Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Teorico Final Tanenbaum 4ta Edicion PDF
Resumen Teorico Final Tanenbaum 4ta Edicion PDF
Informacin
2009
NMs
En general las redes de gran cobertura geogrfica utilizan redes por enlaces punto a punto, mientras
que las redes de menor cobertura geogrfica utilizan enlaces de difusin.
LAN (Local Area Network): Son redes de propiedad privada que se encuentran en un
solo edificio o campus de pocos kilmetros de longitud. Se diferencian de otros tipos de
redes por tres aspectos:
El tamao, una LAN utilizada para un edificio tiene la limitante de 100mts de
longitud, pero con el uso de repetidores podran conectarse en un campus y
alcanzar hasta 3km.
Tecnologa de transmisin, las LAN pueden ser conectadas desde por ejemplo
un simple cable que conecte todas las mquinas, hasta una conexin con
dispositivos inalmbricos. Las LAN comenten muy pocos errores (supongo que
se refiere a prdida de paquetes por ejemplo) y se ejecutan a altas velocidades
de 10Mbps, 100Mbps, 1Gbps, 10Gbps, etc.
La topologa
BUS, usa un solo cable backbone y todos los hosts se conectan
directamente a este backbone.
ANILLO, conecta un host con el siguiente y al ltimo host con el primero.
Esto crea un anillo fsico de cable.
ESTRELLA, conecta todos los cables con un punto central de
concentracin.
o Una topologa en estrella extendida conecta estrellas
individuales entre s mediante la conexin de hubs o switches.
Esta topologa puede extender el alcance y la cobertura de la
red.
o Una topologa jerrquica es similar a una estrella extendida.
Pero en lugar de conectar los HUBs o switches entre s, el
sistema se conecta con un computador que controla el trfico
de la topologa.
MALLA, se implementa para proporcionar la mayor proteccin posible
para evitar una interrupcin del servicio dado que cada host tiene sus
propias conexiones con los dems hosts. (Aunque Internet cuenta con
mltiples rutas hacia cualquier ubicacin, no adopta la topologa de
malla completa).
MAN (Metropolitan Area Network): Son redes que abarcan grandes extensiones
geogrficas como una ciudad por ejemplo y su longitud es superior a los 4km y hasta
100km de cobertura. Estas redes son utilizadas para la transmisin de datos, voz, video,
a travs de medios como fibra ptica, par trenzado, etc. Las MAN nacen como una
evolucin de las redes LAN dado que la tecnologa tambin evolucion y permiti
extender la cobertura de la red y mantener en cierto grado las velocidades de
transferencia de datos.
Las redes MAN tienen diferentes usos como ser, transmisiones VOIP para una ciudad,
interconexin entre redes LAN, como pasarela para redes WAN, etc.
WAN (Wide Area Network): Son redes que abarcan una gran rea geogrfica como ser
un pas o un continente con un rea de cobertura de 100km a 1000km y velocidades de
transferencia de datos menores a las LAN. Normalmente las redes WAN utilizan
transmisin punto a punto, cuando se debe enviar un paquete desde un punto A de la
red a un punto B, este paquete puede pasar a travs de varios routers intermedios hasta
llegar a su destino. Es comn que una red WAN utilice las instalaciones de transmisin
proporcionadas por los portadores comunes, tales como compaas de telfono.
Red Corporativa: Son todos los recursos de una organizacin que se encuentran interconectados
independientemente del rea que ocupen y la tecnologa de conmutacin utilizada.
Red Corporativa
WAN
LAN
LAN
LAN
VPN
MAN
Segn privacidad
o
Redes Privadas: Son redes cuyos terminales tienen asignados direcciones IP del espacio
de direcciones privadas, lo cual les permite comunicarse con otros terminales de la red
privada pero no salir a internet con dicha IP. Son muy utilizadas en redes LAN dado que
muchas veces en una red no es necesario que todas las maquinas estn conectadas a
internet. Las direcciones de IP privadas surgen como un mtodo para evitar el
Servidor: El servidor es aquel o aquellos ordenadores que van a compartir sus recursos
hardware y software con los dems equipos de la red. Sus caractersticas son potencia de
clculo, importancia de la informacin que almacena y conexin con recursos que se desean
compartir.
Estacin de trabajo: Los ordenadores que toman el papel de estaciones de trabajo aprovechan
o tienen a su disposicin los recursos que ofrece la red as como los servicios que proporcionan
los Servidores a los cuales pueden acceder.
Encaminador: Es un dispositivo de propsito general diseado para multitud de tareas,
algunas de ellas de alta complejidad y otras ms sencillas. Est diseado para segmentar la red
con la idea de limitar el trfico de troncal y proporcionar seguridad, control y redundancia entre
dominios individuales de troncal. Los routers operan en la capa 3 del modelo OSI y tienen ms
facilidades de software que un switch. Al funcionar en una capa mayor que la del switch, el
router distingue entre los diferentes protocolos de red, tales como IP, IPX, AppleTalk o DECnet,
permitindole decidir de forma ms inteligente que el switch , al momento de reenviar
paquetes. Las dos funciones bsicas del router son :
o Crear y mantener tablas de encaminamiento para cada capa de protocolo de red: estas
tablas son creadas esttica dinmicamente.
o Seleccionar la ruta basndose sobre diversos factores ms que por la direccin de
destino. Estos factores pueden ser la cuenta de saltos, velocidad de la lnea, costo de
transmisin, retraso y condiciones de trfico.
Gateways o pasarelas: Es un hardware y software que permite las comunicaciones entre la red
local y grandes ordenadores (mainframes). El gateway adapta los protocolos de comunicacin
del mainframe (X25, SNA, etc.) a los de la red, y viceversa.
Bridges o puentes: Es un hardware y software que permite que se conecten dos redes locales
entre s. Un puente interno es el que se instala en un servidor de la red, y un puente externo es
el que se hace sobre una estacin de trabajo de la misma red. Los puentes tambin pueden ser
locales o remotos. Los puentes locales son los que conectan a redes de un mismo edificio,
usando tanto conexiones internas como externas. Los puentes remotos conectan redes distintas
entre s, llevando a cabo la conexin a travs de redes pblicas, como la red telefnica, RDSI o
red de conmutacin de paquetes.
Tarjeta de red: Tambin se denominan NIC (Network Interface Card). Bsicamente realiza la
funcin de intermediario entre el ordenador y la red de comunicacin. En ella se encuentran
grabados los protocolos de comunicacin de la red. La comunicacin con el ordenador se realiza
normalmente a travs de las ranuras de expansin que ste dispone, ya sea ISA, PCI o PCMCIA.
Aunque algunos equipos disponen de este adaptador integrado directamente en la placa base.
El medio: Constituido por el cableado y los conectores que enlazan los componentes de la red.
Los medios fsicos ms utilizados son el cable de par trenzado, par de cable, cable coaxial y la
fibra ptica (cada vez en ms uso esta ltima).
Concentradores de cableado: Una LAN en bus usa solamente tarjetas de red en las estaciones y
cableado coaxial para interconectarlas, adems de los conectores, sin embargo este mtodo
complica el mantenimiento de la red ya que si falla alguna conexin toda la red deja de
funcionar. Para impedir estos problemas las redes de rea local usan concentradores de
cableado para realizar las conexiones de las estaciones, en vez de distribuir las conexiones el
concentrador las centraliza en un nico dispositivo manteniendo indicadores luminosos de su
estado e impidiendo que una de ellas pueda hacer fallar toda la red.
Existen dos tipos de concentradores de cableado:
1. Concentradores pasivos: Actan como un simple concentrador cuya funcin principal
consiste en interconectar toda la red.
2. Concentradores activos: Adems de su funcin bsica de concentrador tambin
amplifican y regeneran las seales recibidas antes de ser enviadas.
Los concentradores de cableado tienen dos tipos de conexiones: para las estaciones y para
unirse a otros concentradores y as aumentar el tamao de la red. Los concentradores de
cableado se clasifican dependiendo de la manera en que internamente realizan las conexiones y
distribuyen los mensajes. A esta caracterstica se le llama topologa lgica.
Existen dos tipos principales:
1. Concentradores con topologa lgica en bus (HUB): Estos dispositivos hacen que la red
se comporte como un bus enviando las seales que les llegan por todas las salidas
conectadas.
2. Concentradores con topologa lgica en anillo (MAU): Se comportan como si la red fuera
un anillo enviando la seal que les llega por un puerto al siguiente.
El Protocolo TCP/IP
Historia
ARPANET fue una red de investigaciones del departamento de defensa de los Estados Unidos, con el
tiempo esta red conecto varias universidades e instalaciones gubernamentales mediante lneas
telefnicas. Posteriormente surgieron redes satelitales y de radio y los protocolos existentes tuvieron
problemas para trabajar con ellos y la solucin a ello fue crear un modelo de referencia para estas redes,
el nombre de ese modelo es TCP/IP.
EL MODELO TCP/IP
OSI
7. Aplicacin
6. Representacin
5. Sesin
4. Transporte
3. Red
2. Enlace de datos
1. Fsica
TCP/IP
Aplicacin
Transporte
Internet
Acceso a la red
El modelo TCP/IP consta de 4 capas que estn jerarquizadas y cada una se construye sobre su
predecesora. El nmero, servicios y funciones de cada una de las capas varan segn el tipo de red,
veamos la versin original de 4 capas.
Capa de acceso al medio
Equivalente a la capa fsica (1) y capa de enlace de datos (2) del modelo OSI. Se encarga de llevar a cabo
a la transmisin de bits a travs del medio y fragmentacin de los datos a enviar, uso de buffers, control
de flujo y manejo de errores.
Capa de Internet
Equivalente a la capa red (3) del modelo OSI. Se encarga de encaminar los paquetes para que lleguen al
destino, uso y definicin de tablas de enrutamiento (ya sea estticas o dinmicas), mecanismos de
control de congestin y control de flujo, etc.
Capa de transporte
Equivalente a la capa de transporte (4) del modelo OSI. Se encarga de aceptar los datos provenientes de
la capa de aplicacin, dividirlo en unidades ms pequeas (en caso de ser necesario), asegurarse que
todos los datos enviados lleguen correctamente de extremo a extremo, determina el tipo de conexin
(seguro orientado a conexin TCP (con control de flujo), inseguro no orientado a conexin UDP (sin
control de flujo)).
Capa de aplicacin
Equivalente a las capas sesin (5), presentacin (6) aplicacin (7) del modelo OSI. El modelo TCP/IP
combina todos los aspectos relacionados con las aplicaciones en una sola capa, contiene todos los
protocolos de nivel ms alto (TELNET, FTP, HTTP, etc.).
Conjunto de protocolos
Aplicacin
BGP DHCP DNS FTP GTP HTTP IMAP IRC Megaco MGCP NNTP NTP
POP RIP RPC RTP RTSP SDP SIP SMTP SNMP SOAP SSH Telnet TLS/SSL
XMPP
Transporte
Internet
Acceso a la red
NDP OSPF Tunnels (L2TP) PPP Media Access Control (Ethernet, DSL, ISDN, FDDI)
Internet
Origen
El nmero de redes, maquinas y usuarios conectados a ARPANET creci exponencialmente luego de que
TCP/IP se convirti en el protocolo oficial. A mediados de la dcada del 80, las personas comenzaron a
ver el conjunto de redes como internet. Por lo que se define que una mquina est en internet si ejecuta
la pila de protocolos TCP/IP, tiene una direccin IP y puede enviar paquetes IP a otras mquinas en
internet.
Servicios Bsicos
Internet y sus predecesores tenan 4 aplicaciones bsicas:
Correo electrnico, la capacidad para redactar, enviar y recibir correo electrnico ha sido
posible desde los inicios de ARPANET.
Noticias, los grupos de noticias son foros especializados en los que los usuarios con un inters
comn pueden intercambiar mensajes.
Inicio remoto de sesin, mediante programas como telnet los usuarios de cualquier parte en
internet pueden iniciar sesin en cualquier otra mquina en la que tengan una cuenta.
Transferencia de archivos, con el programa FTP, los usuarios pueden copiar archivos de una
mquina en internet a otra.
Luego de 1990 una nueva aplicacin cambi el uso de internet, la World Wide Web. Esta aplicacin hizo
posible que un sitio estableciera pginas con informacin en forma de texto, imgenes, sonido y video,
junto con vnculos que integraran a otras pginas.
Estndares de redes
Cuando hablamos de redes existen una serie de organismos como son:
ISPR
ISPL
ISP
NA
P
NA
P
NA
P
NA
P
NA
P
ISP
ISPR
ISPR
POP
ISP
ISP
ISPL
ISPR
ISPL
PC1
LAN1
En el caso de la PC1, el cliente llama a su ISP Local haciendo uso del cableado telefnico, el modem es la
tarjeta dentro de su PC que convierte las seales digitales de la computadora en seales analgicas que
pueden viajar a travs del sistema telefnico. Estas seales viajan por el cableado telefnico hasta el
POP (Point of Presence) del ISP donde se retiran del sistema telefnico y se inyectan en la red del ISP, a
partir de este punto el sistema es totalmente digital y de conmutacin de paquetes. Cuando el ISP local
recibe el paquete, se fija si pertenece a alguien con el que est directamente conectado, de no ser as
pasa el paquete a un ISP Regional, el paquete continua viajando hasta llegar a su destino.
PC1: PC conectada a un ISP Local haciendo uso del cableado telefnico, para ello convierte la
seal digital a analgica.
Cableado Telefnico: Medio por el cual viajan los datos.
POP: Es el elemento que permite filtrar del cableado telefnico aquella informacin que es para
el ISP y convertirla a digital para inyectarla en la red del ISP Local.
ISPL: El ISP Local es el ISP de menor cobertura. Algunos ejemplos son Ciudad Internet, Fibertel,
Tutopa.
ISPR: El ISP Regional, son aquellos que proveen el servicio de conexin a los ISP Locales. Algunos
ejemplos son Telecom y Telefnica.
ISP: Son aquellos ISP que estn directamente conectados a un NAP y que brindan el servicio de
conexin a los ISPR, son proveedores internacionales. Algunos ejemplos son Prodigy y AOL.
NAP: Network Access Point, son los 5 nodos de internet y cada uno maneja un continente salvo
Amrica que tiene 2. Los NAP tienen los enlaces ms rpidos de todo internet.
Tel1
POP
IXC
IXC
CT
IXC
POP
Tel4
CL
CL
Tel2
CL
CL
Tel3
Int1
CT
LATA1
LATA2
CL
Int2
LATA (Local Access Transport Area), los usuarios se conectan a los CL (Centrales Locales) a travs de lo
que denominaremos ltima Milla, que bsicamente es el cable que los conecta con la central local. En
los aos 90 se produjo la digitalizacin de las lneas del sistema de transmisin, manteniendo la ltima
milla de los abonados de manera analgica con un ancho de banda de 4Khz. Por lo que la seal
analgica llega a las centrales locales y debe ser codificada para digitalizarse, la codificacin se realiza
con PCM (Modulacin de Impulsos Codificados) a una frecuencia de muestreo de 8Khz con un ancho de
banda de 64Kbits, la modulacin se realiza con TDM (Modulacin por divisin de tiempo). En el caso de
que sea una llamada local, la peticin se resuelve a travs de las centrales locales. Si es una llamada a
otro proveedor, las centrales locales envan los datos multiplexados y digitalizados a las centrales de
transformacin, esta se conecta al POP y enva los datos a la central de transformacin del proveedor
correspondiente, esto lo hace a travs de los IXC (Inter Exchange Carrier), una vez que esto ocurre los
datos son enviados a la central local y al usuario correspondiente.
En caso de ser una conexin a internet, estas son denominadas (CSU/DSU) Unidad de Servicio de Canal /
Unidad de Servicio de Datos, es una interfaz que permite conectar equipos DTE (Data Terminal
Equipment) a un circuito digital. Trabajan en la capa fsica (1) del modelo OSI normalmente presentan
conectores seriales RS232 (DSU) y otro RJ45 (CSU). El CSU provee una terminacin de la seal digital y
asegura la integridad de la conexin a travs de la correccin de errores y la supervisin de la lnea.
Otras funciones del CSU son proteger el equipo del usuario y la lnea de problemas elctricos. El DSU
convierte los datos codificados del circuito digital en datos sncronos seriales para una conexin a un
dispositivo DTE y establece plazos para cada extremo.
ISDN (Red Digital de Servicios Integrados) no fue aplicado por los costos de reemplazar todas las ltimas
millas, ISDN utiliza conmutacin de circuitos y es una conexin WAN que en la ltima milla tiene un
cable UTP de 8 conductores. Los hilos de ms son utilizados para enviar, entre otras cosas, seales de
control (se denomina fuera de banda porque la seal de control va por otros conductores).
para que los conmutadores puedan saber a qu conexin pertenece una celda, la conmutacin de celdas
se realiza a alta velocidad a nivel de hardware. Al utilizar celdas de tamao pequeo, estas no bloquean
ninguna lnea por mucho tiempo lo que facilita la garanta de la calidad de servicio. Dado que se
establece un circuito virtual, todas las celdas siguen un mismo camino en su viaje hacia el destino, por lo
que a pesar de no garantizarse la entrega de las celdas, si se garantiza el orden (la recuperacin de las
celdas perdidas se realiza en los niveles ms altos del protocolo). Las redes ATM pueden alcanzar
velocidades de transferencia de 155Mbps hasta 622Mbps (con 155Mbps puede enviarse televisin de
alta definicin y la de 622Mbps es para enviar 4 canales de 155Mbps).
Capa Fsica: Tiene que ver con el medio fsico (voltajes, temporizacin de bits, etc.), ATM puede enviar
sus celdas al medio de comunicacin o esas celdas pueden ser la carga til de otro sistema de
transporte, en otras palabras ATM es independiente del medio de transmisin. La capa fsica se divide
en dos subcapas:
Subcapa dependiente del medio fsico, esta subcapa interacta con el cable real, mueve los bits
y maneja su temporizacin (esta capa vara de acuerdo al medio fsico a utilizar).
Capa ATM: Se encarga de las celdas y su transporte, define la disposicin de una celda y genera/extrae
el encabezado de la misma, establece y libera los circuitos virtuales y realiza control de congestin.
Capa de Adaptacin ATM: Esta capa fue creada dado que la mayora de las aplicaciones no trabajan con
celdas ATM, esta capa segmenta/reensambla los paquetes a enviar al tamao de las celdas. Esta capa se
divide en dos subcapas:
Celdas ATM
Son estructuras de datos de 53 bytes compuestas por dos campos principales:
1. Cabecera, sus 5 bytes tienen tres funciones principales: identificacin del canal, informacin
para la deteccin de errores y si la clula es o no utilizada. Eventualmente puede contener
tambin correccin de errores y un nmero de secuencia.
2. Carga til, tiene 48 bytes fundamentalmente con datos del usuario y protocolos AAL que
tambin son considerados como datos del usuario.
Dos de los conceptos ms significativos del ATM, Canales Virtuales y Rutas Virtuales, estn
materializados en dos identificadores en el header de cada clula (VCI y VPI) ambos determinan el
enrutamiento entre nodos. El estndar define el protocolo orientado a conexin que las transmite y dos
tipos de formato de celda:
NNI (Network to Network Interface o interfaz red a red) El cual se refiere a la conexin de
Switches ATM en redes privadas
UNI (User to Network Interface o interfaz usuario a red) este se refiere a la conexin de un
Switch ATM de una empresa pblica o privada con un terminal ATM de un usuario normal,
siendo este ltimo el ms utilizado.
Campos
GFC (Control de Flujo Genrico, Generic Flow Control, 4 bits): El estndar originariamente
reserv el campo GFC para labores de gestin de trfico, pero en la prctica no es utilizado. Las
celdas NNI lo emplean para extender el campo VPI a 12 bits.
VPI (Identificador de Ruta Virtual, Virtual Path Identifier, 8 bits) y VCI (Identificador de Circuito
Virtual, Virtual Circuit Identifier, 16 bits): Se utilizan para indicar la ruta de destino o final de la
celula.
PT (Tipo de Informacin de Usuario, Payload type, 3 bits): identifica el tipo de datos de la celda
(de datos del usuario o de control).
CLP (Prioridad, Cell Loss Priority, 1 bit): Indica el nivel de prioridad de las celda, si este bit esta
activo cuando la red ATM esta congestionada la celda puede ser descartada.
HEC (Correccin de Error de Cabecera, Header Error Correction, 8 bits): contiene un cdigo de
deteccin de error que slo cubre la cabecera (no la informacin de usuario), y que permite
detectar un buen nmero de errores mltiples y corregir errores simples.
Versin: Es un registro de la versin del protocolo a la que pertenece el datagrama, este campo permite
que puedan convivir IP ver.4 e IP ver.6 por ejemplo.
IHL: Dado que la longitud del encabezado no es constante, se incluye este campo para indicar la
cantidad de elementos opcionales agregados.
Tipo de servicio: Distingue entre las diferentes clases de servicios y pueden variarse combinaciones de
confiabilidad y velocidad.
Longitud Total: Incluye a todo el datagrama (encabezado + datos), la longitud mxima es de 64 Kbytes.
Identificacin: Este campo es necesario para que el host destino identifique a que datagrama pertenece
un fragmento llegado (todos los fragmentos de un datagrama contienen el mismo identificador).
Direcciones IP
Cada host y router de internet tiene una direccin de IP la cual se encuentra formada por dos nmeros
el de RED y el de HOST, la combinacin es nica y dos maquinas no pueden tener el mismo IP. Todas
las direcciones IP Versin 4 son de 32 bits de longitud y se utilizan en los campos direccin de origen y
direccin de destino de los paquetes IP. Es importante aclarar que una direccin de IP no se refiere a
un HOST si no a una interfaz de red por lo que si un HOST se encuentra en dos redes, debe tener
asignadas dos direcciones de IP.
Clases de direcciones IP
Las direcciones de IP han sido divididas en varias clases:
Los nmeros de las redes son manejados por una corporacin no lucrativa llamada ICANN (Corporacin
de Internet para la Asignacin de Nombre y Nmeros) para evitar conflictos.
