Redes II UNNOBA

Resumen de la materia Redes II

Switching

Demos un vistazo a los dispositivos de conmutación y veamos cómo se relacionan con los
paquetes y las tramas. Al fondo, en la capa física, se encuentran los repetidores. Éstos son
dispositivos análogos conectados a dos segmentos de cable. Una señal que aparece en
uno de ellos es amplificada y enviada al otro. Los repetidores no distinguen entre tramas,
paquetes o encabezados. Manejan voltios. Por ejemplo, la Ethernet tradicional admite
cuatro repetidores, con el propósito de extender la longitud máxima de cable de 500 a 2500
metros. Pasemos ahora a los concentradores. Un concentrador tiene numerosos puertos de
entrada que une de manera eléctrica. Las tramas que llegan a cualquiera de las líneas se
envían a todas las demás. Si dos tramas llegan al mismo tiempo, chocarán, al igual que en
un cable coaxial. En otras palabras, el concentrador constituye un solo dominio de colisión.
Todas las líneas que convergen en un concentrador deben operar a la misma velocidad. A
diferencia de los repetidores, los concentradores (por lo general) no amplifican las señales
entrantes y su diseño les permite contener varias tarjetas de línea con múltiples entradas,
aunque las diferencias son ligeras. Al igual que los repetidores, los concentradores no
examinan las direcciones 802 ni las utilizan de ninguna manera.
Pasamos ahora a la capa de enlace de datos donde operan los puentes y los
conmutadores. Un puente conecta dos o más LANs. Cuando llega una trama, el software
del puente extrae la dirección de destino del encabezado y la busca en una tabla para
averiguar a dónde debe enviar la trama. Una tarjeta de línea para Ethernet no puede
manejar tramas token ring debido a que no sabe dónde buscar la dirección de destino que
viene en el encabezado de la trama. Sin embargo, un puente podría tener tarjetas de línea
para diferentes tipos de red y diferentes velocidades. En contraste con un concentrador, en
un puente cada puerto constituye su propio dominio de colisión. Los conmutadores son
similares a los puentes en el aspecto de que ambos enrutan tomando como base las
direcciones de las tramas. De hecho, mucha gente se refiere a ellos de manera indistinta.
La principal diferencia consiste en que un conmutador se utiliza con mayor frecuencia para
conectar computadoras individuales. En
consecuencia, cuando el host A desea enviar una trama al host B, el puente toma la trama
pero la descarta. Por el contrario, el conmutador debe reenviar activamente la trama de A a
B porque no existe otra forma para que ésta llegue ahí. Puesto que por lo general cada
puerto del conmutador va hacia una sola computadora, éstos deben contar con espacio

1
Redes II UNNOBA

para muchas más tarjetas de línea que los puentes, cuyo propósito es conectar solamente
LANs.

VLAN’s

Las VLAN’s (Virtual LAN) surgen como solución a problemas tales como cambios
organizacionales, seguridad, flexibilidad, carga y multidifusión (tormentas de broadcast) en
las estructuras de red de las empresas y organizaciones.
Una VLAN se fundamenta en conmutadores diseñados especialmente con ese propósito. El
administrador de red declara las redes VLAN, les adjudica un nombre descriptivo y por
último decide que máquinas corresponderá a cada red VLAN. Para que las redes VLAN
funcionen correctamente, las tablas de configuraciones se deben establecer en los
switches. Estas tablas indican cuales VLANs se pueden acceder a partir de que puerto.
En resumen, VLAN es un nuevo desarrollo del mundo de la interconexión de LANs, que
separa la topología lógica de la topología física de las LANs.

Estándar IEEE 802.1Q

Si hubiera alguna forma de identificar la VLAN en el encabezado de la trama, se

desvanecería la necesidad de examinar la carga útil. Para una LAN nueva como 802.11 o
802.16 hubiese sido sencillo con tan solo agregar un encabezado de VLAN. ¿Pero que se
puede hacer con Ethernet, que es la LAN dominante y no tiene campos disponibles para el
identificador VLAN? El comité 802 se enfrentó a este problema en 1995 y luego de muchas
discusiones hizo lo impensado: modificó el encabezado de Ethernet. Su propósito fue
facilitar la utilización de las VLANs en las organizaciones. El nuevo formato se publicó en el
estándar 802.1Q del IEEE y tiene incluida una etiqueta de VLAN. Algunas de las cuestiones
que surgen son:
● ¿Hay que desechar las cientos de millones de placas Ethernet?
● Si no es así, ¿quién generará los nuevos campos?
● ¿Qué sucederá con las tramas que ya tienen el tamaño máximo?

La clave para la solución consiste en comprender que los campos VLAN son utilizados por
los switches, no por las máquinas. Así, para utilizar VLAN, los switches deben tener soporte
para VLAN. En respuesta a “¿quien generará los campos VLAN?”. La respuesta es, el
primer switch con soporte para VLAN en recibir la trama los agregará y el útimo en recibirla
los eliminará. ¿Pero cómo sabrán cuál trama corresponde a cuál VLAN? Bueno, el primer
switch podría asignar un número de VLAN a un puerto.

2
Redes II UNNOBA

Spanning Tree

Su función es la de gestionar la presencia de bucles en topologías de red debido a la

existencia de enlaces redundantes (necesarios en muchos casos para garantizar la
disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexión
activar o desactivar automáticamente los enlaces de conexión, de forma que se garantice
que la topología está libre de bucles. Es un protocolo que trabaja en la capa de enlace de
datos.
STP establece identificadores por puente y elige el que tiene la prioridad más alta (el
número más bajo de prioridad numérica), como el puente raíz. Este puente raíz establecerá
el camino de menor coste para todas las redes.
Existe además la versión Rapid STP, que es una evolución del anterior y reduce
significativamente el tiempo de convergencia de la topología de la red cuando ocurre un
cambio.
Estados de los puertos en STP y RSTP:
● Bloqueo
● Escucha
● Aprendizaje
● Envío
● Desactivado

VLSM (Variable Length Subnetting Mask)

Surge como una solución para afrontar el problema del agotamiento de direcciones IP
(ocurrido en 1987) y la división de subredes (en 1985). Su función básica es descentralizar
las redes y de esta forma conseguir redes más seguras y jerárquicas.
El concepto básico de VLSM es muy simple: se toma una red y se divide en subredes fijas,
luego se toma una de esas subredes y se vuelve a dividir, tomando bits "prestados" de la
porción de hosts, ajustándose a la cantidad de hosts requeridos por cada segmento de
nuestra red.

