Restricted software license upgrade.

Fait-Over to Unrestricted PIX-535-SW-FO-UR Cisco PIX 535 Firewail Failovcr to Unrestricted software license upgrade.

56-bit DES IPSec PIX-VPN-DES Zcro cosí option required to enable DES support

168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for PIX Firewail.

DocumentaronFor part numbers for product specific documentadon, visit

http://www.cisco.com/univercd/cc/td/doc/pcafswdo di.htm

Services and Support

Table 20-30: Available Support Contracts for the Cisco PIX Flrewall Family

Descriptfon Part Number

PIX SMARTnet mainlenance—all versions CON-SNT-PIX

PIX SMARTnet maintcnance—all versions (two-tier producís) CON-SNT-PKG12


ANEXO A6

IMPLEMENTACION DE UN FIREWALLBAJO LA PLATAFORMA LINUX

Firewall and Proxy Server HOWTO

Mark Gremial!, [email protected]

vO.80, Feb.26,2000

This document is designed to describe the basics offirewall systems and give you somedetall on setting up both afiltering and proxy firewall on a Linux based system. AnHTML versión ofthis document is available at http://www.grennan.com/Firewall-HOWTO.html

1. Introduction

1.1 Feedback1.2 Disclaimer1.3 Copyright1.4 My Reasons for Wríting this1.5 Further Readings

2. Understanding Firewalls

• 2.1 Firewall Politics• 2.2 Types of Firewalls

3. Firewall Architecture

• 3.1 Dial-up Architecture• 3.2 Single Router Architecture• 3.3 Firewall with Proxy Server• 3.4 Redunden! Internet Configuration

4. Setting up the Linux Filtering Firewall

• 4.1 Hardware requirements

5. Software requirements

• 5.1 Selecting a Kernel• 5.2 Selecting a proxy server

6. Preparing the Linux system

6.1 Compilinfí the Kernel6.2 Confíguring two network cards6.3 Configuring the Network Addresses6.4 Testing your network6.5 Securing the Firewall

7. IP filtering setup (IPFWADM)

8. IP filtering setup (IPCHAINS)

9. Installing a Transparent SQUID proxy

10. Installing the TIS Proxy server

• 10.1 Getting the software• 10.2 Compiling the TIS FWTK. 10.3 Installing the TIS FWTK• 10.4 Confíguring the TIS FWTK

11. The SOCKS Proxy Server

• H. 1 Settíng up the Proxy Server• 11.2 Confifiuring the Proxy Server• 11.3 Workinfí With a Proxy Server• 11.4 Drawbacks with Proxy Servers

12. Advanced Configurations

• 12.1 A large network with emphasis on security

13. Making Management Easy

• 13.1 Firewall tools• 13.2 General tools

14. Defeating a Proxy Firewall

15. APPENDEX A - Example Scripts

• 15.1 RC Script useing GFCC• 15.2GFCCscript• 15.3 RC Script without GFCC

16. APPENDEX B - An VPN RC Script for RedHat

1. Introduction

David Rudder wrote this original versión of this Firewall-HOWTO, these many moonsago, and I'd still Hke to thank him for allowing me to update his work.

I'd also like to thank lan Gough for kindly assisting a this dislexic writer.

Firewalls have gained great popularity as the ultimate in Internet Security. Like most hotsubject they are also often misunderstood. This HOWTO will go over the basics of whata firewall is and how to set one up.

I am using kernel 2.2.13 and RedHat 6.1 to develop this howto so the examples here arebased on this distribution. If you fmd differences in your distribution, picase email meand I'll update this howto.

1.1 Feedback

Any feedback is very welcome. PLEASE REPORT ANY INACCURACIES IN THISPAPER!!! I am human, and prone to making mistakes. If you find a fix for anythingpicase send it to me. I will try to answer all e-mail, but I am busy, so don't get insulted if Idon't.

My email address is mark(a)£rennan.com

1.2 Disclaimer

I AM NOT RESPONSIBLE FOR ANY DAMAGES INCURRED DUE TOACTIONS TAREN BASED ON THIS DOCUMENT. This document is meant as anintroduction to how fírewalls and proxy servers work. I am not, ñor do I pretend to be, asecurity expert. ;-) I am just some guy who has read too much and likes computers morethan most people. Picase, I am writing this to help people get acquainted with thissubject, and I am not ready to stake my life on the accuracy of what is in here.

1.3 Copyright

Unless otherwise stated, Linux HOWTO documents are copyrighted by their respectiveauthors. Linux HOWTO documents may be reproduced and distributed in whole or inpart, in any médium physical or electronic, as long as this copyright notice is retained onall copies. Commerciaí redistribution is allowed and encouraged; however, the authorwould like to be notifíed of any such distributions.

All translations, derivative works, or aggregate works incorporating any Linux HOWTOdocuments must be covered under this copyright notice. That is, you may not produce aderivative work from a HOWTO and impose additional restrictions on its distribution.Exceptions to these rules may be granted under certain conditions; picase contact theLinux HOWTO coordinator.

In short, we wish to promote dissemination of this information through as many channelsas possible. However, we do wish to retain copyright on the HOWTO documents, andwould like to be notifíed of any plans to redistribute the HOWTOs.

If you have any questions, picase email me. (See Above)

1.4 My Reasons for Writing this

Several years ago, while working for the State of Oklahoma as their "InternetAdministrator" I was ask to "put the State on the Internet", with no budget. (Note: Therewas no such title at the time. I was just the guy doing all the work.) The best way to makethis happen was to use as much free software and junk hardware as I could. Linux and abunch of oíd 486s were all I had to work with.

Commercial firewalls are VERY over priced and the documentation on how they work isconsiderad almost top secret. I found creating a fírewall of my own was almostimpossible.

At my next job, I was asked to put in a fírewall. Linux had just added fírewall code. Soagain with no budget I started building a fírewall with Linux. Six months later myfírewall was in place and this document was updated.

1.5 Further Readings

• The The Linux Networking Overvíew HQWTO• The Ethernet HOWTQ• IPchains Firewallinfi made Easy!• Linux Network Address Translation• The Net-3 HOWTQ• The NET-PPP HOWTO• The easiest way to créate Virtual Tunnels over TCP/IP networks

[ More URLS go here ]

2. Understanding Firewalls

A fírewall is a structure intended to keep a fire from spreading. Building have fírewallsmade of brick walls completely dividing sections of the building. In a car a fírewall is themetal wall separating the engine and passenger compartments.

Internet fírewalls are intended to keep the flames of Internet hell out of your prívateLAN. Or, to keep the members of your LAN puré and chaste by denying them access theall the evil Internet temptations. ;-)

The first computer firewall was a non-routing Unix host with connections to two differentnetworks. One network card connected to the Internet and the other to the prívate LAN.To reach the Internet from the prívate network, you had to logon to the firewall (Unix)server. You then used the resources of the system to access the Internet. For example, youcould use X-windows to run Netscape's browser on the firewall system and have thedisplay on your work station. With the browser running on the fírewall it has access toboth networks.

This sort of dual homed system (a system with two network connections) is great if youcan TRUST ALL of your users. You can simple setup a Linux system and give anaccount accounts on it to everyone needing Internet access. With this setup, the onlycomputer on your prívate network that knows anything about the outside world is thefírewall. No one can download to their personal workstations. They must first download afile to the fírewall and then download the file from the fírewall to their workstation.

BIG NOTE: 99% of all break-ins start with gaining account level access on the systembeing attacked. Because of this I don't recommend this type of firewall. It is also verylimiting.

2.1 Firewall Politics

You shouldn't believe a firewall machine is all you need. Sel policies first.

Firewalls are used for two purposes.

1. to keep people (worms / crackers) out.2. to keep people (employees / children) in.

When I started working on firewalls I was surprised to learn the company I worked forwere more interested in "spying" on their employees then keeping crackers out of theirnetworks.

At least in my state (Oklahoma) employers have the right to monitor phone calis andInternet activity as long as they inform the employees they are doing it.

Big Brother is not government. Big Brother = Big Business.

Don't get me wrong. People should work, not play at work. And I feel the work ethic hasbeen eroding. However, I have also observed that management types are the biggestabusers of the rules they set. I have seen hourly workers reprimanded for using theInternet to looking for bus routesto get to work while the same manager used hours ofwork time looking for fine restaurants and nightclubs to take prospective customers.

My fix for this type of abuse is to publish the firewall logs on a Web page for everyone tosee.

The security business can be scary. If you are the firewall manager, watch your back.

How it créate a security policy

I have seen some realy high folutin documentation on how to créate a security policy.After many years of experence I know now say, don't believe a word of them. Créate asecurity policy is simple.

1. describe what you need to service2. describe the group of people you need to service3. describe which service each group needs access to4. for each service group describe how the service should be keep secure5. wríte a statment making all other forms of access a vialation

Your policy will become more complicated with time but don't try to cover to muchground now. Make it simple and clear.

2.2 Types of Firewalls

There are two types of fírewalls.

1. Filtering Firewalls - that block selected network packets.2. Proxy Servers (sometimes called firewalls) - that make network connections for

you.

Packet Filtering Firewalls

Packet Filtering is the type of firewall built into the Linux kernel.

A filtering firewall works at the network level. Data is only allowed to leave the system ifthe firewall rules allow it. As packets arrive they are filtered by their type, source address,destination address, and port information contained in each packet.

Many network routers have the ability to perform some fírewall services. Filteringfirewalís can be thought of as a type of router. Because of this you need a deepunderstanding of IP packet structure to work with one.

Because very little data is analyzed and logged, fíltering firewalls take less CPU andcréate less latency in your network.

Filtering firewalls do not provide for password controls. User can not identifythemselves. The only identity a user has is the IP number assigned to their workstation.This can be a problem if you are going to use DHCP (Dynamic IP assignments). This isbecause rules are based on IP numbers you will have to adjust the rules as new IPnumbers are assigned. I don't know how to automate this process.

Filtering firewalls are more transparent to the user. The user does not have to setup rulesin their applications to use the Internet. With most proxy servers this is not true.

Proxy Servers

Proxies are mostly used to control, or monitor, outbound traffic. Some applicationproxies cache the requested data. This lowers bandwidth requirements and decreases theaccess the same data for the next user. It aíso gives unquestionable evidence of what wastransferred.

There are two types of proxy servers.

1. Application Proxies - that do the work for you.2. SOCKS Proxies - that cross wire ports.

Application Proxy

The best example is a person telneting to another computer and then telneting from thereto the outside world. With a application proxy server the process is automated. As youtelnet to the outside world the client send you to the proxy first. The proxy then connectsto the server you requested (the outside world) and returns the data to you.

Because proxy servers are handling all the Communications, they can log everything they(you) do. For HTTP (web) proxies this includes very URL they you see. For FTP proxiesthis includes every file you download. They can even filter out "inappropriate" wordsfrom the sites you visit or sean for viruses.

Application proxy servers can authenticate users. Before a connection to the outside ismade, the server can ask the user to login first. To a web user this would make every sitelook like it required a login.

SOCKS Proxy

A SOCKS server is a lot like an oíd switch board. It simply cross wires your connectionthrough the system to another outside connection.

Most SOCKS server only work with TCP type connections. And like fíltering firewallsthey don't provide for user authentication. They can however record where each userconnected to.

3. Firewall Architecture

There are lots of ways to structure your network to protect your systems using a fírewall.

If you have a dedicated connections to the Internet through a router, you could plug therouter directly into your fírewall system. Or, you could go through a hub to provide forfull access servers outside your fírewall.

3.1 Dial-up Architecture

You may be using a dialup service like an ISDN line. In this case you might use a thirdnetwork card to provide provide a fíltered DMZ. This gives you full control over yourInternet services and still separates them from your regular network.

_A_A_ I t| | Firewall | (LAN) I

/ Internet \ System I — ( H U B ) — I Workstat ion/s\ _ _ _/ I I I

\ \ \ I( D M Z )( H U B )

3.2 Single Router Architecture

If there is a router or cable modem between you and the Internet. If you own the routeryou could setup some hard filter rules in the router. If this router is owned by your ISP soyou may not the have the needed controls. You can ask your ISP to put in fílters.

_A__A_ I Router | | |

¡ ¡ | o r I (DMZ) | Firewal1 I (LAN)I/ Internet \e Mdm| — (HUB) — | System I — (HUB) —

Workstation/s I

\ \ \ I(Outside)(Server)

3.3 Firewall with Proxy Server

If you need to monitor where users of your network are going and your network is small,you can intergrate a proxy server into your firewall. ISP's some times do this to créateinterest list of their users to resell to marketing agencies.

_A A_ | Proxy / || | | Firewall I (LAN) | I

/ Internet \ System —(HUB) — I Workstation/s I\ _ _ _/ I I I I

\ \ \

You can put the proxy server on your LAN as will. In this case the firewall should haverules to only allow the proxy server to connect to the Internet for the services it isproviding. This way the users can get to the Internet only through the proxy.

_A_A_ I I| | | Firewall I (LAN) |

/ Internet \ System I — ( H U B ) — I Workstat ion/s\

\ \ \

+ I Proxy Server

3*4 Redundent Internet Coníiguration

If you are going to run a service like YAHOO or maybe SlashDot you may want to makeyour system by using redundant routers and fírewalls. (Check out the High AvailabilityHowTo.)

By using a round-robin DNS techniques to provide access to multipule web servers fromone URL and múltiple ISP's, routers and fírewalls using High Avaibility technics you cancréate a 100% uptime service.

_A_A_ _A_A_I I I I

/ ISP #1 \ _ _ (WAN) _ / Partners \ _ _ \ _ _ J

\ \/ \ I l \ \ \

A A I I | Firewall

I I I I [ (DMZ) | System || (LAN) |/ ISP #2 \—|Router| | —(HUB) —| (VPN) ||--(HUB)--| WS/s

\ _ _ _/ I I I I I I IV V \ I I I

I (Outside) (Shared) I |I (Servar) (Server) + 1Proxy

WS/s I I |VPN I-+

It is easy to let your network get out of hand. Keep control of every connection. It onlytakes a user with a modem to compromise your LAN.

4. Setting up the Linux Filtering Firewall

4.1 Hardware requirements

Filtering fírewalls don't require fancy hardware. They are little more then simple routers.

All you need is:

1. a 486-DX66 with 32 meg of memory2. a 250m hard disk (500 recommended)3. network connections (LAN Cards, Serial Ports, Wireless?)4. monitor and keyboard

With some systems by using a serial port consolé, you can even elimínate the monitorand keyboard.

If you need a proxy server that will handle lots of traffic, you should get the largestsystem you can afford. This is because for every user that connects to the system it willbe creating another process. If you will have 50 or more concurren! users I'm guessingyou will need:

1. a Pentium II with 64meg of memory2. a two gig hard dísk to store all the logs3. two network connections4. monitor and keyboard

The network connections can be any type (NIC cards, ISDN, even modems).

5. Software requirements

5.1 Selecting a Kernel

To créate a filtering firewall, you don't need any special software. Linux will do. At thetime of this writing I'm using RedHat 6.1.