Clase
A
B
C
D
E
Desde
1.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
Hasta
127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
255.255.255.255
Las direcciones clase A son las que mayor cantidad de Hosts pueden tener en una misma red, mientras
que las clase C son las que mayor cantidad de redes pueden tener y las clase B son un intermedio. Las
direcciones IP clase D son direcciones de multicast y no existe necesidad de asignar bits de red o de host,
las direcciones clase E estn reservadas para un uso futuro.
Existen algunas direcciones IP con caractersticas particulares como la 127.X.X.X estas direcciones son
denominadas de loopback y los paquetes enviados a estas direcciones no se colocan en el cable, si no
que se procesan localmente y se tratan como paquetes de entrada. La direccin 0.0.0.0 es utilizada por
las mquinas cuando arrancan o no se les ha asignado una direccin IP. Las direcciones donde la parte
de Hosts es 0, se denominan direcciones de red y hacen referencia a una familia de direcciones IP. Las
direcciones donde la parte de host es 1 se denominan direcciones de broadcast que se utilizan como
direccin de difusin para indicar todos los hosts de una red.
Direcciones de IP Privadas
Hay ciertas direcciones en cada clase de direccin IP que no estn asignadas y que se denominan
direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts que usan traduccin de
direccin de red (NAT/PAT) para conectarse a una red pblica o por los hosts que no se conectan a
Internet. En una misma red no pueden existir dos direcciones iguales, pero s se pueden repetir en dos
redes privadas que no tengan conexin entre s o que se sea a travs de NAT/PAT. Las direcciones
privadas son:
Clase
A
B
C
Desde
10.0.0.0
172.16.0.0
192.168.0.0
Hasta
10.255.255.255
172.31.255.255
192.168.255.255
Red
8 bits
12 bits
16 bits
Host
24 bits
20 bits
16 bits
Mscara de Subred
La mscara permite distinguir los bits que identifican la red y los que identifican el host de una direccin
IP. Dada la direccin de clase A 10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y el host al que se
refiere es el 2.1.2 dentro de la misma. La mscara se forma poniendo a 1 los bits que identifican la red y
a 0 los bits que identifican el host. De esta forma una direccin de clase A tendr como mscara
255.0.0.0, una de clase B 255.255.0.0 y una de clase C 255.255.255.0. Los dispositivos de red realizan un
AND entre la direccin IP y la mscara para obtener la direccin de red a la que pertenece el host
identificado por la direccin IP dada. Por ejemplo un router necesita saber cul es la red a la que
pertenece la direccin IP del datagrama destino para poder consultar la tabla de encaminamiento y
poder enviar el datagrama por la interfaz de salida.
Subredes
El uso de subredes permite dividir a una red en varias partes para uso interno, pero actuar como una
sola red ante el mundo exterior. Bsicamente lo que se hace es eliminar algunos bits de host y usarlos
como bit de red para crear un nuevo nmero de subred. Pero para que la implementacin de subredes
surta efecto, el router necesita conocer la mscara de subred que permita separar aquellos bits que
estn siendo utilizados para red de los que se utilizan para host. Las mscaras de subredes pueden
definirse utilizando notacin decimal (255.128.0.0) o notacin alternativa (/9) la cual indica la cantidad
de bits que son utilizados para red. Dentro de una subred hay dos direcciones que estn reservadas y
son aquella que tiene todos los bits de host en 0 (Direccin de subred) y aquella que tiene todos los bits
de host en 1 (Direccin de broadcast de la subred).
Fuera de la red, la subred no es visible por lo que no se necesita la autorizacin de ningn organismo
para realizar subredes.
Tabla de enrutamiento
Cuando llega un paquete IP, el router debe decidir a quin enviarlo para que este llegue a su destino, lo
que hace el router es buscar en su tabla de enrutamiento la direccin de red destino del paquete (previo
haber realizado una AND lgico entre la direccin del Host destino y la mscara de subred para obtener
la direccin de RED destino). Si la direccin se encuentra en la tabla tendr todos los datos necesarios
para que el paquete siga su camino (Ej. Interfaz de salida, prximo salto, etc.). En caso de no tener la
direccin de red en su tabla pero si tener seteado un Gateway por defecto, enviar el paquete a este
Gateway para que decida qu hacer con l.
CIDR (Classless InterDomain Routing)
Originalmente, direcciones IP se separaban en dos partes: la direccin de red y la direccin de host. Esta
divisin se usaba para controlar la forma en que se encaminaba el trfico entre redes IP.
Histricamente, el espacio de direcciones IP se divida en cinco clases principales de redes (A, B, C, D y
E), donde cada clase tena asignado un tamao fijo de direccin de red y al ver una direccin de IP
podamos decir a que clase perteneca por su rango.
A medida que la red TCP/IP experimental se expandi en los aos 80 para formar Internet, el nmero de
ordenadores con direccin IP pblica creci exponencialmente, forzando a los enrutadores a
incrementar la memoria necesaria para almacenar las tablas de rutas, y los recursos necesarios para
mantener y actualizar esas tablas. La necesidad de un esquema de direcciones ms flexible se haca cada
vez ms patente.
Esta situacin condujo al desarrollo sucesivo de las subredes y CIDR. Dado que se ignora la antigua
distincin entre clases de direcciones, el nuevo sistema se denomin encaminamiento sin clases
(classless routing). Esta denominacin conllev que el sistema original fuera denominado
encaminamiento con clases (classful routing).
VLSM (Variable Lenght Subnet Mask - Mscara de Subred de Longitud Variable) parte del mismo
concepto que CIDR. El trmino VLSM se usa generalmente cuando se habla de redes privadas, mientras
que CIDR se usa cuando se habla de Internet (red pblica).
CIDR usa la tcnica de Mscara de Subred de Longitud Variable, para hacer posible la asignacin de
prefijos de longitud arbitraria, esto permite un uso ms eficiente del cada vez ms escaso espacio de
direcciones IPv4 y la agregacin de mltiples prefijos contiguos en superredes, reduciendo el nmero de
entradas en las tablas de ruta globales.
Bloques CIDR
CIDR facilita el encaminamiento al permitir agrupar bloques de direcciones en una sola entrada de tabla
de rutas. Estos grupos, llamados comnmente Bloques CIDR, comparten una misma secuencia inicial de
bits en la representacin binaria de sus direcciones IP.
Los bloques CIDR IPv4 se identifican usando una sintaxis similar a la de las direcciones IPv4: cuatro
nmeros decimales separados por puntos, seguidos de una barra de divisin y un nmero de 0 a 32;
A.B.C.D/N.
Los primeros cuatro nmeros decimales se interpretan como una direccin IPv4, y el nmero tras la
barra es la longitud de prefijo, contando desde la izquierda, y representa el nmero de bits comunes a
todas las direcciones incluidas en el bloque CIDR.
Decimos que una direccin IP est incluida en un bloque CIDR, y que encaja con el prefijo CIDR, si los N
bits iniciales de la direccin y el prefijo son iguales. Ntese que los prefijos CIDR cortos (nmeros
cercanos a 0) permiten encajar un mayor nmero de direcciones IP, mientras que prefijos CIDR largos
(nmeros cercanos a 32) permiten encajar menos direcciones IP.
Una direccin IP puede encajar en varios prefijos CIDR de longitudes diferentes, es por ello que en las
tablas de enrutamiento cuando se compara la direccin de IP destino del paquete con las entradas en la
tabla, puede que existan muchas coincidencias con la misma direccin IP de red pero con distintas
mscaras, por lo que se utiliza aquella que tenga la mscara ms grande.
CIDR tambin se usa con direcciones IPv6, en las que la longitud del prefijo vara desde 0 a 128, debido a
la mayor longitud de bit en las direcciones, con respecto a IPv4. En el caso de IPv6 se usa una sintaxis
similar a la comentada: el prefijo se escribe como una direccin IPv6, seguida de una barra y el nmero
de bits significativos.
CIDR y Mscaras de Subred
CIDR usa mscaras de subred de longitud variable (VLSM) para asignar direcciones IP a subredes de
acuerdo a las necesidades de cada subred. De esta forma, la divisin red/host puede ocurrir en cualquier
bit de los 32 que componen la direccin IP. Este proceso puede ser recursivo, dividiendo una parte del
espacio de direcciones en porciones cada vez menores, usando mscaras que cubren un mayor nmero
de bits.
Las direcciones de red CIDR/VLSM se usan a lo largo y ancho de la Internet pblica, y en muchas grandes
redes privadas.
Agregacin de Prefijos
Otro beneficio de CIDR es la posibilidad de agregar prefijos de encaminamiento, un proceso conocido
como "supernetting". Por ejemplo, diecisis redes /24 contguas pueden ser agregadas y publicadas en
los enrutadores de Internet como una sola ruta /20 (si los primeros 20 bits de sus respectivas redes
coinciden). Dos redes /20 contiguas pueden ser agregadas en una /19, etc.
Esto permite una reduccin significativa en el nmero de rutas que los enrutadores en Internet tienen
que conocer (y una reduccin de memoria, recursos, etc.) y previene una explosin de tablas de
encaminamiento, que podra sobrecargar a los routers e impedir la expansin de Internet en el futuro.
IP Versin 6
IPv6 es el protocolo de la prxima generacin de Internet, a la que originalmente se denomin IPng
(Internet Protocol Next Generation). IPv6 surge a raz de la necesidad de implementar una solucin
efectiva y determinante a los problemas que se plantean en la actualidad o a futuro evidente debido a
las limitaciones de IPv4. Algunas de las limitaciones pueden ser, la inminente saturacin del espacio de
direcciones, se requiere soportar aplicaciones de video conferencia, multimedia en tiempo real, se
requieren mecanismos de seguridad en la capa de red.
Qu problemas trae esto?
Escasez de direcciones IP:
Menos direcciones disponibles.
Limita el crecimiento de internet.
El ruteo es ineficiente.
Provoca que los usuarios utilicen NAT/PAT
Soporte Inadecuado para las nuevas aplicaciones
Qu buscamos:
Menores tiempos de respuesta.
Mayor disponibilidad de ancho de banda.
Mayor seguridad
La seguridad es opcional IPv4 no fue diseado para ser seguro ya que originalmente fue diseado para
una red militar aislada. Se han definido varias herramientas de seguridad como ser: SSL, SHTTP, IPsec V4,
etc., y ninguna es un estndar.
Cules son las mayores ventajas de IPv6?
Escalabilidad: IPv6 tiene direcciones de 128 bits frente a las direcciones de 32 bits de IPv4. Lo cual
implica un gran aumento en el nmero de IPs disponibles.
Seguridad: IPv6 incluye seguridad en sus especificaciones como es la encriptacin de la informacin y la
autentificacin del remitente de dicha informacin.
Aplicaciones en tiempo real: Para dar mejor soporte a trfico en tiempo real (i.e. videoconferencia), IPv6
incluye etiquetado de flujos en sus especificaciones. Con este mecanismo los routers pueden reconocer
a qu flujo extremo a extremo pertenecen los paquetes que se transmiten.
Extensibilidad: IPv6 ha sido diseado para ser extensible y ofrece soporte optimizado para nuevas
opciones y extensiones.
Movilidad: IPv6 incluye mecanismos de movilidad ms eficientes y robustos.
Especificaciones ms claras y optimizadas: IPv6 seguir las buenas prcticas de IPv4 y elimina las
caractersticas no utilizadas u obsoletas de IPv4, con lo que se consigue una optimizacin del protocolo
de Internet. La idea es quedarse con lo bueno y eliminar lo malo del protocolo actual.
Datagrama IP v6
Datagrama respecto a IP v4
o
o
o
La longitud de esta cabecera es de 40 bytes, el doble que en IPv4, pero tiene muchas ventajas al
eliminar campos redundantes y ser de longitud fija, lo que facilita el procesado en los routers.
Otra ventaja es que los campos estn alineados a 64 bits, lo que permite que las nuevas
generaciones de procesadores de 64 bits sean ms eficaces al procesar este encabezado
El valor del campo siguiente cabecera, indica cual es la siguiente cabecera. Las sucesivas
cabeceras, no son examinadas en cada nodo de la ruta, sino slo en el o los nodo/s destino final.
Hay una excepcin a esta regla: cuando el valor de este campo es cero, indica opcin de examinado
y proceso salto a salto (hotby-hop).
A continuacin se dan algunos ejemplos de uso de las cabeceras de extensin, definidas en el campo
siguiente cabecera. Este mecanismo permite encadenar una cabecera con otra.
Nuevos usuarios en pases tan poblados como China o la India, nuevas tecnologas con dispositivos
conectados de forma permanente (xDSL, cable, PLC, PDAs, telfonos mviles, UMTS, etc.) estn
provocando la rpida desaparicin, de forma prctica, de las direcciones IP disponibles en la versin 4.
Esto y la necesidad de mayores tasas de transferencia a nivel global hacen que la llegada de IPv6 sea
consecuencia directa de la evolucin de las nuevas tecnologas. Abriendo un camino de posibilidades
totalmente nuevas.
Descripcin
El paquete no se pudo entregar
Campo tiempo de vida = 0
Campo de encabezado no vlido (al comparar el CHECKSUM)
Paquete regulador (se usaba para controla congestin)
Cuando un paquete est mal enrutado se redirecciona y se avisa
Pregunta a una mquina si est viva y si es alcanzable
Echo Reply
Timestamp Request
Timestamp Reply
S, estoy viva
Idem solicitud de eco pero con marca de tiempo
Idem respuesta de eco pero con marca de tiempo
La utilidad del protocolo ICMP es controlar si un paquete no puede alcanzar su destino, si su vida ha
expirado, etc. Es decir, se usa para manejar mensajes de error y de control necesarios para los sistemas
de la red, informando con ellos a la fuente original para que evite o corrija el problema detectado.
Muchas de las utilidades de red comunes estn basadas en los mensajes ICMP. El comando traceroute
est implementado transmitiendo datagramas UDP con campos especiales TTL IP en la cabecera, y
buscando los mensajes de "Tiempo de Vida en trnsito" y "Destino inalcanzable" generados como
respuesta. La herramienta ping est implementada utilizando los mensajes "Echo request" y "Echo
reply" de ICMP.
Internet Group Management Protocol (IGMP)
Tipos:
Consulta de asociacin: enviada por un encaminador de multidifusin. Hay dos subtipos: una
consulta general, utilizada para aprender qu grupos tienen miembros en una red conectada; y
una consulta especfica de grupo, utilizada para aprender si un grupo particular tiene algn
miembro en una red conectada.
Informes de asociacin: enviado por un host para declarar sus miebros asociados a un grupo.
Grupo de abandono: enviado por un hostpara declarar que abandona el grupo.
Tiempo mximo de respuesta: Solamente significativo en un mensaje de consulta de asociacin,
y especifica el mximo tiempo permitido antes de enviar un infome de respuesta en unidades de
1/10 segundos.
Tablas ARP
La filosofa es la misma que tendramos para localizar al seor "X" entre 150 personas: preguntar por su
nombre a todo el mundo, y el seor "X" nos responder. As, cuando a "A" le llegue un mensaje con
direccin origen IP y no tenga esa direccin en su tabla ARP, enviar su trama ARP a la direccin
broadcast (fsica), con la IP de la que quiere conocer su direccin fsica. Entonces, el equipo cuya
direccin IP coincida con la preguntada, responder a "A" envindole su direccin fsica. En este
momento "A" ya puede agregar la entrada de esa IP a su tabla ARP. Las entradas de la tabla se borran
cada cierto tiempo, ya que las direcciones fsicas de la red pueden cambiar (Ej: si se estropea una tarjeta
de red y hay que sustituirla)
Funcionamiento I
Si A quiere enviar una trama a la direccin IP de B (misma red), mirar su tabla ARP para poner en la
trama la direccin destino fsica correspondiente a la IP de B. De no encontrarse la direccin de B en la
tabla ARP de A, la misma enviar un paquete ARP Request por broadcast y solo responder mediante un
paquete ARP Reply (con su direccin fsica) aquel nodo cuyo IP sea el IP de la direccin lgica de destino
del paquete ARP Request.
Funcionamiento II (Proxy ARP)
Si A quiere enviar un mensaje a C (un nodo que no est en la misma red), el mensaje deber salir de la
red. As, A enva la trama a la direccin fsica de salida del router. Esta direccin fsica la obtendr a
partir de la IP del router, utilizando la tabla ARP. Si esta entrada no est en la tabla, mandar un mensaje
ARP a esa IP (llegar a todos), para que le conteste indicndole su direccin fsica.
Una vez en el router, ste consultar su tabla de encaminamiento, obteniendo el prximo nodo (salto)
para llegar al destino, y saca el mensaje por el interfaz correspondiente. Esto se repite por todos los
nodos, hasta llegar al ltimo router, que es el que comparte el medio con el host destino. Aqu el
proceso cambia: el interfaz del router tendr que averiguar la direccin fsica de la IP destino que le ha
llegado. Lo hace mirando su tabla ARP, y en caso de no existir la entrada correspondiente a la IP, la
obtiene realizando una multidifusin.
Nota: El paquete ARP tiene como direccin fsica de destino todas F (todos los bits encendidos).
Paquete ARP:
Tipo de direccin fsica
Long. Dir. Fsica
Operacin
El tipo de direccin fsica y lgica est relacionado con si es Ethernet, token ring, ip, etc.
La longitud de direccin fsica y lgica est relacionada con el campo anterior.
Operacin, es un campo que indica si es una pregunta o una respuesta.
El comando ARP a muestra la tabla ARP (con las direcciones IP y MAC conocidas). Cada vez que se
conoce una direccin MAC a travs del protocolo ARP, se guarda un registro en esta tabla salvando esta
relacin. La prxima vez que quieran comunicarse estos nodos, cada uno buscar en su tabla ARP (los
registros de la tabla son borrados cada 4 seg. Si no enviaron paquetes entre estos dos puntos, la
prxima vez tendrn que buscar la direccin MAC a travs del protocolo ARP).
BOOTP es la solucin a RARP dado que no es necesario un servidor en cada red, como desventaja las
tablas con las direcciones son cargadas manualmente en los servidores BOOTP a los que los nodos
realizarn las peticiones.
DHCP (Dynamic Host Configuration Protocol)
El Protocolo Configuracin Dinmica de Servidor es un protocolo de red que permite a los nodos de una
red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo
cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va
asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha estado
en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus.
Este protocolo permite provee los parmetros de configuracin a las computadoras conectadas a la red
informtica con la pila de protocolos TCP/IP (Mscara de red, puerta de enlace y otros) y tambin
incluyen mecanismos de asignacin de direcciones IP.
Asignacin de direcciones IP
Sin DHCP, cada direccin IP debe configurarse manualmente en cada computadora y, si la computadora
se mueve a otra subred, se debe configurar otra direccin IP diferente. El DHCP le permite al
administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y,
automticamente, asignar y enviar una nueva IP si fuera el caso en la computadora es conectada en un
lugar diferente de la red.
El protocolo DHCP incluye tres mtodos de asignacin de direcciones IP:
Asignacin manual o esttica: Asigna una direccin IP a una mquina determinada. Se suele
utilizar cuando se quiere controlar la asignacin de direccin IP a cada cliente, y evitar, tambin,
que se conecten clientes no identificados.
Asignacin automtica: Asigna una direccin IP de forma permanente a una mquina clienta la
primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele
utilizar cuando el nmero de clientes no vara demasiado.
Asignacin dinmica: el nico mtodo que permite la reutilizacin dinmica de las direcciones
IP. El administrador de la red determina un rango de direcciones IP y cada computadora
conectada a la red est configurada para solicitar su direccin IP al servidor cuando la tarjeta de
interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de
tiempo controlable. Esto facilita la instalacin de nuevas mquinas clientes a la red.
Funcionamiento
Primero, se necesita un servidor DHCP que distribuya las direcciones IP. Este equipo ser la base para
todas las solicitudes DHCP por lo cual debe tener una direccin IP fija. Por lo tanto, en una red puede
tener slo un equipo con una direccin IP fija: el servidor DHCP.
Cuando un equipo se inicia no tiene informacin sobre su configuracin de red y no hay nada especial
que el usuario deba hacer para obtener una direccin IP. Para esto, la tcnica que se usa es la
transmisin: para encontrar y comunicarse con un servidor DHCP, el equipo simplemente enviar un
paquete especial de transmisin (Las direcciones IP origen y destino de dicho paquete sern 0.0.0.0 y
255.255.255.255 (broadcast) respectivamente, con informacin adicional como el tipo de solicitud, los
puertos de conexin, etc.) a travs de la red local. Cuando el DHCP recibe el paquete de transmisin,
contestar con otro paquete de transmisin (no olvide que el cliente no tiene una direccin IP y, por lo
tanto, no es posible conectar directamente con l) que contiene toda la informacin solicitada por el
cliente.
Se podra suponer que un nico paquete es suficiente para que el protocolo funcione. En realidad, hay
varios tipos de paquetes DHCP que pueden emitirse tanto desde el cliente hacia el servidor o servidores,
como desde los servidores hacia un cliente:
El primer paquete emitido por el cliente es un paquete del tipo DHCPDISCOVER. El servidor responde
con un paquete DHCPOFFER, fundamentalmente para enviarle una direccin IP al cliente. El cliente
establece su configuracin y luego realiza un DHCPREQUEST para validar su direccin IP (una solicitud de
transmisin ya que DHCPOFFER no contiene la direccin IP) El servidor simplemente responde con un
DHCPACK con la direccin IP para confirmar la asignacin. Normalmente, esto es suficiente para que el
cliente obtenga una configuracin de red efectiva, pero puede tardar ms o menos en funcin de que el
cliente acepte o no la direccin IP.
DHCP soluciona la gran desventaja de BOOTP y es que no es necesario tener un servidor en cada red,
para ello se debe tener en aquellas redes que no poseen un servidor, un agente de retransmisin, este
ser el encargado de reenviar los paquetes DHCP Discover que existan en su red al servidor DHCP (para
ello necesita tener configurado la IP de un servidor DHCP).
