Professional Documents
Culture Documents
empleados que deben trabajar en forma remota, ya sea desde sus hogares o en forma itinerante. Interconectar estas redes y lugares privada) crea una VPN 3.- Una red privada virtual basada en Internet utiliza la infraestructura abierta y distribuida de Internet para transmitir datos entre sitios corporativos 4.- Una red privada virtual es una red privada de datos que utiliza una infraestructura de telecomunicacin pblica, manteniendo la privacidad mediante protocolos de tnel y procedimientos seguros. ....El propsito principal de una VPN es dar a la compaa la misma capacidad que otorgan los enlaces dedicados contratados pero a un costo menor, utilizando medios de comunicacin pblicos. 5.- Se puede definir a una VPN de manera ms formal. Esta definicin aparece publicada en el artculo What Is a VPN? Part 1 escrito por Ferguson y Houston para la publicacin mensual The Internet Protocol Journal de Cisco System en Marzo de 2001: Una VPN es un ambiente de comunicaciones en el cual existe un control de acceso, para permitir la conexin entre sistemas pares nicamente dentro de una comunidad de inters definida, y est creado considerando alguna forma de particin de un medio mediante una red compartida (no
Pgina 2
establecimiento. El acceso a esta red y su administracin est restringido solo a un nmero limitado de dispositivos. La privacidad se aplica tambin al espacio de
direccionamiento y esquema de enrutamiento utilizado en una VPN, en el sentido de que estn separados o difieren de aquellos instrumentados en alguna otra red privada existente o en la infraestructura de red subyacente por donde ocurre la comunicacin. El concepto de virtual, por definicin es la representacin de un objeto no existente mediante la ejecucin de funciones que simulan su existencia. En el contexto de una VPN, significa que esta ltima representa una red de comunicaciones, que no tiene una contraparte fsica real. Este concepto fundamenta la naturaleza discreta o de separacin, de una red lgica privada funcionando sobre una infraestructura de comunicaciones compartida y real. El aspecto de privacidad, definido en el prrafo anterior, est en funcin de la virtualizacin.
Pgina 3
Pgina 4
acceso remoto. Su creacin y configuracin est a cargo de un dispositivo denominado servidor de acceso de red o NAS. ste se ubica entre la PC del usuario y el servidor VPN. En el NAS se ubica el extremo del tnel donde funciona el cliente VPN. Es posible que mltiples usuarios conectados al servidor de acceso de red, compartan el tnel en forma concurrente. En general el NAS es propiedad y es administrado por un proveedor de servicios. o ubicado en la frontera entre la red local y la red pblica. Dispositivo de borde del cliente (Customer Edge Device). Es el equipo perteneciente a un cliente de un servicio de comunicaciones que se sita en el borde de la red privada local y conecta con la red del proveedor del servicio a travs de un PE. Un CE puede ser un router o switch. te y que se ubica dentro de la red del mismo. Estos no tiene conectividad directa con la red del Proveedor ni participan de la VPN. Pueden ser routers o switchs. r (Provider Edge Device). Este es propiedad del proveedor de servicio de comunicaciones. Se conecta directamente a la red del cliente a travs del CE. Un PE puede ser un router, switch o un dispositivo que combine ambas funciones. eo de la red del Proveedor. No tienen conectividad directa con la red del cliente ni participan de las VPN. Estos son equipos como routers y switches.VPNs de Acceso Remoto
Pgina 5
Pgina 6
Figura 1-2 VPN Provista por el Cliente VPNs provistas por el Proveedor (PPVPN) En esta clase de VPN el proveedor de servicio se encarga de su implementacin. Los equipos de borde o PE participan activamente de la red virtual como as tambin, pero en menor grado, los dispositivos de borde del cliente. Esto significa que los PE
Pgina 7
Pgina 8
RFC 3809 Generic Requirements for Provider Provisioned VPN VPNs de Acceso Remoto
Figura 1-3 VPN Sitio a Sitio Las VPN de Acceso Remoto o RAVPN (Remote Access VPN), tambin denominadas VPN de acceso, permiten a los usuarios mviles o itinerantes y a los usuarios hogareos de una organizacin o tele trabajadores, acceder en forma remota a la red. Esta clase de VPN puede establecer un tnel en modo voluntario u obligatorio.
