ESCUELA POLITÉCNICA NACIONAL
ESCUELA DE INGENIERÍA
SISTEMAS AUTÓNOMOS PARA PROVEEDORES DE SERVICIODE INTERNET
PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO ENELECTRÓNICA Y TELECOMUNICACIONES
HUGO IVAN PROAÑO AYABACA
DIRECTOR: ING. PABLO HIDALGO
Quito, Noviembre 2001
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Hugo Iván Proaño
Ayabaca, bajo mi supervisión.
Ing. Pablo Hidalgo Lnsran
DIRECTOR DE PROYECTO
DECLARACIÓN
Yo, Hugo Iván Proaño Ayabaca, declaro que el trabajo aquí descrito es de mi
autoría; que no ha sido previamente presentado para ningún grado o calificación
profesional; y, que he consultado las referencias bibliográficas que se incluyen
en este documento.
La Escuela Politécnica Nacional, puede hacer uso de los derechos
correspondientes a este trabajo, según lo establecido por la Ley, Reglamento de
Propiedad Intelectual y por la normatividad institucional vigente.
Hugo Iván Proaño Ayabaca
A mi esposa Lizette:
Mi compañera y amiga
A mis Padres:
Los espejos en loscuales trato deReflejarme
A mi Padre: José ProañoQue me enseñó que estamos aquí para hacernos másfácil la vida los unos a los otros, y que la adversidadpuede ser un regalo.
A mi Madre: María de Lourdes AyabacaQue me enseña a sobrevivir y a aceptar las nuevasdirectivas de Dios.
A mi Esposa: Lizette GavilanesEl ser humano contemporáneo más importante de mivida.
Y a mis Hermanos: Edison, Byron y SantiagoGracias a los tres por vuestra habilidad paciencia ysabiduría.
ÍNDICE
Pag.
índice
índice de figuras viii
índice de Tablas xi
Resumen
Descripción General xii
Presentación
Perspectivas Actuales xv
Objetivos xvi
Alcances xvi
CAPITULO I
Introducción a las redes
1.1 Introducción al Modelo OSI 1
1.2 Concepto del Modelo OSI 1
1.3 Capas del Modelo OSI 2
1.3.1 Características Generales del Modelo OSI 3
1.3.2 Capa Física 3
1.3.3 Capa Enlace 4
1.3.4 Capa Red 6
1.3.5 Capa Transporte 7
1.3.6 Capa Sesión 8
1.3.7 Capa Presentación 9
1.3.8 Capa Aplicación 9
1.3.9 Trabajo de las Capasen el Modelo OSI 10
1.4 Protocolos TCP/IP 12
1.4.1 Introducción 12
1.4.2 Origen de los Protocolos TCP/IP 13
1.5 Estructura del modelo TCP/IP 13
1.6 IP (Internet Protoco!) 14
1.6.1 Encabezado de Datagrama del Protocolo Internet 16
1.6.2 Clases y números de opción válidos para encabezados IP 18
1.7 TCP (Transmission Control Protocol) 19
1.8 El Direccionamiento IP 22
1.9 La máscara de Subred 25
1.10 Comparación de los modelos OSI y TCP/IP 28
Referencias Bibliográficas 31
CAPÍTULO II
Protocolos de Encaminamiento
2.1 Introducción 32
2.2 Métodos de Encaminamiento 36
2.2.1 Conceptos Básicos 36
2.2.2 Clasificación de los Métodos de Encaminamiento 38
2.2.2.1 En función de donde se decide encaminar 38
2.2.2.2 En función de la adaptabilidad 41
2.2.2.3 Comparación de los Métodos de Encaminamiento 46
2.3 Algoritmos de Encaminamiento 46
2,3.1 Introducción 46
2.3.1.1 Algoritmo de camino más corto 46
2.3.1.2 Algoritmos aislados 47
u
2.3.1.3 Algoritmos de difusión 47
2.3.2 Teoría de Grafos 48
2.3.2.1 Árbol de expansión (Spanning Tree) de una red 49
2.3.2.2 Árbol de expansión de costo o distancia mínima (Minimun
Spanning Tree) 49
2.3.2.3 Árbol divergente (Sink Tree) de un nodo 50
2.3.3 Algoritmo de Dijkstra 51
2.3.4 Algoritmo de Floyd-Marshall 55
2.3.5 Algoritmo de Bellman-Ford 57
2.3.6 Algoritmo de Bellman-Ford Distribuido 61
2.3.7 Algoritmos de Inundación 64
2.3.8 Algoritmo de Aprendizaje hacia Atrás 65
2.4 Ambiente de enrutamiento 67
2.5 Enrutamiento Interior 68
2.5.1 RIP (Routing Information Protocof) 68
2.5.2 IGRP (Interior Gateway Routing Protocof) 69
2.5.3 OSPF (Open Shortest Path First) 70
2.5.4 IS-IS (Intermedíate System-Intermedíate System) 70
2.5.5 Enrutamiento Exterior 71
2.5.5.1 EGP (Exterior Gateway Protocof) 71
2.5.5.2 BGP (Border Gateway Protocol) 72
Referencias Bibliográficas 74
CAPITULO III
Sistemas Autónomos y BGP4
3.1 Introducción 75
3.2 Conceptos Generales 75
3.2.1 Definición de Sistema Autónomo 75
111
3.2.2 Definición de Backbone 75
3.2.3 Definición de Dominio 76
3.2.4 Interacción entre dos Sistemas Autónomos 77
3.3 Problemas que se presentan en la asignación de Sistemas Autónomos. 79
3.4 Cuando es necesario crear un Sistema Autónomo ? 80
3.4.1 Intercambio de información de ruteo externo 81
3.4.2 Existencia de muchos prefijos en un Sistema Autónomo SA 81
3.4.3 Requerimientos de una única política de enrutamiento 81
3.5 Guía de Creación de un Sistema Autónomo 81
3.5.1 Formularios para la obtención de un Sistema Autónomo 82
3.5.1.1 Formulario para una empresa Privada 82
3.5.1.2 Formulario para una empresa del Gobierno o Militar 83
3.5.2 Numeración de los Sistemas Autónomos 85
3.5.3 Costos de un Sistema Autónomo 86
3.5.4 Sistemas Autónomos en el Mundo 87
3.6 Introducción a una Sesión de BGP 87
3.6.1 Definición de Border Gateway Protocol 90
3.7 Tipo de Mensajes del Protocolo BGP 91
3.7.1 Common Header- Cabecera Común 91
3.7.2 Mensaje OPEA/ 92
3.7.3 Mensaje UPDATE 94
3.7.4 Mensaje NOTIFICATION 95
3.7.5 Mensaje KEEPALIVE 98
3.8 Modelo Conceptual de Operación de BGP4 99
3.9 Atributos de Base Estándar del Protocolo BGP4 100
3.9.1 Atributo OR/G/A/ 100
3.9.2 Atributo AS-PATH 100
3.9.3 Atributo NEXT-HOP 100
3.9.4 Atributo MULTI-EXIT-DISCRIMINATOR 100
3.9.5 Atributo LOCAL-PREF 100
3.9.6 Atributo ATOMIC-AGGREGATE 101
IV
3.9.7 Atributo AGGREGATOR 101
3.10 Interior BGP vs. Exterior BGP 101
3.11 Procesos de Selección de una ruta BGP 106
Referencias Bibliográficas 109
CAPÍTULO IV
Caso de Estudio
4.1 Introducción 110
4.2 Componentes de un ISP 110
4.2.1 Servicios Básicos de un ISP 111
4.2.1.1 Servicios de información en línea 111
4.2.1.2 Acceso a base de datos 112
4.2.1.3 Oficina Virtual 112
4.2.1.4 Servicios de correo electrónico 113
4.2.1.5 Transferencia de archivos 113
4.2.1.6 Servicio de DNS 114
4.2.1.7 Servicio de Web Hosting y Web Housing 114
4.2.1.8 Servicios de teleacción: telealarmas, telecontrol, telemedia,
teleseguridad, telemedicina, etc 114
4.2.1.9 Comercio electrónico 115
4.3 Descripción General 116
4.3.1 RADIUS Server 117
4.3.2 Servidores WEB 117
4.3.3 Servidor Proxy 118
4.3.4 Servidores de correo 118
4.3.5 Servidores de noticias 118
4.3.6 Servidores de terminales 118
4.3.7 Mirror Servers 119
4.3.8 Enlaces E1 con Andinatel y Pacifictel 119
4.3.9 Enlace Internacional 119
4.3.10 Enlaces Nacionales 120
4.3.11 Enlace a clientes 121
4.4 Detalle del nodo 122
4.4.1 Equipos de computación: Servidores 122
4.4.1.1 Definición de Firewall 125
4.4.2 Equipos y Tecnologías de comunicación 127
4.4.2.1 Network Access Servar (ÑAS) 127
4.4.2.2 Modems 127
a) Tipo de Modulación 127
b) Velocidad de Transmisión 128
c) Sistemas de seguridad 128
d) Normalización 129
e) Estándares 129
4.4.2.3 RDSIoISDN 131
a) Canales digitales 132
a1) Canal B (Bearer) 132
a2) Canal D (Señalización) 132
a3) Canal H 132
b) Accesos 132
b1) Acceso Básico (2B+D) 133
b2) Acceso Primario (30B+D) 133
4.4.2.4 Routers 134
4.5 Esquema Total 135
4.6 Tolerancia a Fallos 137
4.6.1 Servidores de Respaldo 137
4.6.2 Enlaces Redundantes 139
4.7 Direcciones de red del ISP y Ancho de Banda del ISP 140
4.8 Definición del Sistema Autónomo 140
4.9 Requerimientos para el funcionamiento del Sistema Autónomo 141
VI
4.10 Programación del Sistema Autónomo 144
4.10.1 Configuración del Routerde\o Local 145
4.10.2 Configuración del Router6e\o Internacional 147
4.10.3 Configuración del Routerde\o Backup 149
4.11 Costos referenciales de la Infraestructura de un ISP para el caso
demostrativo 150
Referencias Bibliográficas 154
CAPITULO V
Conclusiones y recomendaciones
5.1 Conclusiones 155
5.2 Recomendaciones 161
Bibliografía 163
Anexos
A1 RFC 1655
A2 Formulario para empresas Privadas
A3 Formulario para empresas del Gobierno o Militares
A4 Lista parcial de Sistemas Autónomos creados en el Internet
A5 Características generales de un Firewall (CISCO PIX)
A6 Implementación de un Firewall bajo la Plataforma Linux
A7 Características del Router CISCO 2500 y SWITCH CISCO 1548M
Vil
ÍNDICE DE FIGURAS
RESUMEN
i Esquema General de un ISP xiü
CAPITULO I
1.1 Capas del Modelo OSI 2
1.2 Operación de las capas del modelo OSI 11
1.3 Formato del datagrama IP 16
1.4 Segmento TCP 19
1.5 Estructuras de las direcciones IP 22
1.6 Modelo OSI vsTCP/IP 29
1.7 Familia de protocolos TCP/IP 30
CAPITULO II
2.1 Esquema de un nodo de conmutación 36
2.2 Ejemplo de gráfico de Nodos 37
2.3 Ejemplo de Encaminamiento salto a salto 39
2.4 Ejemplo del vector de distancias 43
2.5 Ejemplo para la teoría de gratos 48
2.6 Ejemplo de árbol de expansión para la red anterior 49
2.7 Árbol de expansión de distancia mínima 50
2.8 Árbol divergente para el nodo A 51
2.9 Ejemplo del Algoritmo de Dijkstra 53
2.10 Otro ejemplo de Algoritmo de Dijsktra 54
VIH
2.11 Ejemplo de Algoritmo de Floyd-Marshall 56
2.12 Matriz de distancias 56
2.13 Ejemplo para el análisis de Bellman/Ford 59
2.14 Distancia con n=0 59
2.15 Distancia con n=1 60
2.16 Distancia con n=2 60
2.17 Distancia con n=3 61
2.18 Ejemplo de Algoritmo de Bellman-Ford Distribuido 63
2.19 Ejemplo de Algoritmo de Aprendizaje 66
2.20 Representación de la Arquitectura de Internet 68
2.21 EGP y los Sistemas Autónomos 72
CAPÍTULO III
3.1 Cabecera Común 91
3.2 Mensaje OPEN. 92
3.3 Mensaje ÚRDATE 95
3.4 Prefijo IP 95
3.5 Mensaje NOTIFICATION 96
3.6 Ejemplo de E-BGP versus I-BGP 102
3.7 Comparando I-BGP y E-BGP 103
3.8 Conexión completa de I-BGP 104
3.9 Topología física para I-BGP 105
CAPITULO IV
4.1 Esquema del enlace Internacional a Internet 120
4.2 Enlace Nacional 121
4.3 Enlace Dial-Up con clientes 122
IX
4.4 Esquema Total 136
4.5 Tolerancia a Fallos 138
4.6 Enlace Redundante 139
4.7 Enlace Proveedor Internacional 139
4.8 Sistemas Autónomos 141
4.9 Análisis SNMP para un NAs de 2 E1 's 143
4.10 Configuración de Nodos 145
ÍNDICE DE TABLAS
CAPÍTULO I
1.1 Direcciones de Subredes 28
CAPITULO II
2.1 Definición de Mejor Ruta y Métrica 33
2.2 Tabla de Encaminamiento del NODO D 38
2.3 Tabla de Encaminamiento para los nodos A y B 39
2.4 Tabla de Encaminamiento Source-Routing para los nodos A-B 40
2.5 Comparación entre Salto a Salto y Fijado en el Origen 40
2.6 Comparación de Métodos de Encaminamiento 46
CAPITULO III
3.1 Formulario para empresa privada 82
3.2 Formulario para empresa Militar o del Gobierno 85
CAPITULO IV
4.1 Direcciones IP para el ISP local 140
4.2 Detalle de costos de Banda Satelital, Última milla y T1 151
4.3 Detalle de costos del nodo satelital 151
4.4 Detalle de costos por equipo del ISP 151
4.5 Detalle de Inversión (un solo pago) 152
4.6 Pago Mensual 153
XI
RESUMEN
Descripción General
Este proyecto de titulación es una contribución teórica, que presenta los
lineamientos para la implementación práctica de un Sistema Autónomo en el
país.
Los lineamientos marcados en este proyecto, en primer lugar muestran un
marco teórico de las tecnologías a utilizarse para luego dar a conocer el porque
de utilizar Sistemas Autónomos para los proveedores de Servicio de Internet;
adicionalmente se da a conocer las ventajas y desventajas de este Sistema, así
como también el procedimiento a seguir para la obtención del mismo.
Para la definición y puesta en marcha de un Sistema Autónomo se necesitarán
stock de protocolos de Encaminamiento tales como Bordar Gateway Protocol y
el stock de Protocolos de Internet que es TCP/IP. Se analizará los componentes
básicos que se deben tener para poder operar un ISP en el país.
Un ISP debe tener los siguientes componentes:
• Red Local, con sus respectivos servidores; Radius Server, Mail Server,
Cache Server, DNS Server, Web Server, FTP Server, News Server.
• Infraestructura de Comunicación Satelital del enlace Principal: Modem
Satelital, Amplificador de Potencia con decodificador HPA, Antena
Satelital, Router, Switch.
• Acceso a la nube de Internet con el Proveedor Internacional: Ultima milla
con el Proveedor Internacional, Acceso al backbone de Internet.
• Enlace de backup hacia la nube de Internet: Modem Satelital,
Amplificador de Potencia con decodificador HPA, Antena Satelital, Router,
Switch.
Xll
Enlaces de E1's (canales digitales) con el proveedor autorizado de
telefonía en el País (en el caso de la Sierra es Andinatel, para la Costa es
Pacifictel y para el Austro es Etapa).
Enlaces de Backup sobre los servidores.
ACCESO A LA NUBE DEINTERNET
INFRAESTRUCTURASATELITAL
ISP
RED LOCAL
ACCESO A LA NUBE DEINTERNET
Switch
Figura i Esquema General de un ISP
En el Capítulo 1, "Introducción a las redes", aquí se presentan los conceptos
básicos de redes, como el modelo OSl y el modelo TCP/IP, además de cómo
están estructurados los dos modelos con sus respectivas comparaciones
En el Capítulo 2, "Protocolos de Encaminamiento", presenta una visión sobre los
protocolos de ruteo, su clasificación, su funcionamiento y sus algoritmos en los
que se basa los diferentes protocolos de comunicación, existentes en la
actualidad.
Xl l l
En el Capitulo 3, "Sistemas Autónomos y BGP4", describe los conceptos
básicos, su definición y funcionamiento dentro de la gran red de Internet.
Además de su operación conjunta con el protocolo BGP.
En el Capítulo 4, "Caso de Estudio", Se presentará un diseño de un Sistema
Autónomo con un ISP local y un proveedor Internacional, para esto se prevé de
un enlace de Backup con el Proveedor Internacional, además de la definición del
mismo y la programación de los equipos de los diferentes nodos.
Capitulo 5, Conclusiones y Recomendaciones
Bibliografía
XIV
PRESENTACIÓN
PERSPECTIVAS ACTUALES
El acelerado crecimiento tecnológico que las comunicaciones han venido
sufriendo, obliga a que las empresas Proveedoras de Internet optimicen su
infraestructura en busca de nuevas tecnologías con altos rendimientos de
eficiencia y automatización, preparándose de esta manera para un futuro muy
competitivo.
Los proveedores de Servicio de Internet que brindan servicios de valor agregado
en el País se ven en la necesidad de automatizar sus enlaces con los
proveedores Internacionales, quienes tienen ya estructurado dentro de la nube
sistemas autónomos entre todos ellos.
Los proveedores locales no cuentan con sistemas autónomos, por lo que se
dificulta la administración del mismo y desmejora el rendimiento de la red; al no
existir el ruteo automático, obliga a los administradores de red a trabajar en
forma manual sobre la comunicación global que mantienen con los proveedores
Internacionales
Son éstos los motivos que impulsan a buscar en el presente, un proyecto que
permita analizar y diseñar de un Sistema Autónomo con ciertas características,
que brinda un esquema automático de ruteo dentro de la nube de Internet; esta
alternativa se ha visto que se puede alcanzar con la utilización de la tecnología
BGP4 y el stock de protocolos estándar de Internet que es el TCP/IP.
XV
OBJETIVOS
• Elaborar el análisis, diseño y descripción de los elementos de la
infraestructura para la implementación de un Sistema Autónomo para una
empresa distribuidora de Internet modelo (ISP), con el fin de mejorar la
administración de la red, Optimización del uso del Ancho de Banda de los
diferentes enlaces, como también la Tolerancia a Fallos en los enlaces de
comunicación en donde se tenga redundancia, además lograr la
independencia de otros ISP's
• Diseñar un Sistema Autónomo para proveedores locales de Servicio de
Internet (ISP) en el País sobre la gran red mundial de Internet.
• Realizar el estudio para la implementación de protocolos de enrutamiento
para Sistemas Autónomos como son EGP, BGP4 (Border Gateway Protocol)
sobre Empresas que proveen Internet, con otros Sistemas Autónomos.
• Determinar los requerimientos actuales para la implementación del Sistema
Autónomo sobre el proveedor local.
• Definir los lineamientos y procedimientos sobre la obtención del Sistema
Autónomo sobre el NIC Internacional.
ALCANCES
• Llegar a determinar el procedimiento para que un Proveedor de Servicio de
Internet, llegue a ser un Sistema Autónomo dentro de la red de Internet.
XVI
Establecer los protocolos a utilizarse para la imptementación del Sistema
Autónomo
Determinar los elementos de un Proveedor de Servicio de Internet, partiendo
de una demanda proporcionada por la Empresa TelcoNET.
Elaborar la programación del Sistema Autónomo en los diferentes equipos de
Comunicación tanto a nivel local como Internacional.
Tener una análisis de costos sobre la infraestructura del ISP y del valor a
pagar sobre ARIN para la implementación del Sistema Autónomo.
XVll
Capítulo I
Introducción a las Redes
1.1 Introducción al Modelo OSI
Un proceso de comunicación de datos es un proceso muy común, que en
ocasiones, incluso aquellas personas distanciadas del mundo de la
computación la utilizan y se ven en la necesidad de manejar y transmitir
información.
Es evidente que para el progreso y desarrollo de la sociedad son necesarios
la divulgación y el manejo de la información; pero en ocasiones el manejo y
la transmisión de los datos resulta distorsionada, por lo que los usuarios
deben asegurarse que sus datos se entreguen y reciban de manera
adecuada. Es necesario que los datos tengan un formato claro y eficiente, por
lo que se debe verificar los servicios que involucra la comunicación, tales
como los protocolos de traducción de formatos, códigos y sintaxis de los
lenguajes entre una computadora emisora y una receptora.
Es aquí donde el Modelo de Referencia de Interconexión de Sistemas
Abiertos (OSI) cobra la importancia que se merece, al permitir que sistemas
de computación diferentes se interconecten e interoperen, gracias a reglas
preestablecidas que deben ir cumpliéndose nivel a nivel para su total
desempeño logrando el concepto de Internetworking.
1.2 Concepto del Modelo OSI [1-1J
El Modelo de Referencia de Interconexión de Sistemas Abiertos, conocido
mundialmente como Modelo OS/ (Open System Interconnection), fue creado
por la Organización Internacional de Estandarización (ISO) y en él pueden
modelarse o referenciarse diversos dispositivos que reglamenta la ITU (Unión
Internacional de Telecomunicaciones), con el fin de poner orden entre todos
los sistemas y componentes requeridos en la transmisión de datos, además
de simplificar la interrelación entre fabricantes. Así, todo dispositivo de
cómputo y telecomunicaciones podrá ser referenciado al modelo y por ende
concebido como parte de un sistema interdependiente con características
muy precisas en cada nivel. Esta idea da la pauta para comprender que el
modelo OSI existe potencialmente en todo sistema de cómputo y
telecomunicaciones, pero que solo cobra importancia al momento de concebir
o llevar a cabo la transmisión de datos.
1.3 Capas del Modelo OSI[1-21Í1-3J
La mayoría de las redes se organizan en una serie de capas o niveles, con
objeto de reducir la complejidad de su diseño, construyéndose cada una de
ellas sobre su predecesora. El número de capas, el nombre, contenido y
función de cada una varían de una red a otra. Sin embargo en cualquier red
el propósito de cada capa es ofrecer ciertos servicios a las capas superiores,
liberándolas del conocimiento detallado sobre cómo se realizan dichos
servicios.
El modelo de referencia OSI[1'1] presenta siete capas como se muestra en lafigura 1.1
CAPA DE APLICACIÓN
CAPA DE PRESENTACIÓN
CAPA DE TRANSPORTE
Figura 1.1 Capas del Modelo OSI
1.3.1 Características Generales del Modelo OS/
• Cada una de las capas desempeña funciones bien definidas.
• Una capa se creará en situaciones en donde se necesita un nivel de
abstracción.
• Los servicios proporcionados por cada nivel son utilizados por el nivel
superior.
• Existe una comunicación virtual entre 2 capas similares, de manera
horizontal.
• La función que realizará cada capa deberá seleccionarse con la intención
de definir protocolos normalizados internacionalmente.
• Existe una comunicación vertical entre una capa de nivel N y la capa de
nivel N +1.
• La comunicación física se lleva a cabo entre las capas de nivel 1.
• El número de capas deberá ser lo suficientemente grande para que
funciones diferentes no tengan que ponerse juntas en la misma capa, y
por otra parte también deberá ser lo suficientemente pequeño para que su
arquitectura no llegue a ser difícil de manejar.
1.3.2 Capa Física
Es el primer nivel del modelo OSI y en él se definen y se reglamentan todas
las características físicas-mecánicas y eléctricas que debe cumplir e! sistema
para poder operar. Como es el nivel más bajo, éste se encargará de las
comunicaciones físicas entre dispositivos, así como de cuidar su correcta
operación. Es bien conocido que la información computarizada es procesada
y transmitida en forma digital siendo ésta de bits: 1 y 0. Por esta razón, toda
aplicación que se desee enviar, será transmitida en forma serial mediante la
representación de unos y ceros.
En este nivel, se encuentran reglamentados los interíaces de sistemas de
cómputo y telecomunicaciones (RS-232 o V.24, V.35, etc.) así como los tipos
de conectores o ensambles mecánicos asociados a los interíaces (DB-25 y
RJ-45 para RS-232 o V.24, y BNC de 75 ohms para G.703)
Debajo del nivel 1 del modelo OSI o nivel físico se ubican todos los medios
de transmisión de los sistemas de telecomunicaciones para el mundo WAN
(Wide Área Network), tales como sistemas satelitales, microondas,
radioenlaces, canales digitales y líneas privadas, así como los medios de
transmisión para redes de área local (LAN: Local Área Network), cables de
cobre (UTP.STP) y fibra óptica. Igualmente, en este nivel se ubican todos
aquellos dispositivos pasivos y activos que permiten la conexión de los
medios de comunicación como repetidores de redes LAN, repetidores de
microondas y fibra óptica, conmutadores de circuitos físicos de telefonía o
datos, equipos de modulación y demodulación (modems).
En resumen se dice que la capa Física transmite el flujo de bits sobre un
medio físico, en el que se realiza la adaptación de las señales de los
dispositivos.
1.3.3 Capa Enlace
Conocida también como nivel de Trama (Frame) o Marco, se encarga de
preparar la información codificada en forma binaria en formatos previamente
definidos por el protocolo a utilizar.
Tiene su aplicación en el contexto de redes WAN y LAN, ya que como se
estableció previamente la transmisión de datos no es mas que el envío en
forma ordenada de bits de información. Se podría de hecho concebir a ésta
como una cadena de bits que marchan en una fila inmensa (para el caso de
transmisiones seriales), cadena que carece de significado hasta el momento
en que las señales binarias se agrupan bajo reglas, a fin de permitir su
interpretación en el lado receptor de una manera constante.
Este nivel ensambla los datos en tramas y los transmite a través del medio
(LAN o WAN). Es el encargado de ofrecer un control de flujo entre tramas, así
como un mecanismo para control de errores. Es en este nivel y mediante
algoritmos como CRC1 (Cyclic Redundancy Check), donde se podrá validar la
integridad física de la trama.
En el nivel enlace de datos se lleva a cabo el direccionamiento físico de la
información; es decir, se leerán los encabezados que definen las direcciones
de los nodos (para el caso WAN) o de los segmentos (para el caso LAN) por
donde viajarán las tramas. Se dice que son direcciones físicas ya que las
direcciones lógicas o de la aplicación que se pretende transmitir serán
direccionadas o enruladas en un nivel superior llamado nivel de red. En este
nivel de enlace sólo se da tratamiento a las direcciones MAC (Media Access
Control) para el caso de LAN y a las direcciones de las tramas síncronas
como HDLC2 (High-Level Data Link Controf), SDLC3 (Synchronous Data Link
Control, de IBM), LAP-B (Link Access Procedure Balance) por citar algunos
para el caso WAN.
Como se ha expuesto hasta este momento, en el nivel dos del modelo OSI o
nivel de enlace, se definen los protocolos que manejan tramas como HDLC,
SDLC, LAP-B, direcciones MAC, LLC, estándares de red como Token Ring,
Ethernet, FDDI, ya que estos últimos manejan tramas específicas que
involucran direcciones MAC. Las topologías de Bus, Anillo o Estrella se
pueden referenciar al nivel físico del modelo OSI, ya que son consideradas
infraestructuras de transmisión antes que protocolos y por lo tanto carecen de
direcciones.
No sólo se puede referenciar protocolos al nivel de enlace del modelo OSI,
también hay dispositivos como los puentes LAN (Bridges4), que por su
funcionamiento (operación con base en direcciones MAC únicamente) se les
puede ubicar en este nivel del modelo de referencia. El puente, a diferencia
1 CRC, Método de control de errores que emplea redundancia cíclica.2 HDLC, Control de enlace de datos de alto nivel.3 SDLC, Control de enlace de datos Sincrónicos.4 Bridges, se usan para interconectar redes locales, trabaja en el nivel de enlace.
del repetidor, puede segmentar y direccionar estaciones de trabajo en función
de la lectura e interpretación de las direcciones físicas de cada dispositivo
conectado a la red.
En resumen, se puede decir que la capa de Enlace de Datos es aquella que
transmite la información como grupos de bits, o sea que transforma los bits
en trames, por lo cual si se recibe una trama se espera un conjunto de
señales para convertirlas en caracteres, en cambio si se manda una trama se
convierte directamente cada carácter en señales ya sean digitales o
analógicas.
1.3.4 Capa Red
Encargada del enrutamiento de los paquetes dentro de la red. En este nivel la
unidad de información ya no es la trama - propia del nivel de enlace de datos
- sino el paquete o en su caso el datagrama.
Se le denomina paquete cuando se hace uso de un servicio orientado a
conexión, que significa utilizar circuitos virtuales cuyo caso típico es el del
protocolo X.25. Se denomina datagrama cuando se hace uso de un servicio
no orientado a conexión, donde el protocolo IP es el más representativo.
En este nivel no sólo se lleva a cabo el enrutamiento de los paquetes o
datagramas, también se realiza el direccionamiento de la aplicación, conocido
como direccionamiento lógico.
En esta capa se conoce hacia donde va, pero no se sabe por donde se irá, es
aquí donde los protocolos de enrutamiento como RIP5 (Routing Information
Protocof), OSPF (Open Shortest Path First), IGRP (Interior Gateway Routing
Protocof), entre otros, que viven en este nivel del modelo OSI, decidirán cual
es la mejor ruta. Esta decisión se lleva a cabo con base en el costo de la ruta
5 RIP, OSPF, IGRP, Protocolos de Enrutamiento
(métrica), número de nodos intermedios y cantidad de tráfico que se
encuentre cursando una ruta específica. Una cosa es "a dónde se va" y otra
distinta "por dónde se va".
En este nivel del modelo de referencia de la red se lleva a cabo el
direccionamiento de la aplicación mediante direcciones lógicas (no físicas),
las cuales según el protocolo indicarán no sólo el nodo de conmutación de la
red de transporte, sino la dirección final del usuario; ésta puede ser una
estación de trabajo o algún dispositivo bien determinado que se encuentre en
un segmento de red. Un caso de dirección lógica es el direccionamiento IP
(Internet Protocof), el cual representa a un usuario específico en una red, y
otro nivel representa también una dirección física del segmento o nodo al que
pertenece.
En resumen, la capa red se encarga del manejo de la información de
enrutador e interceptores, así como de manejar el Hardware, ruteadores,
multiplexores para mejorar el enrutamiento de los paquetes.
1.3.5 Capa Transporte
En esta capa se realiza y se garantiza la calidad de la comunicación, ya que
asegura la integridad de los datos. Es aquí donde se realizan las
retransmisiones cuando la información fue corrompida o porque alguna trama
(del nivel 2) detectó errores en el formato y se requiere volver a enviar el
paquete o datagrama.
El nivel transporte notifica a las capas superiores si se está logrando la
calidad requerida. Este nivel utiliza reconocimientos, números de secuencia y
control de flujo.
Los protocolos TCP (Transmission Control Protocof} y UDP (User Datagram
Profoco/) son ejemplos de protocolos de capa de transporte, al igual que SPX
(Sequenced Packet Exchange) de Novell.
En resumen, se dice que la capa Transporte determina la integridad de datos
de extremo a extremo; esto es, se encarga el flujo de datos del transmisor al
receptor verificando la integridad de los mismos por medio de algoritmos de
detección y corrección de errores.
1.3.6 Capa Sesión
Esta capa es la encargada de proveer servicios de conexión entre las
aplicaciones, tales como iniciar, mantener y finalizar una sesión. Establece,
mantiene, sincroniza y administra el diálogo entre aplicaciones remotas.
Cuando se establece una comunicación y se solicita un comando como login,
se está iniciando una sesión con un host remoto y se puede referenciar esta
función con el nivel de sesión del modelo OSI. Del mismo modo, cuando se
notifica de una suspensión en el proceso de impresión por falta de papel en la
impresora, es el nivel de sesión el encargado de esta notificación y de todo lo
relacionado con la administración de la sesión. Cuando se desea finalizar una
sesión, quizá mediante un logout, es el nivel de sesión el que se encargará
de sincronizar y atender esta petición a fin de liberar los recursos de procesos
y canales (lógicos y físicos) que se hayan estado utilizando.
NetBIOS (Network Basic Input/Output System) es un protocolo que se
referencia en el nivel de sesión del modelo OSI, al igual que RPC6 (Remote
Procedure Calí) utilizado en el modelo cliente-servidor.
6 RPC es una infraestructura cliente/servidor que incrementa la interoperabilidad, portabilidady flexibilidad de una aplicación al permitir que ésta pueda distribuirse sobre diversasplataformas heterogéneas. Reduce la complejidad del desarrollo de aplicaciones queabarcan diferentes sistemas operativos y protocolos de red, al aislar al programador de losdetalles de estos entornos.
En resumen, se puede decir que la capa Sesión es un espacio en tiempo que
se asigna al acceder al sistema por medio de un login en el cual se obtiene
acceso a los recursos del mismo servidor conocido como "circuitos virtuales".
La información que utiliza nodos intermedios, y que puede seguir una
trayectoria no lineal se conoce como "sin conexión".
1.3.7 Capa Presentación
Tiene relación con la forma en la que los datos son representados en una
computadora. Proporciona conversión de códigos y reformateo de datos de la
aplicación del usuario. Es conocido que la información es procesada en forma
binaria y en este nivel se llevan a cabo las adaptaciones necesarias para que
pueda ser presentada de una manera más accesible.
Códigos como ASCII (American Standard Code for Information Interchange) y
EBCDIC (Extended Binary Codeó Decimal Interchange Code), que permiten
interpretar los datos binarios en caracteres que puedan ser fácilmente
manejados, tienen su posicionamiento en la capa de presentación del modelo
OSI.
Los sistemas operativos como DOS y UNIX también se ubican en este nivel,
al igual que los códigos de comprensión y encriptamiento de datos. El nivel
Presentación negocia la sintaxis de la transferencia de datos hacia el nivel
aplicación.
En resumen, se dice que la capa Presentación es aquella que provee
representación de datos, es decir, mantiene la integridad y valor de los datos
independientemente de la representación.
1.3.8 Capa Aplicación
Es el nivel más cercano al usuario y a diferencia de los demás niveles, por
ser el más alto o el último, no proporciona servicio a ningún otro nivel.
Cuando se habla de aplicaciones lo primero que viene a la mente son las
aplicaciones que se procesan, es decir, una base de datos, una hoja de
cálculo, un archivo de texto, etc., lo cual tiene sentido ya que son las
aplicaciones que finalmente se desea transmitir. Sin embargo, en el contexto
del Modelo de Referencia de Interconexión de Sistemas Abiertos, al hablar
del nivel de Aplicación no se está refiriendo a las aplicaciones que se acaba
de citar; en OSI el nivel de aplicación se refiere a las aplicaciones de red que
se van a utilizar para transportar las aplicaciones del usuario.
FTP (File Transfer Protocol), Mail, Rlogin, Telnet, son entre otras las
aplicaciones relacionadas con el nivel 7 del modelo OSI y sólo cobran vida al
momento de requerir una comunicación entre dos entidades.
Es por eso que al principio se citó que el modelo OSI tiene relevancia en el
momento de surgir la necesidad de intercomunicar dos dispositivos disímiles,
aunque OSI vive potencialmente en todo dispositivo de cómputo de
telecomunicaciones.
En resumen, se puede decir que esta capa es una sesión específica de
aplicación (API) es decir, son los programas que ve el usuario.
1.3.9 Trabajo de las Capas en el Modelo OSI
La comunicación según el modelo OSI siempre se realizará entre dos
sistemas. Si la información se genera en el nivel 7 de uno de ellos,
descenderá por el resto de los niveles hasta llegar al nivel 1, y a través del
medio de transmisión (por ejemplo el cable de red) llegará hasta el nivel 1 del
otro sistema, donde ascenderá hasta alcanzar el nivel 7.
En este proceso, cada uno de los niveles va añadiendo a los datos a
transmitir la información de control relativa a su nivel, de forma que los datos
originales van siendo recubiertos por datos de control.
De forma análoga, al recibirse dicho segmento en el otro sistema, según va
ascendiendo del nivel 1 al 7, va dejando en cada nivel los datos añadidos por
10
el nivel equivalente del otro sistema, hasta quedar únicamente los datos a
transmitir.
EmisorAplicación
PresentaciónSesión
TransporteRed
EnlaceFísico
PaqueteC7 Datos
C6 C7 DatosC5 C6 C7 Datos
C4 C5 C6 C7 DatosC3 C4 C5 C6 C7 Datos
C2 C3 C4 C5 C6 C7 DatosC2 C3 C4 C5 C6 C7 Datos
ReceptorAplicación
PresentaciónSesión
TransporteRed
EnlaceFísico
C7-C2 : Datos de control específicos de cada nivel.
Figura 1.2 Operación de las capas del modelo OSI
Los niveles OSI se entienden entre ellos, es decir, el nivel 5 enviará
información al nivel 5 del otro sistema (lógicamente, para alcanzar el nivel 5
del otro sistema debe recorrer los niveles 4 al 1 de su propio sistema y el 1 al
4 del otro), de manera que la comunicación siempre se establece entre
niveles iguales. A las normas para la comunicación entre niveles iguales es a
lo que se llama protocolos. Este mecanismo asegura la medularidad del
conjunto, ya que cada nivel es independiente de las funciones del resto, lo
cual garantiza que a la hora de modificar las funciones de un determinado
nivel no sea necesario rescribir todo el conjunto.
En las familias de protocolos más utilizadas en redes de ordenadores
(TCP/IP, IPX/SPX, etc.) se encontrará a menudo funciones de diferentes
niveles en un solo nivel, debido a que la mayoría de ellos fueron
desarrollados antes que el modelo OSI.
1.4 Protocolos TCP/IP
1.4.1 Introducción
Un protocolo es un conjunto de reglas que establece la forma en que dos
equipos van a establecer una comunicación.
Los protocolos TCP/IP son protocolos ampliamente usados en todo el mundo.
Ello es debido a que son protocolos usados por Internet (la red de redes) y
por que su uso ha sido muy difundido en UNIX.
Como ya se ha mencionado TCP/IP son protocolos utilizados por Internet, de
modo que para que pueda existir una comunicación los distintos ordenadores
conectados al Internet deben hablar el mismo idioma, es decir, se debe usar
el mismo protocolo de comunicaciones.
Los protocolos TCP/IP se encargan de fraccionar la información que se va a
transmitir en paquetes más pequeños en los que se insertan las direcciones
de los ordenadores de origen y destino, estableciendo distintos mecanismos
de control para asegurar que la información transmitida llegue intacta a su
destino. Para ello eligen las rutas más convenientes hasta el receptor por las
que se efectuarán los envíos. Una vez que todos los paquetes han llegado a
su destino y tras hacer comprobaciones de la integridad de la información
transmitida, estos protocolos se encargan de reordenar y componer las
fracciones de la información original de forma que ésta quede como
inicialmente se envió.
Los paquetes transmitidos utilizando los protocolos TCP/IP pueden viajar a
diferentes velocidades (siendo almacenados temporalmente en los nodos
cuando se disminuye la velocidad de transmisión) y utilizar diferentes medios
físicos para llegar a su destino (satélites, líneas telefónicas, fibras ópticas,
12
cables coaxiales, etc.), sin embargo todo este proceso permanecerá
transparente para el usuario de la Internet.
1.4.2 Origen de los Protocolos TCP/IP
A mediados de los 70, el departamento de Defensa de los Estados Unidos se
vio obligado a dar solución a los problemas de comunicaciones electrónicas
internas que usaban sistemas informáticos variados. Por ello se encargó al
ARPA (Avanced Research Projects Agency) que desarrollara junto con las
principales Universidades y fabricantes de equipos informáticos, un protocolo
estándar de comunicaciones. Todo ello dio lugar a dos redes: una de uso
exclusivamente militar MILNET y otra con fines experimentales de
investigación ARPANET. Todo ello constituyó el origen del actual Internet y
del conjunto de protocolos TCP/IP.
1.5. Estructura del modelo TCP/IP[14J
El modelo TCP/IP se conforma de cuatro niveles en donde cada nivel
manipula una unidad básica con nombre diferente :
• Nivel de Aplicación (mensajes)
• Nivel de Transporte (segmentos)
• Nivel de Internet (paquetes o datagramas)
• Nivel de interfaz de red (frames)
Los protocolos del Internet pueden ser utilizados para interconectar cualquier
tipo de red, ya sea del tipo LAN o también WAN. Además dentro de estos
protocolos no solo se incluyen especificaciones de bajo nivel (como TCP e
IP), también se incluyen especificaciones para aplicaciones comunes como
correo electrónico, emulación de terminal y transferencia de archivos.
13
1.6 IP (Internet Protocof)
IP es un protocolo primario del modelo OSI, así como una parte integral de
TCP/IP. Aunque la palabra Internet aparece en el nombre del protocolo, no
está restringido para uso con Internet. IP no solo se usa para máquinas con
Internet, puede también utilizarse en redes dedicadas que no tienen relación
en absoluto con Internet. IP define un protocolo, más no una conexión.
En efecto IP es una relación muy buena para cualquier red que necesite un
protocolo eficiente para comunicaciones máquina a máquina, aunque
enfrenta alguna competencia de protocolos como IPX de Novell (el cual poco
a poco irá desapareciendo, debido a que los nuevos sistemas operativos de
Novell usan ya como protocolo principal IP).
Una de las tareas principales de IP es direccionar datagramas de información
entre computadoras y manejar el proceso de fragmentación de estos
datagramas. El protocolo tiene una definición formal de la disposición de un
datagrama de información y de la formación de un encabezado, la cual
transporta información acerca del datagrama. IP es responsable del
enrutamiento de un datagrama, determinando a donde será enviado y
concibiendo rutas alternativas en caso de problemas.
Otro aspecto importante del propósito de IP tiene que ver con el envío no
confiable de un datagrama. No confiable en el sentido que el envío del
datagrama no está garantizado, debido a que puede demorarse, enrularse
mal o mutilarse en la descomposición y reensamblaje de los fragmentos del
mensaje. IP no tiene nada que ver con el control o la confiabilidad de flujo; no
tiene capacidad inherente para verificar que un mensaje enviado se reciba en
forma correcta.
IP no tiene una suma de verificación para el contenido de datos de un
datagrama, solo lo tiene para la información del encabezado. Las tareas de
verificación y control de flujo se dejan a otros componentes en el modelo de
14
capas. Parte del sistema IP define cómo manejar los gateways7, los
datagramas, cómo y cuándo deben producir mensajes de error y cómo
recuperarse de problemas que podrían surgir.
IP proporciona un tamaño de paquete máximo de 65.535 bytes, el cual es
mucho más grande de lo que pueden manejar la mayor parte de las redes, de
ahí la necesidad de fragmentación. IP tiene la capacidad para dividir de
manera automática, un datagrama de información en datagramas más
pequeños si es necesario.
Cuando el primer datagrama de un mensaje más grande, que se ha dividido
en fragmentos, llega a su destino, se inicia un temporizador de reensamblaje
con la capa IP de la máquina receptora. Si todas la piezas del datagrama
entero no se reciben cuando el temporizador alcanza un valor
predeterminado, todos los datagramas que se han recibido se desechan. La
máquina receptora conoce el orden en que han de reensamblarse las piezas,
debido a un campo en el encabezado IP. Una consecuencia de este proceso
es que un mensaje fragmentado tiene una probabilidad menor de llegar que
un mensaje no fragmentado, por lo cual la mayoría de la aplicaciones tratan
de evitar la fragmentación siempre que sea posible.
IP es sin conexión, lo que significa que no se preocupa por los nodos por
donde pasa un datagrama a lo largo de la ruta o incluso, en cuáles máquinas
empieza y termina el datagrama. Esta información está en el encabezado,
pero el proceso de analizar y pasar un datagrama no tiene nada que ver con
el análisis que hace IP del envío y recepción de direcciones.
IP maneja el direccionamiento de un datagrama con la dirección Internet de
32 bits completa, aún cuando las direcciones del protocolo de transporte
usen 8 bits. Una versión nueva de IP, llamada versión 6 o Ipv6 (IP Siguiente
Generación) puede manejar encabezados muchos más grandes.
7 Gateways, literalmente puerta de acceso, dispositivo que permite conectar dos redes entresí, normalmente de distinto protocolo.
15
1.6.1 Encabezado de Datagrama del Protocolo Internet1141
El formato del datagrama IP queda representado en la figura 1.3. El tamaño
de la cabecera es de 20 bytes, a no ser que presente opciones.
O 1516 31Ver 4 HL4
bits bitsTOS 8 bits
Identificación
TTL 8 bit Protocolo 8 bits
LONGITUD TOTAL 16 bits
Flag de 3 bits Fragment Offset 13 bits
Suma de Control de cabecera 16 bits
Dirección IP Fuente 32 bits
Dirección IP Destino 32 bits
Opciones (Si existen) Múltiplo de 32 bits
Datos
Figura 1.3 Formato del datagrama IP
El bit más significativo está marcado como O en el lado izquierdo, mientras
que el menos significativo de la palabra de 32 bits se etiqueta como 31 en el
lado derecho. Los 4 octetos de cada palabra de 32 bits se trasmiten
empezando por el O hasta el 31.
La versión en curso actualmente es la 4 también conocida como IPv4
aunque ya ha comenzado a ser operativa la IPv6. El campo 'Ver" sobre 4 bits
transporta esta información.
El campo HL indica el número de palabras de 32 bits que componen la
cabecera, el cual se tendrá incluyendo las opciones eventuales. Puesto que
su tamaño es de 4 bits, se puede tener hasta 64 bytes de longitud máxima en
la cabecera IP. Este campo posee habitualmente el valor 5 (cuando no
existen opciones).
16
TOS (Type of service) indica el Tipo de Servicio. Actualmente los 3 primeros
bits son ignorados, los 4 siguientes representan el TOS y el último está
inutilizado y su valor debe ser siempre 0.
El campo Longitud Total contiene el tamaño en octetos del datagrama IP.
Gracias a él y al campo HL se puede conocer donde empieza y termina la
porción de datos. Como utiliza 16 bits, se puede deducir que el tamaño
máximo o MTU de un datagrama IP será de 65535 bytes .
El mecanismo de fragmentación utilizado por IP hace uso de los siguientes 3
campos. El primero, Identificación, permite marcar de forma única cada
datagrama enviado por una máquina. Se incrementa normalmente en cada
nuevo envío. Cuando se produce una fragmentación, este valor es copiado
en cada uno de los trozos o fragmentos que componen el datagrama original.
El campo flag de 3 bits, activa entonces uno de ellos (el número 2) conocido
como more fragmente colocando a 1 en todos los trozos excepto en el
último. El campo Fragment Offset contiene el índice del fragmento a partir
del datagrama original. Además, el nuevo campo Longitud Total de cada
fragmento es actualizado a su nuevo valor.
Existe un bit (el número 1) en el campo Flag conocido como Don't fragment
Si está activado a 1, IP no producirá ninguna fragmentación eliminando el
datagrama y enviando un mensaje de error ICMP8 a la fuente, en caso que el
tamaño del datagrama supere el máximo permitido.
Para evitar que un datagrama quede atrapado en algún bucle dentro de la red
(problemas con los protocolos de encaminamiento, p.ej.) existe un tiempo de
vida representado mediante el campo TTL (Time to Uve). Se inicializa a un
cierto valor por el remitente y se decrementa en una unidad por cada
Pasarela o Routerque atraviesa.
8 ICMP, (Internet Control Message Protocol) es un protocolo robusto encargado de generarmensajes de error en caso de fallas durante el transporte de los datos por el cable. Lanotificación de errores no depende de un centro de gestión de red central. ICMP envía losmensajes de error a todos los host.
17
Cuando se alcanza el valor O, el datagrama se elimina y un mensaje ICMP es
enviado a la fuente indicando el suceso.
IP identifica el protocolo (TCP, UDP, ICMP) al cual debe hacer llegar la
información, a través de campo Protocolo.
La Suma de Control abarca únicamente la cabecera IP. Se calcula como
una suma sin acarreo sobre 16 bits, de todos los bytes que componen la
cabecera IP considerándolos como una secuencia de palabras de 16 bit. Sin
embargo, otros protocolos como TCP, UDP, ICMP utilizan códigos de
redundancia cíclica (CRC) basados en algoritmos más sofisticados.
El motivo es claro, una Pasarela o Router debe procesar grandes cantidades
de paquetes por unidad de tiempo. Generalmente, el único valor que modifica
a cada datagrama es el TTL, decrementándolo en una unidad. El cálculo de
la suma de control puede ser realizado de forma incrementa! disminuyendo
drásticamente el tiempo de proceso de cada datagrama por las pasarelas
intermedias.
Como ya se comentó anteriormente, cada datagrama contiene la dirección
IP del destinatario y la del remitente.
El campo Opciones es una lista de longitud variable con información
específica del datagrama.
1.6.2 Clases y números de opción válidos para encabezados IP
Las clases y números de opción válidos se los verá en el siguiente cuadro:
Clase de Opción000
00
02
Número de Opción012
37
94
DescripciónMarca el final de la lista de opcionesNinguna opción (usada para relleno)Opciones de seguridad (sólo parapropósitos militares)Enrutamiento de fuente holgadaActiva el registro de enrutamiento (agregacampos)Enrutamiento de fuente estrictaActiva el marcador de tiempo (agregacampos)
1.7 TCP (Transmission Control Protocol) {1-4}
Es un protocolo de transporte orientado a conexión, el mismo que cuenta con
detección y corrección de errores en el host9 de origen y destino. Es el
responsable de dividir los mensajes en paquetes y reensamblarlos en el host
de destino, reenviar cualquier dato perdido, reconocer mensajes duplicados y
descartarlos, garantizando la integridad de los datagramas. TCP pone una
identificación delante del paquete, que incluye el número del puerto de origen
y destino, un número de secuencia y un valor de control (checksum). Ver
figura 1.4
O 15 16 31Puerto Fuente (16 bits) Destino (16 bits)
Número de secuencia (32 bits)
Numero de acuse de recibo (32 bits)
Longitud de lacabecera
Reservado Flags6 bits
Suma de verificación (16 bits)
Ventana (16 bits)
Señalador urgente (16 bits)Opciones y Relleno
Datos (variable)
Figura 1.4 Segmento TCP
9 host significa que cualquier computador tiene doble vía total de acceso para otroscomputadores sobre el Internet.