La desventaja de la asignacin dinmica de IPs es que si un HOST no hace ms uso de una IP y no la
libera, esta direccin queda perdida. Con el tiempo podran perderse muchas direcciones, para evitar
esto se utiliza una tcnica llamada arrendamiento que consiste en colocar contadores a las IP
asignadas, si un host no solicita una renovacin de la IP antes que el contador llegue a 0, su IP ser
liberada.
Funcionamiento
El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un dispositivo
remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica
la direccin origen y destino. Esta combinacin de nmeros define una nica conexin.
Una pasarela NAT cambia la direccin origen en cada paquete de salida y, dependiendo del mtodo,
tambin el puerto origen para que sea nico (PAT). Estas traducciones de direccin se almacenan en una
tabla, para recordar qu direccin y puerto le corresponde a cada dispositivo cliente y as saber donde
deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe
en la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se puede definir en
la tabla que en un determinado puerto y direccin se pueda acceder a un determinado dispositivo,
como por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que destacan:
Esttico (DNAT)
Es un tipo de NAT en el que una direccin IP pblica se traduce a una direccin IP privada, y donde esa
direccin pblica es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una
direccin IP de red privada pero an as ser visible en Internet.
Dinmico
Es un tipo de NAT en la que una direccin IP privada se mapea a una IP pblica basndose en una tabla
de direcciones de IP registradas (pblicas). Normalmente, el router NAT en una red mantendr una tabla
de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegir una
direccin IP de la tabla que no est siendo usada por otra IP privada. Esto permite aumentar la
seguridad de una red dado que enmascara la configuracin interna de una red privada, lo que dificulta a
los hosts externos de la red el poder ingresar a sta. Para este mtodo se requiere que todos los hosts
de la red privada que deseen conectarse a la red pblica posean al menos una IP pblica asociadas.
Sobrecarga (PAT)
La forma ms utilizada de NAT, proviene del NAT dinmico, ya que toma mltiples direcciones IP
privadas (normalmente entregadas mediante DHCP) y las traduce a una nica direccin IP pblica
utilizando diferentes puertos. Esto se conoce tambin como PAT (Port Address Translation - Traduccin
de Direcciones por Puerto), NAT de nica direccin o NAT multiplexado a nivel de puerto. El uso de PAT
permite que con solo una direccin pblica puedan hacerse aprox. 65 mil traducciones.
Solapamiento
Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en otra red, el
ruteador posee una tabla de traducciones en donde se especifica el reemplazo de stas con una nica
direccin IP pblica. As se evitan los conflictos de direcciones entre las distintas redes.
Encaminamiento (o enrutamiento, ruteo) es la funcin de buscar un camino entre todos los posibles en
una red de paquetes cuyas topologas poseen una gran conectividad. Dado que se trata de encontrar la
mejor ruta posible, lo primero ser definir qu se entiende por mejor ruta y en consecuencia cul es la
mtrica que se debe utilizar para medirla.
Algoritmo de enrutamiento
Es la porcin de software de la capa de red encargada de decidir la lnea de salida por la que se
transmitir un paquete de entrada. Si la subred usa datagramas de manera interna, esta decisin debe
tomarse cada vez que llega un paquete de datos, dado que la mejor ruta podra haber cambiado desde
la ltima vez (dependiendo de la mtrica a usar). Si la subred utiliza circuitos virtuales internamente, las
decisiones de enrutamiento se toman slo al establecerse un circuito virtual nuevo (dado que en lo
sucesivo los paquetes seguirn la ruta previamente establecida), a esto se lo denomina enrutamiento de
sesin.
Un router realiza dos procesos internos:
Uno de ellos maneja cada paquete conforme llega, buscando en las tablas de enrutamiento la
lnea de salida por la cual lo enviar (Este proceso se conoce como reenvo).
El otro proceso es el responsable de llenar y actualizar las tablas de enrutamiento con las cuales
tomar las decisiones a la hora de realizar un reenvo (Aqu se utiliza el algoritmo de
enrutamiento).
Mtrica de la red
Puede ser por ejemplo el nmero de saltos necesarios para ir de un nodo a otro. Aunque sta no se trata
de una mtrica ptima ya que supone 1 para todos los enlaces, es sencilla y suele ofrecer buenos
resultados.
Otro tipo es la medicin del retardo de trnsito entre nodos vecinos, en la que la mtrica se expresa en
unidades de tiempo y sus valores no son constantes sino que dependen del trfico de la red.
Mejor Ruta
Entendemos por mejor ruta aquella que cumple las siguientes condiciones:
El criterio ms sencillo es elegir el camino ms corto, es decir la ruta que pasa por el menor nmero de
nodos. Una generalizacin de este criterio es el de coste mnimo. En general, el concepto de distancia
o coste de un canal es una medida de la calidad del enlace basado en la mtrica que se haya definido. En
la prctica se utilizan varias mtricas simultneamente.
Tipos de algoritmos de enrutamiento
Podemos clasificar a los algoritmos de enrutamiento en adaptativos (dinmicos) y no adaptativos
(estticos). Un algoritmo no adaptativo o esttico, no basa sus decisiones de enrutamiento en
mediciones ni estimaciones de trfico o topologa, las decisiones de que rutas se usaran son tomadas
por adelantado, fuera de lnea y se cargan cuando inicia el router. Por otro lado los algoritmos
adaptativos o dinmicos cambian sus decisiones de enrutamiento para reflejar los cambios de topologa
y de trfico.
Los protocolos de enrutamiento pueden ser clasificados de acuerdo al siguiente cuadro:
Clasificacin
IGP (Interior Gateway Protocol) Intercambiar
rutas dentro de un sistema autnomo.
Protocolo de enrutamiento
Vector Distancia
o RIP
Estado de enlace
o OSPF
Hbridos
o IGRP (Interior Gateway Routing
Protocol)
o EIGRP (Enhanced Interior Gateway
Routing Protocol)
BGP
de routers podran romperse en cualquier momento) y en bases de datos distribuidas donde deben
generarse actualizaciones concurrentes.
Cuenta hasta infinito: La cuenta infinito es un problema, que ocurre en los algoritmos de vector
distancia, imaginemos 3 routes A-B-C.
A a un salto de B
B a un salto de C
C a dos saltos de A (con B en el medio)
Se cae A, y entonces B le dice a C que A se cay, pero C le responde a B dicindole que l conoce
una ruta a A que est a 2 saltos de l (sin saber que B est contenido en esa ruta), entonces B
dice si C esta a 2 saltos de A y yo a 1 salto de C, entonces yo estoy a 3 de A y entonces C dice lo
mismo y queda a 4 saltos de A y as se produce un conteo hasta infinito. (Recordar que en vector
distancia los routers no conocen la topologa de la red y esta es la causa por la que el problema
ocurre).
Soluciones:
o Contadores que limiten la cantidad de saltos para evitar la cuenta infinita.
o El horizonte dividido es otra forma de evitar este problema, consiste en prohibir a un
router publicar una ruta por la misma interfaz por la que se aprendi en primer lugar. Ej.
A aprende la ruta hacia C a travs de B, entonces A no puede mandar por su interfaz de
conexin con B esa ruta. Cualquiera dira que no hay problema porque la ruta B-C es
ms corta que la ruta B-A-B-C, pero si B-C se cae se producir un conteo infinito a travs
de la ruta publicada por A (dado que B no sabe que est incluido en esa ruta).
o
o
Envenenamiento de ruta, cuando A se cae, B publica que la ruta hacia A tiene un costo
infinito de difusin (esto se realiza durante un tiempo, y luego se borra a A de la tabla).
Triggered Updates, son actualizaciones por eventos que obligan a un router a enviar una
difusin al momento de recibir malas noticias en vez de esperar al prximo perodo de
difusin.
router, ste revisa todos los destinos para determinar el grupo de lneas de salida que
necesitar y genera una nueva copia del paquete para cada lnea de salida e incluye en cada
paquete solo los destinos que utilizarn esa lnea. Despus de una cantidad suficiente de
saltos, cada paquete llevar slo un destino, as que puede tratarse como un paquete
normal.
Un cuarto algoritmo es el rbol de expansin, que es un subgrupo de la subred que incluye
todos los routers pero no contiene ciclos, si cada router conoce cuales de sus lneas
pertenecen al rbol de expansin, puede copiar el paquete de entrada difundido en todas
las lneas del rbol de expansin (excepto aquella por las que lleg). La gran desventaja de
este algoritmo que es los routers deben tener conocimiento sobre el rbol de expansin.
El ltimo algoritmo es denomina reenvo por ruta invertida, cuando llega un paquete
difundido a un router, ste lo revisa para ver si lleg por la lnea normalmente usada para
enviar paquetes al origen de la difusin. De ser as hay excelentes posibilidades de que el
paquete difundido haya seguido la mejor ruta desde el router y, por lo tanto, sea la primer
copia en llegar al router. Si este es el caso, el router reenva copias del paquete a todas las
lneas, excepto a aquellas por las que lleg. Sin embargo, si el paquete difundido lleg por
una lnea diferente de la preferida, el paquete se descarta como probable duplicado. La
ventaja principal de este algoritmo es su eficiencia y fcil implementacin, ya que no
requiere que los routers conozcan arboles de expansin ni listas de destinos o mapas de bits
o mecanismos especiales para detener el proceso como la inundacin.
Multidifusin
Puede existir la necesidad de enviar mensajes a grupos bien definidos de tamao numricamente grade
de equipos pero pequeos en comparacin con el tamao de la red. El envo de mensajes a uno de tales
grupos se denomina multidifusin y para su uso se necesita administrar grupos de multidifusin. Se
necesita una manera de crear y destruir grupos y un mecanismo para que los procesos se unan a los
grupos y salgan de ellos. La forma de realizar esta tarea no le concierne al algoritmo de multidifusin, lo
que si le concierne es que cuando un proceso se una a un grupo, informe a su host de este hecho. Es
importante que los routers sepan cules de sus hosts perteneces a qu grupos.
Para realizar el enrutamiento por multidifusin, cada router calcula un rbol de expansin que cubre a
todos los dems routers de la subred. Cuando un proceso enva un paquete a un grupo, el primer router
en recibirlo examina su rbol de expansin y lo recorta, eliminando todas las lneas que conduzcan a
host que no sean miembros del grupo. Luego enva los paquetes de multidifusin a travs del rbol de
expansin apropiado (el recortado).
Una desventaja potencial de este algoritmo es que no escala bien en redes grandes. Supongamos que
una red tiene n grupos, cada uno con un promedio de m miembros. Por cada grupo se deben almacenar
m rboles de expansin recortados, lo que da un total de m*n rboles (uno por cada router y por cada
grupo).
Una forma de solucionar este problema es utilizar rboles de ncleo, se calcula un solo rbol por cada
grupo con la raz (ncleo) cerca de la mitad del grupo. Para enviar un mensaje de multidifusin un host
enva el mensaje al ncleo y de ah se hace multidifusin. Aunque este rbol no ser el ptimo, la
cantidad de rboles a almacenar se reduce a solo n (un rbol por grupo).
Sistemas Autnomos
El Protocolo de Pasarela Interno, hace referencia a los protocolos usados dentro de un sistema
autnomo. Los protocolos de pasarela internos se pueden dividir en dos categoras: Protocolo de
enrutamiento Vector Distancia y Protocolo de enrutamiento Estado de Enlace
informacin); no toma en cuenta otros criterios importantes, como por ejemplo ancho
de banda de los enlaces. Por ejemplo, si tenemos una mtrica de 2 saltos hasta el
destino con un enlace de 64 kbps y una mtrica de 3 saltos, pero con un enlace de 2
Mbps, lamentablemente RIP tomara el enlace de menor nmero de saltos aunque sea el
ms lento.
Mensajes RIP
Los mensajes RIP pueden ser de dos tipos.
Los mensajes tienen una cabecera que incluye el tipo de mensaje y la versin del
protocolo RIP, y un mximo de 25 entradas RIP de 20 bytes.
tanto todas las reas deben conectar con el backbone. Si no es posible hacer una conexin
directa con el backbone, se puede hacer un enlace virtual entre redes.
Los routers en el mismo dominio de multidifusin o en el extremo de un enlace punto-apunto forman enlaces cuando se descubren los unos a los otros. En un segmento de red
Ethernet los routers eligen a un router designado (Designated Router, DR) y un router
designado secundario (Backup Designated Router, BDR) que actan como hubs para reducir
el trfico entre los diferentes routers. OSPF puede usar tanto multidifusiones como
unidifusiones para enviar paquetes de bienvenida y actualizaciones de enlace-estado. Las
direcciones de multidifusiones usadas son 224.0.0.5 y 224.0.0.6. Al contrario que RIP o BGP,
OSPF no usa ni TCP ni UDP, sino que usa IP directamente.
Trfico de enrutamiento
OSPF mantiene actualizada la capacidad de enrutamiento entre los nodos de una red
mediante la difusin de la topologa de la red y la informacin de estado-enlace de sus
distintos nodos. Esta difusin se realiza a travs de varios tipos de paquetes:
Paquetes Hello (tipo 1). Cada router enva peridicamente a sus vecinos un paquete
que contiene el listado de vecinos reconocidos por el router, indicando el tipo de
relacin que mantiene con cada uno.
Routers
Un paquete generado en la red ser enviado, de forma jerrquica, a travs del rea si su
destinacin es conocida por el emisor; al ABR del rea correspondiente si no la destinacin
no es intra-area; este lo enviar al router del rea de destino, si este se encuentra en el AS;
o al ASBR si la destinacin del paquete es exterior a la red (desconocida por el ABR).
Tipos de reas
rea Backbone
El backbone, tambin denominado rea cero, forma el ncleo de una red OSPF. Es la
nica rea que debe estar presente en cualquier red OSPF, y mantiene conexin, fsica o
lgica, con todas las dems reas en que est particionada la red. La conexin entre un
rea y el backbone se realiza mediante los ABR, que son responsables de la gestin de
las rutas no-internas del rea (esto es, de las rutas entre el rea y el resto de la red).
rea stub
Un rea stub es aquella que no recibe rutas externas. Las rutas externas se definen
como rutas que fueron inyectadas en OSPF desde otro protocolo de enrutamiento. Por
lo tanto, las rutas de segmento necesitan normalmente apoyarse en las rutas
predeterminadas para poder enviar trfico a rutas fuera del segmento.
rea not-so-stubby
Tambin conocidas como NSSA, constituyen un tipo de rea stub que puede importar
rutas externas de sistemas autnomos y enviarlas al backbone, pero no puede recibir
rutas externas de sistemas autnomos desde el backbone u otras reas.
Mensajes
Tipo de mensaje
Hello
Link State Update
Link State Ack
Database Description
Link State Request
Descripcin
Descubre quienes son los vecinos
Proporciona los costos del emisor a sus vecinos
Confirma la recepcin de la actualizacin del estado del enlace
Anuncia qu actualizaciones tiene el emisor
Solicita informacin del socio
Paquete Hello
IP Header
OSPF Header
Mscara de red
Options Router
Priority
Intervalo de Hello
Intervalo de Router muerto
Router designado
Router designado Backup
1er Nid (ID vecino)
20 bytes
24 bytes
4 bytes
2 bytes
4 bytes
4 bytes
4 bytes
4 bytes
Topologas Soportadas
Punto a punto (Master Slave) (conexin serial entre dos routers, DTE y DCE)
Master
slave
Hub
Soporta un protocolo NAP ("Neighbor Acquisition Protocol). Dos routers se pueden considerar
vecinos si estn conectadas por una red que es transparente para ambas. No especifica la forma
en que un router decide inicialmente que quiere ser vecina de otra. Para convertirse en vecina,
debe enviar un mensaje "Acquisition confirm" como respuesta a un Acquisition Request. Este
paso es necesario para obtener informacin de encaminamiento de otro router.
Soporta un protocolo NR ("Neighbor Reachability"). El router lo usa para mantener informacin
en tiempo real sobre la accesibilidad de sus vecinos. El protocolo EGP proporciona dos tipos de
mensajes para ese fin: un mensaje Hello y un mensaje I Hear You (respuesta a Hello).
Soporta mensajes de actualizacin (o mensajes NR) que llevan informacin de encaminamiento.
No se requiere ningn router para enviar mensajes NR a otro router, excepto como respuesta a
una peticin de sondeo ("poll request").
Tipos
Para realizar estas tres funciones bsicas, EGP define 10 tipos de mensajes:
Resde Stub, solo tiene una conexin con el grafo BGP. No pueden utilizarse para transportar el
trfico porque no existe nadie del otro lado.
Redes Multiconectadas, podran usarse para transportar el trfico excepto que lo rechacen.
Redes de trnsito, estn dispuestas a ocuparse de paquetes de terceros, posiblemente con
algunas restricciones y normalmente por pago.
BGP utiliza conexiones TCP y opera en forma similar a los algoritmos de vector distancia, aunque son
conocidos como algoritmos de vector ruta (porque en vez de guardar la distancia, guardan la ruta
utilizada y, en lugar de pasarle a cada vecino el costo de cada destino, le pasa las rutas que utiliza para
llegar).
Luego que un router conoce todas las rutas de sus vecinos, las examina para ver cul es la mejor para un
destino determinado, eliminado aquellas rutas que lo contengan a l o que violen cualquiera de sus
polticas. De las restantes se elije la de menor distancia.
BGP solo reconoce routers de borde, cualquier router interno a un SA no es reconocido por BGP.
Supongamos los SA con los nmeros 100, 200 y 300. El SA 200 tiene routers de borde, uno que lo
conecta a 100 y otro en el otro extremo que lo conecta a 300, los routers de 200 estan interconectados
entre s mediante una LAN que funciona con OSPF.
Cuando el router de borde de 100 quiera enviar algo a 300, primero enviar los datos a travs del
protocolo BGP al router de 200 con el cual est directamente conectado, este router enviar datos a
travs de su LAN mediante el protocolo OSPF hasta su otro router de borde, el cual mediante el
protocolo BGP enviar los datos a 300. (Tener en cuenta que los routers de borde tiene cargados 2
protocolos, el BGP y cualquiera que se use para regular el trfico de la LAN interna, OSPF, RIP, etc.)
Temas del programa no abordados: Encaminamiento en la Internet (Supongo que se usa BGP).
Routers
El router, direccionador, ruteador o encaminador es un dispositivo de hardware para interconexin de
red de ordenadores que opera en la capa tres (nivel de red). Un router es un dispositivo para la
interconexin de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o
determinar la ruta que debe tomar el paquete de datos.
Funciones del nivel de Red
Fuentes de configuracin
NVRAM: La RAM no voltil almacena la copia de respaldo del archivo de configuracin de inicio
del router.
Flash: ROM borrable y reprogramable que retiene la imagen y el microcdigo del sistema
operativo. Permite actualizaciones de SW.
ROM: Diagnsticos de encendido, un programa bootstrap y software mnimo del sistema
operativo.
Interfaces: Sirven como conexiones de red, en la motherboard o en mdulos de interfaz
separados, a travs de las cuales los paquetes entran y salen de un router.
Relacin de trminos
Cuando se conecta un route, la ROM ejecuta bootstrap. Este programa realiza algunas pruebas y
despus carga el sw IOS en memoria.
El procesador de comandos (EXEC) recibe y ejecutacomandos.
El router utiliza la RAM para almacenar un archivo de configuracin activo y las tablas de mapas
de red y las listas de direcciones de enrutamiento.
En la NVRAM se guarda una copia de manera permanente del archivo de configuracin; cada vez
que se inicializa un router se accede a este archivo y se carga en la memoria principal.
Modos de router
o
o
Protocolos de enrutamiento
router (config-router) #
Modo de configuracin de interfaz
Configuracin de las direcciones IP y mscaras de subred
router (config-if) #
Modo de configuracin de subinterfaz
router (config-subif) #
Nombrar al router.
Colocar una contrasea de acceso al router y habilitar el telnet si se desea.
Configurar las interfaces Ethernet.
o Asignarles una IP y una mscara de subred
o Levantarlas.
Configurar las interfaces seriales
o Asignarles una IP y una mscara de subred.
o Si es el DCE colocar el Clock rate a utilizar.
o Levantarlas.
Tablas de enrutamiento
o Esttica
Agregar las rutas manualmente indicando interfaz de salida y prox. Salto para
cada IP de red.
o Dinmicamente
Habilitar el protocolo de enrutamiento (RIP).
Agregar a todas las redes directamente conectadas al router.
Congestin
Cuando hay demasiados paquetes presentes en la subred o en una parte de ella, hay una degradacin
del desempeo. Esta situacin se denomina congestin. Cuando la cantidad de paquetes en la subred
esta dentro de su capacidad de conduccin, todos se entregan (salvo una pequea parte por errores de
transmisin). Sin embargo a medida que aumenta el trfico los routers ya no pueden manejarlo y
comienzan a perder paquetes, con mucho trfico el desempeo se desploma y casi no hay entrega de
paquetes.
La congestin puede ocurrir por varias razones. Si de manera repentina comienzan a llegar cadenas de
paquetes por tres o cuatro lneas de entrada y todas necesitan la misma lnea de salida, se generar una
cola y si no existe memoria suficiente para almacenarlos, muchos de ellos se perdern. Los procesadores
lentos tambin pueden causar congestin dado que demoran mucho en realizar sus tareas y las colas
aumentan. Las lneas de poco ancho de banda tambin podran causar congestin.
Actualizar una parte del sistema (memoria, procesador, ancho de banda, etc.) simplemente mejora un
poco pero mueve el cuello de botella hacia otra parte, lo que se necesita es una mejora equilibrada del
sistema.
Cabe aclarar la diferencia entre el control de congestin y el control de flujo. El control de congestin se
ocupa de asegurar que la subred sea capaz de transportar el trfico ofrecido, es un asunto global. En
contraste, el control de flujo se relaciona con el trfico punto a punto entre un emisor y un receptor. Su
tarea es asegurar que un emisor rpido no pueda transmitir datos de manera continua a una velocidad
mayor que la que puede absorber el receptor.
