Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2008 - Editions Eni - Java Et Eclipse - Développez Une Application Java
2008 - Editions Eni - Java Et Eclipse - Développez Une Application Java
Agradecimientos............... 6
Sobre el autor........................................................................................... 6
1. Introducción......................................................................................... 31
4. Conceptos de h a rd w a re ......................................................... 99
Topología................................................................................................. 99
Topologías híbridas............................................................. 102
Cables.................................................................. 105
C oax ial................................................................................................ 105
R G -8 ............................................................................................... 107
R G -62............................................................................................. 108
R G -58............................................................................................. 108
¡Consiga algunos cables! ................................................................ 109
Par trenzado......................................................................................... 109
Par trenzado blindado.................................................................... 109
Par trenzado sin blindar................................................................. 110
Compras U T P ................................................................................. 112
Fibra óptica.......................................................................................... 113
Estándares de la industria de redes: IE E E ................................................ 114
Resumen del capítulo.............................................................................. 117
Explique los diferentes tipos de topología de red ................................. 117
Describa los diferentes tipos de cables de r e d ...................................... 117
Describa y diferencie entre los estándares de red IEEE 802.2,
802.3, 802.5 y 802.11 .............................. 118
Proyectos de laboratorio........................................................ 118
Proyecto de laboratorio 4.1................................................................. 118
Proyecto de laboratorio 4.2................................................................. 119
Proyecto de laboratorio 4.3................................................................. 119
lOBaseT................................................................................................... 158
Topología lOBaseT............................................................................. 158
U T P ............................................................................................ ....... 162
Límites y especificaciones lOBaseT.................................................... 165
Resumen de lO B aseT.................................... 166
lO BaseFL..................... 166
Resumen de lOBaseFL................................................................... 167
Conectar segmentos Ethernet.......... ........................................................ 167
Puertos cruzados............................................................................. 170
¿Cuán grande puede ser una red Ethernet? La regla 5-4-3.................. 171
Una aproximación ú til................................................ 172
Ethernet de alta velocidad........................................................................ 175
100Base Ethernet................................................................................ 175
lOOBaseT .................................................................... 176
lOOBaseFX..................................................................................... 177
Migrar a Fast Ethernet................................................................... 177
Búsqueda de concentrador.............................................................. 177
Gigabit Ethernet.................................................................................. 178
Ethernet conmutada............................................................................. 179
Ethernet dúplex completo............................................... 181
Conclusión............................................................................................... 183
Resumen del capítulo............................................................................... 183
Defina las características, cables y conectores usados
en lOBaseT y lOBaseFL.................................... 183
Explique cómo conectar segmentos Ethernet....................................... 184
Defina las características, cables y conectores usados
en Ethernet lOOBase y Gigabit Ethernet.................................... 184
Proyectos de laboratorio........................................................................... 185
Proyecto de laboratorio 6.1................................................................. 185
Proyecto de laboratorio 6.2............... 186
Proyecto de laboratorio 6.3................................................................. 186
10. P r o t o c o l o s ...............................................................................................................313
I I . T C P / IP ................................................................................................361
D N S .......................................................................................................... 521
DNS con detalle....................................................................................522
Organización DNS .......................................................................... 522
Resolución de nombres......... ...........................................................530
Diversión con el fichero H O S T S .................................................... 531
El caché D N S ....................................................................................... 534
Servidores D N S ....................................................................................535
Resolver problemas D N S ......................................................................538
Diversión con el servidor D N S ........................................................ 541
D H C P ....................................................................................................... 541
DHCP en d etalle...................................................................................541
Servidores D H C P ................................................................................. 542
Resolución de problemas D H C P .......................................................... 544
¿Liberar o renovar?.............................................................................. 545
W IN S ........................................................................................................ 546
W INS en detalle....................................................................................546
Configuración de clientes W IN S .......................................................... 549
Resolución de problemas con W IN S .....................................................549
Diagnosis de redes T C P /IP ....................................................................... 550
Resumen del capítulo................................................................................. 553
Describa la función y las capacidades de D N S .....................................553
Describa la función y capacidades de D H C P ....................................... 554
Describa la función y capacidades de W IN S ........................................ 555
Use utilidades TCP/IP comunes para diagnosticar
problemas con DNS, DHCP o W I N S ......................................... 555
Proyectos de laboratorio............................................................................ 556
Proyecto de laboratorio 14.1 ................................................................ 556
Proyecto de laboratorio 14.2................................................................ 556
Con el tiempo, una sola unidad central podía prestar soporte a docenas de
terminales mudas (véase la figura 2.2). Visto de lejos, esto se parece al trabajo
en red, pero es un parecido engañoso. Se necesita más de un ordenador para
hacer una red. Tener varias terminales mudas conectadas con una sola unidad
central es casi lo mismo que tener un solo PC con varios monitores y teclados.
Los PC actuales no están diseñados para esto, pero las macrocomputadoras de
entonces tenían la potencia y la capacidad para separar la vista de cada usua
rio del sistema de tal forma que todo funcionaba. Se podían añadir todas las
terminales mudas que se quisieran, pero todo el trabajo seguía realizándose en
la unidad central.
Las macrocomputadoras se fueron perfeccionando durante finales de los 60
y primeros de los 70, incorporando almacenamiento masivo (discos duros) y
sistemas operativos más sofisticados que permitían a múltiples usuarios de la
unidad central, cada uno sentado en su terminal muda, acceder a datos comu
nes en los dispositivos de almacenamiento. Los usuarios disfrutaban con la
capacidad de acceder a datos comunes en una macrocomputadora, pero toda
vía no era trabajo en red porque los datos estaban en un solo ordenador. Sin
embargo, a finales de los 60, los científicos e investigadores vieron las venta
jas de permitir que usuarios de una macrocomputadora compartieran datos
con usuarios de otras macrocomputadoras.
¿Qué compartir?__________________________
Los diseñadores de redes PC utilizaron A R P A N E T como una guía para el
funcionamiento de las redes PC. A mediados de los 80, A R P A N E T había
evolucionado para convertirse en Internet y debía haber una fuerte tentación a
ver A R P A N E T como un modelo de qué servicios compartir en una red PC.
Pero eso no es lo que sucedió. El problema fue éste: A R P A N E T ofrecía todo
tipo de servicios, como FTP y Telnet, que iban más allá del alcance concebible
para una pequeña L A N PC. ¿Por qué acceder con Telnet a un ordenador que
estaba a la vuelta de la esquina en otra sala? ¡Tenía más sentido ir a la otra
sala, sentarse en la segunda máquina y empezar a escribir!
En lugar de intentar recrear A R P A N E T en las L A N PC, las compañías
que escribían las primeras versiones del software de red de PC, IBM ,
Microsoft y Novell, se concentraron en compartir sólo dos elementos: carpe
tas e impresoras, las dos necesidades más obvias de una L A N pequeña. Has
ta mediados de los 90 los fabricantes de PC de red no desarrollaron el software
para permitir a un PC conectar con Internet. Aunque las primeras redes PC
estaban separadas de Internet, N ovell y M icrosoft fueron lo bastante listas
para apreciar que ni siquiera podían imaginar qué otras cosas querría com
partir la gente en el futuro. Más que nada, querían crear un tipo de estructura
de trabajo en red, hardware y software estandarizada que permitiera a las
redes crecer y adaptarse a los nuevos usos que surgieran. Nadie podría haber
imaginado por aquel entonces algo tan sorprendente como la W orld W ide
Web, pero consiguieron crear una metodología de trabajo en red que permi
tió a las redes existentes integrar la tecnología de la World W ide Web fácil
mente cuando fue necesario. Así, aunque las redes PC estaban basadas en la
idea de compartir carpetas e impresoras, tenían el apuntalamiento de soft
ware básico para permitir que los PC accedieran a Internet cuando los con
sumidores reclamaron tal capacidad en los 90. Hoy día, los PC comparten
mucho más que carpetas e impresoras; comparten páginas Web, correo elec
trónico, FTP e incluso los escritorios de cada uno.
¿Cómo compartimos?
Aunque una red PC comparte muchos tipos de datos, todos los procesos
para compartir funcionan básicamente de la misma parte. Consideremos dos
tipos de trabajo en red aparentemente distintos, navegar por la World Wide
Web e imprimir con una impresora compartida, para ver cómo comparten
similitudes importantes. Cuando comprobamos el tiempo atmosférico o los
resultados deportivos en la Web, estamos pidiendo a un ordenador en algún
otro lugar que envíe datos con la forma de una página Web a nuestro ordena
dor. Esa página Web puede tener sólo texto y gráficos o puede ser algo más
compleja, con un fichero de sonido o un script java que se ejecute en nuestro
sistema. El punto importante es éste: la información, ya sea textual, gráfica o
algo más complejo, no está en nuestro ordenador; está muy lejos, en otro
ordenador, y la queremos en nuestro ordenador para poder experimentarla con
nuestro monitor y nuestros altavoces. Con la misma idea, considere el acto de
imprimir con una impresora en red. Esa impresora puede estar al otro lado de
la sala o en la otra punta del país, pero queremos que la impresora actúe como
si estuviera conectada en la parte de atrás de nuestro sistema.
¿Qué tiene esa página Web lejana (remota) en común con esa impresora al
fondo de la sala? Bien, ambas tienen algo a lo que queremos acceder con nuestro
ordenador local; con local me refiero al ordenador que estamos usando físicamente
en este momento. Tanto la página Web como la impresora requieren transferencias
de datos, pero los datos de una página Web son completamente distintos de los
datos que enviamos a una impresora. Lo que necesitamos es un término más
adecuado que "datos”, uno que sea lo bastante genérico para cubrir cualquier cosa
que podamos querer mandar de una máquina a otra. Este término también debe
enfatizar la idea de que otro sistema tiene algo a lo que necesitamos acceder y usar
en nuestro sistema. El término que gusto de usar para esto es "recursos".JUas redes
permiten a los ordenadores compartir recursos, Un recurso es cualquier cosa que
un dispositivo determinado en una red quiere compartir con otros sistemas en la
misma red. Recursos típicos son carpetas, páginas Web e impresoras, pero tam
bién hay otros tipos de recursos, unos que no son tan fáciles de visualizar. Por
ejemplo, el correo electrónico es un recurso para transferir mensajes: un sistema
en alguna parte tiene nuestro correo electrónico y necesitamos obtener ese correo
electrónico y traerlo a nuestra máquina para leerlo, enviar respuestas y demás.
Servidores y clientes
Muy bien, entonces una red gira alrededor del concepto de recursos com
partidos; hasta ahora todo bien. Ahora tenemos que determinar quién compar
te y quién simplemente accede al recurso compartido. Aquí es donde entran en
juego los términos servidor y cliente. Un servidor.es.jua.sistema en una red que
comparte recursos, mientras que un cliente es un sistema que accede a pn
recurso compartido. Para compartir un recurso, debe tener al menos un orde
nador sirviendo y un ordenador actuando como cliente.
Puedo imaginarle pensando: "¡Pero Mike, creía que un servidor era uno de
esos súper-PC que se guardan en un closet". Bueno, sí, llamamos servidores a
eso, pero sólo es un uso especial de la palabra. Cualquier sistema que comparta
recursos en una red funcionará mejor si tiene potencia extra para gestionar todas
las solicitudes entrantes a sus recursos compartidos. En respuesta a esta necesi
dad, la industria PC fabrica sistemas muy potentes diseñados específicamente
para cubrir la demanda extra de servir recursos. Estos sistemas tienen potentes
discos duros redundantes, conexiones de red increíblemente rápidas y otro
hardware superpotente que deja en mantillas el de un PC normal. Y todo el
mundo los llama..., lo adivinó: ¡servidores! (Véase la figura 2.5.)
De cualquier forma, la adición clave que hay que hacer para crear un servi
dor de red no es la de un hardware especial, sino software. Cualquier sistema
que quiera compartir sus recursos debe ejecutar un programa servidor. Por la
misma regla, un sistema cliente debe ejecutar un programa cliente para acce
der a los recursos compartidos en una red (véase la figura 2.6). Así, aunque los
servidores suelen ser los más musculosos del mundo PC, cualquier sistema
capaz de ejecutar un programa servidor puede ser un servidor. Si quiere que un
sistema comparta carpetas, debe tener algún tipo de software para compartir
carpetas. Si quiere que un sistema comparta páginas Web, debe tener un soft
ware para compartir páginas Web. Si quiere que un sistema comparta una
impresora, necesita algún tipo de software para compartir impresoras.
Figura 2.6. Papeles tradicionales de ordenadores en red.
Compartir un recurso
Primero, el sistema servidor debe garantizar que su software de servidor
está iniciado. Cómo se hace esto varía tremendamente, pero hay que hacerlo.
En muchos casos, es un proceso automático. Por ejemplo, en la figura 2.8 se
muestra el subprograma Servicios de un sistema Windows XP. Fíjese en el
servicio Servidor resaltado. Este servicio, que se inicia automáticamente en
todas las versiones de Windows 2000, X P y 2003, es el servicio principal que
hay que ejecutar para habilitar que se compartan carpetas e impresoras.
Una vez que un programa servidor se ha iniciado, hay que recorrer algún
tipo de proceso para definir qué se quiere compartir. En Windows, se hace clic
con el botón izquierdo en una carpeta y se selecciona la opción de menú Pro
piedades y se elije la ficha Compartir. Todos los programas para compartir
tienen este paso y una de las mayores dificultades para alguien dedicado a
prestar soporte a una red es determinar cómo se empieza a compartir un recur
so una vez que el software para compartir está activado.
Proyectos de laboratorio_______________________
¡Bienvenido a MHTechEd!
Mike’ s High-Tech Educational Supply Store and Post Office, o MHTechEd
para abreviar, tiene una pequeña red de PC ejecutando Windows XP, una
situación típica en muchas empresas pequeñas de hoy día. Windows X P fun
ciona bien en un PC no conectado a una red, pero también viene con todo el
software de red necesario para conectarse con una red, lo que convierte a
Windows X P en un sistema operativo de red (NOS), aparte de simplemente un
sistema operativo. Todos los ordenadores de la red MHTechEd están conecta
dos con cables de red especiales.
Puedo imaginar que el lector con alguna experiencia en redes empieza a
preguntarse: "Eh Mike, ¿cuál es la diferencia entre un sistema operativo y un
sistema operativo de red?" "¿Qué tipo de cable se usa en la red?" Un poco de
paciencia. El tipo concreto de sistema operativo y los cables usados en la red
de nuestro ejemplo no afectan al propósito de este capítulo. Podemos usar
cualquier sistema operativo y cualquier tipo de cable para el objetivo de este
capítulo, que es presentar una perspectiva general conceptual. Confíe en mí:
para cuando cierre este libro, tendrá todos los detalles que pueda imaginar;
ahora piense en la imagen general. ¡Tenemos que empezar por algo! Siéntese,
reúna todo su ingenio y únase a mí para echar una mirada dentro de la red
visible.
Sin más preámbulos, entremos en MHTechEd y empecemos por mirar cómo
es la red en general. Como en la mayoría de las oficinas, prácticamente todo el
mundo tiene su propio PC. En la figura 3.1 aparecen dos trabajadoras, Janelle
y Dana, que se ocupan de todas las funciones administrativas en MHTechEd.
Por el tipo de trabajo que hacen, a menudo tienen que intercambiar datos entre
sus dos PC. En este momento, Janelle acaba de terminar el manual para un
nuevo empleado en Microsoft Word y quiere que Dana compruebe si es correc
to. Janelle podría transferir una copia del fichero al ordenador de Dana con el
probado método Sneakernet, guardar el fichero en un disquete y levantarse
para dárselo a Dana, pero gracias a las maravillas del trabajo en red, ni siquie
ra tiene que girar la silla. Observemos con detalle cada pieza del proceso que
da a Dana acceso directo al ordenador de Janelle y le permite copiar el docu
mento Word del sistema de Janelle en el suyo propio.
Pasemos a lo físico
Claramente, la red necesita un canal físico a través del que poder mover los
datos entre sistemas. Muchas redes utilizan un cable como el mostrado en la
figura 3.2. Este cable, conocido en la industria de red como par trenzado sin
blindar (U TP), contiene cuatro u ocho alambres que transmiten los datos. El
cable UTP de la red MHTechEd utiliza sólo cuatro: dos para enviar datos y
dos para recibirlos.
Volvamos al hardware, pues hay otra pieza clave de la que va a oír hablar
mucho: la tarjeta de interfaz de red, más conocida como NIC. La verdadera
magia de una red empieza en la NIC, que sirve como interfaz entre el PC y la
red. Aunque las NIC tienen todo tipo de formas y tamaños, las de MHTechEd
son como la mostrada en la figura 3.4.
Figura 3.9. IPCONFIG/ALL (la dirección MAC aparece como Dirección física).
Muy bien, entonces todás las N IC del mundo tienen una cosa llamada
dirección M AC , ¿pero cómo se usa? Ah, ¡aquí es donde empieza la diver
sión! Recuerde que los datos de ordenador son binarios, que significa que
están formados de corrientes de ceros y unos. Las N IC envían y reciben estos
datos binarios como pulsos eléctricos, luminosos o de ondas de radio. Las
NIC que usan electricidad son las más comunes, por lo que es el tipo de N IC
que vamos a considerar. El proceso exacto mediante el que la N IC utiliza
electricidad para enviar y recibir datos es extremadamente complicado, pero,
por suerte, no es necesario entenderlo. En lugar de ello, imagine una carga en
el cable como un uno y la ausencia de carga como un cero. Una pieza de
datos moviéndose como pulsos por un cable puede parecerse a lo representa
do en la figura 3.10.
Si ponemos un osciloscopio en el cable para medir el voltaje, veremos algo
parecido a la figura 3.11.
Una vez entendido cómo se mueven los datos a lo largo del cable, la siguiente
cuestión es ésta: ¿cómo lleva la red los datos correctos al sistema correcto?
. Todas las redes transmiten datos dividiendo lo que se esté moviendo a través de
la red (ficheros, tareas de impresión, páginas Web y demás) en fragmentos dis
cretos llamados bastidores. Un bastidor es básicamente un contenedor de un
grupo de datos que se mueve a través de una red. La NIC crea y envía, y también
recibe y lee, estos bastidores. Me gusta visualizar una mesa imaginaria que
actúa como puesto de creación y lectura de bastidores. Imagino los bastidores
como esos pequeños botes herméticos del correo neumático. Un pequeño tipo
dentro de la tarjeta de red construye estos botes neumáticos (los bastidores) en la
mesa y los envía por el cable al concentrador (véase la figura 3.13).
Aquí es donde la dirección M A C se vuelve importante. En la figura 3.14
representamos un bastidor genérico. Aunque un bastidor es una cadena de
unos y ceros, a menudo dibujamos los bastidores como una serie de rectángu
los, con cada rectángulo representando una parte de la cadena de unos y ceros.
Verá este tipo de representación de bastidores bastante a menudo, por lo que
debe sentirse cómodo con ella (¡aunque sigo prefiriendo ver los bastidores
como botes neumáticos!).
Hay que señalar que el bastidor empieza con la dirección M A C de la N IC a
la que se envían los datos, seguida por la dirección M A C de la NIC que envía
i
los datos. Después van los propios datos y al final una pieza de comprobación
de información llamada la comprobación de redundancia cíclica (CRC), que la
NIC receptora usa para verificar que los datos han llegado intactos.
Incluso una red que usa los mismos bastidores y cableados tiene proble
mas con direcciones M AC. Una sola red, conectada con un solo concentrador,
no puede prestar soporte a más de un máximo de unos 1000 ordenadores.
Según se añaden más ordenadores a una sola red, la cantidad de tráfico va
aumentando hasta llegar a un punto en que el rendimiento de la red es
inaceptablemente bajo.
La respuesta a estos problemas tiene la forma de pequeñas cajas mágicas
llamadas enrutadores o rou ters. Los enrutadores permiten coger una red gran
de y dividirla en redes menores. Los enrutadores también nos permiten conec-
tár redes con diferentes tipos de cableado o que usan distintos bastidores. En la
figura 3.22 puede ver un enrutador típico. Este enrutador permite conectar
hasta cuatro ordenadores a una red de cable. Las redes de cable son populares
para las conexiones Internet. El conector del lado derecho del enrutador es sólo
para configuración.
El protocolo IP garantiza que una pieza de datos llega adonde tiene que
llegar en la red. Lo hace dando a cada dispositivo de la red un identificador
numérico exclusivo. Cada protocolo de red utiliza algún tipo de convención de
denominación, pero no hay dos protocolos que lo hagan de la misma forma. IP
usa un sistema de numeración de octetos y puntos basado en cuatro números
de 8 bits. Cada número de 8 bits puede ir de 0 a 255, y los cuatro números
están separados por puntos. (Si no imagina cómo los números de 8 bits pueden
ir de 0 a 255, no se preocupe. ¡Cuando termine este libro, entenderá esto y
muchos más detalles de los que nunca creyó posible!) Una dirección IP típica
podría ser como ésta:
192.168.4.232
No hay dos sistemas en la misma red que compartan la misma dirección IP;
si dos máquinas reciben accidentalmente la misma dirección, ocurrirá un mo
lesto error. Estas direcciones IP no aparecen mágicamente: hay que configu
rarlas. A veces, estos números se escriben a mano en cada sistema, pero la
mayoría de las redes IP aprovechan una estupenda herramienta llamada Proto
colo de configuración de host dinámico (D H CP) para configurar estos valores
automáticamente en cada ordenador.
Lo importante aquí es que se dé cuenta de que en una red TCP/IP cada
sistema tiene ahora dos identificadores exclusivos: la dirección M A C y la
dirección IP. La dirección M A C está grabada literalmente en los chips de la
NIC, mientras que la dirección IP simplemente está almacenada en el software
del sistema. Las direcciones M A C vienen con la NIC; no tenemos que configu-
. rar las direcciones M AC ; por su parte, las direcciones IP tenemos que configu
rarlas usando software. En la figura 3.23 mostramos de nuevo el diagrama de
la red MHTechEd, esta vez con las direcciones IP y M A C de cada sistema.
Este sistema de dos direcciones permite a las redes IP hacer algo realmente
chulo y potente: ¡usando direcciones IP, los sistemas pueden enviarse datos
entre sí sin considerar la conexión física!
Esta capacidad requiere algo más que la simple asignación de una dirección
IP para cada ordenador. El protocolo de red también debe saber adonde enviar
el bastidor, sin que afecte qué tipo de hardware se esté utilizando en los distin
tos ordenadores. Para hacer esto, un protocolo de red también usa bastidores;
en realidad, ¡bastidores dentro de bastidores!
Una vez que el bastidor de red ha desaparecido, ¡también lo han hecho las
direcciones M A C ! Por tanto, se necesita algún otro sistema de nomenclatura
que el enrutador pueda usar para hacer que los datos lleguen al ordenador
correcto, ¡y es por eso que se usan direcciones IP en una red! Después que el
enrutador quita las direcciones M A C y pone el tipo de direcciones que utiliza
el sistema de teléfono, el bastidor vuela por el sistema de teléfono, utilizando
la dirección IP para guiar al bastidor hasta el enrutador conectado al sistema
receptor. En este punto, el proceso se invierte. El enrutador quita el bastidor
telefónico, añade la dirección M A C del sistema receptor y envía el bastidor a
la red donde el sistema receptor lo recoge.
La NIC receptora quita la información de encabezado M A C y pasa el pa
quete restante al NOS. El software de red integrado en el sistema operativo se
ocupa del resto del trabajo. El software controlador de la N IC es la interco-
nexión entre el hardware y el software. El controlador de la N IC sabe cómo
comunicar con la N IC para enviar y recibir bastidores, pero no puede hacer
nada con el paquete. En su lugar, el controlador de la NIC pasa el paquete a
otros programas, que saben cómo tratar todos los paquetes separados y con
vertirlos en páginas Web, correo electrónico, ficheros y demás. El software
gestiona el resto de las funciones de red descritas de aquí en adelante.
Ensamblar y desensamblar
Como la mayoría de las piezas de datos son más grandes que un solo basti
dor, deben ser fragmentados antes de poder enviarlos a través de la red. Cuan
do un ordenador servidor recibe la solicitud de unos datos, debe ser capaz de
dividir los datos solicitados en fragmentos que quepan en un paquete (y des
pués en el bastidor de la N IC ), organizar los paquetes para beneficio del siste
ma destinatario y pasarlos a la N IC para su envío. El sistema destinatario debe
ser capaz de reconocer una serie de paquetes entrantes como una transmisión
de datos entrantes, reensamblarlos correctamente basándose en la información
incluida en los paquetes por el sistema emisor y verificar que todos los paque
tes de esa pieza de datos han llegado correctamente.
Esta parte es simple; el protocolo de red divide los datos en paquetes y da a
cada paquete algún tipo de número consecutivo. Me gusta comparar este proceso
. con el que sigue mi compañía de paquetería internacional favorita. Y o recibo
paquetes de UPS casi todos los días; de hecho, ¡algunos días recibo muchos paque
tes de UPS! Para garantizar que me llegan todos los paquetes de un envío, UPS
pone un sistema numerado, como el mostrado en la figura 3.29, en la etiqueta de
cada paquete. Un ordenador que envía datos en una red hace lo mismo. Incrustado
en los datos de cada paquete hay un número consecutivo. Leyendo esos números,
el sistema receptor sabe el número total de paquetes y cómo debe juntarlos.
La red MHTechEd se va haciendo más y más compleja, ¿no? Y todavía no
hemos visto que se haya copiado el documento Word, ¿verdad? No se preocu
pe, ya casi hemos llegado a eso; ¡sólo algunas piezas más!
Formatos estandarizados
Uno de los aspectos más potentes de una red recae en el hecho de que
funciona con (casi) cualquier sistema operativo. Las redes actuales conectan
fácilmente, por ejemplo, un sistema Macintosh con un PC Windows 2000, a
pesar de que estos distintos sistemas operativos utilizan diferentes formatos
para muchos tipos de datos. Los diferentes formatos de datos nos volvían
locos en la época anterior a que los procesadores de texto (como Microsoft
Word) pudieran importar o exportar miles de otros formatos de procesador de
texto (véase la figura 3.32).
Esto constituyó la motivación de los formatos estandarizados que cualquiera,
al menos con el programa correcto, pudiera leer con cualquier tipo de ordenador.
Los formatos de fichero especializados, como los populares Formato de docu
mento Portátil (PDF) para documentos y PostScript para imprimir de Adobe,
proporcionan formatos estándar que cualquier ordenador, sea cual sea su siste
ma operativo, puede leer, escribir y modificar (véase la figura 3.33).
Otra función que entra enjuego en este punto es el cifrado. Muchas redes cifran
los datos para impedir el acceso no autorizado. Un ejemplo estupendo es el de una
Red privada virtual (VPN). Una VPN permite que un sistema acceda a una red
privada a través de Internet. La gente que vive en la carretera adora las VPN, pues
eliminan la necesidad de conectar directamente con el servidor de la red privada a
través de una línea de teléfono. Los empleados viajantes pueden enlazar con segu
ridad con la red privada de su compañía utilizando cualquier acceso Internet que
esté a su disposición localmente. Una forma común en que se manifiestan las VPN
es a través de software cliente y hardware servidor (véase la figura 3.34).
Aplicaciones de red
La última parte de una red, y la más visible, es la de las aplicaciones de
software que la usan. Si quiere copiar un fichero que reside en otro sistema de la
red, necesita una aplicación, como Mis sitios de red en Windows, que le permita
acceder a ficheros en sistemas remotos. Si quiere ver páginas Web, necesita un
navegador Web como Internet Explorer o Netscape Navigator. La gente que usa
redes las experimenta a través de una aplicación. Un usuario que no sepa nada
de las otras partes de una red puede saber perfectamente cómo abrir una aplica
ción de correo electrónico para obtener su correo (véase la figura 3.36).
Las aplicaciones pueden incluir varias funciones adicionales, como cifra
do, autenticación de usuario y herramientas para controlar la apariencia de los
datos. Pero estas funciones son específicas de las aplicaciones dadas. Dicho de
otra forma, si queremos poner una contraseña a un documento Word, debemos
usar las funciones de contraseña de Word para hacerlo.
Los dos sistemas son PC que ejecutan Word, por lo que Dana no tiene que
preocuparse por si los formatos de datos son incompatibles. Esta red no usa cifra
do, pero sí autenticación. Tan pronto como Dana hace clic en el icono del sistema
de Janelle en Mis sitios de red, los dos sistemas empiezan a comunicarse. El
sistema de Janelle comprueba una base de datos de nombres de usuario y privile
gios para ver si Dana puede acceder o no al sistema de Janelle. Esta comprobación
tiene lugar varias veces durante el proceso mediante el que Dana accede a las
carpetas compartidas en el sistema de Janelle. En este momento, se ha establecido
una sesión entre las dos máquinas. Ahora Dana abre la carpeta compartida y
localiza el documento Word. Para copiar el fichero, arrastra y coloca el icono del
documento Word desde Mis sitios de red a su escritorio (véase la figura 3.38).
Este simple acto inicia una serie de acciones. Primero, el sistema de Janelle
empieza a dividir el documento Word en paquetes, a los que asigna números
consecutivos para que el sistema de Dana sepa cómo reensamblarlos cuando
lleguen a su sistema (véase la figura 3.39).
Después que el sistema de Janelle recorta los datos en paquetes numerados,
cada paquete recibe la dirección del sistema de Dana y también la del sistema
de Janelle (véase la figura 3.40).
Biografía de un modelo______________________
En los primeros tiempos del trabajo en red, montones de personas diferen
tes crearon sus propios tipos de redes exclusivos. En su mayor parte, funcio
naban bien, pero como cada una se creó separadamente, estas redes eran
incapaces de colaborar entre ellas. Cada una tenía su propio hardware,
controladores, convenciones de denominación y muchas otras características
propias que causaban muchos dolores de cabeza y problemas de corazón a
cualquiera que intentara conseguir que trabajaran juntas. Además, la naturale
za de marca de estas primeras redes hacía difícil que otras compañías crearan
hardware o software que funcionara en ellas. Era común que una compañía
proporcionara el cableado, NIC, concentradores y controladores, y también el
NOS para su red de marca en un completo y caro paquete. Para que el mundo
del trabajo en red creciera, alguien debía crear una guía, un modelo que descri
biera las funciones de una red, para que la gente que hacía hardware y soft
ware pudiera colaborar haciendo redes que trabajaran bien juntas.
La Organización internacional para la estandarización, conocida como ISO,
propuso el modelo Interconexión de sistemas abiertos (OSI). El modelo de
siete capas OSI proporciona una terminología precisa para debatir las redes.
• Capa 7 Aplicación.
• Capa 6 Presentación.
• Capa 5 Sesión.
• Capa 4 Transporte.
• Capa 3 Red.
Cada capa define una dificultad en las redes informáticas, y los protocolos
que operan en esa capa ofrecen soluciones a esas dificultades. El modelo OSI
alienta el diseño modular en el trabajo en red, que significa que cada protocolo
está diseñado para enfrentarse con una capa concreta y tener que ver lo míni
mo posible con la operación de otras capas. Cada protocolo tiene que entender
los protocolos que gestionan las capas directamente por encima y por debajo
de él, pero puede, y debe, ignorar los protocolos que gestionan las otras capas.
La capa 1, la capa Física, define la forma física que toman los datos cuando
viajan a través del cable. Aunque hay otras capas que tratan con unos y ceros,
es la capa Física la que define las reglas para convertir esos unos y ceros en las
señales eléctricas reales que viajan a través de un cable de cobre (o en la luz
que atraviesa un cable de fibra óptica o las ondas de radio generadas por una
red inalámbrica, etc.). En la figura 3.45 representamos una NIC emisora que
convierte una cadena de unos y ceros en una señal eléctrica y una N IC recep
tora que convierte la señal eléctrica en la misma cadena de unos y ceros. A
menos que los dos extremos de la transmisión coincidan por adelantado en las
• reglas de la capa Física, la comunicación exitosa no será posible. La capa
Física no añade información adicional al paquete de datos, sólo se preocupa de
transmitir los datos que proporcionan las capas de encima.
OSI es la clave
La industria del trabajo en red se apoya mucho en el modelo de siete capas
OSI para describir las muchas funciones que tienen lugar en una red. En este
capítulo hemos presentado esas capas. En el resto del libro, encontrará muchas
referencias a estas capas mientras examinamos cada parte de la red.
Resumen del capítulo
Después de leer este capítulo, debe entender lo siguiente acerca del trabajo
en red.
Topología
Si hay un montón de ordenadores conectados para formar una red, debe
haber alguna lógica u orden en la forma en que están conectados. Quizá cada
ordenador se conecta a una sola línea principal que recorre toda la oficina.
Cada ordenador puede tener su propio cable, con todos los cables reunidos
en un punto central. También es posible que todos los cables de todos los
ordenadores se conecten a un bucle principal que lleva los diferentes datos
como un carrusel, recogiendo y soltando datos como una línea de metro
circular.
Una topología de red describe el modo en que los ordenadores se conectan
entre sí en esa red. Las topologías de red más comunes se llaman bus, anillo,
estrella y malla. En la figura 4.1 puede ver los cuatro tipos: una topología bus,
en la que todos los ordenadores se conectan a la red a través de una línea
principal llamada un cable bus; una topología anillo, en la que todos los orde
nadores de la red están conectados con un anillo de cable central; una topolo
gía estrella, en la que todos los ordenadores de la red están conectados con un
punto central de conexión (llamado generalmente un concentrador o hub ); y
una topología malla, en la que cada ordenador tiene una línea dedicada que
lleva a cada uno de los otros ordenadores. ¡Asegúrese de conocer estas cuatro
topologías!
Aunque una topología describe el método por el que se conectan los siste
mas en una red, sólo la topología no describe todos los elementos necesarios
para hacer que un sistema con cables funcione. El término topología bus, por
ejemplo, describe una red que consiste en un número de máquinas conectadas
a la red a través del mismo cable. Esta definición deja sin respuesta muchas
cuestiones. ¿De qué está hecho el cable? ¿Cuán largo puede ser? ¿Cómo deci
den las máquinas cuál de ellas puede enviar datos en un momento concreto?
Una red basada en una topología bus puede responder a estas cuestiones de
formas diferentes.
A lo largo de los años, fabricantes particulares y cuerpos de estándares han
creado varias tecnologías específicas de red basadas en diferentes topologías.
Una tecnología de red es una aplicación práctica de una topología y otras
tecnologías críticas para proporcionar un método para llevar los datos desde
un ordenador a otro en una red. Estas tecnologías de red tienen nombres como
Ethernet, Token Ring y FDDI. En los próximos tres capítulos estudiaremos
con detalle todas estas tecnologías de red, pero por ahora nos vamos a concen
trar en aprender las diferentes topologías.
Topologías híbridas
De los cuatro tipos de topología que acabamos de describir, la topología
bus era con mucho la que más éxito comercial tenía. Pero las topologías bus
tienen un problema: el propio bus. Ethernet, la primera tecnología de red que
usó la topología bus, literalmente tenía un solo cable, el bus, corriendo por el
área de red, generalmente por el techo (véase la figura 4.2). Cada ordenador de
la red conectaba con el bus.
Si alguien o algo rompe el cable (véase la figura 4.3), toda la red deja de
funcionar. La cantidad de tráfico de red se dispara y los paquetes se atropellan
unos a otros. Un verdadero bus no tiene tolerancia a errores, que significa que
no puede sobrevivir a un problema en cualquier nodo o cable.
Toda red usa algún tipo de topología. Una topología simplemente descri
be el método con el que los sistemas de la red se conectan. Asegúrese de
conocer detalladamente los cuatro tipos de topología: estrella, anillo, bus y
malla. Entienda también que muchas redes actuales usan uno de los dos tipos
de topologías híbridas: bus estrella o anillo estrella. La mayoría de las redes
usan la topología bus estrella, pero hay una minoría importante que emplea
anillo estrella.
Cables
Coaxial__________________________________
El cable coaxial contiene un alambre conductor central rodeado con mate
rial aislante, que a su vez está rodeado de una camisa de malla metálica (véase
la figura 4.8). El cable recibe el nombre coaxial porque el alambre central y la
camisa metálica comparten un eje o línea central común (véase la figura 4.9).
El cable coaxial está diseñado para proteger las transmisiones de datos
frente a la interferencia electromagnética (E M I). Muchos dispositivos en el
entorno de oficina típico generan campos magnéticos, incluyendo luces, venti
ladores, copiadoras y acondicionadores de aire. Cuando un alambre de metal
encuentra estos campos magnéticos, se genera corriente eléctrica a lo largo del
alambre. Esta corriente extra puede echar abajo una red porque fácilmente se
interpreta como una señal en dispositivos como las NIC. Para evitar que la
EMI afecte a la red, la malla metálica externa de un cable coaxial protege el
alambre central (por el que se transmiten los datos) frente a las interferencias
(véase la figura 4.10).
Sólo se han usado tres tipos de cable coaxial en las redes: RG-8, RG-62 y
RG-58. Todos los cables coaxiales tienen una clasificación RG; estas clasifi
caciones fueron desarrolladas por los militares para proporcionar una referen
cia rápida para los distintos tipos de coaxiales. La única medida importante en
los cables coaxiales es su índice de ohmios, una medida relativa de la resisten
cia (o con más precisión, la impedancia) del cable. Puede encontrar otros
cables coaxiales, que pueden tener índices de ohmios no aceptables, aunque su
apariencia sea igual que la de los cables coaxiales de red. Afortunadamente, la
mayoría de los cables coaxiales muestran sus índices de ohmios en los propios
cables (véase la figura 4.11).
RG-8
RG-8, llamado a menudo Thick Ethernet, es el tipo de cable coaxial más
antiguo que aún está en uso. Lleva el nombre Thick Ethernet porque se usa
exclusivamente con una tecnología de red llamada..., lo adivinó, Thick Ethernet.
En el próximo capítulo veremos más de Thick Ethernet (llamada también
Thicknet) y cómo usa los cables RG-8; por ahora, compruebe que puede reco
nocer un cable RG-8 (véase la figura 4.12).
RG-62_________________________________________________
El cable RG-62, con un índice óhmico de 75, casi nunca se instala ya en las
redes modernas, pero debe conocerlo de todas formas (véase la figura 4.13). Si
le parece que el cable RG-62 es como el que el técnico de televisores conectó con
su aparato, no se equivoca: la televisión por cable utiliza el cable coaxial RG-6,
que es muy similar. Los cables RG-62 se emplearon mucho en una tecnología de
red llamada ArcNet, que hoy día es bastante difícil de encontrar en uso.
RG-58_________________________________________________
Actualmente, el cable RG-58 es el único tipo de cable coaxial que sigue
siendo muy usado en las redes. A menudo recibe el nombre de Thin Ethernet o
Thinnet, que es el nombre de la tecnología de red que lo usa. La tecnología
Thinnet está algo anticuada, pero aún se usa (la veremos con detalle en el
siguiente capítulo), y debe ser capaz de reconocer sus cables. A primera vista,
RG-58 puede parecerse a RG-62, pero su índice óhmico de 50 lo hace diferente
en su interior (véase a figura 4.14).
¡Consiga algunos cables! _______________________________
En muchas ciudades hay negocios en los que no se vende nada más que
cables. En estas empresas están bastante acostumbrados a que se les pidan
muestras de sus distintos productos. Localice una tienda de electricidad dedi
cada a los cables cercana y hágales una visita. Pida muestras de los tipos de
cables de los que hablamos aquí, de cerca de un metro, para poder hacerse una
idea de su apariencia.
Par trenzado
El tipo de cable más abrumadoramente común en las redes consiste en pares
trenzados de cables. Las redes utilizan dos tipos de cable de par trenzado: par
trenzado blindado (STP) y par trenzado sin blindar (U TP). El cable de par
trenzado para redes se compone de múltiples pares de alambres, trenzados uno
en torno al otro a intervalos específicos. Las trenzas sirven para reducir la
interferencia, el cruce, entre ellos; cuantas más trenzas, menos interfiere un
alambre con otro.
Compras UTP
Dé una vuelta por su ferretería local. Los cables U TP son tan comunes que
puede encontrarlos en la mayoría de las tiendas dedicadas al hogar o la electró
nica. Mire las opciones. Hay probabilidades de que encuentre cable C A T 5 o
C A T 5e, pero ¿ve otros niveles C AT? ¿Cuál le parece que puede ser la razón
por la que no encontrará cable C A T 2, por ejemplo? (Si encuentra cable C A T
2, avíseme. ¡Necesito uno para mi museo de cables!)
Mientras está en ello, ¿puede ver algún cable de fibra óptica? Algunas
tiendas grandes pueden disponer de fibra óptica, pero no es algo normal. Ade
más, ¿puede ver cable coaxial? ¿Qué índices RG hay?
Fibra óptica
El cable de fibra óptica transmite luz en lugar de electricidad, lo que le
hace atractivo para áreas con alta EM I y para transmisiones a larga distan
cia. Mientras los cables de cobre no pueden transportar datos hasta más allá
de unos cientos de metros, como mucho, el cable de fibra óptica puede ope
rar, dependiendo de la implementación, en distancias de hasta 10 kilómetros.
Un cable de fibra óptica tiene tres componentes: la propia fibra; el revesti
miento, que es la parte que provoca que la luz se refleje y avance dentro de la
fibra; y la camisa aislante. El cable de fibra óptica se fabrica con muchos
diámetros distintos de la fibra y el revestimiento. Con una conveniente
estandarización, los fabricantes de cable usan una designación de dos núme
ros para definir los cables de fibra óptica según las medidas de la fibra y el
revestimiento. El tamaño de cable de fibra óptica más común es 62,5/125
pm. Casi todas las tecnologías de red que usan cable de fibra óptica requie
ren pares de fibras. En respuesta a la demanda de cable de dos pares, los
fabricantes a menudo conectan juntas dos fibras como si fueran el cordón de
una lámpara para crear el popular cable de fibra óptica dúplex (véase la
figura 4.19).
La luz puede enviarse por el cable de fibra óptica como luz normal o como
luz láser. L o s dos tipos de lu z requ ieren cables de fib ra óp tica totalm en te
distintos. La mayoría de las tecnologías de red que usan fibra óptica emplean
LED (diodos emisores de luz) para enviar señales luminosas. Los cables de
fibra óptica que usan LED se conocen como multimodo. Los cables de fibra
óptica que usan láseres se conocen como unimodo. Usar luz láser y cables de
fibra óptica unimodo permite a una red conseguir velocidades de transferencia
altísimas a través de grandes distancias. Es difícil diferenciar entre el cable
unimodo y multimodo. Bueno, hay una forma sencilla: el cable unimodo es
actualmente bastante raro; si ve cable de fibra óptica, puede estar bastante
seguro de que es multimodo.
Instalar cable de fibra óptica es básicamente una relación de amor/odio. En
lo que respecta al amor, los cables de fibra óptica no llevan electricidad, por lo
que puede hacer caso omiso del asunto de las interferencias electromagnéticas.
Además, el cable de fibra óptica puede llegar a medir 10.000 metros. Esto
depende, por supuesto, de la tecnología de red utilizada, y la tecnología de red
más común entre las que usan cables de fibra óptica tiene un límite mucho
menor de sólo 1000 metros. En lo que respecta al odio en la ecuación de la
fibra óptica, está el asunto de entrar en las paredes. La instalación de cables de
fibra óptica es tediosa y difícil, aunque los fabricantes de cable de fibra no
dejan de avanzar y facilitar la tarea. El cable de fibra óptica es frágil y no
funcionará si se dobla en exceso. M i consejo: deje esta tarea a un profesional
instalador de cable.
El comité IEEE 802 establece los estándares para el trabajo en red. Aunque
la idea original era definir un solo estándar universal para el trabajo en red,
rápidamente resultó obvio que no habría una solución única para todas las
necesidades. El comité 802 se dividió en subcomités menores, con nombres
como IEEE 802.3 e IEEE 802.5. En la tabla 4.2 puede ver los subcomités
IEEE 802 reconocidos actualmente y sus áreas de jurisdicción.
1
Algunos de estos comités tratan de tecnologías que no han llegado a despe
gar, y los comités asociados con esos estándares, como IEEE 802.4, Token
Bus, han quedado inactivos. Concéntrese en los estándares IEEE 802.3, 802.5
y 802.11. Los otros tienen poco impacto en la vida de un técnico de red direc
tamente. Veremos detalles de cada uno de los tres estándares 802 principales
en capítulos posteriores.
Tabla 4.2. Subcomités IEEE 802
Resumen del capítulo
Después de leer este capítulo, debe entender lo siguiente acerca del trabajo
en red.
Proyectos de laboratorio_______________________
Bus físico_______________
Las primeras generaciones de Ethernet usaban una topología bus física y
lógica. Un bus físico significa que hay un cable físico, y todas las primeras
redes Ethernet se distinguían por un solo cable coaxial reptando por toda la
red, generalmente en el techo. Cada ordenador de la red conectaba con el
cable. Este único cable tenía muchos nombres intercambiables, como el seg
mento, el cable y el bus. Siéntase cómodo utilizando estos términos para des
cribir esa única pieza de cable que conecta todos los ordenadores en una red
Ethernet (véase la figura 5.1).
Organizar los datos: bastidores Ethernet
Todas las tecnologías de red dividen los datos transmitidos entre ordenado
res en piezas más pequeñas llamadas bastidores, como recordará del capítulo
3. Usando bastidores se resuelven dos asuntos de redes. Primero, se evita que
una sola máquina monopolice el cable bus compartido. Segundo, los bastido
res hacen que el proceso de retransmitir datos perdidos sea más eficiente.
El proceso que vimos en un capítulo anterior de transferir un documento
Word entre dos ordenadores ilustra estos dos asuntos. Primero, si el ordenador
remitente envía el documento como un solo bastidor enorme, monopolizará el
cable e impedirá que otras máquinas lo usen hasta que el fichero llegue al siste
ma destinatario. Utilizar bastidores relativamente pequeños permite a los orde
nadores compartir el cable fácilmente: cada ordenador escucha el segmento,
enviando algunos bastidores cuando detecta que no hay otro ordenador transmi
tiendo. Segundo, en el mundo real puede sucederle algo malo a los datos buenos.
Cuando ocurren errores en la transmisión, el sistema remitente debe retransmitir
los bastidores que no consiguieron llegar al sistema destinatario en buen estado.
Si se transmitiera un documento de procesamiento de texto como un solo basti
dor enorme, el sistema remitente tendría que retransmitir todo el bastidor: en este
caso, todo el documentó. Dividiendo el fichero en bastidores más pequeños, el
ordenador remitente puede retransmitir sólo los bastidores dañados. Por sus
ventajas (el acceso compartido y la retransmisión reducida), todas las tecnolo
gías de red usan bastidores, y Ethernet no es la excepción a la regla.
En el capítulo 3, vimos un bastidor genérico. Cojamos ahora lo que sabe
mos de los bastidores y ampliemos ese conocimiento inspeccionando los deta
lles de un bastidor Ethernet. Un bastidor Ethernet básico contiene siete piezas
de información: el preámbulo, la dirección M A C del destinatario del bastidor,
la dirección M A C del sistema remitente, la longitud de los datos, los propios
datos, un relleno y una secuencia de comprobación del bastidor. En la figura
5.2 mostramos estos componentes.
Preámbulo
Todos los bastidores Ethernet empiezan con un preámbulo, una serie de 64
bits de unos y ceros alternos que termina con 11. El preámbulo da a una NIC
receptora tiempo para notar que viene un bastidor y para saber exactamente
dónde empieza 1bastidor. El preámbulo lo añade la N IC emisora.
Direcciones MAC_______________________________________
Cada NIC, llamada más comúnmente nodo, de una red Ethernet debe
tener una dirección identificadora exclusiva. Ethernet identifica las N IC de
una red utilizando direcciones binarias de 48 bits conocidas como direccio
nes M AC.
Las direcciones M A C dan a cada NIC una dirección exclusiva. Cuando un
ordenador envía un bastidor de datos, los transmite a todos los otros nodos a
través del cable en las dos direcciones, como se muestra en la figura 5.3.
Todos los demás ordenadores de la red escuchan el cable y examinan el basti
dor para ver si contiene sus direcciones M AC . Si no, hacen caso omiso del
bastidor. Si una máquina ve un bastidor con su dirección M AC , abre el basti
dor y empieza a procesar los datos.
Este método de permitir que cada máquina decida qué bastidores procesará
puede ser eficiente, pero como cualquier dispositivo conectado al cable de la
red puede captar cualquier bastidor de datos transmitido por el cable, las redes
Ethernet conllevan una vulnerabilidad significativa en la seguridad. Los pro
gramas de diagnósticos de red, llamados comúnmente husmeadores, pueden
ordenar a una NIC que se ejecute en el modo promiscuo. Cuando está en el
modo promiscuo, la NIC procesa todos los bastidores que ve en el cable, sin
atender a su dirección M AC. Los husmeadores son valiosas herramientas para
resolver problemas si están en las manos apropiados, pero Ethernet no propor
ciona protección frente a su uso deshonesto.
Longitud
Un bastidor Ethernet lleva hasta 1500 bytes de datos en un solo bastidor,
pero esta cantidad es sólo un máximo. Los bastidores pueden perfectamente
llevar menos bytes de datos. El campo longitud dice al sistema receptor cuán
tos bytes de datos lleva este bastidor.
CSMA/CD
Las redes Ethernet usan un sistema llamado CSMA/CD (Sentido del trans
portador de acceso múltiple con detección de colisiones) para determinar qué
ordenador debe usar un cable compartido en un momento dado. Sentido del
transportador significa que cada nodo que usa la red examina el cable antes de
enviar un bastidor de datos (véase la figura 5.4). Si alguna otra máquina está
usando la red, el nodo detectará tráfico en el segmento, esperará unos
milisegundos y después volverá a comprobar. Si no detecta tráfico (el término
más común es decir que el cable está libre), el nodo envía su bastidor.
Acceso múltiple significa que todas las máquinas tienen el mismo acceso al
cable. Si la línea está libre, cualquier nodo Ethernet puede empezar a enviar un
bastidor. Desde el punto de vista de Ethernet, no importa qué función esté
realizando el nodo: puede ser un sistema de mesa ejecutando Windows X P o un
servidor de ficheros de última línea ejecutando Windows 2003 Server o inclu
so Linux. Por lo que interesa a Ethernet, un nodo es un nodo y el acceso al
cable se asigna estrictamente siguiendo la regla "primero en llegar, primero en
ser atendido".
¿Qué sucede entonces si dos máquinas, escuchando las dos el cable, deci
den simultáneamente que la línea está libre e intentan enviar un bastidor?
Cuando dos ordenadores intentan usar el cable simultáneamente, sucede una
colisión y las dos transmisiones se pierden (véase la figura 5.5). Una colisión
se parece al efecto de dos personas hablando al mismo tiempo: un oyente
escucha una mezcla de las dos voces y no puede entender qué dice ninguna.
Las dos máquinas detectarán el hecho de que ha ocurrido una colisión escu
chando sus propias transmisiones. La gente hablando por teléfono utiliza una
técnica similar para saber si son los únicos que están hablando en un momento
determinado. Comparando las palabras que dicen con los sonidos que escu
chan, saben si hay otras personas hablando. Si una persona oye palabras que
no ha dicho, sabe que hay alguien más hablando.
Los nodos Ethernet hacen lo mismo. Comparan sus propias transmisiones
con las transmisiones que están recibiendo a través del cable y usan el resulta
do para determinar si otro nodo ha transmitido al mismo tiempo (véase la
figura 5.6). Si detectan una colisión, los dos nodos interrumpen inmediatamen
te la transmisión. Después genera cada uno un número aleatorio para determi
nar cuánto debe esperar antes de volver a intentarlo. Si imagina que cada
máquina tira su dado electrónico y espera ese número de segundos, no estará
muy lejos de la verdad, excepto que la cantidad de tiempo que espera un nodo
Ethernet para retransmitir es mucho menor de un segundo (véase la figura
5.7). El nodo que genera el número aleatorio menor inicia primero la retrans
misión, ganando la competición por el uso del cable. El nodo perdedor ve
entonces que hay tráfico en el cable y espera a que la línea quede libre de
nuevo para retransmitir sus datos.
Terminación
El uso de CSMA/CD en el mundo real tiene consecuencias físicas para las
redes Ethernet. La mayoría de las redes Ethernet usan cables de cobre para
transmitir sus bastidores de datos como señales eléctricas. Cuando una señal
eléctrica viaja por un alambre de cobre, pasan varias cosas en el momento en
que la señal llega al final del alambre. Parte de la energía se pierde como ondas
de radio, con el cable funcionado como la antena de un transmisor de radio.
Pero otra parte de la energía se refleja en el extremo del alambre y retrocede
(véase la figura 5.8).
Este reflejo puede hacer que una radio funcione bien, pero es un desastre
para una red Ethernet a menos que hagamos algo con el reflejo. Imagine este
escenario: una tarjeta Ethernet envía un bastidor, que se propaga por el seg
mento, reflejándose en ambos extremos del segmento. Cuando los otros nodos
Ethernet de la red intentan un envío, comprueban el cable y malinterpretan el
reflejo como otro nodo enviando bastidores de datos. Esperan a que el reflejo
se disipe antes de hacer su envío. Los reflejos se suman rápidamente hasta un
punto en que la red parece permanentemente ocupada para todos los nodos
conectados (véase la figura 5.9).
Para evitar estos reflejos, todos los segmentos Ethernet requieren un resistor
de terminación conectado a cada extremo (véase la figura 5.10). Este resistor,
llamado simplemente terminador, absorbe los reflejos, permitiendo que el sis
tema funcione correctamente. Una red CSMA/CD que use un cable de cobre
no funcionará correctamente a menos que los dos extremos de la red finalicen
con resistores de terminación.
Rotura de cable
El uso de CSMA/CD en redes Ethernet provoca algunos comportamientos
interesantes cuando el cable se rompe. En la figura 5.11 mostramos una red de
cinco nodos conectada a un solo segmento de cable. Si el cable entre el ordena
dor A y el ordenador B se rompe, el ordenador A no será capaz de comunicarse
con el resto de las máquinas (véase la figura 5.12). Pero eso no es todo, dado
que una rotura en cualquier lugar del cable bus provoca que se pierda la
terminación del cable. Esto produce reflexiones en las dos direcciones provo
cando que todos los nodos de la red pasen a un modo de espera perpetuo (véase
la figura 5.13), echando abajo toda la red.