I9
Puerto fuente: Un campo de 16 bits que identifica al usuario TCP local (por
lo general un programa de aplicación de capa superior)
Puerto destino: Un campo de 16 bits que identifica al usuario TCP de la
máquina remota.
Número de Secuencia: Un número que indica la posición del bloque actual
en el mensaje total. Este número se usa también entre dos implementaciones
TCP para proporcionar el número de secuencia de envió inicial.
Número de acuse de recibo: Un campo que indica el siguiente número de
secuencia esperado. De una manera ambigua, éste muestra además el
número de secuencia de los últimos datos recibidos indicando el último
número de secuencia recibido más 1.
Longitud de la cabecera: Indica el número de palabras de 32 bits en el
encabezado TCP.
Reservado: Un campo de 6 bits reservado para uso futuro. Los 6 bits deben
fijarse en 0.
Flags: contiene las siguientes 6 banderas
• Bandera Urg: Si está activa (un valor de 1), indica que el campo del
señalador urgente es significativo.
• Bandera Ack: Si está activa, indica que el campo Acuse de recibo es
significativo.
• Bandera Psh: Si está activa, indica que la función push debe
ejecutarse.
• Bandera Rst: Si está activa, indica que la conexión debe reiniciarse.
20
• Bandera Syn: Si está activa, indica que los números de secuencia
deben sincronizarse. Esta bandera se usa cuando se está
estableciendo una conexión.
• Bandera Fin: Si está activa, indica que el transmisor no tiene más
datos que enviar. Este es el equivalente de un marcador de fin de la
transmisión.
Ventana: Un número que indica cuántos bloques de datos puede aceptar la
máquina receptora.
Suma de verificación: Calculada tomando el complemento de uno de 16
bits, que corresponde a la suma del complemento de uno de las palabras de
16 bits en el encabezado (incluyendo seudoencabezado) y texto juntos. (Un
proceso bastante largo que se requiere para ajustar la suma de verificación
en el encabezado.)
Señalador urgente: Usado si se estableció la bandera urg; indica la parte del
mensaje de datos que es urgente al especificar la compensación del número
de secuencia en el encabezado. TCP no toma ninguna acción específica con
respecto a los datos urgentes; la acción la determina la aplicación.
Opciones: Similar al campo opciones del encabezado IP, éste se usa para
especificar opciones TCP. Cada opción consta de un número de opción (un
byte), el número de bytes en ésta y los valores de la opción. En la actualidad,
sólo están definidas tres opciones para TCP:
• O Fin de la lista de opciones
• 1 No operación
• 2 Tamaño máximo del segmento
Relleno: Se usa para asegurar que el encabezado sea un múltiplo de 32
bits.
21
1.8 El Direccionamiento IPÍ1-7J
Las direcciones MAC permiten identificar máquinas dentro de un mismo
segmento de red pero ello no es suficiente para satisfacer las necesidades de
comunicación dentro de una red que puede estar compuesta por miles de
ellos. Se necesita pues un protocolo de red que permita hacer llegar a su
destino una unidad de información, datagrama IP en nuestro caso, que a lo
largo de su recorrido pueda atravesar redes con protocolos de enlace muy
dispares. (Ethernet, Token Ring, Token Bus, líneas punto a punto con SLIP,
PPP, HDLC y un sin fin de combinaciones a través de otras redes como RDSI
o Frame Relay)
Las direcciones IP tienen una longitud de 32 bits, organizadas en 4 grupos de
8 bits cada uno. Se dividen fundamentalmente en dos partes: la porción de la
Red y la porción de la máquina.
La porción de red identifica a un grupo de máquinas que comparten al mismo
protocolo de enlace dentro del mismo medio físico. El campo de máquina
hace referencia a todas aquellas estaciones conectadas a la misma red.
El tamaño de cada parte depende del valor de los bits de mayor peso, tal y
como se muestra en la figura 1.5.
Clase
A 07 bits 24 bits
Red | Máquina14 bits 16 bits
B 1 0 Red | Máquina21 bits 8 bits
C 1 1 0| Red | Máquina28 bits
D (T 1 1 1 0 Multicast27 bits
E [T 1 1 1 1 | 0 1 Futuras Aplicaciones
0.0.0.0127.255.255.255
128.0.0-0191.255-255.255
192.0-0.0223.255.255.255
224-0.0.0239.255.255.255
240.0.0.0247.255.255.255
Figura 1.5 Estructuras de las direcciones IP
22
De aquí surge una clasificación en 5 tipos de redes en función del contenido
de cada uno de los campos de dirección.
Las direcciones Cíase A corresponden a redes grandes con muchas
máquinas y en las que son necesarios 24 bits para identificarlas, mientras
que los restantes 7 bits sirven para especificar la red. En estas clases de
redes se pueden definir:
27 Redes distintas.
224-2 Nodos o máquinas distintas.
Nota: Son menos 2 debido a que todos los bits en O se asignan a la red
misma y todos los bits en 1 corresponde a una dirección de broadcastw
Las direcciones Clase B sirven para Redes de tamaño intermedio, con
direcciones locales de 16 bits y direcciones de red de 14 bits para identificar
las redes. En estas clases de redes se pueden definir:
214 Redes distintas.
216-2 Nodos distintos.
Las direcciones Clase C tienen 8 bits y esto limita el número de dispositivos a
256 y la dirección de la red hasta 21 bits. En estas clases de redes se pueden
definir:
221 Redes distintas.
28-2 Nodos distintos.
Es importante hacer notar el uso de las máscaras de red11, donde para cada
clase de red están asumidas por defecto las siguientes:
10 Broadcast, está definido para trasmitir datos para todo el conjunto de máquinas sobre lared o un segmento de la red.
11 Máscara de Red, la máscara de red es un valor con el mismo formato e importancia que ladirección IP. Aplicada sobre la dirección IP de un adaptador de red, establece donde terminala dirección de la red externa y dónde comienza la dirección de la red local o segmento alque se encuentra conectado dicho adaptador.
23
Clase A: 255.0.0.0.
Clase B: 255.255.0.0.
Clase C: 255.255.255.0.
De esta forma, se logra una mayor optimización en las tablas de
encaminamiento de los Routers y Gafetvays, puesto que únicamente tienen
que localizar la porción de la red a la hora de encaminar un datagrama.
Dentro del direccionamiento IP, al igual que en las direcciones MAC, existe
una dirección de Broadcast definida con todos los bits a 1 correspondientes a
la porción de máquina. Es decir, la dirección 134.215.255.255 sería una
dirección de Broadcast perteneciente a la red 134.215. A diferencia de MAC,
dentro de IP las redes también poseen direcciones que se obtienen con todos
los bits de la porción de máquina a 0.
Cualquier dispositivo que se adapte a las especificaciones del nivel de control
de acceso al medio (MAC, Media Access Control} puede conectarse con
otros dispositivos del nivel MAC. Hay que tener presente que el nivel MAC es
subnivel del nivel del enlace de datos.
Continuando con el ejemplo anterior, la dirección 134.215.0.0 correspondería
a la dirección IP de la red 134.215.
Cada interfaz IP situado dentro de una misma máquina, tiene una dirección
propia IP. Significa que si se tuviera una tarjeta de red en el servidor, y una
conexión SLIP (Serial Une Internet Profoco/) asociada a uno de sus puertos
serie, éste presentaría por tanto dos direcciones IP. Se podría acceder a él a
través de cualquiera de ellas siempre que sus tablas de enrutamiento lo
permitiesen.
24
1.9 La máscara de Subred
Todo interfaz IP, necesita como mínimo dos parámetros: la dirección IP y su
máscara asociada.
La máscara, se compone de 32 bits. Estos se superponen bit a bit a la
dirección IP de tal forma que aquellos cuyo valor es 1, indican la porción de la
dirección correspondiente a la parte de red. El valor O, señala la parte
correspondiente a la máquina. Lógicamente, existe siempre una máscara por
defecto asociada a la dirección IP, en función de la clase.
Por ejemplo, la dirección 10.2.45.1 pertenece a la red 10.0.0.0 de clase A. Su
máscara por defecto deberá ser 255.0.0.0 en notación decimal o
11111111.00000000.00000000.00000000 en notación binaria.
En un único segmento Ethernet, resulta muy sencillo. Todas las máquinas
conectadas llevarían la máscara 255.0.0.0 y se numerarían 10.2.45.1,
10.7.23.124, 10.0.12.253 etc..., manteniendo la porción de la red siempre
igual a 10. Se dispondría por tanto de 224 máquinas menos 2 (las direcciones
de broadcast 10.255.255.255 y de red 10.0.0.0 no válidas para numerar
máquinas).
Hay muchas redes que solo se necesitan pocas IP's, por lo que en este caso
no justifica dar toda una red a un Nodo donde no se lo va a utilizar, para esto
es necesario subdidir la red en varias subredes, de tal forma que se utilicen
los IP's estrictamente necesarios.
Para poder hacer subredes se debe modificar la máscara IP, así se obtiene
una subdivisión de la red. Para nuestro ejemplo en caso de querer conectar
el segmento de red con dos segmentos más, a través de un Router, se
necesitaría ampliar la máscara como mínimo con 2 bits más para tener así 4
subredes. De este modo quedaría una máscara de
11111111.11000000.00000000.00000000 o 255.192.0.0. Se dispondría en
este caso de las siguientes subredes:
25
00001010.00000000.00000000.00000000 ó 10.0.0.0
00001010.01000000.00000000.00000000 ó 10.64.0.0
00001010.10000000.00000000.00000000 ó 10.128.0.0
00001010.11000000.00000000.00000000 ó 10.192.0.0
El número de máquinas por cada una de estas subredes sería 222 menos 2.
Por tanto, cada vez que se amplía la máscara, se pierden 2 direcciones IP en
cada subred ( Broadcasty subred ).
Resumiendo, se ha considerado que una dirección IP está compuesta de dos
identificadores, uno para la red y otro para la máquina. El ámbito de cada uno
de ellos depende de la clase a la que pertenece esa dirección.
A continuación se verá un ejemplo de una subred, en el que se supone que
se obtienen 8 subredes, a partir de la red clase C 196.100.1.0
196.100.1.10
Se hace 2X - 2 = 14 donde x=4; no podría ser x=3 ya que no se alcanzaría el
número de subredes que se piden.
La red corresponde a una clase C, por lo que la máscara por defecto es
255.255.255.0.
Ahora se procede al cálculo de la máscara de subred para poder definir las
subredes.
26
Con x=4, se ocupan 4 bits para definir las subredes en el cuarto Byte de la
máscara.
196.100.1. 0000 0000 O No utilizada
196.100.1. 0001 0000 16 Primera Subred
196.100.1. 0010 0000 32 Segunda Subred
196.100.1. 0011 0000 48 Tercera Subred
196.100.1. 0100 0000 64 Cuarta subred
196.100.1. 0101 0000 80 Quinta Subred
196.100.1. 0110 0000 96 Sexta Subred
196.100.1. 0111 0000 112 Séptima Subred
196.100.1. 1000 0000 128 Octava Subred
196.100.1. 1001 0000 144 Novena Subred
196.100.1. 1010 0000 160 Décima Subred
196.100.1. 1011 0000 176 Décima primera Subred
196.100.1. 1100 0000 192 Décima segunda Subred
196.100.1. 1101 0000 208 Décima tercera Subred
196.100.1. 1110 0000 224 Décima cuarta Subred
196.100.1. 1111 0000 240 No utilizada (Broadcast)
Como se utilizarán los 4 bits del cuarto byte, la máscara tomará un valor de
240 quedando de la siguiente manera:
255.255.255.240
El valor correspondiente en binario es:
11111111.11111111.11111111.11110000
Entonces las direcciones de subred son las siguientes:
27
Subred
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Dirección
196.100.1.0
196.100.1.16
196.100.1.32
196.100.1.48
196.100.1.64
196.100.1.80
196.100.1.96
196.100.1.112
196.100.1.128
196.100.1.144
196.100.1.160
196.100.1.176
196.100.1.192
196.100.1.208
196.100.1.224
196.100.1.240
Tabla 1.1 Direcciones de Subred es
• Para la primera subred se tendrá 15 nodos comenzando desde
196.100.1.17 hasta la 196.100.1.31
• Para la segunda subred se tendrá 15 nodos pero ahora comenzarán
desde 196.100.1.33 hasta la 196.100.1.47
• Para la tercera subred los nodos comenzarán desde 196.100.1.49 hasta
la 196.100.1.63
• Para la cuarta subred los nodos comenzarán desde 196.100.1.65 hasta la
196.100.1.79
1.10. Comparación de los modelos OSI y TCP/IP[15J
La estandarización de las comunicaciones también se ha desarrollado con un
modelo alternativo al modelo OSI el cual como se indicó describe siete
28
niveles bien definidos. El modelo TCP/IP realmente no describe una
estructura tan precisa de niveles aunque se pueden asimilar y comparar
ambos modelos de la forma que se indica en la figura 1.6.
Modelo OSI
Aplicación
Presentación
Sesión
Transporte
Red
Enlace de datos
Física
Internet TCP/IP
SMTP, HTTP, FTP, TELNET, SMTP,...
ASCII, GIF, JPEG, MPEG, ...
TCP (UDP)
IP (RIP, IGRP, OSPF, BGP, ...)
Ethernet, Token Ring, FDDI, HDLC, PPP ..
RS-232.V35, Fibra, BNC, 10Bas-T,G.703
TCP/IP
FTPTelnetSNMP
NFS
XDR
RPC
TCP, UDP
Routlng Pro toe oí IP.tCMP
ARP, RARP
No especificado
Figura 1.6 Modelo OSI vs TCP/IP
Es importante hacer notar que el nivel TCP-UDP no tiene una
correspondencia perfecta con el modelo OSI. El protocolo TCP está orientado
a conexión con lo que, se podría hablar de sesión, asimilándose al nivel 4 o
5 del modelo OSI, pero UDP no está orientado a conexión y por ello no se
puede hablar propiamente de sesión. UDP utiliza datagramas, es decir que
en lugar de abrir una conexión con el destino para establecer un diálogo,
envía a la red fragmentos de información. FTP y TELNET son servicios muy
populares y son un buen ejemplo de protocolos orientados a conexión. NFS
es un servicio que permite montar un sistema de ficheros remoto de forma
que se pueda acceder a dicho sistema de ficheros sin apenas percibir que
está en una máquina remota. Este último es un clásico ejemplo de servicio
orientado a datagramas.
En el nivel 3 junto con el protocolo IP existen también los protocolos
siguientes: RIP (Routing Information Protocol), ICMP (Internet Control
Message Protocof), ARP (Address Resolution Protocol), RARP (Reverse
Address Resolution Protocol), y los ya indicados en la figura 1.6.
29
Ping
Aplicación
Enlace
medio
Figura 1.7 Familia de protocolos TCP/IP
30
Referencias Bibliográficas
[1.1] http://forpas.fie.us.es/redes/osi.asp
[1.2] Tanenbaum, AndrewS., Computer Network, Prentice-Hall, 1996
[1.3] http://pdi.cicese.mx/mavendan/estudios/rld/OSI-ISO.html
[1.4] http://www.lafacu.com/apuntes/informatica/tcpip/default.htm
[1.5] http://dali.ualm/~jamartin/html/c1_apun/node41.html
[1.6] Todd Lammie, Monica Lammie, James Chellis, TCP/IP for NTServer4Study Cuide, Second Edition, 1996
31
Capítulo I
Protocolos de Encaminamiento
2.1 Introducción
Se puede definir encaminamiento o enrutamiento como un proceso mediante
el cual se trata de encontrar un camino entre dos puntos de la red: el nodo
origen y el nodo destino. En esta definición se tiene que matizar el hecho de
que cuando se habla de un camino se está refiriendo a varios, el peor o el
mejor para llegar de 1 a N puntos.
Se debe tener en cuenta también la capilaridad de las redes, esto es la
conexión de los nodos con los terminales de usuario, por lo que no se debe
tratar de buscar un camino entre los nodos, sino entre dos terminales. Si se
resuelve lo primero se tiene resuelto lo segundo, por lo que se enunciará este
problema como la búsqueda de un camino de conexión entre dos nodos de la
red.
El objetivo que se persigue es encontrar las mejores rutas entre pares de
nodos j-k. Para esto se tiene que establecer lo que se entiende por mejor ruta
y la métrica que se emplea para determinarla. Ver Tabla 2.1
Algunos de los problemas comunes con los que se encuentra a la hora de
encaminar son:
• La carga de los enlaces no va a ser constante (es decir, el mejor camino
no siempre será el mismo), al igual que la tasa de generación de
mensajes. El encaminamiento busca el camino óptimo, pero como el
tráfico varía con el tiempo, el camino óptimo también dependerá del
instante en que se observa la red.
• Hay que tener en cuenta los cambios en la topología de la red (hay nodos
que se caen, o se añaden, o se quitan, etc).
• Existen recursos limitados, no pudiéndose cursar todos los paquetes a
infinita velocidad.
32
a) Mejor Ruta
b) Métrica de la Red
Por mejor ruta se entiende aquella que cumple algunas de
estas condiciones:
presenta el menor retardo medio de tránsito,
consigue mantener acotado el retardo entre pares de nodos
de la red (Tjk<T0)1,
consigue ofrecer altas cadencias efectivas
independientemente del retardo medio de tránsito,
ofrece el menor costo.
Se citarán dos de ellas:
• Número de saltos (canales) necesarios para ir de un
nodo a otro. Esta métrica no se comporta de forma
óptima, pero si ofrece buenos resultados, y es empleada;
con bastante frecuencia. La distancia (valor que se
asocia a cada canal) es igual a 1 para todos los
canales.
• Retardo de Tránsito entre nodos vecinos. En este caso
la distancia se expresa en unidades de tiempo2 (por
ejemplo ms), y no es constante a lo largo del tiempo
sino que depende del tráfico que soporta el canal.
Tabla 2.1 Definición de Mejor Ruta y Métrica
• La asincronía, en el sentido de que no hay un momento determinado para
que ocurran las cosas (un nodo transmite cuando le llega información, y
esto sucede a su vez cuando el usuario decide mandarla).
Por tanto, el encaminamiento debe proveer a la red de mecanismos para que
ésta sepa reaccionar ante situaciones como:
• Variabilidad del tráfico: se han de evitar las congestiones de la red.
• Variaciones topológicas, como las mencionadas anteriormente: caídas
de enlaces, caídas de nodos, etc.
1 TJk < To, Tiempo entre dos nodos debe ser menor que el tiempo inicial2 ms, tiempo en mili segundos
• Cambios en la QoS3 (Quality of Sen/ice): a veces se pide un servicio
donde no importa el retardo y sí un alto throughput* y viceversa.
Para una mejor comprensión de la teoría de enrutamiento a continuación se
analizarán algunos conceptos que serán de mucha importancia:
• Algoritmo de enrutamiento o encaminamiento: método para calcular la
mejor ruta para llegar de un sitio a otro. La mejor ruta podrá calcularse en
función de los costos, retardos, distancia, etc.
• Protocolo de enrutamiento o encaminamiento: es la manera que
tienen los nodos de intercambiar la información de encaminamiento
(probablemente generada por el algoritmo). Los protocolos serán los
encargados de ocultar la red y comprobar que las condiciones de
encaminamiento impuestas se verifican siempre.
• Decisión de encaminamiento:
En redes de conmutación de paquetes, se analizará tanto en modo
datagrama como en modo circuito virtual:
• Red en modo circuito virtual: Si la red funciona en modo circuito
virtual generalmente se establece una ruta que no cambia durante
el tiempo de vida de ese circuito virtual, ya que esto es lo más
sencillo para preservar el orden de los paquetes. El
encaminamiento se decide por sesión y no se cambia a menos que
sea imprescindible, es decir existen restricciones de cara a no
cambiar el encaminamiento en la sesión (ejemplo caída de un
enlace). Cuando eso ocurre se busca inmediatamente otra ruta,
pero este cambio demora en propagarse por la red, (al tardar los
nodos en enterarse) pudiendo presentarse en los sistemas finales
de tres formas:
o no se manifiesta
o se pierde información
o se pierde la sesión.
3 QoS, Calidad de Servicio sobre un enlace4 Throughput, El número de trabajos completados por un período de tiempo
34
Red en modo datagrama: Como en este caso no debe
garantizarse el ordenamiento final de los paquetes, en una red
funcionando en modo datagrama se puede cambiar el criterio de
encaminamiento por cada paquete a cursar (esto da origen a
menor número de problemas).
Para que un algoritmo de encaminamiento real funcione de forma razonable
debe cumplir las siguientes propiedades:
Corrección: Se entregará la información correctamente. Es algo obvio, se
quiere que el paquete llegue precisamente al nodo al que se envía.
Simplicidad: debe aportar soluciones sencillas. Esto es útil para redes
reales (grandes) y los protocolos más simples son los que en la actualidad
tienden a imponerse (por ejemplo RIP: Routing Information Protoco/).
Robustez: El algoritmo a de ser insensible a inestabilidades del sistema.
Estas inestabilidades son por ejemplo caídas de nodos, que han de ser
previstas de antemano.
Estabilidad (convergencia): Es muy importante que este requisito se
cumpla. El procedimiento debe converger antes de que la red cambie de
estado (caída de nodo, alto consumo en el nodo por el usuario, etc.).
Cuando esto ocurre, se recalculan de nuevo las rutas, debiendo los nodos
llevar a cabo acciones coherentes que conduzcan a situaciones estables.
Equidad (justicia): Debe tratar a todos los usuarios de la misma manera.
Trazabilidad (gestionabilidad): Supone tener información (trazas) de lo
que ha hecho la red para que en el caso de que ocurran "cosas raras" sea
posible corregirlas.
Escalabilidad: Se debe tener un comportamiento óptimo sea cual sea el
número de nodos (incluso si éste aumenta mucho).
35
2.2 Métodos de Encaminamiento
2.2.1 Conceptos Básicos
A continuación se verá la estructura general de un nodo de conmutación de
paquetes, lo cual valdrá para hacer una posterior clasificación de los métodos
de encaminamiento atendiendo a la forma en la que los nodos recogen y
distribuyen la información que les llega de la red y a otros factores:
Figura 2.1 Esquema de un nodo de conmutación
PDU (Protocol Data Unit): Unidad fundamental de intercambio de
información para un nivel determinado (a veces se indica
explícitamente el nivel poniendo N-PDU, o PDU de nivel N), como
nivel de enlace, red, etc.
R-PDU (Routing-PDU): Información de control entre nodos. Son
paquetes de control, enviados por otros nodos con información
sobre la red (no son datos). Por ejemplo, se manda información de
que el nodo sigue activo, y también las distancias a otros nodos
(vector de distancias).
FIB (Forward Information Base): Es la tabla de encaminamiento
que se consulta para hacer el reenvío de los paquetes generados
por los usuarios (los PDU representan estos paquetes).
36
• RIB (Routing Information Base): Tabla que almacena las distancias
a los nodos. Es la base de información de encaminamiento que se
consulta para decidir y formar la FIB. La información de la RIB se
consigue mediante interacción con el entorno local de cada nodo
(cada nodo observa sus enlaces) y mediante la recepción de R-
PDUs de información de control, procedentes de otros nodos
vecinos, que informan del conocimiento que estos nodos tienen
sobre el estado de la red. A su vez, con la información obtenida por
la RIB, ésta manda PDUs de control para informar del conocimiento
del estado de la red que el nodo tiene a los demás nodos.
• LOCAL: Información del entorno local del nodo. Contiene la
información de lo que el nodo ve (memoria disponible, enlaces
locales, etc.), más la que hay que proporcionarle.
Básicamente, el funcionamiento es el siguiente: a partir de la RIB, se utiliza el
algoritmo de encaminamiento para calcular la FIB, y cuando una PDU llega al
nodo, se consulta esta FIB. Ver figura 2.1
A continuación se tiene un ejemplo de establecimiento de la tabla de
encaminamiento:
Figura 2.2 Ejemplo de gráfico de Nodos
37
Destino
AB
cD
Er_...
Next
E
ccDE
"E
CosteQ
7
2
0
5
6"
Tabla 2.2 Tabla de Encaminamiento del NODO D
Sobre el gráfico se puede apreciar que el número que aparece junto a los
enlaces representa el 'costo1 o 'distancia' de los mismos, el cual puede ser
constante o variable.
Si se desea llegar desde el nodo D hasta el nodo A, para esto se debe seguir
la mejor ruta, en este caso debe pasar por E para luego ir a F y por último
llegar hacia A, dando un total de 9, que es el costo; de igual forma se procede
con el resto de los nodos.
Se conoce como MÉTRICA a la magnitud o medida a optimizar (retardo,
ancho de banda, coste económico, etc).
2.2.2 Clasificación de los Métodos de Encaminamiento I2-1Jf2-4J
2.2.2.1 En función de donde se decide encaminar
Salto a salto (Hop by Hop): Se basa en que cada nodo no tiene que
conocer la ruta completa hasta el destino, sino que debe saber cuál es el
siguiente nodo al que tiene que mandar el paquete: las tablas dan el nodo
siguiente en función del destino.
38
A continuación se verá un ejemplo de este encaminamiento:
Figura 2.3 Ejemplo de Encaminamiento sarto a salto
Las tablas de encaminamiento de los nodos A y B son:
Tabla de encaminamiento del nodo A
Destino
B
C
D
E
F
G
H
Ruta a seguir
B
B
B
H
H
H
H
Tabla de encaminamiento del nodo B
Destino
A
C
D
E
F
G
H
Ruta a seguir
A
C
C
C
C
G
A
Tabla 2.3 Tabla de encaminamiento para los nodos A y B
En la tabla de encaminamiento de cada nodo deberá aparecer una entrada
en el campo destino por cada nodo que se pueda alcanzar desde el citado
nodo, y en el campo siguiente nodo (Ruta a seguir) aparecerá el nodo vecino
al que se deberá enviar los datos para alcanzar el citado nodo destino. Las
soluciones propuestas no son únicas, pudiendo elegir otros caminos que
minimicen el tiempo de retardo, el número de saltos, etc. La única condición
que se impone es que debe haber consistencia: si, por ejemplo, para ir de A a
B se pasa por C, entonces para ir de S a C no se podrá pasar por A, porque
entonces se formaría un bucle y el paquete enviado estaría continuamente
viajando entre los nodos 6 y -A, como puede comprobarse fácilmente.
39
Fijado en el origen (Source Routing): son los sistemas finales los que
fijan la ruta a seguir por cada paquete. Para ello, cada paquete lleva un
campo que especifica su ruta (campo Rl: Routing Information), y los
nodos sólo se dedican a reenviar los paquetes por esas rutas ya
especificadas.
Así pues, son los sistemas finales los que tienen las tablas de
encaminamiento y no se hace necesaria la consulta o existencia de tablas
de encaminamiento en los nodos intermedios. Este tipo de
encaminamiento suele ser típico de las redes de IBM.
Tabla de encaminamiento del nodo A
Destino
B
C
D
E
F
G
H
Ruta a seguir
B
B-C
B-C-D
H-G-E
H-G-F
H-G
H
Tabla de encaminamiento del nodo B
Destino
A
C
D
E
F
G
H
Ruta a seguir
A
C
C-D
C-F-E
C-F
G
A-H
Tabla 2.4 Tabla de encaminamiento Source-Routing para los nodos A-B
Comparación entre ambos:
Conocimiento
Complejidad
Problemas deBucles
Fijado en Origen
Los sistemas finales deben tenerun conocimiento completo de lared
Recae toda en los sistemasfinales
No hay bucles: el sistema finalfija la ruta (ROBUSTEZ).
Salto a Salto
tener un conocimiento parcial de lared (saber qué rutas son lasmejores)En ios sistemas intermedios ya queson los que tienen que encaminarSí pueden ocurrir: no se tiene unavisión completa de la red(INCONSISTENCIA)
Tabla 2.5 Comparación entre Salto a Salto y Fijado en el Origen
40
Los bucles (situación que se da cuando los paquetes pasan más de una vez
por un nodo) ocurren porque los criterios de los nodos no son coherentes,
generalmente debido a los criterios de encaminamiento o a que no han
convergido después de un cambio en la ruta de un paquete. Cuando por
cualquier causa un paquete sufre un cambio de encaminamiento, la red tarda
en adaptarse a ese cambio pues la noticia del cambio tiene que llegar a todos
los nodos; es en ese transitorio cuando se pueden dar los bucles, ya que
unos nodos se han adaptado y otros no. El objetivo de los algoritmos de
encaminamiento es detener el curso de los paquetes antes de que se
produzcan bucles. Esto es importante sobre todo cuando se envían los
paquetes por varias rutas simultáneamente (técnicas de inundación).
2.2.2.2 En función de la adaptabilidadI2 2] M
No adaptables (estáticos)
Estáticos: Las tablas de encaminamiento de los nodos se configuran
de forma manual y permanecen inalterables hasta que no se vuelve a
actuar sobre ellas. La adaptación a cambios es nula. Tanto la
recolección como la distribución de información se realiza por gestión
(se realiza de manera externa a la red), sin ocupar capacidad de red.
El cálculo de ruta se realiza off-line (en una máquina específica), y las
rutas pueden ser las óptimas al no estar sometidas al requisito de
tiempo real. Este tipo de encaminamiento es el óptimo para topologías
en las que solo hay una posibilidad de encaminamiento (topologías en
estrella).
Q-Estáticos: Este encaminamiento, es igual que el estático pero en
vez de dar una sola ruta fija, se dan además varias alternativas en
caso de que la principal no funcione, de ahí que tenga una
adaptabilidad reducida.
41
Adaptables (dinámicos) [2'2) [2'3]
Centralizados: En este tipo de encaminamiento, todos los nodos son
iguales salvo el nodo central. Los nodos envían al centra! información
de control en relación de sus vecinos (R-PDUs). El nodo central será el
que se encargue de recolectar esta información para hacer la FIB de
cada nodo; es decir, el nodo central decide la tabla de encaminamiento
de cada nodo en función de la información de control que éstos le
mandan. El inconveniente de este método es que se consume
recursos de la red, y además, se harían necesaria rutas alternativas
para comunicarse con el nodo central, ya que estos métodos dejarían
de funcionar con la caída de éste.
Aislados: No se tiene en cuenta la información de los otros nodos a la
hora de encaminar. Se basa en que cada vez que un nodo recibe un
paquete que tiene que reenviar (porque no es para él) lo reenvía por
todos los enlaces salvo por el que llegó. Son muy útiles para enviar
información de emergencia. Destacan otros métodos de
encaminamiento aislados5:
o Algoritmo de inundación
o Algoritmo de aprendizaje hacia atrás (Backward Learning)
o Algoritmo de la patata caliente ("Hoí Potato")
Distribuidos: Son los más utilizados. En este tipo de encaminamiento
todos los nodos son iguales, todos envían y reciben información de
control y todos calculan a partir de su RIB (base de información de
encaminamiento), sus tablas de encaminamiento. La adaptación a
cambios es óptima siempre y cuando éstos sean notificados. Hay dos
familias de procedimientos distribuidos:
Estos métodos serán analizados en la sección 2.3 de este capítulo.
42
Vector de distancias
Estado de enlaces
Vector de Distancias
Cada nodo informa a sus vecinos de todas las distancias conocidas por él,
mediante vectores de distancias (de longitud variable según los nodos
conocidos). El vector de distancias es un vector de longitud variable que
contiene un par (nodo:distancia al nodo) de cada nodo conocido por el nodo
que lo envía; por ejemplo (A:0;B:1;D:1) dice que el nodo que lo manda dista
"O" de A,"1" de B y "1" de D, y de los demás no sabe nada (ésta es la forma
en la que un nodo dice lo que sabe en cada momento).
El nodo solo conoce la distancia a los distintos nodos de la red pero no
conoce la topología. Estos vectores de distancia se envían periódicamente y
cada vez que varíe su vector de distancias. Veamos el siguiente ejemplo:
Figura 2.4 Ejemplo del vector de distancias
El vector de distancias de A sería:
(áuaiaadtAhatíaA) AhattaB)
(&iantía&AkauaQ
43
Este vector de distancias de A llega al nodo B, el cual lo utiliza para actualizar
el suyo:
(B:0,A:1,C2,D;1)
Este VDB pasa al nodo A, el cual actualiza el suyo, etc. Al cabo de un tiempo,
se estabiliza la información de cada nodo, es decir, sus vectores de distancia
quedan constantes aún sin dejar de enviarse información periódicamente.
Con todos los vectores recibidos, cada nodo monta su tabla de
encaminamiento ya que al final conoce qué nodo vecino tiene la menor
distancia al destino del paquete, pues se lo han dicho con el vector de
distancias.
El envío de vectores de distancia entre nodos tiene lugar en el plano de
control.
Si no se sabe a donde enviar un paquete, éste se descarta.
Ventajas del método:
• Muy sencillo.
• Muy robusto (gracias al envío periódico de información)
• Consumo bajo de memoria: cada nodo sólo almacena las distancias con
el resto de nodos.
Los nodos no tienen información topológica de la red completa, es decir,
pueden conocer la distancia a nodos lejanos, pero no donde están.
Inconvenientes del método:
• Convergencia lenta (los vectores de distancia tardan en estabilizarse).
• Pueden aparecer bucles.
44
Adaptabilidad baja a los cambios, ya que sólo sabe a quién tiene que
reenviar un paquete, pero no tiene información de la topología.
Consumo alto de capacidad: se transmiten vectores cuyo tamaño es del
orden del número de nodos de la red, pues cada nodo comunica a su
vecino todas las distancias que conoce.
Estado de Enlaces
Cada nodo difunde a todos los demás nodos de la red sus distancias con sus
enlaces vecinos; es decir, cada nodo comunica su entorno local a todos los
nodos. Así cada nodo es capaz de conocer la topología de la red. La clave y
dificultad de este método es la difusión.
Ventajas del método:
• Detección de errores más sencilla (si un estado de enlace es infinito,
significa que el nodo ha caído).
• Convergencia rápida.
• Alta adaptabilidad a los cambios, ya que los nodos tienen información
de toda la red
• Menor consumo de capacidad: el tamaño del tráfico enviado es
siempre el mismo independientemente del tamaño de la red.
Inconvenientes del método:
• Difusión.
• Consumo de memoria elevado: cada nodo almacena toda la topología
de la red.
45
2.2.2.3 Comparación de los Métodos de Encaminamiento
Tipos deEncaminamiento
Estático
Q-Estático
Centralizado
Aislado
Distribuido
Recepciónde
informaciónde Control
NO
NONodos ->
Nodo Central
NO
todos losnodos
Envío deInformaciónde Control
NO
NO
Nodo Central-> Nodos
NO
Todos losnodos
Decisión deencaminamiento(cálculo de FiB)
OFF-LINE
OFF-LINE
Nodo Central
Todos los nodos
Adaptación
NOReducida
SI
"" SI
SI
Tabla 2.6 Comparación de Métodos de Encaminamiento
En los encaminamientos estático y cuasi-estático la información necesaria se
recoge y se envía mediante gestión (al crear la red y en operaciones de
mantenimiento), y los cálculos de la FIB se realizan off-line (mediante gestión,
es decir en una máquina separada).
2.3 Algoritmos de Encaminamiento [2-1S2-3J
2.3.1 Introducción
Existen varios tipos de algoritmos de encaminamiento:
2.3.1.1 Algoritmos de camino más corto
Cada nodo decide cuál es el camino más corto hacia un destino, en función
de la información de control que recibe de otros nodos de la red. Estos
algoritmos minimizan el costo o distancia de la ruta que une dos nodos
46
cualesquiera. Por ejemplo, si la métrica utilizada es el número medio de
saltos, el algoritmo de camino más corto será el que minimice este número de
saltos entre los nodos que se pretende conectar.
En concreto, se verá los algortimos de Dijkstra, de Floyd - Marshall, de
Bellman - Ford y de Bellman - Ford distribuido.
2.3.1.2 Algoritmos aislados
Los nodos no intercambian información de control explícitamente. Se puede
distinguir dos clases de algoritmos para un encaminamiento de este tipo, que
son algoritmos de aprendizaje y algoritmos de inundación. Ejemplos
concretos de este tipo de algoritmos hay muchos, como el denominado
algoritmo de Hot Potato o Patata Caliente.
2.3.1.3 Algoritmos de difusión
Permiten hacer llegar un paquete a todos los nodos de una red. Este
procedimiento encuentra una aplicación directa para un encaminamiento
basado en el estado de enlaces, puesto que la información sobre los estados
de los enlaces se difunde a toda la red, y en general, lo que se hará será
mandar paquetes a todos los nodos y marcarlos para deshabilitarlos si
vuelven a pasar (para evitar bucles).
Se verá cuatro métodos de conseguir la difusión:
1er método: consiste en enviar paquetes a todos los demás nodos. Este
método es poco eficiente porque por un mismo nodo pasan varios paquetes
iguales, además de que no elimina el problema de la formación de bucles.
2- método: hace una inundación: se manda un paquete de un nodo origen a
todos los demás. Este tampoco es un buen método, porque consume muchos
recursos y también puede hacer que aparezcan bucles.
47
3- método: Se deshabiíita algunos enlaces de forma que todos los nodos
estén conectados pero sin bucles. Así, al inundar se consigue tener muy
pocos envíos. Es una solución bastante utilizada, aunque la forma de acordar
entre todos los nodos de la red qué enlaces se deshabilitan es complicada.
4- método: se hace un reenvío por ruta hacia atrás (Reverse Path
Forwarding). No requiere calcular el árbol de expansión. Los nodos tienen
calculadas las rutas, y cuando tienen que ayudar a difundir no siempre se
hace inundación: se mira la dirección origen del paquete; si llega por el
enlace que utiliza el nodo para ir al origen inunda; si llega por otra ruta el
nodo considera que el paquete está dando vueltas y lo descarta.
2.3.2 Teoría de Grafos
La distancia o costo de un canal: es una medida de la calidad de un enlace
en base a la métrica que se haya definido (por ejemplo, la sensibilidad al
aumento de tráfico; otras veces es costo económico, probabilidad de error,
etc.) en la práctica se usan varias métricas simultáneamente.
Para el desarrollo de los siguientes conceptos se toma como ejemplo la red
de la figura 2.5 (donde los números situados sobre cada enlace indican el
costo del mismo).
Figura 2.5 Ejemplo para la teoría de grafos
48
Sobre ésta se definirá:
2.3.2.1 Árbol de expansión (Spanning tree) de una red
Es un subconjunto del grafo que representa toda la red y tiene las siguientes
características:
• Mantener la conectividad: es posible alcanzar cualquier nodo desde
cualquier otro nodo.
• Eliminar los lazos: no hay bucles topológicos. Contiene a todos los
nodos de la red.
Este tipo de grafo no es único; un ejemplo sobre la red anterior es:
Figura 2.6 Ejemplo de árbol de expansión para la red anterior
Se lo suele usar cuando se desea hacer inundación, ya que si todos los
nodos tienen en su tabla de encaminamiento el mismo árbol de expansión, no
se producirán bucles y todos los paquetes llegan a todos los nodos. Se utiliza
sobre todo en difusión.
2.3.2.2 Árbol de expansión de costo o distancia mínima (Minimun
Spaning Tree)
El árbol de expansión hace que el sumatorio de distancias que emplea sea
mínima. Sobre el ejemplo anterior se tiene que el costo es de 10, porque se
suma lo siguiente:
49
AB (1) + BE(3) + BD(2) + BC(4) = 10
En la figura 2.7 se puede ver que este grafo es un mínimo (la suma de
distancias es 5; esto se puede comprobar sumando el peso de las distancias
de cada canal, tal y como aparecen en la figura 2.5); no existe otro con suma
de distancias menor, aunque en general podría haberlo, es decir, el árbol de
expansión del costo mínimo no es único, aunque en la práctica se escoge
uno y se trabaja con él en lo sucesivo.
Figura 2.7 Árbol de expansión de la distancia mínima
La suma de distancias es:
AB(1) + AE(2) + ED(1) + DC(1) = 5
2.3.2.3 Árbol divergente (Sink tree) de un nodo
Es un árbol con origen en un nodo y ramas a todos los restantes nodos. No
produce bucles. Hay un árbol divergente por cada nodo; sin embargo,
normalmente se trabaja con un sólo árbol de expansión para toda la red (lo
cual no quiere decir que no haya muchos árboles de expansión diferentes,
aunque se trabaje con uno sólo acordado por toda la red).
El árbol divergente determina las distancias más cortas de ese nodo al resto
de los nodos: el sumatorio del peso de los enlaces es mínimo entre el nodo
50
raíz y cualquier otro, siendo expresada de forma gráfica, la tabla de
encaminamiento de cada nodo.
En la red usada como ejemplo, el árbol divergente del nodo A, es el siguiente:
Figura 2.8 Árbol divergente para el nodo A
No se debe confundir el árbol divergente con el árbol de expansión de peso
mínimo, aunque puede coincidir. En el primero se minimiza las distancias del
nodo raíz a cada uno de los demás nodos, mientras que en el segundo
minimiza la suma de las distancias de los enlaces.
2.3.3 Algoritmo de Dijkstra '2-^2-
Se halla el camino de mínima distancia entre un nodo origen (o raíz) y
cualquier otro nodo de la red. Puede verse que esto equivale a decir que
construye el árbol divergente de la red.
La idea es construir el camino de distancia más corta en orden de longitud de
camino creciente, es decir, se va iterando con la distancia, seleccionando en
cada caso el nodo más cercano.
A cada nodo se le asigna una etiqueta, que es un indicador de la distancia del
nodo origen al nodo en cuestión. Así, se hace una partición de la red: se crea
un conjunto de nodos con etiqueta permanente (conjunto P) y un conjunto de
nodos con etiqueta tentativa (conjunto T), es decir un conjunto de nodos cuya
51
etiqueta puede cambiar en las siguientes iteraciones. El algoritmo en detalle
es el siguiente:
* Paso 0: Iniciación
Se selecciona un nodo de la red, al que se llama nodo 1, que será el nodo
origen. Entonces:
P = {1} , Di = 0 , Dj = dij, V j *1
es decir, el único nodo con etiqueta permanente es el origen (con etiqueta
"cero"). Para los demás, la etiqueta es la distancia al nodo origen (d¡j).
• Paso 1: Encontrar el nodo más cercano
Encontrar i e P tal que D¡ = min D¡
Sea P = P^{1}
Si P contiene todos los nodos, se debe parar porque el algoritmo está
completo.
• Paso 2: Actualización de etiquetas.
V j e P: DJ = min{Dj, D¡ + d¡j}
Ir al paso 1.
Si hay que elegir entre dos etiquetas iguales, se elige cualquiera de ellas (no
se soporta balanceo de carga).
Para comprender mejor este algoritmo, se verá un ejemplo sobre la red de la
figura 2.5 tomando como nodo origen el A. En las siguientes figuras, el
número que va sobre cada enlace representa la distancia física entre nodos y
52
el número que hay en cada nodo representa su etiqueta (un guión representa
una etiqueta de valor infinito: no hay conexión directa entre cualquier nodo
con etiqueta permanente y el nodo con dicha etiqueta):
Iterwié»! HerftcÍém2
0
IteraciénS
Figura 2.9 Ejemplo de Algoritmo de Dijkstra
Por último, se ingresa el nodo C en la partición de nodos con etiqueta
permanente, siendo su etiqueta "1" (se accedería a través del nodo D).
Como se puede ver, este algoritmo tiene una complejidad de N2 operaciones.
Para calcular las mejores distancias entre todo par de nodos, la complejidad
es del orden de N3 operaciones.
53
No se obtiene directamente las tablas de encaminamiento, sino las distancias
entre nodos. Para obtener las tablas de encaminamiento hay que fijarse en
los caminos que va escogiendo en cada iteración, que le sirven para
actualizar las etiquetas.
Las distancias obtenidas por cada Iteración son:
Iteración 1: DAk = {0,1,a>t oo,2)
Iteración 2: DAk = {0,1,5,3,2}
Iteración 3: DAk = {0,1,5,3,2}
Iteración 4: DAk = {0,1,4,3,2}
Luego la mínima distancia del nodo 1 al resto es: D1K = {0,1,4,3,2}
A continuación otro ejemplo (i = 1):
Figura 2.10 Otro ejemplo de Algoritmo de Dijkstra
El resultado, por pasos, es el siguiente:
Sobre la primera iteración se tendría:
1.- P = {1}; T = {2,3,4,5,6}; D1K = {0,1 ,-,4,-,-}
En la segunda Iteración:
2.- P = {1,2}; T = {3,4,5,6}; D1K = {0,1,4,4,2,-}
En la tercera Iteración:
54
3.- P = {1,2,5}; T = {3,4,6}; D1K = {0,1,3,3,2,6}
En la cuarta Iteración:
4.- P = {1,2,5,4}; T = {3,6}; D1K = {0,1,3,3,2,6}
En la quinta Iteración:
5.- P = {1,2,5,4,3}; T = {6}; D1K = {0,1,3,3,2,6}
En la última y sexta Iteración:
6.- P = {1,2,5,4,3,6}; T = {}; D1K = {0,1,3,3,2,6}
Luego la mínima distancia del nodo 1 al resto es: D1K = {0,1,3,3,2,6}
2.3.4 Algoritmo de Floyd-MarshallÍ21S25]
A diferencia del algoritmo anterior (algoritmo de Dijkstra), que consideraba un
nodo origen cada vez, este algoritmo obtiene la ruta más corta entre todo par
de nodos (todos con todos). Itera sobre el conjunto de nodos que se permiten
como nodos intermedios en los caminos. Empieza con caminos de un solo
salto y en cada paso ve si es mejor la ruta de la iteración anterior o si por el
contrario conviene ir por otro nodo intermedio más (aquel sobre el cual se
itera).
Para ello se construye la matriz D, cuyos elementos, D¡¡, son las etiquetas
(indicadores de distancia) de la ruta entre el nodo / y el / El algoritmo es el
siguiente:
D00es el camino del nodo T al nodo 'j1 pasando por 'n1 nodos intermedios.
Pasos del algoritmo:
1-PASO O (INICIACIÓN):
55
Z)(11) = du "
2.- PASO 1 (ITERACIÓN):
D(íí) , AJ )
En cada paso se ve si es mejor la ruta de la iteración anterior o si es mejor ir
a través del nodo n. Como ejemplo, para la siguiente red, se tendrá la
siguiente secuencia de matrices:
Figura 2.11 Ejemplo de Algoritmo de Floyd-Marshall
O 1 - - 2
1 0 4 2 3
- 4 0 1 -
- 2 1 0 1
2 3 - 1 0
0 1 5 3 2
1 0 4 2 3
5 4 0 1 7
3 2 1 0 1
2 3 7 1 0
1 0 4 2 3
- 4 O 1 - ->
- 2 1 3 1
2 3 - 1 0
0 1 4 3 2
1 0 3 2 3
4 3 0 1 2
3 2 1 0 1
2 3 2 1 0
0 1 5 3 2
1 0 4 2 3
5 4 0 1 7
3 2 1 0 1
2 3 7 1 0
0 1 4 3 2
1 0 3 2 3
4 3 0 1 2
3 2 1 0 1
2 3 2 1 0
Figura 2.12 Matriz de distancias
56
En la segunda matriz se tiene las distancias desde el punto A hasta el resto
de puntos, si no existe conexión directa se considera infinito; se analizará la
distancia para el nodo C de la primera matriz:
C con respecto a A no hay conexión, entonces le valor es «>, ahora C con B la
distancia es 4, C con C la distancia es O, C con D la distancia es 1 y por
último C con E la distancia es «>, porque no hay conexión directa entre los
nodos. Esto se realiza con todos los nodos sobre la primera matriz.
Para la tercera matriz se debe hacer lo mismo pero se debe poner al nodo B
como nodo intermedio, se analizará sobre el nodo C de la tercera matriz; C
con respecto a A es 5 porque tiene que pasar por B dando la suma de
(4+1 )=5, ahora C con B es 4, es una conexión directa, C con C es O, C con D
es 1, conexión directa y por último C con E es 7 porque tiene que pasar por
B. Se realiza con todos los nodos sobre la tercera matriz y con el restante de
las matrices.
La primera fila de la matriz (distancias del nodo A a todos los demás)
coincidiría con las etiquetas halladas con Dijkstra.
La última matriz es la matriz de distancias buscada, ya que se han probado
todos los nodos intermedios. Hay que tener en cuenta que el algoritmo da
sólo la menor distancia; se debe manejar información adicional para
encontrar tablas de encaminamiento.
La complejidad de este algoritmo es del orden de N3, igual que para Dijkstra.
Para un encaminamiento distribuido con estado de enlaces es mejor Dijkstra,
que tiene una menor complejidad para un nodo dado.
2.3.5 Algoritmo de Bellman/Ford [21Jf25J
Encuentra la mínima distancia de un nodo dado al resto de nodos; y si se
lleva información adicional proporciona las tablas de encaminamiento al igual
que los anteriores.
57
Itera sobre el número de saltos, h, es decir, se busca el mejor camino, el de
distancia más corta, con la restricción de llegar al destino en un número de
saltos h (número de la iteración). No encuentra las mejores rutas hasta que el
algoritmo no se ha ejecutado por completo.
Es decir, consiste fundamentalmente en calcular la distancia de un nodo
(aquel para el cual se aplicará el algoritmo) a los demás sin dar ningún salto,
luego dando uno, etc.
Sea el nodo i aquel para el que se quiere encontrar las mejores rutas al resto
de nodos. El algoritmo es el siguiente:
Pasos del algoritmo:
1.-PASOO:
n = O ('n' es el número de saltos)
2.-PASO 1:
A continuación se analizará un ejemplo de aplicación de este algoritmo para
la red de la figura 2.13
Se tendrá entonces:
58
Figura 2.13 Ejemplo para análisis de Bel Imán/Ford
Primero para n=0 (sin saltos), donde solo el nodo 1 se puede ver así mismo y
con el resto no, éste toma el valor de oo con el resto de nodos, como se
puede ver en la siguiente figura:
oo co
oo
00 00
Figura 2.14 Distancia con n=0
Siguiendo con el algoritmo el nuevo valor de n es 1, quedando el gráfico de la
siguiente manera:
59
00
Figura 2.15 Distancia con n=1
Con n=1 se obtiene las mejores distancias que se puedan obtener con solo
un salto.