Principios generales del control de congestin
Muchos problemas de los sistemas complejos pueden analizarse desde el punto de vista de una teora
de control. Este mtodo conduce a dividir a todas las soluciones en dos grupos:
de ciclo abierto: Las soluciones de ciclo abierto intentan resolver problemas mediante un buen
diseo, para asegurarse en primer lugar de que estos no ocurran. Una vez que el sistema est en
funcionamiento, no se hacen correcciones a medio camino y toman decisiones
independientemente del estado actual de la red (su objetivo es reducir al mnimo la congestin
desde el inicio, en lugar de permitir que ocurra y reaccionar despus).
de ciclo cerrado: En contraste las soluciones de ciclo cerrado se basan en el concepto de un ciclo
de realimentacin. Este mtodo tiene tres partes:
o Monitorear el sistema y detectar cundo y dnde ocurren las congestiones: Pueden
utilizarse varias mtricas como ser, el % de paquetes descartados por falta de espacio en
buffers, longitud promedio de las colas, % de paquetes cuyo temporizador finaliza y se
tiene que retrasmitir, retardo promedio de paquetes, etc.
o Pasar esta informacin a lugares en los que puedan llevarse a cabo acciones: La
informacin puede debe pasarse desde el punto en que se detecta al punto en que
puede hacerse algo para solucionar el problema. Por supuesto que el envo de esta
informacin en forma de paquetes, aumenta aun ms la carga en el momento en que la
red se encuentra saturada. Pero existen soluciones como que cada paquete de
informacin lleve un bit que indique si existe o no congestin (cuando un router detecta
congestin, comienza a encender el bit de todos los paquetes que salen de l).
Ajustar la operacin del sistema para corregir el problema: Para brindar una solucin al
problema, existen dos mtodos los cuales son, aumentar los recursos o disminuir la
cargar. Aumentar los recursos podra implicar la activacin de una lnea de
comunicacin auxiliar en caso de falta de ancho de banda. Disminuir la carga podra
implicar que se solicite a los emisores una disminucin de la velocidad en a la que
envan los paquetes, o utilizar rutas alternativas y no siempre la ruta ptima, junto con
soluciones ms drsticas como negar el servicio a ciertos usuarios.
o
o
o
o
Bit de advertencia: Un bit dentro del paquete indica el estado de la lnea (por ejemplo si esta
activo indica congestin), este bit puede ser modificado por cualquier router intermedio que
detecte congestin. Al llegar al destino, se revisa el estado del bit y se lo copia en el paquete de
confirmacin de recepcin, cuando este llega al origen, el mismo revisa el bit y en caso de estar
encendido disminuye la velocidad con la que transmite los datos.
Paquetes reguladores: El router que encuentra congestin regresa un paquete regulador al
origen para indicarle que reduzca el porcentaje de trfico enviado. Si durante un tiempo no
llegan paquetes reguladores, esto indica que el host puede comenzar a enviar normalmente los
datos.
Paquetes reguladores salto por salto: Si las distancias entre el origen del mensaje y el nodo en
el que se detect congestin son muy grandes, el envo de un paquete regulador al origen no
siempre es lo ptimo, dado que hasta que este llegue, se seguirn enviando datos a gran
velocidad. La alternativa es que el paquete tenga efecto en cada salto que d en la red, esto
reduce de manera inmediata la congestin en el punto ms problemtico, pero genera un gran
uso de buffers por parte de los routers que deben enviar ms lento los datos.
Desprendimiento de carga
Consiste en desechar paquetes cuando existe una congestin severa, el problema est en saber qu
paquetes desechar. Para poner en prctica una buena poltica de descarte, las aplicaciones deben
etiquetar los paquetes para marcar su importancia. La deteccin temprana aleatoria es una algoritmo
que ayuda a evitar la congestin, se basa en el hecho de que algunos protocolos de transporte como
TCP, reaccionan a la prdida de paquetes disminuyendo la cantidad de paquetes que se envan en el
origen (lo hacen porque estn sobre una conexin segura y la mayora de las prdidas de paquetes se
deben al desbordamiento de buffers). El algoritmo consiste en eliminar paquetes de forma aleatoria de
las colas que se encuentre en un nivel mayor al normal.
Control de fluctuacin
La fluctuacin es la variacin entre el tiempo de llegada de los paquetes. En transmisiones constantes de
audio y video, no es de gran importancia si los paquetes demoran 20 mseg. o 30 mseg. siempre y
cuando no existan fluctuaciones. El algoritmo de control de fluctuaciones procesa en un router, primero
aquellos paquetes que estn atrasados (dejando en cola aquellos paquetes que estn adelantados), su
objetivo es reducir al mximo las fluctuaciones.
Calidad de Servicio
QoS o Calidad de Servicio (Quality of Service, en ingls) son las tecnologas que garantizan la transmisin
de cierta cantidad de datos en un tiempo dado (throughput). Calidad de servicio es la capacidad de dar
un buen servicio. Es especialmente importante para ciertas aplicaciones tales como la transmisin de
video o voz.
Problemas en redes de datos conmutados
Muchas cosas le ocurren a los paquetes desde su origen al destino, resultando los siguientes problemas
vistos desde el punto de vista del transmisor y receptor:
Paquetes sueltos: Los ruteadores pueden fallar en liberar algunos paquetes si ellos llegan
cuando los buffers ya estn llenos. Algunos, ninguno o todos los paquetes pueden quedar
sueltos dependiendo del estado de la red, y es imposible determinar qu pasar de antemano.
La aplicacin del receptor puede preguntar por la informacin que ser retransmitida
posiblemente causando largos retardos a lo largo de la transmisin.
Retardos: Puede ocurrir que los paquetes tomen un largo periodo de tiempo en alcanzar su
destino, debido a que pueden permanecer en largas colas o tomen una ruta menos directa para
prevenir la congestin de la red. En algunos casos, los retardos excesivos pueden inutilizar
aplicaciones tales como VoIP o juegos en lnea.
Jitter: Los paquetes del transmisor pueden llegar a su destino con diferentes retardos. Un
retardo de un paquete vara impredeciblemente con su posicin en las colas de los ruteadores a
lo largo del camino entre el transmisor y el destino. Esta variacin en retardo se conoce como
jitter y puede afectar seriamente la calidad del flujo de audio y/o vdeo.
Requerimientos
Un flujo es un conjunto de paquetes que van dese un origen a un destino. En una red orientada a la
conexin, todos los paquetes que pertenezcan a un flujo siguen la misma ruta; en una red sin conexin,
pueden seguir diferentes rutas. La necesidad de cada flujo se puede caracterizar por cuatro parmetros
principales: Confiabilidad, Retardo, Fluctuacin y Ancho de Banda. Estos parmetros en conjunto
determinan la QoS que el flujo requiere.
Aplicacin
Correo electrnico
Transferencia de archivos
Acceso a web
Inicio de sesin remoto
Audio bajo demanda
Video bajo demanda
Telefona
Videoconferencia
Confiabilidad
Alta
Alta
Alta
Alta
Baja
Baja
Baja
Baja
Retardo
Bajo
Bajo
Medio
Medio
Bajo
Bajo
Alto
Alto
Fluctuacin
Baja
Baja
Baja
Media
Alta
Alta
Alta
Alta
Ancho de Banda
Baja
Media
Media
Baja
Media
Alto
Baja
Alto
fluctuacin. Para el video o audio bajo demanda, la fluctuacin es el problema principal, por lo tanto,
esta tcnica es muy til.
Modelado de trfico
El modelado de trfico consiste en regular la tasa promedio (y las rfagas) de la transmisin de los datos.
Cuando se establece una conexin, el usuario y la subred (es decir, el cliente y la empresa portadora)
acuerdan cierto patrn de trfico (es decir, forma) para este circuito. Algunas veces esto se llama
acuerdo de nivel de servicio. En tanto el cliente cumpla con su parte del contrato y slo enve los
paquetes acordados, la empresa portadora promete entregarlos de manera oportuna. Estos acuerdos
son muy importantes para transferencias en tiempo real que tienen rigurosos requerimientos de QoS. La
empresa portadora controlar que el cliente cumpla con el acuerdo.
Algoritmo de cubeta con goteo
Imagnese una cubeta con un pequeo agujero en el fondo. Sin importar la rapidez con que entra agua
en la cubeta, el flujo de salida tiene una tasa constante cuando hay agua en la cubeta y una tasa 0
cuando la cubeta est vaca. Adems, una vez que se llena la cubeta, cualquier agua adicional que entra
se derrama por los costados y se pierde.
Cada host est conectado a la red mediante una interfaz que contiene una cubeta de goteo, es decir,
una cola interna finita. Si llega un paquete cuando la cola est llena, este paquete se descarta.
Cuando los paquetes son del mismo tamao (ATM por ejemplo), el algoritmo puede utilizarse como fue
descripto, sin embargo, cuando se utilizan paquetes de tamao variable, el algoritmo debera ser
utilizado permitiendo un nmero fijo de bytes, en lugar de un nmero fijo de paquetes por unidad de
tiempo.
Algoritmo de cubeta con tokens
En muchas aplicaciones es mejor permitir que la salida se acelere un poco cuando llegan rfagas
grandes, por lo que se necesita un algoritmo ms flexible, de preferencia uno que no pierda datos.
Este algoritmo contiene tokens generados por un reloj cada seg. Para transmitir un paquete se debe
capturar y destruir un token. Este algoritmo permite que puedan enviar rfagas de hasta n paquetes
(tamao mximo de la cubeta) y permitir cierta irregularidad en el flujo de salida junto con una
respuesta ms rpida a las rfagas de entrada repentinas. El algoritmo con tokens, descarta los tokens
(capacidad de transmisin) no los paquetes cuando se llena la cubeta. (En otras palabras un token es
solo un contador el cual se incrementa en 1 con cada pulso de reloj y de disminuye en 1 con cada envo
de un paquete. Si durante un tiempo no se enviaron paquetes, este contador tendr un nmero
elevado, si luego de esto llega una rfaga de n paquetes, podrn enviarse muchos paquetes juntos y
luego volver a una tasa constante).
Reservacin de recursos
Para regular el trfico se necesita obligar a todos los paquetes de un flujo a seguir una misma ruta, como
consecuencia se debe configurar algo similar a un circuito virtual del origen al destino, y todos los
paquetes que pertenecen al flujo debern seguir esta ruta. Una vez que se tiene una ruta especfica para
un flujo, es posible reservar recursos a lo largo de esa ruta para asegurar que la capacidad necesaria est
disponible. Se pueden reservar tres tipos de recursos:
Ancho de banda, si un flujo requiere 1Mbps y la lnea saliente tiene una capacidad de 2 Mbps,
tratar de dirigir tres flujos por esa lnea no va a funcionar. Por lo tanto, reservar ancho de banda
significa no sobrecargar ninguna lnea de salida.
Espacio en buffer, es posible reservar alguno buffers para un flujo especfico de manera que ste
no tenga que competir con otros flujos para obtener espacio en buffer (si no tiene espacio se
descartan sus paquetes).
Ciclos de CPU, para procesar un paquete se necesita tiempo del CPU del router, por lo que un
router solo puede procesar una cierta cantidad de paquetes por segundo. Para asegurar el
procesamiento oportuno de cada paquete, es necesario verificar que la CPU no est
sobrecargada.
Control de admisin
La decisin de aceptar o rechazar un flujo no se trata simplemente de comparar el ancho de banda, los
buffers o los ciclos requeridos por el flujo con la capacidad excedida del router en esas tres dimensiones.
Es ms complicado que eso, dado que por ms que las aplicaciones sepan sus exigencias sobre ancho de
banda, no pueden saber nada sobre su necesidad de buffer o de ciclos de CPU, adems algunas
aplicaciones pueden estar dispuestas a negociar algunos parmetros, por lo que se busca una forma
diferente de describir a los flujos. Por lo que una forma de caracterizar los flujos es en base a los
parmetros que pueden negociarse (especificacin de flujo). Por lo general, el emisor produce una
especificacin de flujo que propone los parmetros que le gustara utilizar. Cada router de la ruta por la
que viajarn los datos modifica los parmetros conforme sea necesario (estas modificaciones son de
reduccin, no pueden incrementar el flujo). Cuando se llega al otro extremo se establecen los
parmetros, si un router no puede trabajar con los parmetros ofrecidos, puede rechazar el flujo
entrante.
PING
La utilidad ping comprueba el estado de la conexin con uno o varios equipos remotos por medio de los
paquetes de solicitud de eco y de respuesta de eco (ambos definidos en el protocolo de red ICMP) para
determinar si un sistema IP especfico es accesible en una red. Es til para diagnosticar los errores en
redes o enrutadores IP.
Muchas veces se utiliza para medir la latencia o tiempo que tardan en comunicarse dos puntos remotos,
y por ello, se utiliza el trmino PING para referirse al lag o latencia de la conexin en los juegos en red.
Existe otro tipo, Ping ATM, que se utiliza en las redes ATM (como puede ser una simple ADSL instalada
en casa) y, en este caso, las tramas que se transmiten son ATM (nivel 2 del modelo OSI). Este tipo de
paquetes se envan para probar si los enlaces ATM estn correctamente definidos.
IPCONFIG
ipconfig (internet protocol configuration) en Microsoft Windows es una aplicacin de consola que
muestra los valores de configuracin de red de TCP/IP actuales y actualiza la configuracin de
configuracin dinmica de host protocolo DHCP y sistema de nombres de dominio DNS. Existen
herramientas GUI similares denominados winipcfg y wntipcfg tambin. El ex pre-dates ipconfig. El papel
IFCONFIG
Es un programa disponible en varias versiones del sistema operativo UNIX, que permite configurar o
desplegar numerosos parmetros de las interfaces de redes, como la direccin IP (dinmica o esttica),
o la mscara de red. Si se llama sin argumentos suele mostrar la configuracin vigente de las interfaces
de red activas, con detalles como la direccin MAC o el trfico que ha circulado por las mismas hasta el
momento.
El programa ifconfig tiene muchos ms parmetros que los descritos hasta ahora. Generalmente se
ejecuta en la forma: ifconfig interfaz [direccin [parmetros] ]
Los campos MTU y Metric informan sobre los valores actuales de la MTU (Unidad Mxima de
Transferencia) y de la mtrica para una interfaz dada. El valor de la mtrica es usado tradicionalmente
por algunos sistemas operativos para calcular el coste de una ruta. GNU/Linux no usa este valor por el
momento, pero lo define por razones de compatibilidad.
Las lneas RX y TX dan idea de los paquetes recibidos o transmitidos sin errores, del nmero de errores
ocurridos, de cuntos paquetes han sido descartados (seguramente por memoria insuficiente), y
cuntos han sido perdidos por desbordamiento, condicin que ocurre cuando la recepcin de paquetes
es demasiado rpida y el ncleo es incapaz de dar servicio al paquete anterior antes de la llegada del
nuevo paquete.
A continuacin tenemos una lista de algunos parmetros reconocidos por ifconfig. Las opciones que
simplemente activan alguna caracterstica pueden usarse para desactivarla precedindolas de un guin
().
Up: Marca la interfaz como disponible para que sea usada por la capa IP.
Down: Marca la interfaz como inaccesible a la capa IP. Esto inhabilita cualquier trfico IP a travs de la
interfaz. Es importante darse cuenta que esto tambin borra los registros de la tabla de
encaminamiento correspondientes a esa interfaz de forma automtica.
Metric (nmero): Esta opcin puede ser usada para asignar un valor de mtrica a la tabla de
encaminamiento creada para la interfaz. Esta mtrica es usada por el Protocolo de Informacin de
Encaminamiento (RIP) para construir las tablas de encaminamiento para la red.
Mtu (bytes): Esto fija la unidad mxima de transferencia, o lo que es lo mismo, el mximo nmero de
octetos que la interfaz es capaz de manejar en una nica transaccin. Para Ethernets, la MTU toma el
valor 1500 por omisin (que es el tamao mximo permitido para un paquete Ethernet).
Arp: Esta opcin permite el uso de ARP, el Protocolo de Resolucin de Direcciones, para detectar la
direccin fsica de las mquinas conectadas a la red. (-arp lo inhabilita).
ROUTE
Route es una herramienta de lnea de comandos disponible tanto en Microsoft Windows como en
GNU/Linux. Nos permite manipular las tablas de enrutamiento de nuestro sistema.
NETSTAT
Netstat (network statistics) es una herramienta de lnea de comandos que muestra un listado de las
conexiones activas de un ordenador, tanto entrantes como salientes. Existen versiones de este comando
en varios sistemas como Unix, GNU/Linux, Mac OS X, Windows y BeOS.
La informacin que resulta del uso del comando incluye el protocolo en uso, las direcciones IP tanto
locales como remotas, los puertos locales y remotos utilizados y el estado de la conexin. Existen,
adems de la versin para lnea de comandos, herramientas con interfaz grfica (GUI) en casi todos los
sistemas operativos desarrollados por terceros.
NSLOOKUP
Es un programa, utilizado para saber si el DNS est resolviendo correctamente los nombres y las IP. Se
utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la
direccin IP conociendo el nombre, y viceversa.
TELNET
Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del programa informtico
que implementa el cliente), que sirve para acceder mediante una red a otra mquina, para manejarla
remotamente como si estuviramos sentados delante de ella. Para que la conexin funcione, como en
todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que
reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23.
Para iniciar una sesin con un intrprete de comandos de otro ordenador, puede emplear el comando
telnet seguido del nombre o la direccin IP de la mquina en la que desea trabajar, por ejemplo si desea
conectarse a la mquina purpura.micolegio.edu.com deber teclear telnet purpura.micolegio.edu.com, y
para conectarse con la direccin IP 1.2.3.4 deber utilizar telnet 1.2.3.4.
Una vez conectado, podr ingresar el nombre de usuario y contrasea remoto para iniciar una sesin en
modo texto a modo de consola virtual (ver Lectura Sistema de usuarios y manejo de clave). La
informacin que transmita (incluyendo su clave) no ser protegida o cifrada y podra ser vista en otros
computadores por los que se transite la informacin (la captura de estos datos se realiza con un packet
sniffer.
Una alternativa ms segura para telnet, pero que requiere ms recursos del computador, es SSH. Este
cifra la informacin antes de transmitirla, autentica la mquina a la cual se conecta y puede emplear
mecanismos de autenticacin de usuarios ms seguros.
Paquete enviado
(Ninguno)
CONNECTION REQ.
DATA
Significado
Se bloquea hasta que algn proceso intenta la conexin
Intenta activamente establecer una conexin
Enva informacin
RECEIVE
(Ninguno)
Se bloquea hasta que llega un paquete DATA
DISCONNECT DISCONNECTION REQ. Este lado quiere liberar la conexin
Todas las PDU (Protocol Data Unit) de la capa de transporte tambin denominadas segmentos, son
colocadas como la carga til de un datagrama IP para poder ser enviados por la red.
Socket de Berkeley
Socket designa un concepto abstracto por el cual dos programas (posiblemente situados en
computadoras distintas) pueden intercambiar cualquier flujo de datos, generalmente de manera fiable y
ordenada.
Un socket queda definido por una direccin IP, un protocolo de transporte y un nmero de puerto.
Las propiedades de un socket dependen de las caractersticas del protocolo en el que se implementan. El
protocolo ms utilizado es TCP, aunque tambin es posible utilizar UDP o IPX. Gracias al protocolo TCP,
los sockets tienen las siguientes propiedades:
Orientado a conexin.
Se garantiza la transmisin de todos los octetos sin errores ni omisiones.
Se garantiza que todo octeto llegar a su destino en el mismo orden en que se ha transmitido.
Estas propiedades son muy importantes para garantizar la correccin de los programas que tratan la
informacin.
El protocolo UDP es un protocolo no orientado a la conexin. Slo se garantiza que si un mensaje llega,
llegue bien. En ningn caso se garantiza que llegue o que lleguen todos los mensajes en el mismo orden
que se mandaron.
Primitiva de sockets
Primitiva
SOCKET
BIND
LISTEN
ACCEPT
CONNECT
SEND
RECEIVE
CLOSE
Significado
Crea un nuevo punto terminal de comunicacin
Adjunta una direccin local a un socket
Anuncia la disposicin a aceptar conexiones; indica el tamao de la cola
Bloquea al invocador hasta la llegada de un intento de conexin
Intenta establecer activamente una conexin
Enva datos a travs de la conexin
Recibe datos de la conexin
Libera la conexin
Las primitivas son similares a las de la capa de transporte solo que estas brindan mayores caractersticas
y flexibilidad. Las primeras cuatro primitivas son ejecutadas en ese orden por un servidor.
Primero se utiliza la primitiva SOCKET para crear un nuevo punto de comunicacin y asignarle espacio en
las tablas para la comunicacin, adems se selecciona un tipo de servicio y un protocolo de
comunicacin a utilizar. Luego mediante BIND se asigna una direccin de red al socket para que los
clientes puedan conectarse a l. Una llamada a LISTEN, asigna el espacio necesario para poner en cola
las llamadas entrantes por si varios clientes intentan conectarse al mismo tiempo (esta no es una
llamada bloqueadora). La primitiva ACCEPT bloquea en espera de una conexin entrante, cuando una
conexin entrante llega se crea un nuevo socket con las mismas propiedades del original y se devuelve
un descriptor de archivo para l, que puede utilizarse para leer y escribir de la forma estndar, al igual
que si fuese un archivo.
Del lado del cliente, aqu tambin se comienza creando un socket con la primitiva SOCKET pero luego no
se usa la sentencia BIND puesto que la direccin de nuestro socket no es de importancia para el
servidor. La primitiva CONNECT bloquea al invocador y comienza activamente el proceso de conexin. Al
completarse ste (es decir cuando se recibe la PDU de transporte del servidor) el proceso cliente se
desbloquea y se establece la conexin.
Ambos lados pueden usar SEND y RECEIVE para transmitir y recibir datos sobre una conexin full-duplex,
la liberacin de los sockets es simtrica y se realiza cuando ambos lados ejecutan la primitiva CLOSE.