The bilt in Linux firewall have changed several times. If you are using an oíd Linuxkernel (1.0.x or older) geta new copy. These older used ipfwadm fromhttp://www.xos.nl/linux/ipfwadm/ and is no longer supported.

If you are using 2.2.13 or newer you will be using ipchaining as developed byhttp://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html

If you are using the newer 2.4 kernal there is a new firewall utility with more feachers. Iwill write about this soon.

5.2 Selecting a proxy server

If you want to setup a proxy server you will need one of these packages.

1. Squid2. The TIS Firewall Toolkit (FWTK)3. SOCKS

Squid is a great package and works with Linux's Transparent Proxy feature. I will bedescribing how to setup this server.

AT the time of this writing, Network Associates and Trusted Information System's (TIS) ,have merged. So keep watching their web sites for more information about changes.Mean while, the Tool Kit can still be had at. http://www.tis.com/research/software/

Trusted Information System put out a collection of programs designed to facilítatefírewalling. With this toolkit, you set up one daemon for each service (WWW, telnet ect.)you will be using.

6. Preparing the Linux system

Install as little of the Linux system as you can. My insíallation started with a serverconfiguration and then I turn off ever un-needed service in /etc/inetd.conf. For moresecurity you should uninstall the unneeded service.

Because most distributions don't dome with a kernel usefull to your perpose. You willneed to compile your own kernal. It is best if you do this on a computer other then the

firewall. If you do install a C compiler and Utilities on your fírewall, remove them afteryou have completed comfíguring your kernel.

6.1 Compiling the Kernel

Start with a clean minimal installation of your Linux distribution. The less software youhave loaded the less holes, backdoors and/or bugs there will be to introduce securityproblems in your server.

Pick a stable kernel. I am using kernel 2.2.13 kernel for my system. So thisdocumentation is based on it's settings.

You well need to recompile the Linux kernel with the appropriate options. If you haven'trecompiled your kernel before you should read the Kernel HOWTO, the EthernetHOWTO, and the NET-2 HOWTO.

Here are the network related setting I know work. I have marked some with a ?. If youwill be using this feature, turn it on as well.

I use "rnake menuconfig" to edit my kernel settings.

<*> Packet socket[ ] Kernel/User netlink socket[*] Network firewalls[ ] Socket Filtering<*> Unix domain sockets[*] TCP/IP networking[ ] IP : multicasting[*] IP: advanced router[ ] IP: kernel level autoconfiguration[*] IP: firewalling[?] IP: always defragment (required for masquerading)[?] IP: transparent proxy support[?] IP: masquerading

Protocol-specific masquerading support will be built asmodules.

[?] IP: ICMP masqueradingProtocol-specific masquerading support will be built as

modules.[ ] IP: masquerading special modules support[*] IP: optimize as router not host< > IP: tunneling< > IP: GRE tunnels over IP[?] IP: aliasing support[*] IP: TCP syncookie support (not enabled per default)

(it is safe to leave these untouched)< > IP: Reverse ARP[*] IP: Allow large windows (not recommended if <16Mb of memory)< > The IPv6 protocol (EXPERIMENTAL)

< > The IPX protocol

< > Appletalk DDP< > CCITT X.25 Packet Layer (EXPERIMENTAL)< > LAPE Data Link Driver (EXPERIMENTAL)[ ] Bridging (EXPERIMENTAL)[ ] 802.2 LLC (EXPERIMENTAL)< > Acorn Econet/AUN protocols (EXPERIMENTAL)< > WAN router[ ] Fast switching (read help!)[ ] Forwarding between high speed Ínterfaces[ ] PU is too slow to handle full bandwidthQoS and/or faír queueing >

After making all the setting you need you should recompile, reinstall the kernel andreboot.

I use the command:

make dep;make clean;make bzlilo;make modules;make modules_install;init 6 toaccomplish all of this in one step.

6.2 Configuring two network cards

If you have two network cards in your computer, you may need to add an appendstatement to your/etc/lilo.conf file to describe the IRQ and address of both cards. My liloappend statement looks like this:

append="ether=12,0x300,ethO ether=15,0x340,ethl"

6.3 Configuring the Network Addresses

Now we arrive at the fun part of our setup. I'm not going to go deep into how to setup aLAN. Read the Networking-HOWTO to solve your problems here.

Your goal is to provide two network connection to your filtering firewall system. One onthe Internet (unsecured side) and one on the LAN (secure side).

Anyway, you have a few decisions to make.

1. Will you use Real IP number or Make some up for your LAN.2. Will your ISP assign the number or will you be using static IP numbers?

Since you don't want the internet to have access to your prívate network, you don't needto use "real addresses". You could just makeup addresses for your prívate LAN. But thisis not recommended. If data gets routed out of your LAN, it might end up at anothersystems port.

There are a number of Internet address ranges set aside for prívate networks. Of these,192.168.1 .xxx, is set aside and we will use it in our examples.

You will need to use IP masquerading to make this happen. With this process the firewallwill forward packets and transíate them into "REAL " " IP address to travel on theInternet.

Using these non-routable IP address makes your network is more secure. Internet routerswill not pass packets with these addresses.

You may want to read the IP Masquerading HOWTO at this point.

2 4 . 9 4 . 1 . 1 2 3 192.168.1.1_A_A_ \ I /

| | \ Firewall I / I I/ Internet \m ¡ 1 Workstat ion/s I\ _ _ _/ I I I I

\ \ \

You must have a "real" IP address to assign to your Internet network card. This addresscan be permanently assigned to you. (A static IP address) or it can be assigned at networkconnect time by the PPP process.

You assign your inside IP numbers. Like 192.168.1.1 to the LAN card. This will be yourgateway IP address. You can assign all the other machines in the protected network(LAN) a number in the 192.168.l.xxxrange. (192.168.1.2 through 192.168.1.254)

I use RedHat Linux. To configure the network at boot time I added a ifcfg-ethl file in the/etc/sysconfig/network-scripts directory. You may also find a ifcfg-pppO or ifcfg-trO inthis directory. These 'ifcfg-' files are used by RedHat to configure and enable yournetwork devices at boot time. The are named after the connection type.

Here is the ifcfg-ethl (second ehternet card) for our example;

DEVICE=ethlIPADDR=192.168.1. 1NETMASK=255.255.255.0NETWORK-192.168.1.0BROADCAST=192.168.1.255GATEWAY=24.94.1.123ONBOOT=yes

If you are going to use a dialup connection you will need to look at the ifcfg-pppO and thechat-pppO file. These control your PPP connection.

This ifcfg file might look like;

DEVICE="pppO"ONBOOT="yes"

USERCTL="no"MODEMPORT-"/dev/modem"LINESPEED="115200"PERSIST="yes"DEFABORT="yes"DEBUG="yes"INITSTRING="ATZ"DEFROUTE="yes"HARDFLOWCTL="yes"ESCAPECHARS="no"PPPOPTIONS=""PAPNAME="LoginID"REMIP=""NETMASK-""IPADDR=""MRU=""MTU=""DISCONNECTTIMEOUT=""RETRYTIMEOUT="5"BOOTPROTO="none"

6.4 Testing your network

Start by using the ifconfig and route commands. If you have two network cards ifconflgshould look something like:

#ifconfiglo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.O.O . OUP LOOPBACK RUNNING MTU:3924 Metric:!RX packets:1620 errors:O dropped:O overruns:OTX packets:1620 errors:0 dropped:O overruns:Ocollisions:0 txqueuelan:O

ethO Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55inet addr:24.94.1.123 Bcast:24.94.1.255 Mask:255.255.255 . OUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:!RX packets:1000 errors:0 dropped:O overruns:OTX packets: 1100 errors:O dropped:O overruns:Ocollisions:0 txqueuelan:OInterrupt:12 Base address:0x310

ethl Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7inet addr:192.168.1.1 Bcast:192.168.1.255

Mask:255.255.255.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:!RX packets:1110 errors:O dropped:O overruns:0TX packets:llll errors:0 dropped:O overruns:Ocollisions:O txqueuelan:OInterrupt:15 Base address:0x350

and your route table should look like:

ttroute -n

Kernel routing tableDestination Gateway Genmask Flags MSS Window

Use Iface24.94.1.0 * 255.255.255.0 U 1500 O

15 ethO192.168.1.0 * 255.255.255.0 U 1500 O

O ethl127.0.0.0 * 255.0,0.0 U 3584 O

2 lodefault 24.94.1.123 * UG 1500 O

72 ethO

Note: 24.94.1.0 is the Internet side of this firewall and 192.168.1.0 is the private (LAN)side.

You should start by making sure every computar on your LAN can ping the insideaddress of your firewall system. (192.168.1.1 in this example) If not, go over the NET-2HOWTO again and work on the network some more.

Next, from the firewall, try to ping a Internet system. I use www.internic.net as my testpoint. If it doesn't work, try a server at your ISP. If this doesn't work some part of yourInternet connection is wrong. You should be able to connect to the anywhere on theInternet from the firewall. Try looking at your default gateway setting. If you are using adialup connection double check your user ID and Password. Reread the Net-2 HOWTO,and try again.

Now try to ping the outside address of the firewall (24.94.1.123) from a computer onyour LAN. This shouldn't work. If it does, you have masquerading or IP Forwardingturned on, or you already have some packet filtering set. Turn them off and try again.You need to know the filtering is in place.

For kernels newer then 2.1.102 you can issue the command;

echo "O" > /proc/sys/net/ipv4/ip_forward

If you are using an older kernel (WHY) you will need to re-compile your kerneí withforwarding turned off. (Just upgrade.)

Try pinging the outside address of the firewall (24.94.1.123) again. It shouldn't work.

Now turn on IP forwarding and/or masquerading. You should be able to ping theanywhere on the Internet from any system on your LAN.

echo "1" > /proc/sys/net/ipv4/ip_forward

BIG NOTE: If you are using "REAL" IP addresses on your LAN (not 192.168.1.*) andyou can't ping the internet but you CAN ping the Internet side of your firewall, make sureyour ISP is routing packets for your private network address.

A test for this problem is to have someone else on the Internet (say a friend using a localprovider) use traceroute to your network. If the trace stops at your providers router, thenthey are not forwarding your traffic.

It works? Great. The hard part is done. :-)

6*5 Securing the Firewall

A fírewall isn't any good if the system ít is build on is left wide open to attacks. A "badguy" could gain access to the through a non fírewall service and modify it for their ownneeds. You need to turning off any unneeded services.

Look in your /etc/inetd.conf file. This file configures inetd also known as the "superserver". It controls a bunch of the server daemons and starts them as they are requestedby a packet arriving at a "well known" port.

You should turn off echo, discard, daytime, chargen, ftp, gopher, shell, login, exec, talk,ntalk, pop-2, pop-3, netstat, systat, tftp, bootp, fmger, cfínger, time, swat and linuxconfigif you have one.

To turn a service off, put # as the first character of the service line. When your done, senda SIG-HUP to the process by typing "kill -HUP <pid>", where <pid> is the processnumber of inetd. This will make inetd re-read its configuration file (inetd.conf) andrestart without taking your system down.

Test this by telneting to port 15 (netstat) on fírewall. If you get any output you have notturned these services off.

telnet localhost 19

You can also créate the file /etc/nologin. Put a few line of text in it like (BUZZ OFF).When this file exists, login will not allow user to logon. They will see the contents of thisfile and their logins refused. Only root can logon.

You can also edit the file /etc/securetty. If the user is root, then the login must beoccurring on a tty Usted in /etc/securetty. Failures will be logged with the syslog facility.With both of these controls in place the only way to logon to the fírewall will be as rootfrom the consolé.

NEVER EVER TELNET to a system and log IN AS ROOT. If you need remóte rootaccess SSH (Secure Shell). You might even turn off telnet.

If you are really paranoid you need to be using lids (Linux Intrusión Detect System). It isan intrusión detection system patch for the Linux kernel; it can protect important filesfrom being changed. When it's in effect, no one (including root) can change the protected

files or directories and their sub-directories. You have to reboot the system with asecurity=l LILO setting to modiiy secure files. (I'd also boot into single user mode.)

7. IP filtering setup (IPFWADM)

If you are using kernel 2.1.102 or newer skip to the next section on IPCHAINS.

In older kernels IP Fonvarding is turned on by default in the kernel. Because of this, yournetwork should start by denying access to everything and flushing any ipfw rules in placefrom the last time it was run. This script fragment should go in your network startupscript. (/etc/rc.d/init.d/network)

#tt setup IP packet Accounting and Forwarding## Forwarding## By default DENY all servicesipfwadm -F -p deny# Flush all comrnandsipfwadm -F -fipfwadm -I -fipfwadm -O -f

Now we have the ultímate firewall. Nothing can get through.

Now créate the file /etc/rc.d/rc.firewall. This script should allow email, Web and DNStraffic through. ;-)

# ! /bin/sh## re.firewall## Source function library.. /etc/rc.d/init.d/functions

# Get config.. /etc/sysconfig/network

# Check that networking is up.if [ ${NETWORKING} = "no" ]then

exit Oficase "$1" in

start)echo -n "Starting Firewall Services: "# Allow email to got to the server/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D

192.1.2.10 25

# Allow email connections to outside email servers/sbin/ipfwadra -F -a accept -b -P tcp -S 192.1.2.10 25 -D 0.0.0.0/0

1024:65535# Allow Web connections to your Web Server/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D

192.1.2.11 80# ñllow Web connections to outside Web Server/sbin/ipfwadm -F -a accept -b -P tcp -S 192.1.2.* 80 -D 0.0.0.0/0

1024:65535# Allow DNS traffic/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 192.1.2.0/24i istop)echo -n "Stooping Firewall Services: "ipfwadm -F -p deny

status)echo -n "Now do you show firewall stats?"

restart|reload)$0 stop$0 start

*)echo "Usage: firewall {startI stop I status| restartIreload}"exit 1

esac

NOTE: In this example we have the email (smtp) server running at 192.1.2.10 that mustbe able to send and receive on port 25. The web server running at 192.1.2.11. We areallowing anyone on the LAN to get to outside web and DNS servers.

This is not perfectly secure. Because port 80 doesn't have to used as a web port, a smarthacker might use this port to créate a virtual prívate network (VPN) through the firewall.The way around this is to setup a web proxy. and only allow the proxy through thefirewall. Users on the LAN will have to go through the proxy to get to outside webservers.

You might also be interested in accounting for traffic going through your firewall. Thisscript will count ever packet. You could add a line or two to account for packets going tojust a single system.

# Flush the current accounting rulesipfwadm -A -f# Accounting/sbin/ipfwadra -A -f/sbin/ipfwadra -A out -i -S 192.1.2.0/24 -D 0.0.0.0/0/sbin/ipfwadra -A out -i -S 0.0.0.0/0 -D 192.1.2.0/24/sbin/ipfwadm -A in -i -S 192.1.2.0/24 -D 0.0.0.0/0/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 192.1.2.0/24

If all you need is a filtering firewall you can stop here. Test it and Enjoy.