Para n=2 (dos saltos) se tiene:
Figura 2.16 Distancia con n=2
Se ve que con un salto, cuesta más llegar al nodo 3 (distancia 5) que con dos
saltos (distancia 4)
Para 3 saltos (n=3) se tendrá;
60
Figura 2.17 Distancia con n=3
En este punto el algoritmo se detiene, ya que (n=4) y (n=5) no aportan mejora
alguna.
Se prueba dando un salto más. Hay que notar que está permitido el caso i=j,
resultando entonces que no se da un nuevo salto (era mejor la ruta hallada
antes).
Tiene una complejidad del orden de N3 por cada nodo que realiza el
algoritmo; es decir, un orden mayor que Dijkstra. El interés del algoritmo
radica en que se asemeja al de una red en la que se parte de la ignorancia
total de un nodo, en la siguiente iteración conoce a sus nodos vecinos y así
va progresivamente conociendo nodos más lejanos. Puede verse que ésta es
la forma de trabajar de un encaminamiento mediante vector de distancias.
Para ello, necesita ser enunciado de forma distribuida, de Ea forma que se
analizará a continuación.
2.3.6 Algoritmo de Bellman-Ford Distribuido [2-1][2-5J
Es la base de un algoritmo de vector de distancia. Se ejecuta para cada nodo
61
n(i j) = k —> es d siguiente salto para ir del nodo 'i* al *js
D(i j) —> es la distanda del nodo 4' al 'j' (pasando por n
Pasos del algoritmo:
1.-PASOO:
d., sij esvecinodei, „«o parael resto
> j)=j (P°-ra ¿ y J
2.- PASO 1 (ACTUALIZACIÓN): cada cierto tiempo, el nodo Y envía la
información de actualización a sus vecinos D(i,j), recibiendo a su vez de
todos sus vecinos 'j' los D(j,k). Entonces, el nodo T calcula la distancia de Y a
'k' pasando por'j':
y realiza la siguiente actualización de su tabla de encaminamiento:
si .n(¡,k) = j
El proceso de actualización se sigue repitiendo: cuando un nodo / recibe un
vector de distancias de un nodo vecino j, calcula las distancias a todos los
demás nodos k a través del vecino j, y si es mejor que por el camino anterior
se actualiza la tabla de encaminamiento del nodo i, ( n(i,k)=j) y las nuevas
62
distancias D(i,k). Una vez obtenido el nuevo vector de distancias, i se lo
manda a los demás nodos j para que éstos actualicen a su vez los suyos.
Se analizará el siguiente ejemplo:
Figura 2.18 Ejemplo de Algoritmo de Bellman-f ord Distribuido
Inicio (nodo A)
Vector distancias de B: D(B,j) = (A,1;B)0;CI4;D,2;E,3)
El vector de distancia de B llega a A, el cual actualiza el suyo:
) = (A,A;B,B;C,B;D,B;E,E)
En el ejemplo, el nodo A conoce las distancias a sus vecinos B y E por lo que
su vector de distancias sería (A,0; B,1; E,2). Cuando le llega el vector de
distancias de 6, que sería (A,1; B,0; C,4; D,2¡ E,3), el nodo A realiza los
cálculos descritos y se da cuenta de que puede llegar a E, D y C a través de
B, siendo el vector de distancias resultante (A,0; B,1¡ C,5; D,3; E,2). Así, A
pone en su tabla de encaminamiento que C y D son accesibles a través de B
y manda el vector calculado a sus nodos vecinos, que a su vez calculan un
nuevo vector de distancias. Esto se repite hasta que todos los nodos saben
63
dónde deben mandar un paquete para que llegue a su destino a través de un
camino de distancia mínima
2.3.7 Algoritmos de Inundación
En este algoritmo los nodos no intercambian información de control. Cuando
un paquete llega a un nodo de la red, lo que éste hace es conmutarlo por
todos los puertos de salida sin mirar ninguna tabla de encaminamiento. De
esta forma se asegura que el paquete llegue al destino.
Hay problema si la topología presenta bucles ya que el paquete estará dando
vueltas de manera indefinida. Como consecuencia, se consume capacidad
de red ilimitada. Además, llegan paquetes duplicados.
La solución pasa por limitar la vida del paquete en la red con el TTL6, es
decir, establecer una caducidad. Cuando se genera un paquete se incluye
en un campo el número máximo de saltos que éste puede dar. Cada vez que
ese paquete es conmutado el campo "número de saltos" se decrementa en
una unidad hasta que sea cero, en cuyo caso los nodos ya no lo conmutan,
sino que lo descartan. De esta manera se asegura una existencia limitada del
paquete dentro de la red.
Es necesario establecer el valor inicial del contador lo suficientemente alto
como para que el paquete sea capaz de llegar al destino, pero tampoco
excesivamente alto porque podría consumir muchos recursos. La decisión
que se adopta es inicializar el contador al número de saltos necesario para
llegar desde cualquier nodo de la red a otro (el valor es el mismo para todos
los paquetes generados, sea cual sea el nodo de la red que lo haga).
6 TTL, time to Uve, tiempo de vida de un cierto paquete.
64
Otra solución es determinar si un nodo ha conmutado ya ese paquete. En
este caso, un nodo origen marca el paquete generado con un número de
secuencia de tal forma que la unicidad de ese paquete viene dada por el par
(origen, secuencia). Cuando un nodo conmuta un paquete mira en la tabla; si
ya lo ha conmutado lo descarta, y si no lo ha conmutado lo introduce en la
tabla.
Como ventaja respecto de la solución anterior se consume menos capacidad
de red, pero posee el inconveniente de que la tecnología del nodo es muy
compleja, pudiendo ser el tamaño de las tablas muy grande. Además esta
solución puede dar mayores retardos que la anterior.
Concluyendo, la inundación es buena si se tiene la red sobredimensionada,
ya que no se tendría tantas limitaciones en cuanto a ocupación de recursos.
En este caso, la inundación es el algoritmo más robusto y óptimo, ya que
encuentra todas las rutas, entre ellas la mejor.
2.5.5 Algoritmo de Aprendizaje hacia Atrás [2'1J
Son los utilizados en redes locales. Cuando llega un paquete a un nodo con
destino a otro nodo cualquiera, se hace lo siguiente:
1. Si no se conoce el nodo destino se inunda y se incrementa el campo
"número de saltos dados por el paquete" (al contrario que en inundación,
donde se decrementaba).
2. Si el destino se conoce, se envía el paquete por la ruta que se indica en
las tablas.
El aprendizaje se basa en que se parte de no tener ninguna información de
control, y según se van produciendo inundaciones se aprende. Cuando llega
un paquete se mira el origen, el puerto a través del que ha llegado y el
65
número de saltos dados por ese paquete hasta que ha llegado. Si no se tiene
ninguna entrada en la tabla de encaminamiento con el nodo del que ha
llegado o si la tiene pero con número de saltos mayor (mayor distancia) se
actualizan las tablas.
Para evitar que un paquete esté dando vueltas eternamente en la red y por lo
tanto consuma recursos innecesariamente, se limita el número de saltos que
éste puede dar.
En principio, cuando todos los nodos hayan aprendido las mejores rutas se
acabará la inundación. Sin embargo, a las entradas se les asocia un tiempo
de vida, que se renueva cada vez que se hace uso de la entrada. Si
transcurrido el tiempo de vida la entrada no ha sido empleada se borra,
volviendo a inundar. Así se logra que la red se adapte a los cambios.
Se analizará con un ejemplo:
Figura 2.19 Ejemplo de Algoritmo de Aprendizaje
Al nodo C le llega por la puerta 1 un paquete con origen en A y destino D.
Puede ser que C no sepa dónde está situado el nodo D pero aprende que A
es accesible por la puerta 1, y escribe esta información en su tabla de
encaminamiento. Así, si le llega luego un paquete con destino al nodo A, lo
mandará por la puerta 1.
• Problema: la inundación consume recursos indefinidamente y pueden
aparecer bucles. Esto puede evitarse añadiendo un poco de control: en
66
los paquetes se introduce información sobre el número de saltos que ha
realizado éste (se tiene un contador que se incrementa en cada salto);
cuando este número llega a un valor máximo, se descarta el paquete. De
esta forma se puede cuantificar distancias además de conocer la
conectividad entre dos nodos.
Este tipo de algoritmos es óptimo (consiguen la mejor ruta, ya que en realidad
consiguen todas), siempre que se controle que no se saturen los enlaces de
los nodos.
Estos algoritmos se llaman de Backward Leaming, o aprendizaje hacia atrás,
debido a que la forma que tienen de aprender los nodos es a través de la
información que les llega del nodo origen.
2.4 Ambiente de enrutamiento f2'4J
Un grupo Internet es un conjunto de redes interconectadas. El Internet por
otro lado es la colección de redes que permiten la comunicación entre la
mayoría de institutos de investigación, universidades y muchas otras
organizaciones alrededor del mundo.
Los enrutadores dentro del Internet están organizados jerárquicamente.
Algunos enrutadores son utilizados exclusivamente para mover información a
través de un grupo particular de redes bajo un mismo control y autoridad
administrativa (esa entidad es conocida como sistema autónomo-AS).
Los enrutadores usados para intercambiar información dentro del sistema
autónomo son llamados enrutadores interiores y usan una variedad de
protocolos IGPs (Interior Gateway Protocole) para cumplir con este fin.
Los enrutadores que se encargan de movilizar información entre los sistemas
autónomos son llamados enrutadores exteriores y ellos utilizan protocolos
EGP (Exterior Gateway Profoco/) o BGP (Border Gateway Protocol)
67
Autonomous' System
EGPBGP
Enhanced IGRPRIPOSPFIntegrated IS-IS
router
IBM PC
Ethernet Ethernet
I = Interior Routing ProtocolE = Exterior Routing Protocol
Figura 2.20 Representación de la Arquitectura de Internet
2.5 Enrutamiento Interior
Los protocolos de enrutamiento interior o IGPs operan dentro de un sistema
autónomo. A continuación se describirán algunos de los IGPs más populares
en las redes TCP/IP.
2.5.1 RIP (Routing Information Protocol)
Este protocolo fue desarrollado por Xerox Corporation a principios de 1980
para ser utilizado en redes XNS (Xerox Network Systems). RIP trabaja bien
en ambientes pequeños, aunque tiene serias limitaciones cuando es utilizado
68
en grandes ambientes de red. Por ejemplo, este protocolo limita el número de
saltos de enrutadores entre dos equipos cualquiera de una red tipo Internet a
16. RIP tiene baja convergencia o sea que toma mucho tiempo para adaptar
a todos los enrutadores a los cambios de red. Además determina la mejor
ruta a través de una Internet utilizando como métrica solamente el número de
saltos entre dos nodos.
Esta técnica ignora diferencias en la velocidad de la línea, utilización de la
línea, y otras métricas, muchas de las cuales pueden ser factores importantes
en la elección de la ruta óptima. Por estas razones muchas compañías con
grandes Internéis han migrado de RIP a protocolos de enrutamiento más
sofisticados.
2.5.2 IGRP (Interior Gateway Routing Protocol)
Con la creación de IGRP a principios de los 80's, Cisco Systems fue la
primera compañía en resolver los problemas asociados con el uso de RIP
para enrutar datagramas entre enrutadores interiores. IGRP determina la
mejor ruta a través de un Internet por el examen del ancho de banda y de la
demora de las redes entre los enrutadores. IGRP converge más rápido que
RIP, por lo tanto se evitan los ciclos de enrutamiento causados por el
desacuerdo entre enrutadores sobre cuál es el próximo salto a ser tomado.
Más aún, IGRP no tiene limitación en cuanto a contador de saltos. Por lo
anterior IGRP es utilizado en redes de gran tamaño, complejas y con
diversidad de topologías.
Cisco ha lanzado una nueva versión del IGRP para manipular redes de alto
crecimiento y misión-crítica de hoy día. Esta nueva versión es conocida como
EIGRP (Enhanced IGRP) y combina la facilidad de uso de los protocolos de
enrutamiento de vector de distancia tradicional, con las capacidades de re-
enrutamiento rápido de los actuales protocolos del tipo link-state.
69
EIGRP consume mucho menos ancho de banda que IGRP porque éste es
capaz de limitar el intercambio de información de enrutamiento para incluir
solamente la información que ha cambiado. Además, es capaz de manipular
información de enrutamiento de AppleTalk7 y Novell IPX, así como
información de enrutamiento de IP.
2.5.3 OSPF (Open Shortest Path First)
OSPF fue desarrollado por el IETF (Internet Engineering Task Forcé) como el
reemplazo de RIP. Este protocolo es soportado por todos los principales
vendedores de equipo de enrutamiento IP. OSPF es un protocolo de
enrutamiento jerárquico del tipo link-state . Soporta enrutamiento jerárquico
dentro de un sistema autónomo. OSPF provee un muy rápido enrutamiento y
soporta máscaras de subred de longitud variable. OSPF se derivó del
protocolo de enrutamiento /S-/S de la OSI. Algunas características especiales
del OSPF incluyen enrutamiento de múltiples caminos de costo y
enrutamiento basado en un tipo de nivel superior de solicitudes del servicio
(TOS type-of-servíces). Por ejemplo una aplicación puede especificar que
ciertos datos son urgentes. Si OSPF tiene enlaces de alta prioridad a su
disposición, ellos pueden ser utilizados para transportar un datagrama
urgente. OSPF soporta una o más métricas.
2.5.4 IS-IS (Intermedíate System-lntermediate System)
Este es un protocolo de enrutamiento jerárquico, intradominio y de estado de
enlace utilizado por el algoritmo de enrutamiento DECnet Phase V8. Este es
muy similar de muchas maneras al OSPF. Puede funcionar sobre una
variedad de subredes, incluyendo LAN con broadcast, WAN y enlaces punto
7 Apple Talk, Protocolo de enrutamiento de Sistemas Macintosh8 DECnet Phase V, Es un grupo de productos de Comunicaciones, desarrollado y soportadopor la firma Digital Equipment Corporation. DECnet Phase V está ampliamente basado en losprotocolos OSI.
70
a punto. El Integrated IS-IS es una implementación del /S-/S no solo para
OSI, ya que soporta protocolos de OSI e IP. Al igual que todos los protocolos
de enrutamiento integrados, llama a todos los enrutadores para "correr" un
solo algoritmo de enrutamiento. Los anuncios de todos los enrutadores de
estado del enlace corriendo el IS-IS incluyen todos los destinos que están
corriendo los protocolos ya sea IP u OSI.
2.5.5 Enrutamiento Exterior
Los protocolos de enrutamiento exterior intercambian información de
enrutamiento entre redes que no comparten una administración común.
Básicamente hay dos tipos :
• BGP (Border Gateway Protocol}
• EGP (Exterior Gateway Protocol)
2.5.5.1 EGP (Exterior Gateway Protocol)
El primer protocolo de enrutamiento exterior de mayor difusión fue el EGP, el
cual provee conectividad dinámica pero asume que todos los sistemas
autónomos están conectados en una topología de árbol. Esto fue una
realidad en los inicios de la Internet pero ya no lo es.
Aunque EGP es un protocolo de enrutamiento dinámico éste utiliza un diseño
muy simple; no utiliza métricas y por lo tanto no toma verdaderas decisiones
inteligentes de enrutamiento. Sus actualizaciones de enrutamiento contienen
información de los alcances en la red, es decir ellos especifican que ciertas
redes son alcanzables a través de la red.
71
Considerando sus limitaciones para las complejas interedes de hoy día, EGP
está siendo sustituido por otros protocolos como BGP.
Los protocolos EGP requieren tres elementos de información antes de que el
proceso de enrutamiento se pueda iniciar:
• Una lista de los servidores de comunicación vecinos con los cuales se
intercambiará información de enrutamiento.
• Una lista de las redes para anunciarse como alcanzables
• Un número de sistema autónomo del servidor de comunicación local.
Figura 2.21 EGP y los Sistemas Autónomos
2.5.5.2 BGP (Bordar Gateway Protocof)
BGP representa un intento para solucionar la mayoría de los problemas
serios de EGP. BGP es un protocolo de enrutamiento ínterdominio creado
para ser usado en los enrutadores centrales de la Internet. Este fue diseñado
para prevenir los ciclos de enrutamiento en topologías arbitrarias ya que
permite la selección inteligente de ruta basada en métricas. Aunque BGP fue
diseñado como un protocolo inter-dominio, puede ser utilizado dentro de los
dominios. Dos vecinos de BGP comunicándose entre dominios deben residir
sobre la misma red física. Los enrutadores BGP dentro del mismo dominio se
comunican con otro por dos razones:
72
• Asegurar que ambos tienen un visión consistente del dominio.
• Para determinar cuál enrutador BGP dentro del dominio puede servir
como un punto de conexión para o desde ciertos dominios externos.
Los mensajes de actualización de BGP consisten de pares de rutas de
números y de dominio de la red. La ruta del dominio contiene un grupo de
dominios a través del cual la red especificada puede ser alcanzada. Esos
mensajes de actualización son enviados sobre el mecanismo confiable de
transporte de TCP/IP. El intercambio inicial de datos entre dos enrutadores es
la tabla de enrutamiento completa de BGP. Las actualizaciones posteriores
son enviadas sobre cambios en las tablas de enrutamiento. Al igual que otros
protocolos de enrutamiento, BGP no requiere de refrescamientos periódicos
de la tabla de enrutamiento completa, aun cuando mantiene una tabla con
todas las rutas factibles para una red particular, este solo anuncia la ruta
(óptima) en sus mensajes de actualización.
La métrica de BGP es una unidad arbitraria que especifica el "grado de
preferencia" de un camino particular. Esas métricas son típicamente
asignadas por el administrador de la red a través de archivos de
configuración. Los grados de preferencia pueden basarse en diversos
criterios incluyendo contador de dominios (las rutas con un pequeño contador
de dominio son generalmente las mejores), de tipo de enlace ( es un enlace
estable, rápido y confiable) y otros factores.
73
Referencias Bibliográficas
[2.1] http://www.dc.uba.ar/people/materias/tc/informacion/apuntes/Apunte-Ruteo.html
[2.2] Lijding María Eva, Un Nuevo Protocolo de Ruteo Interno, Universidadde Buenos Aires, Departamento de Computación.
[2.3] Tanenbaum, Andrew S., Computer Network, Prentice-Hall, 1996
[2.4] http://fenix.sis.epn.edu.ee/-ntrujill/Topico/28.html
[2.5] http://www.etse.urv.es/-cmolina/XCI/files/trans_xci_i/sld108.htm
74
Capítulo I
Sistemas Autónomos y BGP4
3.1 Introducción
Cada día que pasa en el Internet se incrementan los usuarios, por lo tanto los
Proveedores de Servicios de Internet necesitan incrementar sus redes así
como administrar las mismas, razón por la cual es necesario que cada
Proveedor de Servicio de Internet (/SP) obtenga su propio Sistema Autónomo
para optimizar sus redes en el Backbone de Internet y tener una administración
de los routers* en forma automática.
3.2 Conceptos Generales
3.2.1 Definición de Sistema Autónomo I311 {Z2{
En la gran red mundial que es el Internet, un Sistema Autónomo es una política
de ruteo tanto para una red simple como para un grupo de redes, que es
controlada por un mismo Administrador o por un grupo de Administradores
sobre una única identidad administrativa como una Universidad, una empresa
de negocios, o una división de negocios, etc.
Las redes internas de un Sistema Autónomo se comunican entre sí a través de
un protocolo llamado "Interior Gateway Protoco/", y un Sistema Autónomo
comparte su información de ruteo con otros Sistemas Autónomos usando el
protocolo "Border Gateway Profoco/"
3.2.2 Definición de Backbone [3'3]
Una red backbone, es una red de alto rendimiento formada por líneas
especiales de alta velocidad (enlaces T3 que pueden transmitir 45 Mbps),
cables de fibra óptica y enlaces vía satélite.
1 Router, son dispositivos que conectan físicamente las redes en Internet que hacen uso delprotocolo TCP/IP. Son puentes inteligentes de enlace que leen la dirección contenida en lasprimeras líneas de cada paquete, y determinan la mejor forma de enviar el paquete a sudestino, teniendo en cuenta lo ocupada que puede estar la red. La última generación de routerspuede tomar decisiones de cuál es el mejor camino disponible, el más rápido y el de menorcosto.
75
A una red backbone (o columna vertebral) se conectan otras redes de menor
rendimiento encargadas de transmitir datos entre computadoras centrales,
locales u otras redes de tránsito.
Una de las superautopistas de Internet, es el backbone NSFNET en los
Estados Unidos. Otras redes importantes existentes en Internet son: NASA,
CERN, NREN, BITNET, BARRNET, SURANET, etc.
3.2.3 Definición de Dominio {3'4J
La definición de Dominio es bastante amplia y se la puede dividir de la
siguiente forma:
• Dentro de la computación y del área de telecomunicaciones, un dominio
es una referencia que es identificada por un nombre; esta referencia por
lo general es un número de puntos de red o direcciones.
• Sobre el Internet, un dominio consiste de un grupo de direcciones de
red; este dominio se organiza por niveles. El nivel más alto puede ser
identificado ya sea por una zona geográfica o por el propósito de la
empresa, por ejemplo éste puede ser comercial, de red, de gobierno,
etc.
• El segundo nivel, identifica un único puesto que se encuentra a
continuación del nivel más alto y debe ser una dirección única sobre el
Internet. El nivel o niveles más bajos pueden ser usados también y se
posesionan a continuación del nivel medio.
Estrictamente hablando, sobre el Internet en el DNS ("Domain Ñame
System"), un dominio es un nombre con el cual el registro del nombre
del servidor es asociado con subdominios o hosts. Por ejemplo
"telconet.net" puede ser un dominio con registro www.telconet.net.
76
• En Windows NT y Windows 2000, un dominio es un conjunto de
recursos de red utilizado para un grupo de usuarios. (Por ejemplo:
aplicaciones, impresoras, etc.)
Para esto, el usuario necesita ingresar dentro del dominio para tener
acceso a todos los recursos de la red, estos recursos pueden estar en
diferentes servidores sobre el dominio.
3.2.4 Interacción entre dos Sistemas Autónomos [3'5]
Se considerará el caso de dos Sistemas Autónomos X (SAX) y Y (SAY), que
intercambian información de enrutamiento:
Red 1 Red 2
Cada Sistema Autónomo se conecta con una Red privada llamada RED1 y
RED2 respectivamente, existiendo también una comunicación entre los
Sistemas Autónomos.
El Sistema Autónomo SAX sabe cómo localizar un prefijo llamado RED1 que es
su red interna privada. No importa si la Redi pertenece al Sistema Autónomo
SAX o a algún otro Sistema Autónomo (SA) que intercambia información con el
SAX, ya sea directa o indirectamente; simplemente se debe asumir que el
Sistema Autónomo SAX sabe cómo direccionar paquetes de información hacia
la REDI Así mismo el Sistema Autónomo SAY sabe cómo localizar la RED2.
77
A fin de que el tráfico desde la RED2 hacia la RED1 fluya entre el Sistema
Autónomo SAX y el Sistema Autónomo SAY, la RED1 debe ser anunciada
ante el Sistema Autónomo SAY por el Sistema Autónomo SAX utilizando un
protocolo de enrutamiento exterior; esto significa que el Sistema Autónomo
SAX está dispuesto a aceptar el tráfico direccionado hacia la RED1 desde el
Sistema Autónomo SAY. La política de enrutamiento entra en juego cuando el
Sistema Autónomo SAX decide anunciar a la RED1 ante el Sistema Autónomo
SAY.
Para que el tráfico fluya, el Sistema Autónomo SAY tiene que aceptar esta
información de enrutamiento y usarla. Es un privilegio del Sistema Autónomo
SAY usar o descartar la información que recibe del Sistema Autónomo SAX
acerca de la accesibilidad de la REDI
El Sistema Autónomo SAY puede decidir no usar esta información si no quiere
enviar tráfico a la RED1 en absoluto o si considera otra ruta más apropiada
para alcanzar a la RED1.
A fin de que el tráfico con dirección hacia la RED1 fluya entre el Sistema
Autónomo SAX y el Sistema Autónomo SAY, el Sistema Autónomo SAX deberá
anunciar esa ruta al Sistema Autónomo SAY y éste deberá aceptarla:
Flujo de Paquetes hacia Redi
Anuncio Redi
f Acepta Red2
Acepta Redi
Anuncio Red2
, _ __^
Flujo de Paquetes hacia Red2
Esta situación es Ideal, porque en la práctica rara vez las políticas del anuncio y
la aceptación del Sistema Autónomo SAX y del Sistema Autónomo SAY son
simétricas.
78
A fin de que el tráfico hacia la RED2 fluya, el anuncio y la aceptación de la
RED2 deben darse (imagen espejo de lo que sucede con la RED1). Para casi
todas las aplicaciones la conectividad en una sola dirección no es útil.
Se debe notar que, en topologías más complejas que la de este ejemplo, el
tráfico de la RED1 a la RED2 puede no necesariamente tomar el mismo camino
que el tráfico de la RED2 a la RED1; esto se conoce como enrutamiento
asimétrico. El enrutamiento asimétrico no es inherentemente malo, pero
muchas veces puede causar problemas de desempeño para protocolos de nivel
superior, tal como TCP, por lo que se debe usar con precaución y solamente
cuando sea necesario. Sin embargo, el enrutamiento asimétrico puede ser un
requerimiento para hosts móviles y situaciones evidentemente asimétricas, tal
como una conexión en la que el satélite descarga la información (download) y
el modem la carga (upload)
Las políticas no son configuradas para cada prefijo en forma separada sino
para grupos de prefijos. Estos grupos de prefijos son los Sistemas Autónomos
SAs.
Un Sistema Autónomo SA tiene un número global único (a veces llamado ASN
por las siglas de Autonomous System Number) asociado con él; este número
es usado tanto en el intercambio de información de enrutamiento exterior (entre
SAs vecinos), como para identificar al Sistema Autónomo SA en sí.
En términos de enrutamiento, un Sistema Autónomo SA normalmente utilizará
uno o más IGPs (Interior Gateway Protocol) para intercambiar información de
accesibilidad dentro de su propio Sistema Autónomo SA. Sobre el RFC1655 se
puede ampliar este tema, ver Anexo A1.
3.3 Problemas que se presentan en la asignación de SistemasAutónomos
El término Sistema Autónomo SA es frecuentemente confundido o mal utilizado
como una manera conveniente de agrupar un conjunto de prefijos que
79
pertenecen a la misma administración, incluso si dentro de ese grupo de
prefijos hay varias políticas de enrutamiento diferentes. Sin excepción, un
Sistema Autónomo (SA) debe tener solamente una política de enrutamiento.
Es esencial tener una cuidadosa consideración y coordinación durante la
creación de un SA. Se debe evitar usar un SA simplemente por tenerlo, así
como también se debe evitar tener un SA por cada clase de red (lo IDEAL es
tener un prefijo, que contenga muchos prefijos mas largos, por cada SA). Esto
puede implicar que se requiera algo de reingeniería con el fin de aplicar los
criterios y lineamientos, que se listan, para la creación y asignación de un SA;
no obstante, hacerlo es probablemente la única manera de implementar la
política de enrutamiento deseada.
Cuando se diseña un SA, se debe tener cuidado de registrar los bloques CIDR2
clasificados adecuadamente según su tamaño con su autoridad de registro con
el fin de minimizar el número de prefijos anunciados desde su SA. Ese número
puede, y debería, ser igual a uno.
Algunos enrutadores usan un número de SA como una forma de etiquetado
para identificar los procesos de enrutamiento tanto interiores como exteriores.
Esa etiqueta no necesita ser única a menos que la información de enrutamiento
sea intercambiada con otros Sistemas Autónomos SA's.
3.4 Cuando es necesario crear un Sistema Autónomo ?
Hay características especiales que se deben considerar para poder tener un
criterio de cuando seleccionar o crear un Sistema Autónomo; estas
características son:
2 CIDR (Classless Inter-Domain Routing) es una manera para localizar y especificar la direcciónde Internet usada en el ruteo interno del dominio, más flexible que con el sistema original declases de direcciones del Protocolo de Internet. Como resultado, el número de direcciones deInternet disponible ha sido incrementado; CIDR es ahora el sistema de ruteo usado por todoslos gateways hosts sobre el backbone de Internet. Las autoridades que regulan el Internetahora permiten a todos los ISP que lo utilicen para ruteo.
80
3.4.1 Intercambio de información de ruteo externo
Un SA debe ser utilizado para intercambiar información de enrutamiento
externo con otros Sistemas Autónomos SA's a través de un protocolo de
enrutamiento exterior. El protocolo recomendado actualmente es BGP. Sin
embargo, el intercambio de información de enrutamiento exterior por si solo no
constituye una necesidad de un SA.
3.4.2 Existencia de muchos prefijos en un Sistema Autónomo SA
Como regla general, se debe tratar de ubicar tantos prefijos como sea posible
dentro de un Sistema Autónomo SA dado, con tal de que todos ellos estén bajo
la misma política de enrutamiento.
3.4.3 Requerimientos de una única política de enrutamiento
Un Sistema Autónomo SA es necesario únicamente cuando se tiene una
política de enrutamiento diferente a la del resto de miembros del grupo. Aquí la
política de enrutamiento se refiere a cómo el resto de la Internet toma
decisiones de enrutamiento basado en la información de su Sistema Autónomo
SA.
3.5 Guía de Creación de un Sistema Autónomo [3-6J
Existen varios pasos para llevar a la creación de un Sistema Autónomo, entre
los cuales se puede mencionar:
• El registro sobre NIC Internacional (formulario)
• Asignación de un Número para el Sistema Autónomo
• Pago a NIC Internacional
81
3.5.1 Formularios para la obtención de un Sistema Autónomo.
Existen dos tipos de formularios, el primero es para empresas privadas y ei
segundo es para empresas Militares o del Gobierno.
3.5.1.1 Formulario para una empresa Privada
Para hacer el requerimiento del sistema autónomo, es necesario llenar una
forma con los datos del sistema, tal como la que se indica en la tabla 3.1. En el
Anexo A2 se presenta un ejemplo del formulario lleno.
Forma Descripción
0. (N)ew (M)odify (D)elete.:
1. Autonomous System Ñame.
Organization Using ASN
2a. Organization Ñame.2b. Street address2c. City :2d. State :2e. Postal Code2f. Country :
Technical Contact
3a. ARIN-handle (if known).3b. Name(Last, First) :3c. Street address :3d. City :3e. State :3f. Postal Code :3g. Country :3h. Phone Number :3i. E-Mailbox :
Other Information:
Sección ONueva, Modificar o Borrar
Sección 1Nombre del Sistema Autónomo
Sección 2Organización usando ASN
Nombre de la OrganizaciónDirecciónCiudadEstadoCódigo PostalPaís
Sección 3Contacto Técnico
Manejo de ARINNombre (Segundo, Primero)DirecciónCiudadEstadoCódigo PostalPaísNúmero de teléfonoE-Mail
Otra Información:
Tabla 3.1 Formulario para empresa privada
82
3C. First Ñame...3D. Middle Initial.3E. Title/Rank
ADDRESS INFORMATION
3F. Organization Ñame3G. Address Une 1 :3H. Address Une 2 :31. Address Line 3 :3J. City orAPOorFPO3K. State or APO/FPO Code.3L, ZipCode :
PHONE INFORMATION
3M. Commercial Phone.3N. DSN Phone3O. Fax Phone
E-MAIL INFORMATION3P. E-mail Address
ADMINISTRATIVE CONTACT(Military Personnel or GovernmentEmployee Only)
4A. NICHandle :
ÑAME INFORMATION
4B. Last Ñame4C. First Ñame4D. Middle Initial4E. Title/Rank
ADDRESS INFORMATION
4F. Organization Ñame4G. Address Line 1 :4H. Address Line 2 :41. Address Line 3 :4J. City orAPOorFPO4K. State or APO/FPO Code.4L. ZipCode :
PHONE INFORMATION
4M. Commercial Phone.4N. DSN Phone
Primer NombreInicialesTitulo
Información de la Dirección
Nombre de la OrganizaciónDirección línea 1Dirección línea 2Dirección línea 3CiudadEstadoCódigo ZIP
Información de Teléfono
Teléfono ComercialTeléfono DSN (Deep space Network)Teléfono Fax
Información de CorreoDirección de Correo
Contacto AdministrativoSolo para personal Militar o delGobierno
Manejo del NIC
Información del Nombre
Segundo NombrePrimer NombreInicialesTitulo
Información de Dirección
Nombre de la OrganizaciónDirección línea 1Dirección línea 2Dirección línea 3CiudadEstadoCódigo ZIP
Información de Teléfono
Teléfono ComercialTeléfono DSN
84
4O. Fax Phone
E-MAIL INFORMATION
4P. E-mail Address
AUTONOMOUS SYSTEMCOMPOSITION (Free Form Section)
Protocol Information
5A. IGP used in AS:5B. EGPusedinAS:
Network Information
5C. IP Address of site Premise
Router:
5D. IP Address of Hub Router
connecting to:
5E. Number of Routers ín AS:5F IPAddresses of Routers in AS:5G. Number of Networks in AS:5H. IP Addresses of Networks in AS:
AUTONOMOUS SYSTEMJUSTIFICARON
6A. Additional supportingjustification:
Teléfono Fax
Información de E-mail
Dirección de Correo
Composición del Sistema Autónomo
Información del Protocolo
Protocolo usado para IGPProtocolo usado para EGP
Información de la Red
IP de su NIPRNET o SIPRNET Router
IP de su NIPRNET o SIPRNET Hub oRouter que se conectará
Número de Routers en el ASIP'sde los routersNúmero de redes in el ASIP's de las redes den el AS
Justificación del Sistema Autónomo
Justificación de la creación de suSistema Autónomo.
Tabla 3.2 Formulario para empresa Militar o del Gobierno
3.5.2 Numeración de los Sistemas Autónomos
Los números de Sistemas Autónomos (ASN) se utilizan para facilitar el
enrutamiento en redes con más de una conexión a proveedores diferentes. Se
asignan cuando su política de enrutamiento es diferente a la de su proveedor.
85
Esto generalmente significa que la red tiene más de una conexión a
proveedores diferentes. En casi todos los casos, a menos que se tenga más de
una conexión a diferentes ISP's, no se necesitará un ASN.
Si la política de enrutamiento coincide con la del proveedor, se debe utilizar el
ASN del proveedor. Si se tiene tráfico constante entre la red y un punto en otro
país, probablemente se tendrá que conectar a un segundo proveedor. La red
resultante, con más de una conexión a proveedores diferentes es más robusta,
y puede cambiar las relaciones con el tipo de registros (y por ende la forma de
solicitud). También incrementa el costo de operación sustancialmente.
Se puede ver obligado a reducir el tráfico en los enlaces internacionales
seleccionando conectarse a un punto de intercambio local. Este posibilita que
el tráfico local se mantenga dentro del país y no a través de costosos enlaces
internacionales; con la implementación de esto se tendrá más de una conexión
a diferentes proveedores.
Un Sistema Autónomo tiene un único número global (algunas veces referidos
como un ASN o Número de Sistema Autónomo) asociado con éste. Este
número es usado en el intercambio de información de ruteo exterior (entre
Sistemas Autónomos vecinos), y como un identificador de un Sistema
Autónomo.
En términos de ruteo, un Sistema Autónomo normalmente usará uno o más
protocolos de ruteo interior (IGP) cuando intercambia información dentro de su
propio Sistema Autónomo.
3.5.3 Costos de un Sistema Autónomo
ARIN, es la empresa que tiene el servicio de registrar dominios y Sistemas
Autónomos para las zonas América del Norte, América del Sur, el Caribe y
África; es el responsable de la registración, administración y la conservación del
espacio de dirección del Protocolo de Internet IP, en estas áreas geográficas.
86
La compañía ha establecido un costo de registración por un valor de USD
SOO.oo por cada Sistema Autónomo que se registre, y en lo posterior se deberá
pagar un valor de USD 30,oo anuales por concepto de mantenimiento, siendo
posible hacer pagos de mantenimiento por cada dos años, con un costo de
USD 60,00.
Los pagos anuales deben hacerse en cada aniversario del registro del Sistema
Autónomo, en caso de que no se realice el pago anual, se bloqueará al
Sistema Autónomo.
3.5.4 Sistemas Autónomos en el Mundo
Existen muchos Sistemas Autónomos registrados en el mundo actualmente se
tiene aproximadamente 16834, esta lista se encuentra en el anexo A4.
3.6 Introducción a una Sesión de BGP[37]
Cuando dos ruteadores están configurados para hablar BGP con el objeto de
intercambiar información de ruteo dinámica, la primera etapa es establecer una
conexión entre ellos. Los dos extremos de cada uno son llamados BGP peers
(semejantes), y juntos forman una sesión 6GP. Para que ambos extremos de la
sesión BGP se aseguren que nada de la información enviada entre los dos se
ha perdido, la conexión establecida entre los ruteadores debe ser confiable.
Hay dos maneras de lograr esta confiabilidad. La primera es que BGP invente
un protocolo interno en el mismo y que cumpla o que realice la entrega
ordenada de mensajes, detecte duplicados, reconozca cuando la información
se ha perdido y la retransmita, controle la tasa de envío para que el extremo
receptor no esté sobrecargado, etc. La otra opción es que BGP utilice un
protocolo existente que haga exactamente estas cosas. 8GP toma esta última
opción, específicamente utilizando el protocolo TCP. Antes que un intento se
haya realizado para establecer una conexión TCP entre los dos extremos, se
dice que la sesión BGP está en un estado vacío o disponible.
87
Cuando uno de los extremos empieza un intento de establecer una conexión
TCP, la Sesión BGP en este extremo estará en un estado de Conexión. Si la
conexión TCP no puede ser establecida después de un cierto tiempo el
extremo cambia al estado Activo, en el cual periódicamente reintenta
reestablecer la conexión. Después de que la conexión ha sido establecida, los
extremos pueden estar seguros de que los mensajes serán entregados
confiablemente siempre y cuando haya una conexión viable entre ellos.
Además los extremos conocen que si la conexión deja de ser viable ellos serán
comunicados de aquello localmente por el protocolo TCP. Este arreglo permite
que los mensajes BGP sean simples e incluyan solo la información necesaria
con el mínimo de overhead3. Una característica que BGP debe contener y no
puede confiar en un TCP como soporte es un keepalive 4 (mantener con vida).
En un sentido general un keepalive es una señal desde un extremo A a un
extremo B que indica que el extremo A está todavía allí y operando. Keepalives
se usan frecuentemente en circuitos conectados con ruteadores como una
manera de identificar circuitos con fallas. TCP por si solo no incluye un
keepalive, por esa razón BGP debe tomar en cuenta esa falta.
Después que la conexión TCP ha sido establecida, los dos extremos de la
conexión envían mensajes el uno al otro que son formateados de la manera
indicada por el protocolo BGP. Una reacción de un extremo a un mensaje del
otro extremo puede ser un mensaje BGP explícito en respuesta. O podría ser
un cambio a una entrada en ruta o envío de tablas o puede que no haya
ninguna reacción en lo absoluto.
A un nivel Alto, la primera cosa que los vecinos BGP hacen cuando la conexión
TCP es establecida, es identificarse entre ellos mismos en muchas maneras.
Cuando un extremo envía este mensaje de identificación, transpone al estado
Open Sent. Cuando un extremo recibe un mensaje de identificación similar de
su vecino, cambia al estado OpenConfirm. Basado en esta información de
identificación, cada vecino tiene el derecho de aceptar o rechazar una
3 Overhead: Sobre carga4 keepalive: mantener con vida
88
conexión. Si la conexión es rechazada, generalmente se realiza una
notificación de error de algún tipo y la conexión TCP se cierra. Si la conexión es
aceptada, cada extremo envía una notificación explícita de que está aceptando
la conexión. Cuando un extremo recibe esta aceptación se cambia al estado
Established.
En este punto, la sesión BGP se considera completamente activa y por primera
vez las rutas pueden ser intercambiadas. En este punto es necesario que cada
extremo anuncie una ruta por cada prefijo que quiera que el otro extremo
conozca. En otras palabras, si el ruteador A tiene 50000 prefijos y es
configurado para enviar todos al ruteador B, un gran número de mensajes
serán enviados anunciando todos estos prefijos.
Después de que estos mensajes iniciales han sido intercambiados, el ruteador
A necesita informar al ruteador B solamente de los cambios; el protocolo no
requiere que el ruteador refresque la información sobre estos prefijos al
ruteador B. Una característica importante de BGP es su apoyo a la política, lo
que significa que un emisor BGP no necesita aceptar cada ruta que aprende de
un vecino. Al contrario un emisor BGP puede aceptar selectivamente y
rechazar rutas basado en configuración.
Las sesiones BGP típicamente se quedan en el estado Established la mayor
parte del tiempo. Si un error ocurre mientras una sesión BGP está activa, el
vecino que percibe el error envía un mensaje a su vecino identificando el error
y después cierra la conexión TCP, regresando de esta manera al estado Idle.
Después que la conexión TCP ha terminado, cada extremo tiene que parar de
usar la información de ruteo que escuchó del otro. Si la conexión entre vecinos
BGP se detiene (por ejemplo porque uno de los ruteadores se cuelga o no hay
un canal viable entre ellos), la conexión TCP se detiene y cada extremo deja
de usar la información de ruteo que escuchó del otro.
89
3.6.1 Definición de Border Gateway Protocol BGP I3 81
Bordar Gateway Protocol es un protocolo que se utiliza para poder intercambiar
información entre redes de Sistemas Autónomos, el dispositivo que se utiliza
para esto son los routers, quienes facilitan este intercambio a través de este
protocolo.
Dentro de la tabla de ruteo se tiene las direcciones a las cuales los paquetes
deben alcanzar, así como también la métrica o costo.
Todos los hosts que trabajan con BGP usan la comunicación a través del
protocolo Transmission Control Protocol (TCP) y las tablas de información son
actualizadas solo cuando algún router BGP ha detectado algún cambio en su
tabla, siendo enviada solo la parte de la tabla que tuvo cambios, con esto se
optimiza la parte del enlace en el backbone de Internet.
Dentro de los Sistemas autónomos se utiliza el protocolo Interior Border
Gateway Protocol 5 (IBGP) el cual facilita el trabajo de ruteo dentro del mismo
Sistema Autónomo.
La versión 4 de BGP facilita el uso Classless ínter Domain Router que es un
ruteo sin clase; éste es un esquema que permite tener más direcciones dentro
de una red con la misma metodología asignación de direcciones IP.
El protocolo que se usa para comunicarse con Sistemas Autónomos es el
Exterior Gateway Protocol (EGPf.
s (Gp p.9] es un prO(OCO|O ¿e ruteo o encaminamiento que se utiliza para intercambiarinformación de ruteo dentro de redes autónomas, la información de ruteo puede serintercambiada a través del protocolo de Internet IP u otros protocolos como son RIP y OSPF.
6 EGP '310] es un protocolo de ruteo que intercambia información entre redes autónomas; lastablas de ruteo contienen listas de ruteadores, direcciones de las que se puede alcanzar comotambién su métrica o costo, cada router conversa con sus vecinos en periodos de 120 a 480segundos para actualizar sus tablas de ruteo.
90
3.7 Tipo de Mensajes del Protocolo BGP[3-7J
Aquí se describe en detalle los tipos y formatos de mensajes que se envían
entre emisores SGPen una conexión TCP.
3.7.1 Common Header- Cabecera Común
Un Common Header precede todos los mensajes BGP. El formato del Common
Header se muestra en la figura 3.1
Martcer{16 Octetos)
Length (2 Octetos)Type (1 Octeto)
Figura 3.1 Cabecera Común
El campo Marker puede ser usado con dos diferentes propósitos:
Sincronización y seguridad. El valor de este campo depende del mensaje que
está siendo enviado y el tipo de seguridad utilizada, si hay alguna. Si el
mensaje que está siendo enviado es un mensaje OPEA/, lo que quiere decir
que éste es el primer mensaje enviado entre los vecinos, el campo Marker
contiene todos los bits en 1. Si, cuando la sesión BGP fue establecida, una
opción de seguridad fue especificada, el campo Marker es predecible basado
en esa opción de seguridad; si no hay opción de seguridad, el campo Marker
tiene todos los bits en 1 para todos los tipos de mensajes.
El campo Length especifica el tamaño del mensaje completo BGP, incluyendo
el Common Header.
El campo Type especifica el mensaje BGP que está siendo enviado. Los
valores posibles son:
91
OPEN (1)
ÚRDATE (2)
NOTIFICATION (3)
KEEPALIVE (4)
Siguiendo a la cabecera común están ceros o más octetos adicionales para el
tipo de mensaje BGP que está siendo enviado. Los octetos adicionales, si
existiesen, son interpretados según el tipo de campo en la cabecera común.
Los cuatro tipos de mensajes se describen en las próximas cuatro secciones
3.7.2 Mensaje OPEN
Un mensaje OPEN es el primer mensaje enviado después que la conexión TCP
se ha establecido. El propósito del mensaje OPEN es para que cada extremo
se identifique y se ponga de acuerdo en los parámetros del protocolo, tales
como los temporizadores. El formato de un mensaje OPEN se muestra en la
figura 3.2.
Versión (1 Octeto)
My Autonomous System (2 Octetos)
Hold Time (2 Octetos)
BGP Identifier (4 Octetos)
Optional ParametersLenght (1 Octeto)
Optional Parameters (variable lenght)
Figura 3.2 Mensaje OPEN
El campo Versión especifica la versión BGP que el emisor del mensaje OPEN
está utilizando. La presencia de este campo da a los dos emisores o
conversadores BGP un mecanismo de negociación inicial para usar el número
92
de versión común más alto. Por ejemplo, si un emisor BGP 4 envía un mensaje
OPEN a un emisor BGP 3, el emisor BGP 3 regresa un mensaje de error
especificando que no puede soportar la versión 4 y después cierra la conexión
TCP . El emisor BGP 4 puede reaccionar a este mensaje de error abriendo una
nueva conexión TCP y actuando de acuerdo a las especificaciones BGP3
haciéndolo así compatible.
El campo MyAutonomous System especifica el Número del Sistema Autónomo
ASN (Autonomous System Number) del ruteadorque está enviando el mensaje
OPEN. El Internet es una colección de dominios de ruta. Cada uno de estos
dominios de ruta es únicamente identificado por un ASN. Los emisores BGP
están configurados con su propio ASN y los ASN's de cada vecino BGP.
Cuando un mensaje OPEN es recibido de un vecino y procesado, el campo My
Autonomous System es comparado con el ASN configurado para ese vecino. Si
los valores coinciden, el procesamiento continua, de lo contrario, un mensaje
de error se envía y la conexión TCP se cierra.
El campo Hold Time especifica el número de segundos que el emisor del
mensaje OPEN propone usar como un hold timer. El hold timer es la longitud
máxima de tiempo que un extremo esperará hasta escuchar algo del otro
extremo (sea un mensaje UPDATE o un KEEPALIVE) antes de asumir que la
sesión BGP sea cerrada. El campo Hold Time con un valor de cero significa
que el emisor propone no intercambiar mensajes KEEPALIVE (este modo de
operación no es recomendado porque podría resultar en que uno de los
emisores BGP no conozca que el otro se ha colgado). Un Hold Time que no
sea cero debe ser de al menos 3 segundos. El Hold Time escogido para la
sesión BGP es el mínimo del valor configurado (ocalmente y el valor anunciado
por el vecino. El protocolo permite explícitamente a los vecinos rechazar un
mensaje OPEN sí el valor del campo Hold Time es inaceptable.
El campo BGP Identifíer contiene un valor usado para identificar el emisor BGP.
Cuando cierto emisor BGP envía un mensaje OPEN, el emisor BGP escoge el
valor a poner en el campo BGP Identifíer. Por conveniencia, el identificador es
típicamente una de las direcciones IP asignadas al ruteador. La dirección
93
escogida generalmente no es una asociada con el interfaz físico sino con un
interfaz virtual distinguible. Un emisor BGP usa un BGP Identifier para cada
sesión BGP.
El campo Optional Parameters Lenght especifica el tamaño de cualquier opción
incluyendo la del mensaje OPEA/. Si no hay opciones presentes, el valor de
este campo es cero.
3.7.3 Mensaje ÚRDATE
El mensaje UPDATE es el mensaje más importante para comunicar
información entre dos emisores BGP. Cuando un emisor 6GP anuncia un
prefijo a un vecino BGP o retira un prefijo previamente anunciado, el emisor
BGP usa un mensaje UPDATE. El formato del mensaje UPDATE se muestra
en la figura 3.3
El campo Wirthdrawn Routes Length indica la longitud del campo Wirthdrawn
Routes en octetos. La especificación llama a este campo longitud de rutas no
factibles, pero es preferible llamar Wirthdrawn "retiradas" y no "no factibles"
porque es más consistente con otro lenguaje utilizado.
El campo Wirthdrawn Routes contiene una lista de prefijos IP por lo que el
emisor del mensaje UPDATE no necesita enviar paquetes.
Cuando un rutedor A envía un UPDATE a un ruteador B con un retiro
(withdrawaf) para un prefijo, generalmente significa que el camino entre el
ruteador A y el prefijo está al menos temporalmente no disponible. El ruteador
A puede que no conozca del prefijo directamente y en lugar de esto puede
haber escuchado del prefijo a través del vecino BGP o de un vecino de
cualquier otro protocolo dinámico de ruteo. El punto principal aquí es que el
ruteador A tiene que retirar el prefijo del ruteador B o sino el ruteador B
continuará enviando paquetes destinado al prefijo del ruteador A.
94
Los prefijos IP se pueden apreciar en la figura 3.4, el campo Length que es la
representación de un prefijo IP indica el número de bits en el prefijo. En otras
palabras, esta es la longitud del prefijo o máscara de Red.
El campo Prefix en la representación de un prefijo IP contiene el prefijo en sí,
seguido de suficientes bits para hacer que la longitud de todo el campo sea un
múltiplo entero de 8 bits. El propósito de este redondeo es simplemente hacer
que el campo sea de cierto número de octetos completos porque los mensajes
de protocolo están agrupados en filas de octetos y no en filas de bits
individuales. Al recibir un prefijo IP, el valor de los bits que restan debe ser
ignorado. Al regresar el mensaje ÚRDATE, el campo Total Path Attributes
Length indica la longitud del campo Path Attributes.