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de
datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente
una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su
cabecera. Tampoco tiene confirmacin ni control de flujo, por lo que los paquetes pueden adelantarse
unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmacin de entrega o
recepcin. Su uso principal es para protocolos como DHCP, BOOTP, DNS y dems protocolos en los que
el intercambio de paquetes de la conexin/desconexin son mayores, o no son rentables con respecto a
la informacin transmitida, as como para la transmisin de audio y vdeo en tiempo real, donde no es
posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos.
En la familia de protocolos de Internet UDP proporciona una sencilla interfaz entre la capa de red y la
capa de aplicacin. UDP no otorga garantas para la entrega de sus mensajes y el origen UDP no retiene
estados de los mensajes UDP que han sido enviados a la red. UDP slo aade multiplexado de aplicacin
y suma de verificacin de la cabecera y la carga til. Cualquier tipo de garantas para la transmisin de la
informacin deben ser implementadas en capas superiores.
Puerto origen (2 bytes)
Puerto destino (2 bytes)
Longitud del datagrama (2 bytes)
Checksum (de todo el paquete) (2 bytes)
Datos (62 Kbytes)
La cabecera UDP consta de 4 campos de los cuales 2 son opcionales (con fondo rojo en la tabla). Los
campos de los puertos fuente y destino son campos de 16 bits que identifican el proceso de origen y
recepcin. Ya que UDP carece de un servidor de estado y el origen UDP no solicita respuestas, el puerto
origen es opcional. En caso de no ser utilizado, el puerto origen debe ser puesto a cero. A los campos del
puerto destino le sigue un campo obligatorio que indica el tamao en bytes del datagrama UDP
incluidos los datos. El valor mnimo es de 8 bytes. El campo de la cabecera restante es una suma de
comprobacin de 16 bits que abarca la cabecera, los datos y una pseudo-cabecera con las IP origen y
destino, el protocolo, la longitud del datagrama y 0's hasta completar un mltiplo de 16. pero no los
datos. El checksum tambin es opcional, aunque generalmente se utiliza en la prctica.
El protocolo UDP se utiliza por ejemplo cuando se necesita transmitir voz o vdeo y resulta ms
importante transmitir con velocidad que garantizar el hecho de que lleguen absolutamente todos los
bytes.
Puertos
UDP utiliza puertos para permitir la comunicacin entre aplicaciones. El campo de puerto tiene una
longitud de 16 bits, por lo que el rango de valores vlidos va de 0 a 65.535. El puerto 0 est reservado,
pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como
respuesta.
Los puertos 1 a 1023 se llaman puertos "bien conocidos" y en sistemas operativos tipo Unix enlazar con
uno de estos puertos requiere acceso como superusuario.
Los puertos 1024 a 49.151 son puertos registrados.
Los puertos 49.152 a 65.535 son puertos efmeros y son utilizados como puertos temporales, sobre todo
por los clientes al comunicarse con los servidores.
Transmission Control Protocol (TCP)
Los servicios provistos por TCP corren en el anfitrin (host) de cualquiera de los extremos de una
conexin, no en la red. Por lo tanto, TCP es un protocolo para manejar conexiones de extremo a
extremo. Tales conexiones pueden existir a travs de una serie de conexiones punto a punto, por lo que
estas conexiones extremo-extremo son llamadas circuitos virtuales.
Las caractersticas de TCP son:
Orientado a conexin: dos computadoras establecen una conexin para intercambiar datos. Los
sistemas de los extremos se sincronizan con el otro para manejar el flujo de paquetes y
adaptarse a la congestin de la red.
Operacin Full-Duplex: una conexin TCP es un par de circuitos virtuales, cada uno en una
direccin. Slo los dos sistemas finales sincronizados pueden usar la conexin.
Error Checking: una tcnica de checksum es usada para verificar que los paquetes no estn
corrompidos.
Acknowledgements (ACK): sobre recibo de uno o ms paquetes, el receptor regresa un
acknowledgement (reconocimiento) al transmisor indicando que recibi los paquetes. Si los
paquetes no son notificados, el transmisor puede reenviar los paquetes o terminar la conexin si
el transmisor cree que el receptor no est ms en la conexin.
Flow Control: si el transmisor est desbordando el buffer del receptor por transmitir demasiado
rpido, el receptor descarta paquetes. Los acknowledgement fallidos que llegan al transmisor le
alertan para bajar la tasa de transferencia o dejar de transmitir.
Servicio de recuperacin de Paquetes: el receptor puede pedir la retransmisin de un paquete.
Si el paquete no es notificado como recibido (ACK), el transmisor enva de nuevo el paquete.
Los servicios confiables de entrega de datos son crticos para aplicaciones tales como transferencias de
archivos (FTP por ejemplo), servicios de bases de datos, proceso de transacciones y otras aplicaciones de
misin crtica en las cuales la entrega de cada paquete debe ser garantizada.
Formato de los Segmentos TCP
Tamao(4)
C
E
R
G
C
K
S
H
S
T
Y
N
I
N
bytes que han sido recibidos correctamente; un temporizador en la entidad origen del envo causar un
timeout si el asentimiento no es recibido en un tiempo razonable, y el (presuntamente desaparecido)
paquete ser entonces retransmitido. TCP revisa que no haya bytes daados durante el envo usando un
checksum; es calculado por el emisor en cada paquete antes de ser enviado, y comprobado por el
receptor.
Puerto de origen (16 bits): Identifica el puerto a travs del que se enva.
Puerto destino (16 bits): Identifica el puerto del receptor.
Nmero de secuencia (32 bits): Sirve para comprobar que ningn segmento se ha perdido, y
que llegan en el orden correcto. Su significado vara dependiendo del valor de SYN:
Si el flag SYN est activo (1), entonces este campo indica el nmero inicial de secuencia
(con lo cual el nmero de secuencia del primer byte de datos ser este nmero de
secuencia ms uno).
Si el flag SYN no est activo (0), entonces este campo indica el nmero de secuencia del
primer byte de datos.
Nmero de acuse de recibo (ACK) (32 bits): Si el flag ACK est puesto a activo, entonces en este
campo contiene el nmero de secuencia del siguiente paquete que el receptor espera recibir.
Longitud de la cabecera TCP (4 bits): Especifica el tamao de la cabecera TCP en palabras de 32bits. El tamao mnimo es de 5 palabras, y el mximo es de 15 palabras (lo cual equivale a un
tamao mnimo de 20 bytes y a un mximo de 60 bytes). En ingls el campo se denomina Data
offset, que literalmente sera algo as como desplazamiento hasta los datos, ya que indica
cuntos bytes hay entre el inicio del paquete TCP y el inicio de los datos.
Reservado (4 bits): Bits reservados para uso futuro, deberan ser puestos a cero.
Bits de control (flags) (8 bits): Son 8 flags o banderas. Cada una indica activa con un 1 o
inactiva con un 0.
CWR o Congestion Window Reduced (1 bit): Este flag se activa (se pone a 1) por parte
del emisor para indicar que ha recibido un paquete TCP con el flag ECE activado. El flag
ECE es una extensin del protocolo que fue aadida a la cabecera en el RFC 3168. Se
utiliza para el control de la congestin en la red.
ECE o ECN-Echo (1 bit): Indica que el receptor puede realizar notificaciones ECN. La
activacin de este flag se realiza durante la negociacin en tres pasos para el
establecimiento de la conexin. Este flag tambin fue aadido a la cabecera en el RFC
3168.
URG o urgent (1 bit, ver URG): Si est activo significa que el campo Urgente es
significativo, si no, el valor de este campo es ignorado.
ACK o acknowledge (1 bit, ver ACK): Si est activo entonces el campo con el nmero
de acuse de recibo es vlido (si no, es ignorado).
PSH o push (1 bit, ver PSH): Activa/desactiva la funcin que hace que los datos de ese
segmento y los datos que hayan sido almacenados anteriormente en el buffer del
receptor deben ser transferidos a la aplicacin receptora lo antes posible.
RST o reset (1 bit, ver Flag RST): Si llega a 1, termina la conexin sin esperar respuesta.
SYN o synchronize (1 bit, ver SYN): Activa/desactiva la sincronizacin de los nmeros
de secuencia.
FIN (1 bit, ver FIN): Si se activa es porque no hay ms datos a enviar por parte del
emisor, esto es, el paquete que lo lleva activo es el ltimo de una conexin.
Ventana (16 bits): Es el tamao de la ventana de recepcin, que especifica el nmero de bytes
que el receptor est actualmente esperando recibir.
Suma de verificacin (checksum) (16 bits): Es una suma de verificacin utilizada para comprobar
si hay errores tanto en la cabecera como en los datos.
Puntero urgente (16 bits): Si el flag URG est activado, entonces este campo indica el
desplazamiento respecto al nmero de secuencia que indica el ltimo byte de datos marcados
como urgentes.
Opciones (nmero de bits variable): La longitud total del campo de opciones ha de ser mltiplo
de una palabra de 32 bits (si es menor, se ha de rellenar al mltiplo ms cercano), y el campo
que indica la longitud de la cabecera ha de estar ajustado de forma adecuada.
Datos (nmero de bits variable): No forma parte de la cabecera, es la carga (payload), la parte
con los datos del paquete TCP. Pueden ser datos de cualquier protocolo de nivel superior en el
nivel de aplicacin; los protocolos ms comunes para los que se usan los datos de un paquete
TCP son HTTP, telnet, SSH, FTP, etctera.
El host receptor, que en el caso de ms comn ser un servidor, espera pasivamente una conexin
ejecutando las primitvas LISTEN y ACCEPT.
En primer lugar, el host que desea iniciar la conexin ejecuta una primitiva CONNECT especificando la
direccin IP y el puerto con el que se desea conectar, el tamao mximo del segmento que est
dispuesto a aceptar y opcionalmente otros datos. Entonces la primitiva CONNCET hace una apertura
activa, enviando al otro host un paquete que tiene el bit SYN activado, indicndole tambin el nmero
de secuencia inicial "x" que usar para enviar sus mensajes.
El host receptor recibe el segmento revisa si hay algn proceso activo que haya ejecutado un LISTEN en
el puerto solicitado, es decir, preparado para recibir datos por ese puerto. Si lo hay, el proceso a la
escucha recibe el segmento TCP entrante, registra el nmero de secuencia "x" y, si desea abrir la
conexin, responde con un acuse de recibo "x + 1" con el bit SYN activado e incluye su propio nmero de
secuencia inicial "y", dejando entonces abierta la conexin por su extremo. El nmero de acuse de
recibo "x + 1" significa que el host ha recibido todos los octetos hasta e incluyendo "x", y espera "x + 1" a
continuacin. Si no desea establecer la conexin, enva una contestacin con el bit RST activado, para
que el host en el otro extremo lo sepa.
El primer host recibe el segmento y enva su confirmacin con el bit ACK encendido y SYN apagado,
momento a partir del cual puede enviar datos al otro extremo, abriendo entonces la conexin por su
extremo y completando as la negociacin en tres pasos (SYN, SYN/ACK y ACK) y la fase de
establecimiento de conexin.
La mquina receptora recibe la confirmacin y entiende que el otro extremo ha abierto ya su conexin,
por lo que a partir de ese momento tambin puede ella enviar datos. Con esto, la conexin ha quedado
abierta en ambos sentidos.
Transferencia de datos
Durante la etapa de transferencia de datos, una serie de mecanismos claves determinan la fiabilidad y
robustez del protocolo. Entre ellos estn incluido el uso del nmero de secuencia para ordenar los
segmentos TCP recibidos y detectar paquetes duplicados, checksums para detectar errores, y
asentimientos y temporizadores para detectar prdidas y retrasos.
Durante el establecimiento de conexin TCP, los nmeros iniciales de secuencia son intercambiados
entre las dos entidades TCP. Estos nmeros de secuencia son usados para identificar los datos dentro
del flujo de bytes, y poder identificar (y contar) los bytes de los datos de la aplicacin. Siempre hay un
par de nmeros de secuencia incluidos en todo segmento TCP, referidos al nmero de secuencia y al
nmero de asentimiento (ACK). Un emisor TCP se refiere a su propio nmero de secuencia cuando habla
de nmero de secuencia, mientras que con el nmero de asentimiento se refiere al nmero de
secuencia del receptor. Para mantener la fiabilidad, un receptor asiente los segmentos TCP indicando
que ha recibido una parte del flujo continuo de bytes.
A travs del uso de nmeros de secuencia y asentimiento, TCP puede pasar los segmentos recibidos en
el orden correcto dentro del flujo de bytes a la aplicacin receptora.
Un checksum de 16 bits de la cabecera y datos del segmento TCP, es calculado por el emisor, e incluido
en la transmisin del segmento. El receptor TCP simplemente calcula la suma en complemento a uno
con el checksum incluido, y el resultado debe ser igual a 0. Si es as, se asume que el segmento ha
llegado intacto y sin errores. Hay que fijarse en que el checksum de TCP tambin cubre los 96 bit de la
cabecera que contiene la direccin origen, la direccin destino, el protocolo y el tamao TCP. Esto
proporciona proteccin contra paquetes mal dirigidos por errores en las direcciones.
Los asentimientos (ACK) de los datos enviados o la falta de ellos, son usados por los emisores para
interpretar las condiciones de la red entre el emisor y receptor TCP. Unido a los temporizadores, los
emisores y receptores TCP pueden alterar el comportamiento del movimiento de datos. TCP usa una
serie de mecanismos para conseguir un alto rendimiento y evitar la congestin de la red (la idea es
enviar tan rpido como el receptor pueda recibir). Estos mecanismos incluyen el uso de ventana
deslizante, que controla que el transmisor mande informacin dentro de los lmites del buffer del
receptor, y algoritmos de control de flujo.
Tamao de ventana TCP
El tamao de la ventana de recepcin TCP es la cantidad de datos recibidos (en bytes) que pueden ser
metidos en el buffer de recepcin durante la conexin. La entidad emisora puede enviar una cantidad
determinada de datos pero antes debe esperar un asentimiento con la actualizacin del tamao de
ventana por parte del receptor.
Un ejemplo sera el siguiente: un receptor comienza con un tamao de ventana x y recibe y bytes,
entonces su tamao de ventana ser (x - y) y el transmisor slo podr mandar paquetes con un tamao
mximo de datos de (x - y) bytes. Los siguientes paquetes recibidos seguirn restando tamao a la
ventana de recepcin. Esta situacin seguir as hasta que la aplicacin receptora recoja los datos del
buffer de recepcin.
Ventana deslizante
Para una mayor eficiencia en redes de gran ancho de banda, debe ser usado un tamao de ventana
mayor. El campo TCP de tamao de ventana controla el movimiento de datos y est limitado a 16 bits,
es decir, a un tamao de ventana de 65.535 bytes.
Como el campo de ventana no puede expandirse se usa un factor de escalado. La escala de ventana TCP
(TCP window scale) es una opcin usada para incrementar el mximo tamao de ventana desde 65.535
bytes, a 1 Gigabyte.
La opcin de escala de ventana TCP es usada solo durante la negociacin en tres pasos que constituye el
comienzo de la conexin. El valor de la escala representa el nmero de bits desplazados a la izquierda de
los 16 bits que forman el campo del tamao de ventana. El valor de la escala puede ir desde 0 (sin
desplazamiento) hasta 14. Hay que recordar que un nmero binario desplazado un bit a la izquierda es
como multiplicarlo en base decimal por 2.
Fin de la conexin
La fase de finalizacin de la conexin usa una negociacin en cuatro pasos (four-way handshake),
terminando la conexin desde cada lado independientemente. Cuando uno de los dos extremos de la
conexin desea parar su "mitad" de conexin transmite un paquete FIN, que el otro interlocutor
asentir con un ACK. Por tanto, una desconexin tpica requiere un par de segmentos FIN y ACK desde
cada lado de la conexin.
Una conexin puede estar "medio abierta" en el caso de que uno de los lados la finalice pero el otro no.
El lado que ha dado por finalizada la conexin no puede enviar ms datos pero la otra parte si podr.
Puertos TCP
TCP usa el concepto de nmero de puerto para identificar a las aplicaciones emisoras y receptoras. Cada
lado de la conexin TCP tiene asociado un nmero de puerto (de 16 bits sin signo, con lo que existen
65536 puertos posibles) asignado por la aplicacin emisora o receptora. Los puertos son clasificados en
tres categoras: bien conocidos, registrados y dinmicos/privados. Los puertos bien conocidos son
asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados
normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de
puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son:
FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente
empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero
tambin pueden representar servicios que hayan sido registrados por un tercero (rango de puertos
registrados: 1024 al 49151). Los puertos dinmicos/privados tambin pueden ser usados por las
aplicaciones de usuario, pero este caso es menos comn. Los puertos dinmicos/privados no tienen
significado fuera de la conexin TCP en la que fueron usados (rango de puertos dinmicos/privados:
49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 nmeros, del
0 al 65535)
Aplicaciones de TCP y UDP
TCP: es el protocolo que proporciona un transporte fiable de flujo de bits entre aplicaciones. Est
pensado para poder enviar grandes cantidades de informacin de forma fiable, liberando al
programador de la dificultad de gestionar la fiabilidad de la conexin (retransmisiones, prdida
de paquetes, orden en el que llegan los paquetes, duplicados de paquetes, etc.) que gestiona el
propio protocolo. Pero la complejidad de la gestin de la fiabilidad tiene un coste en eficiencia,
ya que para llevar a cabo las gestiones anteriores se tiene que aadir bastante informacin a los
paquetes que enviar. Debido a que los paquetes para enviar tienen un tamao mximo, cuanta
ms informacin aada el protocolo para su gestin, menos informacin que proviene de la
aplicacin podr contener ese paquete (el segmento TCP tiene una sobrecarga de 20 bytes en
cada segmento, mientras que UDP solo aade 8 bytes). Por eso, cuando es ms importante la
velocidad que la fiabilidad, se utiliza UDP. En cambio, TCP asegura la recepcin en destino de la
informacin para transmitir. Los servicios confiables de entrega de datos son crticos para
aplicaciones tales como transferencias de archivos (FTP por ejemplo), servicios de bases de
datos, proceso de transacciones y otras aplicaciones de misin crtica en las cuales la entrega de
cada paquete debe ser garantizada.
Domain Name System (DNS)
El sistema de nombre de dominio (en ingls Domain Name System, DNS) es un sistema de nomenclatura
jerrquica para computadoras, servicios o cualquier recurso conectado al internet o a una red privada.
Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los
participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos
en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de
poder localizar y direccionar estos equipos mundialmente. Otras de sus funciones son, definir una zona
de seguridad de un dominio permitiendo administrar la seguridad y los recursos, dado que un nombre
de dominio tendr asociado registros de recursos, usuarios y permisos.
Dominio: Conjunto de equipos que brindan a otros equipos servicios similares.
En cualquier caso, los servidores DNS que reciben la peticin, buscan en primer lugar si disponen de la
respuesta en la memoria cach. Si es as, sirven la respuesta; en caso contrario, iniciaran la bsqueda de
manera recursiva (pregunta a sus servidores). Una vez encontrada la respuesta, el servidor DNS
guardar el resultado en su memoria cach para futuros usos y devuelve el resultado. Cuando guardan
el resultado en cache lo hacen con un tiempo de vida corto dado que si el otro servidor modifica ese
registro, los cambios no se propagan a las cache de los otros servidores.
Espacio de Nombres del DNS
Conceptualmente, internet se divide en 200 dominios de nivel superior, cada uno de los cuales abarca
muchos host y otros subdominios. Los dominios de nivel superior pueden dividirse en dos categoras, los
genricos y por pas (el grfico solo representa las genricas).
El espacio de nombres de dominio tiene una estructura de rbol. Las hojas y los nodos del rbol se
utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto consiste en la
concatenacin de todas las etiquetas de un camino. Las etiquetas son cadenas alfanumricas (con '-'
como nico smbolo permitido), deben contar con al menos un carcter y un mximo de 63 caracteres
de longitud, y deber comenzar con una letra (y no con '-'). Las etiquetas individuales estn separadas
por puntos. Un nombre de dominio termina con un punto (aunque este ltimo punto generalmente se
omite, ya que es puramente formal). Un FQDN correcto (tambin llamado Fully Qualified Domain
Name), es por ejemplo este: www.example.com. (Incluyendo el punto al final)
Un nombre de dominio debe incluir todos los puntos y tiene una longitud mxima de 255 caracteres.
Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo derecho de un
nombre de dominio separa la etiqueta de la raz de la jerarqua (en ingls, root). Este primer nivel es
tambin conocido como dominio de nivel superior (TLD).
Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un archivo de zona,
ubicado en uno o ms servidores de nombres.
Tipos de servidores DNS
Registros de Recursos
Cada dominio, sea un host individual o un dominio de nivel superior, puede tener un gripo de registros
de recursos asociados a l. En un host individual, el registro de recursos ms comn es simplemente su
direccin de IP, pero existen muchos otros registros que pueden asociarse a l. Cuando un resolvedor
(es el elemento del navegador web o del sistema operativo que realiza las peticiones al servidor DNS) da
un nombre de dominio al DNS, lo que recibe son los registros de recursos asociados a ese nombre. Por lo
tanto la funcin real del DNS es relacionar dominios de nombre con los registros de recursos.
El formato es el siguiente:
NombreDominio TiempoDeVida Clase
Tipo
Valor
En el modelo, el intrprete de protocolo (PI) de usuario, inicia la conexin de control en el puerto 21. Las
rdenes FTP estndar las genera el PI de usuario y se transmiten al proceso servidor a travs de la
conexin de control. Las respuestas estndar se envan desde el PI del servidor al PI de usuario por la
conexin de control como respuesta a las rdenes.
Estas rdenes FTP especifican parmetros para la conexin de datos (puerto de datos, modo de
transferencia, tipo de representacin y estructura) y la naturaleza de la operacin sobre el sistema de
archivos (almacenar, recuperar, aadir, borrar, etc.). El proceso de transferencia de datos (DTP) de
usuario u otro proceso en su lugar, debe esperar a que el servidor inicie la conexin al puerto de datos
especificado (puerto 20 en modo activo o estndar) y transferir los datos en funcin de los parmetros
que se hayan especificado.