Pgina 9
Figura 1-4 VPN de Acceso Remoto Las tecnologas y protocolos asociados a esta clasificacin son: VPNs sitio a sitio: IPSec GRE AtoM (Any Transport over MPLS) L2TPv3 (Layer 2 Tunneling Protocol version 3) IEEE 802.1Q MPLS LSP (MPLS Label Switched Path) VPNs de acceso remoto: L2F (Layer 2 Forwarding) PPTP (Point to Point Tunneling Protocol) L2TPv2/v3 IPSec SSL/TLS
Pgina 10
Figura 1-5 Clasificacin de las VPN VPN Sitio a Sitio Provistas por el Proveedor de Capa 2 (L2VPN) Estas VPN pueden ser establecidas entre switches, routers y hosts, permitiendo la conectividad a nivel de capa de enlace entre sitios separados.
Pgina 11
Pgina 12
Confiables y Seguras
Esta es una clasificacin donde se tiene en cuenta si es o no necesaria la encriptacin y autenticacin de los datos a transferir entre los nodos de la VPN. Los proveedores que no utilizan encriptacin para los datos de sus clientes debido a que utilizan circuitos virtuales de capa 2 se pueden definir como VPN Confiables. Podemos mencionar las redes FRAME RELAY, ATM y
Pgina 13
Overlay y Peer
Las VPN overlay se dan entre dispositivos CE, los dispositivos PE no participan en el enrutamiento de los clientes de la red, sino que reenvan trfico de clientes basados en direccionamiento globalmente nico, por lo tanto no tiene conocimiento del direccionamiento utilizado por el cliente. Los tneles son configurados entre dispositivos CE usando protocolos como IPSec y GRE. Cabe observar que el modelo overlay tiene serios problemas de escalabilidad debido a que si se cuenta con muchos nodos de egreso el nmero de adyacencias se incrementa en directa proporcin con el nmero de nodos.
Figura 1-6 Adyacencias del Ruteo Pueden ser implementadas a nivel de capa fsica usando lneas telefnicas (dialup), a nivel de capa 2 utilizando Frame Relay, X-25 y ATM, o a nivel de capa 3 utilizando tneles IP o GRE. Con el fin de clarificar veamos un ejemplo, la Figura 1-6, muestra un esquema en el que figuran tres sitios. Un sitio se conecta a travs de los circuitos virtuales VC #1 Y VC #2 con otros dos sitios. Si suponemos que el sitio principal es Londres y los otros son Paris y Zurich podramos ver que la percepcin que poseen los routers CE es la que grafica la Figura 1-7
Pgina 14
Figura 1-7 Infraestructura del proveedor Si son reemplazados los dispositivo PE por routers y estos participan en el enrutamiento entonces es una VPN tipo Peer. Los routers tienen que poseer conocimiento del direccionamiento que utiliza el cliente. Esto es necesario debido a que las rutas se intercambian entre dispositivos CE y los dispositivos PE. Estas VPN son provistas por un proveedor de servicios.
En la Figura 1-8 podemos observar que al reemplazar los switches por routers se convierte en una VPN tipo Peer.
Pgina 15
Pgina 16
VPN multiservicio
Trabajan sobre MPLS, cuyo sello distintivo es la calidad de servicio o QoS (Quality of Service). El objetivo de estas VPN es integrar diferentes aplicaciones en una sola conexin: voz, datos, multimedia, etc.
