Red VPN

INSTITUTO POLITECNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERIA MECANICA Y
ELECTRICA UNIDAD ZACATENCO.
TEMA DE TESIS.
VPN
SEMINARIO
PROCESAMIENTO DIGITAL DE SEALES.
INTEGRANTES
JIMENEZ ZARATE JOSE ALVARO.
BARRAGAN VELAZQUEZ GEORGINA.
RINCN VIQUEZ KARINA.
VPN Red Privada Virtual

Red VPN
INDICE
Objetivo.
Antecedentes.
Introduccin.
CAPITULO I Redes
1.1.-Qu es Internet ?
Red de computadoras.
Clasificacin de las redes segn su extensin.
Topologa Fsica.
Topologa Lgica.
Tecnologa de Redes.
1.2.- Protocolos de comunicacin.
Modelo de referencia OSI.
Modelo TCP/IP.
1.3.- Servicios y aplicaciones de Internet.
ARCHIE.
Correo electrnico.
Gopher.
IRC.
Listas de inters.
Protocolo de Transferencia de Archivos (FTP).

2
Red VPN
Telnet.
USENET News.
VERONICA (Very Easy Rodent Oriented Network-wide Index to
Computerized Archives).
WAIS (Wide Area Information Service, Servicio de Informacin de rea
Amplia).
Whois (Quin es).
WWW (World Wide Web).
1.4.- Qu significa Internet?.
Conclusiones.
CAPITULO II INTRODUCCIN A LAS REDES VIRTUALES (VPN)
2.0.- Objetivos.
2.1.- Introduccin.
2.2.- Categoras de VPN.

VPN acceso remoto.
VPN de Internet.
VPN de extranet.
2.3.- Ventajas de una VPN.

Reduccin de costos.
Seguridad.
Diseo de red simplificado.
Compatibilidad.
Administracin Centralizada.
Prioridad de trfico.

3
Red VPN
2.4.- Tipos de VPN.
2.5.- Datagramas.
De cliente a servidor.
De cliente a red interna.
2.6.- Requerimientos para el armado de una red.
2.7.- De que esta compuesta una VPN.

Tunelizacin.
Cifrado.
Encapsulacin.
Autentificacin de paquetes.
Autentificacin de usuario.
Control de acceso.
Calidad de servicio.
2.8.- Tipos de conexin de VPN.

Conexin de una VPN acceso remoto.
Conexin de un enrutador a enrutador.
Tecnologa tnel.
2.9.- Requerimientos bsicos de una VPN.

Identificacin de usuarios.
Administracin de direcciones.
Codificacin de datos.
Administracin de claves.
Soporte a protocolos mltiples.
Herramientas de VPN.
2.10.- Protegiendo la red VPN y Firewall.

4
Red VPN
2.11.- controles y riesgos asociados a la tecnologa VPN.

Certificados digitales.
Autentificacin fuerte.
Firewall y sistemas de autorizacin.
2.12.- Conclusiones..
CAPITULO III PROTOCOLOS DE ENRUTAMIENTO
3.0.- Objetivos.
3.1.- Introduccin.
3.2.- Tipos de rutas.

Rutas estticas.
Rutas dinmicas.
3.3.- Clases de protocolos de enrutamiento.

Protocolos de gateway interior IGP.
Protocolos de gateway exterior EGP.
3.4.- Protocolos de tnel.

Seguridad de un tnel privado.
Tnel IP.
El tnel mas comn es GRE.
3.5.- Protocolos de enrutamiento usados para la construccin de una VPN.

PPTP (Ponit to Point Tunneling Protocol).
IPsec (Internet Protocol Secure).
L2TP (Layer 2 Forwarding).

5
Red VPN
L2TP (Layer Tunneling Protocol Nivel).

Trminos principales de L2TP.
Protocolos de L2TP.
3.6.- Protocolo BGP.
3.7.- Orgenes de MPLS.
3.8.- Protocolos de MPLS.

Las principales aplicaciones de MPLS.
3.9.- Conclusiones.
CAPITULO IV CONFIGURACIN Y ENRUTAMIENTO DE UN SERVICIO

VPN
4.0.- Introduccin.
4.1.- Requerimientos para la activacin del servicio VPN.
4.2.- VRF.
4.3. Configuracin de servicio VPN.
CAPITULO V RESUMEN Y APLICACIONES DE VPNS
5.0.- Red WAN tradicional.
5.1.- Crecimiento en popularidad de Internet.

6
Red VPN
5.2.- Que es una VPN.
5.3.- Tipos de VPN.
VPNs de Acceso Remoto.

VPNs Site to Site.
VPNs de Acceso Remoto ( Privada).
VPNs Site to Site (Pblica).
5.4.- Tecnologa de una VPN.

Medios de transporte.
Encriptacin de datos.
Tuneleo de datos.
PPTP.
IPsec.
Servicios AAA.
Mtodos de autenticacin.
Requerimientos de una VPN.
5.5.- La Internet de hoy y sus limitaciones.
5.6.- Voz sobre IP

Compresin del canal de voz
Deteccin y supresin de silencios
Trasporte de Fax y Modem
Funcionamiento de una red VoIP
Por que VoIP?

7
Red VPN
5.7.- Estndar H.323
5.8.- Aplicacin de una VPN

5.9.- Conclusin
6.0.- Conclusiones generales

8
Red VPN
OJETIVO.
Entender el funcionamiento y la operacin de una VPN (Red Privada

Virtual), as como los elementos que intervienen en ella (Protocolos, Equipos,
Medios de Transmisin, Calidad de Servicio (QoS) y Seguridad de la red.)
INTRODUCCIN.
Hace unos aos todava no era tan importante el conectar a usuarios a

Internet para cuestiones de trabajo, pero a medida que ha pasado el tiempo las
compaas han querido que las redes LAN trasciendan ms all del mbito de
la oficina e incluyeran a los trabajadores y centros de informacin de otros
edificios, ciudades, estados o incluso otros pases, tenan que invertir en
hardware y servicios de telecomunicaciones costosos para crear redes amplias
de servicio, WAN.

9
Red VPN
Sin embargo ya con Internet, las compaas tienen la posibilidad de

crear una red privada virtual que demanda una inversin relativamente
pequea de hardware y utiliza el Internet global para la conexin entre los
puntos de la red. Las LAN tradicionales son redes esencialmente restringidas,
por lo cual se puede intercambiar informacin entre las computadoras
usualmente sin pensar en la seguridad de la informacin o preocuparse mucho
por ella y verdaderamente cun importante es esta ya que Internet no es
seguro por ningn lado, por lo tanto las VPN usan protocolos especiales que
permiten encriptar informacin y permitir nicamente a la persona autorizada
desencriptar esta informacin con un identificador que comprueba que la
transmisin se ha hecho desde una fuente confiable.
El concepto de VPN ha estado presente desde hace algunos aos en el

mundo de la redes de voz. A mediados de los 80s, grandes portadoras fueron
ofrecidas como VPN para servicios de voz, de manera que las compaas
podan tener la apariencia de una red privada de voz, mientras compartan los
recursos de una red mucho mayor. Este concepto se est aplicando ahora
tanto para voz como para datos de la misma manera.
Esencialmente una VPN es una red de datos aparentemente privada,

pero la cual utiliza los recursos de un red de informacin mucho mayor. La
Internet es la plataforma ideal para crear una VPN.
En un principio existan dos tipos bsicos de tecnologas VPN, las cuales

fueron la base de las VPN hoy en da: VPN confiables y VPN seguras. Las
VPN hbridas, surgieron como consecuencia de un desarrollo tecnolgico y de
los avances de la Internet.
Antes de que la Internet se volviera universal, una VPN consista en uno

o ms circuitos rentados a un proveedor de comunicaciones. Cada circuito
rentado actuaba como un cable independiente, el cual era manejado por el

10
Red VPN
cliente. La idea bsica era que el cliente usara el circuito de la misma manera
en que usaba los cables fsicamente en su red local.
La privacidad con la que contaban estas VPN no era ms que la que el

proveedor del servicio de comunicacin le otorgaba al cliente; nadie ms poda
usar el mismo circuito. Esto permita a los clientes tener su propia direccin IP y
polticas de seguridad independientes.
Un circuito rentado corra sobre uno o mas switch de comunicacin, de
los cuales, cualquiera poda ser comprometido por algn operador que tratara
de monitorear el trfico de las lneas.
El cliente VPN tena que confiar la integridad de los circuitos y de la
informacin en el proveedor de servicio VPN; por este motivo este tipo de redes
se llaman VPNs confiables.
Con el paso del tiempo la Internet se volvi ms popular como medio de

comunicacin corporativo, y la seguridad se volvi un tpico de mayor
importancia.
Con el antecedente de las VPN confiables, se buscaron

implementaciones que no afectaran la privacidad de la informacin y que
incluyeran la integridad de los datos enviados.
Se empezaron a crear protocolos que permitieran la encripcin del

trfico en algn extremo de la red, que se moviera a travs de la Internet como
cualquier otra informacin, para luego ser descifrado cuando alcanzara la red
de la corporacin o al destinatario.
ANTECEDENTES.

11
Red VPN
Para narrar la historia de Internet y comprender de una mejor manera

sus antecedentes, su nacimiento y evolucin, se presentan enseguida una
serie de acontecimientos que marcaron el desarrollo de esta red en
aproximadamente 170 aos. Este recuento de hechos y el anlisis de su
importancia estn basados en el documento History of the Internet elaborado
por Dave Marshal adicionalmente ha sido enriquecido por los trabajos reunidos
por la Internet Society (ISOC) en su apartado All About The Internet: History of
the Internet y actualizado finalmente con hechos importantes en el desarrollo
de Internet en Mxico.
1836 El Telgrafo. Cook y Wheatstone lo patentan.

Este hecho revolucion las comunicaciones entre los seres humanos. El
telgrafo basa su funcionamiento en el Cdigo Morse, que son una serie de
puntos y lneas emitidas por pulsaciones las cuales se traducen en mensajes.
Este cdigo no est muy lejos de cmo las computadoras comunican los datos
hoy en da (binario, 0/1), aunque este es mucho ms lento.
1858-1866 El cable trasatlntico permite la comunicacin directa e

instantnea entre continentes. Hoy los cables conectan todos los continentes y
todava son un soporte principal de las telecomunicaciones.
1876 El Telfono. Alexander Graham Bell. La infraestructura generada

con la proliferacin del servicio telefnico, se convierte en el principal soporte
de las conexiones de Internet de la actualidad. Anteriormente esta
infraestructura slo se utilizaba para la transmisin del audio de las
conversaciones, con la aparicin del MODEM las computadoras se conectan
sobre la red telefnica.
1909 The Machine Stops. E.M. Forster escribi The Machine Stops. En
esa obra, Forster describe un mundo en el cual una red electrnica conectara
a todos los seres humanos.
1945 Memex Machina El doctor Vannevar Bush, quien era director de la

12
Red VPN
Oficina de Investigacin Cientfica y de Desarrollo de Estados Unidos, elabor

la propuesta de la memex machine que permita concentrar la informacin de
libros, discos y comunicaciones en general, y la cual podra ser solicitada por
los usuarios a travs de la pantalla.
1948 Aparece el trmino Ciberntica Norber Wiener publica el libro

Ciberntica, el trmino propuesto responda a la necesidad de definir las
formas de comunicacin y control que establecan los seres vivos con las
mquinas.
1957 URSS lanza el Sputnik, el primer satlite artificial de la tierra. Este

es el comienzo de las telecomunicaciones globales, los satlites juegan un
papel muy importante en la transmisin de todo tipo de datos hoy en da. En
respuesta EE.UU. crea la ARPA (Advanced Research Project s Agency,
Agencia de Proyectos de Investigacin Avanzada), dependiente del
Departamento de la Defensa (DoD, Departament of Defense) para establecer
supremaca en el campo de la ciencia y la tecnologa aplicada a la milicia.
1958 Se lanza el Explorer 1 Los Estados Unidos, despus de varios

fracasos con el "Vanguard", hicieron lo propio lanzando el Explorer 1 el 31 de
enero; este satlite descubri los cinturones de Van Allen, y estuvo en rbita
durante 112 das.
En octubre tuvo lugar en EEUU un hecho muy importante en la historia

de la carrera espacial: ese mes el gobierno de este pas fund la "National
Aeronautics and Space Administration" ms conocida como la NASA, que a
partir de ese momento se encargara de dirigir la estrategia que permitira a los
estadounidenses competir en la carrera espacial recin entablada con la Unin
Sovitica.

13
Red VPN
1962-1968 Desarrollo del Packet-Switching (PS) para transmisin de

datos en red. Podemos ver que en la actualidad la forma de transmitir los datos
es mediante paquetes. El origen es militar, esto es ideado para la seguridad
de la transmisin de la informacin en la red (que no dependa de un solo
punto). Los datos son enviados en pequeos paquetes que pueden tomar rutas
diferentes para llegar a un mismo destino. Si alguna de las rutas es eliminada,
puede ser redirigido automticamente hacia otra. De esta forma la red puede
resistir los embates de la guerra.
1969 El nacimiento de Internet. ARPANET es creado por los seores

Bolt, Beranek y Wewman auspiciados por el DoD en la investigacin sobre la
conexin de una red de computadoras. El primer nodo se crea en la UCLA (Los
ngeles) estrechamente seguidos por nodos en el Instituto de investigacin de
Stanford, UCSB (Santa Barbara), y la Universidad de UTAH. La idea era
conseguir una red que tuviera tal tecnologa que se asegurase que la
informacin llegara, aunque parte de la red estuviera destruida.
1971 Las personas se comunican sobre una red. En este ao ya existen

15 nodos (23 hosts) en ARPANET. Se inventa el correo electrnico (e-mail): un
programa para enviar mensajes en una red distribuida. Hoy el correo
electrnico es una de las principales maneras de comunicacin interpersonal
en Internet.
1972 Las computadoras se pueden conectar ms libre y fcilmente. Se

lleva a cabo la primera demostracin pblica entre 40 computadoras. Se crea
Internetworking Working Group (INWG) por la necesidad de establecer y
regular los protocolos de comunicacin. Se desarrolla Telnet.
1973 La gestin de redes globales se vuelve una realidad Se realizan

las primeras conexiones internacionales a la ARPANET, estas desde Inglaterra
(University College of London) y Noruega (Royal Radar). Se delinea Ethernet,
estableciendo los parmetros principales de una red de rea local de la

14
Red VPN
actualidad. Empiezan las ideas sobre Internet. Se desarrolla el FTP (File

Transfer Protocol, Protocolo de Transferencia de Archivos) que permite a las
computadoras enviar y recibir datos.
1974 Los paquetes se convierten en el modo de transferencia de

datos .Se establece el TCP (Transmisin Control Program), intercomunicacin
en red por paquetes, la base de comunicacin de Internet. Se abre la primera
versin comercial de ARPANET y el primer servicio al pblico de paquetes de
datos.
1976 Crece la conexin de computadoras La Reina Elizabeth manda un

e-mail. UUCP (Unix-to-Unix CoPy) es desarrollado por AT&T Bell Labs y
distribuido con UNIX. UNIX fue el principal sistema operativo usado por las
universidades y establecimientos de investigacin. Estas mquinas pueden
ahora hablar sobre la red. La red de computadoras llega a un mayor nmero
de personas en el mundo.
1977 Internet se vuelve una realidad. Nmero de hosts breaks: 100.

THEORYNET proporciona correo electrnico a ms de 100 investigadores en
informtica (usando un sistema de e -mail desarrollado localmente y TELENET
para acceder al servidor). La primera demostracin de Radio
ARPANET/Packet. Net/SATNET opera ya con los protocolos.
1978 Los primeros experimentos de interconexin en Mxico.

En Mxico las primeras conexiones derivaron de una especie de
experimentos acadmicos en universidades como el Tecnolgico de Monterrey
y la UNAM , muchas de las primeras conexiones fueron temporales,
restringindose a un nmero determinado de tiempo para bajar correos
electrnicos o la informacin de grupos de discusin. Las conexiones eran a
travs de lneas telefnicas analgicas.
1979 Nacen los grupos de noticias Se crea en EE.UU. el Departamento

de la Ciencia de la Computacin para la investigacin en las redes de

15
Red VPN
computadoras. Nacen 3 grupos de noticias al final del ao, hoy en da casi

cualquier tema tiene algn grupo de discusin. Primer MUD (Multiuser
Dungeon). Sitios interactivos multiusuaios. Juegos interactivos de aventuras.
ARPA crea la ICCB (Internet Configuration Control Board, Tabla de Mando de
Configuracin de Internet). Packet Radio Network (PRET) empieza sus
experimentos con fondos de la ARPA.
1981 Empiezan las alianzas BITNET, (BecauseIts Time NETwork)

empieza como una red cooperativa en la universidad de la ciudad de New
York, con la primera conexin proporciona correo electrnico y servidores de
listas para distribuir informacin, as como las transferencias de archivos.
CSNET (Computer Science NETwork) se establece para proporcionar servicios
de red (especialmente e -mail) a los cientficos universitarios que no tenan
acceso a la ARPANET. CSNET se conoce despus como Computer and
Science Network.
1982 TCP/IP define el futuro de la comunicacin DCA y ARPA

establecen el protocolo de transmisin (TCP) y el protocolo de Internet (IP)
como los protocolos base, comnmente conocidos como TCP/IP para
ARPANET.
Eunet (European UNIX Network) es creada por EUUG para proveer de

e-mail y servicios de USENET. Permite conexiones entre Holanda, Dinamarca,
Suiza y el Reino Unido. Se especifica el protocolo de entrada externa. EGP es
usado para la comunicacin entre las redes (con arquitectura diferente).
1983 Internet crece. Se desarrolla el servidor de nombres Gran nmero

de nodos. Terminan las dificultades por recordar las direcciones, pues se
sustituyen por nombres significativos. Surgen las estaciones de trabajo de
escritorio. La mayora utilizaba el sistema operativo UNIX e incluan el software
de red IP. Se establece IAB (Internet Activities Board) reemplazando a ICCB.
Berkeley lanza nueva versin de UNIX 4.2 BSD incorporando TCP/IP. EARN

16
Red VPN
(European Academic and Research Network) aplica lneas similares para

BITNET.
1984 El crecimiento de Internet continua Nmero de hosts breaks:

1.000. Se introducen los DNS (Domain Name Server) en lugar de
123.456.789.10 pues es mucho ms fcil recordar algo como
www.dominio.com. Se crea en Reino Unido JANET (Joint Academic Network).
USENET e introduce los grupos de noticias moderados.
1986 Mxico se conecta a BITNET 5.000 hosts, 241 nuevos grupos. Se

crea NSFNET (con una velocidad de conexin a 56 kbps). NSF establece 5
centros computacionales de gran escala para proveer de un alto poder
computacional a todos. Esto permiti una explosin de conexiones
especialmente desde las Universidades. NNTP (Network News Transfer
Protocol) es diseado para reforzar Usenet news trabajando sobre TCP/IP. En
junio, el Tecnolgico de Monterrey, Campus Monterrey, logr conectarse a la
red BITNET (EDUCOM) por medio de una lnea conmutada hacia la
Universidad de Texas, en San Antonio.
La velocidad del enlace era de 2400 bps y los equipos interconectados

eran mquinas IBM 4381. Se realizaban dos conexiones al da, cada una con
un promedio de 30 minutos.
1987 Internet se empieza a comercializar Nmero de hosts: 28,000.

UUNET es fundada con fondos de Usenix para proporcionar acceso comercial
a UUCP y USENET.
Se celebr un contrato para administrar y actualizar la red, con la

compaa Merit Network Inc., que operaba la red educacional de Michigan, en
colaboracin con IBM y MCI. En este ao, la Universidad Nacional Autnoma
de Mxico (UNAM) logr establecer conexin con BITNET a travs del
Tecnolgico de Monterrey, Campus Monterrey. Posteriormente, la UNAM

17
Red VPN
estableci un enlace satelital independiente, a travs del satlite Morelos II.
1988 NSFNET se actualiza a T1 (1.544 Mbps). Se desarrolla el IRC

(Internet Realy Chat) Tan slo siete pases del mundo (Estados Unidos,
Canad, Dinamarca, Finlandia, Noruega, Suecia e Islandia) tenan conexin al
backbone de Internet de la US National Science Foundation. Hoy menos de
media docena carecen de Internet. Para los pases que fueron pioneros en la
red, ha sido provechoso haber dado el paso inicial, pues prcticamente todos
se encuentran en los primeros 10 lugares en trminos de penetracin. En
noviembre de este ao Suecia se conecta a Internet.
1989 Mxico se conecta a Internet .Nmero de hosts breaks: 100,000.

Primer relevo entre un proveedor de correo electrnico comercial y el Internet.
IETF (Internet Engineering Task Force) y IRTF (Internet Research Task Force)
se crean bajo supervisin de IAB.
En febrero de este ao, Mxico logr establecer finalmente su prime r

enlace con Internet, convirtindose as en el primer pas de Amrica Latina en
haberse conectado a la red de NSF (National Science Foundation),
anticipndose incluso a naciones europeas y de otros continentes.
Otros pases que se conectan este ao a Internet son: Alemania, Australia,
Japn y Reino Unido.
1990 La expansin de Internet contina. 300,000 hosts, 1000 grupos de

noticias. ARPANET deja de existir. Archie provee de archivos que pueden ser
buscados y obtenidos (FTP) por el nombre. El mundo est en lnea
(world.std.com), se vuelve el primer proveedor de acceso al Internet por medio
de dial-up. Pases que se conectan por primera vez: Argentina, Brasil, Chile y
Suiza.
1991 Empieza la modernizacin Se forma CIX (Comercial Internet
Xchange) Association, Inc. Despus de que NSF establece restricciones en el

18
Red VPN
uso comercial de la red. Wide Area Information Servers (WAIS) provee de un

mecanismo para indexar y acceder a informacin sobre Internet.
Grandes fuentes de conocimiento disponibles, mensajes de correo,

textos, libros electrnicos, artculos de USENET, cdigos computacionales,
imgenes, grficas, archivos de sonido, bases de datos, etc. Todo esto forma la
base de los ndices de informacin que nosotros vemos en el WWW hoy en
da.
Se implementaron poderosas tcnicas de bsqueda (bsquedas por

palabras claves). Se crean interfaces amigables para los usuarios de WWW.
Paul Lindner y Mark P. McCahill de la Universidad de Minesota liberan el
Gopher. Interfaces basadas en texto y mens organizados para acceder a los
recursos en Internet.
No existe la necesidad de recordar o conocer difciles comandos

computacionales. Interfaces de usuario amigables grandemente superadas en
estos tiempos.
El ms importante desarrollo a la fecha, el WWW (World Wide Web, la

amplia telaraa mundial), es liberado por CERN: Tim Berners -Lee el
diseador. Originalmente desarrollado para proveer y distribuir sistemas
hipermedia. Esto ofrece fcil acceso a cualquier forma de informacin en
cualquier lugar del mundo. Inicialmente no grfico. Revolucion las
comunicaciones modernas, incluso los estilos de vida.
NSFNET se actualiza a T3 (44.736 Mbps) NSFNET tiene un trfico de 1

trilln de bytes/mes y 10 billones de paquetes/mes. Aparece JANET IP Service
(JIPS)
usando TCP/IP en la red acadmica del Reino Unido. Las instituciones
acadmicas involucradas en el desarrollo de Interne t en Mxico auspiciaron la
creacin de RED -MEX, primer organismo que se encarg de los

19
Red VPN
procedimientos orientados a regular el desarrollo de las redes de comunicacin

electrnica de datos en Mxico.
1992 La multimedia cambia la cara de Internet. Nmero de hosts

breaks: 1 milln. Grupos de noticias 4,000. ISOC (Internet society) es creada.
El primer MBONE (audio multicast) en marzo y el audio video multicast en
noviembre. El trmino surfeando en Internet es acuado por Jean Armour
Polly. El 20 de enero se crea Mexnet A.C., una organizacin que buscaba en
ese momento proveer el desarrollo del Internet en Mxico y establecer el primer
backbone nacional. Adems tena la misin de crear y difundir una cultura de
redes y aplicaciones con relacin a Internet entre sus miembros.
1993 La revolucin del WWW empieza de verdad. Nmero de hosts: 2

millones, 600 sitios de WWW. NSF crea InterNic para proveer especficamente
servicios de directorio y de bases de datos de Internet. Servicios de registro y
servicios de informacin. Los negocios y medios de comunicacin toman
conciencia del suceso Internet y su potencial y emprenden su incursin.
La Casa Blanca en los EE.UU. y la Organizacin de las Naciones

Unidas (ONU) entran en lnea. Mosaic irrumpe en Internet, proporciona al
WWW una interfase grfica amistosa y llamativa para el usuario final. Se
desarrolla Netscape: el WWW crece a 341, 634 sitios.
1994 Empieza el comercio en Internet .Nmero de Hosts: 3 millones.