VTP (VLAN Trunking Protocol)

Es un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en

equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANs,

3
Redes II UNNOBA

pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la
misma VLAN en todos los nodos.
VTP opera en tres modos diferentes:
● Servidor: es el modo por defecto. Desde él se pueden crear, eliminar o modificar
VLAN. Su cometido es anunciar su configuración al resto de switches del mismo
dominio VTP y sincronizar dicha configuración con la de otros servidores.
● Cliente: en este modo no se pueden crear, eliminar o modificar VLANs, tan sólo
sincronizar esta información basándose en los mensajes VTP recibidos de
servidores en el propio dominio. El reinicio del switch borra la información de la
VLAN.
● Transparente: tampoco se pueden crear, eliminar o modificar VLANs que afecten a
los demás switches. La información VLAN en los switches que trabajen en este
modo sólo se puede modificar localmente.

QoS (Quality of Service)

Son las tecnologías que garantizan la transmisión de cierta cantidad de información en un

tiempo dado (throughput). Calidad de servicio es la capacidad de dar un buen servicio. Es
especialmente importante para ciertas aplicaciones tales como la transmisión de vídeo o
voz.
Una de las grandes ventajas de ATM (Asynchronous Transfer Mode – Modo de
Transferencia Asíncrona) respecto de técnicas como el Frame Relay y Fast Ethernet es que
admite niveles de QoS. Esto permite que los proveedores de servicios ATM garanticen a sus
clientes que el retardo de extremo a extremo no excederá un nivel específico de tiempo o
que garantizarán un ancho de banda específico para un servicio.

DHCP (Dynamic Host Configuration Protocol)

Su función básicamente consiste en entregarle una configuración de red de forma dinámica

a cualquier dispositivo que se conecte a una red. Cuando hablamos de configuración de red
nos referimos a datos tales como dirección ip, máscara de subred, puerta de enlace
predeterminada, servidores dns.
Trabaja sobre el protocolo UDP, con los puertos UDP/67 para el servidor y UDP/68 para el
cliente.

TFTP (Trivial File Transfer Protocol)

Es la versión trivial de FTP. Algunas de sus características se detallan a continuación:

● Utiliza UDP (puerto 69) como protocolo de transporte

4
Redes II UNNOBA

● No requiere autenticación y encriptación para descargar/subir archivos

● Un cliente no puede crear un archivo en el servidor. Es decir, este archivo ya debe
existir en el servidor y el cliente al intentar “subir” tal archivo (con el mismo nombre)
sólo modificará el existente.
● No tiene capacidad de listar el contenido de los directorios en el árbol de directorios
del servidor

BootP

El protocolo BootP permite que un host se autoconfigure dinámicamente en tiempo de

booting. Esto quiere decir, por ejemplo, que un equipo sin disco rígido pero conectado a la
red puede obtener una configuración (Sistema operativo) a través del protocolo BootP.

DNS (Domain Name Server)

El objetivo de DNS es identificar a una máquina conectada a internet. Se utiliza para

referirse a una máquina en la red a través de un nombre, el cual a su vez resulta descriptivo
para dicho host en cuanto a su localización, propósito, etc.

Dns root: es el servidor que sabe donde se encuentran los demás servidores dns, es decir,
resuelve las direcciones de otros servidores ubicados más abajo la jerarquía que precede.
Dns primario: es el servidor a quien se la manda primero la consulta dns cuando se
requiere dicho servicio.
Dns secundario: es el servidor que se utiliza en caso de ocurrir fallas en el servidor
configurado como primario. Es decir, se le delega la responsabilidad de respuesta dns
cuando falla el servidor primario.

Una zona es un conjunto de nombres que comparten un dominio. Esto significa que, por
ejemplo, el host es.kioskea.net es un host perteneciene al dominio kioskea.net el cual se
encuentra ubicado en una determinada zona.

Protocolos de Enrutamiento

● RIP (Routing Information Protocol)

5
Redes II UNNOBA

Es un protocolo IGP (Internal Gateway Protocol) utilizado por los routers, aunque
también pueden actuar en equipos, para intercambiar información acerca de redes
IP.
Su funcionamiento es el siguiente:
Cuando RIP se inicia, envía un mensaje a cada uno de sus vecinos (en el puerto
bien conocido 520) pidiendo una copia de la routing table del vecino. Este mensaje
es una solicitud (el campo "command" se pone a 1) con "address family" a 0 y
"metric" a 16. Los "routers" vecinos devuelven una copia de sus routing table.
Cuando RIP está en modo activo envía toda o parte de su routing table a todos los
vecinos por broadcast y/o con enlaces punto a punto. Esto se hace cada 30
segundos.
Cuando RIP descubre que una métrica ha cambiado, la difunde por broadcast a los
demás "routers".
Cuando RIP recibe una respuesta, el mensaje se valida y la tabla local se actualiza
si es necesario (para mejorar el rendimiento y la fiabilidad, RIP especifica que una
vez que un "router" ha aprendido una ruta de otro, debe guardarla hasta que
conozca una mejor (de coste estrictamente menor). Esto evita que los "routers"
oscilen entre dos o más rutas de igual coste).
Cuando RIP recibe una petición, distinta de la solicitud de su tabla, se devuelve
como respuesta la métrica para cada entrada de dicha petición fijada al valor de la
tabla local de encaminamiento. Si no existe ruta en la tabla local, se pone a 16.
Las rutas que RIP aprende de otros "routers" expiran a menos que se vuelvan a
difundir en 180 segundos(6 ciclos de broadcast). Cuando una ruta expira, su métrica
se pone a infinito, la invalidación de la ruta se difunde a los vecinos, y 60 segundos
más tarde, se borra de la tabla.
Resumiendo, las características principales de RIP son:
a. Utiliza el conteo de saltos como métrica para la selección de rutas.
b. Si el conteo de saltos de una red es mayor de 15, el RIP no puede
suministrar una ruta para esa red.
c. De manera predeterminada, se envía un broadcast o multicast de las
actualizaciones de enrutamiento cada 30 segundos.
Ventajas:
○ Es más fácil de configurar (comparativamente a otros protocolos)
○ Es un protocolo abierto (admite versiones derivadas aunque no
necesariamente compatibles).
○ Es soportado por la mayoría de los fabricantes.
Desventajas:
○ Su principal desventaja, consiste en que para determinar la mejor métrica,
únicamente toma en cuenta el número de saltos, descartando otros criterios
(Ancho de Banda, congestión, carga, retardo, fiabilidad, etc.).
○ RIP tampoco está diseñado para resolver cualquier posible problema de
enrutamiento. El RFC 1720 describe estas limitaciones técnicas de RIP como
graves y el IETF está evaluando candidatos para reemplazarlo, dentro de los
cuales OSPF es el favorito. Este cambio, está dificultado por la amplia
expansión de RIP y necesidad de acuerdos adecuados.

