dspoi - exposicion oral

8/18/2019 DSPOI - Exposicion Oral

1/118

DIPLOMADO SUPERIOR ENPLATAFORMAS OPERATIVAS

PARA INTERNETWORKINGEXAMEN COMPLEXIVO

ABRIL 2015


2/118

TEMÁTICA• Protocolos para correo electrónico (SMTP, POP3, IMAP)

y su Configuración en Linux.

• Arquitectura 10-Gigabit Ethernet, Funcionalidad yCaracterísticas de Capa Física (PHY) y Subcapa MAC.

• Protocolo IPv4. Direccionamiento con clase y sin clase.

• Protocolos DHCP, DNS y su Configuración en Linux.

• Protocolos de Enrutamiento RIP versión 2 y OSPF.Funcionalidad y Características.


3/118

Protocolos para Correo

Electrónico• El Correo Electrónico o e-mail como se lo conocemas comúnmente, es la solución para transferirinformación de forma rápida y menos costosa que

el correo convencional(correo en papel).

• A inicios de la década de los 90 su uso pasó de sermeramente académico al método de transferencia

de información de crecimiento exponencial.

• Dentro del Modelo de Referencia OSI éste serviciose ubica en la capa mas alta (7:Aplicación)


4/118

Correo Electrónico

e-mail• El modelo de transferencia de información vía e-

mail esta basado en un concepto bastante

sencillo el cual contempla dos sub-sistemas:

• Los Agentes de Usuario, y

• Los Agentes de Transferencia del Mensaje.


5/118

Correo Electrónico

e-mail

ESPECIFICACIONES IETF (INTERNET ENGINEERING TASK FORCE):

• RFC 822 : RFC 2822 : RFC 5322 (Formato del Mensaje de Internet)


6/118


7/118

SMTP• El Protocolo de Transferencia de Correo Simple se

concentra especificamente en como el sistemasubyacente de entrega de correo pasa los mensajes

a través del internet desde un computador a otro.

• Sus especificaciones están establecidas en los RFC821 : RFC 2821 : RFC 5321 del IETF.

• El mensaje se entrega mediante la conexión TCP alpuerto 25 establecida entre el computador remitentey el computador receptor.


8/118

SMTP• El servicio acepta pre definidamente conexiones

sin necesidad de autenticarse lo cual debetenerse muy en cuenta; si el mensaje no puede

ser entregado se genera un reporte con lacabecera del mensaje para ser devuelto alremitente.

• La comunicación se realiza mediante comandosSMTP mismos que contemplan el uso de palabrasreservadas y parámetros al igual que la mayoríade lenguajes informáticos.


9/118

SMTPLos comandos que hacen posible las operaciones básicas en el envío de correosson:

HELO: (Hello) El cliente envía este comando al servidor SMTP para autoidentificarse e iniciar la "conversación" SMTP, regularmente este comando esacompañado por el nombre de dominio o dirección IP del cliente SMTP (ej.: HELOcesarmac.grizzly-cave.com. Si el argumento usado es un nombre de dominioentonces este debe ser un nombre de dominio completamente identificado (fullyqualified domain name) o FQDN.

MAIL FROM: Especifica la dirección del remitente. Este comando también le dice alservidor SMTP que una nueva transacción de correo esta empezando y hace que elservidor inicialice todas sus tablas de estado y buffers, etc. Usualmente este elprimer comando luego del proceso de identificación y de login. Si la dirección delremitente es aceptada, el servidor contestara con un código de respuesta 250 OK.Ej.:

C: MAIL FROM:

S: 250 OK

http://cesarmac.grizzly-cave.com/


10/118

SMTPRCPT TO (Recipient To): Especifica la dirección deldestinatario. Este comando puede ser repetido múltiplesveces para un mensaje dado con el fin de entregar un

mismo mensaje a múltiples destinatarios. Ej.:

C: MAIL FROM: S: 250 OK

C: RCPT TO:S: 250 OK

C: RCPT TO:

S: 250 OK


11/118

SMTPDATA: Este comando inicia la transferencia del contenido del mensaje (texto del cuerpodel mensaje, adjuntos, etc.) Al concluir el envío del comando al servidor, este respondecon un código 354. Luego, los contenidos del mensaje pueden ser transferidos al servidor.Cuando todos los contenidos del mensaje han sido enviados, un sencillo punto (".") debeser enviado en un linea independiente. Si el mensaje es aceptado para entrega, el código250 OK será enviado por el servidor. Ej.:

C: DATA

S: 354 Send message content; end with .

C: Date: Wed, 29 Apr 2015 12:50:29 -0500

C: From: Cesar Mena

C: Subject: Resultado del Examen Complexivo

C: To: [email protected]

C:

C: Hola Steve,

C: El resultado del examen lo sabremos en un momento mas.

C: /Cesar.

C: .

S: 250 OK


12/118

SMTPRSET: (Reset) Si el comando RSET es enviado al servidor de e-mail, latransacción actual de correo seria abortada. La conexión no secerraria(de eso se encarga el comando QUIT) pero toda la informaciónsobre el remitente, destinatario(s) y datos serian eliminados y los buffers

y tablas de estados serian limpiados.

VRFY: (Verify) Este comando le pide al servidor que confirme que unnombre de usuario especificado o un buzón es valido (existe). Si sepregunta el nombre de usuario, el nombre completo del usuario y elbuzón completamente especificado se devuelve. Dado que VRFY

puede constituirse en una amenaza de seguridad en algunos servidoreses ignorado. El comando puede ser usado para averiguar nombres deusuario en los servidores. Los servidores que ignoran el comando,contestaran la petición pero sin devolver la información solicitada.


13/118

SMTPNOOP: (No operation) El comando NOOP haceque el receptor envie una respuesta OK. Elproposito principal es verificar que el servidor estaaun conectado y es capaz de comunicarse con elcliente.

QUIT: Le solicita al servidor cerrar la conexión. Sila conexión puede ser cerrada el servidor contestacon un código numérico 221 y entonces la sesiónes cerrada.


14/118

SMTPAdicionalmente SMTP brinda un conjunto de comandos Extendidos o serviciosextendidos de SMTP. Estos servicios extendidos pueden ser distintos en cadaservidor, cada vez que se inicia una transacción con el comando EHLO enlugar de HELO el servidor generalmente entrega al cliente un listado de suscomandos/servicios extendidos.

EHLO: (Extended Hello) Al igual que HELO inicia la conexión pero especificaque se quiere usar el protocolo ESMPT. EHLO puede ser usado aun cuando nose use ningún comando ESMTP; los servidores que no ofrezcan ningúncomando ESMTP adicional al menos reconocen el comando EHLO ycontestaran de forma adecuada.

AUTH: (Authentication) Este comando es usado para autenticar el cliente conel servidor. El comando envía el usuario y clave del cliente al servidor. AUTHpuede ser combinado con otras palabras claves como PLAIN, LOGIN y CRAM-MD5 para usar diferentes métodos de login y diferentes niveles de seguridad.


15/118

SMTPSTARTTLS: (Start Transport Layer Security) Tanto clientes como servidores queusan SMTP normalmente se comunican usando texto plano sobre el internet. Lacomunicación a menudo va a través de uno o mas ruteadores que no soncontrolados o fiables por el servidor y el cliente. Esta comunicación puede sermonitoreada y es posible alterar los mensajes que son enviados vía esos

ruteadores.

Para mejorar la seguridad, puede ser usada una conexión TLS (Transport LayerSecurity) encriptada cuando se comunican entre el servidor y el cliente. TLS esmas útil cuando un usuario y clave (enviados por el comando AUTH) necesitanser encriptados. TLS puede ser usado para encriptar el mensaje completo, pero

el comando no garantiza que todo el mensaje se mantenga encriptado durantetoda la ruta al receptor; algunos servidores de e-mail pueden decidir enviar elmensaje sin encriptacion. Pero al menos el usuario y la clave usados con elcomando AUTH se mantendrán encriptados. Usando el comando STARTTLSjunto con el comando AUTH es posible autenticar usuarios de una manera muysegura.


16/118


17/118

SMTP

• En el sistema operativo Linux la instalación ypuesta en marcha del servicio ha evolucionado

desde las primeras versiones hasta el puntoactual en el cual es una tarea relativamentesencilla.

