Anda di halaman 1dari 8

Cules son los protocolos utilizados para la configuracin de

protocolos de acceso y enlace de una red (ACL)


Para sostener nuestras comunicaciones, el modelo OSI divide las funciones de una red de
datos en capas.
Para resumir: La capa de aplicacin provee la interfaz al usuario.
La capa de transporte es responsable de dividir y manejar las comunicaciones entre los
procesos que funcionan en los dos sistemas finales.
Los protocolos de capa de red organizan nuestros datos de comunicacin para que puedan
viajar a travs de internetworks desde el host que los origina hasta el host destino.
Para que los paquetes de capa de red sean transportados desde el host origen al host destino
deben recorrer diferentes redes fsicas. Estas redes fsicas pueden componerse de diferentes
tipos de medios fsicos, tales como alambres de cobre, microondas, fibras pticas y enlaces
satelitales. Los paquetes de capas de red no tienen una manera de acceder directamente a
estos diferentes medios.
La funcin de la capa de enlace de datos de OSI es preparar los paquetes de la capa de red
para ser transmitidos y controlar el acceso a los medios fsicos.
Capa de enlace de datos: conexin de servicios de capa
superior a los medios
La capa de enlace de datos existe como una capa de conexin entre los procesos
de software de las capas por encima de ella y la capa fsica debajo de ella. Como
tal, prepara los paquetes de capa de red para la transmisin a travs de alguna
forma de medio, ya sea cobre, fibra o entornos o medios inalmbricos.

Subcapas de enlace de datos
Para sostener una gran variedad de funciones de red, la capa de enlace de datos a
menudo se divide en dos subcapas: una subcapa superior y una subcapa inferior.
La subcapa superior define los procesos de software que proveen servicios a los
Protocolos de capa de red.
La subcapa inferior define los procesos de acceso a los medios realizados por el
hardware.
Qu es una ACL?
Una ACL es una coleccin secuencial de sentencias de permiso o rechazo que se aplican a
direcciones o protocolos de capa superior. Los routers proporcionan capacidades de filtrado de
trfico a travs de las listas de control de acceso (ACL). En esta prctica, conocer las ACL
estndar y extendidas como medio de controlar el trfico de red y de qu manera se usan las
ACL como parte de una solucin de seguridad (cortafuegos).


Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas
indican al router qu tipos de paquetes se deben aceptar y qu tipos de paquetes se
deben denegar. La aceptacin y rechazo se pueden basar en ciertas especificaciones,
como direccin origen, direccin destino y nmero de puerto. Cualquier trfico que pasa
por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL. Las ACL
se pueden crear para todos los protocolos enrutados de red, como IP e IPX, para filtrar
los paquetes a medida que pasan por un router. Es necesario definir una ACL para cada
protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa
interfaz. Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e
IPX, sera necesario definir por lo menos tres ACL. Cada ACLs sobre cada interfaz,
acta en un sentido, distinguiendo tanto sentido de entrada como de salida. Se puede
definir diferentes ACLs y luego instalarlas sobre los interfaces del router segn
convenga al administrador de la red.

Razones para el uso de ACLs

Hay muchas razones para crear ACLs. Por ejemplo, las ACL se pueden usar para:

Limitar el trfico de red y mejorar el rendimiento de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes para que un router los procese antes de
procesar otro tipo de trfico, segn el protocolo. Esto se denomina colocacin en
cola, que asegura que los routers no procesarn paquetes que no son necesarios.
Como resultado, la colocacin en cola limita el trfico de red y reduce la
congestin.

Brindar control de flujo de trfico. Por ejemplo, las ACL pueden restringir o
reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones
se usan para limitar la propagacin de la informacin acerca de redes especficas
por toda la red.

Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma rea. Al Host A se le permite el acceso a la red de
Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se
configuran ACL en su router, todos los paquetes que pasan a travs del router
supuestamente tendran acceso permitido a todas las partes de la red.
Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces el
router. Por ejemplo, se puede permitir que se enrute el trfico de correo
electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.

Funcionamiento de las ACLs.

Una ACL es un grupo de sentencias que define cmo los paquetes:
Entran a las interfaces de entrada.
Se reenvan a travs del router.
Salen de las interfaces de salida del router.

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o
no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable
o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe,
ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es
permitido, entonces se compara con las entradas de la tabla de enrutamiento para
determinar la interfaz destino. A continuacin, el router verifica si la interfaz destino
tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz
destino.