● OSPF (Open Shortest Path First)

Es un protocolo de enrutamiento jerárquico de IGP, que usa el algoritmo Dijkstra

enlace-estado para calcular la ruta más corta posible. Usa cost como su medida de
métrica. Además, construye una base de datos enlace-estado idéntica en todos los
enrutadores de la zona.
OSPF soporta tres tipos de conexiones y redes:

6
Redes II UNNOBA

a. Las líneas punto a punto exactamente entre dos enrutadores

b. Redes de multiacceso con difusión (LANs)
c. Redes de multiacceso sin difusión (WANs)

Una red OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un
área especial llamada área backbone que forma la parte central de la red y donde
hay otras áreas conectadas a ella. Las rutas entre diferentes áreas circulan siempre
por el backbone, por lo tanto todas las áreas deben conectar con el backbone.
Cuando un enrutador se inicia, envía mensajes HELLO en todas sus líneas punto a
punto y los multidifunde en las LANs al grupo que contiene los enrutadores
restantes. En las WANs, necesita alguna información de configuración para saber a
quién contactar. A partir de las respuestas, cada enrutador aprende quiénes son sus
vecinos. Todos los enrutadores en la misma LAN son vecinos.
OSPF trabaja intercambiando información entre enrutadores adyacentes, que no es
lo mismo que entre enrutadores vecinos. En particular, es ineficaz tener cualquier
enrutador en la LAN que se comunica con cualquier otro enrutador en la LAN. Para
evitar esta situación, se elige un enrutador como enrutador designado. Se dice que
es adyacente a todos los demás enrutadores en su LAN, e intercambia información
con ellos. Los enrutadores vecinos que no son adyacentes no intercambian
información entre sí. Un enrutador designado como respaldo siempre se guarda
actualizado, para facilitar la transición en caso de que el primer enrutador designado
se cayera y necesitará ser reemplazado de manera inmediata.
En OSPF pueden distinguirse dos tipos de routers:
○ Routers fronterizos de área o ABRs (Area Border Routers), que mantienen la
información topológica de su área y conectan ésta con el resto de áreas,
permitiendo enrutar paquetes a cualquier punto de la red (inter-area routing).
○ Routers fronterizos del AS o ASBRs (Autonomous System Border Routers),
que permiten encaminar paquetes fuera del AS en que se alojen, es decir, a
otras redes conectadas al Sistema Autónomo o resto de Internet (external
routing).

Las áreas que se distinguen en OSPF:

○ Área Backbone: también denominado área cero, forma el núcleo de una red
OSPF. Es la única área que debe estar presente en cualquier red OSPF, y
mantiene conexión, física o lógica, con todas las demás áreas en que esté
particionada la red.
○ Área Stub: es aquella que no recibe rutas externas. Las rutas externas se
definen como rutas que fueron inyectadas en OSPF desde otro protocolo de
enrutamiento. Por lo tanto, las rutas de segmento necesitan normalmente
apoyarse en las rutas predeterminadas para poder enviar tráfico a rutas fuera
del segmento.
○ Área not-so-stubby: constituyen un tipo de área stub que puede importar
rutas externas de sistemas autónomos y enviarlas al backbone, pero no
puede recibir rutas externas de sistemas autónomos desde el backbone u
otras áreas.

Los nodos de una red basada en OSPF se conectan a ella a través de una o varias
interfaces con las que se conectan a otros nodos de la red. Estas pueden ser:
○ Point-to-point: cuando la interfaz está conectada exclusivamente a otra
interfaz.
○ Point-to-multipoint
○ Broadcast: para enlaces en los que todas las interfaces pueden conectarse
directamente entre ellas.
○ Virtual link: cuando no responde a una topología física.

7
Redes II UNNOBA

○ Non-broadcast Multiple Access: para enlaces en los que el medio es

compartido.

Las interfaces nombradas anteriormente se pueden encontrar en cualquiera de los

siguientes estados:
○ Down
○ Waiting
○ Loopback
○ Point-to-point
○ DR (Designated Router)
○ Backup (por Backup Designated Router)
○ DROther: interface en una red broadcast o NBMA sin estatus DR ni BDR.

Cada encaminador OSPF realiza un seguimiento de sus nodos vecinos,

estableciendo distintos tipos de relación con ellos. Respecto a un encaminador dado,
sus vecinos pueden encontrarse en siete estados diferentes:
a. Down: el proceso OSPF no ha intercambiado información con ningún vecino.
b. Init: los routers OSPF envían paquetes Hello, a intervalos regulares con el fin
de establecer una relación con los routers vecinos.
c. Two-way: empleando paquetes Hello, cada enrutador OSPF intenta
establecer el estado de comunicación bidireccional con cada enrutador
vecino en la misma red IP.
d. Exstart: los dos encaminadores vecinos emplean paquetes Hello para
negociar quien es el "maestro" y quien es el "esclavo" en su relación y
emplean DBD para intercambiar bases de datos. Aquel encaminador con el
mayor router ID "gana" y se convierte en el maestro.
e. Exchange: los encaminadores se describen sus bases de datos de estado de
enlace entre ellos y comparan lo que han aprendido con lo que ya tenían en
su base de datos de estado de enlace. Si alguno de los encaminadores
recibe información acerca de un enlace que no se encuentra en su base de
datos, este envía una solicitud de actualización completa a su vecino.
f. Loading: los routers pueden requerir información más completa empleando
paquetes tipo 3, requerimientos de estado de enlace (LSR).
g. Full: cuando el estado de carga ha sido completada, los enrutadores se
vuelven completamente adyacentes. Cada enrutador mantiene una lista de
vecinos adyacentes, llamada base de datos de adyacencia.

● BGP (Border Gateway Protocol)

Es un protocolo mediante el cual se intercambia información de routing entre

sistemas autónomos. Por ejemplo, los ISP registrados en Internet suelen
componerse de varios sistemas autónomos y para este caso es necesario un
protocolo como BGP. Este intercambio de información de encaminamiento se hace
entre los routers externos (deben soportar BGP) de cada sistema autónomo.
La forma de configurar y delimitar la información que contiene e intercambia el
protocolo BGP es creando lo que se conoce como sistema autónomo. Cada sistema
autónomo (AS) tendrá conexiones o, mejor dicho, sesiones internas (iBGP) y
además sesiones externas (eBGP).
El protocolo de gateway fronterizo (BGP) es un ejemplo de protocolo de gateway
exterior (EGP). BGP intercambia información de encaminamiento entre sistemas
autónomos a la vez que garantiza una elección de rutas libres de bucles. A diferencia
de los protocolos de Gateway internos (IGP), como RIP, OSPF y EIGRP, no usa
métricas como número de saltos, ancho de banda, o retardo. En cambio, BGP toma

8
Redes II UNNOBA

decisiones de encaminamiento basándose en políticas de la red, o reglas que

utilizan varios atributos de ruta BGP.
BGP realiza tres tipos de Ruteo:
○ Ruteo Interautónomo
○ Ruteo Intrautónomo
○ Ruteo de pasc.

Para conseguir una entrega fiable de la información, BGP hace uso de una sesión
de comunicación basada en TCP en el puerto número 179.
Para el intercambio de información de enrutamiento de la red, BGP utiliza el
protocolo de vector de caminos (path vector). Se transmite una lista con
identificación de los ASs por los que pasa el anuncio. De esa manera se conseguirá
saber cómo llegar a cualquier dirección del prefijo propagado así como se dispondrá
para cursar tráfico para cualquier dirección del prefijo.