8. IP filtering setup (IPCHAINS)

Linux ipchains is a rewrite of the Linux IPv4 fírewalling code and a rewrite of ipfwadm,which was a rewrite of BSD's ipfw, I believe. It is required to administer the IP packetfilters in Linux kernel versions 2.1.102 and above.

The older code doesn't deal with fragments, has 32-bit counters (on Intel at least), doesn'tallow specifícation of protocols other than TCP, UDP or ICMP, can't make large changesatomically, can't specify inverse rules, has some quirks, and can be tough to manage(making it prone to user error). Or so the author says.

I'm not going to get real deep into how to control an IPChains firewall because there is aGREAT!! HOWTO on it athttp://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html. I'd just end upduplicating it here. Here are the basics.

You work with chains by ñame. You start with three built-in chains input, output andforward which you can't delete. You can créate chains of your own. Rules can then beadded and deleted from these rule sets.

The operations to work on entire chains are;

1. Créate a new chain (-N).2. Delete an empty chain (-X).3. Change the policy for a built-in chain. (-P).4. List the rules in a chain (-L).5. Flush the rules out of a chain (-F).6. Zero the packet and byte counters on all rules in a chain (-Z).

There are several ways to manipúlate rules inside a chain:

1. Append a new rule to a chain (-A).2. Insert a new rule at some position in a chain (-1).3. Replace a rule at some position in a chain (-R).4. Delete a rule at some position in a chain (-D).5. Delete the first rule that matches in a chain (-D).

There are a few operations for masquerading, which are in ipchains for want of a goodplace to put them:

1. List the currently masqueraded connections (-M -L).2. Set masquerading timeout valúes (-M -S).

There are some timing issues involved in altering fírewall rules. If you are not careful,you can let packets through while you are half-way through your changes. A simplisticapproach is to do the following:

# ipchains -I input 1 -j DENYtt ipchains -I output 1 -j DENY# ipchains -I forward 1 -j DENY

... make changes...

# ipchains -D input 1# ipchains -D output 1# ipchains -D forward 1#

This drops all packets for the duration of the changes.

Here a duplícate of the above fírewall rules in IPChains.

#!/bin/sh## re.firewall### Flush everything, start from scratch

/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward

## Redirect for HTTP Transparent Proxy#$IPCHAINS -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 80 -j

REDIRECT 8080

## Créate your own chain/sbin/ipchains -N my-chaintt Allow email to got to the server/sbin/ipchains -A my-chain -s 0.0.0.0/0 smtp -d 192.1.2.10 1024:-j

ACCEPTtt Allow email connections to outside email servers/sbin/ipchains -A my-chain -s 192.1.2.10 -d 0.0.0.0/0 smtp -j ACCEPT# Allow Web connections to your Web Server/sbin/ipchains -A my-chain -s 0.0.0.0/0 www -d 192.1.2.11 1024: -j

ACCEPT# Allow Web connections to outside Web Server/sbin/ipchains -A my-chain -s 192.1.2.0/24 1024: -d 0.0.0.0/0 www -j

ACCEPT# Allow DNS traffic/sbin/ipchains -A my-chain -p UDP -s 0.0.0.0/0 dns -d 192.1.2.0/24 -j

ACCEPT

## If you are using masquerading# don't masq interna!-Ínternal traffic/sbin/ipchains -A forward -s 192.1.2.0/24 -d 192.1.2.0/24 -j ACCEPTtt don't masq external interface direct/sbin/ipchains -A forward -s 24.94.1.0/24 -d 0.0.0.0/0 -j ACCEPT

# masquerade all ínternal IP's going outside/sbin/ipchains -A forward -s 192.1.2,0/24 -d 0.0.0.0/0 -j MASQ

## Deny everything else/sbin/ipchains -P my-chain input DENY

Don't stop here. This is not a great fírewall and I'm sure you have other services you willbe providing. Again, read the IPCHAINS-HOWTO.

9. Installing a Transparent SQUID proxy

The squid proxy is available at http://squid.nlanr.net/.

The SQUID developers provide RedHat and Debian packages. If you can, use one ofthese.

10. Installing the TIS Proxy server

10.1 Getting the software

The TIS FWTK is available at http://www.tis.com/research/software/.

Don't make the mistake I did. When you ñp files from TIS, READ THE README's.The TIS fwtk is locked up in a hidden directory on their server.

TIS requires you read their agreement athttp://www.tis.com/research/software/fwtk readme.html and then send email to [email protected] with only the word accepted in the body of the message to learnthe ñame of this hidden directory. No subject is needed in the message. Their system willthen mails you back the directory ñame (good for 12 hours) to download the source.

As of this writing, the current versión of FWTK is 2.1.

10.2 Compiling the TIS FWTK

Versión 2.1 of the FWTK compiles much easier then any of the older versions.

EXPLAINHEREÜ!

Now run make.

10.3 Installing the TIS FWTK

Run make install.

The default installation directory is /usr/1 ocal/e te. You could change this (I didn't) to amore secure directory. I chose to change the access to this directory to 'chmod 700'.

All last is left now is to configure the fírewall.

10.4 Configuring the TIS FWTK

Now the fun really begins. We must teach the system to cali theses new services andcréate the tables to control them.

I'm not going to try to re-write the TIS FWTK manual here. I will show you the setting Ifound worked and explain the problems I ran into and how I got around them.

There are three files that make up these controls.

• /etc/serviceso Tells the systern what ports a services is on.

• /etc/inetd.confo Tells inetd what program to cali when someone knocks on a service port.

• /usr/local/etc/netperm-tableo Tells the FWTK services who to allow and deny service to.

To get the FWTK functioning, you should edit these files from the bottom up. Editing theservices file without the inetd.conf or netperm-table file set correctly could make yoursystem inaccessible.

The netperm-table file

This file controls who can access the services of the TIS FWTK. You should think aboutthe trafile using the fírewall from both sides. People outside your network should identifythemselves before gaining access, but the people inside your network might be allowed tojust pass through.

So people can identify themselves, the fírewall uses a program called authsrv to keep adatábase of user IDs and passwords. The authentication section of the netperm-tablecontrols where the datábase is keep and who can access it.

I had some trouble closing the access to this service. Note the premit-hosts line I showuses a '*' to give everyone access. The corred setting for this line is " authsrv: premit-hosts localhost if you can get it working.

## Proxy configuration table## Authentication server and client rulesauthsrv: datábase /usr/local/etc/fw-authdbauthsrv: permit-hosts *authsrv: badsleep 1200authsrv: nobogus true# Client Applications using the Authentication server*: authserver 127.0.0.1 114

To initialize the datábase, su to root, and run ./authsrv in the /var/local/etc directory tocréate the administrative user record. Here is a sample session.

Read the FWTK documentation to learn how to add users and groups.

## authsrvauthsrvft listauthsrvft adduser admin "Auth DB admin"ok - user added initially disabledauthsrvft ena adminenabledauthsrvtt proto admin passchangedauthsrv# pass admin "plugh"Password changed.authsrvft superwiz adminset wizardauthsrvtt listReport for users in datábaseuser group longname ok? proto last

admin Auth DB admin ena passw neverauthsrv# display adminReport for user admin (Auth DB admin)Authentication protocol: passwordFlags: WIZARDauthsrvtt ^DEOTit

The telnet gateway (tn-gw) controls are straight forward and the first you should set up.

In my example, I permit host from inside the prívate network to pass through withoutauthenticating themselves. (permit-hosts 19961.2.* -passok) But, any other user mustenter their user ID and password to use the proxy. (permit-hosts * -auth)

I also allow one other system (192.1.2.202) to access the firewall directly without goingthrough the firewall at all. The two inetacl-in.telnetd unes do this. I will explain howthese Unes are called latter.

The Telnet timeout should be keep short.

# telnet gateway rules:tn-gw:tn-gw:tn-gw:tn-gw:tn-gw:tn-gw:

denial-msgwelcome-msghelp-msgtimeout 90permit-hosts 192.1.2.permit-hosts * -auth

/usr/local/etc/tn-deny.txt/usr/local/etc/tn-welcorne. txt/usr/local/etc/tn-help.txt

-passok -xok

# Only the Administrator can telnet directly to the Firewall via Port24

netacl-in.telnetd: permit-hosts 192.1.2.202 -exec/usr/sbin/in.telnetd

The r-commands work the same way as telnet.

# rlogin gateway rules:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:

denial-msgwelcome-msghelp-msgtimeout 90permit-hosts 192.1.2.permit-hosts

/usr/local/etc/rlogin-deny.txt/usr/local/etc/rlogin-welcome.txt/usr/local/etc/rlogin-help.txt

-passok -xok* -auth -xok

t Only the Administrator can telnet directly to the Firewall via Portnetacl-rlogind: permit-hosts 192.1.2.202 -exec /usr/libexec/rlogind -

You shouldn't have anyone accessing your firewall directly and that includes FTP sodon't put an FTP, server on you firewall.

Again, the permit-hosts Une allows anyone in the protected network free access to theInternet and all others must authenticate themselves. I included logging of every file sentand received to my controls. (-log { retr stor })

The ftp timeout controls how long it will take to drop a bad connections as well as howlong a connection will stay open with out activity.

# ftp gateway rules:ftp-gw:ftp-gw:ftp-gw:ftp-gw:ftp-gw:ftp-gw:

denial-msg /usr/local/etc/ftp-deny.txtwelcome-msg /usr/local/etc/ftp-welcome.txthelp-msg /usr/local/etc/ftp-help.txttimeout 300permit-hosts 192.1.2.* -log { retr stor }permit-hosts * -authall -log { retr stor }

Web, gopher and browser based ftp are contorted by the http-gw. The first two linescréate a directory to store ftp and web documents as they are passing through the firewall.I make these files owned by root and put the in a directory accessible only by root.

The Web connection should be kept short. It controls how long the user will wait on abad connections.

# www and gopher gateway rules:http-gw: userid roothttp-gw: directory /jailhttp-gw: timeout 90http-gw: default-httpd www.afs.nethttp-gw: hosts 192.1.2.* -log { read write ftp }http-gw: deny-hosts *

The ssl-gw is really just a pass anything gateway. Be carefuüy with it. In this example Iallow anyone inside the protected network to connect to any server outside the networkexcept the addresses 127.0.0.* and 192.1.1.* and then only on ports 443 through 563.Ports 443 through 563 are known SSL ports.

# ssl gateway rules:ssl-gw: timeout 300ssl-gw: hosts 192.1.2.* -dest { ¡127.0.0.*

!192.1. 1.* *:443:563 }ssl-gw: deny-hosts *

Here is an example of how to use the plug-gw to allow connections to a news server. Inthis example I allow anyone inside the protected network to connect to only one systemand only to it's news port.

The seconded Une allows the news server to pass its data back to the protected network.

Because most clients expect to stay connected while the user read news, the timeout for anews server should be long.

# NetNews Pluged gatewayplug-gw: timeout 3600plug-gw: port nntp 192.1.2.* -plug-to 24.94.1.22 -port nntpplug-gw: port nntp 24.94.1.22 -plug-to 192.1.2.* -port nntp

The fmger gateway is simple. Anyone inside the protected network musí login first andthen we allow them to use the fínger program on the firewall. Anyone else just gets amessage.

# Enable finger servicenetacl-fingerd: permit-hosts 192.1.2.* -exec /usr/libexec/fingerdnetacl-fingerd: permit-hosts * -exec /bin/cat

/usr/local/etc/finger.txt

I haven't setup the Mail and X-windows services so I'm not including examples. Ifanyone has a working example, picase send me email.

The /etc/services file

This is where it all begins. When a client connects to the fírewall it connects on a knownport (less then 1024). For example telnet connects on port 23. The inetd deamon hearsthis connection and looks up the ñame of these service in the /etc/services file. It thencalis the program assigned to the ñame in the /etc/inetd.conf file.

Some of the services we are creating are not normally in the /etc/services file. You canassign some of them to any port you want. For example, I have assigned theadministrator's telnet port (telnet-a) to port 24. You could assign it to port 2323 if youwished. For the administrator (YOU) to connect directly to the fírewall you will need totelnet to port 24 not 23 and if you setup your netperm-table file, like I did, you will onlybe able to this from one system inside your protected network.

telnet-af tp-gwauthssl-gw

24/tcp21/tcp113/tcp443/tcp

# this named changedident # User Verification

11. The SOCKS Proxy Server

11.1 Setting up the Proxy Server

The SOCKS proxy server available from http://www.socks.nec.com/.

Uncompressed and untar the files into a directory on your system, and follow theinstructions on how to make it. I had a couple problems when I made it. Make sure thatyour Makefíles are correct.

One important thing to note is that the proxy server needs to be added to /etc/inetd.conf.You must add a line:

socks stream tcp nowait nobody /usr/local/etc/sockd sockd

to tell the server to run when requested.

11.2 Configuring the Proxy Server

The SOCKS program needs two sepárate configuration files. One to tell the accessallowed, and one to route the requests to the appropriate proxy server. The access file

should be housed on the server. The routing file should be housed on every UNIXmachine. The DOS and, presumably, Macintosh computers will do their own routing.

The Access File

With socks4.2 Beta, the access file is caíled "sockd.conf.lt should contain 2 lines, apermit and a deny Une. Each Une will have three entries:

• The Identifier (permit/deny)• The IP address• The address modifíer

The identifier is either permit or deny. You should have both a permit and a deny Une.

The IP address holds a four byte address in typical IP dot notation. LE. 192.168.1.0.

The address modifíer is also a typical IP address four byte number. It works like anetmask. Envision this number to be 32 bits (Is or Os). If the bit is a 1, the correspondingbit of the address that it is checking must match the corresponding bit in the IP addressfield. For instance, if the line is:

permit 192.168.1.23 255 .255 .255 .255

it will permit only the IP address that matches every bit in 192.168.1.23, eg, only192.168.1.3. The line:

permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0

will permit every number within group 192.168.1.0through 192.168.1.255, the whole CClass domain. One should not have the line:

permit 192.168.1.0 0 . 0 . 0 . 0

as this will permit every address, regardless.

So, first permit every address you want to permit, and then deny the rest. To alloweveryone in the domain 192.168.l.xxx, the lines:

permit 192.168.1.0 255 .255 .255 .0deny 0 . 0 . 0 . 0 0 . 0 . 0 . 0

will work nicely. Notice the first "0.0.0.0" in the deny line. With a modifíer of 0.0.0.0,the IP address field does not matter. All O's is the norm because it is easy to type.

More man one entry of each is allowed.

Specific users can also be granted or denied access. This is done via ident authentication.Not all systems support ident, including Trumpet Winsock, so I will not go into it here.The documentation with socks is quite adequate on this subject.

The Routing File

The routing file in SOCKS is poorly named "socks.conf'. I say "poorly named" becauseit is so cióse to the ñame of the access file that it is easy to get the two confused.