Wíthdrawn Routes Length (2 oclets)
Withdrawn Routes (variable Length )
Total Palh Attributes Length (2 octets)
Path Attributes (variable length)
Network Layer Reachabilíty Information (variable length)
Figura 3.3 Mensaje UPDATE
Length (1 octet)
Prefix (variable length)
Figura 3.4 Prefijo IP
3.7.4 Mensaje NOTIFICACIÓN
Si un error ocurre durante la vida de una sesión BGP el mensaje
NOTIFICATION (ver figura 3.5) puede ser usado para indicar la presencia de tal
error antes que la conexión TCP se cierre. Este arreglo permite al administrador
95
del sistema remoto recibir una notificación del porqué la sesión BGP fue
terminada. Se debe notar que la especificación BGP necesita que la conexión
BGP se cierre inmediatamente después de enviar una notificación. El campo
Error Code identifica el tipo de error que fue encontrado; a continuación se lista
algunos posibles tipos de errores y sus códigos
• Message Header Error (1) indica un error al procesar un common
headero un mensaje en general
• OPEA/ Message Error (2) Indica un error al procesar un mensaje
OPEA/
• UPDATE Message Error (3) indica un error al procesar un mensaje
ÚRDATE.
• Hold Timer Expirad (4) indica que ha pasado más tiempo desde la
recepción de un mensaje (OPEA/, UPDATE, o KEEPALIVE) que el
permitido por el hold timer negociado.
• Finito State Machine Error (5) indica que un evento ilegal fue recibido
en el actual estado.
• Cease (6) es el código de error usado cuando ningún otro código de
error puede aplicarse pero el emisor BGP elige terminar la sesión.
Error Code (1octet) | Error Subode (1 octet) |
DATA
Figura 3.5 Mensaje NOTIFICATION
El campo Error Subcode da información más especifica sobre el error
encontrado. Para errores de encabezamiento de mensaje los subcódigos
provistos son los siguientes:
• Connection A/oí Synchronized (1) indica que el campo Marker no fue
predicho correctamente.
• Bad Message Length (2) indica que la longitud del mensaje fue
menor que el mínimo permitido por la sintaxis del protocolo o mayor
que el permitido en el enlace.
96
• Bad Message Type (3) indica que el tipo de mensaje no fue OPEA/,
ÚRDATE, NOTIFICATION, o KEEPALIVE.
Para errores del encabezamiento del mensaje OPEN, los siguientes
subcódigos son aplicados:
• Unsupported Versión Number (1) indica que el emisor de la
notificación no soporta la versión BGP especificada para el emisor
del mensaje OPEN.
• Bad Pear AS (2) indica que el campo My Autonomous System en el
mensaje OPEN no coincide con la configuración del semejante en el
sistema que envió el mensaje NOTIFICATION.
• Bad BGP Identifier (3) indica que el campo BGP Identifier en el
mensaje OPEN no coincide con la configuración de su semejante en
el sistema que envió el mensaje NOTIFICATION.
• Unsupported Optional Parameter (4) indica que el emisor del
mensaje NOTIFICATION no soporta un parámetro opcional incluido
en el mensaje OPEN
• Authentification Failure (5) indica que el emisor del mensaje
NOTIFICATION no pudo autentificar en su semejante que envió el
mensaje OPEN
• Unacceptable Hold Time (6) indica que el emisor del mensaje
NOTIFICATION está rechazando la sesión BGP basada en el campo
Hold Time en el mensaje OPEN.
Para errores en el mensaje UPDATE, se tiene los siguientes subcódigos
• Malformed Attríbute List (1) indica que el emisor de la notificación
encontró un error mientras valida o chequea la sintaxis en el campo
Path Atthbutes en el mensaje UPDATE.
• Unrecognized Well-Known Attríbute (2), indica que el emisor de la
notificación no puede soportar el atributo recibido en un mensaje
update cuyo campo Attríbute Flags indica que el atributo es bien
conocido (Well-Known).
97
• Missing Well-Known Attríbute (3), indica que mientras se está
procesando un mensaje ÚRDATE, el emisor del mensaje de
notificación no recibió correctamente los atributos requeridos.
• Attríbute Flags Error (4), indica que el campo Attríbute Flags de un
atributo en el campo Path Attríbute no tenía sentido.
• Attríbute Length Error (5), indica que la longitud de un atributo en el
mensaje ÚRDATE es sintácticamente incorrecto (por ejemplo, la
longitud del atributo es más largo que lo que sobra del mensaje)
• Invalid ORIGIN Attríbute (6), indica que el valor especificado para el
atributo ORIGIN no es uno de los tres valores permitidos
• AS Routing Loop(7), Indica que el emisor de la notificación recibió un
mensaje ÚRDATE conteniendo un prefijo de enlace (looping)
• Invalid NEXT-HOR Attríbute (8), indica que el valor del atributo A/exí-
Hop en el mensaje ÚRDATE no es válido.
• Optional Attríbute Error (9), indica que un error se encontró al
procesar un atributo opcional incluido en el mensaje ÚRDATE
• Invalid Network Field (10) indica que un error se encontró al procesar
un prefijo en el mensaje ÚRDATE.
• Malformed AS-PATH (11) indica que un error fue encontrado al
procesar el atributo AS-Path en el mensaje ÚRDATE.
El Campo Data puede estar presente dependiendo del campo Error Code y
Error Subcode. Condiciones particulares de error pueden ser especificadas
para incluir información en el campo Dafa, para que de esta manera una
indicación acerca de cual parte del mensaje considera un error, pueda ser
enviada al terminal remoto.
3.7.5 Mensaje KEEPALIVE
Los vecinos BGP se envían un mensaje KEEPALIVE para confirmar que la
conexión entre ellos está todavía activa. La frecuencia a la cual los KEEPALIVE
son enviados depende del tiempo negociado en el hold time y de la frecuencia
a la cual los mensajes ÚRDATE son enviados. El protocolo requiere que alguna
98
información sea enviada entre los vecinos antes de que el Hold Time expire,
aunque esta información puede ser un mensaje KEEPALIVE o un UPDATE si
es que hay información real de ruteo para enviar. Si un mensaje UPDATE es
enviado el hold time se reinicializa al valor negociado. Sintácticamente, un
mensaje KEEPALIVE es simplemente un encabezamiento común (common
header) con ninguna otra información.
3.8 Modelo Conceptual de Operación de BGP4f3JJ
La especificación BGP 4 usa un grupo específico de términos para discutir la
manera que una implementación BGP debería comportarse con respecto a
aprender un prefijo en una sesión BGP y después posiblemente reanunciar ese
prefijo hacia otros vecinos BGP. El punto no es indicar una manera en que el
BGP debería ser implementado, un implementador puede tomar un enfoque
diferente. Al contrario el objetivo es describir la manera conceptual en que la
implementación BGP aprende los prefijos de sus vecinos, esto es cómo la
implementación usa los prefijos (ocalmente y cómo la implementación informa a
otros vecinos sobre los prefijos.
La especificación introduce los términos Adj-RIB-ln, Loc-RIB, y Adj-RIB-Out. El
R/B en cada uno de estos términos se refiere a una base de información de
ruteo, que es simplemente otro nombre para un tablero de ruteo. Un Adj-RIB-ln
es el lugar donde los prefijos aprendidos de un vecino particular son
guardados. Hay tantos Adj-RIBs-ln como emisores. Debido a que un emisor
BGP puede aprender el mismo prefijo a través de varios vecinos BGP debe
existir un proceso para analizar todos los prefijos en todos los Adj-RIBs-ln y
decidir cuál de los caminos a los prefijos utilizar.
Los prefijos que son seleccionados para usar son almacenados en el Loc-ROB
y solo hay un Loc-RIB por sistema. Finalmente, los Adj-RIBs-Out son usados
para guardar prefijos que van hacer anunciados a un vecino específico. Así
como con los Adj-RIBs-ln, hay solo un Adj-RIB-Out por cada emisor vecino.
99
3.9 Atributos de Base Estándar del Protocolo BGP4 f3'11J
Los atributos son una de las características más importantes del protocolo
BGP, ya que expresan la mayoría de la información a través de la descripción
de los prefijos ruteados. La manera en que los atributos son codificados
permite a BGP extenderse con nuevas características sin cambiar el protocolo
base. Aquí se describirá un resumen sobre los atributos definidos en la
especificación original BGP.
3.9.1 Atributo OR/GW
Define el origen de la información de la ruta; éste describe el origen como un
IGP, EGP, o el origen de algún otro recurso.
3.9.2 Atributo AS-PATH
Listas de los Sistemas Autónomos que han sido atravesados para alcanzar las
redes declaradas.
3.9.3 Atributo NEXT-HOP
Contiene la dirección IP del router fronterizo el cual es usado como próximo
salto para alcanzar las redes listadas en un mensaje de actualización.
3.9.4 Atributo MULTI-EXIT-DISCRIMINATOR
Usado en eslabones (links) externos para diferenciar entre múltiples salidas o
puntos de entrada al mismo Sistema Autónomo vecino.
3.9.5 Atributo LOCAL-PREF
Un grado de preferencia de un portavoz del BGP para cada ruta externa.
100
3.9.6 Atributo ATOMIC-AGGREGATE
Si un portavoz de BGP selecciona una ruta menos específica, entonces el
sistema local puede atar este atributo a la ruta cuando éste se propague a otros
portavoces del BGP.
3.9.7 Atributo AGGREGATOR
Notificación que una ruta previamente declarada se ha convertido en
inalcanzable.
3.10 Interior BGP vs. Exterior BGP [3'7J
Hasta este punto el protocolo BGP solo ha sido presentado como un EGP, lo
que significa que ha sido presentado como un protocolo de ruteo que opera
entre ASs. Esta operación entre ASs es solo una de los dos usos de BGP. El
uso EGP del BGP que ha sido presentado hasta aquí semeja la topología
mostrada en la figura 3.6.
En este ejemplo se ve que R3 (Router) en AS1 y R4 en AS2 tienen una sesión
BGP entre ellos, de manera que R3 aprende sobre las rutas de AS2 y R4
aprende sobre las rutas de AS1. El elemento importante que falta en esta figura
es una explicación de cómo R1 y R2 conocen las rutas de AS2 e igualmente
como R5 conoce sobre las rutas de ASI En otras palabras ¿Cómo los prefijos
son aprendidos por un solo ruteador en un AS por medio de una sesión SGP
distribuido a los otros ruteadores en el AS?. Una manera posible de hacer esto
es inyectar en el IGP los prefijos aprendidos por medio del SGP de otros ASs.
Algunas redes más pequeñas que no necesitan llevar una tabla completa de
ruteo pueden hacer esto. Sin embargo simplemente no funciona en el caso de
proveedores de servicio que llevan una tabla completa de ruteo porque el
volumen de las rutas es mucho más grande y la frecuencia de cambio es muy
alta. Generalmente los IGPs no escalan lo suficientemente bien para llevar un
101
completo ruteo de Internet; hay muchas razones específicas por la que los
IGPs no escalan lo suficientemente bien para llevar una completa tabla de
ruteo de Internet. La primera razón es la complejidad computacional de calcular
los caminos más pequeños. Otras razones se derivan del aumento en la
cantidad de información en un link state packet LSP7.
AS1 AS2
Figura 3.6 Ejemplo de E-BGP versus I-BGP
El link state datábase LSDB 8 crece demasiado, los LSPs se fragmentan y el<
trabajo de inundar (fíooding) crea una gran cantidad de tráfico de control. La
manera preferida de distribuir externamente los prefijos aprendidos dentro de
una red es a través del uso de un BGP llamado Internal BGP (IBGP).
El uso neto del EGP del BGP es más precisamente llamado Externa! BGP (E-
BGP). El E-BGP es usado entre ASs, por ejemplo donde dos proveedores se
conectan o donde un consumidor se conecta con su proveedor. El I-BGP por el
contrario se usa dentro de un AS (entre dos ruteadores en el mismo AS) y logra
el requerimiento de distribuir las rutas aprendidas a través del E-BGP al resto
de los ruteadores en el AS.
El I-BGP y el E-BGP son el mismo protocolo en el sentido que comparten los
mismos tipos de mensaje (OPEA/, UPDATE, KEEPALIVE, NOTIFICARON), los
mismos tipos de atributos (AS-PATH, NEXT-HOP, etc.) y el mismo estado de
máquina. Sin embargo una diferencia importante entre el I-BGP y el E-BGP es
que tienen diferentes reglas acerca del anuncio de prefijos. La especificación
7 LSP: Link State Packet El mensaje que posee la información es publicado por un routerdentro de la red por medio del protocolo LS8 LSDB: Link state datábase La colección de todos los LSP que un router conoce actualmente
102
SGP 4 dice que los prefijos aprendidos de un vecino E-BGP pueden ser
anunciados a un vecino I-BGP y viceversa, pero un prefijo aprendido de un
vecino I-BGP no puede ser anunciado a otro vecino I-BGP. Ver figura 3.7.
Note que este diagrama está presentado desde la perspectiva R3 y muestra
solamente las conexiones BGP relevantes a ella. Dada la especificación del
BGP4, R3 puede anunciar prefijos aprendidos de R4 a R1 y R2. Además R3
puede anunciar a R4 cualquier prefijo que reciba de R1 y R2. Sin embargo R3
no puede anunciar a R2 ningún prefijo que reciba de R1. Este último punto
sugiere la forma en que la figura 3.7 está incompleta. Para R1 alcanzar prefijos
inyectados en la red I-BGP por R2 (y viceversa), debe existir una conexión /-
BGP directa entre ellos. Esta conexión directa I-BGP entre R1 y R2 no está
mostrada en la figura 3.7.
E-BGP
I-BGP
AS1 AS2
Figura 3.7 Comparando I-BGP y E-BGP
La razón por la que BGP contiene esta regla sobre el reanunciamiento I-BGP
es para prevenir anuncios de ruteo de retorno dentro de AS. Recuerde que el
mecanismo SGP para detectar anuncios de retorno de ruteo es un atributo AS-
PATH. Sin embargo el AS-PATH se añade solo cuando las rutas cruzan los
límites del AS, y en el caso del /-BGP las rutas no cruzan los límites AS. El
resultado más importante de estas reglas sobre el anuncio de prefijos entre
vecino E-BGP e I-BGP es la necesidad de un full - mesh (malla-completa) de
las conexiones I-BGP; en otras palabras debe haber una sesión I-BGP entre
cada par de ruteadores dentro de un AS. La figura 3.8 muestra un ejemplo de
una malla completa.
103
Note cuidadosamente que esta malla completa de conexiones I-BGP es
totalmente independiente de la conectividad física, por lo tanto el hecho de que
dos ruteadores tienen una conexión directa entre ellos no significa
necesariamente que los ruteadores están directamente conectados. En
contraste, las sesiones E-BGP generalmente corresponden a un enlace físico.
Cuando dos ASs se conectan entre sí típicamente tienen un circuito entre dos
ruteadores y esos dos ruteadores hablan E-BGP entre ellos. Por ejemplo la
topología lógica f-BGP mostrada en la figura 3.8 puede ser construida encima
de una topología física como la que se muestra en la figura 3.9 Así en este
ejemplo R4 y R5 tienen una sesión I-BGP directamente entre ellos aunque no
tienen un enlace directo entre sí.
Figura 3.8 Conexión completa de I-BGP
En este caso R1 debe enviar los paquetes que son parte de las sesiones /-
BGP. R1 realmente no participa en la sesión I-BGP entre R4 y R5;
Simplemente envía paquetes y ni siquiera está conciente que alguno de esos
paquetes que él envía a R4 y R5 son parte de la sesión BGP. Otra importante
característica en el contexto E-BGP e I-BGP es establecer el grado de
preferencia de ruta. Cuando un ruteador inyecta una ruta para un prefijo
cualquiera en la malla I-BGP dentro de un AS, es responsabilidad de ese
ruteador establecer el grado de preferencia para la ruta.
04
El ruteador puede conocer la ruta por medio de E-BGP o a través de un
mecanismo interno como configuración estática o un IGP. De cualquier manera
el ruteador establece el grado de preferencia. Si el ruteador termina por
anunciar esta ruta a otros ruteadores dentro del AS el grado de preferencia se
incluye en el atributo LOCAL-PREF.
Debido a que los ruteadores dentro de un AS mantienen sesiones /-BGP entre
sí todos conocen el grado de preferencia de las rutas para esos ruteadores,
cada uno de los cuales está inyectando al /-BGP. Imagine que el ruteador A
conoce una ruta para 138.39.0.0/16 a través de algún mecanismo y calcula el
grado de preferencia para esa ruta como 100. SI el ruteador A había
previamente aprendido una ruta para 138.39.0.0/16 a través de una sesión /-
BGP con el ruteador B, la acción que el ruteador A tome depende del valor del
atributo LOCAL-PREF de la ruta aprendida desde el ruteador B. Si la ruta
aprendida del ruteador B tiene un LOCAL-PREF mayor que 100 la ruta del
ruteador B a ese prefijo es preferida y el ruteador A no inyectará su ruta en la
malla /-BGP. Si por el contrario la ruta del ruteador B tiene un LOCAL-PREF
menor que 100 la ruta del ruteador seré preferida y el ruteador A inyectará su
ruta en la malla /-BGP.
Debido a que los ruteadores están completamente entrelazados en /-BGP el
ruteador B conocerá de la ruta del ruteador A y reaccionará retirando su ruta
dejando solamente la ruta del ruteador A que es la preferida.
Figura 3.9 Topología física para /-BGP
105
3.11 Procesos de selección de una ruta BGP
Una parte importante de cualquier protocolo de ruta es el algoritmo usado para
seleccionar, si alguno de los caminos posibles hacia el prefijo deberían ser
seleccionados e instalados en el tablero de envío. Esta entrada de información
para el proceso de selección de ruteo es un listado de todas las rutas que han
sido aprendidas y aceptadas por el sistema local. Si hay una sola ruta hacia un
prefijo determinado, es obviamente esa la ruta que se va a usar. El caso
interesante es la existencia de múltiples rutas para un prefijo dado. Hay que
notar cuidadosamente que tener múltiples rutas para un prefijo dado significa
que el sistema local ha conocido más de una ruta para el mismo prefijo con la
misma longitud de prefijo. Si el sistema local aprendió de dos prefijos que se
sobrepusieron, pero que no tienen longitud de prefijos idénticos, esto no
satisface tener dos rutas para el mismo. Sin embargo si el sistema local a
aprendido más de una ruta para un prefijo idéntico, utiliza las siguientes reglas
de desempate para decidir cual ruta usar.
1. Se selecciona primero la ruta con el valor más alto de LOCAL-
PREF. Este grado de preferencia pudo haber sido computarizado
localmente o aprendido de otro ruteador. El valor habrá sido
computarizado localmente por rutas que se aprendieron a través de una
sección E-BGP o por rutas aprendidas de fuentes como un IGP o
configuración estática. La preferencia habrá sido aprendida desde otro
ruteador para las rutas aprendidas de un vecino IBGP, específicamente
el mensaje UPDATE para esa ruta habrá contenido un atributo LOCAL-
PREF indicando el grado de preferencia. Si este paso no selecciona
exactamente una ruta el sistema va al siguiente paso.
2. La ruta con el AS-PATH más corto se selecciona. Si este paso
selecciona exactamente una ruta el proceso de desempate se completa.
Si este paso no selecciona exactamente una ruta el sistema va al
siguiente paso.
106
3. Si el sistema local está configurado para considerar el valor del
MULITI-EXIT-DISCRIMINATOR, y si las rutas múltiples fueran
aprendidas del mismo AS en la red, la ruta con el valor más bajo de
MULTI-EXIT-DISCRIMINATOR se selecciona9; si este paso selecciona
exactamente una ruta el proceso de desempate está completo. Si este
paso no selecciona exactamente una ruta el sistema va al siguiente
paso.
4. En este paso el sistema local analiza el atributo NEXT-HOP de
cada una de las rutas. El sistema local selecciona la ruta que tiene el
mínimo costo para el NEXT-HOP. Decidir sobre el costo para un NEXT-
HOP generalmente significa investigar en la base de datos del IGP. Si
este paso selecciona exactamente una ruta el proceso de desempate se
completa. Si esta etapa no selecciona exactamente una ruta el sistema
va al siguiente paso.
5. Si todas las rutas fueron recibidas a través del I-BGP el sistema
va al siguiente paso. Si exactamente una de las rutas fue recibida a
través de E-BGP la ruta se selecciona. Si más de una ruta fue recibida o
aprendida a través del E-BGP entonces la ruta aprendida desde el
vecino E-BGP con el identificador BGP más bajo se selecciona.
6. Si todas las rutas fueron recibidas a través del /-BGP la ruta que
fue recibida del vecino I-BGP con el identificador BGP más bajo se
selecciona.
El listado anterior es probablemente aun más complicado de lo que parece. El
comportamiento real del proceso de selección de ruta en la práctica no es
siempre intuitivo. A pesar de su complejidad el proceso de decisión es
especialmente bien entendido por los grandes proveedores ya que tiene un
9 Hay que notar que la versión original de la especificación BGP no fue específica sobrecomparación de rutas cuando una tiene un MULTI-EXIT-DISCRIMINATOR y la otra no lo tiene.Una imple mentación trata al fallante MULTI-EXIT-DISCRIMINATOR como cero, mientras queotra lo trata con el valor máximo (4 octetos de 1s).
107
Referencias Bibliográficas
[3.1] http://whatis.techaterget.com/definition/0,289893,sid9_gci213662,00.html
[3.2] http://www.h4ck3r.co. nz/h4ck3r(original)/encyclopedia/4. htm
[3.3] http://www.clizio.com/Connected/RFC/1583/12.htm
[3.4] http://whatis.techaterget.com/definition/0,289893,sid9_gci211987,00.html
[3.5] http://www.faqs.org/rfcs/rfc1930.html
[3.6] http://www.arin.net/templates/asntemplate.txt
[3.7] Stewart John W., BGP4 Inter-Domain Routing in the Internet, Addison-Wesley, 2000
[3.8] http://whatis.techaterget.com/definition/0,289893,sid9_gci213813,00.html
[3.9] http://whatis.techaterget.com/definition/0,289893,sid9_gci214018,00.html
[3.10] http://whatis.techaterget.eom/definition/0,289893,sid9_gc¡213930,00.html
[3.11] Black,Uyless D., IP Routing Protocols, Prentice Hall, New Jersey, 2000
109
4.1 Introducción
En este capítulo se presentará el diseño de un Sistema Autónomo, para lo cual se
tomará como referencia un ISP con características básicas de funcionamiento. Los
elementos a intervenir sobre el ejercicio, son el ISP local y el ISP Internacional como
Sistema Autónomo, además del enlace de backup que debe existir con el ISP local.
En el transcurso de este capítulo se explicarán los componentes tanto del ISP local
como del Internacional, así como los pasos a seguir para convertir al ISP local en
Autónomo.
4.2 Componentes de un ISP
Un ISP debe tener los siguientes componentes: (Ver figura 4.4)
• Red Local, con sus respectivos servidores
o Radius Server
o Mail Server
o Cache Server
o DNS Server
o Web Server
o FTP Server
o News Server
• Infraestructura de Comunicación Satelital del enlace Principal
o Modem Satelital
o Amplificador de Potencia con decodificador HPA
o Antena Satelital
o Router
o Switch
• Acceso a la nube de Internet con el Proveedor Internacional
o Ultima milla con el Proveedor Internacional
o Acceso al backbone de Internet
• Enlace de backup hacia la nube de Internet
o Modem Satelital
o Amplificador de Potencia con decodificador HPA
110
o Antena Satelital
o Router
o Switch
• Enlaces de E1 's (canales digitales) con el proveedor autorizado de telefonía
en el País (en el caso de la Sierra es Andinatel, para la Costa es Pacifictel y
para el Austro es Etapa)
• Enlaces de Backup sobre los servidores
A continuación se explicará en detalle cada uno de los componentes, empezando
con los servicios que debe tener un ISP.
4.2.1 Servicios Básicos de un ISP
En la actualidad existen muchos servicios que se ofrecen sobre cualquier ISP a nivel
mundial, con motivo del ejercicio se explicará los servicios más usados en el País.
4.2.1.1 Servicios de información en línea
Los servicios en línea se han convertido en herramientas esenciales para el futuro
de las comunicaciones, ya que en éstos se proporciona cualquier tipo de
información en línea, ya sea relacionada a museos, bibliotecas, almacenes, autos,
etc.
Todo proveedor de Internet debe dar un valor agregado al servicio que ofrece a sus
clientes, y este valor agregado se mide en función de que tan rápido se entrega la
información al cliente, como por ejemplo información desde que números telefónicos
el cliente se conecta, facturación en línea vía web, el tiempo de consumo de cierto
usuario, etc.
La información en línea se ha convertido ya en una necesidad para cualquier
persona que utiliza la gran red mundial del Internet.
I I I
4.2.1.2 Acceso a base de datos [4'1J
Base de Datos es la representación de la realidad (se debe entender como
organización) en forma de datos, los cuales están entrelazados de la manera
más coherente posible, almacenados con una redundancia calculada y
estructurados de tal manera que facilite su explotación, y que se pueda satisfacer
las necesidades de información de los diferentes usuarios.
En resumen, se puede deducir que las principales características de una Base de
Datos son:
• Conjunto (colección) de datos.
• Datos interrelacionados y estructurados.
• Redundancia controlada.
• Independencia de datos y de procesos.
• Soporte de múltiples usuarios y múltiples aplicaciones.
• La actualización y recuperación de datos debe asegurar Integridad,
Seguridad y Confidencialidad de los datos.
4.2.1.3 Oficina virtual
Hoy en día todas las empresas, sin importar su tamaño, tienen la urgente necesidad
de contar con una oficina virtual. Es necesario un ambiente de trabajo de
colaboración donde todos los miembros de una empresa puedan administrar y
compartir documentos, conocimiento, información sobre proyectos, noticias de
interés, comunicaciones por chai y muchas otras cosas que hoy se pueden
implementar en una Intranet empresarial.
Es increíble la cantidad de dinero que pierde una empresa cuando sus ejecutivos no
pueden obtener información oportuna de documentos durante un viaje, o no tienen
la posibilidad de tomar una decisión frente a algún problema surgido en un proyecto
que su compañía está ejecutando. A su vez, cuánto dinero se podría ahorrar si el
conocimiento de las experiencias vividas por otras personas de la misma
organización se reutilizara en proyectos semejantes. Herramientas de este tipo son
12
muy sencillas de implementar en todas las empresas, especialmente con la
tecnología que hoy se tiene. Para ello, existen dos caminos que se pueden seguir: la
primera es desarrollar una solución a medida, ya sea con recursos propios o de
terceros; la segunda es buscar alguna herramienta en el mercado que se adecué a
las necesidades de la empresa.
4.2.1.4 Servicios de correo electrónico [4'1J
Los mensajes electrónicos permiten en nuestros días las comunicaciones al
instante, sin importar horarios o distancias, ya que estos mensajes se distribuyen
por las redes de muchos países.
Este sistema de comunicación transforma la manera en que la gente se comunica a
todos los niveles, con el fin de intercambiar mensajes técnicos, información
comercial, cultural, laboral, etc., de tal manera que no resulte un proceso
complicado.
Una de las principales características de este medio es que presenta muchísimas
ventajas con respecto a otros medios de comunicación como lo pueden ser el
teléfono o el Fax.
4.2.1.5 Transferencia de archivos [4'2J
FTP significa Protocolo para Transferencia de Archivos (File Transfer Protocol}.
Como su nombre lo dice, el trabajo del protocolo es mover archivos de una máquina
a otra. Esto es indiferente con relación a dónde están las computadoras, cómo están
conectadas, o si usan o no el mismo sistema operativo. Ambas computadoras
pueden hablar a través del protocolo si tienen acceso a Internet. En resumen, el
comando FTP se usa para transferir archivos.
13
Algunas de sus características de uso pueden cambiar en referencia al sistema
operativo, pero la estructura básica de comandos es la misma de una máquina a
otra.
4.2.1.6 Servicio de DNS
El DNS (Domain Ñame System) es el sistema empleado en Internet para poder
asignar y usar umversalmente nombres unívocos para referirse a los equipos
conectados a la red. De esta forma, tanto los usuarios como las aplicaciones
pueden emplear nombres de DNS en lugar de direcciones numéricas de red IP. Esto
presenta grandes ventajas, entre ellas el hecho de ser más cómodo y menos técnico
para las personas el uso de nombres frente al uso de números y el permitir a una
organización independizar el nombre de máquinas, servicios, direcciones de correo
electrónico, etc., de las direcciones numéricas concretas que en un determinado
momento puedan tener sus equipos en función de aspectos cambiantes tales como
la topología de la red y el proveedor de acceso a Internet.
4.2.1.7 Servicio de Web Hosting y Web Housing [4-3]
Físicamente un servicio de web Hosting es una colección de servidores web
sen/ers, esto es computadoras poderosas colocadas con conexiones permanentes
al Internet a través de líneas de alta velocidad. Estas computadoras almacenan la
información que compone las páginas de Internet.
El servicio de Web Housing es en cambio cuando el cliente pone la infraestructura
de web se/ver sobre el Proveedor de Servicio de Internet ISP.
4.2.1.8 Servicios de teleacción: telealarmas, telecontrol, telemedida,teleseguridad, telemedicina, etc
Estos servicios son orientados para hacer control, seguridad, alarmas, etc. a través
del enlace de Internet que tienen los clientes. Por ejemplo activar alarmas desde
Internet, prender el calefactor de cierto lugar a través de Internet, etc.
II4
Sin embargo aunque estos casos especiales tienen una considerable importancia
económica, son sólo casos particulares del caso más general de cualquier forma de
operación o transacción comercial llevada a cabo a través de medios electrónicos.
Otros ejemplos igualmente válidos son las transacciones internas dentro de una
misma empresa o el suministro de información a una organización externa con o sin
cargo.
El comercio electrónico es tecnología para el cambio. Las empresas que lo miren
como un añadido a su forma habitual de hacer negocio obtendrán sólo beneficios
limitados, siendo el mayor beneficio para aquellas que sean capaces de cambiar su
organización y sus procesos comerciales para explotar completamente las
oportunidades ofrecidas por el comercio electrónico.
4.3 Descripción General
Para poder brindar el Servicio de Acceso a Internet el usuario debe enlazarse a
través de cualquier Carríer autorizado en el País, ya sean éstos Impsat,
RamTelecom, Suratel, etc., a uno de los proveedores de Internet en los Estados
Unidos o cualquier otro proveedor de Internet Internacional como son UUNET,
DIGEX, etc.
Cada nodo debe poseer una configuración que le permita la operación bajo los
estándares determinados por la respectiva empresa.
• DNS Serven Convierte los nombres canónicos (ejemplo: www.yahoo.com) en
direcciones IP, y viceversa.
• FTP Serven (File Transfer Protoco!): Proporciona servicio de transferencia de
archivos entre hosts TCP/1 P.
• WEB Serven Proporciona servicios de HTTP o HTTPS.
• Video Serven Servidor para Vídeo Conferencia
• Servidor de Aplicaciones
116
• Servidor de Bases de Datos: Permite almacenar y manipular gran cantidad de
información a la cual se accede utilizando un WEB Browser.
4.3.1 RADIUSServer
Es un Servidor de autenticación que proporciona los servicios de autenticación y de
contabilidad del tiempo de conexión a la red; esta información es utilizada para
facturación.
El servidor entrega más información que puede ser utilizada para fines estadísticos,
como por ejemplo:
• Tiempo de conexión
• Número telefónico desde donde se conectó
• Bytes de transferencia durante la conexión
• Protocolo que se está utilizando en la conexión
• El IP asignado
• Tipo de comunicación: Asincrónica o Sincrónica
• Username (Nombre de usuario)
• Password (Código de usuario)
• Número único de Conexión
4.3.2 Servidores WEB
Este tipo de servidores se utilizan para todos aquellos usuarios que desean exportar
información a la red. Los aspectos más importantes que se deben tener en cuenta, a
la hora de medir el rendimiento de este tipo de servidores, son el tiempo de
respuesta (tiempo empleado en cada petición HTTP) y la capacidad de transferencia
de datos del servidor (número de peticiones HTTP por segundo). Los factores que
influyen en el rendimiento de un servidor son de tipo hardware y software. Con
respecto al primero, es importante considerar el procesador, la memoria, el sistema
de E/S (entrada/salida de datos) y la interfaz de red. En cuanto al software, hay que
tener en cuenta la implementación del protocolo HTTP, la implementación del
117
4.3.7 Mirror Servers
Son servidores espejo, almacenan la información de otros servidores, permiten
seguir en operación si alguno de los servidores replicado falla.
4.3.8 Enlaces E1 con Andinatel y Pacifíctel
Existe un convenio de Interconexión entre Andinatel, Pacifictel y los ISP's; este
convenio especifica que los ISP's solo pueden tener E1 's como última milla para el
usuario final, las líneas convencionales de par de cobre ya no son permitidos para
los ISP's. Este tipo de enlaces canalizados puede tener 30 canales de 64 Kbps,
permitiendo la conexión de los clientes con módems V.341, K562, X23 o V.904 (Estos
protocolos se explicarán más adelante) con velocidades entre 2.400 bps y 56.000
bps.
Podría disponer además de módems ISDN o RSDI en los cuales es posible tener
canales digitales de hasta 64 Kbps. En la actualidad este tipo de comunicación se
está dando ya para empresas corporativas.
La señalización utilizada actualmente es SS7, que es la actual norma autorizada
por Andinatel, Pacifictel y Etapa, lo que permite tener información adicional de la
conexión; como por ejemplo el número telefónico desde el cual se conecta el cliente,
bytes trasmitidos, entre otros.
4.3.9 Enlace Internacional
El ISP debe salir al distribuidor de Internet a través de su Carrier, el cual se
comunica con Satélite a través de un telepuerto. La señal es recibida por el
Telepuerto Internacional, siendo a su vez direccionada para el proveedor de Internet
1 V.34, Estándar de velocidad a 28800 y 33600 bps2 K56, Estándar de velocidad a 56000 bps3 X2, Estándar de 3Com a 56000 bps4 V.90, Estándar por la ITU a 56000 bps
119
Internacional. A continuación un esquema de conexión con satélite y el respectivo
telepuerto. Verfigura 4.1.
Telepuetlo Quito
Modem SatelNal
Rouler
Figura 4.1 Esquema del enlace Internacional a Internet
Dentro de cada telepuerto se debe tener, una antena parabólica que soporte
recepción y transmisión, un modem satelital que maneje grandes anchos de banda y
que trabaje en frecuencias en las que el satélite permite y por último un Router con
interfaz similar a la del modem satelital.
4.3.10 Enlaces Nacionales
El enlace nacional consiste de la comunicación del ISP con el proveedor local de
Telefonía (Andinatel, Pacifictel o Etapa); como se mencionó anteriormente el ISP
solo podrá tener E1 's para dar el servicio de Internet a sus clientes.
Para esto el ISP debe tener ÑAS (Network Access Server) con soporte a E1 's, este
equipo permite la conexión entre el Proveedor de telefonía y el ISP local; el ÑAS
brinda además de conexiones remotas para los clientes dial-up, servicios como
NAT5 Network Adrress Traslation, DHCP6 , DNS, Autentificación vía Radius, etc.
5 NAT, Traducción de direcciones IP no reales a reales en el Internet.6 DHCP, Asignación dinámica de direcciones IP en una red LAN
120
Cuando un cliente dial-up se conecta desde su casa y tiene un modem con
protocolo V.90 y el ISP tiene como última milla E1's con el Proveedor local, la
conexión a 56 kbps es real. Mientras que un ISP, que no tenga E1 's como última
milla con el proveedor local, sino que tenga como medio de transmisión un par de
cobre la conexión no podrá llegar más allá de V.34. Es por eso la necesidad de que
los ISP tengan como última milla E1 's hacia el proveedor de telefonía.
En el acuerdo firmado entre los ISP y los Proveedores de telefonía se estableció
que ningún ISP podrá tener par de cobre como última milla y que los que tengan
actualmente tienen un plazo de hasta un año para cambiar esta tecnología7.
Además puesto que la señalización R2 desaparece en el país y se posesiona la
señalización SS7, se da un plazo para que todos los ISP actualicen su equipos en
base a esta tecnología.
El medio físico de transmisión de los E1 's es un cable coaxial de 75 Q
ISP Andinatel
m m11 H
ÑAS
M m.m m
ÑAS
E1
E1
• m
m mm m
Figura 4.2 Enlace Nacional
4,3.11 Enlace a clientes
Los clientes para poder acceder a Internet a través del ISP necesitarán de un
Computador con un módem y una línea telefónica. Con sus equipos deberán llamar
a un número telefónico del ISP previamente asignado por Andinatel, Pacifictel o
7 Acuerdo llegado entre ISP's y Portadores, Reglamento Interno, por lo que no existe un número dedecreto.
I 2 I
para luego ser entregadas al cliente en el menor tiempo, otro beneficio del
servidor es reducir los costos satelitales por el ahorro de ancho de banda.
• DNS Serven Este servidor se usa para la traducción de direcciones URL a
direcciones IP, este servicio es indispensable en todo ISP.
• WEB Server: Es un servidor de publicación de páginas WEB dentro del ISP
local.
• FTP Serven El servidor de FTP es utilizado para transferencias de archivos;
se recomienda hacer uso de este servicio para archivos grandes que no
pueden ser transferidos por otros servicios como correo.
• News Server: Servidor de Noticias, donde se encuentra almacenado
información de un cierto perfil, pudiendo los clientes acceder a esta
información en línea.
Estos servicios están configurados en Sistemas Operativos como SCO UNIX,
Windows NT, SOLARIS, LINUX, etc.
Es necesario tener un esquema de distribución de los servidores de tal forma que
siempre exista un backup de cada servicio en caso de que alguno de ellos falle,
Sobre esto a continuación se expondrá una recomendación de la distribución de los
servidores, la misma que se enfoca a tolerancia a fallos de los varios servicios que
se prestan.
a) Primer Servidor
Este es el principal servidor el cual deberá tener características buenas sobre
hardware, ya que en él estará los principales servicios del ISP:
• DNS (Domain Ñame Service) primario
• HTTP (Hyperíext Transfer Protocol) primario
• FTP (File Transport Protocoí) primario
• POP3 (Post Office Protocol - Versión 3) primario
• SMTP (Simple Mail Transfer Protocof) primario
• Radius Server primario
123
b) Segundo Servidor
En este servidor en adelante se trata de abrir varios servicios, de tal forma que no
exista una saturación sobre los servidores de backup, en este servidor se tendrá
toda la parte de un servidor de Correo y de Index Se/ver
• SMTP (Simple Mail Transfer Protoco!) secundario
• POP3 (Post Office Protocol - Versión 3) secundario
• Index Sefver
c) Tercer Servidor
Servidor de Backup
• DNS (Domain Ñame Service) secundario
• HTTP (Hypertext Transfer Protocol) secundario
• FTP (File Transport Protocof) secundario
d) Cuarto Servidor
Servidor principal y de backup.
• Proxy Server (Cache Server) principal
• DNS (Domain Ñame Service) tercero
e) Quinto Servidor
Firewall
124
4.4.1.1 Definición de Firewall
Firewall[4<8] es un componente o conjunto de componentes que restringen el acceso
entre una red interna (intranet) protegida y cualquier otra red, comunmente Internet.
El firewall puede estar basado en hardware o software o en una combinación de
ambos.
El objetivo principal de un firewall es implementar una política de seguridad
determinada.
Otras definiciones o términos importantes a tener en cuenta son:
a) Política de seguridad
La política de seguridad de una organización es un documento donde se definen las
reglas que se aplicarán en los firewalls. La política de seguridad más segura a
aplicar es no permitir cualquier acción a no ser que esté permitida expresamente.
Esta es la política que debería utilizarse en cualquier caso, puesto que los posibles
agujeros de seguridad son más fácilmente identificables con esta política.
b) Anfitrión
Es un sistema informático que deber ser altamente seguro porque es vulnerable a
un ataque, por lo general debido a que está expuesto a Internet o cualquier otra red
pública y es el punto principal de contacto para usuarios de redes internas.
El anfitrión contiene la información que queremos hacer accesible a través de la red
pública de datos como por ejemplo sería el caso de un servidor de correo o un
servidor HTTP.
I25
c) Filtrado de paquetes
Es la acción que realiza un dispositivo (generalmente routers) para controlar de
forma selectiva el flujo de datos hacia y desde una red. Los filtros permiten o
bloquean los paquetes, en general mientras se enrulan de una red a otra
(normalmente desde Internet a una intranet y viceversa). El filtrado de paquetes se
realiza en base a una serie de reglas que especifican qué tipo de paquetes van a
permitirse y qué tipo van a ser rechazados. Normalmente estas reglas se basan en
las direcciones de los paquetes y en los puertos o servicios para permitir o rechazar
paquetes.
Existen dos formas de tener un firewall sobre un ISP:
• El primero es vía hardware, y es un equipo dedicado solo para el propósito
de firewall, uno de los más populares sobre el mercado son los Cisco PIX del
la corporación Cisco, existen otras marcas en las que presentan el mismo
servicio de Firewall vía Hardware. En el anexo A5 se presenta la descripción
de un Firewall vía hardware
• El segundo es vía software, y consiste en un programa que se instala
dependiendo de la plataforma que se utiliza, estas plataformas pueden ser;
o Microsoft Windows NT 4.0
o Microsoft Windows 2000
o Seo Opens Server 5.0
o UnixWare 8.0
o Solaris para Intel
o Novell 5.0
o Linux
126
Estas plataformas son las más utilizadas en el mercado actual. En el anexo A6
se presenta la configuración de un Firewail vía software para el caso de la
Plataforma Linux.
4.4,2 Equipos y tecnologías de comunicación
4.4.2.1 Network Access Server (ÑAS)
Este equipo es capaz de soportar enlaces E1/T1 canalizados (R2, SS7), así como
conexiones con módems analógicos, sincrónicos o asincrónicos, soportando una
extensa gama de protocolos; además puede prestar servicios de CSU/DSU e ISDN
sobre cada canal, proporcionando una elevada escalabilidad.
Los servicios que se pueden disponer sobre este equipo son NAT, DHCP, Firewail,
Ruteo, Autentificación, etc.
4.4.2.2 MódemsI45J
La conexión de usuarios individuales a una red es posible a través de una línea
telefónica convencional, ya que ésta proporciona amplia cobertura a un bajo costo.
Puesto que la línea telefónica está concebida para la transmisión de señales
vocales (analógicas) y no de datos (digitales), es necesario transformar las señales
que envía el ordenador para adaptarlas a los circuitos telefónicos. Esto es posible
utilizando en ambos extremos de la línea un módem (palabra derivada de
MOdulador DEmodulador).
Las características más importantes que definen un módem son:
a) Tipo de modulación
Para traducir las señales digitales en analógicas existen tres métodos básicos de
modulación:
127
Modulación de Frecuencia, Modulación de Amplitud, y Modulación de Fase. Cada
una de estas técnicas consisten en alterar alguno de los parámetros, frecuencia,
amplitud o fase, de la onda portadora en función de los valores que adopte la
secuencia de datos a transmitir.
b) Velocidad de transmisión
Es la velocidad máxima a la que puede enviar datos un módem. Existen módems de
diferentes velocidades. Las más comunes son 1.200, 2.400, 9.600, 14.400 y 28.800
bits por segundo. Utilizar un módem de 14.400 bits por segundo en lugar de uno de
2.400 no sólo supone reducir hasta seis veces el tiempo que dura la transmisión,
sino que también se minimiza la probabilidad de errores al efectuarla.
Cuando se adquiere un módem, además del tipo de modulación y la velocidad de
transmisión, existen otros aspectos que hay que tener en cuenta, como son el grado
de seguridad requerido, las facilidades auxiliares o el tamaño.
Los módems pueden ser internos o externos. Los primeros suelen ser más baratos,
debido a que no disponen ni de la fuente de alimentación ni de la caja, además de
no ocupar espacio en la mesa. Sin embargo, tienen la desventaja de que solamente
se los puede emplear en el ordenador al que están conectados. Los externos, por su
parte, son más lentos, ya que se conectan al puerto serie del ordenador.
c) Sistemas de seguridad
La seguridad de la transmisión es un factor muy importante. En una comunicación
existe la probabilidad de que ocurran errores, es decir, alteración de la información
transmitida. Las causas más comunes son debidas a interferencias magnéticas que
producen ruido en el medio físico o al incorrecto funcionamiento del módem. La
detección y corrección de errores es posible gracias a los protocolos (reglas) de
comunicación que establecen un conjunto de normas que la rigen, definiendo
procedimientos para determinar cuándo se ha producido un error en la transmisión y
cómo debe ser corregido.
128
Otro tipo de seguridad que es conveniente tener en cuenta es la confidencialidad de
la información. Esto se consigue mediante el empleo de algoritmos de encriptación
que incorporan muchos módem avanzados.
d) Normalización
Por último, los módem se identifican de acuerdo con normas establecidas por un
organismo internacional (antes CCITT, hoy ITU-T, International Telecommunícations
Union-Telecoms) encargado de la normalización de estos dispositivos, fijando para
cada tipo de módem una serie de características (compatibilidad), de tal forma que
puedan conectarse entre sí aparatos de diferentes fabricantes. Por tanto, la elección
de un determinado modelo de módem va en función de las necesidades de
intercambio de información que se desea satisfacer.
En general, cuando los módems intercambian señales de handshake se ponen de
acuerdo en la máxima tasa estándar de transferencia de datos que los dos pueden
alcanzar.
Comenzando con el estándar V.22bis, las tasas de transferencia ITU se
incrementan en múltiplos de 2400 bps (bis significa segunda versión y terbo significa
tercera versión).
e) Estándares
V.22. Proporciona 1200 bits por segundo a 600 baudios (cambios de estado porsegundo).
V.22bis. El primer estándar mundial verdadero, permite 2400 bits por segundo a600 baudios.
V.32. Proporciona 4800 y 9600 bits por segundo a 2400 baudios.
129
V.32bís. Proporciona 14,400 bits por segundo pudiendo reducir su velocidad de
transmisión a 12,000, 9600, 7200, y 4800 bits por segundo.
V.32terbo. Proporciona 19,200 bits por segundo o baja a 12,000, 9600, 7200, y
4800 bits por segundo; puede operar a mayores tasas de transmisión de datos con
compresión, no fue estándar de CCITT/ITU.
V.34.Proporciona 28,800 bits por segundo o baja a 24,000 y 19,200 bits por
segundo y compatibilidad hacia atrás con V.32 y V.32bis.
V.34bis. Proporciona hasta 33,600 bits por segundo o baja a tasas de transferencia
de31,200oV.34.
V.35. Interfaz troncal de paquetes entre un dispositivo de acceso a una red y una
red a tasas de transmisión de datos mayores a 19.2 Kbps. El V.35 puede usar los
anchos de banda de varios circuitos telefónicos como grupo. Existen
Transformadores de Género y Adaptadores V.35.
V.42. Corrección de errores.
V.90. Proporciona hasta 56,000 bits por segundo corriente abajo (pero algo menos
en la práctica). Derivado de la tecnología x2 de 3Com (US Robotics) y la tecnología
K56flexde Rockwell.
Un estándar de la industria, la RDSI, usa métodos de codificación digital en las
líneas telefónicas para proporcionar tasas de transferencia de hasta 128,000 bits por
segundo. Otra tecnología, DSL10, proporciona tasas de transferencia incluso más
altas.
10 DSL es la forma abreviada de Digital Subscriber Line una tecnología que permite conexiones dealta velocidad utilizando líneas de teléfono y que permite estar on-line en forma continua. Con DSLno se tiene que llamar al ISP cada vez que se quiera entrar a la red sino que la PC estará conectadaen forma continua. A diferencia de las conexiones de cable módem, las conexiones de DSL sondedicadas y no comparten el ancho de banda con el resto de los usuarios que estén conectados enun momento dado.
I30
Entre los fabricantes de modems más utilizados en el mercado se encuentran:
• Microcom• 3Com• Telebit• US Robotics• Motorola• Cisco• Intel
4.4.2.3 RDSI o ISDN
Las redes telefónicas convencionales están abriendo paso a la Red Digital de
Servicios Integrados (RDSI), que constituye un gran avance en el tratamiento de la
información, permitiendo el envío y recepción de voz, datos, imágenes, etc. a gran
velocidad y con un elevado grado de fiabílidad y calidad.
La Red Digital de Servicios Integrados es un estándar internacional de
telecomunicaciones que permite la transmisión de información sobre una línea
única. Es decir, a través de una línea telefónica de cable de cobre o fibra óptica, el
usuario tiene derecho a accesos conmutados. El usuario que lo desee puede
contratar una línea RDSI con una compañía telefónica, ya sea Andinatel, Pacifictel o
Etapa siempre que se reúnan los siguientes requisitos:
1. La compañía telefónica debe tener instalados equipos de conmutación RDSI
en las zonas donde se desee contratar este servicio. Hoy en día este tipo de
red está muy difundido y abarca casi todo el territorio nacional.
2. El usuario debe tener el teléfono conectado a una central digital.
Actualmente, las redes RDSI que se utilizan son de Banda Estrecha (RDSI-BE) y
trabajan a una velocidad de 64 Kbps, pudiendo alcanzar hasta los 2 Mbps.
La velocidad en la transmisión de información que se obtiene con este tipo de redes
es muy superior al de la red telefónica convencional. La aparición de la RDSI de
Banda Ancha (RDSI-BA) con velocidades superiores a los 2 Mbps, ha favorecido el
surgimiento de nuevos servicios, como videotelefonía, por ejemplo.