El comité IEEE 802.3 reconoce que no hay una única solución de cableado
válida para todas las situaciones, de modo que proporciona varios estándares
de cables, con nombres crípticos como 10Base5, 10Base2, lOBaseT y
lOOBaseTX. En este capítulo nos concentramos en los sistemas de cableado
Ethernet basados en cable coaxial (10Base5 y 10Base2), mientras que en el
próximo capítulo veremos los cableados Ethernet basados en otros tipos de
cables, como par trenzado (lOBaseT y lOOBaseTX) y fibra óptica (lOOBaseFX).
10Base5
A l principio, el término "Ethernet" aludía específicamente a una red CSMA/
CD con un cable coaxial RG-8 grueso, como el mostrado en la figura 5.14.
Aunque el color concreto no era algo requerido en ningún estándar, el cable
era casi siempre amarillo. Los técnicos de red llaman Thick Ethernet o Thicknet
al cable amarillo grueso original usado para Ethernet. Thicknet tiene el blinda
je más grueso entre los cables usados comúnmente para Ethernet de 10 Mbps,
lo que le convierte en una elección excelente en entornos con muchas
interferencias. Por su rigidez y color típico, los menos formales llaman al
cable RG-8 "el cable amarillo".
Figura 5.14. El cable Thick Ethernet (RG-8) es amarillo, con una banda negra
cada 2,5 metros.
Cuando el IEEE se hizo cargo del estándar Ethernet, creó una forma más
estructurada de aludir a los distintos sistemas de cableado Ethernet y comenzó
a llamar a Thick Ethernet 10Base5, un término que especifica la velocidad del
sistema de cableado, su tipo de señalización y sus limitaciones de distancia.
10Base5 se desglosa como sigue (véase la figura 5.15):
Las redes Ethernet usan señales de banda ancha que emplean simples
transceptores (los dispositivos que transmiten y reciben señales por el cable)
porque sólo necesitan diferenciar entre tres estados en el cable: uno, cero y
en espera. Los transceptores de banda ancha tienen que ser más complejos
porque tienen que diferenciar esos tres estados en múltiples canales dentro
del mismo cable. La mayoría de las redes informáticas usan señalización en
banda base por su relativa simplicidad.
Limitaciones de distancia
Los segmentos 10Base5 no pueden ser más largos de 500 metros. Un seg
mento es la longitud del cable único al que se conectan los ordenadores en una
red Ethernet. Los resistores de terminación en cada extremo del segmento defi
nen el final del segmento (véase la figura 5.17). La limitación de 500 metros se
aplica a todo el segmento, no a la longitud del cable entre dos máquinas.
Resumen de 10Base5___________________________________
• Velocidad 10 Mbps.
• Utiliza cable coaxial grueso que casi siempre es amarillo (aunque nada
en el estándar requiere ese color).
• Coste por pie caro comparado con otros sistemas de cable.
• Conocida como Thick Ethernet o Thicknet.
10Base2 ________________________________
10Base2 se puede usar en muchos de los mismos casos que 10Base5, pero
es mucho más fácil instalarla y mucho menos cara. 10Base2 utiliza cable
coaxial RG-58 con conectores BNC, como se muestra en la figura 5.22. Aun
que el cable RG-58 tiene menos blindaje que el más caro RG-8 que se usa en
10Base5, su blindaje es suficiente para la mayoría de las instalaciones.
Figura 5.25. Una herramienta de plisado usada para poner conectores BNC
en un cable coaxial RG-58.
Figura 5.26. Un cable mal plisado permite que pase electricidad entre el blindaje
y el alambre central, creando un cortocircuito.
Repetidores
Un repetidor es un dispositivo que coge todos los bastidores de datos que
recibe de un segmento Ethernet y los retransmite a otro segmento. En la
figura 5.32 puede ver un típico repetidor Ethernet. Un repetidor coge las
señales eléctricas entrantes, las convierte en código binario y después re
transmite las señales eléctricas. Un repetidor no funciona como un am plifi
cador. El amplificador potencia las señales, los defectos y todo, como una
copiadora duplicando un mal original. Un repetidor, por su parte, recrea las
señales desde cero. Los repetidores resuelven la necesidad de un mayor al
cance y mejoran la tolerancia a errores y la integración de diferentes siste
mas de cables Ethernet.
Ventajas de los repetidores______ _____________________ _
Los repetidores tienen tres ventajas clave. Primera, amplían la distancia
que puede cubrir una red. Segunda, proporcionan una medida de la tolerancia
a errores, limitando el impacto de las roturas de cable al segmento en el que se
produce la rotura. Tercera, pueden enlazar segmentos que usan diferentes ti
pos de cables Ethernet.
Un repetidor aumenta la distancia máxima posible entre máquinas enlazando
juntos dos segmentos. Cada segmento conserva su propia limitación de distan
cia. Si un repetidor conecta dos segmentos 10Base2, por ejemplo, la distancia
máxima que puede separar dos máquinas en segmentos diferentes es 2 x 185 =
370 metros (véase la figura 5.33). Usando esta ecuación, dos segmentos 10Base5
conectados por un repetidor pueden cubrir 1000 metros (2 x 500 metros).
Los repetidores también añaden cierto grado de tolerancia a errores en una
red. Si uno de los segmentos se rompe, sólo falla ese segmento. Los ordenado
res del segmento adyacente siguen funcionando, sin verse afectados al comuni
carse dentro de su propio segmento. El segmento con el cable roto falla por las
reflexiones, pero el segmento en el otro lado del repetidor tiene sus propias
terminaciones correctas y funciona normalmente (véase la figura 5.34).
Como ventaja añadida, los repetidores pueden proporcionar a los diseñadores
de red la flexibilidad de combinar diferentes tipos de cables en la misma red.
Tanto 10Base5 como 10Base2 usan exactamente la misma estructura de basti
dor (esto es, los unos y ceros utilizados son idénticos). Así, un repetidor puede
conectar un segmento 10Base5 y un segmento 10Base2 sin dificultades (véase
la figura 5.35). Muchos repetidores vienen con conectores A U I y BNC para
ese propósito (véase la figura 5.36).
Los repetidores repiten el tráfico, no lo gestionan___________
¡Los repetidores no son dispositivos inteligentes! Repiten cada bastidor
de datos que escuchan, sea cual sea su origen. Como el repetidor repite todos
los bastidores que llegan al cable, sin que importe el origen ni el destino, se
aplican las reglas de CSMA/CD a la red completa como un todo. Si dos
ordenadores en dos segmentos diferentes conectados por un repetidor trans
miten a la vez un bastidor, se producirá una colisión. Así, usar repetidores
para construir redes más grandes puede llevar a atascos de tráfico, que signi
fica que aumenta el tráfico y disminuye el rendimiento general. Como todos
los ordenadores de esta red escuchan a los otros y tienen posibilidades de
producir una colisión, llamamos a toda la red, los dos segmentos, un solo
dominio de colisión.
En la figura 5.37, los ordenadores A, B y C se conectan al segmento 1; los
ordenadores D, E y F se conectan al segmento 2. El ordenador A transmite
un bastidor al ordenador C, que se encuentra en el mismo lado del repetidor.
Los ordenadores D, E y F, que se encuentran al otro lado del repetidor, no
necesitan escuchar los bastidores que se envían los ordenadores A y C entre
sí, pero el repetidor envía los bastidores a su segmento de red de todas for
mas. Las máquinas en el segmento 1 no pueden transmitir mientras las má
quinas en el segmento 2 están usando la red, y viceversa. Como todas las
máquinas, sin que afecte el segmento de red al que están conectadas, pueden
tener colisiones con todas las otras máquinas, los segmentos 1 y 2 se consi
deran los dos partes del mismo dominio de colisión (véase la figura 5.38).
Incluso cuando se usan repetidores, una red Ethernet funciona como un solo
canal de radio CB: sólo un usuario puede hablar y ser entendido en un mo
mento dado.
Resumen de los repetidores_____________________________
• Los repetidores aumentan la distancia total de una red de cable.
• Los repetidores proporcionan cierta cantidad de tolerancia a errores.
• Los repetidores pueden proporcionar interoperabilidad entre diferentes
sistemas de cable Ethernet.
• Los repetidores operan sólo en la capa Física (capa 1) en el modelo OSI.
• Los repetidores no ayudan a reducir o gestionar el tráfico de red, pero
sus otros atributos les convierten en importantes herramientas para los
técnicos y arquitectos de red.
Puentes
Según crece la demanda de anchura de banda en la red, el número de máqui
nas que pueden coexistir pacíficamente dentro de un dominio de colisión Ethernet
se contrae. Afortunadamente, un dispositivo especial, llamado puente, puede
enlazar juntos segmentos Ethernet para formar redes más grandes. De entrada,
pensará: "¿No es eso lo que hacen los repetidores?". Pero los puentes no sólo
conectan segmentos, también filtran el tráfico entre los segmentos, ahorrando
preciosa anchura de banda. Echemos una mirada a los puentes para ver cómo
consiguen esta sorprendente proeza.
Los puentes filtran y reenvían el tráfico entre dos o más redes basándose en
las direcciones M A C contenidas en los bastidores de datos. Filtrar el tráfico
significa impedir que cruce de una red a la siguiente; reenviar el tráfico signi
fica hacer pasar el tráfico originado en un lado del puente hasta el otro lado.
En la figura 5.39 se muestran dos segmentos Ethernet conectados por un puen
te. El puente se representa aquí como una simple caja, pues la verdadera apa
riencia física de un puente puede variar mucho. El puente puede ser un
dispositivo independiente parecido a un repetidor Ethernet o a un concentrador,
o puede ser un PC con dos N IC que ejecuta un software de puente especial. El
puente incluso puede estar integrado en un dispositivo multifunción que pro
porcione otras funciones además de la de actuar como puente. No importa su
apariencia, todos los puentes realizan la misma tarea: filtrar y reenviar el
tráfico de red inspeccionando las direcciones M A C de cada bastidor que llega
al puente.
Una vez que el puente tiene la tabla completa con la dirección M A C de cada
máquina y el lado del puente en el que se encuentra, mira cada bastidor entran
te y decide si reenviarlo o no al otro lado. Veamos cómo usa un puente esta
lista. Supongamos que la máquina A decide enviar otro bastidor a la máquina
D. Cuando la máquina D responde a la máquina A, el puente reenvía el basti
dor al segmento 1 porque sabe que la máquina A reside en el segmento 1 (véase
la figura 5.40).
Si la máquina C envía un bastidor a la máquina A, la máquina B recibirá
también ese bastidor porque todas residen en el mismo segmento. Sin embargo,
el puente reconoce que ninguna máquina del segmento 2 necesita ver el basti
dor que se está enviando desde la máquina C a la máquina A en el segmento 1.
Filtra este bastidor en consecuencia (véase la figura 5.41), de modo que el
bastidor nunca llega al segmento 2.
Segmento 1 Segmento 2
Figura 5.41. Puente filtrando un bastidor.
Las máquinas a cada lado pueden ser perfectamente felices sin tener noticia
de la presencia del puente. Cuando un puente reenvía un bastidor, copia ese
bastidor exactamente, incluso usando la dirección M A C de la máquina remi
tente como dirección M AC de origen en la nueva copia del bastidor. Añadir un
puente a una red no requiere que se reconfiguren los otros nodos de la red.
Simplemente se conectan los cables y el puente se ocupa del resto.
Como los puentes reenvían bastidores de datos sin cambiar los propios
bastidores, el formato de bastidor utilizado a cada lado del puente debe ser el
mismo. En los ejemplos anteriores hemos comentado puentes que conectan dos
redes Ethernet. También hay puentes para otras tecnologías, como Token Ring.
Pero los puentes no pueden conectar una red Ethernet con una red Token Ring,
pues las dos tecnologías de red usan tipos de bastidores totalmente distintos.
Los puentes filtran cierto tráfico innecesario, ahorrando precioso ancho de
banda. Aumentan el ancho de banda disponible en una red filtrando el tráfico.
Pero los puentes tienen limitaciones. No pueden conectar redes distintas y no
pueden aprovechar que haya múltiples rutas entre nodos. Resolver estas d ifi
cultades requiere otro tipo de dispositivo: un enrutador. Pero ésa es otra histo
ria que veremos en un capítulo posterior.
lOBaseT_____________________________________
Lo más importante que hay que recordar de lOBaseT es que sigue siendo
Ethernet. Excepto por el tipo de cable y la topología, lOBaseT es idéntica a
10Base2 o 10Base5. lOBaseT usa los mismos bastidores que las Ethernets
anteriores. lOBaseT opera a la misma velocidad de 10 Mbps. Las máquinas
siguen identificándose entre sí con sus direcciones M A C y usan CSMA/CD.
La diferencia clave entre lOBaseT y sus predecesoras de topología bus física
es la ubicación del segmento Ethernet. Veamos más de cerca cada uno de estos
asuntos.
Topología lOBaseT____________________________
10Base2 y 10Base5 usan ambas un topología bus física. Con un bus físico,
hay un cable uniendo la red y todos los ordenadores se conectan a este único
cable. Algunos pueden ser escépticos respecto a esto: 10Base5 puede usar un
solo cable, ¿pero no es 10Base2 en realidad varios cables conectados juntos a
través de los conectores T de cada PC? Sí, eso es cierto, pero en el caso de
10Base2, todos esos cables conectados entre sí forman un solo bus. La exis
tencia de esos conectores T a lo largo del bus 10Base2 no quita que el bus lleva
las mismas señales de la misma forma que el único cable de 10Base5. En
cuanto a lo que afecta a la red, 10Base5 y 10Base2 usan un solo cable.
En el capítulo anterior, una de las palabras usadas para definir ese único
cable era "segmento". Llevemos la definición de un segmento un paso más
allá. Un segmento es una conexión física única, terminada en los dos extremos,
a la que los ordenadores pueden conectarse para formar una red. En 10Base5
y 10Base2, el segmento recorre su camino por la red, con terminadores en los
dos extremos.
lOBaseT también tiene un segmento, pero un segmento lOBaseT no recorre
toda la red. lOBaseT usa una topología física estrella en la que cada nodo se
conecta a un concentrador central (véase la figura 6.1). El segmento sigue ahí,
pero está contraído en el concentrador (véase la figura 6.2).
UTP
Oficialmente, lOBaseT requiere el uso de cable de par trenzado sin blindar
(U T P ) de dos pares C A T 3 (o superior). Un par del cable envía datos al
concentrador, mientras que el otro par recibe datos del concentrador. Aunque
es más sensible a la interferencia que el cable coaxial, el cable U TP proporcio
na un medio barato y flexible para cablear las redes estrella físicas. Una difi
cultad menor con U TP surge del hecho de que hay muchos otros usos del
mismo cable. ¡Esto puede crear cierta confusión cuando se intenta determinar
si determinado cable U TP del techo es de la red o del sistema de teléfonos!
Aunque lOBaseT requiere sólo cable de dos pares, durante años, todo el mun
do ha instalado cables de cuatro pares para conectar dispositivos al concentrador
anticipando los posibles requerimientos de nuevos tipos de redes (véase la
figura 6.6). (¡Y gracias a los dioses que lo hicieron! Como veremos un poco
más adelante, las nuevas formas de Ethernet necesitan los cuatro pares.) La
mayoría de los cables UTP vienen con fibras de Kevlar que aumentan la forta
leza del cable, lo que permite a los instaladores tirar del cable sin demasiado
riesgo de llegar a partirlo.
Figura 6.6. Un cable de par trenzado sin blindar CAT 5e de cuatro pares típico.
10BaseFL
Sólo unos años después de la aparición de lOBaseT, se presentó una versión
de fibra óptica, llamada lOBaseFL. El cable de fibra óptica transmite los paque
tes de datos usando pulsos de luz, en lugar de usar corriente eléctrica. A l usar
luz en lugar de electricidad se resuelven las tres debilidades clave del cable de
cobre. Primera, las señales ópticas pueden viajar mucho más lejos. La longitud
máxima para un cable lOBaseFL es de hasta dos kilómetros, dependiendo de
cómo esté configurado. Segunda, el cable de fibra óptica es inmune a la interfe
rencia eléctrica, lo que le convierte en la opción ideal para entornos con muchas
interferencias. Tercera, el cable es mucho más difícil de intervenir, lo que le
convierte en una buena opción para entornos con preocupaciones de seguridad.
lOBaseFL usa un tipo de fibra óptica especial llamado multimodo y emplea uno
de los dos tipos de conectores de fibra óptica: conectores SC o conectores ST.
En la figura 6.11 mostramos ejemplos de estos tipos de conectores.
Resumen de lOBaseFL__________________________________
• Velocidad 10 Mbps.
En caso necesario, se puede usar un cable cruzado para conectar dos orde
nadores usando NIC lOBaseT sin concentrador entre ellas. Esto es útil para la
conexión rápida que se necesita en una pequeña red casera o cuando quiera
enfrentarse a un amigo en un juego de ordenador.
Tenga cuidado de no confundir cables cruzados con puertos cruzados. Pri
mero, nunca conecte dos concentradores a través de sus puertos cruzados.
Coja un cable normal; conecte un extremo en el puerto cruzado de un
concentrador y el otro en cualquier puerto normal del otro concentrador. Se
gundo, si usa un cable cruzado, simplemente conecte cada extremo en un puer
to normal de cada concentrador.
Que haya múltiples segmentos en una red proporciona una mayor toleran
cia a errores que un solo segmento. Cada segmento funciona o falla solo. En la
figura 6.17 hay tres segmentos: A, B y C. Lo segmentos A y B son
concentradores lOBaseT; el segmento C es un segmento 10Base2. Un fallo en
un segmento no provoca que los otros fallen. El error sólo afecta a las transmi
siones que se apoyan en el segmento problemático. Por ejemplo, si se escapa
Gidget, el hámster de Cindy, y roe el segmento C, los ordenadores del segmen-
to A no pueden comunicarse con los ordenadores del segmento B, pero los
ordenadores del segmento A pueden seguir comunicándose entre sí, y lo mismo
sucede con los del segmento B (véase la figura 6.18). Por supuesto, los pobres
ordenadores del segmento C tendrán que permanecer inactivos hasta que un
amable técnico de redes repare el daño causado por el malvado Gidget.
IQOBase Ethernet_________________________
Fast Ethernet no es una sola tecnología. El término Fast Ethernet alude a
cualquiera de las redes Ethernet que operan a 100 Mbps. En lugar de limitar
Ethernet a una sola solución de alta velocidad, el IEEE refrendó varios
estándares para Fast Ethernet y permitió que el mercado eligiera entre ellos.
Las principales variaciones son lOOBaseT y lOOBaseFX.
IQOBaseT_____________________________________________
El IEEE presta soporte a dos variaciones de lOOBaseT: lOOBaseTX y
100BaseT4. Los dos tipos se parecen físicamente a lOBaseT, usando una to
pología bus estrella y conectando con concentradores usando cables UTP. El
100 en sus nombres refleja el hecho de que el cable que conecta un dispositivo
con un concentrador puede enviar datos a velocidades de hasta 100 Mbps. La
diferencia entre lOOBaseTX y 100BaseT4 recae en la calidad del cable reque
rido. lOOBaseTX requiere cables C A T 5 o mejores para conseguir una veloci
dad de 100 Mbps usando sólo dos pares de alambres. Como lOBaseT,
lOOBaseTX hace caso omiso de lo dos pares restantes. 100BaseT4 usa todos
los cuatro pares para conseguir el rendimiento de 100 Mbps empleando cables
C A T 3 o mejores. Imagine el cable como una autopista: lOOBaseTX aumenta
la capacidad elevando el límite de velocidad, mientras que 100BaseT4 aumen
ta la capacidad añadiendo carriles adicionales.
Tanto lOOBaseTX como 100BaseT4 permiten a las organizaciones aprove
char sus cableados UTP existentes. Si los cables U TP existentes se instalaron
correctamente, es posible mejorar una red desde lOBaseT simplemente reem
plazando los concentradores y las tarjetas de red, sin cambiar los cables.
lOOBaseTX y 100BaseT4 no son intercambiables. Si los concentradores
son lOOBaseTX, las N IC tienen que ser lOOBaseTX. Igualmente, si el
concentrador es 100BaseT4, entonces las N IC deben ser 100BaseT4. A lo
largo de los últimos años, lOOBaseTX ha relegado a 100BaseT4 dejándola
prácticamente fuera del mercado, hasta el punto de que ahora es prácticamente
imposible encontrar dispositivos etiquetados como lOOBaseTX. A l comprar
equipamiento lOOBaseTX hoy día, verá que la etiqueta sólo dice lOOBaseT.
De cualquier forma, los cables U TP no pueden cubrir las necesidades de
todas las organizaciones, por tres razones principales. Primera, la limitación
de distancia a 100 metros para las redes basadas en U TP no es adecuada para
redes que cubran grandes edificios o campus universitarios. Segunda, la falta
de blindaje eléctrico de UTP es un inconveniente para redes que funcionen en
lugares con mucha interferencia eléctrica. Finalmente, a los Maxwell Smart y
James Bond del mundo les resulta muy fácil intervenir un cable U TP (y el
cable de cobre en general), lo que le convierte en una opción poco apropiada
para entornos de alta seguridad. Para resolver estos temas, el estándar IEEE
802.3 proporciona un tipo de Ethernet de 100 megabits que usa cable de fibra
óptica, llamado lOOBaseFX.
Búsqueda de concentrador
En este punto, hemos visto más de media docena de implementaciones de
Ethernet, desde 10Base5 y 10Base2 hasta lOBaseT, lOBaseFL, lOOBaseTX,
100BaseT4 y lOOBaseFX. Si planeara una red hoy, ¿qué tipo de equipamiento
podría comprar? No me pregunte la respuesta. Vaya a su tienda de aparatos
informáticos con lápiz y papel y apunte los tipos que encuentre. ¿Se venden en
la tienda concentradores lOBaseT? ¿Qué hay de los concentradores 10/100
para facilitar la migración? ¿Puede encontrar concentradores 100BaseT4?
¿Y concentradores que admitan fibra óptica y UTP, para poder conectar
redes lOOBaseFX y lOOBaseTX? Por último, ¿cuánto cuestan todos estos
aparatos?
Gigabit Ethernet
Para el verdadero drogadicto de la velocidad, hay aún una versión de
Ethernet más potente: Gigabit Ethernet. El IEEE aprovó el estándar oficial
para Gigabit Ethernet, alias lOOOBaseX, en 1998. Desde entonces, Gigabit
Ethernet se ha dividido en una serie de estándares, con nombres como
lOOOBaseCX, lOOOBaseSX, lOOOBaseLX y lOOOBaseT. De todos estos
estándares Gigabit, lOOOBaseT ha resultado el estándar dominante en Gigabit
Ethernet.
lOOOBaseT usa cable C A T 5e o C A T 6 de cuatro pares para conseguir
rendimiento en gigabits. Como lOBaseT y lOOBaseT, lOOOBaseT tiene una
longitud máxima de cable de 100 metros. Las conexiones y puertos lOOOBaseT
tiene exactamente la misma apariencia que los de una red lOBaseT o lOOBaseT.
lOOOBaseT viene bajo el estándar IEEE 802.3ab. En muchos casos, cuando
vea una tarjeta o conmutador etiquetado simplemente como Gigabit Ethernet,
realmente significa lOOOBaseT, que es fácilmente el tipo más común de Gigabit
Ethernet de los disponibles hoy.
JL.
Ethernet conmutada_______________________
¿No le apetece actualizar todas sus N IC y controladores para conseguir
más velocidad? ¿Y si pudiera mejorar en gran medida el rendimiento reempla
zando sólo el concentrador? ¡La Ethernet conmutada puede ser la solución! Un
conmutador Ethernet es un concentrador especial que puede poner algunos
dispositivos en sus propios dominios de colisión. En esencia, un conmutador
Ethernet es un concentrador con un puente integrado. Los conmutadores, como
los puentes, actúan en la capa Enlace de datos OSI, o capa 2; de hecho, a
menudo reciben el nombre de conmutadores capa 2. Físicamente, un conmuta
dor Ethernet se parece mucho a cualquier otro concentrador Ethernet, excepto
por el añadido de uno o más puertos conmutados (véase la figura 6.22). L ó g i
camente, un conmutador Ethernet pone cada dispositivo enchufado en uno de
sus puertos conmutados en su propio dominio de colisión. Según empieza un
sistema a enviar datos a otro sistema, un conmutador mira las direcciones
M AC entrantes y crea un solo dominio de colisión (véase la figura 6.23).
Usar un conmutador Ethernet proporciona dos ventajas. Primera, si el emi
sor y el receptor están en sus propios puertos conmutados, todo el ancho de
banda de esa conexión (10, 100 ó 1000 megabits) está disponible para ellos;
ninguna otra máquina puede provocar una colisión. Segunda, el conmutador
puede actuar como un búfer, permitiendo que dispositivos que van a velocida
des distintas se comuniquen. Sin esta capacidad de búfer, una tarjeta Gigabit
Ethernet arrollaría a una N IC lenta.
Los conmutadores Ethernet también pueden conectar segmentos con una
espina dorsal. Una espina dorsal es un segmento que conecta otros segmentos.
La mayoría de las espinas dorsales están muy poco pobladas o despobladas.
En la mayoría de los casos, una espina dorsal va a una velocidad mayor que
los segmentos que conecta. En la figura 6.24 se muestra una red que propor
ciona lOBaseT a ordenadores de mesa y conecta los concentradores a un seg
mento espina dorsal lOOBaseT. En algunos casos, máquinas a las que se accede
mucho, como los servidores de ficheros, se conectan directamente a la espina
dorsal, como se muestra en la figura 6.25.
Ethernet dúplex completo _________________
La conmutación Ethernet abre una nueva vía para mejorar el rendimiento
de la red: Ethernet con dúplex completo. Dúplex completo significa que un
dispositivo puede enviar y recibir datos a la vez. Normalmente, las transmisio
nes Ethernet son a medio dúplex; dicho de otra forma, una máquina puede
enviar o recibir datos, pero no las dos cosas. Si una máquina envía y recibe
simultáneamente en el modo de medio dúplex, tiene lugar una colisión. A l
darse una colisión, se activan las reglas CSMA/CD, provocando que la máqui
na deje de enviar y espere un periodo de tiempo aleatorio antes de volver a
intentarlo. CSMA/CD permite que muchas máquinas compartan el mismo seg
mento, pero requiere que toda la documentación sea medio dúplex.
Sin embargo, una conexión Ethernet conmutada a través de UTP no sólo crea
un segmento con sólo dos máquinas, también utiliza pares de alambres separa
dos para enviar y recibir. Cada par de alambres actúa como un canal separado,
permitiendo que los dispositivos en cada extremo se comuniquen entre sí en el
modo de dúplex completo. Si las NIC Ethernet de cada extremo de la conexión
conmutada admiten el modo de dúplex completo, ¡actívelo y aproveche sus ven
tajas! Pero no todas las NIC Ethernet admiten la operación a dúplex completo;
de cualquier forma, las que la admiten tendrán una opción de dúplex completo
que puede activar usando sus programas de configuración (véase la figura 6.26).
Ethernet dúplex completo ofrece impresionantes mejoras de rendimiento.
Una conexión dúplex completo lOBaseT tiene un ancho de banda teórico de
20 Mbps (2 x 10 Mbps), mientras que una conexión dúplex completo
lOOBaseT tiene un ancho de banda teórico de 200 Mbps (2 x 100 Mbps).
Como nunca tiene por qué haber colisiones en una conexión dúplex comple
to, las velocidades reales de Ethernet dúplex completo se aproximan a estos
máximos teóricos. Desgraciadamente, muchos dispositivos lOBaseT anti
guos no admiten la operación en dúplex completo; sin embargo, la mayoría
de los estándares Ethernet lOOBase y lOOOBase requieren la operación en
dúplex completo, haciendo que sea una función que se supone que deben
tener estos dispositivos.
Una idea: si una red conmutada crea dominios de colisión separados para
todos los nodos, ¿se sigue aplicando la regla 5-4-3? ¡Es una buena pregunta!
Si respondió ”N o M, ¡aún mejor! Una vez que se empiezan a usar conmutado
res, todo el concepto de la regla 5-4-3 deja de tener sentido; ya no hay lim i
taciones debidas a las colisiones, excepto dentro de los dominios de colisión
individuales.
Las maravillosas ventajas de los conmutadores hacen que hoy día sean muy
comunes. Reemplazando un concentrador con un conmutador, la red puede
aprovechar la comunicación dúplex completa sin colisiones para lograr veloci
dades mucho mayores.
Conclusión___________________________________
Aunque 10Base2 y 10Base5 siguen en la brecha en algunas redes, el uso de
la topología híbrida bus estrella para redes Ethernet con cables U TP o de fibra
óptica permite a los técnicos de red construir redes más robustas y flexibles.
La capacidad de usar segmentos de alta velocidad, operación dúplex completo,
puentes, enrutamiento y conmutación da al arquitecto de redes todo un nuevo
grupo de herramientas con el que construir redes rápidas y estables. Por todas
estas razones, los cables U TP y de fibra óptica dominan la industria de redes
actual, dejando el cable coaxial en un discreto segundo plano.
Í
trenzado con cable C A T 5e o C A T 6, pero también está limitada a 100 metros.
Gigabit Ethernet se ha vuelto una tecnología de espina dorsal de red importan
te que se usa en muchas grandes organizaciones actuales.
• Conectores SC.
• Conectores ST.
• Conectores BNC Thicknet ( 1/2 pulgada).
• Conectores BNC Thinnet (1/4 pulgada).
Con los datos obtenidos, ¿qué conectores resultarán más baratos?
• 10Base5.
• 10Base2.
• lOBaseT.
• lOBaseFL.
• lOOBaseTX.
• lOOBaseFX.
• Gigabit Ethernet.
7. Redes no
Ethernet
Nadie niega el virtual monopolio de Ethernet como tecnología de red elegi
da en el mundo actual. Dependiendo de la fuente elegida, entre el 80 y el 90 por
ciento de los cables de red del mundo llevan una derivación de Ethernet. Aun
así, en las inmortales palabras del Maestro Yoda en E l Im p e rio C on tra a ta ca ,
"Hay otro". Con más precisión, "Hay muchas otras", y debe conocerlas tan
bien como conoce Ethernet. Algunas de estas tecnologías de red, en concreto la
famosa Token Ring de IBM, aún disfrutan de muchos seguidores, especial
mente en organizaciones que han hecho fuertes inversiones en la instalación de
estas tecnologías. Pero a pesar de su base instalada, las posibilidades de que se
encuentre con estas tecnologías durante su carrera en redes son bastante lim i
tadas. Por ello, debe usatj este capítulo con un objetivo: conocer los últimos
tiempos de tecnologías que están desapareciendo. Preste atención, ¡es posible
que nunca más vea nada relacionado con estas tecnologías!
Token Ring_________________________________
Token Ring, también conocida como IEEE 802.5, compitió directamente,
al final sin éxito, con Ethernet como opción para conectar ordenadores de
mesa a una LA N . Aunque Token Ring posee una cuota de mercado mucho
menor que Ethernet, la base instalada de Token Ring ha permanecido extrema
damente leal. Las redes Token Ring más comunes ofrecen mayor velocidad
(16 Mbps) y eficiencia que Ethernet lOBaseT y la gente de Token Ring incluso
ha establecido estándares Token Ring de 100 y 1000 Mbps.
Las redes Token Ring pueden parecerse mucho a las redes Ethernet lOBaseT,
incluso usando cables UTP idénticos en algunos casos. Aunque estos dos tipos
de redes comparten la misma topología estrella física, Token Ring utiliza una
topología lógica anillo, en lugar de una topología lógica bus.
Topología lógica aniilo___________________
Las redes Token Ring usan una topología lógica anillo (véase la figura
7.1). A diferencia de un nodo Ethernet, que emite sus bastidores a través de un
cable compartido a todos los demás ordenadores del segmento, un nodo Token
Ring se comunica directamente con sólo otras dos máquinas: sus vecinas co
rriente arriba y corriente abajo (véase la figura 7.2). Para controlar el acceso
al anillo, Token Ring emplea un sistema de paso de señal.
Paso de señal__________________________________________
La piedra angular del paso de señales es un bastidor especial llamado la
señal. Este bastidor permite a los sistemas de una red Token Ring en efecto
"coger turnos" para enviar datos. La regla es que ningún dispositivo puede
transmitir datos a menos que tenga en este momento la señal. Como las colisio
nes simplemente no pueden darse en este sistema, los nodos Token Ring pue
den aprovechar todo el ancho de banda y operan así con más eficiencia que las
redes Ethernet usando CSMA/CD.
Un bastidor Token Ring empieza con la propia señal, pero por lo demás
contiene prácticamente la misma información que un bastidor Ethernet: la di
rección M AC de origen, la dirección M A C de destino, los datos a transmitir y
una secuencia de comprobación de bastidor (FCS) que se usa para comprobar
que no hay errores en los datos (véase la figura 7.3).
Una red de paso de señal envía bastidores de datos de forma más eficiente
que una red que usa CSMA/CD porque no se dan colisiones. Una estación
puede tener que esperar a una señal libre para poder enviar datos, pero si tiene
la señal, sabe queTtijiguna otra estación intentará enviar datos al mismo tiem
po. Por su parte, una |ed basada en CSMA/CD, como Ethernet, puede desper
diciar un ancho de banda significativo resolviendo colisiones. El paso de señal
es un método determinista para resolver qué máquina debe tener acceso al
cable en un momento dado. Determinista significa que el cable se concede de
forma predecible, en lugar de con un proceso aleatorio como CSMA/CD. ¡Aquí
no se usan dados virtuales!
Las redes Token Ring pueden configurarse para dar a algunos sistemas
mayor prioridad de acceso a la señal. Es concebible que un arquitecto de redes
establezca una prioridad alta para un PC determinado, garantizando que ten
drá acceso a la señal más a menudo que los otros nodos de la red. Las redes
Token Ring reales raramente aprovechan esta capacidad de priorizar el tráfi
co, haciendo que esa característica sea menos útil de lo que pudiera parecer.
Estrella física
La topología física anillo comparte la misma vulnerabilidad a la rotura del
cable que la topología física bus. Cuando el cable usado en una topología
física bus como 10Base2 se rompe, toda la red se va abajo debido a las re
flexiones eléctricas. Una topología física anillo también falla completamente
si se rompe el cable, pero por una razón distinta. En una topología anillo, todo
el tráfico viaja en una dirección. Si el anillo se rompe, el tráfico nunca puede
completar su viaje en redondo alrededor de la red, de modo que.ningún nodo
genera una señal libre (véase la figura 7.6). Para evitar los problemas inheren
tes a una topología física anillo, Token Ring usa una topología física estrella.
Oh, los 80 fueron una época interesante para estar en el negocio de las redes.
No sólo estaban Ethernet y Token Ring luchando por su cuota de mercado,
también había un gran número de otros competidores haciendo lo mismo. Dos en
concreto, ARCnet y LocalTalk, merecen ser mencionados por dos razones. Aun
que ARCnet ha desaparecido del mundo de redes PC, es popular en varios ni-
chos del mercado, como en robótica y controles industriales. LocalTalk ha des
aparecido definitivamente, pero su relación con AppleTalk, una popular pieza
de software de red que aparece en todos los ordenadores de marca Apple, nos da
motivo para mencionarla. Los términos LocalTalk y AppleTalk a menudo son
confundidos, por lo que es importante que tenga claro a qué se refiere cada uno.
ARCnet
Durante finales de los 70 y primeros 80, una compañía llamada Datapoint
Corporation inventó una tecnología de red llamada Red de ordenador de recur
sos adjuntos (ARCnet). Durante muchos años, ARCnet disfrutó de cierto gra
do de popularidad en redes pequeñas y todavía tiene una base instalada lo
bastante grande para hacerla interesante.
El estándar ARCnet original define una verdadera topología estrella: tanto
la topología física como la lógica funcionan como estrellas. ARCnet usa paso
de señal para llevar los bastidores de un sistema a otro. Originalmente, ARCnet
usó un tipo de cable coaxial llamado RG-62; sin embargo, en versiones poste
riores se usó el viejo cable UTP de dos pares. ARCnet va a la friolera de 2,5
Mbps, una velocidad aceptable a principios de los 80, pero demasiado lenta
para ser de interés para una aplicación de red moderna. Estándares más rápi
dos de ARCnet, llamados ARCnet Plus, van a velocidades de hasta 20 Mbps,
pero no han conseguido hacer de ARCnet una competidora que pueda preocu
par a Ethernet o Token Ring como tecnología de red.
ARCnet usa concentradores para propagar los datos entre nodos (véase la
figura 7.14). Estos concentradores proporcionan 8 ó 16 puertos y, como los
concentradores lOBaseT, pueden encadenarse (d aisy-cha in ) para gestionar más
nodos. Las redes ARCnet pueden usar concentradores más básicos, llamados
concentradores pasivos. Estos concentradores no repiten la señal como los
concentradores normales (activos); sólo pasan la señal sin recrear los datos.
Por ello, los concentradores pasivos son mucho menos comunes. Usando RG-
62 y concentradores normales, ARCnet admite segmentos de una longitud de
hasta 600 metros. A mucha gente le pareció muy atractiva esta importante
longitud de los segmentos; de hecho, la mayoría de las implementaciones ARCnet
aún activas hoy tienen que ver con escenarios en los que las redes tienen que
extenderse por largas distancias.
Como la mayoría de las otras tecnologías de red, ARCnet admite ahora ca
bles UTP y de fibra óptica y ha aumentado su velocidad y longitud de cable
máxima espectacularmente. Como Token Ring, ARCnet se ha sometido al domi
nio de Ethernet en la industria de redes PC, pero sigue viva, oculta en las miles
de otras industrias que aprovechan su bajo precio y simple funcionamiento.
LocalTalk
Cuando la gente de Apple decidió añadir funciones de red a sus ordenadores,
crearon una tecnología de red exclusiva llamada LocalTalk (véase la figura
7.15). LocalTalk usaba una topología bus con cada dispositivo encadenado con
el siguiente dispositivo del segmento utilizando cables propios con pequeños
conectores redondos tipo DIN. (Los conectores DIN son como los conectores de
los teclados modernos.) Una versión posterior llamada PhoneTalk, producida
por una compañía llamada Farallón, usaba un cable de teléfono normal y
conectores RJ-11, gozando de bastante popularidad. La aparición de Ethernet,
junto con la baja velocidad de LocalTalk, llevaron a ía desaparición de LocalTalk.
LAN a WAN: FDDI y ATM
El crecimiento de la demanda de ancho de banda en los 80 motivó la crea
ción de tecnologías de red más potentes. A principios de los 90 aparecieron dos
tipos diferentes de tecnologías, llamadas FDDI y A T M . Se trataba de facto de
dos estándares de red de alta velocidad, al menos durante unos años, hasta la
aparición de la Ethernet de alta velocidad. Como muchas otras tecnologías de
red, FDDI y A T M siguen perdiendo cuota de mercado frente a Ethernet, pero
las dos han encontrado un nuevo lugar en las industrias de telefonía y cable
como métodos para transferir datos a través de larga distancia entre redes,
creando redes de área amplia (W A N ).
FDDI____________________________________
La Interfaz de datos distribuidos por fibra (FD D I) se mantiene como una de
las pocas tecnologías de red que no surgió directamente de la industria privada
(aunque la industria privada tuvo mucho impacto en su desarrollo). FDDI
surgió directamente en el Instituto de estándares nacionales americanos (A N SI)
como una tecn ología de alta velocid ad , muy redundante, diseñada
específicamente para actuar como espina dorsal de alta velocidad para prestar
soporte a redes más grandes.
La mejor palabra simple para describir FDDI es "única". FDDI usa una
topología anillo dual de paso de señal única. Cada anillo va a 100 Mbps, que
producen una velocidad sumada de 200 Mbps. Si un anillo se rompe, el otro
continúa operando. FDDI funciona en una topología física anillo o en una
topología física estrella verdaderas. En la figura 7.16 se muestra una típica
instalación FDDI. Fíjese que el servidor está en el anillo FDDI, mientras que
las otras máquinas se conectan al anillo a través de concentradores FDDI a
Ethernet.
Los conectores FDDI también son únicos.* En la figura 7.17 puede ver un
clásico conector FDDI. Para prestar soporte a dos anillos, cada dispositivo
FDDI clásico necesitaba dos conectores, como se muestra en la figura 7.18.
Usando cables de fibra óptica, los segmentos FDDI podían llegar a unir siste-
mas a dos kilómetros de distancia, con un tamaño de anillo máximo de 100
kilómetros. Una versión posterior de FDDI se mudó a, lo adivinó, UTP C A T
5. Esta versión, llamada Interfaz de datos distribuidos por cobre, o CDDI, usa
los mismos tipos de bastidores que FDDI, pero va por cables de cobre en lugar
de por cables de fibra óptica.
ATM_______________________________________
El Modo de transferencia asincrono (A T M ) empezó a desarrollarse aproxi
madamente al mismo tiempo que FDDI. A T M va a 155 Mbps usando cables de
fibra óptica o UTP C A T 5.
Mientras FDDI puede ser única, A T M , al menos desde el punto de vista
de la topología y la conexión física, es también bastante aburrida. A T M
suele usar una estrella física, igual que lO/lOO/lOOOBaseT. A T M presta
soporte a varios tipos de conexiones físicas. La A T M más común se parece a
cualquier otro sistema de cables, usando dos conectores de fibra por nodo.
A T M también puede ir por cables C A T 5 o mejores con conectores RJ-45, lo
que hace que una N IC A T M parezca totalmente idéntica a cualquier NIC
Ethernet.
A T M no logró dejar mucha huella en el mundo de las redes de alta veloci
dad, pero el método de señales de A T M , que usa bastidores de longitud fija
en una conexión punto a punto, se hizo bastante popular como método para
todas las conexiones de W A N . Volveremos a encontrarnos con A T M más
adelante. Aunque A T M perdió en las guerras de la conectividad L A N frente
a Gigabit Ethernet, sus bastidores han conseguido sobrevivir en el mundo de
las W A N .
Proyectos de laboratorio______________
Cableado estructurado
Si quiere una red real que funcione y sea digna de confianza, necesita un
conocimiento sólido de un conjunto de estándares, llamado colectivamente
cableado estructurado. Estos estándares, definidos por el EIA/TIA (sí, la mis
ma gente que dice cómo engastar un RJ-45 en el extremo de un cable U TP),
dan a los profesionales instaladores de cable cánones detallados sobre cada
aspecto de una red de cables, desde el tipo de cable a usar hasta la posición de
las tomas en la pared. Debe entender los conceptos básicos implicados en el
diseño de una red y la instalación del cableado de la red, y reconocer los
componentes usados en una red real. Pero no necesitará tantos conocimientos
como un diseñador de redes o instalador de cables profesional. Su objetivo es
entender lo suficiente sobre los sistemas de cableado reales para prestar sopor
te a la resolución de problemas básicos. Cierto, cuando termine el capítulo,
sabrá lo suficiente para intentar desplegar su propio cable (¡ciertamente yo
despliego mis propios cables!), pero puede considerar ese conocimiento como
un útil extra.
Muy bien, cuestionario rápido. ¿La red de la figura 8.3 es ün bus estrella o
un anillo estrella? ¿Es Token Ring, lOOBaseT o Gigabit Ethernet? ¡Ah...! Es
una pregunta con truco: la imagen no basta para saberlo. De hecho, podría
tratarse de cualquiera de estas tecnologías de red. Si tiene una red lOBaseT
usando cables C A T 5e y quiere convertirla en una red Token Ring, sólo tiene
que reemplazar las NIC lOBaseT en los PC con N IC Token Ring equipadas
con RJ-45 y el concentrador lOBaseT con M SAU Token Ring. El cable segui
rá siendo el mismo, pues, en lo que concierne al cable, no hay diferencia entre
estas tecnologías. La estrella física no tiene por qué cambiar; sólo hay que
cambiar la parte lógica: el bus o el anillo.
La estrella básica_________________________
Ninguna ley física impide instalar un concentrador en el centro de la oficina
y desplegar cables por el suelo hasta cada uno de los ordenadores de la red.
Esta configuración funcionará, pero se viene abajo espectacularmente cuando
se aplica en un entorno real. A l técnico de red real se le presentan tres proble
mas. Primero, los cables a la vista corriendo por el suelo parece que están
invitando a alguien a tropezar con ellos, provocar problemas en la red y darle
la oportunidad al implicado de plantear una demanda. Aparte de posibles acci
dentes, simplemente mover y pisar los cables provocará, con el tiempo, que un
cable falle debido a alambres rotos o conectores RJ-45 sacados del extremo del
cable. Segundo, la presencia de otros aparatos eléctricos cerca del cable puede
crear interferencias que confundan las señales que van por el cable. Tercero,
este tipo de configuración limita nuestra capacidad para hacer cambios en la
red. Antes de poder cambiar nada, hay que averiguar qué cable del montón de
cables conectados al concentrador va a qué máquina. ¡Imagine las dificultades
para resolver cualquier problema!
¡Vaya! Seguro que hay una forma mejor de instalar una red física. Una
instalación mejor proporcionará seguridad, protegiendo la estrella frente a
aspiradores, compañeros torpes e interferencias eléctricas. Tendrá hardware
extra para organizar y proteger los cables. Finalmente, la nueva y mejorada
instalación de red estrella tendrá un estándar de cableado con la flexibilidad
que permita crecer a la red según las necesidades y después la actualización
cuando la próxima tecnología de red aparezca.
Como sin duda ha adivinado, esto no es teoría. En el mundo real, la gente
que más deseaba estándares de instalación mejorados eran los que se dedican a
la instalación de cables. En respuesta a esta demanda de estándares, el EIA/
T IA desarrolló estándares para la instalación de cables. Los estándares EIA/
T IA 568 que vimos en capítulos anteriores son sólo una parte de un conjunto
mayor de estándares EIA/TIA, todos acogidos bajo el paraguas del cableado
estructurado.
Componentes de red de cable estructurado
La implementación con éxito de una red de cable estructurado básica re
quiere tres ingredientes esenciales: una sala de equipos, cableado horizontal y
un área de trabajo. Todos lo cables van de los PC individuales a una ubicación
central, la sala de equipos (véase la figura 8.4). Qué equipo hay en esa sala (un
concentrador, un M SA U o incluso un sistema de teléfonos) no es lo importan
te. Lo que importa es que todos los cables se concentran en esta única área.
Todos los cables corren horizontalmente (en su mayor parte) desde la sala
de equipos a los PC. Este cableado recibe el apropiado nombre de cableado
horizontal (véase la figura 8.5). Una pieza de cableado horizontal instalado se
llama una línea. En el extremo opuesto del cableado horizontal desde la sala de
equipos está el área de trabajo. El área de trabajo es a menudo simplemente
una oficina o cubículo que puede contener un PC que quiera que esté en la red
(véase la figura 8.6).
Cada una de las tres partes de una red estrella básica (el cableado horizon
tal, la sala de equipos y las áreas de trabajo) debe seguir una serie de estrictos
estándares diseñados para garantizar que el sistema de cableado es fiable y
fácil de manipular. Veamos cada una de las partes individualmente, empezan
do con el cableado horizontal.
La sala de equipos________
La sala de equipos es el corazón de la estrella básica. Es aquí donde se
reúnen todas las líneas horizontales de todas las áreas de trabajo. La concen
tración de todo este equipo en un solo lugar hace que la sala de equipos tenga
el potencial de ser una de las partes más embrolladas de la estrella básica.
Incluso si hacemos un buen y limpio trabajo organizando los cables al instalar
los por primera vez, las redes cambian con el tiempo. La gente mueve los
ordenadores, se añaden nuevas áreas de trabajo, se añaden nuevas tecnologías
de red o se mejoran las existentes, etc. A menos que impongamos algún tipo de
organización, esta conglomeración de equipos y cables está abocada a conver
tirse en un embrollo de pesadilla.
Afortunadamente, los estándares de cableado estructurado del EIA/TIA
definen el uso de componentes especializados en la sala de equipos que hacen
que la organización sea sencilla. De hecho, ¡podría decirse que hay demasia
das opciones! Para mantener la simplicidad, vamos a atenernos a la configura
ción más común para la sala de equipos y después veremos brevemente algunas
otras opciones menos comunes.
E s t a n te s d e e q u ip o s . El componente central de cualquier sala de equipos
es uno o más estantes de equipos. Los estantes de equipos proporcionan una
plataforma segura y estable para todos los diferentes componentes de hardware.
Todos los estantes de equipos tienen 19 pulgadas de ancho, pero varían en
altura. Encontrará modelos de dos o tres pies de altura que se atornillan a la
pared, y también los modelos más populares que van del suelo al techo (véase
la figura 8.8).
Los paneles de conexiones no sólo evitan que haya que mover los cables
horizontales, también son nuestra primera línea de defensa de la organización
de los cables. Todos los paneles de conexiones tienen espacio en la parte de
lantera para poner etiquetas, y estas etiquetas son el mejor aliado del técnico
de redes. Simplemente ponga una pequeña etiqueta en el panel de conexiones
identificando cada cable y nunca tendrá que sufrir esa sensación deprimente
que caracteriza el encontrarse en la sala de equipos de una red que no funciona
preguntándose a qué corresponde cada cable. Si es del tipo purista, hay una
metodología de etiquetado oficial, y bastante confusa, del EIA/TIA que puede
usar, pero la mayoría de los técnicos de redes reales simplemente usan sus
propios códigos internos (véase la figura 8.11).
Hay disponibles paneles de conexiones en una amplia variedad de configu
raciones que incluyen diferentes tipos de puertos y números de puertos. Puede
conseguir puertos UTP, STP o de fibra, y algunos fabricantes combinan va
rios tipos diferentes en el mismo panel. Hay disponibles paneles con 8, 12, 24,
48 o incluso más puertos. Los paneles de conexiones UTP, como los cables
UTP, vienen con clasificaciones C AT, que debe comprobar. No estropee una
buena instalación de cable C A T 6 comprando un panel de conexiones barato;
¡compre un panel de conexiones C A T 6! La mayoría de los fabricantes mues
tran orgullosamente el nivel C A T en el mismo panel de conexiones (véase la
figura 8.12).
Etiquetado serio
El estándar EIA/TIA 606 se ocupa del apropiado etiquetado y documen
tación de los cables, paneles de conexiones y tomas de pared. Si quiere
saber cómo etiquetan y documentan los profesionales un sistema de
cableado estructurado, vea el estándar EIA/TIA 606.
Una sala de equipos no tiene por qué ser una habitación especial dedicada
al equipamiento informático. Puede usar armarios fabricados especialmente
con sus propios estantes para equipos, puestos sobre el suelo o sujetos a una
pared, o usar un almacén, siempre que el equipo pueda estar protegido de los
otros elementos almacenados aquí. Afortunadamente, las salas de equipos lle
van tanto tiempo siendo una necesidad que la mayoría de los espacios para
oficinas vienen equipados con ellas.
En este punto, nuestra instalación estrella básica empieza a adquirir forma
(véase la figura 8.14). Hemos instalado el cableado horizontal EIA/TIA y
configurado la sala de equipos. Es hora de abordar la última parte del sistema
de cableado horizontal: el área de trabajo.
El área de trabajo
¿Qué es el área de trabajo? Pensando en los cables, un área de trabajo no es
más que una toma en la pared que sirve como punto de terminación para los
cables de red horizontales: un punto de inserción cómodo para los PC. Una
toma de pared en sí misma consiste en un conector hembra que contiene el
cable, una montura y un embellecedor. Se conecta el PC a la toma de pared con
un cable de conexión (véase la figura 8.15).
Los conectores hembra RJ-45 de estas tomas de pared también tienen clasi
ficaciones CAT. Hay que comprar conectores con clasificación C A T para las
tomas de pared que igualen la clasificación C A T del cableado de la red. De
hecho, muchos fabricantes de conectores de red usan los mismos conectores en
las tomas de pared y en los paneles de conexiones. Estas tomas modulares
aumentan significativamente la facilidad de instalación. Compruebe que eti
queta la toma para mostrar la tarea de cada conector (véase la figura 8.16).
Una buena toma también llevará alguna forma de etiqueta que identifique su
posición en el panel de conexión. La documentación apropiada de las tomas le
ahorrará posteriormente una cantidad de trabajo increíble.
Aunque acabo de decir que se pueden desplegar los cables por rozas exter
nas, hay que aceptarlo: la mayoría de nosotros preferimos pequeñas tomas en
la pared con los cables dentro de las paredes. Una vez que terminemos de
cartografiar las líneas, veremos qué se necesita para eso.
L a s a la d e e q u ip o s . Mientras cartografía las líneas, debe decidir cuál será la
ubicación de la sala de equipos. A l decidir esta ubicación, tenga en cuenta estos
cinco elementos: distancia, energía, sequedad, baja temperatura y acceso.
• D is t a n c ia . La sala de equipos debe encontrarse en un punto que no re
quiera líneas más largas de 90 metros. En la mayoría de los sitios, man
tener las líneas por debajo de 90 metros no requiere casi esfuerzo, siempre
que la sala de equipos se encuentre en una posición central.
Instalar el cable
Desplegar cables es fácilmente una de las tareas menos agradecidas y más
desagradables de todo el trabajo con redes. Es posible que desde lejos no
parezca tan dura, pero el demonio se oculta en los detalles. Primero, desplegar
el cable requiere dos personas si se desea terminar pronto el trabajo; tres
personas es aún mejor. La mayoría de los instaladores prefieren empezar desde
la sala de equipos y llevar las líneas hasta los contactos de cable. Los
instaladores sacan el cable de un rollo, muchos utilizando un útil carrete que
ayuda a desenrollar el cable. En un área de oficina con falso techo, los
instaladores despliegan los cables a lo largo de la línea abriendo baldosas de
techo y estirando el cable por dentro del falso techo. Los instaladores profesio
nales disponen de un arsenal de interesantes herramientas que ayudan a mover
el cable horizontalmente, incluyendo pértigas telescópicas, cuerdas de nylon
especiales para tirar del cable ¡e incluso ingeniosos arcos y pistolas que pue
den lanzar una cuerda para tirar del cable a grandes distancias! En la figura
8.24 puede ver a un técnico tirando de un cable.
