CentralTECH

Curso de Redes IP

1 © Copyright
© Copyright 2016-CentralTECH
2013 CentralTECH www.cteducacion.com-- www.cteducacion.com
masinfo@cteducacion.com - masinfo@cteducacion.com
Índice
WAN – Topologías WAN

WAN – VPN

WAN – PPP , PPPoE y MPPP

WAN – Túnel GRE

© Copyright 2016 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN - Topologías
Point-to-Point Networks
Interconectan dos dispositivos.
Comúnmente utilizan la capa 2.
Puede ser una conexión P2P lógica o fisica

Hub and Spoke Networks

Spoke

Conexiones de los remotos (spokes) contra el central (Hub) Hub

Spoke
Mas efectivo a nivel economico
Puede ocurrir cálculos de caminos suboptimos
El Hub es un único punto de falla. Spoke

3 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN - Topologias
Full Mesh Networks

Interconectan todos los dispositivos.

Siempre voy a tener el camino optimo
Mayor costo económico.
No escala en grandes topologías.
Puede ser una conexión P2P lógica o fisica

4 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionadas por proveedor
Los proveedores de servicios ofrecen conectividad VPN sobre capa 2 o capa 3 sobre redes MPLS que
es una tecnología diseñada para soportar de modo eficiente el reenvío de paquetes a través del core
de la red.
VPNs MPLS capa 2
Son útiles para quienes corren su propia infraestructura de
red capa 3 y requieren consiguientemente conectividad
capa 2. De esta manera el cliente gestiona su propia
información de enrutamiento y puede implementar sobre
la WAN aplicaciones que requieren que los nodos se
encuentren en el mismo dominio de broadcast.
Son ejemplos de este tipo de VPNs: VPLS y VPWS.

Desde la perspectiva del cliente la red WAN opera como un

gran switch virtual.

5 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionadas por proveedor
VPNs MPLS capa 3
En este caso se utiliza una subred IP específicamente para
asegurar la conectividad WAN sobre la red del proveedor. En
este caso es necesario que el service provider participe del
intercambio de información de enrutamiento con el cliente ya
que la adyacencia se establece entre el CE del cliente y el PE
del proveedor.
Son una implementación adecuada para quienes desean
delegar en el proveedor el enrutamiento.
Desde la perspectiva del cliente la red WAN opera como un
gran router virtual.

6 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionada por la empresa
Son un mecanismo adecuado para que la propia empresa logre una conectividad WAN segura, confiable y
efectiva en costo. En este caso la VPN es un puente sobre Internet o una red WAN que permite conectar 2
redes LAN.
Tipos básicos de VPNs:
VPN site-to-site. Se trata de una red privada virtual que conecta redes LAN a través de una conexión sitio a
sitio. A la VPN se accede a través de un dispositivo (router o firewall) que se ocupa de encriptar el tráfico
saliente y encapsularlo para que sea enviado a través de un túnel hasta el otro extremo de la VPN. En el
otro extremo el dispositivo que recibe el tráfico lo desencapsula y lo desencripta para enviarlo hacia la
terminal de destino.

VPN de acceso remoto. Diseñada para responder a las necesidades del teletrabajo y los usuarios móviles.
En este caso cada terminal tiene un cliente de software instalado que es el responsable de levantar el túnel
encriptado contra un dispositivo que actúa como terminador de estos túneles.

7 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionada por la empresa
Este tipo de VPNs proporciona múltiples ventajas a la empresa:
• Se reducen los costos de conectividad remota.
• Aseguran alta escalabilidad la poder aprovechar la capilaridad de Internet.
• Compatibilidad con las tecnologías de banda ancha.
• Un alto grado de seguridad a través de la implementación de algoritmos de cifrado y
autenticación avanzados.
Túnel IPsec
Hay diferentes mecanismos disponibles para el despliegue de estas VPNs.
Es el modelo básico de implementación de VPNs IPsec. Provee un túnel para la conexión directa
entre punto agregando:
• Confidencialidad.
• Control de la integridad de los datos.
• Autenticación.
• Protección anti-replay.

8 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionada por la empresa
Túnel GRE sobre IPsec
Si bien los túneles IPsec tienen múltiples ventajas,
también tienen limitaciones: no soportan broadcast ni
multicast lo que complica la operación de los protocolos
de enrutamiento y otros que se basan en multicast.

GRE (Generic Routing Encapsulation) es un protocolo que permite transportar múltiples

protocolos (aún no IP), multicast y broadcast. La combinación de túneles GRE con IPsec
permite transportar entonces protocolos de enrutamiento o tráfico de múltiples protocolos
a través de la red.
Es generalmente utilizado para desplegar topologías hub and spoke empleando túneles
estáticos. Una solución adecuada para redes WAN pequeñas.