13
a) Canales digitales
Para poder realizar la transferencia de información, la red RDSI se basa en tres
tipos de canales digitales, que sirven como vías de transferencia de información:
a1) Canal B (Bearer)
Canal de 64 Kbps. Se encarga del envío y recepción de la información que se
genera en el terminal de usuario. Los canales B se conectan de forma muy similar a
la que se establece en una llamada telefónica convencional.
a2) Canal D (Señalización)
Envía la información de control utilizada entre la oficina telefónica central y el punto
terminal del usuario. Es decir, transporta información de cómo establecer o terminar
conexiones, informa del estado de la línea, etc. Su velocidad depende del tipo de
acceso, y oscila entre los 16 y 64 Kbps. También puede ser utilizado para enviar
datos a baja velocidad (9.600 bps).
a3) Canal H
O de alta velocidad, el cual ha sido diseñado para la transmisión de vídeo en tiempo
real. Existen dos tipos: Canal HO de 384 Kbps, y Canal H12 de 1.920 Kbps.
b) Accesos
Para obtener distintos tipos de acceso es preciso combinar apropiadamente los
diferentes canales. Se ha optado por definir dos tipos de acceso, uno orientado al
uso particular, denominado Acceso básico y otro orientado al uso profesional
conocido como Acceso primario.
132
b1) Accesos Básico (2B+D)
Proporciona dos canales de tipo B de información de 64 kbps cada uno y uno de
tipo D de 16 Kbps para la señalización y control de los canales B. La velocidad de
transmisión de información puede llegar hasta los 192 Kbps. La instalación consta
de cuatro cables, dos para transmisión y dos para recepción (denominado Bus
Pasivo), que permite la conexión de hasta ocho equipos terminales. Por equipo
terminal se entiende desde un simple aparato de teléfono hasta el más sofisticado
ordenador personal, pasando por un equipo de Fax. Es posible conectar de forma
simultánea un PC con Internet a la vez que se establece una llamada telefónica a
través del teléfono.
b2) Acceso Primario (30B+D)
El acceso primario proporciona 30 canales de 64 Kbps (canales B) y un canal de
señalización (canal D) de 64 Kbps. La velocidad de transmisión de información
puede llegar hasta los 2.048 kbps. Este tipo de acceso está orientado al uso
profesional para las grandes empresas. Las ventajas de una línea RDSI sobre la
línea analógica son múltiples. Se verá algunos servicios a los que es posible
acceder a través de una línea RDSI:
• Telefonía a 7 kHz
Utilizando teléfonos digitales es posible ampliar el ancho de banda a 7 KHz,
ofreciendo más calidad en la señal de voz, posibilitando la reproducción musical.
• Videoconferencia
Permite transmitir, junto con la voz, la imagen de la persona que establece la
comunicación.
• Identificación de la llamada entrante
Permite conocer el número de teléfono de la persona que establece la comunicación
con la posibilidad de identificarla con anterioridad a la conversación.
133
• Llamada en espera
Avisa de la presencia de una llamada cuando el usuario está ocupado. Es posible
atenderla o ignorarla.
• Información del coste
Es posible conocer el importe de la llamada al término de la misma.
• Desvío de Llamadas
Permite desviar todas las llamadas entrantes a otro número de teléfono deseado. En
cuanto a comunicaciones, ofrece la posibilidad de conexión a redes externas como
Internet, InfoVía, acceso interactivo a bases de datos a gran velocidad y con mucha
fiabilidad, permitiendo la integración de datos y voz
4.4.2.4 Routersí49J
O enrutador, es un dispositivo de red que comunica dos redes distintas y que es
capaz de determinar en qué red se encuentra el dispositivo al que nos queremos
conectar.
Si el dispositivo al que nos queremos conectar está en nuestra misma red, el router
no dejará pasar la comunicación hacia la otra red. En caso contrario sí lo hará.
Los Routers (Encaminadores) se sitúan entre dos redes y a la vez que encaminan
los paquetes entre una red y otra buscando los recorridos más "rápidos" o más
precisos, realizan o pueden realizar un filtrado de paquetes (Por eso también le
podríamos llamar Firewall, porque están haciendo ese trabajo), comprobando las IP
y los puertos (Cada paquete lleva una franja de información en la cuál se incluyen
las IP de salida y destino y el puerto)
El Router no es solo un elemento físico para conectar una LAN a una internet
(WAN), sino que es una muy buena opción a la hora de ampliar una LAN.
134
Hay Routers que soportan el uso de NAT (Encapsulación de la IP interna en cada
paquete enviado).
Existe una amplia variedad de marcas como se puede ver en la sección 4.9 de este
capítulo; en el anexo A7 se encontrará las características del Router CISCO 2500.
4.5 Esquema Total
En la Figura 4.4 se presenta la configuración total del ISP, esta es su configuración
local así como también con el proveedor de Internet en los EEUU y el enlace de
backup.
Dentro del esquema se puede apreciar las siguientes partes:
• Enlace localo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Swítcho Servidoreso ÑAS (Network Access Se/ver)
• Enlace Internacionalo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Switcho DTUo Salida a Internet con Proveedor Internacional
• Enlace Backupo Antena Satelitalo HPA con decodificadoro Modem Satelitalo Routero Swítcho DTUo Salida a Internet con Proveedor Internacional
135
ISP
RadiusDNS ServerWeb SeverMaíl Sorver
Proxy Servar(Cachs Sorvsr)
DNS Seívr
Figura 4.4 Esquema total
Hay varias formas de tener un enlace de backup:
• Con el mismo satélite y con el mismo Telepuerto local y diferente Telepuerto
Internacional.
• Con el mismo satélite y con diferente Telepuerto local y diferente Telepuerto
Internacional.
136
• Con diferente satélite y con el mismo Telepuerto local y diferente Telepuerto
Internacional.
• Con diferente satélite y con diferente Telepuerto local y diferente Telepuerto
Internacional.
Estas configuraciones se las debe analizar en base a los costos que involucra cada
uno de estos ejercicios; como no es propósito de este proyecto de titulación analizar
costos se puede recomendar que la mejor configuración sea con diferente satélite y
con diferente Telepuerto ya que existe total independencia en caso de que se dañe
en forma total el enlace principal. Según estadísticas la configuración más común
tanto en la parte técnica como económica es con el mismo satélite y con diferente
Telepuerto para el enlace de backup.
4.6 Tolerancia a Fallos
La tolerancia a fallos cubre a los servidores de computación y a los enlaces.
4.6.1 Servidores de Respaldo
Los servidores que funcionan como principales tienen los diferentes servicios que
"corren" en el Internet, de modo de que si cae algún servidor, cualquiera de los otros
entra en funcionamiento en los servicios que estaba funcionando el servidor de falla.
De esta forma el ISP tiene un anillo de protección a falla con todos sus servidores,
consiguiendo un alto rendimiento en el servicio.
En la figura 4.5 se indica la disposición de los elementos del sistema de tolerancia a
fallos, cabe señalar que en esta distribución se aplica el sistema de Balance de
Carga, es decir en caso de detectar saturación sobre algún servicio, el servidor
secundario de un servicio puede entrar a operar sobre el mismo servicio.
I37
DNS Server PrimarioWeb Server PrimarioMail Server Primario
Radius Server PrincipalMail Server SecundarioIndex Server Primario
DNS Server SecundarioWeb Server Secundario
Proxy Server PrincipalDNS Server tercero
Firewall
Figura 4.5 Tolerancia a Fallos
Si el servicio de DNS deja de funcionar, automáticamente las máquinas o hosts que
están dentro del ISP deben cambiar la búsqueda hacia el servidor de servicio
secundario, este mecanismo es transparente para el usuario final.
Para el caso del WEB Server una vez que el servicio está fuera de línea, se
redirecciona automáticamente hacia el servidor de backup, donde existe una copia
del servidor principal, que de igual forma es transparente para el usuario.
Sobre el Mail Server existe una similitud con el WEB Server, una vez que deja de
funcionar el servicio principal, es automáticamente direccionado hacia otro servidor
de correo donde existe una copia exacta y actualizada de los correos de los
usuarios.
En los demás servicios como Radius y Index Server no es necesario tener un
backup ya que son servicios que no tienen un alto grado de importancia, por
ejemplo si el Radius Server deja de funcionar, entra en funcionamiento la base de
datos interna del ÑAS quien tiene una copia del servidor Radius.
38
4.6.2 Enlaces redundantes
Pensando en la fiabilidad del servicio se ve la necesidad de tener redundancia en el
enlace Internacional, éste puede ser ya sea con otro Camero puede ser con otro
ISP local. Figura 4.6
USA
USA
QUITO
Figura 4.6 Enlace Redundante
También se puede tener un enlace redundante con el Proveedor Internacional como
se aprecia en la figura 4.7. Para esto se debe tener dos enlaces satelitales como se
había mencionado antes, con diferentes proveedores de Internet en los Estados
Unidos con una comunicación entre los Telepuertos conocida como Peeríng donde
se reciben las dos señales satelitales, para poder establecer la redundancia, de tal
forma que si uno de ellos sale de línea automáticamente el otro entra a operar.
Tele puerto USA
Figura 4.7 Enlace Proveedor Internacional
139
Con esto se consigue que cualquier anomalía del sistema sea transparente para los
usuarios, y garantizar el enlace las 24 horas del día.
4.7 Direcciones de red del ISP y Ancho de Banda del ISP
Como caso de estudio se asignará direcciones para un ISP local tanto en la
configuración como en el diseño.
Se establece que el ISP local tiene las redes indicadas en la tabla 4.1, las que se
ocuparán para sus diferentes usuarios; éstas han sido asignadas en forma aleatoria
con el fin de logra hacer un diseño real del ISP a Sistema Autónomo:
Red123456
Dirección207.100.28.0207.100.29.0207.100.30.0207.100.31.0207.100.32.0207.100.33.0
Máscara255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0
Tabla 4.1 Direcciones IP para el ISP local
El ISP debe tener un Ancho de Banda siempre con un 20%11 de flexibilidad para
evitar cuellos de botella sobre los enlaces satelitales hacía el Internet, en caso de
no obtenerse estos porcentajes, se tendrá que incrementar la capacidad en el
Ancho de Banda.
4.8 Definición del Sistema Autónomo
Una vez entregado el formulario a Internic, se procede a la aprobación del mismo
previo al pago del Sistema Autónomo. Con la confirmación del Número asignado al
ISP, se entrega este número al Proveedor Internacional, conjuntamente con las
20%, dato tomado estadísticamente por la Empresa TelcoNET (ISP local en el País }
140
redes que serán manejadas por el Sistema Autónomo Local, las cuales están
interconectadas entre ellas como se muestra en la figura 4.8.
Por fines de demostración los Sistemas Autónomos definidos serán los siguientes:
ISP Local: AS100
ISP Internacional: AS200
ISP Internacional Backup: AS300
ISP INTERNACIONAL
ISP INTERNACIONALBACKUP
Figura 4.8 Sistemas Autónomos
La lista completa de los Sistemas Autónomos es distribuida por Internic y se
encuentra en ftp://rs.arin.net/netinfo/asn.txt o una parte de la lista se encuentra en
el anexo A4.
4.9 Requerimientos para el funcionamiento del Sistema Autónomo
Un ISP debe cumplir con ciertas características para poder operar en el País. Como
primer paso es la formación de la Empresa en la Superintendecia de Compañías,
141
además de hacer el estudio y Presentación del proyecto de Valor Agregado en la
Secretaría Nacional de Telecomunicaciones, aquí en el anteproyecto técnico se
evalúa la infraestructura con la que entrará a operar el ISP.
La Secretaría a su vez analiza al ISP para que tenga un buen funcionamiento en el
País y le obliga a que su enlace satelital salga por algún Portador Autorizado en el
País12, como también para que su infraestructura a nivel local se haga con los
autorizados en el País como son: Andinatel, Pacifictel o Etapa.
Con la Infraestructura funcionando se procede a los convenios con Internic y los
registros respectivos con los Proveedores Internacionales.
Una vez registrado el Sistema en Internic, se procede a la programación de los
mismos tanto en el ISP local como en el Internacional y por último en el de Backup.
Cabe señalar que para ello se necesita enlaces entre los diferentes nodos, ya sean
éstos Satélite, Microonda, Fibra Óptica, etc. Para este caso específico se analiza
que el link o enlace entre los nodos sean a través de satélite, no se analizará el
equipamiento satelital sino solo a nivel de datos, es decir Routers.
Dentro del mercado existe una gama bastante amplia de marcas de routers que
soportan BGP, entre las más significativas están:
Cisco
3com
RAD
Lucent
Intel
Telebit
Para el caso de demostración los valores tomados estadísticamente son de la
Empresa TelcoNET, quien facilitó la información para propósito de este proyecto.
12 Portador Autorizado, Empresa que puede dar servicio de Enlaces satelitales en forma legal en elPaís.
142
Para el caso demostrativo se tomara un ISP con 1600 usuarios Dial-Up,
estadísticamente se mide que cada 400 clientes se necesita un E1, por lo tanto en
este caso se requerirán 4 E1's.
Para esto se requiere de 2 ÑAS, cada uno con un soporte de 2 E1 's, el consumo de
cada ÑAS puede ser medido a través del Protocolo SNMP y se lo puede ver en la
figura 4.9.
System; Switch 3300 in TelcoNET - QuitoMaintamer: Hugo Pro añoDcscriptioa RMON:10/100Port6 onUnit 1ifType: ethenietCsmacd (6)
ifNamc:MaxSpeed: 1250.0 kBytes/s
The stañstics were last updated Thursday, 18 Octofoer 2001 at 15:45,ai which time 'Switch 3300' had be en up for 21 days, 4:55:11
Daily' Graph (5 Minute Average)
56.0 k
0.0 R14 12 10 8 O 22 20 18 16 14 12 10 8
Max In:20.5kB/s(1.6%) Avetage In:9204.0 B/s (0.7%) Current In: 13.0 kB/s (1.0%)Max Out:55PkB/s(4J%) Average Out: 25.2 kB/s (2.0%) Cuirent Out:44.1 kB/s(3_5%)
Figura 4.9 Análisis SNMP para un ÑAS de2E1's
En la figura se aprecia que 2 Ef's tienen en promedio un consumo en la bajada
(DOWN) satelital de 201.6 kbps (25.2 kBps) y de subida (UP) 73.6 kbps (9.2 kBps).
Como consumos pico en la parte de bajada se tiene 448 kbps (56 kBps) y en la
subida 112 kbps (14 kBps). Se tendría similar información para el otro ÑAS que
soporta los 2 E1 's.
143
Para obtener un servicio eficiente, el ancho de banda satelital debe estar basado en
los valores máximos con un margen de error del 10% (Dato estadístico, dado por la
empresa TelcoNET), con esto se tendría un ancho de banda satelital aproximado
de:
• De subida (UP) 224 kbps + 10% (margen de error) = 256 kbps
• De bajada (DOWN) 896 kbps + 10% (margen de error) = 960 kbps
Es importante ver que la relación de subida y bajada está en el orden de 3.75
4.10 Programación del Sistema Autónomo
Para el caso de estudio, la programación de los routers se hará con la tecnología
Cisco, una de las más utilizadas dentro del mercado Nacional e Internacional. La
información del ISP es la expuesta anteriormente.
Los equipos a usar son:
• Routers 2500
• Switch Cisco 1548M
La documentación referente a estos equipos se encuentran en el anexo A7 donde
se encontrará características a nivel de software y hardware.
Estos Routers y Switches son instalados sobre cada lado, tanto en el nodo Nacional
e Internacional y Backup. En el Switch local se instalará todos los servidores como
también el interfaz Ethernet del Router, en el caso del Proveedor Internacional y del
Enlace de Backup, de igual forma los Routers se instalarán en forma directa con los
Switches. Ver figura 4.10
144
Switch1548
AS 100
Nodo Local207.100.28.1
cisco 250
29.29.29.1
AS 200 207.100.34.1
NodoInternacional
39.39.39.2
co 2500
19.19.19.2Switch1548
AS 300
19.19.19.1 Switch1548
29.29.29.2^"- „„„cisco 2500
Nodo Backup207.100.35.1
Figura 4.10 Configuración de Nodos
4.10.1 Configuración del Router del Nodo Local
Sobre el router local se tendría la siguiente configuración:[47'
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
hostname local Nombre del router local
enable password 1234
ip ñame server 207.100.28.130
password del router
IP del DA/S Se/ver
145
ip routing Habilita el Ruteo
interface Ethernet O
ipaddress 207.100.28.1
Configuración Ethernet
interface Serial O
ip address 39.39.39.1 255.255.255.252
ip broadcast-address 39.39.39.3
Configuración WAN O
interface Serial 1
ip address 29.29.29.1 255.255.255.252
ip broadcast-address 29.29.29.3
Configuración WAN 1
router bgp 100
network 207.100.28.0
network 207.100.29.0
network 207.100.30.0
network 207.100.31.0
network 207.100.32.0
network 207.100.33.0
neighbor 39.39.39.2 remote-as 200
neighbor 29.29.29.2 remote-as 300
Configuración Sistema Autónomo
Definición de redes que maneja
el Sistema Autónomo.
Definición de Vecinos ASN's
ip classless
ip 0.0.0.0 0.0.0.0 39.39.39.2
ip 0.0.0.0 0.0.0.0 29.29.29.2
snmp-server community public RO
snmp-server location Quito-Ecuador
snmp-server contact Hugo Proaño,[email protected]
Definición de Rutas
Definición de Gateway
Definición de Gateway Backup
Definicón de SNMP13
SNMP, (Simple Network Management Protocol), en sus distintas versiones, es un conjunto deaplicaciones de gestión de red que emplea los servicios ofrecidos por TCP/IP, protocolo del mundoUNIX, y que ha llegado a convertirse en un estándar.
146
line consolé O Definición de Consola
exec-timeout O O
password 1234 Password de Consola
login
!
line vty O 4 Definición de Telnet
password 1234 Password de Telnet
login
end
4.10.2 Configuración del Router del Nodo Internacional
Sobre el routerdel Nodo Internacional se tendría la siguiente configuración:
i
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
i
hostname internacional
enable password 1234
ip ñame server 207.100.34.130
ip routing
i
interface Ethernet O
ipaddress 207.100.34.1
147
interface Serial O
ip address 39.39.39.2 255.255.255.252
¡p broadcast-address 39.39.39.3
!
interface Serial 1
ip address 19.19.19.2 255.255.255.252
ip broadcast-address 19.19.19.3
!
router bgp 200
network 207.100.34.0
neighbor 39.39.39.1 remote-as 100
neighbor 19.19.19.1 remote-as 300!
ip classless
ip default-gateway 207.100.34.1
snmp-server community public RO
snmp-server location Quito-Ecuador
snmp-servercontact Hugo Proaño,593-2-599215,[email protected]
line consolé O
exec-timeout O O
password 1234
login
!
line vty O 4
password 1234
login
end
148
ip classless
ip default-gateway 207.100.35.1
snmp-server community public RO
snmp-server location Quito-Ecuador
snmp-server contact Hugo Proaño,593-2-59921 5, [email protected]
!
line consolé O
exec-timeout O O
password 1234
login
i
line vty O 4
password 1234
login
end
4.11 Costos referenciales de la Infraestructura de un ISP para el caso
demostrativo
Dentro de este caso de demostración se asume que el ISP necesita como
Capacidad de banda Satelital 1.2 Mbps, entre el enlace de subida y bajada, además
4 E1 's que soportarán 1600 clientes.
Todo ISP debe contratar con algún proveedor Internacional quien da el servicio
hacia la Red de Internet. En este caso los valores Satelitales y últimas millas son
proporcionados por la Empresa SATMEX de México. Cada Mhz satelital tiene un
costo mensual de US 5600,oo (incluido landingu), a esto se le debe sumar la última
milla de donde se recibe el Telepuerto (landindg) en USA hacia el proveedor de
Internet Internacional que tiene un costo de US 800,oo mensuales y por último se
Landind, Telepuerto privado, donde recoge la señal incluyendo el modem satelital.
150
suma el acceso a Internet que se paga hacia el proveedor Internacional que tiene un
costo de US 2500,0o mensuales por un acceso T1 hacía la red de Internet.
Cantidad111
DescripciónMHz en satéliteUltima millaT1 hacia InternetTotal
Costo US $$ 5600,oo$800,00
$ 2500Too$ 8900,oo
Tabla 4.2 Detalle de costos de Banda Satelital, Última Milla y T1
Hasta aquí se analizó la parte Internacional, el costo del Telepuerto (landing) local
se analizará como que el ISP lo debe adquirir, para esto se necesita :
Cantidad1111
EquipoAntena Parabólica de 3.7m diámetroAmplificador de Potencia con Decodificador HPA (10W)Modem Satelital soporta 2 MbpsInstalaciónTotal
Costo US $$ SOOO.oo
$ 16000,oo$ 4000,00$ 1500,oo
$ 26500,oo
Tabla 4.3 Detalle de costos del nodo Satelital
Sobre los E1's, el costo de cada E1*s tiene un valor de US 5400,oo dólares
americanos a la firma del contrato y un pago mensual de US 540,oo.
El costo de los equipos a utilizar sobre el ISP son:
Cantidad23341
EquipoÑAS de 2 E1 'sRouter Cisco 2500Switch Cisco 1 548MServidores Proliant 2500Enlace de backupTotal
Costo US$ 50000,oo$ 5000,oo$ 2700,oo
$ 15200,00$ 3000,oo
$ 75900,oo
Tabla 4.4 Detalle de costos por equipo del ISP
51
En software no tiene un valor predeterminado ya que la preferencia del ISP local
(Información de TelcoNET) es la plataforma LINUX, donde no tiene costo. El único
costo de software es sobre el BHIing System que es una aplicación de facturación
para Proveedores de Servicio de Internet, el cual en el mercado se encuentra a US
9500,oo para 5000 usuarios.
A todo esto se le debe adicionar el pago hacia la Secretaría Nacional de
Telecomunicaciones, según el articulo 34 15 del Capítulo Vi del Reglamento para la
prestación de Servicios del Valor Agregado que corresponde a 100 UVC para la
concesión. Este valor a la fecha de realización de este proyecto se encuentra en US
2.62
En resumen para levantar el ISP con esta infraestructura de 1600 clientes se
necesitan aproximadamente US 144822,oo de primer pago y un mensual de US
14060,oo, cabe recalcar que solo se han hecho análisis de los equipos y enlaces
que se utilizarán en el caso demostrativo de este proyecto de titulación.
Resumen Un solo Pagoítem
Banda Satelital, Ultima Milla, 11Nodo Satelital (local)Costo de 4 E1 's (Andinatel)Tarifa Básica de 4 E1 'sEquipos de ISPBHIing SystemPermiso de Valor Agregado (c/UVC=$ 2.62)Total
Valor $8900
2650021600
2160759009500
262144822
Tabla 4.5 Total de Inversión (Un solo Pago)
15 Articulo 34, Todo permisionario para operar en Servicio de Valor Agregado deberá cancelarpreviamente a la Secretaria Nacional de Telecomunicaciones por derechos de concesión un valorequivalente a 100 UVC, aplicándose el UVC vigente al primer día del mes en que se presento lasolicitud.
152
Resumen Pago Mensualítem
Banda Satelital, Ultima Milla, T1Tarifa Básica de 4 E1 'sEnalce de backupTotal
Valor $890021603000
14060
Tabla 4.6 Pago Mensual
153
Referencias Bibliográficas
[4.1] http://abc.es/teknoabc/a/que/que90/que90.asp
[4.2] http://reduant.uanl.mx/RedUANL/Servicios/FTP/Que_es_FTP.html
[4.3] http://www.vivire.com/queeswebhosting.shtml
[4.4] http://www.sopde.es/cajon/biblioteca/comercio/quees.html
[4.5] http://www.terra.com/informatica/que-es/vdotxx.cfm
[4.6] http://abc.eS/teknoabc/a/que/que42/que42.asp
[4.7] Cisco System, Taller Border Gateway Protocol ver4.0 BGP4, versión 2.0
[4.8] http://www.timagazine.net/magazine/1198/firewalls.cfm
[4.9] http://www.nicatech.com.ni/r.htm
54
Capítulo V
Conclusiones y Recomendaciones
5.1 Conclusiones
El conjunto de protocolos TCP/IP ha sido de vital importancia para el
desarrollo de las redes de comunicación, sobre todo para Internet. El
ritmo de expansión de Internet también es una consecuencia de estos
protocolos, sin los cuales, conectar redes de distintas naturalezas
(diferente Hardware, sistema operativo, etc..), hubiera sido mucho mas
difícil, por no decir imposible. Así pues, se puede decir que los protocolos
TCP/IP fueron y son el motor necesario para que las redes en general, e
Internet en particular, se mejoren y se pueda lograr una buena "autopista
de la información".
El modelo de referencia OSI presenta 7 capas puntuales y el modelo
TCP/IP presenta 4 capas. El modelo TCP/IP realmente no describe una
estructura tan precisa de niveles, aunque se puede visualizar a las capas
de Aplicación, Presentación y Sesión de OSI como similares a la capa de
Aplicación del modelo TCP/IP; igualmente la capa de Transporte similar a
la penúltima capa del modelo TCP/IP, la capa de Internet de TCP/IP
corresponde a la capa de Red de OSI y la primera capa de TCP/IP que es
Enlace, encuentra su correspondiente en las capas Física y Enlace de
Datos del modelo OSI.
El protocolo de IP usa direcciones de IP para identificar los HOST y
encaminar los datos hacia ellos. Todos los host o nodos deben tener una
dirección IP única para poder ser identificados en la red. El nombre de
host se traduce a su dirección de IP consultando el nombre en una base
de datos de pares nombre - dirección (DNS).
155
En relación a los dos métodos de encaminamientos, se puede decir que
el uno está en función de donde se decide encaminar y el otro está en
función de la adaptabilidad; cada uno de ellos tienen su clasificación a la
que la información que se transmite de un lado hacia otro sea enviada en
forma óptima dependiendo del estado en el que se encuentra configurada
una comunicación entre dos nodos.
En el método de encaminamiento que está en función de donde se decide
encaminar, el óptimo es el Fijado en el origen, ya que el sistema final
impone la ruta a seguir para cada paquete, de tal forma que los nodos
sólo se dedican a reenviar paquetes.
Sobre el método de encaminamiento que está en función de la
adaptabilidad, el óptimo es el de Estado de Enlaces ya que cada nodo
difunde la información de distancias con sus vecinos, teniendo ventajas
como detección más sencilla de errores, alta disponibilidad a los cambios
y menor consumo de capacidad en el tráfico enviado por el enlace.
Todos los Algoritmos ya sean de Dijkstra, Floy-Marshall, etc., buscan
hacer una eficiente rutina para poder encontrar el mejor camino a seguir
desde un cierto punto hasta su destino; en estas rutinas o algoritmos se
analizan puntos como el costo entre diferentes vecinos y el costo con el
nodo final haciendo de está la mejor selección para poder enviar la
información deseada.
Existen otros algoritmos como los de inundación y de aprendizaje hacia
atrás que nos son óptimos ya que se basan en una inundación de
información por todos los puertos de comunicación provocando una
saturación innecesaria sobre los enlaces de comunicación.
156
• Un Sistema Autónomo es una política de ruteo o encaminamiento tanto
para una red simple como para un grupo de redes, que es controlada por
un mismo Administrador o por un grupo de Administradores sobre una
única identidad administrativa. Un Sistema Autónomo tiene un número
global único ASN asociado con él; este número es usado tanto en el
intercambio de información de enrutamiento exterior, como para identificar
al Sistema Autónomo en sí.
• Un Sistema Autónomo normalmente utilizará uno o más IGPs (Interior
Gateway Protocol) para intercambiar información de accesibilidad dentro
de su propio Sistema Autónomo. Un Sistema Autónomo debe ser utilizado
para intercambiar información de enrutamiento externo con otros
Sistemas Autónomos a través de un protocolo de enrutamiento exterior
Bordar Gateway Protocol.
• Los pasos a seguir para la creación de un Sistema Autónomo no son
complicados ya que se debe hacer el registro sobre ARIN con un
formulario dependiendo del tipo de empresa, con este formulario se
asigna un número y luego se procede con el pago del mismo en ARIN, la
empresa encargada de registrar los Sistemas Autónomo en el Internet.
• Bordar Gateway Protocol es un protocolo de ruteo que se utiliza para
poder intercambiar información entre dos o más redes de Sistemas
Autónomos en el Internet o ya sea en redes privadas. Para poder
comunicarse dentro de los Sistemas Autónomos se utiliza el protocolo
Interior Border Gateway Protocol el cual facilita el trabajo de ruteo dentro
del mismo Sistema Autónomo. El protocolo que se usa para comunicarse
con Sistemas Autónomos es el Exterior Border Gateway Protocol.
• Existen cinco tipos de mensajes que utiliza el Border Gateway Protocol
que son: Common Header, Open, Update, Notificaron, Keepalive que son
157
utilizados por este protocolo para la comunicación con otros routers sobre
los enlaces de comunicación.
• Los atributos son una de las características más importantes del protocolo
BGP, ya que expresan la mayoría de la información a través de la
descripción de los prefijos ruteados. La manera en que los atributos son
codificados permite a BGP extenderse con nuevas características sin
cambiar el protocolo base.
• Un Proveedor de Servicio de Internet debe tener ciertos componentes
indispensables para su operación, los cuales son divididos en varias
partes como la satelital con el acceso al Internet con el Proveedor
Internacional, que contiene un Telepuerto con sus respectivos equipos de
comunicación satelital. El otro componente del Proveedor de Internet es la
red Interna, esta red debe tener ciertos servidores con servicios básicos
del Internet como son el Mail Se/ver, DNS Server, Web Se/ver, etc. Y por
último la comunicación con los clientes de Internet son a través de
canales digitales conocidos como E1's los cuales constan de 30 canales
para su utilización con los clientes. Estos canales pueden llegar a tener
estándares como V.22, V.22bis, V.32, V.32bis, V.34 y V.90. Si el ISP
utiliza líneas análogas en vez de E1's, las velocidades de transmisión
podrán llegar hasta V.34.
• La parte principal del ISP es la facturación, esta parte se debe manejar
con 2 programas, el uno es el que maneja la información de conexiones
(RADIUS) del cliente, donde también existe información como desde el
número que se conectó, la cantidad de bytes que descargó, etc.; el otro
programa se llama Billing System que se encarga de facturar a los
clientes en base al consumo o planes que haya tenido los mismos.
158
Todo ISP debe tener un Firewall para protección de los Hacker y
Crackers, este Firewall pude ser aplicado ya sea a nivel de hardware
(recomendado) o a nivel de software. El Firewall impide que ciertos
puertos que no se están ocupando sean cerrados para evitar visitas
inesperadas, por ejemplo el servicio de Telnet sobre el puerto 23.
Debe existir una redundancia sobre los servicios que se ofrecen en el
ISP, en caso de que alguno de ellos se encuentra fuera de operación por
alguna situación, automáticamente el se/ver con funciones del servicio
secundario debe entrar a operar en forma transparente para el usuario.
El enlace de backup Internacional es el secreto de poder mantener una
operación del 100% en línea, ya que en caso de que el enlace principal
salga de operación el enlace de backup o redundante entra a operar y
automáticamente el ruteo es cambiado hacia este nuevo enlace (atributos
del BGP), de tal forma de tener siempre una salida hacia el Internet.
En el diseño del Ancho de banda satelital, se debe tomar en cuenta
ciertos puntos como que el enlace no siempre se encuentra al 100% de
saturación; para asegurar que la calidad del servicio sea buena el nivel
permitido de saturación puede ser de 120% (Información estadística dada
por la empresa TelcoNET). De esta forma se pueden incrementar el
número de clientes hasta poder llegar a este valor, una vez que
sobrepase este valor se debe incrementar el ancho de banda satelital
para mantener la misma calidad de servicio.
La programación sobre los routers no son muy complejas, en el caso
específico del caso demostrativo se observó que con definiciones exactas
se puede establecer una comunicación a través del protocolo BGP.
159
• El sistema compartido del enlace satelital, es decir, en el que existe un
solo canal para todos los clientes, es muy práctico y económicamente
atractivo ya que se pudo ver que los clientes no siempre utilizan el
servicio las 24 horas del día de la semana y del mes.
• El costo satelital todavía tiene un valor elevado, por lo que es necesario
hacer un esquema de utilización del producto tipo VSAT para poder
optimizar el espacio de clientes que no ocupan para poder dar a otros
clientes en este tiempo.
• La inversión que un ISP debe hacer para poder instalar su infraestructura
dependerá de los servicios que se instalen, para el caso de demostración
se han analizado los servicios básicos que un ISP debe tener.
160
5.2 Recomendaciones
• Se recomienda que todo ISP utilice E1's ya que con estos canales se
pueden incrementar las velocidades de transmisión a 56 kbps.
• Se recomienda siempre tener un enlace de backup para todo ISP, en
vista de que el enlace principal salga de operación, el enlace de backup
entrará en funcionamiento, esto es para que los usuarios no sientan estos
problemas.
• Todo ISP debe tener un Firewall para evitar ataques externos e internos;
para esto los puertos que no se están utilizando por el ISP deben ser
cerrados. Además se debe evitar el ICMP sobre todos los host y se/vers
de la red del ISP.
• Se recomienda hacer un estudio detallado sobre la configuración de un
Firewall para ISP's, donde se debe analizar todos los servicios que un
ISP ofrece a sus clientes.
• Se recomienda tener un esquema de backup de servicios sobre varios
servidores para poder tener un rendimiento del 100% sobre los servicios
que ofrece el ISP.
• Se recomienda hacer un estudio y análisis sobre el requerimiento de
ancho de banda en base a la utilización de los clientes de Internet,
además de hacer un análisis de qué servicios en el Internet son los que
más ocupan ancho de banda.
• Hacer un análisis de costos para poder saber el costo real por cada kbps
que utilizan los clientes, como también hacer un estudio de mercado
161
sobre los planes que más se utilizan en el medio. Adicional a esto es
necesario saber cuál de los planes en el mercado son los que
económicamente más rinden o se tienen mejores utilidades. Para esto se
tiene que hacer un estudio de consumos de Internet en base a la hora
como también en base al tipo de servicio que se utiliza en el mismo.
Es necesario hacer un análisis de la utilidad que presenta la empresa
para la infraestructura instalada, en el caso demostrativo para los 1600
clientes Dial-up que se tiene.
En la actualidad muchos ISP's como otras empresas en el Internet tales
como Amazon han puesto como plataforma base el sistema operativo
Linux, se recomienda hacer un estudio de esta plataforma para poder
recomendar o no a los ISP para que usen como estándar.
162
BIBLIOGRAFÍA
Tanenbaum, Andrew S., Computer Network, Prentice-Hall, 1996
Todd Lammle, Monica Lammle, James Chellis, TCP/IP for NT Server4 StudyGuide, Second Edition, 1996
Lijding María Eva, Un Nuevo Protocolo de Ruteo Interno, Universidad de BuenosAires, Departamento de Computación.
Stewart John W., BGP4 Inter-Domain Routing in the Internet, Addison-Wesley,2000
Black.Uyless D., IP Routing Protocols, Prentice Hall, New Jersey, 2000
Cisco System, Taller Border Gateway Protocol ver4.0 BGP4, versión 2.0
http://forpas.fie.us.es/redes/osi.asp
http://pdi.cicese.mx/mavendan/estudios/rld/OSI-ISO.html
http://www.lafacu.com/apuntes/informatica/tcpip/default.htm
http://dali.ualm/~jamartin/html/c1_apun/nod e41.html
http://www.dc.uba.ar/people/materias/tc/informacion/apuntes/Apunte-Ruteo.html
http://fenix.sis.epn.edu.ee/~ntrujill/Topico/28.html
http://www.etse.urv.es/~cmolina/XCI/files/trans_xcij/sld108.htm
http://whatis.techaterget.eom/definition/0,289893,sid9_gc¡213662,00.html
http://www.h4ck3r.co.nz/h4ck3r(original)/encyclopedia/4.htm
http://www.clizio.com/Connected/RFC/1583/12.htm
http://whatis.techaterget.com/definition/0,289893,sid9_gci211987.00.html
http://www.faqs.org/rfcs/rfc1930.html
http://www.arin.net/templates/asntemplate.txt
http://whatis.techaterget.com/definition/0,289893,sid9_gci213813,00.html
163
http://whatis.techaterget.com/definition/0,289893Tsid9_gci214018,OO.html
http://whatis.techaterget.com/definition/0,289893,sid9_gc¡213930,00.html
http://abc.eS/teknoabc/a/que/que90/que90.asp
http://reduanl.uanl.mx/RedUANI_/Servicios/FTP/Que_es_FTP.html
http://www.vivire.com/queeswebhosting.shtml
http://www.sopde.es/cajon/biblioteca/comercio/quees.html
http://www.terra.com/informatica/que-es/vdotxx.cfm
http://abc.eS/teknoabc/a/que/que42/que42.asp
http://www.timagazine.net/magazine/1198/firewalls.cfm
http://www.nicatech.com.ni/r.htm
164
ANEXOS
A1 RFC 1655
A2 FORMULARIO PARA EMPRESAPRIVADA
A3 FORMULARIO PARA EMPRESA DELGOBIERNO O MILITAR
A4 LISTA PARCIAL DE SISTEMASAUTÓNOMOS EN EL INTERNET
A5 CARACTERÍSTICAS GENERALES DEUN FIREWALL (CISCO PIX)
A6 IMPLEMENTACION DE UN FIREWALLBAJO LA PLATAFORMA LINUX
A7 CARACTERÍSTICAS DEL ROUTERCISCO 2500 Y SWITCH CISCO 1548M
Network Working GroupRequest for Comments: 1655Obsoletes: 1268Category: Standards Track
Y. RekhterT.J. Watson Research Center, IBM Corp.
P. GrossMCI
EditorsJuly 1994
Application of the Border Gateway Protocol in the Internet
Status of this Memo
This document specifies an Internet standards track protocol for theInternet community, and requests discussion and suggestions forimprovements. Please refer to the current edition of the "InternetOfficial Protocol Standards" (STD 1} for the standardization stateand status of this protocol. Distribution of this memo is unlimited
Abstract
This document, together with its companion document, "A BorderGateway Protocol 4 (BGP-4)", define an inter-autonomous systemrouting protocol for the Internet. "A Border Gateway Protocol 4(BGP-4)" defines the BGP protocol specification, and this documentdescribes the usage of the BGP in the Internet.
Information about the progresa of BGP can be monitored and/orreported on the BGP mailing list ([email protected]).
Acknowledgements
This document was originally published as RFC 1164 in June 1990,jointly authored by Jeffrey C. Honig (Cornell University), Dave Katz(MERIT), Matt Mathis (PSC), Yakov Rekhter (IBM), and Jessica Yu(MERIT).
The following also made key contributions to RFC 1164 -- Guy Almes{ANS, then at Rice University), Kirk Lougheed {cisco Systems), Hans-Werner Braun {SDSC, then at MERIT), and Sue Mares (MERIT).
We like to explicitly thank Bob Braden (ISI) for the review of theprevious versión of this document.
This updated versión of the document is the product of the IETF BGPWorking Group with Phill Gross (MCI) and Yakov Rekhter (IBM) aseditors.
Rekhter & Gross Page 1]
RFC 1655 BGP-4 Application July 1994
John Moy (Proteon) contributed Section 7 "Required set of supportedrouting policies".
Scott Brim (Cornell University) contributed the basis for Section 8"Interaction with other exterior routing protocols".
Most of the text in Section 9 was contributed by Gerry Meyer(Spider).
Parts of the Introduction were taken almost verbatim from [3].
We would like to acknowledge Dan Long (NEARNET) and Tony Li (ciscoSystems) for their review and comments on the current versión of thedocument.
1. Introduction
This memo describes the use of the Border Gateway Protocol (BGP} [1]in the Internet environment. BGP is an inter-Autonomous Systemrouting protocol. The network reachability information exchanged víaBGP provides sufficient information to detect routing loops andenforce routing decisions based on performance preference and policyconstraints as outlined in RFC 1104 [2]. In particular, BGP exchangesrouting information containing full AS paths and enforces routingpolicies based on configuration information.
As the Internet has evolved and grown over in recent years, it hasbecome painfully evident that it is soon to face several seriousscaling problems. These include:
- Exhaustion of the class-B network address space. Onefundamental cause of this problem is the lack of a networkclass of a size which is appropriate for mid-sizedorganization; class-C, with a máximum of 254 host addresses, istoo small while class-B, which allows up to 65534 addresses, istoo large to be densely populated.
- Growth of routing tables in Internet routers are beyond theability of current software (and people) to effectively manage.
- Eventual exhaustion of the 32-bit IP address space.
It has become clear that the first two of these problems are likelyto become critical within the next one to three years. ClasslessÍnter-domain routing (CIDR) attempts to deal with these problems byproposing a mechanism to slow the growth of the routing table and theneed for allocating new IP network numbers. It does not attempt tosolve the third problem, which is of a more long-term nature, but
Rekhter & Gross [Page 2]
RFC 1655 BGP-4 Application July 1994
instead endeavors to ease enough of the short to mid-termdifficulties to allow the Internet to continué to funetionefficiently while progress is made on a longer- term solution.
BGP-4 is an extensión of BGP-3 that provides support for routingInformation aggregation and reduction based on the Classless inter-domain routing architecture (CIDR) [3]. This memo describes theusage of BGP-4 in the Internet.
All of the discussions in this paper are based on the assumption thatthe Internet is a collection of arbitrarily connected AutonomousSystems. That is, the Internet will be modeled as a general graphwhose nodes are AS's and whose edges are connections between pairs ofAS's-
The classic definition of an Autonomous System is a set of routersunder a single technical administration, using an interior gatewayprotocol and common metrics to route packets within the AS and usingan exterior gateway protocol to route packets to other AS's. Sincethis classic definition was developed, it has become common for asingle AS to use several interior gateway protocols and sornetimesseveral sets of metrics within an AS. The use of the term AutonomousSystem here stresses the fact that, even when múltiple IGPs andmetrics are used, the adrainistration of an AS appears to other AS'sto have a single coherent interior routing plan and presents aconsistent picture of which networks are reachable through it.
AS' s are assumed to be administered by a single administrativeentity, at least for the purposes of representation of routingInformation to systems outside of the AS.
2. BGP Topological Model
When we say that a connection exists between two AS's, we mean twothings:
Physical connection: There is a shared network between the twoAS's, and on this shared network each AS has at least one bordergateway belonging to that AS. Thus the border gateway of each AScan forward packets to the border gateway of the other AS withoutresorting to Inter-AS or Intra-AS routing.
BGP connection: There is a BGP session between BGP speakers ineach of the AS's, and this session communicates those routes thatcan be used for specific networks via the advertising AS.Throughout this document we place an additional restriction on theBGP speakers that forra the BGP connection: they must themselvesshare the same network that their border gateways share. Thus, a
Rekhter & Gross [Page 3]
RFC 1655 BGP-4 Application July 1994
BGP session between adjacent AS's requires no support from eitherInter-AS or Intra-AS routing. Cases that do not conform to thisrestriction fall outside the scope of this document.
Thus, at each connection, each AS has one or more BGP speakers andone or more border gateways, and these BGP speakers and bordergateways are all located on a shared network. Note that BGP speakersdo not need to be a border gateway, and vice versa. Paths announcedby a BGP speaker of one AS on a given connection are taken to befeasible for each of the border gateways of the other AS on the sameshared network, i.e. indirect neighbors are allowed.
Much of the traffic carried within an AS either originates orterminates at that AS (i.e., either the source IP address or thedestination IP address of the IP packet identifÍes a host on anetwork Ínternal to that AS). Traffic that fits this description iscalled "local traffic". Traffic that does not fit this description iscallad "transit traffic". A major goal of BGP usage is to control theflow of transit traffic.
Based on how a particular AS deals with transit traffic, the AS maynow be placed into one of the following categories:
stub AS: an AS that has only a single connection to one other AS.Naturally, a stub AS only carries local traffic.
multihomed AS: an AS that has connections to more than one otherAS, but refuses to carry transit traffic.
transit AS: an AS that has connections to more than one other AS,and is designed (under certain policy restrictions) to carry bothtransit and local traffic.
Since a full AS path provides an efficient and straightforward way ofsuppressing routing loops and eliminates the "count-to-infinity"problem associated with some distance vector algorithms, BGP imposesno topological restrictions on the interconnection of AS's.
3. BGP in the Internet
3.1 Topology Considerations
The overall Internet topology may be viewed as an arbitraryinterconnection of transit, multihomed, and stub AS's. In order tominimize the impact on the current Internet infrastructure, stub andmultihomed AS's need not use BGP. These AS's may run other protocols(e.g., EGP) to exchange reachability information with transit AS's.Transit AS' s using BGP will tag this information as having been
Rekhter & Gross [Page 4
RFC 1655 BGP-4 Application July 1994
learned by some method other than BGP. The fact that BGP need not runon stub or multihomed AS's has no negative impact on the overallquality of inter-AS routing for traffic that either destined to ororiginated from the stub or multihomed AS's in question.
However, it is recommended that BGP be used for stub and multihomedAS's as well. In these sitúations, BGP will provide an advantage inbandwidth and performance over some of the currently used protocols(such as EGP). In addition, this would reduce the need for the useof default routes and in better choices of Inter-AS routes formultihomed AS's.
3.2 Global Nature of BGP
At a global level, BGP is used to distribute routing informationamong múltiple Autonomous Systems. The Information flows can berepresented as follows:
BGP | BGP | BGP | BGP | BGP+ + + +| IGP | | IGP |
<-AS A—> <—AS B->
This diagram points out that, while BGP alone carries Informationbetween AS's, both BGP and an IGP may carry Information across an AS.Ensuring consistency of routing Information between BGP and an IGPwithin an AS is a significant issue and is discussed at length laterin Appendix A.
3 . 3 BGP Neighbor Relationships
The Internet is viewed as a set of arbitrarily connected AS's. BGPspeakers in each AS corrununicate with each other to exchange networkreachability information based on a set of policies establishedwithin each AS. Routers that communicate directly with each other viaBGP are known as BGP neighbors. BGP neighbors can be located withinthe same AS or in different AS's. For the sake of discussion, BGPCommunications with neighbors in different AS's will be referred toas External BGP, and with neighbors in the same AS as Internal BGP.
There can be as many BGP speakers as deemed necessary within an AS.Usually, if an AS has múltiple connections to other AS's, múltipleBGP speakers are needed. All BGP speakers representing the same ASmust give a consistent image of the AS to the outside. This requires
Rekhter & Gross [Page 5]
RFC 1655 BGP-4 Application July 1994
that the BGP speakers have consistent routing inforination among them.These gateways can communicate with each other vía BGP or by othermeans. The policy constraints applied to all BGP speakers within anAS must be consistent. Techniques such as using a tagged IGP (seeA. 2. 2) may be employed to detect possible inconsistencies.
In the case of External BGP, the BGP neighbors must belong todifferent AS's, but share a common network. This common networkshould be used to carry the BGP messages between them. The use of BGPacross an intervening AS invalidates the AS path information. AnAutonomous System number must be used with BGP to specify whichAutonomous System the BGP speaker belongs to.
4. Requirements for Route Aggregation
A conformant BGP-4 implementation is required to have the ability tospecify when an aggregated route may be generated out of partialrouting information. For example, a BGP speaker at the border of anautonomous system (or group of autonomous systems) must be able togenérate an aggregated route for a whole set of destination IPaddresses (in BGP-4 terminology such a set is called the NetworkLayer Reachability Information or NLRI) over which it hasadministrative control (including those addresses it has delegated),even when not all of them are reachable at the same time.
A conformant implementation may provide the capability to specifywhen an aggregated NLRI may be generated.
A conformant implementation is required to have the ability tospecify how NLRI rnay be de-aggregated.
A conformant implementation is required to support the followingoptions when dealing with overlapping routes:
- Install both the less and the more specific routes
- Install the more specific route only
- Install the less specific route only
- Install neither route
By default a BGP speaker should aggregate NLRI representing subnetsto the corresponding network.
Injecting NLRI representing arbitrary subnets into BGP withoutaggregation to the corresponding network shall be controlled víaconfiguration parameters.
Rekhter & Gross [Page6]
RFC 1655 BGP-4 Application July 1994
Certain routing policies may depend on the NLRI (e.g., "research"versas "commercial"). Therefore, a BGP speaker that performs routeaggregation should be cognizant, if possible, of potentialimplications on routing policies when aggregating NLRI.
5. Policy Making with BGP
BGP provides the capability for enforcing policies based on variousrouting preferenees and constraints. Policies are not directlyencoded in the protocol. Rather, policies are provided to BGP in theform of configuration information.
BGP enforces policies by affecting the selection of paths frommúltiple alternatives and by controlling the redistribution ofrouting information. Policies are determined by the ASadministration.
Routing policies are related to political, security, or economicconsiderations. For exaraple, if an AS is unwilling to carry trafficto another AS, it can enforce a policy prohibiting this. Thefollowing are examples of routing policies that can be enforced withthe use of BGP:
1. A multihomed AS can refuse to act as a transit AS for otherAS's. (It does so by only advertising routes to networksinternal to the AS.)
2. A multihomed AS can become a transit AS for a restricted set ofadjacent AS's, i.e., some, but not all, AS's can use themultihomed AS as a transit AS. (It does so by advertising itsrouting information to this set of AS's.)
3. An AS can favor or disfavor the use of certain ñS's forcarrying transit traffic from itself.
A number of performance-related criteria can be controlled with theuse of BGP:
1. An AS can minimize the number of transit AS's. (Shorter ASpaths can be preferred over longer ones.)
2. The quality of transit AS's. If an AS determines that two ormore AS paths can be used to reach a given destination, that AScan use a variety of means to decide which of the candidate ASpaths it will use. The quality of an AS can be measured by suchthings as diameter, link speed, capacity, tendency to becomecongested, and quality of operation. Information about thesequalities might be determined by means other than BGP.
Rekhter & Gross [Page 7
RFC 1655 BGP-4 Application July 1994
3. Preference of internal routes over external routes.
For consistency within an AS, equal cost paths, resulting fromcombinations of policies and/or normal route selection procedures,must be resolved in a consistent fashion.
Fundamental to BGP is the rule that an AS advertises to itsneighboring AS's only those routes that it uses. This rule reflectathe "hop-by-hop" routing paradigm generally used by the currentInternet.
6. Path Selection with BGP
One of the major tasks of a BGP speaker is to evalúate differentpaths to a destination network from its border gateways at thatnetwork, select the best one, apply appropriate policy constraints,and then advertise it to all of its BGP neighbors. The key issue ishow different paths are evaluated and compared. In traditionaldistance vector protocols (e.g., RIP) there is only one metric (e.g.,hop count} associated with a path. As such, comparison of differentpaths is reduced to simply comparing two numbers. A complication inInter-AS routing arises from the lack of a universally agreed-uponmetric among AS's that can be used to evalúate external paths.Rather, each AS may have its own set of criteria for path evaluation.