The routing file is there to tell the SOCKS clients when to use socks and when not to. Forinstance, in our network, 192.168.1.3 will notneedto use socks to talk with 192.168.1.1,firewall. It has a direct connection in via Ethernet. It defines 127.0.0.1, the loopback,automatically. Of course you do not need SOCKS to talk to yourself. There are threeentries:

• deny• direct• sockd

Deny tells SOCKS when to reject a request. This entry has the same three fíelds as insockd.conf, identifíer, address and modifíer. Generally, since this is also handled bysockd.conf, the access file, the modifíer field is set to 0.0.0.0. If you want to precludeyourself from calling any place, you can do it here.

The direct entry tells which addresses to not use socks for. These are all the addressesthat can be reached without the proxy server. Again we have the three fíelds, identifíer,address and modifier. Our example would have

direct 192.168.1.0 255 .255 .255 .0

Thus going direct for any on our protected network,

The sockd entry tells the computer which host has the socks server daemon on it. Thesyntax is:

sockd @=<serverlist> <IP address> <modifier>

Notice the @~ entry. This allows you to set the IP addresses of a íist of proxy servers. Inour example, we only use one proxy server. But, you can have many to allow a greaterload and for redundancy in case of failure.

The IP address and modifier fíelds work just like in the other examples. You specifywhich addresses go where through these. 6.2.3. DNS from behind a Firewall

Setting up Domain Ñame service from behind a fírewall is a relatively simple task. Youneed merely to set up the DNS on the firewalling machine. Then, set each machinebehind the firewall to use this DNS.

11.3 Working With a Proxy Server

Unix

To have your applications work with the proxy server, they need to be "sockified". Youwill need two different telnets, one for direct communicatión, one for communication víathe proxy server. SOCKS comes with instructions on how to SOCKify a program, as wellas a couple pre-SOCKified programs. If you use the SOCKified versión to go somewheredirect, SOCKS will automatically switch over to the direct versión for you. Because ofthis, we want to rename all the programs on our protected network and replace them withthe SOCKified programs. "Finger" becomes "finger.orig", "telnet" becomes "telnet.orig",etc. You must tell SOCKS about each of these vía the include/socks.h file.

Certain programs will handle routing and sockifying itself. Netscape is one of these. Youcan use a proxy server under Netscape by enteringthe server's address (192.168.1.1 inour case) in the SOCKs fíeld under Proxies. Each application will need at least a littlemessing with, regardless of how it handles a proxy server.

MS Windows with Trumpet Winsock

Trumpet Winsock comes with built in proxy server capabilities. In the "setup" menú,enter the IP address of the server, and the addresses of all the computers reachabledirectly. Trumpet will then handle all outgoing packets.

Getting the Proxy Server to work with UDP Packets

The SOCKS package works only with TCP packets, not UDP. This makes it quite a bitless useful. Many useful programs, such as talk and Archie, use UDP. There is a packagedesigned to be used as a proxy server for UDP packets called UDPrelay, by TomFitzgerald <[email protected]>. Unfortunately, at the time of this writing, it is notcompatible with Linux.

11.4 Drawbacks with Proxy Servers

The proxy server is, above all, a security device. Using it to increase internet accesswith limited IP addresses will have many drawbacks. A proxy server will allow greateraccess from inside the protected network to the outside, but will keep the insidecompletely inaccessible from the outside. This means no servers, talk or archiveconnections, or direct mailing to the inside computers. These drawbacks might seemslight, but think of it this way:

• You have left a report you are doing on your computer inside a fírewall protectednetwork. You are at home, and decide that you would like to go over it. You cannot. You can not reach your computer because it is behind the fírewall. You try to

log into f irewall fírst, but since everyone has proxy server access, no one has setup an account for you on it.

• Your daughter goes to college. You want to email her. You have some prívatethíngs to talk about, and would rather have your mail sent directly to yourmachine. You trust your systems administrator completely, but still, this is privatemail.

• The inability to use UDP packets represents a big drawback with the proxyservers. I imagine UDP capabilities will be coming shortly.

FTP causes another problem with a proxy server. When getting or doing an is, the FTPserver opens a socket on the client machine and sends the information through it. A proxyserver will not allow this, so FTP doesn't particularly work.

And, proxy servers run slow. Because of the greater overhead, almost any other means ofgetting this access will be faster.

Basically, if you have the IP addresses, and you are not worried about security, do not usea firewall and/or proxy servers. If you do not have the IP addresses, but you are also notworried about security, you might also want to look into using an IP emulator, like Term,Slirp or TÍA. Term is available from ftp://sunsite.unc.edu, Slirp is available fromftp://blitzen.canberra.edu.au/pub/slirp, and TÍA ÍS available frommarketplace.com. These packages will run faster, allow better connections, and provide agreater level of access to the inside network from the internet. Proxy servers are good forthose networks which have a lot of hosts that will want to connect to the internet on thefly, with one setup and little work after that.

12. Advanced Configurations

There is one configuration I would like to go over before wrapping this document up. Theone I have just outlined will probably suffice for most people. However, I think the nextoutline will show a more advanced configuration that can clear up some questions. If youhave questions beyond what I have just covered, or are just interested in the versatility ofproxy servers and fírewalls, read on.

12.1 A large network with emphasis on security

Say, for instance, you are the leader of millisha and you wish to network your site. Youhave 50 computers and a subnet of 32 (5 bits) IP numbers. You need various levéis ofaccess within your network because you tell your followers different things. Therefore,you'll need to protect certain parts of the network from the rest.

The levéis are:

1. The external level. This is the level that gets shown to everybody. This is whereyou rant and rave to get new volunteers.

2. Troop This is the level of people who have gotten beyond the external level. Hereis where you teach them about the evail government and how to make bombs.

3. Mercenary Here is where the real plans are keep. In this level is stored all theinformation on how the 3rd world government is going to take over the world,your plans involving Newt Gingrich, Oklahoma City, lown care producís andwhat really is stored in that hangers at área 51.

The Network Setup

The IP numbers are arranged as:

• 1 number is 192.168.1.255, which is the broadcast address and is not usable.• 23 of the 32 IP addresses are allocated to 23 machines that will be accessible to

the internet.• 1 extra IP goes to a Linux box on that network• 1 extra goes to a different Linux box on that network.• 2 IP #'s go to the router• 4 are left over, but given domain ñames paúl, ringo, john, and george, just to

conftise things a bit.• The protected networks both have the addresses 192.168.1.xxx

Then, two sepárate networks are built, each in different rooms. They are routed viainfrared Ethernet so that they are completely invisible to the outside room. Luckily,infrared ethernet works just like normal ethernet.

These networks are each connected to one of the Linux boxes with an extra IP address.

There is a file server connecting the two protected networks. This is because the plans fortaking over the world involves some of the higher Troops. The file server holds theaddress 192.168.1.17 for the Troop network and 192.168.1.23 for the Mercenarynetwork. It has to have different IP addresses because it has to have different Ethernetcards. IP Fonvarding on it is turned off.

IP Forwarding on both Linux boxes is also turned off. The router will not forward packetsdestined for 192.168.l.xxx unless explicitly told to do so, so the internet will not be ableto get in. The reason for turning off IP Forwarding here is so that packets from theTroop's network will not be able to reach the Mercenary network, and vica versa.

The NFS server can also be set to offer different files to the different networks. This cancome in handy, and a little trickery with symbolic links can make it so that the commonfiles can be shared with all. Using this setup and another ethernet card can offer this onefile server for all three networks.

The Proxy Setup

Now, since all three levéis want to be able to monitor the network for their own deviouspurposes, all three need to have net access. The external network is connected directlyinto the internet, so we don't have to mess with proxy servers here. The Mercenary andTroop networks are behind firewalls, so it is necessary to set up proxy servers here.

Both networks will be setup very similarly, They both have the same IP addressesassigned to them. I will throw in a couple of parameters, just to make things moreinteresting though.

1. No one can use the file server for internet access. This exposes the file server toviruses and other nasty things, and it is rather important, so its off limits.

2. We will not allow troop access to the World Wide Web. They are in training, andthis kind of information retrieval power might prove to be damaging.

So, the sockd.conf file on the Troop's Linux box will have this line:

deny 192.168.1.17 255 .255 .255 .255

and on the Mercenary machine:

deny 192.168.1.23 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5

And, the Troop's Linux box will have this line

deny 0 . 0 . 0 . 0 0 . 0 . 0 . 0 eq 80

This says to deny access to all machines trying to access the port equal (eq) to 80, the httpport. This will still allow all other services, just deny Web access.

Then, both files will have:

permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0

to allow all the computers on the 192.168.l.xxx network to use this proxy server exceptfor those that have already been denied (ie. The file server and Web access from theTroop network).

The Troop's sockd.conf file will look like:

deny 192.168.1.17 255.255.255.255deny 0.0.0.0 0.0.0.0 eq 80permit 192.168.1.0 255.255.255.0

and the Mercenary file will look like:

deny 192.168.1.23 255 .255 .255 .255

permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0

This should configure everything correctly. Each network is isolated accordingly, withthe proper amount of interaction. Everyone should be happy.

13. Making Management Easy

13.1 Firewall tools

There are several software packages that will make managing your firewall easier.

Be carefull, don't use these tools unless you can do without them. These scripts make itjust as easy to make a misstake as they do to help you get it wright.

Both graphical and web based interfaces are being developed to work with the Linuxfiltering rules. Some companies have even créate commercial firewalls based on Linuxby putting it in their own box with their own management code. (nice)

I'm not realy a GUI guy. However, I have been using firewalls with GUI interfaces forsome time. Tve found they help by providing a nice report of all the rules in one easyglance.

gfcc (GTK+ Firewall Control Center) is a GTK+ application which can control Linuxfirewall policies and rules, based on ipchains package. Go to http://icarus.autostock.co.kr/and get your copy. This is a realy good tool.

I have included RC scripts in appendex A. These scripts work with and without gfcc.

There a lots of scripts avaible to setup a firewall. One very complete script is avaible athttp://www.iasmine.org.uk/~simon/bookshelf/papers/instant-firewall/instant-firewall.html. Another will done script is at http://www.pointman.orK/.

Kfirewall is a GUI frontend for ipchains or ipfwadm (depending on your kernel versión).http://mefiaman.ypsilonia.net/kfirewall/

FCT is an HTML based tool for the configuration of a firewall. It features automaticscript-generation for IP-filtering commands (ipfwadm) on a firewall for múltipleinterfaces and any internet services. http://www.fen.baynet.de/~ftH4/FCT/firewall.htm

13.2 General tools

WebMin is a general system admin package. It will not help you manage the firewallrules but it will help you with turning on and off damons and processes. This program is

VERY good, I'm hoping the J. Cameron will include a IPCHAINS module.http://www.webmin.com/

httptunnel. httptunnel creates a bidirectional virtual data path tunnelled in HTTP requests.The HTTP requests can be sent via an HTTP proxy if so desired. Or, on their system theyinstall a Virtual Prívate Network (vpn). See: http://sunsite.auc.dk/vpnd/ Or, Maybe thisuser simply puts a modem on their NT system and turns on routing. Finally, on theworkstation, on the prívate LAN, change the default gateway to point to the new route tothe Internet. Now, from this workstation, you can go anywhere. The only thing thefirewall admin might see is one connect with nowill see is a realíy long DNS lookup.Now, take over the world!

15. APPENDEX A - Example Scripts

15.1 RC Script useing GFCC

#!/bin/bash## Firewall Script - Versión 0.9.1tt chkconfig: 2345 09 99# description: firewall script for 2.2.x kernel# Set for testing# set -x#I NOTES:t# This script is written for RedHat 6.1 or better.## Be careful about offering public services like web or ftp servers.## INSTALLATION:# 1. place this file in /etc/rc.d/init.d (you'll have to be root..)# cali it sornething like "firewall" :-}# make it root owned --> "chown root.root (flléname)"# make it executable --> "chmod 755 (flléname)"## 2. use GFCC to créate your firewall rules and export them to a file# named /etc/gfcc/rules/firewall.rule.sh.## 3. add the firewall to the RH init structure --> "chkconfig --add(flléname)"# next time the router boots, things should happen automagically!# sleep better at night knowing you are *LESS* vulnerable thanbefore...## RELÉASE NOTES# 30 Jan, 2000 - Changed to GFCC script# 11 Dec, 1999 - updated by Mark Grennan <[email protected]>

t 20 July, 1999 - initial writing - Anthony Ball <[email protected]>#

########f###########f#######f###################

# Source function library.. /etc/rc.d/init.d/functions

# Source networking configuration.. /etc/sysconfig/network

# Check that networking is up.[ ${NETWORKING) = "no" ] && exit O

t See how we are calledcase "$1" in

start)# Start providing accessaction "Starting firewall: " /bin/true/etc/gfce/rules/firewall.rule.shecho

stop)action "Stoping firewall: " /bin/trueecho O > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward

echo

restart)action "Restarting firewall: " /bin/true$0 stop$0 start

echo

status)# List out all settings/sbin/ipchains -L

test)action "Test Mode firewall: " /bin/true/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forwardecho 1 > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -A input -j ACCEPT/sbin/ipchains -A output -j ACCEPT/sbin/ipchains -P forward DENY/sbin/ipchains -A forward -i $PUBLIC -j MASQ

echo

echo "Usage: $0 {startI stop jrestartI status|test}"exit 1

esac

15.2 GFCC script

This script was generated by the Graphical Firewall program (GFCC). This is not theworking rule set, This is the exported rules set.