La conexin de datos es bidireccional, es decir, se puede usar simultneamente para enviar y para
recibir, y no tiene por qu existir todo el tiempo que dura la conexin FTP.
Servidor FTP
Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado
a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.). Su funcin es
permitir el intercambio de datos entre diferentes servidores/ordenadores.
Las aplicaciones ms comunes de los servidores FTP suelen ser el alojamiento web o como servidor de
backup de los archivos importantes que pueda tener una empresa (se cifran los datos con SFTP).
Cliente FTP
Un cliente FTP es un programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP
para conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos.
Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que reside
(servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir el archivo (en
caso de querer subirlo nosotros al servidor), y la carpeta en la que se encuentra.
Algunos clientes de FTP bsicos en modo consola vienen integrados en los sistemas operativos, sin
embargo, hay disponibles clientes con opciones aadidas e interfaz grfica, aunque muchos
navegadores tienen ya integrado FTP.
Tipos de acceso
Acceso annimo: Los servidores FTP annimos ofrecen sus servicios libremente a todos los
usuarios, permiten acceder a sus archivos sin necesidad de tener un 'USER ID' o una cuenta de
usuario. Es la manera ms cmoda fuera del servicio web de permitir que todo el mundo tenga
acceso a cierta informacin, aunque con menos privilegios que un usuario normal.
Normalmente solo podrs leer y copiar los archivos existentes, pero no modificarlos ni crear
otros nuevos. Por lo general, se utiliza un servidor FTP annimo para depositar grandes archivos
que no tienen utilidad si no son transferidos a la mquina del usuario, como por ejemplo
programas, y se reservan los servidores de pginas web (HTTP) para almacenar informacin
textual destinada a la lectura en lnea.
Acceso de usuario: Si se desea tener privilegios de acceso a cualquier parte del sistema de
archivos del servidor FTP, de modificacin de archivos existentes, y de posibilidad de subir
nuestros propios archivos, generalmente se suele realizar mediante una cuenta de usuario. En el
servidor se guarda la informacin de las distintas cuentas de usuario que pueden acceder a l,
de manera que para iniciar una sesin FTP debemos introducir una autentificacin (login) y una
contrasea (password) que nos identifica unvocamente.
Acceso de invitado: El acceso sin restricciones al servidor que proporcionan las cuentas de
usuario implica problemas de seguridad, lo que ha dado lugar a un tercer tipo de acceso FTP
denominado invitado (guest), que se puede contemplar como una mezcla de los dos anteriores.
La idea de este mecanismo es la siguiente: se trata de permitir que cada usuario conecte a la
mquina mediante su login y su password, pero evitando que tenga acceso a partes del sistema
de archivos que no necesita para realizar su trabajo, de esta forma acceder a un entorno
restringido, algo muy similar a lo que sucede en los accesos annimos, pero con ms privilegios.
Cliente FTP basado en Web
Un 'cliente FTP basado en WEB' no es ms que un Cliente FTP al cual podemos acceder a travs de
nuestro Navegador Web sin necesidad de tener otra aplicacin para ello. El usuario accede a un servidor
web (http) que lista los contenidos de un servidor ftp. El usuario se conecta mediante http a un servidor
web, y el servidor web se conecta mediante ftp al servidor ftp. El servidor web acta de intermediario
haciendo pasar la informacin desde el servidor ftp en los puertos 20 y 21 hacia el puerto 80 http que ve
el usuario.
Modos de conexin del cliente FTP
FTP admite dos modos de conexin del cliente. Estos modos se denominan Activo (o Estndar, o PORT,
debido a que el cliente enva comandos tipo PORT al servidor por el canal de control al establecer la
conexin) y Pasivo (o PASV, porque en este caso enva comandos tipo PASV). Tanto en el modo Activo
como en el modo Pasivo, el cliente establece una conexin con el servidor mediante el puerto 21, que
establece el canal de control.
Modo Activo
En modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras que en el lado del
cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda
un comando PORT al servidor por el canal de control indicndole ese nmero de puerto, de manera que
el servidor pueda abrirle una conexin de datos por donde se transferirn los archivos y los listados, en
el puerto especificado.
Lo anterior tiene un grave problema de seguridad, y es que la mquina cliente debe estar dispuesta a
aceptar cualquier conexin de entrada en un puerto superior al 1024, con los problemas que ello implica
si tenemos el equipo conectado a una red insegura como Internet. De hecho, los cortafuegos que se
instalen en el equipo para evitar ataques seguramente rechazarn esas conexiones aleatorias. Para
solucionar esto se desarroll el modo Pasivo.
Modo Pasivo
Cuando el cliente enva un comando PASV sobre el canal de control, el servidor FTP le indica por el canal
de control, el puerto (mayor a 1023 del servidor. Ej:2040 ) al que debe conectarse el cliente. El cliente
inicia una conexin desde el puerto siguiente al puerto de control (Ej: 1036) hacia el puerto del servidor
especificado anteriormente (Ej: 2040).
Antes de cada nueva transferencia, tanto en el modo Activo como en el Pasivo, el cliente debe enviar
otra vez un comando de control (PORT o PASV, segn el modo en el que haya conectado), y el servidor
recibir esa conexin de datos en un nuevo puerto aleatorio (si est en modo pasivo) o por el puerto 20
(si est en modo activo).
Tipos de transferencia de archivos en FTP
Es importante conocer cmo debemos transportar un archivo a lo largo de la red. Si no utilizamos las
opciones adecuadas podemos destruir la informacin del archivo. Por eso, al ejecutar la aplicacin FTP,
debemos acordarnos de utilizar uno de estos comandos (o poner la correspondiente opcin en un
programa con interfaz grfica):
type ascii
Adecuado para transferir archivos que slo contengan caracteres imprimibles (archivos ASCII, no
archivos resultantes de un procesador de texto), por ejemplo pginas HTML, pero no las imgenes que
puedan contener.
type binary
Este tipo es usado cuando se trata de archivos comprimidos, ejecutables para PC, imgenes, archivos de
audio, etc.
EXTENSION DEL ARCHIVO
txt (texto)
html (pgina WEB)
doc (documento)
ZIP (comprimido)
TIPO DE TRANSFERENCIA
ascii
ascii
binario
binario
TFTP son las siglas de Trivial file transfer Protocol (Protocolo de transferencia de archivos trivial).
Es un protocolo de transferencia muy simple semejante a una versin bsica de FTP. TFTP a menudo se
utiliza para transferir pequeos archivos entre ordenadores en una red, como cuando un terminal X
Window o cualquier otro cliente ligero que arranque desde un servidor de red.
Caractersticas de TFTP:
Utiliza UDP (en el puerto 69) como protocolo de transporte (a diferencia de FTP que utiliza el
puerto 21 TCP).
No puede listar el contenido de los directorios.
No existen mecanismos de autenticacin o cifrado.
Se utiliza para leer o escribir archivos de un servidor remoto.
Soporta tres modos diferentes de transferencia, "netascii", "octet" y "mail", de los que los dos
primeros corresponden a los modos "ascii" e "imagen" (binario) del protocolo FTP.
Comandos bsicos
Los dispositivos administrados son supervisados y controlados usando cuatro comandos SNMP bsicos:
lectura, escritura, notificacin y operaciones transversales.
El comando de lectura es usado por un NMS para supervisar elementos de red. El NMS examina
diferentes variables que son mantenidas por los dispositivos administrados.
El comando de escritura es usado por un NMS para controlar elementos de red. El NMS cambia
los valores de las variables almacenadas dentro de los dispositivos administrados.
El comando de notificacin es usado por los dispositivos administrados para reportar eventos en
forma asncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo administrado
enva una notificacin al NMS.
Las operaciones transversales son usadas por el NMS para determinar qu variables soporta un
dispositivo administrado y para recoger secuencialmente informacin en tablas de variables,
como por ejemplo, una tabla de rutas.
Un identificador de objeto (object ID) identifica un objeto administrado en la jerarqua MIB. La jerarqua
MIB puede ser representada como un rbol con una raz annima y los niveles, que son asignados por
diferentes organizaciones.
Los identificadores de los objetos ubicados en la parte superior del rbol pertenecen a diferentes
organizaciones estndares, mientras los identificadores de los objetos ubicados en la parte inferior del
rbol son colocados por las organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen los objetos administrados para sus propios
productos. Las MIBs que no han sido estandarizadas tpicamente estn localizadas en la rama
experimental.
El objeto administrado atInput podra ser identificado por el nombre de objeto iso.identifiedorganization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el descriptor de
objeto equivalente 1.3.6.1.4.1.9.3.3.1.
Mensajes SNMP
Para realizar las operaciones bsicas de administracin anteriormente nombradas, el protocolo SNMP
utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo grupo de mensajes (PDUs)
entre los administradores y agentes. La utilizacin de un mecanismo de este tipo asegura que las tareas
de administracin de red no afectarn al rendimiento global de la misma, ya que se evita la utilizacin
de mecanismos de control y recuperacin como los de un servicio orientado a la conexin, por ejemplo
TCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero Descripcin
161
SNMP
162
SNMP-trap
Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente formato:
Versin Comunidad SNMP PDU
Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 1 para SNMPv1);
Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente existe una
comunidad de lectura llamada "public" y una comunidad de escritura llamada "private";
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operacin que
se ejecute.
GetRequest: A travs de este mensaje el NMS solicita al agente retornar el valor de un objeto de inters
mediante su nombre.
GetNextRequest: Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un
mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest
para repetir la operacin con el siguiente objeto de la tabla.
SetRequest: Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de
objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos con sus
correspondientes valores.
GetResponse: Este mensaje es usado por el agente para responder un mensaje GetRequest,
GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que
el "request" al que est respondiendo.
Trap: Una trap es generado por el agente para reportar ciertas condiciones y cambios de estado a un
proceso de administracin (el formato de la PDU es diferente).
GetBulkRequest: Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP
tpicamente cuando es requerida una larga transmisin de datos, tal como la recuperacin de largas
tablas.
InformRequest: Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje de este
tipo a otro NMS con las mismas caractersticas, para notificar informacin sobre objetos administrados.
SNMP puede utilizarse para:
Detectar errores en la red o accesos inadecuados. Puede configurar las alarmas que se
desencadenarn en los dispositivos de red cuando se produzcan ciertos sucesos. Cuando se
dispara una alarma, el dispositivo enva un mensaje de suceso al sistema de administracin.
Entre las causas ms frecuentes de alarma se incluye un dispositivo que se cierra y se reinicia, un
error de un vnculo detectado en un enrutador y un acceso inadecuado.
Auditar el uso de la red. Puede supervisar el uso general de la red para identificar el acceso de
un grupo o usuario, y los tipos de uso de servicios y dispositivos de la red. Puede utilizar esta
informacin para generar una facturacin directa de las cuentas o para justificar los costos
actuales de la red y los gastos planeados.
Correo Electrnico
Correo electrnico, o en ingls e-mail (electronic mail), es un servicio de red que permite a los usuarios
enviar y recibir mensajes rpidamente mediante sistemas de comunicacin electrnicos. Principalmente
se usa este nombre para denominar al sistema que provee este servicio en Internet, mediante el
protocolo SMTP, aunque por extensin tambin puede verse aplicado a sistemas anlogos que usen
otras tecnologas. Por medio de mensajes de correo electrnico se puede enviar, no solamente texto,
sino todo tipo de documentos digitales. Su eficiencia, conveniencia y bajo coste (con frecuencia nulo)
estn logrando que el correo electrnico desplace al correo ordinario para muchos usos habituales.
Arquitectura y Servicios
Los sistemas de correo electrnico pueden ser divididos en dos subsistemas:
Por lo general los sistemas de correo electrnico desempean cinco funciones bsicas:
Otros servicios que brinda el correo electrnico son, permitir crear buzones de correo para el
almacenamiento de los mensajes, tener listas de correo y al enviar un mensaje a la lista que este se
enve a todas las direcciones que pertenecen a la lista, crear copias, correo electrnico de alta prioridad,
correo electrnico secreto (encriptado), destinatarios alternos si es que el primero no se encuentra
disponible, etc.
Formato del mensaje
Una idea clave de todos los sistemas modernos de correo electrnico es la distincin entre el sobre y su
contenido.
Significado
Indica la versin de MIME utilizada
Cadena de texto que describe el contenido
Identificador nico del contenido
Cmo se envuelve el mensaje para su transmisin
Naturaleza del mensaje
Agente de Usuario
Un agente de usuario normalmente es un programa que acepta una variedad de comandos para
redactar, recibir y contestar los mensajes, as como para manipular el buzn de correo. Algunos agentes
de usuario tiene interfaz y otros trabajan por lneas de comando pero funcionalmente son iguales.
Envo de correo electrnico: Para enviar un mensaje el usuario debe proporcionar el mensaje, la
direccin de destino y, posiblemente, algunos otros parmetros. La direccin de destino debe
estar en un formato que el agente de usuario pueda maneja, mucho esperan direcciones DNS de
la forma usuario@direccion-dns.
Lectura de correo electrnico: Normalmente, cuando se inicia un agente de usuario, buscar en
el buzn del usuario el correo electrnico recibido, antes de presentar otra cosa en la pantalla.
Despus de anunciar la cantidad de mensajes en el buzn y/o presentar un resumen de cada
uno y esperar algn comando. Una vez realizado esto el usuario podr leer, eliminar mensajes,
etc.
Transferencia de Mensajes
Simple Mail Tranfer Protocol (SMTP)
En internet, el correo electrnico se entrega al hacer que la mquina de origen establezca una conexin
TCP con el puerto 25 de la mquina de destino. Escuchando en este puerto est un demonio de correo
electrnico que habla con el SMTP. Este demonio acepta conexiones de entrada y copia mensajes de ella
a los buzones adecuados. Si no puede entregarse un mensaje, se devuelve al remitente un informe de
error que contiene la primera parte del mensaje que no pudo entregarse.
Despus de establecer la conexin TCP con el puerto 25, la mquina emisora, operando como cliente,
espera que la mquina receptora enve una lnea de texto que proporciona su identidad e indica si est
preparado o no para recibir correo. Si no lo est, el cliente libera la conexin y lo intenta despus. Si est
dispuesto a aceptar correo electrnico, el cliente anuncia de quin proviene el mensaje, y a quien est
dirigido, si existe ese destinatario en el destino, el servidor da permiso al cliente de enviar su mensaje. A
continuacin el cliente enva el mensaje y el servidor confirma su recepcin. Una vez que todo el correo
que haya para enviar se ha intercambiado, se libera la conexin TCP.
Pero existe el siguiente problema, Qu ocurre si la mquina A quiere enviarle un correo a la mquina B
y esta no est encendida? La mquina B no podr recibir correo siendo que este servicio debera
funcionar las 24 hs. Una solucin sera que el ISP de la mquina B tenga su buzn y reciba los correos por
ella y luego la mquina B consulte su buzn al ISP. Pero esta solucin genera otro problema y es, Cmo
obtiene la mquina B el correo electrnico del agente de transferencia de mensajes del ISP?
Post Office Protocol 3 (POP3)
Es un protocolo que permite que los agentes de transferencia de usuarios en las PC de los clientes,
contacten al agente de transferencia de mensajes en la mquina del ISP y que el correo electrnico se
copie del ISP al usuario. POP3 inicia cuando el usuario arranca el lector de correo, ste llama al ISP y
establece una conexin TCP con el agente de transferencia de mensajes en el puerto 110. Una vez que
se ha establecido la conexin, el protocolo POP3 pasa por tres estados de secuencia:
Autorizacin, tiene que ver con el inicio de sesin por parte del usuario.
Transacciones, se relaciona con el hecho de que el usuario colecte los mensajes de correo
electrnico y los marque para eliminacin del buzn.
Actualizacin, se encarga de que los mensajes de correo electrnico sean realimente eliminados
del ISP.
El problema de este protocolo es que descarga los mensajes en el disco duro de la PC cliente para que
sea ledos.
Internet Message Access Protocol (IMAP)
A diferencia de POP3, que asume que el usuario vaciar el buzn de cada contacto y trabajar sin
conexin despus de eso, IMAP supone que todo el correo electrnico permanecer en el servidor de
manera indefinida en mltiples buzones de correo. IMAP proporciona mecanismos de gran alcance para
leer mensajes o incluso partes de un mensaje y que permite grandes archivos adjuntos de audio y video;
adems proporciona mencanismos para crear, destruir y manipular mltiples buzones en el servidor
(para usar uno para cada contacto). El servidor IMAP escucha el puerto 143.
En este ejemplo ficticio, Ana (ana@a.org) enva un correo a Bea (bea@b.com). Cada persona est en un
servidor distinto (una en a.org, otra en b.com), pero stos se pondrn en contacto para transferir el
mensaje. Por pasos:
1. Ana escribe el correo en su programa cliente de correo electrnico. Al darle a Enviar, el
programa contacta con el servidor de correo usado por Ana (en este caso, smtp.a.org). Se
comunica usando un lenguaje conocido como protocolo SMTP. Le transfiere el correo, y le da la
orden de enviarlo.
2. El servidor SMTP ve que ha de entregar un correo a alguien del dominio b.com, pero no sabe
con qu ordenador tiene que contactar. Por eso consulta a su servidor DNS (usando el protocolo
DNS), y le pregunta quin es el encargado de gestionar el correo del dominio b.com.
Tcnicamente, le est preguntando el registro MX asociado a ese dominio.
3. Como respuesta a esta peticin, el servidor DNS contesta con el nombre de dominio del servidor
de correo de Bea. En este caso es mx.b.com; es un ordenador gestionado por el proveedor de
Internet de Bea.
4. El servidor SMTP (smtp.a.org) ya puede contactar con mx.b.com y transferirle el mensaje, que
quedar guardado en este ordenador. Se usa otra vez el protocolo SMTP.
5. Ms adelante (quizs das despus), Bea aprieta el botn "Recibir nuevo correo" en su programa
cliente de correo. Esto empieza una conexin, mediante el protocolo POP3 o IMAP, al ordenador
que est guardando los correos nuevos que le han llegado. Este ordenador (pop3.b.com) es el
mismo que el del paso anterior (mx.b.com), ya que se encarga tanto de recibir correos del
exterior como de entregrselos a sus usuarios. En el esquema, Bea recibe el mensaje de Ana
mediante el protocolo POP3.
sta es la secuencia bsica, pero pueden darse varios casos especiales:
Si ambas personas estn en la misma red (una Intranet de una empresa, por ejemplo), entonces
no se pasa por Internet. Tambin es posible que el servidor de correo de Ana y el de Bea sean el
mismo ordenador.
Ana podra tener instalado un servidor SMTP en su ordenador, de forma que el paso 1 se hara
en su mismo ordenador. De la misma forma, Bea podra tener su servidor de correo en el propio
ordenador.
Una persona puede no usar un programa de correo electrnico, sino un webmail. El proceso es
casi el mismo, pero se usan conexiones HTTP al webmail de cada usuario en vez de usar SMTP o
IMAP/POP3.
Normalmente existe ms de un servidor de correo (MX) disponible, para que aunque uno falle,
se siga pudiendo recibir correo.
Arquitectura
Desde el punto de vista del usuario, Web consiste en un enorme conjunto de documentos a nivel
mundial, generalmente llamados pginas web. Cada pgina puede contener vnculos a otras pginas
relacionadas en cualquier lugar del mundo.
Las pginas se ven mediante un programa llamado navegador, el cual obtiene la pgina solicitada,
interpreta el texto y los comandos de formateo que contienen, y despliega la pgina formateada en
pantalla, las cadenas de texto que son vnculos a otras pginas son llamadas hipervnculos y con solo
hacer un click podremos solicitar al navegador que cargue esa otra pgina web.
Funcionamiento del Cliente
Un navegador es un programa que permite desplegar una pgina web y atrapar distintos eventos (clicks,
tipeos, etc.) que se realicen a los elementos de las pginas.
Las pginas se nombran utilizando URLs (Localizadores Uniformes de Recursos, por ejemplo
http://www.abc.com/home.html), que sirven efectivamente como nombre mundial de la pgina.
Una URL tiene tres partes:
Cuando trata de visualizarse una pgina en el navegador, ste realiza una serie de pasos:
Aunque in navegador es bsicamente un intrprete HTML, la mayora de los navegadores tienen otras
caractersticas que facilitan y mejoran la experiencia de navegacin web. No todas las pginas contiene
HTML y un servidor puede regresar informacin adicional del tipo MIME sobre una pgina. El navegador
deber utilizar un visor de acuerdo al tipo MIME del contenido, este visor puede venir incorporado al
navegador o se incorpora mediante plug-ins o aplicaciones auxiliares (Acrobat Reader por ejemplo).
Un navegador puede soportar el uso de varios protocolos como ser:
Nombre
http
ftp
File
News
News
Gopher
mailto
telnet
Usado para
Hipertexto (HTML)
FTP
Archivo Local
Grupo de noticias
Artculo
Gopher
Envo de correo electrnico
Inicio de sesin remota
Ejemplo
http://www.abc.com/def.html
ftp://ftp.abc.com/doc/readme.txt
file:///C:/
news:comp.os.minix
news:AA215saA5@abc.com
Gopher://gopher.abc.com/lalo
mailto:usuario@abc.com
telnet://www.abc.com:80
El problema de este diseo es que cada solicitud requiere de un acceso al disco para obtener el archivo,
por lo que una mejora sera mantener en cach los n archivos ms recientemente utilizados y verificar la
cach antes de ir al disco a buscar el archivo.
Un servidor moderno hace ms que solo aceptar conexiones y regresar archivos:
Cookies
Cuando un navegador solicita un pgina, el servidor puede proporcionar informacin adicional junto con
la pgina, est informacin puede ser almacenada en una cookie en disco duro (si el cliente lo permite).
Una cookie puede pesar hasta 4KB y tener el siguiente formato:
Dominio
Ruta Contenido
Expira
Seguro
toms-casino.com /
CustomerID=95468 15/01/2010 17:00 Si
portal.com
/
UserID=lolito
10/01/2010 13:00 No
Documentos Estticos
En la forma ms simple, las pginas web son estticas, es decir, son simplemente archivos que se
encuentran en algn servidor esperando a ser recuperados. En este sentido, incluso un vdeo es una
pgina web esttica porque es slo un archivo.