A BGP speaker builds a routing datábase consisting of the set of allfeasible paths and the list of networks reachable through each path.For purposes of precise discussion, it's useful to consider the setof feasible paths for a given destination network. In most cases, wewould expect to find only one feasible path. However, when this isnot the case, all feasible paths should be maintained, and theirmaintenance speeds adaptation to the loss of the primary path. Onlythe primary path at any given time will ever be advertised.
The path selection process can be formalized by defining a completeorder over the set of all feasible paths to a given destinationnetwork. One way to define this complete order is to define afunction that maps each full AS path to a non-negative integer thatdenotes the path's degree of preference. Path selection is thenreduced to applying this function to all feasible paths and choosingthe one with the highest degree of preference.
In actual BGP implementations, the criteria for assigning degree ofpreferences to a path are specified as configuration information.
The process of assigning a degree of preference to a path can bebased on several sources of information:
Rekhter & Gross [Page
RFC 1655 BGP-4 Application July 1994
1. Information explicitly present in the full AS path.
2. A combination of Information that can be derived from the fullAS path and information outside the scope of BGP (e.g., policyrouting constraints provided as configuration information).
Possible criteria for assigning a degree of preference to a path are:
- AS count. Paths with a smaller AS count are generally better.
- Policy considerations. BGP supports policy-based routing basedon the controlled distribution of routing information. A BGPspeaker may be aware of some policy constraints (both withinand outside of its own AS) and do appropriate path selection.Paths that do not comply with policy requirements are notconsidered further,
- Présenes or absence of a certain AS or AS' s in the path. Bymeans of information outside the scope of BGP, an AS may knowsome performance characteristias (e.g., bandwidth, MTU, intra-AS diameter) of certain AS's and may try to avoid or preferthem.
- Path origin. A path learned entirely from BGP (i.e-, whoseendpoint is Ínternal to the last AS on the path) is generallybetter than one for which part of the path was learned via EGPor some other means.
- AS path subsets. An AS path that is a subset of a longer ASpath to the same destination should be preferred over thelonger path. Any problem in the shorter path (such as anoutage) will also be a problem in the longer path.
- Link dynamics. Stable paths should be preferred over unstableones. Note that this criterion must be used in a very carefulway to avoid causing unnecessary route fluctuation. Generally,any criteria that depend on dynamic information might causerouting instability and should be treated very carefully.
7. Required set of supported routing policies
Policies are provided to BGP in the form of configurationinformation. This information is not directly encoded in theprotocol. Therefore, BGP can provide support for very complex routingpolicies. However, it is not required that all BGP implementationssupport such policies.
Rekhter & Gross [Page 9]
RFC 1655 BGP-4 Application July 1994
We are not attempting to standardiza the routing policies that mustbe supported in every BGP implementation; we strongly encourage allimplementors to support the following set of routing policies:
1. BGP implementations should allow an AS to control announcementsof BGP-learned routes to adjacent AS's. Implementations shouldalso support such control with at least the granularity of asingle network. Implementations should also support suchcontrol with the granularity of an autonomous system, where theautonomous system may be either the autonomous system thatoriginated the route, or the autonomous system that advertísedthe route to the local system (adjacent autonomous system}.Care must be taken when a BGP speaker selects a new route thatcan't be announced to a particular external peer, while thepreviously selected route was announced to that peer.Specifically, the local system must explicitly indícate to thepeer that the previous route is now infeasible.
2. BGP implementations should allow an AS to prefer a particularpath to a destination (when more than one path is available).At the minimum an implementation shall support thisfunctionality by allowing to administratively assign a degreeof preference to a route based solely on the IP address of theneighbor the route is received from. The allowed range of theassigned degree of preference shall be between O and 2^(31) -1.
3. BGP implementations should allow an AS to ignore routes withcertain AS's in the AS_PATH path attribute. Such function canbe implemented by using the technique outlined in [2], and byassigning "infinity" as "weights" for such AS's. The routeselection process must ignore routes that have "weight" equalto "infinity".
Interaction with other exterior routing protocols
The guidelines suggested in this section are consistent with theguidelines presented in [3] .
An AS should advertise a minimal aggregate for its internal networkswith respect to the amount of address space that it is actuallyusing. This can be used by administrators of non-BGP 4 AS's todetermine how many routes to explode from a single aggregate.
A route that carries the ATOMIC_AGGREGATE path attribute shall not beexported into either BGP-3 or EGP2, unless such an exportation can beaccomplished without exploding the NLRI of the route.
Rekhter & Gross [PagelO]
RFC 1655 BGP-4 Application July 1994
8.1 Exchanging Information with EGP2
This document suggests the following guidelines for exchangingrouting information between BGP-4 and EGP2.
To provide for graceful migration, a BGP speaker raay particípate inEGP2, as well as in BGP-4. Thus, a BGP speaker may receive IPreachability information by means of EGP2 as well as by means ofBGP-4. The information received by EGP2 can be injected into BGP-4with the ORIGIN path attribute set to 1. Likewise, the informationreceived via BGP-4 can be injected into EGP2 as well. In the lattercase, however, one needs to be aware of the potential informationexplosión when a given IP prefix received from BGP-4 denotes a set ofconsecutivo A/B/C class networks. Injection of BGP-4 received NLRIthat denotes IP subnets requires the BGP speaker to inject thecorresponding network into EGP2. The local system shall providemechanisms to control the exchange of reachability informationbetween EGP2 and BGP-4. Specifically, a conformant implementation isrequired to support all of the following options when injecting BGP-4received reachability information into EGP2:
- inject default only (0.0.0.0); no export of any other NLRI
- allow controlled deaggregation, but only of specific routes;allow export of non-aggregated NLRI
- allow export of only non-aggregated NLRI
The exchange of routing information via EGP2 between a BGP speakerparticipating in BGP-4 and a puré EGP2 speaker may occur only at thedomain (autonomous system) boundaries.
8.2 Exchanging information with BGP-3
This document suggests the following guidelines for exchangingrouting information between BGP-4 and BGP-3.
To provide for graceful migration, a BGP speaker may particípate inBGP-3, as well as in BGP-4. Thus, a BGP speaker may receive IPreachability information by means of BGP-3, as well as by means ofBGP-4.
A BGP speaker may inject the information received by BGP-4 into BGP-3as follows.
If an AS_PATH attribute of a BGP-4 route carries A5_SET pathsegments, then the AS_PATH attribute of the BGP-3 route shall beconstructed by treating the AS SET segrnents as AS SEQUENCE segments,
Rekhter & Gross [Page 11]
RFC 1655 BGP-4 Application July 1994
with the resulting AS_PATH being a single AS_SEQUENCE. While thisprocedure loses set/sequence information, it doesn't affectprotection for routing loops suppression, but may affect policies, ifthe policies are based on the content or ordering of the AS_PATHattribute.
While injecting BGP-4 derived NLRI into BGP-3, one needs to be awareof the potential information explosión when a given IP prefix denotesa set of consecutive A/B/C class networks. Injection of BGP-4 derivedNLRI that denotes IP subnets requires the BGP speaker to inject thecorresponding network into BGP-3. The local system sha11 providemechanisms to control the exchange of routing information betweenBGP-3 and BGP-4. Specifically, a conformant implementation isrequired to support all of the following options when injecting BGP-4received routing information into BGP-3:
- inject default only (0.0.0.0), no export of any other NLRI
- allow controlled deaggregation, but only of specific routes;allow export of non-aggregated NLRI
- allow export of only non-aggregated NLRI
The exchange of routing information via BGP-3 between a BGP speakerparticipating in BGP-4 and a puré BGP-3 speaker may occur only atthe autonomous system boundaries. Within a single autonomous systemBGP conversations between all the BGP speakers of that autonomoussystem have to be either BGP-3 or BGP-4, but not a mixture.
9. Operations over Switched Virtual Circuíts
When using BGP over Switched Virtual Circuit (SVC) subnetworks it maybe desirable to minimize traffic generated by BGP. Specifically, itmay be desirable to elimínate traffic associated with periodicKEEPALIVE messages. BGP includes a mechanism for operation overswitched virtual circuit {SVC) services which avoids keeping SVCspermanently open and allows it to eliminates periodic sending ofKEEPALIVE messages.
This section describes how to opérate without periodic KEEPALIVEmessages to minimise SVC usage when using an intelligent SVC circuitmanager. The proposed scheme may also be used on "permanent"circuits, which support a feature like link quality monitoring orecho request to determine the status of link connectivity.
The mechanism described in this section is suitable only between theBGP speakers that are directly connected over a common virtualcircuit.
Rekhter & Gross [Page 12]
RFC 1655 BGP-4 Application July 1994
9.1 Establishing a BGP Connection
The feature is selected by specifying zero Hold Time in the OPENmessage.
9.2 Circuit Manager Properties
The circuit manager must have sufficient functionality to be able tocompénsate for the lack of periodic KEEPALIVE messages:
- It must be able to determine link layer unreachability in apredictable finite period of a failure occurring.
- On determining unreachability it should:
- start a configurable dead timer (comparable to atypical Hold timer valué).
- attempt to re-establish the Link Layer connection.
- If the dead timer expires it should:
- send an internal circuit DEAD indication to TCP.
- If the connection is re-established it should:
- cancel the dead timer.
- send an internal circuit UP indication to TCP.
9.3 TCP Properties
A small modification must be made to TCP to process internalnotifications frora the circuit manager:
- DEAD: Flush transmit queue and abort TCP connection.
- UP: Transmit any queued data or allow an outgoing TCP cali toproceed.
9.4 Combined Properties
Some implementations may not be able to guarantee that the BGPprocess and the circuit manager will opérate as a single entity; i.e.they can have a sepárate existence when the other has been stopped orhas crashed.
Rekhter & Gross [Page 13]
RFC 1655 BGP-4 Application July 1994
If this is the case, a periodic two-way poli between the BGP processand the circuit manager should be implemented. If the BGP processdiscovers the circuit manager has gone away it should cióse allrelevant TCP connections. If the circuit manager discovers the BGPprocess has gone away it should cióse all its connections associatedwith the BGP process and reject any further incorning connections.
10. Conclusión
The BGP protocol provides a high degree of control and flexibilityfor doing interdomain routing while enforcing policy and performanceconstraints and avoiding routing loops. The guidelines presentad herewill provide a starting point for using BGP to provide moresophisticated and manageable routing in the Internet as it grows.
Appendix A. The Interaction of BGP and an IGP
This section outlines methods by which BGP can exchange routinginformation with an IGP. The methods outlined here are not proposedas part of the standard BGP usage at this time. These methods areoutlined for information purposes only. Implementors may want toconsider these methods when importing IGP information.
This is general information that applies to any generic IGP.
Interaction between BGP and any specific IGP is outside the scope ofthis section. Methods for specific IGP's should be proposed insepárate documents. Methods for specific IGP's could be proposed forstandard usage in the future.
Overview
By definition, all transit AS's must be able to carry traffic whichoriginates from and/or is destined to locations outside of that AS.This requires a certain degree of interaction and coordinationbetween BGP and the Interior Gateway Protocol (IGP) used by thatparticular AS. In general, traffic originating outside of a given ASis going to pass through both interior gateways (gateways thatsupport the IGP only) and border gateways (gateways that support boththe IGP and BGP). All interior gateways receive information aboutexternal routes from one or more of the border gateways of the AS viathe IGP.
Depending on the mechanism used to propágate BGP information within agiven AS, special care must be taken to ensure consistency betweenBGP and the IGP, since changas in state are likely to propágate atdifferent rates across the AS. There may be a time window between themoment when some border gateway (A) receives new BGP routing
Rekhter & Gross [Page 14]
RFC 1655 BGP-4 Application July 1994
information which was originated from another border gateway (B)within the same AS, and the moment the IGP within this AS is capableof routing transit traffic to that border gateway (B). During thattime window, either incorrect routing or "black boles" can occur.
In order to minimiza such routing problems, border gateway (A) shouldnot advertise a route to some exterior network X vía border gateway(B) to all of its BGP neighbors in other AS's until all the interiorgateways within the AS are ready to route traffic destinad to X víathe correct exit border gateway (B). In other words, interior routingshould converge on the proper exit gateway before/advertísing routesvia that exit gateway to other AS's.
A.2 Methods for Achieving Stable Interactions
The following discussion outlines several techniques capable ofachieving stable interactions between BGP and the IGP within anAutonomous System.
A. 2.1 Propagation of BGP Information via the IGP
While BGP can provide its own mechanism for carrying BGP informationwithin an AS, one can also use an IGP to transport this information,as long as the IGP supports complete flooding of routing information(providing the mechanism to distribute the BGP information) and onepass convergence (making the mechanism effectively atomic). If an IGPis used to carry BGP information, then the period ofdesynchronization described earlier does not occur at all, since BGPinformation propagates within the AS synchronously with the IGP, andthe IGP converges more or less simultaneously with the arrival of thenew routing information. Note that the IGP only carries BGPinformation and should not interpret or process this information.
A.2.2 Tagged Interior Gateway Protocol
Certain IGPs can tag routes exterior to an AS with the identity oftheir exit points while propagating them within the AS. Each bordergateway should use identical tags for announcing exterior routinginformation (received via BGP) both into the IGP and into InternalBGP when propagating this information to other border gateways withinthe same AS. Tags generated by a border gateway must uniquelyidentify that particular border gateway--different border gatewaysmust use different tags.
All Border Gateways within a single AS must observe the following tworules:
Relchter & Gross [Page 15]
RFC 1655 BGP-4 Application July 1994
1. Information received vía Internal BGP by a bordar gateway Adeclaring a network to be unreachable must immediately bepropagated to all of the External BGP neighbors of A.
2. Information received via Internal BGP by a border gateway Aabout a reachable network X cannot be propagated to any of theExternal BGP neighbors of A unless/until A has an IGP route toX and both the IGP and the BGP routing Information haveidentical tags.
These rules guarantee that no routing Information is announcedexternally unless the IGP is capable of correctly supporting it. Italso avoids some causes of "black holes".
One possible method for tagging BGP and IGP routes within an AS is touse the IP address of the exit border gateway announcing the exteriorroute into the AS. In this case the "gateway" field in the BGP UPDATEmessage is used as the tag.
An altérnate method for tagging BGP and IGP routes is to have BGP andthe IGP agree on a router ID. In this case, the router ID isavailable to all BGP (versión 3 or higher) speakers. Since this IDis already unique it can be used directly as the tag in the IGP.
A.2.3 Encapsulation
Encapsulation provides the simplest (in terms of the interactionbetween the IGP and BGP) mechanism for carrying transit trafficacross the AS. In this approach, transit traffic is encapsulatedwithin an IP datagram addressed to the exit gateway. The onlyrequirement imposed on the IGP by this approach is that it should becapable of supporting routing between border gateways within the sameAS.
The address of the exit gateway A for some exterior network X isspecified in the BGP identifier field of the BGP OPEN messagereceived from gateway A via Internal BGP by all other border gatewayswithin the same AS, In order to route traffic to network X, eachborder gateway within the AS encapsulates it in datagrams addressedto gateway A. Gateway A then performs decapsulation and forwards theoriginal packet to the proper gateway in another AS.
Since encapsulation does not rely on the IGP to carry exteriorrouting information, no synchronization between BGP and the IGP isrequired.
Rekhter & Gross [Page 16]
RFC 1655 BGP-4 Application July 1994
Some means of identifying datagrams containing encapsulated IP, suchas an IP protocol type code, must be defined if this method is to beused.
Note that, if a packet to be encapsulated has length that is verycióse to the MTU, that packet would be fragmentad at the gateway thatperforms encapsulation.
A.2.4 Pervasive BGP
If all routers in an AS are BGP speakers, then there is no need tohave any interaction between BGP and an IGP. In such cases, allrouters in the AS already have full Information of all BGP routes.The IGP is then only used for routing within the AS, and no BGProutes are imported into the IGP.
For routers to opérate in this fashion, they must be able to performa recursive lookup in their routing table. The first lookup will usea BGP route to establish the exit router, while the second lookupwill determine the IGP path to the exit router.
Since the IGP carries no external Information in this scenario, allrouters in the AS will have converged as soon as all BGP speakershave new information about this route. Since there is no need todelay for the IGP to converge, an implementation may advertise theseroutes without further delay due to the IGP.
A.2.5 Other Cases
There may be AS's with IGPs which can neither carry BGP Informationñor tag exterior routes (e.g., RIP). In addition, encapsulation maybe either infeasible or undesirable. In such sitúations, thefollowing two rules must be observed:
1. Information received vía Internal BGP by a border gateway Adeclaring a network to be unreachable must immediately bepropagated to all of the External BGP neighbors of A.
2. Information received vía Internal BGP by a border gateway Aabout a reachable network X cannot be propagated to any of theExternal BGP neighbors of A unless A has an IGP route to X andsufficient time has passed for the IGP routes to haveconverged.
The above rules present necessary (but not sufficient) conditions forpropagating BGP routing information to other AS's. In contrast totagged IGPs, these rules cannot ensure that interior routes to theproper exit gateways are in place before propagating the routes to
Rekhter & Gross [Page 17]
RFC 1655 BGP-4 Application July 1994
other AS's.
If the convergence time of an IGP is less than some small valué X,then the time window during which the IGP and BGP are unsynchronizedis less than X as well, and the whole issue can be ignored at thecost of transient periods (of less than length X) of routinginstability. A reasonable valué for X is a matter for further study,but X should probably be less than one second.
If the convergence time of an IGP cannot be ignored, a differentapproach is needed. Mechanisms and techniques which might beappropriate in this situation are subjects for further study.
References
[1J Rekhter, Y., and T. Li, "A Border Gateway Protocol 4 (BGP-4), RFC1654, cisco Systems, T.J. Watson Research Center, IBM Corp., July1994 .
[2] Braun, H-W., "Models of Policy Based Routing", RFC 1104,Merit/NSFNET, July 1989.
[3] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Supernetting: anAddress Assignment and Aggregation Strategy", RFC 1519, BARRNet,cisco, MERIT, OARnet, September 1993.
Rekhter & Gross [Page 18]
RFC 1655 BGP-4 Application July 1994
Security Considerations
Security issues are not discussed in this memo
Authors' Addresses
Yakov RekhterT.J. Watson Research Center IBM CorporationP.O. Box 218Yorktown Heights, NY 10598
Phone: (914) 945-3896EMail: [email protected]
Phill GrossDirector of Broadband EngineeringMCI Data Services División2100 Resten Parkway, Room 6001Resten, VA 22091
Phone: +1 703 715 7432Fax: +1 703 715 7436EMail: [email protected]
IETF BGP WG mailing list: [email protected] be added: [email protected]
Rekhter & Gross [Page 19]
Ejemplo del Formulario para empresas Privadas:
Forma Descripción
0. (N)ew (M)odify (D)elete.
1. Autonomous System Ñame.
Organization Using ASN
2a. Organization Ñame.2b. Street address2c. City :2d. State :2e. Postal Code2f. Country :
Technical Contact
3a. ARIN-handle (if known).3b. Ñame (Last, First) :3c. Street address :3d. City :3e. State :3f. Postal Code :3g. Country :3h. Phone Number :3¡. E-Mailbox :
Other Information:
N
TELCONET
TelcoNETPedro Gosseal 148QuitoPichincha5932Ecuador
Hugo ProañoBernal 225QuitoPichincha5932Ecuador2483978Proañ[email protected]. net
ANEXO A3
FORMULARIO PARA EMPRESA DELGOBIERNO O MILITAR
Ejemplo del Formulario para empresas del Gobierno o Militares:
Forma DescripciónAUTONOMOUS SYSTEMINFORMATION
+ 1A. (N)ew (M)odify (D)elete:
+ 1B. Autonomous System Ñame:
1C. Network Connecting to:N = NIPRNET
S = SIPRNET
O = OTHER
1D. Existíng AS Number:Line 1D. is for Modifying or Deleting
Only
1E. Service or Agency :
ORGANIZATION INFORMATION
2A. Organization Ñame2B. Address Line 1 :2C. Address Line 2 :2D. Address Line 3 :2E. CityorAPOorFPO2F. State or APO/FPO Code.2G. ZipCode :2H. AUTODINPLA
TECHNICALCONTACT
3A. NICHandle
ÑAME INFORMATION
3B. LastName3C. First Ñame3D. Middle Initial3E. Title/Rank
N
CONAM
S
CONAM10 de Agosto y
QuitoPichincha5932
Sprinet
Proa ñoHugoHPGerente Técnico
ADDRESS INFORMATION
3F. Organization Ñame3G. Address Line 1 :3H. Address Line 2 :31. Address Line 3 :3J. CityorAPOorFPO3K. State or APO/FPO Code.3L ZipCode :
PHONE INFORMATION
3M. Commercial Phone.3N. DSN Phone3O. Fax Phone
E-MAIL INFORMATION3P. E-mail Address
ADMINISTRATIVE CONTACT(Military Personnel or GovernmentEmployee Only)
4A. NICHandle :
ÑAME INFORMATION
4B. Last Ñame :4C. First Ñame :4D. Middle Initial :4E. Title/Rank :
ADDRESS INFORMATION
4F. Organization Ñame4G. Address Line 1 :4H. Address Line 2 :41. Address Line 3 :4J. CityorAPOorFPO4K. State or APO/FPO Code.4L ZipCode :
PHONE INFORMATION
4M. Commercial Phone.4N. DSN Phone
CONAM10 de Agosto y Patria
QuitoPichincha5932
5932599215
5932435856
Hugo Proaño
Sprinter
ProañoHugoHPGerente Técnico
CONAM10 de Agosto y Patria
QuitoPichincha5932
5932599215
4O. Fax Phone
E-MAIL INFORMATION
4P. E-mail Address
AUTONOMOUS SYSTEMCOMPOSITION (Free Form Section)
Protocol Information
5A. IGP used in AS:5B. EGP used in AS:
Network Information
5C. IP Address of site Premise
Router:
5D. IP Address of Hub Router
connecting to:
5E. Number of Routers in AS:5F IP Addresses of Routers in AS:5G. Number of Networks in AS:5H. IP Addresses of Networks in AS:
AUTONOMOUS SYSTEMJUSTIFICARON
6A. Additional supportingjustifi catión:
5932435856
IGPEGP
207.100.28.1
207.100.28.2
4251000
Conexión con el Backbone de Interneten forma segura.
[asn.txt] 2001-10-22
This file contains a list of autonomous system numbers and ñames of allregistered ASNs. The colaran on the right below contains the ARINdatábase "handle" of the coordinator for the ASN. White-pagesInformation may be obtained about any of the ASN coodinators in thislist querying the ARIN WHOIS server. For questions or updates on thisInformation please contact the ARIN Registration Services Hostmaster staff,[email protected].
ASN Number
123456789101112131415161718192021222324252627282930313233343536373839404142434445
Ñame
GNTY-1DCN-ASMIT-GATEWAYSISI-ASSYMBOLICSBULL-HNUK-MODRICE-ASCMU-ROUTERCSNET-EXT-ASHARVARDNYU-DOMAINBRL-ASCOLUMBIA-GWNET-DYNAMICS-EXPLBLPURDUEUTEXASCSS-DOMAINURRANDNOSCRIACS-ASAMES-NAS-GWUCBCORNELLUMDNETDFVLR-SYSYALE-ASSRI-AICNETCITSTANFORDDEC-WRL-ASUDELNETMICATÓNEGP-TESTORNSWCUIUCNRL-ITDMIT-TESTAMESWOODYNET-1BNL-ASSl-DOMAINLLL-TIS-AS
Handle
[CS15-ARIN][DW19-ARIN][RH164-ARIN][JKR1-ARIN][SG52-ARIN][JLM23-ARIN][RNM1-ARIN][RUH-ORG-ARIN][HC-ORG-ARIN][CS15-ARIN][WJO3-ARIN][ZN68-ARIN][RR33-ARIN][ZC26-ARIN][ZSü-ARIN][CAL3-ARIN][JRS8-ARIN][DLN12-ARIN][CR11-ARIN][LB16-ARIN][ZT72-ARIN][RLB3-ARIN][DG28-ARIN][MT2149-ARIN][DLW31-ARIN][PP252-ARIN][UM-ORG-ARIN][GB7-ARIN][HML1-ARIN][WMT-ARIN][HS140-ARIN][JK231-ARIN][SS486-ARIN][DJG2-ARIN][WDL-ARIN][PEM4-ARIN][DAF9-ARIN][CK185-ARIN][AP-ARIN][ZM80-ARIN][NN02-ARIN][BW1324-ARIN][FL105-ARIN][RAK12-ARIN][D091-ARIN]
464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102
RUTGERSUSC-OBERONNRL-ASICST-ASORNL-MSRNETUSAREUR-EM-ASUCLANORTHROP-ASCOA-FIN-NET-ASUPENN-CISOPTIMIS-PUMN-REI-UCDREA-ASWISC-MADISON-ASDARPA-BFLYDEC-MARLBORO-ASTEKVAXCLL-MIMITRE-B-ASLOGNET-ASETL-AISDC-PRC-ASLANL-INET-ASWHARTON-ASNLM-GWHP-INTERNET-ASSCHLUMBERGER-ASWASHINGTON-ASXDRENET-ASANL-ASSDC-CAM-ASJHUAPL-ASSYNTEGRADSPO-HC-ASGE-CRDCONCERTTWG-DEMO-ASPICANET-ASDTNSRDC-AS1AERO-NETSURANET-ASINDIANA-ASPRINCETON-ASNUSC-CSTLNET-ASSUN-ASRPI-ASCLARKSON-ASVRIO-93BELVOIR-NETNUSCLSB1JTELS-BEN1-ASVERIO-ECROCKEFELLER-ASINTEL-IWARPFMC-CTCWASH-NSF-ASNSF-HQ-AS
[RU-ORG-ARIN][UNA2-ARIN][MD51-ARIN][CWH3-ARIN][SH1294-ARIN][FWD-ARIN][UNO4-ARIN][DEC3-ARIN][WRR2-ARIN][GM229-ARIN][GPL1-ARIN][TPB3-ARIN][KDR-ARIN][N013-ORG-ARIN][RPD2-ARIN][JM60-ARIN][TE16-ARIN][ZM44-ARIN][BSW-ARIN][JRA18-ARIN][MMM3-ARIN][JS1325-ARIN][PCW-ARIN][HK2-ARIN][JA1-ARIN][MM53-ARIN][CG64-ARIN][UW-NOC-ARIN][JS161-ARIN][ANA3-ORG-ARIN][JS1325-ARIN][ZJ20-ARIN][RET9-ARIN][BT5-ARIN][JEB50-ARIN][NH34-ORG-ARIN][JS171-ARIN][RFD1-ARIN][RWT2-ARIN][LCN-ARIN][SURA-NOC-ARIN][BS69-ARIN][LCV-ARIN][MP20-ARIN][FL59-ARIN][PDA4-ARIN][RP503-ARIN][VIA4-ORG-ARIN][MDS30-ARIN][RPP-ARIN][WRR2-ARIN][VIA4-ORG-ARIN][MK38-ARIN][RLS115-ARIN][WW82-ARIN][UW-NOC-ARIN][FW17-ARIN]
103104105106107108109110111113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160
NWU-ASCOLORADO-ASMOT-MCD-ASGTEGSC-WLOECSNET-ASXEROX-ASCISCOSYSTEMSXAIT-ASBOSTONU-ASSCCNET-ASVRIO-114PBAS-BEN2-GW-ASTELCORDIAALBM-NET-ASNSWSES-NAVY-ASAMS-ASMITRE-OMAHAIH-POE-ASU-PGH-NET-ASLOGAIRCOMNET-ASENCORE-GW-ASHI-NET-ASMINSY-POE-ASJPL-ASADS-ASCDA-ASCSOCNET-ASUCSB-NET-ASWPAFB-CSD-NET-ASAFIT-ASCORONA-GW-ASBRL-CDCNET-GW-ASECONET-ASITALY-ASBRL-CMCGW-ASNUWESNET-ASDAITC-NET-ASNWCNET-ASWESTPOINTOOGl-ASATT-INTERNETVBNSHQEIS-ASNAVCAMS-LAN-ASNWSC-GW-ASADEL-ASSEANET-ASIND-NTC-ASSRI-ACCATT-ASSAAD-ARPA-ASUSACEC-NET-ASCACNET-ASNORTHEASTERN-GW-ASINTELLIAUTONACC-ASSONNET-ASU-CHICAGO-AS
[TW1261-ARIN][DCMW-ARIN][DP7-ARIN][SMS1-ARIN][CAL7-ARIN][DCS-ARIN][MRK4-ARIN][AL6-ARIN][VLC-ORG-ARIN][MJ04-ARIN][VIA4-ORG-ARIN][WRR2-ARIN][DW648-ARIN][DV42-ARIN][DD41-ARIN][NK19-ARIN][SM62-ARIN][LK27-ARIN][MS222-ARIN][MS311-ARIN][PYC-ARIN][CV136-ARIN][CV14-ARIN][JAW16-ARIN][PD5-ARIN][FJS3-ARIN][JJD12-ARIN][KS1217-ARIN][JLS6-ARIN][DWD20-ARIN][LM35-ARIN][RR33-ARIN][TD40-ARIN][ABB2-ARIN][RR33-ARIN][RM125-ARIN][JFH5-ARIN][EG17-ARIN][GH178-ARIN][JD86-ARIN][DP1272-ARIN][RB1412-ARIN][SMK2-ARIN][JM246-ARIN][GS24-ARIN][CM115-ARIN][JH10-ARIN][AI2-ORG-ARIN][RDQ-ARIN][DRM24-ARIN][DEA-ARIN][BG25-ARIN][BW364-ARIN][EL30-ARIN][AB20-ARIN][GS1050-ARIN][RJR21-ARIN]
161162163164165166167168169170172173174175176177178179180181182183184185186188189190191192193194195196197198199-203204205206207208209210211212213214215216217218219220221222223
TI-ASNOSL-POE-ASIBM-RESEARCH-ASDDN-MB-ASNESEA-DDN-GW-ASIDA-ASWESLEYAN-ASUMASS-AMHERSTHANSCOM-NET-ASYKTNPOE-GW-ASCSDA-ASECLNETPSINETAFWL-ASBCN-ASMERIT-ASIBMYORKTOWN-ASIBMMILFORD-ASMCIRESTON-ASNSFNETTEST1-ASNSFNETTEST2-ASNSFNETTEST3-ASNSFNETTEST4-ASNSFNETTEST5-ASCUA-ASSAIC-ASBARRNET-189NSYPTSMH-POE-ASNORDA-ASROCHINSTTECHFORD-ASNUSAN-ASSDSC-ASRISC-SYSTEMRAYTHEON-AS-2ARL-SNI-ASBARRNET-BLKPSCNET-ASMONTCLAIR-ASCSC-LONS-GW-ASCLI-GW-ASLBNS-POE-ASASN-QWESTWEST-NET-WESTRADC-LONS-GW-ASHQAFSC-LONS-GW-ASAPGEA-NET1-ASUSNA-ASRIA-2-AUTO-ASLMSC-HOSTNET-ASUMN-AGS-NET-ASAFOTECPCNET-ASPUGET-POE-ASOOALC-HOSTNET-ASWRALC-HOSTNET-ASSMALC-HOSTNET-ASTISW-AS
[DF71-ARIN][DB211-ARIN][TR783-ARIN][RH6-ARIN][DN48-ARIN][MM227-ARIN][DW485-ARIN][ASG-ARIN][DD63-ARIN][WRR5-ARIN][LJC2-ARIN][KM82-ARIN][MF19-ARIN][BSR-ARIN][RF50-ARIN][AA179-ARIN][ZM8-ARIN][AA179-ARIN][AA179-ARIN][CL289-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][ECM6-ARIN][SDF5-ARIN][BNOC-ARIN][TSD3-ARIN][MG120-ARIN][CF35-ARIN][WRL6-ARIN][PS24-ARIN][TH60-ARIN][CH974-ARIN][SR46-ARIN][JTA2-ARIN][BNOC-ARIN][EFH4-ARIN][MG564-ARIN][SWR3-ARIN][WAH11-ARIN][GC104-ARIN][QN-ARIN][MC2185-ARIN][SWR3-ARIN][SWR3-ARIN][REA3-ARIN][RAD15-ARIN][TC72-ARIN][ST55-ARIN][TP63-ARIN][KDA5-ARIN][GC104-ARIN][ST55-ARIN][MS544-ARIN][ST55-ARIN][PW18-ARIN]
224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262-263264265267268269270271272273274275276277278279280281282
UNINETT-ASVIRGINIA-ASLOS-NETTOS-ASSHAFTER-ASDC-SUN-NET-ASNSFNETTEST6-ASNSFNETTEST7-ASNSFNETTEST8-ASNSFNETTEST9-ASNSFNETTEST10-ASBLACKROSE-1NSFNETTEST12-ASNSFNETTEST13-ASNSFNETTEST14-ASNSFNETTEST15-ASUTORONTO-ASSAALC-HOSTNET-ASOCALC-HOSTNET-ASSSSD-ASHARRIS-ATD-ASITT-FEC-ASPRC-ASASIFICS-GW-ASROMENET-ASOBL-LINK-ASRDM-LINK-ASLON-LINK-ASCPO-LINK-ASCECOM-A-TACTVRIO253TWG-NET-ASPAFB-GWNCSC-NET-ASNPS-GATOR-ASBRAGGSRI-EGP-ASSCÜBED-ASDSI-WR-15EASINET-ASVRIO-262-3SRINET-ASDSI-WR-16NETHER-NETUSUHSNET-ASINCSYS-ASPSCNI-ASBCNET-ASFTLEENET-ASDARPA-CISCO-ASSOFT-CON-NTS-ASVRIO-275UTX-AUSBBNSTC-KNOX-ASRAM-ASSURANET-AS-2VRIO-280NEARNET-ASMERIT-AUX-AS
[JT122-ARIN][JAJ17-ARIN][WP8-ARIN][CR131-ARIN][MC202-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][DK109-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][LO24-ARIN][ST55-ARIN][ST55-ARIN][RGH21-ARIN][TS14-ARIN][RW45-ARIN][SS172-ARIN][SC139-ARIN][PV23-ARIN][MCB5-ARIN][MCB5-ARIN][MCB5-ARIN][MCB5-ARIN][MB31-ARIN][VIA4-ORG-ARIN][DP221-ARIN][NW29-ARIN][JD130-ARIN][][TN5-ARIN][SS135-ARIN][RPD2-ARIN][JLD31-ARIN][VIA4-ORG-ARIN][DP2-ARIN][RPD2-ARIN][JM568-ARIN][MK124-ARIN][JS281-ARIN][BH162-ARIN][JCD8-ARIN][TWH19-ARIN][SC3-ARIN][RPD2-ARIN][VIA4-ORG-ARIN][WCB3-ARIN][JC347-ARIN][NU4-ARIN][SURA-NOC-ARIN][VIA4-ORG-ARIN][BNOC-ARIN][JRJ18-ARIN]
284285286287288289290291292293294295296297298299300301302303304305306-371372373374375376377378379-508509510511512514515516517518519520521522523524525526527528529530531532533534535
UUNET-ASAVTRQS-ASEUNET-ASCNSYD-POE-ASESA-ASAPGNET-ASSHOWNET-ASESNET-EAST291ESNET-CENTRAL292ESNET-WEST293FRANCE-IP-NET-ASOSI-GW-ASACFP-NET-TST-ASNSN-UMD-ASRADC-LONEX-ASUCINET-ASGUNTER-LAN-ASC3PO-ASBCM-INFO-NET-ASNPRDC-ASSRIEXPRIGNET-ASWALTER-REED-ASNGNET-ASNSN-AMES-ASIE-TESTBED-ASBROOKS-ASTIETOTIE-ASRISQ-ASSNLA-NET-ASILAN-ASAFCONC-BLOCK1-ASWORMS-GW1-ASCSNET-INT-ASCSNET-MIS-ASNAVDEC-NET1EDMICS-POEPMS312GATE-ASNKODAK-BTCXLINK-UKACONCORD-POE-ASISCNETCOINSDISNET3FORD-SRL-ASAFSC-SSD-ASREDSTONE-ASBBN-PCNETSIM-ASWUERZBURG-GW1-ASASCHAFFENBURG-GW1-ASANSBACH-GWl-ASAUGSBURG-GW1-ASBURTONWOOD-GW1-ASGEOPPINGEN-GW1-ASGRAFENWOEHR-GW1-ASHEIDELBERG-GW1-ASHEILBRONN-GW1-ASKARLSRUHE-GW1-ASMUNICH-GW1-AS
[JM3614-ARIN][CAD10-ARIN][EU-NIC-ARIN][MI1-ARIN][ZE36-ARIN][VC5-ARIN][ED18-ARIN][MC434-ARIN][MC434-ARIN][MC434-ARIN][AR41-ARIN][WLW-ARIN][HR43-ARIN][MT2149-ARIN][JAM38-ARIN][DM331-ARIN][TMD6-ARIN][RR184-ARIN][JCY-ARIN][RFS2-ARIN][PEM4-ARIN][BSA2-ARIN][CAP5-ARIN][MSM1-ARIN][GH122-ARIN][RDB35-ARIN][TA100-ARIN][SC166-ORG-ARIN][TCH2-ARIN][HN7-ARIN][MWJ6-ARIN][SAS49-ARIN][JC347-ARIN][WHN2-ARIN][DG163-ARIN][PWP2-ARIN][DL164-ARIN][RM295-ARIN][AN45-ARIN][SJG2-ARIN][MB487-ARIN][RLS6-ARIN][FJB3-ARIN][DD38-ARIN][RT64-ARIN][BNOC-ARIN][LT70-ARIN][GP129-ARIN][JLP35-ARIN][LW137-ARIN][LW138-ARIN][PO2-ARIN][SD131-ARIN][AH130-ARIN][MG205-ARIN][OT5-ARIN][RJ127-ARIN]
536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571573574575576577580581582583584585586587588589590591592593594-598599
NUERNBERG-GW1-ASULM-GW1-ASSCHWEINFURT-GW1-ASSTUTTGART-GW1-ASBAMBERG-GW1-ASIGAUTONARNETCONVEXPTN-FINLANDNRISPARTA-ASTST-RGN-47-ASHQUSAF-ASONET-ASCORNETT-ASTIS-ASPATCH-ASBELWUE-ASCALINET-ASNETWORKCSCALREN-ASUMAINE-SYS-ASOLIVETTI-AS1SWITCH-ASNEARNET-EXT-AS3COM-A3COM-B3COM-COPSNETVTTNET-ASCSSP-ASNASN-DART-ASSUMNET-ASDIMNET-ASSSD-NET-ASCENTCOM-ASNAVDEC-NET3-ASPSC-TEST-ASWIESBADDN-GW1NAVDAC-NET3-ASBACOMMAINZ-GWl-ASGDSS-XRSNET-ASGDSS-21AF-ASGDSS-22AF-ASGDSS-23AF-ASGDSS-322ALD-ASGDSS-834ALD-ASGDS5-ANG-ASFRANKFRT-GW1-ASUNT-CAMPUS-ASEASINET-AS1NSTN-ASUSNA-NADN-ASEASINET-AS1BARRNET-BNOCNISC-AS
[SJ65-ARIN][CR167-ARIN][WN4-ARIN][CJC31-ARIN][DS335-ARIN][EL30-ARIN][ZA28-ARIN][JE126-ARIN][ET49-ARIN][DKE2-ARIN][MS1073-ARIN][DM353-ARIN][PBV-ARIN][ONET-NOC-ARIN][PCW-ARIN][DID1-ARIN][TTS8-ARIN][PM178-ARIN][WP8-ARIN][NAS-ARIN][WP8-ARIN][IKA-ARIN][JA13-ARIN][TL99-ARIN][BNOC-ARIN][ZG18-ARIN][ZG18-ARIN][ZG18-ARIN][LC151-ARIN][JK187-ARIN][AJ29-ARIN][WP8-ARIN][JC536-ARIN][FZ-ARIN][DD38-ARIN][KMC3-ARIN][DG163-ARIN][SBG4-ARIN][][JC275-ARIN][EQ-ARIN][MM413-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][BB276-ARIN][SDM8-ARIN][PB226-ARIN][WP90-ARIN][MM583-ARIN][AF60-ARIN][][BNOC-ARIN][VN-ARIN]
600601602603610611612613614615616-665666667668669670671672673674675676677678679680681682683684685686687
689690691692693694695696697698700701-705706707708709710711712713714715716
CARNET-ASBACOM4-ASBACOM3-ASBACOM2-ASCANET10-ASCANET11-ASCANET12-ASARCO-ASCSUNET-ASAS-RITCHIE-GW1PENS-NET-ASCSTA-CISCO-ñSFSTC-MIL-ASASN-ASNET-NET-ASOFRIR-IP-INTERNET-ASDARMSTADT-GW1-ASBAUMHOLDER-GW1-ASFULDA-GW1-ASHANAU-GW1-ASBBN-DSIMSUS-ASARNET-ASASU-ASNTSC-IELN-ASTUNET-ASDFN-WIN-ASKAWAIHIKO-1AS-ORNL-IGRP1-ASARGONNE-ASMBNET-ASVRIO-685OSD-GW-ASNATC-CSDRD-ASRECNET-ASAS-NSFNET-T3-BB-ASNSFNET-T3-RT-ASPEINET-ASSEMATECH-ASNOTRE-DAME-ASUTACCS-ASNSWITCH-R1-ASSWITCH-R2-ASEASINET-AS2ASN-UIUC-REGION-ASROKNET-ASALTERNET-ASTEST-AUSTIN-IBM-ASELAN-ASSB-COMM-ASUHEY-NET-ASBENT-NET-ASSB-COMM-ASALCON-NET-ASAFMPCGW-ASAPPLE-ENGINEERINGZOCALO-ASZAMA-AS
[GS1050-ARIN][EQ-ARIN][EQ-ARIN][EQ-ARIN][CA-NOC-ARIN][CA-NOC-ARIN][CA-NOC-ARIN][SC199-ARIN][DR161-ARIN][JH257-ARIN][DAG32-ARIN][MH74-ARIN][BB64-ARIN][RJR3-ARIN][YD-ARIN][KL84-ARIN][LN10-ARIN][SM48-ARIN][RS521-ARIN][JSW27-ARIN][DK142-ARIN][OS27-ARIN][SMB33-ARIN][DW198-ARIN][JD238-ARIN][MW238-ARIN][DS555-ARIN][THD-ARIN][ANA3-ORG-ARIN][GM219-ARIN][VIA4-ORG-ARIN][WSW11-ARIN][DS95-ARIN][JIMWW-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][DC307-ARIN][MP5121-ARIN][SPS5-ARIN][SW123-ARIN][TL99-ARIN][TL99-ARIN][WP90-ARIN][RV80-ARIN][RR280-ARIN][IE8-ARIN][MH486-ARIN][DDK1-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][PSK-ARIN][RAN13-ARIN][ZA42-ARIN][BW1324-ARIN][SLV4-ARIN]
717718719720721-726727-746747748749750751752753754755756757758759760761762763764765766767768769770771772773774-783780784785786787788789790791792-794795-797798799800801802803804805-836806810811812
PEOCU-NET-ASSEABAT-ASLANLINK-ASWR-LOGDIS-ASDLA-ASNBLOCK-ASAFCONC-BLOCK2-ASTAEGU-ASUSCAPAC-ASANAD-ASNSFNETTEST16-ASNSFNETTEST17-ASNSFNETTEST18-ASNSFNETTEST19-ASNSFNETTEST20-ASNSFNETTEST21-ASNSFNETTEST22-ASNSFNETTEST23-ASNSFNETTEST24-ASNSFNETTEST25-ASUNIVIE-ASTIETORAITTI-ASWELLFLEET-ASSQNT-TEAMNET-ASVN-VERKKO-ASDCA-JDSSCIRIS-ASNTSC-PEN-ASNCCS-A-ASNTSC-LANT-ASNTSC-PAC-ASNSN-RICE-ASWALTER-REED1-ASSPARTA-MD-ASOFRIR-IP-ASNBLOCK-ASARAMISHJFNET-ASASN-ETLASN-ASJANETCRCASN-ASSUBMEPP-ASNIN2P3-LYON-ASFUUG-NET-AS-ASDWS-ASNORACLE-ASNBLOCK-ASNAMERITECH-ASBERLIN-ASN-ASHDLBRG-ASN-ASCABLEATLANTICMFRC1-ASYORKU-ASSASK-NET-ASISTS-AS-ASCANET1-ASNALCIDE-ASSSCWESTSSCEASTROGERS-AS
[CF54-ARIN][MM379-ARIN][RA145-ARIN][JM773-ARIN][JC536-ARIN][MWJ6-ARIN][RJH71-ARIN][MF181-ARIN][ES20-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][MIE-ORG-ARIN][HS118-ARIN][KV20-ARIN][SW159-ARIN][MJE18-ARIN][VH41-ARIN][ADP2-ARIN][CT66-ARIN][WRJ9-ARIN][DWJ5-ARIN][RWF29-ARIN][GRM-ARIN][JB525-ARIN][BSA2-ARIN][MS1073-ARIN][YD-ARIN][PL37-ARIN][JD734-ARIN][LV524-ARIN][DR222-ARIN][BS222-ARIN][ACD4-ARIN][GF94-ARIN][PO41-ARIN][RPD2-ARIN][JKD7-ARIN][JN409-ARIN][JSD19-ARIN][AH130-ARIN][DA3001-ORG-ARIN][RAF2-ARIN][NOH1-ARIN][DA156-ARIN][MR244-ARIN][CA-NOC-ARIN][JG266-ARIN][SC95-ARIN][SC95-ARIN][OR36-ARIN]
813814815816817818819820821822823824825826827828829830831832834837838-842843844-851851852853-11008561101-12001201120212031204120512061207120812091210121112121215121612171218121912201222122312241225122612271228-123212331234
UUNETCA-AS1ÜUNETCA-AS2UUNETCA-AS3UUNETCA-AS4ALTERNET-CADOC-ASLARG-NETISTC-ASDISCSTJOSEPHS-ASUWO-ASGLAXOCA-ASCFWS-NETCRTC-GC-ASALCAN-ASNLC-BNC-GC-ASSYGMA-INT-ORSYGMA-INT-QRSYGMA-EXT-ORSYGMA-EXT-QRATTCLDS-MISRCMPCANET2-ASNREPTILIAN-ASNCANET3-ASNRISQ-QIXA3N852CANET-ASNNBIX4SURFNET-ASASN-ODU-AS-ASJSC-JIN-ASITALTEL-ASSUNYNET-ASN-ASJKU-LAN-ASN-ASPSCNET-HS-ASPSCNET-HS-TEST-ASONREUR-ASNSOSGNET-ASNASN-NET-ASTOBY-GW1-ASWILDFLCKN-GW1-ASORACLE-NA-ASORACLE-EUROPE-ASORACLE-PACRIM-ASNCUBE-BELMONT-ASMCUBE-OREGON-ASINFOASN-ASEPCC-ASDSI-WR-17NCSA-ASVRIO1225TEALE-ASSDSC-TEST1-ASUNINET-ASNBLOCKNASDA-ASNIVOWAN-AS
[UC24-ORG-ARIN][UC24-ORG-ARIN][UC24-ORG-ARIN][UC24-ORG-ARIN][GM179-ARIN][WFM-ARIN][JL109-ARIN][LB40-ARIN][AH52-ARIN][DW87-ARIN][BE26-ARIN][DH79-ARIN][VD5-ARIN][FR15-ARIN][SDA3-ARIN][YL17-ARIN][CC52-ARIN][CC52-ARIN][CC52-ARIN][CC52-ARIN][RA262-ARIN][RA475-ARIN][CA-NOC-ARIN][JM7718-ARIN][CA-NOC-ARIN][SC166-ORG-ARIN][FTS1-ARIN][CA-NOC-ARIN][PJ90-ARIN][EJB-ARIN][SF16-ARIN][JC108-ARIN][AF88-ARIN][TP91-ARIN][GS268-ARIN][EFH4-ARIN][EFH4-ARIN][BJR14-ARIN][RA178-ARIN][RP210-ARIN][RS260-ARIN][CS293-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][JKD7-ARIN][AR2-ORG-ARIN][DH421-ARIN][RPD2-ARIN][ND63-ORG-ARIN][VIA4-ORG-ARIN][MC601-ARIN][TH60-ARIN][ML70-ARIN][JO129-ARIN][TT69-ARIN]
123512361237123812391240124112421243124412451246124712481249125012511252125312541255125612571258125912601261126212631264126512661267126812691270-12751276127812791280128112821283128412851290129112921293
CICB-AS-ASGTEGSCKREONETICM-MALAYSIASprintLinkICM-PacificGR-AUTO-ASPLH-ASAPG-GW1-ASAMOCO-ASDET4LAN-ASBBN-WACOM-ASAFTERLIFE-GW-ñSNOKIA-ASFIVE-COLLEGES-ASSINGAPORE-ASANBR-ASUNMC-ASVEROAUTOSYS-ASNASA-LARC-ASSMITHCOLLEGE-ASMASSNET-ASSWIPNET-ASXKL-NET-ASCAC-GW2-ASPLENATINST-AS-ASNSN-NCAR-AS-ASNSN-NCAR-AS-ASUSACESPK-ASSAINT-MARYS-ASNAVPGSCOL-ASIUNET-ASIUNET1-ASIUNET2-ASCW-ECRCDSI-WR-18UNIONCARBIDE-ASMCDOUGLAS-ASCIX-AS1CIX-AS2CIX-AS3CIX-AS4CIX-AS5CMC-ASUKNET-AS1290NAVSWC-WOASN-ASITESM-ASGM-EDS-AS
129512961297129812991300-13091310
GE-AEROSPACE-ASCHILI-AS-ASCERN1-ASSEA06-NET-ASTCN-ASFRANCE-ASNBLOCK-ASCACI-FED
[CC337-ARIN][NM47-ARIN][PH211-ARIN][CH86-ARIN][SPRINT-NOOARIN][RC471-ARIN][SS241-ARIN][DD63-ARIN](LC130-ARIN][JM1486-ARIN][DSG4-ARIN][WAU-ARIN][CAW21-ARIN][KM165-ARIN][PG138-ARIN][CL134-ARIN][ACG8-ARIN][MRN6-ARIN][TH202-ARIN][NC3-ORG-ARIN][DL395-AR1N][KCD-ARIN][LMJ4-ARIN][LB3-ARIN][AS97-ARIN][HCV1-ARIN][CO105-ARIN][JB525-ARIN][JB525-ARIN][JP220-ARIN][JLC32-ARIN][DN2-ARIN][IT2-ORG-ARIN][IT2-ORG-ARIN][IT2-ORG-ARIN][EN125-ARIN][RPD2-ARIN][HJT-ARIN][DW386-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][MF19-ARIN][LP8-ARIN][JS9839-ARIN][RK93-ARIN][AS3919-ARIN][EH2-ORG-ARIN][GL8-ARIN][JEB50-ARIN][VU-ARIN][TB-ARIN][MH-ARIN][AH96-ARIN][YD-ARIN][EM29-ARIN]
13111312131313141315131613171318131913201321-1340134113421343134413451346134713481349135013511352135313541355135613571358136113621363136413651366136713681369137013711372137313741375137613771381-13951450148515281653165416551656165716581659
BARRA-NET-ASVA-TECH-ASADOBE1-AS-ASNWSCHS-ASSURANET-AS-3-ASLERC-AS-ASBUMED-SDIEGO-ASICRFNET-ASBÜMED-CPEND-ASBUMED-LBEACH-ASANSBB-ASNNET-1AB-ASNOKIA-DATA-ASCISCO-SHONET-AS-ASBÜMED-ORLANDO-ASBUMED-JAX-ASBUMED-PENSA-ASMRNET-ASCA-DOTNET-ASQUOTRON-AS-ASSEARSNET-ASUVM-EDU-ASSISSA-AS1-ASSISSA-AS2-ASNEXT-ASN-ASSÜRASTH-FDDI-ASFIXEAST-FDDI-ASORYX-ENERGY-ASHNSNET-ASBUMEDMILLTON-ASBUMEDLEMOORE-ASBUMEDLEJEUNE-ASBUMEDGROTON-ASBUMEDGLAKES-ASBUMEDCORPUS-ASBUMEDCHERRYP-ASBUMEDCHARLES-ASB UME DBEAU FORT-ASBUMEDNEWPORT-ASBUMEDRROADS-ASBUMEDBREMTON-ASBUMEDSEATTLE-ASBUMEDNHPORTS-ASBUMEDPHIL-ASBUMEDOAKHARB-ASBUMEDOAKLAND-ASANSBB-ASNNET-2NCCS-STI-GWTACOM-AS-ASNSTRICOM-NETlSUNETSWEDENSPAWAR-GW-ASPAGENETLOUISVILLENMI-NETTANET-ASN1