• Tomando como referencia a la distribución defedora procedemos a la instalación yconfiguración de SMTP:


18/118

SMTPEs posible configurar dos programas para SMTP: Postfix y Sendmail. Laversiones mas recientes no incluyen Postfix sin embargo Sendmail si estadisponible.

Para verificar que servicio tenemos instalados recurrimos al comando:[root@primary-ns ~]# alternatives --config mta

There is 1 program that provides 'mta'.

Selection Command

-----------------------------------------------

*+ 1 /usr/sbin/sendmail.ssmtp

Enter to keep the current selection[+], or type selection number:

[root@primary-ns ~]#

La respuesta del servidor indica que únicamente disponemos de sendmail.


19/118

SMTPDe requerirlo, la instalación de Postfix se la realizade la siguiente manera:[root@primary-ns ~]# yum -y install postfix

Luego de resolver las dependencias de paquetespara esta aplicación la instalación concluyeexitosamente: Installed:

postfix.x86_64 2:2.11.3-1.fc21

Dependency Installed:

mariadb-common.x86_64 1:10.0.17-1.fc21 mariadb-config.x86_64 1:10.0.17-1.fc21

mariadb-libs.x86_64 1:10.0.17-1.fc21

Complete!


20/118

SMTPEs posible verificar la instalación al invocar al menu de servidores SMTP instalados enel sistema nuevamente:

[root@primary-ns ~]# alternatives --config mta

There are 2 programs which provide 'mta'.

Selection Command

-----------------------------------------------

*+ 1 /usr/sbin/sendmail.ssmtp

2 /usr/sbin/sendmail.postfix

Enter to keep the current selection[+], or type selection number:

2

Ahora ya es posible usar Postfix como servidor de SMTP.


21/118

SMTPCon la verificación del servicio activo es posible avanzar hacia laconfiguración de los parámetros adicionales dado que predeterminadamentePostfix no permite conexiones de red diferentes a las de local host:

Editar el archivo /etc/postfix/main.cf.

Quite el comentario de la linea mydomain removiendo simbolo hash (#), y reemplacedomain.tld con el dominio del servidor de mail que esta siriviendo, such as grizzly-cave.com.

Quite el comentario de la linea myorigin = $mydomain.

Quite el comentario de la linea myhostname, y reemplace host.domain.tld con elhostname para el equipo.

Quite el comentario de la linea mydestination = $myhostname, localhost.$mydomain.

Quite el comentario de la linea mynetworks, y reemplace 168.100.189.0/28 con unparámetro de red valido para los hosts que pueden conectarse al servidor.

Quite el comentario de la linea inet_interfaces = all.

Comente la linea inet_interfaces = localhost.

Reinicie el servicio de postfix.


22/118

POP3• El Protocolo de Oficina Postal versión 3 por sus

siglas en ingles describe la implementaciónsimple de trasferencia de mensajes entre el

servidor de correo y el cliente de correo (agentede usuario).

• Aunque existe la versión segura de ésta

implementación (POP3S) el protocolo simplerealiza el proceso de autenticación del clientecontra el servidor mediante el envío de los datosde usuario y contraseña.


23/118

POP3• Desde la perspectiva del servidor la gestión es

bastante mas puntual que desde el lado delcl iente puesto que los mensajes sondescargados y leídos en el cliente sin mantenercopias en el servidor.

• Este enfoque en la gestión de recepción demensajes hace que no sea posible la lectura delos mensajes desde diferentes agente deusuario.


24/118

POP3

• Las conexiones TCP al servidor desde el agente

de usuario se las realiza al puerto 110generalmente y la implementación seguraPOP3S en el puerto 995.

• Las especificaciones IETF del protocolo POP3están contenidas en el RFC 1939.


25/118

IMAP

• El Protocolo de Acceso a los Mensajes de Internet(versión 4) en contraste a POP3 permite la visualizacióny manipulación de los mensajes directamente en el

servidor aun cuando el agente de usuario permitagestionar los mensajes desde el computador local.

• Existe la implementación segura de IMAPS aunque lo

mas relevante de IMAP4 es la inclusión de nuevoselementos mas versátiles como el de buzón de correo,carpeta y otras funcionalidades de búsqueda quepermiten que la gestión de mensajes sea mas efectiva.


26/118

IMAP• El Protocolo de Acceso a los Mensajes de Internet

esta implementado con un conjunto de comandosque hacen posible que la gestión de los mensajes

brinde nuevas alternativas.

• Generalmente los agentes de usuario mantienenembebidos dichos comandos de manera que éstos

sean transparentes al usuario final; sin embargo,basta conocer la sintaxis de los mismos parainteractuar con el servidor desde una conexión enmodo consola desde el equipo cliente.


27/118

IMAP

• Las conexiones TCP al servidor desde el agente

de usuario se las realiza al puerto 143generalmente; la implementación segura IMAPSestá en el puerto 993.

• Las especificaciones IETF del protocolo IMAP4están contenidas en el RFC 3501.


28/118

CONFIGURACION EN LINUX

DE POP3 E IMAPTanto POP3 como IMAP4 son Protocolos de Acceso aMail que en la distribución Fedora de Linux estánsoportados pre determinadamente en el paquete

dovecot. Su instalación procede de la siguiente manera:[root@primary-ns ~]# yum -y install dovecotInstalled:

dovecot.x86_64 1:2.2.15-3.fc21

Dependency Installed:clucene-core.x86_64 0:2.3.3.4-13.fc21

Complete!

Existen implementaciones que en busca de una mejoraen la fase de autent icación han generadomodificaciones como: APOP, KPOP y RPOP.


29/118


DE POP3 E IMAPLos procesos imap-login y pop3-login los cuales implementan los protocolos IMAP yPOP3 son liberados por el demonio maestro de dovecot incluido en su paquete. Eluso de IMAP y POP3 es configurado a través del archivo de configuración /etc/dovecot/dovecot.conf predeterminadamente dovecot ejecuta IMAP y POP3 junto consus versiones seguras usando SSL.

Para configurar los protocolos que se desea servir, es necesario quitar el comentariode la linea protocols borrando el símbolo hash(#) y verificar que se encuentra el/losnombre(s) de el/loss protocolo(s) deseado(s):

protocols imap imaps pop3 pop3s

Luego de grabar los cambios en el archivo editado, es mandatorio reiniciar el servicio

para que los cambios sean aplicados de manera inmediata:[root@primary-ns ~]# systemctl restart dovecot.service

Excepto si se espera que el cambio surta efecto en el siguiente reinicio del sistema:[root@primary-ns ~]# systemctl enable dovecot.service

TEMATICA


30/118

Arquitectura 10-Gigabit

Ethernet10-Gigabit Ethernet es básicamente la versión de

Ethernet de mayor velocidad. Soporta tasas dedatos de 10Gb/s. Ofrece beneficios similares aaquellos del estándar de Ethernet precedente.

De todas maneras, ésta no soportará el modo deoperación half-duplex.


31/118


EthernetLas potenciales aplicaciones y mercados para 10-Gigabit Ethernet son enormes. Existen amplios

grupos de usuarios quienes demandan 10-GigabitEthernet, por ejemplo, usuarios empresariales,universidades, portadoras de telecomunicacionesy proveedores del servicio de Internet.

Cada mercado típicamente tiene diferentesrequerimientos para cobertura del enlace y costo.


32/118


EthernetFUNCIONALIDAD• Bajo el modelo OSI, Ethernet es fundamentalmente un protocolo de

capa 1 y 2. 10-Gigabit Ethernet retiene la arquitectura clave de Ethernet,el formato de la trama, y el tamaño máximo y mínimo de la trama.

• Justo como en Gigabit Ethernet, tanto 1000BASE-X y 1000BASE-Tsiguen el estándar del modelo Ethernet, 10-Gigabit Ethernet continua laevolución de Ethernet en velocidad y distancia, mientras retiene lamisma arquitectura usada en otras especificaciones Ethernet, exceptopor un ingrediente clave.

