Sistemas de Transportes de Datos (STD) Cómo poner en pie la interconexión de redes • Usos de protocolos TCP/IP en una empresa: – Interconexión de redes internas SIN acceso a la Internet global. – Interconexión de redes internas con provisión de acceso restringido a la Internet global. • Objetivos: breve descripción de elementos que intervienen en la planificación, configuración y puesta en pie de interconexión de redes con TCP/IP en ambos casos. Departamento Arquitectura Computadores J.C. Cruellas Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Interconexión de redes internas • Interconexión de redes internas SIN acceso a la Internet global. – Identificar aplicaciones y personas que van a utilizarlas (correo electrónico, herramientas de trabajo en grupo, acceso vía HTTP a información, acceso remoto a máquinas de la empresa, etc) – Planificación de distribución de direcciones IP a las máquinas. __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • No acceso a exterior: uso de @IP Privadas, reservadas por InterNic para estos propósitos (RFC 1918). • Internet Assigned Numbers Authority (IANA) http://www.iana.org - reservó las siguientes: Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas U PC __________________________________________ Interconexión de redes internas • 10.0.0.0 a 10.255.255.255 (una red de clase A) • 172.16.0.0 a 172.31.255.255 (16 @s de red contiguas de clase B) • 192.168.0.0 a 192.168.255.255 (256 @s de red contiguas de clase C) – Determinar equipos y software para poner en pie la interconexión de redes: routers, aplicaciones (e-mail, servidores web, etc.) – Configuración de la infraestructura (tablas de encaminamiento de hosts), configuración de routers, servidor de DNS, servidores de aplicaciones, etc. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 1 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Conexión a Internet • Cuando una empresa decide permitir acceso a Internet a (algunas de) las máquinas de sus redes, hay una serie de pasos técnicos y administrativos que seguir: – Técnico: Identificar las aplicaciones Internet que sus empleados utilizarán, a efectos de estimar el ancho de banda requerido por la(s) conexión(es) a Internet y poder evaluar las ofertas de los ISP (Internet Service Provider). – Técnico: Identificar claramente los requisitos de seguridad en lo concerniente al intercambio de información entre las redes de la empresa y la Internet global (p.e.¿firewall necesario?) Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Conexión a Internet – Estudiar ofertas del ISP (Internet Service Provider) al que se contratará la conexión con Internet. En la valoración de la oferta intervienen diferentes elementos: • Conectividad necesaria (tipos de conexiones ofrecidas, ancho de banda) • Servicios adicionales de soporte a la puesta en pie de la conexión (algunos se ofrecen a tramitar determinadas solicitudes -dominios, @sIP, etc-) • Costes de puesta en pie y costes anuales de gestión y mantenimiento de la conexión. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Conexión a Internet – Contratar el servicio operadora de telecomunicación. – Solicitar un dominio (un .com, por ejemplo) • Algunos ISPs se ofrecen a hacerlo cobrando. • Si lo hace la propia compañía debe acudir a las instancias pertinentes. – Solicitar la(s) @(s) IP por la(s) que los usuarios de Internet reconocerán a la(s) máquina(s) de la empresa. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC Juan Carlos Cruellas Ibarz 2 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Conexión a Internet – Evaluar las ofertas de equipos necesarios: • • • • Routers. Servidores Proxy. Servidores de aplicaciones TCP/IP. Firewalls, etc. – Configurar la red interna y la conexión con Internet (proxy, router con NAT, etc.) Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Asignación de dominios • Un dominio es un mecanismo de identificación utilizado en Internet, y que consta de varias palabras separadas por ‘.’. Las primeras suelen ser un conjunto de nombres identificativos de la organización, empresa, etc. La última representa la actividad o procedencia territorial. • Las empresas registran su dominio en Internet porque de esa manera, éste pasa a ser algo así como su marca en Internet!. • Tipos de dominios: – Genéricos. Organizados conceptualmente. __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • .com: para empresas comerciales (>2x106 registrados). Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas U PC __________________________________________ Asignación de dominios • .org: para organizaciones. • .net: para empresas relacionadas con Internet. • .edu: gestionado por Network Solutions. – Territoriales o geográficos. Dominios mantenidos por cada país (.es para España). Cada país tiene su propia reglamentación para asignar dominios. – Propuesta (de CORE) de ampliación de los genéricos por tipo de actividad: • • • • __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ .firm, dedicados a empresas .nom, páginas personales. .shop, puntos de venta .arts, actividades artísticas .info, puntos de información .rec, actividades recreativas .web, páginas en Internet Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas U PC Juan Carlos Cruellas Ibarz 3 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Asignación de dominios • Gestión de proceso de asignación de dominios: – Historia: • Antes lo gestionaba la Internet Assigned Numbers Authority (IANA) (http://www.iana.org) -organización financiada por el gobierno de EEUU). • Se decidió privatizar la prestación del servicio: el departamento de Comercio firmó un acuerdo con una corporación sin ánimo de lucro, la Internet Corporation for Assigned Names and Numbers (ICANN) (http://www.icann.org). Está acogió en su estructura las actividades técnicas de la IANA, que sigue asumiendo la gestión de bloques de direcciones IP y de dominios genéricos. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Asignación de dominios – Los dominios genéricos son registrados por una serie de empresas y organizaciones a las que ICANN otorga la capacidad de actuar como tales al avenirse a cumplir una serie de requisitos (ICANN-Accredited Registrars). – En España: Nominalia (de la Fundacio Catalana per a la Recerca) (http://www.nominalia.com). Aparece como acreditado y operativo en la lista de ICANN. Interdomain (http://www.interdomain.org). Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC __________________________________________ Asignación de dominios – El dominio territorial en España .es queda bajo los auspicios del Ministerio de Fomento: servicio ES-NIC (http:www.nic.es) gestionado por INECO (empresa pública). – Se restringe el acceso al dominio territorial .es a las “organizaciones legalmente establecidas en España, __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ entendiendo como tal toda persona jurídica de derecho publico o privado debidament constituida de acuerdo con el marco normativo que las regule”. Tarifas en: http://www.nic.es/tarifas/tipo-tarifas.html. • Alta o registro de nuevo dominio: 12000 pts • Mantenimiento anual de dominio: 8000 pts Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas U PC Juan Carlos Cruellas Ibarz 4 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Asignación de dominios – Para los dominios genéricos no existe restricción alguna en cuanto a la entidad a la que solicitar el registro: puede pedirse a cualquiera. __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas U PC __________________________________________ Asignación de dominios • Una empresa puede: – Hacer uso de los servicios de un ISP sin tener un dominio propio: www.isp.es/empresa.htm, [email protected]. – “Adquirir” un dominio propio y albergar sus servidores en la empresa: www.empresa.es o [email protected]. – “Adquirir” un dominio propio propio y encargar a un ISP que albergue (“hosting”) los servidores. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas U PC Asignación de bloques de direcciones IP • ICANN a través de IANA está a cargo de la asignación de dichos bloques. • RFCs relevantes: – RFC 2050 - Internet Registry IP Allocation Guidelines – RFC 1918 - Address Allocation for Private Internets – RFC 1518 - An Architecture for IP Address Allocation with CIDR • Distinción entre Reserva de bloques de @IP (las autoridades correspondientes reservan bloques para ISPs que lo soliciten) y Asignación de bloques de @IP (los ISP asignan a sus clientes bloques de @IP) Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 5 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet Asignación de bloques de direcciones IP • Gestión de asignación: jerarquía de organizaciones de registro (Internet Registry -IR-). – Nodo raíz: IANA. – Debajo: IRs regionales atendiendo a la zona del mundo (dimensiones continentales): __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • RIPE NCC (Reseau IP Europeens) <http://www.ripe.net> • APNIC (Asia-Pacific Network Information Center) <http://www.apnic.net> • ARIN (American Registry for Internet Numbers ) <http://www.arin.net> Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC Asignación de bloques de direcciones IP – IRs Locales, establecidos con el consentimiento de los regionales e IANA. Los regionales delegan determinadas tareas en ellos. • Hay una cierta componente geográfica en la reserva de direcciones IP • Reserva de bloques de direcciones IP a ISPs – Los ISPs solicitan a sus RIs regionales la reserva de bloques de direcciones IP. Condiciones: __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • Conectado a un nodo neutro. • Conectado a Internet a través de dos conexiones (ninguna es favorecida en detrimento de la otra). Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC Asignación de bloques de direcciones IP • Consideraciones iniciales: – Se recomienda que los ISPs NO realicen asignación estática de @IP a usuarios que se conectan a través de modem. • Asignación de bloques de direcciones IP. – Proceso mediante el cual una empresa consigue que se le delegue la autoridad sobre un bloque determinado de direcciones, de forma que es ella quien establece el reparto de tales direcciones entre sus máquinas. – No puede subdelegar la autoridad sobre esas direcciones. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 6 Sistemas de Transportes de Datos (STD) Asignación de bloques de direcciones IP – Empresas que requieran mucho espacio de @IP deberían contactar directamente con el RI correspondiente. – En caso contrario, deben contactar con algún ISP y solicitarle un bloque de @IP. • Reserva de @IP en Europa RIPE Network Coordination Centre: – 1600 RIs Locales. – Mantiene BD con las redes europeas. Departamento Arquitectura Computadores J.C. Cruellas Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Asignación de bloques de direcciones IP – Primera reserva para un Local RI: 8192 direcciones – Cobra por la primera solicitud y cuotas anuales en función de la categoría (pequeños, medianos y grandes). __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC __________________________________________ Algunos de los LIR de España Local Internet Registries offering service in SPAIN Enterprise European Space Agency - Mission Operations and Support <Registry Based in DE> GE Capital IT Solutions Europe <Registry Based in DE> SAP-AG Walldorf <Registry Based in DE> SIEMENS <Registry Based in DE> DANISCO <Registry Based in DK> Institut Municipal d'Informatica (IMI) Recoletos Compania Editorial Alfa Laval <Registry Based in SE> EasyEverything Ltd <Registry Based in GB> Moss Plastic Parts <Registry Based in GB> Large ECRC <Registry Based in DE> Gigabell AG <Registry Based in DE> RedIRIS-CSIC Medium Arrakis, Servicios y comunicaciones, S.L. Xarxa Cinet, S.A Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 7 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Un ejemplo de tarifas __________________________________________ Producto Cuota Trimestral Cuota anual __________________________________________ Buzón de correo adicional 1.000 ptas 2.500 ptas __________________________________________ Módulo de 5 Mb adicionales 1.500 ptas 5.000 ptas __________________________________________ Directorio de mepresas con 5 Mb para Web (alta=5000pts) 1.500 ptas 5.000 ptas Dominio de web (10Mb) + Dom. Correo (incluye 5 cuentas bajo dominio) 10.500 ptas 35.000 ptas Subdominio Web (5Mb) 4.500 ptas 15.000 ptas Estadísticas de web 3.000 ptas 10.000 ptas IP fija 11.500 ptas *iva no incluido en los precios Departamento Arquitectura Computadores J.C. Cruellas ___________________________________ 35.000 ptas Grupo de Aplicaciones Telemáticas UPC Algunas configuraciones para conectarse a Internet • Varias posibilidades: – A través de sistemas que implantan la “traducción de direcciones IP” (NAT: Network Address Translation”) – A través de servidores proxy. – A través de sistemas que incorporan ambos métodos para permitir mayor margen de juego. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Network Address Translation • Principios básicos en RFC 1631 • Descripción: – En la empresa las máquinas tienen @IP privadas de la RFC 1918 u otras para cuyos valores no se ha solicitado asignación por parte de un ISP o LIR. – Un punto de conexión a Internet: el dispositivo (router) donde se efectúa el NAT (RNAT). Dirección IP válida y asignada. – Un host envía un datagrama al RNAT. En él: __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • Dirección IP no válida globalmente. • Número de puerto efímero (puerto por el que la aplicación envía la información a TCP o UDP) Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 8 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Network Address Translation – El RNAT recoge el datagrama y construye otro con cambios: • Dirección IP la propia (globalmente válida). • Un nuevo puerto efímero elegido de una lista de valores – RNAT añade entrada en tabla. – El receptor remoto del datagrama contestará con destinatario identificado por: __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ • Dirección IP del NAT • Puerto efímero el asignado por el NAT – El NAT convertirá el datagrama y sus contenidos y lo transferirá al host interno. Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC __________________________________________ Network Address Translation • Comentarios: – Altera no solo la cabecera del datagrama sino los datos (es allí donde aparecen los puertos) – Complicado controlar todos los parámetros. – No permite poner en pie política de control de acceso (de fuera hacia dentro o de dentro hacia fuera) Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Servidores Proxy • Nacidos en contextos de firewalls de control de acceso y comunicación con el exterior. • Genéricamente: un proxy es todo aquel sistema que actúa en representación de otro!!! • Distinto al NAT!. • Mecanismo: – Un host interno decide comunicarse con otro remoto en el contexto de una comunicación (aplicación http, p.e.). El host envía los datos http correspondientes (una petición pe). El pretendido interlocutor es el host remoto (servidor WWW remoto). Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 9 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Servidores Proxy – El servidor proxy captura el envío y extrae el contenido de la petición. – A continuación genera una petición de las mismas características pero erigiéndose en cliente y transfiere la petición al servidor remoto. – Cuando el servidor remoto contesta, el proxy recoge la respuesta y se la transfiere al host interno. • Comentarios: – Diseñados para trabajar a nivel de aplicación: NO hacen traducción de direcciones, simplemente recogen peticiones, construyen otras semejantes y hacen el trabajo por el host. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Servidores Proxy – Mayor trabajo de configuración (cada aplicación tiene su propio formato de elementos de diálogo). – Permite establecer restricciones de acceso en ambos sentidos. – Permite hacer “logs” de las sesiones. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Redes Privadas Virtuales • Redes corporativas. Las redes físicas (internas) están en lugares separados. Interconectadas por Routers a través de Internet. • Las direcciones de los hosts en las redes físicas son privadas. • Los routers que conectan las redes a Internet tienen direcciones públicas válidas. • Los hosts de unas redes internas envían información a hosts de otras redes internas. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 10 Sistemas de Transportes de Datos (STD) Sesión Problemas: puesta en pie de conexión a Internet __________________________________________ Redes Privadas Virtuales • Los Routers operan de la forma siguiente: – Los datagramas que hosts de redes internas envían a hosts en otras redes de la Red Privada Virtual, son enviados con @IP fuente privadas. El router cifra los datagramas y encapsula el resultado en datagramas con @IP fuente la propia y como @IP destino la del router que conecta la otra red interna a Internet. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Redes Privadas Virtuales – Los datagramas generados por hosts remotos de otras redes de la Red Privada Virtual llegan de Internet encapsulados en datagramas que tienen como @IP destino la del router. Este quita la cabecera externa, descifra, encuentra la otra que contiene una @IP privada del host de la red interna y lo encamina hacia el. • Tunnelling: mecanismo consistente en encapsular datagramas IP dentro de datagramas IP. Utilizado también para la coexistencia de IPv4 con IPv6. Departamento Arquitectura Computadores J.C. Cruellas __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ Grupo de Aplicaciones Telemáticas UPC __________________________________________ Redes Privadas Virtuales Red interna 10.0.0.0 @IP: 194.27.6.26 (pública y válida) 1. Host A (10.0.0.1) genera datagrama para Host B (172.16.0.3), en otra red interna de la RPV. @IPf 10.0.0.1 @IPd 172.16.0.3 LAN SEDE 1 Internet 2. Router cifra y encapsula datagrama generado por remitente en un datagrama con @IPf la suya propia y @IPd la del router de la otra sede. @IP: 198.200.8.15 (pública y válida) @IPf 194.27.6.26 __________________________________________ __________________________________________ __________________________________________ __________________________________________ ___________________________________ @IPd 198.200.8.15 Datagrama original cifrado 3. Router recibe datagrama, descifra sus contenidos, recupera el datagrama original generado por host A y lo encamina hacia el host B. FDDI @IPf 10.0.0.1 @IPd 172.16.0.3 SEDE 2 Red interna 172.16.0.0 Departamento Arquitectura Computadores J.C. Cruellas Grupo de Aplicaciones Telemáticas UPC Juan Carlos Cruellas Ibarz 11