9 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – VPNs gestionada por la empresa
DMVPN (Dynamic Multipoint VPN)
Es un mecanismo propietario de Cisco que permite mejorar
la escalabilidad en redes que emplean túneles IPsec. Facilita
el aprovisionamiento de múltiples dispositivos peer,
permitiendo incluso el uso de direccionamiento dinámico. Se
sugiere utilizar PKI como mecanismo de autenticación.
Permite configurar una única interfaz túnel mGRE y un único
perfil IPsec en el dispositivo central (hub) y desde allí
gestionar los múltiples dispositivos remotos (spoke).
Presenta diversas ventajas, la más destacable es la escalabilidad ya que con una
misma configuración se pueden conectar múltiples dispositivos remotos. También
permite montar inmediatamente conexiones IPsec punto a punto sobre los túneles
GRE multipunto sin necesidad de configurar peers IPsec.

10 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Transmisión Serial
• Los bits se transmiten en serie.
• Habitualmente utilizada en entornos WAN (interface hacia el
proveedor).
• Los routers Cisco precisan de placas adicionales (Por ej. WIC-1T)
• Cisco utiliza el conector Winchester de 60 Pines para los cables
seriales.
• Las interfaces haituales son V.35 o RS-232.
• Los enlaces serían se miden en Hertz o ciclos por segundo.
• La cantidad de datos que pueda modular por ciclo, finalmente se
arrojará el ancho de banda.

11 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Transmisión Serial

12 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Transmisión Serial

DCE/DTE
•Las transmisiones seriales son habitualmente síncronas.
•En las transmisiones síncronas un equipo genera una señal , y el dispositivo del otro extremo se
adapta a la señal recibida. La misma puede tener una gama de frecuencias a configurar.
•Esta señal coordina la acción arealizar por las entidades de la comunicación.
•Entiéndase por señal, como una energía transmitida que puede transportar información.
•En este tipo de comunicaciones, la señal es inyectada por el “clockgenerator”.
•El equipo que genera la señal de sincronismo, esconocido como Data Communication
Equipment.
•El equipo que recibe y se adapta a la señal, es conocido como Data Terminal Equipment.

13 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
DCE/DTE
RouterX(config-if)#clock rate [value in hertz]
Setea a lainterface para que genere sincronismo.

14 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
PPP

•Protocolo estándar de capa 2 utilizado para comunicaciones síncronas y asíncronas.

•El objetivo de PPP es colocar los paquetes de L3 en el medio físico.
•Además provee Autenticación, encripción y compresión.
•Utilizado por diversos medios físicos y
tecnologías, como comunicaciones seriales,
telefonía celular, y hasta conexiones de
internet en banda ancha.
•Fue diseñado para transporte diversos
protocolos de L3, como IP, IPX y Apple Talk..

15 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
PPP
•Divide su arquitectura en dos componentes
fundamentales:
•Link Control Protocol(LCP): mantiene y
contruye conexiones PPP.
•Network Control Protocol(NCP): permite
transportar diversos protocolos de capa 3 de
forma simultánea.

16 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
LCP
•Autenticación: provee de la mencionada al protocolo, por medio de Usuario y Contraseña, según se
use PAP o CHAP, que son los dos métodos de autenticación.

•Compresión: permite comprimir en un extremo y descomprimir en el otro, la información, de manera

de aumentar el throghput real del enlace.

•Error Detection: posee mecanismos de detección de errores.

•MultilinkPPP: luego de la versión de IOS 11.1, los routers Cisco soportan MLPPP. Esta función permite
ver a varios enlaces físicos, como uno solo de características lógicas de un ancho de banda mayor,
cuyo BW es la sumatoria de todos. Simila Link Aggregationen Ethernet.

17 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Sesión PPP
Link Establishment Phase
•Paquetes LCP son intercambiados entre los routers, de manera de negociar parámetros de
configuración, y adicionalmente testear el enlace. La factibilidad de autenticar y comprimir datos, es
negociada en esta etapa.
Link Quality Determination
•En esta fase opcional, se realiza el testeo de la línea, a los fines de saber si estáo no en condiciones
de poder transportar protocolos de capa 3.
Authentication Phase
•Antes de que NCP comience a analizar la información, opcionalmente podemos configurar que los
routers se autentiquen por CHAP o PAP.
Network Layer Phase
•Es la fase en la cual se permite transportar diversos protocolos de capa 3, los cuales establecen una
sesión con NCP.

18 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Configuración
RouterX(config-if)#encapsulation ppp
Le indica a la interface, que encapsule en PPP los paquetes.

