REDES I – Unidad V – 1 / 42 PROTOCOLOS DE REDES DE

Anuncio
REDES I – Unidad V – 1 / 42
PROTOCOLOS DE REDES DE COMUNICACIÓN:
PROTOCOLOS DE INTERNET
Introducción. Un poco de Historia
La familia de protocolos de Internet es un conjunto de protocolos de red en los que se basa Internet y
que permiten la transmisión de datos entre redes de computadoras. En ocasiones se le denomina conjunto
de protocolos TCP/IP, en referencia a los dos protocolos más importantes que la componen: Protocolo de
Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y
que son los más utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser más
de 100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que
se utiliza para acceder a las páginas web, además de otros como el ARP (Address Resolution Protocol)
para la resolución de direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el
SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para correo electrónico, TELNET
para acceder a equipos remotos, entre otros.
El TCP/IP es la base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas
operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local (LAN)
y área extensa (WAN).
TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el Departamento de Defensa de los
Estados Unidos, ejecutándolo en ARPANET, una red de área extensa de dicho departamento.
La familia de protocolos de Internet puede describirse por analogía con el modelo OSI (Open System
Interconnection), que describe los niveles o capas de la pila de protocolos, aunque en la práctica no
corresponde exactamente con el modelo en Internet. En una pila de protocolos, cada nivel soluciona una
serie de problemas relacionados con la transmisión de datos, y proporciona un servicio bien definido a los
niveles más altos. Los niveles superiores son los más cercanos al usuario y tratan con datos más
abstractos, dejando a los niveles más bajos la labor de traducir los datos de forma que sean físicamente
manipulables.
El modelo de Internet fue diseñado como la solución a un problema práctico de ingeniería.
El modelo OSI, en cambio, fue propuesto como una aproximación teórica y también como una primera
fase en la evolución de las redes de ordenadores. Por lo tanto, el modelo OSI es más fácil de entender,
pero el modelo TCP/IP es el que realmente se usa. Sirve de ayuda entender el modelo OSI antes de
conocer TCP/IP, ya que se aplican los mismos principios, pero son más fáciles de entender en el modelo
OSI.
El 1 de enero de 2010 el Protocolo TCP/IP cumplió 27 años.
Un ordenador denominado router (un nombre que fue después cambiado a gateway, puerta de enlace,
para evitar confusiones con otros tipos de Puerta de enlace) está dotado con una interfaz para cada red, y
envía Datagramas de ida y vuelta entre ellos. Los requisitos para estos routers están definidos en el RFC
1812.
Esta idea fue llevada a la práctica de una forma más detallada por el grupo de investigación que Cerf tenía
en Stanford durante el periodo de 1973 a 1974, dando como resultado la primera especificación TCP
(Request for Comments 675,) Entonces DARPA fue contratada por BBN Technologies, la Universidad
de Stanford, y la University College de Londres para desarrollar versiones operacionales del protocolo en
diferentes plataformas de hardware. Se desarrollaron así cuatro versiones diferentes: TCP v1, TCP v2,
REDES I – Unidad V – 2 / 42
una tercera dividida en dos TCP v3 y IP v3 en la primavera de 1978, y después se estabilizó la versión
TCP/IP v4 — el protocolo estándar que todavía se emplea en Internet.
En 1975, se realizó la primera prueba de comunicación entre dos redes con protocolos TCP/IP entre la
Universidad de Stanford y la University College de Londres (UCL). En 1977, se realizó otra prueba de
comunicación con un protocolo TCP/IP entre tres redes distintas con ubicaciones en Estados Unidos,
Reino Unido y Noruega. Varios prototipos diferentes de protocolos TCP/IP se desarrollaron en múltiples
centros de investigación entre los años 1978 y 1983. La migración completa de la red ARPANET al
protocolo TCP/IP concluyó oficialmente el día 1 de enero de 1983 cuando los protocolos fueron activados
permanentemente.
En marzo de 1982, el Departamento de Defensa de los Estados Unidos declaró al protocolo TCP/IP el
estándar para las comunicaciones entre redes militares. En 1985, el Centro de Administración de Internet
(Internet Architecture Board IAB por sus siglas en inglés) organizó un Taller de Trabajo de tres días de
duración, al que asistieron 250 comerciales promocionando así el protocolo lo que contribuyó a un
incremento de su uso comercial.
Kahn y Cerf fueron premiados con la Medalla Presidencial de la Libertad el 10 de noviembre de 2005 por
su contribución a la cultura Americana.
Ventajas e inconvenientes
El conjunto TCP/IP está diseñado para enrutar y tiene un grado muy elevado de fiabilidad, es adecuado
para redes grandes y medianas, así como en redes empresariales. Se utiliza a nivel mundial para
conectarse a Internet y a los servidores web. Es compatible con las herramientas estándar para analizar el
funcionamiento de la red.
Un inconveniente de TCP/IP es que es más difícil de configurar y de mantener que NetBEUI o IPX/SPX;
además es algo más lento en redes con un volumen de tráfico medio bajo. Sin embargo, puede ser más
rápido en redes con un volumen de tráfico grande donde haya que enrutar un gran número de tramas.
El conjunto TCP/IP se utiliza tanto en redes empresariales como por ejemplo en campus universitarios o
en complejos empresariales, en donde utilizan muchos enrutadores y conexiones a mainframe o a
ordenadores UNIX, así como también en redes pequeñas o domésticas, y hasta en teléfonos móviles.
Funciones Básicas de los Protocolos
Los protocolos establecen reglas consistentes para intercambiar datos entre las aplicaciones y los servicios
cargados en los dispositivos participantes. Los protocolos especifican cómo se estructuran los datos
dentro de los mensajes y los tipos de mensajes que se envían entre origen y destino. Estos mensajes
pueden ser solicitudes de servicios, acuses de recibo, mensajes de datos, mensajes de estado o mensajes
de error. Los protocolos también definen los diálogos de mensajes, asegurando que un mensaje enviado
encuentre la respuesta esperada y se invoquen los servicios correspondientes cuando se realiza la
transferencia de datos.
Cada protocolo tiene un fin específico y contiene las características requeridas para cumplir con dicho
propósito. Deben seguirse los detalles del protocolo correspondiente a cada capa, así las funciones en una
capa se comunican correctamente con los servicios en la capa inferior.
REDES I – Unidad V – 3 / 42
Encapsulamiento
Todas las comunicaciones de una red se originan en una fuente y son enviadas a un destino, aquí se
explica cómo es el proceso de transmitir la información de un sitio a otro.
Si una computadora A quiere enviar datos a una computadora B, los datos deben ser empacados primero
por un proceso llamado encapsulamiento. Este proceso puede pensarse como poner una carta dentro de un
sobre, y poner las direcciones correctas del destinatario y el remitente para que sea entregada
apropiadamente por el sistema postal.
El encapsulamiento envuelve los datos con la información de protocolo necesaria antes de transitar por la
red. Así, mientras la información se mueve hacia abajo por las capas del modelo OSI, cada capa añade un
encabezado, y un trailer si es necesario, antes de pasarla a una capa inferior. Los encabezados y trailers
contienen información de control para los dispositivos de red y receptores para asegurar la apropiada
entrega de los datos y que el receptor interprete correctamente lo que recibe.
Paso 1: los datos de usuario son enviados por una aplicación a la capa de aplicación.
Paso 2: La capa de aplicación añade el encabezado (layer 7 Header) a los datos, el encabezado y los datos
originales pasan a la capa de presentación.
REDES I – Unidad V – 4 / 42
Paso 3: La capa de presentación recibe los datos provenientes de la capa superior, incluyendo el
encabezado agregado, y los trata como sólo datos, añade su encabezado a los datos, y los pasa a la capa de
sesión
Paso 4: la capa de sesión recibe los datos y añade su encabezado, lo pasa a la capa de transporte.
Paso 5: la capa de transporte recibe los datos y añade su encabezado, pasa los datos a la capa inferior.
Paso 6: la capa de red añade su encabezado y los pasa a la capa de enlace de datos.
Paso 7: la capa de enlace de datos añade el encabezado y un trailer (cola) a los datos, usualmente es un
Frame Check Sequence, que usa el receptor para detectar si los datos enviados están o no en error. Esto
envuelve los datos que son pasados a la capa física.
Paso 8: la capa física entonces transmite los bits hacia el medio de red.
Des-encapsulamiento
Es el proceso inverso, cuando un dispositivo recibe el stream de bits, la capa física del dispositivo remoto
los pasa a la capa de enlace de datos para su manipulación.
Paso 1: checa el trailer de la capa de enlace de datos (FCS) para ver si los datos están en error.
Paso 2: si los datos están en error, pueden ser descartados, y la capa de enlace de datos puede pedir la
retransmisión.
Paso 3: si no hay ningún error, la capa de enlace de datos lee e interpreta la información de control en el
encabezado (L2 header)
Paso 4: quita el header y trailer y pasa lo que queda hacia la capa superior basada en la información de
control del header.
Comunicación de Par a Par
Cuando los paquetes van de origen a destino, cada capa en el nodo de origen se comunica con su capa par
o igual en el nodo destino, esto es lo que se llama comunicación Peer to Peer, durante dicho proceso, los
protocolos de cada capa intercambian información en unidades llamadas protocol data unit (PDU), entre
las capas pares.
REDES I – Unidad V – 5 / 42
Cada capa depende de la función de servicio de la capa inferior, para dar el servicio, la capa inferior
encapsula la información para poner el PDU de la capa superior dentro de su campo de datos, entonces
agrega el encabezado que sea necesario para ejecutar su función. Mientras se mueve la información de la
capa 7 a la 5, se añaden encabezados adicionales, el agrupamiento en la capa 4 es llamado segmento.
La capa de red provee el servicio a la capa de transporte, y la capa de transporte presenta los datos al
subsistema de internetwork. La capa de red mueve los datos encapsulando la información y agregando un
header, lo cual crea un paquete (Packet), el header trae información necesaria, como las direcciones
lógicas de origen y destino.
La capa de enlace de datos provee servicio a la capa de red encapsulando el paquete de la capa de red
dentro de una trama (Frame), la trama contiene las direcciones físicas requeridas para completar la
entrega, y además pone un trailer (frame check sequence)
La capa física da el servicio a la capa de enlace de datos codificando el frame en un patrón de 1 y 0 (bits)
para transmitirlos en el medio de red, normalmente un alambre, dentro de la capa física.
Los Hubs operan en la capa 1, los switches en la capa 2, los routers en la capa 3.
Segmentación y Reensamblaje
La mayoría de las redes poseen una limitación en cuanto a la cantidad de datos que pueden incluirse en
una única PDU (Unidad de datos del protocolo). La capa de Transporte divide los datos de aplicación en
bloques de datos de un tamaño adecuado. En el destino, la capa de Transporte reensambla los datos antes
de enviarlos a la aplicación o servicio de destino.
Multiplexación
Pueden existir varias aplicaciones o servicios ejecutándose en cada host de la red. A cada una de estas
aplicaciones o servicios se les asigna una dirección conocida como puerto para que la capa de Transporte
pueda determinar con qué aplicación o servicio se identifican los datos.
Además de utilizar la información contenida en los encabezados para las funciones básicas de
segmentación y reensamblaje de datos, algunos protocolos de la capa de Transporte proveen:
 conversaciones orientadas a la conexión,
 entrega confiable,
 reconstrucción ordenada de datos, y
 control del flujo.
Establecimiento de una sesión
REDES I – Unidad V – 6 / 42
La capa de Transporte puede brindar esta orientación a la conexión creando una sesión entre las
aplicaciones. Estas conexiones preparan las aplicaciones para que se comuniquen entre sí antes de que se
transmitan los datos. Dentro de estas sesiones, se pueden gestionar de cerca los datos para la
comunicación entre dos aplicaciones.
Entrega confiable
Por varias razones, es posible que una sección de datos se corrompa o se pierda por completo a medida
que se transmite a través de la red. La capa de Transporte puede asegurar que todas las secciones lleguen
a destino al contar con el dispositivo de origen para volver a transmitir los datos que se hayan perdido.
Entrega en el mismo orden
Ya que las redes proveen rutas múltiples que pueden poseer distintos tiempos de transmisión, los datos
pueden llegar en el orden incorrecto. Al numerar y secuenciar los segmentos, la capa de Transporte puede
asegurar que los mismos se reensamblen en el orden adecuado.
Control del flujo
Los hosts de la red cuentan con recursos limitados, como memoria o ancho de banda. Cuando la capa de
Transporte advierte que estos recursos están sobrecargados, algunos protocolos pueden solicitar que la
aplicación que envía reduzca la velocidad del flujo de datos. Esto se lleva a cabo en la capa de Transporte
regulando la cantidad de datos que el origen transmite como grupo. El control del flujo puede prevenir la
pérdida de segmentos en la red y evitar la necesidad de retransmisión.
MODELO TCP/IP
El primer modelo de protocolo en capas para comunicaciones de internetwork se creó a principios de la
década de los setenta y se conoce con el nombre de modelo de Internet. Define cuatro categorías de
funciones que deben tener lugar para que las comunicaciones sean exitosas. La arquitectura de la suite de
protocolos TCP/IP sigue la estructura de este modelo. Por esto, es común que al modelo de Internet se lo
conozca como modelo TCP/IP.
La mayoría de los modelos de protocolos describen un stack de protocolos específicos del proveedor. Sin
embargo, puesto que el modelo TCP/IP es un estándar abierto, una compañía no controla la definición del
modelo. Las definiciones del estándar y los protocolos TCP/IP se explican en un foro público y se definen
en un conjunto de documentos disponibles al público. Estos documentos se denominan Solicitudes de
comentarios (RFCS). Contienen las especificaciones formales de los protocolos de comunicación de datos
y los recursos que describen el uso de los protocolos.
Las RFC (Solicitudes de comentarios) también contienen documentos técnicos y organizacionales sobre
Internet, incluyendo las especificaciones técnicas y los documentos de las políticas producidos por el
Grupo de trabajo de ingeniería de Internet (IETF).
REDES I – Unidad V – 7 / 42
El modelo TCP/IP describe la funcionalidad de los protocolos que forman la suite de protocolos TCP/IP.
Esos protocolos, que se implementan tanto en el host emisor como en el receptor, interactúan para
proporcionar la entrega de aplicaciones de extremo a extremo a través de una red.
Un proceso completo de comunicación incluye estos pasos:
1. Creación de datos a nivel de la capa de aplicación del dispositivo final origen.
2. Segmentación y encapsulación de datos cuando pasan por la stack de protocolos en el dispositivo final
de origen.
3. Generación de los datos sobre el medio en la capa de acceso a la red de la stack.
4. Transporte de los datos a través de la internetwork, que consiste de los medios y de cualquier
dispositivo intermediario.
5. Recepción de los datos en la capa de acceso a la red del dispositivo final de destino.
6. Desencapsulación y rearmado de los datos cuando pasan por la stack en el dispositivo final.
7. Traspaso de estos datos a la aplicación de destino en la capa de aplicación del dispositivo final de
destino.
Direcciones IP
El Protocolo Internet posibilita la transmisión de bloques de datos llamados datagramas desde el origen al
destino. Origen y destino son host identificados por direcciones lógicas de una longitud fija de 4 bytes
(direcciones IP).
También se encarga el protocolo IP de la fragmentación y del reensamblado de datagramas largos si es
necesario, para su posterior transmisión a través de pequeños paquetes de red.
Formato de las direcciones IP
Tenemos diversas formas para identificar un host: nombres, direcciones y rutas.
Un nombre nos indica lo que buscamos, una dirección nos indica dónde está y una ruta nos indica cómo
llegar hasta él.
Las direcciones IP serán direcciones binarias que posibilitan la computación y la selección de la ruta de
forma eficiente, de todas formas se establecerá una relación entre direcciones binarias y nombres, ya que
para nosotros será mucho más fácil su uso.
A cada host en Internet le es asignado una dirección de 32 bits, esta será su dirección IP. Esta dirección IP
estará formada por dos partes una, la que nos identifica la maquina, el host con el que queremos trabajar y
otra que hace referencia a la red dentro de la cual nos encontramos. Conceptualmente cada dirección IP
será un par (Identificador de red, Identificador de host).
Podemos encontrar diferentes formas de direcciones IP:
Clase A:
Se trata de grandes redes que tienen más de 216 hosts.
Se utilizan 7 bits para identificar la red y 24 bits para la identificación del host
Clase B:
Se utilizara para redes de clase media que tienen entre 28 y 216 hosts.
Se utilizan 14 bits para identificar la red y 16 bits para la identificación del host.
Clase C:
Se utilizará para redes pequeñas que tienen menos de 28 hosts.
REDES I – Unidad V – 8 / 42
Se utilizan 21 bits para identificar la red y 8 bits para la identificación del host.
Debemos tener en cuenta que algunas de estas direcciones están reservadas para otros propósitos.
En realidad las direcciones nos especifican una conexión de red más que una computadora individual, así
un router conectando n redes tiene n direcciones IP distintas, una para cada conexión de red.
También hemos de tener en cuenta que si un host se mueve de una red a otra, su dirección IP deberá
cambiar (es una red lógica y no física).
Para encontrar la ruta (routing) de los datagramas se basará en las direcciones IP así como en sus
máscaras, se usará la porción de la dirección IP que nos especifica la red para tomar las diferentes
decisiones en cuanto a la ruta a seguir. Esto supondrá grandes ventajas.
Direcciones especiales
Poniendo todo a ceros en la dirección haremos referencia a ‘Este host’. Hemos de tener en cuenta que esta
forma especial de dirección sólo será consentida durante el proceso de arranque, de esta manera se le
permite a la maquina establecer una comunicación temporal hasta adquirir la dirección real. Una vez que
la máquina conoce la dirección correcta no deberá utilizar esta dirección de todo ceros.
Poniendo todo ceros en la parte que hace referencia a la red y la dirección del host en la parte que hace
referencia a la máquina individual hacemos referencia al ‘Host en esta red’.
Dejando inalterada la parte que hace referencia a la red y poniendo todo unos en la parte referente al host
realizaremos un ‘Broadcast directo’ para la red.
Haciendo referencia a la dirección 127 nos encontraremos frente a la ‘Dirección de loopback’.
Máscara de Subred
La función de una máscara de subred consiste en identificar la parte de la red, de la subred y del host de
una dirección IP. Las máscaras de subred sirven para dividir la red y separar una red grande o sumamente
grande en segmentos, o subredes, mas pequeños, eficientes y manejables.
Para mas información sobre TCP/IP visiten el siguiente link:
http://www.saulo.net/pub/tcpip/index.html#2-7
Ejemplos:
8bit x 4 octetos = 32 bit. (11111111.11111111.11111111.11111111 = 255.255.255.255)
8bit x 3 octetos = 24 bit. (11111111.11111111.11111111.00000000 = 255.255.255.0)
8bit x 2 octetos = 16 bit. (11111111.11111111.00000000.00000000 = 255.255.0.0)
8bit x 1 octetos = 8 bit. (11111111.00000000.00000000.00000000 = 255.0.0.0)
En el ejemplo 10.0.0.0/8, según lo explicado anteriormente, indicaría que la máscara de red es
255.0.0.0
Las máscaras, se utilizan como validación de direcciones realizando una operación AND lógica entre
la dirección IP y la máscara para validar al equipo cosa que permite realizar una verificación de la
dirección de la Red y con un OR y la máscara negada se obtiene la dirección del broadcasting.
FIREWALL
REDES I – Unidad V – 9 / 42
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra
intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall
filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una
pasarela de filtrado que comprende al menos las siguientes interfaces de red:


una interfaz para la red protegida (red interna)
una interfaz para la red externa.
El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red
dedicado, que actúa como intermediario entre la red local (u ordenador local) y una o más redes
externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema
siempre y cuando:



La máquina tenga capacidad suficiente como para procesar el tráfico
El sistema sea seguro
No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor
Cómo funciona un sistema Firewall
Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema:



Autorizar la conexión (permitir)
Bloquear la conexión (denegar)
Rechazar el pedido de conexión sin informar al que lo envió (negar)
Todas estas reglas implementan un método de filtrado que depende de la política de seguridad
adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que
permiten:

la autorización de sólo aquellas comunicaciones que se autorizaron explícitamente:
"Todo lo que no se ha autorizado explícitamente está prohibido"

el rechazo de intercambios que fueron prohibidos explícitamente
El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y
restrictiva de las necesidades de comunicación.
Filtrado de paquetes Stateless
REDES I – Unidad V – 10 / 42
Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de
paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha
intercambiado entre un ordenador de red interna y un ordenador externo.
Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con
red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados
sistemáticamente por el firewall:




La dirección IP del ordenador que envía los paquetes
La dirección IP del ordenador que recibe los paquetes
El tipo de paquete (TCP, UDP, etc.)
El número de puerto (recordatorio: un puerto es un número asociado a un servicio o a una
aplicación de red).
Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los
paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican
el tipo de servicio que se utiliza.
La siguiente tabla proporciona ejemplos de reglas del firewall:
Regla
1
2
3
Acción
IP fuente
IP destino Protocolo
Aceptar 192.168.10.20 194.154.192.3 tcp
Aceptar cualquiera
192.168.10.3 tcp
Aceptar 192.168.10.0/24 cualquiera
tcp
4
Negar
cualquiera
cualquiera
Puerto fuente
cualquiera
cualquiera
cualquiera
cualquiera cualquiera
Puerto destino
25
80
80
cualquiera
Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios
(por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la
Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones
de acuerdo con el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que
no son fundamentales (según la política de seguridad vigente).
Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de
firewall, ya que corresponde al protocolo TELNET, el cual permite a una persona emular el acceso
terminal a una máquina remota para ejecutar comandos a distancia. Los datos que se intercambian
a través de TELNET no están codificados. Esto significa que es probable que un hacker observe la
actividad de la red y robe cualquier contraseña que no esté codificada. Generalmente, los
administradores prefieren el protocolo SSH, el cual tiene la reputación de ser seguro y brinda las
mismas funciones que TELNET.
Filtrado Dinámico
El Filtrado de paquetes Stateless sólo intenta examinar los paquetes IP independientemente, lo cual
corresponde al nivel 3 del modelo OSI (Interconexión de sistemas abiertos). Sin embargo, la
mayoría de las conexiones son admitidas por el protocolo TCP, el cual administra sesiones, para
tener la seguridad de que todos los intercambios se lleven a cabo en forma correcta. Asimismo,
muchos servicios (por ejemplo, FTP) inician una conexión en un puerto estático. Sin embargo, abren
un puerto en forma dinámica (es decir, aleatoria) para establecer una sesión entre la máquina que
actúa como servidor y la máquina cliente.
De esta manera, con un filtrado de paquetes stateless, es imposible prever cuáles puertos deberían
autorizarse y cuáles deberían prohibirse Para solucionar este problema, el sistema de filtrado
dinámico de paquetes se basa en la inspección de las capas 3 y 4 del modelo OSI, lo que permite
REDES I – Unidad V – 11 / 42
controlar la totalidad de las transacciones entre el cliente y el servidor. El término que se usa para
denominar este proceso es "inspección stateful" o "filtrado de paquetes stateful".
Un dispositivo de firewall con "inspección stateful" puede asegurar el control de los intercambios.
Esto significa que toma en cuenta el estado de paquetes previos cuando se definen reglas de
filtrado. De esta manera, desde el momento en que una máquina autorizada inicia una conexión con
una máquina ubicada al otro lado del firewall, todos los paquetes que pasen por esta conexión serán
aceptados implícitamente por el firewall.
El hecho de que el filtrado dinámico sea más efectivo que el filtrado básico de paquetes no implica
que el primero protegerá el ordenador contra los hackers que se aprovechan de las vulnerabilidades
de las aplicaciones. Aún así, estas vulnerabilidades representan la mayor parte de los riesgos de
seguridad.
Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de
aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado
simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos
utilizados por cada aplicación.
Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada
aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran
entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.).
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de
aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la
realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto,
el proxy actúa como intermediario entre los ordenadores de la red interna y la red externa, y es el
que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los
encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección
de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran
capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que
cada paquete debe analizarse minuciosamente.
Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades
relacionadas para ser efectivo.
Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que
pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy
para reducir los riesgos de comprometer al sistema.
El concepto de Firewall personal
El término firewall personal se utiliza para los casos en que el área protegida se limita al
ordenador en el que el firewall está instalado.
Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y
prevenir notablemente los ataques de programas como los troyanos, es decir, programas dañinos
que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los
firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a
conectarse a su ordenador.
Limitaciones del Firewall
REDES I – Unidad V – 12 / 42
Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo contrario. Los firewalls
sólo ofrecen protección en tanto todas las comunicaciones salientes pasen sistemáticamente a
través de éstos y estén configuradas correctamente. Los accesos a la red externa que sortean el
firewall también son puntos débiles en la seguridad. Claramente, éste es el caso de las conexiones
que se realizan desde la red interna mediante un módem o cualquier otro medio de conexión que
evite el firewall.
Asimismo, la adición de medios externos de almacenamiento a los ordenadores de sobremesa o
portátiles de red interna puede dañar enormemente la política de seguridad general.
Para garantizar un nivel máximo de protección, debe ejecutarse un firewall en el ordenador y su
registro de actividad debe controlarse para poder detectar intentos de intrusión o anomalías.
Además, se recomienda controlar la seguridad (por ejemplo, inscribiéndose para recibir alertas de
seguridad de CERT) a fin de modificar los parámetros del dispositivo de firewall en función de las
alertas publicadas.
La instalación de un firewall debe llevarse a cabo de la mano de una política de seguridad real.
REDES PRIVADAS VIRTUALES
Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red
que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo
Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando
como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su
casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio
remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
Medios
Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la
autentificación, integridad y confidencialidad de toda la comunicación:




Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de
acceso debe tener.
Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de
Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure
Hash Algorithm (SHA).
Confidencialidad: Dado que solo puede ser interpretada por nadie más que los destinatarios
de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES),
Triple DES (3DES) y Advanced Encryption Standard (AES).
No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que
el mensaje lo envió él.
Requerimientos básicos



Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su
acceso a aquellos que no se encuentren autorizados.
Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet),
antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con
algoritmos de cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.
Tipos de VPN
REDES I – Unidad V – 13 / 42
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan
con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados,
etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de
acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado
con esta tecnología su infraestructura dial-up (módems y lineas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El
servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet
provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a
Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones
de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo
en las comunicaciones internacionales. Es más común el siguiente punto, también llamado
tecnología de túnel o tunneling.
Tunneling
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red
encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho
túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de
transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia
de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda
definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría
ser SSH..
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté
tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de
tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de tráfico en
escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se encuentra en su red
base, necesita que su home-agent realice ciertas funciones en su puesto, entre las que se encuentra
la de capturar el tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se
realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes conserven su
estructura y contenido originales (dirección IP de origen y destino, puertos, etc.) cuando sean
recibidos por el nodo-móvil.
VPN Virtual LAN VLAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la
empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de
conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y
servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones
de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado
detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado,
haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la
información.
REDES I – Unidad V – 14 / 42
Otro ejemplo es la conexion a redes WIFI haciendo uso de Tuneles encriptados IPSEC o SSL que
ademas de pasar por los metodos de autenticacion tradicionales (WAP, WEP , MAcaddress etc)
agregan las credenciales de seguridad del tunel VPN creado en la LAN Interna.
Implementaciones
El protocolo estándar de hecho es el IPSEC, pero también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH,
etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y
tipos de clientes soportados.
Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que
intenta hacer más amigable la configuración y operación de estas soluciones.

Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de
configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta
familia tenemos a los productos deFortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys,
Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link, etc.

Las aplicaciones VPN por software son las más configurables y son ideales cuando surgen
problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es
menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad
del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows,
GNU/Linux y los Unix en general. Por ejemplo productos de código abierto como OpenSSH,
OpenVPN y FreeS/Wan.
En ambos casos se pueden utilizar soluciones de firewall ("barrera de fuego" en castellano o
cortafuego), obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento del
rendimiento.
Ventajas




Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares distantes.
Se utiliza más en campus de universidades.
VOZ SOBRE IP (VOIP)
Unas soluciones típicas basadas en VoIP.
Un adaptador para un teléfono analógico corriente para conectar un teléfono común a una red VoIP.
Avaya 1140E VoIP Phone
Voz sobre Protocolo de Internet, también llamado Voz IP, VozIP, VoIP (por sus siglas en inglés),
es un grupo de recursos que hacen posible que la señal de voz viaje a través de Internet empleando
REDES I – Unidad V – 15 / 42
un protocolo IP (Protocolo de Internet). Esto significa que se envía la señal de voz en forma digital,
en paquetes, en lugar de enviarla en forma digital o analógica, a través de circuitos utilizables sólo
para telefonía como una compañía telefónica convencional o PSTN (sigla de Public Switched
Telephone Network, Red Telefónica Pública Conmutada).
Los Protocolos que se usan para enviar las señales de voz sobre la red IP se conocen como
protocolos de Voz sobre IP o protocolos IP. Estos pueden verse como aplicaciones comerciales de la
"Red experimental de Protocolo de Voz" (1973), inventada por ARPANET.
El tráfico de Voz sobre IP puede circular por cualquier red IP, incluyendo aquellas conectadas a
Internet, como por ejemplo las redes de área local (LAN).
Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefonía sobre IP.