#!/bin/sh# Generated by Gtk+ firewall control center

IPCHAINS=/sbin/ipchains

localnet="192.168.1.0/24"firewallhost="192. 168.1.1/32"localhost="172.0.0.0/8"DNS1="24.94.163.119/32"DNS2="24.94.163.124/32"Broadcast="255.255.255.255/32"Multicast="224.0.0.0/8"Any="Q.O.O.O/0"mail_grennan_com="192.168.1.1/32"raark_grennan_com="192.168.1.3/32"

$IPCHAINS -P input DENYSIPCHAINS -P forward ACCEPT$IPCHAINS -P output ACCEPT

$IPCHAINS -FSIPCHAINS -X

tt input rules$IPCHAINS -A input$IPCHAINS -A input$IPCHAINS -A input3IPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A input

-s $Any -d $Broadcast -j DENY-p udp -s SAny -d $Any netbios-ns -j DENY-p tcp -s $Any -d $Any netbios-ns -j DENY-p udp -s $Any -d SAny netbios-dgm -j DENY-p tcp -s $Any -d SAny netbios-dgm -j DENY-p udp -s $Any -d $Any bootps -j DENY-p udp -s SAny -d $Any bootpc -j DENY-s SMulticast -d SAny -j DENY-s Slocalhost -d SAny -i lo -j ACCEPT-s Slocalnet -d SAny -i ethl -j ACCEPT-s Slocalnet -d SBroadcast -i ethl -j ACCEPT-p icrap -s SAny -d SAny -j ACCEPT-p tcp -s $Any -d SAny -j ACCEPT ! -y-p udp -s SDNS1 domain -d $Any 1023:65535 -j ACCEPT

$IPCHAINSSIPCHAINS$IPCHAINSSIPCHAINSSIPCHAINS$IPCHAINSSIPCHAINS$IPCHAINSSIPCHAINS

-A-A-A-A-A-A-A-A-A

inputinputinputinputinputinputinputinputinput

-P-P-P-P-P-P-P-P-s

udp -tcp -tcp -tcp -tcp -tcp -tcp -tcp -SAny

ssssssss-d

SDNS2$Any$Any$Any$AnySAnySAnySAnySAny

doma i n-d SAny-d SAny-d $Any-d SAny-d SAny-d SAny-d SAny-j DENY

-d $Anyssh - jtelnetsmtp -jpop-3 -auth -jwww - jftp -j-1

1023:65535 -j ACCEPTACCEPT-j ACCEPTACCEPTj ACCEPTACCEPT

ACCEPTACCEPT

# forward rulesSIPCHAINS -A forward -s Slocalnet -d SAny -j MASQ

t output rules

15.3 RC Script without GFCC This is the firewall rulesset built my hand* It does not use GFCC.

#!/bin/bash#tt Firewall Script - Versión 0.9.0

# chkconfig: 2345 09 99tt description: firewall script for 2.2.x kernel

# Set for testing# set -x

## NOTES:## This script is written for RedHat 6.0 or better.## This firewall script should work for most routers, dial-up or cablemodem.# It was written for RedHat distributions.## Be careful about offering public services like web or ftp servers.## INSTALLATION:# 1. This file planned for a RedHat system. It would work# on other distro's with perhaps no modification, but again...# Who knows?!!? These instructions apply to RedHat systems.###

2. place this file in /etc/rc.d/init.d (you'll have to be root..}cali it something like "firewall" :-)make it root owned -->make it executable -->

"chown root . root <f ilename>""chmod 755 <f i leñame >"

3. set the valúes for your network, Ínternal Ínterface, and DNSservers# uncomment lines further down to enable optional in-bound services# make sure "ethO" is your Ínternal NIC (or changa the valué below)# test it —> "/etc/rc.d/init.d/<filename> start"# you can list the rules —> "ipchains -L -n"

# fix anything that broke... :-)## 4. add the firewall to the RH init structure — > "chkconf ig — add<f ilename>"i next time the router boots, things should happen automagically !# sleep better at night knowing you are *LESS* vulnerable thanbef ore . . .## RELÉASE NOTES# 20 July, 1999 - initial writing - Anthony Ball <tony@LinuxSIG. org># 11 Dec, 1999 - updated by Mark Grennan <mark@grennan. com>#

###t##tt########################################## Fill in the valúes below to match your# local network.

PRIVATENET=xxx . xxx . xxx . xxx/xx

PUBLIC=pppOPRIVATE=ethO

# your dns ser ver sDNSl^xxx . xxx. xxx . xxxDNS2=xxx . xxx . xxx . xxx

# some handy generic valúes to useANY=0.0.0.0/0ALLONES=255.255.255.255

# Source f une t ion librar y.. /etc/rc.d/init. d/functions

# Source networking conf i gura t ion.. /etc/sysconf i g /network

# Check that networking is up.[ $ {NETWORKING} = "no" ] && exit O

# See how we are calledcase "$1" in

start)# Start providing accessaction "Starting firewall : " /bin/true

## Setup Envirement### Flush all lists/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F f orward

# Plug up everything

/sbin/ipchains -I input 1 -j DENY

tt set policy to deny (Default is ACCEPT)/sbin/ipchains -P input DENY/sbin/ipchains -P output ACCEPT/sbin/ipchains -P forward ACCEPT

tt Turn on packet forwardingecho 1 > /proc/sys/net/ipv4/ip_forward

##tttt Install Modulestttttt Insert the active ftp module. This will allow non-passive

ftp to machines# on the local network (but not to the router since it is not

masq'd)if ! ( /sbin/lsmod I /bin/grep raasq_ftp > /dev/null ); then

/sbin/insrnod ip_masq_ftpfi

tttt## Some Security Stufftttt# turn on Source Address Verification and get spoof protection# on all current and future interfaces.if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then

for f in /proc/sys/net/ipv4/conf/*/rp_filter; doecho 1 > $f

doneelse

echoecho "PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE

WORRIED."echo

fi

over IP

tt deny bcasts on remaining interfaces/sbin/ipchains -A input -d 0.0.0.0 -j DENY/sbin/ipchains -A input -d 255.255.255.255 -j DENY

tt deny these without logging 'cause there tend to be a lot.../sbin/ipchains -A input -p udp -d $ANY 137 -j DENY # NetBIOS

/sbin/ipchains -A input -p tcp -d $ANY 137 -j DENY/sbin/ipchains -A input -p udp -d $ANY 138 -j DENY/sbin/ipchains -A input -p tcp -d $ANY 138 -j DENY/sbin/ipchains -A input -p udp -d $ANY 67 -j DENY/sbin/ipchains -A input/sbin/ipchains -A input

Multicast addresses

-p udp -d $ANY 68 -j DENY-s 224.0.0.0/8 -j DENY

#

#tttt bootptttt

##tttt Allow private network outtttttt allow all packets on the loopback Ínterface/sbin/ipchains -A input -i lo -j ACCEPT

# allow all packets from the Ínternal "trusted" Ínterface/sbin/ipchains -A input -i SPRIVATE -s $PRIVATENET -d $ANY -j

ACCEPT/sbin/ipchains -A input -i SPRIVATE -d $ALLONES -j ACCEPT

t### Allow Outside Services into the firewall (if you daré)

# allow ICMP/sbin/ipchains -A input -p icmp -j ACCEPT# allow TCP/sbin/ipchains -A input -p tcp ! -y -j ACCEPT

# allow lookups to DNS (on firewall)/sbin/ipchains -A input -p udp -s $DNS1 domain -d $ANY 1023: -j

ACCEPT/sbin/ipchains -A input -p udp -s $DNS2 domain -d $ANY 1023: -j

ACCEPT# or (BETTER IDEA) run a caching DNS server on the router and

use the# following two lines instead...# /sbin/ipchains -A input -p udp -s $DNS1 domain -d $ANY domain

-j ACCEPT# /sbin/ipchains -A input -p udp -s $DNS2 domain -d $ANY domain

-j ACCEPT

# uncomment the following to allow ssh in/sbin/ipchains -A input -p tcp -d $ANY 22 -j ACCEPT

# uncomment the following to allow telnet in (BAD IDEA!!)/sbin/ipchains -A input -p tcp -d $ANY telnet -j ACCEPT

# uncomment to allow NTP (network time protocol) to router# /sbin/ipchains -A input -p udp -d $ANY ntp -j ACCEPT

tt uncomment to allow SMTP in (not for mail clients - only aserver)

/sbin/ipchains -A input -p tcp -d $ANY smtp -j ACCEPT

# uncomment to allow POP3 in (for mail clients)/sbin/ipchains -A input -p tcp -d $ANY 110 -j ACCEPT

# allow auth in for sending mail or doing ftp/sbin/ipchains -A input -p tcp -d $ANY auth -j ACCEPT

# uncomment to allow HTTP in (only if you run a web server onthe router)

/sbin/ipchains -A input -p tcp -d $ANY http -j ACCEPT

# uncomment to allow FTP in/sbin/ipchains -A input -p tcp -d $ANY ftp -j ACCEPT

## Masquerading stuff

# masquerade packets forwarded frorn internal network

/sbin/ipchains -A forward -s SPRIVATENET -d $ANY -j MASO

## deny EVERYthing else and log them to /var/log/messages

/sbin/ipchains -A input -1 -j DENY

# Remove the Plug/sbin/ipchains -D input 1

stop)action "Stoping firewall: " /bin/trueecho O > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward

echo

restart)action "Restarting firewall: " /bin/true$0 stopSO start

echo

status)# List out settings/sbin/ipchains -L

test)

## This is about as simple as it gets#tt (This is not secure AT ALL)action "WARNING Test Firewall: " /bin/true/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forwardecho 1 > /proc/sys/net/ipv4 /ip_f orward/sbin/ipchains -A input -j ACCEPT/sbin/ipchains -A output -j ACCEPT/sbin/ipchains -P forward DENY/sbin/ipchains -A forward -i $PUBLIC -j MASQ

echo

echo "Usage: $0 {startI stop I restartI status(test)exit 1

esac

16. APPENDEX B - An VPN RC Script for RedHat

#!/bin/sh## vpnd This shell script takes care of starting and stoppingt vpnd (Vertual Privage Network connections).## chkconfig: - 96 96# description: vpnd#

# Source function library.. /etc/rc.d/init.d/functions

# Source networking configuration.. /etc/sysconfig/network

# Check that networking is up.[ ${NETWORKING} = "no" ] && exit O

[ -f /usr/sbin/vpnd ] || exit O

[ -f /etc/vpnd.conf ] || exit O

RETVAL=0

# See how we were callad,case "$1" in

start)# Start daemons.echo -n "Starting vpnd: "daemon vpndRETVAL=$?[ $RETVAL -eq O ] && touch /var/lock/subsys/vpndecho

stop)# Stop daeraons.echo -n "Shutting down vpnd: "killproc vpndRETVAL=$?[ $RETVAL -eq O ] && rm -f /var/lock/subsys/vpndecho

restart)$0 stop$0 start/ i

*)echo "Usage: vpnd {start|stop|restart}"exit 1

esac

ANEXO A7

CARACTERÍSTICAS DE ROUTER CISCO2500 Y SWITCH CISCO 1548M

Cisco 2500 Series — Fixed and Modular Access Routers

Product OverviewThe Cisco 2500 series routers provide a variety of models designed for branch office and remote site environments. Theserouters are typically fixed configuration with at least two of the following interfaces:

• Ethernet (AUI)

• lOBaseT Ethernet hub

• Token Ring

• Synchronous serial

• Asynchronous serial

• ISDNBRI

Key Features and BenefitsCisco 2500 routers come with Flash EPROM technology for simplified software maintenance. These systems support avariety of Cisco IOS software feature sets, so you can choose a feature set that supports your specific protocol environment.The software feature sets range from an IP and bridging-only to the full array of Cisco's software functionality, includingAPPN and RMON.

Mission-specific models contain less memory and less hardware functionality to support a subset of protocols. Each mission-specific model can be upgraded to full router capability by downloading a new Cisco IOS software feature set and, ifnecessary, adding memory.

Cisco 2500 series models can be divided into the following categories:

• Single LAN routers — Models 2501, 2502,2503, 2504, 2520, 2521, 2522 and 2523

• Mission-specific, entry-level routers — Models 2501CF, 2501LF, 2502CF, 2502LF, 25031, 25041, 2520CF, 2520LF,2521CF, 2521LF, 2522CF, 2522LF, 2523CF and2523LF

• Router/hub combinations — Models 2505, 2507 and 2516

• Access servers — Models 2509 to 2512 (refer to the "Cisco 2500 Series Access Servers" section in the "Access Servers"chapter in the catalog)

• Dual LAN routers — Models 2513, 2514 and 2515

• Modular routers — Models 2524 and 2525 (optional integrated DSU/CSU or NT-1)

Specifications

HardwareAll the Cisco 2500 series models support the features usted in the following table.


Table 18-92: Tech nica I Speclfications for Cisco 2500 Serles

Descriptlon Speciftcatlon

Flash memory Mínimum of 8 MB of Flash memory, except for the mission-specific routers which require only4 MB of Flash memory. However, depending on the Cisco IOS reléase that shipped with thcsystem, it might require more memory. Refer to the "Cisco IOS Software" chapter for themínimum Flash memory required foreach feature set.

DRAM memory expandability

Processor type

Minimum DRAM required by the Cisco IOS reléase that shipped wíth the system. Refer to the"Cisco IOS Software" chapter for the mínimum DRAM required for each feature set.

20 MHz 68030

Software options — Cisco IOSReléase 11.2

IP Routing

IP Routing Plus

IP/IPX with IBM base functionality and APPN

Desktop (IP/IPX/AppleTalk/DEC)

Desktop (IP/IPX/AppleTalk/DEC) Plus

Enterprise

Enterprise Plus

Enterprise/APPN/Plus

Mission-specific Cisco 2500 series: application-specific software

Software options — Cisco IOSReléase 11.1 and 11.0

IP Routing

IP Routing with IBM base functionality

IP/IPX Routing

IP/IPX Routing with IBM base functionality

IP/IPX with IBM base ftinctionality and APPN

Desktop

Desktop with IBM base functionality

Enterprise

Enterprise/APPN

RMON

Mission-specific Cisco 2500 series: application-specific software

Standard components Power supply and cord

Consolé cable kit

RJ-45-to-DB-9 adapter

19 in. rack-mount/wall-mount kit

1. If your systcm rcquircs more than 8 MB of Flash mcmory, thc additional mcmory must be ordcrcd scparalcly.2. This feature set ¡s availablc with Cisco IOS Reléase 11.Oandlatcrrcleascs.3. Thc consolé cable kit includcs an RJ-45-to-RJ-45 roll-ovcr consolé cable, an RJ-45-to-DB-25 malc DCE adaptcr, an RJ-45-to-DB-25 fcmalcDTE adapter, and an RJ-45-to-DB-9 femate DTE adapter

Table 18-93: Physical and Environmental Speciflcations for Cisco 2500 Serles

Descrlption Specff I catión

Consumption Formodels 2501 to 2525: 40W

Input Formodels 2501 to 2516 and 2520 to 2525: 110 to 220 VAC, 50 to 60 Hz -48 VDC

Current rating For models 2501 to 2516 and 2520 to 2525: I .OA at 60 Hz, 0.5A at 50 Hz

Operating temperature range For models 2501 to 2516 and 2520 to 2525: 32 to 104T (O to 40'C)

S tora ge temperatura range For models 2501 to 2516 and 2520 to 2525: -10 to 185T (-40to 85°C)

Humidity (noncondensing) For models 2501 to 2525: 5 to 95%

Dimensions (H x W x D) Models 2501 to 2516 and 2520 to 2525: l .75x 17.5 x 10.56 in. (4.44 x 44.45 x 26.82 cm)

Weight (average shipping) Models 2501 to 2516 and 2520 to 2525: IO Ib. (4.5 kg)

2 Cisco Product Catalog, October, 2001

OptionsThe Cisco 2500 series routers are discussed in the following scctions:

* Memory Options

* Single LAN Routers

* Mission-Speciríc Routers

* Router/Hub Combinations

* Access Servers

* Dual LAN Routers

* Modular Routers

* Hardware Product Numbers

Memory OptionsAll Cisco 2500 models include a mínimum of 8 MB of Flash memory, except for the mission-specific routers which include4 MB or 8 MB of Flash memory, depending upon the Cisco IOS software reléase you order. Additional Flash memory canbe purchased to allow for dual banking or potcntial ñiture code growth.