• Dado que 10-Gigabit Ethernet es una tecnología full-duplex únicamente,no necesita del protocolo (CSMA/CD) Detección de Portadora deAcceso Múltiples/Detección de Colisiones usado en otras tecnologíasEthernet. En cualquier otro aspecto, 10-Gigabit Ethernet concuerda conel modelo original de Ethernet.


33/118

Arquitectura 10-GigabitEthernet


34/118


EthernetCARACTERISICAS DE CAPA FISICA (PHY)• En la capa física (capa 1), un dispositivo de Ethernet de

capa física (PHY) conecta el medio óptico o de cobre a

la capa MAC a través de una tecnología de conectividad.• La arquitectura de Ethernet divide mas allá la capa física

en tres subcapas: Medio Físico Dependiente (PMD),Medio Físico Adjunto (PMA), y Subcapa de Codificación

Física(PCS). PMDs proveen la conexión física yseñalización al medio; los transceivers ópticos, porejemplo son PMDs. La PCS consiste de codificación (ej.:64B/66B) y un serializador o multiplexor.


35/118


EthernetCARACTERISICAS DE CAPA FISICA (PHY)

• El estándar 802.3ae define dos tipos de PHY:• LAN PHY y

• WAN PHY.

Estos proveen la misma funcionalidad, excepto quePHY WAN tiene un conjunto de característicasextendido en la PCS que habilita la conectividad conredes SONET STS-192c/SHD VC-4-64c.


36/118


Ethernet


37/118


EthernetCARACTERISITICAS DE SUBCAPA MAC La capa de Control de Acceso al Medio mantienelas definiciones previas de Ethernet excepto por eluso del protocolo CSMA/CD puesto que en 10-Gigabit Ethernet solo se brindará soporte para full-duplex.

Esto a pesar de que la simplicidad de CSMA/CDaportó en gran medida al éxito de Ethernet.


38/118


EthernetCARACTERISITICAS DE SUBCAPA MAC

El formato de la trama MAC mantiene laespecificación del estándar predecesor demanera que la integración con las redesexistentes sea lo mas uniforme, evitando además

la fragmentación y reensamblaje de las tramas .


39/118


EthernetCARACTERISITICAS DE SUBCAPA MAC El formato de la trama MAC mantiene el tamaño de 64 octetos yconsta de los siguientes campos:

• Preámbulo: El preámbulo de 7 octetos contiene un patrón de0's y 1's alternados que son usados para permitir al receptorla sincronización del tiempo para alcanzar un estado estable.

• Delimitador de Inicio de la trama: El campo SFD es lasecuencia 10101011 usada para indicar el inicio de la trama.

• Campos de Dirección: Cada trama MAC contiene las

direcciones de origen y destino. Cada dirección tiene untamaño de 48 bits. El primero de los cuales es usado paraidentificar la dirección como una dirección individual (0) o ungrupo de direcciones (1). El segundo es usado para indicar sila dirección es definida localmente (1) o globalmente (0).


40/118


EthernetCARACTERISITICAS DE SUBCAPA MAC • Longitud/Tipo: Si el número es menor que el tamaño

máximo de trama válida, indica la longitud de los datosdel cliente MAC. Si el numero es mayor o igual aldecimal 1536, representa el tipo de protocolo del clienteMAC.

• Datos y relleno: El relleno es opcional. Es necesarioúnicamente cuando el paquete de datos es maspequeño que 38 octetos para asegurar el tamaño de

trama mínimo de 64 octetos como está especificado enel estándar existente.

• Secuencia de chequeo de trama: El campo FCScontiene un código de redundancia cíclica de 32-bits.

TEMATICA


41/118

Protocolo IPv4.

• Es uno de los dos protocolos mas utilizadosdentro la Arquitectura TCP/IP.

• Es el encargado de la gestión de la entrega depaquetes entre los puntos finales.

• Pertenece a la suite de paquetes de la capa deInternet del modelo TCP/IP.


42/118

Protocolo IPv4.

• Es un protocolo no orientado a conexión, noconfiable.

• Las capas superiores en la arquitectura TCP/IPentregan los datos a IP y éste, los empaquetadentro de un datagrama IP.

• Las especificaciones IETF del protocolo IPv4están contenidas en el RFC 971.


43/118

Protocolo IPv4.DATAGRAMA IP

32 BITS

4 BITS 8 BITS 16 BITSVERSION HLEN TIPO DE SERVICIO LONGITUD TOTAL

IDENTIFICACION FLAGS FRAGMENT OFFSET

TTL PROTOCOLO HEADER CHECKSUM

DIRECCION DE ORIGEN

DIRECCION DE DESTINO

OPCIONES

DATOS


44/118

Protocolo IPv4.DIRECCION IP

• Una dirección IP es una dirección usada para identificar

de forma única a un dispositivo en una red IP.• Está formada por cuatro octetos (8 bits) para dar como

resultado una dirección de 32 bits separada por puntosy expresada en formato decimal.

• Una porción variable de la dirección identifica la red ala que se encuentra adherida y la otra porción tambiénvariable indica el host que la identifica.


45/118

Protocolo IPv4.

MASCARA DE SUBRED

• Al igual que las direcciones IP esta formada porcuatro octetos y expresada en formato decimal.

• La mascara de subred permite describir queporción de una dirección se refiere a la subred yque parte al host.

P l IP 4


46/118

Protocolo IPv4.

DIRECCIONAMIENTO CON CLASE

• Referido en ocaciones como "direccionamiento jerárquico", esel mecanismo inicial de direccionamiento IP, en la actualidad suuso es muy poco frecuente.

• Este esquema se dice que es auto identificable, dado quepermite identificar el limite entre prefijo y sufijo de la direcciónIP; esto, a partir de los tres bits de orden mayor de la dirección.

• El acelerado crecimiento del uso de las redes obligó a buscarnuevos esquemas de direccionamiento que superen laslimitaciones que suponen usar este esquema.


47/118


P l IP 4


48/118

Protocolo IPv4.


Este esquema jerárquico supone dos debilidadesimportantes:

• Dependencia de la ubicación de la dirección IPen la red.

• Tendencia al uso poco eficiente de la asignaciónde direcciones IP y su consecuente desperdicio.

P t l IP 4


49/118

Protocolo IPv4.

IPv4 SUBNET ADDRESSING

Es el direccionamiento de IPv4 mediante division de redes o"subnetting" :

• Si bien IPv6 plantea alternativas de solución para la yasaturada demanda de direcciones IP, deberá transcurrir untiempo hasta que ésta versión este ampliamente instalada.

• Entre tanto IPv6 sea adoptado como el protocolo standardpara Internet, existe una alternativa que brinda unmecanismo eficiente en el uso de direcciones IPdenominado subnetting.

P t l IP 4


50/118

Protocolo IPv4.


• Las subredes (subnetting) brindan flexibilidad al

mecanismo de direccionamiento IP. En ésteproceso, la porción local es subdividida en elcampo de subred y el campo de host.

• La asignación la hace de forma discrecional eladministrador de red, en tanto y en cuanto, serespeten las restricciones del estándar formalpara subredes.

P t l IP 4


51/118

Protocolo IPv4.


• Para el procedimiento de subnetting es

necesario tomar bits de la porción host.Dependiendo de la clase de dirección existe unlímite de bits que pueden ser "prestados".

Tamaño del campode host Máximo # de bitsprestados

Clase A 24 22

Clase B 16 14

Clase C 8 6

P t l IP 4


52/118

Protocolo IPv4.


• Para que los paquetes sean entregados efectivamente, elruteador realizará la operación lógica AND entre la

dirección IP de destino y su máscara de subred, elresultado es la dirección de red/subred a la que el destinopertenece.

• Se debe tomar en cuenta que al subdividir una red,implícitamente se generan una dirección de subred ybroadcast por cada nueva división. Estas direcciones dered/subred y broadcast no deben ser asignadas a hostalguno ni a sus interfaces.


53/118

Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE

• El mecanismo de división de redes para superar lalimitación del número de direcciones IP, aun nobrindaba la flexibilidad de asignación de la cantidadde redes y/o hosts por red que en la práctica serequería.

• La respuesta a ésta necesidad dio origen a la técnicade subnetting aplicando Mascaras de Subred deLongitud Variable [Variable Lenght Subnet Masks(VLSM)] dentro un segmento de red dado.