[RCB3-ARIN][PB123-ARIN][AIS-ARIN][JLP8-ARIN][SURA-NOC-ARIN][ZN14-ARIN][JS564-ARIN][JH210-ARIN][JS564-ARIN][JS564-ARIN][ANS-NOC-ARIN][WK60-ARIN][LBJ1-ARIN][KAH13-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][DB97-ARIN][SJ90-ARIN][CG203-ARIN][RB16-ARIN][TR156-ARIN][RI21-ARIN][RI21-ARIN][DG1895-ARIN][SURA-NOC-ARIN][SURA-NOC-ARIN][TJO7-ARIN][GC237-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][JS564-ARIN][IH4-ARIN][LC1-ARIN][MIL-HSTMST-ARIN][JMG67-ARIN]
[BE10-ARIN][BE10-ARIN]
[DPB10-ARIN][DH81-ARIN][HF27-ARIN][AM196-ARIN][WSCl-ARIN]
166016611662166316641665166616671668166916701671167216731674167516761677167816791680168116821683168416851686168716881689169016911692169316941695169616971698169917001701170317041705170617071727172817291731173217331734173517361737
ANS-CORP-NYANS-ATLANTAANS-1662-ASBERTELSMANNAOL-CQRPANS-NYANS-DCANS-DC2AOL-PRIMEHOSTANS-BB2ANS-üKANS-1671-ASANS-CHICAGOANS-BBANS-SANFRANANS-NY2-ASTRANEANS-NY3-ASDOWRMTECHNETVISIONANS-CORP-MIAOL-1682-ASANS-NY4-ASANS-1684-ASANS-JAPANANS-1686-ASANS-1687-ASANS-AT-PACBELL-NAPANS-1689-ASBOCESTELUSANS-1692-ASANS-1693-ASANS-SANFRAN2-ASANS-1695-ASSMITH-BARNEYANS-1697-ASPRODIGYANS-1699-ASSESQUI-3EOSDIS-VOMIXKAIST-NETGM-INDY-NETUNIV-ARIZRENATER-ASNBLOCKAMRMS-WESTSRI-TPA-GW1TIPNET1THIOKOLMIKROK-ASCENTAF-SWAROP-COCA-AS01FISHER-ASMU-ASRAYTHEON-AS-1
[ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][AN03-ORG-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-MOC-ARIN][AOL-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANE-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][DN136-ARIN][ANS-NOC-ARIN][MS336-ARIN][BF1147-ARIN][GW10-ORG-ARIN][ANS-NOC-ARIN][AOL-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][WS26-ARIN][TR321-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][ANS-NOC-ARIN][RF134-ARIN][ANS-NOC-ARIN][LWV2-ARIN][ANS-NOC-ARIN][SESQ-ARIN][TB264-ARIN][TP63-ARIN][WC1374-ARIN][EH2-ORG-ARIN][TF30-ARIN][AR41-ARIN][FEB3-ARIN][LJ69-ARIN][AH196-ARIN]
[WW148-ARIN][VP26-ARIN][MSP13-ARIN][OD19-ARIN][NG63-ARIN][SG68-ARIN][ZR46-ARIN]
173817391740174117421743174417451746174717481749175017511752175317541755175617571758175917601761176217631764176517661767176817691770177117721774177517761778177917801781178417851786178717881789179017911792179317941795179717981799
OKOBANK-ASTAMNETCERFNETFUNETHARVARD-UNIVMCI-SF-ASLOCKHEEDCRT-ASDRANET-ASIBMWATSON-ASFINNAIR-ASNASA-GSFC-ASGURÚLEXMARK-ASBT-MHOBT-ESCOMDESY-HAMBURGEBONE-INTERNALEBONE-EXTERNALLEXIS-ASAFMPCGW1-ASDATANETINTELNETTGSCNETDMIS-VAXITTHARTFORDEUNET-CH-AS1PM-NAWCMOBIL-CORPIHETSDATANETSEEDNET-ASN1IIINET-ASN1NORTELE-ANORTELE-TSENTRYHEANET-IEFMCC-1ASN-WU-WIENDMSSC-GATEWAYPSTAR-ASVALNETKAIST-NET1GNAPSAPPLIEDAIXSERV-ASEJV-ALPHASONAMNETSPRINTLINK1SPRINTLINK2SPRINTLINK3SPRINTLINK4SPRINTLINK5SPRINTLINK6SPRINTLINK7AS1797AS1798ICMNET-1
[KK160-ARIN][EA12-ARIN][PM200-ARIN][MS12-ARIN][LD238-ARIN][JG2573-ARIN][KS216-ARIN][MAH75-ARIN][DRA7-ORG-ARIN][NRT1-ARIN][ML446-ARIN][JPG18-ARIN][DA31-ARIN][V04-ARIN][AFP-ARIN][DGD11-ARIN][ME57-ARIN][BE10-ARIN][BE10-ARIN][JM19-ARIN][RAN13-ARIN][JL62-ARIN][NT48-ARIN][BB122-ARIN][MAS70-ARINJ[BM67-ARIN][SP164-ARIN][AR38-ARIN][JCP26-ARIN][AKB8-ARIN][MCF16-ARIN][MCF16-ARIN][HV6-ARIN][HV6-ARIN][RY41-ARIN][MN36-ARIN][FD-ORG-ARIN][GM62-ARIN][AB61-ARIN][AW180-ARIN][PN13-ARIN][SC435-ARIN][BFB-ARIN][NDA5-ARIN][JP631-ARIN][GJW12-ARIN][SR205-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN]
[SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][IH24-ARIN][RU5-ARIN][SPRINT-NOC-ARIN]
1800180118021803180418051806180718081809-1828182918301831183218331834183518361837183818391840184118421843-184818491850185118521853185418551856185718581859186018611862186318641865186618671868186918701871187218731874187518761877-1901188918931895
ICM-AtlanticICMNET-3ICMNET-4ICMNET-5ICMNET-6ICMNET-7ICMNET-8ICMNET-9ICMNET-10NEARNET-1NOTESIACNET2ITESO-GWYSMÜTELIANETNCTAMS-ETHERDENETEUNET-CH-AS2NC3ACERFNET-2DNA-SCNUDLAP-NETNETCS-AS1USGS-ASNASA-KSC-ASPIPEX-ASSURISADELAIDE-UNIUCDLA-ASAT-BONEKTTDISN-PILOTNET1DISN-PILOTNET2DISN-PILOTNET3DISN-PILOTNET4DISN-PILOTNET5DISN-PILOTNET6DISN-PILOTNET7DISN-PILOTNET8DISN-PILOTNET9DISN-PILOTNET10DISN-PILOTNETllDISN-PILOTNET12DISN-PILOTNET13DISN-PILOTNET14DISN-PILOTNET153COM-EUR3COM-USA3COM-HDQDMSSCA-ASDMSSCH-ASCISSEASASNBLK-RIPEAS1889DKRZ-HAMBURGERLANGEN-VFR
[SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][SPRINT-NOC-ARIN][BNOC-ARIN][PCW-ARIN][CH4-ARIN][HG17-ARIN][RBM17-ARIN][RH1308-ARIN][DWC10-ARIN][EL16-ARIN][SP164-ARIN][AV900-ARIN][PM200-ARIN][RM56-ARIN][CA81-ARIN][SK120-ARIN][JRF-ARIN][JB234-ARIN][TB118-ARIN][HJ18-ARIN][PLN2-ARIN][UD14-ORG-ARIN][WK42-ARIN][ET35-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN](JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][JHW19-ARIN][ZG18-ARIN][ZG18-ARIN][ZG18-ARIN][BWR2-ARIN][BWR2-ARIN][RBM17-ARIN][RBM17-ARIN][RIPE-NCC-ARIN][KB57-ARIN][GH39-ARIN][JK198-ARIN]
1902190319041905190619071908190919101911191219131914191519161917191819191920192119221923192419251926192719281929193019311932193319341935-195419551956195719581959196019611962196319641965196619671968196919701971197219731974197519761977
FESNET-LCHEMNET-FESJITC-TESTBEDDRCINRI-ASIPSERV-ASNAWC-AD-INDYALPHA-NAP-ASDLA1DLA2DLA3DLA4DLA5SEQUOIA-ASRNP-ASCTCSERV-ASCNAP-INTRANETÜMASS-AMHERSTlQUOTRON-WANUDNVIEUAKOM-DAMISTAYSDAFFYDISA-EÜROPEUTANET-ASNADC-LAN-ASWRNL-PDVSUMASSNET-NETRCCNETGM-EDS-EUROCONEDNAVAIRHQANS-RESTON-ASRENATER-ASNBLOCKHBONEIBMEVS-ASANSCIX-ASNCRWIN1958DMSLABNETMARS-EUROPEMARS-AMERICASMARS-ASIA-PACIFICPENRIL-ASMCI-NETCSTUELECTRICMASSO-GWTR-NETUMASSP-DOMTELEDYNE-ASTAMUS-NETGITN-JITCHPC-NETPHNSY-POEGWGSI-DISNNTUMI-ASBUMEDPORTSNHBUMED29PALMS
[JG116-ARIN][CC317-ARIN][KL759-ARIN][DMS7-ARIN][DA192-ARIN][GM278-ARIN][JRH16-ARIN][HWB-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][FB31-ARIN][KRF1-ARIN][DG36-ARIN][JL120-ARIN][RWS10-ARIN][DLB2-ARIN][DN30-ARIN][JD238-ARIN][LE2-ARIN][LL205-ARIN][CB355-ARIN][BMW13-ARIN][TK51-ARIN][RMF4-ARIN][SS163-ARIN][DLB2-ARIN][AD985-ARIN][EH2-ORG-ARIN][JL4612-ARIN][JG255-ARIN][GA44-ARIN][AR41-ARIN][LK93-ARIN][DG811-ARIN][JM1337-ARIN][TH31-ARIN][WS76-ARIN][GL62-ARIN][GL62-ARIN][GL62-ARIN][KH78-ARIN][IW41-ARIN][DM224-ARIN][CN9-ARIN][AO14-ARIN][MF5-ARIN][SK126-ARIN][NG16-ORG-ARIN][DMG21-ARIN][SW2975-ARIN][VR30-ARIN][RG315-ARIN][BH88-ARIN][RJW26-ARIN][RJW26-ARIN]
197819791980198119821983198419851986198719881989199019911992199319941995199719981999200220032004200520062007200820092010201120122013201420152016201720182019202020212022202320242025202620282029203020312032203320342035203620372038
BUMEDLONDONBUMEDKINGSBYBUMEDKEFLAVKBUMEDADAKASN-NWNEXUSBERNALILLOBUMEDSIGONELBUMEDYOKOSUKABUMEDROTABUMEDPHARBORBUMEDPAXRVERBUMEDOKINAWABUMEDORLEANSBUMEDNAPLESBUMEDKEYWESTBUMEDHUENEMEBUMEDGBAYBUMEDGUAMIBMDES-ASSTATE-OF-MNHOUSE-AS-1IBM-PV-ASEPRI-PATNO-HDOINFONET1INFONET2INFONET3INFONET4INFONET5INFONET6WACHOVIAUNINET1PACIFIC-GASSPRINT-INTLMSEN-SYSTEMOTANETKRPNETTERTIARY-1MORGAN-ASHWWILSON-ASUNISYS-INTSIEMENS-ASRUTYCNÚUTOLEDOHELSINKINORTEL-HARLOWGGR-ASRDYNECOWACONETCSC-TMD-CCPanixATK-AS1ATK-AS2JOANNEUMCSUFRESNOINFN-AS1
[RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][DA2237-ORG-ARIN][JM338-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][RJW26-ARIN][BHV-ARIN][KV30-ARIN][JA1117-ARIN][DM353-ARIN][DA159-ARIN][FV12-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][AR2-ORG-ARIN][DWS30-ARIN][LD119-ARIN][ZP73-ARIN][ZK22-ARIN][MN05-ARIN][JT186-ARIN][SP157-ARIN][DM1581-ARIN][DL954-ARIN][MW177-ARIN][JS1325-ARIN][DL113-ARIN][MM304-ARIN][RN69-ARIN][WTD4-ARIN][JS797-ARIN][HN30-ORG-ARIN][IP-FIX-ARIN][LHS1-ARIN][JCD20-ARIN][BMV-ARIN][PANIX5-ARIN][FR20-ARIN][FR20-ARIN][RB467-ARIN][GW97-ARIN][AG113-ARIN]
ANEXO A5
CARACTERÍSTICAS GENERALES DE UNFIREWALL (CISCO PIX)
Cisco PIX Firewall Series
Product OverviewThe Cisco PIX Firewall series delivers strong security in an easy-to-install, integrated hardware/software firewall appliancethat ofFers outstanding performance. Cisco's world-leading PIX Firewall family spans the entirc user application spectrum,from compact, plug-n-play desktop firewalls for small/home offices to carrier-class gigabit firewalls for the most demandingenterprise and service provider environments. Cisco PIX Firewalls deliver superior performance of up to 500,000simultancous connections and nearly 1.7 Gigabits per second (Gbps) aggregate throughput—whilc providing Ciscocustomers world-class security, reliability and customcr service.
Key Features and Benefits• Security — Cisco PIX Firewalls are purpose-built firewall appliances that utilize a proprietary, hardened operating system
which eliminates security risks associated with general purpose operating systems. PIX firewalls also provide the latestin security technology ranging from stateful inspection fircwalling, IPsec and L2TP/PPTP-based VPNs, contení filteringcapabilities, and integrated intrusión detection to help secure your network environment from next-generation attacks. Atthe heart of the PIX Firewall family is the adaptive security algorithm (ASA), which maintains the secure perimetersbetween the networks controlled by the firewall. The stateful, connection-oricnted ASA design creatcs session flowsbased on source and destination addresses, TCP sequencc numbcrs (which are non-predictable), port numbers, andadditional TCP flags. All inbound and outbound traffic is controlled by applying security pohcies to each connection tableentry.
• Performance — Cisco PIX firewall's highly scalable, yet very secure architecture based upon stateful inspectiontechnology and application-aware "fixups" provides state-of-the-art performance and robust security. With support forupto 10 Gigabit Ethernet interfaces and 1.7 Gbpsof throughput, PIX Firewalls can scaleto mecí the needsofthe mostdemanding network environments.
• Reliability — Cisco PIX Firewalls provide resilient security services for mission-critical network environments byleveraging the integrated stateful failover capabilities within PIX. Network traffic can be automatically sent to a hotstandby unit in the event of a failure, while maintaining concurren! connections via automated state synchronizationbetween the primary and standby units.
• Virtual Prívate Networking (VPN) — Cisco PIX Firewalls support both standards-bascd IPsec and L2TP/PPTP-basedVPN services, which are suitablc for site-to-site and remote access VPN deployments. Tripe DES (3DES) based VPNthroughput can be scaled to nearly 100 Mbps using the PIX VPN Accelerator Card (VAC), which offloads compute-intensive encryption/decryption processes to specialized cryptographic coprocessors.
• Network Address Translation (NAT) and Port Address Translation (PAT) — Cisco PIX Firewalls provide robust NAT andPAT services to conceal IP addresses of internal networks and to expand network address space for intcmal networks.
• Denial-of-Service (DoS) Attack Prevention — Cisco PIX Firewalls protect the firewall and networks behind them fromdisruptive network hacking attempts that could otherwise bring a network to a halt.
• Simple, Web-Based Management with PIX Device Manager (PDM) — Cisco PIX Firewalls provide a simple, casy-to-use web-based interface for centrally managing the configuration of PIX firewalls. Furthermore, PDM provides a widerange of informative, real-time, and historical reports which give critical insight into usage trends, performance baselines,and security events. PDM provides all the tools necessary to manage a firewall, al l from the conveniencc of any webbrowser.
• Platform Extensibility — Cisco PIX Firewalls provide an cxtensible platform that can easily grow with your networkingneeds. With support from two 10/100 Ethernet interfaces all the way up to ten Gigabit Ethernet interfaces in a singlefirewall appliance solution, PIX Firewalls can fit your budget and your networking environment.
• Low Cost of Ownership — Simple installation and configuration minimizes time investmcnt required for administratorsto gct PIX firewalls up and running. Minimal time investment combined with an impressive price/performance ratioenable Cisco PIX Firewalls to provide low total cost of ownership (TCO).
Visit Cisco Connection Online at www.cisco.com
Specifications
Hardware
Table 20-21: Technlcal Specificatlons for Cisco PIX Firewalll
Description PIX 501 Firewail
Processor 1 33 MHz
RAM I6MB
Flash Memory 8 MB
PCI Slots None
Fixed Interfaces I I OBaseT Ethernet(outside)
4 port 10/100 switch(inside)
Máximum Interfaces 1 I OBascT Ethernet(outside)
4 port 10/100 swítch(inside)
VPN Aceelerator NoCard (VAC) Support
Failover Support No
Rack Mounlablc No
Si/e Dcsktop
PIX 506 Firewail
200 MHz
32 MB
8MB
None
2 I OBaseT Ethernet
2 I OBascT Ethernet
No
No
No
Desktop
PIX 515 Firewail
200 MHz
32MBor64MB
16 MB
2
2 10/IOOFast Ethernet
6 IO/100FastEthemet
Yes
Yes, UR only
Yes
1 RU
PIX 525 Firewail
350 MHz
128MBor256MB
I6MB
3
2 10/IOOFast Ethernet
8 10/IOOFast EthernetorGigabit Ethernet
Yes
Yes, UR only
Yes
2RU
PIX 535 Firewail
1 GHz
512MBor 1 GB
16MB
9
None
10 10/IOOFast EthernetorGigabit Ethernet
Yes
Yes, UR only
Yes
3RU
1 . Rack-mounlablc producís come with rack-mount hardware2, Failovcr rcquircs a spccial Cisco cable, includcd wilh failovcr capablc systcms
Table 20-22: Power Requirements for Cisco PIX Firewail
Descrfptfon PIX 501 Firewail
Autoswilching 1 00-240 VAC
Frequency 50-60 Hz
Curren! 0.05 1 Amps
PIX 506 Firewail
100-240 VAC
50-60 Hz
1.5-0.75 Amps
PIX 515 Firewail
100-240 VAC
50-60 Hz
1.5-0.75 Amps
PIX 525 Firewail
100-240 VAC
50-60 Hz
5-2.5 Amps
PIX 535 Firewail
100-240 VAC
50-60 Hz, single phase
4-2 Amps
Table 20-23: Physícal and Enviranmental Speclfications for Cisco PIX Firewail
Description PIX 501 Firewail
Dimensions I.O x 6.25 x 5.5 in.(HxWxD) (2 54 x |5 g?5 x 13 Q?
cm)
Weight 0.75 Ib. (0.34 kg)
Opcrating 32 to I04°FTemperature (Oto40'C)
Storage -4 to t49°FTemperature (_2Q w fi5.C)
Opcrational 90%relative humidityHumidily (RH)
Operalional Altitude 6500 ft (2000m)
PIX 506 Firewail
1.72 x 8.3 x 11. Sin.
(4.4x2I.7x29.9cm)
6 Ib.
-25 to 113°F
(-5 to +45°C)
-13 to 158°F
(-25 to +70°C)
95% relative humidity(RH)
9843 ft (3000m), 77°F(25'C)
PIX 515 Firewail
l.72x 16.82x 11. 8in.,1 RU
(4.4 x 42.7 x 29.9 cm)
1 1 Ib. (4.9 kg)
-25 to 113'F
(-5 to +45'C)
-13to l58°F
(-25lo+70'C)
95% relative humidity(RH)
9843 ft (3000m), 77°F(25'C)
PIX 525 Firewail
3.5 x 17.5 x 18.25 in., 2RU
(8.89x44.45x46.36cm)
32 Ib. (14.5 kg)
-25 to 13KF
(-5 to +55'C)
-13to I58°F
(-25 to +70'C)
95% relative humidity(RH)
9843 ft (3000m), 104°F(40-C)
PIX 535 Firewail
5.25 x 17.5 x 18.25 in.,3 RU
(8,89x44.45 x 46.36cm)
32 Ib. (I4.5kg)
-25 to 1I3°F
(-5 to+45'C)
-13 to 158°F
(-25 to +70'C)
95% relative humidity(RH)
9843 fl (3000m)
2 Cisco Product Catalog, November, 2001
DéserlptIon PIX 501 Firewall PIX 506 Firewall PIX 515 Flrewall PIX 525 Flrewall PIX 535 Firewall
Hcat Dissipation !7.0BTU/hr !02.4BTU/hr 160.37 BTU/hr 410 BTU/hr 750 BTU/hr(Worst Case wilhFul! Power Usage)
SoftwareFor additional specifications, see the Cisco PIX Firewall datasheet on the Cisco Web at
http://www.cisco.com/go/pix.
For software options for the Cisco PIX Firewall Series, see PIX Firewall Software in the tables below..
Cisco PIX Firewall Software Features• State-of-the-art Adaptive Security Algorithm (ASA) and stateftil inspection firewalling
• Cut-through proxy authenticates and authorizes connections, mcanwhile enhancing performance
• Easy-to-use Web-based interface for managing PIX firewalls remotely
• Support for up to 10 ethernet interfaces ranging from 10-BaseT, 10/100 Fast Ethernet to Gigabít Ethemct
• Stateful firewall failover capability with synchronized connection information and product configurations
• True Network Address Translation (NAT) as specified in RFC 1631
• Port Address Translation (PAT) further expands a company's address pool-one IP address supports more than 64,000hosts
• Support for IPsec and L2TP/PPTP-based VPNs
• Support for high performance URL filtering via integration with Webscnse-based URL filtering solutions
• Mail Guard removcs need for extemal mail relay server in perimeter network
• Support for broad range of authentication methods via TACACS+, Radius and Cisco ACS integration
• DNS Guard transparently protects outbound ñame and address lookups
• Flood Guard and Fragmentaron Guard protect against dcnial of service attacks
• Support for advanced Voice over IP (VoIP) standards including SIP, H.323 and othcrs
" Java blocking eliminates potenttally dangerous Java applets (not compressed or archived)
• Cisco lOS-style command-line interface
• Extended authentication, authorization, and accounting capabilities
• Net Aliasing transparently merges overlapping networks with the same IP address space
• Ability to customize protocol port numbers
• Integration with Cisco Intrusión Detection Systems for shunning connections of known malicious IP addrcsscs
• Enhanced customization of syslog messages
• Simple Network Management Protocol (SNMP) and syslog for remote management
• Reliable syslogging using either TCP or UDP
• Extended transparent application support (both with and without NAT enablcd) includes:
— Sun remote procedure cali (RPC)
—Microsoft Networking client and server communication (NetBIOS over IP) using NAT
—Multimedia, including RealNetworks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSceMe, VocalTec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme Web Theatre 2; and InteFs Internet VideoPhone and Microsoft's NetMeeting (based on H.323 standards)
Visit Cisco Connection Online at www.cisco.com 3
—Oracle SQL*Net client and server communication
Table 20-24: PIX Flrewall Manager Speciflcatlons
Operatlng Systems Browsers
Windows 2000 (Service Pack 1) MS Internet Explorer 5.01 (Service Packl) orhigher(5.5 recommended)Windows NT 4.0 (Service Pack 6a) Netscape Communicator 4.51 or higher (4.76 recommended)Windows 98 (original or 2 nd addition)
Sun Solaris 2.6 or 2.8 running CDE or MS Internet Explorer 5.0 or higher (5.5 recommended)OpenWindows window manager Netscape Communicator 4.51 or higher (4.76 recommended)
Redhat Linux 6.2 or7.0 running GNOME Netscape Communicator 4.76or KDE 2.0 desktop environment
For additional specifications, sce the Cisco PIX Firewall datasheet on the Cisco Web at
http://www.cisco.com/go/pix.
For software options for the Cisco PIX Firewall Series, see PIX Firewall Software in the tabics below.
4 Cisco Product Catalog, November, 2001
Ordering Information
Where to buy Cisco producísVisit http://www.ci.sco.com/public/ordering_info.shtml
Product and Part Numbers
Part Numbers for the Cisco PIX Flrewall
Part Descrlptlon Part Number
PIX Firewall Solutions
ONE 10/100 Mbps ETHERNETINTERFACES, RJ45
ONE 10/100 Mbps ETHERNETINTERFACES, RJ45
Single Gigabit Ethernet Interface for PIXFirewall
Single Gigabit Ethernel Interface for PIXFirewall
Single 66MHz Gigabit Ethernet Interface
Single 66MHz Gigabit Ethernet Interface
PIX Four-port 10/100 Elhemet interface
PIX Four-port 10/100 Ethernet interface
FAILOVER UPGRADE KIT- SW V3.0OR LATER
PIX 501 (Chassis, software, 10 userlicense, integrated 4 port 10/100 switchand lOBaseTport)
10-user license for PIX 501
50-user license for PIX 501
IO-to-50 user upgrade license for PIX 501
10-io-SO user upgrade license for PIX 501
168-bit 3DES software license for PIX 501
168-bit 3DES software license for PIX 501
Spare AC power supply for PIX 501
PIX 506 (Chassis, software, two lOBaseTports)
3DES Software Licence for PIX 506
3DES Software Liccncc for PIX 506
PIX 506 spare AC powcr supply
5 1 5 R to UR License Upgrade (includes 32MB RAM)
Software upgrade from Failover toUnRestricted for PIX 51 5
Software upgrade from Failover toRcstrictedíbrPIX515
Blank to fill unused option slot on PIX 5 1 5
PIX 515 Chassis only
PIX-IFE
PIX-IFE-
PIX-1GE
PIX-1GF.=
PIX-1GE-66
PIX-lGE-66=
PIX-4FE
PIX-4FE-
PIX-FO-
PIX-501
PIX-50I-SW-IO
PIX-50 l-SW-50
PIX-50 1-SW- 10-50-
PIX-50I-SW-IO-50=
PIX-50 1-VPN-3DES
PIX-50I-VPN-3DES=
PIX-50 l-PWR-AC-
PIX-506
PIX-506-SW-3DES
P1X-506-SW-3DES=
P1X-506-PWR-AC=
PIX-5I5-SW-UPG-
PIX-515-SW-FO-UR-
PIX-515-SW-FO-R=
PIX-BLANK-SLOT
PIX-515
Visit Cisco Connection Online at www.cisco.com
Part Descriptlon Part Number
PIX 515 DC Powered Firewall Appliance PIX-515-DC
P1X 515 Unrestrictcd Function softwareI ícense
PIX-515UR-SW
PIX 515 spare AC power supply PIX-515-PWR-AC=
PIX Firewall 525 Chassis PlX-525
P1X 525 DC Chassis PIX-525-DC
PIX Firewall 535 Chassis P1X-535
PIX 535 512MB RAM Upgrade(2-256MBDIMM, UROnly)
PIX-535-MEM-5I2
Redundan! AC power supply for PIX 535 PIX-535-PWR-AC
PIX 535 spare AC power supply PlX-535-PWR-AC=
Redundan! DC power supply for PIX 535 P1X-535-PWR-DC
PIX 535 spare DC power supply PIX-535-PWR-DC=
Blank to fill unuscd power supply slot onPIX 535
PIX-535-PWR-BLANK
PIX Classic, IOK, 510, 520 Failover loentry I i cense upgrade
PIX-CONN-FO-I28=
PIX Classic, IOK, 510, 520 failover lomidI ícense upgrade
PIX-CONN-FO-1K=
PIX Classic, IOK, 510, 520 failover to URI ícense upgrade
PIX-CONN-FO-UR=
PIX Classic. IOK, 510. 520 Entry tomídrange I Ícense upgrade
PIX-CONN-128-1K=
PIX Classic, IOK, 510, 520 entry to URI ícense upgrade
PIX-CONN-I28-UR=
PIX Classic, IOK, 510, 520 midrange toUR license upgrade
PIX-CONN-1K-UR=
PIX Software Upgrade Ibr Non-SupportCustomers
PIX-CONN-VER=
128 MB Memory Upgrade for PIXFirewall Models 510 and 520
P1X-MEM-5XX-128=
PIX Firewall IPSec Accelerator PIX-VPN-ACCEL
PIX Firewall IPSec Accelerator PIX-VPN-ACCEL=
PIX Firewall Bundles
PIX 501 10-user/DES Bundle (chassis,latest PIX software, 10-user and DESliccnses, integrated4-port 10/100 switchand lOBaseT port)
PIX-501-BUN-K8
PIX 501 lO-user/3DES Bundle (chassis,latest PIX software, 10-user and 3DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)
PIX-50I-BUN-K9
PIX 501 50-user/DES Bundle {chassis,latest PIX software, 50-user and DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)
PIX-501-50-BUN-K8
PIX 501 50-user/3DES Bundle (chassis,latest PIX software, 50-user and 3DESlicenses, integrated 4-port 10/100 switchand lOBaseT port)
PIX-50I-50-BUN-K9
PIX 506 (Chassis, software, two lOBaseTports)
PIX-506
6 Cisco Product Catalog, November, 2001
Part Description Part Number
PIX 515FO Bundle (Chassis, failover SW,2 FE ports)
PIX-515-FO-BUN
P1X 5I5R Bundle (Chassis, reslricted SW,2 FE ports)
PIX-5I5-R-BUN
PIX 515UR Bundte (Chassis, unrcstriciedSW, 2 FE ports)
PIX-515-UR-BUN
PIX 515-R DC Bundle (Chassis, Rsoftware, two 10/100 ports)
PIX-515-DC-R-BUN
PIX 515-UR DC Bundle(Chassis, URsoftware, two 10/100 ports)
PIX-515-DC-UR-BUN
PIX 525FO Bundle (Chassis, failover SW,2 FE ports)
PIX-525-FO-BUN
PIX 525R Bundle (Chassis, restricted SW,2 FE ports)
P1X-525-R-BUN
PIX 525UR Bundle (Chassis, unrestrictedSW, 2 FE ports)
PIX-525-UR-BUN
PIX 535FO Bundle (Chassis, failover SW,2 FE ports)
PIX-535-FO-BUN
PIX 535UR Bundle (Chassis, unrestrictedSW, 2 FE ports)
PIX-535-UR-BUN
PIX 535R Bundle (Chassis, reslricted SW,2 FE ports)
PIX-535-R-BUN
PIX Flrewall Flash Cards
PIX !6M0ISAFIashcard PIX-FLASH-16MB-
PIX Flrewall Crypto
PIX 3DES Software License WilhoutClient Software
PIX-VPN-3DES
P1X 3DES Software License WithoutClient Software
PIX-VPN-3DES-
Minimum Software Versions
Cisco PIX 501 Firewall: Minimum Software Versión: 6.1(1)
Table 20-25: Cisco PIX 501 Firewall Software Llcenses
Product Number Product Description
PIX-501-SW-IO 10-user license for PIX 50!
PIX-501-SW-50 50-user license for PIX 501
PIX-50I-SW-10-50= IO-to-50 user upgrade license for PIX 501
PIX-VPN-DES 56-bit DES IPSec software ticense for Cisco PIX 501 Firewalt
PIX-501-VPN-3DES 168-bit3DES IPSec software license for Cisco PIX 501 Firewall
Cisco PIX 506 Firewall: Minimum Software Versión: 5.1(2)The Cisco PIX 506 Firewall is provided in a single, unlimitcd mode.
Visií Cisco Connection Online at www.cisco.com
Table 20-26: Cisco PIX 506 Ffrewall Software Llcenses
Product Number Product Descrlptlon
P1X-VPN-DES 56-bit DES IPSec software license for Cisco PIX 506 Firewall
PIX-506-SW-3DES 168-bit 3DES IPSec software license for Cisco PIX 506 Firewall
Cisco PIX 515 Firewall: Minimum Software Versión: 4.4(1)Starting with Cisco PIX versión 5.1(2) the Cisco PIX 515-R Firewall supportsa máximum of three interfaces. Customersmust purchase the third interface. This is a free software upgrade for customers with SMARTnet contraéis and is availableon Cisco.com. Customers who upgrade from an earlier versión must obtain a new activation kcy from [email protected] who purchase a new Cisco PIX 515-R Firewall with software versión 5.1(2)preinstalled will notbe affccted.Software versión 5.2 or later does not require a new activation key for third-party interface support.
Table 20-27: Cisco PIX 515 Firewall Software Licenses
Product Number Requirements/Comments
Restricted PIX-515-SW-R Cisco PIX 515 Firewall Restricted software license. Failovcr is not supportcd.
Unrestricted PIX-515-SW-UR Cisco PIX 515 Firewall Unrestricted software license.
Requires PIX-515-MEM-32 to upgrade base chassis from 32 MB to 64 MB
Failover PIX-5I5-FO-SW Cisco PIX 515 Firewall Failovcr software liccnse.
Restricted to PIX-515-SW-UPG= Cisco PIX 515 Firewall Restricled to Unreslricted software license upgrade.Unrestricted Includes PIX-515-MEM-32 to upgrade base chassis from 32MB to 64MB,
Failover to Restricted PIX-5I5-SW-FO-R Cisco PIX 515 Firewall Failover to Restricted software license upgrade.
Failover to Unrestricted P1X-515-SW-FO-UR Cisco PIX 515 Firewall Failover to Unrestricted software liccnse upgrade
56-bit DES IPSec P1X-VPN-DES Zero cost option required to enable DES support.
168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for Cisco PIX Firewall.
Cisco PIX 525 Firewall: Minimum Software Versión: 5.2(1)
Table 20-28: Cisco PIX 525 FirewallS Software Licenses
Product Number Requirements/Comments
Restricted PIX-525-SW-R Cisco PIX 525 Firewall Reslricted software license. Failover not supportcd
Unrestricted P1X-525-SW-UR Cisco PIX 525 Firewall Unrestricted software license.
Fail-Over PIX-525-FO-SW Cisco PIX 525 Firewall Failover software license.
Restricted to PIX-525-SW-R-UR Cisco PIX 525 Firewall Restricted to Unrestricted software license upgrade.Unrestricted Includes 128 MB RAM.
Fail-Ovcr to Restricted PIX-525-SW-FO-R Cisco PIX 525 Firewall Failovcr to Restricted software liccnse upgrade.
Fail-Over to Unrestricted P1X-525-SW-FO-UR Cisco PIX 525 Firewall Failover to Unrestricted software liccnse upgrade.
56-bit DES IPSec P1X-VPN-DES Zero cosí option required to enable DIíS support.
168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for PIX Firewall.
Cisco PIX 535 Firewall: Minimum Software Versión: 5.3(1)
Table 20-29: Cisco PIX 535 Firewall Software Llcenses
Product Number Requlrements/Comments
Restricted PIX-535-SW-R Cisco PIX 535 Firewall Restricted software license. Failover not supportcd.
8 Cisco Product Catalog, November, 2001
Product Number Requirements/Comments
Unrestricted PIX-535-SW-UR Cisco PIX 535 Firewail Unrestricted software license.
Fail-Over
Rcstricted toUnrestricted
Fail-Over to Restricted
P1X-535-FO-SW
PIX-535-SW-R-UR
P1X-535-SW-FO-R
Cisco PIX 535 Firewail Failovcr software license.
Cisco PIX 535 Firewail Restrictcd to Unrestricted software license upgrade.lncludes5l2MBRAM
Cisco PIX 535 Firewail Failover to Restricted software license upgrade.
Fait-Over to Unrestricted PIX-535-SW-FO-UR Cisco PIX 535 Firewail Failovcr to Unrestricted software license upgrade.
56-bit DES IPSec PIX-VPN-DES Zcro cosí option required to enable DES support
168-bit 3DES IPSec PIX-VPN-3DES 168-bit 3DES IPSec software license for PIX Firewail.
DocumentaronFor part numbers for product specific documentadon, visit
http://www.cisco.com/univercd/cc/td/doc/pcafswdo di.htm
Services and Support
Table 20-30: Available Support Contracts for the Cisco PIX Flrewall Family
Descriptfon Part Number
PIX SMARTnet mainlenance—all versions CON-SNT-PIX
PIX SMARTnet maintcnance—all versions (two-tier producís) CON-SNT-PKG12
Visit Cisco Connection Online at www.cisco.com
ANEXO A6
IMPLEMENTACION DE UN FIREWALLBAJO LA PLATAFORMA LINUX
Firewall and Proxy Server HOWTO
Mark Gremial!, [email protected]
vO.80, Feb.26,2000
This document is designed to describe the basics offirewall systems and give you somedetall on setting up both afiltering and proxy firewall on a Linux based system. AnHTML versión ofthis document is available at http://www.grennan.com/Firewall-HOWTO.html
1. Introduction
1.1 Feedback1.2 Disclaimer1.3 Copyright1.4 My Reasons for Wríting this1.5 Further Readings
2. Understanding Firewalls
• 2.1 Firewall Politics• 2.2 Types of Firewalls
3. Firewall Architecture
• 3.1 Dial-up Architecture• 3.2 Single Router Architecture• 3.3 Firewall with Proxy Server• 3.4 Redunden! Internet Configuration
4. Setting up the Linux Filtering Firewall
• 4.1 Hardware requirements
5. Software requirements
• 5.1 Selecting a Kernel• 5.2 Selecting a proxy server
6. Preparing the Linux system
6.1 Compilinfí the Kernel6.2 Confíguring two network cards6.3 Configuring the Network Addresses6.4 Testing your network6.5 Securing the Firewall
7. IP filtering setup (IPFWADM)
8. IP filtering setup (IPCHAINS)
9. Installing a Transparent SQUID proxy
10. Installing the TIS Proxy server
• 10.1 Getting the software• 10.2 Compiling the TIS FWTK. 10.3 Installing the TIS FWTK• 10.4 Confíguring the TIS FWTK
11. The SOCKS Proxy Server
• H. 1 Settíng up the Proxy Server• 11.2 Confifiuring the Proxy Server• 11.3 Workinfí With a Proxy Server• 11.4 Drawbacks with Proxy Servers
12. Advanced Configurations
• 12.1 A large network with emphasis on security
13. Making Management Easy
• 13.1 Firewall tools• 13.2 General tools
14. Defeating a Proxy Firewall
15. APPENDEX A - Example Scripts
• 15.1 RC Script useing GFCC• 15.2GFCCscript• 15.3 RC Script without GFCC
16. APPENDEX B - An VPN RC Script for RedHat
1. Introduction
David Rudder wrote this original versión of this Firewall-HOWTO, these many moonsago, and I'd still Hke to thank him for allowing me to update his work.
I'd also like to thank lan Gough for kindly assisting a this dislexic writer.
Firewalls have gained great popularity as the ultimate in Internet Security. Like most hotsubject they are also often misunderstood. This HOWTO will go over the basics of whata firewall is and how to set one up.
I am using kernel 2.2.13 and RedHat 6.1 to develop this howto so the examples here arebased on this distribution. If you fmd differences in your distribution, picase email meand I'll update this howto.
1.1 Feedback
Any feedback is very welcome. PLEASE REPORT ANY INACCURACIES IN THISPAPER!!! I am human, and prone to making mistakes. If you find a fix for anythingpicase send it to me. I will try to answer all e-mail, but I am busy, so don't get insulted if Idon't.
My email address is mark(a)£rennan.com
1.2 Disclaimer
I AM NOT RESPONSIBLE FOR ANY DAMAGES INCURRED DUE TOACTIONS TAREN BASED ON THIS DOCUMENT. This document is meant as anintroduction to how fírewalls and proxy servers work. I am not, ñor do I pretend to be, asecurity expert. ;-) I am just some guy who has read too much and likes computers morethan most people. Picase, I am writing this to help people get acquainted with thissubject, and I am not ready to stake my life on the accuracy of what is in here.
1.3 Copyright
Unless otherwise stated, Linux HOWTO documents are copyrighted by their respectiveauthors. Linux HOWTO documents may be reproduced and distributed in whole or inpart, in any médium physical or electronic, as long as this copyright notice is retained onall copies. Commerciaí redistribution is allowed and encouraged; however, the authorwould like to be notifíed of any such distributions.
All translations, derivative works, or aggregate works incorporating any Linux HOWTOdocuments must be covered under this copyright notice. That is, you may not produce aderivative work from a HOWTO and impose additional restrictions on its distribution.Exceptions to these rules may be granted under certain conditions; picase contact theLinux HOWTO coordinator.
In short, we wish to promote dissemination of this information through as many channelsas possible. However, we do wish to retain copyright on the HOWTO documents, andwould like to be notifíed of any plans to redistribute the HOWTOs.
If you have any questions, picase email me. (See Above)
1.4 My Reasons for Writing this
Several years ago, while working for the State of Oklahoma as their "InternetAdministrator" I was ask to "put the State on the Internet", with no budget. (Note: Therewas no such title at the time. I was just the guy doing all the work.) The best way to makethis happen was to use as much free software and junk hardware as I could. Linux and abunch of oíd 486s were all I had to work with.
Commercial firewalls are VERY over priced and the documentation on how they work isconsiderad almost top secret. I found creating a fírewall of my own was almostimpossible.
At my next job, I was asked to put in a fírewall. Linux had just added fírewall code. Soagain with no budget I started building a fírewall with Linux. Six months later myfírewall was in place and this document was updated.
1.5 Further Readings
• The The Linux Networking Overvíew HQWTO• The Ethernet HOWTQ• IPchains Firewallinfi made Easy!• Linux Network Address Translation• The Net-3 HOWTQ• The NET-PPP HOWTO• The easiest way to créate Virtual Tunnels over TCP/IP networks
[ More URLS go here ]
2. Understanding Firewalls
A fírewall is a structure intended to keep a fire from spreading. Building have fírewallsmade of brick walls completely dividing sections of the building. In a car a fírewall is themetal wall separating the engine and passenger compartments.
Internet fírewalls are intended to keep the flames of Internet hell out of your prívateLAN. Or, to keep the members of your LAN puré and chaste by denying them access theall the evil Internet temptations. ;-)
The first computer firewall was a non-routing Unix host with connections to two differentnetworks. One network card connected to the Internet and the other to the prívate LAN.To reach the Internet from the prívate network, you had to logon to the firewall (Unix)server. You then used the resources of the system to access the Internet. For example, youcould use X-windows to run Netscape's browser on the firewall system and have thedisplay on your work station. With the browser running on the fírewall it has access toboth networks.
This sort of dual homed system (a system with two network connections) is great if youcan TRUST ALL of your users. You can simple setup a Linux system and give anaccount accounts on it to everyone needing Internet access. With this setup, the onlycomputer on your prívate network that knows anything about the outside world is thefírewall. No one can download to their personal workstations. They must first download afile to the fírewall and then download the file from the fírewall to their workstation.
BIG NOTE: 99% of all break-ins start with gaining account level access on the systembeing attacked. Because of this I don't recommend this type of firewall. It is also verylimiting.
2.1 Firewall Politics
You shouldn't believe a firewall machine is all you need. Sel policies first.
Firewalls are used for two purposes.
1. to keep people (worms / crackers) out.2. to keep people (employees / children) in.
When I started working on firewalls I was surprised to learn the company I worked forwere more interested in "spying" on their employees then keeping crackers out of theirnetworks.
At least in my state (Oklahoma) employers have the right to monitor phone calis andInternet activity as long as they inform the employees they are doing it.
Big Brother is not government. Big Brother = Big Business.
Don't get me wrong. People should work, not play at work. And I feel the work ethic hasbeen eroding. However, I have also observed that management types are the biggestabusers of the rules they set. I have seen hourly workers reprimanded for using theInternet to looking for bus routesto get to work while the same manager used hours ofwork time looking for fine restaurants and nightclubs to take prospective customers.
My fix for this type of abuse is to publish the firewall logs on a Web page for everyone tosee.
The security business can be scary. If you are the firewall manager, watch your back.
How it créate a security policy
I have seen some realy high folutin documentation on how to créate a security policy.After many years of experence I know now say, don't believe a word of them. Créate asecurity policy is simple.
1. describe what you need to service2. describe the group of people you need to service3. describe which service each group needs access to4. for each service group describe how the service should be keep secure5. wríte a statment making all other forms of access a vialation
Your policy will become more complicated with time but don't try to cover to muchground now. Make it simple and clear.
2.2 Types of Firewalls
There are two types of fírewalls.
1. Filtering Firewalls - that block selected network packets.2. Proxy Servers (sometimes called firewalls) - that make network connections for
you.
Packet Filtering Firewalls
Packet Filtering is the type of firewall built into the Linux kernel.
A filtering firewall works at the network level. Data is only allowed to leave the system ifthe firewall rules allow it. As packets arrive they are filtered by their type, source address,destination address, and port information contained in each packet.
Many network routers have the ability to perform some fírewall services. Filteringfirewalís can be thought of as a type of router. Because of this you need a deepunderstanding of IP packet structure to work with one.
Because very little data is analyzed and logged, fíltering firewalls take less CPU andcréate less latency in your network.
Filtering firewalls do not provide for password controls. User can not identifythemselves. The only identity a user has is the IP number assigned to their workstation.This can be a problem if you are going to use DHCP (Dynamic IP assignments). This isbecause rules are based on IP numbers you will have to adjust the rules as new IPnumbers are assigned. I don't know how to automate this process.
Filtering firewalls are more transparent to the user. The user does not have to setup rulesin their applications to use the Internet. With most proxy servers this is not true.
Proxy Servers
Proxies are mostly used to control, or monitor, outbound traffic. Some applicationproxies cache the requested data. This lowers bandwidth requirements and decreases theaccess the same data for the next user. It aíso gives unquestionable evidence of what wastransferred.
There are two types of proxy servers.
1. Application Proxies - that do the work for you.2. SOCKS Proxies - that cross wire ports.
Application Proxy
The best example is a person telneting to another computer and then telneting from thereto the outside world. With a application proxy server the process is automated. As youtelnet to the outside world the client send you to the proxy first. The proxy then connectsto the server you requested (the outside world) and returns the data to you.
Because proxy servers are handling all the Communications, they can log everything they(you) do. For HTTP (web) proxies this includes very URL they you see. For FTP proxiesthis includes every file you download. They can even filter out "inappropriate" wordsfrom the sites you visit or sean for viruses.
Application proxy servers can authenticate users. Before a connection to the outside ismade, the server can ask the user to login first. To a web user this would make every sitelook like it required a login.
SOCKS Proxy
A SOCKS server is a lot like an oíd switch board. It simply cross wires your connectionthrough the system to another outside connection.
Most SOCKS server only work with TCP type connections. And like fíltering firewallsthey don't provide for user authentication. They can however record where each userconnected to.
3. Firewall Architecture
There are lots of ways to structure your network to protect your systems using a fírewall.
If you have a dedicated connections to the Internet through a router, you could plug therouter directly into your fírewall system. Or, you could go through a hub to provide forfull access servers outside your fírewall.
3.1 Dial-up Architecture
You may be using a dialup service like an ISDN line. In this case you might use a thirdnetwork card to provide provide a fíltered DMZ. This gives you full control over yourInternet services and still separates them from your regular network.
_A_A_ I t| | Firewall | (LAN) I
/ Internet \ System I — ( H U B ) — I Workstat ion/s\ _ _ _/ I I I
\ \ \ I( D M Z )( H U B )
3.2 Single Router Architecture
If there is a router or cable modem between you and the Internet. If you own the routeryou could setup some hard filter rules in the router. If this router is owned by your ISP soyou may not the have the needed controls. You can ask your ISP to put in fílters.
_A__A_ I Router | | |
¡ ¡ | o r I (DMZ) | Firewal1 I (LAN)I/ Internet \e Mdm| — (HUB) — | System I — (HUB) —
Workstation/s I
\ \ \ I(Outside)(Server)
3.3 Firewall with Proxy Server
If you need to monitor where users of your network are going and your network is small,you can intergrate a proxy server into your firewall. ISP's some times do this to créateinterest list of their users to resell to marketing agencies.