Los instaladores profesionales ya no se limitan a poner un montón de cables
dentro de un falso techo. La anterior falta de códigos o estándares para la
manipulación de cables llevó a una pesadilla de cables desordenados en falsos
techos de todo el mundo. ¡Cualquier instalador de cable le dirá que la parte
más difícil al instalar cables es tener que desenredar las instalaciones viejas de
cable en el techo! (Véase la figura 8.25.)
De vuelta en la sala de equipos, los muchos cables que van a cada área de
trabajo se consolidan y organizan como preparación de la siguiente etapa:
hacer las conexiones. Un verdadero instalador profesional se ocupa con gran
atención de organizar la sala de equipos. En la figura 8.30 puede ver una típica
instalación que usa guías de cable especial para llevar los cables hasta el
estante de equipos.
Hacer conexiones
Como implica su nombre, hacer conexiones consiste en conectar los dos
extremos de cada cable en los enchufes apropiados. Este paso también incluye
el paso más importante de todo el proceso: probar cada línea de cable para
garantizar que todas las conexiones cumplen los requerimientos de la red que
la usará. Los instaladores también usan este paso para documentar y etiquetar
cada línea de cable, un paso crítico que a menudo es olvidado por los instaladores
poco avezados; ¡debe verificar que este paso no se pasa por alto!
Debe poner etiquetas, pero no es necesario que siga una organización tal
avanzada. De hecho, muchos instaladores eligen no hacerlo, pues les parece
que se desperdician puertos en el panel de conexiones. ¿Qué sucede si un lado
de la red crece hasta superar el número de puertos asignados mientras el otro
lado se hace más pequeño? M i respuesta: hay que comprar otro panel de co
nexiones. Otros técnicos prefieren llenar los paneles de conexiones existentes,
aunque eso desordene un poco el esquema organizativo. Es cuestión de gustos
personales, por supuesto. A pesar del esquema de etiquetado, importa una sola
cosa. La parte más importante del etiquetado es que los dos extremos de un
cable dado deben decir lo mismo. En la figura 8.37 se muestran algunas eti-
quetas en un panel de conexiones típico. Mire la toma de pared de la figura
8.38. Fíjese que la etiqueta en la toma corresponde a la etiqueta en el panel de
conexiones de la figura 8.37. Si no se incluye este simple paso, aparecen más
problemas de los que se podrían imaginar. Los buenos instaladores de red
siempre etiquetan las líneas de esta forma, por no mencionar muchas otras
etiquetas que los usuarios no ven, como las etiquetas en el cable dentro de la
pared. El etiquetado correcto puede ahorrar muchos posibles problemas. He
aquí un ejemplo clásico: John quiere instalar un segundo sistema en red en la
oficina sin usar de al lado. Ve que la oficina sin usar tiene una toma en la
pared, pero quiere comprobar que la toma de la pared está conectada con el
concentrador de la red. Su problema: no puede determinar qué puerto del panel
de conexiones necesita usar. Podrá hacer conjeturas o usar una herramienta
especial llamada un rastreador o to n e r (veremos eso en un momento), ¡pero
piense lo rápido que sería todo si lo único que tuviera que hacer fuera leer la
etiqueta de la toma y encontrar la etiqueta correspondiente en el panel de
conexiones! Haga su vida más fácil que la de John y etiquete los paneles de
conexiones y las tomas.
Lo físico
El proceso de instalar un sistema de cableado estructurado es bastante com
plejo, requiere un alto grado de pericia y debe dejarse para los profesionales.
Sin embargo, entendiendo el proceso, descubrirá que puede abordar la mayo
ría de los problemas que surgen en un sistema de cableado estructurado ya
instalado. ¡Compruebe que se siente cómodo con los componentes del cableado
estructurado!
Redes conmutadas
A l añadir algunos PC a una base lOBaseT, el tráfico de red va creciendo.
A l crecer el tráfico de red, los usuarios empezarán a experimentar un retardo
perceptible en el rendimiento de la red. Una de las soluciones hardware más
rápidas y baratas para el exceso de tráfico en cualquier red Ethernet bus estre
lla es que se añada un conmutador. Para cambiar a una red lOBaseT conmutada,
simplemente quite un concentrador y reemplácelo con un conmutador. No hay
que hacer nada con las tarjetas ni los cables.
Como los concentradores, los conmutadores vienen en una mareante varie
dad de formas y tamaños. Como tal vez haya adivinado, las compañías que
fabrican concentradores también suelen fabricar conmutadores, usando en
muchos casos las mismas carcasas para concentradores y conmutadores. De
hecho, a una distancia de 5 metros, un concentrador y un conmutador equiva
lentes parecen idénticos. En la figura 8.43 se muestra un pequeño concentrador
Intel encima de un pequeño conmutador; son prácticamente idénticos.
En el pasado, los conmutadores eran muchísimo más caros que los
concentradores, pero en los últimos años el precio de los conmutadores ha
bajado mucho: desde miles de euros a sólo unos cientos. Puede encontrar pe
queños conmutadores de ocho nodos en su tienda de informática local por
menos de 100€. Con la espectacular bajada de precios, el conmutador ha
pasado de ser una tecnología de lujo a ser una parte estándar de todas las
redes.
Muy bien, podemos comprar un conmutador sin tener que hipotecar la casa
para pagarlo, ¿pero qué hacemos con él una vez en nuestro poder? Tenemos
muchas posibilidades dependiendo del tipo de red en cuestión, pero hay bas
tantes probabilidades de que haya que escoger entre dos estrategias de
implementación comunes. La primera opción es cambiarlo todo: olvidar los
concentradores normales y conectarlo todo a un conmutador. La segunda op
ción es usar el conmutador como un puente entre concentradores. Veamos las
dos opciones, usando Bayland Widget como ejemplo.
La red de Bayland tiene tres concentradores, cada uno de los cuales se
puede reemplazar con un conmutador. Esto elimina el problema del dominio de
colisión: con tres concentradores en cascada, los paquetes enviados por cual
quiera de los PC tienen que ir a todos los otros PC de todos los concentradores,
elevando la probabilidad de colisiones. Como los conmutadores dirigen cada
paquete sólo al PC destinatario especificado, no hay colisiones (después de
que el conmutador determina las direcciones M A C y crea una conexión directa
entre los dos ordenadores). Esto es estupendo porque significa que todas las
conexiones van a la velocidad potencial máxima de la red, en este caso, los 10
Mbps de una red lOBaseT. Recuerde, en el momento en que empiece a usar
conmutadores, puede olvidarse de la regla 5-4-3.
Concentradores y conmutadores_________________________
Visite su tienda de informática local y mire la selección de concentradores y
conmutadores Ethernet. ¿Qué porcentaje de dispositivos son concentradores?
¿Cuántas opciones de concentrador distintas hay? ¿Cuál es la diferencia de
coste entre un concentrador y un conmutador con el mismo número de puertos?
Es útil señalar que reemplazando los concentradores con conmutadores se
reducen las colisiones, pero éstas no desaparecen. Incluso en la red Ethernet
más eficiente, se producirán colisiones cuando el conmutador y la NIC esta
blecen un canal de comunicación. Ese contacto inicial atraviesa todo el domi
nio de colisión. Si está controlando las colisiones de red en un entorno de
oficina, por ejemplo, notará un brusco incremento cuando la gente llega a sus
mesas por la mañana e inicia la sesión en la red. Después las colisiones prác
ticamente desaparecen durante el resto del día.
Redes multivelocidad______________________
En el mundo de las redes, la tecnología más rápida no siempre es la mejor.
En mi oficina usamos una red lOOBaseT. Aunque Gigabit Ethernet está dispo
nible si usamos conmutadores y N IC relativamente baratos, el cable C A T 5 de
nuestra red no se instaló lo bastante bien para admitirla. Los conectores RJ-45
no se engastaron bien en las tomas de las paredes y el cableado horizontal se
puso demasiado cerca de las luces fluorescentes, de modo que sería necesario
sustituir todo el cableado estructurado. El trabajo que hacemos es tal que la
inmensa mayoría de los usuarios de la red ni siquiera notaría la velocidad extra
de Gigabit Ethernet. Los ordenadores que navegan por la Web, extraen el
correo electrónico y transfieren documentos Word casi no aprovechan las co
nexiones de 100 megabits, ¡mucho menos las gigabit! Por otra parte, mis ocu
pados servidores gestionan casi 50 veces tanto trabajo como mis estaciones de
trabajo y se verían muy beneficiados por el aumento de velocidad. ¿Cómo
puedo hacer que mis servidores vayan a velocidades Gigabit Ethernet, mien
tras mis PC normales van en lOOBaseT?
El secreto está en una clase de conmutadores llamada conmutadores
multivelocidad. Los conmutadores multivelocidad pueden ser de dos tipos. Un
tipo es un conmutador con determinado número de, por ejemplo, puertos
lOOBaseT. A l lado de estos puertos hay uno o dos puertos Gigabit. Puedo
poner tarjetas Gigabit Ethernet en mis servidores y después conectar esos ser
vidores directamente en los puertos Gigabit (véase la figura 8.45).
Con el segundo tipo de conmutador multivelocidad, cada puerto es capaz de
ir a más de una velocidad. En la figura 8.46 puede ver las luces de enlace del
conmutador principal de mi oficina. Cada puerto del conmutador puede ir a 10
ó 100 Mbps. Estos puertos son autosensibles; esto significa que cuando se
conecta un cable a cualquier puerto, el puerto detectará la velocidad de la NIC
en el otro extremo del cable e irá a esa velocidad. Un puerto autosensible que
va a 10 ó 100 Mbps se conoce como un puerto 10/100. Un puerto que va a 10,
100 o Gigabit se conoce como un puerto 10/100/1000.
También encontrará conmutadores que combinan los dos tipos recién des
critos. Por ejemplo, yo tengo un conmutador con 24 puertos multivelocidad
10/100 y dos puertos Gigabit.
Las redes multivelocidad son increíblemente comunes, pues proporcionan
una forma fácil de prestar soporte a unos pocos sistemas que necesiten una
conexión de alta velocidad, al tiempo que también prestan soporte a sistemas
de menor velocidad. Otra gran ventaja de las redes multivelocidad es que se
pueden usar los puertos de alta velocidad de un conmutador para interconectar
otros puertos de alta velocidad en otros conmutadores multivelocidad. Esto
crea un segmento especial separado llamado espina dorsal (b a ck b o n e ) que
actúa como interconexión principal para toda la red. Las espinas dorsales son
populares en redes grandes en las que los sistemas están esparcidos por pisos y
edificios. Hablemos a continuación de las redes grandes y veamos cómo enca
jan las espinas dorsales en la imagen.
La entrada del edificio es donde todos los cables del mundo exterior (líneas
de teléfono, cables de otros edificios, etc.) entran en el edificio (véase la figura
8.48). El EIA/TIA especifica exactamente cómo debe configurarse la entrada
del edificio, pero no estamos interesados en esta entrada más allá de saber que
se debe usar cable de fibra óptica entre edificios.
NIC Ethernet________________________________
Las NIC Ethernet son con mucho el tipo de NIC más común de los usados
hoy. Es difícil conocer la estadística real, pero se puede decir con seguridad
que la mayoría de las nuevas instalaciones usan Ethernet de una forma u otra.
Las instalaciones Ethernet son también las más complicadas, por la gran va
riedad de tipos de cable y velocidades.
10Base5 (Thicknet)
Como hemos visto, las NIC 10Base5 (Thicknet) usan un conector D IX DB
hembra de 15 agujas (véase la figura 8.49). El cable de conexión Ethernet va
desde el conector D IX de la NIC al AU I, que también tiene un conector DIX.
Muchos técnicos se refieren erróneamente al conector D IX como el AU I, como
en "¡Eh, enchufa ese A U I antes de que se enfríe el café!".
10Base2
Las NIC 10Base2 (Thinnet) tienen un conector BNC (véase la figura 8.50)
en el que se enchufa el cable de red a través de un conector T.
IQBaseT_______________________________ _________ __
Las NIC lOBaseT, lOOBaseT y Gigabit Ethernet usan todas el conector
RJ-45. El cable va desde la N IC a un concentrador o un conmutador (véase la
figura 8.51). Es imposible diferenciar unas de otras simplemente mirando la
conexión.
Fibra óptica____________________________________________
Las NIC de fibra óptica son más complejas. La mayoría de los estándares
de red de fibra óptica permiten que las tarjetas usen conexiones SC o ST en
estas NIC, por lo que debe estar atento a las variaciones, incluso entre tarjetas
del mismo fabricante (véase la figura 8.52).
Eh, esta tarjeta Token Ring de pronto se parece mucho a una tarjeta lOBaseT,
¿verdad? El problema de averiguar qué tipo de conector va con qué N IC se
complica por el hecho de que muchas tecnologías de red usan el mismo conector,
en concreto el RJ-45. ¿Cómo podemos saber si la N IC que tenemos en la mano
con una conexión RJ-45 es para lOBaseT, lOOBaseTX o Token Ring? La mala
noticia es que no siempre se puede saber; la buena es que hay algunas pistas.
Por ejemplo, si ve una tarjeta combo RJ-45/BNC, puede estar bastante seguro
de que el conector RJ-45 es para lOBaseT. Además, la mayoría de las tarjetas
tendrán alguna información impresa en ellas que puede proporcionar pistas.
Todos los que fabrican tarjetas Token Ring les ponen nombres que suenan a
Token Ring. Así, si ve una palabra como TokenLink impresa en a tarjeta,
puede al menos empezar pensando que es una tarjeta Token Ring. Por último,
está el pequeño detalle de que las N IC que está examinando probablemente
forman parte de una red Token Ring o una red Ethernet; una pista bastante
importante, ¿no le parece?
Diferenciar entre Token Ring y Ethernet es generalmente bastante fácil.
Pero suponiendo que tenemos una N IC Ethernet RJ-45, ¿cómo sabemos si es
lOBaseT, lOOBaseT u otro tipo de red? Esto es algo más difícil. Primero,
conozca la red y las tarjetas que compra. Segundo, conozca los números de
modelo. Todas las N IC tienen un número de modelo del fabricante que se
puede usar para determinar sus capacidades exactas. El número de mo
delo casi siempre está impreso en la tarjeta. Por último, rece por que la NIC
sea Conectar y utilizar (Plug and Play o PnP) e insértela en un sistema
Windows 98/Me o Windows 2000/XP. Si tiene suerte, la aplicación PnP
reconocerá la tarjeta y dará algún indicio textual del tipo de tarjeta que es
(véase la figura 8.54).
El número de modelo es la verdadera clave para conocer las NIC. Como
pronto veremos, si tenemos el número de modelo de una NIC, también conoce
mos el controlador correcto para esa NIC. Hay que abordar este asunto antes
de colocar la N IC en un sistema, pues una vez que la N IC está instalada en el
PC, es difícil determinar el número de modelo desde una pantalla Windows.
Muchos técnicos de red usan uno de los siguientes dos métodos para recordar
los tipos de tarjetas usados en sus sistemas. La mejor forma es simplemente
comprobar que el número de modelo de la N IC está impreso en la tarjeta. Si el
fabricante no ha puesto el número de modelo en la NIC, un buen administrador
de red pondrá el número de modelo o algún otro número físicamente en la NIC,
como se muestra en la figura 8.55.
Instalar NIC
Ahora que tenemos un conocimiento básico de los diferentes tipos de NIC,
veamos el proceso de instalar una N IC en un PC. Instalar una N IC implica tres
pasos diferentes. Primero, hay que instalar la N IC físicamente. Segundo, hay
que asignar a la NIC recursos no usados del sistema, con PnP o manualmente.
Tercero, hay que instalar, a mano o con PnP, los controladores apropiados
para la tarjeta.
Conexiones físicas
Aquí diré lo obvio: ¡si no enchufa la N IC en el ordenador, no va a funcio
nar! Muchos usuarios suponen alegremente que existe algún tipo de magia
cuántica actuando en la comunicación entre ordenadores, pero, como técnicos,
nosotros sabemos que no es así. Afortunadamente, insertar físicamente la NIC
en el PC es la parte más fácil de la tarea. La mayoría de los PC actuales tienen
dos tipos de ranuras de expansión. La ranura de expansión más común es la de
tipo Interconexión de componente periférico (P C I) (véase la figura 8.56). Las
ranuras PCI son ranuras de expansión rápidas, de 32 bits y de configuración
automática: prácticamente todas las nuevas N IC que se venden hoy son del
tipo PCI, y por una buena razón. La velocidad de PCI permite al sistema
aprovechar al máximo la NIC.
Otro tipo de ranura usada para las N IC es PCI-X. PCI-X es simplemente
una PCI más rápida, con una ranura ligeramente más larga (y de un color
brillante). PCI-X es popular con Gigabit Ethernet debido a su alta velocidad,
pero requiere una placa madre con una ranura PCI-X. Muchas placas madre
de última línea vienen con al menos una ranura PCI-X.
Si no le atrae la idea de abrir una carcasa, puede conseguir NIC con co
nexiones USB o PC Card. USB es cómoda, pero lenta, mientras que PC Card
se aplica sólo a portátiles (véase la figura 8.57). Las N IC USB son útiles para
tenerlas a mano. Si se encuentra con una máquina que podría tener una N IC en
mal estado, pruebe a la sospechosa insertando una NIC USB y llevando el
cable de red desde la NIC problemática a la USB. (¡N o olvide llevar consigo el
disco de controladores!)
Luces
La mayoría de las NIC fabricadas hoy tienen algún tipo de luces, que en
realidad son diodos emisores de luz (LED; véase la figura 8.58). Ahora que
sabe que son LED, llámelos "luces" como todos los demás técnicos de red. Las
NIC con luces son en su mayoría las de tecnologías de red Ethernet que usan
RJ-45 (lOBaseT, lOOBaseT, etc.) y las tarjetas Token Ring. No se sorprenda
si una antigua tarjeta 10Base2 no tiene luces. Nada garantiza que una NIC
tenga luces. En muchos caso, las N IC con luces tienen dos LEC. A veces sólo
hay uno, y pueden ser de cualquier color. Las tarjetas más avanzadas pueden
tener cuatro luces. Estas luces dan indicaciones de qué está sucediendo, lo que
hace que sea mucho más fácil resolver problemas de una NIC.
Compruebe la NIC____________________
Queda avisado de que una N IC defectuosa también puede generar este pro
blema "no puedo ver la red". Entre en Administrador de dispositivos y
verifique que la N IC está funcionando. Si tiene una NIC con software de
diagnóstico, ejecútelo; este software comprobará los circuitos de la NIC. El
conector hembra de la N IC es un punto de fallos común, por lo que las N IC
que vienen con software de diagnóstico a menudo incluyen una prueba especial
llamada test de bucle de retorno (lo o p b a c k test). Un test de bucle de retorno
envía datos al exterior de la N IC y comprueba si los datos vuelven. Algunas
NIC realizan sólo un bucle de retorno interno, que comprueba que los circuitos
envían y reciben, pero no mira las agujas de conexión. Un verdadero bucle de
retorno requiere que se inserte un conector de bucle de retorno en el puerto de
la NIC. Si una NIC es defectuosa, reemplácela, preferiblemente con una NIC
idéntica para no tener que reinstalar controladores.
Diagnósticos de NIC
A pesar de los anuncios de muchos fabricantes de software, no hay nada
parecido a un solo programa utilidad que pueda probar cualquier NIC.
Los programas que anuncian esto tratan de comunicarse con la N IC a
través de los controladores de la N IC para enviar paquetes. Si la NIC
está estropeada físicamente o si el controlador no funciona, se produce
un fallo. No se necesita un programa especial para hacer esto: ¡basta
con intentar acceder a una página Web utilizando el navegador para
llegar a la misma conclusión! Si quiere comprobar su NIC, necesitará
un programa de diagnósticos diseñado para esa NIC; si no tiene un CD-
ROM que viniera con el hardware, visite el sitio Web del fabricante para
buscar un programa que pueda descargar.
Generadores de tonos
Sería estupendo poder decir que todas las instalaciones de cable son perfec
tas y que, después de unos años, no crecen para convertirse en horribles mon
tones de cables sin etiquetar tipo espagueti. Pero, en la realidad, al final se
encontrará con la necesidad de tener que localizar ("rastrear” es el término que
usan los instaladores) cables. Incluso en las redes mejor planificadas, las eti
quetas se caen de puertos y tomas, aparecen cables misteriosos detrás de las
paredes, se añaden nuevas líneas de cable y se cometen errores al contar filas
y columnas en los paneles de conexiones. Antes o después, la mayoría de los
técnicos de red tendrán que ser capaces de elegir un cable o puerto entre un
montón indeterminado.
Cuando llega el momento de rastrear cables, los técnicos de red usan un
dispositivo llamado to n e r o rastreador. T o n e r es el término genérico para dos
aparatos distintos que se usan juntos: un generador de tonos y una sonda de
tonos. El generador de tonos se conecta al cable usando clips, pequeños gan
chos o un enchufe de red, y envía una señal eléctrica a lo largo del cable a
determinada frecuencia. La sonda de tonos emite un sonido cuando se pone
cerca de un cable conectado al generador de tonos (véase la figura 8.62). Estos
dos dispositivos a menudo reciben el nombre de marca Fox (zorro) y Hound
(sabueso), un popular modelo de rastreador fabricado por Triplett Corporation.
Figura 8.62. Una sonda de tonos en acción.
Proyectos de laboratorio________________________
En esta sección, voy a comentar lo básico que necesita saber para despegar
con las redes inalámbricas. Empezaré con el hardware y el software que nece
sita, y después hablare de modos de operación de la red inalámbrica, tecnolo
gías de seguridad y especificaciones inalámbricas, como velocidad, rango y
frecuencias de emisión. Por último, comentaré el acceso a medios de red
inalámbrica, que es cómo evitan los dispositivos inalámbricos pisar los paque
tes de datos de los otros dispositivos.
Hardware de red inalámbrica
El hardware de redes inalámbricas atiende a la misma función que el
hardware usado en PC de cable. Las N IC Ethernet inalámbricas y los
adaptadores Bluetooth cogen los datos que vienen de capas OSI superiores, los
encapsulan en paquetes, envían los paquetes a través de los medios de red
como cadenas de unos y ceros y reciben paquetes de datos enviados por otros
PC. La única diferencia es que en lugar de llenar un cable de red con corriente
eléctrica o disparar pulsos de luz, estos dispositivos transmiten y reciben on
das de radio.
Las capacidades de red inalámbrica están integradas de una forma u otra en
muchos dispositivos informáticos modernos. Las capacidades inalámbricas
Ethernet y Bluetooth son cada vez más populares como componentes integra-
dos o se pueden añadir fácilmente con tarjetas PCI o PC Card. De hecho,
muchas N IC PCI inalámbricas son simplemente N IC PC Card inalámbricas
que se han alojado permanentemente en una tarjeta componente PCI. En la
figura 9.1 puede ver una tarjeta PCI Ethernet.
¡
impresoras de red utilizan NIC inalámbricas o adaptadores Bluetooth, La ma
yoría de los ordenadores de bolsillo y Asistentes digitales personales (P D A )
también tienen capacidades inalámbricas integradas o como opción a añadir.
En la figura 9.3 puede ver un antiguo PD A Handspring que accede a Internet a
través de una tarjeta adaptadora de red inalámbrica.
¿Es el adaptador de red inalámbrica el único hardware que hace falta para
conectar inalámbricamente? Bueno, si lo que se necesita es simple (por ejemplo,
si estamos conectando un pequeño conjunto de ordenadores a un grupo de traba
jo descentralizado), la respuesta es sí. Sin embargo, si hay que extender las
capacidades de una red Ethernet inalámbrica, por ejemplo, conectando un seg
mento de red inalámbrica a una red de cable o conectando juntos varios segmen
tos de red inalámbrica, se necesita equipamiento adicional. Esto generalmente
significa que hacen falta puntos de acceso inalámbricos y puentes inalámbricos.
Un punto de acceso inalámbrico conecta nodos de red inalámbricos a redes
inalámbricas o de cable. Muchos puntos de acceso inalámbricos son una com
binación de dispositivos que actúan como concentradores, conmutadores, puen
tes y enrutadores de alta velocidad, con todos los papeles en uno. El dispositivo
Linksys mostrado en la figura 9.4 es un ejemplo de este tipo de dispositivo
combinado.
Modo ad-hoc_________________________
El modo ad-hoc a veces recibe el nombre de modo entre iguales, con cada
nodo inalámbrico en contacto directo con todos los demás nodos de forma
descentralizada, como se muestra en la figura 9.8. El modo ad-hoc es similar a
la topología malla comentada en capítulos anteriores.
Dos o más nodos inalámbricos que se comunican en el modo ad-hoc forman un
Set de servicio básico independiente (IBSS). Se trata de una unidad de organiza
ción básica en las redes inalámbricas. Puede imaginar un IBSS como un grupo de
trabajo inalámbrico sin alejarse de la realidad. Las redes en el modo ad-hoc son
adecuadas para grupos pequeños de ordenadores (menos de una docena) que nece
siten transferir ficheros o compartir impresoras. Las redes ad-hoc también son
buenas para redes temporales, como grupos de estudio o reuniones de empresa.
Casi nadie usa redes ad-hoc para el trabajo diario, simplemente porque no
se puede usar una red ad-hoc para conectar con otras redes a menos que una de
las máquinas esté ejecutando Compartir conexión de Internet (Internet
Connection Sharing o ICS) o algún equivalente. Es más común ver redes
inalámbricas en el modo infraestructura.
SSID__________________________________________________
Cifrado_______________________________________________
El siguiente paso para asegurar una red inalámbrica es cifrar los paquetes
de datos que están flotando en el aire. Con el cifrado, los paquetes de datos se
revuelven electrónicamente y se "bloquean" con una "clave" de cifrado privada
antes de transmitirlos por la red inalámbrica. El dispositivo de red receptor
tiene que tener la clave de cifrado para ordenar los paquetas y procesar los
datos. Así, cualquier paquete de datos atrapado furtivamente en el aire es
inútil para el espía a menos que disponga de la clave de cifrado. Habilitar el
cifrado inalámbrico usando Privacidad de equivalencia inalámbrica (W E P) o
Acceso protegido W i-Fi (W P A ) proporciona un buen nivel de seguridad para
los datos en tránsito.
C i f r a d o d e d a to s u s a n d o W E P . El cifrado estándar Privacidad de equiva
lencia inalámbrica (W E P) utiliza un algoritmo de cifrado de 64 bits para re
volver los paquetes de datos, pero la mayoría de los fabricantes ya permiten
algoritmos de 128 bits. Si tiene esta opción y está en una situación de alto
riesgo, debe usar siempre el cifrado más fuerte disponible para sus dispositi
vos de red inalámbrica.
Incluso con el cifrado más fuerte habilitado, no se considera que W EP sea
una solución de seguridad especialmente robusta. Piense, por ejemplo, que
WEP no proporciona cifrado completo para los paquetes de datos. Esto es,
WEP funciona sólo en las dos capas de red OSI inferiores: las capas Enlace de
datos y Física. El cifrado se elimina de los paquetes de datos antes de que
atraviesen las siguientes capas de red hasta la aplicación. Otro problema con
WEP es que la clave de cifrado es estática (nunca cambia de una sesión a otra)
y compartida (todos los nodos de la red usan la misma clave). Tampoco hay
ningún mecanismo para realizar la autenticación de usuario. Esto es, los nodos
de red que usan el cifrado W EP se identifican con sus direcciones M A C y no
se ofrecen ni requieren otras credenciales. Con el equipamiento correcto, las
direcciones M A C son bastante fáciles de rastrear y duplicar, abriendo así la
vía para un posible ataque. Si quiere un verdadero cifrado extremo-a-extremo
con autenticación, tiene que usar W PA.
C if r a d o d e d a to s u s a n d o W P A . El Acceso protegido W i-Fi (W P A ) resuel
ve la debilidad de W EP y actúa como una especie de mejora del protocolo de
seguridad para los dispositivos ajustados a WEP. W P A ofrece mejoras de
seguridad tales como la generación de clave de cifrado dinámica (se envían
claves para cada usuario y para cada sesión), una función de comprobación de
integridad de clave de cifrado, autenticación de usuario a través del Protocolo
de autenticación extensible (E A P ) estándar en la industria y algunas otras
características avanzadas de las que carece WEP.
El inconveniente es que W P A no está disponible en todos los dispositivos
de red inalámbrica. Incluso en los que lo incluyen (o los que lo ofrecen como
una opción de actualización), W P A puede ser difícil de configurar, requirien
do actualizaciones d efirm w a re de todos los puntos de acceso, adaptadores de
red y software cliente. Tenga en cuenta también que W P A se plantea sólo
como una solución de seguridad temporal mientras se ratifica el nuevo estándar
de seguridad IEEE 802.11 i.
Comunicación Bluetooth________________________________
Los dispositivos Bluetooth recorren cuatro etapas para encontrarse unos a
otros y empezar a hablar: descubrimiento de dispositivo, descubrimiento de
nombre, asociación y descubrimiento de servicio.
Durante el descubrimiento de dispositivo, el dispositivo Bluetooth emite su
dirección M A C y también un código identificando qué tipo de dispositivo es
(PDA, impresora, etc.). También existe la opción de establecer el dispositivo
Bluetooth en el modo sin descubrimiento, saltando así esta etapa. Durante la
etapa de descubrimiento de nombre, el dispositivo se identifica a sí mismo con
un nombre amistoso, como iPAQ Pocket PC. Después viene la etapa de aso
ciación, también llamada de ligadura, emparejamiento o unión, dependiendo
del fabricante del dispositivo. Ésta es la etapa en la que el dispositivo se une
oficialmente a la red Bluetooth. Algunos dispositivos requieren que se intro
duzca un código PIN para la asociación, proporcionando cierta seguridad. Por
último, durante el descubrimiento de servicio, el dispositivo Bluetooth dice
qué tipo de servicio (perfiles) proporciona.
Desde la perspectiva de su PC, los dispositivos Bluetooth se manifiestan
como una red separada a la que se accede a través del Explorador de Windows,
como se muestra en la figura 9.10.
Servicios Bluetooth_____________________________________
Los distintos servicios a los que presta soporte Bluetooth, llamados perfi
les, los define la especificación 1.1 Bluetooth. Los 13 perfiles Bluetooth comu
nes son los que siguen:
• P e r f il d e a c c e so g e n é r ic o . Define cómo las unidades Bluetooth descu
bren y establecen una conexión unas con otras.
Compras inalámbricas__________________________________
Ahora que está armado con el conocimiento de varias versiones de Ethernet
inalámbrica, conocidas como 802. l l x , y Bluetooth, es el momento de ver qué
hay disponible en el mundo real. Visite su tienda de informática local y vea qué
venden. ¿Qué fabricantes tienen dispositivos Wi-Fi? ¿De qué tipo? ¿Principal
mente son 802.1 la, b o g? ¿Qué tipo de dispositivos Bluetooth puede encontrar?
Seguridad Bluetooth____________________________________
Bluetooth ofrece para la seguridad cifrado propio de 128 bits y la capaci
dad de establecer contraseñas para cada usuario como salvaguardia contra el
acceso no autorizado a la red Bluetooth. Bluetooth también presta soporte a la
seguridad estándar en la industria del Protocolo de túnel punto a punto (PPTP)
y la Capa de sockets seguros (SSL) a través de acceso remoto basado en
navegador. El acceso a redes Bluetooth puede controlarse con filtrado de di
recciones M A C y los dispositivos Bluetooth pueden establecerse en el modo
sin descubrimiento con el efecto de ocultarlos a otros dispositivos Bluetooth.
En la tabla 9.3 se muestran las especificaciones importantes de Bluetooth.
Wi-Fi y HomeRF____________
La mecánica de configurar un PC con un adaptador de red inalámbrico no es
muy diferente de la instalación de una NIC de cable. Los adaptadores inalámbricos
Wi-Fi o Home RF modernos, ya sean dispositivos PCI instalados internamente,
dispositivos PC Card o USB, son completamente Plug and Play, por lo que no
hay que dedicar mucho tiempo a prepararju m p ers y configurar recursos a mano.
La clave está en seguir las instrucciones del fabricante. Algunos fabricantes
recomiendan instalar los controladores de dispositivo y el software de la utilidad
de configuración antes de enchufar el dispositivo. No seguir las instrucciones del
fabricante casi siempre producirá problemas posteriormente.
Una vez enchufado el aparato, abra el Administrador de dispositivos de
Windows y compruebe si aparecen errores o conflictos. Si todo está limpio, ya
puede empezar a configurar el adaptador para usar la red.
Las redes inalámbricas W i-Fi y HomeRF prestan soporte a los modos de
operación ad-hoc e infraestructura. El modo elegido dependerá del número de
nodos inalámbricos a los que haya que prestar soporte, la forma en que se
comparten los datos y los requerimientos de gestión.
Bluetooth
Antes de pasar a la configuración de Bluetooth, quiero darle un aviso.
Aunque en este momento Bluetooth es un estándar bien establecido con un
amplio apoyo entre los fabricantes, configurar dispositivos Bluetooth puede
ser todavía un asunto de prueba y error. Muchos fabricantes de Bluetooth
ajustan tanto sus productos que los dispositivos tienen problemas para hablar
con productos de otros fabricantes. Si quiere ahorrarse dolores de cabeza,
asegúrese de leer toda la documentación que viene con su aparato Bluetooth,
compruebe en el sitio Web del fabricante si hay información o controladores
actualizados y prepárese a dedicar bastante tiempo a resolver problemas.
Configuración Bluetooth
Siga las instrucciones del fabricante para instalar su adaptador Bluetooth.
Probablemente tendrá que instalar su controlador y utilidad de configuración
por adelantado, especialmente si el adaptador USB se conecta a través de
USB. Una vez que el adaptador está instalado, la tarea está casi terminada.
Los dispositivos Bluetooth se buscan unos a otros y establecen la relación
maestro/esclavo sin la intervención del usuario.
La conexión a una P A N Bluetooth la realiza un software de utilidad espe
cial proporcionado por el dispositivo portátil o el fabricante del dispositivo
Bluetooth. En la figura 9.19 se muestra un ordenador de bolsillo Compaq
iPAQ ejecutando el software Bluetooth Manager para conectar con un punto
de acceso Bluetooth. Como sus homólogos Wi-Fi, los puntos de acceso Bluetooth
usan una utilidad de configuración basada en navegador. En la figura 9.20 se
muestra la pantalla de configuración principal de un punto de acceso Bluetooth
Belkin.
Use esta pantalla de configuración para comprobar el estado de los disposi
tivos Bluetooth conectados; configurar el cifrado, el filtrado de direcciones
M AC y otros ajustes de seguridad; y para acceder a otras utilidades proporcio
nadas por el fabricante del punto de acceso.
Romper Wi-Fi______________________________
Ya ha leído sobre ello. Ahora es el momento de ver la película (o por lo
menos lo siguiente mejor). Si tiene una red W i-Fi funcional configurada en el
modo infraestructura, intente romperla. ¿Qué sucede cuando cambia canales?
¿Qué ocurre si deja de emitir el SSID? ¡Sea creativo en esto! El objetivo es
experimentar los problemas típicos y entender las causas concretas.
Después de leer este capítulo, debe entender lo siguiente acerca del trabajo
en red.
Proyectos de laboratorio
311
10. Protocolos
Todo lo aprendido hasta ahora apunta a un solo objetivo: llevar los paque
tes correctos al sistema correcto. Nos hemos concentrado en hardware con la
forma de cables, concentradores, conmutadores y N IC que se ocupan de la
mayor parte de esta tarea. Ahora es el momento de apartarnos del hardware y
empezar a mirar el software integrado en el sistema operativo que se ocupa de
los principales deberes de la red: los protocolos de red.
Utilizando el modelo de siete capas OSI como guía, este capítulo define los
protocolos de red y detalla exactamente qué hacen los protocolos de red para
lograr que la red funcione en un sistema. Una vez que entienda qué hacen
exactamente los protocolos de red, veremos con más detalle varios protocolos
de red distintos del pasado y de hoy día para ver cómo funcionan y cómo se
instalan.
Protocolos de red_____________________________
El término protocolo de red describe todo el software de un PC que permite
que las aplicaciones compartan o accedan a recursos. Su primera reacción tal
vez sea "¡Estupendo! ¿Dónde está ese software?". No se moleste en buscar en
M i PC intentando encontrar estos programas. Por supuesto, existen, pero cada
sistema operativo los almacena de forma diferente. Estos programas podrían
ser ficheros ejecutables o ficheros de soporte, como Bibliotecas de vínculos
dinámicos (D L L ) Windows. Algunos sistemas operativos integran estos pro
gramas en el núcleo del propio sistema operativo. Pero aunque es difícil mos
trarle los programas exactos que hacen esta tarea, puede entender qué hacen y
ver qué puede hacer para conseguir que funcionen.
Sólo hay un puñado de protocolos de red. Actualmente, el famoso protocolo
de red TCP/IP es con mucho el más usado en redes. Otros protocolos de red,
como IPX/SPX de Novell y NetBIOS/NetBEUI de Microsoft, también son
populares y gozan de bastante soporte, aunque ambos han perdido terreno
respecto a TCP/IP. Hay una razón simple para esto: la mayor red del mundo,
Internet, va con TCP/IP.
Pilas de protocolos
Puede ver que los protocolos de red que acabo de nombrar tienen todos una
barra inclinada en sus nombres. Esas barras están ahí por una razón. Los proto
colos de red son grupos de protocolos diseñados para funcionar juntos, pero en
niveles diferentes del modelo de siete capas OSI. La etiqueta TCP/IP, por ejem
plo, corresponde a Protocolo de control de transmisión (TCP) y Protocolo Internet
(IP). La parte TCP de TCP/IP define un conjunto de protocolos que van en las
capas Sesión y Transporte. La parte IP de TCP/IP define los protocolos que van
en la capa Red. Usamos los términos pilas de protocolos (o menos frecuentemen
te suites de protocolos) para describir estos grupos de protocolos de red.
De hecho, los detalles son un poco más complejos. Cuando decimos TCP,
parece que se trata de un solo protocolo, pero en realidad se trata de una serie de
protocolos operando en las mismas capas OSI con nombres como TCP, UDP e
ICMP. Así, incluso aunque un solo protocolo de red pueda tener sólo dos nom
bres separados por una barra inclinada, ¡eso no significa que sólo se trate de
dos! ¡Pero no tema! Este capítulo desglosa estos protocolos para mostrar sus
diferentes funciones. Por ahora, recuerde que un protocolo de red no es un solo
protocolo. Un protocolo de red es muchos protocolos trabajando juntos en las
capas Aplicación, Presentación, Red, Transporte y Sesión del OSI.
La capa Sesión es fácil que sea la parte más compleja y más visible de la
pila de protocolos de red. Dada su complejidad, casi todos los sistemas
operativos proporcionan herramientas para inspeccionar sesiones de una for
ma u otra. Aunque hay herramientas de la capa Sesión, la mayoría de estas
herramientas permiten sólo inspeccionar las sesiones, no hacer cambios en
ellas. Entonces, ¿dónde se pueden hacer ajustes en las funciones de la capa
Sesión? No se moleste en buscar un programa "Configuración de la capa Se
sión" en su ordenador: no existe nada parecido en ningún sistema operativo.
Más bien, reflexione sobre qué necesita una sesión: un nombre de ordenador (o
número) y un número de función; ¡ésos puede establecerlos! Todos los siste
mas operativos tienen algún medio para que demos al ordenador un nombre o
un número y formas de definir qué funciones puede solicitar o aceptar nuestro
ordenador. Pero dónde y cómo se hacen estos ajustes varía mucho de un siste
ma operativo a otro y según los tipos de recursos que queremos compartir o a
los que queremos acceder.
Ya sabemos que los enrutadores leen los paquetes entrantes para determi
nar qué máquina de la red local debe recibir cada paquete. Los enrutadores
usan la información de paquete para decidir hacia qué puerto dirigir el paque
te. En el capítulo 3 usamos un solo enrutador conectado a un módem de cable
y después a Internet que permitía a varios PC de la L A N MHTechEd conectar
(¿recuerda a Dana y Janelle?). Un solo enrutador podía tener suficientes co
nexiones. De hecho, algunos enrutadores podían tener tantos puertos que, físi
camente, parecían conmutadores. Esto crea una analogía interesante. Los
conmutadores deciden adonde van los bastidores basándose en sus direcciones
M AC. Los enrutadores deciden adonde van los bastidores basándose en su
número de subred (véase la figura 10.5). Esta analogía es tan fuerte que es
común oír decir que un enrutador es un conmutador de la capa 3.
Lo importante del concepto de un protocolo de red es el uso de enrutadores;
un protocolo de red debe proporcionar su propia convención de nombres uni
versal. ¡No todos los protocolos de red lo hacen! Sólo dos protocolos, IPX/
SPX y TCP/IP, proporcionan alguna forma de sistema de numeración univer
sal. Algunos protocolos, siendo el más famoso NetBIOS/NetBEUI, no tienen
una convención de numeración universal, lo que los hace inutilizables en redes
que usan enrutadores.
implementar protocolos________________________
Ahora que tenemos una idea más detallada de qué hacen los protocolos de
red para nuestras redes, investiguemos algunos temas comunes compartidos
por todos los protocolos de red. Primero, muchas redes usan más de un proto
colo. Segundo, esto crea una necesidad de determinar qué protocolos van con
qué NIC, un proceso llamado ligadura. Por último, es necesario instalar real
mente los protocolos de red.
Ligadura_________________________________
Si un solo sistema puede tener varias N IC y varios protocolos, tiene que
haber una forma para decidir qué N IC usan qué protocolos para qué transac
ciones. La solución a esto se llama ligadura. Cada protocolo instalado en un
sistema debe estar ligado a una o más NIC, y toda N IC debe estar ligada a uno
o más protocolos concretos. Mire la figura 10.7 y piense en el sistema E un
momento. Puede suponer correctamente que los protocolos IPX/SPX y TCP/
IP están ligados a la NIC del sistema E. Ahora mire la situación mostrada en la
figura 10.8. En este caso, el sistema E tiene dos NIC: una conectada con los
sistemas A y B, y la otra conectada con los sistemas C y D. Esta situación pide
la ligadura de IPX/SPX a una N IC y la de TCP/IP a la otra. Afortunadamente,
Windows hace que este proceso de ligadura sea extremadamente fácil. Dejare
mos el proceso real de ligadura para después. Por ahora, recuerde que debe
haber al menos un protocolo ligado con cada N IC en un sistema en red.
Antes de añadir un nuevo sistema a una red, debe mirar en uno de los
sistemas existentes cuál es el protocolo que se está utilizando en la red. Casi
todas las redes modernas usan TCP/IP, pero hay sistemas operativos antiguos
que usan otros protocolos. Por ejemplo, las versiones antiguas de N ovell
NetWare pueden usar IPX/SPX, mientras que otras redes en las que sólo se
usen sistemas Windows 9x pueden emplear el protocolo NetBIOS/NetBEUI.
Instalación_______________________________
Cada ordenador de la red requiere un protocolo de red y cada protocolo de
red necesita su instalación. A pesar de la impresión que dan muchos sistemas
operativos, no todas las partes del software de todos los protocolos de red
están integradas en el sistema operativo. Ahora mismo, TCP/IP es tan predo
minante que todos los sistemas operativos tienen preinstalado TCP/IP (¡supo
niendo que el sistema operativo detecta una N IC !), dando la impresión de que
TCP/IP forma parte indivisible del sistema operativo. Preinstalar TCP/IP en el
sistema es algo cómodo, pero si quiere usar otro protocolo de red, tendrá que
trabajar algo más en la instalación y configuración. La mayoría de las versio
nes de Microsoft Windows admiten todos los protocolos de red comunes; de
pendiendo de la versión de Windows que use, pueden necesitar o no instalar un
protocolo. Sea cual sea el protocolo que quiere instalar, es importante que
sepa adonde ir para hacerlo en sus ordenadores Windows. En todos los siste
mas Windows 9x, haga clic con el botón derecho del ratón en Entorno de red y
seleccione Propiedades para abrir el cuadro de diálogo Propiedades de
red. También puede hacer clic en el subprograma Red dentro del Panel de
control para llegar a este cuadro de diálogo (véase la figura 10.9).
Mire atentamente la figura 10.9 y las líneas que empiezan con TCP/IP. ¿Ve
la pequeña flecha que apunta al adaptador de acceso telefónico y al nombre de
la NIC? Esa flecha indica que TCP/IP está ligado con la N IC y con el adapta
dor de acceso telefónico.
Windows 2000, Server 2003 y X P tienen una forma distinta de llegar a los
protocolos. En lugar de una lista con todos los dispositivos de red y todos los
protocolos, 2000 y X P separan cada conexión de red en su propio cuadro de
diálogo de configuración. Haga clic con el botón derecho del ratón en Mis
sitios de red y seleccione Propiedades para abrir la ventana Conexiones de
red (véase la figura 10.10). Esta ventana muestra todos los dispositivos de red
que hay en el sistema. Muchos ordenadores tienen varios dispositivos de red.
En la figura 10.11 se muestra la pantalla de un portátil ¡con montones de
conexiones de red!
Para llegar a los protocolos, haga clic con el botón derecho en la conexión
que quiera cambiar y seleccione Propiedades para abrir el cuadro de diálogo
Propiedades de esa conexión (véase la figura 10.12).
Junto con la instalación viene la configuración. A l profundizar en los dis
tintos protocolos de red, pronto descubrirá que, con la excepción de TCP/IP,
los protocolos de red requieren sorprendentemente poca configuración. Casi
todo lo que se quiere hacer a un protocolo de red en términos de configuración
tiene lugar bajo las propiedades de red.
Conceptos de protocolo_______________________
En esta sección, hemos visto varios conceptos de protocolos importantes.
Utilizando el modelo de siete capas OSI del trabajo en red como guía, ahora
debe tener un conocimiento bastante profundo de qué está haciendo el protoco
lo de red exactamente en sus sistemas. Ahora es el momento de dejar de hablar
de conceptos y profundizar en las tres suites de protocolos más comunes:
NetBIOS/NetBEUI, IPX/SPX y TCP/IP.
NetBIOS/NetBEUl______________________________
Una gran ventaja de NetBEUI, y una de las razones por las que sigue siendo
un protocolo popular, es ésta: para redes sencillas, NetBIOS/NetBEUl no re
quiere configuración, simplemente funciona. ¡Apreciará esto más cuando vea
toda la configuración que necesita TCP/IP! Empecemos con una pequeña his
toria para ver después las dos partes de NetBIOS/NetBEUI, primero NetBIOS
y después NetBEUI, para entender cómo funciona todo.
En los primeros tiempos____________________
Empezando por el DOS y continuando con el más moderno sistema opera
tivo Windows, Microsoft ha disfrutado de un grandísimo éxito en el mundo
PC. Una de las principales razones del éxito de Microsoft nace de su interés
por las necesidades del usuario. Microsoft siempre se ha esforzado por hacer
que el uso de los ordenadores fuera para el usuario lo más fácil posible. Esta
actitud ciertamente se mantuvo cuando Microsoft estaba eligiendo cómo hacer
protocolos para las redes de PC. A mediados de los 80, TCP/IP estaba bien
establecido como protocolo de red para Internet, pero por aquel entonces Internet
no se parecía en nada a lo que es hoy. Microsoft, como todo el mundo aparte de
los más expertos de los técnicos, no vio ninguna razón para usar el protocolo
TCP/IP, libre pero complejo y difícil de configurar. En su lugar, escogieron
diseñar un protocolo mucho más simple: NetBIOS/NetBEUI. La simplicidad
de NetBIOS/NetBEUI viene, en parte, de que está diseñado para compartir
sólo carpetas e impresoras; ¿para qué iba a querer nadie compartir cualquier
otra cosa?
Cuando Windows se desarrolló, Microsoft tomó una decisión corporativa
que todavía nos ronda hoy. Microsoft decidió integrar NetBIOS en el núcleo
del sistema operativo Windows. Cuando instalamos Windows, se nos pide que
demos al ordenador un nombre. Ese nombre es el nombre NetBIOS. El proble
ma era que nadie (excepto los más expertos de los técnicos) notaba que estaba
pasando esto. Encontrar la palabra NetBIOS en algún lugar del ordenador era
difícil y, como resultado, la gente nunca supo que el nombre del ordenador era
el nombre NetBIOS; era simplemente "el nombre del ordenador". Aunque esta
firme integración facilitó la vida de los que usaron las primeras generaciones
de redes Windows, dejo a Microsoft en mal lugar. A l unir NetBIOS tan firme
mente al sistema operativo, dificultó las cosas años más tarde cuando la gente
quiso usar otros protocolos de red, como TCP/IP o IPX/SPX que usaban unas
convenciones de denominación totalmente distintas e incompatibles, en sus
ordenadores Windows. Mientras profundizamos en este fiasco de nombres en
los próximos capítulos, tenga en cuenta que las primeras generaciones de
Windows: NT, 95, 98 y Me, no había manera de activar o desactivar NetBIOS:
¡simplemente estaba ahí!
NetBIOS en sesión_____________________________
NetBIOS de Microsoft maneja las funciones de la capa Sesión para redes
NetBIOS/NetBEUI. NetBIOS gestiona las sesiones basándose en los nombres
de los ordenadores implicados. Un nombre NetBIOS está basado en un nombre
de red de un sistema, que se puede establecer usando el subprograma Red en el
Panel de control. En la figura 10.14 se muestra un ejemplo del nombre de red
de un sistema Windows 98, mostrado por el subprograma Red.
Los nombres NetBIOS están formados con el nombre de red de un sistema,
como especifica el subprograma Red, seguido de un sufijo específico de la
función. El nombre de red del sistema puede contener hasta 15 caracteres.
Cada carácter está representado por un solo código A S C II de 8 bits (un byte).
Por ejemplo, el código ASCII de 8 bits 01100101 (65h en formato hexadecimal)
representa la letra mayúscula A. NetBIOS limita el nombre de red a 15 bytes,
o caracteres, porque reserva el 16° byte para el número de código de función
que define el papel que jugará la máquina en la red en esa sesión concreta. Una
máquina NetBIOS sólo puede jugar varios papeles, dependiendo de las necesi
dades de la sesión.
En la tabla 10.1 se enumeran los códigos del 16° byte comunes usados por
NetBIOS para definir las funciones servidor y cliente de una máquina.
No se preocupe por memorizar todas las funciones y los códigos del 16°
byte mostrados en la tabla. Mejor, veamos un ejemplo utilizando las tres ex
tensiones más utilizadas para entender cómo gestiona NetBIOS una sesión.
Hannah, una amistosa técnica de redes vecina, instala en su red tres siste
mas Windows, llamados MHTECHED, JANELLE y D A N A . Hannah no nece
sita especificar estos nombres NetBIOS. NetBIOS, operando en segundo plano,
determina los nombres NetBIOS automáticamente basándose en los nombres
de los ordenadores (MHTECHED, JANELLE y D A N A ) que Hannah seleccio
nó para estos sistemas. Aunque estos nombres se determinan en la instalación,
es fácil cambiarlos. En Windows 98, vaya al subprograma Red del Panel de
control y haga clic en la ficha Identificación (véase la figura 10.14).
También puede especificar aquí el nombre del grupo de trabajo. NetBIOS
contiene la capacidad de agrupar ordenadores en grupos de trabajo. Los grupos
de trabajo no son más que una forma conveniente de organizar los ordenadores
bajo Entorno de red/Mis sitios de red (véase la figura 10.15). No proporcionan
ninguna forma de seguridad. Versiones de Windows más avanzadas proporcio
nan un agrupamiento más potente llamado dominio; dejaremos los detalles de los
grupos de trabajo y dominios Windows para el siguiente capítulo.
*
Sin un nombre NetBIOS para una función concreta, un sistema no puede
realizar esa función cuando se lo solicita otro nodo de la red. Por ejemplo, si
Hannah se sienta en JANELLE e intenta abrir un fichero en D A N A , JANELLE
no podrá establecer la conexión. ¿Por qué? Porque D A N A no está configurado
para funcionar como servidor. La solicitud de JANELLE para una conexión
con D A N A está dirigida a D ANA<20>. Pero el nombre NetBIOS D AN A<20>
no existe; D A N A sólo puede responder al nombre NetBIOS cliente D ANA<00>
(véase la figura 10.20). Cuando ve el mensaje para D AN A<20>, D A N A sim
plemente supone que va dirigido a algún otro sistema y simplemente hace caso
omiso de él; D A N A ni siquiera envía un mensaje de rechazo a JANELLE.
NetBEUI en Transporte
NetBEUI funciona en la capa Transporte dentro de la suite de protocolos
NetBEUI, dividiendo los grupos de datos grandes en piezas menores en la
máquina emisora y reensamblándolos en el extremo receptor (véase la figura
10.21). El protocolo NetBEUI no requiere configuración después de la instala
ción por el técnico de red. Aunque su simplicidad operacional hace que NetBEUI
sea atractivo para redes pequeñas, también priva a NetBEUI de una capacidad
vital en las redes grandes: el enrutamiento.
Windows 9x____________________________________________
Para añadir el protocolo NetBEUI a un sistema Windows 9x, haga clic en
A g r e g a r en la ficha Configuración del subprograma Red (véase la figura
10.23). Se abre la ventana Seleccionar tipo de componente de red. Selec
cione Protocolo y haga clic en A g r e g a r (véase la figura 10.24). Se abre la
ventana Seleccionar protocolo de red. Seleccione Microsoft como fabri
cante y NetBEUI como protocolo de red (véase la figura 10.25).
Mientras está en el subprograma Red, vuelva a la ficha Configuración y
vea si puede encontrar Cliente para redes M icrosoft y C om partir
impresoras y archivos para redes Microsoft (véase la figura 10.26). Cliente
para redes Microsoft es NetBIOS, junto con algunas herramientas extra para
que funcione el trabajo en red en Windows. Windows 98 llama a su componen
te servidor Compartir impresoras y archivos para redes Microsoft. Para confi
gurar D A N A sólo como cliente, Hannah instala NetBIOS y el Cliente para
redes Microsoft. Hannah ha creado una red de tres nodos, y ella y sus colabo
radores pueden sentarse y empezar en serio a jugar..., quiero decir, a trabajar.