54/118


• Como se mencionó anteriormente, la versión 6 delprotocolo IP supera ésta restricción; sin embargo, auna la presente fecha, su implementación aun no esmasiva ni es el estándar oficial en Internet.

• La división de redes bajo el mecanismo VLSM permite

la coexistencia de redes grandes y pequeñas(indistintamente del numero de hosts) alcanzando unuso amplio y mas efectivo del espacio de direccionesIP.


55/118


• No obstante a la flexibilidad brindada por VLSM, suadministración demanda de un mayor esfuerzo y precisión;

puesto que de otro modo, podría presentarse el caso en el queuna dirección es interpretada de forma diferente en dos redesfísicas, éste escenarios es conocido como ambigüedad dedirecciones.

•

Con el uso adecuado de VLSM se logra flexibilidad en ladivisión de redes; esta división por otro lado, incrementa lacantidad de subredes y las correspondientes rutas quepermitan a los ruteadores hacer una entrega eficientemente delos datagramas IP.


56/118


• El crecimiento de las tablas de ruteo en términos delvolumen de paquetes a entregar y del procesamiento que

demandan esas operaciones, se tornan en factores críticospara la estabilidad y confiabilidad del proceso de ruteo.

• Nuevamente, la introducción de una nueva técnica dentrodel estándar se enfoca en resolver esta problemática. La

técnica se denomina Ruteo Inter-Dominio Sin Clase[Classless Inter-Domain Routing (CIDR)] y consiste encombinar multiples prefijos pequeños de red en un soloprefijo mas grande.


57/118


• La combinación de rutas se conoce como

Agregación de Rutas, el resultante prefijo masgrande se lo llama también supernet . Este concepto"supernetting" contrasta con el de subnetting que esla división de bloques de direcciones.

• Las especificaciones IETF para la estrategia dedireccionamiento CIDR están contenidas en el RFC4632 (1518, 1519).

TEMATICA


58/118

Protocolo DHCP• El Protocolo de Configuración Dinámica de Host

DHCP permite la configuración automática de losparámetros de red en los hosts.

• Este procedimiento disminuye la probabilidad deerror al realizar esta tarea de forma manual.

•

El servicio DHCP instalado previamente en unhost servidor, contiene los rangos de direccionesIP a ser entregados, así como también los plazosde "arrendamiento".


59/118

Protocolo DHCP• Tanto los hosts, como el servicio DHCP, deben

estar conectados dentro del mismo segmento dered, puesto que el requerimiento se lo hace a

través del envío broadcast de un paquete dedescubrimiento DHCP solicitando al servicio unadirección IP.

•

El servicio luego de identificar una dirección libre,responderá a ésta petición mediante un paquetede ofrecimiento con los datos de la dirección IPasignada.


60/118

Protocolo DHCP

• El host arrendatario deberá solicitar una nueva

dirección antes de que el plazo dearrendamiento haya vencido.

• Es importante verificar que todas las direcciones

arrendadas hayan sido devueltas para evitarque éstas se pierdan.


61/118

Protocolo DHCP

• Comúnmente ademas de la dirección IP,información sobre la mascara de subred, IP de

la puerta de enlace predeterminada, servidor deDNS son enviados por el servicio de DHCP alhost.

• Las definiciones del protocolo DHCP estáncontenidas en la RFC 2131 y 2132.


62/118

Protocolo DHCP


El procedimiento de instalación es el siguiente:[root@primary-ns ~]# yum -y install dhcpInstalled:dhcp.x86_64 12:4.3.1-12.fc21

Dependency Updated:

dhclient.x86_64 12:4.3.1-12.fc21 dhcp-common.x86_6412:4.3.1-12.fc21dhcp-libs.x86_64 12:4.3.1-12.fc21

Complete!


63/118

Protocolo DHCPCONFIGURACION EN LINUX

La instalación de dhcp crea el archivo de configuración /etc/dhcp/dhcpd.conf, mismo que inicialmente esta vacío.No obstante, el archivo de ejemplo /usr/share/doc/dhcp-version/dhcpd.conf.sample puede ser utilizadocomo base para configurar el servicio recién instalado:

DHCP también usa el archivo /var/lib/dhcpd/dhcpd.leases para almacenar la base de datos de“arrendamiento” a los clientes.


64/118


El primer paso al configurar un servidor DHCP es crear el archivo de configuración que almacena lainformación de red para los clientes. En este archivo se puede declarar opciones independientes y globaleslos sistemas clientes.

El archivo de configuración puede contener tabulaciones adicionales para mejor legibilidad. Las palabras

claves son case sensitive y las líneas que empiezan con el símbolo (#) son consideradas comentarios.

Hay dos tipos de declaraciones en un archivo de configuración:

• Parámetros - Declaran como realizar una tarea, ya sea para realizarla, o que opciones de configuración dered enviar al cliente.

• Declaraciones - Describen la topología de la red, los clientes, provee el direccionamiento para los clientes,o aplica un grupo de parámetros a un grupo de declaraciones.

Los parámetros que inician con la palabra clave opción son referidos como opciones. Estas opcionescontrolan opciones de DHCP así como configura valores de parámetros que no son opcionales o controlacomo se comporta el servidor DHCP.

Los parámetros (incluyendo opciones) declaradas antes de una sección encerrada entre paréntesis sonconsideradas parámetros globales. Los parámetros globales aplican a todas las secciones bajo éstos.


65/118


En el siguiente ejemplo, las opciones routers, subnet-mask, domain-search,domain-name-servers, y time-offset son usadas para cualquier sentenciahost declarada bajo ésta.

Adicionalmente, una subred puede ser declarada, su declaración debe estar incluidapara cada subred en la red. Caso contrario, falla el inicio del servidor DHCP.

Hay opciones globales para cada cliente DHCP en la subred y un rango declarado. Alos clientes les es asignada una dirección ip dentro del rango.

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.254; option subnet-mask 255.255.255.0;

option domain-search “grizzly-cave.com";

option domain-name-servers 192.168.1.1;

option time-offset -18000; # Eastern Standard Time

range 192.168.1.10 192.168.1.100;

}


66/118


Para configurar un servidor DHCP que rente una dirección IPdinámica a un sistema dentro de una subred, se requiere declarar untiempo predeterminado de renta, tiempo máximo de renta, y valoresde configuración de la red para los clientes.default-lease-time 600;

max-lease-time 7200;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option routers 192.168.1.254;option domain-name-servers 192.168.1.1, 192.168.1.2;

option domain-search "grizzly-cave.com";

subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.10 192.168.1.100;

}


67/118


En el caso de requerir la asignación de una dirección IP basa enla dirección MAC de la tarjeta de red, se debe usar el parámetro

hardware ethernet dentro de la declaración host. Ej.: ladeclaración host gamebox especifica que la tarjeta de red con ladirección 00:0c:29:49:01:29 siempre recibe la dirección IP192.168.1.4: el parámetro opcional host-name también puedeser usado para asignar un nombre al cliente.

host gamebox { option host-name “gamebox.grizzly-cave.com";

hardware ethernet 00:0c:29:49:01:29;

fixed-address 192.168.1.4;

}


68/118


Todas las subredes que comparten la misma red física deberían ser declarar dentro dela declaración shared-network. Los parámetros dentro de shared-network, pero fuerade las declaraciones subnet, son consideradas como parámetros globales. El nombrede shared-network debe ser un titulo descriptivo para la red.

shared-network name {

option domain-search “test.grizzly-cave.com";

option domain-name-servers ns1.grizzly-cave.com, ns2.grizzly-cave.com;

option routers 192.168.0.254;

more parameters for GRIZZLY-CAVE shared-network

subnet 192.168.1.0 netmask 255.255.252.0 {

parameters for subnet

range 192.168.1.1 192.168.1.254; }

subnet 192.168.2.0 netmask 255.255.252.0 {

parameters for subnet

range 192.168.2.1 192.168.2.254;

}

}


69/118


Las declaraciones grupales group son usadas para aplicar parámetro globales a ungrupo de declaraciones. Ej.: shared network, subnet y hosts pueden ser agrupadas.

group {

option routers 192.168.1.254;

option subnet-mask 255.255.255.0; option domain-search "grizzly-cave.com";

option domain-name-servers 192.168.1.1;

option time-offset -18000; # Eastern Standard Time

host gamebox {

option host-name “gamebox.grizzly-cave.com";

hardware ethernet 00:0c:29:49:01:29;


} host steve {

option host-name “steve.grizzly-cave.com";

hardware ethernet 00:A1:C3:F2:DD:74;


}

}


70/118

Protocolo DNSConocido también como servidor de nombres, es un sistema de redque asocia nombres de equipos con su respectiva dirección IP.

