1

Creación de un entorno NFV con un firewall

Rest
Aaron Romero, Jairo Vizuete, Daniel Yandun
Departamento de las Ciencias de la Computación
Universidad de las Fuerzas Armadas “ESPE”, Sangolquí, Ecuador
baromero6@espe.edu.ec, javizuete1@espe.edu.ec, deyandun2@espe.edu.ec

de servicios y la distribución de aplicaciones por parte de los

I. INTRODUCCIÓN
L a virtualización de las funciones de red (NFV) es un
enfoque de red en evolución que permite la sustitución de
dispositivos de hardware dedicados y costosos tales como
routers, firewalls y equilibradores de carga con
dispositivos de red basados en software que se ejecutan
como máquinas virtuales en servidores estándares de la
industria [1].
proveedores.
Por ejemplo, si un cliente solicita una función de red nueva, se
puede poner en marcha una nueva máquina virtual que
gestione esa solicitud. Cuando la función ya no sea necesaria,
se podrá retirar la máquina virtual. Esto también permite
determinar el valor de un posible nuevo servicio sin correr
muchos riesgos [2].
II. DESARROLLO

NFV desacopla las funciones de la red de dispositivos de A. Herramientas

hardware dedicados y las traslada a servidores virtuales, y
así se consolidan múltiples funciones en un único servidor Las herramientas y equipos que se han utilizado para el
físico. Este enfoque reduce los costos y minimiza la desarrollo de este trabajo son los siguientes:
necesidad de envío de servicio técnico y el mantenimiento • Laptop
práctico, debido a que los dispositivos virtuales
• Ubuntu 20.04
reemplazan dispositivos de red basados en hardware
• Mininet
dedicados.
• Ryu
Los administradores de red manejan funciones de
• Curl
orquestación y administración a través de un sistema
operativo que coordina los dispositivos virtuales que se
ejecutan en una red. Al igual que las máquinas virtuales, B. Implementación
los dispositivos virtuales pueden seleccionarse e
implementarse en base a las necesidades de la red.

Beneficios de utilizar NFV

Con la NFV, los proveedores de servicios pueden ejecutar

funciones de red en un hardware estándar, en lugar de hacerlo
en un hardware exclusivo. Además, gracias a la virtualización
de las funciones de red, es posible ejecutar varias de ellas en
un solo servidor. Al necesitar menos hardware físico, se logra
la consolidación de los recursos y, como resultado, se reducen
los costos generales, energéticos y de espacio físico.

La NFV ofrece a los proveedores la flexibilidad para ejecutar

VNF en diferentes servidores o para trasladarlas cuando
cambian las necesidades. Esta flexibilidad agiliza la prestación
 2

WIRESHARK

RYU
 3

Arrancamos Ryu usando la aplicación de firewall que

encontraremos en la siguiente ruta:
/home/mininteryu/ryu/ryu/app/rest_firewall.py

Abrimos otra pestaña de terminal donde vamos a inicializar la

CURL
topología que habíamos creado previamente.
Antes de empezar a configurar el firewall haremos un dump
de los flows que tiene el switch: Usamos el comando $dpctl
dump-flows

Crear el fichero mi-topo-2.py

El firewall requiere ser habilitado en el switch en que se quiera

$ curl -X PUT
Agregar la siguiente configuración al fichero http://localhost:8080/firewall/module/enable/00000000000000
01
 4

Para habilitar la comunicación entre los elementos de la red

debemos usar los siguientes comandos REST después de
habilitar el firewall:
Para ver toda la configuración del switch usaremos:
$ curl -X POST -d
$ curl -X GET
'{"nw_src":"10.0.0.1/32","nw_dst":"10.0.0.2/32","nw_proto":"
http://localhost:8080/firewall/rules/0000000000000001
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.1/32","nw_dst":"10.0.0.3/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.1/32","nw_dst":"10.0.0.4/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.2/32","nw_dst":"10.0.0.1/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.2/32","nw_dst":"10.0.0.3/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
A continuación, ejecutamos pingall en la consola de Mininet y
-X POST -d
vemos que todos los elementos de la red pueden comunicarse.
'{"nw_src":"10.0.0.2/32","nw_dst":"10.0.0.4/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.3/32","nw_dst":"10.0.0.1/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.3/32","nw_dst":"10.0.0.2/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.3/32","nw_dst":"10.0.0.4/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.4/32","nw_dst":"10.0.0.1/32","nw_proto":"
ICMP"}' Verificamos como los paquetes de tipo FLOW MOD que
http://localhost:8080/firewall/rules/0000000000000001 $ curl utilizan para la comunicación.
-X POST -d
'{"nw_src":"10.0.0.4/32","nw_dst":"10.0.0.2/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001 $ curl
-X POST -d
'{"nw_src":"10.0.0.4/32","nw_dst":"10.0.0.3/32","nw_proto":"
ICMP"}'
http://localhost:8080/firewall/rules/0000000000000001

Ahora hacemos que el h1 y el h2 no puedan comunicarse entre
sí borrando la siguiente entrada de la configuración del
firewall:
$curl -X DELETE -d '{"rule_id": "14"}'
http://localhost:8080/firewall/rules/0000000000000001
Ejecutamos pingall para ver la conectividad de los elementos y
vemos lo siguiente:
Se observa el tráfico de red y vemos dos mensajes Packet_In.
Este mensaje indica que el switch envía un mensaje porque no
ha encontrado ninguna coincidencia en sus Flow Tables. El
mensaje OpenFlow lleva incluido el paquete ICMP originado
por el ping.
5
III. CONCLUSIÓN
La virtualización de las funciones de red (NFV) se utiliza
para virtualizar los servicios de red, como los enrutadores, los
firewalls y los equilibradores de carga, que tradicionalmente
se ejecutaban en el hardware propietario.
La NFV ofrece a los proveedores la flexibilidad para
ejecutar VNF en diferentes servidores o para trasladarlas
cuando cambian las necesidades. Esta flexibilidad agiliza la
prestación de servicios y la distribución de aplicaciones por
parte de los proveedores.
REFERENCES
[1] «¿Qué es NFV?,» 2020. [En línea]. Available:
https://www.ciena.com.mx/insights/what-is/What-is-
Network-Functions-Virtualization_es_LA.html.
[1] Red Hat, «¿Qué es la NFV?,» 2020. [En línea]. Available:
https://www.redhat.com/es/topics/virtualization/what-is-
nfv.