Las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una
ondicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se
verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implcita
de "denegar cualquiera". Esto significa que, aunque la sentencia "denegar cualquiera"
no se vea explcitamente en la ltima lnea de una ACL, est all.

Configuracin de las ACLs.
Requieren dos pasos bsicos. El primer paso es crear una definicin de ACL, y el
segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o ms interfaces y
pueden filtrar el trfico entrante o saliente, segn la configuracin. Slo se permite una
ACL por interfaz. Las ACL salientes son generalmente ms eficientes que las entrantes,
y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada
paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a
una interfaz saliente.

PASO 1: Definir las sentencias que formarn la ACL. Cada una de ellas se define con
la siguiente sentencia

Router ((config))# access-list numero-lista-acceso {permit | deny}
{condiciones}

PASO 2: Aplicar dicha ACL sobre los interfaces en el sentido deseado con:

Router (config-iif)# {protocoll} access-group numero-lista-acceso {in/out}

Las ACL se crean utilizando el modo de configuracin global.

Al configurar las ACL en un router, se debe identificar cada ACL de forma
exclusiva, signando un nmero a la ACL del protocolo. Cuando se usa un
nmero para identificar una ACL, el nmero debe estar dentro del intervalo
especfico de nmeros que es vlido para el protocolo.

Se deben seleccionar y ordenar lgicamente las sentencias que forman la ACL
de forma muy cuidadosa. Cada una de estas sentencias debe hacer referencia al
mismo nombre o nmero identificatorio, para relacionar las sentencias a la
misma ACL. Se puede establecer cualquier cantidad de sentencias de condicin,
pero cuantas ms sentencias se establezcan, mayor ser la dificultad para
comprender y administrarla ACL.

Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla
usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas,
necesita eliminar todas las sentencias en la ACL numerada mediante el comando
no access-list umero-lista-acceso.
Point-to-point Protocol
Point-to-point Protocol (en espaol Protocolo punto a punto), tambin conocido por su
acrnimo PPP, es un protocolo de nivel de enlace estandarizado en el documento RFC
1661. Comnmente usado para establecer una conexin directa entre dos nodos de red.
Puede proveer autentificacin de conexin, cifrado de transmisin (usando ECP, RFC
1968), y compresin. PPP es usado en varios tipos de redes fsicas incluyendo, cable
serial, lnea telefnica, line troncal, telefona celular, especializado en enlace de radio y
enlace de fibra ptica como SONET. PPP tambin es usado en las conexiones de acceso
a internet (mercadeado como broadband). Los Proveedores de Servicio de Internet
(ISPs) han usado PPP para que accedan a internet los usuarios de dial-up, desde que los
paquetes de IP no pueden ser transmitidos via modem, sin tener un protocolo de enlace
de datos. Dos derivados del PPP son:
- Point to Point Protocolo over Ethernet (PPPoE)
- Point to Point Protocol over ATM (PPPoA)
Son usados comnmente por Proveedores de Servicio de Internet (ISPs) para establecer
una Linea Suscriptora Digital (DSL) de servicios de internet para clientes. Por tanto, se
trata de un protocolo asociado a la pila TCP/IP de uso en Internet.
PPP facilita dos funciones importantes:
Autenticacin. Generalmente mediante una clave de acceso.
Asignacin dinmica de IP. Los proveedores de acceso cuentan con un nmero
limitado de direcciones IP y cuentan con ms clientes que direcciones.
Naturalmente, no todos los clientes se conectan al mismo tiempo. As, es posible
asignar una direccin IP a cada cliente en el momento en que se conectan al
proveedor. La direccin IP se conserva hasta que termina la conexin por PPP.
Posteriormente, puede ser asignada a otro cliente.
PPP tambin tiene otros usos, por ejemplo, se utiliza para establecer la comunicacin
entre un mdem ADSL y la pasarela ATM del operador de telecomunicaciones.
Configuracin Automtica.
El Protocolo de Enlace de Control (LCP) inicia y termina conexiones, permitiendo a
los usuarios para negociar las opciones de conexin. Es una parte integrada en el PPP, y
est definido en el mismo estndar de especificacin. LCP provee configuracin
automtica de las interfaces de cada final y selecciona autentificacin opcional. El
Protocolo LCP corre encima del PPP (con el nmero de Protocolo 0Xc021) y por lo
mismo una conexin bsica PPP debe estar establecida antes que se configure el LCP.
LCP (Link Control Protocol) negocia parmetros del nivel de enlace en el
inicio de la conexin para el establecimiento (supresin de campos
direccin y control), configuracin y chequeo (para determinar la calidad
el enlace), mediante 3 clases de tramas.