• Para los usuarios, esto tiene la ventaja de que pueden referirse amaquinas en la red por sus nombres que usualmente son masfáciles de recordar que direcciones IP numéricas.

• Para los administradores de sistemas, el uso de nombres deservidores les permite cambiar direcciones IP para un host sinafectar de ninguna manera a las consultas basadas en nombre, o a

decidir que maquinas manejan estas consultas.• La clave de éste servicio radica en la conveniencia que le supone al

ser humano por ejemplo, recordar el nombre de una pagina webversus los cuatro octetos de la dirección IP del servidor que la aloja.


71/118

Protocolo DNS• DNS usualmente se implementa usando uno o mas servidores

centralizados que son autorizados para ciertos dominios.

• Cuando un host cliente solicita información de un nameserver , ésteusualmente se conecta al puerto 53. El NS entonces intentaresolver el nombre consultado.

• Si éste no tiene la respuesta autorizada, o no tiene aun la respuestaen cache por consultas previas, realiza la consulta a otros NS,llamados root nameservers o NS raíz, para determinar que NS esta

autorizado para los nombres consultados, luego los consulta paraobtener el nombre requerido.

• Las definiciones del protocolo DNS están contenidas en la RFC1034, 1035 y 2181.


72/118

Protocolo DNSZonas de Nameservers

En un servidor de DNS (ej.: BIND - Berkley Internet Name Domain), toda la informaciónes almacenada en elementos de datos básicos llamados registros de datos(resourcerecords ) RR. El registro de recurso generalmente es un nombre de dominio

completamente calificado(fully qualified domain name ) FQDN de un host, y este sedescompone en multiples secciones organizadas dentro de una jerarquía tipo árbol.Esta jerarquía consiste de un tronco principal (main trunk), ramas primarias (primarybranches), ramas secundarias (secondary branches), y así sucesivamente. Ej.:

cesar.research.grizzly-cave.com

Cada nivel de la jerarquía esta dividido por un punto (.) En el ejemplo, com define eldominio de nivel mas alto, grizzly-cave su subdominio, y research el subdominio degrizzly-cave. En éste caso, cesar identifica el registro de recurso RR que es parte deldominio research.grizzly-cave.com. Con excepción de la parte mas distante hacia laizquierda (esto es, cesar) cada una de estas secciones es llamada una zona y defineun espacio de nombres (namespace ) específico.


73/118

Protocolo DNS

Zonas de Nameservers

Cada nivel de la jerarquía esta dividido por un punto (.) En el ejemplo, com defineel dominio de nivel mas alto, grizzly-cave su subdominio, y research el

subdominio de grizzly-cave. En éste caso, cesar identifica el registro de recursoRR que es parte del dominio research.grizzly-cave.com. Con excepción de la partemas distante hacia la izquierda (esto es, cesar) cada una de estas secciones esllamada una zona y define un espacio de nombres (namespace ) específico.

Se han definido 2 tipos de namespaces de alto nivel: Genéricos y Paises.Conceptualmente existen 250 dominio de alto nivel. La administración de

nombrado de nivel mas alto es administrado por la ICAAN Corporacion de Internetpara la Asignación de Nombre y Números (Internet Corporation for AssignedNames and Numbers quienes absorbieron a IANA en 1998). Las asignaciones desegundo nivel las realizan los registradores (registrars) acreditados por la ICAAN


74/118


Genericas Países

aero com biz info gov net org … us au cn ec jp es

cisco washington ieee pmi edu

robot www

FQDN


75/118


Las zonas están definidas en NS autorizados a través del uso dearchivos de zonas, los cuales contienen definiciones de los registros

de recursos RR en cada zona.Los archivos de las Zonas están almacenados en los NS primarios(llamados también Master NS), donde se hacen los cambios a losarchivos, y los NS secundarios (llamados también Slave NS), loscuales reciben las definiciones de las zonas de los NS primarios.

Tanto los unos como los otros están autorizados para la zona y luceniguales para los clientes. Dependiendo de la configuración, cualquierNS puede también servir como servidor primario o secundario paramúltiples zonas al mismo tiempo.


76/118

Protocolo DNS

Tipos de Servidores de Nombres

Existen dos tipos de configuraciones de NS:

• Autorizado (authoritative) Los servidores autorizados respondena registros de recursos que son parte de sus zonas únicamente.Esta categoría incluye tanto NS primarios como secundarios.

• Recursivo (recursive) Los servidores recursivos ofrecen

servicios de resolución, pero no están autorizados para ningunazona. Las respuestas para todas las resoluciones sonalmacenadas en cache en una memoria por un periodo fijo, elcual esta especificado por el registro de recurso obtenido.


77/118

Protocolo DNSTipos de Servidores de Nombres

Aun cuando un nameserver puede ser tanto autorizado como recursivo a lavez, se recomienda no combinar los tipos de configuración. Para poderrealizar su trabajo, los servidores autorizados deberían estar disponibles

para los clientes todo el tiempo.

Por otro lado, dado que una consulta recursiva tarda mucho mas que lasrespuestas autorizadas, los servidores recursivos deberían estar disponiblespara un numero restringido de clientes únicamente, de otro modo sonsusceptibles a los ataques de denegación de servicio distribuidos

(Distributed Denial of Service DDoS ).

BIND consiste de un conjunto de programas relacionados al servicio DNS.Contiene un servidor de nombres monolítico llamado named , una utilidad deadministración llamada rndc , y una herramienta de depuración llamada dig .


78/118

Protocolo DNS


La instalación procede de la siguiente manera:[root@primary-ns ~]# yum -y install bindInstalled:bind.x86_64 32:9.9.6-8.P1.fc21

Dependency Updated:bind-libs.x86_64 32:9.9.6-8.P1.fc21

bind-libs-lite.x86_64 32:9.9.6-8.P1.fc21bind-license.noarch 32:9.9.6-8.P1.fc21bind-utils.x86_64 32:9.9.6-8.P1.fc21

Complete!


79/118

Protocolo DNSCONFIGURACION EN LINUX

Concluida la instalación es necesario modificar el archivo /etc/named.conf que contiene laconfiguración principal del servicio. Adicionalmente en el directorio auxiliar /etc/named/ también seregistran archivos usados por el archivo principal de configuración.

El archivo de configuración consiste de una colección de sentencias con opciones anidadas yrodeadas por llaves. Como en la mayoría de archivos de configuración, es necesario cuidar la

sintaxis, puesto que errores de este tipo derivan en imposibilidad de iniciar el servicio named.statement-1 ["statement-1-name"] [statement-1-class] { option-1; option-2; option-N;};statement-2 ["statement-2-name"] [statement-2-class] { option-1;

option-2; option-N;};statement-N ["statement-N-name"] [statement-N-class] { option-1; option-2; option-N;};


80/118


Los tipos de sentencias mas comunes en el archivo deconfiguración de BIND son:

acl: Permite definir listas de control de acceso sobre gruposde hosts.

include: Permite invocar archivos externos de manera quese limite el acceso y organización a información privilegiada.

options: Permite declarar opciones de configuraciónglobales así como predefinidas.

zones: Define las características de una zona.