10,000 sitios en el WWW. 10,000 grupos de noticias ARPANET/Internet celebra
su 25 aniversario. Las comunidades locales se empiezan a conectar
directamente a Internet (Lexington y Cambridge). La Casa Blanca y el senado
americano proporcionan servidores de informacin. Los centros comerciales y
los bancos arriban a Internet. Comienza un nuevo estilo de vida. Se ordena la
primera pizza por Internet en Hut Online en los EE.UU. El primer
Cyberbank abre sus puertas a los negocios. El trfico NSFNET rebasa los 10

20
Red VPN
trillones de bytes/mes. WWW deja en segundo lugar a Telnet como el servicio

ms popular en la red. Se pone en lnea el primer tesauro (UKs HM Treasury
on -line, http://www.hm-treasury.gov.uk).
Inicia operaciones el primer proveedor comercial de servicios de

Internet en Mxico. Sin embargo, las universidades son las que impulsaron en
gran medida las conexiones a Internet en estos tiempos. CONACYT delega la
administracin de los servicios de informacin para empresas e instituciones
lucrativas a una organizacin denominada RTN (Red Tecnolgica Nacional)
realizndose una actualizacin de la conexin de alta velocidad en Mxico de
64 kbps a 2 mbps.
1995 La comercializacin contina expandindose. 6.5 millones de

hosts, 100,000 sitios en el WWW. NSFNET regresa a la investigacin sobre la
red. El WWW supera al FTP en marzo como el servicio con ms trfico en la
red. Los proveedores de conexin dia l-up empiezan a proporcionar acceso a
Internet (Compuserve, America Online, Prodigy).
Las tecnologas del ao son: WWW, motores de bsqueda (Desarrollo

de WAIS). Surgen nuevas tecnologas en el WWW: cdigo mvil (JAVA,
JAVAScript, ActiveX), ambientes virtuales (VRML) y herramientas
colaboradoras (CU.SeeMe) . Se crea un backbone nacional, al cual se
incorporan un mayor nmero de instituciones educativas y las primeras
empresas mexicanas que haban incursionado en Internet. Nace la Sociedad
Internet, la primera asociacin de miembros a ttulo personal interesados en
poder contribuir en el desarrollo de Internet en Mxico.
El 6 de febrero, el peridico La Jornada se convirti en el primer diario

mexicano que logr establecer su sitio WWW. En diciembre fue anunciada la
creacin del Centro de Informacin de Redes de Mxico (Network Information
Center of Mxico). La administracin de NIC - Mxico le fue otorgada al
Tecnolgico de Monterrey, Campus Monterrey; esto por ser pioneros en el
desarrollo de Internet en Mxico.

21
Red VPN
1996 Entra Microsoft. 12.8 millones de hosts, 0.5 millones de sitios

Web. Nmero de hosts en Mxico: 20,253 (mx).
La telefona entra en Internet. Empieza la guerra de los browsers,
principalmente entre Netscape (Navigator) y Microsoft (Explorer), se comienza
una nueva etapa de desarrollo de software, pues se lanzan versiones beta para
que el usuario las pruebe y conozca antes de su lanzamiento. En Mxico,
Telmex entr tarde al negocio de Internet. Ese hecho permiti que los grandes
ISP (Internet Service Providers, Proveedores de Servicios de Internet).
consiguieran de alguna forma consolidarse en el mercado.
Posteriormente entr la competencia extranjera, importantes empresas

de Internet adquirieron los grandes ISP, y algunos otros que consideraron
estratgicos. Cantidad de lneas telefnicas fijas en Mxico por cada 100
habitantes: 9.5.
1997 Aparecen los primeros virus de HTML .Nmero de hosts en

Mxico: 35,238 En este ao, en la mayor parte de Amrica Latina (con
excepcin de Brasil y Mxico), el desarrollo de operaciones comerciales a
travs de Internet era poco significativo; mientras que en pases como
Australia, Canad, Suiza, Espaa, Francia, Reino Unido y Japn ya se
realizaba un intenso nmero de transacciones comerciales en lnea. Segn
Frost & Sullivan, Mxico, Brasil y Venezuela contaban con una tele densidad
cercana a 11%, mientras que Argentina, Chile y Uruguay observaban una
mayor penetracin en la regin, con 20, 16 y 24% respectivamente.
Es importante mencionar que en algunos pases de Europa el factor tele

densidad es mucho mayor, con porcentajes de penetracin del orden de 40%.
Cantidad de lneas telefnicas fijas en Mxico por cada 100 habitantes: 9.8.
1998 370 millones de computadoras conectadas Nmero de hosts en

Mxico: 83,949. Se estiman cerca de 370 millones de computadoras
personales (PC) en el mundo, de las cuales 130 millones se localizan en
Estados Unidos. En el lugar decimotercero se ubica Brasil, y Mxico ocupa la

22
Red VPN
decimoquinta posicin del listado. Espaa, Brasil y Mxico concentran ms de

15 millones de computadoras personales.
De acuerdo con datos de Gartner Group, el mercado de computadoras

personales en Amrica Latina creci 10% en promedio durante este ao.
Mxico report un crecimiento de 24.5%; Argentina, 10.5%; Brasil, 7%; y Chile,
4%.
Cantidad de lneas telefnicas fijas en Mxico por cada 100 habitantes:

10.3
1999 Surge la CUDI El 12 de mayo quedo constituida la Corporacin

Universitaria para el Desarrollo de Internet A.C. CUDI es el organismo que
representa jurdicamente los intereses de las Universidades e Instituciones que
conforman el proyecto de Internet 2 en Mxico.
Su labor consiste en coordinar las labores encaminadas al desarrollo de

la red de cmputo avanzado en el pas, brindar asesora en cuanto a las
aplicaciones que utilizarn esta red y fomentar la colaboracin entre sus
miembros.
Nmero de hosts en Mxico: 224,239.El embarque de equipos

computacionales respecto al ao anterior en Amrica Latina se elev a 19%,
como resultado de la sensible baja que resintieron los precios de los equipos
de cmputo. Cantidad de lneas telefnicas fijas en Mxico por cada 100
habitantes: 10.3
2000 La guerra de los portales. Nmero de hosts en Mxico: 404,873.

Usuarios de Internet en Amrica La tina: 8.79 millones. 136.06 millones en
Estados Unidos y Canad. En este ao se vive el apogeo del fenmeno
conocido como La guerra de los portales. Grandes empresas multinacionales
dedicadas al desarrollo de operaciones comerciales a travs de la red han
incursionado en Mxico.

23
Red VPN
Los grandes ISP nacionales que lograron mantenerse en el mercado

tambin han incursionado en la guerra de los portales, as como compaas
que proporcionan servicios de telefona, derivndose interesantes formas de
competencia y alianzas estratgicas.
Las campaas publicitarias de las empresas que incursionan

comercialmente en Internet se intensifican en los medios masivos de
comunicacin.
La red captur 80 millones de nuevos usuarios, para un total mundial de
315 millones de personas, o dicho de otra forma, el cinco por ciento de la
poblacin mundial. La capacidad internacional de Internet excedi la capacidad
total de circuitos telefnicos.El nmero de usuarios en Brasil se estima en 4.5
millones; Mxico, 2.25 millones, y Argentina, 1.1 millones.
2001 Estados Unidos 100 millones de usuarios A principios de este ao,

el reporte de nmero de usuarios en la red, indic que Estados Unidos ocup el
primer lugar, con alrededor de 100 millones de usuarios, seguido por Japn con
39 millones, y por China, con 23 millones.
La Comisin Federal de Telecomunicaciones (COFETEL) reporta que en

Mxico se dispone de menos de 11 telfonos fijos por cada 100 habitantes. En
cambio, Estados Unidos se registra 50% de densidad telefnica. 2002 20 ISPs
dominan el mercado Las estadsticas indican que existen unos 15, 000
proveedores de Internet en el mundo, pero existe una gran concentracin de
usuarios con tan solo 20 ISPs que son los que dominan el mercado prestando
servicio a aproximadamente 45 por ciento del mercado mundial.
En este ramo se espera una concentracin an mayor del mercado con

una serie de fusiones y adquisiciones.
Respecto al desarrollo del comercio electrnico en Amrica Latina, de
acuerdo con la informacin de Boston Consulting Group (BCG), en este ao se
realizarn transacciones en lnea por un total de 4,700 millones de dlares. Se

24
Red VPN
ha observado que el crecimiento del nmero de hosts en Mxico es el ms alto

en Amrica Latina y representa 259.5%. Posteriormente se encuentran
Colombia (150.4%), Costa Rica (129.1%) y Argentina (114.4%).
2003 Amrica Latina generar 170 millones de dlares La firma IDC,

estima que en este ao el mercado del comercio electrnico en Amrica Latina
generar 170 millones de dlares.
2005 El futuro... Se calcula que para este ao existan alrededor de 717

millones de usuarios en Internet en todo el mundo, continuar EE.UU. estando
situado a la delantera con 230 millones de nter nautas. La regin de Asia
-Pacifico quedar en tercer lugar con 171 millones, y el cuarto lugar ser
ocupado por Amrica central con escasos 43 millones. Por ltimo se situarn
las regiones de Medio Oriente y frica que tendrn 23 millones.
Se pronostica que tres sern los grupos de empresas que se apoderen

de la red de forma masiva. En primer lugar, como dueos absolutos sern las
telefnicas, por razones de flujo. En segundo lugar estarn las televisoras, por
razones de contenido en audio y video. Y en tercer lugar estarn las editoriales
por el gran volumen de contenido que poseen.

25
Red VPN
CAPTULO I INTERNET
1.1 Qu es Internet?
La palabra Internet proviene de las palabras en ingls interconnection y

network; en espaol, interconexin y red. Internet es una red de
computadoras de alcance mundial, interconectadas con el fin de compartir
recursos e informacin.
Un usuario de la red puede disponer tanto de la informacin ubicada en

su propia computadora, como de la informacin que se encuentra en el resto
de las computadoras que forman parte de la red.
Internet y todos sus servicios constituyen una red formada por la interconexin
cooperativa de redes de computadoras comunicadas entre s por un mismo
protocolo .
Este concepto general de Internet engloba varios trminos que es necesario
precisar para comprender su verdadera esencia y alcance.
Primeramente definiremos que es una red de computadoras. Una red de

computadoras es un sistema de comunicacin de datos que conecta entre s a
sistemas informticos situados en diferentes lugares . Puede estar compuesta
por diferentes combinaciones de diversos tipos de redes. La principal finalidad
es la de compartir informacin, ya sean documentos o bases de datos, al igual
que recursos fsicos, como impresoras o unidades de disco.
Las redes se pueden conectar mediante diferentes topologas ; es decir,

formas de construccin o arquitecturas, que pueden utilizar diferentes tipos de
cables (lneas telefnicas, satlite, inalmbricas, con fibras pticas, etc.).

26
Red VPN
Las redes suelen clasificarse segn su extensin en:
LAN (Local Area Network): Son las redes de rea local. La extensin
de este tipo de redes suele estar restringida a una sala o edificio, aunque
tambin podra utilizarse para conectar dos o ms edificios prximos.
Su aplicacin ms extendida es la interconexin de ordenadores

personales y estaciones de trabajo en oficinas, fbricas, etc; para compartir
recursos e intercambiar datos y aplicaciones. En definitiva, permite que dos o
ms mquinas se comuniquen.
El trmino red local incluye tanto el hardware como el software necesario

para la interconexin de los distintos dispositivos y el tratamiento de la
informacin.
En los das anteriores a los ordenadores personales, una empresa poda

tener solamente un ordenador central, accediendo los usuarios a este va
terminales de ordenador sobre un cable simple de baja velocidad. Las redes
como SNA de IBM (la Arquitectura de Red de Sistemas) fueron diseadas para
unir terminales u ordenadores centrales a sitios remotos sobre lneas
alquiladas. Las primeras Lan fueron creadas al final de los aos 1970 y se
solan crear lneas de alta velocidad para conectar grandes ordenadores
centrales a un solo lugar. Muchos de los sistemas fiables creados en esta
poca, como Ethernet y ARCNET fueron los ms populares.
El crecimiento CP/M y DOS basados en el ordenador personal

significaron que en un lugar fsico existieran docenas o incluso cientos de
ordenadores.
La intencin inicial de conectar estos ordenadores fue, generalmente

compartir espacio de disco e impresoras lser, tales recursos eran muy caros

27
Red VPN
en este tiempo. Haba muchas expectativas en este tema desde el 1983 en

adelante y la industria informtica declar que el siguiente ao sera El ao de
las LAN.
En realidad esta idea se vino abajo debido a la proliferacin de las

incompatibilidades de la capa fsica y la implantacin del protocolo de red, y
confusin sobre la mejor forma de compartir los recursos. Lo normal es que
cada vendedor tuviera tarjeta de red, cableado, protocolo y sistema de
operacin de red.
Con la aparicin de Netware surgi una nueva solucin la cual ofreca:

soporte imparcial para los 40 o ms tipos que existan de tarjetas y cables y
sistemas operativos mucho ms sofisticados que los que ofrecan la mayora
de los competidores.
Netware dominaba el campo de las Lan de los ordenadores personales

desde antes de su introduccin en 1983 hasta mediados de los aos 1990,
cuando Microsoft introdujo Windows NT Advance Server y Windows for
Workgroups.
De todos los competidores a Netware, slo Banyan VINES tena fuerza

tcnica comparable, pero Banyan se gan una base segura. Microsoft y 3Com
trabajaron juntos para crear un sistema de operaciones de red simple el cual
estaba formado por la base de 3Com's 3+Share, el Gestor de redes Lan de
Microsoft y el Servidor de IBM. Ninguno de estos proyectos fue especialmente
satisfactorio.
VENTAJAS.
En una empresa suelen existir muchos ordenadores, los cuales

necesitan de su propia impresora para imprimir informes (redundancia de

28
Red VPN
hardware), los datos almacenados en uno de los equipos es muy probable que
sean necesarios en otro de los equipos de la empresa por lo que ser
necesario copiarlos en este, pudindose producir desfases entre los datos de
un usuario y los de otro , la ocupacin de los recursos de almacenamiento en
disco se multiplican (redundancia de datos), los ordenadores que trabajen con
los mismos datos tendrn que tener los mismos programas para manejar
dichos datos (redundancia de software) etc La solucin a estos problemas se
llama red de rea local.
La red de rea local permite compartir bases de datos (se elimina la

redundancia de datos), programas (se elimina la redundancia de software) y
perifricos como puede ser un mdem, una tarjeta RDSI, una impresora, un
escner, etc... (Se elimina la redundancia de hardware); poniendo a nuestra
disposicin otros medios de comunicacin como pueden ser el correo
electrnico y el Chat.
Nos permite realizar un proceso distribuido, es decir, las tareas se

pueden repartir en distintos nodos y nos permite la integracin de los procesos
y datos de cada uno de los usuarios en un sistema de trabajo corporativo.
Tener la posibilidad de centralizar informacin o procedimientos facilita la
administracin y la gestin de los equipos.
Adems una red de rea local conlleva un importante ahorro, tanto de

dinero, ya que no es preciso comprar muchos perifricos, se consume menos
papel, y en una conexin a Internet se puede utilizar una nica conexin
telefnica compartida por varios ordenadores conectados en red; como de
tiempo, ya que se logra gestin de la informacin y del trabajo.
CARACTERISTICAS.
Tecnologa broadcast (difusin) con el medio de transmisin compartido.

Cableado especfico instalado normalmente a propsito.
Capacidad de transmisin comprendida entre 1 Mbps y 1 Gbps.

29
Red VPN
Extensin mxima no superior a 3 km (Una FDDI puede llegar a 200 km)

Uso de un medio de comunicacin privado.
La simplicidad del medio de transmisin que utiliza (cable coaxial, cables
telefnicos y fibra ptica).
La facilidad con que se pueden efectuar cambios en el hardware y el
software.
Gran variedad y nmero de dispositivos conectados.
Posibilidad de conexin con otras redes.
Esquema de una red de rea local.
Figura 1.1-1 Componentes de una LAN.
Servidor: El servidor es aquel o aquellos ordenadores que van a

compartir sus recursos hardware y software con los dems equipos de la
red. Sus caractersticas son potencia de clculo, importancia de la
informacin que almacena y conexin con recursos que se desean
compartir.

30
Red VPN
Estacin de trabajo: Los ordenadores que toman el papel de estaciones

de trabajo aprovechan o tienen a su disposicin los recursos que ofrece la
red as como los servicios que proporcionan los Servidores a los cuales
pueden acceder.
Gateways o pasarelas: Es un hardware y software que permite las

comunicaciones entre la red local y grandes ordenadores (mainframes). El
gateway adapta los protocolos de comunicacin del mainframe (X25, SNA,
etc.) a los de la red, y viceversa.
Bridges o puentes: Es un hardware y software que permite que se

conecten dos redes locales entre s. Un puente interno es el que se instala
en un servidor de la red, y un puente externo es el que se hace sobre una
estacin de trabajo de la misma red. Los puentes tambin pueden ser
locales o remotos. Los puentes locales son los que conectan a redes de un
mismo edificio, usando tanto conexiones internas como externas. Los
puentes remotos conectan redes distintas entre s, llevando a cabo la
conexin a travs de redes pblicas, como la red telefnica, RDSI o red de
conmutacin de paquetes.
Tarjeta de red: Tambin se denominan NIC (Network Interface Card).

Bsicamente realiza la funcin de intermediario entre el ordenador y la red
de comunicacin. En ella se encuentran grabados los protocolos de
comunicacin de la red.
La comunicacin con el ordenador se realiza normalmente a travs de

las ranuras de expansin que ste dispone, ya sea ISA o PCMCIA. Aunque
algunos equipos disponen de este adaptador integrado directamente en la
placa base.
El medio: Constituido por el cableado y los conectores que enlazan los

componentes de la red. Los medios fsicos ms utilizados son el cable de

31
Red VPN
par trenzado, par de cable, cable coaxial y la fibra ptica (cada vez en ms
uso esta ltima).
Concentradores de cableado: Una LAN en bus usa solamente tarjetas de

red en las estaciones y cableado coaxial para interconectarlas, adems de
los conectores, sin embargo este mtodo complica el mantenimiento de la
red ya que si falla alguna conexin toda la red deja de funcionar. Para
impedir estos problemas las redes de rea local usan concentradores de
cableado para realizar las conexiones de las estaciones, en vez de distribuir
las conexiones el concentrador las centraliza en un nico dispositivo
manteniendo indicadores luminosos de su estado e impidiendo que una de
ellas pueda hacer fallar toda la red.
Existen dos tipos de concentradores de cableado:

1. Concentradores pasivos: Actan como un simple concentrador
cuya funcin principal consiste en interconectar toda la red.
2. Concentradores activos: Adems de su funcin bsica de
concentrador tambin amplifican y regeneran las seales
recibidas antes de ser enviadas.
Los concentradores de cableado tienen dos tipos de conexiones:

Para las estaciones y para unirse a otros concentradores y as aumentar
el tamao de la red. Los concentradores de cableado se clasifican
dependiendo de la manera en que internamente realizan las conexiones y

distribuyen los mensajes. A esta caracterstica se le llama topologa lgica.
Existen dos tipos principales:

1. Concentradores con topologa lgica en bus (HUB): Estos
dispositivos hacen que la red se comporte como un bus enviando
las seales que les llegan por todas las salidas conectadas.
2. Concentradores con topologa lgica en anillo (MAU): Se
comportan como si la red fuera un anillo enviando la seal que les
llega por un puerto al siguiente.

32
Red VPN
WAN (Wide Area Network): Son redes que cubren un espacio muy
amplio, conectando a computadoras de una ciudad o un pas completo. Para
ello se utilizan las lneas de telfono y otros medios de transmisin ms
sofisticados, como pueden ser las microondas. La velocidad de transmisin
suele ser inferior que en las redes locales.
MAN (Metropolitan Area Network): Este tercer tipo de red se observa

en las zonas metropolitanas conocidas como redes de rea metropolitana, que
se utilizan para enlazar servicios urbanos como el control del trfico y
semforos en una ciudad o servicios bancarios de un estado o provincia, etc.
Los tipos de redes segn su forma (conectividad fsica) son: jerrquica o

en rbol, horizontal o en bus, en estrella, en anillo y en malla.
Topologa jerrquica o en rbol. La topologa proporciona un punto de

concentracin de las tareas de control y resolucin de errores. El equipo en
el nivel ms elevado de la jerarqua es el que controla la red.
Una de las ventajas que presenta este tipo de red es su facilidad de

control, pero se ve en desventaja al presentar ciertos problemas en cuanto a
la aparicin de nodos que se ven saturados por trfico de datos.
Topologa horizontal o en Bus. Esta estructura es frecuente en las redes

d e rea local. Presenta facilidad para controlar el flujo de trfico , pues
permite que todas las estaciones reciban todas las transmisiones, es decir,
una computadora puede enviar la informacin a todas las dems.
La principal limitacin radica en que si el canal de comunicaciones falla,

toda la red deja de funcionar.
Topologa en estrella. Todo el trfico proviene del ncleo de la estrella,

33
Red VPN
nodo central. Al igual que en la estructura jerrquica, una red en estrella

puede sufrir saturaciones y problemas en el caso de falla en el nodo central.
Topologa en anillo. Este tipo de red presenta facilidad para controlar el

flujo de trfico, ya que los equipos se encuentran conectados
secuencialmente hasta llegar al ltimo, que se conecta al primero para as
cerrar la red.
Topologa en malla. Esta presenta una relativa inmunidad a los

problemas de embotellamiento y averas. Es posible orientar el trfico por
trayectorias diferentes en caso de que algn nodo est averiado u ocupado.
A pesar de que el empleo de esta topologa es complejo, se prefiere por

la fiabilidad que representa frente a otras alternativas.
Figura 1.1-2 Topologas de red.
Topologias lgicas.