Dentro del contexto de BGP se debe distinguir entre External BGP (EBGP) e Internal
BGP (IBGP). EBGP hace referencia al intercambio de información entre sistemas
autónomos sin embargo IBGP hace referencia al intercambio de información dentro
de un sistema autónomo. Hasta ahora nos hemos centrado en EBGP pero ¿para
qué tipo de escenarios se destaca la importancia de IBGP? Podemos observar una
figura como la anterior, donde por ejemplo el sistema autónomo AS1 debe propagar
tres prefijos IP (N1, N2 y N3) para que sean alcanzables desde otros sistemas
autónomos. Además estas tres redes deberán establecer cierta política de decisión
de rutas hacia otros sistemas autónomos. IBGP conforma una topología virtual
mallada de modo que todos los routers de un sistema autónomo se encuentren
conectados para que el intercambio de rutas sea directo desde el router al que le
llega el anuncio hacia todo los de su sistema autónomo.

Las relaciones que existen entre distintos sistemas autónomos son principalmente
de peering y de tránsito. Básicamente una relación de tránsito es la que existe entre
un proveedor y un cliente, de modo que el cliente pague por los recursos de Internet
que le puede suministrar su proveedor. Las relaciones de peering no suelen ser
pagadas y consisten en un enlace para comunicar dos sistemas autónomos con el
fin de reducir costes, latencia, pérdida de paquetes y obtener caminos redundantes.

9
Redes II UNNOBA

Mensajes BGP:
○ Open: se utiliza para el establecimiento de una sesión BGP
○ Update: mensaje de actualización que contiene anuncios de nuevos prefijos.
○ Keepalive: una vez que la sesión BGP está activa se envía periódicamente
este mensaje para confirmar que el otro extremo sigue estando activo en la
sesión.
○ Notification: se envía al cerrar una sesión BGP y esto sucede cuando ocurre
algún error que requiera cerrar la misma.

La Ingeniería de Tráfico BGP es el modo en que se gestiona la red a partir de los

atributos con los que cuenta dicho protocolo para satisfacer determinadas
características. Alguno de esos atributos son Origin (Identifica el mecanismo por el
cual se anunció el prefijo IP por primera vez), As-Path (almacena una secuencia de
números de AS que identifican la ruta de ASs por los que ha pasado el anuncio),
Next-Hop (Identifica la dirección IP del router correspondiente al siguiente salto hacia
el destino).
Todos estos atributos pueden ser utilizados conjuntamente para la selección de
rutas. Algunos criterios de selección pueden ser:
○ Si el siguiente NEXT-HOP no está disponible se ignora la ruta.
○ Eliminar las rutas con AS-PATH más largo.
○ Eliminar las rutas con ORIGIN más alto.

● EIGRP (Enhanced Interior Gateway Routing Protocol)

Es un protocolo de encaminamiento vector distancia y un protocolo de enrutamiento

de link-state , propiedad de Cisco Systems, que ofrece lo mejor de los algoritmos
nombrados. Se considera un protocolo avanzado que se basa en las características
normalmente asociadas con los protocolos del estado de enlace. Algunas de las
mejores funciones de OSPF, como las actualizaciones parciales y la detección de
vecinos, se usan de forma similar con EIGRP. Aunque no garantiza el uso de la
mejor ruta, es bastante usado porque EIGRP es algo más fácil de configurar que
OSPF. EIGRP mejora las propiedades de convergencia y opera con mayor eficiencia
que IGRP. Esto permite que una red tenga una arquitectura mejorada y pueda
mantener las inversiones actuales en IGRP.
Las características más relevantes de EIGRP son:
1. Protocolo de transporte confiable (RTP)
2. Actualizaciones Limitadas
3. Algoritmo de actualización por difusión (DUAL)
4. Establecimiento por adyacencias
5. Tablas de vecinos y topología

EIGRP mantiene las siguientes tres tablas:

● Tabla de vecinos: se enumeran a los routers adyacentes.
● Tabla de topología: se compone de todas las tablas de encaminamiento
EIGRP recibidas de los vecinos.
● Tabla de encaminamiento: contiene las mejores rutas hacia un destino.

Protocolos de Enlace de Datos

● HDLC (High-Level Data Link Control)

10
Redes II UNNOBA

Derivado del primer protocolo de enlace de datos utilizado en los mainframes de

IBM: SDLC (Synchronous Data Link Control). Más tarde la ISO lo modificó para
convertirlo en HDLC.
Se basa en el principio de protocolo orientado al bit y usa relleno de bit para la
transparencia de datos.
Utiliza la siguiente estructura de trama:

○ Dirección: es de importancia primordial en las líneas con múltiples terminales,

pues sirve para identificar una de las terminales.
○ Control: se utiliza para números de secuencia, confirmaciones de recepción y
otros propósitos.
○ Datos: puede contener cualquier información y puede tener longitud
arbitraria.
○ Suma de Verificación: es un código de redundancia cíclica
○ Los demás bits restantes representan una secuencia de bandera.

Por ejemplo, si se quiere enviar la siguiente secuencia: 01101111011111011111100.

Entonces HDLC lo modifica de la siguiente manera: 0110111101111100111110100.
Además, el campo control puede tomar las siguientes codificaciones dependiendo
del tipo de trama (información, supervisión y no numeradas):

11
Redes II UNNOBA

Su funcionamiento implica tres fases. Primero, uno de los dos extremos inicia el
enlace de datos, de tal manera que las tramas se puedan intercambiar de una forma
ordenada. Durante esta fase, se pactan las opciones que se usarán en el
intercambio posterior. Después de la iniciación, los dos extremos intercambian los
datos generados por los usuarios así como información de control para llevar a cabo
los procedimientos de control del flujo y de errores. Finalmente, uno de los dos
extremos comunicará la finalización de la transmisión.

● PPP (Point-to-Point Protocol)

Internet necesita de un protocolo punto a punto para diversos propósitos, entre ellos
para el tráfico enrutador a enrutador y tráfico usuario doméstico a ISP. Este protocolo
es PPP (Protocolo punto a punto) y se define en el RFC 1661.
PPP proporciona tres características:
○ Un método de entramado que delinea sin ambigüedades el final de una
trama y el inicio de la siguiente. El formato de trama también maneja la
detección de errores.
○ Un protocolo de control de enlace para activar líneas, probarlas, negociar
opciones y desactivarlas ordenadamente cuando ya no son necesarias. Este
protocolo se llama LCP (Protocolo de Control de Enlace). Admite circuitos
síncronos y asíncronos y codificaciones orientadas a bits y a caracteres.
○ Un mecanismo para negociar opciones de capa de red con independencia
del protocolo de red usado. El método escogido consiste en tener un NCP
(Protocolo de Control de Red) distinto para cada protocolo de capa de red
soportado.