81/118


El nombre de la sentencia acl_name hace referencia a la lista de control de acceso, y la opciónelemento concordante ( match element) es usualmente una dirección IP individual 192.168.1.1 ouna notación CIDR 192.168.1.0/24. Ej.:

acl acl-name { match-element;

...};

ACL puede ser usado en combinación con otras sentencias, especialmente con options.

acl black-hats { 10.0.2.0/24; 192.168.0.0/24; 1234:5678::9abc/24;};

acl red-hats { 10.0.1.0/24;};options { blackhole { black-hats; }; allow-query { red-hats; }; allow-query-cache { red-hats; };};


82/118


La sentencia include permite incluir archivos en el /etc/named.conf,de manera que los datos potencialmente sensibles puedan ser ubicadosen un archivo separado con acceso restringido. El archivo invocado deberser siempre referido con su ruta absoluta. Ej.:

include "/etc/named.rfc1912.zones";

La sentencia options permite definir opciones globales de configuracióndel servidor así como parámetros predeterminados para otras sentencias.Por ejemplo puede usarse para especificar la ubicación del directorio de

trabajo para named , el tipo de consultas permitidas, etc.options {

option;

...

};


83/118


84/118


Los archivos de zonas contienen información acerca de un namespace.Estos están almacenados predeterminadamente en el directorio de trabajode named ubicado en /var/named/, y cada archivo de zona es nombrado

acorde con la opción del archivo en la sentencia zona, usualmente demanera que es relacione al dominio en cuestión e identifique el archivocomo contenedor de los datos de la zona.

Un archivo de zona consiste de directivas y registros e recursos. Lasdirectivas le indican al NS que ejecute las tareas o que aplique parámetros

especiales a la zona, los registros de recursos definen los parámetros de lazona y asignan identidades a los hosts individuales. Mientras las directivasson opcionales, los registros de recursos son requeridos con el fin deproveer el servicio de nombre a una zona. Todas las directivas y registrosde recursos deben ser ingresados en lineas individuales.


85/118


Las Directivas Comunes son:

$INCLUDE: Esta directiva permite incluir otro archivo en el lugar en el que aparece, demanera que los parámetros de otro zona puedan ser almacenados en un archivo de zonaseparado. Ej.:

$INCLUDE /var/named/penguin.grizzly-cave.com

$ORIGIN: La directiva de origen permite agregar el nombre del dominio a registros nocalificados, como aquellos que tienen únicamente nombre de host. Se debe tener en cuentaque el uso de esta directiva no es necesario si la zona esta especificada en /etc/named.conf, dado que el nombre de la zona es usada predeterminadamente. Ej.:

$ORIGIN grizzly-cave.com.$TTL: Para definir el Tiempo de Vida predeterminado para la zona se usa la directiva Time toLive (TTL) $TTL, esto es, por cuanto tiempo es valido el registro de una zona. Cada registrode recurso puede contener su propio valor TTL, la cual sobreescribe esta directiva. Ej.:

$TTL 1D


86/118


Los Registros de Recursos Comunes usados en las zonas son:

A: El registro de dirección Address especifica la dirección IP a ser asignada al nombre. A

The Address record specifies an IP address to be assigned to a name. It takes the following form:hostname IN A IP-address

If the hostname value is omitted, the record will point to the last specified hostname .

In Example 11.9, “Using the A resource record”, the requests for server1.example.com are pointed to 10.0.1.3 or 10.0.1.5.

Example 11.9. Using the A resource recordserver1 IN A 10.0.1.3 IN A 10.0.1.5

CNAME

The Canonical Name record maps one name to another. Because of this, this type of record is sometimes referred to as an alias record. It takes the following form:alias-name IN CNAME real-name

CNAME records are most commonly used to point to services that use a common naming scheme, such as www for Web servers. However, there are multiple restrictions for their usage:

" CNAME records should not point to other CNAME records. This is mainly to avoid possible infinite loops.

" CNAME records should not contain other resource record types (such as A, NS, MX, etc.). The only exception are DNSSEC related records (that is, RRSIG, NSEC, etc.) when the zone is signed."

Other resource record that point to the fully qualified domain name (FQDN) of a host (that is, NS, MX, PTR) should not point to a CNAME record.In Example 11.10, “Using the CNAME resource record”, the A record binds a hostname to an IP address, while the CNAME record points the commonly used www hostname to it.

Example 11.10. Using the CNAME resource recordserver1 IN A 10.0.1.5 www IN CNAME server1

MX

The Mail Exchange record specifies where the mail sent to a particular namespace controlled by this zone should go. It takes the following form:IN MX preference-value email-server-name

The email-server-name is a fully qualified domain name (FQDN). The preference-value allows numerical ranking of the email servers for a namespace, giving preference to some email systems over others. The MX resource record with the lowest preference-value is preferred over the others. However, multiple email servers can possess the same value to

distribute email tra#c evenly among them.In Example 11.11, “Using the MX resource record” , the first mail.example.com email server is preferred to the mail2.example.com email server when receiving email destined for the example.com domain.

Example

11.11.

Using the MX resource recordexample.com. IN MX 10 mail.example.com. IN MX 20 mail2.example.com.

NS

The Nameserver record announces authoritative nameservers for a particular zone. It takes the following form:IN NS nameserver-name

The nameserver-name should be a fully qualified domain name (FQDN). Note that when two nameservers are listed as authoritative for the domain, it is not important whether these nameservers are secondary nameservers, or if one of them is a primary server. They are both still considered authoritative.

Example

11.12.

Using the NS resource recordIN NS dns1.example.com.IN NS dns2.example.com.

PTR

The Pointer record points to another part of the namespace. It takes the following form:last-IP-digit IN PTR FQDN-of-system

The last-IP-digit directive is the last number in an IP address, and the FQDN-of-system is a fully qualified domain name (FQDN).

PTR records are primarily used for reverse name resolution, as they point IP addresses back to a particular name. Refer to Section 11.2.2.4.2, “A Reverse Name Resolution Zone File” for more examples of PTR records in use.SOA

The Start of Authority record announces important authoritative information about a namespace to the nameserver. Located after the directives, it is the first resource record in a zone file. It takes the following form:@ IN SOA primary-name-server hostmaster-email (

serial-number time-to-refresh time-to-retry time-to-expire minimum-TTL )

The directives are as follows:

" The @ symbol places the $ORIGIN directive (or the zone's name if the $ORIGIN directive is not set) as the namespace being defined by this SOA resource record.

" The primary-name-server directive is the hostname of the primary nameserver that is authoritative for this domain.

" The hostmaster-email directive is the email of the person to contact about the namespace.

" The serial-number directive is a numerical value incremented every time the zone file is altered to indicate it is time for the named service to reload the zone.

" The time-to-refresh directive is the numerical value secondary nameservers use to determine how long to wait before asking the primary nameserver if any changes have been made to the zone.

" The time-to-retry directive is a numerical value used by secondary nameservers to determine the length of time to wait before issuing a refresh request in the event that the primary nameserver is not answering. If the primary server has not replied to a refresh request before the amount of time specified in the time-to-expire directive elapses, the

secondary servers stop responding as an authority for requests concerning that namespace." In BIND 4 and 8, the minimum-TTL directive is the amount of time other nameservers cache the zone's information. In BIND 9, it defines how long negative answers are cached for. Caching of negative answers can be set to a maximum of 3 hours (that is, 3H).

When configuring BIND, all times are specified in seconds. However, it is possible to use abbreviations when specifying units of time other than seconds, such as minutes ( M ), hours (H), days (D), and weeks ( W ). Table 11.6, “Seconds compared to other time units” shows an amount of time in seconds and the equivalent time in another format.

The Address record specifies an IP address to be assigned to a name. It takes the following form:hostname IN A IP-address

If the hostname value is omitted, the record will point to the last specified hostname .

CNAME

TEMATICA

http://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#tb-bind-secondshttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#s3-bind-configuration-zone-reversehttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-mxhttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-cnamehttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-a


87/118


Los Registros de Recursos Comunes usados en las zonasson:

A: El registro de dirección Address especifica la direcciónIP a ser asignada al nombre.

hostname IN A IP-address

Si el valor de hostname es omitido, el registro apuntará alúltimo hostname especificado.

server1 IN A 10.0.1.3

IN A 10.0.1.5

TEMATICA


88/118

Protocolos de Enrutamiento

ENRUTAMIENTO

• El enrutamiento es la función de entregar paquetesentre los extremos de la comunicación identificando la

mejor ruta. Esta función corresponde a variosprotocolos de la capa de Red (3) del modelo dereferencia OSI.