34
Red VPN
La topologa lgica de una red es la forma en que los hosts se

comunican a travs del medio. Los dos tipos ms comunes de topologas
lgicas son broadcast y transmisin de tokens.
La topologa broadcast simplemente significa que cada host enva sus

datos hacia todos los dems hosts del medio de red. No existe una orden que
las estaciones deban seguir para utilizar la red. Es por orden de llegada, es
como funciona Ethernet.
La topologa transmisin de tokens. La transmisin de tokens controla
el acceso a la red mediante la transmisin de un token electrnico a cada host
de forma secuencial. Cuando un host recibe el token, ese host puede enviar
datos a travs de la red.
Si el host no tiene ningn dato para enviar, transmite el token al

siguiente host y el proceso se vuelve a repetir. Dos ejemplos de redes que
utilizan la transmisin de tokens son Token Ring y la Interfaz de datos
distribuida por fibra (FDDI). Arcnet es una variacin de Token Ring y FDDI.
Arcnet es la transmisin de tokens en una topologa de bus
TENOLOGS DE REDES.
Red Token Ring

AppleTalk
ATM
Bluetooth
DECnet
Ethernet, Fast Ethernet, Gigabit Ethernet
FDDI
Frame Relay

35
Red VPN
HIPPI
PPP
HDLC
FidoNet
Para nuestro estudio veremos : Ethernet, Fast Ethernet, Gigabit
Ethernet
Ethernet es el nombre de una tecnologa de redes de computadoras de

rea local (LANs) basada en tramas de datos. El nombre viene del concepto
fsico de ether. Ethernet define las caractersticas de cableado y sealizacin
de nivel fsico y los formatos de trama del nivel de enlace de datos del modelo
OSI. Ethernet se refiere a las redes de rea local y dispositivos bajo el estndar
IEEE 802.3 que define el protocolo CSMA/CD, aunque actualmente se llama
Ethernet a todas las redes cableadas que usen el formato de trama descrito
ms abajo, aunque no tenga CSMA/CD como mtodo de acceso al medio.
Aunque se trat originalmente de un diseo propietario de Digital

Equipment Corporation (DEC), Intel y Xerox (DIX Ethernet), esta tecnologa fue
estandarizada por la especificacin IEEE 802.3, que define la forma en que los
puestos de la red envan y reciben datos sobre un medio fsico compartido que
se comporta como un bus lgico, independientemente de su configuracin
fsica.
Originalmente fue diseada para enviar datos a 10 Mbps, aunque

posteriormente ha sido perfeccionada para trabajar a 100 Mbps, 1 Gbps o 10
Gbps y se habla de versiones futuras de 40 Gbps y 100 Gbps.
En sus versiones de hasta 1 Gbps utiliza el protocolo de acceso al medio

CSMA/CD (Carrier Sense Multiple Access / Collision Detect - Acceso mltiple

36
Red VPN
con deteccin de portadora y deteccin de colisiones). Actualmente Ethernet es

el estndar ms utilizado en redes locales/LANs.
Ethernet fue creado por Robert Metcalfe y otros en Xerox Parc, centro de
investigacin de Xerox para interconectar computadoras Alto. El diseo original
funcionaba a 1 Mbps sobre cable coaxial grueso con conexiones vampiro (que
"muerden" el cable) en 10Base5.
Para la norma de 10 Mbps se aadieron las conexiones en coaxial fino

(10Base2, tambin de 50 ohmios, pero ms flexible), con tramos conectados
entre s mediante conectores BNC; par trenzado categora 3 (10BaseT) con
conectores RJ45, mediante el empleo de hubs y con una configuracin fsica
en estrella; e incluso una conexin de fibra ptica (10BaseF).
Los estndares sucesivos (100 Mbps o Fast Ethernet, Gigabit Ethernet, y

10 Gigabit Ethernet) abandonaron los coaxiales dejando nicamente los cables
de par trenzado sin apantallar (UTP - Unshielded Twisted Pair), de categoras 5
y superiores y la fibra ptica.
Ethernet es la capa fsica ms popular de la tecnologa LAN usada

actualmente. Otros tipos de LAN incluyen Token Ring 802.5, Fast Ethernet,
FDDI, ATM y LocalTalk. Ethernet es popular porque permite un buen equilibrio
entre velocidad, costo y facilidad de instalacin.
Estos puntos fuertes, combinados con la amplia aceptacin en el

mercado y la habilidad de soportar virtualmente todos los protocolos de red
populares, hacen a Ethernet la tecnologa ideal para la red de la mayora de
usuarios de la informtica actual.
El estndar original IEEE 802.3 estuvo basado en la especificacin

Ethernet 1.0 y era muy similar. El documento preliminar fue aprobado en 1983 y
fue publicado oficialmente en 1985 (ANSI/IEEE Std. 802.3-1985).

37
Red VPN
Desde entonces un gran nmero de suplementos han sido publicados

para tomar ventaja de los avances tecnolgicos y poder utilizar distintos medios
de transmisin, as como velocidades de transferencia ms altas y controles de
acceso a la red adicionales.
Trama de Ethernet
Prembulo SOF Destino Origen Tipo Datos FCS
7 bytes 1 byte 6 bytes 6bytes 2 bytes 1500 bytes 4 bytes
Figura 1.1-3 Formato de la trama de Ethernet
Prembulo
El prembulo es una secuencia de bits que
se utiliza para sincronizar y estabilizar al
medio fsico antes de comenzar la
transmisin de datos. El patrn del
prembulo es:
10101010 10101010 10101010 10101010 10101010 10101010 10101010
Estos bits se transmiten en orden de
izquieda a derecha y en la codificacin
Manchester representan una forma de onda
peridica.
SOF Delimitador del inicio de la trama (Start-of-frame delimiter)
Consiste de un byte y es un patrn de unos y
ceros alternados que finaliza en dos unos

38
Red VPN
consecutivos (10101011), indicando que el

siguiente bit ser el ms significativo del
campo de direccin de destino.
Aun cuando se detecte una colisin durante
la emisin del prembulo o del SOF se
deben continuar enviando todos los bits de
ambos hasta el fin del SOF.
Direccin de destino
El campo de direccin destino es un campo
de 48 bits (6 Bytes) que especifica la
direccin MAC de tipo EUI-48 hacia la que se
enva la trama, pudiendo ser esta la direccin
de una estacin, de un grupo multicast o la
direccin de broadcast. Cada estacin
examina este campo para determinar si debe
aceptar el paquete.
Direccin de origen
El campo de la direccin de origen es un
campo de 48 bits (6 bytes) que especifica la
direccin MAC de tipo EUI-48 desde donde
se enva la trama. La estacin que deba
aceptar el paquete, conoce a travs de este
campo, la direccin de la estacin origen con
la cual intercambiar datos.
Tipo
El campo de tipo es un campo de 16 bits (2
bytes) que identifica el protocolo de red de
alto nivel asociado con el paquete o en su
defecto la longitud del campo de datos. Es
interpretado en la capa de enlace de datos.
Datos
El campo de datos contiene de 46 a 1500
Bytes. Cada Byte contiene una secuencia

39
Red VPN
arbitraria de valores. El campo de datos es la

informacin recibida del nivel de red.
Hardware comnmente utilizado en una red Ethernet
Los elementos en una red Ethernet son los nodos de red y el medio de
interconexin. Dichos nodos de red se pueden clasificar en dos grandes
grupos: Equipo Terminal de Datos (DTE) y Equipo de Comunicacin de Datos
(DCE). Los DTE son los dispositivos que generan o son el destino de los datos,
tales como las computadoras personales, las estaciones de trabajo, los
servidores de archivos, los servidores de impresin, todos son parte del grupo
de estaciones finales.
Mientras que los DCE son los dispositivos de red intermediarios que
reciben y retransmiten las tramas dentro de la red, y pueden ser ruteadores,
conmutadores (switch), concentradores (hub), repetidores, o interfaces de
comunicacin, como un mdem o una tarjeta de interfase por ejemplo.
NIC, o Tarjeta de Interfaz de Red - permite el acceso de una

computadora a una red local. Cada adaptador posee una direccin MAC
que la identifica en la red y es nica. Una computadora conectada a una
red se denomina nodo.
Repetidor o repeater - aumenta el alcance de una conexin fsica,
recibiendo las seales y retransmitindolas, para evitar su degradacin a
lo largo del medio de transmisin, logrndose un alcance mayor.
Usualmente se usa para unir dos reas locales de igual tecnologa y slo
tiene dos puertos. Opera en la capa fsica del modelo OSI.
Concentrador o hub - funciona como un repetidor, pero permite la
interconexin de mltiples nodos, su funcionamiento es relativamente
simple, ya que recibe una trama de ethernet y la repite por todos sus
puertos, sin llevar a cabo ningn proceso sobre las mismas. Opera en la
capa fsica del modelo OSI.

40
Red VPN
Puente o bridge - interconectan segmentos de red, haciendo el cambio

de frames (tramas) entre las redes de acuerdo con una tabla de
direcciones que dice en qu segmento est ubicada una direccin MAC.
Figura 1.1-4 Conexiones en un switch Ethernet
Conmutador o Switch - funciona como el bridge, pero permite la

interconexin de mltiples segmentos de red, funciona en velocidades ms
rpidas y es ms sofisticado. Los switches pueden tener otras funcionalidades,
como redes virtuales y permiten su configuracin a travs de la propia red. Su
funcionamiento bsico es en las capas fsica y de enlace de datos del modelo
OSI, por lo cual son capaces de procesar informacin de las tramas; siendo su
funcionalidad ms importante las tablas de direccin.
Por ejemplo, una computadora conectada al puerto 1 del conmutador

enva una trama a otra computadora conectada al puerto 2, el switch recibe la
trama y la transmite a todos sus puertos, excepto aquel por donde la recibi, la
computadora 2 recibir el mensaje y eventualmente lo responder, generando
trfico en el sentido contrario, por lo cual ahora el switch conocer las
direcciones MAC de las computadoras en el puerto 1 y 2, y cuando reciba otra
trama con direccin de destino a alguna de ellas, slo transmitir la trama a

41
Red VPN
dicho puerto, lo cual disminuye el trfico de la red y contribuye al buen

funcionamiento de la misma.
Fast Ethernet o Ethernet de alta velocidad es el nombre de una serie de

estndares de IEEE de redes Ethernet de 100 Mbps. En su momento el prefijo
fast se le agreg para diferenciarlas de la Ethernet regular de 10 Mbps. Fast
Ethernet no es hoy por hoy la ms rpida de las versiones de Ethernet, siendo
actualmente Gigabit Ethernet y 10 Gigabit Ethernet las ms veloces.
En su momento dos estndares de IEEE compitieron por el mercado de las

redes de rea local de 100 Mbps. El primero fue el IEEE 802.3 100BaseT,
denominado comercialmente Fast Ethernet, que utiliza el mtodo de acceso
CSMA/CD con algn grado de modificacin, cuyos estndares se anunciaron
para finales de 1994 o comienzos de 1995. El segundo fue el IEEE 802.12
100BaseVG, adaptado de 100VG-AnyLAN de HP, que utiliza un mtodo de
prioridad de demandas en lugar del CSMA/CD. Por ejemplo, a la voz y vdeo de
tiempo real podran drseles mayor prioridad que a otros datos. Esta ltima
tecnologa no se impuso, quedndose Fast Ethernet con casi la totalidad del
mercado.
Gigabit Ethernet, GigE fue pensado para conseguir una gran capacidad de
transmisin sin tener que cambiar (al menos no demasiado) la infraestructura
de las redes actuales.
La idea de obtener velocidades de gigabit sobre Ethernet se gest durante

1995, una vez aprobado y ratificado el estndar Fast Ethernet, y prosigui
hasta su aprobacin en junio de 1998 por el IEEE como el estndar 802.3z
referente a la Gigabit Ethernet sobre fibra ptica.
Uno de los retrasos con el estndar fue la resolucin de un problema al

emitir con lser sobre fibra multimodo, ya que en casos extremos se poda

42
Red VPN
producir una divisin del haz, con la consiguiente destruccin de datos. Esto
era debido a que la fibra multimodo fue diseada pensando en emisores LED,
no lser y fue resuelto prohibiendo que en este estndar los lser dirigieran su
haz hacia el centro de la fibra.
GigE, es una ampliacin del estndar Ethernet (concretamente la versin

802.3ab y 802.3z del IEEE) que consigue una capacidad de transmisin de 1
gigabit por segundo, correspondientes a unos 1000 Megabits por segundo de
rendimiento contra unos 100 de Fast Ethernet.
Funciona sobre cables de cobre (par trenzado) del tipo UTP y categora 5, y
por supuesto sobre fibra ptica. Se decidi que esta ampliacin sera idntica al
Ethernet normal desde la capa de enlace de datos hasta los niveles superiores,
mientras que para el resto del estndar sera tomado del ANSI X3T11 Fiber
Channel, lo que otorga al sistema compatibilidad hacia atrs con Ethernet y el
aprovechamiento de las posibilidades de la fibra ptica.
1.2.- PROTOCOLOS DE COMUNICACAIN.
Un componente esencial para que toda red pueda transmitir informacin

son los protocolos de comunicacin. Estos son descripciones formales de
formatos de mensaje y de reglas que dos computadoras deben seguir para
intercambiar dichos mensajes. Dicho de otra forma, son un conjunto de
directrices que regulan las comunicaciones entre computadoras.
Existen protocolos para diversas tareas: transferencia de archivos (en

cualquier sentido), verificacin de errores, control de flujo, etc.
Como se puede observar Internet son redes interconectadas, formadas

por diferentes tipos de computadoras y diferentes tecnologas, pero
comunicadas por un mismo procedimiento: el protocolo TCP/IP.
El TCP/IP no form parte del inicio de la Red, su origen se debe a que

43
Red VPN
Internet comenz a incrementar su popularidad y durante la dcada de los 70s

tuvo un crecimiento promedio de un nuevo host cada 20 das.
Cuatro aos despus el crecimiento de los hosts haba llegado a 62, en

este momento se decidi iniciar con el desarrollo de un nuevo protocolo, el
Transmisin Control Protocol / Internetworking Protocol (TCP/IP) el cual
reemplazara al protocolo de interconexin Network Control Protocol (NCP) que
se empez a usar al ao de inicio de la Red, pero fue hasta el ao de 1983 que
el TCP/IP sustituy por completo al NCP.
Actualmente Internet utiliza los protocolos TCP/IP, los cuales fueron

desarrollados por Robert Kahn y Vinton G. Cerf. Cabe aclarar que existen
redes conectadas a Internet que no utilizan los protocolos TCP/IP, y lo
consiguen mediante los gateways que operan como traductores entre los
diferentes protocolos.
El uso del protocolo TCP/IP fue lo que marc el cambio de una red de
uso limitado a lo que ahora conocemos como Internet, gracias a que este
protocolo permiti conectar un nmero ilimitado de computadoras a la red,
independientemente del fabricante y del sistema operativo usado.
TCP son las iniciales de Transmisin Control Protocol (Protocolo de

Control de Transmisin). La funcin de este protocolo es la de tomar la
informacin que se quiere enviar y dividirla en pequeos paquetes de 1 a 1500
caracteres y enumerarlos, de forma que cuando la otra computadora reciba la
informacin los ordene correctamente. Esto quiere decir, que cuando se enva
un archivo a travs de la red no se transmite completo, son varias partes las
que viajan, posiblemente en rutas distintas, pero con un mismo destinatario.

44
Red VPN
Este protocolo proporciona un flujo fiable de bytes en los dos sentidos de

la conexin y garantiza que los bytes que salen del nodo origen sean
entregados al nodo destino de forma completa, en su mismo orden y sin
duplicacin.
IP son las iniciales de Internet Protocol (Protocolo Internet). El Protocolo

IP fija las normas para que los paquetes alcancen su destino. Las diferentes
partes de Internet estn conectadas con computadoras llamadas enrutadores
como se muestra en la figura 1.1 -2, y estos son los encargados de
interconectar las redes.
Nota : Gateways (Puerta de acceso). Los gateways son una compuerta de

intercomunicacin que operan en las tres capas superiores del modelo OSI
(sesin, presentacin y aplicacin). Ofrecen el mejor mtodo para conectar
segmentos de red y redes a servidores. Se selecciona un gateway cuando se
tienen que interconectar sistemas que se construyeron totalmente con base en
diferentes arquitecturas de comunicacin.

45
Red VPN
Figura 1.2-1 Enrutamiento en Internet
El Protocolo Internet (IP) se hace cargo de establecer direcciones y se

asegura que los enrutadores sepan qu hacer con la informacin que les llega.
Una parte de la informacin de la direccin va al principio del mensaje; estos
datos dan a la red informacin para hacer llegar los paquetes. Cada
computadora, incluyendo enrutadores, necesita tener asignada una direccin
IP.
Internamente, una computadora almacena una direccin IP en cuatro
unidades binarias llamadas octetos (bytes). Traducido para el entender humano
se escribe como cuatro nmeros decimales separados por medio de puntos.
Por ejemplo una direccin de una computadora en Internet podra ser:
148.204.205.55.
La asignacin de direcciones IP se establece con el mismo prefijo para

una determinada red, la asignacin de direcciones se escoge para que sea
ms eficiente el enrutado de paquetes IP.
Existe tambin el protocolo de datagramas (paquetes) de usuario (UDP,

User Datagram Protocol) el cual puede ser la alternativa al TCP en algunos
casos en los que no sean necesarias todas las caractersticas de TCP. Puesto
que UDP numera los datagramas o paquetes, este protocolo se utiliza
principalmente cuando el orden en que se reciben los mismos no es un factor
fundamental, o tambin cuando se quiere enviar informacin de poco tamao
que cabe en un nico paquete.
Una caracterstica en las comunicaciones entre computadoras es la de
estructurar sus procesos en capas, lo que nos muestra que en Internet no slo
se utilizan los protocolos TCP/IP, pero si son los ms importantes.
7 Aplicacin ej. HTTP, DNS, SMTP, SNMP, FTP, Telnet, SSH y

46
Red VPN
SCP, NFS, RTSP, Feed, Webcal
6 Presentacin ej. XDR, ASN.1, SMB, AFP
5 Sesin ej. TLS, SSH, ISO 8327 / CCITT X.225, RPC, NetBIOS
4 Transporte ej. TCP, UDP, RTP, SCTP, SPX
ej. IP, ICMP, IGMP, X.25, CLNP, ARP, RARP, BGP,

3 Red
OSPF, RIP, IGRP, EIGRP, IPX, DDP
ej. Ethernet, Token Ring, PPP, HDLC, Frame Relay,

2 Enlace de datos
RDSI, ATM, IEEE 802.11, FDDI
1 Fsico ej. cable, radio, fibra ptica
Figura 1.2-2 El siguiente diagrama muestra la pila TCP/IP y otros protocolos

relacionados con el modelo OSI original.
El modelo OSI (Open System Interconection) es utilizado por

prcticamente la totalidad de las redes en el mundo. Este modelo fue creado
por la ISO (Organizacin Internacional de Normalizacin), y consiste en siete
niveles o capas donde cada una de ellas define las funciones que deben
proporcionar los protocolos con el propsito de intercambiar informacin entre
varios sistemas. Cada nivel depende de los que estn por debajo de l, y a su
vez proporciona alguna funcionalidad a los niveles superiores. Los siete
niveles del modelo OSI tienen las siguientes funciones:
El nivel de aplicacin es el destino final de los

7 Aplicacin datos donde se proporcionan los servicios al
usuario.
Se convierten e interpretan los datos que se
6 Presentacin utilizarn en el nivel de aplicacin.
Encargado de ciertos aspectos de la
5 Sesin comunicacin como el control de los tiempos.

47
Red VPN
Transporta la informacin de una manera fiable

4 Transporte para que llegue correctamente a su destino.
Nivel encargado de encaminar los datos hacia su
3 Red destino eligiendo la ruta ms efectiva.
Controla el flujo de los datos, la sincronizacin y los
2 Enlace errores que puedan producirse.
Se encarga de los aspectos fsicos de la conexin,
1 Fsico tales como el medio de transmisin o el hardware.
Figura 1.2-3 Modelo OSI11
Para recordar ms fcilmente la direccin de una computadora del tipo:

148.204.205.55 se cre el Sistema de Nombres de Dominios (DNS, Domain
Name System) el cual es una forma alternativa de identificar a una mquina
conectada a Internet.
El Centro de Informacin de la Red, NIC es el encargado en determinar

los estndares para la asignacin de los nombres de dominio. El nombre por
dominio de una computadora se representa de forma jerrquica con varios
nombres separados por puntos.
Generalmente el nombre situado a la izquierda identifica al host, el

siguiente es el subdominio al que pertenece este host, y a la derecha estar el
dominio de mayor nivel que contiene a los otros subdominios.
Ejemplo:
http://universidad.dependencia.edu.mx
Donde:
universidad: es el nombre de la computadora o nodo dependencia: es el
subdominio (localidad)

48
Red VPN
edu: es el dominio de ms alto nivel que indica el tipo de sitio

mx: es el dominio de ms alto nivel que indica el pas
Todos estos nombres de dominios se almacenan en los servidores de

nombres de dominio (DNS servers) los cuales son sistemas que contienen
bases de datos con el nombre y la direccin de otras computadoras en la red
de una forma encadenada o jerrquica.
Cuando se solicita determinada URL (Uniform Resource Locator,

Localizador Uniforme de Recursos), la computadora local entra en contacto con
el servidor de nombres que tiene asignado, esperando obtener la direccin
(148.204.204.55) de la computadora que corresponde al nombre
(www.dominio.com) solicitado.
El servidor de nombres local puede conocer la direccin que se est

solicitando, y la regresa a la computadora que solicit la informacin. Si el
servidor de nombres local no conoce la direccin, sta se solicitar al servidor
de nombres que est en el dominio ms apropiado. Si ste tampoco tiene la
direccin, llamar al siguiente servidor DNS, y as sucesivamente. Si el nombre
por dominio no se ha podido obtener, se enviar de regreso el correspondiente
mensaje de error.
1.3 SERVICIOS Y APLICACIONES DE INTERNET.
A continuacin se describen los principales servicios y aplicaciones que

han hecho de Internet un factor determinante en las telecomunicaciones y
relaciones entre los seres humanos en el mundo. Cabe mencionar que varios
ya estn en desuso o se han transformado por completo, pero es importante
mencionarlos y conocer la funcin que realizaron en su tiempo, pues marcaron
el camino y futuro de la Red.