El protocolo PPP permite establecer una comunicación a nivel de la capa de enlace

TCP/IP entre dos computadoras.
Además del simple transporte de datos, PPP facilita dos funciones importantes:
○ Autenticación: generalmente mediante una clave de acceso.
○ Asignación dinámica de IP: los proveedores de acceso cuentan con un
número limitado de direcciones IP y cuentan con más clientes que
direcciones. Naturalmente, no todos los clientes se conectan al mismo
tiempo.

Una trama PPP está basada en HDLC. La principal diferencia entre PPP y HDLC es
que el primero está orientado a caracteres, no a bits. En particular, PPP usa el
relleno de bytes en las líneas de acceso telefónico con módem, por lo que todas las
tramas tienen un número entero de bytes.

Su funcionamiento consta de PPP consta de las siguientes fases:

● Establecimiento de conexión: durante esta fase, una computadora contacta
con la otra y negocian los parámetros relativos al enlace usando el protocolo
LCP.
● Autenticación: no es obligatorio. Existen dos protocolos de autenticación. El
más básico e inseguro es PAP, aunque no se recomienda dado que manda el
nombre de usuario y la contraseña en claro. Un método más avanzado y
preferido por muchos ISPs es CHAP, en el cual la contraseña se manda
cifrada.

12
Redes II UNNOBA

● Configuración de red: se negocian parámetros dependientes del protocolo de

red que se esté usando. PPP puede llevar muchos protocolos de red al
mismo tiempo y es necesario configurar individualmente cada uno de estos
protocolos. Para configurar un protocolo de red se usa el protocolo NCP
correspondiente. Por ejemplo, si la red es IP, se usa el protocolo IPCP para
asignar la dirección IP del cliente y sus servidores DNS.
● Transmisión: durante esta fase se manda y recibe la información de red. LCP
se encarga de comprobar que la línea está activa durante periodos de
inactividad. Obsérvese que PPP no proporciona cifrado de datos.
● Terminación: la conexión puede ser finalizada en cualquier momento y por
cualquier motivo.

PPP tiene todas las propiedades de un protocolo de nivel de enlace:

○ Garantía de recepción.
○ Recepción ordenada
○ Uso del puerto 53 para conexión bidireccional de sockets.
○ Usado en los balanceadores de carga (Load Balancer LB) como protocolo de
distribución.

● X.25

El servicio X.25 está basado en HDLC, y representa un diálogo entre dos entidades:
DTE (Data Terminal Equipment) y DCE (Data Circuit Terminating Equipment). Es un
protocolo de paquetes desarrollado por el CCITT para asegurar la fiabilidad en la
comunicación de los datos, incluso en las redes que tengan equipos de trasmisión
de baja calidad. Se utiliza internacionalmente en las redes públicas de datos. Tiene
una velocidad de transmisión de hasta 64 kbps y es adecuado para conectar redes
antiguas que tengan velocidades de transmisión bajas.
X.25 a 64kbps , no es tan rápida como las nuevas tecnologías pero ofrece algunas
ventajas hasta que los países menos desarrollados en tecnologías se pongan al día.
Su principal ventaja es que es una red fiable con un prestigio reconocido. X25
continúa siendo una forma fiable de conectar Mainframes, minicorpocesadores y
LAN antiguas con una comunicación que no superan a los 10 Mbps.

Ventajas de X25:
○ Varias conexiones lógicas sobre una física
○ Asignación dinámica de la capacidad
○ Transporte de datos de múltiples sistemas
○ Fiable
Desventajas en X25:
○ Protocolos complejos, enlace (crc, asentimiento, etc) y nivel de red
(asentimientos, errores de protocolos, facilidades, etc) lo que conlleva mucho
procesamiento para transmitir datos.
○ Ancho de banda limitado.
○ Retardo de transmisión grande y variable
○ Señalizaron en canal y común, ineficaz y problemática.

Esquema del X25

13
Redes II UNNOBA

Frame Relay

Es una técnica de comunicación mediante retransmisión de tramas para redes de circuito

virtual. Consiste en una forma simplificada de tecnología de conmutación de paquetes que
transmite una variedad de tamaños de tramas de datos, perfecto para la transmisión de
grandes cantidades de datos.
La técnica Frame Relay se utiliza para un servicio de transmisión de voz y datos a alta
velocidad que permite la interconexión de redes de área local separadas geográficamente a
un coste menor. Proporciona conexiones entre usuarios a través de una red pública, del
mismo modo que lo haría una red privada punto a punto, esto quiere decir que es orientado
a la conexión.
Las conexiones pueden ser del tipo permanente, (PVC, Permanent Virtual Circuit) o
conmutadas (SVC, Switched Virtual Circuit).
Aplicaciones y beneficios:
● Reducción de complejidad en la red.
● Equipo a costo reducido
● Mejora del desempeño y del tiempo de respuesta
● Mayor disponibilidad en la red
● Tarifa fija. Los precios no son sensitivos a la distancia
● Mayor flexibilidad. Las conexiones son definidas por los programas

DLCI (Data Link Connection Identifier): es el identificador de canal del circuito establecido
en Frame Relay. Este identificador se aloja en la trama e indica el camino a seguir por los
datos, es decir, el circuito virtual establecido.

VPN (Virtual Private Network)

Es una tecnología de red que permite una extensión de la red local sobre una red pública o
no controlada.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la

14
Redes II UNNOBA

conexión desde su casa al centro de cómputo. Todo ello utilizando la infraestructura de

Internet.
Para hacerlo posible de manera segura es necesario proporcionar los medios para
garantizar la autentificación, integridad de toda la comunicación:
● Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel
de acceso debe tener.
● Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza
funciones de Hash.
● Confidencialidad: dado que sólo puede ser interpretada por los destinatarios de la
misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES).
● No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede
negar que el mensaje lo envió él o ella.

Existen diversos tipos de VPN, entre ellos:

● VPN de acceso remoto: es quizás el modelo más usado actualmente, y consiste en
usuarios o proveedores que se conectan con la empresa desde sitios remotos
(oficinas comerciales, domicilios, hoteles) utilizando Internet como vínculo de
acceso.
● VPN punto a punto: este esquema se utiliza para conectar oficinas remotas con la
sede central de la organización. El servidor VPN, que posee un vínculo permanente
a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece
el túnel VPN.
● Tunneling: consiste en encapsular un protocolo de red sobre otro creando un túnel
dentro de una red de computadoras. Uno de los ejemplos más claros de utilización
de esta técnica consiste en la redirección de tráfico en escenarios IP Móvil. En
escenarios de IP móvil, cuando un nodo-móvil no se encuentra en su red base,
necesita que su home-agent realice ciertas funciones en su puesto, entre las que se
encuentra la de capturar el tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa
redirección del tráfico se realiza usando un mecanismo de tunneling, ya que es
necesario que los paquetes conserven su estructura y contenido originales (dirección
IP de origen y destino, puertos, etc.) cuando sean recibidos por el nodo-móvil.
● VPN over LAN: es una variante del tipo “acceso remoto”, pero en vez de utilizar
Internet como medio de conexión, emplea la misma red de área local de la empresa.
Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy
conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas
(WIFI).