APLICACIONES Las VPN se utilizan en situaciones donde es necesario establecer una comunicacin en forma segura utilizando un medio o infraestructura compartida de transmisin. Adems de comunicar redes propias de la organizacin, usuarios mviles, tele trabajadores etc. tambin es posible comunicar distintas organizaciones entre s. Esta alternativa surge a partir de la necesidad de establecer lazos de negocios, o la concrecin de intereses comunes. La extranet refleja dichos intereses mediante la interconexin de las redes de datos de las distintas organizaciones. En realidad solo comparten los recursos necesarios para cumplir con los objetivos comunes, por lo que el acceso es parcial y controlado. Finalmente las VPN se pueden considerar como un negocio con valor agregado en la forma de un servicio. El hecho de que hoy en da las organizaciones dependan fuertemente de las tecnologas de informacin para su desenvolvimiento y que sus necesidades sean diferentes, plantea un mercado donde las soluciones de comunicaciones de datos son casi a la medida del cliente. No existe una nica solucin para todos los tipos de organizaciones. Es por esto que los proveedores de servicios han sumado a su oferta de soluciones empresariales, el servicio de VPN, donde una buena relacin costo-beneficio para el cliente es posible.
Pgina 17
Extranet
Una extranet es un conjunto de intranets de organizaciones diferentes que se interconectan entre s para cumplir con objetivos comunes. Esta relacin esta bien definida y es establecida bajo un estricto control del acceso. Se puede definir tambin como la interseccin de un grupo de intranets de varias empresas, lo cual indica que solo se comparte una porcin de la intranet hacia el resto de la extranet. Por otro lado Internet es el medio comn que resuelve problemas de incompatibilidad entre sistemas de empresas muy diferentes. Es decir, ofrece una interfaz comn que permite una interaccin difcil de lograr con otras tecnologas. Por lo tanto, como en el caso de las intranets, adoptan las tecnologas basadas en estndares abiertos propias de Internet para lograr comunicacin dentro de la extranet.
Pgina 18
Pgina 19
Pgina 20
el PE a travs de la red de acceso al CE Los dispositivos CE y PE deberan poder soportar QoS sin importar la tecnologa de acceso ya sea de capa 2 o 3: circuitos virtuales ATM y Frame Relay, acceso basado en MPLS, DSL etc. Se pueden distinguir dos modelos de servicio para QoS: ceso: este provee QoS sobre el acceso entre CE y los puertos del lado de cliente en el PE. No es requerido en el ncleo del backbone. re el backbone del proveedor, ya sea entre pares de dispositivos CE o pares de PE, dependiendo de los lmites del tnel. Un acuerdo de nivel de servicio SLA (Service Level Agreement) es una documentacin donde se expresan los resultados de una negociacin entre un cliente y un proveedor de servicios. En este documento se especifican los niveles de disponibilidad, perfomance, nivel de servicio, forma de operacin y otros atributos del servicio. A partir de un SLA se pueden determinar objetivos de nivel de servicio o SLO (Service Level Objective), considerando mtricas individuales con los valores deseados e informacin operacional para controlar el SLA. Estas se pueden implementarse como polticas. RFC 1633 - Integrated Services; RFC 2475 - Differentiated Service Una especificacin de nivel de servicio o SLS (Service Level Specification) engloba a las dos anteriores, es decir especifica un acuerdonegociado y las mtricas individuales y datos operacionales, para garantizar la calidad de servicio del trfico de red para ese cliente. Una SLS puede definirse sobre la base de los siguientes objetivos y
Pgina 21
Lmites para la variacin del delay y jitter. El sistema de administracin y monitoreo del proveedor deber medir y generar reportes respecto si las perfomance medida cumple o no los objetivos de la SLS. Muchas veces el nivel garantizado para los parmetros de los objetivos de nivel de servicio, dependen del alcance de la VPN, por ejemplo ciertos niveles pueden ser garantizados en el mbito de un solo sistema autnomo, mientras que otro, an ms estricto, se puede cumplir en un dominio de un nico proveedor pero con varios sistemas autnomos bajo su cargo. En un escenario multi proveedor es ms difcil cumplir con aquellos parmetros que requieran un alto grado de cumplimiento, por ejemplo el requerimiento de QoS
Pgina 22