Windows 2000__________________________________________
Windows 2000 no presta soporte a NetBEUI por omisión. Afortunadamen
te, la instalación no es difícil; en muchos sentidos, es igual que el proceso de
instalación en Windows 98. La gran diferencia entre Windows 2000 (y X P ) y
Windows 98 es que hay que escoger la NIC que se quiere ligar con el protocolo
y después seleccionar las propiedades de esa N IC (véase la figura 10.27).
Desde este punto, el proceso es casi idéntico al de Windows 98. Haga clic
en el botón I n s t a la r , seleccione Protocolo y después seleccione NetBEUI. A
continuación verá el protocolo NetBEUI instalado (véase la figura 10.28).
NetBIOS/NetBEUl desaparece__________________
La dependencia de NetBIOS de un espacio de nombres plano dificulta su
uso en entornos W A N grandes, pero su simplicidad lo convierte en una elec
ción ideal para L A N pequeñas. Siempre que el técnico de red asigne a cada
ordenador un nombre exclusivo, NetBIOS hace un buen trabajo. Pero aunque
NetBIOS va bien en redes pequeñas y Microsoft ha realizado algunos pasos de
magia para lograr que NetBIOS funcione en redes más grandes, NetBIOS está
desapareciendo, reemplazado por el más universal DNS. Igualmente, NetBEUI
hace un buen trabajo en la capa Transporte, pero la falta de funciones en la
capa Red hace que no sea adecuado para redes grandes.
IPX/SPX________________________________ __
La suite de protocolos IPX/SPX de Novell, usada principalmente por redes
Novell basadas en NetWare, proporciona una solución más escalable para las
redes si se compara con NetBIOS/NetBEUI. Mientras que la suite de protoco
los NetBIOS/NetBEUI proporciona servicios en las capas Transporte y Se
sión, IPX/SPX incluye una amplia variedad de protocolos operando en las
capas OSI de la tres a la siete (desde la capa Red a la capa Aplicación).
Aunque es más escalable que NetBEUI, IPX/SPX se queda empantanada en
redes grandes debido al exceso de tráfico. La última versión de Novell NetWare
aún presta soporte a IPX/SPX, pero ya usa como predeterminada la suite
TCP/IP.
En una red Novell NetWare, IPX/SPX opera en las capas de la tres a la
siete del modelo OSI. En la figura 10.29 se muestra cómo se relacionan los
distintos protocolos IPX/SPX con las capas OSI. El Protocolo núcleo NetWare
(N C P) se ocupa de varios asuntos de las capas Presentación y aplicación,
mientras que el Protocolo servidor de anuncios (S A P ) se ocupa de la capa
Sesión. SPX funciona en la capa Transporte e IPX maneja todas las funciones
de red.
NCP/SAP en Sesión____________________________
El aspecto más importante acerca de IPX/SPX es que N ovell inventó este
protocolo para que funcionara en un entorno cliente/servidor. Recuerde, Novell
NetWare no es un sistema operativo cliente, por lo que la mayoría de la tarea
de configuración de red se hace en los servidores NetWare. Después de confi
gurar sus servidores, hay que configurar los clientes con los ajustes que se
hayan establecido. Esto es interesante porque hace que el trabajo en red sea un
poco más simple ya que, como con NetBIOS/NetBEUI, hay un número de
funciones a configurar limitado y esas funciones están centradas todas en com
partir impresoras y ficheros.
Los servidores NetWare tienen nombres tipo NetBIOS, pero eso es sólo por
facilidad de uso. En realidad, todos los servidores NetWare tienen un número
de red interno exclusivo de ocho caracteres hexadecimales que identifica cada
servidor. El número de red interno de un servidor podría ser, por ejemplo,
87654321. En una típica red NetWare, los servidores anuncian su presencia a
todos los clientes (y a otros servidores) emitiendo sus números de red internos
cada 60 segundos. Los clientes conservan una lista de los servidores conocidos
y usan esta información para contactar con los servidores según lo necesitan.
NCP presta soporte a todas las aplicaciones usadas en una red NetWare
IPX/SPX. Cuando un cliente solicita un servicio, las funciones NCP del servi
dor manejan las funciones de sesión, presentación y aplicación en su lado para
habilitar una transferencia de datos.
Instalar IPX/SPX____________________________
Instalar IPX/SPX suele significar instalar los clientes Microsoft o N ovell
para NetWare. Microsoft aprovecha el amplio soporte en la industria a IPX/
SPX con su propia versión de la suite de protocolos, llamada Protocolo com
patible con IPX/SPX (Windows 9x) o Protocolo de transferencia compatible
con NW Link IPX/SPX/NetBIOS (Windows 2000/XP/2003) (véase la figura
10.31). Los sistemas operativos de red Microsoft, incluyendo Windows 9x,
Windows 2000 y Windows NT, usan IPX/SPX para dos propósitos: conectar
con servidores NetWare (lo más usual) y proporcionar la funcionalidad de
transporte y red para el trabajo en red Microsoft (rara vez). En el último caso,
Windows emplea NetBIOS sobre IPX/SPX. Windows 2000/XP/2003 mani
fiesta esto claramente añadiendo un segundo protocolo llamado NetBIOS de
NWLink cuando se instala IPX/SPX.
A diferencia de NetBIOS/NetBEUI, que no requiere configuración aparte
de asignar un nombre a cada ordenador, IPX/SPX puede requerir que un técni
co de red se ocupe de la configuración. La primera área que puede necesitar
configuración es el tipo de bastidor. Los paquetes IPX varían de formato se
gún el protocolo usado en la capa Enlace de datos. Por ejemplo, IPX ejecután
dose sobre Ethernet puede usar una de cuatro estructuras de datos, llamadas
tipos de bastidores o tramas: Ethernet 802.3, Ethernet II, Ethernet 802.2 y
Ethernet SNAP. Si dos nodos de red usan tipos de bastidor diferentes, no
podrán comunicarse.
En los tiempos de los clientes de red basados en DOS, los técnicos de red
establecían manualmente el tipo de bastidor para cada sistema de la red. Todas
las versiones de Windows simplifican el proceso detectando automáticamente
el tráfico Ethernet en la red y configurándose a sí mismos para usar el primer
tipo de bastidor que detectan (véase la figura 10.32). Como los sistemas
Windows modernos usan automáticamente cualquier tipo de bastidor que de
tectan primero, los sistemas que se encuentran en redes que usan varios tipos
de bastidores pueden terminar intentando comunicarse mediante tipos de basti
dores incorrectos. Esta situación no es frecuente, pero puede aparecer en redes
NetWare.
Para garantizar que todos los sistemas de una red usan el mismo tipo de
bastidor, un administrador de sistema puede establecer manualmente el tipo de
bastidor de cada sistema usando el subprograma Red (Conexiones de red)
(véase la figura 10.33). Los detalles estructurales de los diferentes tipos de
bastidor no afectan al técnico de red: simplemente tiene que configurar todos
los sistemas para que utilicen el mismo tipo de bastidor.
En algunas redes NetWare, puede ser necesario introducir los números de
red internos y externos. Esto suele hacerse en el mismo cuadro de diálogo en
que se establece el tipo de bastidor. En la figura 10.34 se muestra el cuadro de
diálogo para el protocolo NW Link de Windows X P en el que se establecen los
números de red.
Dividir protocolos 1: NetBIOS sobre 1PX/SPX
Las pilas de protocolos de red no están diseñadas para funcionar con otra
cosa que su propia familia de protocolos. Cuando Novell hizo IPX/SPX, por
ejemplo, la compañía no estaba interesada en trabajar con otros protocolos de
red. La gente que hizo TCP/IP asumió que nunca usaría otra cosa que TCP/IP
y Microsoft pensó lo mismo cuando adoptó y desarrolló NetBIOS/NetBEUI.
Pero, a lo largo de los años, el desarrollo de las situaciones hizo que todo el
mundo cambiara de actitud.
La idea de Microsoft de incorporar estrechamente NetBIOS en el sistema
operativo creó varios problemas importantes de cruce de plataformas. NetBIOS
estaba diseñado para su funcionamiento con NetBEUI, pero otros sistemas,
usando otros protocolos, obligaron a Microsoft a admitir que el protocolo
NetBEUI estaba separando a los ordenadores Windows de otros sistemas que
usaban protocolos como IPX/SPX y TCP/IP. Además, NetBEUI era incapaz
de usar enrutamiento, lo que le hace inútil para todo lo que no sean redes
pequeñas. La solución de Microsoft fue desechar NetBEUI, pero conservar
NetBIOS. Esto tuvo como resultado la división de protocolos, en la que Windows
seguiría ejecutando NetBIOS, pero, en lugar de usar NetBEUI, emplearía los
otros protocolos que se usaban en toda la red.
TCP/IP_______________________________________
Como siempre, con mayor funcionalidad aumenta la complejidad. La suite de
protocolos TCP/IP ofrece una solución más escalable para las redes más gran
des, pero requiere bastante más configuración por parte del técnico de red. TCP/
IP empezó como una suite de protocolos de red UNIX, pero su status como suite
de protocolos de facto de Internet ha llevado a Microsoft y Novell a adoptarlo.
Una ayuda para esto es el hecho de que a diferencia de NetBEUI e IPX/SPX,
TCP/IP es un estándar abierto, libre del control de cualquier empresa.
TCP/IP se alza ahora como el protocolo de red elegido en la inmensa mayo
ría de las redes actuales y, por descontado, en cualquier sistema que quiera
conectarse a Internet. Esta popularidad, combinada con el alto grado de com
plejidad implicado en conseguir que TCP/IP funcione de forma apropiada obliga
a dedicar varios capítulos al protocolo de red TCP/IP.
TCP/IP define un gran número de protocolos que funcionan entre las capas
de la tres a la siete del modelo de siete capas OSI (véase la figura 10.35). En
esta sección, nos concentraremos en cómo funciona conceptualmente TCP/IP
en múltiples capas OSI, dejando los detalles para capítulos posteriores.
Aplicaciones
Es difícil hablar sobre TCP/IP sin dedicar un tiempo a hablar acerca de la
capa Aplicación. A diferencia de los protocolos de marca IPX/SPX y
NetBIOS/NetBEUI, todos los diseñadores de TCP/IP se esforzaron por ha
cer una pila de protocolos que funcionara bien para cualquier aplicación, no
sólo para compartir ficheros e impresoras. Como resultado, TCP/IP depende
mucho de los protocolos de la capa Aplicación para muchas funciones de red
críticas.
Un estupendo ejemplo es eso de DNS a lo que no hacemos más que aludir.
DNS (como veremos en los siguientes capítulos) es lo que usan las redes TCP/
IP para resolver un nombre de ordenador como www.totalsem.com en la ver
dadera dirección IP de la máquina. Este importantísimo proceso tiene lugar en
la capa Aplicación.
Todas las aplicaciones TCP/IP tienen su propio y distintivo número de
puerto. Por ejemplo, DNS tiene el puerto 53. Otras famosas funciones de la
capa Aplicación tienen números de puerto distintos. El navegador Web usa el
puerto 80. El correo electrónico emplea los puestos 25 (salida) y 110 (entra
da). TCP admite números de puerto entre 0 y 65.535. Los números de puerto
del 0 al 1024 reciben el nombre de puertos bien conocidos y son utilizados
principalmente por aplicaciones cliente para hablar con aplicaciones servidor.
Ninguna otra aplicación debe usar estos puertos. Algunos puertos después de
1024 son para aplicaciones menos conocidas (y pueden usarlos otras aplica
ciones), pero la mayoría son para que los usen los servidores como un
identificador para responder a los clientes. La siguiente línea de texto se ha
sacado del comandoN E T S T A T - n ejecutándose en un sistema Windows XP.
Muestra una sesión activa entre mi ordenador y el popular motor de búsqueda
google.com en mi navegador Web.
TCP 192.168.4.27:2357 216.239.41.104:80 ESTABLISHED
Haga caso omiso de las palabras "TC P" y "E STABLISH ED " y concéntrese
en las direcciones IP y los puertos. A la izquierda está la dirección IP y el
número de puerto usado por el servidor Web google.com para hablar con mi
sistema. A la derecha está la dirección IP y el número de puerto que usa mi
sistema para hablar con el servidor Web google.com. Fíjese que mi sistema
envía por el puerto 80, el puerto bien conocido usado para hablar con servido
res Web. Fíjese también que el servidor Web usa el número de puerto escogido
arbitrariamente 2357 para responder a mi sistema.
Anteriormente, mencionamos que TCP no es un protocolo sino una familia
de protocolos con nombres como TCP, UDP o ICMP. El tipo de protocolo lo
determina la aplicación.
TCP en Sesión
Cuando se inicia una aplicación en un ordenador TCP/IP, las aplicaciones
avisan al software de la capa Sesión que inicie una sesión con un ordenador
remoto. El sistema envía un paquete con la dirección IP del sistema remoto y el
número de puerto del servicio que se está solicitando. Cuando ese paquete
llega al sistema remoto, éste responderá asignando un número de puerto a la
sesión que va del servidor al sistema. Este número se asigna arbitrariamente
desde un parque de números de puerto entre 1024 y 49151.
TCP en Transporte_________________________
En la capa Transporte TCP es invisible. Esta capa, como ya se ha descrito,
recorta los datos salientes, dividiendo cada pieza en bastidores y añadiendo
números consecutivos. En el receptor, los paquetes entrantes se reensamblan,
comprueban y envían a la siguiente capa.
IP en Red
La piedra angular de la popularidad de TCP/IP es lo robusto y escalable
que es el esquema de asignación de direcciones IP. El esquema de direcciones
IP, famoso por su notación con cuatro números separados por puntos, tiene
una cualidad sin parangón en ningún otro protocolo de red: podemos coger una
red, dividirla en subredes, dividir esas subredes en otras subredes menores y
seguir así hasta quedarnos casi sin ordenadores en las subredes y TCP/IP
puede manejarlo. Esto, por supuesto, suponiendo que sabemos cómo configu
rar una red TCP/IP compleja apropiadamente. Cojamos, por ejemplo, un blo
que de direcciones IP desde 10.0.0.0 hasta 10.255.255.255. Las redes TCP/IP
reservan los números 255 y 0 al final de la dirección IP para usos especiales,
de modo que las direcciones IP disponibles van de la 10.0.0.1 a la
10.255.255.254. Esto da una red con (256 x 256 x 254) 16.646.144 ordenado
res diferentes, o hosts, como se diría en el idioma vernáculo de TCP/IP. Todos
los ordenadores comparten el mismo primer número: 10. Podemos llamar a esa
parte de la dirección IP el identificador o ID de red. La parte que cambia para
cada sistema se llama identificador o ID de host. Elijamos un ordenador de la
red: 10.168.43.7. Su ID de red es 10.0.0.0 (sí se ponen ceros al final de los ID
de red) y el ID de host es 168.43.7.
Aquí es donde reluce la potencia de IP. Si quisiéramos, podríamos coger
algunas de esas direcciones IP de la red 10.0.0.0; elijamos todas las direccio-
nes con el ID de red 10.14.0.0 para convertirlas en una subred de la red mayor.
Podríamos coger la red 10.14.0.0 y dividirla en redes aún menores. Fíjese que
cada subred tiene menos ID de host que la red mayor, por lo que al final se
quedará sin números, pero seguro que capta la idea.
Instalar TCP/IP____________________________
Lo primero que debe saber es que todos los OS modernos tienen instalado
TCP/IP por omisión, de modo que es raro que necesite instalar TCP/IP. Si, por
alguna razón, resulta que necesita instalar el protocolo TCP/IP en Windows,
simplemente siga los ejemplos de instalación mostrados para los anteriores
protocolos de red.
La "diversión" de TCP/IP está en la configuración. TCP/IP, en su forma
más básica, exige una cantidad de configuración significativa. Afortunada
mente, TCP/IP ha evolucionado espectacularmente a lo largo de los años hasta
el punto de que la mayoría de los sistemas clientes necesitan poca o ninguna
configuración para funcionar correctamente.
Otros protocolos
Hay bastantes posibilidades de que pase el resto de su vida en la red sin ver
nunca otros protocolos aparte de NetBIOS/NetBEUI, IPX/SPX y TCP/IP. De
hecho, ¡las posibilidades de que pase el resto de su vida sin ver otro protocolo
que TCP/IP son altas! Sin embargo, debe conocer también algunos otros pro
tocolos de red, por su importancia histórica y por gozar todavía de soporte en
la mayoría de los sistemas operativos.
AppleTalk
Igual que IPX/SPX fue inventado dentro de la casa por Novell para su NOS
NetWare, Apple inventó la suite de protocolos de red AppleTalk para su uso
en ordenadores Apple. AppleTalk fue diseñada originalmente para su ejecu
ción encima de la antigua tecnología de red LocalTalk. Por así decirlo,
AppleTalk es para los Mac lo que NetBIOS para los PC. Cuando dos ordena
dores Macintosh se comunican usando AppleTalk, su conversación se parece
bastante a una sesión NetBIOS, pues cada nombre tiene asociado un número
de función. No entraré en detalles, pero debe saber que AppleTalk usa una
función especial llamada Protocolo de ligadura de nombre (N B P). NBP enlaza
el nombre de cada sistema con su dirección AppleTalk para que los otros
sistemas de la red puedan verlo. Los sistemas Macintosh modernos todavía
dependen de AppleTalk. Todos los PC, excepto las primeras versiones de
Windows, vienen con la capacidad de instalar el protocolo AppleTalk, de modo
que pueden hablar con los sistemas Macintosh que aún usan AppleTalk.
PLC __________________________________
El protocolo de red Control de enlace de datos (D L C ) fue usado durante
muchos años para enlazar PC con macrocomputadoras. Como Hewlett-Packard
adoptó el protocolo DLC para usarlo en impresoras de red, DLC disfrutó de
una vida mucho más larga de la que probablemente debería haber tenido, dada
la existencia de tantas alternativas. Todas las versiones de Windows, inclu
yendo Windows XP, prestan soporte aún a DLC, pero a menos que quiera
instalar una antigua impresora de red que use sólo DLC, es bastante probable
que no vea nunca este protocolo. Quédese con que hay un protocolo de red
llamado DLC que puede instalar si es necesario.
Después de leer este capítulo, debe entender lo siguiente acerca del trabajo
en red.
Defina las funciones genéricas de cualquier
protocolo de red
Un protocolo de red describe todo el software de un PC que permite a las
aplicaciones compartir recursos o acceder a ellos. Estos programas protocolo
están ocultos dentro del sistema operativo. El protocolo de red TCP/IP es con
mucho el más utilizado en las redes y es el protocolo que se usa en Internet.
Otros protocolos de red disfrutan de un menor grado de popularidad, en con
creto IPX/SPX de N ovell y NetBIOS/NetBEUI de Microsoft. Otros dos proto
colos que se pueden mencionar son AppleTalk de Apple Corporation y DLC
(Control de enlace de datos) de IBM.
Los protocolos se agrupan en pilas de programas que colaboran. Un ejem
plo rápido sería TCP/IP en Internet: usa H TTP (Protocolo de transporte de
hipertexto) para las páginas Web y SM TP (Protocolo de transporte de correo
simple) para el correo electrónico.
La mayoría de los protocolos de red usan las capas de la 3 a la 7 del
modelo OSI, en concreto las capas Red, Transporte, Sesión, Presentación y
Aplicación. NetBIOS/NetBEUI sólo puede usarse en pequeñas redes sin
enrutadores; IPX/SPX ofrece soporte para la integración con servidores Novell
NetWare; y TCP/IP proporciona una solución abierta para las redes de ta
maño más grande.
Los protocolos se implementan ligando (asociando) una N IC con un pro
tocolo determinado. En un PC puede haber más de una N IC y puede haber
más de un protocolo ligado a cada NIC, según requiera la red. De cualquier
forma, cada N IC debe tener ligado como mínimo un protocolo de red en un
sistema en red.
Proyectos de laboratorio_______________________
Cada valor de 0 a 255 que representa ocho bits recibe el nombre de octeto.
¡Un momento! ¿Ocho caracteres binarios no son un byte? ¿Por qué no llamarles
bytes? Bueno, es casi cierto que podrían ser bytes, pero la diferencia aquí está en
el sistema de numeración. Normalmente, cuando hablamos de valores binarios,
usamos notación hexadecimal, pero la gente de TCP/IP quería usar algo más
sencillo, de modo que en lugar del sistema hexadecimal usaron esta numeración
de 0 a 255 con octetos. Cualquier octeto binario puede representarse con los
valores de 0 a 255. Veamos el primer ejemplo que presentábamos:
¡Pruebe WNT1PCFG?_____________________________________
Ejecutar IPCONFIG en sistemas Windows 2000 y X P es un poco compli
cado, pero es el único programa que viene con 2000 o X P para mostrar los
ajustes TCP/IP. Es importante saber cómo usar IPCO NFIG igual que en otros
sistemas Windows, pues es la única opción. De cualquier forma, en su sistema
personal, quizá quiera probar W NTIPCFG, el equivalente gráfico de Microsoft
de W IN IPCFG de Windows 9x, diseñado para los sistemas Windows 2000 y
XP. Puede encontrar. W NTIPCFG en http://www.microsoft.com/windows2000/
techinfo/reskit/tools/existing/wntipcfg-o.asp.
Volvamos ahora a nuestro ejemplo de dirección IP binaria y convirtamos
cada octeto binario en decimal:
Calculadora Windows___________________________________
Ahora que se ha esforzado en aprender la conversión manual, debo confe
sar algo: se puede usar el subprograma calculadora que viene con todas las
versiones de Windows (lnicio>Ejecutar, escriba c a l e y pulse Intro). El
modo Científica de la calculadora tiene una bonita serie de botones de opción
en la parte superior izquierda. Compruebe que está activado el botón de op
ción Decimal, escriba el valor decimal de un octeto y haga clic en el botón de
opción Binario. V o ilá !Conversión instantánea.
A R P funciona perfectamente para una red TCP/IP simple, ¿pero qué su
cede si queremos enviar diferentes datos de un ordenador a otro en una red
conectada con nuestra red a través de un enrutador? Los enrutadores no
pueden reenviar solicitudes A R P porque las solicitudes A R P son sólo de
emisión. A R P sólo falla en el momento en que se quieren enviar datos fuera
de la red local. Aquí es donde entra en juego un ajuste especial llamado
puerta de enlace.
371
Observar ARP__________________________________________
Instale y ejecute el programa Ethereal que viene con el CD que acompaña al
libro para capturar entre 25 y 50 bastidores en una red TCP/IP. ¿Captó Ethereal
solicitudes ARP? Si no, vuelva a intentarlo; las redes TCP/IP generan muchas
solicitudes ARP. Una vez que haya captado una solicitud ARP, use Ethereal
para inspeccionarla en detalle. ¿Cuál es la dirección M A C de destino? ¿Cuál
es la dirección IP del sistema que genera la solicitud ARP?
Las solicitudes A R P sólo tienen lugar cuando un sistema necesita una
dirección M AC . ¿Puede crear una situación usando dos sistemas Windows
que provoque que uno de los sistemas genera una solicitud A R P? ¡Intente
hacerlo!
Puertas de enlace
AR P funciona estupendamente cuando un sistema IP necesita conocer la
dirección M AC del otro sistema IP en la misma red local, pero recuerde que
una de las piedras angulares de IP es la suposición de que la red local estará
conectada con una red mayor. TCP/IP asume, y esto es importante, que un
sistema sabe o al menos puede averiguar inmediatamente (como veremos en un
momento al hablar de DNS), la dirección IP de cualquier sistema de Internet.
Pero no es posible para un sistema conocer las direcciones M A C de todos los
millones de otros sistemas de Internet. Si un sistema quiere enviar datos a otro
sistema en otra red, una red local debe estar conectada con una red mayor a
través de un enrutador. El enrutador que conecta una red local debe saber
cómo dirigir los paquetes a otros sistemas que no forman parte de su red local;
llamamos a este enrutador puerta de enlace predeterminada, enrutador puerta
de enlace o simplemente puerta de enlace.
Una puerta de enlace puede ser un enrutador o puede ser un PC que
ejecuta software de enrutamiento. La mayoría de las versiones de Windows,
y también otros sistemas operativos como Linux, tienen la capacidad de
hacer que un PC normal funcione perfectamente como enrutador. Ya sea el
enrutador un aparato especial o un PC, la puerta de enlace debe tener al
menos dos conexiones de red: una conexión con la red local y una segunda
conexión con otra red. En la figura 11.10 se muestra el sistema puerta de
enlace de mi oficina. Esta pequeña caja conecta con (a) mi red y (b) la línea
DSL de Internet. Fíjese en los dos cables de red más gruesos: uno va al
conmutador de mi red y el otro a mi línea DSL. (El tercer cable, más delga
do, es el de corriente. Las otras dos proyecciones son antenas que proporcio
nan capacidad inalámbrica.)
Identificadores de red______________________
En el debate anterior, Hannah configuró D A N A para usar la dirección IP
216.30.120.2 y JANELLE para usar la dirección IP 216.30.120.3. ¿No nota
nada especial en estas dos direcciones IP? Mire atentamente. Son casi idénti
cas: sólo el octeto final es diferente, y no es una coincidencia. Tiene que ver
con la organización de redes. Piense por un momento en las direcciones de
correo postal. ¿Por qué es su dirección Gran Vía 305 y la de su vecino Gran
Vía 306 (o 307, dependiendo de cómo esté numerada la calle)? ¿Y si hiciéra
mos que su dirección fuera Avenida del reloj 1313 y la de su vecino Plaza
Mayor 415? ¡Imagine el horror en la cara del cartero! Por lo mismo que se
agrupan las direcciones de las calles usando nombres de calles y números
consecutivos, las direcciones de red se dividen en dos partes: una parte que
designa un grupo de ordenadores y una parte que designa ordenadores indivi
duales. Veamos cómo pasa esto. Ésta es una dirección IP en su forma binaria:
11010101101010010101111001010010 .
¿Qué parte es cuál? ¡Ja! No es fácil, ¿verdad? Pero es más fácil de lo que
parece. (La respuesta está en la máscara de subred, pero necesita algo más de
información para que esto tenga sentido.)
Mire de nuevo las direcciones IP de D A N A y JANELLE. La primera parte,
216.30.120, es la misma para cada sistema. De hecho, ¡es la misma para todas
las máquinas de MHTechEd! Esta parte de la dirección que es la misma para
todos los sistemas MHTechEd se llama identificador de red. Es el número por
el que el resto de Internet conoce a la red MHTechEd. La última parte de la
dirección IP, la parte que es, y debe ser, distinta para cada sistema de la
red MHTechEd, se llama identificador de host. Así, ¿a cuántos hosts puede
prestar soporte la red MHTechEd, dado que cada uno debe tener una dirección
IP exclusiva? ¿Recuerda la conversión binaria que vimos antes (espero que
sí)? Cada octeto binario se convierte en un número decimal entre 0 y 255, con
un total de 256 direcciones IP posibles usando el ID de red de MHTechEd,
empezando con 216.30.120.0 hasta llegar a 216.30.120.255.
Estupendo. Sólo hay una pequeña complicación, cortesía de esos extrava
gantes muchachos que diseñaron Internet: ningún ID de puede ser todo
ceros o todo unos. Por tanto, 216.30.120.0 y 216.30.120.255 son direcciones
IP no válidas. El resto de las direcciones no tienen problema, por lo que el
rango de direcciones IP disponibles para la red MHTechEd empieza en
216.30.120.1 y va hasta 216.30.120.254, dando un enorme total de 254 direc
ciones IP exclusivas.
Máscara de subred
Ahora que sabemos de dónde vienen los ID de red, volvamos a la segunda
parte de la gran cuestión: ¿cómo sabe un sistema host si una dirección IP es
local o remota? Compara la dirección IP con su propia dirección IP para ver si
tienen el mismo ID de red. Todas las máquinas con el mismo ID de red están,
por definición, en la misma red; si los ID coinciden, sabe que el otro sistema es
local, no remoto. Todos los ordenadores TCP/IP usan la máscara de subred
para comparar sus ID de red.
Las máscaras de subred son siempre cierto número de unos, seguidos de sufi
cientes ceros para hacer un total de 32 bits. Esto tiene, no por coincidencia, la
misma longitud que una dirección IP. Toda red tiene una máscara de subred,
determinada por la longitud de su ID de red. El sistema usa la máscara de subred
como un filtro. En cualquier lugar en el que haya un 1 en la máscara de subred,
estamos mirando una parte del ID de red (véase la figura 11.12). En cualquier
lugar en el que haya un cero, estamos mirando una parte del ID host. Poniendo una
máscara de subred encima de una dirección IP,. un ordenador puede saber qué
parte de la dirección IP es el ID de red y qué parte es el ID de host. Un sistema
emisor mantiene alzada su máscara de subred de la red local para las direcciones
IP propia y del receptor, para ver qué parte de la dirección que esté bajo los 1 (el
ID de red) es igual para los dos sistemas. Si el otro sistema comparte el ID de red
del sistema emisor, es local; si no, es remoto (véase la figura 11.13).
Las máscaras de subred se representan en notación decimal puntuada igual
que las direcciones IP, pero recuerde que las dos son en realidad números
binarios de 32 bits. Todas las siguientes direcciones (mostradas en formato
binario y decimal puntuado) pueden ser máscaras de subred:
Licencias de clase_________________________
Hasta hace bastante poco, si uno quería poner algunos ordenadores en
Internet, pedía (directamente o a través del ISP) un bloque de direcciones IP no
utilizadas a la IA N A . La IA N A proporcionaba direcciones IP en trozos conti
guos llamados licencias de clase (véase la figura 11.15). Las clases D y E no
se distribuían (sólo las clases A, B y C).
En la mayoría de los casos, se obtiene una clase de direcciones que hay que
dividir en subredes, que significa que la subred siempre cae en uno de los
puntos (/8, 716 o 724). Usando esto, puede crear una tabla que muestra el
número de subredes creadas moviendo la máscara de subred de cero a ocho
lugares (véase la figura 11.16). ¡Hace que la división en subredes sea mucho
más rápida! Fíjese que hay sólo ciertos números de subredes. Por ejemplo, si
necesita 22 subredes, tiene que mover la máscara de subred sobre 5 lugares
para obtener 30. Después se usan sólo 22 de las 3 subredes.
Figura 11.20. Añadido de otro enrutador para hacer redes separadas; ¿cómo
funciona esto?
Supongamos por un momento que nos han encargado preparar esta red.
Nos han dado un total de 256 direcciones IP: 216.30.120.0/24. Esto significa
que tenemos el control de todas las direcciones IP desde 216.30.120.0 a
216.30.120.255. Si sólo hubiera una red, no habría problemas. Bastaría con
configurar cada sistema con una dirección IP exclusiva entre 216.30.120.1 y
216.30.120.254.
En este caso, sin embargo, no podemos hacer eso. Este enrutador tiene
dos NIC, si se asigna a cada h ost una dirección IP al azar, ¿cómo decide el
enrutador a qué N IC dirigir los paquetes para garantizar que llegarán al
sistema correcto? No, no se puede dirigir todo a las dos NIC. La solución:
dividir esas 256 direcciones IP en dos grupos diferentes de tal forma que el
encargado del enrutador pueda configurar la tabla de enrutamiento para ga
rantizar que los paquetes llegan al sistema correcto. Igual que dividimos
nuestros vecindarios en calles, tenemos que coger este ID de red con su
licencia clase C y convertirlo en dos ID de subred distintos. Vaya, tenemos
que dividir en subredes sin clase.
La división en subredes sin clases significa hacer subredes que no son clase
A, B o C definiendo la máscara de subred en algún punto distinto de /8, /16 o
124. La división en subredes sin clase se basa en un concepto simple, pero su
puesta en práctica es compleja, principalmente porque requiere que nos apar
temos de la división de nuestros ID de red "en los puntos". ¿Qué significa "en
los puntos"? Me refiero a los puntos en una dirección IP decimal puntuada,
que recordará que no es más que un método práctico para representar un
conjunto de valores binarios. Hasta ahora, todos los ID de red que hemos visto
usan una subred con clase: la máscara de subred siempre se detiene en los
octetos uno, dos o tres. No hay ninguna razón por la que los ID de red deban
terminar "en los puntos". Los ordenadores, al menos, piensan que no hay pro
blema por tener ID de red que terminen en algún lugar entre los puntos, como
/26,/27 o incluso 122. El truco aquí es dejar de pensar en los ID de red y las
máscaras de subred con su formato decimal puntuado y empezar a pensar en
ellos como octetos binarios. ¿Recuerda la tabla de conversión binario/deci-
mal? Si estuviera en su lugar, llevaría ahora mismo este libro a la fotocopiadora
y haría un montón de copias de esa tabla: ¡las necesitará!
Eche una buena mirada a los dos nuevos ID de red decimales puntuados.
¿Ve cómo ya no terminan en cero? Antes dije que se podía distinguir un ID de
red decimal puntuado porque termina en cero, ¡pero no es el caso de éstos! Es
cierto, pero convierta esos ID de red a la forma binaria. Siguen terminando en
cero, pero no en los puntos. Sólo los últimos seis dígitos de la dirección IP, que
en este ejemplo son el ID de host, son ceros.
Ahora piense en las máscaras de subred de cada una de las nuevas: ¿cómo
escribiría la máscara de subred /26? ¡Eso sería 255.255.255.192! ¡Eh!, estas
nuevas máscaras de subred tampoco terminan en cero, ¿o sí? ¡Claro que sí, por
supuesto! Recuerde que contamos ceros en la versión binaria de la dirección.
Los últimos seis valores del cuarto octeto binario son ceros. 11000000 es igual
a 192 (128 + 64) en decimal, por lo que en decimal puntuado la máscara de
subred se representa como 255.255.255.192.
Este asunto de "el ID decimal puntuado debe terminar en un cero" vuelve
loca a mucha gente cuando aprenden esto, no pueden "librarse de los puntos".
Exige esfuerzo dejar de pensar en términos de ID de red y máscaras de subred
de clase para pensar sin clase. Esforzándose un poco podrá apreciar que termi
nen o no en cero las máscaras de subred y los ID de red al escribirlos en
formato decimal puntuado, todo sigue funcionando de la misma forma. Es útil
memorizar el hecho de que siempre que un ID de red en notación decimal
puntuada termine en 128, 192, 224 ó 240, se trata de un ID de red sin clase
que, en su formato binario, termina en cero.
Direcciones IP especiales
La gente que inventó TCP/IP creó una serie de direcciones IP especiales
que tiene que conocer. La primera dirección especial es 127.0.0.1, la famosa
dirección de bucle de retorno. Cuando decimos a un dispositivo que envíe
datos a 127.0.0.1, le estamos diciendo que se envíe los paquetes a sí mismo. La
dirección de bucle de retorno tiene varios usos; uno de los más comunes es
para usarla con el comando P IN G . Se usa el comando P IN G 1 2 7 . 0 . 0 . 1
para probar la capacidad de una N IC para enviar y recibir paquetes.
Mucha gente usa TCP/IP en redes que no están conectadas a Internet o que
quieren ocultar sus ordenadores al resto de Internet. Hay disponibles ciertos
grupos de direcciones IP, conocidos como direcciones IP privadas, para ayudar
en estas situaciones. Todos los enrutadores están diseñados para destruir las
direcciones IP privadas de modo que no se usen nunca en Internet, convirtiéndo
las en un práctico método para ocultar sistemas. Cualquiera puede usar estas
direcciones IP privadas, pero no son útiles para sistemas que tengan que acceder
a Internet, a menos que se use uno de esos misteriosos N A T que ya he menciona
do. (¡Seguro que se muere por saber ya qué es N A T !) Pero, por el momento,
veamos los rangos de direcciones designados como direcciones IP privadas:
• 10.0.0.0 a 10.255.255.255 (1 licencia clase A ).
• 172.16.0.0 a 172.31.255.255 (16 licencias clase B).
• 192.168.0.0 a 192.168.255.255 (256 licencias clase C).
Todas las demás direcciones IP se conocen como direcciones IP públicas.
Otros ajustes TCP/ÍP fundamentales____________
Ahora ya conoce los tres ajustes más importantes en todo ordenador TCP/
IP: la dirección IP, la puerta de enlace predeterminada y la máscara de subred.
Pero la mayoría de los ordenadores en una red TCP/IP necesitarán algunos
ajustes fundamentales más. Veamos DNS, W IN S y DHCP.
DNS_____________________________________
Cualquiera que haya usado alguna vez un navegador Web está acostum
brado a ver muchas direcciones Internet com o w w w .totalsem .com ,
ftp.microsoft.com y demás; estas direcciones terminan invariablemente con
.com, .org, .net o alguna otra serie de dos caracteres (o un código de país de
dos caracteres, como .uk para el Reino Unido). Un momento: ¿no hemos
pasado las últimas páginas viendo cómo cada ordenador de Internet tiene una
dirección IP exclusiva que lo diferencia de todos los demás ordenadores de
Internet? ¿Qué tienen ahora que ver estos nombres? Pues bien, la gente que
inventó Internet decidió pronto que para los seres humanos era muy difícil
referirse a los ordenadores usando la notación decimal puntuada. Tenía que
haber algún tipo de convención de nomenclatura Internet que permitiera a la
gente aludir a los sistemas usando nombres sencillos para los humanos, en
lugar de los crípticos números que usaban los ordenadores. Pero no se po
dían eliminar los números, a menos que se enseñara a los ordenadores a leer
en los idiomas humanos. Por tanto, diseñaron un procedimiento llamado re
solución de nombres. Lagran idea era tener una lista de direcciones IP que se
cotejara con nombres sencillos para los humanos de forma que cualquier
ordenador de Internet pudiera convertir un nombre de ordenador en una di
rección IP.
La especificación IP original puso en práctica la resolución de nombres
usando un fichero de texto especial llamado HOSTS. Se guardó una copia de
este fichero en todos los ordenadores de Internet. El fichero HOSTS contenía
una lista de direcciones IP de todos los ordenadores de Internet, cotejada con
los nombres de sistema correspondientes. Recuerde, por entonces Internet no
sólo era mucho más pequeña sino que no existían las reglas para componer los
nombres Internet, como que tuvieran que terminar con .com o .org, o empezar
con www o ftp. Cualquiera podía poner nombre a su ordenador casi como
quisiera (había algunas restricciones para la longitud y los caracteres permiti
dos) siempre que nadie más hubiera elegido antes ese nombre. Parte de un
antiguo fichero HOSTS podría parecerse a esto:
192.168.2.1 fred
201.32.16.4 school2
123.21.44.16 server
Si un sistema quería acceder al sistema llamado fred, buscaba el nombre
fred en su fichero HOSTS y después usaba la dirección IP correspondiente
para contactar con fred. Cada fichero HOSTS en cada sistema de Internet se
actualizaba todas las noches a las 2 A.M . Esto funcionó bien mientras Internet
era la provincia de algunos técnicos universitarios y algunos militares, pero
cuando el número de sistemas en Internet superó los 5.000, dejó de ser práctico
hacer que cada sistema usara y actualizara un fichero HOSTS. Esto motivó la
creación del concepto Servicio de nombres de dominio (DNS).
Lo crea o no, el fichero HOSTS sigue viviendo en todos los ordenadores.
Puede encontrar el fichero HOSTS en la carpeta \WINDOWS en Windows 9x,
en la carpeta \WINNT\SYSTEM32\DRIVERS\ETC en Windows NT/2000/
2003 y en la carpeta \WINDOWS\SYSTEM32\DRIVERS\ETC en Windows
XP. Es simplemente un fichero de texto que puede abrir con cualquier editor
de texto. Aquí mostramos algunas líneas del fichero HOSTS predeterminado
que viene con Windows. ¿Ve los signos #? Son signos de comentario que
designan las líneas como observaciones en lugar de código: si quita esos sig
nos, Windows leerá las líneas y actuará sobre ellas. Aunque los sistemas
operativos continúan prestando soporte al fichero HOSTS, ya no se usa prác
ticamente en el trabajo diario de la mayoría de los sistemas TCP/IP.
127.0.0.1 localhost
DHCP__________________________________________
Antes de leer esto, debe prometerme que no me golpeará, ¿de acuerdo?
Hasta ahora, hemos comentado cuatro elementos que hay que configurar para
cada sistema de una red IP: la dirección IP, la puerta de enlace predetermina
da, la máscara de subred y el servidor DNS. ¿No le parece mucha complica
ción? Imagine que le informan de que su organización está cambiando sus
servidores DNS y le piden que reestablezca los ajustes de servidor DNS en
todos los sistemas de la red. No parece que vaya a divertirse mucho, ¿eh?
Afortunadamente, hay algo llamado Protocolo de configuración de host
dinámica (DHCP). DHCP permite a las máquinas cliente individuales en una
red IP configurar todos sus ajustes IP (dirección IP, máscara de subred, DNS,
etc.) automáticamente. DHCP requiere un sistema especial que ejecute un pro
grama especial llamado servidor DHCP. La configuración automática ha sido
una gran ayuda para las redes que cambian mucho (como la mía), sistemas
viajeros (como los portátiles) y sistemas de llamada telefónica. DHCP es muy
popular y se utiliza mucho en casi todas las redes IP.
Puertos TCP/UDP/ICMP________________________
Todo lo que hemos cubierto hasta aquí ha tenido que ver únicamente con la
parte IP de TCP/IP. También necesita conocer algo de información acerca de
TCP, por lo que vamos a ver ahora qué hace y qué tenemos que hacer para que
funcione. Además, echaremos un vistazo a UDP, un protocolo que funciona de
forma similar a TCP, aunque a un nivel mucho menor.
TCP _____________________________________
La mayoría de la gente que trabaja en un entorno de red, especialmente una
red con sistemas que ejecutan Microsoft Windows, piensan que la principal
función de una red es compartir carpetas e impresoras. Pero si retrocedemos a
cuando Internet era joven, la gente que diseñó TCP/IP no pensaba exactamente
en esos términos. Veían una red como una forma de compartir terminales
(¿recuerda esto del principio del libro?), intercambiar correo electrónico y
realizar otras funciones no relacionadas con nuestra idea de las redes como
una forma de compartir ficheros e impresoras. Pero para nuestra suerte, tam
bién tuvieron en cuenta que probablemente se terminaría usando TCP/IP para
compartir cosas que todavía no se habían inventado, por lo que lo diseñaron
con un grado de flexibilidad que hoy nos permite compartir ficheros, navegar
por la Web, escuchar medios fluidos y jugar en línea a Everquest con un millar
de nuestros colegas a la vez. Ésta es la razón de ser de TCP.
Los inventores de TCP/IP asignaron un número especial, llamado un puer
to, a cada función distinta de la red, como el correo electrónico, la navegación
Web, incluso los juegos en línea como Everquest. Este número de puerto se
pone dentro de todos los paquetes IP y lo usan los sistemas emisor y receptor
para averiguar a qué aplicación darle el paquete. Posiblemente el puerto TCP
más famoso de todos sea el viejo puerto 80. Si un paquete llega a un ordenador
con el número de puerto 80 en su solapa, el sistema sabe que el paquete tiene
que ir al navegador Web. Los paquetes enviados al puerto 80 usan un protoco
lo especial llamado Protocolo de transferencia de hipertexto (H TTP).
UDP_____________________________________
Si tiene oportunidad, mire la luz de enlace en su NIC cuando inicia el sistema.
Notará que la luz está parpadeando, mostrando que tiene lugar algún tipo de
comunicación. De acuerdo, no toda la comunicación está relacionada con su
sistema, pero confíe en mí: gran parte sí, ¡y ni siquiera ha iniciado el correo
electrónico o abierto el navegador Web! Claramente, su PC está hablando con la
red aunque no le ha pedido que haga nada. No se preocupe, esto es bueno. TCP/
IP hace un montón de cosas de mantenimiento en segundo plano que ni le intere
san ni quiere que le interesen. La mayoría de estas comunicaciones de manteni
miento son cosas simples como una solicitud AR P o cualquiera de las otras 500
pequeñas obligaciones de mantenimiento que TCP/IP maneja automáticamente.
Aunque estas cosas son importantes, no requieren toda la información TCP
que hay en un paquete IP. Sabiendo esto, la gente que diseñó TCP/IP creó un
protocolo mucho más simple llamado Protocolo de datagrama de usuario (UDP).
UDP transmite mucha menos información que TCP. Los paquetes UDP son a
la vez más simples y más pequeños que los paquetes TCP, y se ocupan de la
mayoría del trabajo entre bastidores en una red TCP/IP. Los paquetes UDP
son lo que se llama "sin conexión", esto es, no se preocupan por confirmar si
un paquete ha alcanzado su destino. Los paquetes TCP, por contra, están
orientados a conexión; dicho de otra forma, deben crear una conexión entre los
sistemas emisor y receptor para garantizar que el paquete alcanza su destino
con éxito. Las funciones importantes, como el correo electrónico, nunca usan
UDP. Algunas aplicaciones antiguas, siendo la más prominente TFTP (FTP
trivial), usan UDP para transferir ficheros. Pero incluso TFTP es bastante
rara hoy día; UDP está casi completamente relegado a trabajos entre bastido
res de la red, aunque sean importantes.
ICMP____________________________________
Las aplicaciones que usan el Protocolo de control de mensajes de Internet
(IC M P ) son aún más simples que las aplicaciones UDP. Los mensajes ICM P
consisten en un solo paquete y son sin conexión, como UDP. Los paquetes
ICM P determinan la conectividad entre dos hosts. Como tales, llevan sólo un
pequeño grupo de respuestas, como una respuesta e c h o , protocolo fuera de
alcance o host fuera de alcance. En cierto sentido, IC M P es simplemente una
forma de ver las cosas en el nivel IP. Los paquetes ICM P no transfieren datos
p e r se, sino que indican cómo les va a los paquetes IP entre dos hosts. La
aplicación ICM P más famosa es PING.
A continuación damos breves explicaciones de los puertos TCP y UDP más
famosos con sus usos. Tenga en cuenta que sólo se muestran los puertos más
comunes; ¡hay literalmente cientos de puertos más!
HTTPS________________________________________________
HTTPS corresponde a Protocolo de transporte de hipertexto con Capa de
sockets seguros (SSL), y usa el puerto 443. La mayoría de los sitios Web de
confianza usan HTTPS para asegurar las transacciones financieras, indicán
dolo normalmente con el icono de un candado en la esquina de la página Web.
Proyectos de laboratorio_______________________
Durante años, hemos dividido todos los sistemas operativos en los campos
cliente/servidor o entre iguales. La capacidad de encasillar todos los sistemas
operativos en estos dos tipos de redes nos tenía felices y contentos. Todo fue bien
en el mundo del trabajo en red hasta que Microsoft (¿quién si no?) sacó Windows
N T a principios de los 90. Windows N T embarulló totalmente la cómoda división
de las redes en los modelos cliente/servidor y entre iguales, pues un sistema N T (y
Windows 2000/2003 y Windows X P) puede formar parte de una red cliente/servi
dor y una red entre iguales al mismo tiempo. Un sistema que ejecuta Windows N T
proporcionaba toda la potencia y seguridad de un servidor dedicado, permitiendo a
la vez que el sistema actuara también como cliente. De acuerdo, en realidad no es
así de simple y veremos más detalles en la siguiente sección, pero la idea principal
se mantiene: N T mezcló totalmente los conceptos cliente/servidor y entre iguales.
En mi opinión, los términos cliente/servidor y entre iguales ya no son una
forma útil de organizar los distintos tipos de sistemas operativos. Desgracia
damente, los términos cliente/servidor y entre iguales están aún muy presentes
en la mente de la gente que trabaja con redes. Entonces, ¿cómo manifestamos
los conceptos del trabajo en red cliente/servidor y entre iguales en un mundo
que ha superado esas categorías? El secreto está en la seguridad.
Seguridad
La seguridad de red implica proteger a los usuarios de la red de sus dos
mayores enemigos: Mlos malos" y ellos mismos. Cuando la mayoría de la gente
piensa en asuntos de seguridad, inmediatamente visualiza a un malvado hacker
que intenta entrar en una red y robar los secretos de las compañías. Para
muchas empresas, especialmente las conectadas con Internet, tales amenazas
no son ninguna broma. Sin embargo, la seguridad de red debe también contro
lar cómo acceden los usuarios a los recursos compartidos en su propia red.
Proteger una red de los usuarios e impedir que éstos accidentalmente destru
yan datos o concedan acceso a individuos no autorizados es una parte funda
mental de la seguridad de red.
¿Cómo aseguramos lo que compartimos en red? Bueno, eso da lugar a la
cuestión: "¿Qué aspectos de un recurso compartido hay que asegurar?”. Piense
en esto durante un segundo: si está compartiendo una carpeta, ¿exactamente
qué quiere proteger? Podría impedir que nadie hiciera nada con esa carpeta
(nada más seguro que eso), pero no estará de más afinar algo más el tema en
lugar de impedir todo a todo el mundo. Por ejemplo, podría establecer la segu
ridad para que los usuarios pudieran leer los ficheros de una carpeta determi
nada pero sin que pudieran borrarlos. O, afinando un poco más, podría
prepararlo para que algunos usuarios pudieran modificar ficheros pero no
borrarlos. Es este fino nivel de control detallado lo que proporciona su poten
cia a las redes.
Estos asuntos de seguridad no se limitan a carpetas compartidas. La se
guridad entra enjuego con cualquier tipo de recurso que queramos compar
tir. Cada vez que accedemos a un sitio Web, nos topamos con la seguridad.
Puedo configurar mi servidor Web para que algunos visitantes sólo puedan
ver páginas Web, otros puedan modificar ciertas páginas y algunos otros
puedan hacer todo lo que quieran, incluyendo borrar todo el sitio si es nece
sario. Puedo asegurar mis impresoras para que algunas personas puedan
imprimir en una impresora, mientras que otras no sólo puedan imprimir, sino
también configurar la impresora remotamente. El nivel de control que pue
den ejercitar los usuarios sobre los recursos se llama permisos o derechos,
dependiendo de la marca de NOS que use. En el próximo capítulo, dedicaré
mucho tiempo a comentar los permisos y derechos, tipos de recursos protegi
dos y cómo se comparten y aseguran; por ahora, lo que quiero comentar son
las diferentes estrategias de los NOS para manejar esta seguridad: los mode
los de seguridad.
Modelos de seguridad
Hay bastantes probabilidades de que haya oído términos como cuentas de
usuario, contraseñas, grupos, dominios y similares. Estos términos son funda
mentales para entender cómo asegura recursos una red. No se preocupe si no
los entiende todos ahora mismo, los veremos con detalle en este capítulo y el
siguiente. Conozca o no estos términos, debe saber esto: cada NOS usa estas
herramientas de modo distinto. De esto trata mi concepto de los modelos de
seguridad: separa los diferentes sistemas operativos de red según cómo asegu
ran los recursos de red.
M i esquema divide las redes en tres modelos de seguridad diferentes, según
qué parte del NOS maneja la seguridad: Recursos, Servidor y Organización.
Piense en esto: alguna parte del NOS debe hacer el seguimiento de quién puede
hacer qué en la red. Algún lugar de la red, algún sistema, o muchos sistemas,
debe guardar información que defina qué recursos están compartidos y cómo
tienen que compartirse. Alguna parte del NOS debe comprobar esta informa
ción siempre que un cliente intenta acceder a un recurso compartido para
garantizar que esa persona tiene permiso para, hacer lo que esté intentando
hacer con ese recurso. M i modelo de seguridad identifica tres partes del NOS
que hacen el trabajo sucio gestionando la seguridad. Mientras describo mis
tres modelos de seguridad, haré pausas para definir cosas como cuentas de
usuario y grupos. Empecemos aprendiendo el tipo más básico: la seguridad
basada en recursos.
La seguridad basada en servidor hace que la vida sea mucho más fácil
desde el punto de vista administrativo. Aun así, en una organización grande,
asignar derechos concretos a cada usuario individualmente es un trabajo exce
sivo para el administrador de red. La solución: organizar a los usuarios que
tienen necesidades similares en grupos. Por ejemplo, Alice, la administradora
de la red, asigna las cuentas de usuario de Greg, Bobby y Peter al grupo
C O N T A B ILID A D y la cuenta de usuario de Jan al grupo V E N TAS . Alice
asigna después al grupo C O N T A B IL ID A D permiso para acceder a la base de
datos de contabilidad y a otros recursos apropiados. Por virtud de su pertenen
cia a C O N T A B ILID A D , las cuentas de usuario de Greg, Bobby y Peter tienen
acceso a los recursos del grupo C O N T A B ILID A D , sin que Alice tenga que
tocar las cuentas individuales. Si la empresa contrata a más contables, Alice
sólo tiene que crear nuevas cuentas de usuario y añadirlas al grupo C O N T A
BILID AD . Alice crea grupos para todas las especialidades laborales de su
compañía y después asigna las cuentas de usuario a los grupos apropiados. En
organizaciones grandes con cientos de empleados que tienen necesidades simi
lares, el tiempo y esfuerzo ahorrados con este sistema son significativos.
En la mayoría de los casos, los derechos de una cuenta de usuario son
acumulativos, esto es, un usuario recibe la suma total de los derechos concedí-
dos a su cuenta de usuario individual y los derechos concedidos a los grupos
a que pertenece. Por ejemplo, Greg pertenece a los grupos D IRE C TIVO S y
C O N T A B ILID A D . Supongamos que A lice prepara una carpeta compartida
en un servidor y asigna al grupo D IRE C TIVO S el derecho de añadir ficheros
a la carpeta, al grupo C O N T A B IL ID A D el derecho de leer (pero sin poder
modificar ni borrar) los ficheros de la carpeta y a Greg (como individuo) el
derecho a modificar los ficheros que ya existen en esa carpeta. Para ver qué
puede hacer Greg hay que sumar los derechos: Greg puede añadir ficheros
(D IR E C T IV O S ), leer ficheros (C O N T A B IL ID A D ) y modificar ficheros
(Greg) en ese directorio por la acumulación de los derechos de sus grupos y
los suyos individuales.