HyperText Markup Language (HTML)
El Lenguaje de Marcado de Hipertexto permite a los usuarios producir pginas web que incluyen texto,
grficos y apuntadores a otras pginas web. Es un leguaje que sirve para describir cmo se van a
formatear los documentos.
Al integrar todos los comandos de marcado dentro de cada archivo HTML y al estandarizarlos, se hace
posible que cualquier navegador web lea y reformatee cualquier pgina web. La capacidad de
reformatear las pginas web tras su recepcin es crucial porque una pgina pudo haberse producido en
una resolucin y ahora debe tener que amoldarse a la resolucin del cliente en el que se ejecuta.
Una pgina web consiste en un encabezado y un cuerpo encerrado entre etiquetas
<etiqueta></etiqueta>. El encabezado est delimitado por las etiquetas <head></head> y el cuerpo por
las etiquetas <body></body>. Los comandos dentro de las etiquetas se llaman directivas. HTML permite
la inclusin de imgenes, tablas y estilos para facilitar su creacin.
En la actualidad HTML permite la creacin de formularios, los cuales contiene campos y botones que
permiten a los usuarios proporcionar informacin o tomar decisiones y despus enviar dicha
informacin a la pgina.
Cada interaccin entre el cliente y el servidor consiste en una solicitud ASCII por parte del cliente
seguida por una respuesta MIME del servidor.
Documentos Dinmicos
La generacin de contenido dinmico implica que el contenido se genera a solicitud en lugar de
almacenarlo en el disco. Esta generacin puede ocurrir en el servidor o en el cliente.
Generacin de pginas web dinmicas en el servidor
Para ver por qu es necesaria la generacin de contenido en el servidor, considere el uso de formularios,
como se describi anteriormente. Cuando un usuario llena un formulario y hace click en el botn de
envo, se enva un mensaje un mensaje al servidor con el contenido del formulario, junto con los campos
que el usuario llen. Este mensaje no es el nombre de un archivo a regresar, lo que se necesita es
proporcionar el mensaje a un programa o a una secuencia de comandos para que sean procesados.
La forma tradicional de manejar formularios y otras pginas web interactivas es un sistema llamado CGI
(Interfaz de puerta de enlace comn), que permite que los servidores web hablen con los programas y
las secuencias de comandos puedan aceptar los datos de entrada y generar respuestas HTML.
Otra forma comn es incrustar pequeas secuencia de comandos dentro de pginas HTML y hacer que
el servidor mismo sea quien las ejecute para generar la pgina (caso del PHP Preprocesador de
Hipertexto).
Una tercera tcnica es utilizar JSP (Java Server Pages) que funciona en forma similar a PHP solo que con
la sintaxis de Java.
Una cuarta tcnica es ASP (Active Server Pages), que es la versin de Microsoft de PHP y JSP. Para
generar contenido dinmico utiliza lenguaje de secuencias de comandos propietarios de Microsoft como
Visual Basic Script.
Generacin de pginas web dinmicas en el cliente
En HTML tales secuencias son posibles con el uso de la etiquete <script>. El lenguaje de secuencias de
comandos ms popular para el cliente es JavaScript, el cual est inspirado en la programacin Java y es
un lenguaje de alto nivel el cual permite que en una simple lnea se despliegue por ejemplo un cuadro
de dialogo o la espera de una entrada del usuario para almacenar el valor en una variable.
Mejoras de desempeo
Almacenamiento en cach, Una forma muy sencilla de mejorar el desempeo es guardar las
pginas que han sido solicitadas en caso de que se utilicen nuevamente. El procedimiento
comn es que algn proceso, llamado proxy, mantenga el cach. Para utilizar el
almacenamiento de cach, un navegador puede configurarse para que todas las solicitudes de
pginas se le hagan a un proxy en lugar de al servidor real de la pgina. Si el proxy tiene la
pgina, la regresa de inmediato. De lo contrario, la obtiene del servidor, la agrega al cach para
uso posterior y la enva al cliente que la solicit.
Las PC individuales con frecuencia ejecutan proxies a para obtener un rpido acceso a pginas
anteriormente visitadas. Puede configurarse para que toda una LAN por ejemplo utilice el
mismo proxy, lo que traera como ventaja un rpido acceso para cualquier persona que visite
una pgina que ya fue visitada por otra persona de la LAN (muchas ISP tiene proxy).
Determinar el tiempo que deben permanecer las pginas en cach es un poco difcil dado que si
la pgina cambia sus datos rpidamente, el acceso a la pgina en cach traera informacin
errnea. La forma de solucionar este problema es con el uso de heurstica para adivinar
cunto tiempo guardar la pgina (por ejemplo basndose en el tiempo que hace que no se
modifica la pgina). La segunda forma es que cada vez que se solicita una pgina que est en
cach, el proxy manda un mensaje al servidor que contiene la pgina y le pregunta cundo fue la
ltima vez que se modifico la misma, si no ha sido modificada con respecto a la que est en
cach, se devuelve la de cach, si fue modificada se guarda y se devuelve la nueva pgina.
Las pginas web con contenido dinmico nunca son guardadas en cach debido a que los
parmetros pueden ser diferentes la siguiente vez.
Replicacin del servidor, Otro mtodo comn que los servidores utilizan para mejorar el
desempeo es replicar su contenido en mltiples ubicaciones separadas considerablemente.
Esta tcnica a veces se conoce como espejo. Los sitios espejo por lo general son estticos. La
compaa decide dnde colocar los espejos, arregla un servidor en cada regin y coloca el
contenido en cada ubicacin.
Redes de entrega de contenido, Las compaas CDNs (redes de entrega de contenido) hablan
con proveedores de contenido (sitios web) y ofrecen entregar su contenido a los usuarios finales
de manera eficiente a cambio de una cuota. Los CDNs estn conectados a una gran cantidad de
ISPs y ofrecen pagarles bien a cambio de que les permitan colocar en sus LANs un servidor
manejado de manera remota lleno de contenido valioso. Esto permite que los clientes del ISP un
excelente tiempo de acceso para el contenido del CDN.
La calidad de la voz (Voice Speach Quality) es evaluada por medio de dos parmetros:
Claridad: que refleja el grado de palabras y frases entendidas.
Fidelidad: califica el grado de reconocimiento de la personal que habla.
H.323
Es una recomendacin del ITU-T (International Telecommunication Union), que define los protocolos
para proveer sesiones de comunicacin audiovisual sobre paquetes de red.
H.323 es utilizado comnmente para Voz sobre IP (VoIP, Telefona de internet o Telefona IP) y para
videoconferencia basada en IP. Es un conjunto de normas ITU para comunicaciones multimedia que
hacen referencia a los terminales, equipos y servicios estableciendo una sealizacin en redes IP. No
garantiza una calidad de servicio, y en el transporte de datos puede, o no, ser fiable; en el caso de voz o
vdeo, nunca es fiable. Adems, es independiente de la topologa de la red y admite pasarelas,
permitiendo usar ms de un canal de cada tipo (voz, vdeo, datos) al mismo tiempo.
Modelo H.323
Puerta de enlace, conecta a internet con la red telefnica. Esta puerta de enlace conoce al
protocolo H.323 para comunicarse con internet y al protocolo PSTN para comunicarse con la red
telefnica.
Terminales, son los dispositivos de comunicacin.
Gatekeeper, puede estar presente en una LAN y controlar los puntos finales bajo su jurisdiccin
(Zona).
Tel1
PC5
PC2
PC1
Zona
Internet
Puerta
de
enlace
Red
Telefnica
Gatekeeper
Tel3
PC3
PC4
Tel2
Protocolos Utilizados
Una red telefnica necesita una serie de protocolos para poder funcionar. Uno de ellos es utilizado para
la codificacin y decodificacin de la voz. El sistema PCM (modulacin por impulsos codificados) es
utilizado y codifica un solo canal de voz muestreado a 8000 veces por segundo con una muestra de 8
bits para poder proporcionar voz comprimida a 64kbps. El sistema H.323 permite esta compresin de
voz pero tambin permite otros protocolos como G.732.1 que permite una tasa de salida de hasta
5.3kbps con un factor de compresin de 12 veces y poca prdida de calidad percibida.
Debido a que estn permitidos mltiples algoritmos de compresin, se necesita un protocolo para
permitir que las terminales negocien cul van a utilizar. Este protocolo se llama H.245 y permite
negociar otros aspectos de la conexin como la tasa de bits.
RTCP (Real Time Control Protocol) es necesario para el control de los canales RTP (Real-time Transport
Protocol). Tambin se necesita un protocolo para establecer y liberar las conexiones, proporcionar tonos
de marcado, emitir sonidos de marcado y el resto de la telefona estndar (Q.931). Las terminales
necesitan un protocolo para hablar con el gatekeeper y crear canales RAS (Registro/Admisin/Estado)
que permita a las terminales unirse y dejar una zona, solicitar y regresar ancho de banda, proporcionar
actualizaciones de estado, etc. Por ltimo se necesita un protocolo para la transmisin en tiempo real de
los datos (RTP) el cual ser manejado por RTCP.
Funcionamiento
Supongamos que una PC de una LAN quiere llamar a un telfono remoto. La PC primero tiene que
descubrir al gatekeeper, por lo que difunde un paquete UDP de descubrimiento de gatekeeper al puerto
1718. Cuando el gatekeeper responde, la PC aprende su direccin IP y se registra con el gatekeeper
envindole un mensaje RAS en un paquete UDP. Una vez aceptada la peticin la PC enva al gatekeeper
un mensaje de admisin RAS solicitando ancho de banda. Slo despus de que se ha proporcionado el
ancho de banda, se puede establecer la llamada (esto se realiza para poder proporcionar la calidad de
servicio necesaria). La PC ahora establece una conexin TCP con el gatekeeper para comenzar el
establecimiento de la llamada y enva un mensaje Q.931 con el nmero telefnico al que se est
llamando (o la direccin IP y el puerto en caso de ser una llamada a otra PC). El gatekeeper responde
con otro mensaje Q.931 indicando que la llamada est en proceso y enva un mensaje Q.931 a la puerta
de enlace solicitando la llamada. La puerta de enlace realiza una llama comn al telfono deseado y la
central telefnica a la que est conectada el telfono hace que este suene y a su vez enva una seal
Q.931 para indicar al PC que el telfono est sonando. Cuando la persona levanta el tubo del telfono la
central telefnica enva una seal Q.931 para indicar a la PC que la conexin est establecida.
Una vez establecida la conexin, el gatekeeper no cumple ninguna funcin y todos los paquetes que
salen de la PC van directo a la puerta de enlace. Se utiliza un protocolo H.245 para negociar parmetros
de la llamada (Ej. codecs que soportan, capacidades, etc.), una vez que cada lado conoce lo que el otro
soporta se establecen dos canales de datos unidireccionales y a cada uno se le asigna un cdec y otros
parmetros. Terminadas todas las negociaciones se inicia el flujo de datos utilizando RTP, el flujo se
maneja con RTCP que juega un papel de control de congestionamiento. Cuando se termina la llamada, la
PC invocadora contacta al gatekeeper con un mensaje RAS para liberar el ancho de banda que se ha
asignado.
Funcionamiento
Los nmeros SIP se representan como URLs que utilizan el esquema SIP sip:carlos@frc.utn.edu.ar. Los
URLs de SIP tambin pueden contener direcciones IPv4 e IPv6 o nmeros telefnicos reales. El protocolo
SIP se basa en texto y est modelado en HTTP. Una parte enva un mensaje en texto ASCII que consiste
en un nombre del mtodo (en la primera lnea) seguido por lneas adicionales que contienen
parmetros. Muchos de estos parmetros son los utilizados por MIME para permitir que SIP interacte
con las aplicaciones existentes en internet.
Para establecer una sesin, el invocador realiza una conexin TCP con el invocado y enva un mensaje de
invitacin (tambin puede hacerlo enviando un paquete UDP). Este mensaje contiene entre otras cosas,
las capacidades, los tipos de medios y los formatos del invocador. Si el invocado acepta la llamada,
responde enviando un paquete con un cdigo HTTP de aceptacin e informa sus capacidades, tipos de
medios y formatos. La conexin se realiza por un acuerdo de tres vas por lo que el invocador enva un
ACK para terminar el protocolo y avisar que recibi la aceptacin.
En este momento pueden intercambiar informacin haciendo uso de protocolos RTP/RTCP.
Cualquiera de las dos partes puede solicitar finalizar la sesin enviando un mensaje de finalizacin, al
momento en que la otra parte responde a este mensaje, la sesin queda concluida.
SIP puede llamar a un telfono normal pero necesita de una puerta de enlace que comunique a internet
con la red telefnica.
Comparacin entre H.323 y SIP
Elemento
Diseado por
Compatibilidad con PSTN
Compatibilidad con internet
Arquitectura
Integridad
Negociacin de parmetros
Sealamiento de llamadas
Formato de mensajes
Transporte de medios
Llamadas de mltiples partes
Conferencias multimedia
Direccionamiento
Terminacin de llamadas
Mensajes instantneos
Encriptacin
Tamao de los estndares
Implementacin
Estado
H.323
SIP
ITU
SI
NO
Monoltica
Pila de protocolos completa
SI
Q.931 sobre TCP
Binario
RTP/RTCP
SI
SI
Host o nmero telefnico
Explicita o liberacin TCP
NO
SI
1400 pginas
Grande y compleja
Distribuido ampliamente
IETF
Ampliamente
SI
Modular
Slo maneja el establecimiento
SI
TCP o UDP
ASCII
RTP/RTCP
SI
NO
URL
Explcita o por temporizador
SI
SI
250 pginas
Moderada
Prometedor
Nmero de secuencia: de 2 bytes, es un nmero que se incrementa por cada paquete enviado.
Es usado para determinar prdida de paquetes y recuperar correctamente la secuencia de voz.
Informacin del desarrollo de una aplicacin: Esta funcin es muy til para aplicaciones de
velocidad adaptativa. Un ejemplo de su utilidad seria reducir la congestin mediante el uso de
un esquema de compresin ms agresivo o enviar un stream de ms alta calidad cuando hay
poca congestin. Tambin puede resultar til para diagnosticar problemas de red.
Correlacionar y sincronizar diferentes media streams procedentes del emisor: RTCP utiliza el
concepto de nombre cannico (CNAME) que se asigna al emisor y garantiza que streams que no
tienen el mismo identificador se puedan sincronizar y ordenar correctamente (audio y video de
una misma emisin).
Transferir la identidad de un emisor: Se transmite en el paquete de descripcin de la fuente
explicado ms adelante en el apartado Tipo de paquetes.
Tipos de paquetes
Informes de emisor: Permiten al emisor activo en una sesin informar sobre estadsticas de
recepcin y transmisin.
Informes de receptor: Los utilizan los receptores que no son emisores para enviar estadsticas
sobre la recepcin.
Descripcin de la fuente: Contiene los CNAMEs y otros datos que describen la informacin de
los emisores.
Paquetes de control especficos de la aplicacin: Varios paquetes RTCP pueden ser enviados en
un mismo mensaje UDP.
informacin extra sobre el emisor. Tanto los informes de emisor como los de receptor contienen un
bloque de datos por fuente que ha sido escuchada desde el ltimo informe. Cada bloque contiene
estadsticas para la fuente determinada, indicador, paquetes perdidos, ltimo nmero de secuencia,
Jitter, etc.
Unidad 5: Seguridad
Seguridad
Con el uso de redes pblicas como ser internet se han tenido que implementarse sistemas de seguridad
y sobre todo para algunos servicios como las transacciones bancarias y los pagos con tarjetas de crdito,
entre otros.
Los problemas de seguridad podran definirse como:
La solucin a estos problemas no debera encontrarse en una sola capa de OSI, la seguridad debera
estar dispersa por las capas del modelo para que deban pasarse varios niveles de obstculos antes de
ingresar a la informacin. Por ejemplo podra colocarse seguridad en el rea donde se encuentran
fsicamente los datos, encriptarse los datos de la capa de enlace de datos y de red, instalar firewalls en la
capa de red, bloquear puertos inseguros de la capa de transporte, mandar los datos cifrados de extremo
a extremo, control de acceso en las aplicaciones, etc.
Algunos conceptos
Seguridad: Una serie de mecanismos que minimizan las vulnerabilidades de los recursos.
Criptoanlisis: Ciencia utilizada para descifrar mensajes (Utilizada por los atacantes).
Criptosistema: Es un conjunto de Algoritmos, Texto en Claro, Texto Cifrado y Clave.
Seguridad de la red: Implica la seguridad de cada uno de los componentes de la red.
Hacker: Es un programador con los conocimientos necesarios para superar las barreras de
seguridad, su objetivo normalmente es no ser detectado y dejar algn tipo de mensaje sin hacer
dao.
Cracker: Es similar a un hacker solo que sus intenciones son el robo de informacin para obtener
un beneficio personal.
Ataque: Intento de sabotaje de un recurso de la empresa.
o Compromiso, se obtiene el control de algn elemento de la red.
o Modificacin, se modifica algn mensaje o dato.
o Suplantacin, se hace pasar por otra persona.
o
o
Reenvo, se obtiene un mensaje que ms tarde ser reenviado para duplicar su efecto.
Denegacin de servicio, se impide que algn componente de la red cumpla con su
funcin.
Criptografa
La criptografa es el arte de escribir y enviar mensajes mediante claves secretas, de manera que sea
imprescindible conocerla para descifrarlo.
Es uno de los mecanismos ms empleados en la resolucin de los problemas de seguridad en el
trasporte de datos. Tiene la ventaja de que puede cifrarse un mensaje para que, si este es captado, no
sea comprensible a menos que se descifre el mismo. Cualquier algoritmo de cifrado puede ser
encontrado mediante criptoanlisis, por lo que una buena poltica de seguridad cambia la forma de
encriptar los mensajes en un tiempo menor al que le tomara a alguien encontrar la clave o el algoritmo.
La encriptacin puede ser por responsabilidad del usuario o por responsabilidad de la red:
Encriptado a nivel de enlace: El mensaje se cifra y descifra en cada nodo en su viaje a travs de
la red.
Encriptado extremo a extremo: El mensaje se cifra en el origen y se descifra en el destino, tiene
como ventaja que los datos son protegidos durante todo su recorrido.
Tipos de algoritmos
Algoritmos simtricos
Se denomina Algoritmo Simtrico, a todo proceso criptogrfico que utilice en su accionar, una misma
clave para encriptar y desencriptar.
Para que funcione correctamente, tanto el emisor como el receptor del mensaje, deben encontrarse en
conocimiento de la clave a utilizar, transformando sta en su Secreto Compartido.
Debido a ello, la existencia de un canal seguro a travs del cual se pueda realizar el intercambio de
claves, se convierte en un requisito indispensable.
La mayor ventaja es su velocidad y que suelen ser difciles de romper, su mayor debilidad esta en el
hecho de que deben enviarse la clave para que ambos la conozcan.
Cifrado DES (Data Encryption Estndar).
El texto llano se encripta en bloques de 64bits, produciendo 64bits de texto cifrado. El algoritmo, que se
parametriza mediante una clave de 56bits tiene 19 etapas diferentes. La primera etapa es una
transposicin del texto llano de 64bits independiente de la clave. La ltima etapa es el inverso de esta
transposicin. La etapa previa a esta ltima intercambia los 32bits de la izquierda y los 32 bits de la
derecha. Las 16 etapas restantes son funcionalmente idnticas, pero se parametrizan mediante
diferentes funciones de la clave. El algoritmo se diseo para que la desencriptacin se haga con la
misma clave de encriptacin y con el proceso inverso.
Cifrado 3DES
Dado que la longitud de clave que utiliza DES es muy corta, esta fue incrementa utilizando cifrado triple.
Aqu se utilizan 2 claves y 3 etapas. En la primera etapa, el texto llano se encrita utilizando DES con la
clave 1. En la segunda etapa, DES se ejecuta en modo desencriptacin utilizando la clave 2. La tercer
etapa consiste en volver a encriptar con DES con la clave 1.
Se utilizan 2 claves en vez de 3 dado que 168bit de clave (3x56bit) seran una sobrecarga innecesaria
para la capacidad computacional actual.
Es uno de los algoritmos simtricos ms duros de romper y uno de los ms utilizados.
Cifrado AES
Es el sucesor de DES, fue creado de manera pblica y abierta. Se necesitaba un sistema de cifrado por
bloques diseado para manejar longitudes de clave y bloque variables de 128 bits a 256 bits.
El resultado de estas propuesta pblicas fue la creacin de Rijndael, este utiliza sustitucin y
permutaciones junto con mltiples rondas. El nmero de rondas depende del tamao de la clave y del
bloque pero para un bloque de 128bits con clave de 128bits se utilizan 10 rondas para el cifrado.
Algoritmos Asimtricos
Los algoritmos asimtricos, o de clave pblica, utilizan dos claves en su proceso de cifrado y descifrado.
Ambas claves suelen ser referidas como clave pblica y clave privada.
En este tipo de esquema, el remitente utiliza la clave pblica del destinatario para cifrar el mensaje, el
cual slo puede ser descifrado por la clave privada del mismo.
Ambos extremos de la comunicacin deben estar en conocimiento de la clave pblica, lo cual no
representa riesgo.
La prdida de la clave privada, abrira una brecha de seguridad en el criptosistema.
Los algoritmos de encriptacin (E) y desencriptacin (D) deben cumplir los siguientes requisitos:
D(E(P))=P
Es excesivamente difcil deducir D a partir del conocimiento de E.
E no puede descifrarse mediante un ataque de texto a un texto llano seleccionado.
Una de las ventajas ms apreciables radica en la posibilidad por parte de quien desea recibir informacin
cifrada de hacer llegar a los emisores su clave pblica, como desventaja estos algoritmos suelen utilizar
claves de mayor tamao, suelen ser ms lentos que los simtricos y no son utilizados para grandes
volmenes de informacin dado que necesitan muchos recursos para funcionar.