There are two types of DRAM memory in the Cisco 2500 series routers: primary and shared (packet). Primary memory isused to store the operating configuraron, routing tables, caches, and queues. Shared memory is used to store incoming andoutgoing packets, In the table below, the physical configuration column lists the amount of DRAM SIMM memorysupported. The system usage column lists how the system allocates the total DRAM memory installed.

Table 18-94: Shared and Primary DRAM Memory for Cisco 2500 Seríes

Total DRAM Memory

4MB

8MB

I6MB

Physical Configuraron

DRAM SIMM

4MB

8MB

16 MB

System Usage

Shared DRAM Memory

2MB

2MB

2MB

Primary DRAM Memory

2MB

6MB

14 MB

Single LAN RoutersEach Cisco 2501, 2502, 2503, 2504, 2520, 2521, 2522, and 2523 machine contain the common Cisco 2500 series featurcsusted in the following table.

Note This section discusses standard models. The mission-specific models are described in the "Míssion-Specific Routers"section later in this chapter.


Table 18-95: Single LAN Router Network Interfaces

Model

Cisco 250 1

Cisco 2502

Cisco 2503

Cisco 2504

Cisco 2520

Cisco 252 1

Cisco 2522

Cisco 2523

Ethernet

I

0

I0

I0

I0

Token Ring0

I0

I0

I0

I

Low-Speed Serial1

0

0

0

0

2

2

8

8

Serial2

2

2

2

2

2

2

2

2

ISDN BRI

0

0

111111

1. Synchronous and asynchronous.2. Synchronous.

Figure 18-24: Cisco 2501 RearVIew

DB-15 DB-60 RJ-45 On/off Powerswitch

Figure 18-25: Cisco 2502 RearVIew

í íDB-9 DB-60 RJ-45 On/off Power

switch


Figure 18-26: Cisco 2503 Rear Vlew

t f t f tDB-15 DB-60 RJ-45 On/off Power

switch

Figure 18-27: Cisco 2504 Rear View

DB-9 DB-60 RJ-45í t

On/off Powerswitch


DB-60 DB-60 DB-15 RJ-45 On/off Powerswitch


t t t tDB-60

! t! V t tDB-9 UTP ISDN RJ-45 On/off Power

Token Ring (BRI) switch



DB-60í tí V t í

DB-15 10BaseT RJ-45 On/off PowerISDN switch(BRI)


DB-60

ít V t tDB-60 DB-15 UTP ISDN RJ-45 On/off Power

Ethernet (BRI) switch

Mission-Specific RoutersMission-specific routers are entry-level routers that are based on standard Cisco 2500 hardware. However, mission-specificrouters contain less memory than standard models and run reduced software images designed for CFRAD, LAN FRAD, andISDN applications. These reduced software images disable unused ports. Mission-specific routers can be upgraded to fullstandard-model functionality by purchasing additional software and memory.

Table 18-96: Mission-Specific Router Network Interfaces

Model

Cisco 2501CF

Cisco 250 1 LF

Cisco 2502CF

Cisco 2502LF

Cisco 25031

Cisco 25041

Cisco 2520CF

Cisco 2520LF

Cisco 252ICF

Cisco 252 1LF

Cisco 2522CF

Cisco 2522LF

Ethernet

Software disabled

1

0

0

1

25 1 6: hardware :interfaces>0

Software disabled

I

0

0

Software disabled

1

Token Ring

0

0

Software disabled

1

0

1

0

0

Software disabled

1

0

0

Serial

2

2

2

2

Software disabled

Software disabled

2

2

2

2

2

2

Low-Speed Serial

0

0

0

0

0

0

2

2

2

2

8

8

ISDN BRI

0

0

0

0

1tSoftware disabled

Software disabled

Software disabled

Software disabled

Software disabled

Software disabled

6 Cisco Product Catalog. October, 2001

Model Ethernet Token Ring Serial Low-Speed Serial ISDN BRI

Cisco 2523CF O Software disabled Software disabled

Cisco 2523LF Software disabled

Router/Hub CombinationsThe Cisco 2505, 2507, and 2516 support integrated hub ftlnctionality as well as all the common features listed inTable 11-89. In addition, these models support the interfaces listed in the following table.

Table 18-97:10BaseT Hub Ports for Cisco 2500 Series

Model

Cisco 2505

Cisco 2507

Cisco 25 16

Serial

2

2

2

Hub Ports

8

16

14

ISDN BRI

0

0

1


FU-45t , t U t t

DB-60 RJ-45 On/off Powerswitch


í íRJ-45 DB-60 RJ-45 On/off Power

switch



LJ t tRJ-45

MDI/MDI-Xswitch

BRI DB-60 DB-60 RJ^t5 On/off Powerswitch

Access ServersThe Cisco 2509 25! O 2511, and 2512 are designed to function as access servers for remote node and asynchronous/For complete informador,, refer to the "Access Se^ers" chapter ui the cataiog.

ROUtT C i s c o 2 5 I3,25l4,and25,5providehigher-densityLAN

Table 18-98: Dual LAN Router Interface Options

Ethernet Token Ring


DB-9 DB-15 DB-60

í í í tRJ-45 On/off Power

switch

8 Cisco Product Catalog. October, 2001


DB-15 DB-15 DB-60í t t tRJ-45 On/off Power

switch


DB-9 DB-9 DB-60í t t tRJ-45 On/off Power

switch

Modular RoutersThe Cisco 2524 and 2525 provide LAN and WAN access in a low-cost modular router platform that can grow with yourinternetworking needs. The Cisco 2524 offers an Ethernet (AUI or lOBaseT) LAN connection, and the Cisco 2525 offers aToken Ring (STP or UTP) LAN connection. Both routers can accommodate up to three WAN modules — two synchronousserial and one ISDN.

The choice of synchronous serial WAN modules is as follows:

• 2-wire, switched, 56-kbps DSU/CSU

• 4-wire, 56/64-Kbps DSU/CSU

• Fractional TI/TI DSU/CSU

• Five-in-one synchronous serial

Note The five-in-one synchronous serial WAN module gets its ñame from the five types of signaling it supports, whichinclude: EIA/TIA-232, EIAATIA-449, V.35, X.21 and EIA-530. You can order a DB-60 shielded serial transition cable. Therouter end of the cable has a DB-60 connector; the other end of the cable has the appropriate connector for the standardinterface you specify.

The choice of ISDN WAN modules is as follows:

• ISDNBRI

• ISDN with integrated NT1 device

The ISDN WAN modules are keyed so that you cannot insert them into the synchronous serial WAN slots. A blank slot coveris installed over unused slots.



port (DB-15)LED

On/offswitch

Power

(RJ-45)Ethernet 10BaseT Auxilian/link LED port port

(RJ-45) (RJ-45)


F j ----- — - - , -i -j — — — _ -. _ . ..

£-•" " ^-^-^^^S^" H-t

Token Ringport (DB-9)

Token

/ T '

LANactivity

Ringin-ring LED

Consoléport

(RJ-45)

. finí'--• 1 f])

t fOn/off Poweswitch

Auxilian/UTP portPOft (RJ-45)

(RJ-45)

Figure 18-40: 2-WÍre, Switched, 56-Kbps DSU/CSU WAN Module

TranLE

'

^ 2-WIRE f1! I I III1! C® 56K l l ! l 1 1 1 OA DSU/CSU ..r CD C

aPtive RJ-11 CarrierdetectLED

RecLE

smitD

LoopbackLED

I

f 1 ^X LB

5 ° ®[

x 2 t

Alarm Captív

LED SCre^

eiveID


Figure 18-41: 4-Wire, 56/64-kbps DSU/CSU WAN Module

TranLE

i_J l_ T

4-WIRE r V, Cíl£) 56K/64K j OA DSU/CSU Ln_l__J-i ' CD C

( r = i | " >

Sew6 RJ-*88 CarrierdetectLED

RecLE

smitD

LoopbackLED

f y iX LB1 O C

(íüíi

) O AX AL _ _l í VZ117 |

Alarm CaPtiv

LED

siveD

Figure 18-42: Fractional T1/T1 DSU/CSU WAN Module

TransmitLED

LoopbackLED

© F

A c

aptiveicrew

MON JACK

Tim O Osu/es u ^--/ ^^

v ,q IN | OUTC )

NET' i

Monitor

iT

° cCD ^

t R>k

Carrier.„» detect

r | íX LB"} C} ¿

(3£i) O A

Alarm CaptivLED screw

LEDReceive

LED

Figure 18-43: ISDN BRI WAN Module

(£) ISDN-BRIA 1J

A sn-

aptive RJ-45screw

Q ACTIVITY A [

T r i1 1

ISDN BRI Captlv

activity LED screvv

V/s/í Cisco Connection Online at www.cisco.com 11

Figure 18-44: ISDN BRI with Integrated NT1 WAN Module

ISDN-BRIwith NTI

ACT NTI

O O

Captivescrew RJ-45

Captivescrew

Figure 18-45: Five-ln-One Synchronous Serial WAN Module

SERIAL'( ) ACTIVITY

Captivescrew DB-60 Serial

activity LED

Captivescrew

Figure 18-46: Blank Slot Cover

BLANK

Do not plug/unplug modules with power on.

Captivescrew

Captivescrew

Refer to the "Cisco IOS Software" chapter for detailed software feature set information.



Where to buy Cisco producísVisit http://www.ci sco.com/public/orderi ng_info.shtml


Part Numbers for the Cisco 2500 Serles


Cisco 2500 Seríes Products

Cisco 2501 Ethernet/Dual Serial Router CISCO250I

Cisco 2501 Ethernet/Dual Serial Router-DC

CISCO250I-DC

Cisco 2503 Ethernet/Dual Serial/ISDN-BRIRouter

CISCO2503

Cisco 2503 Ethernet/Dual Serial/ISDN-BRIRouter-DC

CISCO2503-DC

Cisco 2503 Ethernet/Dual Serial/ISDN-BRI Router

C1SCO2503I

Cisco 2503 Ethernet/Dual Serial/ISDN-BRI Router-DC

CISCO2503I-DC

Cisco 2507 Ethernet (16 UTP Hub Ports}/Dual Serial Router

CISCO2507

Cisco 2507 Ethernet (16 Hub Ports)/DualSerial Router-DC

CISCO2507-DC

Ethernef dual serial/8 asynch router C1SCO2509-CH

Cisco 2514 Dual Ethernel/Dual SerialRouter

CISCO2514

Cisco 2514 Dual Ethernet/Dual SerialRouter-DC

CISCO2514-DC

Cisco 2520 Ethemet/4-Port Serial/ISDNRouter

CISCO2520

Cisco 2520 Ethernet/4-Port Serial/ISDNRouter-DC

C1SCO2520-DC

Cisco 2524 Ethernet/Modular 3-Port SerialRouter

CISCO2524

Modular router with 3 Open Slots CISCO2524-CH

Cisco 2524 Ethernet/Modular 3-Port SerialRouter

CISCO2524-DC

Cisco 2500 Routers wlth 1P Software

Ethernet/dual serial router C1SCO2501-CH

Ethernet/dual serial/ISDN/BRI router CISCO2503-CH

Ethernet (16-port hub)/dual serial router CISCO2507-CH

Dua! Ethernet/dual serial router CISCO2514-CH

Ethernet/dual serial/dual asynch/synch/ISDN/BRI

CISCO2520-CH

Modular router with 3 Open Slots CISCO2524-CH

Cisco 2524/2525 Optional WANInterface Modules


Part Descriptlon

Cisco 2524/25 2-Wire 56Kbps DSU/CSUInterface

Cisco 2524/25 2-Wirc 56Kbps DSU/CSUInlerface

Cisco 2524/25 4-Wire 56/64Kbps DSU/CSU Interface

Cisco 2524/25 4-Wire 56/64Kbps DSU/CSU Interface

Cisco 2524/25 Fraclional/Full T-l DSU/CSU Interface

Cisco 2524/25 T1/FT1 DSU/CSU

Cisco 2524/25 ISDN-BRI with SAT busInterface

Cisco 2524/25 ISDN-BRI with U busInterface

Cisco 2524/25 Blank Module

Cisco 2524/2525 Blank Module - Spare

Part Number

SM25-56K2

SM25-56K2=

SM25-56K4

SM25-56K4=

SM25-T1

SM25-TI =

SM25-BRI-S/T

SM25-BRI-U

SM25-BLANK.

SM25-BLANK=

Cisco 2500 Series (all but 2517, 2518,2519) Memory Optlons

Optional 4 MB of DRAM Memory



Optional l ó M B o f D R A M Memory

Optional l ó M B o f D R A M Memory

Optional 4 MB Flash Memory

Optional 8 MB Flash SIMM

Optional 8 MB Flash Memory

MEM-lX4D=

MEM-IX8D

MEM-lX8D=

MEM-IXI6D

MEM-IXI6D=

MEM-IX4F=

MEM-1X8F

MEM-IX8F=

Cisco 2500 Seríes Memory Optlons

4MB-to-8MB DRAM SIMM FactoryUpgrade for Cisco 2500 seríes

4MB-IO-I6MB DRAM SIMM FactoryUpgrade for Cisco 2500 series

8MB-IO-16MB DRAM SIMM FactoryUpgrade for Cisco 2500 series

8MB-to-I6MB Flash SIMM FactoryUpgrade for Cisco 2500 seríes

MEM2500-4U8D

MEM2500-4U16D

MEM2500-8UI6D

MEM2500-8UI6F

Cisco 2500 Seríes Optlons andAccessoríes

Auxiliary/Console Port Cable Kít

AUX/Console Part Cable Kit

RACK-MOUNT KIT, I9INCHES

RACK-MOUNT KIT, 24 INCHES

RPS Field Upgrade for 2500

IGS-RXBOOT (2500)

Cisco 2500 local loopback serial DB-60adapter

ACS-2500ASYN

ACS-2500ASYN-

ACS-2500RM-l9=

ACS-2500RM-24=

ACS-2500RPS=

BOOT-2500=

CAB-2500-LLADAPT

Cisco 2500 local loopback seria! DB-60adapter

CAB-2500-LLADAPT-



18 Inch Ethernet Adaptor Cable CAB-3CE18=

V.35 Cable, DTE, Male, 10 Feet CAB-V35MT

V.35 Cable, DTE, Male, 10 Feet CAB-V35MT=

V.35 Cable, DCE, Female, 10 Feet CAB-V35FC

V.35 Cable, DCE, Female, 10 Feet CAB-V35FC=

RS-232 Cable, DTE, Male, 10 Feet CAB-232MT

RS-232 Cable, DTE, Male, 10 Feet CAB-232MT=

RS-232 Cable, DCE, Female, 10 Feet CAB-232FC

RS-232 Cable, DCE, Female, 10 Feet CAB-232FC=


RS-449 Cable, DTE, Male, 10 Feet CAB-449MT=

RS-449 Cable, DCE, Female, 10 Feet CAB-449FC

RS-449 Cable, DCE, Female, 10 Feet CAB-449FC=

X.21 Cable, DTE, Male, 10 Feet CAB-X21MT

X.2I Cable, DTE, Male, 10 Feet CAB-X21MT-

X.21 Cable, DCE, Female, 10 Feet CAB-X21FC

X.21 Cable, DCE, Female, 10 Feet CAB-X21FC=


Male DTE RS-530 Cable, 10 foot CAB-530MT=

Cisco 2500 Serles Power SupplyOptlons

Cisco 2500 AC Power Supply Spare PWR-2500-AC=

Cisco 2500 DC Power Supply Spare PWR-2500-DC=

Cisco 2500 Serles Software Optlons -Models 2501-2525

Cisco 2500 Series IOS IP/H323 S25CU-I2105XM

Cisco 2500 Series IOS 1P/H323 S25CU-l2l05XM=

Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56

S25AHL-12106


S25AHL-12l06=


S25AHL-12107


S25AHL-l2107=

Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56

S25AL-12I06


S25AL-I2I06=


S25AL-12107


S25AL-I2107=

Cisco 2500 Series IOS ENTERPRISEPLUS

S25AP-12I06


S25AP-12I06=


Part Descríptlon Part Number


S25AP-12I07


S25AP-I2107-

Cisco 2500 Series !OS IP/IPX/AT/DEC S25B-I2106

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I06=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2107