Las redes basadas en servidor funcionan estupendamente mientras sólo hay
un servidor. Para usar redes basadas en servidor con múltiples servidores,
primero hay que tener una cuenta de usuarios en cada servidor que se quiera
usar y después hay que iniciar una sesión en cada uno para poder usar sus
recursos. Si la red tiene pocos servidores, no es demasiado problema para el
usuario o el administrador, pero si los servidores son muchos, vuelve a surgir
la pesadilla administrativa.
Modelos mixtos
Como pronto veremos, todos los sistemas operativos encajan perfectamente
en uno de estos tres modelos de seguridad. Algunos sistemas operativos pue
den pertenecer a uno u otro modelo, dependiendo de cómo estén configurados.
Pero hay que entender que estos modelos pueden funcionar juntos, y lo hacen,
dentro de una red física. Por ejemplo, sistemas Windows 98 en red que operen
en el modelo basado en recursos cuando se comunican entre ellos también
pueden comunicarse siguiendo el modelo basado en servidor con un servidor
NetWare en la misma red física. Microsoft hizo un magnífico trabajo habili
tando que los sistemas Windows actuaran como clientes en redes que usan
distintas marcas y modelos de servidor. Mejor aún (aunque confunda a los
técnicos poco avezados), toda esta complejidad queda oculta al usuario. En la
figura 12.10 se muestra una captura de pantalla de Mis sitios de red en un
sistema Windows XP. Hay un servidor NetWare, un servidor Windows 2003,
un servidor Linux y varios sistemas Windows 2000 y XP. Los sistemas NetWare
y Linux tienen la misma apariencia que un sistema Windows. Si no fuera por
los nombre de ordenador, no se distinguirían unos de otros.
Microsoft Windows________________________
Microsoft compite por su cuota de mercado NOS con dos líneas de produc
tos Windows distintas que voy a llamar la familia Windows 9x y la familia
Windows NT. La familia Windows 9x incluye Windows 95, 98, 98 SE y Me.
La familia Windows N T incluye Windows NT, Windows 2000, Windows XP
y Windows Server 2003. Windows 9x funciona como un flexible sistema ope
rativo para ordenadores de mesa, capaz de conectar con prácticamente cual
quier tipo de servidor. En contraste, Windows NT, 2000, X P y 2003 pueden
funcionar como sistema operativo de red para potentes sistemas cliente y para
servidores totalmente desarrollados.
Windows 9x____________________________________
Los sistemas Microsoft Windows 9x proporcionan funciones básicas para
compartir impresoras y ficheros, pero poca seguridad si están solos. Un técni
co de red puede configurar un sistema Windows 9x como cliente o a la vez
como cliente y servidor. Sin embargo, cuando opera como servidor, Windows
9x usa un modelo de seguridad en el nivel en que se comparte, lo que le hace
bastante menos seguro que sistemas operativos de servidor más sofisticados
como Windows NT, 2000, 2003, Novell NetWare y U N IX . En conjunto,
Windows 9x tiene una seguridad muy débil. Ni las contraseñas ni las cuentas
de usuario proporcionan mucha seguridad, si es que proporcionan alguna, en
una red Windows 9x pura.
Una red compuesta sólo de sistemas Windows 9x usará siempre NetBIOS,
ya sea sobre NetBEUI o sobre TCP/IP. NetBIOS se manifestará como Cliente
para redes Microsoft, como se muestra en la figura 12.12. Pero no tiene que
molestarse en instalarlo, Windows instala el Cliente para redes Microsoft
automáticamente cuando detecta un módem o una NIC.
Windows NT___________________________________
Cuando Microsoft desarrolló Windows N T a principios de los 90, eligieron
hacer dos versiones diferentes: Windows N T Workstation y Windows N T
Server. Windows N T Workstation fue lanzado como sistema operativo de or
denador de mesa de última línea y tenía varios apoyos para dar a N T Workstation
un increíble soporte en red. Windows N T Server tenía toda la potencia de
Windows N T Workstation, más varias herramientas de servidor añadidas por
Microsoft que no se incluían en N T Workstation como los servidores DNS,
W INS y DHCP, además del soporte para un modelo de seguridad basado en
organización llamado un dominio.
Comprar Windows antiguos
Técnicamente, aún es posible comprar versiones antiguas de Windows.
Pero no se moleste en pedir en su tienda de informática local un nuevo
sistema con Windows 98. Estas compras se hacen a través de canales
para llamar a Microsoft directamente y hacer una petición.
Windows NT Workstation________________________________
Windows N T Workstation ofrecía la misma interfaz de usuario que Windows
95 pero con una seguridad y estabilidad muy mejoradas comparadas con la
débil seguridad de Windows 9x. Primero, Windows N T Workstation usaba un
modelo de seguridad de red basada en servidor. Si un usuario quería acceder a
cualquier cosa en un sistema Windows N T Workstation, tenía que tener una
cuenta de usuario y una contraseña en ese sistema. Eso era así aunque uno
hubiera iniciado la sesión en la propia máquina o intentara acceder a un recur
so compartido en otro sistema. Windows N T Workstation también usaba un
nuevo sistema de ficheros llamado Sistema de ficheros N T (N TFS). NTFS
proporcionaba un gran control sobre cómo los usuarios y grupos podían usar
las carpetas compartidas y los ficheros dentro de las carpetas compartidas.
Con NTFS, se podían definir permisos Cambio (modificar un fichero o el
contenido de una carpeta), Listar (definir si los usuarios o grupos podían ver
un fichero o el contenido de una carpeta) y Lectura (definir si los usuarios
podían abrir un fichero).
Windows N T proporciona soporte nativo para NetBEUI y TCP/IP, y tam
bién una fuerte seguridad usando robustas cuentas de usuario. No se puede
iniciar una sesión en un sistema Windows N T sin una cuenta de usuario váli
da. Cada sistema operativo Windows N T (y también Windows 2000, X P y
2003) viene con una "cuenta de superusuario" especial llamada Administra
dor. Cualquiera que inicie la sesión usando la cuenta de administrador de un
sistema Windows NT, 2000, 2003 o X P tiene el control completo y total sobre
todo el sistema. ¡Está claro que muy poca gente debe tener acceso a la cuenta
de administrador!
Cuentas de usuario N T _________________________ _________ _
2. Los usuarios globales deben pertenecer a grupos globales. Haga que sus
grupos (como C O N T A B IL ID A D o M A D R ID ) sean grupos globales.
Windows 2000____________________________
Microsoft mejoró la familia Windows N T con la generación de sistemas
operativos Windows 2000. Como NT, 2000 salió en las versiones para orde
nador de mesa y para servidor, llamadas Windows 2000 Professional y Windows
2000 Server. Windows 2000 combinó la interfaz de usuario de Windows 98
con la potencia subyacente de Windows NT. Windows 2000 era prácticamente
idéntico a Windows N T en términos de funcionamiento en red, seguridad y
usuarios, pero tenía también las funciones más actualizadas de Windows 98,
como un mejor soporte de controladores, el Administrador de dispositivos y
Plug and Play. Windows 2000 sólo prestaba soporte nativamente a TCP/IP,
aunque a través de configuración extra también prestaba soporte a NetBEUI,
IPX/SPX y AppleTalk.
Algunas de las mayores diferencias entre 2000 y N T estaban en el campo
de las redes. Microsoft, habiendo observado que Internet crecía apartándose
del funcionamiento en red NetBIOS de N T y cansada de intentar encontrar un
método para mantener NetBIOS en un mundo que iba hacia DNS a toda velo
cidad, rediseñó totalmente sus dominios. Los viejos nombres de dominio
NetBIOS N T dieron paso a dominios basados en nombres DNS. Incluso en
una red pequeña que no forme parte de Internet, los nombres de dominio
Windows 2000 tenían ahora el esquema de nomenclatura puntuada DNS, como
server.totalhome. El último, y probablemente el mayor, cambio en las redes
Windows apareció con la introducción de un nuevo superdominio llamado
Active Directory. Hablaremos de Active Directory en breve.
Perfiles de usuario____________________________ _
Todas las versiones de Windows prestan soporte al uso de perfiles de usua
rio, que mejoran la facilidad de uso y la seguridad de una red. Un perfil de
usuario es una colección de ajustes que corresponden a una cuenta de usuario
específica y siguen al usuario a cualquier ordenador que use en la red. Los
perfiles de usuario permiten a los usuarios personalizar sus entornos de traba
jo. El servidor comprueba los perfiles de usuario para determinar el papel
tapiz, disposición de escritorio y otras preferencias de entorno de cada usua
rio. Cada vez que el usuario inicia una sesión en la red, el sistema cliente
recupera el perfil y muestra el sistema operativo en consecuencia. Éste es un
ejemplo:
Roger, Chris y Cindy trabajan en turnos diferentes compartiendo el mismo
ordenador Windows XP. Cuando cada uno de ellos inicia una sesión en el
ordenador al comenzar su turno correspondiente, Windows X P carga la confi-
guración apropiada para su perfil. Si los perfiles se encuentran en el disco
duro local, sólo afectan a ese ordenador. Pero un administrador de red avezado
almacenará los perfiles en un servidor de red, permitiendo que los perfiles
sigan a los usuarios sea cual sea el ordenador en que se encuentran. Cuando
Roger entra en el turno de día, puede usar un ordenador diferente y disfrutar de
todos sus ajustes personalizados. Y con todo lo que a Roger, Chris y Cindy les
gustan las ventajas de los perfiles de usuario, a Martin, el administrador de
red, le gustan aún más. Martin puede usar los perfiles para establecer restric
ciones sobre cómo usan Roger, Chris y Cindy los ordenadores. Cuando su jefe,
Dudley, se queja de que los empleados pasan mucho tiempo jugando a Unreal
Tournament 2004, Martin modifica sus perfiles para que ya no puedan iniciar
Unreal Tournament. Martin puede restringir su uso de otras formas, impidién
doles que hagan lo siguiente:
• Ejecutar otros programas.
• Cambiar sus iconos y papel tapiz de escritorio.
Novell NetWare________________________________
El uso continuado de versiones antiguas atestigua la potencia y estabilidad
de Novell NetWare. Muchas organizaciones actualizan su software cliente,
pero siguen usando sus servidores NetWare 3.x y 4.x existentes, siguiendo las
antiguas palabras del sabio: "¡Si no está roto, no lo arregles!". Los técnicos de
red deben familiarizarse con tres versiones importantes de NetWare: NetWare
3.x, NetWare 4.x y NetWare 5.x.
Muchos sabores
La gran variedad de versiones de U N IX , conocidas en la tierra de los técni
cos como sabores, surgió porque Bell Labs puso U N IX a disposición de las
universidades, permitiéndoles modificar el sistema operativo para ajustarlo a
sus propias necesidades. Esta libertad para adaptar el sistema operativo alentó
la innovación, lo que condujo al desarrollo de tecnologías fundamentales como
el funcionamiento en red basado en TCP/IP, pero también dio origen a que los
muchos sabores de U N IX tuvieran importantes diferencias. Hoy, las principa
les variaciones son Solaris de Sun, A IX U N IX de IBM , HP U N IX de Hewlett-
Packard y BSD. Aunque todas las versiones de U N IX comparten una apariencia
y ambiente similares, un programa escrito para un sabor a menudo requiere
modificaciones significativas para poder funcionar en otro. Afortunadamente,
el técnico de red típico puede dejar las variaciones entre los sabores U N IX a
los programadores. Desde el punto de vista del técnico de red, todas las versio
nes de U N IX son más o menos parecidas.
Aplicaciones Web __________ ________ _____ _____________
Aunque se enfrenta a la creciente competencia de las familias Windows N T y
NetWare, U N IX sigue siendo el servidor elegido para dar servicios basados en
Internet como navegación Web y correo electrónico. Los protocolos usados para
los servicios basados en Internet se originaron principalmente en versiones de
U N IX y muchas organizaciones que usan NetWare o Windows para compartir
ficheros e impresoras siguen confiando en U N IX para sus servicios Internet.
Mac OS________________________________________________
Apple Computer fue uno de los primeros en adoptar las funciones de red
para sus sistemas. Apostando por la postura a largo plazo de Apple de "noso
tros podemos hacerlo mejor", Apple implemento el funcionamiento en red de
forma muy distinta a los otros sistemas operativos de red. Aumentando la
confusión, a lo largo de los años Apple ha hecho grandes actualizaciones a las
funciones de red del sistema operativo Macintosh. Todos estos cambios
increméntales hacen difícil presentar una breve perspectiva general del funcio
namiento en red de Macintosh. Por ello, vamos a centrarnos en las funciones
NOS actuales de Macintosh, con una nota sobre algunos puntos históricos
fundamentales.
La clave de la exclusividad del funcionamiento en red de Macintosh en los
primeros tiempos es AppleTalk, la familia de protocolos de red para todo de
Apple. AppleTalk gestiona tareas que van desde la creación de paquetes en la
capa Transporte a establecer sesiones entre sistemas para prestar soporte a
aplicaciones de red. Uno puede comparar razonablemente la funcionalidad de
AppleTalk con el territorio cubierto por NetBIOS y NetBEUI de Microsoft
(aunque cualquier buen técnico de redes Mac se avergonzará al oír eso). Como
NetBIOS, AppleTalk fue diseñado principalmente para compartir ficheros e
impresoras. Sus convenciones de denominación son muy similares a las que
vemos en NetBIOS, aunque AppleTalk admite nombres de sistema muy lar
gos. De cualquier forma, el límite práctico para un nombre AppleTalk es de
unos 20 caracteres. Como NetBEUI, AppleTalk no admite enrutamiento y usa
una función de emisión similar a NetBIOS para permitir que los sistemas se
reconozcan unos a otros. Los sistemas Macintosh usan también una función de
agrupamiento llamada zonas. Una zona funciona en su mayor parte como un
grupo de trabajo Microsoft. Las zonas no proporcionan seguridad de red y
simplemente actúan como una herramienta organizativa.
No es sorprendente que, dada su abrumadora popularidad, todos los siste
mas Macintosh modernos implementen TCP/IP, usando un programa llamado
AppleShare IP. La misión de AppleShare IP es conectar el sistema Macintosh
con redes IP, incluyendo Internet. Apple también hace Mac OS X Server, un
sistema operativo de servidor totalmente desarrollado que incluye herramien
tas que facilitan la interconectividad con Windows y Linux. También mejora
mucho la seguridad de red, en particular implementando grupos y robustas
cuentas de usuario. Así, el funcionamiento en red Macintosh implica dos pro
ductos: las funciones de red básicas de AppleShare IP, que están integradas en
todos los sistemas Macintosh, y Mac Server.
Después de escoger el mejor NOS para su red, debe instalar el software del
sistema operativo en todos los sistemas de la red. Se enfrentará a varios asun
tos fundamentales en distintos pasos durante el proceso de instalación. Aun
que cada sistema operativo gestiona estos asuntos de forma distinta, solucionar
cada uno de ellos es algo que nos compete a nosotros o al NOS.
Interfaz de red
Cada sistema de la red debe tener algún dispositivo mediante el cual acce
der a la red, llamado interfaz de red. En la mayoría de los casos, será una NIC
o un módem. Afortunadamente, el mundo de Plug and Play (PnP) ahora es
predominante y ahora instalar una NIC o un módem se ha reducido práctica
mente a enchufar el dispositivo y echarse atrás mientras el NOS se ocupa de
todo lo demás. El único asunto del que tenemos que preocuparnos es que el
dispositivo quede instalado apropiadamente. Eso significa saber a qué lugar
del sistema operativo hay que ir para comprobarlo. En casi todas las versiones
de Windows, eso significa una visita al viejo Administrador de dispositivo. En
la figura 12.40 se muestra una N IC en perfecto funcionamiento en el Adminis
trador de dispositivos de Windows 2000.
Otros sistemas operativos, como Linux, no son tan atractivos, pero sí igual
de funcionales. En la figura 12.41 se muestra el resultado de ejecutar el co
mando IFCONFIG y buscar ethO, el nombre universal del adaptador Ethernet
en el mundo UNIX/Linux.
Protocolo________________________________
Todo PC de una red debe ejecutar una suite de software que permita al PC
comunicarse a través de la red, dicho de otra forma, un protocolo. Como todo
el mundo usa TCP/IP, puede apostar que su NOS instalará TCP/IP como
protocolo predeterminado, a menos que esté utilizando un sistema operativo de
red antiguo. Asegúrese de conocer los diferentes protocolos que se instalan
con los distintos sistemas operativos de red, incluyendo los antiguos. Se han
descrito todos en este capítulo.
Nomenclatura____________________________
¡Bien, ésta es de las gordas! En la mayoría de las redes hay que dar a cada
sistema, o por lo menos a cada sistema que comparta recursos, un "nombre
amistoso" o, lo que es lo mismo, uno que no sea 192.168.43.2 o algo igual de
críptico y difícil de recordar. Vemos este nombre amistoso cuando se muestran
recursos compartidos de red. En Windows, puede ver los recursos compartidos
usando el siempre popular Entorno de red/Mis sitios de red. (N ovell NetWare
también llama a esta aplicación Network Neighborhood o Entorno de red.)
Todos los sistemas operativos de red tienen una aplicación similar. En la figu
ra 12.42 se muestra Mis sitios de red en un sistema Windows 2000 mostrando
un servidor Novell NetWare llamado N E T W A R E 5 1.
Como he dicho, las redes basadas en organización dan nombre a los grupos
de ordenadores siguiendo propósitos organizativos. Afortunadamente, crear es
tos nombres de grupos es asunto de la gente que configura los servidores, no del
técnico de redes. Pero si un administrador de red le dice que configure un sistema
cliente Windows 2000, debe entender qué son los grupos organizativos y los
nombres de grupo y saber cómo asignar un cliente a un grupo. En la figura 12.43
se muestran cinco grupos en mi red. Estos grupos se llaman dominios porque,
bueno, porque así es como decidió Microsoft llamar a sus grupos de ordenado
res. Los nombres de dominio en este ejemplo son los que yo creé.
Sistemas operativos de red basados en organización diferentes usan nom
bres distintos para estos grupos. Windows los llama dominios, mientras que
NetWare los llama árboles.
Servidor o cliente_________________________
Si instala Novell NetWare, éste automáticamente preparará un servidor. Otros
sistemas operativos, como Windows 98, actúan automáticamente como clientes.
Los ordenadores Windows 2000/XP/2003, Linux y Macintosh se ejecutan como
clientes y como servidores. El truco está en que algunos sistemas operativos,
especialmente los clientes Windows 9x, cuando se ejecutan en redes basadas en
recursos, requieren que también los configuremos para actuar como servidores.
Esto sólo significa en realidad que hay que activar Compartir archivos e
impresoras, para que los sistemas Windows 9x puedan compartir.
Cuentas de superusuario___________________
Todos los sistemas operativos de red requieren cuentas de usuario. Cual
quier NOS que requiera esto vendrá con una cuenta de usuario integrada con
todos los poderes que tienen control total sobre todo lo que hay en la red.
Esta cuenta se llama supervisor o admin en NetWare, Administrador en
Windows NT/2000 y root en UNIX/Linux. Cuando se instala un sistema por
primera vez, hay que establecer la contraseña para esta cuenta. Como puede
imaginar, la contraseña de esta cuenta es algo que sólo deben conocer las
personas de máxima confianza. La mayoría de los sistemas operativos re
quieren que se use esta cuenta, o una equivalente (generalmente es posible
crear más cuentas con los mismos poderes), para realizar la mayoría de las
tareas administrativas de la red. Casi siempre, será el propio administrador
quien cree cuentas de usuarios; sin embargo, la mayoría de los sistemas
operativos de red permiten a un administrador delegar sus poderes para crear
cuentas a otras cuentas de usuario: ¡una buena forma de delegar trabajo
administrativo!
Grupos__________________________________
La mayoría de los sistemas operativos de red tienen grupos predetermina
dos. Por ejemplo, Windows NT/2000 tiene un grupo llamado Todos. Cual
quiera que tenga una cuenta de usuario válida se convierte automáticamente en
miembro de este grupo. Su administrador de red casi seguro que habrá hecho
grupos como éstos para su red.
Contraseñas____________________________ _
Las contraseñas son ahora bastante comunes en todos los sistemas operativos
y hay que tener un conocimiento general de ellas.
La seguridad de red sólo funciona bien cuando los usuarios mantienen se
guras sus contraseñas. Por ejemplo, las contraseñas nunca deben estar escritas
donde otro usuario pueda encontrarlas y los usuarios nunca deben revelar su
contraseña a nadie, ni siquiera al administrador de red. En la mayoría de los
casos, el administrador puede reestablecer la contraseña de un usuario sin
conocer la antigua. Sin embargo, muchos usuarios no conocen esta posibilidad
y son presa fácil de uno de los trucos de h a ck er más antiguos: la llamada
telefónica del falso técnico de red. En una organización grande, la mayoría de
los usuarios no conocerán a todos los técnicos de soporte de red. Un h a ck er
puede llamar a uno de estos desventurados usuarios y decirle: nSoy Howie, del
soporte técnico. Estamos mejorando la red de deflectores delanteros y necesi
tamos su contraseña para reestablecerla cuando hayamos terminado". Un sor
prendente número de usuario caerá en la trampa y dará su contraseña a quien
se la pide por teléfono. ¡Hacer pensar a los humanos nunca es fácil, pero es
una parte vital de la seguridad de red!
Enseñar a los usuarios de red la atención que necesitan sus contraseñas es
una parte fundamental de cualquier plan de seguridad de red. Primero, hay que
enseñar a los usuarios a escoger buenas contraseñas. Una buena contraseña no
puede ser adivinada fácilmente. No deben estar basadas en información acerca
del usuario que uno de los malos pueda obtener fácilmente. Por ejemplo, si
Hermán vive en 1313 Mockingbird Lañe, está casado con L ily y tiene una
mascota llamada Spot, nunca debe usar las siguientes contraseñas:
• mockingbird.
• dribgnikcom (mockingbird escrito al revés).
• lily.
• ylil (lily escrito al revés).
• spot.
• tops (spot escrito al revés).
Idealmente, una contraseña no debe ser una palabra real en absoluto. Los
hackers que sondean una red a menudo emplean utilidades de búsqueda de
contraseñan que prueban palabras comunes del diccionario al azar. Los admi
nistradores de red pueden reducir la efectividad de tales programas de búsque
da de contraseñas exigiendo que todas las contraseñas sean más largas de seis
u ocho caracteres. Los hackers se enfrentan a una tarea más difícil si las
contraseñas son más largas porque hay muchas más combinaciones posibles.
Las contraseñas más seguras contienen una combinación de letras y números.
Los usuarios las odian porque son las más difíciles de recordar. La siguiente
lista contiene contraseñas fuertes:
• gr78brk3
• tnk23wqk
• bob0tw2&
Un buen administrador de red debe asumir que, con el tiempo suficiente, las
contraseñas de algunos usuarios serán del conocimiento público. Para limitar
el impacto de estas contraseñas expuestas, un administrador de red cuidadoso
establece que las contraseñas caduquen periódicamente, generalmente cada 30
días como mucho. Si una contraseña pasa a ser de dominio público, el agujero
en la seguridad desaparecerá automáticamente cuando el usuario cambia de
contraseña. Uno de los aspectos más frustrantes de la implementación de con
traseñas es la corriente de llamadas pidiendo soporte técnico de usuarios que
no pueden iniciar una sesión en la red. Si me dieran un dólar por cada vez que
un usuario dejó activada la tecla B lo q M a y ú s o que simplemente no escribió
correctamente la contraseña...
La mayoría de los sistemas operativos de red también permiten deshabilitar
una cuenta de usuario. Una cuenta de usuario deshabilitada es simplemente
una cuenta cuyo acceso ha sido deshabilitado pero que no ha sido eliminada
del sistema. Muchos administradores de red deshabilitan una cuenta si el usua
rio tiene un permiso largo o un encargo temporal. ¡Por supuesto, es seguro que
alguien oirá las protestas cuando el usuario vuelva y no pueda iniciar una
sesión porque su cuenta está deshabilitada!
Como persona que presta soporte técnico a las redes, es imprescindible
tener un conocimiento básico de los diferentes fabricantes y modelos de sis
temas operativos de red disponibles hoy. Familiarícese muy bien con las
muchas variaciones de los productos N ovell, Microsoft y Linux/UNIX, y
asegúrese de entender las diferencias entre el trabajo en red cliente/servidor
y entre iguales.
Proyectos de laboratorio_______________________
Basada en recursos
Basada en servidor
Basada en organización
13. Compartir
recursos
En toda red funcional, los sistemas servidores comparten recursos y los
sistemas clientes acceden a esos recursos compartidos. En este capítulo vamos
a ver los diferentes modos en que los sistemas operativos de red comunes
permiten a los servidores compartir recursos, concentrándonos en cómo se
comparten carpetas e impresoras en las diferentes versiones de Microsoft
Windows, Novell NetWare y Linux/UNIX. Después veremos cómo configurar
clientes Windows 9x, 2000 y X P para que accedan a esos recursos comparti
dos. ¡Después de todo, una red instalada de ordenadores servidores y clientes
es inútil sin recursos que los servidores puedan compartir y a los que los
sistemas clientes puedan acceder!
Los pasos básicos para hacer que cualquier recurso se pueda compartir son
prácticamente los mismos cuando se comparte una carpeta del disco C: en una
pequeña red o un gran sitio Web en toda Internet. Para compartir un recurso,
hay que hacer que sea compartible y hay que darle un nombre. Cómo se nom
bran los recursos compartidos varía, dependiendo del sistema operativo y del
tipo de recurso compartido.
UNC_______________
Mis sitios de red de Windows hace que explorar una red sea algo fácil.
Simplemente haciendo clic en un grupo, sistema servidor o recurso comparti
do, podemos acceder a lo que queramos, o al menos a aquello para lo que se
nos permita el acceso. Pero el funcionamiento en red no siempre ha tenido que
ver con sistemas cliente Windows. Hace mucho tiempo, antes de que Windows
existiera, Microsoft fue el paladín del concepto de Convención de nomenclatu-
ra universal (U N C ), que describe cualquier recurso compartido en una red
siguiendo esta convención:
\\<nombre_servidor>\<nombre_recurso_compartido>
URL____________________________________________
Aunque Microsoft desarrolló los nombres UNC para que funcionaran con
cualquier recurso compartido, hoy día se usan casi exclusivamente con carpetas
e impresoras. Otros recursos compartidos como el correo electrónico y los
navegadores Web usan la nomenclatura más común, y más conforme con Internet,
de Localizador de recursos universal (U R L). Veremos más sobre los U R L en un
capítulo posterior. En el resto de este capítulo vamos a comentar cómo compar
ten recursos los diferentes sistemas operativos y después veremos cómo se acce
de a esos recursos compartidos. Trataremos los U R L hasta cansarnos, pero,
antes de eso, hay que entender el concepto fundamental de los permisos.
Permisos_________________________________
Una vez que se ha preparado un recurso para compartir y se le ha dado un
nombre de red, ¿cómo controlamos quién obtiene acceso a él para hacer qué?
Ya hemos hablado de esto anteriormente: usamos permisos. Ya hemos visto
los permisos, o derechos como los llamaba Novell NetWare, en el capítulo
anterior, pero ahora vamos a estudiarlos con más atención. Aquí he incluido
alguna información que le resultará familiar, pero será útil como recordatorio
si ha pasado un tiempo desde que la leyó. Como sabe, los permisos son conjun
tos de atributos que los administradores de red asignan a los recursos para
definir qué usuarios pueden hacer qué cosas con ellos (¡con los recursos, no
con los administradores!). Un permiso bastante típico usado en todos los siste
mas operativos de red es el permiso ejecutar que se asigna a algunas carpetas.
El permiso ejecutar, como indica su nombre, permite al usuario o grupo que
dispone de él ejecutar cualquier programa que esté dentro de la carpeta.
Los tipos de permisos varían, dependiendo del recurso que se está compar
tiendo. Si comparto una impresora, ciertamente no necesito un permiso llama
do ejecutar, ¡aunque debo admitir que en el pasado a veces habría ejecutado a
alguna impresora de agujas problemática! Las impresoras más bien suelen
tener permisos como administrar impresoras que permiten a ciertos grupos
reestablecer la impresora o iniciar y detener tareas de impresión.
Hay muchos, muchos más tipos de permisos además de los dos que acabo
de describir. Sólo quería que tuviera una idea de la apariencia de un par de
ellos. Uno de los aspectos más fascinantes de los permisos es las diferentes
formas en que los utilizan los sistemas operativos de red. Veamos los sistemas
operativos de red más comunes para entender cómo usan los permisos.
Permisos Windows 9x
Todos los sistemas Windows 9x usan el modelo de seguridad basada en
recursos. Las únicas opciones de permisos de seguridad son Completo (la
puerta está abierta: el usuario puede hacer lo que quiera), Sólo lectura (se
puede mirar pero no tocar) y Depende de la contraseña (el acceso completo
requiere una contraseña). Es interesante que Windows 9x no tenga una opción
Sin acceso. Piense en ello: no tiene sentido tener un recurso compartido al que
nadie puede acceder nunca, pero como 9x no tiene verdaderas cuentas de usua
rio, no sabe quién está llamando a la puerta. Las únicas opciones con Windows
9x son: a) dejar que todo el mundo haga lo que quiera; b) dejar que todo el
mundo entre, pero sólo a mirar; o c) dejar que todo el mundo mire, pero sólo
los que conozcan la contraseña puedan hacer lo que quieran.
Además, estos permisos, llamados permisos para compartir, sólo controlan
el acceso de otros usuarios en la red con los que se comparte el recurso; no
tienen efecto alguno en el usuario que se sienta en el ordenador cuyo recurso se
está compartiendo. Estos permisos Windows 9x son prehistóricos en términos
de redes; proceden de la época de L A N Man 1.0 (el primer NOS para PC),
antes de que nadie pudiera imaginar que fuera a ser necesario tener más segu
ridad que ésta.
Claramente, se equivocaron en eso. ¡Han pasado los días en que seguridad
de ordenador significaba cerrar con llave la sala en que estaba el equipo! Las
redes actuales tienen que tener seguridad frente a todos los enemigos, externos
e internos. Los administradores de red tienen que ser capaces de controlar
quién puede usar sus redes y de qué formas concretas, ya se encuentre la
persona sentada frente al sistema servidor o esté llamando desde la otra punta
del mundo. La seguridad realmente útil requiere también un conjunto de per
misos más potente y flexible. Los sistemas operativos de red modernos, como
Windows NT/2000/2003/XP y Novell NetWare, implementan cuentas de usua
rios con robustas propiedades, como recordará del capítulo anterior. Las cuen
tas de usuarios permiten a un administrador de red controlar no sólo el acceso
inicial a la red, sino también ajustar el acceso de cada usuario a cada recurso
compartido.
Cuentas de usuario Windows 9x
Windows 9x tiene cuentas de usuario, pero esas cuentas sólo existen para
permitir un usuario de un cliente Windows 9x de una red iniciar una
sesión en un servidor Windows NT/2000/2003. El inicio de sesión de la
cuenta de usuario no proporciona protección alguna a la propia máquina
local. Por si no lo sabía, permítame contarle un secreto. Basta con pulsar
la tecla Esc en la pantalla de inicio de sesión y Windows 9x se encogerá de
hombros y otorgará acceso completo a sus recursos locales.
Una vez que se instala una copia de Windows N T Server, Windows 2000
Server o Windows Server 2003 y se implementa un dominio, cada usuario obtie
ne una cuenta de usuario de dominio que le da acceso a la red en una ventana de
inicio de sesión (véase la figura 13.9). En una red basada en dominios, nadie
tiene una cuenta de usuario local, todos los usuarios obtienen cuentas de usuario
de dominio que deben ser configuradas por un programa especial en el sistema
servidor Windows NT, 2000 ó 2003. Las cuentas locales todavía existen en una
red Windows NT, 2000 ó 2003 basada en dominios (excepto en los controladores
de dominio, que no tienen cuentas de usuario local), pero no se usan salvo para
funciones de mantenimiento ocasionales. Para iniciar una sesión localmente en
un sistema que usa un dominio, hay que realizar un inicio de sesión local espe
cial. De hecho, el inicio de sesión Windows N T da la capacidad de iniciar la
sesión en el dominio o sólo en el sistema local (véase la figura 13.10). Iniciamos
una sesión en un sistema local sólo para realizar el mantenimiento.
Entonces ¿cómo puede usarse NTFS en una red? ¡Muy fácil! Los recursos
NTFS pueden almacenar información en cualquier cuenta de usuario. La
cuenta puede ser local para sólo ese sistema o, si el sistema es parte de un
dominio Windows NT/2000/2003, puede ser una cuenta de usuario de domi
nio. La única diferencia es que sea el sistema local el que gestione los inicios
de sesión de la cuenta de usuario o sea el dominio el que lo haga; ¡pero eso no
afecta a NTFS!
¡Vaya! ¡Un momento, Mike! ¿Estás diciendo que los sistemas Windows
NT/2000/2003/XP tienen dos tipos de cuentas de usuario diferentes? ¡Pues sí,
es correcto! Hay dos tipos: usuarios locales y usuarios de dominio. (En reali
dad, hay más de dos, pero no necesitamos ver eso ahora.) Pero para usar
dominios, hay que comprar una versión de servidor especial de Windows,
como Windows N T Server, Windows 2000 Server o Windows Server 2003.
Toda esta seguridad es invisible para el usuario de red siempre que tenga
una buena cuenta de usuario y los permisos NTFS necesarios. Este proceso no
es exclusivo de las redes Windows, las redes NetWare y Linux usan el mismo
método de seguridad en dos pasos.
NetWare 4.x/5.x/6.x__________________________
NetWare 4.x/5.x/6.x prescinde del Bindery, reemplazándolo con los Servi
cios de directorio NetWare (NDS o NetWare Directory Services). NDS con
trola el acceso a recursos de red usando permisos con alcance en toda la red, en
lugar de los permisos específicos de servidor usados por el Bindery de NetWare
3.x. NetWare 5.x introdujo un nuevo formato de fichero llamado Servicios de
almacenamiento Novell (NSS o N ovell Storage Services). Desde el punto de
vista del uso compartido de carpetas y ficheros, NetWare nunca ha cambiado
sus permisos originales. ¿No es bonito poder contar con que algo permanezca
igual? Microsoft, ¿estás escuchando? ¿Hola? Bueno, sigamos adelante.
UNIX/Linux_______________________________
El concepto de permisos puede hacerse confuso al cambiar entre Linux y
Windows. Los sistemas UNIX/Linux tienen permisos de carpetas y ficheros
locales como NetWare y NT/2000, pero parecen bastante diferentes de los que
acabamos de ver. Pero comparten una característica con Windows: los permi
sos son los mismos para los usuarios en red y locales. Los programas servido
res de ficheros como FTP usan los permisos locales para gestionar los permisos
de acceso a la red.
A diferencia de NetWare y Windows, UNIX/Linux proporciona sólo tres
permisos (véase la tabla 13.4). Como carecen de los permisos más detallados
disponibles en NetWare y Windows, la mayoría de los administradores de red
prefieren usar los sistemas UNIX/Linux sólo para compartir ficheros. Sé que
al decir esto me estoy arriesgando a sufrir una avalancha de correos electróni
cos del millón de usuarios de UNIX/Linux, ¿pero qué puedo hacer? ¡Cuando
tengo razón, tengo razón!
Compartir es compartir____________________
Con todas las diferencias en nombres y funciones entre los distintos tipos
de permisos, la conclusión es que todos realizan más o menos las mismas
funciones: permitir a los que administran las redes controlar el nivel de acceso
a los ficheros y carpetas compartidos. Tenga en cuenta que los permisos no
están limitados a sólo ficheros y carpetas: prácticamente cualquier recurso
compartido en una red tendrá algún tipo de permisos para asignarlos a usua
rios y grupos. De todas formas, lo que más nos gusta compartir son ficheros y
carpetas, y una vez que se han visto las diferencias en cómo los distintos
sistemas operativos de red comparten ficheros y carpetas, compartir otros
recursos, como una impresora, parecerá decepcionante.
Ahora que ha entiende los permisos, pongamos a trabajar su conocimiento
compartiendo algunos ficheros y carpetas. O, y por cierto, ya que estamos en
ello, compartiremos también algunas impresoras.
Compartir recursos
Compartir carpetas
Como compartir carpetas es el área de mayor interés para la mayoría de los
técnicos, empezaremos con ello. Vamos a ver los sistemas operativos de red
que acabamos de estudiar para saber qué hay que hacer para preparar un
recurso para su uso compartido. Esto va a ser un poco redundante, ¿pero qué
importa? El proceso nunca cambia. Una vez que se sabe qué hay que hacer,
todo lo que falta son los detalles específicos de cómo crear un objeto compar
tido en un NOS concreto.
Windows 9x
¿Recuerda cuando dije que el primer paso para compartir un recurso es
garantizar que el sistema es capaz de compartir? Bien, todos los NOS comen
tados en este lib ro están preestab lecidos para com partir recursos
automáticamente, excepto Windows 9x. Todos los sistemas Windows 9x re
quieren que se instale y active un servicio especial llamado Compartir impresoras
y archivos. Para instalar este servicio en un sistema Windows 9x, acceda al
cuadro de diálogo Propiedades de Entorno de red (véase la figura 13.14).
También puede acceder a estos ajustes ejecutando el subprograma Red del
Panel de control. Asegúrese de saber cómo llegar a los ajustes de Red en un
cliente Windows 9x: vamos a hacer esto mucho en el resto del libro. ¿Ve el
botón C o m p a r t i r a r c h iv o s e im p r e s o r a s ? Haga clic en él para ver las opcio
nes de uso compartido (véase la figura 13.15).
Esto es bastante simple. Si uno quiere compartir sus ficheros y carpetas,
activa la casilla Permitir que otros usuarios tengan acceso a mis archi
vos. Veamos si ha captado la idea. ¿Qué casilla tiene que activar para permitir
que otros accedan a sus impresoras? ¡Vaya! ¡Es un genio! Un vez activadas las
casillas, no hay más que hacer clic en A c e p t a r y tener preparado el CD de
instalación: Windows lo pedirá. También puede contar con que tendrá que
reiniciar (después de todo, es Windows). ¡Pero eso es todo! Ya ha terminado el
primer paso para el uso compartido de un recurso: comprobar que el sistema
está configurado para compartir instalando el servicio Compartir impresoras y
archivos. Un servicio es cualquier programa que se ejecuta en Windows, que
normalmente no se ve. El sistema Windows 9x tendrá la misma apariencia que
antes, pero, créame, hay un nuevo grupo de programas en ejecución, aunque
no estén a la vista. Ya hemos terminado de preparar sistemas para compartir.
No veremos de nuevo este paso porque todos los demás sistemas operativos de
red lo realizan automáticamente. ¡Hurra!
Supongamos que ha instalado el servicio Compartir impresoras y archivos
en su sistema (véase la figura 13.16). Puede volver al subprograma Red para
ver si está ahí. Una vez instalado, está listo para empezar a compartir algunos
ficheros y carpetas. ¡Viva!
No hay un paso específico que haya que dar para empezar a compartir
carpetas en NetWare. Todas las carpetas y todas las unidades están listas para
el uso compartido; sólo hay que establecer los derechos de confianza. El térmi-
no derechos de confianza es el que usa NetWare para los permisos de usuarios
y grupos en una carpeta compartida. De cualquier usuario o grupo con dere
chos en determinada carpeta compartida se dice que tiene derechos de confian
za sobre esa carpeta. No permita que los términos le confundan: ¡es lo mismo
que establecer permisos en un sistema Windows NT, 2000, 2003 o XP!
Establecemos derechos de confianza en NetWare 3.x ejecutando el antiguo
pero perfectamente funcional programa SYSCON. Hay otros métodos, pero
SYSCON es el más famoso y la forma más común de establecer derechos de
confianza en NetWare 3.x. SYSCON hace mucho más que poner los objetos
compartidos a disposición de los usuarios: este mismo programa gestiona va
rias tareas administrativas, como la creación de usuarios y grupos. SYSCON
es una utilidad en modo texto que se ejecuta desde la línea de comandos: un
legado de la era del trabajo en red DOS. Aunque SYSCO N es potente, también
es difícil de usar y se necesita algo más que un poco de práctica para conseguir
que funcione bien. En la figura 13.28 se muestra SYSCO N mientras se usa
para establecer derechos de confianza en una carpeta. Fíjese en los nombres de
los dos grupos y los derechos que tienen asignados. Puede distinguir cuáles
son los derechos de confianza, ¿verdad? Correcto, son las iniciales RWCEMF,
en el lado derecho. Vuelva atrás a la sección dedicada a los permisos en este
capítulo y vea la tabla de derechos NetWare para ver qué derechos se han
asignado a los usuarios en este ejemplo.
NetWare 4.x/5.x/6.x_____________________________________
NetWare 4.x/5.x/6.x funciona básicamente igual que NetWare 3.x, pero
con la salvedad de que las herramientas para asignar derechos de confianza
han mejorado espectacularmente. La herramienta que se usa actualmente para
asignar derechos de confianza es N W AD M IN . A diferencia del viejo SYSCON,
N W A D M IN es una aplicación basada en ventanas que permite hacer clic en la
carpeta que se quiere compartir para asignar fácilmente derechos de confian
za. En la figura 13.29 se muestra N W A D M IN en acción, configurando los
derechos de confianza para una carpeta compartida.
Sea cual sea el NOS, los pasos que se dan para compartir una carpeta son
básicamente los mismos. Primero, hay que preparar el sistema para que pueda
compartir; esto se hace automáticamente en todos los sistemas operativos ex
cepto Windows 9x. Segundo, hay que decidir qué se quiere compartir y hacer
que esa carpeta esté disponible para el uso compartido. Por último, se estable
cen los permisos o derechos que queremos que tenga el objeto compartido.
Recuerde estos pasos y compartir una carpeta siempre será fácil.
Compartir impresoras______________________
El proceso para compartir impresoras es similar al proceso para compar
tir carpetas: hay que comprobar que el sistema es capaz de compartir una
impresora, dar a la impresora un nombre compartido y establecer los permi
sos. El proceso real mediante el que los sistemas operativos de red compar
ten impresoras varía mucho, aunque el proceso para compartir no cambia
tanto entre versiones de Windows y NetWare. Esto significa que no tenemos
que entrar en el mismo nivel de detalle con que hemos visto las carpetas.
Vamos a ello.
Errores de acceso______________________________________
Como en los errores de uso compartido, casi todos los errores de acceso se
deben a problemas de configuración, no a alguna pieza de software estropea
da. El mayor error surge directamente de los permisos: si no puede acceder a
un recurso compartido de la forma que le parece que debe poder, pida a la
persona que controla la carpeta compartida que le dé los permisos necesarios.
No es infrecuente oír una conversación como ésta:
"¡Hey, Alison, no puedo hacer cambios en la base de datos Contabilidad!"
"¡Ya, bueno, se supone que no tienes que poder! ¡No tienes los permisos
necesarios!"
"Está bien, pero si no hago esos cambios el jefe me va a echar la bronca,
¿puedes cambiar mis permisos?"
"Vale, dame un segundo."
"¡Gracias!"
Sé que mucha gente de oficinas más formales se reirá con esto, pues tienen
rígidos procedimientos para solicitar un cambio de permisos, pero el proceso sigue
siendo el mismo. Compruebe que tiene los permisos que necesita. El hecho de que
ayer tuviera los permisos correctos no garantiza que un gurú de la red no vaya a
cambiarlos hoy. ¡Suponga siempre primero que el problema está en los permisos.
Sólo
lectura
Escribir
Ejecutar
Control
total
Otros
14. Crecer
con TCP/IP
Vaya, en cuanto empezaba a pensar que habíamos terminado con TCP/IP,
volvemos de nuevo a él, y con más intensidad que nunca. No pensaría en serio
que habíamos terminado ya con TCP/IP, ¿verdad? Prometo que no hablaré
más de la división en subredes, pero tenemos que ver algunas herramientas
fundamentales que se usan para hacer que funcionen las redes TCP/IP, espe
cialmente las grandes. De hecho, vamos a trabajar con la mayor de todas las
redes, la propia Internet.
En este capítulo, veremos una gira detallada por DNS, W IN S y DHCP. De
acuerdo, ya sabe cómo preparar a sus clientes Windows para estos amigos: si
alguien le dice que los introduzca en cuadros de propiedades de red TCP/IP,
sabe dónde debe escribirlos. Pero ahora vamos a verlos con mucho más deta
lle. De hecho, vamos a ver algunos servidores DNS, W IN S y DHCP reales. A l
final de este capítulo, profundizaremos en las muchas utilidades de software
(incluyendo algunas que ya hemos visto, pero con mucho más detalles) y las
usaremos para diagnosticar y corregir algunos de los problemas más comunes
que surgen en redes TCP/IP.
Hay bastantes posibilidades de que tenga un sistema que esté conectado,
o al menos pueda conectar, con Internet. Si estuviera en su lugar, encendería
ese sistema, pues la gran mayoría de los programas que vamos a ver vienen
gratis con todos los sistemas operativos que se fabrican. Encontrarlos puede
ser difícil en algunos sistemas, pero no se preocupe, le mostraré dónde se
encuentran.
DNS_________________________________________
Organización DNS______________________________________
¿Qué significa jerárquico en términos de DNS? Bien, el espacio de nombres
jerárquico DNS es una estructura en árbol imaginaria con todos los nombres
posibles que podrían usarse dentro de un solo sistema. Por contra, los nombres
NetBIOS usan un espacio de nombres plano, básicamente una lista grande y
sin divisiones que contiene todos los nombres, sin agrupamientos de ningún
tipo. En un espacio de nombres plano, todos los nombres deben ser absoluta
mente únicos; no puede haber dos máquinas que compartan nunca el mismo
nombre bajo ninguna circunstancia. Un espacio de nombres plano va bien en
una red pequeña y aislada, pero no es válido en organizaciones grandes con
muchas redes interconectadas. Para evitar conflictos de nombres, todos sus
administradores tendrían que conocer todos los nombres usados en toda la red
corporativa.
Un espacio de nombres jerárquico ofrece una solución mejor, permitiendo
mucha más flexibilidad y habilitando a los administradores para que den a los
sistemas en red nombres más largos y descriptivos. Los nombres que usamos
las personas en nuestra vida diaria son un ejemplo de espacio de nombres
jerárquico. En mi localidad casi todos conocemos a nuestro cartero, Ron
Samuels, al que nos dirigimos simplemente como Ron. Cuando su nombre
surge en una conversación, la gente se refiere a él como Ron. El alborotador
del lugar, Ron Falwell, y el hijo del alcalde, Ron Jones, que se fue a Toledo,
comparten el nombre con el cartero. En algunas conversaciones, se hace nece
sario diferenciar entre el Ron bueno, el Ron malo y el Ron de Toledo (que
puede ser o no el Ron feo). Podríamos usar un estilo de tratamiento medieval y
nombrar a los Ron como Ron el cartero, Ron el canalla y Ron de Toledo, o
podríamos usar el moderno estilo occidental y añadir apellidos: "Ese Ron
Samuels es realmente simpático". "Ese Ron Falwell es la oveja negra de la
familia". "Ese Ron Jones era el chico más adorable que vi nunca". Podría
visualizar esto como el Espacio de nombres personales, ilustrado en la figura
14.1. Añadir apellidos crea lo que se podría llamar un Nombre de persona
totalmente cualificado: con suficiente información para evitar que se puedan
confundir las distintas personas que se llaman Ron.
Ahora que conoce la dirección IP del sitio de Barney, abra el fichero HOSTS
de la persona destinataria de la broma y sustituya la dirección IP que se usa
normalmente para resolver w w w .goo gle.com con la dirección IP de
www.barney.com. No importa en qué lugar del fichero añada la entrada. Éste
sería el aspecto de la entrada en un fichero HOSTS típico de Windows, supo
niendo que no haya cambiado la dirección IP de www.barney.com para cuando
lea esto:
127.0.0.1 .localhost
164.109.81.235 www.google.com
109.54.94.197 stephen.totalsem.com
138.125.163.17 r o g e r .totalsem.com
127.0.0.1 localhost
Ninguna máquina individual necesita conocer todos los nombres DNS, siem
pre que todas las máquinas sepan a quién pedir más información. De la natura
leza distribuida y descentralizada de la base de datos DNS procede en gran
medida la flexibilidad y libertad de que gozan los administradores de red al
usar DNS. DNS sigue requiriendo que un administrador escriba cada nombre
y dirección, igual que sucedía con un fichero HOSTS. Pero ahora hay dos
ventajas clave al mantener esta información en una base de datos DNS, en
lugar de mantenerla en la forma de ficheros HOSTS. Primera, como la base de
datos está centralizada en el servidor DNS, un administrador puede añadir
nuevas entradas una sola vez, en lugar de ir recorriendo la red para añadir
nuevas entradas en cada máquina. Segunda, la base de datos está distribuida,
que significa que ningún administrador individual debe mantener una base de
datos que conozca a todas las demás máquinas del mundo. Un servidor DNS
sólo tiene que tener noticia de los otros servidores DNS a los que puede acudir
para buscar más información.
El caché DNS_____________________________
La mayoría de los navegadores Web y los sistemas Windows 2000/2003/
XP realizan el seguimiento de DNS a través de un caché, llamado lógicamente
caché de resolución DNS. Una vez que un navegador Web o un sistema Windows
2000/XP ha realizado una solicitud DNS, conserva esa dirección IP en su
propio caché DNS. Si quiere ver el caché DNS de un sistema Windows 2000,
2003 o XP, emplee la utilidad IPCONFIG: ejecute el comando IPCONFIG /
d is p la y d n s en el símbolo de sistema. Internet Explorer y Netscape Navigator
también tienen cachés DNS, pero se necesita una utilidad de terceros para
ver su contenido. I P C O N F I G / d i s p l a y d n s crea una salida bastante lar
ga, por lo que debe prepararse para desplazar la ventana. En la figura 14.12
se muestra un pequeño fragmento de la salida típica de I P C O N F I G /
d i s p l a y d n s . Después puede borrar este caché usando el comando
IPCONFIG/ f l u s h d n s . Tome nota de este comando: ¡lo necesitará dentro
de un momento! Por ahora, veamos un servidor DNS real ejecutándose en un
sistema Windows 2000 Server.
Servidores DNS___________________________
Llevamos tanto tiempo hablando de servidores DNS que sentiría que traicio
no mi visión de un libro Todo-en-uno si no echáramos al menos un rápido vista
zo a un servidor DNS en acción. Muchos sistemas operativos de red vienen con
software servidor DNS integrado, incluyendo Windows NT, 2000 y 2003 Server,
NetWare 5.x y 6.x, y prácticamente todas las versiones de UNIX/Linux. Tam
bién hay varios programas servidor DNS de terceros para prácticamente todos
los sistemas operativos. Voy a usar el programa servidor DNS que viene con
Microsoft Windows 2000 Server principalmente porque 1) permite tomar las
capturas de pantalla más bonitas y 2) es el que uso en mi oficina. Se inicia el
servidor DNS seleccionando Herramientas administrativas>DNS en el menú
Inicio. Cuando abrimos por primera vez el servidor DNS, no hay mucho que ver
aparte del nombre del propio servidor; en este caso tiene el aburrido nombre de
TOTALHOMEDC1 (véase la figura 14.13).
Una vez determinado que hay un problema DNS, compruebe que el sistema
tiene la entrada de servidor DNS correcta. De nuevo, esta información es algo
que hay que tener a mano. Y o puedo decirle la dirección IP del servidor DNS
de todos los vínculos de Internet que tengo: dos en la oficina, uno en casa, más
dos conexiones de llamada telefónica que uso cuando estoy fuera. No necesita
memorizar las direcciones IP, pero debe tener apuntada toda la información IP
fundamental. Si no es ése el problema, ejecute IPCO NFIG o W IN IPC O N F IG
para ver si los ajustes DNS son los mismos que los que hay en el servidor; si no
lo son, tiene que renovar sus ajustes DHCP. A continuación mostraré cómo se
hace eso.
Si tiene los ajustes DNS para su servidor DNS y los ajustes DNS en
IPCONFIG/W INIPCONFIG coinciden con dicha configuración, puede empe
zar a pensar que el problema está en el propio servidor DNS. Hay un comando
popular para trabajar con servidores DNS que se llama NSLOOKUP (búsque
da de servidor de nombres). N SLO O K U P viene con Windows (excepto 9x),
Linux y NetWare. Es un útil herramienta que usan los técnicos avanzados para
consultar las funciones de los servidores DNS.
NSLOOKUP es un programa sorprendentemente complejo que se ejecuta
desde la línea de comandos. Con NSLOOKUP, podemos (siempre que tengamos
los permisos) consultar todo tipo de información del servidor DNS y modificar
cómo usa el sistema DNS. Aunque la mayoría de estos comandos son demasiado
avanzados para nuestro propósito en este libro, hay algunos puntos en los que
NSLOOKUP constituye una estupenda herramienta básica. Por ejemplo, sólo
con ejecutar NSLOOKUP se muestra una salida de texto similar a la siguiente:
DHCP________________________________________
Anteriormente, vimos que el Protocolo de configuración dinámica de host
(DHCP) podía casi mágicamente hacer que toda la configuración TCP/IP fue
ra innecesaria al permitir que todos los ajustes TCP/IP necesarios los estable
ciera automáticamente un servidor DHCP. En esta sección, veremos un servidor
DHCP, tomaremos en consideración algunos de los asuntos de configuración y
repasaremos algunas técnicas de solución de problemas DHCP básicas.
DHCP en detalle____________________________
DHCP es la respuesta de Microsoft a la configuración automática del clien
te TCP/IP. El servidor DHCP almacena su información IP y la distribuye entre
los sistemas clientes de la red. A primera vista, se podría pensar que DHCP
sólo proporciona direcciones IP, pero en realidad puede proporcionar todo
tipo de información IP: direcciones IP, puertas de enlace predeterminadas,
servidores DHCP, etc. Aunque DHCP es útil, es importante señalar que no se
requiere a los sistemas clientes de la red que usen DHCP. No hay ningún
problema si algunos sistemas de la red obtienen la información IP del servidor
DHCP mientras otros usan información IP estática. Por último, un sistema
puede usar DHCP para obtener determinada información IP y usar informa
ción IP estática para otros propósitos; no hay una regla que diga que un siste
ma individual deba usar sólo información IP DHCP o estática.