• En esta capa, los equipos son activos y autónomos enla medida en la que puede "decidir", que ruta tomarpara la entrega de paquetes basados en diferentesmétricas de referencia.


89/118


ENRUTAMIENTO

• El equipo toma la denominación de ruteador (router) yestará en capacidad de entregar paquetes a las redes

a las cuales esta conectado por una interfaz (puerto)con su respectiva dirección IP asignada.

• La entrega de paquetes depende de la dirección IP de

destino y la red a la que pertenece, éste calculo resultade la operación lógica AND entre la dirección IP dedestino y su respectiva mascara de subred; finalmente,se quita la porción de host y obtenemos la red.


90/118


ENRUTAMIENTO

• Los protocolos ruteables (Routed) son datos

siendo transportados a lo largo de la red. Ej. IP,IPX, AppleTalk, DECnet.

• Los protocolos no ruteables (Non Routable) no

soportan ser ruteados y asumen que todos loshosts que se comunicarán están en el mismosegmento de red. Ej.: NetBEUI, DLC, LAC, DRP.


91/118


ENRUTAMIENTO

• Los protocolos de enrutamiento (Routing)

dis t r ibuyen (anuncian) dinámicamenteinformación de enrutamiento a lo largo de todoslos ruteadores en la red y "aprenden" nuevasrutas hacia los otros ruteadores conectados a la

red, en base a lo cual cada ruteador puededeterminar el mejor camino a usar para entregarel tráfico. Ej.: d OSPF, RIP, EIGRP or BGP.


92/118


ENRUTAMIENTO

Estos protocolos de enrutamiento son responsables de:

• Enviar actualizaciones.

• Con el conocimiento adecuado.

• En el momento correcto y

• Acorde a la ubicación que mantienen sobre losdestinatarios de las actualizaciones.


93/118


ENRUTAMIENTO

• Los algoritmos de ruteo, mientras tanto, son esaparte del software de la capa de red,responsable de decidir por cual de las líneas de

salida deberá ser transmitido un paqueteentrante.


94/118


ENRUTAMIENTO

• Los protocolos de enrutamiento actúan ruteandoinformación tanto dentro, como entre, sistemas

autónomos*, lo que da lugar a su división en:

• Protocolos de Enrutamiento Interior (IGP). Ej: RIP, RIPv2,IGRP, EIGRP, OSPF.

• Protocolos de Enrutamiento Exterior (EGP). Ej. EGP, BGP:

* Un grupo de redes y ruteadores controlados por una solaautoridad administrativa se denomina Sistema Autónomo.


95/118


ENRUTAMIENTO

• En el caso de que sea necesario establecercomunicación entre dos hosts que comparten el

mismo segmento de red, no se requiere laintervención de un ruteador, éste es el caso del RuteoDirecto.

• En contraste, si los hosts a comunicarse estánconectados a redes diferentes, la participación delruteador es inevitable y en ese caso el Ruteo esIndirecto .


96/118

Protocolos de EnrutamientoENRUTAMIENTO

Los protocolos referidos anteriormente fundamentan su accionaren algoritmos de enrutamiento.

• Si el mantenimiento de las tablas de rutas se lo realizamanualmente se trata de Enrutamiento Estático , éste algoritmopresenta debilidades en la gestión actualizaciones y respuesta acambios de topología convirtiéndose en una debilidad.

• Cuando el proceso de actualización es automático y respondede igual forma ante cambios de topología enviandoactualizaciones de enrutamiento hacia otros routers, entonces elEnrutamiento es Dinámico .


97/118


ENRUTAMIENTO

Los algoritmos dinámicos de enrutamiento están clasificados.

• Si el mantenimiento de las tablas de rutas se lo realizamanualmente se trata de Enrutamiento Estático , éste algoritmopresenta debilidades en la gestión actualizaciones y respuesta acambios de topología convirtiéndose en una debilidad.

• Cuando el proceso de actualización es automático y respondede igual forma ante cambios de topología enviandoactualizaciones de enrutamiento hacia otros routers, entonces elEnrutamiento es Dinámico .

P l d E i


98/118

Protocolos de EnrutamientoENRUTAMIENTO

Existe otra clasificación para los algoritmos dinámicos deenrutamiento.

• Algoritmo Vector-Distancia*: Cada ruteador mantiene una listade todos los destinos conocidos en su FIB**. Cuando el ruteadorarranca, se inicializa la FIB para que contenga una entrada paracada red conectada directamente. Cada entrada en la FIBidentifica una red destino, un ruteador de un salto para alcanzarel destino, y la "distancia" a la red (de acuerdo a algunasmedidas de distancia).

*También conocido como algoritmo de Bellman-Ford en honor a los investigadores que lo desarrollaron.

**FIB (Forwarding Information Base): Base de Información de Retransmisión.

P l d E i


99/118


ENRUTAMIENTO

• Algoritmo Estado del Enlace*: Puede ser entendidocomo el mapa que tiene cada ruteador, y que muestra

todos los otros ruteadores y las redes a las cuales seconectan. En términos abstractos, los ruteadorescorresponden a nodos en un gráfico, y las redes queconectan ruteadores corresponden a los límites. Hay

un límite (enlace) entre dos nodos en el gráfico de latopología si y solo si el ruteador correspondientepuede comunicarse directamente.

* También conocido como algoritmo de Dijkstra



100/118

Protocolos de EnrutamientoRIP version 2

RIPv2 fue descrito primero en la RFC 1388 y RFC 1723; la RFCactual es 2453, escrita en Noviembre de 1998. Aunque losentornos actuales usan protocolos de enrolamiento avanzadoscomo OSPF y EIGRP, aun hay redes que utilizan RIP. La necesidad

de usar VLSMs y otros requerimientos indujo la definición deRIPv2.

Las mejoras de RIPv2 sobre RIPv1 en la habilidad de usar VLSM,con soporte para autenticación de rutas, y con multicasting deactualizaciones de ruta. RIPv2 soporta CIDR. Aun envíaactualizaciones cada 30 segundos y retiene el límite de 15 saltos;también usa actualizaciones disparadas. RIPv2 aun usa el puertoUDP 520; el proceso RIP es responsable de verificar el número deversión.



101/118


Retiene las estrategias de prevención de lazos deveneno reverso y conteo al infinito. La distanciasadministrativa de 120 de RIPv1 se mantiene. Finalmente,

RIPv2 usa la dirección IP 224.0.0.9 cuando se actualizala ruta multicast a otro ruteador RIP. Al igual que enRIPv1, RIPv2 resume las redes IP en los límites de lasredes. Es posible deshabitar auto-resumen si se requiere.

Se puede usar RIPv2 en redes pequeñas donde serequiere VLSM. También trabaja al límite de redes masgrandes.



102/118


Autenticación

La autenticación puede prevenir comunicaciones con cualquierruteador RIP que no estén planificados para que forme parte de la red,como una estación UNIX que este ejecutando routed. Unicamente las

actualizaciones RIP con la clave de autenticación son aceptadas. LaRFC 1723 define la autenticación simple de texto plano para RIPv2.

Autenticación MD5

Adicionalmente a las claves de texto plano, existen implementacionespropietarias que proveen la habilidad para usar autenticación Message

Digest 5 (MD5), la cual esta definida en la RFC 1321. Su algoritmotoma como entrada un mensaje de longitud arbitraria y produce unasalida de huella digital de 128-bits o mensaje asimilado de la entrada,haciéndolo mucho mas seguro que las claves de texto plano.



103/118


Base de Información de Retransmisión (FIB) RIPv2

RIPv2 mantiene una base de datos de tablas de ruteo como en la Versión1. La diferencia es que éste también mantiene información de la máscara

de subred. La siguiente lista repite la información de la tabla de RIPv1:• Dirección IP: Direcciones IP del host de destino o red, con máscara

de subred.

• Gateway: La primera puerta de enlace a lo largo del camino al destino.

• Interface: La red física que debe ser usada para alcanzar el destino.

• Métrica: Un número indicando el número de saltos hasta el destino.

• Temporizador: La cantidad de tiempo desde que la entrada de la rutafue actualizada por última vez.



104/118

Protocolos de EnrutamientoRIP version 2Formato del Mensaje RIPv2

El formato del mensaje RIPv2 aprovecha la ventaja de los camposno usados en el formato del mensaje RIPv1 al agregar mascarasde subred y otra información.