49
Red VPN
ARCHIE.
Casi desde los inicios de Internet se cont con el servicio de
transferencia de archivos (FTP), conforme estos se incrementaban en la red se
hizo cada vez ms difcil localizar un archivo especfico. As fue necesario
disear un mtodo para la recuperacin de informacin sobre los archivos, por
lo que en la Universidad de McGill en Montreal, Canad, se desarroll el
programa Archie.
Este programa genera un ndice de todos los archivos disponibles va

FTP annimo y lo ofrece de manera gratuita bajo un acceso Telnet.
Esta informacin incluye: nombre de la computadora, directorio, nombre

del archivo, tamao y fecha de ltima actualizacin y con estos datos se puede
recuperar fcilmente dicho archivo.
CORREO ELECTRONICO.
Es una de las aplicaciones ms utilizadas en la red, que permite mandar

y recibir cartas a y desde cualquier parte del mundo de forma mucho ms
rpida que el correo tradicional. No se limita a escribir slo a una persona,
puede escribrsele a un servidor de archivos o a un grupo de gente.
El correo electrnico se basa en los nombres o direcciones de los nodos
y en la cuenta de usuario en un sistema. La manera de formar direcciones de
e-mail es con el uso del formato "usuario@servidor".
GOPHER.
Gopher es un servicio de rastreo de informacin en Internet. El usuario

interacta con el software cliente gopher en su computadora local, el cual se
conecta con servidores gopher segn se necesite. Este servicio tambin naci
en respuesta a los problemas que existan en Internet a la hora de encontrar
informacin o recursos. Funciona presentando en la pantalla un men de
opciones cuyos ttulos dan una idea clara de lo que contiene. Su nombre se

50
Red VPN
toma de la mascota de la Universidad de Minnesota, que es una ardilla.

Gopher esta soportado por la Universidad de Minnesota y usa una interfa z de
usuario
controlada por mens. Ha sido sustituido por el http (HiperTex Transfer
Protocol) y los exploradores que pueden leer informacin en Gopher.
IRC.
IRC Chats o Internet Relay Chat (Charla), permite que el usuario se
conecte a un programa para mantener una conversacin por medio de
intercambio instantneo de mensajes en grupo, entre las modalidades existen
habitaciones para charla, o canales de conferencia electrnicas, en los que se
conversa sobre un tema en particular, cuando un mensaje es escrito en una
seccin aparecen simultneamente en las pantallas de los usuarios
interlocutores.
LISTAS DE INTERES.
Es un servicio para que personas con gustos, aficiones e intereses

comunes puedan agruparse bajo un nombre genrico y realizar intercambio de
ideas e informacin a travs del correo electrnico, las listas estn formadas
por un conjunto de direcciones electrnicas y los usuarios que deseen
pertenecer a una lista nicamente tienen que entrar a ella con el comando
subscribe.
Protocolo de Transferencia de Archivos (FTP).
El Protocolo de Transferencia de Archivos, mejor conocido como FTP

por sus siglas en ingls, tiene la funcin de facilitar el intercambio de archivos a
travs de Internet por medio de la instalacin de servidores pblicos o priva dos
que contienen en forma ordenada y jerarquizada los archivos, y que con base
en los privilegios del usuario, le permiten descargarlos hacia su computadora.
Es uno de los primeros servicios que se implementaron junto con TELNET y el
correo electrnico

51
Red VPN
Por este medio se pueden obtener archivos y programas de casi cualquier

tema, slo hay que saber dnde encontrarlos.
TELNET.
Es el protocolo de sesin remota de trabajo. Esto quiere decir que se

puede estar frente al teclado de una computadora y establecer una sesin
remota en red. Cuando se conecta es como si el teclado estuviese conectado a
la computadora remota. De esta forma, se pueden ejecutar programas y
disponer de los recursos en dicha computadora. Para poder hacerlo, la
computadora a la que queremos conectarnos debe de soportar accesos,
permitiendo la entrada mediante login y password, y soportar varios accesos
simultneos.
Esta aplicacin consta de dos partes de software que colaboran entre s:

el cliente, que corre en la computadora que solicita el servicio, y el servidor, que
corre en la computadora que provee el servicio. Ayuda a resolver el problema
de distribuir un programa especial para el cliente a los usuarios que vayan a
utilizar la aplicacin. Tambin proporciona a los usuarios una interfaz
con la cual estn familiarizados.
USENET News.
Este servicio se rige bsicamente por el protocolo Network News

Transfer Protocol (NNTP). Le permite leer (y colocar) mensajes que han sido
enviados a los grupos de inters pblicos. Es una coleccin de mensajes
agrupados bajo un nombre que lo distingue haciendo referencia al tema que se
trata en l. Se asemeja a un club de correspondencia, donde las personas leen
los mensajes y pueden contactar va correo electrnico a los autores de los
artculos publicados en el grupo de noticias, e inclusive, registrar dicha
respuesta en el mismo grupo.

52
Red VPN
VERONICA (Very Easy Rodent Oriented Network-wide Index to

Computerized Archives).
ndice muy fcil, orientado a roedores con extensin a toda la red y a

archivos computarizados).
A diferencia de Archie, Vernica no es un servidor. Se accede a ella a travs de
los propios Gopher. Vernica es un programa complementario de Gopher. Su
funcin es realizar bsquedas en la mayora de los servidores. Vernica busca
mens Gopher en computadoras a travs de Internet, de manera anloga a
como Archie busca archivos disponibles por medio de FTP. Este tipo de
servicio ya no es usado.
WAIS (Wide Area Information Service, Servicio de Informacin de rea

Amplia).
Es un motor de bsqueda para el WWW desarrollado por Thinking

Machines, Inc. As como el software puede recuperar un documento en una
sola computadora, WAIS puede localizar conjuntos de documentos que
contengan un trmino o frase. WAIS examina el contenido del documento.
WAIS difiere de otros sistemas de recuperacin de documentos en que es
accesible va Internet y divide los documentos en grupos para ayudar a eliminar
informacin irrelevante.
Whois (Quin es).
Servicio de Internet que busca informacin sobre un usuario en una base

de datos. Originalmente, la informacin sobre los usuarios de Internet se
almacenaba en una base de datos central. Conforme creca Internet se opt
por poner varios servidores whois, de acuerdo a la organizacin.

53
Red VPN
WWW (World Wide Web).
Este servicio no estaba incluido en Internet inicialmente, pero es el que

ms ha contribuido a la difusin de la Red, hasta el punto de que hablar de
Internet sea, para muchos, prcticamente equivalente a hablar de WWW, como
tambin se le conoce. World Wide Web es un conjunto de miles y miles de
documentos multimedia situados en computadoras de todo el mundo, a los
cuales es posible acceder utilizando un programa denominado navegador.
Estos documentos se caracterizan por estar escritos en un lenguaje
especialmente desarrollado para ello, HyperText Markup Language (HTML), y
por contener enlaces hipertexto que permiten conectar con otros documentos.
En el Web, la idea de hipertexto va ms all. La unidad bsica de

informacin es la pgina Web; cada pgina puede contener texto y enlaces,
pero tambin elementos multimedia como imgenes, sonido y hasta vdeo, que
a su vez pueden ser enlaces.
1.4 Qu significa Internet?
Y si en realidad nosotros somos consecuencia de nuestro entorno,

entonces Internet es una consecuencia de nosotros mismos.
Internet por si sola no es nada. Observando fra y tcnicamente a la red,
podemos decir que es una simple y ftil conexin de miles de computadoras.
Pero qu es lo que hace trascendente a Internet? Lo que la hace realmente
valiosa son las personas que se encuentran detrs de cada computadora
manipulando su accionar. Cuando uno est detrs de una terminal conectada a
la red, se tienen posibilidades que con otros medios de comunicacin antes
usados no se tenan. Se tiene la facultad de decidir qu conocimientos,
experiencias, sentimientos, e incluso imgenes personales compartir con los
dems.
A lo largo de la historia, el hombre ha inventado artefactos que le han

54
Red VPN
ayudado a elevar su calidad de vida y por supuesto a facilitarse las tareas y

sobre todo fortalecer sus habilidades o inclusive incrementarlas.
Jorge Luis Borges, afirm: "...de los diversos instrumentos del hombre, el
ms asombroso es, sin duda, el libro. Los dems son extensiones de su
cuerpo. El microscopio, el telescopio, son extensiones de su vista; el telfono
es extensin de la voz; luego tenemos el arado y la espada, extensiones de su
brazo. Pero el libro es otra cosa: el libro es una extensin de la memoria y de la
imaginacin".
Lo valioso de Internet es que conjuga en un solo medio, diversos
beneficios que se observan en distintos instrumentos inventados por el hombre,
e incluso proporciona nuevas formas de extensiones del cuerpo.
Internet es slo un medio (Diligencia conveniente para conseguir una cos a).
Internet es un artefacto, una obra mecnica. Tenemos que entender a la red
como el medio que nos permite hacer, no como el medio que hace. No es
posible afirmar que Internet cause conflictos interpersonales. Esto es una
aberracin, los conflictos interpersonales los causan las personas.
Los pecados que se le imputan a Internet entre otros son: separa y asla
a la gente, distribuye informacin poco fiable, expande odio, crea inseguridad
en el trabajo y amenaza a la seguridad nacional, favorece la piratera, el
sabotaje y la invasin de la vida privada, permite el fraude, transporta
pornografa y margina a los ms pobres.
Sin duda, pueden suceder algunas de las cuestiones aqu mencionadas,
pero no son cosas ideadas por Internet, son las personas las que deciden que
hacer y en que forma. En Internet el que busca encuentra. Cuando uno intenta
recuperar informacin por medio de la red, lo que busca es lo que a uno le
interesa, puede ser sobre deportes, cultura, ciencia, arte, tecnologa, ocio, etc.,
y eso es lo que va encontrar.
La red Internet, puede ser un espejo muy cercano a la realidad. El

historial del explorador de nuestra computadora, puede decir mucho de
nosotros, pues ste muestra el tipo y la temtica de los sitios que hemos

55
Red VPN
visitado, la cantidad de veces, y el tiempo que hemos permanecido en ellos,

entre otras cosas.
Revisando estos archivos sabremos cuales son los intereses de cierta

persona, que es lo que hace, cuales son sus gustos, etc. De la misma forma,
cuando participamos activamente en la red aportando informacin, subiendo
archivos, creando servicios, etc.; es fcil darnos cuenta que papel estamos
tomando ante los dems y que queremos decir u obtener. Cuando se le
achacan problemas a Internet por contener y difundir pornografa, violencia,
drogas, prostitucin, etc., no es Internet quien proporciona todo eso, es la
sociedad.
Internet al igual que otros medios representa y muestra lo que sucede en

nuestras sociedades, es un reflejo de la sociedad. La gran complejidad de
Internet sucede cuando no slo muestra la cultura, ciencia y vicios de una
sociedad, sino la de diferentes pases y estas son accesibles para todas las
dems.
La televisin es un medio restringido, solo permite mostrar lo que

deciden cierto grupo de personas, determina qu pueden ver los dems pases
de una sociedad y en que forma, manipula la informacin. En Internet podemos
expresar y mostrar lo que en cualquier momento deseemos, y ponerlo a
disposicin de cuantos quieran verlo. Se tiene la posibilidad de comunicarse
con millones de personas de todo el mundo potencialmente dispuestas a
compartir sus experiencias, conocimientos e informacin.
Internet significa olvidarse de discriminaciones elitistas de raza o

posicin social, pues lo mismo pueden estar conectados investigadores
acadmicos, burcratas, hombres de negocios, amas de casa, estudiantes, el
presidente de la repblica, funcionarios de organizaciones internacionales,
etc., al mismo tiempo en un mismo canal de comunicacin intercambiando

56
Red VPN
opiniones o consultan do el mismo peridico. Se puede hablar de que en

Internet hay democracia.
A diferencia de una biblioteca, no es un sistema centralizado. Esto

quiere decir que la responsabilidad de coleccionar, organizar, difundir y facilitar
informacin en la red depende de cada usuario que tenga la disponibilidad de
hacerlo. De la misma manera, la responsabilidad del uso de esa informacin
ser exclusiva de sus consultantes.
Nadie es dueo total de Internet, pues cada medio de transmisin tiene

su propietario, sta es la gran ventaja de Internet, que slo se encarga de
comunicar a los equipos mediante su backbone (backbone se le llama as a la
infraestructura y conjunto de cables conectados que soportan la red), esta es
una de las razones que ha permitido que crezca de manera exorbitante.
Internet tambin presupone comunicacin mundial a muy bajo costo,

poder investigar para elaborar una tesis, una oportunidad comercial, cientos de
bibliotecas abiertas las 24 hrs. del da. Es la tecnologa comn del futuro; la
tecnologa a la que se estar acostumbrado como hoy se est del telfono.
Los usuarios de Internet pueden intercambiar correo electrnico,

participar en foros de discusin electrnicos (grupos de noticias), enviar
archivos desde cualquier computadora a otras, etc.
CONCLUSIONES
Democratizar la informacin en la medida en que un nmero cada vez

mayor puede tener acceso a datos que antes era poco menos que imposible:
libros, catlogos, ensayos, artculos, ediciones en lnea de peridicos y revistas
de todo el mundo.
Romper los crculos dogmticos nacionales, en la medida en que se

57
Red VPN
tiene la posibilidad de comparar otras realidades para entender y mejorar la

propia.
Intercambio de bienes y servicios sobre las ms distintas cuestiones e
intereses.
Retroalimentar ideas, posturas y comunicaciones temticas a travs de
discusin, cuyo resultado es a todas luces, de beneficio colectivo.
Fortalecer el derecho a la informacin del pblico en la medida en que

cada vez ms administraciones pblicas en el mundo entero colocan en la red
informacin de inters para la sociedad.
Internet se ha convertido en el catalizador del desarrollo cientfico, cultural y
por supuesto, econmico.
CAPTULO II.
INTRODUCCION A LAS REDES PRIVADAS VIRTUALES (VPN)
2.- OBJETIVOS
Red Privada Virtual (Virtual Private Network) o VPN, este tipo de

conexin nos permite de una forma sencilla, segura, eficiente y confiable

58
Red VPN
aprovechar las conexiones pblicas existentes (con el objeto de reducir costos

o aprovechar capacidades limitadas de comunicacin) y/o asegurar y filtrar
conexiones pblicas/privadas.
2.1.- INTRODUCCION
Que es una VPN?
VPN (Virtual Private Network) Es una red privada que se extiende,

mediante un proceso de encapsulacin y en su caso de encriptacin, que
utiliza como medio de enlace una red pblica como por ejemplo, Internet.
Tambin es posible utilizar otras infraestructuras WAN tales como Frame Relay,
ATM, etc.
Este mtodo permite enlazar dos o ms redes simulando una nica red
privada permitiendo as la comunicacin entre computadoras como si fuera
punto a punto. Tambin un usuario remoto se puede conectar individualmente a
una LAN utilizando una conexin VPN, y esta manera utilizar aplicaciones,
enviar datos, etc., de manera segura.
Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling)

para la transmisin de datos mediante un proceso de encapsulacin y en su
defecto de encriptacin, esto es importante a la hora de diferenciar Redes
Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas
telefnicas dedicadas para formar la red. (Ver fig.2.0)

59
Red VPN
fig. 2.0. Diagrama lgico de una VPN
Una de las principales ventajas de una VPN es la seguridad, los

paquetes viajan a travs de una infraestructuras publicas (Internet) en forma
encriptada y a travs del tnel de manera que sea prcticamente ilegible para
quien intercepte estos paquetes.
Una red privada virtual (VPN) es la extensin de una red privada que
incluye vnculos de redes compartidas o pblicas como Internet.
Para emular un vnculo punto a punto, los datos se encapsulan o

empaquetan con un encabezado que proporciona la informacin de
enrutamiento que permite a los datos recorrer la red compartida o pblica hasta
alcanzar su destino.
Para emular un vnculo privado, los datos se cifran para asegurar la

confidencialidad. Los paquetes interceptados en la red compartida o pblica no
se pueden descifrar si no se dispone de las claves de cifrado. El vnculo en el
que se encapsulan y cifran los datos privados es una conexin de red privada
virtual (VPN).
2.2 - CATEGORIAS DE VPN

60
Red VPN
Las VPN pueden dividirse en tres categoras, a saber:
- VPN de Acceso Remoto.
Conecta usuarios mviles trfico a las redes corporativas. Proporcionan

acceso desde una red pblica, con las mismas polticas de la red privada. Los
accesos pueden ser tanto sobre lneas analgicas, digitales, RDSI o DSL
- VPN de Intranet.
Permite conectar localidades fijas a la red corporativa usando

conexiones dedicadas.
- VPN de Extranet
Proporciona acceso limitado a los recursos de la corporacin a sus

aliados comerciales externos como proveedores y clientes, facilitando el
acceso a la informacin de uso comn par todos a travs de una estructura de
comunicacin pblica.
2.3- VENTAJAS DE UNA VPN
Adicionalmente, podemos decir que las VPNs ofrecen muchas ventajas

sobre las redes tradicionales basadas en lneas arrendadas. Algunos de sus
principales beneficios son los siguientes:
- Reduccin de costos
El costo total de conectividad se reduce debido a la eliminacin de
servicios como lneas arrendadas, equipo de acceso dial-up, tiempo de staff de
TI para configurar y mantener equipos, contratos de mantenimiento de equipos,

61
Red VPN
equipos PBX (en el que el cliente es propietario), servidor de autenticacin dial-

up, sistemas UPS para equipos dial-up, nmeros 800, enlaces ATM y
conexiones ISDN.
Es de hacer notar, que el costo de un enlace dedicado alquilado se

incrementa con la distancia, como se ilustra en la fig.1.1. Sin embargo, Internet
puede usarse para suministrar larga distancia de la conexin y reducir
substancialmente el costo de los enlaces WAN
fig. 2.1 comparacin entre lnea dedicada y VPN
As mismo, la figura 1.2 ilustra el viejo mtodo de implementar el acceso

remoto para teletrabajadores y usuarios mviles, el cual consiste en
configurar un RAS (Remote Access Server) y un banco de mdem para recibir
llamadas.
Bajo este esquema, se necesitaran varias lneas telefnicas de entrada

para cada mdem, adems de pagar los costos de todas las lneas si los
usuarios remotos llaman desde sitios distantes. Sin embargo, la figura 1.3
muestra un esquema de VPN en el que los servicios de acceso remoto se
trasladan a un ISP y slo se tiene una lnea para acceder al ISP y los usuarios
remotos usan Internet para acceder a la red corporativa.

62
Red VPN
fig.2.2 Una conexin RAS convencional
fig. 2.3 Una conexin por Internet
- Seguridad
Bajo el esquema de VPN la conexin a travs de Internet es cifrada. El

servidor de acceso remoto exige el uso de protocolos de autentificacin y

63
Red VPN
cifrado. Los datos confidenciales quedan ocultos a los usuarios de Internet,

pero los usuarios autorizados pueden tener acceso a ellos a travs de la VPNs.
- Diseo de red simplificado
Un diseo de red con tecnologa VPN se simplifica en trminos de

diseo de arquitectura, flexibilidad y mantenimiento, debido a que se reduce los
costos asociados a la gestin de red.
- Compatibilidad
Como se aceptan la mayor parte de los protocolos de red ms comunes

incluidos TCP/IP, IPX las VPNs pueden ejecutar de forma remota cualquier
aplicacin que dependa de estos protocolos de red especficos.
- Administracin centralizada
Algunos proveedores soportan la caracterstica de administracin

centralizada de sus productos VPN. Esto representa una fuerte caractersticas
de seguridad y un buen mecanismo para la resolucin de problemas.
- Prioridad de trfico
Algunos proveedores ofrecen la funcionalidad de priorizar trfico en sus

productos VPN. Esto agrega gran flexibilidad a la corporacin en cuanto a la
utilizacin de los enlaces de Internet, debido a que se puede decidir en qu
orden se preserva el ancho de banda segn el tipo de trfico permitiendo y de
acuerdo a su importancia.
2.4- TIPOS DE VPN

64
Red VPN
Las formas en que pueden implementar las VPNs pueden ser basadas
en HARDWARE o a travs de SOFTWARE, pero lo ms importante es el
protocolo que se utilice para la implementacin.
Las VPNs basadas en HARDWARE utilizan bsicamente equipos dedicados

como por ejemplo los routers, son seguros y fciles de usar, ofreciendo gran
rendimiento ya que todos los procesos estn dedicados al funcionamiento de la
red a diferencia de un sistema operativo el cual utiliza muchos recursos del
procesador para brindar otros servicios, en sntesis, los equipos dedicados son
de fcil implementacin y buen rendimiento, solo que las desventajas que
tienen son su alto costo y que poseen sistemas operativos propios y a veces
tambin protocolos que son PROPIETARIOS.
Existen diferentes tecnologas para armar VPNs:
-DLSW: Data Link Switching(SNA over IP)

-IPX for Novell Netware over IP
-GRE: Generic Routing Encapsulation
-ATMP: Ascend Tunnel Management Protocol
-IPSEC: Internet Protocol Security Tunnel Mode
-PPTP: Point to Point Tunneling Protocol
-L2TP: Layer To Tunneling Protocol
Entre los ms usados y con mejor rendimiento estaran IPSEC Y PPTP,

aunque a este ltimo se le conocen fallas de seguridad.
2.5- DIAGRAMAS
Hay varias posibilidades de conexiones VPN, esto ser definido segn

los requerimientos de la organizacin, por eso es aconsejable hacer un buen

65
Red VPN
relevamiento a fin de obtener datos como por ejemplo si lo que se desea

enlazar son dos o mas redes, o si solo se conectaran usuarios remotos.
Las posibilidades son:
DE CLIENTE A SERVIDOR (Client to Server)
Un usuario remoto que solo necesita servicios o aplicaciones que corren

en el mismo servidor VPN. (Ver fig.2. 4)
fig.2. 4 cliente - servidor
DE CLIENTE A RED INTERNA (Client to LAN)
Un usuario remoto que utilizara servicios o aplicaciones que se

encuentran en uno o ms equipos dentro de la red interna. (Ver fig.2. 5)

66
Red VPN
fig.2. 5 cliente a red interna
DE RED INTERNA A RED INTERNA (LAN to LAN)

Esta forma supone la posibilidad de unir dos intranets a travs de dos
enrutadores, el servidor VPN en una de las intranets y el cliente VPN en la otra.
Aqu entran en juego el mantenimiento de tablas de ruteo y enmascaramiento.
(Ver fig.2. 6)
Fig21. 6 Red interna a red interna
2.6- REQUERIMIENTOS PARA EL ARMADO DE UNA VPN
Para el correcto armado de una VPN, es necesario cumplir con una

serie de elementos y conceptos que a continuacin se detallan:

67
Red VPN
>Tener una conexin a Internet: ya sea por conexin IP dedicada, ADSL o

dial-up.
>Servidor VPN: bsicamente es una PC conectada a Internet esperando por
conexiones de usuarios VPN y si estos cumplen con el proceso de
autenticacin, el servidor aceptara la conexin y dar acceso a los recursos de
la red interna.
>Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN,
tal como se especifica en la seccin (Diagramas).
>Asegurarse que la VPN sea capaz de:
- Encapsular los datos
- Autentificar usuarios.
- Encriptar los datos.
- Asignar direcciones IP de manera esttica y/o dinmica.
2.7- DE QUE ESTA COMPUESTA UNA VPN
Las VPN usurpan constantemente el papel de las WAN en el mundo de

las redes empresariales. Toda o parte de una VPN puedes ser una intranet, una
extranet o un vehculo de acceso remoto para teletrabajadores o trabajadores
mviles. Cada vez ms VPN son propiedad y las manejan los proveedores de
servicio a Internet, quienes alquilan el ancho de banda de las VPN a empresas.
La subcontratada de VPN est convirtindose en una prctica estndar para
todas, excepto las grandes empresas, por que es menos caro y la empresa
puede permitir que el PSI administre la infraestructura de la VPN.
Los componentes que forman una VPN son:
TUNELIZACIN
Conexiones punto a punto sobre una red IP sin conexin, en esencia,

un conjunto de saltos de enrutador predeterminados tomados a travs de
Internet para garantizar el rendimiento y la entrega.