Tipos de conexiones VPN:

○ Conexión de acceso remoto: es realizada por un cliente o un usuario de una
computadora que se conecta a una red privada, los paquetes enviados a través de
la conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al
servidor de acceso remoto, y el servidor se autentifica ante el cliente.
○ Conexión VPN router a router: es realizada por un router, y este a su vez se
conecta a una red privada. En este tipo de conexión, los paquetes enviados desde
cualquier router no se originan en los routers. El router que realiza la llamada se
autentifica ante el router que responde y este a su vez se autentica ante el router
que realiza la llamada y también sirve para la intranet.
○ Conexión VPN firewall a firewall: es realizada por uno de ellos, y éste a su vez se
conecta a una red privada. En este tipo de conexión, los paquetes son enviados
desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica
ante el que responde y éste a su vez se autentifica ante el llamante.

SNMP (Simple Network Management Protocol)

15
Redes II UNNOBA

Es un protocolo de la capa de aplicación que facilita el intercambio de información de

administración entre dispositivos de red. Permite a los administradores supervisar el
funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
Una red administrada a través de SNMP consiste de tres componentes claves:
1. Dispositivos administrados: es una computadora que se conecta a la red que
contiene un agente SNMP y reside en una red administrada. Estos recogen y
almacenan información de administración, la cual es puesta a disposición de los
NMS’s usando SNMP.
2. Agentes: es un módulo de software de administración de red que reside en un
dispositivo administrado. Un agente posee un conocimiento local de información de
administración (memoria libre, número de paquetes IP recibidos, rutas, etcétera).
3. Sistemas administradores de red (Network Management Systems, NMS’s): ejecuta
aplicaciones que supervisan y controlan a los dispositivos administrados. Los NMS’s
proporcionan el volumen de recursos de procesamiento y memoria requeridos para
la administración de la red. Uno o más NMS’s deben existir en cualquier red
administrada.

El protocolo SNMP es utilizado para acceder a las MIBs (Management Information Base),
las cuales constan de una colección de información que está organizada jerárquicamente.
Existen dos tipos de MIB: las escalares y las tabulares. Los objetos escalares definen una
simple instancia de objeto. Los objetos tabulares definen múltiples instancias de objeto
relacionadas que están agrupadas conjuntamente en tablas MIB.
Para realizar las operaciones básicas de administración nombradas anteriormente, el
protocolo SNMP utiliza un servicio no orientado a la conexión (UDP) para enviar un
pequeño grupo de mensajes (PDUs) entre los administradores y los agentes. La utilización
de un mecanismo de este tipo asegura que las tareas de administración de red no afectarán
al rendimiento global de la misma, ya que se evita la utilización de mecanismos de control y
recuperación como los de un servicio orientado a la conexión, por ejemplo TCP.
Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente
formato:
Version - Comunidad - SNMP PDU

RMON (Remote Monitor)

Es un estándar que define objetos actuales e históricos de control, permitiendo que el

administrador de red capture la información en tiempo real a través de la red entera. Forma
parte del protocolo TCP/IP.
Proporciona un mecanismo para notificarle de cambios en el comportamiento de la red.
Es básicamente utilizado para analizar y vigilar datos del tráfico de la red dentro de
segmentos alejados de la LAN. Esto permite que el administrador de red detecte, aísle,
diagnostique, y señale problemas potenciales y reales de la red antes de que se extiendan a
las situaciones de crisis.
La configuración típica de RMON se lleva a cabo sobre un software de un agente RMON
(dispositivo remoto) que puede ser una PC, Switch, etc. Tal agente, funciona en modo
promiscuo capturando paquetes. Un uso típico es ubicar un agente RMON en cada
segmento de red.
*MIB (Management Information Base): define las variables usadas por el protocolo SNMP
y RMON para supervisar y controlar los componentes de una red. Se especifican en la RFC
2578.

Operaciones de RMON:
● Monitorización mediante tablas de datos: informes de tráfico y errores

16
Redes II UNNOBA

● Configuración mediante filas en tablas de control

● Invocación de comandos cuando cambia el estado de algún objeto

Versiones de RMON:
● RMON1: orientada a capa física y de enlace.
● RMON2: orientada a capa de red y posteriores.

El problema principal de RMON se da cuando ocurren accesos concurrentes desde distintos

gestores que logran exceder la capacidad del monitor y los recursos del mismo quedan
ocupados/bloqueados durante un largo período de tiempo.

Proxy

Su finalidad más habitual es la de servidor proxy, que consiste en interceptar las conexiones
de red que un cliente hace a un servidor de destino, por varios motivos posibles como
seguridad, rendimiento, anonimato, etc. Esta función de servidor proxy puede ser realizada
por un programa o dispositivo.
Tipos de proxy:
● Local: en este caso el que quiere implementar la política es el mismo que hace la
petición. Suelen estar en la misma máquina que el cliente que hace las peticiones.
● Externo: el que quiere implementar la política del proxy es una entidad externa. Se
suelen usar para implementar cacheos, bloquear contenidos, control del tráfico,
compartir IP, etc.

Ventajas:
● Control: se pueden restringir los derechos de los usuarios, y dar permisos sólo al
proxy.
● Ahorro: sólo el proxy ha de estar preparado (con los recursos) para hacer el trabajo
real.
● Velocidad: si varios clientes van a pedir el mismo recurso, el proxy puede hacer
caché: guardar la respuesta de una petición para darla directamente cuando otro
usuario la pida.
● Filtrado: el proxy puede negarse a responder algunas peticiones si detecta que están
prohibidas.

Desventajas:
● Anonimato: si todos los usuarios se identifican como uno sólo, es difícil que el
recurso accedido pueda diferenciarlos
● Carga: un proxy ha de hacer el trabajo de muchos usuarios
● Incoherencia: si hace de caché, es posible que se equivoque y dé una respuesta
antigua cuando hay una más reciente en el recurso de destino.

Aplicabilidad de proxies
● Proxy web: proporciona una caché para las páginas web y los contenidos
descargados
● Proxy NAT (Enmascaramiento): las direcciones fuente o destino de los paquetes IP
son reescritas, sustituidas por otras.
● Cross-domain Proxy: tienen restricciones para establecer una comunicación entre
elementos localizados en distintos dominios.

17
Redes II UNNOBA

Seguridad

Casi toda la seguridad se basa en principios de criptografía, a excepción de la seguridad en

la
capa física.

Criptografía
Un cifrado es una transformación carácter por carácter o bit por bit, sin importar la
estructura lingüística del mensaje. En contraste, un código reemplaza una palabra con otra
palabra o símbolo. Los códigos ya no se utilizan, aunque tienen una historia gloriosa.