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12I07=

Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS

S25BHP-12106


S25BHP-12106=


S25BHP-12I07


S25BHP-12I07=

Cisco 2500 Series IOS IP/IPX/AT/DECPLUS

S25BP-12106


S25BP-12106=


S25BP-12I07


S25BP-12107=

Cisco 2500 Series IOS IP S25C-I2106

Cisco 2500 Series IOS IP S25C-I2106=

Cisco 2500 Series IOS IP S25C-I2107

Cisco 2500 Series IOS IP S25C-12I07=

Cisco 2500 Series IOS IP/FW S25CH-12I06


S25AHL-12I05

Cisco 2500 Series IOS IP/FW S25CH-12I06=

Cisco 2500 Series IOS IP/FW S25CH-I2107

Cisco 2500 Series IOS IP/FW S25CH-12I07=

Cisco 2500 Series IOS IP/FW PLUSIPSEC 56

S25CHL-I2106


S25CHL-I2106=


S25CHL-I2107


S25CHL-I2I07=

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12106

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12106=


Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12I07=

Cisco 2500 Series IOS IP PLUS S25CP-I2I06

Cisco 2500 Series IOS IP PLUS S25CP-I2106=


Part Descrlption Part Number

Cisco 2500 Series IOS IP PLUS S25CP-I2107

Cisco 2500 Series IOS IP PLUS S25CP-I2107=

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-I2I06

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12106=

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12107


Cisco 2500 Series IOS IP/H323 S25CU-I2106

Cisco 2500 Series IOS IP/H323 S25CU-12106=

Cisco 2500 Series IOS IP/H323 S25CU-12107


Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE

S25D2-I2106


S25D2-12106=


S25D2-12107


S25 02-12107=

Cisco 2500 Series IOS REMOTE ACCESSSERVER

S25E-12106


S25E-12106=


S25E-12107


S25E-12107=

Cisco 2500 Series IOS FRAD S25F-12106=


Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12I06=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12107=

Cisco 2500 Series IOS LAN FRAD S25F4-12106=

Cisco 2500 Series IOS LAN FRAD S25F4-12I07=

Cisco 2500 Series IOS ISDN S25I-12106

Cisco 2500 Series IOS ISDN 5251-12106=

Cisco 2500 Series IOS ISDN S25I-12I07


Cisco 2500 Series IOS SERVICEPROVIDER WITH PT/TARP

S25Z7-I2I06=

Cisco 2500 Series IOS SERVICEPROV1DER WITH PT/TARP

S25Z7-12107=


S25AHL-12I05=


S25AL-12105


S25AL-12105=


S25AP-12105




S25AP-12105=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12105

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12105=


S25BHP-12105


S25BHP-12105=

Cisco 2500 Series IOS 1P/1PX/AT/DECPLUS

S25BP-12105


S25BP-12105=

Cisco 2500 Series IOS IP S25C-12I05

Cisco 2500 Series IOS IP S25C-12105=

Cisco 2500 Series IOS 1P/FW S25CH-12105

Cisco 2500 Series IOS IP/FW S25CH-12105=


S25CHL-12I05


S25CHL-12105=


S25AHL-12104

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2105

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12I05=

Cisco 2500 Series IOS IP PLUS S25CP-12105

Cisco 2500 Series IOS IP PLUS S25CP-12105=

Cisco 2500 Series IOS IP/1BM/SNASW S25CRIS-I2I05





S25D2-12105


S25D2-12¡05=


S25E-12105


S25E-I2I05=

Cisco 2500 Series IOS FRAD S25F-12I05=


Cisco 2500 Series IOS LAN FRAD S25F4-I2I05=


Cisco 2500 Series IOS ISDN S25I-12105=

Cisco 2500 Series IOS SERVICEPROVIDER W1TH PTATARP

S25Z7-12105=

Cisco 25FX Series IOS FIXED FRAD-S ERIAL

SFRADF1-12106=


Part Descríption Parí Number

Cisco 25FX Series IOS FIXED FRAD-SERIAL

SFRADF1-12107=

Cisco 25FX Series IOS FIXED LANFRAD/OSPF

SFRADF2-I2106=


SFRADF2-12107=

Cisco 25FX Series IOS FIXED LANFRAD/EIGRP

SFRADF3-12106=


SFRADF3-I2107=

Cisco 25FX Series IOS FIXED FRAD-SER1AL

SFRADF1-12.0.15=


SFRADF1-I2.0.I6-


SFRADF2-12.0.15=


SFRADF2-12.0.16=


SFRADF3-12.0.15=


SFRADF3-12.0.I6=


SFRADFI-12105T=


SFRADF2-12105T-


SFRADF3-12I05T=


SFRADF1-12105=


SFRADF2-12I05=


SFRADF3-12105=


S25AHL-12I04=


S25AL-I2I04


S25AL-12I04=


S25AP-I2104


S25AP-12104=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I04

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2104=


S25BHP-I2104


S25BHP-I2104=


S25BP-I2104




S25BP-12104=

Cisco 2500 Series IOS IP S25C-12104

Cisco 2500 Series IOS IP S25C-I2I04=

Cisco 2500 Series IOS IP/FW S25CH-I2104

Cisco 2500 Series IOS IP/FW S25CH-12!04=

Cisco 2500 Series IOS IP/FW PLUSIPSEC56

S25CHL-12104


S25CHL-I2I04=


Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12104=

Cisco 2500 Series IOS IP PLUS S25CP-12104

Cisco 2500 Series IOS IP PLUS S25CP-12104=

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-I2I04


S25AHL-12.0.12


S25AHL-I2.0.I3=


S25AHL-12.0.14


S25AHL-I2.0.14=


S25AHL-I2.0.15


S25AHL-12.0.15=


S25AHL-I2.0.16


S25AHL-I2.0.I6=


S25AL-I2.0.13=


S25AL-12.0.14


S25AL-12.0.14=


S25AL-I2.0.I5


S25AL-12.0.15=


S25AL-12.0.I6


S25AL-12.0.I6=

Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56

S25ANL-I2.0.13=


S25ANL-12.0.14


S25ANL-I2.0.14=




S25ANL-I2.0.15


S25ANL-12.0.15=


S25ANL-12.0.I6


S25ANL-12.0.16=


S25AP-12.0.13=


S25AP-12.0.14


S25AP-12.0.14=


S25AP-12.0.15


S25AP-12.0.15=


S25AP-I2.0.I6


S25AP-I2.0.16=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.13=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.14

Cisco 2500 Series IOS IP/IPX/AT/DEC 8258-12.0.14=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.15

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.I5=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.I6

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.16=


S25BL-I2.0.13=


S25BL-I2.0.I4


S25BL-12.0.I4=


S25BL-12.0.I5


S25BL-12.0.I5=


S25BL-12.0.16


S25BL-12.0.16=


S25BP-12.0.13=


S25BP-12.0.14


S25BP-12.0.14=


S25BP-12.0.15


Part Dése ription Parí Number


S25BP-12.0.15=


S25BP-12.0.16


S25BP-12.0.I6=

Cisco 2500 Series IOS IP S25C-12.0.!3=

Cisco 2500 Series IOS IP S25C-12.0.14

Cisco 2500 Series IOS IP S25C-12.0.14=





Cisco 2500 Series IOS IP/IPX PLUS S25CBP-12.0.15=

Cisco 2500 Series IOS IP/IPX PLUS S25CBP-I2.0.I6

Cisco 2500 Series IOS IP/IPX PLUS S25CBP-!2.0.16=

Cisco 2500 Series IOS IP/FW S25CH-!2.0.I3=

Cisco 2500 Series IOS IP/FW S25CH-12.0.I4

Cisco 2500 Series IOS IP/FW S25CH-12.0.14=

Cisco 2500 Series IOS IP/FW S25CH-12.0.15

Cisco 2500 Series IOS IP/FW S25CH-12.0.I5=

Cisco 2500 Series IOS IP/FW S25CH-I2.0.I6

Cisco 2500 Series IOS IP/FW S25CH-I2.0.I6=


S25CHL-12.0.I3=


S25CHL-12.0.14


S25CHL-12.0.I4=


S25CHL-I2.0.I5


S25CHL-12.0.15=


S25CHL-12.0.16


S25CHL-12.0.16=

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I3=

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I4


Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.15



Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.16=

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.13=

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.I4


Part Description Parí Number

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.14-

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.I5


Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.I6


Cisco 2500 Series IOS 1P PLUS S25CP-12.0.I3-

Cisco 2500 Series IOS 1P PLUS S25CP-12.0.I4

Cisco 2500 Series IOS 1P PLUS S25CP-12.0.14=

Cisco 2500 Series IOS IP PLUS S25CP-12.0.I5

Cisco 2500 Series IOS IP PLUS S25CP-12.0.15=

Cisco 2500 Series IOS IP PLUS S25CP-12.0.I6

Cisco 2500 Series IOS IP PLUS S25CP-12.0.I6=

Cisco 2500 Series IOS IP/IBM/SNASW S25CR15-12104=



Cisco 2500 Series IOS ÍP PLUS 40 S25CW-12.0.13=

Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.14

Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.14=





Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.13=

Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.14


Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.I5


Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.16

Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.I6=

Cisco 2500DD Series IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE

S25D2-12104


S25D2-I2104=


S25E-12.0.13=


S25E-12.0.14


S25E-I2.0.14=

Cisco 2500 Seríes IOS REMOTE ACCESSSERVER

S25E-12.0.I5


S25E-12.0.15=


S25E-I2.0.16




S25E-12.0.16=


S25E-12104


S25E-12104=

Cisco 2500 Series IOS FRAD S25F-12.0.13=



Cisco 2500 Series IOS FRAD S25F-I2.0.I6=

Cisco 2500 Series IOS FRAD S25F-I2104=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-I2.0.I3=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12.0.I4=




Cisco 2500 Series IOS LAN FRAD S25F4-12.0.I3=

Cisco 2500 Series IOS LAN FRAD S25F4-12.0.14=

Cisco 2500 Series IOS LAN FRAD S25F4-I2.0.I5=

Cisco 2500 Series IOS LAN FRAD S25F4-I2.0.16=

Cisco 2500 Series IOS LAN FRAD S25F4-I2104=

Cisco 2500 Series IOS ISDN S25I-I2.0.13=

Cisco 2500 Series IOS ISDN S25I-I2.0.14

Cisco 2500 Series IOS ISDN 5251-12.0.14=

Cisco 2500 Series IOS ISDN S25I-I2.0.15


Cisco 2500 Series IOS ISDN S25I-12.0.16




Cisco 2500 Series IOS SERVICEPROVIDER WITH PTATARP

S25Z7-12104


S25Z7-I2104=


S25AHL-I2.0.I2=


S25AL-12.0.12


S25AL-12.0.I2=


S25ANL-I2.0.I2


S25ANL-I2.0.12=


S25AP-I2.0.12




S25AP-I2.0.12=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.I2

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.I2=


S25BL-I2.0.12


S25BL-12.0.12=


S25BP-12.0.12


S25BP-I2.0.12-

Cisco 2500 Series IOS IP S25C-I2.0.12

Cisco 2500 Series IOS IP S25C-I2.0.12=

Cisco 2500 Series IOS IP/FW S25CH-I2.0.I2

Cisco 2500 Series IOS IP/FW S25CH-12.0.I2=


S25CHL-I2.0.12


S25CHL-Í2.0.12=


Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.12=

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.12

Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.12=

Cisco 2500 Series IOS IP PLUS S25CP-I2.0.I2

Cisco 2500 Series IOS 1P PLUS S25CP-I2.0.12=

Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.I2

Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.I2=

Cisco 2500 Series IOS IP PLUS 56 S25CY-I2.0.I2

Cisco 2500 Series IOS IP PLUS 56 S25CY-I2.0.12=


S25E-12.0.12


S25E-12.0.12=


Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12.0.12=

Cisco 2500 Series IOS LAN FRAD S25F4-12.0.12=

Cisco 2500 Series IOS ISDN S25I-12.0.12



S25AHL-12102


S25AHL-12103T


S25AHL-12103T=


S25AHL-12I05T


Part Descrlption

Cisco 2500 Series IOS ENTERPR1SE/FWPLUS 1PSEC 56

Cisco 2500 Series IOS ENTERPRISEPLUSIPSEC56

Cisco 2500 Series IOS ENTERPRISEPLUS 1PSEC 56







Cisco 2500 Series IOS IP/IPX/AT/DEC












Cisco 2500 Series IOS 1P




Cisco 2500 Series IOS 1P/FW

Cisco 2500 Series IOS 1P/FW

Cisco 2500 Series IOS IP/FW




Part Number

S25AHL-12105T=

S25AL-12103T

S25AL-12103T=

S25AL-12105T

S25AL-12105T=

S25AP-12103T

S25AP-12103T=

S25AP-I2105T

S25AP-I2105T=

S25B-12I03T

S25B-12103T=

S25B-I2I05T

S25B-12I05T=

S25BHP-12I03T

S25BHP-12103T=

S25BHP-12105T

S25BHP-12I05T=

S25BP-I2103T

S25BP-12103T=

S25BP-I2I05T

S25BP-I2I05T=

S25C-12103T

S25C-12103T=

S25C-12105T

S25C-12105T=

S25CH-I2103T

S25CH-12103T=

S25CH-I2105T

S25CH-12105T=

S25CHL-12103T

S25CHL-12103T=




S25CHL-12105T


S25CHL-I2I05T=

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2I03T

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12!03T=

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2105T

Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12105T=

Cisco 2500 Series IOS IP PLUS S25CP-I2I03T

Cisco 2500 Series IOS IP PLUS S25CP-12I03T=

Cisco 2500 Series IOS IP PLUS S25CP-12I05T

Cisco 2500 Series IOS IP PLUS S25CP-12105T=

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12103T

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12103T=

Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12I05T

Cisco 2500 Series IOS IP/IBM/SNASW S25CR1S-12105T=

Cisco 2500 Series IOS IP/H323 S25CU-12I03T

Cisco 2500 Series IOS IP/H323 S25CU-12103T=

Cisco 2500 Series IOS IP/H323 S25CU-12I05T

Cisco 2500 Series IOS IP/H323 S25CU-12I05T=


S25E-I2I03T


S25E-¡2103T=


S25E-12I05T


S25E-12105T=

Cisco 2500 Series IOS FRAD S25F-12103T=

Cisco 2500 Series IOS FRAD S25F-12105T=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12103T=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12105T=