68
Red VPN
ENTUNELAMIENTO (tunneling en ingls)
En interconexin entre computadores significa la transmisin de un

protocolo de datos encapsulado dentro de otro, mediante el uso de un
protocolo de entunelamiento o de encapsulamiento
CIFRADO
La codificacin del contenido de los paquetes (pero no la cabecera)

para hacerlos ilegibles a todos, excepto a aqullos con una clave para
descodificarlos (las claves solo las mantienen emisores y receptores VPN
autorizados)
. ENCAPSULACIN
Colocar una trama no IP dentro de un paquete IP para que haga del

puente entre redes no similares (IP se desempaqueta en el otro extremo),
Permitiendo que se realice la tunelizacin a lo largo de los segmentos de red
VPN, que de otra forma seran incompatibles.
AUTENTIFICACIN DE PAQUETES
La posibilidad de asegurar la integridad de un paquete VPN mediante la

confirmacin de que su contenido (carga efectiva) no se modificar durante el
camino.
AUTENTIFICACIN DE USUARIO

69
Red VPN
Capacidades de Authentication, Authorization, and Accounting (AAA) de

usuario (Autenticacin, autorizacin y contabilidad) mejoradas mediante
servidores de seguridad como TACAS+, RADIUS o Kerberos.
CONTROL DE ACCESO
Corta fuegos, dispositivos de deteccin de intrusos y procedimientos de

auditoria de seguridad que se usan para monitorizar todo el trfico que cruza el
permetro de seguridad de la VPN.
CALIDAD DE SERVICIO (QoS)
La QoS de Cisco es un conjunto de estndares de administracin de

redes y funciones para asegurar la interoperabilidad de dispositivos y
plataformas software, y para equilibrar la plataforma con el fin de garantizar el
rendimiento y la fiabilidad de la red punto a punto.
2.8- TIPOS DE CONEXIONES VPN
Crear una conexin de red privada virtual (VPN) es muy similar a

establecer una conexin punto a punto mediante conexiones de acceso
telefnico y enrutamiento de marcado a peticin.
Hay dos tipos de conexiones VPN:
1) Conexin VPN de acceso remoto

2) conexin VPN de enrutador a enrutador
CONEXIN VPN DE ACCESO REMOTO
Un cliente de acceso remoto (el equipo de un usuario) realiza una

conexin VPN de acceso remoto que conecta a una red privada. El servidor

70
Red VPN
VPN proporciona acceso a toda la red a la que est conectado. Los paquetes
enviados desde el cliente remoto a travs de la conexin VPN se originan en el
equipo cliente de acceso remoto.
El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor

de acceso remoto (el servidor VPN) y, para realizar la autenticacin mutua, el
servidor se autentica ante el cliente.
CONEXIN VPN DE ENRUTADOR A ENRUTADOR
Un enrutador realiza una conexin VPN de enrutador a enrutador que

conecta dos partes de una red privada. El servidor VPN proporciona una
conexin enrutada a la red a la que est conectado el servidor VPN. En una
conexin VPN de enrutador a enrutador, los paquetes enviados desde uno de
los enrutadores a travs de la conexin VPN normalmente no se originan en los
enrutadores.
El enrutador de llamada (el cliente VPN) se autentica ante el enrutador

de respuesta (el servidor VPN) y, para realizar la autenticacin mutua, el
enrutador de respuesta se autentica ante el enrutador de llamada.
Los equipos que ejecutan Microsoft Windows NT4.0 con el Servicio de

enrutamiento y acceso remoto (RRAS), Windows 2000 Server o un sistema
operativo Windows Server 2003 pueden crear conexiones VPN de enrutador a
enrutador. Los clientes VPN tambin pueden ser un enrutador que admita el
Protocolo de tnel punto a punto (PPTP) o un enrutador que admita el
Protocolo de tnel de capa 2 (L2TP) con seguridad de Protocolo Internet
(IPSec) que no sean de Microsoft.

71
Red VPN
fig.2. 7 como viajan los datos a travs de una VPN
En la figura anterior (figura 2.7) se muestra como viajan los datos a

travs de una VPN ya que el servidor dedicado es del cual parten los datos,
llegando a firewall que hace la funcin de una pared para engaar a los
intrusos a la red, despus los datos llegan a nube de Internet donde se genera
un tnel dedicado nicamente para nuestros datos para que estos con una
velocidad garantizada, con un ancho de banda tambin garantizado y lleguen a
su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar mis oficinas corporativas con los socios, con
usuarios mviles, con oficinas remotas mediante los protocolos como Internet,
IP, Ipsec, Frame Relay, ATM como lo muestra la figura 2.8.

72
Red VPN
fig. 2.8 Enlace de VPN con oficinas
TECNOLOGIA DE TNEL
Las redes privadas virtuales crean un tnel o conducto de un sitio a otro

para transferir datos a esto se le conoce como encapsulacin adems los
paquetes van encriptados de forma que los datos son ilegibles para los
extraos. (Ver fig.2.9)
fig.2. 9 Creacin de tnel
El servidor busca mediante un ruteador la direccin IP del cliente VPN y

en la red de transito se envan los datos sin problemas.
2.9 .- REQUERIMIENTOS BSICOS DE UNA VPN
Por lo general cuando se desea implantar una VPN hay que asegurarse
que esta proporcione:
1) Identificacin de usuario
2) Administracin de direcciones
3) Codificacin de datos
4) Administracin de claves

73
Red VPN
5) Soporte a protocolos mltiples

6) Identificacin de usuario
Identificacin de usuarios
La VPN debe ser capaz de verificar la identidad de los usuarios y

restringir el acceso a la VPN a aquellos usuarios que no estn autorizados. As
mismo, debe proporcionar registros estadsticos que muestren quien acceso,
que informacin y cuando.
Administracin de direcciones
La VPN debe establecer una direccin del cliente en la red privada y

debe cerciorarse que las direcciones privadas se conserven as.
Codificacin de datos
Los datos que se van a transmitir a travs de la red pblica deben ser
previamente encriptados para que no puedan ser ledos por clientes no
autorizados de la red.
Administracin de claves
La VPN debe generar y renovar las claves de codificacin para el cliente

y el servidor.
Soporte a protocolos mltiples

74
Red VPN
La VPN debe ser capaz de manejar los protocolos comunes que se

utilizan en la red pblica. Estos incluyen el protocolo de Internet (IP), el
intercambio de paquete de Internet (IPX) entre otros.
HERRAMIENTAS DE UNA VPN
VPN Gateway
Software
Firewall
Router
VPN Gateway
Dispositivos con un software y hardware especial para proveer de capacidad a
la VPN
Software
Esta sobre una plataforma PC o Workstation, el software desempea todas las
funciones de la.
2.10 PROTEGIENDO LA RED VPN Y FIREWALL
La mayora de las organizaciones hoy da protegen sus instalaciones

mediante firewalls, estos dispositivos deben configurarse para que permitan
pasar el trfico VPN. En la fig. 3.0 se muestra la configuracin tpica, donde el
servidor VPN est colocado detrs del firewall, en la zona desmilitarizada
(DMZ) o en propia red interna.

75
Red VPN
fig. 3.0 firewall y servidores VPN en dispositivos separados.
Muchos firewalls incorporan un servidor VPN (ver fig.3.1). Las reglas del
firewall deben permitir el trfico PPTP, L2TP e IPSec en base a los puertos
utilizados.
Fig. 3.1 firewall y servidores VPN incorporados en un mismo dispositivo.
2.11- CONTROLES Y RIESGOS ASOCIADOS A LA TECNOLOGA VPN
Cuando se desea implantar una VPN se debe estar consciente de las

ventajas que va a aportar a la organizacin, sin embargo, es importante
considerar los riesgos que estas facilidades implican en caso de no adoptarse
las medidas necesarias al implantar una VP segura. Los estndares utilizados
para la implementacin de VPNs, garantizan la privacidad e integridad de los
datos y permiten la autentificacin de los extremos de la comunicacin, pero
esto nos es suficiente, el uso de las VPN puede ser catastrfico para el negocio

76
Red VPN
Las medidas para implantar una VPN segura incluyen el uso de

certificados digitales para la autentificacin de equipos VPN, token Cards o
tarjetas inteligentes para la autentificacin fuerte de usuarios remotos, y para
el control de acceso es importante contar con un firewall y sistemas de
autorizacin
Certificados digitales:
Con el uso de certificados digitales, se garantiza la autenticacin de los

elementos remotos que generan el tnel y elimina el problema de la distribucin
de claves. Implantar un sistema PKI (Infraestructura de Clave Pblica) para
emitir los certificados digitales, permite tener el control absoluto de la emisin,
renovacin y revocacin de los certificados digitales usados en la VPN. El uso
de PKI no se limita
Slo a las VPNs sino que puede utilizarse para aplicaciones como firmas
digitales, cifrado de correo electrnico, entre otras.
Autentificacin fuerte:
En la implantacin de una VPN se debe verificar que se estn realmente

autenticando los usuarios. Esto depender de dnde se almacene el certificado
digital y la clave privada. Si el certificado digital y la clave privada se
almacenan, protegidos por un PIN, en una tarjeta inteligente que el usuario
lleva consigo, se est autenticando al usuario. Desafortunadamente, aun no
existe un estndar definido que permita la implantacin a gran escala de
lectores de tarjetas en los PCs. Por lo que esta opcin en algunos casos no es
factible. Si, por el contrario, el certificado digital y la clave privada se almacenan

77
Red VPN
en el propio PC, no se est autenticando al usuario sino al PC. Para autenticar

al usuario, algunos fabricantes de sistemas VPN han aadido un segundo nivel
de autentificacin
El uso de contraseas es un nivel adicional de seguridad, pero no es el

ms adecuado, ya que carecen de los niveles de seguridad necesarios debido
a que son fcilmente reproducibles, pueden ser capturadas y realmente no
autentican a las personas.
El mtodo ms adecuado es autenticar a los usuarios remotos mediante un la
utilizacin de sistemas de autenticacin fuerte. Estos sistemas se basan en la
combinacin de dos factores: el token y el PIN. De esta forma se asegura que
slo los usuarios autorizados acceden a la VPN de la organizacin.
Firewall y Sistemas de Autorizacin.
El control de acceso se puede realizar utilizando Firewalls y sistemas de

autorizacin; de esta manera se aplican polticas de acceso a determinados
sistemas y aplicaciones de acuerdo al tipo de usuarios o grupos de usuarios
que los acceden.
2.12 - CONCLUSIONES
Las VPN representan una gran solucin para las empresas en cuanto a
seguridad, confidencialidad e integridad de los datos y prcticamente se ha
vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la transferencia de datos de un lugar a otro, el
nico inconveniente que pudieran tener las VPN es que primero se deben
establecer correctamente las polticas de seguridad y de acceso porque si esto
no esta bien definido pueden existir consecuencias serias.

78
Red VPN
3.0 Arquitectura de una VPN
CAPITULO III.
PROTOCOLOS DE ENRUTAMIENTO
3.- OBJETIVOS
Es establecer los protocolos de enrutamiento para una VPN. As como

tambin estos protocolos involucra cifrar los datos antes de enviarlos a travs
de la red pblica y descifrarlos instantes antes de entregarlos a su destino final.
Un nivel adicional de seguridad, supone cifrar no slo los datos sino tambin
las direcciones de red de origen y destino.
3.1.- INTRODUCCION

79
Red VPN
EL PROBLEMA DE LA SEGURIDAD
El aspecto importante en las VPN o cualquier tecnologa que

comprometa la naturaleza tpicamente restrictiva de una red privada es la
seguridad.
Los primeros detractores de las VPN fueron giles en demostrar la

vulnerabilidad de la tecnologa y muchos crticos sealaron a los protocolos
mismos, particularmente el PPTP como el responsable del problema de la
seguridad.
No obstante, las VPN probablemente permanecern y nuevas

soluciones de hardware y software as como algunas normas comerciales
confiables y veraces de la tecnologa de la informacin estn demostrando que
es posible manejar con xito la amenaza de la seguridad.
Un elemento comn a todas las VPN es el software firewall para brindar

proteccin adicional contra los intrusos. Los expertos en seguridad
ampliamente aconsejan implementar, aparte del servidor, un software firewall
como el Firewall Personal Norton de Symantec en todas las computadoras que
tengan acceso a las VPN, y una eficaz proteccin antivirus como Norton
AntiVirus.
La importancia del problema de la seguridad exclusivamente en relacin

a las VPN ha llevado a que muchas compaas implementen normas estrictas
en el uso de Internet y de las aplicaciones de software para los usuarios de las
VPN. Usualmente se le prohbe a los clientes de VPN el uso de programas
para compartir archivos como Napster o Gnutella y los servicios conocidos de
mensajera como ICQ incluso cuando la computadora es de propiedad personal

80
Red VPN
del empleado. Algunas compaas tambin requieren que las computadoras

personales utilizadas para tener acceso a las VPN tengan software firewall y
antivirus
3.2 - TIPOS DE RUTAS
RUTAS ESTTICAS
Las rutas estticas se definen administrativamente y establecen rutas

especficas que han de seguir los paquetes para pasar de un puerto de origen
hasta un puerto de destino
La gateway (puerta de enlace) de ltimo recurso, es la direccin a la que

el router debe enviar un paquete destinado a una red que no aparece en su
tabla de enrutamiento
RUTAS DINMICAS
Rutas aprendidas automticamente por el router, una vez que el

administrador ha configurado un protocolo de enrutamiento que permite el
aprendizaje de rutas con rutas estticas, el administrador a de volver a
configurar todos los routers para ajustarlos cuando se procede un cambio en la
red. El enrutamiento dinmico se apoyo en un protocolo que se encarga de
difundir y recopilar conocimientos.
Un protocolo de enrutamiento define el conjunto de reglas que ha de

usar el router para comunicarse con los routers vecinos (el protocolo de
enrutamiento determina las rutas y mantiene las tablas de enrutamiento)

81
Red VPN
Un protocolo de enrutamiento es un protocolo de capa de red que

intercepta los paquetes en trnsito para aprender y mantener la tabla de
enrutamiento.
En cambio los protocolos enrutados, como TCP/IP e IPX, definen el

formato y uso de los campos de un paquete con el fin de proporcionar un
mecanismo de transporte para l trfico entre usuarios.
En cuanto el protocolo de enrutamiento determina una ruta valida entre

routers, el routers puede poner en marcha un protocolo enrutado.
Los protocolos de enrutamiento describen las siguientes informaciones:
Como han de comunicarse las actualizaciones.

Que conocimiento ha de comunicarse.
Cuando se ha de comunicar el conocimiento.
Como localizar los destinatarios de las actualizaciones.
3.3 - CLASES DE PROTOCOLO DE ENRUTAMIENTO
- Protocolos de gateway interior (IGP)
Se usan para intercambiar informacin de enrutamiento dentro de un

sistema autnomo. (RIP, IGRP).
- Protocolos de gateway exterior (EGP)
Se usan para intercambiar informacin de enrutamiento entre sistemas

autnomos (BGP).
Un sistema autnomo es u conjunto de redes bajo un dominio

administrativo comn.

82
Red VPN
Los nmeros de sistemas autnomos en Europa los asigna (RIPE-NIC)
RIPE-NIC = Reseaux IP Europeennes-Network Informatin Center.
El uso de nmeros de sistema autnomos asignados por RIPE, solo es

necesario si el sistema utiliza algn BGP, o una red publica como Internet.
3.4- PROTOCOLOS DE TNEL
Usando una combinacin de encripcin, autentificacin, tnel y control

de acceso, una VPN proporciona a los usuarios un mtodo seguro de acceso a
los recursos de las redes corporativas. La implementacin de una VPN
involucra dos tecnologas: un protocolo de tnel y un mtodo de autentificacin
de los usuarios del tnel.
Cuatro diferentes protocolos de tnel son los ms usados para la

construccin de VPN sobre la Internet:
- Protocolo de tnel punto - punto (PPTP).

- Envo de capa 2 (L2F)
- Protocolo de tnel de capa 2 (L2TP)
- Protocolo de seguridad IP (IPSec)
La razn de la diversidad de protocolos es porque las empresas que

implementan VPNs tienen requerimientos diferentes. Por ejemplo: enlazar
oficinas remotas con el corporativo, o ingresar de manera remota al servidor de
la organizacin.
Los protocolos PPTP, L2F y L2TP se enfocan principalmente a las VPN

de acceso remoto, mientras que IPSec se enfoca mayormente en las
soluciones VPN de sitio sitio.

83
Red VPN
El protocolo PPTP ha sido ampliamente usado para la implementacin

de VPNs de acceso remoto. El protocolo ms comn que se usa para acceso
remoto es el protocolo de punto - punto (PPP); PPTP se basa en la
funcionalidad de PPP para proveer acceso remoto que puede estar dentro de
un tnel a travs de la Internet hacia su destino.
PPTP encapsula los paquetes PPP usando una versin modificada del
encapsulado genrico de ruteo (Generic Routing Encapsulation GRE), lo que
da al protocolo PPTP la flexibilidad de manejo de otros protocolos como:
intercambio de paquetes de Internet (IPX) y la interfaz grfica de sistema
bsico de entrada / salida de red NetBEUI. PPTP est diseado para correr en
la capa 2 del sistema OSI (Open System Interconnection) o en la capa de
enlace de datos.
Al soportar comunicaciones en la capa 2, se permite transmitir

protocolos distintos a los IP sobre los tneles. Una desventaja de este
protocolo es que no provee una fuerte encripcin para proteger la informacin y
tampoco soporta mtodos de autentificacin basados en tokens.
L2F fue diseado como protocolo de tnel de trfico desde usuarios

remotos hacia los corporativos. Una diferencia entre PPTP y L2F es que el
tnel creado por L2F no es dependiente en IP, y le permite trabajar
directamente con otro tipo de redes como frame relay o ATM. Al igual que
PPTP, L2F emplea PPP para la autentificacin del usuario remoto. L2F permite
tneles para soportar ms de una conexin.
L2TP es un protocolo de capa 2, y permite a los usuarios la misma

flexibilidad que PPTP para manejar protocolos diferentes a los IP, como IPX y
NetBEUI. L2TP es una combinacin de PPTP y L2F, y puede ser implementado
en diferentes topologas como Frame Relay y ATM. Para proveer mayor
seguridad con la encripcin, se pueden emplear los mtodos de encripcin de
IPSec.

84
Red VPN
La recomendacin es que para procesos de encripcin y manejo de

llaves criptogrficas en ambientes IP, el protocolo IPSec sea implementado de
manera conjunta.
IPSec naci con la finalidad de proveer seguridad a los paquetes IP que

son enviados a travs de una red pblica, trabaja principalmente en la capa 3.
IPSec permite al usuario autentificar y/o cifrar cada un de los paquetes IP. Al
separar las aplicaciones de autentificacin y encripcin de paquetes, se tienen
a dos formas deferentes de usar IPSec llamadas modos. En el modo de
transporte slo el segmento de la capa de transporte de un paquete IP es
autentificado y encriptado.
En el otro modo llamado de tnel, la autentificacin y encripcin se

aplica a todo el paquete. Mientras que el modo de transporte es til en muchas
situaciones, el modo de tnel provee mayor seguridad en contra de ataque y
monitoreo de trfico que pueda ocurrir sobre la Internet. A su vez este protocolo
se subdivide en dos tipos de transformaciones de datos: el encabezado de
autentificacin (AH) y la carga de seguridad encapsulada (ESP).
- SEGURIDAD DE UN TNEL PRIVADO
Los paquetes de datos de una VPN viajan por medio de un tnel

definido en la red pblica. El tnel es la conexin definida entre dos puntos en
modo similar a como lo hacen los circuitos en una topologa WAN basada en
paquetes. A diferencia de los protocolos orientados a paquetes, capaces de
enviar los daros a travs de una variedad de rutas antes de alcanzar el destino
final, un tnel representa un circuito virtual dedicado entre dos puntos.
Para crear el tnel es preciso que un protocolo especial encapsule cada

paquete origen en uno nuevo que incluya los campos de control necesarios
para crear, gestionar y deshacer el tnel, tal como se muestra en la fig. 3.0

85
Red VPN
Figura 3.1 Tnel de una VPN
Adicionalmente las VPNs emplean el tnel con propsitos de seguridad.

Los paquetes utilizan inicialmente funciones de cifrado, autentificacin o
integridad de datos, y despus se encapsulan en paquetes IP (Internet
Protocol).
Posteriormente los paquetes son descifrados en su destino.
TNESLES IP
En las redes que no utilizan ATM como protocolo de transporte, se

pueden realizar tneles IP. En este caso los datos viajan a travs de la red
como si hubiese un enlace virtual entre cada nodo origen y cada nodo destino.
Los tneles IP aportan pocas ventajas sobre los PVC ATM salvo la
independencia del medio. Los PVC slo valen para ATM, y los tneles al ser IP
estn por encima del nivel fsico y de enlace, siendo en teora independientes
de medio de transmisin.
EL TNEL MAS COMN ES GRE (NENERIC ROUTING ENCAPSULATION)

86
Red VPN
Una arquitectura tpica cuando se usan tneles es hacer pasar estos por
un Concentrador de Tneles. Este equipo suele ser un equipo de gran
potencia y bastante costoso. Adems el trfico tipo tnel no suele ser
observado por los routers, con lo que se pierde la informacin de la cabecera
IP como los bits de procedencia, impidiendo las polticas tradicionales de QoS.
3.5- PROTOCOLOS DE ENRUTAMIENTO USADOS PARA LA

CONSTRUCCIN DE UNA VPN
Entre los principales protocolos utilizados para el proceso de tunneling

se pueden mencionar.
PPTP (Point- to- Point Tunneling Protocol)
Este es uno de los protocolos ms populares y fue originalmente

diseado para permitir el transporte (de modo encapsulado) de protocolos
diferentes al TCP/IP a travs de Internet.
Fue desarrollado por el foro PPTP, el cual esta formado por las
siguientes empresas:
Ascend Communications, Microsoft Corporations,3 Com, E.C.I.

Telematics y U.S.Robotics(ahora 3 Com).
Bsicamente, PPTP lo que hace es encapsular los paquetes del

protocolo punto a punto PPP (Point to Point Protocol) que a su vez ya vienen
encriptados en un paso previo para poder enviarlos a travs de la red.

87
Red VPN
El proceso de encriptacin es gestionado por PPP y luego es recibido

por PPTP, este ltimo utiliza una conexin TCP llamada conexin de control
para crear el tnel y una versin modificada de la Encapsulacin de
Enrutamiento Genrico (GRE, Generis Routing encapsulation) para enviar los
datos en formato de datagramas IP, que serian paquetes PPP encapsulados,
desde el cliente hasta el servidor y viceversa.
El proceso de autenticacin de PPTP utiliza los mismos mtodos que

usa PPP al momento de establecer una conexin, como por ejemplo PAP
(Password Authenticaction Protocol) Protocolo de Autentificacin de Password.
MPPE trabaja con claves de encriptacin de 40 o 128 bits, la clave de 40

bits es la que cumple con todos los estndares, en cambio la de 128 bits esta
diseada para su uso en
Norte Amrica. Cliente y servidor deben emplear la misma codificacin, si un
servidor requiere de ms seguridad de la que soporta el cliente, entonces el
servidor rechaza la conexin.
PPTP es un protocolo de red que permite la realizacin de

transferencias desde clientes remotos a servidores localizados en redes
privadas. Para ello emplea tanto lneas telefnicas conmutadas como Internet.
PPTP es una extensin de PPP que soporta control de flujos y tnel
multiprotocolo sobre IP.
IPSEC (Internet Protocol Secure)
Protocolo de seguridad que opera sobre la capa de red que proporciona

un canal seguro para los datos. Ofrece integridad, autenticacin, control de
acceso y confidencialidad para el envo de paquetes IP por Internet.

88
Red VPN
Este protocolo de seguridad es creado para establecer comunicaciones

que proporcionen confidencialidad e integridad de los paquetes que se
transmiten a travs de Internet.
IPsec puede utilizar dos mtodos para brindar seguridad, ESP

(Encapsulating Security Payload) o AH (Authentication Header)
La diferencia entre ESP y AH es que el primero cifra los paquetes con

algoritmos de cifrado definidos y los autentica, en tanto AH solo los autentica.
AH firma digitalmente los paquetes asegurndose la identidad del emisor
y del receptor. IPsec tiene dos tipos de funcionamiento, uno es el modo
transporte en el cual la encriptacin se procede de extremo a extremo, por lo
que todas las maquinas de la red deben soportar IPsec, y el otro es el modo
tnel, en el cual la encriptacin se produce solo entre los routers de cada red.
Este protocolo esta siendo desarrollado por un grupo de trabajo de

seguridad del IETF (Internet Engeneering Task Fore).
El protocolo IPSec surgi a partir del desarrollo de Ipv6. Empez siendo

una extensin de la cabecera en Ipv6, pero debido a que cubra las
necesidades de un gran nmero de clientes, se decidi implantar en parte para
Ipv4.IPSec tiene como caracterstica ms importante la posibilidad de encriptar
los datos transmitidos. Esta cualidad es hoy en da el gran valor que tiene este
protocolo y es lo que est permitiendo su rpida difusin en el mundo
empresarial.
IPsec es un marco de estndares que permite que cualquier nuevo

algoritmo sea introducido sin necesitar de cambiar los estndares.
IPSec esta formado por un conjunto de protocolos de cifrado por (1)

securing packet flows y (2) key exchange. De la forma :
Encapsulating Security Payload (ESP),

89
Red VPN
El cual provee autenticacin, confidencialidad de datos e integridad del

mensaje.
Authentication Header (AH),
Que provee de autenticacin e integridad de datos, pero no de

confidencialidad.
Por sus caractersticas es el protocolo estndar para la construccin de

redes privadas virtuales.
Modos de funcionamiento
La diferencia entre los dos es la unidad que se est protegiendo.