Resulta útil tener una notación para relacionar el texto llano, el texto cifrado y las claves.
Utilizaremos C = Ek (P) para indicar que la encriptación del texto llano P usando la clave K
produce el texto cifrado C. Del mismo modo, P = Dk (C) representa la desencriptación de C
para obtener el texto llano nuevamente. Por lo tanto,
Dk (Ek (P)) = P

Métodos de cifrado:
● Cifrado por sustitución: cada letra o grupo de letras se reemplazan por otra letra o
grupo de letras para disfrazarla. Una mejora es hacer que cada uno de los símbolos
del texto llano, digamos las 26 letras del abecedario (no incluimos la ñ) inglés,
tengan una correspondencia con alguna otra letra. Por ejemplo,
texto llano: a b c d e f g h i j k l m n o p q r s t u v w x y z
texto cifrado: Q W E R T Y U I O P A S D F G H J K L Z X C V B N M
● Cifrado por transposición: los cifrados por sustitución conservan el orden de los
símbolos de texto llano, pero los disfrazan. Los cifrados por transposición, en
contraste, reordenan las letras pero no las disfrazan. La clave del cifrado es una
palabra o frase que no contiene letras repetidas. En este ejemplo, la clave es
MEGABUCK.

18
Redes II UNNOBA

● Rellenos de una sola vez: se escoge una cadena de bits al azar como clave. Luego
se convierte el texto llano en una cadena de bits, por ejemplo usando su
representación ASCII. Por último, se calcula el OR EXCLUSIVO de estas dos
cadenas, bit por bit. El texto cifrado resultante no puede descifrarse, porque en una
muestra suficientemente grande de texto cifrado cada letra aparecerá con la misma
frecuencia, lo mismo que cada digrama y trigrama, y así sucesivamente

Dos principios fundamentales de la encriptación:

● Redundancia: todos los mensajes encriptados deben contener redundancia, es decir,
información no necesaria para entender el mensaje. En otras palabras, al
desencriptar un mensaje, el destinatario debe tener la capacidad de saber si es
válido con sólo inspeccionarlo y tal vez realizando un cálculo simple. Esta
redundancia es necesaria para evitar que intrusos activos envíen basura y engañen
al receptor para que descifre la basura y realice algo con el “texto llano”.
● Actualización: asegurar que cada mensaje recibido se verifique a fin de saber si está
actualizado, es decir, que se haya enviado muy recientemente. Esta medida es
necesaria para evitar que intrusos activos reproduzcan mensajes antiguos. Si no se
tomaran tales medidas, el ex empleado podría intervenir la línea telefónica de EP y
simplemente continuar repitiendo los mensajes válidos enviados previamente.

Algoritmos de clave simétrica

Utilizan la misma clave para encriptar y desencriptar. Entre estos se encuentran, los
cifrados en bloques, que toman un bloque de n bits de texto llano como entrada y lo
transforman utilizando la clave en un bloque de n bits de texto cifrado. Los algoritmos
criptográficos pueden implementarse ya sea en hardware (para velocidad) o en software
(para flexibilidad). Aunque la mayoría de nuestro tratamiento tiene que ver con
algoritmos y protocolos, que son independientes de la implementación real, no están de
más unas cuantas palabras acerca de la construcción de hardware criptográfico. Las
transposiciones y las sustituciones pueden implementarse mediante circuitos eléctricos
sencillos. En la figura 8-6(a) se muestra un dispositivo, conocido como caja P (la P significa
permutación), que se utiliza para efectuar
una transposición de una entrada de 8 bits. Mediante el cableado interno adecuado, puede
hacerse que una caja P efectúe cualquier transposición prácticamente a la velocidad de la
luz, pues no se requiere ningún cálculo, sólo propagación de la señal. Este diseño sigue el
principio de Kerckhoff: “el atacante sabe que el método general está permutando los bits. Lo
que no sabe es qué bit va en qué lugar, y esto es la clave”.
La sustitución se lleva a cabo mediante cajas S, como se muestra en la figura 8-6(b).
Finalmente la potencia real de estos elementos básicos sólo se hace aparente cuando

19
Redes II UNNOBA

ponemos en cascada una serie completa de cajas para formar un cifrado de producto,
como se muestra en la figura 8-6(c).

Algunos tipos de algoritmos de clave simétrica:

● DES (Data Encryption Standard - Algoritmo de Encriptación Estándar). Desarrollado
por IBM, es un algoritmo de cifrado que utiliza bloques de datos de 64 bits y clave
de 56 bits. No es suficientemente seguro, pues es vulnerable al ataque por fuerza
bruta, lográndose, por ejemplo, romper su seguridad en 24 horas. Para mejorarlo se
creó el algoritmo llamado Triple DES.
IBM se dio cuenta de que la longitud de la clave DES era muy corta y diseñó una
forma de incrementarla de manera efectiva, utilizando cifrado triple (Triple
DES). Aquí se utilizan dos claves y tres etapas.
● AES (Advanced Encryption Standard - Estándar de Encriptación Avanzada).
Esquema de cifrado por bloques, que fue adoptado como estándar de cifrado por el
gobierno estadounidense. Reemplaza progresivamente a su predecesor (DES y
Triple DES). AES es uno de los algoritmos más utilizados en criptografía simétrica.
Las reglas para la creación del AES fueron:
○ Deben soportarse las longitudes de claves de 128, 192 y 256 bits.
○ Deben ser posibles las implementaciones tanto de software como de
hardware.
○ El algoritmo debe ser público o con licencia en términos no discriminatorios.

Algoritmos de clave pública

Dos investigadores de la Universidad de Stanford, Diffie y Hellman (1976), propusieron una
clase nueva de criptosistema, en el que las claves de encriptación y desencriptación eran
diferentes y la clave de desencriptación no podía derivarse de la clave de encriptación. En
su propuesta, el algoritmo de encriptación (con clave), E, y el algoritmo de desencriptación
(con clave), D, tenían que cumplir con los tres requisitos siguientes. Estos requisitos pueden
expresarse sencillamente como sigue:
● D(E(P)) = P.
● Es excesivamente difícil deducir D de E.
● E no puede descifrarse mediante un ataque de texto llano seleccionado.

El método funciona como sigue. Una persona, llamémosla Alice, que quiera recibir
mensajes secretos, primero diseña dos algoritmos, EA y DA, que cumplan los requisitos
anteriores. El algoritmo de encriptación y la clave de Alice se hacen públicos, de ahí el
nombre de criptografía de clave pública. Por ejemplo, Alice podría poner su clave pública en
su página de inicio en Web.
Tipos de algoritmos de clave pública:
● Algoritmo RSA (Rivest, Shamir, Adleman)
● Algoritmo de la mochila (Merkle y Hellman,1978)

20
Redes II UNNOBA

Firmas digitales
La autenticidad de muchos documentos legales, financieros y de otros tipos se determina
por la presencia o ausencia de una firma manuscrita autorizada. Básicamente, lo que se
requiere es un sistema mediante el cual una parte pueda enviar un mensaje “firmado” a otra
parte de modo que:
1. El receptor pueda verificar la identidad del transmisor.
2. El transmisor no pueda repudiar (negar) después el contenido del mensaje.
3. El receptor no haya podido elaborar el mensaje él mismo.

