domingo, 27 de mayo de 2012

Redes troncales

Red Troncal

Una red troncal (o backbone) es una red utilizada para interconectar otras redes, es decir, un medio que permite la comunicación de varias LAN o segmentos. Suelen ser de alta capacidad y permiten un mayor rendimiento de las conexiones LAN de una empresa. Para interconectar varios segmentos de red a un troncal, son necesarios dispositivos adicionales que permitan adaptar las diferentes señales, conectores, cableados, protocolos, etc.

El Backbone existe principalmente como un conducto que permite a los segmentos comunicarse entre si. Una configuración para un edificio de muchos pisos necesita de un segmento horizontal que conecte todas las estaciones de trabajo en cada piso y un Backbone en forma vertical desde la parte superior del edificio hasta la planta baja que conecte todos los segmentos.

Tradicionalmente su arquitectura y sus características particulares estaban subordinadas al tipo de información que se deseaba transportar y a las características de las redes de acceso utilizadas. Así, por ejemplo, existen redes de transporte de señal de televisión (para el servicio convencional de difusión de televisión), redes de transporte de televisión por cable, múltiples tipos de redes de transporte de datos dependientes del servicio de datos en cuestión, redes de transporte de telefonía fija y redes de transporte de comunicaciones móviles. Sin embargo, la llegada de la digitalización comenzó un proceso de convergencia en las redes de transporte para hacerlas potencialmente capaces de transportar cualquier tipo de información, independientemente de su origen. A este proceso contribuyó también el uso masivo de la fibra óptica como el medio físico de preferencia para el transporte. A lo largo de este proceso han ido apareciendo una serie de tecnologías digitales para su aplicación en el transporte: X25, Frame Relay, SDH, ATM, cada una de ellas orientada inicialmente a solventar problemas específicos en arquitecturas específicas de transporte y que han tenido diferentes períodos de éxito y decadencia.
La llegada de la conmutación de paquetes y del paradigma de Internet, con el éxito de los protocolos IP como la base del transporte masivo de datos, introdujo una nueva cuestión al plantear si las redes de transporte debían o no tener un grado significativo de inteligencia en su núcleo central o si esta inteligencia se debía encontrar en los bordes de la red de transporte. La cuestión es muy relevante pues se pretende que las nuevas redes de transporte sean lo más transparentes posibles frente al despliegue de nuevas aplicaciones de interés para los usuarios, es decir, que sean válidas para cualquier nueva aplicación sin cambios significativos y sobre todo sin inversiones y retardos que puedan impedir cumplir las expectativas de los usuarios. Las redes de nueva generación en su parte de transporte darán respuesta a esta cuestión.
Publicado por en No hay comentarios:

VPN

¿Que es una VPN?

Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local. 
Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública. (ver figura siguiente)

Figura 1
Figura 2
En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un túnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.