Mientras que en modo transporte se protege la carga til del paquete IP, en el
modo tnel se protegen los paquetes IP completos. Adems, el modo
transporte es ms fiable que el modo tunel.
Transport Mode
En el modo transport, el cifrado se realiza extremo a extremo, del host

origen al host destino.
Tunnel Mode
La comunicacin segura se limita a los routers de aceso implicados. Es

el modo ms usual en una VPN. Se aplica proteccin a todo el paquete IP,
modificndolo.
Authentication Header (AH)
Se calcula una funcin resumen sobre el datagrama empleando una

clave secreta en dicho clculo. La informacin de autenticacin se calcula
utilizando todos los campos del datagrama que no van a cambiar durante el
trnsito. Ver diagrama 3.2

90
Red VPN
3.2.- Diagrama de un paquete AH
0 1 2 3
01234567 01234567 01234567 01234567
Next Header Payload Length RESERVED
Security Parameters Index (SPI)
Sequence Number
Authentication Data (variable)
Significado de los campos:
Next Header
Identifica el protocolo de los datos transferidos.
Payload Length
Tamao del paquete AH.
RESERVED
Reservado para usos futuros (Todo a cero hasta entonces).
Identifica los parmetros de seguridad en combinacin con la direccin
IP.

91
Red VPN
Sequence Number
Nmero de secuencia para evitar ataques 'replay'.
Authentication Data
Datos necesarios para autenticar el paquete.
Encapsulated Security Payload (ESP)
Cifra el paquete IP original (datagrama completo) y se introduce en el

campo de datos de un nuevo paquete IP que es el que viajar por la red. ver
diagrama 3.3
3.3.-Diagrama de un paquete ESP
0 1 2 3
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
Sequence Number
Payload * (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Field meanings:

92
Red VPN
Identifica los parmetros de seguridad en combinacin con la direccin

IP.
Sequence Number
Nmero de secuencia para evitar ataques 'replay'.
Payload Data
Los datos a transferir.
Padding
Usado por algunos algoritmos criptogrficos para rellenar por completo
los bloques.
Pad Length
Tamao del pad en bytes..
Next Header
Identifica el protocolo de los datos transferidos.
Authentication Data
Datos necesarios para autenticar el paquete.
La QoS (Quality of Service, Calidad de Servicio) garantiza que se

transmitir cierta cantidad de datos en un tiempo dado (throughput). Una de las
grandes ventajas de ATM (Asynchronous Transfer Mode Modo de
Transferencia Asncrona) respecto de tcnicas como el Frame Relay y Fast
Ethernet, es que soporta niveles de QoS.
Esto permite que los proveedores de servicios ATM garanticen a sus

clientes que el retardo de extremo a extremo no exceder un nivel especfico
de tiempo. Adems que en los servicios satelitales da una nueva perspectiva
en la utilizacin del ancho de banda, dando prioridades a las aplicaciones de
extremo a extremo con una serie de reglas.
Una red IP esta basada en paquetes de datos, estos paquetes de datos

tienen una cabecera que contiene informacin sobre el resto del paquete.
Existe una parte del paquete que se llama TOS, en realidad esta parte esta

93
Red VPN
pensada para llevar banderas o marcas. Lo que se puede hacer para darle
prioridad a un paquete sobre el resto es marcar una de esas banderas.
Para ellos el equipo que genera el paquete, por ejemplo un gateway de

voz IP, coloca una de esas banderas en un estado determinado y los
dispositivos por donde pasa ese paquete luego de ser transmitido deben tener
la capacidad para poder discriminar los marcados para darle prioridad sobre los
que no fueron marcados.
Sus desventajas son varias:
Es un protocolo complejo.
Su configuracin es complicada.
Requiere configuracin en el cliente.
Tiene una provisin lenta y complicada.
A pesar de estos inconvenientes IPSec est teniendo una gran difusin

en las redes actuales debido a la seguridad que proporciona tener los datos
encriptados
L2F (Layer 2 Forwarding)
El protocolo L2F tiene como objetivo proporcionar un mecanismo de tunneling

para el transporte de tramas a nivel de enlace: HDLC, PPP, SLIP, etc.
El proceso de tunneling involucra tres protocolos diferentes: el

protocolo pasajero representa el protocolo de nivel superior que debe
encapsularse; el protocolo encapsulador indica el protocolo que ser empleado
para la creacin, mantenimiento y destruccin del tnel de comunicacin (el

94
Red VPN
protocolo encapsulador es L2F); y el protocolo portador ser el encargado de

realizar el transporte de todo el conjunto.
L2TP ( Layer Tunneling Protocol Nivel 2 )
Encapsula caractersticas PPTP y L2F como un todo, resolviendo los

problemas de interoperatividad entre ambos protocolos. Permite el tnel del
nivel de enlace de PPP, de forma que los paquetes IP, IPX y AppleTalk
enviados de forma privada, puedan ser transportados por Internet. Para
seguridad de los datos se apoyan en IPSec.
L2TP es un protocolo para conectar redes privadas a travs de Internet

de una manera segura por medio de las VPN, combinando los protocolos PPTP
de Microsoft y el L2F de Cisco, proporcionando as un mejor acceso y mayor
seguridad.
Caracterstica Descripcin

95
Red VPN
En lugar de conectarse a la red

privada por medio de una
llamada de larga distancia, solo
Ahorro
se conectan al costo de una
llamada local con el proveedor
de Internet.
Es un protocolo de
Transparente al comunicacion, por eso es
usuario transparente en sus
aplicaciones.
Los tuneles del L2TP residen en
Multiprotocolo
la capa del PPP
Outsourcing de
Ahorra el costo en el servidores
servicios de
de acceso remoto.
acceso
Permite el punto de presencia
Soporte de
situarse lejos de los servidores
usuarios remotos
de una empresa.
-TERMINOS PRINCIPALES L2TP.
Los trminos principales de L2TP son los siguientes:
L2TP Access Concentrador (LAC): Se aade un dispositivo LAC a los

componentes fsicos de la red conmutada; como la red telefnica convencional
o RDSI, o se coloca con un sistema de terminacin PPP capaz de gestionar el
protocolo L2TP. Puede "tunelizar" cualquier protocolo que incluya el PPP

96
Red VPN
NL2TP Network Server (LNS): Un LNS opera sobre cualquier

plataforma con capacidad de terminacin PPP. LNS gestiona el lado del
servidor del protocolo L2TP.
Network Access Server (Servidor de acceso a la red): Este dispositivo
proporciona a los usuarios acceso temporal a la red bajo demanda. Este
acceso es punto a punto, de uso tpico en lneas de la red telefnica
convencional o RDSI.
- PROTOCOLO L2TP (Protocolo Tunneling Nivel 2)
L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo

de IETF como el heredero aparente de los protocolos PPTP y L2F, creado para
corregir las deficiencias de estos protocolos y establecerse como un estndar
aprobado por el IETF. L2TP utiliza PPP para proporcionar acceso telefnico
que puede ser dirigido a travs de un tnel por Internet hasta un punto
determinado. L2TP define su propio protocolo de establecimiento de tneles,
basado en L2F. El transporte de L2TP est definido para una gran variedad de
tipos de paquete, incluyendo X.25, Frame Relay y ATM.
Al utilizar PPP para el establecimiento telefnico de enlaces, L2TP

incluye los mecanismos de autenticacin de PPP, PAP y CHAP. De forma
similar a PPTP, soporta la utilizacin de estos protocolos de autenticacin,
como RADIUS.
A pesar de que L2TP ofrece un acceso econmico, con soporte

multiprotocolo y acceso a redes de rea local remotas, no presenta unas
caractersticas criptogrficas especialmente robustas. Por ejemplo:
Slo se realiza la operacin de autenticacin entre los puntos finales

del tnel, pero no para cada uno de los paquetes que viajan por l. Esto puede
dar lugar a suplantaciones de identidad en algn punto interior al tnel.

97
Red VPN
Sin comprobacin de la integridad de cada paquete, sera posible

realizar un ataque de denegacin del servicio por medio de mensajes falsos de
control que den por acabado el tnel L2TP o la conexin PPP subyacente.
L2TP no cifra en principio el trfico de datos de usuario, lo cual puede
dar problemas cuando sea importante mantener la confidencialidad de los
datos.
A causa de estos inconvenientes, el grupo del IETF que trabaja en el

desarrollo de PPP consider la forma de solventarlos. Ante la opcin de crear
un nuevo conjunto de protocolos para L2TP del mismo estilo de los que se
estn realizando para IPSec, y dado la duplicacin del trabajo respecto al
propio grupo de desarrollo de IPSec que supondra, se tom la decisin de
utilizar los propios protocolos IPSec para proteger los datos que viajan por un
tnel L2TP.
L2TP es en realidad una variacin de un protocolo de encapsulamiento

IP. Un tnel L2TP se crea encapsulando una trama L2TP en un paquete UDP,
el cual es encapsulado a su vez en un paquete IP, cuyas direcciones de origen
y destino definen los extremos del tnel. Siendo el protocolo de
encapsulamiento ms externo IP, los protocolos IPSec pueden ser utilizados
sobre este paquete, protegiendo as la informacin que se transporta por el
tnel.
3.6.- PROTOCOLO BGP
El BGP o Border Gateway Protocol es un protocolo mediante el cual se

intercambian prefijos los ISP registrados en Internet. Actualmente la totalidad
de los ISP intercambian sus tablas de rutas a travs del protocolo BGP. Este
protocolo requiere un router que tenga configurado cada uno de los vecinos
que intercambiarn informacin de las rutas que cada uno conozca. Se trata

98
Red VPN
del protocolo ms utilizado para redes con intencin de configurar un EGP

(external gateway protocol)
La forma de configurar y delimitar la informacin que contiene e

intercambia el protocolo BGP es creando lo que se conoce como Sistema
Autnomo. Cada sistema autnomo (AS) tendr conexiones o, mejor dicho,
sesiones internas (iBGP) y adems sesiones externas (eBGP).
3.7.- ORIGENES DE MPLS
Para poder crear los circuitos virtuales como en ATM, se pens en la

utilizacin de etiquetas aadidas a los paquetes. Estas etiquetas definen el
circuito virtual por toda la red.
Estos circuitos virtuales estn asociados con una QoS determinada,

segn el SLA. Inicialmente se plantearon dos mtodos diferentes de
etiquetamiento, o en capa 3 o en capa 2.
La opcin de capa 2 es ms interesante, porque es independiente de la

capa de red o capa 3 y adems permite una conmutacin ms rpida, dado
que la cabecera de capa 2 esta antes de la capa 3.
PROTOCOLO MPLS (Multi-Protocol Label Switching)
Este protocolo tambin est siendo estandarizado por el IETF, dentro del
grupo de trabajo subIP. Al ser un grupo de trabajo diferente al que desarrolla
IPSec, ambas formas de implementar VPN se estn desarrollando de forma
simultnea.
MPLS es un protocolo que se encapsula por encima de los protocolos de

nivel de enlace, pero por debajo de IP. Bsicamente lo que se consigue es
decrementar el tiempo de resolucin del next- hop para los paquetes IP.

99
Red VPN
El protocolo de sealizacin usado para MPLS es RSVP. Este protocolo

es un estndar en Internet para la reserva de recursos. Con RSVP se pueden
reservar anchos de banda mnimos, se permite la gestin del trfico segn su
origen y segn su tipo. Actualmente representa la forma ms completa y
sencilla de implementacin de tcnicas de ingeniera de trfico.
Las Redes Privadas Virtuales implementadas con MPLS slo se aplican

al backbone del proveedor. Esto significa que el cliente slo tiene que solicitarla
y el proveedor se encarga de aprovisionarla y de hacerla activa sin afectar al
cliente.
Las VPNs implementadas sobre una red MPLS, contar con una latencia
baja. RSVP tambin permite tcnicas de proteccin de los caminos MPLS, con
lo que a pesar de la cada de algn enlace del backbone del proveedor, no se
apreciar la prdida de conectividad en ningn instante (siempre y cuando
exista un camino fsico alternativo).
Este protocolo basa las VPN en la creacin de una tabla de rutas

distintas para cada VPN. Esto permite el solapamiento de direcciones y por
tanto la reutilizacin del espacio de direcciones. Para los clientes esto aade
una ventaja ms ya que puede crear una VPN sin necesidad de cambiar el
direccionamiento de sus equipos.
La creacin de una tabla de rutas por VPN separa el trfico de diferentes

VPN de forma lgica. En la Figura 2 se puede ver una arquitectura de una VPN
sobre MPLS. Es una red privada IP que combina la flexibilidad de las
comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de
los servicios Prvate Line, Frame Relay, ATM.

100
Red VPN
Ofrece niveles de rendimiento diferenciados y priorizacin del trfico, as

como aplicaciones de voz y multimedia. Y todo ello en una nica red. Contamos
con distintas soluciones, una completamente gestionada que incluye el
suministro y la gestin de los equipos en sus instalaciones (CPE). O bien, que
sea usted quien los gestione. Ver figura 3.5 de la nube de MPLS
Figura 3.5 Nube de MPLS
- LAS PRINCIPALES APLICAIONES DE MPLS SON:
Funciones de ingeniera de trfico (a los flujos de cada usuario se les

asocia una etiqueta diferente).
Servicios de VPN
Servicios que requieren QoS
MPLS se basa en el etiquetado de los paquetes en base a criterios de

prioridad y/o calidad (QoS). La idea de MPLS es realizar la conmutacin de los
paquetes o data gramas en funcin de las etiquetas aadidas en capa 2 y
etiquetar dichos paquetes segn la clasificacin establecida por la QoS en la
SLA. Por tanto MPLS es una tecnologa que permite ofrecer QoS,
independientemente de la red sobre la que se implemente. El etiquetado en
capa 2 permite ofrecer servicio multiprotocolo y ser portable sobre multitud de

101
Red VPN
tecnologas de capa de enlace: ATM, Frame Relay, lneas dedicadas, LANs.

Ver fig. 3.6.
Figura 3.6 Diagrama de cabeceras de MPLS
3.8 - CONCLUSIONES
Actualmente las tecnologas preferidas para suministrar VPN son IPSec

y MPLS, ya que adems son las estandarizadas por el IETF. Las operadoras
estn en un proceso de migracin de redes ATM a redes IP puras con MPLS.
Esta migracin se aconseja por la rentabilidad econmica que aporta MPLS y
por las herramientas que proporciona para la realizacin de ingeniera de
trfico, QoS y el despliegue rpido y sencillo de VPNs.
MPLS est adquiriendo protagonismo en los backbones e IPSec en los

clientes. La tendencia a medio plazo ser utilizar IPSec para encriptacin de
datos y MPLS para la provisin de servicios como VPN y la optimizacin de
trficos dentro de la red del proveedor.

102
Red VPN
CAPITULO IV
4.0 - CONFIGURACIN Y ENRUTAMIENTO DE UN SERVICIO DE VPN
INTRODUCCIN
Para que se pueda ofrecer un servicio de VPN, se necesita contar con una
infraestructura que sea capaz de soportar los protocolos de enrutamiento, la
aplicacin de calidades y por supuesto que cuente con el hardware para la
interconexin con el proveedor del servicio de VPN.
4.1.- REQUERIMIENTOS PARA LA ACTIVACIN DEL SERVICIO VPN
Referencia.- Esta referencia es nica y nos sirve para poder identificar

el ancho de banda del servicio que el cliente esta solicitando como
tambin nos proporciona la fecha de activacin y el nmero consecutivo
de los enlaces activados.
Enlace.- El enlace es la interconexin entre el equipo del cliente y el

equipo del proveedor de servicios de Internet.

103
Red VPN
Direccionamiento IP.- Es necesario especificarlo ya que a travs de

este es como se va a definir la ruta que deber de seguir la informacin
de entrada y de salida.
QoS.- Se deber tener presente las prioridades de las aplicaciones del

cliente para que sean configuradas.
Documentacin.- Se requiere llevar una base de datos en donde se

almacenen los datos de los clientes como: Nombre del cliente, IP
asignada, Puerto de interconexin, la referencia del enlace, entre otros
datos.
4.2.- VRF
Una VRF es un depsito de informacin de enrutamiento que define la calidad

de un cliente de VPN unido con el proveedor de servicios (el PE).
Una VRF abarca una tabla de enrutamiento de IP, una tabla derivada de la
expedicin expresa del Cisco (CEF), un sistema de las interfaces que utilizan la
tabla de la expedicin, y un sistema de las reglas y de los parmetros del
protocolo de la enrutamiento que controlan la informacin que se incluye en la
tabla de enrutamiento. Un sistema separado de enrutamiento y de tablas de
CEF se mantiene para cada cliente de VPN.
4.3.- CONFIGURACIN DEL SERVICIO VPN.
a) Configuracin de VRF
ip vrf V2121:VPN_SERFIN_0
rd 8151:2121
export map grey_mgmt_vpn_Uninet_V2121:VPN_SERFIN_0

104
Red VPN
route-target export 8151:1196

route-target import 8151:1196
route-target import 8151:1029
router bgp 8151

address-family ipv4 vrf V2121:VPN_SERFIN_0
redistribute connected
redistribute static
route-map grey_mgmt_vpn_Uninet_ V2121:VPN_SERFIN_0 permit 10

match ip address VPNSC_GREY_MGMT_ACL
set extcommunity rt 8151:1030 8151:1196
Pasos Comandos Descripcin

Router(config)# Entrar al modo de configuracin global para iniciar la
1 configuracin del servicio en el router.
Esta instruccin nos sirve para crear la vrf y definir el
Router(config)#ip vrf nombre- enrutamiento de la vpn asignado hacia la vrf
2
vrf Ej. ip vrf V2121:VPN_SERFIN_0
Router(config)#rd route- Crea las tablas de enrutamiento y forwardeo

3
distinguisher
Router(config)# export map
Este comando esta asociado a un route-map
grey_mgmt_vpn_Uninet_Vxxx
4 especificando la vrf especifica.
:VPN_xxx_0
Ej.
Esta comando crea la lista de comunidades

Router(config)# route-target extendidas de la ruta de exportacin para la VPN
5
export 8151:xxxx especificada.
Ej. route-target export 8151:1196

105
Red VPN
Esta comando crea la lista de comunidades de la

Router(config)# route-target ruta de importacin para la VPN de monitoreo.
6
import 8151:1029 Ej. route-target import 8151:1029
El route-map define las condiciones para la

Router(config)# route-map redistribucin de rutas de un protocolo de ruteo a
7 grey_mgmt_vpn_Uninet_Vxxx: otros. Y esta asociado a un match y a un set.
VPN_xxx_0 permit 10 Ejem. route-map grey_mgmt_vpn_Uninet_
V2714:VPN_SERFIN_0 permit 10
Este comando esta asociado al route-map y
distribuye cualquier ruta que tenga una direccin de
Router(config)# match ip
red de acuerdo a los permisos que tenga la lista de
8 address
acceso as aplica las politicas bajo las cuales realiza
VPNSC_GREY_MGMT_ACL
la redistribucin.
Ej. match ip address VPNSC_GREY_MGMT_ACL
Este comando esta asociado al route-map y aplica
Router(config)# set las polticas bajo las cuales realiza la redistribucin,
9 extcommunity rt 8151:1030 en este caso exporta las comunidades de la vrf con
8151:xxxx la vpn de monitoreo.
Ej. set extcommunity rt 8151:1030 8151:1196
b) Configuracin de Calidad de Servicio menores a 1MB
policy-map LLQ_BW_128_P3_32_P2_16_P1_32
class Precedence3
Priority 32
police 32000 conform-action set-prec-transmit 3 exceed-action drop
class Precedence2
Bandwidth 16

106
Red VPN
police 16000 conform-action set-prec-transmit 2 exceed-action set-prec-

transmit 1
class Precedence1
Bandwidth 32
transmit 0
class class-default
fair-queue
policy-map fr_BW_128_P3_32_P2_16_P1_32
class class-default
shape average 128000 1536 0
service-policy LLQ_BW_128_P3_32_P2_16_P1_32
map-class frame-relay FRFR_BW_128_P3_32_P2_16_P1_32

service-policy output fr_BW_128_P3_32_P2_16_P1_32
no frame-relay adaptive-shaping
frame-relay fragment

107
Red VPN

Router(config)# Entrar al modo de configuracin global para iniciar
1 la configuracin del servicio en el router.
El comando policy-map nos permite crear el mapa
de calidad LLQ, la nomenclatura del mapa es la
siguiente.
<BW_X_P3_X_P2_X_P1_X>
LLQ = llama al mapa de calidad

BW = Abreviacin del ancho de banda
X = Valor de ancho de banda
P3 = VOZ - Etiqueta de calidad de Voz(MUL)
Router(config)# policy-map X = Valor de Calidad de VOZ
2 BW_XXX_P3_X_P2_X_P1_X P2 = DATOS CRITICOS - Etiqueta de Datos
Crticos (SNA)
X = Valor de Calidad de Datos Crticos
P1 = DATOS Etiqueta de Datos (DAT)
X = Valor de Calidad de Datos
Los campos P1, P2, P3 se utilizaran de acuerdo al

tipo de calidad que solicite el cliente.
Ej. policy-map
LLQ_BW_128_P3_32_P2_16_P1_32
Este comando crea el mapa de precedencia 3
Router(config)#class
3 (voz/video).
precedence3
Ej. class Precedence3
Este comando indica la prioridad que llevara la
Router(config)# Priority X precedencia 3
4
Ej. priority 64

108
Red VPN
Este comando nos dice que polticas sern

aplicadas para la precedencia 3. El valor X debe
coincidir con el valor de la prioridad y aumentarle 3
Router(config)# police X ceros a la derecha. Tambin nos indica como va ha
5 conform-action set-prec- manejar los paquetes en caso de que exceda la
transmit 3 exceed-action drop prioridad los paquetes restantes bajara a prioridad
3
Ej. police 64000 2000 2000 conform-action set-
prec-transmit 3 exceed-action drop
Router(config)# class
6 (Datos Crticos).
Precedence2
Ej. class Precedence 2
Este comando indica el ancho de banda que
7 Router(config)# Bandwidth X llevara la precedencia 2
Ej. Bandwidth 16
Este comando nos dice que polticas sern
aplicadas para la precedencia 2. El valor X debe
coincidir con el valor de la prioridad y aumentarle 3
Router(config)# police X000
ceros a la derecha. Tambin nos indica como va ha
conform-action set-prec-
8 manejar los paquetes en caso de que exceda la
transmit 2 exceed-action set-
prioridad los paquetes restantes bajara a prioridad
prec-transmit 1
2
Ej. police 16000 conform-action set-prec-
transmit 2 exceed-action set-prec-transmit 1
9 (Datos).
Precedence1
Este comando indica el ancho de banda que
10 Router(config)# Bandwidth X llevara la precedencia 1
Ej. Bandwidth 16
11 Router(config)# police X000 Este comando nos dice que polticas sern
conform-action set-prec- aplicadas para la precedencia 1. El valor X debe
transmit 1 exceed-action set- coincidir con el valor de la prioridad y aumentarle 3
prec-transmit 0 ceros a la derecha. Tambin nos indica como va ha