La belleza de DHCP es que reduce en gran medida la administración de una
red TCP/IP. Si necesita cambiar la dirección IP de la puerta de enlace prede
terminada, puede terminar dedicando a hacerlo horas de trabajo si en la red
todos los sistemas tienen información IP estática. Pero si tiene preparado DHCP
para proporcionar información IP dinámicamente, el DHCP actualizará todos
los PC automáticamente.
Servidores DHCP_________________________
Los servidores DHCP son comunes. Encontrará un servidor DHCP integra
do en las versiones servidor de NetWare, Linux y Windows, y también en la
mayoría de los enrutadores. Como ejemplo, voy a usar el servidor DHCP que
viene con Windows 2000 Server. A primera vista, podría pensar que está
viendo el programa servidor DNS, pues sólo se ve el nombre del servidor que
ejecuta el programa servidor DHCP (véase la figura 14.18).
WINS en detalle
Repasemos lo que sabemos acerca de NetBIOS. En una red NetBIOS simple,
sin que afecte qué protocolo esté en ejecución, un sistema NetBIOS reclama un
nombre NetBIOS para sí mismo simplemente difundiéndolo por el resto de la red
(véase la figura 14.25). Y mientras ningún otro sistema esté usando ya ese nom
bre, esto funciona bien. Por supuesto, la difusión puede ser un pequeño problema
para enrutadores y demás, pero recuerde que en este ejemplo hemos asumido una
sola red con el mismo cable, por lo que en este contexto todo es correcto.
Recuerde que NetBIOS fue inventado en los primeros 80. Microsoft hizo
una gran inversión en NetBIOS y tuvo que prestar soporte a una gran base de
sistemas instalados, de modo que incluso después de que NetBEUI (el protoco
lo de red para el que se diseñó NetBIOS) empezara a perder cuota de mercado
en favor de TCP/IP, Microsoft tuvo que continuar prestando soporte a NetBIOS
so pena de incurrir en la ira de millones de clientes. Lo que pasó a continuación
parece en retrospectiva más una comedia que las maquinaciones de la compa
ñía de software más poderosa del mundo. Microsoft hizo algo que no debía
haber sido posible: rediseñó NetBIOS para que funcionara con TCP/IP. Vea
mos algunas de las estrategias y técnicas que usaron para hacer que NetBIOS
y TCP/IP coexistieran en la misma red.
Una de las primeras estrategias que siguió Microsoft para reducir la carga
de difusiones NetBIOS fue usar un fichero de texto especial llamado
LMHOSTS. LM HOSTS contiene una lista de los nombres NetBIOS y los
correspondientes nombres TCP/IP de los sistemas host de la red. ¿Le suena
familiar? Bueno, debería. El fichero LM HOSTS funciona exactamente igual
que el fichero HOSTS DNS. Aunque Microsoft sigue prestando soporte al uso
del fichero LM HOSTS y todos los sistemas Windows tienen un fichero
LM HOSTS por compatibilidad, las redes que siguen necesitando prestar so
porte a NetBIOS generalmente usarán servidores WINS. Los servidores W INS
permiten a los hosts NetBIOS registrar sus nombres con el único servidor,
eliminando la necesidad de difundir y, por tanto, reduciendo la carga NetBIOS
sustancialmente. En la figura 14.26 se muestra la copia del servidor W INS que
viene con Windows 2000 Server. Fíjese que los PC de esta red han registrado
sus nombres con el servidor W INS.
Sólo hay dos buenas razones para usar un servidor WINS: 1) reducir la carga
de difusiones y 2) permitir la resolución de nombres NetBIOS a través de
enrutadores. ¿Qué tiene que ver un servidor W INS con los enrutadores? Sólo
esto: el servidor W INS permite a NetBIOS funcionar en una red con enrutador.
Los enrutadores IP están programados para impedir la difusión, ¿recuerda?
Aunque los clientes Windows nuevos se registrarán directamente en el servidor
WINS, los sistemas Windows antiguos (anteriores a Win95) seguirán intentan
do difundir. Para solucionar el problema, podemos configurar un sistema para
que actúe como un agente de retransmisión W INS, reenviando las difusiones
W INS a un servidor W INS al otro lado del enrutador (véase la figura 14.27).
Una cosa que siempre hago es comprobar las conexiones de red y protoco
los. Vamos a cubrir estos temas con más detalle posteriormente, de modo que
por ahora supondremos que nuestros sistemas están bien conectados y tienen
instalados buenos protocolos. Estos son algunos pasos a dar:
1. D ia g n o s is d e la N I C . Primero, use P IN G con la dirección de búsqueda
de retorno para determinar si el sistema puede enviar y recibir paquetes.
Concretamente, pruebe p i n g 1 2 7 . 0 . 0 . 1 o p in g lo c a lh o s t
(¿recuerda el fichero HOSTS?). Si no obtiene una respuesta correcta, ¡la
NIC tiene un problema! Compruebe el controlador de la N IC y sustituya
lo si es necesario.
Todo cliente IP tiene una tabla de enrutamiento. ¿Significa eso que todo
cliente IP es un enrutador? Bueno, en cierto sentido. Los clientes IP son
enrutadores en el sentido de que necesitan saber cómo dirigir sus paquetes
salientes. Un cliente IP acude a su tabla de enrutamiento cuando envía paque
tes. Ahora, tal vez piense que parece un poco tonto que un cliente tenga una
tabla de enrutamiento cuando sólo tiene una interfaz; quiero decir, ¿a qué otro
lugar podría enviar los paquetes? Dos excepciones dejarán clara la necesidad
de una tabla de enrutamiento. Primero, algunos paquetes, como los de bucle
retorno o lo o p b a c k , no salen del PC. El host tiene que saber que los paquetes
de bucle de retorno no deben salir, sino que tiene que enviarlos de vuelta.
Segundo, un solo host puede tener múltiples NIC, asignando a cada N IC una
tarea distinta. La mejor forma de entender esto es dedicar unos momentos a
entender cómo se lee una tabla de enrutamiento, usando la figura 15.6 como
guía.
Las tablas de enrutamiento generalmente consisten en varias rutas, cada
una enumerada como una sola línea en la tabla de enrutamiento. Cada ruta está
formada por cinco columnas de información necesaria para determinar adonde
debe ir un paquete en la red; Destino de red, Máscara de red, Puerta de acceso,
Interfaz y Métrica.
Muy bien, veamos cada línea de la figura 15.6 para ver detalladamente
cómo funciona la tabla de enrutamiento para un sistema cliente. En una tabla
de enrutamiento, la ruta menos restrictiva es la que aparece la primera en la
lista, seguida por rutas cada vez más restrictivas hasta llegar a la ruta con
las máximas restricciones al final de la lista. Permítame explicarme. Ésta es
la primera línea en la tabla de enrutamiento (añadiendo los encabezados de
columna por claridad):
El destino de red todo ceros significa que no hay restricción en la dirección
IP. La máquina interpreta que esta entrada significa que todos los paquetes
salen por la interfaz 192.168.4.27 (la NIC del cliente) a través de la puerta de
enlace 192.168.4.152, que está en esta red local (métrica 1). Dicho de otra
forma, se envía todo por la puerta de enlace. Esto sería estupendo si no fuera
por el hecho de que hay otras opciones bajando por la tabla de enrutamiento.
La mejor forma de ver cómo funciona la tabla de enrutamiento es pensar que
todos los paquetes van por todas las rutas de la tabla de enrutamiento hasta
que encuentran la más adecuada para el sitio al que quieren llegar. Aunque la
primera ruta define una ruta predeterminara para todos los paquetes, las rutas
siguientes de la lista están más detalladas. (A l avanzar en la lista esto tendrá
más sentido.) Mientras lee la siguiente línea, piense en la palabra "excepto".
Esta es la línea en cuestión:
SNMP___________________________________
Una cuestión importante que a menudo me plantean personas que se en
frentan por primera vez con los enrutadores es: ¿"Cómo accedo a un enrutador
para hacer cambios? Por ejemplo, ¿cómo puedo añadir una ruta estática a un
enrutador?". La forma más antigua es usando una terminal. Los enrutadores
con amplia ocupación vienen con puertos de configuración especiales, ge
neralmente puertos en serie. Se conecta un PC a ese puerto y después se usa
un programa terminal para conectar con el enrutador. El software de
enrutamiento IOS de Cisco es un ejemplo clásico. Estas interfaces están
basadas en texto y son difíciles de usar, pero son potentes. Los enrutadores
de menor nivel pueden usar una interfaz basada en Web como la mostrada en
la figura 15.8.
Una ruta estática indica a un enrutador un camino específico para llegar a
otra red. En una red pequeña, sería posible decirle al enrutador qué IP usar
para el tráfico Internet, por ejemplo, y cuál usar para el tráfico interno.
Se puede usar un potente protocolo llamado Protocolo de administración de
red simple (SN M P) para controlar el estado de los enrutadores. SNM P da a
los aparatos inteligentes (enrutadores, conmutadores y PC individuales) la
capacidad de reportar su estado y permite a los administradores hacer cam
bios. Los dispositivos ajustados a SNM P son comunes en todo el hardware de
red, excepto el de menor nivel.
La mayoría de los enrutadores de tamaño pequeño o medio actuales no usan
ya enrutamiento dinámico: ¡sería demasiado pesado para los ocupados admi
nistradores de los enrutadores! En su lugar, usan algún tipo de enrutamiento
dinámico. Veámoslo ahora.
Enrutamiento dinámico____________________
En la infancia de Internet quedó penosamente claro que los enrutadores que
usaban sólo direcciones IP estáticas serían incapaces de gestionar la demanda
en nada que no fuera una red en la que no hubiera cambios. Si se introducía un
nuevo enrutador en la red, resultaba inútil hasta que los humanos llegaban a él
y actualizaban no sólo el nuevo enrutador, sino también todos los vecinos del
nuevo enrutador. Aunque esto pudo funcionar mientras el número de enrutadores
en Internet era pequeño, simplemente dejó de hacerlo cuando el número empe
zó a crecer y superó el de algunas docenas.
Más aún, ni TCP/IP ni Internet se habían diseñado para ejecutarse sólo en
enrutadores estáticos. Cuando D A R P A creó por primera vez todo el concepto
de TCP/IP e Internet, habían recibido el encargo por parte de los militares de
los EEUU de crear una red que pudiera sobrevivir aunque parte de ella desapa
reciera bajo la nube con forma de hongo. En realidad, fue Internet la que
inventó los enrutadores más que al revés. Los diseñadores de Internet imagina
ron una malla de enrutadores, cada uno con al menos tres conexiones, para
proporcionar un alto nivel de redundancia en el caso de múltiples fallos de
conexión. ¡Nunca soñaron lo grande que llegaría a ser un día esta malla de
enrutadores!
Todos estos enrutadores tenían que ser capaces de comunicarse entre sí de
tal forma que pudieran detectar cambios en la red y redirigir sus rutas a nuevas
interfaces sin la intervención humana. Ciertamente, un enrutador tendría ini
cialmente unas cuantas rutas enumeradas en su tabla de enrutamiento, pero
una vez que se iniciara la operación del enrutador, tendría que actualizar la
tabla. Respuesta: el enrutamiento dinámico.
Como todos los demás aspectos de Internet y TCP/IP, los métodos de
enrutamiento dinámico han crecido en número y complejidad a lo largo de los
años. La variedad de estos métodos (con divertidos acrónimos e iniciales como
RIP, OSPF, BGP e IG RP) ha llegado a un punto en que los podemos dividir en
dos tipos: métodos de enrutamiento exterior y métodos de enrutamiento inte
rior. Los métodos de enrutamiento interior se usan principalmente en redes
privadas con enrutamiento y en ISP de Internet pequeños. La principal espina
dorsal de Internet y los grandes ISP usan métodos de enrutamiento de puerta
de enlace exterior. Veámoslos.
El más antiguo de los métodos de enrutamiento se llama Protocolo de infor
mación de enrutamiento (RIP). Desarrollado a finales de los 70 y principios de
los 80, RIP permaneció como único método de enrutamiento durante muchos
años. RIP usa un algoritmo de vector de distancia: básicamente una forma
intrigante de decir que los enrutadores vecinos comparten sus tablas de
enrutamiento. RIP ya sólo se usa como un protocolo de enrutamiento interior,
habiendo sido expulsado hace tiempo de los enrutadores de Internet importan
tes. RIP tiene varios inconvenientes. En concreto, los enrutadores RIP no res
ponden rápidamente a los cambios y tienden a inundar la red con información
cuando se actualizan. A pesar de estos inconvenientes, puede contar con que
cualquier enrutador sabe cómo usar RIP. La mayoría de los enrutadores inte
riores siguen usando RIP, pero está siendo reemplazado lentamente por OSPF.
NAT____________________________________________
Internet tiene un verdadero problema con las direcciones IP, o más bien un
problema con la carestía de direcciones IP. No sólo es difícil obtener direccio
nes IP públicas para todos los sistemas de la red, sino que la mayoría de los
ISP cobran por ellas. Además, cualquier sistema que use una dirección IP
pública es susceptible de sufrir un ataque, requiriendo el uso de dispositivos de
protección llamados cortafuegos. La Traducción de direcciones de red (N A T )
se creó intentando reducir la demanda de direcciones IP públicas y para pro
porcionar más seguridad a los sistemas.
La Traducción de direcciones de red es un proceso mediante el que un
programa N A T en ejecución en un sistema o enrutador convierte la dirección
IP del sistema en una dirección IP distinta antes de enviarla a una red mayor.
Una red que use N A T proporcionará a sus sistemas direcciones IP privadas;
las direcciones 192.168.1.x son las más populares, pero otras direcciones IP
funcionan igual de bien. El sistema que ejecuta software N A T tendrá dos
interfaces, una conectada a la red interna y la otra conectada a la red mayor. El
programa N A T coge los paquetes de los sistemas clientes dirigidos a la red
grande y convierte sus direcciones IP privadas internas en su propia dirección
IP pública, permitiendo que muchos sistemas compartan una sola dirección IP
(véase la figura 15.9).
Servidor proxy
Un servidor proxy también oculta los ordenadores internos ante las redes
externas, pero usa un método totalmente distinto. Mientras N A T convierte las
direcciones IP entrantes y salientes, un servidor proxy puede convertir el nú
mero de puerto TCP en otro número de puerto. Como los servidores proxy
convierten los números de puerto, las aplicaciones como los navegadores Web
y los clientes de correo electrónico deben estar ajustados al proxy (esto es,
deben ser capaces de cambiar sus puertos estándar por los que use el servidor
proxy). Por ejemplo, HTTP usa el puerto TCP 80 por omisión, pero podemos
cambiar el servidor proxy para que acepte sólo determinados números de puer
to, como el puerto 88 para las solicitudes H TTP de clientes. Cuando recibe
esas solicitudes, el servidor proxy cambia la dirección IP del sistema cliente
por la suya propia, hace que el puerto vuelva a ser el 80 y después envía la
solicitud a Internet (véase la figura 15.12).
Los servidores proxy pueden mejorar espectacularmente el rendimiento para
grupos de usuarios. Esto es porque un servidor proxy puede guardar en caché las
solicitudes de usuario, reduciendo mucho el tráfico de red. La mayoría de las
empresas acceden a unos cuantos sitios Web frecuentemente. Los servidores
proxy pueden alojar la información resultante de las solicitudes de usuario du
rante un tiempo especificado previamente, eliminando la necesidad de volver a
acceder a esa información desde el sitio remoto que contiene el documento HTML.
Los servidores proxy también se pueden usar para filtrar solicitudes. Esto
puede asegurar la red aún más limitando los tipos de sitios Web y recursos de
Internet a los que pueden acceder sus usuarios. Por ejemplo, se puede usar un
servidor proxy para bloquear ciertos sitios Web (com o BestBuy.com y
Amazon.com) si los empleados dedican mucho tiempo a comprar música en línea.
¿Entonces cuál es la gran diferencia entre NAT
y proxy?
Como ya sabe, tanto los servidores proxy como N A T enmascaran las direc
ciones IP, permitiendo que una red tenga un conjunto de direcciones IP priva
das internas que usan una dirección IP pública para comunicar con Internet.
La diferencia entre usar servidores proxy y N A T está en dónde operan en la
estructura de red. Los servidores proxy actúan en el nivel de aplicación, que
significa que las aplicaciones relevantes deben saber cómo interactuar con un
proxy, mientras que N A T actúa en el nivel del enrutador, proporcionando
acceso a Internet transparente para los usuarios.
Piense en un servidor proxy como un antiguo operador de teléfono en un
hotel. Igual que el operador del hotel recibe las llamadas entrantes para los
huéspedes del hotel y las reenvía a la habitación apropiada, un servidor proxy
recoge las solicitudes que llegan de servicios de Internet (como FTP) y las
reenvía a las verdaderas aplicaciones que realizan esos servicios. Y al contra
rio, igual que un huésped del hotel que necesita una línea con el exterior pasa
ría antes por el operador del hotel, un usuario de la red que necesite un servicio
de Internet pasa por el proxy para ir a Internet. Como los servidores proxy
proporcionan sustitución de conexiones y actúan como puertas de enlace, a
veces reciben el nombre de puertas de enlace en el nivel de la aplicación.
Ahora que sabemos cómo sale la información de la red, veamos la informa
ción que los usuarios están intentando encontrar con tanto ahínco.
Aplicaciones TCP/IP___________________________
Una vez que tenemos un PC conectado a Internet, pero protegido detrás de un
enrutador, estamos listos para hacer el trabajo serio. Internet, o más concretamen
te TCP/IP, ofrece una fenomenal variedad de aplicaciones y protocolos, desde la
World Wide Web al correo electrónico, FTP y Telnet. En la última sección de este
capítulo vamos a ver con detalle estos temas. ¡Pongámonos a ello!
La Web__________________________________
¿Qué sería de nosotros si no fuera por la World Wide Web? La Web funcio
na como el rostro gráfico de Internet. La mayoría de nosotros la hemos usado,
encendiendo el navegador Web para visitar un sitio atractivo después de otro,
aprendiendo nuevas cosas, haciendo clic en vínculos, a menudo para terminar
en un lugar totalmente inesperado... ¡Eso es diversión! Esta sección del capítu
lo está dedicada a la Web y las herramientas que la hacen funcionar, concreta
mente los protocolos que permiten la comunicación a través de Internet.
Puede encontrar un documento H T M L en Internet escribiendo un U R L en
su navegador Web. Un URL, abreviatura de Localizador de recursos unifor
me, es una dirección global que todos los documentos y otros recursos de
la Web deben tener. Cuando se escribe el U R L de una página Web, como
http://www.mhteched.com, se le está diciendo al navegador qué aplicación
TCP/IP debe usar, además de escribir la dirección mediante la cual el navegador
localiza el documento H T M L en un ordenador remoto.
HTTP____________________________________ ___________ _
H TTP es la abreviatura de Protocolo de transferencia de hipertexto. Es el
protocolo subyacente usado en la World Wide Web y se ejecuta por omisión en
el puerto TCP/IP 80. Fíjese en las letras H TTP al principio del U R L de la
figura 15.13. Las letras H TTP al principio del U R L definen cómo se da forma
to a los mensajes, cómo se transmiten y qué acciones deben seguir los servido
res y navegadores Web en respuesta a los distintos comandos. Cuando se
escribe un U R L en el navegador, éste envía un comando H TTP al servidor
Web pidiéndole que encuentre y devuelva la página Web solicitada.
HTTP tiene un punto débil general en su manejo de las páginas Web: re
transmite comandos ejecutados por usuarios sin hacer referencia a los coman
dos ejecutados anteriormente. El problema con esto es que los diseñadores de
Web continúan diseñando páginas Web más complejas y verdaderamente
interactivas. H TTP es bastante torpe cuando se trata de recordar qué ha hecho
una persona en un sitio Web. Afortunadamente para los diseñadores de Web,
hay otras tecnologías para ayudar a H TTP a retransmitir comandos y prestar
así soporte a sitios Web más interactivos e inteligentes. Estas tecnologías son
JavaScript, Active Server Pages y cookies.
Resolución de problemas________________________________
Si está teniendo problemas para conectar con Internet, una de las primeras
cosas que debe intentar es enviar un ping a un dominio usando e\ comando
PING en el símbolo de sistema. Este comando indicará si hay problemas de
conectividad.
Cuando use su navegador para ver si hay problemas de conectividad, intente
visitar un sitio Web al que no haya accedido en mucho tiempo o recargar una
página una o dos veces, pues los navegadores suelen estar preparados para
guardar en caché las páginas Web a las que se accede frecuentemente, que así
pueden aparecer en el navegador aunque el acceso a Internet no esté funcionando.
Ya esté usando un módem de llamada telefónica o un módem de cable (en
menor grado), es probable que su conexión vaya más lenta durante las horas
de mayor uso en Internet, cuando masas de personas están intentando acceder
a la misma información a la vez. La hora del almuerzo, de la cena y las tardes
son momentos populares para navegar por la Web y comprobar el correo elec
trónico. Si necesita unirse a la multitud, tendrá que ser paciente.
A l comprar en Internet en una página Web segura que use SSL, tenga
cuidado de seguir exactamente las instrucciones sobre no hacer demasiadas
veces clic sobre los botones. De vez en cuando, la información viaja un poco
más lentamente a través de una conexión SSL que en una conexión normal no
segura, debido al tiempo que se tarde en cifrar y descifrar la información. Si
sigue haciendo clic sobre el botón de pedido, puede enviar un pedido tras otro
al servidor. ¡Pero si no le importa comprar 50 veces lo mismo, adelante!
Ahora que hemos echado una mirada a la World W ide Web, es el momen
to de aprender sobre la segunda función más popular de Internet: el correo
electrónico.
Correo electrónico
El correo electrónico, abreviado como e-mail, ha sido responsable de gran
parte de la revolución de Internet y no sólo porque ha racionalizado la indus
tria del correo basura. El correo electrónico proporciona un medio extremada
mente rápido para la comunicación de unas personas con otras, permitiendo
enviar mensajes y archivos adjuntos (como documentos e imágenes) a través
de Internet. Normalmente, los ISP lo ofrecen como servicio gratuito. La mayo
ría de los programas cliente de e-mail proporcionan un editor de texto rudi
mentario para componer mensajes, pero pueden configurarse para permitir el
uso de editores más sofisticados.
Cuando se crea un mensaje de correo electrónico, hay que especificar la
dirección de e-mail del destinatario, que consiste en el nombre del usuario y un
nombre de dominio: por ejemplo, MiNombreMhteched.com. Cuando se envía
un mensaje de correo electrónico, éste viaja de un enrutador a otro hasta que
encuentra el dominio en cuestión. Después el mensaje va al usuario específico
al que está dirigido. Si quiere, también puede enviar el mismo mensaje a varios
usuarios al mismo tiempo. Esto se llama difusión.
Cuando se envía un mensaje a nuestra dirección de e-mail, normalmente se
almacena en un buzón electrónico en el servidor del ISP hasta que vamos a
recogerlo. Algunos ISP limitan el tiempo que conservan los mensajes: ¡com
pruebe este aspecto de su acuerdo de usuario! La mayoría de los programas
cliente de correo electrónico pueden configurarse para indicar de alguna forma
que ha llegado un mensaje nuevo. Una vez leído un mensaje de e-mail, pode
mos archivarlo, reenviarlo, imprimirlo o eliminarlo. Muchos programas de
e-mail están configurados para borrar automáticamente los mensajes del servi
dor del ISP cuando se descargan a la máquina local, pero generalmente se puede
cambiar esta opción de configuración para ajustarla a cada circunstancia.
Los programas de correo electrónico usan varios protocolos en el nivel de
aplicación para enviar y recibir información. Concretamente, el correo elec
trónico que encontramos en Internet usa SM TP para enviar los mensajes de e-
mail y POP3 o IM A P para recibirlos.
SMTP___________________________________________________________
El Protocolo simple de transferencia de correo (S M T P ) se usa para enviar
correo electrónico. SM TP viaja a través del puerto TCP/IP 25, y lo usan los
clientes para enviar mensajes. Por supuesto, hay que especificar el servidor
POP o IM A P además del servidor SM TP al configurar la aplicación de correo
electrónico. En caso contrario, podría enviar correo, pero no recibirlo.
POP3___________________________________________________________
POP3 es el protocolo que recibe el correo electrónico del servidor. Corres
ponde a las iniciales en inglés de Protocolo de oficina de correo versión 3, y
usa el puerto TCP/IP 110. La mayoría de los clientes de correo electrónico
usan este protocolo, aunque algunos usan IM AP.
IMAP_______________
IM A P es una alternativa a POP3. IM A P corresponde a las iniciales en
inglés de Protocolo de acceso a mensajes de Internet y, como POP3, recupera
los mensajes de correo electrónico del servidor de correo. IM A P usa el puerto
TCP/IP 143. La última versión, IM AP4, presta soporte a algunas característi
cas que no se admiten en POP3. Por ejemplo, IM AP4 permite hacer búsquedas
en los mensajes del servidor de correo para encontrar palabras clave concretas
y seleccionar los mensajes que se quieren descargar a la máquina personal.
Otros protocolos Internet son el Protocolo de transferencia de correo sim
ple extendido (ESMTP), el Protocolo de oficina de correos autenticado (APOP),
Extensiones de correo Internet multipropósito (M IM E ) y Protocolo de acceso
a directorio (D A P). Muchos servidores de correo están añadiendo también
soporte a S/MIME, SSL o R SA para el cifrado y soporte a Protocolo compac
to de acceso a directorio (L D A P ) para acceder a información de directorio de
sistema operativo acerca de los usuarios de correo.
• Es gratuito.
• Son útiles para cuentas de usar y tirar (como cuando se nos pide en una
página nuestra dirección de correo electrónico para descargar algo, pero
sabemos que nos van a inundar con publicidad si lo hacemos).
Muchas cuentas SMTP/POP/IMAP tradicionales proporcionan también
interfaces Web, pero no hay que confundirlas con los servicios de correo Web.
Los servidores de correo basado en Web sólo están disponibles a través de la
Web (aunque algunos también proporcionarán acceso SMTP/POP por un car
go extra).
El mejor ejemplo de correo electrónico de marca es el popular America
Online (A O L). Cuando uno se suscribe para el servicio AO L, en cierto sentido
está accediendo a Internet a través de una comunidad en portal: ve Internet,
pero usando la interfaz de America Online. En la figura 15.17 se muestra un
típico cliente A O L instalado en un sistema Windows.
Contraseña_____________________________________________
Como con el nombre de inicio de sesión, se usa la misma contraseña para
un inicio de sesión Telnet que para iniciar la sesión en el servidor directamen
te. Es así de simple. Los ordenadores con acceso abierto indicarán la contrase
ña a usar al mismo tiempo que el nombre de usuario o no exigirán nombre y
contraseña de inicio de sesión.
Después de leer este capítulo, debe entender lo siguiente acerca del trabajo
en red.
Explique cómo funcionan los enrutadores
usando tablas de enrutamiento______________
Una tabla de enrutamiento es la lista de información que se guarda en un
enrutador para ayudar a dirigir el flujo de paquetes por las redes de ordenadores.
Recuerde que un enrutador puede ser un dispositivo hardware dedicado configu
rado a través de una conexión especial o puede ser un servidor con varias NIC
conectando diferentes segmentos. Los enrutadores funcionan en la capa Red del
modelo OSI (capa 3), pero mejoran la funcionalidad de los conmutadores, que
funcionan en la capa Enlace de datos (capa 2). Los enrutadores aprenden nuevas
rutas sobre la marcha, interactuando entre sí mediante el intercambio de la infor
mación de la tabla de enrutamiento. Las tablas de enrutamiento se comprueban y
pueden actualizarse dinámicamente según fluyen los datos a través de una red,
con los enrutadores conversando entre sí para conocer la última información de
la red y las direcciones IP periódicamente.
Proyectos de laboratorio_______________________
Proyecto de laboratorio 15.1________________
Un compañero suyo está muy emocionado con algunas de las próximas
clases que cubrirán el enrutamiento Cisco. No deja de hablar de IEGRP y su
importancia en el lugar de trabajo, y también de cómo se puede ganar dinero si
uno conoce IEGRP. Use Internet para investigar IEGRP: su historia, sus usos,
qué dispositivos se ejecutan usando IEGRP y qué salarios pueden ganar los
profesionales con certificado de Cisco. Después comparta esta información
con su instructor y su compañero para comparar sus descubrimientos. ¿Qué
hace EIGRP para las redes corporativas? ¿Qué salarios son posibles siendo
realistas? ¿Cuáles fueron sus fuentes?
Opciones de teléfono______
Hay muchos tipos diferentes de líneas telefónicas disponibles, pero todas
las opciones se dividen en dos grupos: dedicadas y de marcado. Las líneas
telefónicas dedicadas siempre están descolgadas (esto es, nunca se cortan la
comunicación unas a otras). Una verdadera línea telefónica dedicada no tiene
un número de teléfono. En esencia, la compañía telefónica crea una conexión
permanente de cable entre las dos ubicaciones, haciendo que sea superfluo el
uso de un número de teléfono. En contraste, las líneas de marcado tienen nú
meros de teléfono; deben llamarse unas a otras para establecer una conexión.
Cuando terminan de comunicarse, cuelgan. Las compañías de teléfonos lo
odian, pero en muchas partes se usan líneas de marcado como si fueran dedica
das. Si una conexión de marcado se ha establecido y ninguno de los dos extre
mos desconecta nunca, básicamente se tiene la misma función que con una
línea dedicada. Pero sigue siendo una conexión de marcado, aunque los dos
lados estén casi siempre conectados. Dos tecnologías forman la abrumadora
mayoría de las conexiones de marcado: PSTN e ISDN.
Estándares V___________________________________________
Para que dos módems se comuniquen entre sí a su máxima velocidad, deben
modular las señales de la misma manera. Los dos módems deben además nego
ciar uno con otro, o consultarse uno a otro, para determinar cuál es la máxima
velocidad que comparten. Los propios fabricantes de módems estandarizaron
originalmente este proceso como un grupo de protocolos registrados. El incon
veniente de estos protocolos era que a menos que se tuvieran dos módems del
mismo fabricante, a menudo los dos módems no podían funcionar juntos. En
respuesta, un cuerpo de estándares europeo llamado el C C IT T estableció
estándares para los módems. Estos estándares, conocidos genéricamente como
estándares V, definen las velocidades a las que pueden modular los módems.
Los más comunes de estos estándares de velocidad son los siguientes:
El estándar para módem actual en el mercado es el V.92. V.92 tiene la
misma velocidad de descarga que V.90, pero las velocidades de carga aumen
tan hasta 48 Kbps. Si su módem tiene velocidades para llegar a 56 Kbps con
V.90 en su área, no notará mejora. V.92 también ofrece una función de co
nexión rápida que implementa contacto más rápido para recortar los retardos
de conexión. Finalmente, el estándar V.92 ofrece una función Módem suspen
dido, que permite que el módem permanezca conectado mientras se acepta una
llamada entrante que estaba en espera o incluso se inicia una llamada de voz
saliente. Esta característica sólo funciona si el módem servidor V.92 está con
figurado para habilitarla.
Además de los estándares de velocidad, el CCITT, conocido ahora simple
mente como ITU, ha establecido estándares para controlar cómo comprimen
los módems los datos y cómo realizan la comprobación de errores cuando se
comunican. Estos estándares de compresión son:
La belleza de estos estándares es que no hay que hacer nada especial para
disfrutar de sus ventajas. Por ejemplo, si quiere transferencias de datos a 56
Kbps, sólo tiene que comprobar que todos los módems en el sistema local y en
el sistema remoto prestan soporte al estándar V.90. Suponiendo que tiene una
línea de buena calidad, las conexiones irán a 56 Kbps o por lo menos cerca.
Instalar una conexión PSTN______________________________
PPP___________________________________________________
Los muchos inconvenientes de SLIP motivaron la creación de un protocolo
de Enlace de datos mejorado, llamado Protocolo punto a punto (PPP). PPP
resolvió todos los inconvenientes de SLIP y ha reemplazado a SLIP totalmente
en todas las conexiones, excepto las más antiguas. Aunque PPP tiene muchas
características potentes, hay dos que sobresalen. PPP presta soporte a IPX y
NetBEUI, además de a IP, y admite direcciones IP dinámicas. Todo el soft
ware de acceso remoto viene con el protocolo PPP, de modo que PPP es el que
hay que usar.
¿Cómo se escoge el protocolo de llamada telefónica? Windows utiliza una
práctica herramienta llamada Acceso telefónico que permite crear conexiones
para que las marque el módem. Vaya al subprograma del Panel de control
Módems en Windows 9x o a Conexiones de red en Windows XP. (Windows
2000 llama a la sección Conexiones de red y de acceso telefónico.) Un solo
módem puede tener varias conexiones (mi portátil tiene unas diez que utilizo
en diferentes ciudades) y cada conexión se manifiesta como un icono separado.
Es aquí donde se establece el número a marcar, el protocolo de marcado, las
propiedades de marcado especiales, los números de cuenta y las contraseñas.
Veremos las redes de acceso telefónico más adelante en este capítulo con más
detalle.
ISDN (RDSI)______________________________
Hay muchas piezas en una conexión de teléfono PSTN. Primero, está la
línea de teléfono que va desde el propio teléfono hasta el cajetín de interfaz de
red (la pequeña caja en un lado de su casa) y hasta el conmutador central. El
conmutador central es el dispositivo que interconecta las múltiples conexiones
locales individuales en una red de teléfonos más grande. Un conmutador cen
tral conectará las portadoras de larga distancia a través de líneas troncales de
alta capacidad y también conectará con otros conmutadores centrales cerca
nos. Los conmutadores centrales suelen ser grandes y requieren su propio
edificio, llamados oficinas centrales (CO). Las áreas metropolitanas tienen un
gran número de oficinas centrales. Por ejemplo, Houston, Texas, tiene cerca
de 100 en el área metro general. Antes de 1970, todo el sistema de teléfonos
era analógico, pero las compañías actualizaron sus líneas troncales a sistemas
digitales durante finales de los 70 y principios de los 80. Hoy, todo el sistema
telefónico, con la excepción de la línea que va del teléfono a la oficina central,
es digital.
Las conexiones físicas para ISDN tienen cierta similitud con los módems
PSTN. Una toma de pared ISDN suele ser parecida a una toma de red RJ-45
estándar. En instalaciones domésticas, la mayoría de las compañías de teléfo
no instalarán un delimitador separado del cajetín PSTN. La interfaz más co
mún con el ordenador es un dispositivo llamado un adaptador de terminal
(T A ). Los T A se parecen a los módems normales y, como los módems, los hay
de tipo interno y externo. Incluso puede conseguir T A que funcionan también
como concentradores, permitiendo al sistema admitir una conexión L A N di
recta (véase la figura 16.4).
Cuando se instala un ISDN TA , hay que configurar el otro número de
teléfono ISDN al que se quiere llamar y un número especial llamado el
Identificador de perfil de servicio (SPID). Su proveedor de servicio de Internet
(ISP) proporciona el número de teléfono y la compañía telefónica proporciona
el SPID. (En muchos casos, la compañía telefónica es también el ISP.) En la
figura 16.5 se muestra una pantalla de instalación para un ISDN T A interno.
Fíjese que en este caso cada canal tiene un número de teléfono. Una vez insta
lado, un ISDN T A externo aparece como otro módem en el Administrador de
dispositivos.
DSL________________
Línea de suscriptor digital (D S L) es una conexión digital dedicada (sin
número de teléfono) proporcionada por las compañías telefónicas. DSL repre
sentó el siguiente gran salto para superar ISDN para las líneas de teléfono.
Una conexión DSL se manifiesta igual que una conexión PSTN, usando el
mismo conector RJ11 que cualquier línea de teléfono normal. DSL viene en
dos versiones: DSL simétrica (SD SL) y DSL asimétrica (A D S L). Las líneas
SDSL proporcionan la misma velocidad para carga y descarga, lo que hace
que sean excelentes para quienes envían tantos datos como reciben, aunque
SDSL es relativamente cara. A D S L usa diferentes velocidades para carga y
descarga. Las velocidades de descarga AD S L son mucho mayores que las de
carga. La mayoría de los usuarios SOHO están interesados principalmente en
las descargas rápidas de cosas como páginas Web y pueden tolerar las veloci
dades de carga menores. AD S L es siempre mucho más barata que SDSL.
SDSL_________________________________________________
SDSL proporciona la misma velocidad para carga y descarga y, en teoría,
proporciona velocidades de hasta 9 Mbps, aunque la inmensa mayoría de los
ISP proporcionan paquetes que van de 192 Kbps a 1,5 Mbps. Una gira recien
te por algunos de los principales proveedores de DSL en la ciudad del autor,
Houston, Texas, reveló las siguientes opciones de velocidad SDSL:
• 192 Kbps.
• 384 Kbps.
• 768 Kbps.
• 1,1 Mbps.
• 1,5 Mbps.
Como puede imaginar, los precios de los servicios más rápidos eran mayo
res que los de los paquetes más lentos.
ADSL_________________________________________________
AD SL proporciona velocidades teóricas de descarga de hasta 9 Mbps y
velocidades de carga de hasta 1 Mbps a través de líneas PSTN. Sin embargo,
todos los proveedores de A D S L varían sus velocidades A D S L y proporcio
nan diferentes niveles de servicio. Las velocidades de descarga A D S L del
mundo real varían entre 384 Kbps y 3 Mbps y las velocidades de carga van
desde sólo 64 Kbps a alrededor de 384 Kbps. Haciendo una gira por los
mismos proveedores de DSL en Houston, Texas, encontré las siguientes op
ciones de velocidad:
Características DSL_____________________________________
La única diferencia real entre AD S L y SDSL es la velocidad. Todo lo
demás, equipamiento y límites de distancia, es igual.
Un atractivo aspecto de DSL es que no hay que desplegar nuevas líneas
telefónicas. La misma línea DSL que se usa para los datos puede transmitir
simultáneamente las llamadas de voz. El único inconveniente de DSL es que
no se puede usar a menos que el ISP preste soporte específicamente a DSL.
Muchos ISP prestan soporte actualmente a DSL, de modo que la mayoría de
los clientes tienen una amplia variedad de opciones.
Las dos versiones de DSL tienen las mismas restricciones de distancia de la
oficina al usuario final que ISDN, menos de seis kilómetros de distancia desde
el delimitador hasta la oficina central. En la oficina central del proveedor de
DSL hay un dispositivo llamado Multiplexador de acceso DSL (D S LA M ), que
conecta a los múltiples clientes con Internet.
Instalar DSL_______________________________________
Muchas oficinas usan DSL. En mi oficina, usamos una línea DSL especial
(tenemos un sistema de teléfonos digital, de modo que la DSL debe estar sepa
rada) que va directamente a la sala de equipos (véase la figura 16.7).
Esta línea DSL va a nuestro módem DSL a través de una línea de teléfono
estándar con conectores RJ-11. El módem DSL conecta con nuestro enrutador
puerta de enlace con un cable C A T 5e, que a su vez conecta con el concentrador
de la compañía. En la figura 16.8 se muestra un módem AD S L y un enrutador,
que dan una idea de la configuración en nuestra oficina.
Los usuarios a menudo conectan el módem DSL directamente con la N IC
de su PC. De cualquier forma, no hay nada que hacer en términos de instala
ción de equipamiento DSL en un sistema individual, sólo comprobar que la
NIC funciona con el módem DSL (casi todas lo hacen). La persona que instala
la DSL, instala el módem DSL, lo conecta con el sistema y verifica que todo
funciona. El único problema que puede aparecer con DSL es algo llamado PPP
sobre Ethernet (PPPoE).
La primera generación de proveedores de DSL usaba una conexión en puente;
una vez que la línea DSL estaba en funcionamiento era como si se ajustara un
cable Ethernet en la NIC: ya se estaba en la red. Eran buenos tiempos para
DSL. Bastaba con enchufar el módem DSL a la N IC y, suponiendo que los
ajustes IP fueran los que los chicos de DSL nos habían dicho que usáramos, ya
estaba en marcha.
A los proveedores de DSL eso no les gustaba demasiado. No había ningún
control, no se podía controlar quién estaba usando el módem DSL. Como
resultado, la gente de DSL empezó a usar PPPoE, un protocolo que original
mente estaba diseñado para encapsular bastidores PPP en bastidores Ethernet.
La gente DSL lo adoptó para tener más control sobre la conexión DSL. En
concreto, ya no se podía simplemente conectar, ahora había que iniciar una
sesión con una cuenta y una contraseña para establecer la conexión DSL.
PPPoE es ahora predominante en DSL. Si se obtiene una línea DSL, hay que
añadir software al PC que permita iniciar la sesión en la red DSL. Si tiene
Windows XP, dispone de soporte integrado. Muchos enrutadores SOHO vie
nen con soporte PPPoE integrado, permitiendo que se introduzca el nombre de
usuario y la contraseña en el propio enrutador.
Aunque la mayoría de los proveedores de DSL configurarán alegremente
un solo sistema para DSL, ningún proveedor de DSL configurará un enrutador
puerta de enlace gratuitamente; algunas compañías DSL incluso intentarán
impedir que varias máquinas usen una sola conexión DSL. Muchas compa
ñías venden enrutadores SOHO con todo el soporte DSL necesario, inclu
yendo PPPoE.
Módems de cable___________________________
La mayor competencia para AD SL procede de las compañías de cable. Casi
todas las casas de Norteamérica tienen un cable coaxial para la televisión por
cable. En un momento de iluminación, la industria del cable pensó que si podía
poner la red de teletiendas y el canal de historia en todas las casas, ¿por qué no
proporcionar acceso a Internet? Toda la infraestructura de la industria del
cable tuvo que pasar por grandes cambios para enfrentarse a asuntos como la
comunicación bidireccional, pero la mayoría de las ciudades en los EE.UU.
proporcionan ya servicio de módem por cable. Los módems de cable están
abriéndose camino para convertirse en algo tan común como los equipos de
T V de cable, o al menos con eso sueñan las compañías de cable.
Satélite________________________________________
V ivir en el campo puede tener su encanto, pero hace difícil conseguir acce
so de alta velocidad a Internet. Para los que se encuentren demasiado aparta
dos para lograr otra cosa, el satélite puede ser la única opción. El acceso por
satélite puede ser de dos tipos: de una dirección o de dos direcciones. De una
dirección significa que se puede descargar desde el satélite, pero hay que usar
una conexión PSTN para cargar. De dos direcciones significa que el servicio
de satélite se ocupa de la carga y la descarga.
El satélite no es tan rápido como los módems DSL o de cable, pero sigue
siendo más rápido que PSTN. Las conexiones de satélite de una dirección y de
dos direcciones proporcionan unos 500 Kbps para la descarga y 50 Kbps para
la carga. El satélite requiere una pequeña antena de satélite, idéntica a la que
se usa para la televisión por satélite. Esta antena conecta con un módem de
satélite, que a su vez conecta con el PC o la red (véase la figura 16.10).
¿Qué conexión?_______________________________
Con tantas opciones para conexiones domésticas y de pequeña oficina, to
mar una decisión a menudo es un desafío. La primera cuestión es la disponibi-
lidad: ¿qué servicios hay disponibles en su área? La segunda cuestión es: ¿cuánta
anchura de banda necesita? Esta cuestión proporciona un buen argumento. La
mayoría de los servicios se alegrarán de aumentar los niveles de servicio si le
parece que un nivel es demasiado lento. Generalmente aconsejo a mis clientes
que empiecen con un nivel relativamente bajo y después lo aumenten si es
necesario. Después de todo, es difícil preferir lo lento después de haber proba
do las velocidades altas, pero no se sufre nada por ir más rápido.
Conexiones WAN
Una red de área extensa (W A N ) es una red de ordenadores que se extiende
por un área geográfica relativamente amplia. Generalmente, una W A N consis
te en dos o más L A N conectadas juntas a través de la distancia. Los ordenado
res de una W A N a menudo se conectan a través de una red pública, como el
sistema de teléfono. También pueden conectar a través de líneas contratadas o
satélites. La mayor W A N que existe es... (¿lo imagina?) Internet.
Como espero que ya tenga claro, no hay fantásticos gnomos que mágicamente
lleven los paquetes de información de una L A N a otra. Los paquetes viajan a
través de distintos medios de conexión. Como una gran cantidad de informa
ción tiene que viajar entre las L A N de forma rápida y fiable, las conexiones de
espina dorsal W A N son más rápidas y mucho más cáras que cualquier co-
nexión SOHO. No va a encontrar un usuario doméstico típico que conecte su
ordenador a una conexión A T M o T3 (las comentaremos en un momento); ésas
son para empresas y universidades que tienen muchos ordenadores conectados
a otras L A N en todo el mundo.
Las conexiones W A N vienen con una gran mezcolanza de términos, por lo
que es mejor pensar en términos de conexiones W A N usando el modelo de siete
capas OSI. Todas las conexiones W A N son digitales y usan alguna forma de
paquete de datos, por lo que hay una fuerte analogía entre las conexiones
W A N y las conexiones L A N . Todas las conexiones W A N consisten en tres
partes diferentes: el enlace físico, el método de señal y el protocolo de conmu
tación. El enlace físico funciona en la capa Física de OSI y es simplemente los
cables y las conexiones, y también los equipos a cada extremo del enlace que
envían y reciben la señal. El método de señal es aproximadamente la capa
Enlace de datos y tiene que ver con cómo se propagan las señales a través de la
conexión W A N . El protocolo de conmutación es el método de creación de
bastidores y también funciona en la capa Enlace de datos, definiendo formas
en que se asigna dirección al dispositivo W A N y en que éste define los paque
tes usados.
Podemos dividir todas las conexiones W A N en dos grupos: portadoras de
cobre y portadoras de fibra. El cobre y la fibra tienen sus propios enlaces
físicos y métodos de señal exclusivos pero comparten los mismos protocolos
de conmutación. Veamos las conexiones de cobre y fibra y los protocolos de
conmutación que comparten.
Una línea T3 es una conexión de teléfono dedicada que admite una veloci
dad de datos de cerca de 43 Mbps. Una línea T3 consiste en 672 canales
individuales, cada uno de los cuales admite 64 Kbps. Las líneas T3 (a veces
llamadas líneas DS3) las usan principalmente los ISP que conectan con la
espina dorsal de Internet y la propia espina dorsal.
Similar a la línea T I norteamericana, E l es el formato europeo para la trans
misión digital. Una línea E l transporta señales a 2 Mbps (32 canales a 64
Kbps), comparados con los 1,544 Mbps (24 canales a 64 Kbps) de T I. Las
líneas E l y T I pueden interconectarse para uso internacional. También hay
líneas E3, que son similares a las líneas T3, con un ancho de banda de 45 Mbps.
Un CSU/DSU, como queda dicho, conecta una línea T I o T3 contratada a
la compañía de teléfonos con el equipo del cliente. Un CSU/DSU tiene (al
menos) dos conectores, uno que va a la línea T1/T3 que sale del delimitador o
interfaz de red y otra conexión que va al enrutador. Realiza funciones de
codificación y condicionamiento de línea y a menudo tiene una función de
bucle de retorno para hacer prueba. Aunque los CSU/DSU se parecen mucho a
los módems, no son módems, pues no modulan/demodulan. Lo único que ha
cen es actuar de interfaz entre una línea T I o T3 y un enrutador. Muchos
enrutadores nuevos tienen CSU/DSU integrados. En la figura 16.13 se mues
tra la parte trasera de un enrutador Cisco con dos interfaces T I . Dos interfaces
en un enrutador es algo bastante común, proporcionando los enlaces dobles
redundancia por si un enlace se va abajo.
Figura 16.13. Enrutador CISCO con dos conexiones WAN (fotografía cortesía
de Cisco Corp.).
Conmutación de paquetes__________________
Todas estas impresionantes conexiones que empiezan con T y O son poten
tes, pero no son por sí solas una solución W A N completa. Estas conexiones
W A N forman la malla completa de conexiones de largo alcance que llamamos
Internet, pero estas mismas conexiones también transportan voz y otros tipos
de datos además de paquetes TCP/IP. Todas estas conexiones son punto a
punto, de modo que hay que añadir otra capa de dispositivos que nos permita
conectar varias conexiones T I, T3 u OC entre sí para formar esa malla. Aquí
es donde entra enjuego la conmutación de paquetes.
Más o menos al mismo tiempo que la gente de A R P A N E T concibió la idea
de los enrutadores, la industria telefónica se estaba desplazando desde un sis
tema analógico a uno digital donde las conversaciones a larga distancia (y
después las locales) se transportaban usando paquetes de datos. Los paquetes,
como sabe de lo que hemos visto sobre las redes, necesitan alguna forma de
esquema de direcciones para llegar de una ubicación a otra. La industria de
telefonía sacó sus propios tipos de paquetes que viajan por líneas ISDN, TI/
T3 y OC para llevar los datos de una oficina central a otra. Estos protocolos
de conmutación de paquetes son funcionalmente idénticos a los protocolos de
red con enrutamiento, como IPX/SPX y TCP/IP. Uno de estos protocolos de
conmutación de paquetes, A TM , empezó como un protocolo L A N de alta velo
cidad, pero ahora lo usa la industria de la telefonía.
ATM
A T M es el acrónimo en inglés de Modo de transferencia asincrono. A T M se
diseñó originalmente como una tecnología de redes L A N de alta velocidad.
Aunque A T M sólo tuvo un éxito limitado en el mundo L A N , resultó tener un
gran éxito en el mundo W A N . La mayoría de los anillos SONET que transpor
tan voz y datos por todo el mundo usan A T M para la conmutación de paque
tes. A T M integra voz, vídeo y datos en una conexión, usando paquetes cortos
de longitud fija llamados celdas para transferir información. Cada celda envia
da con el mismo origen y destino viaja por la misma ruta, dando a A T M el
potencial de eliminar los cuellos de botella de rendimiento que hay en las L A N
y W A N de hoy. El problema clave que soluciona A T M es que las transmisio
nes de datos y audio/vídeo tienen diferentes requerimientos de transferencia.
Los datos pueden tolerar un retraso en la transferencia, pero no la pérdida de
señal. Por otra parte, las transmisiones de audio y vídeo pueden tolerar la
pérdida de señal, pero no el retraso. Como A T M transfiere la información en
celdas de un tamaño establecido (53 bytes de longitud), es escalable y puede
gestionar bien los dos tipos de transferencia. Las velocidades de transferencia
de A T M van de 155,52 a 622,08 Mbps y más.
Para hacer otros cambios en los ajustes de una conexión de acceso telefóni
co en Windows 98, hay que dirigirse al cuadro de diálogo Propiedades de
las conexiones. Para cambiar las propiedades de una conexión, haga clic
con el botón derecho del ratón sobre la conexión y seleccione Propiedades
para ver un cuadro de diálogo como el mostrado en la figura 16.20. La ficha
General permite hacer cambios en el número de teléfono y el módem que se va
a usar, junto con otros ajustes.
La ficha más visitada de este cuadro de diálogo es Tipo de servidor (véase
la figura 16.21). Si tiene un problema con una conexión de acceso telefónico
Windows 98, probablemente sea éste el primer lugar que debe comprobar.
Aquí es donde se selecciona el tipo de conexión: PPP, SLIP y otros tipos; pero,
dado que Windows 98 escoge por omisión PPP, generalmente estará bien.
Cómo hay que configurar las opciones avanzadas depende de cada ISP,
aunque las opciones predeterminadas Conectarse a la red y Habilitar la
compresión por software valen para la mayoría de los ISP. La sección
Protocolos de red admitidos define qué protocolos cargar para esta co
nexión. Por omisión, Windows 98 carga NetBEUI, IPS/SPX y TCP/IP. Esto
no es bueno porque usar NetBEUI en concreto expondrá el sistema a los ata
ques. ¡Asegúrese de desactivar las opciones NetBEUI e IPX/SPX! Su conexión
está configurada para DHCP por omisión, pero si necesita configurar ajustes
TCP/IP como la dirección IP o el servidor DNS, haga clic en el botón C o n f i
g u r a c ió n T C P / I P .
Una vez hechos estos ajustes, está listo para empezar a marcar. Tenga en
cuenta que su mejor fuente de información para configurar una conexión de
marcado telefónico (y esto es cierto para todas las versiones de Windows) es
su ISP. Todos los ISP tienen un soporte técnico estupendo para mostrar cómo
configurar estos ajustes apropiadamente. Repitamos el proceso, pero esta vez
con Windows X P Professional.
641
• S P A P . Shiva es la marca de una popular familia de servidores de acceso
remoto. El Protocolo de autenticación de contraseña de Shiva es un pro
tocolo cifrado exclusivo que se usa para que los clientes Windows pue
dan conectar con estos servidores.
Fíjese en la figura 16.32 que se han activado varios protocolos. Esto permi
te que el cliente marque la conexión para intentar distintos protocolos de au-
tenticación hasta encontrar elque acepta el sistema servidor
do iea\, persona qoe se ocxrpn ¿e\ seroáioi \e ASin pjíié mVenVie^eáóti
usar y podrá desactivar todos los demás protocolos.
Cifrado de datos________________________________________
Los métodos de cifrado no se detienen en la autenticación. Hay varias for
mas de cifrar también los datos de red. La elección de método de cifrado queda
determinada en alto grado por el método que usan para conectar los sistemas
comunicantes. Muchas redes consistes en varias redes enlazadas por algún
tipo de conexión privada, generalmente alguna forma de línea telefónica como
RDSI o T I . El método de cifrado elegido por Microsoft para este tipo de red se
llama IPSec (acrónimo de seguridad IP). IPSec proporciona cifrado transpa
rente entre el servidor y el cliente.
VPN____________________________________________
Muchas redes desechan la idea de usar líneas de larga distancia privadas
para conectar un cliente y un servidor RAS prefiriendo usar la propia Internet
como medio para conectar L A N con sistemas individuales y entre sí. El
peligro evidente de esto es la completa exposición de todos los datos de red
en Internet. Esto ha llevado al desarrollo de métodos de cifrado diseñados
para proteger los datos que se mueven entre sistemas. Una red que emplea
cifrado para usar Internet como si fuera una red privada se conoce como red
privada virtual (V P N ).