 
¿Como se instalan?
Instalación y configuración del servidor VPN.
El equipo servidor VPN se conectará a la Intranet de la empresa a través de la tarjeta de red instalada en él y se instalará el MODEM conectándolo a su puerto serie y éste a su vez a la Red Telefónica Básica.
Se instalará en el equipo servidor el paquete Windows 2000 Server, el cual contiene el software y los protocolos necesarios para establecer conexiones con los clientes de acceso remoto.
Configuración común del servidor VPN.
Para distribuir una solución VPN a la empresa interesada, se realizará un análisis y una toma de decisiones acerca de su diseño teniendo en cuenta lo siguiente:
  • Configuración de la red.
  • Configuración de las directivas de acceso remoto.
  • Configuración del dominio.
  • Configuración de la seguridad.
Configuración de la red
Los elementos clave de la configuración de la red son:
  • La intranet de la empresa utiliza las direcciones 192.168.0.1 con la máscara de subred 255.255.255.0. El equipo servidor VPN está conectado a Internet las 24 horas a través de un ISP con una dirección IP fija.
  • La dirección IP fija de Internet, asignada por el proveedor de servicios Internet (ISP) a la empresa, se supondrá que será la 207.46.130.1. En Internet se alude a la dirección IP mediante el nombre de dominio vpn.francisco.comerciales.com.
  • El equipo servidor VPN está configurado con una dirección IP estática, con el fin de asignar clientes de acceso remoto.
La figura 1 muestra la configuración de red del servidor VPN
Red privada virtual
Configuración de red del servidor VPN.
El equipo servidor VPN se configura de la siguiente manera:
  • Se instala el hardware en el servidor VPN.
    • Se instalará el adaptador de red utilizado para conectar al segmento de Intranet, y el MODEM utilizado para la conexión a Internet siguiendo las instrucciones del fabricante de ambos adaptadores. Cuando los controladores estén instalados y en funcionamiento, ambos adaptadores aparecerán como conexiones de área local en la carpeta Conexiones de red y de acceso telefónico.
  • Configuración TCP/IP en los adaptadores LAN y WAN.
    • Para el adaptador de red de área local se configura la dirección IP 192.168.0.1 con la máscara de subred 255.255.255.0. Para el MODEM se configura la dirección IP 207.46.130.1 con la máscara de subred 255.255.255.255. Para ninguno de los dos elementos se configurará una puerta de enlace, o gateway, predeterminada. También se configurarán las direcciones de servidor DNS y WINS.
  • Instalación del Servicio de enrutamiento y acceso remoto.
    • Se ejecutará el Asistente para la instalación del servidor de enrutamiento y acceso remoto. En el asistente, se seleccionará la opción Servidor configurado manualmente. Para obtener más información, consultar el procedimiento "Habilitar el Servicio de enrutamiento y acceso remoto" en el anexo A.
    Cuando el asistente finalice, se habrá configurado un conjunto de direcciones IP estáticas con la dirección IP inicial 192.168.0.1 y la dirección IP final 192.168.0.254. Esto crea un conjunto de direcciones estáticas para un máximo de 253 clientes VPN.
    Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el anexo B.
    El método predeterminado para autenticar el acceso remoto y las conexiones de marcado a petición consiste en utilizar la autenticación de Windows, que resulta apropiada para esta configuración que contiene únicamente un servidor VPN.
  • Configuración de rutas estáticas en el servidor VPN para llegar a ubicaciones de Internet.
    • Para llegar a ubicaciones de Internet, se establecerá una ruta estática con la siguiente configuración:
      • Interfaz: el MODEM conectado a Internet
      • Destino: 0.0.0.0
      • Máscara de red: 0.0.0.0
      • Puerta de enlace: 0.0.0.0
      • Métrica: 1
    Esta ruta estática resume todos los destinos en Internet. Permite que el servidor VPN responda a un cliente de acceso remoto o a una conexión VPN de enrutador de marcado a petición desde cualquier parte en Internet.
  • Aumentar el número de puertos PPTP y L2TP.
    • De forma predeterminada, únicamente cinco puertos L2TP y otros cinco PPTP están habilitados para conexiones VPN. El número de puertos L2TP y PPTP aumenta hasta 253. Para obtener más información, consultar el procedimiento "Agregar puertos PPTP o L2TP" en el anexo C.
  • Configuración de filtros de paquetes PPTP y L2TP sobre IPSec.
    • Tanto PPTP como L2TP sobre filtros de paquetes IPSec se configurarán en el MODEM conectado a Internet. Para evitar que el servidor VPN envíe o reciba tráfico en su interfaz de Internet, excepto el tráfico PPTP o L2TP sobre IPSec proveniente de clientes de acceso remoto, se configurarán PPTP y L2TP sobre filtros de entrada y salida IPSec en la interfaz de Internet. Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configura L2TP sobre filtros IPSec y PPTP en la interfaz de Internet del servidor VPN, todo el tráfico recibido en esta interfaz se enrutará y es posible que se reenvíe tráfico no deseado a la intranet. Para obtener más información, consultar los procedimientos "Agregar filtros de paquetes PPTP" y "Agregar filtros de paquetes L2TP" en el anexo D.
  • Establecimiento del número de teléfono para los dispositivos PPTP y L2TP.
    • Para ayudar en la configuración de directivas de acceso remoto que limiten las conexiones VPN provenientes de usuarios de Internet, las propiedades de puerto para los dispositivos minipuerto WAN (PPTP) y minipuerto WAN (L2TP) se modificarán con la dirección IP de la interfaz de Internet del servidor VPN en el campo Número de teléfono para este dispositivo. Para obtener más información, consulte el procedimiento "Configurar un número de teléfono en un dispositivo" en el anexo E.
    Configuración de la directiva de acceso remoto
    El permiso de acceso remoto en todas las cuentas de usuario se establecerá como Controlar acceso a través de la directiva de acceso remoto. La concesión de permisos de acceso remoto a intentos de conexión se controlará mediante la configuración de permisos de acceso remoto en la primera directiva de acceso remoto correspondiente. Las directivas de acceso remoto se usan para aplicar diferentes configuraciones de conexión VPN basadas en la pertenencia a grupos y la directiva de acceso remoto predeterminada llamada Permitir el acceso si está habilitado el permiso de acceso telefónico se eliminará.
    Configuración del dominio
    Para aprovechar la capacidad para aplicar las diferentes configuraciones de conexión a distintos tipos de conexiones VPN se creará el siguiente grupo de Windows 2000:
    • VPN_Usuarios (VPN_Users)
    Se usa para las conexiones VPN de acceso remoto
    Configuración de la seguridad
    Para habilitar las conexiones L2TP sobre IPSec, el dominio de la empresa se configura para inscribir automáticamente certificados de equipo para todos los miembros del dominio.
    Para obtener más información, consulte el procedimiento "Configurar la asignación automática de certificados" en el anexo F.
    El acceso remoto para empleados de la empresa se distribuirá por Internet mediante las conexiones VPN de acceso remoto en función de la configuración establecida en la sección "Configuración común del servidor VPN" de este documento y en la configuración adicional siguiente.
    La figura 2 muestra el servidor VPN que proporciona conexiones VPN de acceso remoto.
    Red privada virtual
    El servidor VPN que proporciona conexiones VPN de acceso remoto
    Configuración del dominio
    Para cada empleado con acceso a la red privada virtual:
    • El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta del usuario se establecerá a Controlar acceso a través de la directiva de acceso remoto.
    • La cuenta de usuario se agregará al grupo VPN_Usuarios de Windows 2000.
    Configuración de la directiva de acceso remoto
    Para definir los parámetros de autenticación y de cifrado para los clientes VPN de acceso remoto se creará la siguiente directiva de acceso remoto:
    • Nombre de directiva: clientes VPN de acceso remoto
    Condiciones:
    • Puerto-NAS se establecerá a Virtual (VPN).
    • Grupos-Windows se establecerá a VPN_Usuarios.
    • Id-estación-llamada se establecerá a 207.46.130.1.
    • El permiso se establecerá a Conceder permiso de acceso remoto.
    Publicado por en No hay comentarios:
    Suscribirse a: Comentarios (Atom)