RSA
El sistema criptogrfico con clave pblica RSA es un algoritmo asimtrico cifrador de bloques, que utiliza
una clave pblica, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual
es guardada en secreto por su propietario.
Una clave es un nmero de gran tamao, que una persona puede conceptualizar como un mensaje
digital, como un archivo binario o como una cadena de bits o bytes.
Cuando se quiere enviar un mensaje, el emisor busca la clave pblica de cifrado del receptor, cifra su
mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, ste se ocupa de descifrarlo
usando su clave oculta.
Los mensajes enviados usando el algoritmo RSA se representan mediante nmeros y el funcionamiento
se basa en el producto de dos nmeros primos grandes (mayores que 10100) elegidos al azar para
conformar la clave de descifrado.
Emplea expresiones exponenciales en aritmtica modular.
La seguridad de este algoritmo radica en que no hay maneras rpidas conocidas de factorizar un nmero
grande en sus factores primos utilizando computadoras tradicionales. Este algoritmo es muy lento para
encriptar grandes volmenes de informacin pero es muy utilizado para la encriptacin de claves.
PKI
El trmino PKI o en su acepcin en espaol Infraestructura de Clave Pblica, es el utilizado para definir
la combinacin de software, tecnologas de encriptacin y servicios, necesaria para dotar a un sistema
determinado de las siguientes caractersticas principales:
Integridad
Confidencialidad
Autenticacin
No Repudio
Funciones de Hash
Se define como una operacin que se realiza sobre un conjunto de datos de cualquier tamao de tal
forma que se obtiene como resultado, otro conjunto de datos denominado resumen.
El resumen tiene un tamao fijo e independiente del tamao original, que adems tiene la propiedad
de estar asociado unvocamente a los datos iniciales.
Es prcticamente imposible encontrar dos mensajes distintos que tengan un resumen hash idntico.
Gracias a sus caractersticas, las aplicaciones principales de las Funciones de Hash, suelen ser
fundamentalmente tres:
Contraseas
Firmas Digitales
Integridad y Autenticacin
Firma Digital
La Firma Digital, es bsicamente una herramienta tecnolgica, que permite garantizar la autora e
integridad de los documentos digitales.
Desde el punto de vista informtico, una Firma Digital, puede ser vista como un grupo de datos
asociados a un mensaje digital.
Tcnicamente hablando, el esquema de Firma Digital se basa en la utilizacin combinada de Criptografa
Asimtrica o de Clave Pblica y de Funciones de Hash o Resumen.
Un documento digital firmado permite que el receptor pueda verificar la identidad del transmisor, que
el transmisor no pueda repudiar (negar) el contenido del mensaje y que el receptor no haya podido
elaborar el mensaje el mismo.
Firmas de clave simtrica: Existe una autoridad central que conoce todas las claves y todos
confan en l. Cada usuario escoge una clave secreta y la lleva a esta entidad. Si un usuario A
quiere enviar un mensaje a un usuario B, encripta el mensaje con su clave el cual contiene el
mensaje propiamente dicho, el destinatario, un nmero aleatorio y un tiempo que indica que
es un mensaje nuevo; este mensaje es enviado a la autoridad central. Esta autoridad recibe el
mensaje de A y lo desencripta (dado que conoce su clave) y enva el mensaje a B firmado con la
clave de la autoridad central, el cual contendr el mensaje propiamente dicho, el remitente y el
tiempo que indica que es un nuevo mensaje.
Firmas de clave pblica: Un problema estructural del uso de la criptografa de clave simtrica
para las firmas digitales es que todos tiene que confiar en una entidad central. La criptografa de
clave pblica para firmas digitales permite que A enva un mensaje de texto plano P, al
destinatario B transmitiendo ( ) como A conoce su clave privada y la clave pblica de B,
puede realizar esa transmisin. Cuando B recibe el mensaje, lo transforma usando su clave
privada por lo que obtiene y con el uso de (clave pblica de A) obtiene el mensaje P.
Cualquier algoritmo de clave pblica puede ser utilizado para firmas digitales, pero uno de los
ms usados es RSA.
Certificado Digital
No es ms que un documento digital otorgado por un tercero de confianza, que da fe de la vinculacin
entre una clave pblica y un individuo o entidad.
Puesto que los certificados digitales suelen ser expedidos por una entidad reconocida, en la que ambos
participantes de una comunicacin confan, tanto emisor como receptor tienen la oportunidad,
certificados digitales de por medio, de prevenir que un tercero utilice una clave pblica propia, para
suplantar su identidad.
La Autoridad de Registro (RA) es la encargada de administrar el alta y baja, de toda aquella solicitud de
emisin de certificados o revocacin de los mismos.
La Autoridad de Certificacin (CA) es la organizacin responsable del mantenimiento final de los
certificados. Suele representar en el esquema PKI, la Tercera Parte Confiable, en la cual los
participantes confan al momento de confirmar la autenticidad del otro extremo.
La Autoridad de Validacin (VA) es la encargada de proporcionar informacin sobre el estado de los
certificados emitidos por otras Autoridades en forma On-Line.
Sobre Digital
El esquema general de funcionamiento, que suele ser referido como el esquema de sobre digital,
comprende:
Un usuario A quiere enviar un mensaje M a otro usuario, B por ejemplo.
El usuario A procede a firmar digitalmente dicho mensaje M. Este proceso comprende el clculo
del resumen, producido por una funcin Hash del mensaje M, y la encripcin de este resumen
utilizando la clave privada del usuario A. Para la realizacin de este proceso se emplea un
algoritmo de firma digital como DSA, por ejemplo.
A continuacin se procede a encriptar el mensaje M utilizando un algoritmo de encripcin
simtrico, como por ejemplo 3DES, AES, etc. Existen implementaciones que tambin encriptan
el resultado del proceso de firma digital Como se estudi anteriormente, es necesario distribuir
la clave secreta, utilizada por el algoritmo de encripcin simtrico, al destinatario del mensaje,
en este caso el usuario B. Para esta tarea se utiliza un algoritmo de encripcin asimtrico, como
RSA.
A los fines de poder cumplir con la etapa anterior, el usuario A necesita conocer la clave pblica
del usuario B, esto es posible gracias a la intervencin de una Autoridad de Certificacin (CA),
quien brindar un certificado digital confiable al usuario A, para que ste pueda encriptar
asimtricamente la clave secreta empleada en la encripcin del mensaje M.
Con lo realizado hasta el momento, el usuario A est en capacidad de preparar el "sobre digital"
para su envo al destinatario, en este caso el usuario B. Este "sobre digital" estar compuesto
por el mensaje M, encriptado simtricamente, la clave secreta utilizada en este proceso,
encriptada asimtricamente con la clave pblica del usuario B y la firma digital del mensaje M, la
cual puede estar encriptada tambin, en forma simtrica, de la misma manera que el mensaje
original.
Una vez que el usuario B recibe el "sobre digital" procede a realizar la apertura de su contenido,
para lo cual desencripta la clave secreta utilizando su propia clave privada.
Con la clave secreta en su poder, el usuario B desencripta el mensaje M y la firma digital del
mismo, si es que sta tambin estaba encriptada.
A continuacin procede a comprobar la identidad del usuario A, desencriptando la firma digital
con la clave pblica del usuario A, dado que la firma se encontraba encriptada con su clave
privada.
Posteriormente el usuario B procede a calcular el resumen de la funcin de Hash del mensaje M,
ya desencriptado, y a comparar dicho resumen con el que formaba parte del contenido de la
firma digital del mensaje, con la finalidad de validar la integridad del mismo.
Firewalls
Un cortafuegos (o firewall en ingls) es una parte de un sistema o una red que est diseado para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata
de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los
cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan
acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren
o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos
que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a
una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la
organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente
configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse
suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
Tipos de cortafuegos
MAC. Este es uno de los principales tipos de cortafuegos. Se considera bastante eficaz y
transparente pero difcil de configurar.
Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin (nivel 7), de manera que los
filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por
ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est
intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y
permite que los computadores de una organizacin entren a Internet de una forma controlada.
Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuegos personal: Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa
por tanto, a nivel personal.
Ventajas de un cortafuegos:
Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de trfico. Cualquier tipo
de ataque informtico que use trfico aceptado por el cortafuegos (por usar puertos TCP abiertos
expresamente, por ejemplo) o que sencillamente no use la red, seguir constituyendo una amenaza. La
siguiente lista muestra algunos de estos riesgos:
Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l.
El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos
o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos copiar datos
sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus
informticos a travs de archivos y software. La solucin real est en que la organizacin debe
ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que
llegan por cualquier medio de almacenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico
est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se
publiquen en Internet.
Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El
cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios
que se necesiten.
Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado.
Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso,
mientras que el resto del trfico no ser filtrado.
La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente
peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de
trfico peligroso y sea permitido por omisin.
IPSec
El objetivo principal de una VPN es el de garantizar la seguridad de los datos en su trnsito por una red
intermedia no segura. El trmino IPSec es una abreviatura de Internet Protocol SECurity. Y se refiere a la
suite de protocolos (AH, ESP, FIP-140-1 y otros estndares) que fueron desarrollados por el IETF
(Internet Engineering Task Force). El inters principal de este desarrollo fue el de proveer una estructura
de seguridad para la tercer capa (Capa de Red) del modelo OSI.
IPSec es un protocolo de VPN que opera en la Capa 3. De poderosa autenticacin, confiabilidad y
administracin de claves para VPN.
En Internet, toda comunicacin est basada en IP, por ello cuando integro a IP un poderoso mecanismo
de seguridad, la red entera ser segura, debido a que toda la comunicacin pasa por esta capa y por este
protocolo.
sta es la razn por la cual IPSec se desarroll como protocolo de Capa 3 en lugar de Capa 2.
Tambin, con IPSec todas las aplicaciones de la Capa de Aplicacin del Modelo OSI son dependientes de
la Capa de Red para rutear los datos desde el origen al destino.
Dado que IPSec, est totalmente integrado con IP, estas aplicaciones pueden usar la seguridad inherente
con los servicios IPSec, sin necesidad de mayores modificaciones.
IPSec es un mtodo de proteccin de paquetes IP. Esta proteccin consiste en la autenticacin de los
datos originales, integridad de la conexin y confidencialidad del contenido de los datos.
IPSec provee un estndar robusto que provee seguridad a IP y a los protocolos de capas superiores (UDP
y TCP) y es transparente a los usuarios. Un aspecto sorprendente de IPSec es que a pesar de trabajar
sobre la capa de Red, es orientado a conexin, esta conexin est dada por las SA que son
asociaciones de seguridad.
Protocolos de IPSec:
A causa de los mtodos de construccin, el modo transporte solo puede usarse para proteger paquetes
donde el punto final del enlace de comunicacin es tambin el punto final criptogrfico.
El modo tnel puede ser usado en lugar de modo transporte y tambin puede utilizarse por gateways
para proveer servicios de seguridad en nombre de otras entidades de red por ejemplo, una VPN.
En casos ms recientes, los extremos de comunicacin son aquellos especificados en el encabezado
interior o protegidos, y los extremos criptogrficos son aquellos que llevan el encabezado IP externo.
Dado que ESP provee confidencialidad y autenticacin, existen mltiples algoritmos definidos en las SA
(contrato entre quienes se comunican) - uno para confidencialidad llamado cifrador, y el otro para
autenticacin llamado el autenticador. Cada SA de ESP puede tener al menos un cifrador y un
autenticador. Es posible definir un cifrador NULO o un autenticador NULO y tener ESP sin encriptacin o
ESP sin autenticacin respectivamente, pero es ilegal tener ambos NULOS dentro de una SA ESP
individual. Es ilegal debido a que no solo no tiene sentido sobrecargar el sistema, sino que este no
provee seguridad.
En el procesamiento del paquete ESP: Primero verifica el nmero de secuencia, entonces verifica la
integridad de los datos, entonces desencripta los datos. Dada que la desencriptacin es al ltimo, el
nmero de secuencia (evita el replay) y la autenticacin de datos deben estar en texto claro (para no
gastar poder de procesamiento en desencriptar elementos que sern descartados).
AH - Authentication Header (SIN LA EXPLICACIN DEL ENCABEZADO AH)
Como ESP, AH provee integridad de datos, autenticacin de la fuente de datos y proteccin contra
ataques de replay. Este no provee confidencialidad. Debido a esto es mucho ms simple que ESP; est
constituido de solo un header ya que no contiene un trailer. Adems, todos los campos del encabezado
AH estn en texto claro (sin encriptar).
El encabezado AH, anlogo al ESP , contiene un SPI para ayudar a localizar al SA por medio del cual es
procesado el paquete, un nmero de secuencia contra el ataque de replay, y un campo de autenticacin
de datos que contiene el compendio de la clave MAC usada para seguridad del paquete. Puesto que AH
no provee confidencialidad usando cifrado simtrico en modo CBC, no es necesario un relleno (ESP tena
el triler para que el paquete entero fuera mltiplo de otra cosa).
La autenticacin de AH difiere de ESP. AH autentica al encabezado externo del paquete IP. El campo
protocolo de un datagrama IPv4 protegido con AH es 51 indicando que siguiendo al encabezado IP le
sigue un encabezado AH.
Arquitecturas o Modos
En la prctica AH en modo tnel no es utilizado dado que protege los mismos datos que AH en modo
transporte.
Modo Transporte
En el modo transporte, AH y ESP protegen el encabezado de transporte. Es este modo, AH y ESP
interceptan el flujo de paquetes desde la capa de transporte dentro de la capa de red y proveen la
configuracin de seguridad.
El modo transporte de IPSec puede usarse solo cuando se desea seguridad entre ambos extremos finales
(end to end). Los routers miran en la mayora de las veces la capa de red cuando tiene que tomar
decisiones de enrutamiento y no debieran cambiar nada ms all del encabezado de la capa de red.
ESP+AH
Cuando son usados AH y ESP en modo transporte, ESP debiera ser aplicado primero. La razn es obvia.
Dado que se desea el mayor nivel posible de datos con integridad si el paquete es protegido usando AH
despus de que es protegido con ESP, entonces la integridad de datos se aplica a la carga til ESP, que
contiene la carga til de transporte como se muestra en la figura.
Modo Tnel
IPSec en modo tnel es usado normalmente cuando el destino final de los paquetes es diferente del
punto final de seguridad como se muestra en la figura. El modo tnel es tambin usado en casos donde
la seguridad es provista por un dispositivo que no origina paquetes como es el caso de VPN (supongo
que lo dice porque el router puede hacer la VPN y el router no origina paquetes).
En el caso de modo tnel, IPSec encapsula al paquete IP con en Header IPSec y agrega un Header IP
externo como se muestra la figura.
Un paquete IPSec en modo tnel tiene dos encabezados IP, uno interior y otro exterior. El encabezado
interior es construido por el host y el exterior es agregado por el dispositivo que provee servicio de
seguridad (ya sea un host o un router). Tambin soporta tneles anidados. El
tunneling anidado es cuando el paquete de tnel es nuevamente tunelizado en otro tnel, como se
muestra en la figura.
Anti-Repeticin (Anti-Replay)
Ambos protocolos suministran servicio antireplay para prevenir contra ataque de denegacin de servicio
(DOS - Denial Of Service) en el cual los paquetes viejos son reenviados por un atacante para causar que
la CPU del receptor consuma ciclos de procesamiento.
Los paquetes IPSec estn protegidos contra ataques replay usando un nmero de secuencia y un
mecanismo de ventana deslizante. (Explicacin del funcionamiento pg. 21 VPN-IPSec.pdf).
Intercambio de Claves Internet - IKE (Internet Key Exchange)
El propsito de IKE es establecer parmetros de seguridad compartida para autenticar las claves, en
otras palabras, la asociacin de seguridad (SA), entre los pares IPSec.
IKE define el formato del paquete, los tiempos de retransmisin y los requisitos para la construccin de
los mensajes. IKE usa el concepto de SA (Security Association) pero la construccin fsica de una SA IKE
es diferente que en IPSec. La SA IKE define la va por la cual dos extremos comunicantes, por ejemplo,
cual algoritmo usa IKE para encriptar el trfico, cmo autenticar, etc. La SA IKE es entonces usada para
producir nmero de SA IPSec entre pares.
La SA IPSec establecida por IKE puede opcionalmente mejorar el envo secreto de claves.
Ventajas
Tipos de conexin
Conexin de acceso remoto: Una conexin de acceso remoto es realizada por un cliente o un
usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs
de la conexin VPN son originados al cliente de acceso remoto, y ste se autentica al servidor de
acceso remoto, y el servidor se autentica ante el cliente.
Conexin VPN router a router: Una conexin VPN router a router es realizada por un router, y
este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados
desde cualquier router no se originan en los routers. El router que realiza la llamada se
autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la
llamada y tambin sirve para la intranet.
Conexin VPN firewall a firewall: Una conexin VPN firewall a firewall es realizada por uno de
ellos, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son
enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentica ante
el que responde y ste a su vez se autentica ante el llamante.
Seguridad Inalmbrica
Se han diseado protocolos para que la seguridad en una LAN inalmbrica sea tan buena como la de una
LAN cableada, uno de ellos es WEP (Privacidad Inalmbrica Equivalente) que trabaja a nivel de la capa de
enlace de datos. Cuando se habilita la seguridad, cada estacin tiene una clave secreta que comparte
con la estacin base (la forma en que se intercambian las claves no est especificada por el estndar) y
la utiliza para cifrar y descifrar la informacin. La encriptacin WEP utiliza cifrado de flujo con base en el
algoritmo RC4 que genera un flujo de claves al cual se le aplica un XOR con el texto plano para dar lugar
al texto cifrado.
Bluetooth tiene un rango ms corto que las LAN inalmbricas, pero tiene tres modos de seguridad, que
van desde ninguna seguridad, hasta la encriptacin completa de datos y control de integridad. Bluetooth
proporciona seguridad en mltiples capas, pero la seguridad real inicia cuando el esclavo pide un canal
al maestro y se da por hecho que los dos dispositivos comparten una clave secreta establecida con
anticipacin. Un problema de seguridad de bluetooth es que solo autentica dispositivos y no usuarios,
por lo que un robo de un dispositivo podra abrir una brecha de seguridad (aunque a nivel de aplicacin
podra pedrsele un password que solucione este problema).
WAP (Wireless Application Protocol) utiliza protocolos estndares en todas las capas y como est
basado en IP, soporta el uso de IPSec en la capa de red. En la capa de transporte, las conexiones TCP
pueden protegerse con el uso de TLS y en las capas superiores utilizar autenticacin de cliente HTTP por
ejemplo.
Secured Sockets Layer (SSL)
La capa de sockets seguros constituye una conexin segura entre dos sockets, incluyendo:
SSL es una nueva capa colocada entre la capa de aplicacin y la de transporte, que acepta solicitudes del
navegador envindolas a travs TCP para transmitirlas al servidor. Una vez que se ha establecido la
conexin segura, el trabajo principal de SSL, se conoce como HTTPS (HTTP Seguro, aunque es el
protocolo HTTP estndar). Sin embargo, algunas veces est disponible en un nuevo puerto 443 en lugar
del estndar 80.
SSL consiste en dos subprotocolos, uno que permite establecer una conexin seguro y otro que permite
usarla.
Funcionamiento
Las conexiones seguras se establecen cuando una maquina A enva un mensaje de solicitud a la mquina
B para establecer una conexin, en este mensaje se especifica la versin de SSL que posee A y sus
preferencias con respecto a algoritmos criptogrficos y compresin, junto con una marca aleatoria .
La mquina B responde indicando que algoritmo utilizarn de los que A ofreci, junto con su marca
aleatoria y un certificado con su clave pblica. Una vez enviado esto, B enva un mensaje a A
indicando que es su turno. Entonces A responde a B seleccionando una clave pre-maestra aleatoria de
384bits y la enva a B encriptada con la clave publica de B. La clave de sesin utilizada para encriptar
datos se deriva de la clave pre-maestra combinada con y . Por lo que despus de que B recibe la
clave pre-maestra ambos pueden calcular la clave de sesin. A enva un mensaje a B diciendo que utilice
el nuevo cifrado (la clave de sesin) y B responde este mensaje confirmando que cambia al nuevo
cifrado. A partir de aqu pueden comenzar a intercambiar datos.
Aplicaciones
SSL se ejecuta en una capa entre los protocolos de aplicacin como HTTP, SMTP, NNTP y sobre el
protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP. Aunque pueda
proporcionar seguridad a cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en
la mayora de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar pginas World
Wide Web para aplicaciones de comercio electrnico, utilizando certificados de clave pblica para
verificar la identidad de los extremos.
Aunque un nmero creciente de productos clientes y servidores pueden proporcionar SSL de forma
nativa, muchos an no lo permiten. En estos casos, un usuario podra querer usar una aplicacin SSL
independiente como Stunnel para proporcionar cifrado. No obstante, el Internet Engineering Task Force
recomend en 1997 que los protocolos de aplicacin ofrecieran una forma de actualizar a TLS a partir de
una conexin sin cifrado (plaintext), en vez de usar un puerto diferente para cifrar las comunicaciones
esto evitara el uso de envolturas (wrappers) como Stunnel.
SSL tambin puede ser usado para tunelizar una red completa y crear una red privada virtual (VPN),
como en el caso de OpenVPN.
Secure Sockets Layer -Protocolo de Capa de Conexin Segura- (SSL) y Transport Layer Security Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptogrficos que proporcionan
comunicaciones seguras por una red, comnmente Internet.
Existen pequeas diferencias entre SSL 3.0 y TLS 1.0, pero el protocolo permanece sustancialmente
igual. La forma en que se deriva una clave de sesin a partir de la clave pre-maestra y las marcas
aleatorias se cambi para hacer que la clave fuera ms fuerte. La versin de TLS tambin se conoce
como SSL Versin 3.1 (ya que la ltima versin de SSL es la 3.0). Dado que es ms fuerte TLS que SSL aun
no se sabe si lo reemplazar en la prctica o no.