Una conexión V P N consiste en dos elementos: una conexión normal con
Internet (de acceso telefónico o dedicada) y una sesión IP cifrada que se ejecu
ta dentro de la conexión Internet. La conexión a Internet normal usa la direc
ción IP que le asigna el ISP. La conexión cifrada usa direcciones IP de la red
privada. En la figura 16.33 puede ver un diagrama de un paquete V P N típico
entre una L A N y un cliente remoto.
Las VPN de software tienen una gran ventaja: no hay que llevar de un lado
a otro hardware para los clientes, lo que las convierte en la elección obvia para
los usuarios de portátiles que quieren conectar con su L A N doméstica o de
oficina. Una solución V PN de software se manifiesta en el cliente como una
conexión remota separada, como puede ver en la figura 16.35. Windows 9x no
prestaba soporte real a las VPN, requiriendo el uso de software especial.
Windows 2000/2003 y X P tienen excelentes asistentes que ayudan a configu
rar un cliente VPN. Para crear un cliente V P N hay que conocer la dirección IP
del dispositivo de la L A N privada que recibirá la solicitud V P N y creará una
conexión VPN.
Si mira atentamente la figura 16.35, verá el acrónimo "PPTP". El Protoco
lo de túnel punto a punto (P P TP ) es el protocolo de cifrado V P N de Microsoft.
Cisco usa su propio protocolo de cifrado llamado Protocolo de túnel de capa 2
(L2TP). Microsoft se decidió por su propia marca en Windows NT: no se
podía escoger entre los dos protocolos y había que usar PPTP. En versiones
posteriores de Windows se pueden usar PPTP y L2TP.
Conexión dedicada_________________________
Las conexiones dedicadas son conexiones remotas que no se desconectan
nunca. Las conexiones dedicadas son conexiones remotas que no desconectan
nunca. Las conexiones dedicadas pueden dividirse en dos grupos: conexiones
dedicadas privadas entre dos ubicaciones y conexiones Internet dedicadas. Las
conexiones privadas dedicadas se manifiestan como dos ubicaciones
interconectadas por una conexión (generalmente de alta velocidad) como pue
de ser una línea T I (véase la figura 16.36).
Cada extremo de una línea T I va a un enrutador (después de pasar a través
de un CSU/DSU, ¡por supuesto!). Fíjese que esta conexión no usa Internet de
ninguna forma: ¡no es una conexión V P N ! Las conexiones dedicadas de este
tipo son caras y suelen usarlas organizaciones que necesitan el gran ancho de
banda que proporcionan estas conexiones. Estas conexiones son invisibles para
los ordenadores individuales de cada red. No hay configuración de conexión
remota especial para los sistemas individuales, aunque puede haber alguna
configuración de servidores DHCP, DNS y W IN S para garantizar que la red
se ejecuta óptimamente.
Las conexiones dedicadas con Internet son muy comunes hoy día. Los
módems de cable y DSL han hecho que las conexiones dedicadas a Internet
sean baratas y muy populares. En la mayoría de los casos, no hay que confi
gurar nada en estas conexiones dedicadas, pero muchos proveedores de cable
y DSL entregan un disco CD-ROM que instala software de prueba, soporte a
inicio de sesión PPPoE y algunos extras como por ejemplo clientes de correo
electrónico y software de cortafuegos. En las figuras 16.37 y 16.38 se mues
tra un programa de instalación A D S L para Windows 98 de mi ISP, SBC/
Prodigy. Este programa permite conectar introduciendo toda la información
PPPoE de la conexión AD SL. Una vez iniciados estos programas general
mente siguen en ejecución en la bandeja del sistema hasta el siguiente reinicio
del sistema.
Hay muchas ventajas en el uso de ICS. Para empezar, al tener una sola
cuenta Internet se reducen los costes. ICS también protege los datos poniendo
los ordenadores detrás de un cortafuegos y permitiendo a los administradores
controlar el acceso de los usuarios a servicios y recursos de Internet. Si tene
mos varios ordenadores en una L A N , podemos usar ICS para permitir que
distintos sistemas de la L A N realicen diferentes tareas simultáneamente. Por
ejemplo, una persona puede enviar y recibir mensajes de correo electrónico,
mientras que otra descarga un fichero y otra más navega por Internet. ICS usa
DHCP y DNS para configurar la información TCP/IP automáticamente para
clientes de la L A N . Cualquier aparato conforme a IP puede conectar con la
LAN , incluyendo clientes Windows antiguos y clientes no basados en Windows,
sin necesitar software cliente adicional.
ICS tiene los siguientes componentes:
• R e p a r t i d o r D H C P . Asigna dirección IP, puerta de enlace y servidor de
nombres de la red local.
• P r o x y D N S . Resuelve los nombres en representación de los clientes de
red locales y reenvía consultas.
• T r a d u c c ió n d e d ire c c io n e s d e r e d ( N A T ) . Asigna un conjunto de direc
ciones privadas a un conjunto de direcciones públicas. N A T controla las
direcciones IP de origen privadas y las direcciones UP de destino públi
cas para los flujos de datos salientes. Cambia la información de direc
ción IP y modifica la información de cabecera IP requerida dinámicamente.
• M a r c a d o a u t o m á t ic o . Realiza automáticamente el marcado para las
conexiones.
• In t e r fa c e s d e p r o g r a m a c ió n d e a p lic a c io n e s ( A P I ) . Las usan los pro
gramas para configuración, estado y control de marcado.
Configurar ICS es simple. Se activa ICS en un sistema y funciona (véase la
figura 16.42). Un sistema ICS debe tener dos conexiones: una conexión a
Internet a través de un ISP y una NIC conectada con el resto de la red. ICS no
necesita usar marcado telefónico. Cualquier ordenador conectado al ISP a
través de un módem de acceso telefónico, un módem de cable, un módem DSL
o incluso una línea T I puede usar ICS. La ubicación de ICS varía dependiendo
de las versiones de Windows, pero generalmente se encuentra bajo las propie
dades de la conexión o del módem.
¿Está configurado?
La configuración incorrecta es la principal razón de que falle la conexión
remota. Las configuraciones tienen lugar en muchos niveles. Empiece con la
configuración de hardware. Algunos dispositivos (los cable-s de módem son un
ejemplo estupendo) no tienen configuración de usuario. Otros dispositivos,
como los módems RDSI, tienen varias configuraciones, como el número SPID.
Lo mejor aquí es realizar lo que yo llama la "reinstalación mental": recorrer el
proceso de instalación para ver qué configuraciones aparecen.
La configuración no se acaba con el hardware. Las conexiones tienen mu
chas configuraciones. ¿Está ejecutando PPP o SLIP? ¿Tiene el número de
teléfono correcto? ¿Funcionan correctamente las reglas de marcado? ¿Cuáles
son los ajustes TCP/IP para esta conexión? Uno de los aspectos atractivos de
las conexiones es que podemos crear todas las que queramos. Si me parece que
una conexión está configurada incorrectamente, simplemente creo otra. Por
supuesto, conservo la conexión antigua para comparar y comprobar.
Proyectos de laboratorio_________________________
• Destrucción de datos.
• Acceso administrativo.
• Bloqueo del sistema o fallo del hardware.
• Virus
Virus
Las redes son sin duda los vehículos más rápidos y eficientes para transfe
rir virus de ordenador entre sistemas. Las noticias de los medios de comunica
ción se centran en los muchos ataques de virus procedentes de Internet, pero un
gran número de virus siguen entrando desde programas escritos en disquetes,
CD y unidades USB. Podríamos tratar los virus también como una amenaza
externa, pero en lugar de repetirme, dejaré la protección contra virus, tanto
externa como interna, para un capítulo posterior, incluyendo los distintos mé
todos de infección con virus y qué se necesita para impedir la infección por
virus de los sistemas en red.
Amenazas externas________________________
Las amenazas externas pueden ser de dos tipos. Primero, un usuario exter
no puede manipular a los usuarios internos para obtener acceso a la red, un
proceso llamado ingeniería social. Segundo, un h a ck er desde una ubicación
remota puede aprovechar puntos débiles técnicos de la red para obtener acce
so. La mecánica de obtención de acceso difiere espectacularmente entre las dos
amenazas, pero las dos tienen como resultado el mismo problema para el técni
co de red. Veámoslas.
Infiltración_______________________________________
Los hackers pueden entrar físicamente en un edificio con la apariencia de
alguien que podría tener una razón legítima para estar ahí, como personal de
limpieza, técnicos de reparaciones o mensajeros. Curiosean por los escrito
rios, buscando lo que sea que puedan encontrar. Pueden hablar con gente
dentro de la organización, reuniendo nombres, números de oficina, nombres de
departamentos..., pequeñas cosas en sí mismas, pero herramientas poderosas
cuando se combinan después con otros ataques de ingeniería social.
Trampas por teléfono _____ ________________
Las trampas por teléfono son probablemente el ataque de ingeniería social
más común. En este caso, el atacante llama por teléfono a alguien de la orga
nización para obtener información. El atacante intenta llegar a alguien de la
organización y usarlo para obtener la información que desea. Probablemente
una de las trampas más famosas sea la de "He olvidado mi nombre de usuario
y contraseña". En esta táctica, el atacante primero averigua el nombre de usua
rio de una persona legítima de la organización, normalmente usando un méto
do de infiltración. El atacante llama después a alguien de la organización,
normalmente el personal de ayuda, intentando reunir más información, en este
caso la contraseña.
Hacker: "Hola, soy John Anderson de contabilidad. He olvidado mi contra
seña. ¿Puede restablecerla, por favor?"
Personal de ayuda: "Claro, ¿cuál es su nombre de usuario?"
Hacker: "j_w_Anderson"
Personal de ayuda: "Muy bien, la he restablecido como e34rd3."
Por supuesto, las trampas telefónicas no se limitan a intentar obtener acce
so a la red. Hay documentadas trampas telefónicas contra empresas intentando
obtener dinero, material para chantajes u otras cosas valiosas.
Búsqueda en contenedores________________________________
Búsqueda en contenedores es el término genérico para describir cuando un
hacker hurga en los desperdicios buscando información. La cantidad de infor
mación sensible que llega al cubo de la basura de cualquier organización es
mareante. Hace años, trabajé con un gurú de seguridad IT que me mostró a mí
y a algunas otras personas de IT una gira por el cubo de nuestra oficina. En
una búsqueda de 20 minutos por las papeleras del personal de la oficina, obtu
vimos suficiente información para acceder a la red fácilmente, y también para
avergonzar a unas cuantas personas. ¡Cuando se trata de conseguir informa
ción, hay que buscar en la basura!
Robo físico_____________________________________________
Tuve una vez un compañero técnico de red que me desafió a intentar echar
abajo su recién instalada red. Acababa de instalar un enrutador cortafuegos
potente y caro y estaba convencido de que yo no conseguiría llegar a un servi
dor de prueba que había añadido a su red para que yo intentara acceder a él.
Después de algunos intentos de entrar a través de Internet, vi que no iba a
conseguir entrar por ese camino. Por tanto, cogí mi coche y fui a su oficina,
habiéndome equipado primero con un mono de trabajo y una insignia que tenía
guardada en el cajón de los calcetines. Sonreí dulcemente a la recepcionista y
me dirigí directamente hacia la oficina de mi amigo (le vi controlando con aire
petulante el tráfico IP entrante usando algún programa de investigación de
paquetes) hasta su nuevo servidor, lo cogí y salí por la puerta. La recepcionis
ta estaba demasiado ocupada intentando averiguar por qué no funcionaba su
correo electrónico para verme salir con un equipo servidor de 30 kilos bajo el
brazo. Me paré en la entrada y llamé a mi amigo por el móvil.
Y o (alegre): "¡Tío, tengo todos tus datos!"
Él (no tan alegre): "¡Has reiniciado mi servidor! ¿Cómo lo has hecho?"
Y o (sonriendo): "N o lo he reiniciado; ve a mirarlo."
Él (totalmente cabreado: "<IM PRO PERIO > LA D R Ó N ! ¡ME HAS R O B A
DO EL SERVIDOR!"
Y o (cordialmente): "Oh, sí. Lo he hecho. Dame dos días para encontrar tu
contraseña desde la comodidad de mi casa y lo veré todo. Hasta pronto."
Inmediatamente entré de nuevo y le devolví su servidor de prueba. Fue diver
tido. La moraleja es simple: nunca olvide que las mejores medidas de seguridad
de software de red pueden ser inútiles si no se protegen los sistemas físicamente.
Pirateo________________________________________________
Ah, ésta es la parte que seguro quiere conocer: esas infames amenazas
externas para la red, el h a ck er sin ley trabajando en su oculto sótano en algún
otro continente, usando enlaces de satélite para penetrar en las redes por medio
de sofisticados gusanos de Internet y otras arcanas armas técnicas. La influen
cia de las películas seu d otecn ológica s de Hollywood ha llevado a mucha gente
a pensar que el pirateo es un negocio sexy y emocionante, lleno de suspense y
gente guapa. Lamento desalentar a aquellos lectores que tengan tal visión,
pero el mundo de los hackers es un patético arrabal lleno de punks, aficiona
dos a Internet y algunas personas normales por lo demás con cierto conoci
miento de las redes que por una razón u otra encuentran una motivación en
entrar en redes públicas y privadas en las que no pintan nada. El pirateo no es
sexy, es un delito grave.
El secreto para evitar el pirateo está en entender las motivaciones de los
hackers. Y o divido a los hackers en cuatro grupos, cada uno con sus diferentes
motivaciones: inspectores, interceptores, controladores e inundadores.
Inspector____________ _________ _ _ _ _
Un inspector es una persona que quiere curiosear en los sistemas servidores
como un usuario normal. Esta persona busca puntos débiles en el acceso a
Internet, permisos, contraseñas y otros medios para obtener acceso a la red. La
motivación del inspector va de la casual, una persona que encuentra una puer
ta abierta en la red y entra a mirar, a las serias, hackers buscando datos
concretos. Éste es el tipo dth a c k e r que imaginamos la mayoría cuando pensa
mos en el pirateo informático.
Interceptor__________________________ ;_________ _
Un interceptor no intenta entrar en los sistemas. Esta persona sólo vigila el
tráfico de red esperando interceptar información. Una vez que el interceptor
encuentra el tráfico que busca, puede leer o redirigir el tráfico con propósitos
nefandos, como el clásico ataque del intermediario (m an in the m id d le ), en el
que el hacker cambia los datos interceptados para sustituir inadvertidamente a
la persona que mantiene la conversación. El interceptor a menudo recopila
contraseñas para invadir posteriormente la red.
Controlador______________________________________ _
Un controlador quiere adquirir y mantener el control de un aspecto determi
nado del sistema. Uno de los ataques favoritos del controlador es hacerse con
el control de servidores SM TP y usarlos para sus propósitos, normalmente el
envío de correo basura. Otros blancos populares son los servidores FTP y
Web. Posiblemente el más nefando de todos los tipos de ataque de los
controladores sean los conocidos como ataques zombi. Para lanzar un ataque
zombi, un h a cker infecta una gran cantidad de sistemas con algún tipo de
troyano. El malo utiliza después esos sistemas para realizar ataques a gran
escala contra otros sistemas, dificultando o imposibilitando que se averigüe
quién lanza el ataque.
Inundador_______________ ___________________________ __
Los ataques de inundación, llamados comúnmente ataques de denegación
de servicio (DoS), son responsabilidad de hackers cuyo único interés está en
echar abajo la red. Esto lo consiguen inundando la red con tantas solicitudes
que logran saturarla para que deje de funcionar. Estos ataques suelen realizar
se contra sitios Web y servidores de correo, pero prácticamente todas las par
tes de una red pueden ser atacadas con algún método DoS. El ataque zombi
mencionado antes es un tipo común de inundación.
Contraseñas
Las contraseñas son la clave definitiva para proteger la red. Una cuenta de
usuario con una contraseña válida permite entrar en cualquier sistema. Incluso
si la cuenta de usuario tiene sólo permisos limitados, sigue habiendo una bre
cha en la seguridad. Recuerde: para un hacker, basta con entrar en la propia
red para tener ganada media batalla.
Proteja sus contraseñas. Nunca dé sus contraseñas por teléfono. Si un usuario
pierde su contraseña, un administrador debe restablecer la contraseña como
una combinación compleja de letras y números, permitiendo después al usua
rio cambiar la contraseña por lo que quiera. Todos los sistemas operativos de
red fuertes tienen esta capacidad. Windows 2000 Server, por ejemplo, propor
ciona un ajuste llamado El usuario debe cam biar la contraseña en el
siguiente inicio de sesión, como puede ver en la figura 17.1.
Haga que sus usuarios escojan buenas contraseñas. Una vez asistí a un
seminario sobre seguridad de red en el que la conferenciante hizo que todos
nos pusiéramos en pie. Después empezó a preguntarnos sobre nuestras contra
señas: si respondíamos afirmativamente a la pregunta nos sentábamos. Empe
zó a preguntar cosas como: "¿Utiliza el nombre de su esposa como contraseña?"
o "¿Utiliza el nombre de su mascota?".
Después de hacer 15 preguntas a todos los presentes, ¡sólo 6 personas de
cerca de 300 permanecían de pie! La realidad es que la mayoría de nosotros
escogemos contraseñas que son sorprendentemente fáciles de averiguar. Com
pruebe que usa contraseñas fuertes: al menos entre seis y ocho caracteres,
incluyendo letras, números y signos de puntuación.
Una vez que haya forzado a sus usuarios a escoger contraseñas fuertes, debe
hacer que cambien de contraseña a intervalos regulares. Aunque este concepto
parece claro sobre el papel, en el mundo real es una política difícil de mantener.
Para empezar, los usuarios tienden a olvidar sus contraseñas cuando cambian
mucho. Una forma de recordar las contraseñas si la empresa impone el cambio
regular es usar un sistema de numeración. Trabajé en una compañía que me exigía
cambiar mi contraseña al principio de cada mes, de modo que hice algo simple.
Cogí la contraseña raíz, digamos que era "m3y3rs5", y simplemente le añadía un
número al final representando el mes actual. Así, al llegar a junio, por ejemplo, la
contraseña nueva se convertía en "m3y3rs56". ¡Funcionaba bastante bien!
No importa lo bien que vaya la implementación de contraseñas, usar con
traseñas siempre crea problemas administrativos. Primero, los usuarios olvi
dan las contraseñas y alguien (normalmente el técnico de red) tiene que acceder
a sus cuentas y restablecer sus contraseñas. Segundo, los usuarios anotan sus
contraseñas en papel, proporcionando a los hackers una puerta de entrada a la
red si el papel en cuestión termina en malas manos. Si dispone de presupuesto,
hay dos alternativas a las contraseñas: dispositivos inteligentes y biométrica.
Los dispositivos inteligentes son tarjetas de crédito, llaves USB u otros
pequeños aparatos que se insertan en el PC en lugar de introducir una contra
seña. Funcionan estupendamente y son muy difíciles de sortear. Tienen el in
conveniente de que es posible perderlos.
Si quiere entrar de verdad en la era espacial, la biométrica es el camino a
seguir. Los dispositivos biométricos exploran huellas dactilares, retinas o incluso
la voz del usuario para proporcionar un sustituto a toda prueba de contraseñas y
dispositivos inteligentes. La biométrica lleva por ahí un tiempo, pero se ha visto
relegada a las redes de seguridad extremadamente alta debido a su gran coste
(miles de euros por dispositivo). Ese precio ha bajado sustancialmente, hasta lle
gar a hacer que la biométrica merezca ser tenida en cuenta en algunas redes.
Los grupos son un gran medio para aumentar la complejidad sin aumentar
la carga administrativa de los administradores de red, pues todos los sistemas
operativos de red combinan permisos. Cuando un usuario es miembro de más
de un grupo, ¿qué permisos tiene con respecto a cualquier recurso? En todos
los sistemas operativos de red los grupos se combinan y el resultado es lo que
se llama permisos efectivos que tiene el usuario para acceder al recurso. Vea
mos un ejemplo de Windows 2000. Si Timmy es miembro del grupo Sales, que
tiene el permiso Listar el contenido de la carpeta y también es miembro del
grupo Managers, que tiene el permiso Lectura y ejecución en la misma carpe-
ta, Timmy tendrá a la vez los permisos Listar el contenido de la carpeta y
Lectura y ejecución para esa carpeta.
Directivas_____________________________________________
Aunque los derechos/permisos controlan cómo acceden los usuarios a re
cursos compartidos, hay varias otras funciones útiles para el control que están
fuera del ámbito de los recursos. Por ejemplo, ¿queremos que los usuarios
puedan acceder al símbolo de sistema en Windows? ¿Queremos que los usua-
rios puedan instalar software? ¿Queremos que puedan controlar en qué siste
mas puede iniciar una sesión un usuario o a qué hora del día se puede iniciar la
sesión? Todos los sistemas operativos de red proporcionan alguna capacidad
para controlar todo esto y literalmente cientos de otros parámetros de seguri
dad, bajo lo que Windows y NetWare llaman directivas (policy). Me gusta
pensar en las directivas como permisos para actividades, en oposición a los
verdaderos permisos, que controlan el acceso a recursos. El verdadero proceso
de realizar y usar directivas varia no sólo de un NOS a otro, sino entre las
diferentes versiones del mismo NOS. Pero conceptualmente funcionan igual en
todos los casos.
Las directivas normalmente se aplican a una cuenta de usuario, un ordena
dor, un grupo o una OU, dependiendo del fabricante y modelo del NOS. Use
mos el ejemplo de una red compuesta de sistemas Windows 2000 Professional
con un sistema Windows 2000 Server. Cada sistema Windows 2000 tiene su
propio programa de directivas locales, que permite que se pongan directivas
sólo en ese sistema. En la figura 17.7 se muestra la herramienta usada para
establecer directivas locales en un sistema individual, llamada Configuración
de seguridad local, mientras se usa para denegar a la cuenta de usuario Dañar
la capacidad de iniciar la sesión localmente.
Hasta ahora he hecho hincapié en que es mucho más probable que las ame
nazas que provoquen el fallo de la red sean las internas y no los externas, pero
no estoy sugiriendo, ni mucho menos, que haya que tomar las amenazas exter
nas a la ligera. El pirateo informático ha alcanzado proporciones epidémicas
al expandirse Internet mucho más allá de las fantasías más desbocadas de los
pioneros de red, y el fácil acceso a herramientas de pirateo e información ha
hecho que prácticamente cualquier adolescente con un módem y tiempo a su
disposición puede ser una seria amenaza para cualquier red.
Asegurar las redes frente a amenazas externas es una carrera interminable
entre los hackers y la gente de seguridad a la búsqueda de vulnerabilidades en
el software y hardware de red. Puede ser una carrera de caballos, con los
hackers encontrando y explotando vulnerabilidades de red, cabeza con cabeza
con los expertos de seguridad creando soluciones. Las vulnerabilidades recién
descubiertas siempre aparecen en las noticias, pero la inmensa mayoría de las
intrusiones no se deben a un hacker que descubre una nueva vulnerabilidad y la
aprovecha. En casi todos los casos, los hackers aprovechan vulnerabilidades
bien conocidas que los administradores de red simplemente no han corregido. En
esta sección nos vamos a concentrar en estas vulnerabilidades bien conocidas.
Protección física
La mayoría de los técnicos creen que instalar cortafuegos e instituir direc
tivas son pasos fundamentales para asegurar la red. Sin duda estos asuntos son
importantes, pero no se puede considerar que una red es segura a menos que se
proporcione alguna protección física. Y o divido la protección física en dos
áreas diferentes: La protección de los servidores y la protección de los clientes.
La protección del servidor es sencilla. Guarde sus servidores en una sala
cerrada para impedir el acceso físico a una persona no autorizada. Las organi
zaciones grandes tienen salas de servidores especiales, complementadas con
cierre de tarjeta magnética y vigilancia de todo aquel que entra y sale. En
organizaciones menores, al menos hay una sala que se puede cerrar con llave.
Y ya que está guardando los servidores, no olvide los conmutadores de red.
Los hackers pueden entrar en una red enchufando un cable en un conmutador,
¡no deje los conmutadores a su alcance!
La protección física del servidor no se acaba con una puerta cerrada. Uno
de los errores más comunes que cometen los técnicos es alejarse de un servidor
mientras todavía está activa una sesión. Cierre siempre la sesión en el servidor
cuando no lo esté usando. Como respaldo, añada un protector de pantalla
protegido con contraseña.
Es difícil encerrar todos los sistemas clientes, pero debe hacer que sus usuarios
se ocupen de la seguridad física. Primero, todos los usuarios deben usar contrase
ñas con los protectores de pantallas. Los hackers aprovecharán cualquier sistema
desatendido para acceder a una red. Segundo, haga que los usuarios conozcan el
peligro de las búsquedas en contenedores y ponga a su disposición trituradoras de
papel. Por último, diga a los usuarios que cuiden de su área de trabajo. Es sorpren
dente cuántos usuarios dejan las contraseñas al alcance de cualquiera. Puedo en
trar en mi oficina y abrir cajones de escritorios para, invariablemente, encontrar
notas adhesivas con nombres de usuario y contraseñas. Si es imprescindible que
anoten las contraseñas, al menos que guarden el papel en cajones cerrados.
Cortafuegos______________________________
Siempre temo el momento en que los términos técnicos se apartan de los
expertos y empiezan a tener uso en el mundo no técnico. En el momento en que
cualquier término técnico empieza a formar parte del lenguaje común, puede
apostar a que su verdadero significado quedará oculto, pues sin la formación
técnica necesaria la gente se ve reducida a descripciones simplificadas de ideas
complejas. El término cortafuegos es un ejemplo perfecto de este fenómeno.
La mayoría de la gente con cierto nivel de conocimiento informático imagina
los cortafuegos como una especie de chisme que protege una red interna del
acceso no autorizado y de Internet. Tal tipo de definición puede valer para
hablar con el vicepresidente de la compañía y explicarle por qué es necesario
un nuevo cortafuegos, pero, entre técnicos, hay que tener las ideas claras.
Los cortafuegos protegen a las redes usando distintos métodos, como la
ocultación de direcciones IP y el bloqueo de puertos TCP/IP. Cualquier dispo
sitivo que use cualquiera de las técnicas que vamos a comentar a continuación,
o todas, es por definición un cortafuegos. Veamos los métodos de protección
para dirigirnos a la puesta en práctica en la última sección del capítulo.
Ocultar los 1P
La primera técnica para proteger una red, y la más común, es ocultar las
direcciones IP reales de los sistemas de red internos frente a Internet. Si un
hacker consigue una dirección IP real, puede empezar a sondear ese sistema,
buscando vulnerabilidades. Si puede impedir que un hacker consiga una direc
ción IP que sondear, habrá cortado en seco la mayoría de las técnicas de pirateo.
Ya sabe cómo ocultar las direcciones IP: mediante Traducción de direcciones de
red (N A T ) o mediante un servidor proxy. Escoger entre N A T y un servidor
proxy requiere algo de análisis, pues cada método tiene sus ventajas y sus incon
venientes. N A T sólo traduce direcciones IP. Esto significa que N A T no tiene
interés en el puerto TCP o en la información y, por tanto, puede trabajar rápida
mente. Un servidor proxy puede cambiar los números de puerto; esto añade un
nivel de seguridad extra, pero con el coste de una menor velocidad porque impli
ca más trabajo del sistema. Por esta razón, muchas redes sólo usan N AT.
Un problema con el que nos topamos al hablar de servidores proxy y N A T
es que la mayoría de los programas de servidor proxy también proporcionan
N AT. A l principio uno podría decir: "Bueno, si un servidor proxy con N A T
cambia el número de puerto además de la dirección IP, ¿no es siempre mejor
un servidor proxy?". Un servidor proxy con N A T ciertamente proporciona
más protección que un enrutador que sólo realiza N A T , pero el coste en carga
de trabajo es significativo. Los servidores proxy tienden a ralentizar el acceso
a red; además, si alguna vez cambia la dirección IP del servidor, tendrá que ir
a todas las aplicaciones relacionadas con la red en todos los sistemas y actua
lizar los ajustes de servidor proxy. Por estas razones, la mayoría de las redes
han abandonado los servidores proxy, inclinándose por N A T.
Ahora ya conoce otra razón por la que la mayoría de los enrutadores tienen
integrada N AT. N A T no sólo reduce la necesidad de direcciones IP públicas
reales proporcionadas por la IA N A , sino que también realiza un gran trabajo
protegiendo la red contra los hackers (véase la figura 17.9).
Filtrado de puertos_____________________________________
La segunda herramienta de cortafuegos más común es el filtrado de puertos,
también llamado bloqueo de puertos. Los hackers a menudo intentarán usar los
números de puerto menos comunes para intentar entrar en una red. El filtrado de
puertos consiste simplemente en impedir el paso de ningún paquete TCP o UDP
a través de otros puertos que no sean los prescritos por el administrador de
sistema. El filtrado de puertos es eficaz, pero requiere configuración seria para
funcionar correctamente. La cuestión es siempre: "¿A qué puertos permito la
entrada a la red?". Nadie tiene problemas con los puertos bien conocidos como el
80 (H TTP), 20/21 (FTP), 25 (SM TP) y 110 (POP), pero hay un gran número de
puertos menos conocidos que las redes a menudo quieren tener abiertos.
Recientemente instalé el filtrado de puertos en mi cortafuegos personal y
todo iba estupendamente, hasta que decidí jugar a H alf-Life en Internet. Sim
plemente no podía conectar con los servidores de Internet, hasta que descubrí
que Half-Life requería los puertos TCP 27010 y 27015 para funcionar en
Internet. Después de reconfigurar mi filtro de puertos, pude jugar a Half-Life,
pero cuando intenté hablar con mis amigos usando Microsoft NetMeeting, no
pude iniciar una sesión en el servidor NetMeeting. ¿Quiere intentar adivinar
dónde estaba el problema? Sí, tenía que abrir los puertos 389, 522, 1503, 1720
y 1731. ¿Cómo conseguí averiguar esto? No sabía qué puertos tenía que abrir,
pero sospechaba que mi problema tenía que ver con los puertos, de modo que
encendí el navegador Web (¡gracias a los dioses eso sí funcionaba!) y visité el
sitio Web de Microsoft NetMeeting, donde me dijeron qué puertos tenía que
abrir. Este constante abrir y cerrar de puertos es parte del precio que hay que
pagar por la protección del filtrado de puertos, pero impide que los hackers
utilicen extraños puertos para conseguir acceso.
La mayoría de los enrutadores que proporcionan bloqueo de puertos se
manifiestan de una de dos formas. La primera es haciendo que el filtrado de
puertos cierre todos los puertos hasta que los abramos explícitamente. El otro
método de filtrado de puertos es dejar todos los puertos abiertos mientras no
los cerramos explícitamente. El problema aquí está en que la mayoría de los
tipos de sesiones IP requieren el uso dinámico de puertos. Por ejemplo, cuando
mi sistema hace una búsqueda de una página Web en el puerto H TTP 80, el
servidor Web y mi sistema establecen una sesión usando un puerto distinto
para enviar las páginas Web a mi sistema. En la figura 17.10 se muestra el
resultado de ejecutar NETSTAT con el conmutador - n mientras están abiertas
varias páginas; fíjese en los puertos TCP usados por las páginas Web entran
tes (la columna Dirección local). Los puertos dinámicos pueden provocar al
gunos problemas en sistemas de filtrado de puerto antiguos (muy antiguos),
pero casi todos los sistemas de filtrado de puertos actuales tienen en cuenta
este tema y lo gestionan automáticamente.
Filtrado de paquetes____________________________________
El filtrado de paquetes trata sólo con números de puerto; no tiene en cuenta
para nada las direcciones IP. Si un paquete IP entra con el número de uno de
los puertos filtrados, el paquete queda bloqueado, sea cual sea la dirección IP.
El filtrado de paquetes funciona de la misma forma, excepto que sólo tiene en
cuenta las direcciones IP. Los filtros de paquetes, conocidos también como
filtros IP, bloquearán cualquier paquete entrante o saliente relacionado con
una dirección IP determinada o un rango de direcciones IP. Los filtros de
paquetes son mucho mejores para bloquear direcciones IP salientes, pues el
administrador de red sabe y puede especificar las direcciones IP de los siste
mas internos. Bloquear los paquetes salientes es una buena forma de impedir
que los usuarios de determinados sistemas puedan acceder a Internet. En la
figura 17.13 se muestra una página de configuración de un enrutador diseñado
para bloquear diferentes rangos de direcciones IP y números de puerto.
Cifrado______________________ - ____________
Los cortafuegos realizan un trabajo estupendo controlando el tráfico que
entra y sale de una red a Internet, pero no pueden hacer nada para impedir que
los hackers interceptores que vigilan el tráfico en la Internet pública busquen
todas las vulnerabilidades posibles. Una vez que un paquete está en la propia
Internet, cualquiera con el equipo adecuado puede interceptarlo e inspeccio
narlo. Los paquetes inspeccionados son una cornucopia de contraseñas, nom
bres de cuenta y otras exquisiteces que los hackers pueden utilizar para
introducirse en la red. Como no podemos impedir que los hackers inspeccio
nen estos paquetes, debemos usar el cifrado para hacer que sean totalmente
ilegibles.
El cifrado de red tiene lugar en muchos niveles diferentes y no está limitado
en ningún sentido a diferentes actividades basadas en Internet. No sólo hay
muchos niveles de cifrado de red, sino que cada nivel de cifrado proporciona
múltiples estándares y opciones, haciendo que el cifrado sea uno de los temas
de red más complicado. Tiene que entender dónde entra el juego el cifrado, qué
opciones hay disponibles y qué medios puede utilizar para proteger de una
forma efectiva su red.
Autenticación __________
A lo largo de este libro, he usado ejemplos en los que los usuarios escriben
su nombre de usuario y su contraseña para obtener acceso a las redes. ¿Pero ha
tomado alguna vez en consideración el proceso que tiene lugar cada vez que se
solicita autenticación? Si piensa que cuando un usuario escribe un nombre de
usuario y una contraseña, esa información es enviada a algún tipo de servidor
para ser autenticada, tiene razón, ¿pero sabe cómo llegan el nombre de usuario
y la contraseña al sistema servidor? Aquí es donde el cifrado se hace importan
te para la autenticación.
En una red local, el cifrado suele manejarlo el NOS. Como los fabricantes
de NOS generalmente controlan el desarrollo de software de cliente y de servi
dor, pueden crear sus propios cifrados de marca. Sin embargo, en el entorno de
red actual, cada vez más interconectado y diverso, hay una motivación para
permitir que diferentes sistemas operativos de red autentiquen cualquier siste
ma cliente de otro NOS. Los sistemas operativos de red modernos, como
Windows NT/2000/XP/2003 y NetWare 4.x/5.x/6.x, usan cifrados de autenti
cación estándar, como Kerberos de M IT, para permitir que servidores de múl
tiples marcas autentiquen clientes de múltiples marcas. Estos cifrados L A N
generalmente son transparentes y funcionan bastante bien incluso en redes
mixtas.
Desgraciadamente, esta uniformidad desaparece en cuanto se añaden
autenticaciones de acceso remoto. Hay tantas herramientas de acceso remoto
diferentes, basadas en programas servidores UNIX/Linux, NetWare y Windows,
que la mayoría de los sistemas de acceso remoto tienen que prestar soporte a
diferentes métodos de autenticación.
PAP__________________________ '___________ _
El Protocolo de autenticación de contraseña (P A P ) es la forma más antigua
y más básica de autenticación. También es la menos segura, pues envía las
contraseñas en forma de texto puro. Ningún NOS usa PAP para el inicio de
sesión de un sistema cliente, pero casi todos los sistemas operativos de red que
proporcionan servicio de acceso remoto prestan soporte a P A P por compatibi
lidad con programas antiguos (como Telnet) que sólo usan PAP.
CHAP______ ___________________________________ _
El Protocolo de autenticación por desafío mutuo (C H A P ) es el protocolo de
acceso remoto más común. C H AP hace que el sistema servidor desafíe al
cliente remoto. Un desafío es cuando el sistema host pide al cliente remoto
algún secreto, generalmente una contraseña, que el cliente remoto debe cono
cer para que el host permita la conexión.
MS-CHAP _____________________________________________
M S-CHAP es la variación de Microsoft del protocolo CHAP. Utiliza un
protocolo de cifrado ligeramente más avanzado.
Cifrado de datos_______________________________________
Los métodos de cifrado no se acaban en el nivel de autenticación. Hay
varias formas de cifrar también los datos de red. La elección del método de
cifrado queda dictaminada por el método usado para la comunicación de los
sistemas conectados. Muchas redes consisten en diferentes redes enlazadas
juntas por algún tipo de conexión privada, normalmente alguna línea telefóni-
ca como RDSI o T I . El método de cifrado elegido por Microsoft para este tipo
de red se llama IPSec (acrónimo de seguridad IP). IPSec proporciona cifrado
transparente entre el servidor y el cliente. IPSec también funcionará en VPN,
pero se utilizan más comúnmente otros métodos de cifrado en esas situaciones.
Cifrado de aplicaciones_________________________________
Cuando se trata del cifrado, incluso las aplicaciones TCP/IP pueden unirse al
baile. El más famosos de todos los cifrados de aplicaciones es el protocolo de
seguridad Secure Sockets Layer (SSL) de Netscape, que se usa para crear sitios
Web seguros. Microsoft incorpora SSL en su protocolo de mayor alcance HTTPS
(H TTP sobre SSL). Estos protocolos hacen que sea posible crear los sitios Web
seguros que usamos para hacer compras en Internet. Los sitios Web HTTPS
pueden ser identificados por el inicio https://de sus URL (véase la figura 17.15).
Para evitar este problema de la clave única, la mayoría del cifrado fuerte
usa una metodología de clave asimétrica. La estrategia asimétrica usa dos
claves: una clave pública y una clave privada. Los algoritmos de cifrado están
diseñados para que cualquier cosa cifrada con la clave pública sólo pueda ser
descifrada con la clave privada. Se envía la clave pública a cualquiera que
quiera enviar información cifrada. Como sólo la clave privada puede descifrar
datos, robar la clave pública es inútil. Por supuesto, si queremos un cifrado en
dos direcciones, cada parte debe enviar a la otra su clave pública. Este método
de claves pública y privada recibe el nombre de cifrado de clave pública.
La clave pública proporciona otra gran ventaja además del cifrado: firmas
digitales. Para ciertos tipos de transacciones, no se necesita el cifrado, pero se
quiere saber que los datos proceden en realidad de la persona o fuente que
pensamos que los está enviando. Una firma digital es una cadena de caracteres
creada ejecutando un algoritmo sobre la clave privada y un valor especial de
los datos llamado un numeral. La persona que recibe la firma usa la clave
pública para generar lo que se llama un compendio y compara los dos valores.
Si son iguales, podemos estar seguros de que los datos proceden de la persona
que tiene la clave privada.
La clave pública tiene un punto débil. Supongamos que está a punto de ir a
un sitio Web seguro para comprar algunos libros de texto. Parte de la seguri
dad de SSL procede del uso de claves públicas. Los sitios Web seguros le
enviarán una clave pública para que ese sitio Web maneje la transacción. Pero
entonces, ¿cómo puede saber que ésta es verdaderamente la clave pública y no
una clave robada puesta en el sitio Web por un hacker? Este es el tercer
aspecto interesante de las claves públicas: certificados digitales.
Los certificados digitales son claves públicas firmadas con la firma digital de
una tercera parte de confianza llamada una autoridad de certificados (C A ). Los
sitios Web pagan a estas C A cientos de euros al año sólo para que la C A firme
los certificados digitales del sitio Web. La C A predominante para los sitios Web
es Verisign (www.verisign.com). Los certificados son interesantes porque son
una de las pocas partes del protocolo HTTPS que podemos ver si queremos.
Visite cualquier sitio Web seguro y busque el pequeño icono de un candado que
aparece en la parte inferior del navegador Web. Haga clic en el candado para ver
el certificado. En la figura 17.16 se muestra un certificado típico.
v l a n ____________________________________
Conexiones personales____________________
Volviendo a los tiempos de las conexiones de acceso telefónico, el concepto
de protección frente a amenazas externas no era muy interesante. Sólo el pro
pio concepto de acceso telefónico ya era suficiente protección para la mayoría
de los usuarios. Primero, los sistemas que usaban conexiones de acceso telefó
nico, por definición, conectaban con Internet sólo periódicamente, dificultan
do la detección a los hackers. Segundo, todas las conexiones de acceso telefónico
usan direcciones IP asignadas por DHCP, de modo que incluso si un h a ck er
conseguía acceder a un usuario de acceso telefónico durante una sesión, ese
mismo usuario de acceso telefónico casi seguro tenía una dirección IP diferen
te la siguiente vez que accedía a Internet. Mientas tuvieran instalados buenos
programas antivirus, los usuarios de acceso telefónico no tenían nada que
temer de los hackers.
La aparición de enlaces a Internet de alta velocidad siempre conectados ha
modificado la idea de seguridad completamente. El usuario que reemplaza su
conexión de acceso telefónico por módem AD S L o de cable se convierte inme
diatamente en blanco para los hackers. Aunque la mayoría los módems AD SL
y de cable usan enlaces DHCP, el tiempo concedido para estas direcciones es
más que suficiente para proporcionar incluso al h a ck er casual todo el tiempo
que necesita para curiosear por los sistemas.
Uno de los primeros puntos en la agenda de los usuarios de Windows con
conexiones de banda ancha es desconectar Compartir impresoras y archivos.
Como NetBIOS puede ir por IP, el uso compartido de una carpeta o impreso-
ra hace que esté disponible para cualquiera en Internet a menos que el ISP
ayude a filtrar el tráfico NetBIOS. Algunos grupos de hackers usan progra
mas de exploración de puertos buscando sistemas que tengan habilitado Com
partir impresoras y archivos y cuelgan estas direcciones IP en sitios públicos
(¡no, no voy a decir dónde encontrarlos!). Cuando instalé mi módem de cable
hace unos dos años, distraídamente hice clic en Entorno de red y ¡descubrí
que cuatro de mis compañeros en el cable tenían sus sistemas en uso compar
tido y dos de ellos también estaban compartiendo impresoras! Siendo un
buen vecino y no un h acker, me aseguré de que cambiaran su arriesgado
comportamiento.
Aunque puede comprar un sistema cortafuegos para ponerlo entre su siste
ma e Internet, la mayoría de los usuarios individuales prefieren usar un pro
grama cortafuegos personal como BlackICE Defender o ZoneAlarm Pro (véase
la figura 17.20). Estos programas cortafuegos personales son bastante poten
tes y tienen la ventaja añadida de ser fáciles de usar; además, muchos de ellos
son gratuitos. Hoy día, no hay excusa para que un usuario individual de Internet
no tenga un cortafuegos personal.
Conexiones SOHO________________________
La típica configuración de pequeña oficina u oficina doméstica (SOHO)
consiste en unos cuantos sistemas en red compartiendo una sola conexión a
Internet. Se pueden usar soluciones como ICS con ICF, pero si queremos
fiabilidad y velocidad necesitamos una combinación de cortafuegos y enrutador.
Aquí hay dos opciones: poner dos N IC en un sistema y convertirlo en un
enrutador (caro, difícil de configurar y un sistema más que mantener) o com
prar un enrutador cortafuegos y puerta de enlace SOHO como mi pequeño
enrutador Linksys. Estos enrutadores son baratos, proporcionan todas las fun
ciones de cortafuegos que probablemente se necesiten y requieren poco mante
nimiento. Hay grandes marcas en el mercado. En la figura 17.23 se muestra el
popular enrutador Cisco SOHO serie 70.
Supongamos que tienen una red con 1000 sistemas. Estos sistemas están
conectados a Internet a través de un barato enrutador SOHO y un módem de
cable. El enrutador SOHO se bloquea constantemente, una señal clásica de
que no hay suficiente enrutamiento para la red. Suponiendo que el rendimiento
del módem de cable sea suficiente para la red, salga de tiendas buscando un
sustituto más robusto para su enrutador SOHO. Este nuevo enrutador debe
conectar con el módem de cable (RJ-45), debe proporcionar buen soporte a
cortafuegos (N A T , bloqueo de puertos) y debe ser fácil de configurar. No se
necesita VPN. Vea las soluciones de Cisco, NETGEAR, Linksys, D-Link y
3COM. Escoja un enrutador para su red y prepárese para explicar su elección.
Los ordenadores Macintosh con OS X también usan Samba, pero Apple hace
un gran trabajo automatizando el proceso. En la figura 18.4 se muestra un
sistema Macintosh accediendo a carpetas compartidas en un sistema Windows.
Usar Servicios de impresión para Macintosh es aún más fácil que FSM.
Sólo compruebe que el sistema que comparte la impresora está ejecutando
AppleTalk para prestar soporte a los sistemas Macintosh. Una vez que el
servicio está en marcha, los sistemas Macintosh verán las impresoras compar
tidas del servidor en su programa Selector.
Conectar sistemas UNIX/Linux a recursos compartidos
de Windows Server____________ _________________________
El principal método para conseguir que un sistema UNIX/Linux acceda a
un recurso compartido en un sistema Windows es Samba. La incapacidad de
Samba para hacer que un sistema UNIX/Linux se una a un Active Directory
no es gran problema para la mayoría de los usuarios. Recuerde, hacer que un
ordenador se una a un Active Directory es diferente que acceder a recursos
compartidos en un entorno Active Directory.
Durante muchos años, Microsoft ha proporcionado un producto llamado
Servicios para U N IX (SFU). SFU es un subsistema U N IX para Windows que
se manifiesta principalmente como una consola estilo U N IX , como se muestra
en la figura 18.8. SFU ha estado con nosotros varios años, pero sólo estaba
disponible como complemento con un coste adicional.
SFU también incluye muchas de las aplicaciones TCP/IP estándar para
compartir impresoras y ficheros, como NFS, FTP y LPD (véase la figura
18.9). Así, aunque M icrosoft no impulsa FSU como herramienta de
interoperabilidad para acceder a recursos compartidos, es la única opción aparte
de ejecutar Samba en los sistemas UNIX/Linux.
Conexión a NetWare___________________________
Si hay un NOS que hace que la interconexión sea fácil, ése es Novell
NetWare, o al menos NetWare 4.x/5.x/6.x. Como NetWare es un NOS servi
dor puro, por definición realiza la interconexión cada vez que lo usamos: no
existe nada que se pueda llamar un sistema operativo cliente NetWare. Los
sistemas Windows, Macintosh y UNIX/Linux deben usar todos algún tipo de
software cliente NetWare para conectar con un servidor NetWare, y Novell ha
creado excelente software cliente para todos ellos. Puede descargar los clien
tes directamente del sitio Web de Novell, www.novell.com/download.
Microsoft nunca ha visto con buenos ojos que los clientes NetWare se
hicieran cargo del inicio de sesión y durante muchos años ha proporcionado su
propio cliente con Windows. Este cliente se llama Cliente Microsoft para re
des NetWare en Windows 9x y Servicio de cliente para NetWare (C S N W ) en
Windows NT, 2000 y X P (véase la figura 18.12). El cliente Microsoft viene
con Windows pero no se instala de forma predeterminada (Windows 95 es la
única excepción en esto.)
El Cliente Microsoft para redes NetWare es débil comparado con Client32 de
Novell. Permite a un cliente Windows 9x conectar con los recursos de un servi
dor NetWare, pero poco más. El Cliente Microsoft para redes NetWare tiene dos
puntos débiles fundamentales. Primero, requiere el protocolo compatible con
IPX/SPX y no puede conectar con servidores NetWare usando TCP/IP. Según
se unió Novell al resto de la industria de redes en su precipitada huida hacia
TCP/IP, los clientes Windows 9x con el Cliente Microsoft para redes NetWare
se quedaron atrás. Segundo, el Cliente Microsoft para redes NetWare no entien
de los Servicios de directorio Novell (NDS), la seguridad predeterminada de
NetWare y los sistemas de directorio para NetWare 4, 5 y 6.
El Servicio de cliente para NetWare es más robusto que el Cliente
Microsoft para redes NetWare al prestar soporte a las bases de datos Binder
de NetWare 3 y los árboles NDS. En la figura 18.13 se muestra la pantalla
de configuración de C SN W en un ordenador W indows XP. Fíjese en los
dos botones de opción de la parte superior. Si se escoge el botón S ervidor
preferido y se introduce el nombre de un servidor NetWare, se conecta con
un Binder NetWare. Si se escoge el botón de opción Arbol y contexto
predeterm inados, se habilita el sistema para conectar con un árbol NDS
NetWare. CSNW , como el Cliente M icrosoft para redes NetWare, sólo
admite IPX/SPX. Si los servidores NetWare usan sólo TCP/IP, no podrá
utilizar CSNW .
Los sistemas Windows NT/2000/2003 Server vienen con un pequeño e
interesante programa llamado Servicios de puerta de enlace para NetWare
(G S N W ) (véase la figura 18.14). G SN W habilita a un solo sistema Windows
Server para que actúe de puerta de enlace con una red NetWare. El ordena
dor puerta de enlace inicia la sesión en la red NetWare y permite a todos los
ordenadores Windows acceder a la red NetWare a través de la puerta de
enlace sin necesidad de que ejecuten un cliente NetWare. G SN W parece
estupendo, pero en realidad es bastante lento y propenso a los bloqueos.
GSNW también depende de IPX/SPX. GSNW no se proporciona con Windows
Server 2003.
Conectar Macintosh a NetWare______________
Para conectar un Macintosh a un servidor NetWare, hay que instalar el
Cliente Macintos para NetWare en el Mac. En la figura 18.15 se muestra el
Cliente Macintosh para NetWare. Una vez que está instalado el cliente NetWare
Macintosh, el OS tiene acceso completo a los recursos compartidos en el servi
dor NetWare, tanto carpetas como impresoras. En la figura 18.16 se muestra
una carpeta compartida en un servidor NetWare a la que se accede desde un
cliente Macintosh. Un aspecto interesante exclusivo del cliente Macintosh es
que es el único que hay que pagar por usarlo, pues Novell dejó de fabricar
clientes Macintosh a mediados de los 90. Un fabricante independiente llamado
ProSoft ( www.prosoft.com) hace ahora el software cliente Macintosh. Los
clientes Windows (todas las versiones) y UNIX/Linux los crea N ovell y están
disponibles gratuitamente.
El software cliente NetWare (de todos los tipos) no puede hacer su trabajo
a menos que el sistema cliente esté usando el protocolo correcto. Los clientes
modernos usan todos TCP/IP, pero hay muchos clientes antiguos que aún se
usan. Afortunadamente, Novell proporciona controladores IPX para que todos
los sistemas cliente de red admitan la red NetWare ocasional que todavía usa
IPX como su protocolo de red. Pero si su red usa IPX o IP, el cliente NetWare
funcionará perfectamente para sistemas Windows, Macintosh o UNIX/Linux.
Conectar a Macintosh__________________________
Aunque los sistemas operativos Macintosh modernos usan todos IP como
protocolo de red, Apple sigue dependiendo del venerable AppleTalk para las
funciones de red de nivel superior, igual que Windows 9x depende todavía de
NetBIOS aunque la mayoría de los sistemas Windows 9x usen ahora IP. Esto
significa que siempre que un Macintosh hable con otro tipo de sistema, hay
que tener algún tipo de software en un extremo u otro que convierta la infor
mación AppleTalk (como los nombres de red) en algo que el NOS cliente
pueda entender.
Una vez más, la evolución de OS X sobre sus predecesores provoca una
gran diferencia en cómo conectan otros sistemas operativos con ordenadores
Macintosh. OS X ejecuta Samba por omisión, de modo que los sistemas
Windows ven automáticamente los Mac en su red. Los sistemas UNIX/Linux
pueden conectar con un Mac a través de Samba o usando aplicaciones TCP/IP
como NFS o FTP. En la siguiente sección veremos los Mac anteriores a OS X.
Proyectos de laboratorio______________________
Proyecto de laboratorio 18.1________________
Una de sus compañeras es una usuaria de Mac empedernido. Le gustaría
impresionarla con algunos útiles enlaces del sitio www.macwindows.com. Cree
una tabla como la siguiente que le ayude a catalogar sus descubrimientos. Use
Internet para encontrar cinco de .esos útiles enlaces, anótelos con una breve
descripción y luego compártalos con un compañero o su instructor.
Enlace: Enlace:
Descripción: Descripción:
Enlace: Enlace:
Descripción: Descripción:
Enlace:
Descripción:
La parte individual más importante de la mayoría de las redes son los datos
compartidos. La principal motivación de las redes es la capacidad de muchos
usuarios para acceder a los datos compartidos. Estos datos compartidos pue
den ser tan triviales como formularios prefabricados o tan fundamentales como
información de facturas por cobrar. La repentina pérdida de datos en una red
paralizaría a la mayoría de las organizaciones. Los ordenadores pueden
sustituirse y se pueden contratar nuevos empleados, pero los datos son los que
hacen que funcionen la mayoría de las organizaciones. Ciertamente, toda bue
na red debe incluir un plan sólido de seguridad, pero restaurar copias de segu
ridad cuesta tiempo y esfuerzo. A menos que continuamente se hagan copias
de seguridad de los datos, las copias de seguridad siempre estarán algo
desfasadas. Las copias de seguridad son un último recurso. Hay empresas que
se han hundido después de perder datos, incluso con copias de seguridad rela
tivamente buenas. Los datos compartidos de una red deben tener una protec
ción mejor que el respaldo de restaurar laboriosamente copias de seguridad
posiblemente desfasadas. Una buena red debe tener un método para proteger
los datos, de modo que si falla un disco duro, un técnico de red puede poner los
datos instantáneamente, o al menos rápidamente, de nuevo en línea. Esto re
quiere algún tipo de copia de seguridad instantánea o copia automática de los
datos almacenados en un segundo disco duro. La capacidad de un servidor
para responder a un fallo de hardware y seguir funcionando se llama toleran
cia a errores.