CHAP/PAP
•PPP soporta dos mecanismos de autenticación.
•Password Authentication Protocol(PAP) es el mecanismo más
simple de los dos.
•Callenge Handshake Authentication Protocol(CHAP), en cambio
es un mecanismo levemente más sofisticado, pero que se adapta
a los requerimientos de hoy en día.
•Gracias a esto, PPP es utilizado como mecanismo de
autenticación en diversas redes de acceso, como Ethernet, a
través de PPPoE o PPPoA, para ATM.
19 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com
 WAN – PPP
PAP
•Mecanismo simple.
•Vulnerable.
•Envía la passworden texto plano hacía el otro extremo.
•Si las claves coinciden, la sesión PPP se establece.
CHAP
•Luego de que la fase LCP es negociada, se envía un
Challengeal router vecino.
•El vecino responde al Challenge, con el resultado,
aplicando el Hash one-wayMD5.
•Si el valor recibido del peer es el esperado, la sesionPPP se establece.
•La autenticación es solo en un sentido, y habitualmente debe identificarse el peer que recibe la llamada. La
autenticación puede hacerse también bidireccional, identificando a la parte que llama.
•La Passwordnunca viaja en el canal.
•El nombre de usuario que se define en un equipo debe coincidir con el hostnamedel equipo que
autenticarácontra él.
•La contraseña debe ser la misma en ambos equipos.

20 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPP
Configuración PAP
Configuración PAP
Server
Servidor(config)#username labo password ccna Router(config)#username labo password ccna
Servidor (config)#int s0/0/0 Router(config)#intface s0/0/0
Servidor(config-if)#encapsulation ppp Router(config-if)#encapsulation ppp

Servidor(config-if)#ppp authentication pap Router(config-if)#ppp authentication chap

En este comando es necesario que el

Cliente USUARIO coincida con el hostname del
Cliente(config)#int s0/0/0 router vecino. Respecto del password
debe ser igual tanto en el router vecino
Cliente(config-if)#encapsulation ppp como en el que estemos configurando.
Cliente(config-if)#ppp pap sent-username labo password ccna

21 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – Multilink PPP
Multilink PPP provee un método para distribuir el tráfico a
través de múltiples conexiones PPP paralelas.

• Está descrito en el RFC 1990.

• Combina múltiples enlaces físicos en un conjunto lógico que recibe el
• Aplicado sobre interfaces seriales provee algunas prestaciones:
 Balanceo de carga sobre múltiples enlaces seriales. Idealmente los enlaces que componen el
multilink debieran ser del mismo ancho de banda. Sin embargo, también es posible mezclar
enlaces de diferente ancho de banda.
 Permite interoperabilidad entre múltiples fabricantes.
 Mejora de la redundancia. Ante la caída de un enlace individual el tráfico se mantiene sobre los
enlaces remanentes sin afectar la conexión.
 Posibilidad de fragmentación e intercalado (LFI). Este mecanismo intercala el envío de paquetes
de aplicaciones de tiempo real con paquetes de aplicaciones que no operan en tiempo real para
reducir el delay al que se someten los paquetes de aplicaciones de tiempo real.

22 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – Multilink PPP
Opera tanto sobre enlaces sincrónicos como asincrónicos, utilizando enlaces seriales con encapsulación
PPP.
El conjunto lógico MLP se presenta como una única interfaz virtual que conecta con el dispositivo
remoto. Esto proporciona un único punto para aplicar las políticas de calidad de servicio.
Todas las estadísticas de tráfico se registran sobre la interfaz virtual.
Se pueden asociar hasta 10 enlaces seriales y hasta 8 enlaces PPPoE en un único multilink.

Configuración de un enlace multilink

Router(config)#interface Multilink 1 //Crea la interfaz virtual multilink y le asigna un ID

Router(config-if)#ip address 192.168.0.1 255.255.255.252
Router(config-if)#ppp multilink
Router(config-if)#ppp multilink group 1
Router(config-if)#exit
Router(config)#

23 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – Multilink PPP
Configuración de un enlace multilink

! Asociación de las interfaces físicas a la interfaz virtual

Router(config)# interface serial0/0
Router(config-if)#no ip address
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink
Router(config-if)#ppp multilink group 1
Router(config-if)#exit
Verificación de multilink
Router(config)#interface serial0/1
Router(config-if)#no ip address
Router#show ppp multilink
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink Router#show interfaces Multilink 1
Router(config-if)#ppp multilink group 1
Router(config-if)#exit
Router(config)#