VoIP es el conjunto de normas, dispositivos, protocolos, en definitiva la tecnología que permite
comunicar voz sobre el protocolo IP.
Telefonía sobre IP es el servicio telefónico disponible al público, por tanto con numeración
E.164, realizado con tecnología de VoIP.
[Nota: No confundir Telefonía sobre IP con ToIP (Text-over-IP)]
Ventajas
La principal ventaja de este tipo de servicios es que evita los cargos altos de telefonía
(principalmente de larga distancia) que son usuales de las compañías de la Red Pública Telefónica
Conmutada (PSTN). Algunos ahorros en el costo son debidos a utilizar una misma red para llevar
voz y datos, especialmente cuando los usuarios tienen sin utilizar toda la capacidad de una red ya
existente la cual pueden usar para VoIP sin un costo adicional. Las llamadas de VoIP a VoIP entre
cualquier proveedor son generalmente gratis, en contraste con las llamadas de VoIP a PSTN que
generalmente cuestan al usuario de VoIP.
El desarrollo de codecs para VoIP (aLaw, G.729, G.723, etc.) ha permitido que la voz se codifique en
paquetes de datos de cada vez menor tamaño. Esto deriva en que las comunicaciones de voz sobre
IP requieran anchos de banda muy reducidos. Junto con el avance permanente de las conexiones
ADSL en el mercado residencial, éste tipo de comunicaciones, están siendo muy populares para
llamadas internacionales.
Hay dos tipos de servicio de PSTN a VoIP: "Discado Entrante Directo" (Direct Inward Dialling: DID) y
"Números de acceso". DID conecta a quien hace la llamada directamente al usuario VoIP mientras
que los Números de Acceso requieren que este introduzca el número de extensión del usuario de
VoIP. Los Números de acceso son usualmente cobrados como una llamada local para quien hizo la
llamada desde la PSTN y gratis para el usuario de VoIP.
Estos precios pueden llegar a ser hasta 50 veces más económicos que los precios de operadores
locales.
Funcionalidad
VoIP puede facilitar tareas que serían más difíciles de realizar usando las redes telefónicas comunes:
Las llamadas telefónicas locales pueden ser automáticamente enrutadas a un teléfono VoIP, sin
importar dónde se esté conectado a la red. Uno podría llevar consigo un teléfono VoIP en un viaje, y
en cualquier sitio conectado a Internet, se podría recibir llamadas.
REDES I – Unidad V – 16 / 42
Números telefónicos gratuitos para usar con VoIP están disponibles en Estados Unidos de América,
Reino Unido y otros países de organizaciones como Usuario VoIP.
Los agentes de Call center usando teléfonos VoIP pueden trabajar en cualquier lugar con conexión a
Internet lo suficientemente rápida.
Algunos paquetes de VoIP incluyen los servicios extra por los que PSTN (Red Publica Telefónica
Conmutada) normalmente cobra un cargo extra, o que no se encuentran disponibles en algunos
países, como son las llamadas de 3 a la vez, retorno de llamada, remarcación automática, o
identificación de llamada.
Móvil
Los usuarios de VoIP pueden viajar a cualquier lugar en el mundo y seguir haciendo y recibiendo
llamadas de la siguiente forma:
Los subscriptores de los servicios de las líneas telefónicas pueden hacer y recibir llamadas locales
fuera de su localidad. Por ejemplo, si un usuario tiene un número telefónico en la ciudad de Nueva
York y está viajando por Europa y alguien llama a su número telefónico, esta se recibirá en Europa.
Además si una llamada es hecha de Europa a Nueva York, esta será cobrada como llamada local, por
supuesto el usuario de viaje por Europa debe tener una conexión a Internet disponible.
Los usuarios de Mensajería Instantánea basada en servicios de VoIP pueden también viajar a
cualquier lugar del mundo y hacer y recibir llamadas telefónicas.
Los teléfonos VoIP pueden integrarse con otros servicios disponibles en Internet, incluyendo
videoconferencias, intercambio de datos y mensajes con otros servicios en paralelo con la
conversación, audio conferencias, administración de libros de direcciones e intercambio de
información con otros (amigos, compañeros, etc).
Repercusión en el comercio
La Voz sobre IP está abaratando las comunicaciones internacionales y mejorando por tanto la
comunicación entre proveedores y clientes, o entre delegaciones del mismo grupo.
Asimismo, la voz sobre IP se está integrando, a través de aplicaciones específicas, en portales web.
De esta forma los usuarios pueden solicitar una llamada de X empresa o programar una llamada
para una hora en concreto, que se efectuará a través de un operador de Voz IP normalmente.
Futuro de la Voz sobre IP
El ancho de banda creciente a nivel mundial, y la optimización de los equipos de capa 2 y 3 para
garantizar el QoS (Quality of Service) de los servicios de voz en tiempo real hace que el futuro de la
Voz sobre IP sea muy prometedor. En Estados Unidos los proveedores de voz sobre IP como Vonage
consiguieron una importante cuota de mercado. En España, gracias a las tarifas planas de voz, los
operadores convencionales consiguieron evitar el desembarco masivo de estos operadores. Sin
embargo la expansión de esta tecnología está viniendo de mano de los desarrolladores de sistemas
como Cisco y Avaya que integran en sus plataformas redes de datos y voz. Otros fabricantes como
Alcatel-Lucent, Nortel Networks, Matra, Samsung y LG también desarrollan soluciones corporativas
de voz sobre IP en sus equipos de telecomunicaciones.
El Estándar VoIP (H.323)
Definido en 1996 por la UIT (Unión Internacional de Telecomunicaciones) proporciona a los diversos
fabricantes una serie de normas con el fin de que puedan evolucionar en conjunto.
REDES I – Unidad V – 17 / 42
Características principales
Por su estructura el estándar proporciona las siguientes ventajas:
Permite controlar el tráfico de la red, por lo que se disminuyen las posibilidades de que se produzcan
caídas importantes en el rendimiento. Las redes soportadas en IP presentan las siguientes ventajas
adicionales:
Es independiente del tipo de red física que lo soporta. Permite la integración con las grandes redes
de IP actuales.
Es independiente del hardware utilizado.
Permite ser implementado tanto en software como en hardware, con la particularidad de que el
hardware supondría eliminar el impacto inicial para el usuario común.
Permite la integración de Vídeo y TPV
VoIP no es un servicio, es una tecnología
En muchos países del mundo, IP ha generado múltiples discordias, entre lo territorial y lo legal sobre
esta tecnología, está claro y debe quedar en claro que la tecnología de VoIP no es un servicio como
tal, sino una tecnología que usa el Protocolo de Internet (IP) a través de la cual se comprimen y
descomprimen de manera altamente eficiente paquetes de datos o datagramas, para permitir la
comunicación de dos o más clientes a través de una red como la red de Internet. Con esta
tecnología pueden prestarse servicios de Telefonía o Videoconferencia, entre otros.
Arquitectura de red
El propio Estándar define tres elementos fundamentales en su estructura:
Terminales: son los sustitutos de los actuales teléfonos. Se pueden implementar tanto en software
como en hardware.
Gatekeepers: son el centro de toda la organización VoIP, y serían el sustituto para las actuales
centrales. Normalmente implementadas en software, en caso de existir, todas las comunicaciones
pasarían por él.
Gateways: se trata del enlace con la red telefónica tradicional, actuando de forma transparente para
el usuario.
Con estos tres elementos, la estructura de la red VoIP podría ser la conexión de dos delegaciones de
una misma empresa. La ventaja es inmediata: todas las comunicaciones entre las delegaciones son
completamente gratuitas. Este mismo esquema se podría aplicar para proveedores, con el
consiguiente ahorro que esto conlleva.
Protocolos de VoIP: son los lenguajes que utilizarán los distintos dispositivos VoIP para su conexión.
Esta parte es importante ya que de ella dependerá la eficacia y la complejidad de la comunicación.
Por orden de antigüedad (de más antiguo a más nuevo):
H.323 - Protocolo definido por la ITU-T;
SIP - Protocolo definido por la IETF;
REDES I – Unidad V – 18 / 42
Megaco (También conocido como H.248) y MGCP - Protocolos de control;
Skinny Client Control Protocol - Protocolo propiedad de Cisco;
MiNet - Protocolo propiedad de Mitel;
CorNet-IP - Protocolo propiedad de Siemens;
IAX - Protocolo original para la comunicación entre PBXs Asterisk (Es un estándar para los demás
sistemas de comunicaciones de datos,[cita requerida] actualmente está en su versión 2, IAX2);
Skype - Protocolo propietario peer-to-peer utilizado en la aplicación Skype;
IAX2 - Protocolo para la comunicación entre PBXs Asterisk en reemplazo de IAX;
Jingle - Protocolo abierto utilizado en tecnología Jabber;
MGCP- Protocolo propietario de Cisco;
weSIP- Protocolo licencia gratuita de VozTelecom.
Como hemos visto VoIP presenta una gran cantidad de ventajas, tanto para las empresas como para
los usuarios comunes. La pregunta sería ¿por qué no se ha implantado aún esta tecnología?. A
continuación analizaremos los aparentes motivos, por los que VoIP aún no se ha impuesto a las
telefonías convencionales.
Parámetros de la VoIP
Este es el principal problema que presenta hoy en día la penetración tanto de VoIP como de todas
las aplicaciones de IP. Garantizar la calidad de servicio sobre Internet, que solo soporta "mejor
esfuerzo" (best effort) y puede tener limitaciones de ancho de banda en la ruta, actualmente no es
posible; por eso, se presentan diversos problemas en cuanto a garantizar la calidad del servicio.
Códecs
La voz ha de codificarse para poder ser transmitida por la red IP. Para ello se hace uso de Códecs
que garanticen la codificación y compresión del audio o del video para su posterior decodificación y
descompresión antes de poder generar un sonido o imagen utilizable. Según el Códec utilizado en la
transmisión, se utilizará más o menos ancho de banda. La cantidad de ancho de banda suele ser
directamente proporcional a la calidad de los datos transmitidos.
Entre los codecs utilizados en VoIP encontramos los G.711, G.723.1 y el G.729 (especificados por la
ITU-T)
Estos Codecs tienen este tamaño en su señalización:
G.711: bit-rate de 56 o 64 Kbps.
G.722: bit-rate de 48, 56 o 64 Kbps.
G.723: bit-rate de 5,3 o 6,4 Kbps.
G.728: bit-rate de 16 Kbps.
G.729: bit-rate de 8 o 13 Kbps.
REDES I – Unidad V – 19 / 42
Esto no quiere decir que es el ancho de banda utilizado, por ejemplo el Codec G729 utiliza 31.5 Kbps
de ancho de banda en su transmisión.
Retardo o latencia
Una vez establecidos los retardos de tránsito y el retardo de procesado la conversación se considera
aceptable por debajo de los 150 ms. Pérdida de tramas (Frames Lost):
Durante su recorrido por la red IP las tramas se pueden perder como resultado de una congestión de
red o corrupción de datos. Además, para tráfico de tiempo real como la voz, la retransmisión de
tramas perdidas en la capa de transporte no es práctico por ocasionar retardos adicionales. Por
consiguiente, los terminales de voz tienen que retransmitir con muestras de voz perdidas, también
llamadas Frame Erasures. El efecto de las tramas perdidas en la calidad de voz depende de como los
terminales manejan las Frame Erasures.
En el caso más simple, el terminal deja un intervalo en el flujo de voz, si una muestra de voz es
perdida. Si muchas tramas son perdidas, sonara grietoso con silabas o palabras perdidas. Una
posible estrategia de recuperación es reproducir las muestras de voz previas. Esto funciona bien si
sólo unas cuantas muestras son perdidas. Para combatir mejor las ráfagas de errores usualmente se
emplean sistemas de interpolación. Basándose en muestras de voz previas, el decodificador
predecirá las tramas perdidas. Esta técnica es conocida como Packet Loss Concealment (PLC).
La ITU-T G.113 apéndice I provee algunas líneas de guía de planificación provisional en el efecto de
perdida de tramas sobre la calidad de voz. El impacto es medido en términos de Ie, el factor de
deterioro. Este es un número en la cual 0 significa no deterioró. El valor más grande de Ie significa
deterioro más severo. La siguiente tabla está derivada de la G.113 apéndice I y muestra el impacto
de las tramas perdidas en el factor Ie.
Calidad del servicio
La calidad de este servicio se está logrando bajo los siguientes criterios:
La supresión de silencios, otorga más eficiencia a la hora de realizar una transmisión de voz, ya que
se aprovecha mejor el ancho de banda al transmitir menos información.
Compresión de cabeceras aplicando los estándares RTP/RTCP.
Priorización de los paquetes que requieran menor latencia. Las tendencias actuales son:
CQ (Custom Queuing) (Sánchez J.M:, VoIP'99): Asigna un porcentaje del ancho de banda disponible.
PQ (Priority Queuing) (Sánchez J.M:, VoIP'99): Establece prioridad en las colas.
WFQ (Weight Fair Queuing) (Sánchez J.M:, VoIP'99): Se asigna la prioridad al tráfico de menos
carga.
DiffServ: Evita tablas de encaminados intermedios y establece decisiones de rutas por paquete.
La implantación de IPv6 que proporciona mayor espacio de direccionamiento y la posibilidad de
tunneling.
TECNOLOGÍA ETHERNET
Ethernet es el nombre que se le ha dado a una popular tecnología LAN de conmutación de paquetes
inventada por Xerox PARC a principios de los años setenta. Xerox Corporation, Intel Corporation y
REDES I – Unidad V – 20 / 42
Digital Equipment Corporation estandarizaron Ethernet en 1978; IEEE liberó una versión compatible
del estándar utilizando el número 802.3. Ethernet se ha vuelto una tecnología LAN popular; muchas
compañías, medianas o grandes, utilizan Ethernet.
Cada cable Ethernet tiene aproximadamente ½ pulgada de diámetro y mide hasta 500 m de largo.
Se añade una resistencia entre el centro del cable y el blindaje en cada extremo del cable para
prevenir la reflexión de señales eléctricas.
½ pulgada
Cubierta exterior de aislamiento
Blindaje de malla trenzada
Relleno de polietileno
Alambre central
Figura 1
El diseño original de Ethernet utilizaba cable coaxial como el mostrado en la figura 1. Llamado ether,
el cable por sí mismo es completamente pasivo; todos los componentes electrónicos activos que
hacen que la red funcione están asociados con las computadoras que se comunican en la red.
La conexión entre una computadora y un cable coaxial Ethernet requiere de un dispositivo de
hardware llamado transceptor. Físicamente la conexión entre un transceptor y el cable Ethernet
requiere de una pequeña perforación a la capa exterior del cable. Los técnicos con frecuencia utilizan
el término tap para describir la conexión entre un transceptor Ethernet y el cable. Por lo general,
una pequeña aguja de metal montada en el transceptor atraviesa la perforación y proporciona el
contacto eléctrico con el centro del cable y el blindaje trenzado. Algunos fabricantes de conectores
hacen que el cable se corte y se inserte una ‘T’.
Cada conexión a una red Ethernet tiene dos componentes electrónicos mayores. Un transceptor es
conectado al centro del cable y al blindaje trenzado del cable, por medio del cual recibe y envía
señales por el cable ether. Una interfaz anfitrión o adaptador anfitrión se conecta dentro del bus de
la computadora (por ejemplo, en una tarjeta madre) y se conecta con el transceptor.
Un transceptor es una pequeña pieza de hardware que por lo común se encuentra físicamente junto
al cable ether. Además del hardware análogo que envía y controla las señales eléctricas en el cable
ether, un transceptor contiene circuitería digital que permite la comunicación con una computadora
digital. El transceptor, cuando el cable ether está en uso, puede recibir y traducir señales eléctricas
analógicas hacia o desde un formato digital en el cable ether. Un cable llamado Attachment Unit
Interface (AUI) conecta el transceptor con la tarjeta del adapatador en una computadora anfitrión.
Informalmente llamado cable transceptor, el cable AUI contiene muchos cables. Los cables
transportan la potencia eléctrica necesaria para operar el transceptor, las señales de control para la
operación del transceptor y el contenido de los paquetes que se están enviando o recibiendo.
Cada interfaz de anfitrión controla la operación de un transceptor de acuerdo a las intrucciones que
recibe del software de la computadora. Para el software del sistema operativo, la interfaz aparece
como un dispositivo de entrada/salida que acepta instrucciones de transferencia de datos básicas
desde la computadora, controla la transferencia del transceptor e interrumpe el proceso cuando éste
ha concluido, finalmente reporta la información de estado. Aun cuando el transceptor es un simple
dispositivo de hardware, la interfaz de anfitrión puede ser compleja (por ejemplo, puede contener un
microprocesador utilizado para controlar la transferencia entre la memoria de la computadora y el
cable ether).
REDES I – Unidad V – 21 / 42
En la práctica las organizaciones que utilizan Ethernet original en el ambiente de una oficina
convencional extienden el cable Ethernet por el techo de las habitaciones e instalan una conexión
para cada oficina conectándola de este modo con el cable. La figura 2 ilustra el esquema de
cableado físico resultante.
Cable Ethernet
(normalmente por el techo)
Transceptores
Cable AUI
Computadora A
Computadora B
Figura 2
Ethernet de cable delgado
Varios componentes de la tecnología Ethernet original tenían propiedades indeseables. Por ejemplo,
un transceptor contenía componentes electrónicos, su costo no era insignificante. Además, ya que el
transceptor estaba localizado en el cable y no en la computadora, estos podían ser difíciles de
accesar o remplazar. El cable coaxial que forma el ether puede también ser difícil de instalar. En
particular, para proporcionar la máxima protección contra la interferencia eléctrica el cable contiene
un blindaje pesado que hace que el cable sea difícil de doblar. Por último un cable AUI también es
grueso y difícil de doblar.
Para reducir costos en el caso de ambientes como el de las oficinas, en donde no existe mucha
interferencia eléctrica, los ingenieros desarrollaron una alternativa al esquema de cableado Ethernet.
Llamada thin wire Ethernet o thinnet, el cable coaxial alternativo es más delgado, menos caro y más
flexible. Sin embargo, un cable delgado Ethernet tiene algunas desventajas. Dado que no
proporciona mucha protección contra la interferencia eléctrica, el cable delgado Ethernet no puede
ser colocado junto a un equipo eléctrico potente, como podría suceder en el caso de una fábrica.
Además, el cable delgado Ethernet cubre distancias algo más cortas y soporta un menor número de
conexiones de computadoras por red que el cable grueso Ethernet.
Para reducir aún más los costos del cable delgado Ethernet, los ingenieros remplazaron el costoso
transceptor con circuitería digital de alta velocidad especial y proporcionaron una conexión directa
desde una computadora hasta el cable ether. De esta forma, en el esquema de cable delgado, una
computadora contiene tanto la interfaz de anfitrión como la circuitería necesaria para conectar la
computadora con el cable. Los fabricantes de pequeñas computadoras y estaciones de trabajo
encontraron el esquema del cable delgado Ethernet especialmente atractivo, debido a que podían
REDES I – Unidad V – 22 / 42
integrar el hardware de Ethernet en una sola tarjeta de computadora y hacer las conexiones
necesarias de manera directa en la parte posterior de la computadora.
Como el cable delgado Ethernet conecta directamente una computadora con otra, el esquema de
cableado trabaja bien cuando muchas computadoras ocupan una sola habitación. El cable delgado
conecta en forma directa una computadora con otra. Para añadir una nueva computadora sólo es
necesario enlazarla con la cadena. En la figura 3 se ilustra la conexión utilizada en el esquema de
cable delgado Ethernet.
Cable Thinnet
Computadora A
Computadora B
Figura 3
El esquema de cable delgado Ethernet está diseñado para conectarse y desconectarse fácilmente. El
esquema de cable delgado utiliza conectores BNC, los cuales no requieren de herramientas para
conectar una computadora con el cable. Así, un usuario puede conectar una computadora al cable
delgado Ethernet sin ayuda de un técnico. Por supuesto, permitir que el usuario manipule el cable
ether tiene sus desventajas: si un usuario desconecta el cable ether, esto provocará que todas las
máquinas en el ether queden incomunicadas. En muchos casos, sin embargo, las ventajas superan
las desventajas.
Ethernet de par trenzado
Los avances en la tecnología han hecho posible contruir redes Ethernet que no necesitan del blindaje
eléctrico de un cable coaxial. LLamada twisted pair ethernet (Ethernet de par trenzado), esta
tecnología permite que una computadora accese a una red Ethernet mediante un par de cables de
cobre convencionales sin blindaje, similares a los cables utilizados para conectar los teléfonos. La
ventaja de usar cables de par trenzado es que reducen mucho los costos y protegen a otras
computadoras conectadas a la red de los riesgos que se podrían derivar de que un usuario
desconecte una computadora. En algunos casos, la tecnología de de par trenzado hace posible que
una organización instale una red Ethernet a partir del cableado telefónico existente sin tener que
añadir cables nuevos.
Conocido con el nombre técnico de 10base-T, el esquema de cableado de par trenzado conecata
cada computadora con un hub (concentrador) Ethernet como se muestra en la figura 4.
REDES I – Unidad V – 23 / 42
Concentrador (Hub)
Conexión de par trenzado
hacia el concentrador
Computadora A
Computadora B
Figura 4
l concentrador es un dispositivo electrónico que simula la señal en un cable Ethernet. Físicamente,
un concentrador consiste en una pequeña caja que por lo general se aloja en un gabinete para
cableado; la conexión entre un concentrador y una computadora debe tener una longitud menor a
100 m. Un concentrador requiere de alimentación eléctrica y puede permitir que el personal
autorizado monitoree y controle la operación de la red. Para la interfaz anfitrión, en una
computadora, la conexión hacia un concentrador parece operar de la misma forma que la conexión
hacia un transceptor. Esto es, un concentrador Ethernet proporciona la misma capacidad de
comunicación que un Ethernet delgado o grueso; los concentradores sólo ofrecen una alternativa al
esquema de cableado.
Esquemas de cableado múltiples y adaptadores
Una conexión Ethernet de cable grueso requiere de un conector AUI, una conexión para Ethernet de
cable delgado requiere de un conector BNC y una conexión para 10base-T requiere de un conector
RJ45 que recuerda a los conectores modulares utilizados en los teléfonos. Muchos productos
Ethernet permiten que cada usuario selecciones el esquema de cableado. Por ejemplo, las tarjetas
adaptadoras para computadoras personales con frecuencia cuentan con los 3 conectores como se
muestra en la figura 5. Dado que sólo un conector puede usarse a la vez, una computadora que
cuenta con un adaptador determinado puede cambiarse de un esquema de cableado a otro con
facilidad.
REDES I – Unidad V – 24 / 42
Conector RJ-45
para 10Base-t
Conector AUI
para Thicknet
Conector BNC
para Thinnet
Figura 5
Propiedades de una red Ethernet
La red Ethernet es una tecnología de bus de difusión de 10 Mbps que se conoce como 'entrega con
el mejor esfuerzo' y un control de acceso distribuido. Es un bus debido a que todas las estaciones
comparten un sólo canal de comunicación, es de difusión porque todos los transceptores reciben
todas las transmisiones. El método utilizado para dirigir paquetes de una estación a otra únicamente
o al subconjunto de todas las estaciones se analizará más adelante. Por ahora, es suficiente con
entender que los transceptores no distinguen las transmisiones -- transfieren todos los paquetes del
cable a la interfaz anfitrión, la cual selecciona los paquetes que la computadora debe recibir y filtra
todos los demás--. Las redes Ethernet cuentan con un mecanismo llamado entrega con el mejor
esfuerzo debido a que el hardware no proporciona información al emisor acerca de si el paquete ha
sido recibido. Por ejemplo, si la máquina de destino es apagada, los paquetes enviados se perderán
y el emisor no será notificado. Más adelante veremos cómo el protocolo TCP/IP se adapta al
hardware de entrega con el mejor esfuerzo.
El control de acceso en las redes Ethernet es distribuido porque, a difencia de algunas tecnologías de
red, Ethernet no tiene la autoridad central para garantizar el acceso. El esquema de acceso de
Ethernet es conocido como Carrier Sense Multiple Access with Collision Detect (CSMA/CD). Es un
CSMA debido a que varias máquinas pueden accesar la red Ethernet de manera simultánea y cada
máquina determina si el cable ether está disponible al verificar si está presente una onda portadora.
Cuando una interfaz anfitrión tiene un paquete para transmitir verifica el cable ether para comprobar
si un mensaje se está transmitiendo (por ejemplo, verificando si existe una portadora). Cuando no
se comprueba la presencia de una transmisión, la interfaz de anfitrión comienza a transmitir. Cada
transmisión está limitada en duración (dado que hay un tamaño máximo para los paquetes).
Además, el hardware debe respetar un tiempo mínimo de inactividad entre transmisiones, esto
significa que no se dará el caso de que un par de computadoras que se comuniquen puedan utilizar
la red sin que otras máquinas tengan la oportunidad de accesarla.
Recuperación y detección de colisiones
Cuando un transceptor comienza a transmitir, la señal no alcanza todas las partes de la red de
manera simultánea. En lugar de ello, la señal viaja a lo largo del cable a una velocidad aproximada
al 80% de la velocidad de la luz. De esta forma, es posible que dos transceptores perciban que la
red está desocupada y comiencen a transmitir en forma simultánea. Cuando las dos señales
eléctricas se cruzan, se produce una perturbación y ninguna de las dos señales será significativa.
Este tipo de incidentes se conoce como colisiones.
REDES I – Unidad V – 25 / 42
El manejo de colisiones en Ethernet se resuelve de manera ingeniosa. Cada transceptor monitorea el
cable mientras está transmitiendo para explorar si hay alguna señal eléctrica exterior que interfiera
con su transmisión. Técnicamente, el monitoreo se conoce como detección de colisiones (CD), esto
hace de Ethernet una red CSMA/CD. Cuando se detecta una colisión, la interfaz de anfitrión aborta la
transmisión y espera a que la actividad disminuya, luego intenta de nuevo transmitir. Se debe tener
mucho cuidado pues de otra forma la red podría caer en una situación en la que todos los
transceptores se ocuparían de intentar transmitir y todas las trasnmisiones producirían colisiones.
Para ayudar a evitar este tipo de situaciones, las redes Ethernet utilizan un procedimiento de
retroceso exponencial binario mediante el cual el emisor espera un lapso aleatorio, después de la
primera colisión esperará el doble de tiempo para intentar transmitir de nuevo, si de nuevo se
produce una colisión esperará cuatro veces el lapso inicial antes de realiza un tercer intento y así
sucesivamente. El retroceso exponencial evita que se pueda producir un congestionamiento intenso
cuando estaciones diferentes tratan de transmitir en forma simultánea. En caso de que se de un
congestionamiento, existe una alta probabilidad de que dos estaciones seleccionen retrocesos
aleatorios muy cercanos. Así, la probabilidad de que se produzca otra colisión es alta. Al duplicar el
retardo aleatorio, la estrategia de retroceso exponencial distribuye con rapidez los intentos de las
estaciones para retransmitir en un intervalo de tiempo razonablemente largo, haciendo que la
probabilidad de que se produzcan nuevas colisiones sea muy pequeña.
Capacidad de las redes Ethernet
El estándar Ethernet se define en 10 Mbps, lo cual significa que los datos pueden transmitirse por el
cable a razón de 10 millones de bits por segundo. A pesar de que una computadora puede generar
datos a la velocidad de la red Ethernet, la velocidad de la red no debe pensarse como la velocidad a
la que dos computadoras pueden intercambiar datos. La velocidad de la red debe pensarse como
una medida de la capacidad del tráfico total de la red. Pensemos en una red como en una carretera
que conecta varias ciudades y pensemos en los paquetes como en coches en la carretera. Un ancho
de banda alto hace posible transferir cargas de tráfico pesadas, mientras que un ancho de banda
bajo significa que la carretera no puede transportar mucho tráfico. Una red Ethernet a 10 Mbps, por
ejemplo, puede soportar unas cuantas computadoras que generan cargas pesadas o muchas
computadoras que generan cargas ligeras.
SPANNING TREE
Spanning Tree Protocol (SmmTPr) es un protocolo de red de nivel 2 de la capa OSI, (nivel de
enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman mientras trabajaba para
DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el IEEE (IEEE 802.1D),
que no son compatibles entre sí. En la actualidad, se recomienda utilizar la versión estandarizada
por el IEEE.
Su función es la de gestionar la presencia de bucles en topologías de red debido a la existencia de
enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las
conexiones). El protocolo permite a los dispositivos de interconexión activar o desactivar
automáticamente los enlaces de conexión, de forma que se garantice que la topología está libre de
bucles. STP es transparente a las estaciones de usuario.
Los bucles infinitos ocurren cuando hay rutas alternativas hacia una misma máquina o segmento de
red de destino. Estas rutas alternativas son necesarias para proporcionar redundancia, ofreciendo
una mayor fiabilidad. Si existen varios enlaces, en el caso que uno falle, otro enlace puede seguir
soportando el tráfico de la red. Los problemas aparecen cuando utilizamos dispositivos de
interconexión de nivel de enlace, como un puente de red o un conmutador de paquetes.
Cuando hay bucles en la topología de red, los dispositivos de interconexión de nivel de enlace
reenvían indefinidamente las tramas Broadcast y multicast, al no existir ningún campo TTL (Time To
Live, Tiempo de Vida) en la Capa 2, tal y como ocurre en la Capa 3. Se consume entonces una gran
cantidad de ancho de banda, y en muchos caso la red queda inutilizada. Un router, por el contrario,
sí podría evitar este tipo de reenvíos indefinidos. La solución consiste en permitir la existencia de
REDES I – Unidad V – 26 / 42
enlaces físicos redundantes, pero creando una topología lógica libre de bucles. STP permite
solamente una trayectoria activa a la vez entre dos dispositivos de la red (esto previene los bucles)
pero mantiene los caminos redundantes como reserva, para activarlos en caso de que el camino
inicial falle.
Si la configuración de STP cambia, o si un segmento en la red redundante llega a ser inalcanzable, el
algoritmo reconfigura los enlaces y restablece la conectividad, activando uno de los enlaces de
reserva. Si el protocolo falla, es posible que ambas conexiones estén activas simultáneamente, lo
que podrían dar lugar a un bucle de tráfico infinito en la LAN.
Existen múltiples variantes del Spaning Tree Protocol, debido principalmente al tiempo que tarda el
algoritmo utilizado en converger. Una de estas variantes es el Rapid Spanning Tree Protocol
El árbol de expansión (Spanning tree) permanece vigente hasta que ocurre un cambio en la
topología, situación que el protocolo es capaz de detectar de forma automática. El máximo tiempo
de duración del árbol de expansión es de cinco minutos. Cuando ocurre uno de estos cambios, el
puente raíz actual redefine la topología del árbol de expansión o se elige un nuevo puente raíz.
Funcionamiento
Este algoritmo cambia una red física con forma de malla, en la que existen bucles, por una red
lógica en árbol en la que no existe ningún bucle. Los puentes se comunican mediante mensajes de
configuración llamados Bridge Protocol Data Units (B.P.D.U).
El protocolo establece identificadores por puente y elige el que tiene la prioridad más alta (el
número más bajo de prioridad numérica), como el puente raíz. Este puente raíz establecerá el
camino de menor coste para todas las redes; cada puerto tiene un parámetro configurable: el Span
path cost. Después, entre todos los puentes que conectan un segmento de red, se elige un puente
designado, el de menor coste (en el caso que haya mismo coste en dos puentes, se elige el que
tenga el menor identificador "direccion MAC"), para transmitir las tramas hacia la raíz. En este
puente designado, el puerto que conecta con el segmento, es el puerto designado y el que ofrece un
camino de menor coste hacia la raíz, el puerto raíz. Todos los demás puertos y caminos son
bloqueados, esto es en un estado ya estacionario de funcionamiento.
Elección del puente raíz
La primera decisión que toman todos los switches de la red es identificar el puente raíz ya que esto
afectará al flujo de tráfico. Cuando un switch se enciende, supone que es el switch raíz y envía las
BPDU que contienen la dirección MAC de sí mismo tanto en el BID raíz como emisor. Cada switch
reemplaza los BID de raíz más alta por BID de raíz más baja en las BPDU que se envían. Todos los
switches reciben las BPDU y determinan que el switch que cuyo valor de BID raíz es el más bajo
será el puente raíz. El administrador de red puede establecer la prioridad de switch en un valor más
pequeño que el del valor por defecto (32768), lo que hace que el BID sea más pequeño. Esto sólo se
debe implementar cuando se tiene un conocimiento profundo del flujo de tráfico en la red.
Elección de los puertos raíz
Una vez elegido el puente raíz hay que calcular el puerto raíz para los otros puentes que no son raíz.
Para cada puente se calcula de igual manera, cual de los puertos del puente tiene menor coste al
puente raíz, ese será el puerto raíz de ese puente.
Elección de los puertos designados
Una vez elegido el puente raíz y los puertos raíz de los otros puentes pasamos a calcular los puertos
designados de cada LAN, que será el que le lleva al menor coste al puente raíz. Si hubiese empate
se elige por el ID más bajo.
REDES I – Unidad V – 27 / 42
Puertos bloqueados
Aquellos puertos que no sean elegidos como raíz ni como designados deben bloquearse.
Mantenimiento del Spanning Tree
El cambio en la topología puede ocurrir de dos formas:


El puerto se desactiva o se bloquea
El puerto pasa de estar bloqueado o desactivado a activado
Cuando se detecta un cambio el switch notifica al puente raíz dicho cambio y entonces el puente raíz
envía por broadcast dicha cambio. Para ello, se introduce una BPDU especial denominada
notificación de cambio en la topología (TCN). Cuando un switch necesita avisar acerca de un cambio
en la topología, comienza a enviar TCN en su puerto raíz. La TCN es una BPDU muy simple que no
contiene información y se envía durante el intervalo de tiempo de saludo. El switch que recibe la
TCN se denomina puente designado y realiza el acuse de recibo mediante el envío inmediato de una
BPDU normal con el bit de acuse de recibo de cambio en la topología (TCA). Este intercambio
continúa hasta que el puente raíz responde.
Estado de los puertos
Los estado en los que puede estar un puerto son los siguientes:





Bloqueo: En este estado sólo se pueden recibir BPDU's. Las tramas de datos se descartan y
no se actualizan las tablas de direcciones MAC (mac-address-table).
Escucha: A este estado se llega desde Bloqueo. En este estado, los switches determinan si
existe alguna otra ruta hacia el puente raíz. En el caso que la nueva ruta tenga un coste
mayor, se vuelve al estado de Bloqueo. Las tramas de datos se descartan y no se actualizan
las tablas ARP. Se procesan las BPDU.
Aprendizaje: A este estado se llega desde Escucha. Las tramas de datos se descartan pero
ya se actualizan las tablas de direcciones MAC (aquí es donde se aprenden por primera vez).
Se procesan las BPDU.
Envío: A este estado se llega desde Aprendizaje. Las tramas de datos se envían y se
actualizan las tablas de direcciones MAC (mac-address-table). Se procesan las BPDU.
Desactivado: A este estado se llega desde cualquier otro. Se produce cuando un
administrador deshabilita el puerto o éste falla. No se procesan las BPDU.
Próximamente estará el nuevo protocolo 802.11t que será mucho más rápido que este. enero 2010
TRUNKING
El trunking es una función para conectar dos switchs, routers o servidores, del mismo modelo o no,
mediante 2 cables en paralelo en modo Full-Duplex. Así se consigue un ancho de banda del doble
para la comunicación entre los switches. Esto permite evitar cuellos de botella en la conexión de
varios segmentos y servidores. El protocolo es 802.1ad
SMDS
Este servicio (Switched Multimegabit Data Service) es apropiado cuando:



Se tienen múltiples LANs en una ciudad por ejemplo las redes de celulares
El tráfico entre LANs es esporádico
Se requiere transferir grandes cantidades de datos en intervalos cortos de tiempo
REDES I – Unidad V – 28 / 42

Las aplicaciones se encargan de la retransmisión y chequeo de errores
SMDS cuenta con una serie de facilidades adicionales como son:
Se pueden crear redes privadas dentro de una red pública usando "pantallas" o filtrado
Se ofrece el servicio de "broadcast" de paquetes
SMDS es un servicio no orientado a la conexión y no confiable (connectionelss, non reliable). Su
formato interno consta de tres campos principales: Dirección origen, Dirección destino y datos. El
campo de datos puede contener hasta 9188 bytes que puede ser un paquete de cualquier protocolo.
La funcionalidad de SMDS reside en aparatos (switches) con una velocidad de transferencia
estándard de 45Mbps. Para una colección de N LANs, se necesitarían N enlaces hacia el switch el
cual le dará conectividad a todas las LANs a la velocidad que el cliente esté dispuesto a pagar.
X.25
El conjunto de protocolos X.25 se usa en una gran cantidad de redes públicas en todo el mundo para
conectar LANs privadas a redes públicas de datos. Desde el punto de vista de X.25, la red funciona
como lo hace el sistema telefónico. En X.25, cada host se conecta a un switch que tendrá la
obligación de enrutar los paquetes de los diferentes enlaces.
X.25 es un servicio orientado a la conexión y ofrece circuitos virtuales y permanentes. Un circuito
conmutado virtual se crea cuando un nodo envía un paquete a la red pidiendo llamar a un nodo
remoto. Se establece una ruta desde el nodo remitente al nodo destino y por ahí se transmiten los
paquetes que generalmente llegan en orden. En los niveles 2 y 4 se checan errores de transmisión.
X.25 también realiza un control de flujo que asegura que los paquetes no serán perdidos si hay una
diferencia de velocidad de transmisión/recepción entre emisor y receptor.
Un circuito virtual permanente es igual que el conmutado, excepto que existe una línea física entre
emisor y receptor y la llamada inicial del nodo a la red es innecesaria.
X.25 es interesante para personas que requieren acceso a LANs desde lugares remotos a través del
servicio telefónico público. El servicio de PAD (Packet Assembler Disassembler) es útil y se realiza
entre una terminal que hable X.25 (descrito en un documento llamado X.3). Otro protocolo llamado
X.28 define la comunicación entre la terminal y el PAD, mientras el protocolo X.9 la define entre el
PAD y la red. Al X.3, X.28 y X.29 se le conoce como triple X.
ATM
INTRODUCCIÓN
ATM: La tecnología ATM (Asyncronous Transfer Mode) es una tecnología de conmutación de celdas
que utiliza la multiplexación por división en el tiempo asíncrona, permitiendo una ganancia
REDES I – Unidad V – 29 / 42
estadística en la agregación de tráfico de múltiples aplicaciones. Las celdas son las unidades de
transferencia de información en ATM. Estas celdas se caracterizan por tener una longitud fija de 53
octetos. La longitud fija de las celdas permite que la conmutación sea realizada por el hardware,
consiguiendo con ello alcanzar altas velocidades (2, 34, 155 y 622 Mbps) de forma fácilmente
escalable.
El Servicio ATM, basado en la tecnología de conmutación de celdas, permite la de transmisión de
voz, imágenes y datos de alta velocidad. El Servicio ATM permite la conexión eficiente, fiable y con
retardo mínimo, entre las diferentes instalaciones de cliente.
La tecnología ATM forma parte de la RDSI de banda ancha propuesta por el ITU.
El Servicio ATM es un servicio de transporte de celdas ATM extremo a extremo. Las celdas ATM
generadas por un equipo cliente son transportadas a un destino remoto de forma eficiente y fiable y
con retardo mínimo. ATM es una tecnología orientada a la conexión, en la que las comunicaciones se
establecen mediante circuitos virtuales que permiten mantener múltiples comunicaciones con uno o
varios destinos.
El Servicio ATM proporciona una multiplexación estadística de diferentes comunicaciones
establecidas en circuitos virtuales, permitiendo la compartición de una misma línea de transmisión.
Los circuitos virtuales son de carácter permanente.
Hacia el cliente, el Servicio ATM se plasma en una Red de Cliente ATM, que es el conjunto integrado
y gestionado de conexiones de acceso, circuitos virtuales y, en general, recursos de Red que
constituyen el Servicio entregado al cliente, prestándose este en régimen de Red Privada Virtual.
El Servicio ATM incluye la configuración, administración, mantenimiento, supervisión y control de
todos los elementos involucrados en la provisión del Servicio: elementos de Red y líneas punto a
punto de acceso de cliente.
APLICACIONES TÍPICAS







