Cules son los protocolos utilizados para la configuracin de
protocolos de acceso y enlace de una red (ACL)
Para sostener nuestras comunicaciones, el modelo OSI divide las funciones de una red de datos en capas. Para resumir: La capa de aplicacin provee la interfaz al usuario. La capa de transporte es responsable de dividir y manejar las comunicaciones entre los procesos que funcionan en los dos sistemas finales. Los protocolos de capa de red organizan nuestros datos de comunicacin para que puedan viajar a travs de internetworks desde el host que los origina hasta el host destino. Para que los paquetes de capa de red sean transportados desde el host origen al host destino deben recorrer diferentes redes fsicas. Estas redes fsicas pueden componerse de diferentes tipos de medios fsicos, tales como alambres de cobre, microondas, fibras pticas y enlaces satelitales. Los paquetes de capas de red no tienen una manera de acceder directamente a estos diferentes medios. La funcin de la capa de enlace de datos de OSI es preparar los paquetes de la capa de red para ser transmitidos y controlar el acceso a los medios fsicos. Capa de enlace de datos: conexin de servicios de capa superior a los medios La capa de enlace de datos existe como una capa de conexin entre los procesos de software de las capas por encima de ella y la capa fsica debajo de ella. Como tal, prepara los paquetes de capa de red para la transmisin a travs de alguna forma de medio, ya sea cobre, fibra o entornos o medios inalmbricos.
Subcapas de enlace de datos Para sostener una gran variedad de funciones de red, la capa de enlace de datos a menudo se divide en dos subcapas: una subcapa superior y una subcapa inferior. La subcapa superior define los procesos de software que proveen servicios a los Protocolos de capa de red. La subcapa inferior define los procesos de acceso a los medios realizados por el hardware. Qu es una ACL? Una ACL es una coleccin secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior. Los routers proporcionan capacidades de filtrado de trfico a travs de las listas de control de acceso (ACL). En esta prctica, conocer las ACL estndar y extendidas como medio de controlar el trfico de red y de qu manera se usan las ACL como parte de una solucin de seguridad (cortafuegos).
Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qu tipos de paquetes se deben aceptar y qu tipos de paquetes se deben denegar. La aceptacin y rechazo se pueden basar en ciertas especificaciones, como direccin origen, direccin destino y nmero de puerto. Cualquier trfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL. Las ACL se pueden crear para todos los protocolos enrutados de red, como IP e IPX, para filtrar los paquetes a medida que pasan por un router. Es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa interfaz. Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sera necesario definir por lo menos tres ACL. Cada ACLs sobre cada interfaz, acta en un sentido, distinguiendo tanto sentido de entrada como de salida. Se puede definir diferentes ACLs y luego instalarlas sobre los interfaces del router segn convenga al administrador de la red.
Razones para el uso de ACLs
Hay muchas razones para crear ACLs. Por ejemplo, las ACL se pueden usar para:
Limitar el trfico de red y mejorar el rendimiento de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de trfico, segn el protocolo. Esto se denomina colocacin en cola, que asegura que los routers no procesarn paquetes que no son necesarios. Como resultado, la colocacin en cola limita el trfico de red y reduce la congestin.
Brindar control de flujo de trfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones se usan para limitar la propagacin de la informacin acerca de redes especficas por toda la red.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se configuran ACL en su router, todos los paquetes que pasan a travs del router supuestamente tendran acceso permitido a todas las partes de la red. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces el router. Por ejemplo, se puede permitir que se enrute el trfico de correo electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.
Funcionamiento de las ACLs.
Una ACL es un grupo de sentencias que define cmo los paquetes: Entran a las interfaces de entrada. Se reenvan a travs del router. Salen de las interfaces de salida del router.
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe, ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es permitido, entonces se compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino. A continuacin, el router verifica si la interfaz destino tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz destino.
Las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una ondicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implcita de "denegar cualquiera". Esto significa que, aunque la sentencia "denegar cualquiera" no se vea explcitamente en la ltima lnea de una ACL, est all.
Configuracin de las ACLs. Requieren dos pasos bsicos. El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, segn la configuracin. Slo se permite una ACL por interfaz. Las ACL salientes son generalmente ms eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a una interfaz saliente.
PASO 1: Definir las sentencias que formarn la ACL. Cada una de ellas se define con la siguiente sentencia
Las ACL se crean utilizando el modo de configuracin global.
Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, signando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificar una ACL, el nmero debe estar dentro del intervalo especfico de nmeros que es vlido para el protocolo.
Se deben seleccionar y ordenar lgicamente las sentencias que forman la ACL de forma muy cuidadosa. Cada una de estas sentencias debe hacer referencia al mismo nombre o nmero identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condicin, pero cuantas ms sentencias se establezcan, mayor ser la dificultad para comprender y administrarla ACL.
Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list umero-lista-acceso. Point-to-point Protocol Point-to-point Protocol (en espaol Protocolo punto a punto), tambin conocido por su acrnimo PPP, es un protocolo de nivel de enlace estandarizado en el documento RFC 1661. Comnmente usado para establecer una conexin directa entre dos nodos de red. Puede proveer autentificacin de conexin, cifrado de transmisin (usando ECP, RFC 1968), y compresin. PPP es usado en varios tipos de redes fsicas incluyendo, cable serial, lnea telefnica, line troncal, telefona celular, especializado en enlace de radio y enlace de fibra ptica como SONET. PPP tambin es usado en las conexiones de acceso a internet (mercadeado como broadband). Los Proveedores de Servicio de Internet (ISPs) han usado PPP para que accedan a internet los usuarios de dial-up, desde que los paquetes de IP no pueden ser transmitidos via modem, sin tener un protocolo de enlace de datos. Dos derivados del PPP son: - Point to Point Protocolo over Ethernet (PPPoE) - Point to Point Protocol over ATM (PPPoA) Son usados comnmente por Proveedores de Servicio de Internet (ISPs) para establecer una Linea Suscriptora Digital (DSL) de servicios de internet para clientes. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. PPP facilita dos funciones importantes: Autenticacin. Generalmente mediante una clave de acceso. Asignacin dinmica de IP. Los proveedores de acceso cuentan con un nmero limitado de direcciones IP y cuentan con ms clientes que direcciones. Naturalmente, no todos los clientes se conectan al mismo tiempo. As, es posible asignar una direccin IP a cada cliente en el momento en que se conectan al proveedor. La direccin IP se conserva hasta que termina la conexin por PPP. Posteriormente, puede ser asignada a otro cliente. PPP tambin tiene otros usos, por ejemplo, se utiliza para establecer la comunicacin entre un mdem ADSL y la pasarela ATM del operador de telecomunicaciones. Configuracin Automtica. El Protocolo de Enlace de Control (LCP) inicia y termina conexiones, permitiendo a los usuarios para negociar las opciones de conexin. Es una parte integrada en el PPP, y est definido en el mismo estndar de especificacin. LCP provee configuracin automtica de las interfaces de cada final y selecciona autentificacin opcional. El Protocolo LCP corre encima del PPP (con el nmero de Protocolo 0Xc021) y por lo mismo una conexin bsica PPP debe estar establecida antes que se configure el LCP. LCP (Link Control Protocol) negocia parmetros del nivel de enlace en el inicio de la conexin para el establecimiento (supresin de campos direccin y control), configuracin y chequeo (para determinar la calidad el enlace), mediante 3 clases de tramas.
Protocolo de Mltiples capas de Red. PPP permite a mltiples capas de red de protocolo a operar en el mismo enlace de comunicacin. Para cada capa de red de protocolo usada, un Protocolo de Control de Red (NCP) separado, ofrece opciones para negociar y encapsular mltiples capas de protocolo. Negocia informacin de la capa de red como direcciones de red u opciones de compresin, despus que la conexin fue establecida. Enlace de Deteccin de Ciclo PPP detecta un ciclo de enlaces usando una caracterstica que envuelve numerous mgicos. Cuando los nodos envan mensajes PPP LCP, estos mensajes pueden incluir unos nmeros mgicos. Si una lnea est en ciclo, el nodo recibe un mensaje LCP con su propio nmero mgico, en vez de obtener un mensaje con el nmero. Opciones de Configuracin de PPP. La seccin anterior introdujo el uso de las opciones de LCP para encontrar los requerimientos especficos de una conexin WAN. PPP puede incluir las siguientes opciones de LCP: Autentificacin Los routers de Puerto intercambian mensajes de autentificacin. Dos opciones de autentificacin son, Protocolo de Autentificacion por Clave (PAP) y Protocolo de Autentificacin de Desafo Mutuo (CHAP). Compresin Aumenta el rendimiento efectivo en las conexiones PPP, reduciendo la cantidad de data en la trama que debe viajar a travs de los enlaces. Deteccin de Error Identifica condiciones de falla. La calidad y la opcin de Numero Mgicos ayudan a asegurar un confiable enlace de datos sin ciclos repetitivos. Multienlace Proporciona equilibrio de carga de varias interfaces usando el Multilink de PPP. Funcionamiento: PPP consta de las siguientes fases: 1. Establecimiento de conexin. Durante esta fase, una computadora contacta con la otra y negocian los parmetros relativos al enlace usando el protocolo LCP. Este protocolo es una parte fundamental de PPP y por ello est definido en el mismo RFC. Usando LCP se negocia el mtodo de autenticacin que se va a utilizar, el tamao de los datagramas, nmeros mgicos para usar durante la autenticacin. 2. Autenticacin. No es obligatorio. Existen dos protocolos de autenticacin. El ms bsico e inseguro es PAP, aunque no se recomienda dado que manda el nombre de usuario y la contrasea en claro. Un mtodo ms avanzado y preferido por muchos ISPs es CHAP, en el cual la contrasea se manda cifrada. 3. Configuracin de red. En esta fase se negocian parmetros dependientes del protocolo de red que se est usando. PPP puede llevar muchos protocolos de red al mismo tiempo y es necesario configurar individualmente cada uno de estos protocolos. Para configurar un protocolo de red se usa el protocolo NCP correspondiente. Por ejemplo, si la red es IP, se usa el protocolo IPCP para asignar la direccin IP del cliente y sus servidores DNS. 4. Transmisin. Durante esta fase se manda y recibe la informacin de red. LCP se encarga de comprobar que la lnea est activa durante periodos de inactividad. Obsrvese que PPP no proporciona cifrado de datos. 5. Terminacin. La conexin puede ser finalizada en cualquier momento y por cualquier motivo.
PPP tiene todas las propiedades de un protocolo de nivel de enlace: Garanta de recepcin. Recepcin ordenada. Uso del puerto 53 para conexin bidireccional de sockets. Usado en los balanceadores de carga (Load Balancer LB) como protocolo de distribucin. PPP versus SLIP El protocolo SLIP cumple la misma funcin que PPP, pero se trata de un protocolo mucho ms anticuado. Las ventajas de PPP sobre SLIP son: Permite la conexin tanto mediante lneas sncronas como asncronas. Permite la asignacin dinmica de direcciones IP en ambos extremos de la lnea. Permite el transporte de varios protocolos de red sobre l (SLIP solamente permite IP). Implementa un mecanismo de control de red NCP.