24 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – PPPoE
PPPoE
PPPoE permite emular un enlace punto a punto sobre una red de medio compartido que típicamente
es una red de banda ancha.
El escenario más frecuente supone correr un cliente PPPoE en el cliente que se conecta a un servidor
PPPoE del lado del proveedor, del cual obtiene su configuración.
El cliente PPPoE
Cisco IOS incluye un cliente PPPoE que permite implementar esta solución del lado del cliente.
• Es una implementación habitual en redes DSL los ISPs de servicios DSL suelen entregar un módem
DSL que utiliza ATM para conectarse con el DSLAM.
• El módem DSL actúa como un bridge y la terminal como cliente PPPoE.
• La integración de un router IOS permite que el router opere como cliente PPPoE hacia la red del ISP
para luego distribuir conectividad internamente en la LAN.
• En una implementación típica el router no sólo actúa como cliente PPPoE sino también como caja
NAT y servidor DHCP.
• El cliente PPPoE es el que inicia la conexión y en caso de que se interrumpa intentará el
restablecimiento de la misma.
25 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com
 WAN – PPPoE
El establecimiento de la sesión PPPoE requiere completar un procedimiento de 4 pasos.
1. El cliente envía un paquete PADI en formato broadcast.
2. El servidor al recibir un PADI responde enviando un PADO al cliente.
3. El cliente puede recibir varios PADOs. El cliente revisa los varios paquetes recibidos y
elije uno de ellos. La elección puede hacerse en base al nombre del concentrador
PPPoE o el servicio que ofrece. Como respuesta el cliente envía un paquete PADR al
servidor de su elección.
4. El servidor o concentrador responde enviando un paquete PADS creando una
interfaz virtual para luego negociar PPP, y la sesión PPPoE corre en esta interfaz
virtual.
Si el cliente PPPoE no recibe respuesta de un servidor, entonces continuará enviando
paquetes PADI en intervalos de tiempo crecientes hasta alcanzar el límite definido y
detenerse.
Si la negociación de PPP fracasa, la sesión PPPoE y la interfaz virtual quedan en estado
down.
26 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com
 WAN – PPPoE
Verificación de multilink

En primer lugar es necesario crear una interfaz de discado (dialer interface).

Router(config)#interface Dialer1
Router(config-if)#ip address negotiated Verificación de multilink
Router(config-if)#encapsulation ppp
Router(config-if)#dialer pool 1 Router#show pppoe session
Router(config-if)#exit
Router(config)#interface GigabitEthernet0/1
Router(config-if)#no ip address
Router(config-if)#pppoe-client dial-pool-number 1
Router(config-if)#exit
Router(config)#

27 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 WAN – Túneles GRE
GRE (Generic Routing Encapsulation)es un protocolo de tunelizado que permite crear
una ruta para transportar paquetes sobre una red pública encapsulando los paquetes
en un protocolo de transporte.
• Se identifica con el ID 47 del campo protocolo del encabezado IP.
• Está definido en los RFCs 1701, 1702 y 2784.
• Soporta múltiples protocolos de capa 3 (IP, IPX, etc.).
• Permite el uso de multicast y broadcast sobre el túnel.
• Agrega un encabezado IP de 20 bytes y un encabezado GRE de 4 bytes (24 bytes
en total agregados).
• El encabezado GRE incluye un campo protocolo para soportar el transporte de
cualquier protocolo de capa 3.
• Puede incorporar un checksum del túnel, una llave y un número de secuencia.
• No encripta tráfico ni aplica otras medidas de seguridad robustas.
• GRE sobre IPsec es una implementación típica para redes hub and spoke para
minimizar la cantidad de túneles que debe mantener cada router.
• No incluye ningún mecanismo de control de flujo.
28 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com
 WAN – Túneles GRE
La implementación de GRE requiere la creación de una interfaz de
túnel, en la cual se aplican múltiples encabezados:
• El encabezado propio del “protocolo pasajero” , es decir el
contenido transportado por el túnel. Por ejemplo IPv4 e IPv6.
• Un encabezado del protocolo de transporte: GRE.
• Un protocolo para la entrega del transporte, en este caso IPv4,
que es el que transporta el protocolo de transporte.

Configuración de un Túnel GRE Verificación Túnel GRE

Router(config)#interface tunnel 1 Router#show ip interface brief tunnel 1

Router(config-if)#tunnel mode gre ip Router#show interface tunnel 1
Router(config-if)#ip address 192.168.100.48 255.255.255.252 Router#show ip route
Router(config-if)#tunnel source 10.1.1.10
Router(config-if)#tunnel destination 172.16.100.1

29 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

¿Preguntas?

30 © Copyright
© Copyright 2016-CentralTECH
2013 CentralTECH www.cteducacion.com-- www.cteducacion.com
masinfo@cteducacion.com - masinfo@cteducacion.com