109
Red VPN
manejar los paquetes en caso de que exceda la

prioridad los paquetes restantes bajara a prioridad
1
Ejem. police 16000 conform-action set-prec-
Router(config)# class class- Con este comando se crea la clase class-default la
12 default cual ya esta predefinida y utiliza un 1KB
Ej. class class-default
Activa encolamiento
13 Router(config)# fair-queue
Ej. fair-queue
de calidad fr, la nomenclatura del mapa es la
siguiente.
<fr_BW_X_P3_X_P2_X_P1_X>
LLQ = llama al mapa de calidad

Router(config)# policy-map
13 X = Valor de Calidad de VOZ
fr_BW_X_P3_X_P2_X_P1_X
P2 = DATOS CRITICOS - Etiqueta de Datos
Crticos (SNA)

Ej. policy-map fr_BW_128_P3_32_P2_16_P1_32
Router(config)# class class- Con este comando se crea la clase class-default la
14
default cual ya esta predefinida y utiliza 1 KB
Router(config)# shape Indica cual va ser la tasa cir bc be
15
average 128000 1536 0 Ej. shape average 128000 1536 0
16 Router(config)# service-policy Con el comando service-policy llama al mapa LLQ

110
Red VPN
LLQ_BW_X_P3_X_P2_X_P1
Ej. LLQ_BW_128_P3_64_P1_32
_X
El comando map-class frame-relay nos permite
crear el mapa de calidad para frame-relay, la
nomenclatura del mapa es la siguiente.
<FRFR_BW_X_P3_X_P2_X_P1_X>
FRFR = llama al mapa de calidad

Router(config)# map-class
frame-relay
FRFR_BW_128_P3_32_P2_1
6_P1_32
Crticos (SNA)
Los valores de P1, P2, P3 se pondrn de acuerdo

al tipo de calidad que solicite el cliente.
Ej. policy-map fr_BW_128_P3_32_P1_64
Router(config)# service-policy Con el comando service-policy llama al mapa fr
18 output Ej. service-policy output
fr_BW_X_P3_X_P2_X_P1_X fr_BW_128_P3_32_P1_32
Router(config)# no frame- No permite pasar los excesos en calidad de voz.
19
relay adaptive-shaping Ej. no frame-relay adaptive-shaping
Esta instruccin solo se utilizara si lleva calidad de
Router(config)# frame-relay voz. En caso contrario no se indica. Para obtener
20
fragment X el valor de la fragmentacin seria Frag=(BW*12)/8.
Ej. frame-relay fragment 192

111
Red VPN
c) Configuracin de Calidad de Servicio mayor a 1MB
policy-map BW_1984_P3_512_P2_512_P1_192
class Precedence3
Priority 512
police 512000 conform-action set-prec-transmit 3 exceed-action drop
class Precedence2
Bandwidth 512
transmit 1
class Precedence1
Bandwidth 192
transmit 0
class class-default
fair-queue
aplica en subinterface
service-policy output BW_1984_P3_512_P2_512_P1_192

112
Red VPN

de calidad LLQ, la nomenclatura del mapa es la
siguiente.
<BW_X_P3_X_P2_X_P1_X>

X = Valor de Calidad de VOZ
Router(config)# policy-map
2 BW_XXX_P3_X_P2_X_P1_X
Crticos (SNA)

Ej. policy-map
LLQ_BW_128_P3_32_P2_16_P1_32
Router(config)#class (voz/video).
3
precedence3 Ej. class precedence3
Este comando indica la prioridad que llevara la

Router(config)# Priority X
4 precedencia 3.
Ej. Priority 32
5 Router(config)# police X Este comando nos dice que polticas sern aplicadas
conform-action set-prec- para la precedencia 3. El valor X debe coincidir con
transmit 3 exceed-action drop el valor de la prioridad y aumentarle 3 ceros a la

113
Red VPN
derecha. Tambin nos indica como va ha manejar

los paquetes en caso de que exceda la prioridad los
paquetes restantes bajara a prioridad 3.
Ej. police 32 conform-action set-prec-transmit 3
exceed-action drop
6 (Datos Crticos)..
Precedence2
Ej. class precedence2
Este comando indica el ancho de banda que llevara
7 Router(config)# Bandwidth X la precedencia 2
Ej. Bandwidth 16
Router(config)# police X000 Este comando nos dice que polticas sern aplicadas
transmit 2 exceed-action set- el valor de la prioridad y aumentarle 3 ceros a la
prec-transmit 1 derecha. Tambin nos indica como va ha manejar
8
paquetes restantes bajara a prioridad 2
Ejem. police 16000 conform-action set-prec-
9 (Datos).
Precedence1
Este comando indica el ancho de banda que llevara
10 Router(config)# Bandwidth X la precedencia 1
Ej. Bandwidth 16
Router(config)# police X000 Este comando nos dice que polticas sern aplicadas
transmit 1 exceed-action set- el valor de la prioridad y aumentarle 3 ceros a la
prec-transmit 0 derecha. Tambin nos indica como va ha manejar
11
paquetes restantes bajara a prioridad 1
Ej. police 32000 conform-action set-prec-transmit
2 exceed-action set-prec-transmit 1
12 Router(config)# class class- Con este comando se crea la clase class-default la

114
Red VPN
default cual ya esta predefinida y utiliza un 1KB

Ej. class class-default
Activa encolamiento.
13 Router(config)# fair-queue
Ej. fair-queue
d) Configuracin de interfaz para Servicio VPN menores a 1 MB
interface Serial10/0/1:28
Description VPN VPN_BANORTEK2_LASANIMAS A02-0411-0978
I13120489B APROV21/12/04
P1 3137576 P2 3137577 P3 3137578
bandwidth 128
no ip address
no ip directed-broadcast
encapsulation frame-relay IETF
ip route-cache flow
no fair-queue
frame-relay intf-type dce
interface Serial10/0/1:28.16 point-to-point

description VPN VPN_BANORTEK2_LASANIMAS A02-0411-0978 I13120489B
APROV21/12/04
P1 3137576 P2 3137577 P3 3137578
ip vrf forwarding V3426:VPN_BANORTEK2_0
ip address 201.134.219.193 255.255.255.252
frame-relay interface-dlci 16 IETF
class FRFR_BW_128_P3_32_P2_32_P1_32
ip access-list extended VPNSC_GREY_MGMT_ACL

115
Red VPN

Una vez entrando a la interfaz se configuraran los
parmetros que describirn en los pasos siguientes.
Router(config)#int serial
2 Para configurar la interfaz hay que entrar como se
(numero de serial)
muestra a continuacin.
Ej. interface Serial10/0/1:28
El formato de la descripcin se muestra a
continuacin:
Ej. description VPN VPN_<nombre del Cliente y
3 Router(config-if)#description
Sitio> < Referencia> <clave aceptacin>
<Iniciales del ConfiguradorDIA/MES/AO> <SID
P3,P2,P1>
En la interfaz se configura el ancho de banda del
Router(config-if)#bandwidth
4 enlace.
(ancho de Banda)
Ej. Bandwidth 768
En la interfaz configuramos el encapsulamiento
Router(config- frame-relay IETF, para que sea un estandar para
5 if)#encapsulation frame-relay cualquier tipo de equipo, ya que si no se indica
IETF manejara el estandar de cisco.
Ej. encapsulation frame-relay IETF
Con esta lnea indicamos el tipo de interface DCE y
el cliente ser DTE. Se utiliza DCE cuando el router
Router(config-if)# frame-relay
6 esta conectado a un switch o router. DTE cuando el
intf-type dce
router esta conectado a una nube de Frame-relay.
Ej. frame-relay intf-type dce
Se creara una subinterfaz dentro de la interfaz con
Router(config-if)# int serial
numero de subintace16 de tipo point to point. El
(numero de serial)(numero de
7 numero de subinterfaz siempre ser 16 para los
subinterface)(tipo de
enlaces menores a 1 MB.
subinterface)
Ej. Interface Serial10/0/1:28.16 point-to-point
Router(config-subif)# Reenva los paquetes de la vrf indicada
8 ip vrf forwarding vrf-nombre Ej. ip vrf forwarding V3426:VPN_BANORTEK2_0

116
Red VPN
Se configura la IP_WAN_UNINET en la subinterfaz.

Router(config-subif)#ip
9 Ej. ip address 201.134.219.193 255.255.255.252
address (ip impar) (mascara)
e) Configuracin de interfaz para Servicios VPN mayores a 1MB
interface Serial2/0/6:0
description VPN SECCIONA_AMARILLA_DIV_HERMOSILLO D32-0404-0768
I27050497A JRC210904 P2 2601062
bandwidth 1984
ip vrf forwarding V3207:VPN_SECCIONAMARILLA_0
ip address 201.134.101.177 255.255.255.252
encapsulation ppp
ip route-cache flow
service-policy output BW_1984_P2_1536
ip access-list extended VPNSC_GREY_MGMT_ACL

permit ip host 201.134.101.176 any
f) Configuracin de Ruteo Dinmico
router bgp 8151

address-family ipv4 vrf V3426:VPN_BANORTEK2_0
neighbor 201.134.219.194 remote-as 65194
neighbor 201.134.219.194 activate

117
Red VPN
neighbor 201.134.219.194 send-community

neighbor 201.134.219.194 as-override
Router(config)# Entrar en el modo de configuracin global.

1
Entrar al modulo de router bgp indicando el AS
Router(config-router)#
2 8151.
router bgp 8151
Ej. Router bgp 8151
Dentro del modulo de router bgp 8151, debe de
estar ya definido el address-family ipv4 vrf nombre-
Router(config-router)#
vrf, ya que cuando se crea la vrf en el router se
3 address-family ipv4 vrf nombre-
configura el address-family.
vrf
Dentro del address-family ipv4 vrf nombre-vrf
se crea la tabla de ruteo de bgp de la vrf.
Dentro del modulo de router bgp 8151/address-
family ipv4 vrf nombre-vrf se configura la sesin de
bgp. El AS que se le asignara al cliente siempre
Router(config-router-af)#
ser el 65194.
4 Neighbor xxx.xxx.xxx.xxx
El comando mencionado establece sesin de BGP
remote-as 65194
con el equipo del cliente con la IP_WAN_CLIENTE
y AS
Ej. Neighbor 201.134.219.194 remote-as 65194
El comando abajo mencionado tiene la funcin de
enviar un mensaje al AS del vecino para activar la
5 neighbor xxx.xxx.xxx.xxx
sesin de BGP.
activate
Ej. Neighbor 201.134.219.194 activate

118
Red VPN
Router(config-router-af)#) Permite el intercambio de comunidades definidas

6 neighbor xxx.xxx.xxx.xxx send- en el router
community Ej. Neighbor 201.134.219.194 send-community
Permite la subscripcin de los sistemas autonomos
7 neighbor xxx.xxx.xxx.xxx as-
Ej. neighbor 201.134.219.194 as-override
override
Este comando nos sirve para limitar la propagacin
Router(config-subif)#
10 de broadcast.
Ej. no ip directed-broadcast
Se indica el nmero de dlci que se va utilizar. Para los
Router(config-subif)#frame-
enlaces menores a 1 Mega, siempre ser el 16.
11 relay interface-dlci (numero de
Ej. frame-relay interface-dlci 16
dlci)

119
Red VPN
El comando class es para aplicar servicios de calidad

y se aplican dentro de la subinterfaz y dentro de
frame-relay dlci. Este mapa tuvo que haberse creado
antes de aplicarlo. La nomenclatura que utilizamos
para el mapa de calidad es
<FRFR_BW_X_P3_X_P2_X_P1_X>
FRFR = llama al mapa de calidad

Router(config-fr-dlci)# class
nombre de la clase
Crticos (SNA)
Los valores de los datos requeridos son de acuerdo a

los solicitados.
Para poder aplicar esta instruccin se tuvo que haber

creado primero el mapa de calidad.
g) Configuracin de Ruteo Esttico
IP route vrf V274:VPN_CAB_0 10.90.41.0 255.255.255.0 Serial9/0/0:26

201.134.151.218

120
Red VPN

Router(config)#ip route vrf Se crea la ruta estatica para indicarle por donde va
nombre-vrf ip-lan mascara ha dirigir el trafico.
2
Serial(numero de Serial) ip- Ej. ip route vrf V274:VPN_CAB_0 10.90.41.0
wan-cliente 255.255.255.0 Serial9/0/0:26 201.134.151.218
h) Monitoreo de interfaz en los equipos de VPN.
Router(config)# Entrar al modo de configuracin global

1
La lnea que se muestra a continuacin tiene la
finalidad de gestionar los servicios y sta se encuentra
Router(config-ext-nacl)# ip configurada en todos los equipos de VPN y es la misma
access-list extended para todos:
2
VPNSC_GREY_MGMT_AC
L Ej. ip access-list extended
VPNSC_GREY_MGMT_ACL
La lnea que se muestra a continuacin se configura

por cada servicio que damos de alta en los routers de
3 Router(config-ext-nacl) VPN. Esta lnea es para monitoreo de los servicios en
los equipos.
Ej. permit ip host 201.134.219.240 any
CONCLUSIONES:
Como proveedor de servicios de Internet, se tiene que tener muy en cuenta

los requerimientos de los clientes a los que se les va a dar algn servicio de
Internet.

121
Red VPN
Es indispensable verificar las calidades de servicio que solicita el cliente, y

revisar que el direccionamiento que se va a ocupar no este ocupado con
algn otro enlace para evitar duplicidad de direccionamiento el cual
provocar perdidas de paquetes o incluso que los clientes no puedan
acceder a la VPN.
El proveedor debe de brindarle al cliente soporte tcnico, mantenimiento,

asesoria, por lo que debe tener bien documentada la informacin del enlace
del cliente para tener los datos y saber por donde atacar el problema
CAPITULO V
RESUMEN Y APLICAIONES DE VPNS
5.0.-Red WAN Tradicional.
Hasta hace poco tiempo, el tener una comunicacin confiable significaba
la utilizacin de lneas dedicadas para crear y mantener una WAN.
Caractersticas de la utilizacin de una WAN convencional:
Seguridad
Confiabilidad

122
Red VPN
Velocidad
Aumento del costo en relacin al aumento de la distancia y BW
Fig. 5.0. Diagrama de la Red WAN Tradicional.
5.1.-Crecimiento en popularidad del Internet.

Con el crecimiento y popularidad del Internet, la forma de hacer negocios ha
cambiado, de los ambientes cerrados a los pblicos y abiertos.
Organizaciones Virtuales, surgimiento de Intranets, extranets.
Informacin accesible a todos los miembros de la organizacin.
Fig. 5.1. Diagrama del crecimiento de Internet.
5.2.- Qu es una VPN?
Una VPN es una red privada que utiliza un medio pblico (usualmente
Internet) para conectar sitios o usuarios remotos. En lugar de utilizar
conexiones comunes como lneas dedicadas, las VPNs crean conexiones
virtuales establecidas usualmente a travs del Internet.

123
Red VPN
Fig. 5.2. Diagrama de la Red VPN.
5.3.-Tipos de VPN.
VPNs de Acceso Remoto

Acceso a los recursos de la compaa desde cualquier sitio
Fig. 5.3. Diagrama de VPN de Acceso Remoto.
VPNs Site-to-Site
Comunicacin entre oficinas segura por medio de Internet.

124
Red VPN
Fig. 5.4. Diagrama de VPN Site to Site.
VPNs Site-to-Site Privada

_ Router
Comunicacin segura por medio de Tecnologas como:
Frame-Relay
ATM
MPLS
Fig. 5.5. Diagrama de VPN Site to Site Privada.
VPNs Site-to-Site Pblica

_ Switch VPN
Utiliza Internet.

125
Red VPN
Fig. 5.6. Diagrama de VPN Site to Site Privada.
5.4.-Tecnologa de una VPN.
Para que una VPN cumpla con los requerimientos de conectividad,

seguridad, confiabilidad, escalabilidad y disponibilidad de una red privada; es
necesario hacer uso de una serie mtodos y tecnologas para que sean
confiables estas conexiones.
Medio de transporte
Encripcin
Generacin de tneles
Servicios AAA
Medio de transporte
Redes Pblicas
PSTN (Dial-Up)
Internet (Cable, xdsl, E1, T1)
Carriers
Frame-Relay
ATM
MPLS
IPSec

126
Red VPN
Encriptacin de Datos
Encriptacin, es bsicamente el proceso en que los datos de una

computadora son enviados hacia otra y codificados de una forma que
solamente la otra computadora podr decodificar.
Encriptada No Encriptada
Fig. 5.7. Diagrama que representa como la informacin se

encuentra encriptada y no encriptada.
La mayora de los tipos de VPNs utilizan uno de los siguientes tipos de

protocolos para proporcionar encripcin:
DES & 3DES (IPSec)

AES (IPSec)
RC4 (PPTP)
La encripcin consiste generalmente en aplicar un algoritmo para

modificarla y enviarla o almacenarla, despus el receptor o interesado en la
informacin debe correr un algoritmo opuesto para obtener la informacin
inicial.
Caractersticas:
Hardware vs Software

127
Red VPN
Tamao de la llave
Velocidad
Eficiencia
Tuneleo de Datos
Tuneleo de Datos, es el proceso de encapsular un paquete completo,
dentro de otro paquete y enviarlo a travs de la red.
Fig. 5.8. Diagrama de Tuneleo de Datos.
PPTP (Point to Point Transport Protocol)

Protocolo desarrollado por Microsoft, permite el acceso de usuarios
remotos a una red corporativa. Es una implementacin cliente <-> servidor de
la tecnologa VPN orientada a servidores RAS con Windows NT y clientes tanto
con Windows 95/98 como NT
Funciona a nivel de capa 2.

Utiliza autentificacin con Radius adems de username y password.

128
Red VPN
Encripta con RC4-128 y RC4-40.

Utiliza autentificacin PAP, CHAP, MSCHAP.
IPSec (Internet Protocol Security Protocol)

IPSec es un protocolo basado en estndares abiertos, desarrollado por la IETF.
Funciona a nivel de capa 3

Agrega encabezados a todos los paquetes
Servicios AAA (Authentication, Authorization & Accounting)

Los servicios AAA, son utilizados generalmente en los ambientes de VPN de
usuarios remotos para habilitar accesos seguros.
Generalmente se habilitan con:

User ID/Password
Direccin Lgica
Direccin Fsica
Autenticacin: quin es?

Autorizacin: qu puede hacer?
Accountiing: cunto puede hacer?

129
Red VPN
Mtodos de Autenticacin
Quin es ese servidor?
Existen bsicamente tres opciones:

LDAP
Radius
Tacacs/Tacacs+
Requerimientos de una VPN.
Cada computadora debe tener un software conocido como VPN client...
Cliente VPN
Caractersticas:
_ Se instala un software en la PC
_ Bajo costo del software

130
Red VPN
_ No requiere equipo adicional
Fig. 5.9. Diagrama de Pc con el software instalado.
_ El servidor realiza la encripcin.

_ Existe una relacin al SO.
_ Es posible que se requiera la intervencin del usuario para hacer la conexin.
Se requiere un dispositivo en el nodo central capaz de terminar los tneles.
Alto procesamiento, se recomienda equipo especializado: Switch VPN.
Switch VPN
Caractersticas:

131
Red VPN
_ Trasparente al usuario y SO
_ No resta desempeo al Servidor
_ Pueden hacerse mltiples conexiones (mas de una PC)
Fig. 5.10. Diagrama del sistema con Switch VPN integrado.
_ Requiere hardware especilizado.

_ Costo mas alto que el usar cliente.
5.5.-La Internet de hoy sus limitaciones.
Velocidad:
2.5 Billones de horas se desperdician durante la descarga
de Pginas Web en un ao.

132
Red VPN
Tiempo de cadas de Red

Confiabilidad.
21,000 Min..
5Min.
La Red de Voz La Internet
de Hoy de Hoy
Fig. 5.11. Diagrama de productividad debido a las cadas de las aplicaciones.

133
Red VPN
La congestin y la degradacin en el rendimiento se ha encontrado que

causa la mayora de los costos en las cadas de la red
5.6.-Voz sobre IP (VoIP :Voice Over Internet Protocol ).

Definicin:
La ultima tecnologa para el transporte de voz, IP es un protocolo de

capa 3 por lo cual se permite conmutacin de paquetes y direccionamiento
avanzado.
En la tecnologa VoIP las llamadas se dividen en tramas de datos que se

transmiten a travs de una red IP. Todas las tramas deben reconstruirse en el
orden correcto, y prcticamente de forma instantnea, a diferencia de lo que
ocurre con otras transmisiones sobre IP. Por ejemplo, no es necesario que los
mensajes de correo electrnico lleguen inmediatamente, y adems se pueden
ir reconstruyendo a medida que estos llegan a su destino.
La voz, sin embargo, es muy sensible a las latencias (retardos) de la red,

por lo que es necesario controlarla muy de cerca. Dicho de otro modo, el
control de la calidad de servicio (QoS) debe ser impecable.VoIP es un concepto
genrico. Las tramas se pueden enviar de diferentes formas: a travs de
Internet, gateways, banda ancha o redes dedicadas. Cada uno de estos medios
tiene sus ventajas y desventajas.
Tambin existe una gran variedad de niveles de gestin disponibles,

desde los servicios de tipo Hgalo usted mismo hasta servicios totalmente
gestionados por los proveedores de servicios. El deseo de ofrecer herramientas
que mejoren la productividad para aprovechar las infraestructuras de
comunicaciones y la necesidad de lograr ms por menos, han hecho que la
telefona IP sea necesaria para que las empresas puedan mantener su
competitividad.

134
Red VPN
Las redes actuales utilizan tecnologas como MPLS para priorizar el

trfico por la red. Permiten proporcionar la QoS en prcticamente todas las
conexiones nacionales/internacionales, incluidas las conexiones DSL de banda
ancha.
Internamente, IP esta disponible en las redes de rea local Ethernet las

cuales estn sobradamente capacitadas para admitir la tecnologa VoIP. El
auge de Internet impulsa la VoIP. El protocolo para el transporte de voz sobre
TCP/IP no esta estandarizado de forma oficial.
Compresin del canal de voz.
La voz se comprime del estndar G.711 de 64K a un rango de 4K - 16K

(por lo gral. a 8K). El modulo de voz DSP (Digital Signal Processors) tambin
detecta que es silencio y que es voz, enviando solamente la voz a travs del
enlace.
Fig. 5.12. Diagrama de compresin de la voz y supresin del silencio.
Deteccin y supresin de silencios

135
Red VPN
La VoIP no es en s mismo un servicio sino una tecnologa que permite

encapsular la voz en paquetes para poder ser transportados sobre redes de
datos sin necesidad de disponer de los circuitos conmutados convencionales
conocida como la PSTN, que son redes desarrolladas a lo largo de los aos
para transmitir las seales vocales. La PSTN se basaba en el concepto de
conmutacin de circuitos, es decir, la realizacin de una comunicacin requera
el establecimiento de un circuito fsico durante el tiempo que dura sta, lo que
significa que los recursos que intervienen en la realizacin de una llamada no
pueden ser utilizados en otra hasta que la primera no finalice, incluso durante
los silencios que se suceden dentro de una conversacin tpica.
Fig. 5.13. Diagrama de deteccin y supresin de silencios.
Cuando se habla se utiliza ancho de banda
Fig. 5.14. Diagrama del canal de voz durante las pausas.
Durante las pausas no se usa el ancho de banda
En cambio, la telefona IP no utiliza circuitos fsicos para la conversacin,

sino que enva mltiples conversaciones a travs del mismo canal (circuito
virtual) codificadas en paquetes y en flujos independientes. Cuando se produce

136
Red VPN
un silencio en una conversacin, los paquetes de datos de otras

conversaciones pueden ser transmitidos por la red, lo que implica un uso ms
eficiente de la misma.
Segn esto son evidentes las ventajas que proporciona las redes VoIP,
ya que con la misma infraestructura podran prestar mas servicios y adems la
calidad de servicio y la velocidad serian mayores; pero por otro lado

tambin existe la gran desventaja de la seguridad, ya que no es posible
determinar la duracin del paquete dentro de la red hasta que este llegue a su
destino y adems existe la posibilidad de perdida de paquetes, ya que el
protocolo IP no cuenta con esta herramienta.
Transporte de fax y mdem
La informacin de fax y mdem originalmente es digital pero se convierte a

analgica para transmitirla sobre la lnea telefnica.
La informacin analgica simplemente se demodula para regresarla a su
forma digital original.
Los datos digitales se encapsulan en paquetes para transportarse en la red.
Cuando un fax o mdem corren a 9.6Kbps, se requieren solamente 9.6 Kbps
de ancho de banda del enlace ms el encabezado.