Protocolo de Mltiples capas de Red.
PPP permite a mltiples capas de red de protocolo a operar en el mismo enlace de
comunicacin. Para cada capa de red de protocolo usada, un Protocolo de Control de
Red (NCP) separado, ofrece opciones para negociar y encapsular mltiples capas de
protocolo. Negocia informacin de la capa de red como direcciones de red u opciones
de compresin, despus que la conexin fue establecida.
Enlace de Deteccin de Ciclo
PPP detecta un ciclo de enlaces usando una caracterstica que envuelve numerous
mgicos. Cuando los nodos envan mensajes PPP LCP, estos mensajes pueden incluir
unos nmeros mgicos. Si una lnea est en ciclo, el nodo recibe un mensaje LCP con
su propio nmero mgico, en vez de obtener un mensaje con el nmero.
Opciones de Configuracin de PPP.
La seccin anterior introdujo el uso de las opciones de LCP para encontrar los
requerimientos especficos de una conexin WAN. PPP puede incluir las siguientes
opciones de LCP:
Autentificacin Los routers de Puerto intercambian mensajes de
autentificacin. Dos opciones de autentificacin son, Protocolo de
Autentificacion por Clave (PAP) y Protocolo de Autentificacin de Desafo
Mutuo (CHAP).
Compresin Aumenta el rendimiento efectivo en las conexiones PPP,
reduciendo la cantidad de data en la trama que debe viajar a travs de los
enlaces.
Deteccin de Error Identifica condiciones de falla. La calidad y la opcin de
Numero Mgicos ayudan a asegurar un confiable enlace de datos sin ciclos
repetitivos.
Multienlace Proporciona equilibrio de carga de varias interfaces usando el
Multilink de PPP.
Funcionamiento:
PPP consta de las siguientes fases:
1. Establecimiento de conexin. Durante esta fase, una computadora contacta con
la otra y negocian los parmetros relativos al enlace usando el protocolo LCP. Este
protocolo es una parte fundamental de PPP y por ello est definido en el mismo RFC.
Usando LCP se negocia el mtodo de autenticacin que se va a utilizar, el tamao de los
datagramas, nmeros mgicos para usar durante la autenticacin.
2. Autenticacin. No es obligatorio. Existen dos protocolos de autenticacin. El
ms bsico e inseguro es PAP, aunque no se recomienda dado que manda el nombre de
usuario y la contrasea en claro. Un mtodo ms avanzado y preferido por muchos ISPs
es CHAP, en el cual la contrasea se manda cifrada.
3. Configuracin de red. En esta fase se negocian parmetros dependientes del
protocolo de red que se est usando. PPP puede llevar muchos protocolos de red al
mismo tiempo y es necesario configurar individualmente cada uno de estos protocolos.
Para configurar un protocolo de red se usa el protocolo NCP correspondiente. Por
ejemplo, si la red es IP, se usa el protocolo IPCP para asignar la direccin IP del cliente
y sus servidores DNS.
4. Transmisin. Durante esta fase se manda y recibe la informacin de red. LCP se
encarga de comprobar que la lnea est activa durante periodos de inactividad.
Obsrvese que PPP no proporciona cifrado de datos.
5. Terminacin. La conexin puede ser finalizada en cualquier momento y por
cualquier motivo.

PPP tiene todas las propiedades de un protocolo de nivel de enlace:
Garanta de recepcin.
Recepcin ordenada.
Uso del puerto 53 para conexin bidireccional de sockets.
Usado en los balanceadores de carga (Load Balancer LB) como protocolo de
distribucin.
PPP versus SLIP
El protocolo SLIP cumple la misma funcin que PPP, pero se trata de un protocolo
mucho ms anticuado. Las ventajas de PPP sobre SLIP son:
Permite la conexin tanto mediante lneas sncronas como asncronas.
Permite la asignacin dinmica de direcciones IP en ambos extremos de la lnea.
Permite el transporte de varios protocolos de red sobre l (SLIP solamente
permite IP).
Implementa un mecanismo de control de red NCP.