Tipos de firmas digitales:

● Firmas de clave simétrica
● Firmas de clave pública

Seguridad en la comunicación

● IPsec
Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el
Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de
datos. IPsec es muy flexible, ya que puede ser utilizado para proteger protocolos de
la capa 4, incluyendo TCP y UDP. Una ventaja importante de IPsec frente a SSL,
TLS, SSH, etc, es que para que una aplicación pueda usar IPsec no hay que hacer
ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores,
las aplicaciones tienen que modificar su código.
IPsec está implementado por un conjunto de protocolos criptográficos para (1)
asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer
parámetros criptográficos.
IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a
extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales
realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la
seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a
toda la red de área local) por un único nodo.

● Firewalls
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no
autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un
dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios.

21
Redes II UNNOBA

En esta configuración el firewall tiene dos componentes: dos enrutadores que

realizan filtrado de paquetes y una puerta de enlace de aplicación. También existen
configuraciones más simples, pero la ventaja de este diseño es que cada paquete
debe transitar a través de dos filtros y una puerta de enlace de aplicación para entrar
o salir. El filtro de paquete de la LAN interna verifica los paquetes salientes y el que
está en la LAN externa verifica los paquetes entrantes. Los paquetes que cruzan la
primera barrera pasan a la puerta de enlace de aplicación, donde se vuelven a
examinar. El objetivo de colocar los dos filtros de paquetes en LANs diferentes es
asegurar que ningún paquete entre o salga sin pasar a través de la puerta de enlace
de aplicación: no hay otra ruta.

● Seguridad en el 802.11
El estándar 802.11 establece un protocolo de seguridad en el nivel de capa de
enlace de datos llamado WEP (Privacidad Inalámbrica Equivalente), diseñado para
que la seguridad de una LAN inalámbrica sea tan buena como la de una LAN
cableada. Cuando se habilita la seguridad para el estándar 802.11, cada
estación tiene una clave secreta que comparte con la estación base. La forma en
que se distribuyen las claves no se especifica en el estándar. Éstas sólo pueden ser
precargadas por el fabricante. Pueden intercambiarse por adelantado a través de la
red alámbrica. Por último, la estación base o la máquina del usuario pueden tomar
una clave aleatoria y enviársela al otro por aire encriptada con la clave pública del
otro. Una vez establecidas, por lo general las claves permanecen estables por
meses o años.

Protocolos de Autenticación

La autenticación es la técnica mediante la cual un proceso verifica que su compañero de

comunicación sea quien se supone que debe ser y no un impostor.
Algunas personas confunden la autorización con la autenticación. Esta última tiene que ver
con la interrogante de si usted se está comunicando con un proceso específico. La
autorización tiene que ver con lo que ese proceso tiene permitido hacer. Por ejemplo, un
proceso cliente contacta un servidor de archivos y dice: Soy el proceso de Scott y deseo
eliminar el archivo cookbook.old. Desde el punto de vista del servidor, deben contestarse
dos preguntas:
1. ¿Éste es el proceso real de Scott (autenticación)?

22
Redes II UNNOBA

2. ¿Scott tiene permitido eliminar cookbook.old (autorización)?

ATM (Asynchronous Transfer Mode)

Es una tecnología de telecomunicación desarrollada para hacer frente a la gran demanda

de capacidad de transmisión para servicios y aplicaciones. Con esta tecnología, a fin de
aprovechar al máximo la capacidad de los sistemas de transmisión, sean estos de cable o
radioeléctricos, la información no es transmitida y conmutada a través de canales asignados
en permanencia, sino en forma de cortos paquetes (celdas ATM) de longitud constante y
que pueden ser enrutadas individualmente mediante el uso de los denominados canales
virtuales y trayectos virtuales.

Circuitos virtuales de ATM

Puesto que las redes ATM están orientadas a la conexión, el envío de datos requiere que
primero se envíe un paquete para establecer la conexión. Conforme el mensaje de
establecimiento sigue su camino a través de la subred, todos los conmutadores que se
encuentran en la ruta crean una entrada en sus tablas internas tomando nota de la
existencia de la conexión y reservando cualesquier recursos que necesite la conexión. Con
frecuencia a las conexiones se les conoce como circuitos virtuales.

Una vez establecida la conexión, cada lado puede empezar a transmitir datos. La idea
básica en que se fundamenta ATM es transmitir toda la información en paquetes pequeños,
de tamaño fijo, llamados celdas. Las celdas tienen un tamaño de 53 bytes, de los cuales
cinco son del encabezado y 48 de carga útil.
Otro punto a favor de ATM es que el hardware se puede configurar para enviar una celda
entrante a múltiples líneas de salida, una propiedad necesaria para el manejo de un
programa de televisión que se va a difundir a varios receptores. Por último, las celdas
pequeñas no bloquean ninguna línea por mucho tiempo, lo que facilita la garantía en la
calidad del servicio.
Todas las celdas siguen la misma ruta al destino. La entrega de celdas no está garantizada,
pero el orden sí. Si las celdas 1 y 2 se envían en ese orden, entonces deben arribar en el
mismo orden, nunca primero la 2 y luego la 1. No obstante, una de las dos o ambas se
pueden perder en el trayecto. A los niveles más altos de protocolos les corresponde la
recuperación de celdas perdidas. Observe que aunque esta garantía no es perfecta, es
mejor que la de Internet. Ahí los paquetes no sólo se pierden, sino que además se entregan
en desorden. ATM, en contraste, garantiza que las celdas nunca se entregarán en
desorden.

23
Redes II UNNOBA

Las redes ATM se organizan como las WANs tradicionales, con líneas y conmutadores
(enrutadores). Las velocidades más comunes para las redes ATM son de 155 y 622 Mbps,
aunque también se soportan velocidades más altas.

MPLS (MultiProtocol Label Switching)

“Conmutación Multi-Protocolo mediante Etiquetas”

Es un mecanismo de transporte de datos estándar que opera entre la capa de enlace de
datos y la capa de red del modelo OSI. Fue diseñado para unificar el servicio de transporte
de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser
utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de voz y de paquetes
IP.
Representa circuitos virtuales en las redes IP, sobre las que introduce una serie de mejoras:
● Redes privadas virtuales.
● Ingeniería de tráfico.
● Mecanismos de protección frente a fallos.

La tecnología MPLS ofrece un servicio orientado a conexión:

● Mantiene un «estado» de la comunicación entre dos nodos.
● Mantiene circuitos virtuales

MPLS funciona anexando un encabezado a cada paquete. Dicho encabezado contiene una
o más "etiquetas", y al conjunto de etiquetas se le llama pila o "stack”.

24