137
Red VPN
Fig. 5.15. Diagrama de Trasporte de fax a MODEM.
Funcionamiento de una red VoIP.
Aos atrs, se descubri que enviar una seal a un destino remoto

tambin se podra enviar de manera digital es decir, antes de enviar la seal se
deba digitalizar con un dispositivo ADC (analog to digital converter),
transmitirla y en el extremo de destino transformarla de nuevo a formato
anlogo con un dispositivo DAC (digital to analog converter).
VoIP funciona de esa manera, digitalizando la voz en paquetes de datos,

envindola a travs de la red y reconvirtindola a voz en el destino.
Bsicamente el proceso comienza con la seal anloga del telfono que es
digitalizada en seales PCM (pulse code modulacin) por medio del
codificador/decodificador de voz (codec). Las muestras PCM son pasadas al
algoritmo de compresin, el cual comprime la voz y la fracciona en paquetes
(Encapsulamiento) que pueden ser transmitidos para este caso a travs de una
red privada WAN. En el otro extremo de la nube se realizan exactamente las
mismas funciones en un orden inverso.
Fig. 5.16. Diagrama del flujo de un circuito de voz comprimido..

138
Red VPN
Dependiendo de la forma en la que la red este configurada, el Router o

el gateway pueden realizar la labor de codificacin, decodificacin y/o
compresin. Por ejemplo, si el sistema usado es un sistema anlogo de voz,
entonces el router o el gateway realizan todas las funciones mencionadas
anteriormente como muestra la figura 5.17.
Fig. 5.17. Diagrama del flujo de un circuito de voz comprimido con Rauter.
En cambio, como muestra la figura 5.18, si el dispositivo utilizado es un

PBX digital, entonces es este el que realiza la funcin de codificacin y
decodificacin, y el router solo se dedica a procesar y a encapsular las
muestras PCM de los paquetes de voz que le ha enviado el PBX
Fig. 5.18. Diagrama del flujo de un circuito de voz comprimido con PBX y
Router.

139
Red VPN
Para el caso de transportar voz sobre la red pblica Internet, se necesita

una interfaz entre la red telefnica y la red IP, el cual se denomina gateway y
es el encargado en el lado del emisor de convertir la seal analgica de voz en
paquetes comprimidos IP para ser transportados a travs de la red. Del lado
del receptor su labor es inversa, dado que descomprime los paquetes IP que
recibe de la red de datos, y recompone el mensaje a su forma anloga original
conducindolo de nuevo a la red telefnica convencional en el sector de la
ltima milla para ser transportado al destinatario final y ser reproducido por el
parlante del receptor.
Es importante tener en cuenta tambin que todas las redes deben tener
de alguna forma las caractersticas de direccionamiento, enrutamiento y
sealizacin.
El direccionamiento es requerido para identificar el origen y destino de

las llamadas, tambin es usado para asociar las clases de servicio a cada una
de las llamadas dependiendo de la prioridad. El enrutamiento por su parte
encuentra el mejor camino a seguir por el paquete desde la fuente hasta el
destino y transporta la informacin a travs de la red de la manera ms
eficiente, la cual ha sido determinada por el diseador. La sealizacin alerta a
las estaciones terminales y a los elementos de la red su estado y la
responsabilidad inmediata que tienen al establecer una conexin.
Porqu VoIP ?
Independencia de la capa de transporte
IP es el protocolo estndar de redes
Amplia cobertura de IP
IP: Internet - intranets extranets

140
Red VPN
Fig. 5.19. Diagrama de la cobertura IP.
Objeciones a la VoIP
IP y la Calidad de Servicio (QoS)
IP no considera QoS en su definicin original
TDM asegura QoS
Frame Relay mejora la probabilidad de contar con QoS

ATM incorpora en su diseo QoS
Qu es calidad de servicio
Ancho de banda garantizado
Retardo mnimo
Retardos variables (jitter)
Requerimientos de QoS . . .
La habilidad de la red para proveer un servicio mejor o especial para
usuarios/equipos y aplicaciones

141
Red VPN
Rendimiento Consistente, Confiable,

Predecible
5.7.- El estndar H.323
Recomendacin del ITU de 1996(Internacional Telecommunication Union)

Especifica normas para transporte de voz, video y datos colaborativos sobre
redes LAN
H.323: recomendacin del ITU que establece estndares para
comunicaciones de multimedia sobre redes que no provean QoS.
Es parte de la serie de recomendaciones H.32X, en que H.320 est orientado

a ISDN, y H.324 hacia comunicaciones sobre PSTN
Aplicaciones cubiertas por H.323

Videoconferencia
Telefona
Educacin a distancia
Aplicaciones multimedia en general.
Ventajas de H.323
Interoperabilidad

142
Red VPN
Es independiente de la red y plataforma usada
Componentes de H.323
Las redes de voz sobre IP suelen contener tres (o cuatro) componentes

fundamentales:
Clientes H.323, PCs multimedia conectados directamente a una red IP.

Gateways de Voz/IP
Gatekeeper, para controlar las comunicaciones de voz sobre IP.

MCU H.323, opcional, para permitir conferencias con ms de dos
participantes
Fig. 5.20. Diagrama de Pila de protocolos de Voz sobreIP.
Cliente Multimedia:

143
Red VPN
Se trata normalmente de un PC multimedia (tarjeta de sonido, micrfono

y altavoces), que opcionalmente dispone de una cmara. Se comporta como un
terminal H.323 y T.120
Gateway de Voz/IP:
El Gateway de Voz/IP es el componente clave de una solucin de voz

sobre IP al facilitar la conversin de las llamadas telefnicas convencionales al
mundo de IP. Normalmente, tienen interfaces analgicos o digitales (PRI, PUSI)
a la red telefnica, y disponen de interfaces Ethernet, Frame Relay o ATM
hacia la red IP.
Gateway H.323/H.320: Bsicamente realiza la conversin entre estos

dos formatos de forma que los terminales H.323 se pueden comunicar con
equipos RDSI de videoconferencia, que pueden formar parte de la red
corporativa o estar situados en la red pblica.
Gateway H.323/RTB (Voz sobre IP). Posibilitan las comunicaciones de

voz entre los terminales H.323 y los telfonos convencionales, que estn en la
red corporativa o en la red pblica.
Gatekeeper:
El Gatekeeper es un punto central de control en una red H.323,

proporcionando servicios de control de llamada, traduccin de direcciones y
control de admisin. Adems facilita el control del ancho de banda utilizado y
localiza los distintos gateways y MCUs cuando se necesita.
Gatekeeper H.323: Est siempre presente para controlar las llamadas en

la Intranet Pblica (o red corporativa). Todos los elementos de red de MMTS
(terminales, Gateways, MCU) tienen que usar el Gatekeeper como punto
intermedio para la sealizacin. De esta forma se tiene un control de los
accesos, seguridad, movilidad del usuario, y tarificacin si se da el caso.

144
Red VPN
MCU para H.323 y T.120:
Se utiliza cuando han de intervenir ms de dos partes en una

conferencia. La MCU (Multimedia Conference Unit) es responsable de controlar
las sesiones y de efectuar el mezclado de los flujos de audio, datos y video.
Actualmente, las redes desplegadas para la transmisin de voz sobre IP

son en su mayor parte propietarias, utilizando mecanismos de sealizacin,
control y codificacin de la voz propios de los suministradores, y con muy poca
o sin ninguna interoperabilidad entre ellas.
La norma H.323 de ITU viene a poner luz sobre este tema y es, a partir
de ahora, prcticamente de obligado cumplimiento para los suministradores.
Entre otras cosas, el hecho de que NetMeeting, un cliente H.323 desarrollado
por Microsoft para Windows 95, 98, 2000 y Windows NT, se entregue de forma
gratuita, es prcticamente una garanta de que esta es la norma que hay que
cumplir.
Fig. 5.21. Diagrama del Alcance de la norma H.323.

145
Red VPN
La norma H.323 es muy compleja al integrar no slo voz sobre IP, sino
tambin comunicaciones multimedia. La presencia de un Gatekeeper como
elemento centralizado de control de la red es uno de los aspectos
fundamentales de la norma. Existen diferentes variantes de codec en la norma,
pero se acord a mediados de 1997 en un consorcio denominado IMTC, en el
que estn presentes Microsoft, Cisco, HP, etc., que el codec preferido para voz
sobre IP es el apoyado por Microsoft, G.723.1, que funciona a 6,4 kbit/s totales
(total de ambos sentidos), ms el overhead causado por cabeceras de IP y
UDP (unos 10 kbit/s es el resultante). Cisco, de momento, sigue utilizando
G.729a, que resulta menos exigente en cuanto a capacidad de proceso.
Fig. 5.22. Diagrama de las normas adicionales incluidas en H.323.
El mayor problema, con mucho, que enfrenta la voz sobre IP, es el de los
retrasos acumulados en el trnsito de los paquetes y en el propio proceso de
codificacin. En la Internet global, los retrasos pueden llegar a ser del orden de
dos segundos, impidiendo cualquier posibilidad de una conversacin normal.
La causa principal de estos retrasos es la prdida de paquetes, que en muchos
casos puede llegar a un 40%.

146
Red VPN
La nica manera de mantener este tipo de cifras bajo control es trabajar

en una red privada, dimensionada para este tipo de trfico, o introducir
conceptos de calidad de servicio (QoS) en la Internet, algo que todava est
lejano. Esta es la razn por la que la mayor parte de proveedores de voz por
Internet disponen de una red dedicada para este propsito, ya que de otra
manera no se puede conseguir la calidad requerida por los usuarios, sobre todo
si pertenecen al mundo empresarial.
Soluciones VoIP
Equipos Terminales
PCs (Softphone)
Telfonos IP (IP Phone)
Soluciones VoIP
Gateway H.323
Opcional en una solucin H.323
Establece comunicacin entre Telefona y H.323

147
Red VPN
Componentes Principales de VoIP.
La figura 5.19, muestra los principales componentes de una red VoIP. El

Gateway convierte las seales desde las interfaces de telefona tradicional
(POTS, T1/E1, ISDN, E&M trunks) a VoIP. Un telfono IP es un terminal que
tiene soporte VoIP nativo y puede conectarse directamente a una red IP. En
este trabajo de investigacin, el trmino TERMINAL ser usado para referirse a
un Gateway, un telfono IP, o una PC con una Interface VoIP.
El servidor provee el manejo y funciones administrativas para soportar el

enrutamiento de llamadas a travs de la red. En un sistema basado en H.323,
el servidor es conocido como un Gatekeeper. En un sistema SIP, el servidor es
un servidor SIP. En un sistema basado en MGCP o MEGACO, el servidor es un
Call Agent (Agente de llamadas). Finalmente, la red IP provee conectividad
entre todos los terminales. La red IP puede ser una red IP privada, una Intranet
o el Internet.

148
Red VPN
Fig. 5.23. Diagrama de Telefona IP.
Beneficios de IP Telephony
VoIP puede reducir los costes de mantenimiento, ya que las empresas

slo tienen que encargarse del mantenimiento de una nica red de voz y datos,
en lugar de dos redes diferentes. Adems, los costes de los traslados, nuevos
usuarios y cambios (MAC, Moves, adds and changes) un proceso pesado
cuando se utiliza un sistema basado en telefona tradicional que implica un
acceso fsico a la centralita se reducen casi a cero con los sistemas VoIP, ya
que se pueden realizar de forma remota, con una herramienta de autogestin
de usuario basada en la Web o desde una nica consola con funciones
complejas.
Sustitucin y/o complemento para la PSTN

149
Red VPN
Alcance local
Alcance de larga distancia
Ahorro en infraestructura telefnica
Aumento de productividad por aplicaciones de valor agregado
Flexibilidad de crecimiento
Servicio al cliente mejorado
Requerimientos
Se requiere un dispositivo capaz de integrar trfico multiservicios

encapsulado sobre IP y permita adems asignar el QoS adecuado a la
aplicacin.
Para el manejo de trfico multiservicios se requiere alto procesamiento,
se recomienda equipo especializado.
Aplicaciones de una VPN
Mobil Workers o Acceso Remoto

150
Red VPN
Fig. 5.24. Diagrama de Acceso Remoto.
Branch to Branch o Intranet
Fig. 5.25. Diagrama de Intranet.
5.8.-Aplicaciones de VoIP.
Una de las ventajas clave de VoIP es que el nmero de telfono de cada

persona es suyo exclusivamente. Este nmero se vincula a una ubicacin fsica

151
Red VPN
nicamente cuando el usuario inicia una sesin. Esto significa que las llamadas
sobre IP se encaminan directamente a un empleado, est donde est, siempre
que est conectado a la red. Esto incluye la oficina en casa conectada a la red
principal a travs de una conexin IP VPN segura, con banda ancha.
Llamadas PC a PC
Uso en Internet
Uso en Intranets

Fig. 5.26. Diagrama de llamada de PC a PC.
Inters por los servicios agregados

Video
chat
whiteboards
file transfer

152
Red VPN
Llamadas Telfono a PC
Internet
Calidad no garantizada
Intranets
Se puede disear para calidad
Fig. 5.27. Diagrama de llamada de Telfono a PC.
Llamadas telfono a telfono

153
Red VPN
Fig. 5.28. Diagrama de llamada de Telfono a Telfono.
Enlace de VoIP.
Gateway de lnea entre la red de datos IP y el Meridian 1
- Apoya aparatos Telefnicos IP tales como el i2004
24 Puertos por tarjeta
- Hasta 96 Telfonos Internet por tarjeta
Uso de ancho de banda eficiente para llamadas de telfono Internet a
telfono Internet de Tecnologas de la Informacin y Telemtica
Fig. 5.31. Diagrama del enlace de VoIP.
5.9 CONCLUSIONES VoIP
Este tipo de servicio promete recortar diversos costes de la empresa,

porque puede combinar datos y voz en las mismas lneas, lo que reduce los
costes permanentes de gestionar diversas redes. Permite externalizar la
gestin de telecomunicaciones.
Con la Telefona IP, la VoIP est disponible al escritorio.

154
Red VPN
Deben existir LAN Switches que puedan manejar QoS.

El uso de medios compartidos como Hubs o Wireless no es aceptado.
Puede ser impulsado por la Internet pero difcilmente funcionar sobre sta.
IP tiende a ser el estndar en redes de datos (LAN/WAN).
El ancho de banda usado en comparacin con Fast Ethernet o Gigabit
Ethernet es despreciable.
6.0.- CONCLUSIONES GENERALES.
Las VPNs representan una gran solucin para las empresas en cuanto
a seguridad, confidencialidad e integridad de los datos se refiere y ms an en
cuanto a costos. La inminente reduccin de los costos ante otras tecnologas
han hecho de las VPNs una de las soluciones ms populares y rentables del
mercado de las telecomunicaciones.

155
Red VPN
Las VPNs permiten la interconexin e integracin de servicios de las

redes locales de diferentes puntos remotos, geogrficamente dispersos, de
forma segura. Aprovechan la infraestructura de comunicaciones de Internet,
siendo una alternativa de interconexin de puntos remotos rentable y eficaz.
Pero no todo es bueno, se debe tener muy en cuenta que esta

tecnologa es viable cuando se tiene conexin a Internet. Si el usuario remoto
no cuenta con conexin a Internet, estando este en lugares alejados, zonas
marginales, reas rurales, entre otros, la tecnologa de VPN no es viable por lo
que se debe considerar alguna otra solucin tecnolgica.
Para finalizar se debe decir que sin un exhaustivo anlisis de las

necesidades de las empresas , de la tecnologa existente en las mismas as
como la calidad de los servicios y prestaciones a brindarse y de la adecuada
seleccin de herramientas y tecnologa para la ejecucin de una VPN, esta
podra tener consecuencias nefastas para la entidad en cuestin , sobre todo
cuando se trata de informacin sensible por ello que se recomienda realizar
minuciosamente los estudios de diseo e implementacin pertinentes y
necesarios as como de la seguridad , viabilidad, factibilidad , entre otros para
obtener los mayores beneficios posibles.
GLOSARIO.
ARPANET
Red pionera de larga distancia financiada por ARPA (hoy DARPA) con
finalidades militares que fue el eje central del desarrollo de Internet.
HOST

156
Red VPN
Es un ordenador que facilita a los usuarios finales servicios tales como

capacidad de proceso y acceso a base de datos, y permite funciones de control
de red.
ETHERNET
Red de rea local ISO 8023 que transmite a 10Mbits/s y puede
conectarse en total hasta 1024 nodos.
PROTOCOLO
Conjunto de procedimientos o reglas para establecer y controlar
trasmisiones desde un dispositivo o proceso.
TCP/IP
Protocolo de control de transmisin / protocolo inter redes, mientras que
TCP es un protocolo de transporte (nivel 4 OSI). IP es un protocolo de red, son
un conjunto de normas donde esta definida la forma en que deben comunicarse
los ordenadores, las redes entre si y el encaminamiento del trfico de la red.
HUB
Equipo para diversos tipos de cables y para diversas formas de acceso
que sirve de plata forma integradora para distintas clases de cable y
arquitectura.
OSI Interconexin de sistemas abiertos.

Este modelo de 7 capas se han convertido en el standar para disear
mtodos de comunicacin.
SERVIDOR
El servidor es aquel o aquellos ordenadores que van a compartir sus
recursos hardware y software con los dems equipos de la red.

157
Red VPN
GATEWAYS pasarelas
Es un hardware y software que permite las comunicaciones entre la red
local y grandes ordenadores (mainframes).
BRIDGES puentes
Es un hardware y software que permite que se conecten dos redes
locales entre s. Interconectan segmentos de red, haciendo el cambio de
tramas entre las redes de acuerdo con una tabla de direcciones que dice en
qu segmento est ubicada una direccin MAC.
CONMUTADOR Switch
Funciona como el bridge, pero permite la interconexin de mltiples
segmentos de red, funciona en velocidades ms rpidas y es ms sofisticado.
Los switches pueden tener otras funcionalidades, como redes virtuales y
permiten su configuracin a travs de la propia red.
RED PRIVADA VIRTUAL (VPN)

Es una red privada que se extiende, mediante un proceso de
encapsulacin y en su caso de encriptacin, que utiliza como medio de enlace
una red pblica como por ejemplo, Internet. Tambin es posible utilizar otras
infraestructuras WAN tales como Frame Relay, ATM, etc.
ENTUNELAMIENTO (Tunneling)
En interconexin entre computadores significa la transmisin de un

protocolo de datos encapsulado dentro de otro, mediante el uso de un
protocolo de entunelamiento o de encapsulamiento
ENCAPSULACIN

158
Red VPN
Colocar una trama no IP dentro de un paquete IP para que haga del puente
entre redes no similares (IP se desempaqueta en el otro extremo),
PPTP (Point- to- Point Tunneling Protocol)

Protocolo desarrollado por Microsoft, permite el acceso de usuarios
remotos a una red corporativa. Es una implementacin cliente <-> servidor de
la tecnologa VPN orientada a servidores RAS con Windows NT y clientes tanto
con Windows 95/98 como NT. Este es uno de los protocolos ms populares y
fue originalmente diseado para permitir el transporte (de modo encapsulado)
de protocolos diferentes al TCP/IP a travs de Internet.
IPSEC (Internet Protocol Secure)
Protocolo de seguridad que opera sobre la capa de red que proporciona

un canal seguro para los datos.
L2F (Layer 2 Forwarding)

El protocolo L2F tiene como objetivo proporcionar un mecanismo de
tunneling para el transporte de tramas a nivel de enlace: HDLC, PPP, SLIP,
etc.
BGP o Border Gateway Protocol

Es un protocolo mediante el cual se intercambian prefijos los ISP
registrados en Internet.
Webgrafa
http://es.wikipedia.org/wiki/Red_privada_virtual
http://www.monografias.com/trabajos11/repri/repri.shtml
http://linuca.org/body.phtml?nIdNoticia=281
http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=55
http://www.cudi.edu.mx/primavera2002/presentaciones/MPLSVPN.pdf
http://telematica.cicese.mx/revistatel/archivos/telem@tica_anoii_no17.pdf

159
Red VPN

160

Red VPN

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Red VPN

Uploaded by

Copyright:

Available Formats

INSTITUTO POLITECNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERIA MECANICA Y

ELECTRICA UNIDAD ZACATENCO.

PROCESAMIENTO DIGITAL DE SEALES.

JIMENEZ ZARATE JOSE ALVARO.

BARRAGAN VELAZQUEZ GEORGINA.

RINCN VIQUEZ KARINA.

VPN Red Privada Virtual

1.2.- Protocolos de comunicacin.

Modelo de referencia OSI.

1.3.- Servicios y aplicaciones de Internet.

VPN Red Privada Virtual

1.4.- Qu significa Internet?.

CAPITULO II INTRODUCCIN A LAS REDES VIRTUALES (VPN)

2.2.- Categoras de VPN.

2.3.- Ventajas de una VPN.

VPN Red Privada Virtual

2.4.- Tipos de VPN.

2.6.- Requerimientos para el armado de una red.

2.7.- De que esta compuesta una VPN.

2.8.- Tipos de conexin de VPN.

2.9.- Requerimientos bsicos de una VPN.

2.10.- Protegiendo la red VPN y Firewall.

VPN Red Privada Virtual

2.11.- controles y riesgos asociados a la tecnologa VPN.

CAPITULO III PROTOCOLOS DE ENRUTAMIENTO

3.2.- Tipos de rutas.

3.3.- Clases de protocolos de enrutamiento.

3.4.- Protocolos de tnel.

3.5.- Protocolos de enrutamiento usados para la construccin de una VPN.

VPN Red Privada Virtual

L2TP (Layer Tunneling Protocol Nivel).

3.6.- Protocolo BGP.

3.7.- Orgenes de MPLS.

3.8.- Protocolos de MPLS.

CAPITULO IV CONFIGURACIN Y ENRUTAMIENTO DE UN SERVICIO

4.1.- Requerimientos para la activacin del servicio VPN.

4.3. Configuracin de servicio VPN.

CAPITULO V RESUMEN Y APLICACIONES DE VPNS

5.0.- Red WAN tradicional.

5.1.- Crecimiento en popularidad de Internet.

VPN Red Privada Virtual

5.2.- Que es una VPN.

5.3.- Tipos de VPN.

VPNs de Acceso Remoto.

5.4.- Tecnologa de una VPN.

5.5.- La Internet de hoy y sus limitaciones.

5.6.- Voz sobre IP

VPN Red Privada Virtual

5.7.- Estndar H.323

5.8.- Aplicacin de una VPN

VPN Red Privada Virtual

Entender el funcionamiento y la operacin de una VPN (Red Privada

Hace unos aos todava no era tan importante el conectar a usuarios a

VPN Red Privada Virtual

Sin embargo ya con Internet, las compaas tienen la posibilidad de

El concepto de VPN ha estado presente desde hace algunos aos en el

Esencialmente una VPN es una red de datos aparentemente privada,

En un principio existan dos tipos bsicos de tecnologas VPN, las cuales

Antes de que la Internet se volviera universal, una VPN consista en uno

VPN Red Privada Virtual

La privacidad con la que contaban estas VPN no era ms que la que el

Con el paso del tiempo la Internet se volvi ms popular como medio de