La siguientes es una descripción de cada campo:

• Comando: Indica si el paquete es un mensaje de petición o unarespuesta. El mensaje de petición pide que un ruteador envíetoda o parte de su tabla de ruteo. Los mensajes de respuesta

contiene entradas de la ruta. El ruteador envía la respuestaperiódicamente o como una contestación a una petición.

• Versión: Especifica la version de RIP usada. Se lo pone a 2para RIPv2 y a 1 para RIPv1.



105/118


Formato del Mensaje RIPv2

• AFI: Especifica la familia de dirección usada. RIP estadiseñado para transportar información de ruteo paradiferentes protocolos. Cada entrada tiene un AFI paraindicar el tipo de dirección especificada. El AFI para IP es2. El AFI se pone a 0xFFFF para la primera entrada paraindicar que el resto de la entrada contiene información deautenticación.

• Tag de Ruta: Provee un metodo pra distinguir entre rutasinternas (aprendidas via RIP) y rutas externas (aprendidaspor otros protocolos). Se puede agregar este atributoopcional durante la redistribución de protocolos de ruteo.



106/118


Formato del Mensaje RIPv2

• Dirección IP: Especifica la dirección IP(red) del destino.

• Máscara de subred: Contiene la máscara de subred

para el destino. SI éste campo es 0, no se haespecificado mascara de subred para la entrada.

• Siguiente salto: Indica la dirección IP del siguiente saltodonde los paquetes son enviado para alcanzar sudestino.

• Métrica: Indica cuantos saltos de ruteador para alcanzarel destino. La Métrica esta entre 1 y 15 para una rutaválida o 16 para una inalcanzable o ruta infinita.



107/118

otoco os de uta e toRIP version 2Formato del Mensaje RIPv2

Nuevamente, como en la Versión 1, el ruteador permite hasta 25ocurrencias de las últimas cinco palabras de 32-bits (20 bytes) parahasta 25 rutas por mensaje RIP. Si el AFI especifica un mensajeautenticado, el ruteador puede especificar únicamente 24 entradaspara la tabla de ruteo. Las actualizaciones son enviadas a ladirección multicast 224.0.0.9.

Temporizadores RIPv2

Los temporizadores RIPv2 son los mismos que en la Versión 1. Se

envían actualizaciones periódicas cada 30 segundos. Eltemporizador predeterminado inválido es 180 segundos, eltemporizador holddown es 180 segundos, y el temporizador flush es240 segundos. Se puede escribir esta lista como 30/180/180/240representando a los temporizadores U/I/H/F.

Protocolo de Enrutamiento


108/118

OSPFUno de los protocolos de puerta de enlace interna mascomúnmente usados en enlaces IP. OSPFv2 es un protocolo deestándar abierto que provee enrutamiento para IPv4. OSPFv3ofrece algunas mejoras para IPv6. OSPF es un protocolo

complejo que esta hecho de varios handshakes de protocolo,anuncios de base de datos y tipos de paquetes.

OSPF es un protocolo de enrutamiento de puerta de enlaceque usa estado de enlace en lugar distancia vector para laselección de la ruta. OSPF propaga anuncios del estado del

enlace (LSA) en lugar de actualizaciones a las tablas de ruteo.Dado que lo único que se intercambia son LSAs en lugar deentradas de tablas de ruteo, las redes OSPF convergen de unamanera oportuna.



109/118

OSPF

OSPF usa un algoritmo estado del enlace paraconstruir y calcular el camino mas corto paratodos los destinos conocidos. Cada ruteador enun área OSPF contiene una base de datos deestado del enlace idéntica, la cual es una lista de

cada uno de las interfaces utilizables del ruteadory de vecinos alcanzables.



110/118

OSPFEstableciendo Relaciones OSPF con los Vecinos

OSPF es un protocolo de estado del enlace basado en unestándar abierto. A un nivel alto, la operación consiste de treselementos principales: descubrimiento de los vecinos, intercambiode información dl estado del enlace, y cálculo del mejor camino.

Para calcular el mejor camino, OSPF usa primero el camino mascorto (SPF) o algoritmo de Dijkstra. La información de entradapara cálculo del SPF es la información de estado del enlace, la

cual es intercambiada entre ruteadores usando diferente tipos demensajes OSPF. Estos tipos de empajes ayudan a mejorar laconvergencia y escalabilidad en implementaciones OSPFmultitarea.



111/118

OSPF

Estableciendo Relaciones OSPF con losVecinos

OSPF soporta varios tipos de red diferentes. Lascuales permiten configurar OSPF sobre una

variedad diferente de tecnologías de redprimarias.



112/118

OSPFCaracterísticas de OSPF

OSPF fue desarrollado por Equipo de Trabajo de Ingenieríade Internet (IETF) para resolver las limitaciones de losprotocolos de enrutamiento distancia vector. Una de lasprincipales razones porque OSPF es ampliamenteimplementado en las redes empresariales de hoy en día esel hecho de que éste es un estándar abierto; OSPF no espropietario. La Versión 1 del protocolo esta descrito la RFC

1131. La versión actual usada para IPv4, Versión 2, estaespecificada en la RFC 1247 y 2328. OSPF Versión 3, lacual es usada en redes IPv6, esta especificada en la RFC5340.



113/118

OSPF

Características de OSPF

OSPF ofrece un gran nivel de escalabilidad yconvergencia rápida. A pesar de que ésta es deconfiguración relativamente simple en redes detamaño pequeño y mediano, la implementación

OSPF y la resolución de problemas en redes degran escala puede en ocasiones ser desafiante.



114/118

OSPFCaracterísticas de OSPF

Las características claves del protocolo OSPF son las siguientes:

• Transporte independiente: OSPF trabaja en la parte mas alta de IP y usael protocolo número 89. No depende de funciones de los protocolos TCP o

UDP de la capa de tranporte.• Uso eficiente de las actualizaciones: Cuando un ruteador OSPF

descubre primero un nuevo vecino, éste envía una actualización completacon toda la información del estado del enlace. Todos los ruteadores dentrode un área OSPF deben tener información del estado del enlace idéntica ysincronizada en sus bases de datos de estado del enlace OSPF. Cuando

una red OSPF está en estado convergente y viene un nuevo enlace o unenlace se vuelve no disponible, el ruteador OSPF envía únicamente unaactualización parcial a todos sus vecinos. Esta actualización seráinundada a todos los ruteadores OSPF dentro de un área.



115/118

OSPF• Métrica: OSPF usa una métrica que está basada en los costos

acumulados de todas las interfaces de origen a destino. Los costosde la interface son inversamente proporcionales al ancho de bandade la interface y pueden tambien ser definidos explicitamente.

• Actualización de la dirección de destino: OSPF usa multicast yunicast, en lugar de broadcast, para envío de mensajes. Lasdirecciones multicast IPv4 usadas por OSPF son 224.0.0.5 paraenviar información a todos los ruteadores OSPF y 224.0.0.6 paraenviar información a ruteadores DR/BDR. Las direcciones multicastIPv6 son FF02::5 para todos los ruteadores OSPFv3 y FF02::6 para

todos los ruteadores DR/BDR. Si las redes primarias no tienescapacidades de broadcast, se deben establecer relaciones OSPFcon los vecinos usando una dirección unicast. Para IPv6, éstadirección será una dirección IPv6 de enlace local.



116/118

OSPF• Soporte para VLSM: OSPF es un protocolo de ruteo sin

clase. Soporta enmascaramiento de red de longitudvariable (VLSM) y redes marginales. Este portainformación de la máscara de subred las actualizaciones

de las rutas.• Resumen de rutas manual: Es posible resumir

manualmente rutas OSPF inter-área en el Area de Fronteradel Ruteador (ABR), y es posible resumir rutas OSPFexternas en el Límite del Sistema Autónomo del Ruteador(ASBR). OSPF no sabe el concepto de auto resumen.

• Autenticación: OSPF soporta autenticación de texto-claro, MD5 y SHA.

Bibliografía


117/118

Bibliografía

• Funcionalidad

• Características


118/118

dspoi - exposicion oral

Documents