Cisco 2500 Series IOS LAN FRAD S25F4-12103T=

Cisco 2500 Series IOS LAN FRAD S25F4-12I05T=

Cisco 2500 Series IOS ISDN S25I-12I03T

Cisco 2500 Series IOS ISDN S25I-12103T=

Cisco 2500 Series IOS ISDN S25I-12105T

Cisco 2500 Series IOS ISDN S25I-12105T=

Cisco 2500 Series IOS SERVICEPROV1DER WITH PT/TARP

S25Z7-I2103T


S25Z7-I2103T=


S25Z7-I2105T


S25Z7-12I05T=

Visit Cisco Connection Online ai www.c/sco.com 27



S25AHL-12102=


S25AL-12102


S25AL-12102=


S25AP-12102


S25AP-12102=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I02

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I02=


S25BHP-12I02


S25BHP-12102=


S25BP-12102


Cisco 2500 Series IOS IP






Cisco 2500 Series IOS IP PLUS IPSEC 56


Cisco 2500 Series IOS IP PLUS


Cisco 2500 Series IOS IP/IBM/SNASW


Cisco 2500 Series IOS IP/H323

Cisco 2500 Series IOS 1P/H323

Cisco 2500DD Series IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE







S25BP-12I02=

S25C-I2102

S25C-12102=

S25CH-I2102

S25CH-I2I02=

S25CHL-12102

S25CHL-I2102=

S25CL-I2I02

S25CL-I2!02=

S25CP-12102

S25CP-12102=

S25CRIS-I2102

S25CR1S-12102=

S25CU-12102

S25CU-12102=

S25D2-12102=

S25E-12I02

1FRADF2-I2102

1FRADF2- 12103

IFRADF2-12105

IFRADF2-12106

IFRADF3-12102


Part Descríption Part Number


IFRADF3-12103


IFRADF3-I2105


IFRADF3-12106


S25AHL-12I03


S25AHL-I2103=


S25AL-12I03


S25AL-12I03=


S25AP-Í2I03


S25AP-12103=

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2103

Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12103=


S25BHP-I2I03


S25BHP-I2I03=


S25BP-I2103
















Cisco 2500DD Series IOS D1STRIBUTEDDIRECTOR SYSTEM SOFTWARE


S25BP-12103=

S25C-12103

S25C-12103=

S25CH-12103

S25CH-12103=

S25CHL-12I03

S25CHL-12103-

S25CL-12I03

S25CL-12I03=

S25CP-12I03

S25CP-12I03=

S25CR1S-I2103

S25CR1S-I2103=

S25CU-12I03

S25CU-12I03=

S25D2-12103=

S25E-12102=


S25E-12103




S25E-12103=

Cisco 2500 Series IOS FRAD S25F-I2102=


Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12102=

Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-!2103=

Cisco 2500 Series IOS LAN FRAD S25F4-!2102=

Cisco 2500 Series IOS LAN FRAD S25F4-12103=

Cisco 2500 Series IOS ISDN S25I-I2102

Cisco 2500 Series IOS ISDN S25I-!2102=


Cisco 2500 Series IOS ISDN S25I-12103=

Cisco 2500 Series IOS SERVICEPROVIDER W1TH PT/TARP

S25Z7-12103


S25Z7-12103=


SFRADF1-12.0.14=


SFRADFÍ-12102=


SFRADF2-I2.0.I4=


SFRADF2-12102=


SFRADF3-12.0.I4=


SFRADF3-12102=


SFRADF1-12103=


SFRADF2-12103=


SFRADF3-12103=


SFRADF1-12104=


SFRADF2-12104=


SFRADF3-12104=

Cisco 2500 Series IOS ENTERPRISE/SNASwitch PLUS IPSEC 56

S25AR1L-12.0.5XN

Cisco 2500 Series IOS ENTERPRISE/SNASwitch PLUS IPSEC 56

S25AR1L-12.0.5XN=

Cisco 2500 Software Upgrades forRouters with IP Software

Cisco 2500 Enterprise Plus Feature Pack CD25-AP-12.0=

Cisco 2500 IP/IPX/AT/DEC Feature Pack CD25-B-12.0=

Cisco 2500 IP/IPX/AT/DEC Plus FeaturePack

CD25-BP-12.0=



Cisco 2500 IP Feature Pack CD25-C-12.0=

Cisco 2500 IP/FW Plus IPSEC 56 FeaturePack

CD25-CHL-12.0=

Cisco 2500 IP Plus Feature Pack CD25-CP-12.0=

Cisco 2500 Seríes LAT TerminalÜcenses

4 User LAT Terminal License FL-LAT4=





Cisco 2500 Seríes IOS FeatureLlcenses

Cisco IOS 2500 Series CFRAD to IP FL25-F-O

Cisco 2500 IOS CFRAD-to-IP and IBMIOS Upgrade

FL25-F-CS=

Cisco 2500 IOS LANFRAD to IP FL25-F4-C=

Cisco 2500 ÍOS CFRAD-to-lP/IPX IOSUpgrade

FL25-F-D=

Cisco 2500 IOS CFRAD-to-IP/IPX andIBM IOS Upgrade

FL25-F-DS=

Cisco IOS 2500 Series CFRAD to IP/IPX/AT/DEC

FL25-F-B=

Cisco 2500 IOS CFRAD-to-Desktop andIBM IOS Upgrade

FL25-F-BS=

Cisco 2500 IOS LANFRAD lo IP/IPX/AT/DEC

FL25-F4-B=

Cisco IOS 2500 Series CFRAD toEnterprise

FL25-F-A-

Cisco 2500 IOS LANFRAD to Enterprise FL25-F4-A=

Cisco IOS 2500 Series LANFRAD to IP FL25-LF-C=

Cisco IOS 2500 Series LANFRAD to IP/IPX/AT/DEC

FL25-LF-B=

Cisco IOS 2500 Series LANFRAD toEnterprise

FL25-LF-A=

Cisco IOS 2500 Series APPN toSNASwitch Upgrade

FL25-N-R1 =

Cisco IOS 2500 Series SNASwitchUpgrade

FL25-R1=

Cisco IOS 2500 Series ISDN to IP FL25-I-C=

Cisco 2500 IOS ISDN-to-lP and IBM IOSUpgrade

FL25-I-CS=

Cisco 2500 IOS ISDN-to-IP/IPX IOSUpgrade

FL25-I-D=

Cisco 2500 IOS ISDN-to-IP/IPX and IBMIOS Upgrade

FL25-I-DS=

Cisco IOS 2500 Series ISDN to IP/IPX/AT/DEC

FL25-1-B=

Cisco 2500 IOS ISDN-to-Desktop andIBM IOS Upgrade

FL25-I-BS=



Cisco IOS 2500 Series ISDN to Enterprise FL25-I-A=

Cisco 2500 IOS IP-to-IP and IBM IOSUpgrade

FL25-C-CS=

Cisco 2500 IOS IP-to-lP/IPX IOS Upgrade FL25-C-D=

Cisco IOS 2500 Series IP to IP/IPX/AT/DEC

FL25-C-B=

Cisco IOS 2500 Series IP to Enterprise orEnterprise Plus

FL25-C-A=

Cisco IOS 2500 IP-to-Remote AccessServer

FL25-C-E=

Cisco 2500 IOS IP and IBM-to-IP/IPX IOSUpgrade

FL25-CS-DS=

Cisco 2500 IOS IP and IBM-to-Desktopand IBM IOS Upgrade

FL25-CS-BS=

Cisco 2500 IOS IP-to-Desktop and IBMIOS Upgrade

FL25-C-BS=

Cisco 2500 IOS IP/IPX-to-IP/lPX andIBM IOS Upgrade

FL25-D-DS=

Cisco IOS 2500 Series IP/IPX to IP/IPX/AT/DEC

FL25-D-B=

Cisco 2500 IOS IP/IPX-to-Desktop andIBM IOS Upgrade

FL25-D-BS=

Cisco IOS 2500 Series IP/IPX toEnterprise

FL25-D-A=

Cisco 2500 IOS IP/IPX and IBM-to-Desktop and IBM IOS Upgrade

FL25-DS-BS=

Cisco 2500 IOS Desktop-to-Desktop andIBM IOS Upgrade

FL25-B-BS=

Cisco IOS 2500 Series IP/IPX/AT/DEC toEnterprise

FL25-B-A=

Cisco 2500 Series APPN Upgrade FL25-APPN=

Cisco 2500 IOS RMON IOS Upgrade FL25-RMON=

Cisco IOS 2500 Series IP/IBM to IP FL25-CS-C=

Cisco IOS 2500 Series IP to H323 FL25-C-U=

Cisco IOS 2500 Series Firewall FL25-H=

Cisco IOS 2500 Series 1PSEC 56 Upgrade FL25-L=

Cisco 2500 IOS APPN Upgrade FL25-N=

Cisco IOS 2500 Series PLUS FL25-P=

Cisco IOS 2500 Series PLUS 40 FL25-W-

Cisco IOS 2500 Series PLUS 56 FL25-Y=

DocumentationFor part numbers for product specific documentation, visit

http://www.cisco.com/univercd/cc/td/doc/pcat/swdo di.htm


Cisco 1548 Series — Micro Switches 10/100

Product OverviewThe Cisco 1548 Series Micro Switches are affordable autosensing 10/100 Fast Ethernet switches for creating high-performance LANs in enterprise remote branch offices or in small, growing businesses. For customers whose bandwidthrcquirements have outgrown their legacy lOBaseT networks, the eight-port Cisco 1548M and Cisco 1548U switches offerdcdicated 10/100 autosensing Fast Ethernet conncctions, ideal for aggregating workgroupsorconnecting Ethernet and FastEthernet desktops.

Figure 21-24: Cisco 1548 Series Micro Switch 10/100 Front Vlew

Figure 21-25: Cisco 1548M Micro Switch 10/100 Rear View

Key Features and BenefitsThe Cisco 1548 Series Micro Switches 10/100 provide dedicated 10/100 autosensing Fast Ethernet solutions for creatinghigh-performancc LANs at an affordable pnce.

• Provides dedicated 10/100 autosensing LAN connectivity; ideal forprice-sensitive customcrs looking foran ultra-lowcost Fast Ethernet solution

* Provides unmatched flexibility, ease-of-deployment and -use vía features such as integrated stacking interconnections,auto-negotiation, easy stackability and auto-configuration/BootP

• Allows easy management and reduces total cost of ownership via SNMP, RMON (4 groups), embedded HTTP server,CDP and "multifunction per port" LEDs for status

* Offers an outstanding valué at an ultra-low cost

" Member of the Cisco Networked Office family of stackable producís designed to provide complete solutions for smallbusinesses and remote branch offices


Specifications

Hardware

Table 21-185: Technlcal Speciflcatlons for Cisco 1548 Series

Oescrlptlon Specificatlon

Ports/Conncctor Types Eight workstation connectors: RJ-45 MDl-X shielded connectors

Media supported: Category 5 UTP or Category 3 UTP (lOBaseT only)

Performance 4 MB sharcd memory architecture shared by all ports

Packet forwarding rale for 64-byte packets:• 14,880 packets per second (pps) to 10 Mbps ports

• 148,800 pps to lOOBaseT ports

4096 Media Access Control (MAC) addresses per system (Ciscol548M)

2048 Media Access Control (MAC) addresses per system (Ciscol 548U-DS)

Management (Cisco I548M model only) SNMP Management Information Base (MIB) II, Bridge MIB, Ethernet MIB

Min-RMON MIB (4 Groups - Statistics, History, Alarm, and Event)

Cisco Discovery Protocol (CDP) supported

Indicator Pane! LED Display PWR: Indícales whether power is being supplied to switch

Ports 1 to 8: Port status including link, activity, speed and fuH-/half-duplex operation

Connectors and Cabling lOBaseT ports: RJ-45 connectors; two-pair category 3, 4, or 5 unshielded twisted-pair (UTP) cabling

lOOBaseTX ports: RJ-45 connectors; two-pair Category 5 UTP cabling

Management consolé port: RJ-45 connector (Cisco 1548M model only)

Shipping Conté nts Cisco 1548U-DSor Cisco 1548M Micro Switch 10/100

U.S. power cord

Stacking clip and accessories

Management consolé cable (Cisco I548M only)

Product documentation

Cisco ConfigMaker software (Cisco 1548M only)

Y2K Y2K compliant

Warranty Limited lifetime warranty covers product's retum to factory for free repair.

Power supply and fan covercd for first five years of product ownership.

Table 21-186: Power Requlrements for Cisco 1548 Serles

Descrlption Specificatlon

Power consumption Nominal 20W

AC ¡npul voltage 100 to 127 VAC, 200 to 240 VAC

Table 21-187: Physical and Environmental Speclfications for Cisco 1548 Series

Description Specification

Operating temperature 32tol04'F(Oto40-Q

Operating humidity 10 to 85% noncondensing

Operating altitude up to 9840 ft (3000 m)

Storagc lemperature -40 to 149'F(-25io65'C)

Storage altitude 30,000 ft (9146 m)


Table 21-188: Regulatory Approvals for Cisco 1548 Series

Descrlption Speclflcation

Standards conformance IEEE 802.3 lOBaseT

IEEE 802.3u lOOBaseTX

IEEE 802.3x Full Dúplex on lOBaseT and lOOBaseTX portsIEEE 802.Id Spanning-Tree Protocol

Safcty Specificalions UL 1950/CSA 22.2 No. 950

IEC 950/EN 60950

Elcctromagndic Emissions Compliance FCC Part 15 Class BEN 55022B Class B (CISPR22 Class B)

VCCI Class B

AS/NRZ 3548 Class B

BCIQ Class B

CE

SoftwareFor dctailed software information, access Cisco Connection Online at the following URL:

http://www.cisco.com


Where to buy Cisco producísVisit http://www.cisco.com/public/ordering_info.shtml


Part Numbers for the Cisco 1548 Serles


Cisco I548M MicroSwitch 10/100-8-port CISCO1548Mautosensing 10/100 managed switch

Cisco 1548U Micro Switch 10/100-8port CISCO1548U-DSautosensing I O/100 switch

DocumentationFor part numbers for product specific documentation, visit

http://www.cisco.com/univercd/cc/td/doc/pcat/swdo__dl.htm


ESCUELA POLITÉCNIC NACIONAA L - EPN: Página de...

Documents

Transcript of ESCUELA POLITÉCNIC NACIONAA L - EPN: Página de...