Muy bien, entonces necesitamos un medio para crear datos redundantes en
el sistema servidor. ¿Cómo se hace esto? Bueno, antes que nada, se podría
instalar algún estupendo controlador de disco duro que lea y escriba datos en
dos discos duros simultáneamente (véase la figura 19.5). Esto garantizará que
los datos de cada unidad sean siempre idénticos. Una unidad será el volumen
principal, y la otra, llamada volumen reflejado, no se usará a menos que falle
el volumen principal. Este proceso de leer y escribir datos al mismo tiempo en
dos discos se llama reflejo de disco (d riv e m ir r o r in g ).
Si quiere asegurar sus datos, puede usar dos controladores separados para
cada unidad. Con dos volúmenes, cada uno en un controlador independiente, el
sistema seguirá operando aunque el controlador del volumen principal deje de
funcionar. Esta técnica de reflejo se llama duplicado de unidad (véase la figura
19.6) y es mucho más rápida que el reflejo de volumen normal porque no es un
solo controlador el que tiene que escribir los datos dos veces.
Aunque el duplicado de discos es más rápido que el reflejo de discos, ambos
métodos son más lentos que la clásica configuración de un volumen, un con
trolador. La tercera forma y la más común de crear datos redundantes es un
método llamado seccionado de disco con paridad. El seccionado de disco (sin
paridad) distribuye los datos entre bandas de varios volúmenes (al menos dos).
El seccionado de discos por sí solo no proporciona redundancia. Si guardamos
un pequeño fichero Microsoft Word, por ejemplo, el fichero queda dividido en
varias piezas; la mitad de las piezas va a un volumen y la otra mitad al otro
(véase la figura 19.7).
RAID__________________________________
Las muchas técnicas diferentes de usar múltiples volúmenes para la protec
ción de datos y el aumento de la velocidad fueron organizadas por un par de
chicos listos de Berkeley allá por los 80. Esta organización fue presentada con
el nombre de Matriz redundante de discos económicos (R A ID ) o Matriz redun
dante de discos independientes. Hay siete niveles oficiales de R AID , numera
dos del 0 al 6, que son como sigue:
• R A I D 0. Discos seccionados en bandas.
• R A I D 1. Discos reflejados y discos duplicados.
• R A I D 2. Discos en bandas con múltiples volúmenes de paridad. No se usa.
• R A I D 3 y R A I D 4. Discos en bandas con paridad. Las diferencias entre
los dos niveles son triviales.
Tecnologías de disco___________________________________
Hablar de los niveles R A ID es como cantarle a la Teoría del movimiento
browniano de Einstein. ¡Puede sonar bien, pero eso no significa que uno sepa
de qué está hablando! Recuerde que los niveles R A ID son un marco general;
describen métodos para proporcionar redundancia de datos y mejorar la velo
cidad de entrada y salida de los datos a y desde grupos de discos duros. No
dicen cómo poner en práctica esos métodos. Literalmente hay miles de méto
dos diferentes para configurar RAID. El método usado depende mucho del
nivel R AID deseado, el sistema operativo en uso y el tamaño de la cartera.
Pero antes de profundizar en estas soluciones, veamos para aclarar términos
un rápido repaso de las tres tecnologías de disco duro fundamentales: A T A en
paralelo, A T A en serie y SCSI.
SATA
A pesar de su longevidad como interfaz de almacenamiento masivo elegida
para el PC, A T A en paralelo tiene problemas. Primero, los cables de cinta
planos bloquean el flujo de aire y puede ser difícil insertarlos correctamente.
Segundo, los cables tienen una longitud limitada, sólo 18 pulgadas. Tercero, el
intercambio rápido de volumen no es posible con volúmenes PA T A , esto es, no
se puede añadir o quitar uno de esos volúmenes con el sistema en marcha. Hay
que apagar completamente antes de instalar o reemplazar un volumen. Por
último, la tecnología simplemente ha llegado al límite de lo que puede hacer en
términos de velocidad.
A T A en serie (S A T A ) soluciona estos temas. S A T A crea una conexión
punto a punto entre el dispositivo S A TA , disco duro, CD-ROM, CD-RW,
DVD-ROM, DVD-RW , etc., y el controlador SA TA . A primera vista, los
dispositivos S A T A parecen idénticos a los dispositivos P A T A estándar. Pero
eche un vistazo a los conectores de cable y electricidad y verá diferencias
importantes (véase la figura 19.10). Como los dispositivos S A T A envían da
tos en serie en lugar de en paralelo, la interfaz S A T A necesita menos alambres
físicos (siete en lugar de los ochenta que son típicos de P A T A ), permitiendo
que los cables sean mucho más estrechos. Esto puede parecer poco importante,
pero el cable más estrecho significa que es más fácil controlarlo y que el flujo
de aire es mayor dentro de la carcasa del PC, mejorando la refrigeración.
SCSI________________________________________
La Interfaz estándar de equipos pequeños (SCSI) cumple muchos de los mis
mos objetivos que EIDE: hacer que los discos duros y otros dispositivos estén
disponibles para el PC. SCSI, sin embargo, no es una tecnología de disco duro.
Más bien hay que ver SCSI como una mini-red que conecta muchos tipos de
dispositivos diferentes. Prácticamente cualquier tipo de dispositivo de almace
namiento que puede imaginar tiene una versión SCSI, pero los discos duros
SCSI son el tipo más común de dispositivo de almacenamiento SCSI. SCSI se
manifiesta en los PC a través de una placa llamada adaptador de host. Este
adaptador de host se conecta a dispositivos SCSI encadenados (véase la figura
19.12). Un conjunto de dispositivos SCSI instalados se llama cadena SCSI.
Cada dispositivo SCSI de la cadena SCSI debe tener un identificador SCSI
exclusivo. Los dispositivos SCSI antiguos están numerados del 0 al 7, con el 7
reservado normalmente para el propio adaptador de host. Versiones más avan
zadas de SCSI pueden admitir hasta 16 dispositivos (incluyendo el adaptador
de host).
Los dispositivos SCSI pueden ser internos o externos. Los mejores
adaptadores de host vienen con un conector interno y uno externo, permitiendo
que los dos tipos de dispositivo coexistan en la misma cadena SCSI. En la
figura 19.13 se muestra una cadena SCSI con dispositivos internos y externos.
Cada dispositivo obtiene un identificador SCSI exclusivo.
¡Todas funcionan!________________________________________
Las unidades P A T A , S A T A y SCSI funcionan estupendamente para las
implementaciones RAID. La gente que llega por primera vez a R A ID supone
inmediatamente que R A ID requiere algún tipo de caras unidades SCSI. No es
ése el caso. Ciertamente, puede gastar más dinero en bonitos equipos RAID ,
pero no tiene por qué seguir tal camino. Fácilmente puede implementar R A ID
sin usar nada más que económicos volúmenes P A T A y software barato o in-
cluso gratuito. Más aún, R A ID puede usar combinaciones de P A T A , S A T A y
SCSI (¡aunque no se recomienda intentar controlar las combinaciones de dis
cos!). De hecho, las matrices R AID P A T A y S A T A últimamente se han vuelto
tan estables que rivalizan con la seguridad que sólo SCSI solía prometer. Las
únicas diferencias reales hoy día están en la distinta velocidad de acceso y el
precio.
La mayoría de la gente prefiere unidades SCSI para R AID , pues tienden a
ser más rápidas que las unidades P A T A y se pueden poner más discos en un
sistema (de 7 a 15 en lugar de los 4 de P A T A ). El único inconveniente con
SCSI es el coste: los discos duros son más caros y a menudo hay que comprar
también un adaptador de host. Cuando la velocidad supera al coste como fac
tor en el tipo de tecnología de disco a usar en una matriz R A ID , las
implementaciones SCSI ganan. Finalmente, si necesita verdadera velocidad y
otros extras, puede instalar cualquier cantidad de caras "pilas de discos SCSI".
Implementaciones de RAID_______________________________
Todas las implementaciones de R A ID se reducen a métodos de hardware o
de software. R AID de software significa que se emplean los discos normales
del sistema y después se utiliza software, generalmente el sistema operativo,
para crear las matrices RAID. El propio sistema operativo se encarga de la
ejecución de la matriz. Cada disco duro de la matriz es visible para el sistema
operativo. Por ejemplo, si entra en Administración de discos en Windows, verá
todos los discos de la matriz. A menudo se usa R A ID de software cuando el
precio tiene prioridad sobre el rendimiento; es una solución que no es popular
entre servidores reales.
RAID de Hardware significa usar controladores R A ID dedicados para crear
las matrices RAID. R AID de hardware usa una configuración estilo CMOS o
software de configuración de marca para preparar la matriz. Una vez que la
matriz está configurada, el controlador R A ID se ocupa de ejecutar la matriz
RAID. Los discos individuales en las matrices R A ID de hardware son invisi
bles para el sistema operativo. Si usa una matriz R A ID de hardware y entra en
Administración de discos en Windows, por ejemplo, verá la matriz R AID como
un solo volumen. Se usa hardware cuando lo que se necesita es velocidad
además de redundancia de datos.
La más famosa implementación en software de R A ID es la R A ID de soft
ware integrada que viene con Windows N T Server/2000 Server/Server 2003.
El Administrador de discos en N T y Administración de discos en 2000/2003
puede configurar volúmenes para R AID 0,1 ó 5, y funcionan con discos P A T A ,
S A T A y SCSI (véase la figura 19.19). Windows 2000 y X P Professional sólo
prestan soporte a R AID 0.
El gran inconveniente de R AID nace del hecho de que, con la excepción de
RAID 0, todas las versiones de R AID sacrifican capacidad de almacenamiento
total por seguridad. Por ejemplo, en R A ID 1, si tenemos dos discos de 160 GB
en el sistema que no se ejecutan como RAID , la capacidad de almacenamiento
total es de 320 GB. Si reflejamos entonces esos discos, cada disco almacena
una copia idéntica de los mismos datos, reduciendo la capacidad total de alma
cenamiento a sólo 160 GB.
Versiones de R A ID más avanzadas adolecen de la misma pérdida de capa
cidad a cambio del aumento en seguridad. Digamos que tenemos tres unidades
de 100 GB, que proporcionan un total de 300 GB de capacidad de almacena
miento. Si convertimos esas tres unidades en una matriz R A ID 5, se usa un
tercio de la capacidad total para la paridad de datos, reduciendo la capacidad
de almacenamiento total a 200 GB.
Windows NT/2000/2003 no son los únicos jugadores en R AID de software.
Existen varios programas software de terceros que se pueden usar con otros
sistemas operativos. Incluso hay soluciones R A ID de software de terceros
para N T que añaden funciones extra además de las proporcionadas por Adm i
nistrador de discos o Administración de discos.
La mayoría de los técnicos y administradores prefieren R A ID de hardware.
El R AID de software vale como pequeña solución, pero tiende a ejecutarse
lentamente y suele requerir que se apague el PC para reconfigurar y reempla
zar los discos. Cuando de verdad se necesita seguir en marcha, cuando se
necesita una R AID que no permita que los usuarios sepan que apareció un
problema, R AID de hardware es la única respuesta. Como la mayoría de las
organizaciones entran dentro de esta última categoría, la mayoría de las R AID
reales están basadas en hardware. Hay una gran cantidad de soluciones R AID
de hardware y casi todas estas soluciones se apoyan en SCSI. SCSI puede
hacer una cosa que P A T A todavía no puede hacer: suponiendo que se dispone
del tipo correcto de adaptador de host, es posible tirar de un disco SCSI para
sacarlo de una cadena SCSI y reemplazarlo con otro sin ni siquiera reiniciar el
servidor. Este proceso de intercambio rápido es común en el R AID de hardware
(véase la figura 19.20). SA TA , como se señaló antes, puede hacer el intercam
bio rápido perfectamente, ¡gracias!
Muy bien, ahora que ya tiene una idea de cómo usar R AID , la siguiente
gran cuestión es: "¿Qué quiero proteger con R AID ?". De acuerdo, R A ID 5 es
popular, pero la mayoría de los técnicos cuando se encuentran por primera vez
con R AID simplemente suponen que pondrán al menos tres discos en un servi
dor y lo convertirán en una gran matriz R A ID 5. Esta solución funcionará,
pero las exigencias de los diferentes tipos de datos del servidor a menudo
requieren una estrategia más refinada y complicada.
Un truco estándar realizado a menudo con R A ID es separar el propio
sistema operativo de los datos. Los ficheros del sistema operativo no son
exclusivos ni cambian a menudo si se comparan con los datos. Si se pierde el
sistema operativo, basta con reinstalarlo, suponiendo que el servidor puede
permitirse estar desconectado el tiempo necesario para reinstalar el sistema
operativo. En estos casos, se ponen los ficheros del sistema operativo en una
partición no RAID . Si quiere recuperar el sistema operativo más rápidamen
te, mantenga los ficheros del sistema operativo en una partición reflejada. La
mayoría de las soluciones reflejadas R A ID requieren que se reinicie el siste
ma operativo, pero al menos el servidor estará en marcha en un minuto o dos,
nada comparado con la hora (o más) que se tarda en reconstruir el sistema
operativo completo.
Otra área a tomar en consideración son los ficheros de intercambio y los
temporales. Estos ficheros ocupan grandes cantidades de espacio y son inútiles
si el sistema se bloquea.
Muchos administradores de servidor ponen estos ficheros en un disco com
pletamente separado, no incluido en RAID. Hay excepciones a esto, pero estas
excepciones son específicas de un sistema operativo o aplicación. Una gran
excepción es "el servidor nunca puede estar apagado". En este caso, el sistema
operativo, junto con los ficheros de intercambio y temporales, suele encontrar
se en su propia matriz R A ID 5 o superior.
En la mayoría de los servidores, los datos importantes del negocio tienen su
propia matriz R A ID 5 separada. El bajo coste de las soluciones R A ID 5 actua
les hacen que R AID sea casi imprescindible en cualquier servidor que aloje
algún dato importante para una organización.
R AID proporciona redundancia de datos. Implementar R A ID requiere que
decidamos el nivel de R A ID que queremos usar y si preferimos el camino
hardware o software. Asegúrese de poder citar de memoria los diferentes nive
les de R AID y conozca sus conexiones de disco duro.
ÑAS_____________________________________
Si hay algo que ninguna red parezca tener en cantidad suficiente es espacio
para almacenar ficheros. Durante muchos años, la forma en que ampliábamos
el espacio de almacenamiento era añadiendo más discos duros de más capaci
dad a los servidores. Esto funciona bien y sigue siendo una forma de aumentar
el espacio de almacenamiento en muchas redes. Pero según crecen las redes, la
carga del creciente manejo de ficheros empieza a cobrar su precio en los servi
dores. Este problema se ve exacerbado por el hecho de que la mayoría de los
servidores ya están haciendo muchos otros trabajos, como resolución de nom
bres, autenticación y servicios de correo electrónico, todos ellos trabajos fun
damentales que necesitamos que los servidores hagan para que nuestras redes
se mantengan en funcionamiento. A lo largo de los años, he visto una tendencia
a distribuir todas estas tareas entre diferentes servidores. En mi red, por ejem
plo, tengo un sistema que gestiona DNS, otro que se ocupa de DHCP y W INS,
y un tercero que gestiona la autenticación. Sin embargo, todos estos sistemas
también tienen la tarea de proporcionar uso compartido de ficheros. ¿Y si
tuviéramos un servidor que no hiciera ninguna otra cosa aparte de compartir
ficheros?
Esta es una de las muchas situaciones en las que el almacenamiento acopla
do en red (Ñ A S ) es útil. ÑAS es un sistema prefabricado, generalmente ejecu
tando Linux con Samba y/o NFS, que se coloca en la red para proporcionar
almacenamiento rápido y sencillo sin implicar casi configuración. Un ÑAS es
un servidor, pero no viene con todos los programas extra que aparecen en la
mayoría de los programas servidores. En su lugar, está optimizado para com
partir carpetas o cintas de copia de seguridad. Un verdadero Ñ AS no tiene
monitor, teclado o ratón. La configuración se maneja con programas ejecuta
dos desde otro sistema o una interfaz Web. Un Ñ AS generalmente es mucho
más barato y mucho más rápido que un servidor tradicional con la misma
capacidad de almacenamiento. En la figura 19.21 se muestra un Ñ AS de una
marca común, un SnapServer de la compañía Snap Appliance.
La mayoría de los dispositivos Ñ AS tienen habilitado DHCP y funcionarán
recién sacados de la caja. Aunque pueden ponerse en marcha con muy poca
configuración o ninguna, todos los dispositivos Ñ AS vienen con la capacidad
de crear grupos de seguridad, nombres de usuario y contraseñas. Es común
mantener un Ñ AS en un entorno Windows en su propio dominio (los primeros
sistemas Ñ AS tenían que estar en su propio dominio) pero la mayoría se uni
rán ahora a un dominio existente o incluso a un Active Directory.
Lo importante que hay que recordar aquí es que un ÑAS es un sistema inde
pendiente que ejecuta un sistema operativo, normalmente Linux. Tiene una NIC
normal y ejecuta TCP/IP. El servidor ÑAS funciona usando NFS o Samba para
permitir que otros sistemas accedan a sus carpetas compartidas. Esto es impor
tante porque a menudo se confunde ÑAS con algo más complejo llamado SAN.
SAN ______________________________________
Un sistema red de área de almacenamiento (S A N ) es un grupo de ordenado
res conectados a una matriz de discos duros usando una tecnología en serie
avanzada como canal de fibra SCSI. Cada uno de los sistemas en la SAN
puede tener o no sus propios discos duros internos. En una SAN, cada sistema
conecta a un conmutador Canal de fibra a través de una NIC especial llamada
adaptador de bus de host (HB A ). En la figura 19.22 se muestra un HB A Canal
de fibra. Fíjese en que el H B A Canal de fibra es prácticamente idéntico a una
NIC de fibra óptica.
La potencia de la SAN está en la matriz de discos. Uno de los grandes aspec
tos de SCSI Canal de fibra es que no hay límite práctico al número de discos que
pueden estar en una sola matriz. Es común ver una sola matriz Canal de fibra
con más de cien discos. En la figura 19.23 se muestra tal matriz.
Esta flexibilidad permite a los usuarios de SA N ver a una sola matriz como
una gran "masa" de disco duro de la que pueden coger trozos para hacer parti
ciones y darle formato como quieran. Estas particiones pueden ser R A ID o
Sólo un montón de discos (Just a Bunch o f Disks o JBOD). (¡N o, no me estoy
inventando esto! ¡Es un término real!) Los usuarios pueden entonces acoplar o
desacoplar discos de sus sistemas usando las herramientas de manipulación de
discos estándar, como Administración de discos en Windows XP.
Las SAN son rápidas y pueden manipular inmensas cantidades de datos,
pero también son carísimas. Hay muchas probabilidades de que nunca vea una
SAN en toda su vida como técnico. Las SA N usan tecnologías ultraveloces,
como Canal de fibra.
DAT__________________________________________________
La cinta de audio digital (D A T ) fue el primer sistema de cinta en usar un
método de grabación totalmente digital. D A T fue diseñada originalmente para
grabar sonido y vídeo digital, pero se trasladó fácilmente al mundo de las
cintas de copia de seguridad. Las cintas D A T tienen capacidades de almacena
miento mucho mayores que las cintas QIC/Travan, hasta 24 gigabytes, y son
populares entre las redes de tamaño medio. Las unidades D A T usan una co
nexión SCSI.
DLT___________________________________________________
La cinta digital lineal (D L T ) se está convirtiendo rápidamente en el estándar
elegido para las copias de seguridad. Es un estándar relativamente nuevo que
tiene una inmensa capacidad para datos (hasta 70 gigabytes), es rápido, increí
blemente fiable y bastante caro comparado con las tecnologías anteriores. Pero
cuando los datos son fundamentales, el precio de la cinta de copia de seguridad
resulta insignificante. Las unidades D LT usan una conexión SCSI.
Velocidad_______________________________________
NIC rápidas_______________________________
El primer lugar que hay que mirar al pensar en un servidor rápido es la
NIC. Si en el servidor se pone la misma NIC que en las estaciones de trabajo,
es como si para apagar un incendio se usa una manguera de jardín: simplemen
te no está diseñada para cumplir ese trabajo. Hay varias formas de hacer que
la NIC sea más adecuada para la tarea. Podemos aumentar los megabits (el
rendimiento de datos), hacer que la N IC sea más inteligente y selectiva, y
hacer que sea capaz de realizar más de una cosa al mismo tiempo. Mucho de
esto lo vimos en el capítulo 6, de modo que aquí sólo señalaremos algunos
puntos.
No es sólo hardware_______________________
La exigencias del trabajo en red requieren que los servidores tengan mejor
hardware que los PC normales. Mejorando las CPU, añadiendo R AM , usando
potentes NIC y empleando rápidos discos duros se consigue que el PC servidor
sea más potente. Pero el hardware no es la única respuesta. El buen manteni
miento, desfragmentando y preparando buenos cachés de disco, también juega
un papel importante. Muchas veces, el acceso lento a los recursos se debe al
mal diseño de la red y no es un fallo del sistema servidor. Tenga cuidado de no
desechar hardware por problemas de acceso lento; a menudo puede ser una
importante pérdida de dinero.
Fiabilidad____________________________________
La última función de red, principalmente para los sistemas servidores, es la
fiabilidad. El recurso compartido debe estar disponible cuando el usuario lo
necesite. La fiabilidad se consigue proporcionando un entorno seguro para el
servidor y añadiendo hardware redundante para compensar los componentes
que fallen. Hay una molesta tendencia a confundir fiabilidad con protección de
datos. No cometa ese error. Todos los estupendos sistemas R A ID van a servir
de poco si alguien roba el servidor. Las cintas de copia de seguridad son
inútiles si se corta el suministro de electricidad. Claramente, se necesitan otras
tecnologías para mantener la fiabilidad del sistema servidor. No hay un orden
lógico para explicar estas tecnologías y salvaguardas, de modo que las vamos
a ver sin ningún orden específico.
Buena corriente
Todos los componentes del PC van con corriente eléctrica DC. Sin corrien
te DC limpia y estable, los componentes dejan de funcionar. Hay varios pasos
que la corriente eléctrica debe recorrer entre la compañía de electricidad y los
componentes. En un momento determinado, si uno de esos pasos falla, el PC
deja de funcionar. Puede tomar varias medidas para salvaguardar el hardware
y garantizar que esto no suceda nunca, empezando por la compañía eléctrica.
La corriente eléctrica en EE.UU. y Europa es una maravillosa comodidad.
El servicio eléctrico es bastante fiable y la electricidad suele ser de alta cali
dad. La mayoría de la gente puede contar con un buen servicio eléctrico el 98
por ciento del tiempo. ¡Es el 2 por ciento restante el que causa preocupación!
La corriente eléctrica a veces se interrumpe (cortes de luz) y a veces va mal
(picos y caídas). Además, los técnicos (y los no técnicos por igual) pueden
estropear el buen suministro eléctrico sobrecargando los circuitos con dema
siados aparatos. Puede proteger a los servidores de los problemas de cortes de
luz, picos eléctricos y circuitos sobrecargados con varias tecnologías impor
tantes: circuitos dedicados, supresores de oscilaciones, UPS y corriente de
respaldo.
Circuitos dedicados_________________
Un circuito dedicado es un circuito que va desde la caja de interruptores a
sólo ciertas tomas. En la mayoría de las casas y oficinas, un circuito puede
tener muchas tareas. El circuito que va al PC también puede ir al refrigerador
de agua de la oficina y a la gran impresora láser. Usar demasiados aparatos en
un circuito provoca que la corriente baje, lo que puede causar que el ordenador
no haga nada, se bloquee o se reinicie espontáneamente. ¡Todo depende de lo
afortunado que sea en ese momento! Los circuitos dedicados impiden que suceda
esto. En muchos casos, los circuitos dedicados tienen tomas con brillantes embe
llecedores naranja, para indicar que están dedicados. Esto, teóricamente, impe
dirá que una persona no informada enchufe una fotocopiadora en el circuito.
Supresores de oscilaciones
Casi parece una tontería hablar de supresores hoy día, ¿verdad? ¿Hace
falta convencer a alguien de que todos los PC, tanto en red como independien
tes, necesitan supresores de oscilaciones? Una oscilación de electricidad, el
aumento rápido del voltaje en un circuito, puede destruir (y lo hará) un ordena
dor que no esté protegido. Traducción: ¡todos los ordenadores deben enchufarse
en un supresor de oscilaciones!
UPS
Un sistema de alimentación ininterrumpida (UPS o S A I) es equipamiento
estándar para los servidores. Cualquier buen UPS proporcionará excelente
supresión de oscilaciones y también admitirá caídas de corriente. La mayoría
ofrecen sólo algunos minutos de corriente, pero es suficiente para permitir
apagar el servidor limpiamente. Todos los servidores deben tener un UPS.
Corriente de respaldo
Cuando se quiere verdadera fiabilidad, hay que conseguir un suministro de
corriente de respaldo. Muchos sistemas servidores vienen con dos suministros
de corriente. Si cualquiera de los suministros falla, es posible reemplazarlo
con el otro sin ni siquiera apagar el sistema. Pero si la corriente de la compañía
eléctrica se corta, necesitará un verdadero sistema de respaldo. Hay varios
sistemas dé respaldo basados en baterías que proporcionarán por lo menos
unas horas de protección. Pero si quiere algo que dure días, necesitará un
sistema de respaldo alimentado con gasolina/diésel.
El virus informático
Ah..., si el único problema al que nos enfrentáramos fueran los fallos de
corriente. Pero desgraciadamente, no es el caso. Hay un gran número de virus
de ordenador y código malicioso esperando a infectar nuestra red. ¿Qué pode
mos hacer cuando parece que un ordenador ha sido atacado por un virus? En
esta sección vamos a verlo.
Las palabras "Creo que mi ordenador tiene un virus" pueden provocar su
dores fríos en el más competente de los técnicos. La perspectiva de que
megabytes de datos críticos desaparezcan por la gracia de algún malvado pro
gramador es como mínimo molesta, y puede ser un desastre financiero.
¿De dónde proceden los virus? Como muchos virus humanos, viven en el
cuerpo de sus huéspedes, en este caso, ordenadores. El ordenador sólo puede
coger un virus si interactúa con otros ordenadores, o con programas o datos de
un ordenador infectado. El problema es que hoy día casi todos los ordenadores
están conectados a Internet y, por tanto, a muchos, muchos otros ordenadores.
Además, muchos virus se extienden al compartir programas o información con
disquetes o CD-ROM.
¿Cómo sabemos si hemos cogido un virus? Nos sentimos torpes, empeza
mos a estornudar y toser... o, en este caso, los equivalentes informáticos de
estos síntomas podrían ser: el ordenador parece inusualmente lento, genera
extraños mensajes de error u otras raras emisiones o quizá incluso se bloquea
y se niega a funcionar completamente. Todos éstos son síntomas clásicos, pero
no podemos asumir que el ordenador está libre de virus sólo porque parezca ir
bien. Algunos virus trabajan en secreto, como comentaremos en breve.
El secreto para evitar los virus está en entender cómo funcionan. Un virus
es un programa que tiene dos funciones: la primera es proliferar (hacer más
copias de sí mismo) y la segunda es activarse (al recibir una señal, una cuenta,
una fecha, etc., hace algo, generalmente algo malo, como borrar el sector de
arranque). Un virus no tiene que causar daños para ser un virus. Algunos de
los primeros virus escritos fueron inocuos y en realidad divertidos. Sin entrar
en el meollo de la cuestión, hay sólo cinco tipos de virus: del sector de arran
que, ejecutables, macros, gusanos y troyanos, más seis tipos que son una com
binación de otros dos virus cualquiera, bimodal/bipartito.
• Ejecutable___________ __ _______________________________
Un virus ejecutable reside en ficheros ejecutables. Estos virus son literal
mente extensiones de ejecutables y no pueden existir solos. Una vez que se
ejecuta el fichero ejecutable, el virus se carga en memoria, añadiendo copias
de sí mismo a otros ficheros EXE que se ejecuten posteriormente y haciendo
todo el mal para el que fuera diseñado el virus.
Gusano___________ ‘________ __
Un gusano es un virus ajustado a red que se esparce por aplicaciones como
el correo electrónico y los navegadores Web. Los gusanos de correo electróni
co son actualmente la mayor amenaza vírica. Estos gusanos se propagan le
yendo agendas de direcciones de correo electrónico y enviando copias de sí
mismos a todos los que aparecen en las agendas. La mayoría enmascaran su
origen usando una dirección de correo electrónico falsa para el remitente.
Programas antivirus________
La única forma de proteger el PC permanentemente contra los virus es
desconectarlo de Internet y no permitir nunca que software que pueda estar
infectado toque el precioso ordenador. Como ninguno de los dos escenarios es
factible hoy día, hay que usar un programa antivirus especializado como ayu
da para conjurar los inevitables asaltos de los virus.
Un programa antivirus protege el PC de dos formas. Puede ser al mismo
tiempo espada y escudo, actuando en el modo activo buscar-y-destruir y en el
modo pasivo de vigilante. Cuando se le ordena buscar y destruir, el programa
explora el sector de arranque del ordenador y los ficheros buscando virus y, si
encuentra alguno, presenta las opciones disponibles para eliminarlo o deshabilitarlo.
Los programas antivirus también pueden operar como escudos que vigilan pasiva
mente la actividad del ordenador, comprobando si hay virus sólo cuando suceden
ciertos eventos, como la ejecución de un programa o la descarga de un fichero.
Los programas antivirus usan diferentes técnicas para combatir los distin
tos tipos de virus. Detectan los virus de sector de arranque simplemente com
parando el sector de arranque del disco con un sector de arranque estándar.
Esto funciona porque la mayoría de los sectores de arranque son básicamente
iguales. Algunos programas antivirus hacen una copia de seguridad del sector
de arranque. Si detectan un virus, el programa usa esa copia de seguridad para
reemplazar el sector de arranque infectado. Los virus ejecutables son un poco
más difíciles de encontrar porque pueden estar en cualquier fichero del disco.
Para detectar virus ejecutables, el programa antivirus usa una biblioteca de
rúbricas. Una rúbrica es un patrón de código de un virus conocido. El progra
ma antivirus compara un fichero ejecutable con su biblioteca de rúbricas. Ha
habido casos en que un programa totalmente limpio ha incluido por coinciden
cia la rúbrica de un virus. Generalmente, el creador del programa antivirus
proporcionará un parche para evitar futuras alarmas infundadas. Los progra
mas antivirus detectan virus macro a través de la presencia de rúbricas de
virus o de ciertos comandos macro que delatan a un virus macro conocido.
Ahora que conocemos los tipos de virus y cómo intentan los programas antivirus
protegernos contra ellos, repasemos algunos términos usados a menudo para
describir ciertos rasgos de los virus.
Polimórficos o polimorfos
Un virus polimorfo intenta cambiar su rúbrica para evitar la detección por
parte de los programas antivirus, generalmente moviendo un fragmento de
código inútil. Afortunadamente, el propio fragmente de código en movimiento
puede identificarse y usarse como la rúbrica, una vez que los fabricantes de
antivirus tienen noticia del virus en cuestión. Una técnica que se usa a veces
para combatir virus polimorfos desconocidos es hacer que el programa antivirus
cree una comprobación de suma (ch e ck su m ) de todos los ficheros del disco.
Una comprobación de suma en este contexto es un número generado por el
software basándose en el contenido del fichero en lugar de en su nombre, fecha
o tamaño. Los algoritmos para crear las sumas de comprobación varían entre
los diferentes programas antivirus (generalmente se mantienen en secreto para
impedir que los que fabrican virus encuentren formas de derrotarlos). Cada
vez que se ejecuta un programa, el programa antivirus calcula una nueva suma
de comprobación y la compara con el cálculo anterior. Si las sumas de com
probación son distintas, es señal clara de la presencia de un virus.
Entorno__________________________________
Mantenga cerrada la sala del servidor en todo momento. Consiga un cierre
de tarjeta magnética o un picaporte con combinación y asegúrese de que sólo
tienen acceso las personas que deben. Mantenga baja la humedad, pero no
demasiado baja; alrededor del 40 por ciento está bien para la mayoría de los
aparatos electrónicos. Mantenga la habitación fresca, alrededor de 20 grados
es casi perfecta, aunque la mayoría de los PC pueden estar bien hasta 26-30
grados antes de que el exceso de temperatura sea un problema. Compruebe las
recomendaciones del fabricante.
CPU/RAM______________________________________________
¿Debe buscar un servidor con un solo A M D Athlon X P o uno con
procesadores duales Itanium? ¿Se puede conformar con 1GB de R A M o
necesitará 16 GB? La elección de CPU y R A M depende de las aplicaciones
servidores de la máquina y del número de usuarios que acceden al sistema.
Compruebe detalladamente en los sitios Web quién hace las diversas aplica
ciones de servidor; todos proporcionan directrices sobre cuánta R A M necesi
tan sus aplicaciones.
Hablando de aplicaciones, las CPU de doble procesador son inútiles a me
nos que haya aplicaciones que las aprovechen. Muchas aplicaciones de servi
dor aprovechan los procesadores múltiples, pero no todas. De nuevo, compruebe
las capacidades en el sitio del fabricante de la aplicación antes de gastar mu
cho dinero en sistemas multiprocesador.
Escalabilidad _____
De acuerdo, el servidor puede funcionar perfectamente ahora, ¿pero qué
sucederá cuando haya que ampliarlo? ¿Se puede añadir más R A M ? ¿Se pue
den añadir discos? No se limite a un solo servidor: ¿podrá añadir otro servi
dor para distribuir parte de toda la carga de trabajo cuando aumenten las
necesidades?
Nada es perfecto__________________________
No existe nada parecido a un servidor perfecto. Ciertamente, todo PC en
red necesita poder conectar a la red, pero la protección de datos, velocidad y
fiabilidad son funciones que varían mucho dependiendo del tamaño de la red,
los tipos de datos y aplicaciones, el sistema de cableado existente en la red, las
demandas de crecimiento y, por supuesto, el grosor de la billetera. N o es posi
ble construir el PC de red perfecto, pero hay que conocer las opciones disponi
bles. Cuando llegue el momento de construir o comprar ese sistema, podrá
actuar como abogado de su red, para garantizar que se acerca todo lo posible
al PC de red perfecto.
Herramientas "delicadas"___________________
Las herramientas que son más difíciles de cuantificar, porque las mayoría
son interiores, son las que yo llamo herramientas delicadas. Un ejemplo de
herramienta delicada es plantear preguntas a la persona que tiene el problema.
Esto es delicado porque no hay un conjunto predeterminado de preguntas que
plantear; el conocimiento y la intuición deben indicar qué cuestiones son las
correctas. Los tipos de cuestiones que hay que plantear pueden agruparse en
algunas categorías:
• Cuestiones diseñadas para encontrar exactamente qué pasos siguió el
usuario que puedan haber causado el síntoma. Esta información puede
ayudar a recrear el problema. Además, estos tipos de cuestiones pueden
proporcionar indicios sobre si el problema lo provocó un error del usua
rio o procedimientos impropios. Nota del Departamento de Relaciones
Humanas de la Central de Técnicos: tenga cuidado con cómo plantea
estos tipos de cuestiones. Un enojado "¡¿Qué has hecho esta vez, pedazo
de alcornoque?!” tiende a provocar que la gente se cierre sobre sí misma.
Recuerde, el objetivo es extraer información.
• Cuestiones diseñadas para descubrir exactamente qué decía cualquier
mensaje de error y el contexto del error. Esta información puede ser
fundamental cuando hay que buscar en las bases de conocimiento de los
fabricantes y en las líneas de soporte técnico.
• Cuestiones diseñadas para descubrir qué ha intentado hacer el usuario
para corregir el problema. Esta información puede ayudar a determinar
si se enfrenta a varias capas de problemas. Muchos usuarios intentan
arreglar cosas, pero no se les ocurre apuntar qué han hecho. Cuando en
un momento del proceso llegan a un punto muerto y no pueden volver al
principio, acuden a pedir ayuda. ¡Sea amable! Su objetivo es conseguir
que el usuario recuerde la mayoría de los pasos que ha intentado, si no
todos, para poder seguir los pasos del problema original en lugar de
resolver un problema de varias capas.
Otra herramienta delicada que puede usar es comparar la situación actual
con las referencias y documentación creadas para la red. Por ejemplo, cuando
los usuarios se quejan de conexiones o descargas lentas, debe comparar el
ancho de banda y la velocidad de conexión de partida con lo que puede medir
mientras existe el problema. Puede descubrir que el problema está en las ex
pectativas del usuario y no en la red. Después puede decidir si actualizar los
sistemas y la conectividad o explicar a los usuarios las limitaciones de la red.
La herramienta delicada más complicada de describir y cuantificar es el
conocimiento de red que puede tener y aplicar a los problemas de la red. La
resolución de problemas a menudo procede de aplicar un conocimiento ante
rior de una forma nueva. Por ejemplo, sabe que son necesarias una dirección
IP, una máscara de subred y una puerta de enlace predeterminada para que la
red se comunique con Internet usando el protocolo TCP/IP. Edgar se queja de
que no puede conectar su cliente Windows XP con Internet. Su hardware pare
ce estar funcionando correctamente (las luces de enlace están encendidas y
puede conectar con el servidor) y el servidor proxy está en marcha. En ese
punto, puede comprobar su configuración TCP/IP empleando la utilidad
IPCONFIG. Si descubre que no tiene puerta de enlace predeterminada, ya ha
resuelto el problema. El conocimiento para solucionar este problema procede
en parte de entender cómo solucionar problemas por eliminación de posibilida
des, pero también del conocimiento de los elementos necesarios para conectar
una máquina a Internet. Mientras se prepara para administrar la red de su
compañía, pregúntese cómo podría aplicarse a la resolución de problemas de
la red cada cosa que ha aprendido acerca del trabajo en red. Esto le preparará
para cuando tenga que dar el salto.
Herramientas de hardware__________________
En el capítulo 8 vimos algunas herramientas de hardware que se usan para
configurar la red. Estas herramientas son probadores de cable, analizadores de
protocolos, dispositivos de bucle de retorno y rastreadores (ton e rs). Estas herra
mientas pueden usarse en escenarios de resolución de problemas como ayuda
para reducir las posibles causas de determinados problemas. Además, hay otras
piezas de hardware que, aunque no se pueden usar activamente para solucionar
problemas, pueden proporcionar pistas sobre los problemas presentados.
Un probador de cable permite determinar si un cable concreto está mal. Mal
puede definirse de varias formas, pero en esencia significa que el cable no distri
buye datos por alguna razón; quizá el cable está roto o mal plisado o está dema
siado cerca de una fuente de calor o electricidad. En la mayoría de las situaciones
de resolución de problemas, se usarán otros indicios para determinar si hay un
problema de hardware o software. Después, si ha reducido el problema a un
asunto de conectividad de hardware, un probador de cable puede ayudarle a
determinar si el cable está bien o mal. Otra opción, si no tiene estas herramien
tas, es reemplazar los cables (uno cada vez) y probar la conectividad. Por
ejemplo, en el escenario "No puedo iniciar la sesión", si ha determinado que
todos los demás usuarios en el área pueden iniciar su sesión y que este usuario
también puede iniciar una sesión desde otra ubicación, el problema habrá que
dado reducido a un asunto de configuración o hardware. Si toda la actividad de
la red está parada (dicho de otra forma, no hay nada disponible en Entorno de
red o no es posible enviar un ping a la puerta de enlace predeterminada), puede
escoger probar los cables conectando el PC al servidor. Ésta no es la única
opción, pero es una variable que se puede probar y eliminar.
Los analizadores de protocolo pueden ser de hardware o de software. La
mayoría de los analizadores de hardware tienen un componente de software
adicional. Estas herramientas permiten a los administradores determinar qué
tipos de tráfico están fluyendo por sus redes. La mayoría de los analizadores
traducen los paquetes que fluyen por la red para proporcionar destino, origen,
protocolo y algo de información sobre el contenido. En una situación en la que
la red vaya lenta, puede usar un analizador de protocolo para determinar qué
tipo de paquetes están pasando por la red y dónde se han originado. En algunos
casos, una tarjeta de red moribunda puede producir grandes cantidades de
paquetes espurios, que pueden detectarse usando un analizador de protocolos y
descubriendo que todos los paquetes proceden de la misma ubicación. Una vez
reducido el problema a una máquina concreta, puede concentrarse en ella en
lugar de buscar culpables entre servidores, ancho de banda u otros elementos.
Herramientas de software__________________
A lo largo de este libro, ha leído acerca de herramientas de software para
configurar la red que también pueden aplicarse a la resolución de problemas.
Como la mayoría ya se han descrito en capítulos anteriores, aquí sólo vamos a
repasar los propósitos básicos de estas herramientas. Las herramientas de soft
ware principales para resolución de problemas son:
• A n a l iz a d o r e s d e p r o t o c o lo o r e d b a s a d o s e n s o f t w a r e . Son aplicacio
nes como Monitor de red, proporcionado con la mayoría de las versiones
de Windows. Los analizadores de paquetes, también llamados rastreadores
de paquetes, como el popular Ethereal, incluido con el CD de este libro,
recopilan y analizan paquetes individuales en una red para determinar
cuellos de botella y agujeros en la seguridad. Use estas herramientas
cuando la red se ralentice inexplicablemente, para ayudar a determinar
qué máquinas están enviando paquetes. Esto permite determinar si hay
muchas emisiones en general o si es víctima de algún suceso siniestro,
como el ataque de un hacker.
• A p lic a c io n e s d e r e g is t r o s d e l s is te m a . Aplicaciones como el Visor de
sucesos de Windows NT/2000/XP/2003 crean registros del sistema que
muestran todos los errores o problemas que han sucedido en el sistema.
Si un usuario no consigue iniciar su sesión varias veces, por ejemplo,
esto puede quedar registrado en la vista apropiada de la herramienta
Visor de sucesos. Esa información podría ser una pista necesaria para
determinar que el usuario ha sido expulsado, por haber olvidado su con
traseña o porque alguien haya intentado entrar con su cuenta sin tener la
contraseña. Los registros también proporcionan información sobre ser
vicios o componentes del sistema operativo que no se inician o están
recibiendo errores. Ésta es una buena forma de solucionar problemas de
bloqueo del sistema en una máquina determinada.
• M o n ito r e s d e re n d im ie n to . Herramientas como la aplicación Rendimiento
pueden proporcionar indicios sobre el patrón de utilización de una má
quina determinada. Cuando los usuarios se quejan por problemas de len
titud de la red o de inicio de sesión que pueden rastrearse hasta un sistema
o servidor concretos, esta herramienta a menudo puede ofrecer pistas
sobre qué está pasando en ese sistema que pueda estar provocando pro
blemas. Por ejemplo, si un sistema llega a un 100 por cien de uso de
memoria cuando se inicia una aplicación concreta, puede significar que
necesita más R A M o tal vez que debe poner la aplicación en un servidor
dedicado. Utilice esta herramienta para resolución de problemas cuando
haya rastreado el problema hasta una máquina concreta y tenga que de
terminar en qué lugar de la máquina está el cuello de botella.
La caja de herramientas____________________
Siempre me sorprende cuando me llama una persona para preguntarme qué
herramientas necesita para convertirse en un técnico de red. M i respuesta es
siempre la misma: sólo el cerebro, todo lo demás aparecerá cuando sea necesa
rio. No hay nada parecido a una caja de herramientas correcta para el técnico
de red, llena de herramientas de hardware y software que se llevan de un lado
a otro para arreglar las redes. Ciertamente yo no llevo por ahí probadores de
cable, rastreadores ni reflectómetros de tiempo de dominio (TD R ). Puedo lle
varlos conmigo si sospecho que hay un problema con los cables, pero normal
mente no los meto en la mochila hasta que sospecho la naturaleza del problema.
Las herramientas de software vienen todas con los propios sistemas
operativos de red. Por ejemplo, no necesito un disquete con la utilidad PIN G
porque todos los PC la tienen. Las herramientas de software necesarias para
arreglar una red están listas, esperando que las use. Su tarea es saber cómo
usarlas. Lo que tiene que aportar el lector es el cómo se hace y, en la mayoría
de los casos, poco o nada más.
Mi independencia de la caja de herramientas hace poco felices a mis clientes:
no pueden aceptar en sus mentes que puedo poner en marcha de nuevo sus redes
sin necesidad de cargar con una gran caja de herramientas. En ocasiones esto se
ha convertido en un problema, de modo que ahora llevo siempre mi caja de
herramientas sólo por guardar las apariencias. ¡En serio! Llamo a esa caja mi
atrezo, pues no tiene más uso real que la espada de goma en un escenario teatral.
Ahora que ya no estamos obsesionados con llevar las herramientas correc
tas, concentrémonos en la verdadera herramienta: el cerebro. En un acto
sorprendentemente descarado de confianza en mí mismo, me he tomado la
libertad de cuantificar en la siguiente sección los muchos procesos mentales
que se deben usar para arreglar redes.
Copias de seguridad______________________
Piense en cuánto trabajo ha tenido que hacer para crear hermosos servido
res estables, estaciones de trabajo de respuesta rápida y todas las demás mara
villas de la red. Imagine cuántas horas han tenido que pasar los usuarios creando
datos y almacenándolos en esos servidores. Ahora piense en un virus que borra
datos fundamentales o ficheros de configuración: no es una idea agradable, ni
para la tensión sanguínea ni para la seguridad de la red. El simple sentido
común dictamina que hay que hacer copias de seguridad de los datos. Repeti-
das veces. Las copias de seguridad son inútiles a menos que estén actualiza
das. Los usuarios no se sentirán muy satisfechos si restaura una copia de
seguridad de tres semanas de antigüedad de un fichero que se actualiza diaria
mente. Hay que crear, pues, un programa de copias de seguridad que garantiza
que las copias se hacen lo bastante a menudo para que se pueda restaurar
fácilmente una copia útil. El plan de copias de seguridad debe incluir los
siguientes detalles:
Quizá los detalles más importantes sean los tipos de copias de seguridad y
el programa o estrategia de copias de seguridad.
Los bits Archivar se usan para realizar copias de seguridad que no son
completas. Los siguientes tipos de copia de seguridad son los más frecuentes:
• Una copia de seguridad incremental incluye sólo los ficheros que tienen
activado el bit Archivar. Dicho de otro forma, copia sólo los ficheros que
han cambiado desde la última copia de seguridad. Esta copia de seguri
dad desactiva el bit Archivar.
• Una copia de seguridad diaria hace una copia de todos los ficheros que
han cambiado ese día. No cambia los bits Archivar.
Ahora que Shannen sabe de qué datos tiene que hacer copias de seguridad,
dirige su atención al hardware de copia de seguridad. Tiene una unidad de
cinta D LT con cintas de 30 GB de capacidad: mucho más de los 2 GB que
necesita, permitiendo la futura expansión. Esto también indica que una sola
cinta alojará múltiples copias de seguridad: muy práctico para ahorrar en cin
tas. Shannen escoge usar un método de copia de seguridad diferencial. Necesi
tará dos cintas: una para la copia de seguridad completa semanal y otra para
los cambios diarios.
Shannen tiene que tratar dos asuntos más: las copias de seguridad fuera del
sitio y la degradación de las cintas. Las estrategias de copia de seguridad
requieren algún método de rotación de las cintas para garantizar que una copia
está siempre fuera del sitio por si se produce un desastre serio, para prolongar
la vida de las cintas y para retirar las cintas viejas. Esto se llama método de
rotación de las cintas o esquema de copia de seguridad en cinta. Shannen
escoge usar un método de rotación de cintas llamado Abuelo-Padre-Hijo. Este
método ya probado tiene muchas variaciones, pero la elegida por Shannen es
la siguiente. La cinta que usa para copias de seguridad el último viernes de
cada mes es la cinta abuelo. Guarda esta cinta fuera del sitio. La cinta que usa
cada viernes (excepto el último viernes del mes) es la cinta padre y también la
guarda fuera del sitio. La cinta que usa para las copias de seguridad diarias
(excepto los viernes) es la cinta hijo. Shannen conserva estas cintas en el sitio.
Si un incendio arrasa la oficina, dispondrá de una copia de seguridad del
servidor fuera del sitio que sólo estará desfasada una semana, como mucho.
Líneas de base_______
La mejor forma de saber cuándo se avecina un problema es conocer el
rendimiento de las cosas cuando todo va bien en el sistema. Hay que estable
cer una línea de base: un registro de indicadores de rendimiento como uso de
CPU, utilización de la red y otros valores que proporcionen una imagen de la
red y los servidores cuando están funcionando correctamente. Un cambio
importante de estos valores puede indicar problemas en un servidor o en la
red como un todo. Una herramienta común que se usa para crear una línea
base en los sistemas Windows es la utilidad Rendimiento que viene con los
sistemas Windows NT/2000/XP/2003. Convenientemente, todos los siste
mas operativos de red vienen con herramientas similares, de modo que tam
bién puede crear líneas de base empleando la mayoría de las utilidades de
administración de red.
Documentar la solución_________________________________
Es vital que documente el problema, los síntomas y soluciones de todas las
llamadas al soporte técnico, por dos razones. Primera, está creando una base
de datos de soporte que se convertirá en su base de conocimientos para refe
rencia futura, permitiendo que todos los del equipo de soporte identifiquen los
nuevos problemas en el momento de aparecer y sepan cómo solucionarlos
rápidamente sin tener que repetir el esfuerzo de investigación de alguna otra
persona. Segunda, la documentación permite vigilar las tendencias de proble
mas y anticipar futuras cargas de trabajo o incluso identificar una marca o
modelo concretos de un elemento, como una impresora o una NIC, que parecen
menos fiables o crean más trabajo que otras. No se salte este paso, ¡realmente
es esencial!
Hardware______________________________________________
Hardware es probablemente la más fácil de entender de las cuatro categorías.
Esta capa cubre las muchas formas diferentes en que pueden moverse los datos
de un PC a otro, con cobre o fibra o señales inalámbricas. Incluye las capas
Física y Enlace de datos del modelo OSI, pero se centra en las partes que hacen
que todo esto funcione, como concentradores, cables y conectores. También
incluye elementos que el modelo OSI no tiene en cuenta directamente, como
NIC, controladores de dispositivo de las NIC y cómo se instalan y prueban.
Protocolos_____________________________________________
Debería llamar a esta sección "Protocolos de red", pero no quiero causar
confusión con la siguiente. Los protocolos son los lenguajes de las redes. Como
hemos vistos, estos lenguajes tienen interesantes nombres como NetBIOS/
NetBEUI, IPX/SPX y el siempre popular TCP/IP. Un protocolo es un lenguaje
muy estandarizado que maneja la mayoría de las funciones "invisibles" de una
red, como determinar qué ordenador es SERVER 1 o desensamblar y ensam
blar los datos que pasan a través de la red. No estamos interesados en ver
cómo funciona todo esto con mucho detalle; el interés aquí está en que si se
instala el protocolo correcto y se le configura apropiadamente, funcionará.
Red___________________________________________________
Una vez que sé instala el hardware y el protocolo, hay que tomar dos deter
minaciones fundamentales. Primera, hay que decidir qué sistemas compartirán
recursos y qué sistemas se limitarán a acceder a recursos compartidos. Dicho
de otra forma, hay que determinar qué sistemas actuarán como servidores y
cuáles actuarán como clientes, para configurarlos después en consecuencia.
Segunda, hay que dar nombre a los sistemas, para que puedan verse unos a
otros, generalmente algo como Serverl o PC de Mike. En esta capa, los con
ceptos de redes cliente/servidor, entre iguales (p e e r -to -p e e r ) y basadas en do
minio entran en juego. Sistemas operativos de red diferentes usan métodos
distintos para dar nombre a sus sistemas y determinar qué sistemas comparten
y cuáles no. Esta capa requiere que se conozcan las diferencias entre progra
mas como Windows, NetWare y Linux.
Recursos compartidos__________________________________
La única razón por la que usamos redes es para compartir recursos, de
modo que esta última capa engloba todos los pasos requeridos para permitir
que un sistema comparta un recurso y para permitir que otros sistemas acce
dan a ese recurso compartido. Esta capa incluye varios pasos y, a diferencia de
las capas anteriores, estos pasos a menudo hay que realizarlos bastante fre
cuentemente, pues, por su naturaleza, los recursos compartidos y los usuarios
que acceden a ellos cambian casi continuamente. Esta capa incluye la mayoría
de la administración diaria de las redes y tiende a ser el lugar en el que pasa
mos la mayoría de nuestro tiempo.
Proyectos de laboratorio_______________________
Proyecto de laboratorio 20.1________________
Use Internet para buscar cuestiones prácticas sobre redes. Intente encontrar
tantas cuestiones de escenarios de resolución de problemas como pueda. Com
parta sus descubrimientos con sus compañeros, que habrán hecho lo mismo.
Software______
En esta carpeta encontrará cinco programas freeware, en inglés, de gran
utilidad.
Glosario
En esta carpeta se incluye un glosario en castellano y en formato PDF con
las palabras más importantes descritas durante el libro.
Total_________________________________________
Esta carpeta contiene un archivo ejecutable, denominado "Net+3rd Ed Book
Demo v.3.5". Haga doble clic sobre el icono y comenzará el proceso de insta
lación que dará lugar a la creación de un programa de grupo denominado
"Total Seminars" (que durante el proceso de instalación generará a su vez un
incono en su escritorio). Para ejecutar la aplicación Total Tester vaya a
lnicio>Programas>Total Seminars o haga doble clic sobre el icono de su
escritorio. Para desinstalar Total Tester, vaya a lnicio>Ajustes>Panel de
control. Selecciones Q uitar y Windows desinstalará completamente el
sofware.
Total Tester le proporcionará una simulación del verdadero exámen (en
inglés). Hay dos exámenes de prácticas completos. Cada ejercicio puede pue
de realizarse en el modo Practice o Final. El modo Practice proporciona una
ventana de ayuda con pistas, referencias al libro y una explicación de la res
puesta dada mientras se realiza el test. Los modos Practice y Final proporcio
nan ambos una calificación general y una calificación desglosada. Para realizar
un test, inicie el programa, seleccione una suite del menú superior y después
escoja un examen del menú.