Intercambio de información en tiempo real, dentro del ámbito empresarial.
Interconexión de Redes de Área Local (LAN) que requieran un gran ancho de banda.
Interconexión de PABX
Acceso a Internet de alta velocidad.
Videoconferencia.
Voz en entorno corporativo con compresión y supresión de silencios.
Distribución de Audio/Vídeo.
Optimización de los costes de telecomunicaciones: Con el Servicio ATM los usuarios podrán
transportar simultáneamente, compartiendo los mismos recursos de red, el tráfico perteneciente a
múltiples comunicaciones y aplicaciones, y hacia diferentes destinos.
Servicio gestionado extremo a extremo: El proveedor de Transmisión de Datos se ocupa de la
configuración, administración, mantenimiento, supervisión y control permanente durante las 24
horas del día, los 365 días del año de los elementos de red.
Tecnología punta y altas prestaciones:
Más velocidad, mayor ancho de banda: Bajo retardo en la transmisión y soporte de aplicaciones
tanto en tiempo real (como voz y vídeo) como aplicaciones menos sensibles al retardo como la
transferencia de ficheros, la interconexión de redes de área local o el acceso a Internet.
Utilización de diferentes clases de servicio para diferentes aplicaciones.
REDES I – Unidad V – 30 / 42
Soporte de aplicaciones multimedia.
Flexibilidad del servicio: El Servicio ATM es una solución adaptable a las necesidades cambiantes del
cliente basada en circuitos virtuales permanentes (CVP). Sobre un interfaz de acceso a la red se
pueden establecer simultáneamente múltiples circuitos virtuales permanentes distintos, lo que
permite una fácil incorporación de nuevas sedes a la Red de Cliente.
Estándares maduros y consolidados: ATM es un servicio normalizado según los estándares y
recomendaciones de ITU-T con lo que queda garantizada la interoperatividad con cualquier otro
producto ATM asimismo normalizado.
VENTAJAS
¿Qué ventajas ofrece el servicio ATM respecto a servicios basados en X.25?
El servicio ATM no requiere complicados procedimientos de control y retransmisiones, lo que lleva
consigo una alta proporción de información útil respecto a la información de control del Servicio (en
las celdas ATM no existen cabeceras de control de nivel 3 como ocurre con la tecnología X.25).
Concretamente, ATM desplaza hacia los equipos terminales del cliente funcionalidad que en X.25
corresponde a la red (corrección de errores, control de flujo, etc.). Como consecuencia de la
disminución de proceso en red, el servicio ATM se adecua mejor a altas velocidades de transmisión,
minimiza el retardo en red y presenta un elevado rendimiento (alto porcentaje de información útil
transmitida, cabeceras mínimas).
X.25
ATM
Velocidad
2400 bit/s a 2 Mbit/s
34 Mbit/s
Retardo
Alto
Bajo
Caudal (throughput)
Medio
Alto
Tipo de tráfico
Datos
Datos/Voz/Video
X.25 está especialmente indicado para tráfico transaccional de bajo /medio caudal y, en particular,
para comunicaciones centralizadas en las que muchos puntos se comunican con una instalación
central. Ofrece gran cantidad de facilidades opcionales.
ATM está diseñado fundamentalmente para aplicaciones de entorno de Red de Área Local, es decir,
transporte transparente de datos a alta velocidad, bajo retardo y alto caudal, transporte conjunto de
diferentes tipos de tráfico y múltiples protocolos; también permite el transporte de voz y video.
Qué ventajas ofrece el servicio ATM respecto a soluciones punto a punto?
El servicio ATM constituye una alternativa económica y flexible frente a las soluciones de red privada
basadas en líneas dedicadas. Al basarse en la multiplexación estadística, permite la compartición y
asignación dinámica de recursos de transmisión (equipos, líneas de acceso, red) a múltiples
comunicaciones, con el consiguiente ahorro económico. Es especialmente adecuado para redes
malladas con alta conectividad entre sus sedes (concepto de CVP), sin ocasionar los gastos elevados
inherentes a la instalación de múltiples líneas dedicadas y sus respectivos interfaces en el
equipamiento del cliente.
Mientras las líneas dedicadas constituyen una solución bastante rígida a la hora de modificar o
ampliar la red, y sin capacidad de enrutamiento alternativo en caso de producirse un fallo o caída de
una línea, el servicio ATM se adapta a los cambios en la topología de la Red de Cliente, y utiliza
REDES I – Unidad V – 31 / 42
mecanismos de encaminamiento que establecen vías alternativas dentro de la Red de Datos en caso
de fallo.
Por último, ATM es un servicio gestionado extremo a extremo, incluye la gestión de la Red de
Cliente, siendo esta tarea en el caso de líneas dedicadas responsabilidad del propio cliente.
¿Qué ventajas ofrece el servicio ATM respecto al servicio Frame Relay?
ATM es similar en concepto a Frame Relay. Ambos tienen la ventaja de proporcionar mayor
velocidad de transmisión que X.25. En ATM la información está organizada en paquetes de tamaño
fijo llamados celdas. Al igual que en Frame Relay , no hay información para el control de errores ni
de flujo en las celdas, lo que permite alcanzar altas velocidades.
En ATM, el uso de celdas pequeñas de tamaño fijo tiene varias ventajas. En primer lugar, el uso de
celdas pequeñas puede reducir el retardo en cola para una celda de alta prioridad cuando otra celda
está siendo transmitida. En segundo lugar, al ser las celdas de tamaño fijo, la conmutación puede
ser realizada más eficientemente. Este es un factor importante para obtener las tasas de bits tan
altas.
Frame Relay
El servicio de Frame Relay nació con los cambios tecnológicos, ya que ahora las computadoras y el
servicio telefónico son más baratos. Frame Relay se basa en la existencia de líneas telefónicas
privadas, digitales y con pocos errores. El cliente renta una línea privada entre dos nodos y puede
enviar información a una velocidad estándard de 1.5 Mbps (contra una velocidad estándard de X.25
de 64Kbps). También es posible la transmisión con circuitos virtuales conmutados y enviar marcos
de 1600 bytes a diferentes destinos, para lo cual se usan paquetes que llevan la dirección destino
(consumiendo 10 bits). El uso de circuitos virtuales conmutados es más barato en general que una
línea privada.
Frame Relay es una competencia para X.25, sus ventajas son:




Opera a una velocidad estándard mayor (1.5 Mpbs contra 64Kbps)
El protocolo es más moderno y acorde a la tecnología actual
Tiene menos sobrecarga porque no realiza chequeo de errores
Tiene menos sobrecarga porque no tiene control de flujo
Sus desventaja contra X.25 son:




Le deja a la aplicación el realizar el control de errores
No es tan robusto como X.25
No tiene control de flujo
Tiene un modo muy simple de indicar errores (un bit de error)
Protocolo Ethernet
El protocolo IEEE 802.x mas conocido como ethernet en forma genérica, es el protocolo mas
difundido en la actualidad para aplicaciones de tipo LAN. Es un protocolo bautizado por Xerox y se
basa en el método de acceso al medio CSMA/CD. Concretamente es un protocolo que logra muy
buenas velocidades de transmisión resignando direccionalidad y corrección de errores.
El CSMA/CD o “Método de Acceso al Medio por Censado de portadora con detección de colisiones” se
basa en el principio de la conversación educada para competir por el acceso al medio de
transmisión, el cual es común para todas las estaciones. En un principio, la estación que desea
transmitir escucha el medio compartido para conocer el estado del mismo (Censado de portadora);
si el medio está en silencio, transmite su información. Si el medio está siendo usado por otra
REDES I – Unidad V – 32 / 42
estación espera un tiempo aleatorio y vuelve a intentar la escucha. Este método funciona siempre y
cuando dos estaciones no escuchen el medio exactamente al mismo tiempo, caso en el cual ambas
transmiten generando una colisión. En este caso, ambas detectan este hecho abortando la
comunicación e intentando nuevamente luego de un tiempo aleatorio.
Este método es un método probabilístico ya que se basa en el hecho de que hay una importante
probabilidad de que no haya colisiones. Esta probabilidad disminuye a medida que se aumenta el
número de estaciones que compiten por el medio.
Hubs y Switches
Una parte importante del cableado en una red ethernet son los concentradores quienes se encargan
de distribuir los paquetes transmitidos entre todos los integrantes de la red.
La diferencia fundamental que existe entre Hubs y Switches es que los primeros simplemente toman
los paquetes que reciben por una boca y los retransmiten a todas las demas, dejando la tarea de
selección a cada integrante de la red. Los switches en cambio, tienen la capacidad de generar tablas
de MAC (únicas para cada dispositivo ethernet) con un mapa interno de la ubicación física de cada
equipo. De esta manera disminuyen el tráfico general de la red ya que solo envían los paquetes por
la boca donde está el equipo destinatario.
VLANs
Teniendo en cuenta el comportamiento de los switches no es difícil imaginar un dispositivo que
tenga la capacidad de dividir lógicamente las tablas evitando que las MAC de un lado se propaguen
hacia el otro generando lo que llamamos Virtual LANS, es decir, LANs que si bien están físicamente
unidas, los paquetes no circulan entre ellas.
Protocolos de LAN inalámbricas
Descripción general de las redes LAN inalámbricas
Las redes LAN inalámbricas de alta velocidad ofrecen las ventajas de la conectividad de red sin las
limitaciones que supone estar atado a una ubicación o por cables. Existen numerosos escenarios en
los que este hecho puede ser de interés; entre ellos, se pueden citar los siguientes.
Las conexiones inalámbricas pueden ampliar o sustituir una infraestructura con cables cuando es
costoso o está prohibido tender cables. Las instalaciones temporales son un ejemplo de una
situación en la que la red inalámbrica tiene sentido o incluso es necesaria. Algunos tipos de
construcciones o algunas normativas de construcción pueden prohibir el uso de cableado, lo que
convierte a las redes inalámbricas en una importante alternativa.
Y, por supuesto, el fenómeno asociado al término "inalámbrico", es decir, no tener que instalar más
cables además de los de la red de telefonía y la red de alimentación eléctrica, ha pasado a ser el
principal catalizador para las redes domésticas y la experiencia de conexión desde el hogar.
Los usuarios móviles, cuyo número crece día a día, son indudables candidatos a las redes LAN
inalámbricas. El acceso portátil a las redes inalámbricas se realiza a través de equipos portátiles y
NIC inalámbricas. Esto permite al usuario viajar a distintos lugares (salas de reunión, vestíbulos,
salas de espera, cafeterías, aulas, etc.) sin perder el acceso a los datos de la red. Sin el acceso
inalámbrico, el usuario tendría que llevar consigo pesados cables y disponer de conexiones de red.
Más allá del campo empresarial, el acceso a Internet e incluso a sitios corporativos podría estar
disponible a través de zonas activas de redes inalámbricas públicas. Los aeropuertos, los
restaurantes, las estaciones de tren y otras áreas comunes de las ciudades se pueden dotar del
equipo necesario para ofrecer este servicio. Cuando un trabajador que está de viaje llega a su
REDES I – Unidad V – 33 / 42
destino, quizás una reunión con un cliente en su oficina, se puede proporcionar acceso limitado al
usuario a través de la red inalámbrica local. La red reconoce al usuario de la otra organización y crea
una conexión que, a pesar de estar aislada de la red local de la empresa, proporciona acceso a
Internet al visitante.
En todos estos escenarios, vale la pena destacar que las redes LAN inalámbricas actuales basadas
en estándares funcionan a alta velocidad, la misma velocidad que se consideraba vanguardista para
las redes con cable hace tan solo unos años. El acceso del usuario normalmente supera los 11 MB
por segundo, de 30 a 100 veces más rápido que las tecnologías de acceso telefónico o de las redes
WAN inalámbricas estándar. Este ancho de banda es sin duda adecuado para que el usuario obtenga
una gran experiencia con varias aplicaciones o servicios a través de PC o dispositivos móviles.
Además, los avances en curso de estos estándares inalámbricos continúa aumentando el ancho de
banda, con velocidades de 22 MB.
Muchos proveedores de infraestructura están dotando de cable zonas públicas de todo el mundo. En
los próximos 12 meses, la mayoría de los aeropuertos, centros de conferencias y muchos hoteles
proporcionarán acceso de 802.11b a sus visitantes.
Comparación de las tecnologías de las redes LAN inalámbricas
Actualmente, destaca la implementación de dos soluciones LAN inalámbricas. Se trata de los
estándares IEEE 802.11, principalmente 802.11b, y la solución propuesta por el grupo de trabajo
HomeRF. Ambas soluciones no son interoperables entre sí ni con otras soluciones de redes LAN
inalámbricas. Mientras que HomeRF está diseñado exclusivamente para el entorno doméstico,
802.11b se está implementando en hogares, en la pequeña y mediana empresa, en grandes
organizaciones y en un número cada vez mayor de zonas activas de redes inalámbricas públicas.
Algunos de los principales distribuidores de portátiles los equipa o tiene previsto equiparlos con
tarjetas NIC 802.11b internas. A continuación se ofrece una comparación de las dos soluciones:
Principales
fabricantes que lo
han admitido
Estado
Extensión
Velocidad
Aplicación
Costo
Seguridad
Distribuidores
Puntos de acceso
públicos
Cuota de mercado
de las tarjetas NIC
inalámbricas
IEEE 802.11b
Cisco, Lucent, 3Com WECA
HomeRF
Apple, Compaq, HomeRF
Working Group
Se incluye
50-300 pies (15,24-91,44
cm)
11 Mbps
Hogares, oficinas
pequeñas, campus,
empresas
75-150 dólares por tarjeta
WEP/802.1x
Más de 75
Más de 350
Se incluye (baja velocidad)
150 pies (45,72 cm)
72%
21%
1, 2, 10 Mbps
Hogar
85-129 dólares
NWID/cifrado
Menos de 30
Ninguno
Microsoft considera que 802.11 es la solución más sólida y prometedora que se puede aplicar a
múltiples entornos. Desde este punto, estas notas del producto se centran en la tecnología 802.11.
Topologías de redes LAN inalámbricas
Las redes LAN inalámbricas se construyen utilizando dos topologías básicas. Para estas topologías se
utilizan distintos términos, como administradas y no administradas, alojadas y par a par, e
REDES I – Unidad V – 34 / 42
infraestructura y "ad hoc". En este documento se utilizarán los términos “infraestructura” y “ad hoc”.
Estos términos están relacionados, esencialmente, con las mismas distinciones básicas de topología.
Una topología de infraestructura es aquella que extiende una red LAN con cable existente para
incorporar dispositivos inalámbricos mediante una estación base, denominada punto de acceso. El
punto de acceso une la red LAN inalámbrica y la red LAN con cable y sirve de controlador central de
la red LAN inalámbrica. El punto de acceso coordina la transmisión y recepción de múltiples
dispositivos inalámbricos dentro de una extensión específica; la extensión y el número de
dispositivos dependen del estándar de conexión inalámbrica que se utilice y del producto. En la
modalidad de infraestructura, puede haber varios puntos de acceso para dar cobertura a una zona
grande o un único punto de acceso para una zona pequeña, ya sea un hogar o un edificio pequeño.
Desktop
Printer
Existing LAN...
Access Point
Server
Desktop
Infrastructure Mode
Network
Tablet
Laptop
Figura 1. Red de la modalidad de infraestructura
En una topología ad hoc, los propios dispositivos inalámbricos crean la red LAN y no existe ningún
controlador central ni puntos de acceso. Cada dispositivo se comunica directamente con los demás
dispositivos de la red, en lugar de pasar por un controlador central. Esta topología es práctica en
lugares en los que pueden reunirse pequeños grupos de equipos que no necesitan acceso a otra red.
Ejemplos de entornos en los que podrían utilizarse redes inalámbricas ad hoc serían un domicilio sin
red con cable o una sala de conferencias donde los equipos se reúnen con regularidad para
intercambiar ideas.
Desktop
AD HOC Network
Tablet
Laptop
Figura 2. Red ad hoc
REDES I – Unidad V – 35 / 42
Por ejemplo, cuando se combinan con la nueva generación de software y soluciones par a par
inteligentes actuales, estas redes inalámbricas ad hoc pueden permitir a los usuarios móviles
colaborar, participar en juegos de equipo, transferir archivos o comunicarse de algún otro modo
mediante sus PC o dispositivos inteligentes sin cables.
Descripción general del funcionamiento de la modalidad de infraestructura
El portátil o dispositivo inteligente, denominado "estación" en el ámbito de las redes LAN
inalámbricas, primero debe identificar los puntos de acceso y las redes disponibles. Este proceso se
lleva a cabo mediante el control de las tramas de señalización procedentes de los puntos de acceso
que se anuncian a sí mismos o mediante el sondeo activo de una red específica con tramas de
sondeo.
La estación elige una red entre las que están disponibles e inicia un proceso de autenticación con el
punto de acceso. Una vez que el punto de acceso y la estación se han verificado mutuamente,
comienza el proceso de asociación.
La asociación permite que el punto de acceso y la estación intercambien información y datos de
capacidad. El punto de acceso puede utilizar esta información y compartirla con otros puntos de
acceso de la red para diseminar la información de la ubicación actual de la estación en la red. La
estación sólo puede transmitir o recibir tramas en la red después de que haya finalizado la
asociación.
En la modalidad de infraestructura, todo el tráfico de red procedente de las estaciones inalámbricas
pasa por un punto de acceso para poder llegar a su destino en la red LAN con cable o inalámbrica.
El acceso a la red se administra mediante un protocolo que detecta las portadoras y evita las
colisiones. Las estaciones se mantienen a la escucha de las transmisiones de datos durante un
período de tiempo especificado antes de intentar transmitir (ésta es la parte del protocolo que
detecta las portadoras). Antes de transmitir, la estación debe esperar durante un período de tiempo
específico después de que la red está despejada. Esta demora, junto con la transmisión por parte de
la estación receptora de una confirmación de recepción correcta, representan la parte del protocolo
que evita las colisiones. Observe que, en la modalidad de infraestructura, el emisor o el receptor es
siempre el punto de acceso.
Dado que es posible que algunas estaciones no se escuchen mutuamente, aunque ambas estén
dentro del alcance del punto de acceso, se toman medidas especiales para evitar las colisiones.
Entre ellas, se incluye una clase de intercambio de reserva que puede tener lugar antes de
transmitir un paquete mediante un intercambio de tramas "petición para emitir" y "listo para emitir",
y un vector de asignación de red que se mantiene en cada estación de la red. Incluso aunque una
estación no pueda oír la transmisión de la otra estación, oirá la transmisión de "listo para emitir"
desde el punto de acceso y puede evitar transmitir durante ese intervalo.
El proceso de movilidad de un punto de acceso a otro no está completamente definido en el
estándar. Sin embargo, la señalización y el sondeo que se utilizan para buscar puntos de acceso y
un proceso de reasociación que permite a la estación asociarse a un punto de acceso diferente, junto
con protocolos específicos de otros fabricantes entre puntos de acceso, proporcionan una transición
fluida.
La sincronización entre las estaciones de la red se controla mediante las tramas de señalización
periódicas enviadas por el punto de acceso. Estas tramas contienen el valor de reloj del punto de
acceso en el momento de la transmisión, por lo que sirve para comprobar la evolución en la estación
receptora. La sincronización es necesaria por varias razones relacionadas con los protocolos y
esquemas de modulación de las conexiones inalámbricas.
Descripción general del funcionamiento de la modalidad ad hoc
REDES I – Unidad V – 36 / 42
Después de explicar el funcionamiento básico de la modalidad de infraestructura, del modo ad hoc
se puede decir que no tiene punto de acceso. En esta red sólo hay dispositivos inalámbricos
presentes. Muchas de las operaciones que controlaba el punto de acceso, como la señalización y la
sincronización, son controladas por una estación. La red ad hoc no disfruta todavía de algunos
avances como retransmitir tramas entre dos estaciones que no se oyen mutuamente.
Retos actuales de las redes LAN inalámbricas
Cuando un medio de red nuevo se introduce en un nuevo entorno siempre surgen nuevos retos.
Esto es cierto también en el caso de las redes LAN inalámbricas. Algunos retos surgen de las
diferencias entre las redes LAN con cable y las redes LAN inalámbricas. Por ejemplo, existe una
medida de seguridad inherente en las redes con cable, ya que la red de cables contiene los datos.
Las redes inalámbricas presentan nuevos desafíos, debido a que los datos viajan por el aire, por
ondas de radio.
Otros retos se deben a las posibilidades únicas de las redes inalámbricas. Con la libertad de
movimiento que se obtiene al eliminar las ataduras (cables), los usuarios pueden desplazarse de
sala en sala, de edificio en edificio, de ciudad en ciudad, etc., con las expectativas de una
conectividad ininterrumpida en todo momento.
Las redes siempre han tenido retos, pero éstos aumentan cuando se agrega complejidad, tal como
sucede con las redes inalámbricas. Por ejemplo, a medida que la configuración de red continúa
simplificándose, las redes inalámbricas incorporan características (en ocasiones para resolver otros
retos) y métrica que se agrega a los parámetros de configuración.
Retos de seguridad
Una red con cable está dotada de una seguridad inherente en cuanto a que un posible ladrón de
datos debe obtener acceso a la red a través de una conexión por cable, lo que normalmente significa
el acceso físico a la red de cables. Sobre este acceso físico se pueden superponer otros mecanismos
de seguridad.
Cuando la red ya no se sustenta con cables, la libertad que obtienen los usuarios también se hace
extensiva al posible ladrón de datos. Ahora, la red puede estar disponible en vestíbulos, salas de
espera inseguras, e incluso fuera del edificio. En un entorno doméstico, la red podría extenderse
hasta los hogares vecinos si el dispositivo de red no adopta o no utiliza correctamente los
mecanismos de seguridad.
Desde sus comienzos, 802.11 ha proporcionado algunos mecanismos de seguridad básicos para
impedir que esta libertad mejorada sea una posible amenaza. Por ejemplo, los puntos de acceso (o
conjuntos de puntos de acceso) 802.11 se pueden configurar con un identificador del conjunto de
servicios (SSID). La tarjeta NIC también debe conocer este SSID para asociarlo al AP y así proceder
a la transmisión y recepción de datos en la red. Esta seguridad, si se llegase a considerar como tal,
es muy débil debido a estas razones:
Todas las tarjetas NIC y todos los AP conocen perfectamente el SSID
El SSID se envía por ondas de manera transparente (incluso es señalizado por el AP)
La tarjeta NIC o el controlador pueden controlar localmente si se permite la asociación en caso de
que el SSID no se conozca
No se proporciona ningún tipo de cifrado a través de este esquema
Aunque este esquema puede plantear otros problemas, esto es suficiente para detener al intruso
más despreocupado.
REDES I – Unidad V – 37 / 42
Las especificaciones 802.11 proporcionan seguridad adicional mediante el algoritmo WEP (Wired
Equivalent Privacy). WEP proporciona a 802.11 servicios de autenticación y cifrado. El algoritmo
WEP define el uso de una clave secreta de 40 bits para la autenticación y el cifrado, y muchas
implementaciones de IEEE 802.11 también permiten claves secretas de 104 bits. Este algoritmo
proporciona la mayor parte de la protección contra la escucha y atributos de seguridad física que
son comparables a una red con cable.
Una limitación importante de este mecanismo de seguridad es que el estándar no define un
protocolo de administración de claves para la distribución de las mismas. Esto supone que las claves
secretas compartidas se entregan a la estación inalámbrica IEEE 802.11 a través de un canal seguro
independiente del IEEE 802.11. El reto aumenta cuando están implicadas un gran número de
estaciones, como es el caso de un campus corporativo.
Para proporcionar un mecanismo mejor para el control de acceso y la seguridad, es necesario incluir
un protocolo de administración de claves en la especificación. Para hacer frente a este problema se
creó específicamente el estándar 802.1x, que se describe más adelante en estas notas del producto.
Retos para los usuarios móviles
Cuando un usuario o una estación se desplaza de un punto de acceso a otro punto de acceso, se
debe mantener una asociación entre la tarjeta NIC y un punto de acceso para poder mantener la
conectividad de la red. Esto puede plantear un problema especialmente complicado si la red es
grande y el usuario debe cruzar límites de subredes o dominios de control administrativo.
Si el usuario cruza un límite de subred, la dirección IP asignada originalmente a la estación puede
dejar de ser adecuada para la nueva subred. Si la transición supone cruzar dominios
administrativos, es posible que la estación ya no tenga permiso de acceso a la red en el nuevo
dominio basándose en sus credenciales.
Más allá del simple desplazamiento dentro de un campus corporativo, otros escenarios de usuarios
móviles son muy reales. Los aeropuertos y restaurantes agregan conectividad inalámbrica con
Internet y las redes inalámbricas se convierten en soluciones de red populares para el hogar.
Ahora es más probable que el usuario pueda abandonar la oficina para reunirse con alguien de otra
compañía que también disponga de una red inalámbrica compatible. De camino a esta reunión, el
usuario necesita recuperar archivos desde la oficina principal y podría encontrarse en una estación
de tren, un restaurante o un aeropuerto con acceso inalámbrico. Para este usuario sería de mucha
utilidad poder autenticarse y utilizar esta conexión para obtener acceso a la red de la empresa.
Cuando el usuario llegue a su destino, puede que no tenga permiso de acceso a la red local de la
empresa que va a visitar. Sin embargo, sería fortuito que el usuario pudiera obtener acceso a
Internet en este entorno extraño. Entonces, dicho acceso podría utilizarse para crear una conexión
de red privada virtual con la red de su empresa. Después, el usuario podría irse a casa y desear
conectarse a la red doméstica para descargar o imprimir archivos para trabajar esa tarde. Ahora, el
usuario se ha desplazado a una nueva red inalámbrica, que posiblemente incluso puede ser de la
modalidad ad hoc.
Para este ejemplo, la movilidad es una situación que debe pensarse muy detenidamente. La
configuración puede ser un problema para el usuario móvil, ya que las distintas configuraciones de
red pueden suponer un reto si la estación inalámbrica del usuario no tiene capacidad para
configurarse automáticamente.
Retos de configuración
Ahora que tenemos una conexión de red inalámbrica y la complejidad ha aumentado, posiblemente
hay muchas más configuraciones que realizar. Por ejemplo, podría ser necesario configurar el SSID
de la red a la que se va a realizar la conexión. O bien, podría ser necesario configurar un conjunto
REDES I – Unidad V – 38 / 42
de claves WEP de seguridad; posiblemente, varios conjuntos de claves si es necesario conectarse a
varias redes. Podría ser necesario tener una configuración para el trabajo, donde la red funciona en
modo de infraestructura, y otra configuración para el domicilio, donde funciona en modo ad hoc.
Entonces, sería necesario elegir qué configuración se va a utilizar en función del lugar donde nos
encontremos.
Soluciones para los retos de las redes LAN inalámbricas
Seguridad – 802.1X
Para ofrecer una mayor seguridad de la que proporciona WEP, el equipo de conexiones de red de
Windows XP trabajó con IEEE, distribuidores de red y otros colaboradores para definir IEEE 802.1X.
802.1X es un borrador de estándar para el control de acceso a redes basado en puerto que se utiliza
para proporcionar acceso a red autenticado para las redes Ethernet. Este control de acceso a red
basado en puerto utiliza las características físicas de la infraestructura LAN conmutada para
autenticar los dispositivos conectados a un puerto LAN. Si el proceso de autenticación no se realiza
correctamente, se puede impedir el acceso al puerto. Aunque este estándar se ha diseñado para
redes Ethernet con cable, se puede aplicar a las redes LAN inalámbricas 802.11.
Concretamente, en el caso de las conexiones inalámbricas, el punto de acceso actúa como
autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefónico
de autenticación remota (RADIUS) para autenticar las credenciales del cliente. La comunicación es
posible a través de un “puerto no controlado” lógico o canal en el punto de acceso con el fin de
validar las credenciales y obtener claves para obtener acceso a la red a través de un “puerto
controlado” lógico. Las claves de que dispone el punto de acceso y el cliente como resultado de este
intercambio permiten cifrar los datos del cliente y que el punto de acceso lo identifique. De este
modo, se ha agregado un protocolo de administración de claves a la seguridad de 802.11.
Los pasos siguientes describen el planteamiento genérico que se utilizaría para autenticar el equipo
de un usuario de modo que obtenga acceso inalámbrico a la red.
Sin una clave de autenticación válida, el punto de acceso prohíbe el paso de todo el flujo de tráfico.
Cuando una estación inalámbrica entra en el alcance del punto de acceso, éste envía un desafío a la
estación.
Cuando la estación recibe el desafío, responde con su identidad. El punto de acceso reenvía la
identidad de la estación a un servidor RADIUS que realiza los servicios de autenticación.
Posteriormente, el servidor RADIUS solicita las credenciales de la estación, especificando el tipo de
credenciales necesarias para confirmar su identidad. La estación envía sus credenciales al servidor
RADIUS (a través del “puerto no controlado” del punto de acceso).
El servidor RADIUS valida las credenciales de la estación (da por hecho su validez) y transmite una
clave de autenticación al punto de acceso. La clave de autenticación se cifra de modo que sólo el
punto de acceso pueda interpretarla.
El punto de acceso utiliza la clave de autenticación para transmitir de manera segura las claves
correctas a la estación, incluida una clave de sesión de unidifusión para esa sesión y una clave de
sesión global para las multidifusiones.
Para mantener un nivel de seguridad, se puede pedir a la estación que vuelva a autenticarse
periódicamente.
RADIUS simplifica la dificultad
REDES I – Unidad V – 39 / 42
Este planteamiento de 802.1x saca partido del uso extendido y creciente de RADIUS para la
autenticación. Un servidor RADIUS puede realizar consultas en una base de datos de autenticación
local si ello es adecuado para el escenario. O bien, la solicitud puede transmitirse a otro servidor
para su validación. Cuando RADIUS decide que se puede autorizar el equipo en esta red, vuelve a
enviar el mensaje al punto de acceso y éste permite que el tráfico de datos fluya hacia la misma. Un
ejemplo real podría ser similar al siguiente:







Un usuario enciende su equipo portátil, con tarjeta 802.11, en un aeropuerto.
El equipo detecta que existen redes inalámbricas disponibles, elige la óptima y se asocia a
ella.
El equipo envía las credenciales de usuario al punto de acceso para verificar que tiene
permiso en esta red.
El usuario es [email protected]. BigCo ha adquirido acceso inalámbrico para todos sus
usuarios en todos los aeropuertos del mundo.
El servidor RADIUS, que recibe la solicitud desde el punto de acceso, comprueba el paquete y
descubre que procede de un usuario de BigCo.
A continuación, el servidor RADIUS pide a un servidor de BigCo que determine si esta
persona es un usuario real y si le conceden acceso.
Si el servidor de BigCo responde afirmativamente, se indica al punto de acceso que permita
el flujo del tráfico.
BigCo RADIUSServer
Figura 3. Ejemplo de
escenario de acceso público
Isthisuser valid?
YES!
ISP RADIUS
Server
Allowaccess
Comm. Tower
Para ofrecer este nivel de seguridad, Microsoft incluye una implementación del cliente 802.1X en
Windows XP y mejora el servidor RADIUS de Windows, el servidor de autenticación de Internet
(IAS), para admitir la autenticación de dispositivos inalámbricos. Microsoft también ha trabajado con
muchos distribuidores de dispositivos 802.11 para que admitiesen estos mecanismos en sus
controladores NIC y en el software de punto de acceso. Actualmente, muchos de los principales
distribuidores incluyen o pronto incluirán la compatibilidad con 802.1x en sus dispositivos.
Movilidad – Movilidad fluida
Windows 2000 incluía mejoras para detectar la disponibilidad de una red y actuar en consecuencia.
Estas mejoras se han ampliado y complementado en Windows XP para dar cabida a la naturaleza
transicional de una red inalámbrica.
En Windows 2000, se utilizaba la capacidad de detección de medios (detectar una red que está
conectada) para controlar la configuración de la pila de red e informar al usuario de cuándo la red no
estaba disponible. Con Windows esta característica se emplea para mejorar la experiencia de la
movilidad inalámbrica mediante la detección de los desplazamientos a nuevos puntos de acceso; en
el proceso, se exige una nueva autenticación para garantizar un acceso correcto a la red y se
REDES I – Unidad V – 40 / 42
detectan los cambios de la subred IP de manera que se pueda utilizar una dirección adecuada para
obtener un acceso óptimo a los recursos.
En un sistema Windows pueden existir múltiples configuraciones de direcciones IP (direcciones
asignadas por DHCP o estáticas) y la configuración correcta se selecciona automáticamente. Cuando
se produce un cambio de dirección IP, Windows permite que se realicen nuevas configuraciones si es
adecuado. Por ejemplo, las reservas de calidad de servicio (QoS) se pueden actualizar y la
configuración proxy de IE se puede volver a detectar. A través de extensiones de Windows Sockets,
si se desea que las aplicaciones reconozcan la red (servidores de seguridad, exploradores, etc.),
éstas pueden recibir notificación de los cambios de conectividad y actualizar su comportamiento
basándose en dichos cambios. La detección automática y la posibilidad de realizar una nueva
configuración eliminan la necesidad de que IP móvil actúe como mediador y resuelven la mayoría de
los problemas de los usuarios al desplazarse de una red a otra.
En los desplazamientos de un punto de acceso a otro, hay información de estado y de otro tipo
sobre la estación que debe moverse con la estación. Entre otros datos, se incluye información sobre
la ubicación de la estación para la entrega de mensajes y otros atributos de la asociación. En lugar
de volver a crear esta información en cada transición, un punto de acceso puede transmitirla al
nuevo punto de acceso. Los protocolos necesarios para transferir esta información no se definen en
el estándar, pero varios distribuidores de redes LAN inalámbricas se han unido para desarrollar un
protocolo de punto de interacceso (IAPP) con esta finalidad, lo que mejora todavía más la
interoperabilidad entre los distintos distribuidores.
Configuración – Configuración rápida de las conexiones inalámbricas
Microsoft ha colaborado también con distribuidores de NIC 802.11 para mejorar la experiencia de la
movilidad mediante la automatización del proceso de configuración de la tarjeta NIC para su
asociación a una red disponible.
La NIC inalámbrica y su controlador NDIS deben hacer muy poco más que admitir unos cuantos
identificadores de objetos (OID) NDIS nuevos que se utilizan para las consultas y configuraciones
del comportamiento del dispositivo y del controlador. La NIC busca las redes disponibles y las pasa a
Windows. Windows tiene un servicio de configuración inalámbrica rápida que se ocupa de configurar
la NIC con una red disponible. Supongamos, por ejemplo, que hay dos redes que dan cobertura a la
misma zona. El usuario puede configurar un orden de redes preferidas y el equipo probará con cada
red en ese orden hasta que encuentre una activa. Es incluso posible limitar la asociación a las redes
preferidas configuradas.
Si no se encuentran redes 802.11 en las cercanías, Windows configura la NIC para que utilice la
modalidad de red ad hoc. El usuario puede configurar la NIC inalámbrica para deshabilitarla o hacer
que utilice el modo ad hoc.
Estas mejoras de configuración rápida están integradas con las mejoras de seguridad de modo que,
si se produce un error en la autenticación, se encontrará otra red para intentar la asociación.
CSMA/CD
Carrier sense multiple access with collision detection
CSMA/CD, siglas que corresponden a Carrier Sense Multiple Access with Collision Detection
(en español, "Acceso Múltiple por Detección de Portadora con Detección de Colisiones"), es
una técnica usada en redes Ethernet para mejorar sus prestaciones. Anteriormente a esta técnica se
usaron las de Aloha puro y Aloha ranurado, pero ambas presentaban muy bajas prestaciones. Por
eso apareció en primer lugar la técnica CSMA, que fue posteriormente mejorada con la aparición de
CSMA/CD.
REDES I – Unidad V – 41 / 42
En el método de acceso CSMA/CD, los dispositivos de red que tienen datos para transmitir funcionan
en el modo "escuchar antes de transmitir". Esto significa que cuando un nodo desea enviar datos,
primero debe determinar si los medios de red están ocupados o no.
Tipos de CSMA/CD
CSMA/CD (Carrier Sense Multiple Access, acceso múltiple por detección de portadora) significa que
se utiliza un medio de acceso múltiple y que la estación que desea emitir previamente escucha el
canal antes de emitir. En función de como actúe la estación, el método CSMA/CD se puede clasificar
en:



CSMA no-persistente: si el canal está ocupado espera un tiempo aleatorio y vuelve a
escuchar. Si detecta libre el canal, emite inmediatamente
CSMA 1-persistente: con el canal ocupado, la estación pasa a escuchar constantemente el
canal, sin esperar tiempo alguno. En cuanto lo detecta libre, emite. Podría ocurrir que
emitiera otra estación durante un retardo de propagación o latencia de la red posterior a la
emisión de la trama, produciéndose una colisión (probabilidad 1).
CSMA p-persistente: después de encontrar el canal ocupado y quedarse escuchando hasta
encontrarlo libre, la estación decide si emite. Para ello ejecuta un algoritmo o programa que
dará orden de transmitir con una probabilidad p, o de permanecer a la espera (probabilidad
(1-p)). Si no transmitiera, en la siguiente ranura o división de tiempo volvería a ejecutar el
mismo algoritmo hasta transmitir. De esta forma se reduce el número de colisiones
(compárese con CSMA 1-persistente, donde p=1).
Una vez comenzado a emitir, no para hasta terminar de emitir la trama completa. Si se produjera
una colisión, esto es, que dos tramas de distinta estación fueran emitidas a la vez en el canal,
ambas tramas serán incompresibles para las otras estaciones y la transmisión fracasaría.
Finalmente CSMA/CD supone una mejora sobre CSMA, pues la estación está a la escucha a la vez
que emite, de forma que si detecta que se produce una colisión, detiene inmediatamente la
transmisión.
La ganancia producida es el tiempo que no se continúa utilizando el medio para realizar una
transmisión que resultará inútil, y que se podrá utilizar por otra estación para transmitir.
Funcionamiento de CSMA/CD
El primer paso a la hora de transmitir será saber si el medio está libre. Para eso escuchamos lo que
dicen los demás. Si hay portadora en el medio, es que está ocupado y, por tanto, seguimos
escuchando; en caso contrario, el medio está libre y podemos transmitir. A continuación, esperamos
un tiempo mínimo necesario para poder diferenciar bien una trama de otra y comenzamos a
transmitir. Si durante la transmisión de una trama se detecta una colisión, entonces las estaciones
que colisionan abortan el envío de la trama y envían una señal de congestión denominada jamming.
Después de una colisión (Los host que intervienen en la colisión invocan un algoritmo de
postergación que genera un tiempo aleatorio), las estaciones esperan un tiempo aleatorio (tiempo
de backoff) para volver a transmitir una trama.
En redes inalámbricas, resulta a veces complicado llevar a cabo el primer paso (escuchar al medio
para determinar si está libre o no). Por este motivo, surgen dos problemas que pueden ser
detectados:
1. Problema del nodo oculto: la estación cree que el medio está libre cuando en realidad no lo está,
pues está siendo utilizado por otro nodo al que la estación no "oye".
2. Problema del nodo expuesto: la estación cree que el medio está ocupado, cuando en realidad lo
está ocupando otro nodo que no interferiría en su transmisión a otro destino.
REDES I – Unidad V – 42 / 42
Para resolver estos problemas, la IEEE 802.11 propone MACA (MultiAccess Collision Avoidance –
Evitación de Colisión por Acceso Múltiple).
Descargar