_A A_ | Proxy / || | | Firewall I (LAN) | I
/ Internet \ System —(HUB) — I Workstation/s I\ _ _ _/ I I I I
\ \ \
You can put the proxy server on your LAN as will. In this case the firewall should haverules to only allow the proxy server to connect to the Internet for the services it isproviding. This way the users can get to the Internet only through the proxy.
_A_A_ I I| | | Firewall I (LAN) |
/ Internet \ System I — ( H U B ) — I Workstat ion/s\
\ \ \
+ I Proxy Server
3*4 Redundent Internet Coníiguration
If you are going to run a service like YAHOO or maybe SlashDot you may want to makeyour system by using redundant routers and fírewalls. (Check out the High AvailabilityHowTo.)
By using a round-robin DNS techniques to provide access to multipule web servers fromone URL and múltiple ISP's, routers and fírewalls using High Avaibility technics you cancréate a 100% uptime service.
_A_A_ _A_A_I I I I
/ ISP #1 \ _ _ (WAN) _ / Partners \ _ _ \ _ _ J
\ \/ \ I l \ \ \
A A I I | Firewall
I I I I [ (DMZ) | System || (LAN) |/ ISP #2 \—|Router| | —(HUB) —| (VPN) ||--(HUB)--| WS/s
\ _ _ _/ I I I I I I IV V \ I I I
I (Outside) (Shared) I |I (Servar) (Server) + 1Proxy
WS/s I I |VPN I-+
It is easy to let your network get out of hand. Keep control of every connection. It onlytakes a user with a modem to compromise your LAN.
4. Setting up the Linux Filtering Firewall
4.1 Hardware requirements
Filtering fírewalls don't require fancy hardware. They are little more then simple routers.
All you need is:
1. a 486-DX66 with 32 meg of memory2. a 250m hard disk (500 recommended)3. network connections (LAN Cards, Serial Ports, Wireless?)4. monitor and keyboard
With some systems by using a serial port consolé, you can even elimínate the monitorand keyboard.
If you need a proxy server that will handle lots of traffic, you should get the largestsystem you can afford. This is because for every user that connects to the system it willbe creating another process. If you will have 50 or more concurren! users I'm guessingyou will need:
1. a Pentium II with 64meg of memory2. a two gig hard dísk to store all the logs3. two network connections4. monitor and keyboard
The network connections can be any type (NIC cards, ISDN, even modems).
5. Software requirements
5.1 Selecting a Kernel
To créate a filtering firewall, you don't need any special software. Linux will do. At thetime of this writing I'm using RedHat 6.1.
The bilt in Linux firewall have changed several times. If you are using an oíd Linuxkernel (1.0.x or older) geta new copy. These older used ipfwadm fromhttp://www.xos.nl/linux/ipfwadm/ and is no longer supported.
If you are using 2.2.13 or newer you will be using ipchaining as developed byhttp://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html
If you are using the newer 2.4 kernal there is a new firewall utility with more feachers. Iwill write about this soon.
5.2 Selecting a proxy server
If you want to setup a proxy server you will need one of these packages.
1. Squid2. The TIS Firewall Toolkit (FWTK)3. SOCKS
Squid is a great package and works with Linux's Transparent Proxy feature. I will bedescribing how to setup this server.
AT the time of this writing, Network Associates and Trusted Information System's (TIS) ,have merged. So keep watching their web sites for more information about changes.Mean while, the Tool Kit can still be had at. http://www.tis.com/research/software/
Trusted Information System put out a collection of programs designed to facilítatefírewalling. With this toolkit, you set up one daemon for each service (WWW, telnet ect.)you will be using.
6. Preparing the Linux system
Install as little of the Linux system as you can. My insíallation started with a serverconfiguration and then I turn off ever un-needed service in /etc/inetd.conf. For moresecurity you should uninstall the unneeded service.
Because most distributions don't dome with a kernel usefull to your perpose. You willneed to compile your own kernal. It is best if you do this on a computer other then the
firewall. If you do install a C compiler and Utilities on your fírewall, remove them afteryou have completed comfíguring your kernel.
6.1 Compiling the Kernel
Start with a clean minimal installation of your Linux distribution. The less software youhave loaded the less holes, backdoors and/or bugs there will be to introduce securityproblems in your server.
Pick a stable kernel. I am using kernel 2.2.13 kernel for my system. So thisdocumentation is based on it's settings.
You well need to recompile the Linux kernel with the appropriate options. If you haven'trecompiled your kernel before you should read the Kernel HOWTO, the EthernetHOWTO, and the NET-2 HOWTO.
Here are the network related setting I know work. I have marked some with a ?. If youwill be using this feature, turn it on as well.
I use "rnake menuconfig" to edit my kernel settings.
<*> Packet socket[ ] Kernel/User netlink socket[*] Network firewalls[ ] Socket Filtering<*> Unix domain sockets[*] TCP/IP networking[ ] IP : multicasting[*] IP: advanced router[ ] IP: kernel level autoconfiguration[*] IP: firewalling[?] IP: always defragment (required for masquerading)[?] IP: transparent proxy support[?] IP: masquerading
Protocol-specific masquerading support will be built asmodules.
[?] IP: ICMP masqueradingProtocol-specific masquerading support will be built as
modules.[ ] IP: masquerading special modules support[*] IP: optimize as router not host< > IP: tunneling< > IP: GRE tunnels over IP[?] IP: aliasing support[*] IP: TCP syncookie support (not enabled per default)
(it is safe to leave these untouched)< > IP: Reverse ARP[*] IP: Allow large windows (not recommended if <16Mb of memory)< > The IPv6 protocol (EXPERIMENTAL)
< > The IPX protocol
< > Appletalk DDP< > CCITT X.25 Packet Layer (EXPERIMENTAL)< > LAPE Data Link Driver (EXPERIMENTAL)[ ] Bridging (EXPERIMENTAL)[ ] 802.2 LLC (EXPERIMENTAL)< > Acorn Econet/AUN protocols (EXPERIMENTAL)< > WAN router[ ] Fast switching (read help!)[ ] Forwarding between high speed Ínterfaces[ ] PU is too slow to handle full bandwidthQoS and/or faír queueing >
After making all the setting you need you should recompile, reinstall the kernel andreboot.
I use the command:
make dep;make clean;make bzlilo;make modules;make modules_install;init 6 toaccomplish all of this in one step.
6.2 Configuring two network cards
If you have two network cards in your computer, you may need to add an appendstatement to your/etc/lilo.conf file to describe the IRQ and address of both cards. My liloappend statement looks like this:
append="ether=12,0x300,ethO ether=15,0x340,ethl"
6.3 Configuring the Network Addresses
Now we arrive at the fun part of our setup. I'm not going to go deep into how to setup aLAN. Read the Networking-HOWTO to solve your problems here.
Your goal is to provide two network connection to your filtering firewall system. One onthe Internet (unsecured side) and one on the LAN (secure side).
Anyway, you have a few decisions to make.
1. Will you use Real IP number or Make some up for your LAN.2. Will your ISP assign the number or will you be using static IP numbers?
Since you don't want the internet to have access to your prívate network, you don't needto use "real addresses". You could just makeup addresses for your prívate LAN. But thisis not recommended. If data gets routed out of your LAN, it might end up at anothersystems port.
There are a number of Internet address ranges set aside for prívate networks. Of these,192.168.1 .xxx, is set aside and we will use it in our examples.
You will need to use IP masquerading to make this happen. With this process the firewallwill forward packets and transíate them into "REAL " " IP address to travel on theInternet.
Using these non-routable IP address makes your network is more secure. Internet routerswill not pass packets with these addresses.
You may want to read the IP Masquerading HOWTO at this point.
2 4 . 9 4 . 1 . 1 2 3 192.168.1.1_A_A_ \ I /
| | \ Firewall I / I I/ Internet \m ¡ 1 Workstat ion/s I\ _ _ _/ I I I I
\ \ \
You must have a "real" IP address to assign to your Internet network card. This addresscan be permanently assigned to you. (A static IP address) or it can be assigned at networkconnect time by the PPP process.
You assign your inside IP numbers. Like 192.168.1.1 to the LAN card. This will be yourgateway IP address. You can assign all the other machines in the protected network(LAN) a number in the 192.168.l.xxxrange. (192.168.1.2 through 192.168.1.254)
I use RedHat Linux. To configure the network at boot time I added a ifcfg-ethl file in the/etc/sysconfig/network-scripts directory. You may also find a ifcfg-pppO or ifcfg-trO inthis directory. These 'ifcfg-' files are used by RedHat to configure and enable yournetwork devices at boot time. The are named after the connection type.
Here is the ifcfg-ethl (second ehternet card) for our example;
DEVICE=ethlIPADDR=192.168.1. 1NETMASK=255.255.255.0NETWORK-192.168.1.0BROADCAST=192.168.1.255GATEWAY=24.94.1.123ONBOOT=yes
If you are going to use a dialup connection you will need to look at the ifcfg-pppO and thechat-pppO file. These control your PPP connection.
This ifcfg file might look like;
DEVICE="pppO"ONBOOT="yes"
USERCTL="no"MODEMPORT-"/dev/modem"LINESPEED="115200"PERSIST="yes"DEFABORT="yes"DEBUG="yes"INITSTRING="ATZ"DEFROUTE="yes"HARDFLOWCTL="yes"ESCAPECHARS="no"PPPOPTIONS=""PAPNAME="LoginID"REMIP=""NETMASK-""IPADDR=""MRU=""MTU=""DISCONNECTTIMEOUT=""RETRYTIMEOUT="5"BOOTPROTO="none"
6.4 Testing your network
Start by using the ifconfig and route commands. If you have two network cards ifconflgshould look something like:
#ifconfiglo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.O.O . OUP LOOPBACK RUNNING MTU:3924 Metric:!RX packets:1620 errors:O dropped:O overruns:OTX packets:1620 errors:0 dropped:O overruns:Ocollisions:0 txqueuelan:O
ethO Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55inet addr:24.94.1.123 Bcast:24.94.1.255 Mask:255.255.255 . OUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:!RX packets:1000 errors:0 dropped:O overruns:OTX packets: 1100 errors:O dropped:O overruns:Ocollisions:0 txqueuelan:OInterrupt:12 Base address:0x310
ethl Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7inet addr:192.168.1.1 Bcast:192.168.1.255
Mask:255.255.255.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:!RX packets:1110 errors:O dropped:O overruns:0TX packets:llll errors:0 dropped:O overruns:Ocollisions:O txqueuelan:OInterrupt:15 Base address:0x350
and your route table should look like:
ttroute -n
Kernel routing tableDestination Gateway Genmask Flags MSS Window
Use Iface24.94.1.0 * 255.255.255.0 U 1500 O
15 ethO192.168.1.0 * 255.255.255.0 U 1500 O
O ethl127.0.0.0 * 255.0,0.0 U 3584 O
2 lodefault 24.94.1.123 * UG 1500 O
72 ethO
Note: 24.94.1.0 is the Internet side of this firewall and 192.168.1.0 is the private (LAN)side.
You should start by making sure every computar on your LAN can ping the insideaddress of your firewall system. (192.168.1.1 in this example) If not, go over the NET-2HOWTO again and work on the network some more.
Next, from the firewall, try to ping a Internet system. I use www.internic.net as my testpoint. If it doesn't work, try a server at your ISP. If this doesn't work some part of yourInternet connection is wrong. You should be able to connect to the anywhere on theInternet from the firewall. Try looking at your default gateway setting. If you are using adialup connection double check your user ID and Password. Reread the Net-2 HOWTO,and try again.
Now try to ping the outside address of the firewall (24.94.1.123) from a computer onyour LAN. This shouldn't work. If it does, you have masquerading or IP Forwardingturned on, or you already have some packet filtering set. Turn them off and try again.You need to know the filtering is in place.
For kernels newer then 2.1.102 you can issue the command;
echo "O" > /proc/sys/net/ipv4/ip_forward
If you are using an older kernel (WHY) you will need to re-compile your kerneí withforwarding turned off. (Just upgrade.)
Try pinging the outside address of the firewall (24.94.1.123) again. It shouldn't work.
Now turn on IP forwarding and/or masquerading. You should be able to ping theanywhere on the Internet from any system on your LAN.
echo "1" > /proc/sys/net/ipv4/ip_forward
BIG NOTE: If you are using "REAL" IP addresses on your LAN (not 192.168.1.*) andyou can't ping the internet but you CAN ping the Internet side of your firewall, make sureyour ISP is routing packets for your private network address.
A test for this problem is to have someone else on the Internet (say a friend using a localprovider) use traceroute to your network. If the trace stops at your providers router, thenthey are not forwarding your traffic.
It works? Great. The hard part is done. :-)
6*5 Securing the Firewall
A fírewall isn't any good if the system ít is build on is left wide open to attacks. A "badguy" could gain access to the through a non fírewall service and modify it for their ownneeds. You need to turning off any unneeded services.
Look in your /etc/inetd.conf file. This file configures inetd also known as the "superserver". It controls a bunch of the server daemons and starts them as they are requestedby a packet arriving at a "well known" port.
You should turn off echo, discard, daytime, chargen, ftp, gopher, shell, login, exec, talk,ntalk, pop-2, pop-3, netstat, systat, tftp, bootp, fmger, cfínger, time, swat and linuxconfigif you have one.
To turn a service off, put # as the first character of the service line. When your done, senda SIG-HUP to the process by typing "kill -HUP <pid>", where <pid> is the processnumber of inetd. This will make inetd re-read its configuration file (inetd.conf) andrestart without taking your system down.
Test this by telneting to port 15 (netstat) on fírewall. If you get any output you have notturned these services off.
telnet localhost 19
You can also créate the file /etc/nologin. Put a few line of text in it like (BUZZ OFF).When this file exists, login will not allow user to logon. They will see the contents of thisfile and their logins refused. Only root can logon.
You can also edit the file /etc/securetty. If the user is root, then the login must beoccurring on a tty Usted in /etc/securetty. Failures will be logged with the syslog facility.With both of these controls in place the only way to logon to the fírewall will be as rootfrom the consolé.
NEVER EVER TELNET to a system and log IN AS ROOT. If you need remóte rootaccess SSH (Secure Shell). You might even turn off telnet.
If you are really paranoid you need to be using lids (Linux Intrusión Detect System). It isan intrusión detection system patch for the Linux kernel; it can protect important filesfrom being changed. When it's in effect, no one (including root) can change the protected
files or directories and their sub-directories. You have to reboot the system with asecurity=l LILO setting to modiiy secure files. (I'd also boot into single user mode.)
7. IP filtering setup (IPFWADM)
If you are using kernel 2.1.102 or newer skip to the next section on IPCHAINS.
In older kernels IP Fonvarding is turned on by default in the kernel. Because of this, yournetwork should start by denying access to everything and flushing any ipfw rules in placefrom the last time it was run. This script fragment should go in your network startupscript. (/etc/rc.d/init.d/network)
#tt setup IP packet Accounting and Forwarding## Forwarding## By default DENY all servicesipfwadm -F -p deny# Flush all comrnandsipfwadm -F -fipfwadm -I -fipfwadm -O -f
Now we have the ultímate firewall. Nothing can get through.
Now créate the file /etc/rc.d/rc.firewall. This script should allow email, Web and DNStraffic through. ;-)
# ! /bin/sh## re.firewall## Source function library.. /etc/rc.d/init.d/functions
# Get config.. /etc/sysconfig/network
# Check that networking is up.if [ ${NETWORKING} = "no" ]then
exit Oficase "$1" in
start)echo -n "Starting Firewall Services: "# Allow email to got to the server/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
192.1.2.10 25
# Allow email connections to outside email servers/sbin/ipfwadra -F -a accept -b -P tcp -S 192.1.2.10 25 -D 0.0.0.0/0
1024:65535# Allow Web connections to your Web Server/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
192.1.2.11 80# ñllow Web connections to outside Web Server/sbin/ipfwadm -F -a accept -b -P tcp -S 192.1.2.* 80 -D 0.0.0.0/0
1024:65535# Allow DNS traffic/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 192.1.2.0/24i istop)echo -n "Stooping Firewall Services: "ipfwadm -F -p deny
status)echo -n "Now do you show firewall stats?"
restart|reload)$0 stop$0 start
*)echo "Usage: firewall {startI stop I status| restartIreload}"exit 1
esac
NOTE: In this example we have the email (smtp) server running at 192.1.2.10 that mustbe able to send and receive on port 25. The web server running at 192.1.2.11. We areallowing anyone on the LAN to get to outside web and DNS servers.
This is not perfectly secure. Because port 80 doesn't have to used as a web port, a smarthacker might use this port to créate a virtual prívate network (VPN) through the firewall.The way around this is to setup a web proxy. and only allow the proxy through thefirewall. Users on the LAN will have to go through the proxy to get to outside webservers.
You might also be interested in accounting for traffic going through your firewall. Thisscript will count ever packet. You could add a line or two to account for packets going tojust a single system.
# Flush the current accounting rulesipfwadm -A -f# Accounting/sbin/ipfwadra -A -f/sbin/ipfwadra -A out -i -S 192.1.2.0/24 -D 0.0.0.0/0/sbin/ipfwadra -A out -i -S 0.0.0.0/0 -D 192.1.2.0/24/sbin/ipfwadm -A in -i -S 192.1.2.0/24 -D 0.0.0.0/0/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 192.1.2.0/24
If all you need is a filtering firewall you can stop here. Test it and Enjoy.
8. IP filtering setup (IPCHAINS)
Linux ipchains is a rewrite of the Linux IPv4 fírewalling code and a rewrite of ipfwadm,which was a rewrite of BSD's ipfw, I believe. It is required to administer the IP packetfilters in Linux kernel versions 2.1.102 and above.
The older code doesn't deal with fragments, has 32-bit counters (on Intel at least), doesn'tallow specifícation of protocols other than TCP, UDP or ICMP, can't make large changesatomically, can't specify inverse rules, has some quirks, and can be tough to manage(making it prone to user error). Or so the author says.
I'm not going to get real deep into how to control an IPChains firewall because there is aGREAT!! HOWTO on it athttp://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html. I'd just end upduplicating it here. Here are the basics.
You work with chains by ñame. You start with three built-in chains input, output andforward which you can't delete. You can créate chains of your own. Rules can then beadded and deleted from these rule sets.
The operations to work on entire chains are;
1. Créate a new chain (-N).2. Delete an empty chain (-X).3. Change the policy for a built-in chain. (-P).4. List the rules in a chain (-L).5. Flush the rules out of a chain (-F).6. Zero the packet and byte counters on all rules in a chain (-Z).
There are several ways to manipúlate rules inside a chain:
1. Append a new rule to a chain (-A).2. Insert a new rule at some position in a chain (-1).3. Replace a rule at some position in a chain (-R).4. Delete a rule at some position in a chain (-D).5. Delete the first rule that matches in a chain (-D).
There are a few operations for masquerading, which are in ipchains for want of a goodplace to put them:
1. List the currently masqueraded connections (-M -L).2. Set masquerading timeout valúes (-M -S).
There are some timing issues involved in altering fírewall rules. If you are not careful,you can let packets through while you are half-way through your changes. A simplisticapproach is to do the following:
# ipchains -I input 1 -j DENYtt ipchains -I output 1 -j DENY# ipchains -I forward 1 -j DENY
... make changes...
# ipchains -D input 1# ipchains -D output 1# ipchains -D forward 1#
This drops all packets for the duration of the changes.
Here a duplícate of the above fírewall rules in IPChains.
#!/bin/sh## re.firewall### Flush everything, start from scratch
/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward
## Redirect for HTTP Transparent Proxy#$IPCHAINS -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 80 -j
REDIRECT 8080
## Créate your own chain/sbin/ipchains -N my-chaintt Allow email to got to the server/sbin/ipchains -A my-chain -s 0.0.0.0/0 smtp -d 192.1.2.10 1024:-j
ACCEPTtt Allow email connections to outside email servers/sbin/ipchains -A my-chain -s 192.1.2.10 -d 0.0.0.0/0 smtp -j ACCEPT# Allow Web connections to your Web Server/sbin/ipchains -A my-chain -s 0.0.0.0/0 www -d 192.1.2.11 1024: -j
ACCEPT# Allow Web connections to outside Web Server/sbin/ipchains -A my-chain -s 192.1.2.0/24 1024: -d 0.0.0.0/0 www -j
ACCEPT# Allow DNS traffic/sbin/ipchains -A my-chain -p UDP -s 0.0.0.0/0 dns -d 192.1.2.0/24 -j
ACCEPT
## If you are using masquerading# don't masq interna!-Ínternal traffic/sbin/ipchains -A forward -s 192.1.2.0/24 -d 192.1.2.0/24 -j ACCEPTtt don't masq external interface direct/sbin/ipchains -A forward -s 24.94.1.0/24 -d 0.0.0.0/0 -j ACCEPT
# masquerade all ínternal IP's going outside/sbin/ipchains -A forward -s 192.1.2,0/24 -d 0.0.0.0/0 -j MASQ
## Deny everything else/sbin/ipchains -P my-chain input DENY
Don't stop here. This is not a great fírewall and I'm sure you have other services you willbe providing. Again, read the IPCHAINS-HOWTO.
9. Installing a Transparent SQUID proxy
The squid proxy is available at http://squid.nlanr.net/.
The SQUID developers provide RedHat and Debian packages. If you can, use one ofthese.
10. Installing the TIS Proxy server
10.1 Getting the software
The TIS FWTK is available at http://www.tis.com/research/software/.
Don't make the mistake I did. When you ñp files from TIS, READ THE README's.The TIS fwtk is locked up in a hidden directory on their server.
TIS requires you read their agreement athttp://www.tis.com/research/software/fwtk readme.html and then send email to [email protected] with only the word accepted in the body of the message to learnthe ñame of this hidden directory. No subject is needed in the message. Their system willthen mails you back the directory ñame (good for 12 hours) to download the source.
As of this writing, the current versión of FWTK is 2.1.
10.2 Compiling the TIS FWTK
Versión 2.1 of the FWTK compiles much easier then any of the older versions.
EXPLAINHEREÜ!
Now run make.
10.3 Installing the TIS FWTK
Run make install.
The default installation directory is /usr/1 ocal/e te. You could change this (I didn't) to amore secure directory. I chose to change the access to this directory to 'chmod 700'.
All last is left now is to configure the fírewall.
10.4 Configuring the TIS FWTK
Now the fun really begins. We must teach the system to cali theses new services andcréate the tables to control them.
I'm not going to try to re-write the TIS FWTK manual here. I will show you the setting Ifound worked and explain the problems I ran into and how I got around them.
There are three files that make up these controls.
• /etc/serviceso Tells the systern what ports a services is on.
• /etc/inetd.confo Tells inetd what program to cali when someone knocks on a service port.
• /usr/local/etc/netperm-tableo Tells the FWTK services who to allow and deny service to.
To get the FWTK functioning, you should edit these files from the bottom up. Editing theservices file without the inetd.conf or netperm-table file set correctly could make yoursystem inaccessible.
The netperm-table file
This file controls who can access the services of the TIS FWTK. You should think aboutthe trafile using the fírewall from both sides. People outside your network should identifythemselves before gaining access, but the people inside your network might be allowed tojust pass through.
So people can identify themselves, the fírewall uses a program called authsrv to keep adatábase of user IDs and passwords. The authentication section of the netperm-tablecontrols where the datábase is keep and who can access it.
I had some trouble closing the access to this service. Note the premit-hosts line I showuses a '*' to give everyone access. The corred setting for this line is " authsrv: premit-hosts localhost if you can get it working.
## Proxy configuration table## Authentication server and client rulesauthsrv: datábase /usr/local/etc/fw-authdbauthsrv: permit-hosts *authsrv: badsleep 1200authsrv: nobogus true# Client Applications using the Authentication server*: authserver 127.0.0.1 114
To initialize the datábase, su to root, and run ./authsrv in the /var/local/etc directory tocréate the administrative user record. Here is a sample session.
Read the FWTK documentation to learn how to add users and groups.
## authsrvauthsrvft listauthsrvft adduser admin "Auth DB admin"ok - user added initially disabledauthsrvft ena adminenabledauthsrvtt proto admin passchangedauthsrv# pass admin "plugh"Password changed.authsrvft superwiz adminset wizardauthsrvtt listReport for users in datábaseuser group longname ok? proto last
admin Auth DB admin ena passw neverauthsrv# display adminReport for user admin (Auth DB admin)Authentication protocol: passwordFlags: WIZARDauthsrvtt ^DEOTit
The telnet gateway (tn-gw) controls are straight forward and the first you should set up.
In my example, I permit host from inside the prívate network to pass through withoutauthenticating themselves. (permit-hosts 19961.2.* -passok) But, any other user mustenter their user ID and password to use the proxy. (permit-hosts * -auth)
I also allow one other system (192.1.2.202) to access the firewall directly without goingthrough the firewall at all. The two inetacl-in.telnetd unes do this. I will explain howthese Unes are called latter.
The Telnet timeout should be keep short.
# telnet gateway rules:tn-gw:tn-gw:tn-gw:tn-gw:tn-gw:tn-gw:
denial-msgwelcome-msghelp-msgtimeout 90permit-hosts 192.1.2.permit-hosts * -auth
/usr/local/etc/tn-deny.txt/usr/local/etc/tn-welcorne. txt/usr/local/etc/tn-help.txt
-passok -xok
# Only the Administrator can telnet directly to the Firewall via Port24
netacl-in.telnetd: permit-hosts 192.1.2.202 -exec/usr/sbin/in.telnetd
The r-commands work the same way as telnet.
# rlogin gateway rules:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:rlogin-gw:
denial-msgwelcome-msghelp-msgtimeout 90permit-hosts 192.1.2.permit-hosts
/usr/local/etc/rlogin-deny.txt/usr/local/etc/rlogin-welcome.txt/usr/local/etc/rlogin-help.txt
-passok -xok* -auth -xok
t Only the Administrator can telnet directly to the Firewall via Portnetacl-rlogind: permit-hosts 192.1.2.202 -exec /usr/libexec/rlogind -
You shouldn't have anyone accessing your firewall directly and that includes FTP sodon't put an FTP, server on you firewall.
Again, the permit-hosts Une allows anyone in the protected network free access to theInternet and all others must authenticate themselves. I included logging of every file sentand received to my controls. (-log { retr stor })
The ftp timeout controls how long it will take to drop a bad connections as well as howlong a connection will stay open with out activity.
# ftp gateway rules:ftp-gw:ftp-gw:ftp-gw:ftp-gw:ftp-gw:ftp-gw:
denial-msg /usr/local/etc/ftp-deny.txtwelcome-msg /usr/local/etc/ftp-welcome.txthelp-msg /usr/local/etc/ftp-help.txttimeout 300permit-hosts 192.1.2.* -log { retr stor }permit-hosts * -authall -log { retr stor }
Web, gopher and browser based ftp are contorted by the http-gw. The first two linescréate a directory to store ftp and web documents as they are passing through the firewall.I make these files owned by root and put the in a directory accessible only by root.
The Web connection should be kept short. It controls how long the user will wait on abad connections.
# www and gopher gateway rules:http-gw: userid roothttp-gw: directory /jailhttp-gw: timeout 90http-gw: default-httpd www.afs.nethttp-gw: hosts 192.1.2.* -log { read write ftp }http-gw: deny-hosts *
The ssl-gw is really just a pass anything gateway. Be carefuüy with it. In this example Iallow anyone inside the protected network to connect to any server outside the networkexcept the addresses 127.0.0.* and 192.1.1.* and then only on ports 443 through 563.Ports 443 through 563 are known SSL ports.
# ssl gateway rules:ssl-gw: timeout 300ssl-gw: hosts 192.1.2.* -dest { ¡127.0.0.*
!192.1. 1.* *:443:563 }ssl-gw: deny-hosts *
Here is an example of how to use the plug-gw to allow connections to a news server. Inthis example I allow anyone inside the protected network to connect to only one systemand only to it's news port.
The seconded Une allows the news server to pass its data back to the protected network.
Because most clients expect to stay connected while the user read news, the timeout for anews server should be long.
# NetNews Pluged gatewayplug-gw: timeout 3600plug-gw: port nntp 192.1.2.* -plug-to 24.94.1.22 -port nntpplug-gw: port nntp 24.94.1.22 -plug-to 192.1.2.* -port nntp
The fmger gateway is simple. Anyone inside the protected network musí login first andthen we allow them to use the fínger program on the firewall. Anyone else just gets amessage.
# Enable finger servicenetacl-fingerd: permit-hosts 192.1.2.* -exec /usr/libexec/fingerdnetacl-fingerd: permit-hosts * -exec /bin/cat
/usr/local/etc/finger.txt
I haven't setup the Mail and X-windows services so I'm not including examples. Ifanyone has a working example, picase send me email.
The /etc/services file
This is where it all begins. When a client connects to the fírewall it connects on a knownport (less then 1024). For example telnet connects on port 23. The inetd deamon hearsthis connection and looks up the ñame of these service in the /etc/services file. It thencalis the program assigned to the ñame in the /etc/inetd.conf file.
Some of the services we are creating are not normally in the /etc/services file. You canassign some of them to any port you want. For example, I have assigned theadministrator's telnet port (telnet-a) to port 24. You could assign it to port 2323 if youwished. For the administrator (YOU) to connect directly to the fírewall you will need totelnet to port 24 not 23 and if you setup your netperm-table file, like I did, you will onlybe able to this from one system inside your protected network.
telnet-af tp-gwauthssl-gw
24/tcp21/tcp113/tcp443/tcp
# this named changedident # User Verification
11. The SOCKS Proxy Server
11.1 Setting up the Proxy Server
The SOCKS proxy server available from http://www.socks.nec.com/.
Uncompressed and untar the files into a directory on your system, and follow theinstructions on how to make it. I had a couple problems when I made it. Make sure thatyour Makefíles are correct.
One important thing to note is that the proxy server needs to be added to /etc/inetd.conf.You must add a line:
socks stream tcp nowait nobody /usr/local/etc/sockd sockd
to tell the server to run when requested.
11.2 Configuring the Proxy Server
The SOCKS program needs two sepárate configuration files. One to tell the accessallowed, and one to route the requests to the appropriate proxy server. The access file
should be housed on the server. The routing file should be housed on every UNIXmachine. The DOS and, presumably, Macintosh computers will do their own routing.
The Access File
With socks4.2 Beta, the access file is caíled "sockd.conf.lt should contain 2 lines, apermit and a deny Une. Each Une will have three entries:
• The Identifier (permit/deny)• The IP address• The address modifíer
The identifier is either permit or deny. You should have both a permit and a deny Une.
The IP address holds a four byte address in typical IP dot notation. LE. 192.168.1.0.
The address modifíer is also a typical IP address four byte number. It works like anetmask. Envision this number to be 32 bits (Is or Os). If the bit is a 1, the correspondingbit of the address that it is checking must match the corresponding bit in the IP addressfield. For instance, if the line is:
permit 192.168.1.23 255 .255 .255 .255
it will permit only the IP address that matches every bit in 192.168.1.23, eg, only192.168.1.3. The line:
permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0
will permit every number within group 192.168.1.0through 192.168.1.255, the whole CClass domain. One should not have the line:
permit 192.168.1.0 0 . 0 . 0 . 0
as this will permit every address, regardless.
So, first permit every address you want to permit, and then deny the rest. To alloweveryone in the domain 192.168.l.xxx, the lines:
permit 192.168.1.0 255 .255 .255 .0deny 0 . 0 . 0 . 0 0 . 0 . 0 . 0
will work nicely. Notice the first "0.0.0.0" in the deny line. With a modifíer of 0.0.0.0,the IP address field does not matter. All O's is the norm because it is easy to type.
More man one entry of each is allowed.
Specific users can also be granted or denied access. This is done via ident authentication.Not all systems support ident, including Trumpet Winsock, so I will not go into it here.The documentation with socks is quite adequate on this subject.
The Routing File
The routing file in SOCKS is poorly named "socks.conf'. I say "poorly named" becauseit is so cióse to the ñame of the access file that it is easy to get the two confused.
The routing file is there to tell the SOCKS clients when to use socks and when not to. Forinstance, in our network, 192.168.1.3 will notneedto use socks to talk with 192.168.1.1,firewall. It has a direct connection in via Ethernet. It defines 127.0.0.1, the loopback,automatically. Of course you do not need SOCKS to talk to yourself. There are threeentries:
• deny• direct• sockd
Deny tells SOCKS when to reject a request. This entry has the same three fíelds as insockd.conf, identifíer, address and modifíer. Generally, since this is also handled bysockd.conf, the access file, the modifíer field is set to 0.0.0.0. If you want to precludeyourself from calling any place, you can do it here.
The direct entry tells which addresses to not use socks for. These are all the addressesthat can be reached without the proxy server. Again we have the three fíelds, identifíer,address and modifier. Our example would have
direct 192.168.1.0 255 .255 .255 .0
Thus going direct for any on our protected network,
The sockd entry tells the computer which host has the socks server daemon on it. Thesyntax is:
sockd @=<serverlist> <IP address> <modifier>
Notice the @~ entry. This allows you to set the IP addresses of a íist of proxy servers. Inour example, we only use one proxy server. But, you can have many to allow a greaterload and for redundancy in case of failure.
The IP address and modifier fíelds work just like in the other examples. You specifywhich addresses go where through these. 6.2.3. DNS from behind a Firewall
Setting up Domain Ñame service from behind a fírewall is a relatively simple task. Youneed merely to set up the DNS on the firewalling machine. Then, set each machinebehind the firewall to use this DNS.
11.3 Working With a Proxy Server
Unix
To have your applications work with the proxy server, they need to be "sockified". Youwill need two different telnets, one for direct communicatión, one for communication víathe proxy server. SOCKS comes with instructions on how to SOCKify a program, as wellas a couple pre-SOCKified programs. If you use the SOCKified versión to go somewheredirect, SOCKS will automatically switch over to the direct versión for you. Because ofthis, we want to rename all the programs on our protected network and replace them withthe SOCKified programs. "Finger" becomes "finger.orig", "telnet" becomes "telnet.orig",etc. You must tell SOCKS about each of these vía the include/socks.h file.
Certain programs will handle routing and sockifying itself. Netscape is one of these. Youcan use a proxy server under Netscape by enteringthe server's address (192.168.1.1 inour case) in the SOCKs fíeld under Proxies. Each application will need at least a littlemessing with, regardless of how it handles a proxy server.
MS Windows with Trumpet Winsock
Trumpet Winsock comes with built in proxy server capabilities. In the "setup" menú,enter the IP address of the server, and the addresses of all the computers reachabledirectly. Trumpet will then handle all outgoing packets.
Getting the Proxy Server to work with UDP Packets
The SOCKS package works only with TCP packets, not UDP. This makes it quite a bitless useful. Many useful programs, such as talk and Archie, use UDP. There is a packagedesigned to be used as a proxy server for UDP packets called UDPrelay, by TomFitzgerald <[email protected]>. Unfortunately, at the time of this writing, it is notcompatible with Linux.
11.4 Drawbacks with Proxy Servers
The proxy server is, above all, a security device. Using it to increase internet accesswith limited IP addresses will have many drawbacks. A proxy server will allow greateraccess from inside the protected network to the outside, but will keep the insidecompletely inaccessible from the outside. This means no servers, talk or archiveconnections, or direct mailing to the inside computers. These drawbacks might seemslight, but think of it this way:
• You have left a report you are doing on your computer inside a fírewall protectednetwork. You are at home, and decide that you would like to go over it. You cannot. You can not reach your computer because it is behind the fírewall. You try to
log into f irewall fírst, but since everyone has proxy server access, no one has setup an account for you on it.
• Your daughter goes to college. You want to email her. You have some prívatethíngs to talk about, and would rather have your mail sent directly to yourmachine. You trust your systems administrator completely, but still, this is privatemail.
• The inability to use UDP packets represents a big drawback with the proxyservers. I imagine UDP capabilities will be coming shortly.
FTP causes another problem with a proxy server. When getting or doing an is, the FTPserver opens a socket on the client machine and sends the information through it. A proxyserver will not allow this, so FTP doesn't particularly work.
And, proxy servers run slow. Because of the greater overhead, almost any other means ofgetting this access will be faster.
Basically, if you have the IP addresses, and you are not worried about security, do not usea firewall and/or proxy servers. If you do not have the IP addresses, but you are also notworried about security, you might also want to look into using an IP emulator, like Term,Slirp or TÍA. Term is available from ftp://sunsite.unc.edu, Slirp is available fromftp://blitzen.canberra.edu.au/pub/slirp, and TÍA ÍS available frommarketplace.com. These packages will run faster, allow better connections, and provide agreater level of access to the inside network from the internet. Proxy servers are good forthose networks which have a lot of hosts that will want to connect to the internet on thefly, with one setup and little work after that.
12. Advanced Configurations
There is one configuration I would like to go over before wrapping this document up. Theone I have just outlined will probably suffice for most people. However, I think the nextoutline will show a more advanced configuration that can clear up some questions. If youhave questions beyond what I have just covered, or are just interested in the versatility ofproxy servers and fírewalls, read on.
12.1 A large network with emphasis on security
Say, for instance, you are the leader of millisha and you wish to network your site. Youhave 50 computers and a subnet of 32 (5 bits) IP numbers. You need various levéis ofaccess within your network because you tell your followers different things. Therefore,you'll need to protect certain parts of the network from the rest.
The levéis are:
1. The external level. This is the level that gets shown to everybody. This is whereyou rant and rave to get new volunteers.
2. Troop This is the level of people who have gotten beyond the external level. Hereis where you teach them about the evail government and how to make bombs.
3. Mercenary Here is where the real plans are keep. In this level is stored all theinformation on how the 3rd world government is going to take over the world,your plans involving Newt Gingrich, Oklahoma City, lown care producís andwhat really is stored in that hangers at área 51.
The Network Setup
The IP numbers are arranged as:
• 1 number is 192.168.1.255, which is the broadcast address and is not usable.• 23 of the 32 IP addresses are allocated to 23 machines that will be accessible to
the internet.• 1 extra IP goes to a Linux box on that network• 1 extra goes to a different Linux box on that network.• 2 IP #'s go to the router• 4 are left over, but given domain ñames paúl, ringo, john, and george, just to
conftise things a bit.• The protected networks both have the addresses 192.168.1.xxx
Then, two sepárate networks are built, each in different rooms. They are routed viainfrared Ethernet so that they are completely invisible to the outside room. Luckily,infrared ethernet works just like normal ethernet.
These networks are each connected to one of the Linux boxes with an extra IP address.
There is a file server connecting the two protected networks. This is because the plans fortaking over the world involves some of the higher Troops. The file server holds theaddress 192.168.1.17 for the Troop network and 192.168.1.23 for the Mercenarynetwork. It has to have different IP addresses because it has to have different Ethernetcards. IP Fonvarding on it is turned off.
IP Forwarding on both Linux boxes is also turned off. The router will not forward packetsdestined for 192.168.l.xxx unless explicitly told to do so, so the internet will not be ableto get in. The reason for turning off IP Forwarding here is so that packets from theTroop's network will not be able to reach the Mercenary network, and vica versa.
The NFS server can also be set to offer different files to the different networks. This cancome in handy, and a little trickery with symbolic links can make it so that the commonfiles can be shared with all. Using this setup and another ethernet card can offer this onefile server for all three networks.
The Proxy Setup
Now, since all three levéis want to be able to monitor the network for their own deviouspurposes, all three need to have net access. The external network is connected directlyinto the internet, so we don't have to mess with proxy servers here. The Mercenary andTroop networks are behind firewalls, so it is necessary to set up proxy servers here.
Both networks will be setup very similarly, They both have the same IP addressesassigned to them. I will throw in a couple of parameters, just to make things moreinteresting though.
1. No one can use the file server for internet access. This exposes the file server toviruses and other nasty things, and it is rather important, so its off limits.
2. We will not allow troop access to the World Wide Web. They are in training, andthis kind of information retrieval power might prove to be damaging.
So, the sockd.conf file on the Troop's Linux box will have this line:
deny 192.168.1.17 255 .255 .255 .255
and on the Mercenary machine:
deny 192.168.1.23 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5
And, the Troop's Linux box will have this line
deny 0 . 0 . 0 . 0 0 . 0 . 0 . 0 eq 80
This says to deny access to all machines trying to access the port equal (eq) to 80, the httpport. This will still allow all other services, just deny Web access.
Then, both files will have:
permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0
to allow all the computers on the 192.168.l.xxx network to use this proxy server exceptfor those that have already been denied (ie. The file server and Web access from theTroop network).
The Troop's sockd.conf file will look like:
deny 192.168.1.17 255.255.255.255deny 0.0.0.0 0.0.0.0 eq 80permit 192.168.1.0 255.255.255.0
and the Mercenary file will look like:
deny 192.168.1.23 255 .255 .255 .255
permit 192.168.1.0 2 5 5 . 2 5 5 . 2 5 5 . 0
This should configure everything correctly. Each network is isolated accordingly, withthe proper amount of interaction. Everyone should be happy.
13. Making Management Easy
13.1 Firewall tools
There are several software packages that will make managing your firewall easier.
Be carefull, don't use these tools unless you can do without them. These scripts make itjust as easy to make a misstake as they do to help you get it wright.
Both graphical and web based interfaces are being developed to work with the Linuxfiltering rules. Some companies have even créate commercial firewalls based on Linuxby putting it in their own box with their own management code. (nice)
I'm not realy a GUI guy. However, I have been using firewalls with GUI interfaces forsome time. Tve found they help by providing a nice report of all the rules in one easyglance.
gfcc (GTK+ Firewall Control Center) is a GTK+ application which can control Linuxfirewall policies and rules, based on ipchains package. Go to http://icarus.autostock.co.kr/and get your copy. This is a realy good tool.
I have included RC scripts in appendex A. These scripts work with and without gfcc.
There a lots of scripts avaible to setup a firewall. One very complete script is avaible athttp://www.iasmine.org.uk/~simon/bookshelf/papers/instant-firewall/instant-firewall.html. Another will done script is at http://www.pointman.orK/.
Kfirewall is a GUI frontend for ipchains or ipfwadm (depending on your kernel versión).http://mefiaman.ypsilonia.net/kfirewall/
FCT is an HTML based tool for the configuration of a firewall. It features automaticscript-generation for IP-filtering commands (ipfwadm) on a firewall for múltipleinterfaces and any internet services. http://www.fen.baynet.de/~ftH4/FCT/firewall.htm
13.2 General tools
WebMin is a general system admin package. It will not help you manage the firewallrules but it will help you with turning on and off damons and processes. This program is
VERY good, I'm hoping the J. Cameron will include a IPCHAINS module.http://www.webmin.com/
httptunnel. httptunnel creates a bidirectional virtual data path tunnelled in HTTP requests.The HTTP requests can be sent via an HTTP proxy if so desired. Or, on their system theyinstall a Virtual Prívate Network (vpn). See: http://sunsite.auc.dk/vpnd/ Or, Maybe thisuser simply puts a modem on their NT system and turns on routing. Finally, on theworkstation, on the prívate LAN, change the default gateway to point to the new route tothe Internet. Now, from this workstation, you can go anywhere. The only thing thefirewall admin might see is one connect with nowill see is a realíy long DNS lookup.Now, take over the world!
15. APPENDEX A - Example Scripts
15.1 RC Script useing GFCC
#!/bin/bash## Firewall Script - Versión 0.9.1tt chkconfig: 2345 09 99# description: firewall script for 2.2.x kernel# Set for testing# set -x#I NOTES:t# This script is written for RedHat 6.1 or better.## Be careful about offering public services like web or ftp servers.## INSTALLATION:# 1. place this file in /etc/rc.d/init.d (you'll have to be root..)# cali it sornething like "firewall" :-}# make it root owned --> "chown root.root (flléname)"# make it executable --> "chmod 755 (flléname)"## 2. use GFCC to créate your firewall rules and export them to a file# named /etc/gfcc/rules/firewall.rule.sh.## 3. add the firewall to the RH init structure --> "chkconfig --add(flléname)"# next time the router boots, things should happen automagically!# sleep better at night knowing you are *LESS* vulnerable thanbefore...## RELÉASE NOTES# 30 Jan, 2000 - Changed to GFCC script# 11 Dec, 1999 - updated by Mark Grennan <[email protected]>
t 20 July, 1999 - initial writing - Anthony Ball <[email protected]>#
########f###########f#######f###################
# Source function library.. /etc/rc.d/init.d/functions
# Source networking configuration.. /etc/sysconfig/network
# Check that networking is up.[ ${NETWORKING) = "no" ] && exit O
t See how we are calledcase "$1" in
start)# Start providing accessaction "Starting firewall: " /bin/true/etc/gfce/rules/firewall.rule.shecho
stop)action "Stoping firewall: " /bin/trueecho O > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward
echo
restart)action "Restarting firewall: " /bin/true$0 stop$0 start
echo
status)# List out all settings/sbin/ipchains -L
test)action "Test Mode firewall: " /bin/true/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forwardecho 1 > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -A input -j ACCEPT/sbin/ipchains -A output -j ACCEPT/sbin/ipchains -P forward DENY/sbin/ipchains -A forward -i $PUBLIC -j MASQ
echo
echo "Usage: $0 {startI stop jrestartI status|test}"exit 1
esac
15.2 GFCC script
This script was generated by the Graphical Firewall program (GFCC). This is not theworking rule set, This is the exported rules set.
#!/bin/sh# Generated by Gtk+ firewall control center
IPCHAINS=/sbin/ipchains
localnet="192.168.1.0/24"firewallhost="192. 168.1.1/32"localhost="172.0.0.0/8"DNS1="24.94.163.119/32"DNS2="24.94.163.124/32"Broadcast="255.255.255.255/32"Multicast="224.0.0.0/8"Any="Q.O.O.O/0"mail_grennan_com="192.168.1.1/32"raark_grennan_com="192.168.1.3/32"
$IPCHAINS -P input DENYSIPCHAINS -P forward ACCEPT$IPCHAINS -P output ACCEPT
$IPCHAINS -FSIPCHAINS -X
tt input rules$IPCHAINS -A input$IPCHAINS -A input$IPCHAINS -A input3IPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A inputSIPCHAINS -A input
-s $Any -d $Broadcast -j DENY-p udp -s SAny -d $Any netbios-ns -j DENY-p tcp -s $Any -d $Any netbios-ns -j DENY-p udp -s $Any -d SAny netbios-dgm -j DENY-p tcp -s $Any -d SAny netbios-dgm -j DENY-p udp -s $Any -d $Any bootps -j DENY-p udp -s SAny -d $Any bootpc -j DENY-s SMulticast -d SAny -j DENY-s Slocalhost -d SAny -i lo -j ACCEPT-s Slocalnet -d SAny -i ethl -j ACCEPT-s Slocalnet -d SBroadcast -i ethl -j ACCEPT-p icrap -s SAny -d SAny -j ACCEPT-p tcp -s $Any -d SAny -j ACCEPT ! -y-p udp -s SDNS1 domain -d $Any 1023:65535 -j ACCEPT
$IPCHAINSSIPCHAINS$IPCHAINSSIPCHAINSSIPCHAINS$IPCHAINSSIPCHAINS$IPCHAINSSIPCHAINS
-A-A-A-A-A-A-A-A-A
inputinputinputinputinputinputinputinputinput
-P-P-P-P-P-P-P-P-s
udp -tcp -tcp -tcp -tcp -tcp -tcp -tcp -SAny
ssssssss-d
SDNS2$Any$Any$Any$AnySAnySAnySAnySAny
doma i n-d SAny-d SAny-d $Any-d SAny-d SAny-d SAny-d SAny-j DENY
-d $Anyssh - jtelnetsmtp -jpop-3 -auth -jwww - jftp -j-1
1023:65535 -j ACCEPTACCEPT-j ACCEPTACCEPTj ACCEPTACCEPT
ACCEPTACCEPT
# forward rulesSIPCHAINS -A forward -s Slocalnet -d SAny -j MASQ
t output rules
15.3 RC Script without GFCC This is the firewall rulesset built my hand* It does not use GFCC.
#!/bin/bash#tt Firewall Script - Versión 0.9.0
# chkconfig: 2345 09 99tt description: firewall script for 2.2.x kernel
# Set for testing# set -x
## NOTES:## This script is written for RedHat 6.0 or better.## This firewall script should work for most routers, dial-up or cablemodem.# It was written for RedHat distributions.## Be careful about offering public services like web or ftp servers.## INSTALLATION:# 1. This file planned for a RedHat system. It would work# on other distro's with perhaps no modification, but again...# Who knows?!!? These instructions apply to RedHat systems.###
2. place this file in /etc/rc.d/init.d (you'll have to be root..}cali it something like "firewall" :-)make it root owned -->make it executable -->
"chown root . root <f ilename>""chmod 755 <f i leñame >"
3. set the valúes for your network, Ínternal Ínterface, and DNSservers# uncomment lines further down to enable optional in-bound services# make sure "ethO" is your Ínternal NIC (or changa the valué below)# test it —> "/etc/rc.d/init.d/<filename> start"# you can list the rules —> "ipchains -L -n"
# fix anything that broke... :-)## 4. add the firewall to the RH init structure — > "chkconf ig — add<f ilename>"i next time the router boots, things should happen automagically !# sleep better at night knowing you are *LESS* vulnerable thanbef ore . . .## RELÉASE NOTES# 20 July, 1999 - initial writing - Anthony Ball <tony@LinuxSIG. org># 11 Dec, 1999 - updated by Mark Grennan <mark@grennan. com>#
###t##tt########################################## Fill in the valúes below to match your# local network.
PRIVATENET=xxx . xxx . xxx . xxx/xx
PUBLIC=pppOPRIVATE=ethO
# your dns ser ver sDNSl^xxx . xxx. xxx . xxxDNS2=xxx . xxx . xxx . xxx
# some handy generic valúes to useANY=0.0.0.0/0ALLONES=255.255.255.255
# Source f une t ion librar y.. /etc/rc.d/init. d/functions
# Source networking conf i gura t ion.. /etc/sysconf i g /network
# Check that networking is up.[ $ {NETWORKING} = "no" ] && exit O
# See how we are calledcase "$1" in
start)# Start providing accessaction "Starting firewall : " /bin/true
## Setup Envirement### Flush all lists/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F f orward
# Plug up everything
/sbin/ipchains -I input 1 -j DENY
tt set policy to deny (Default is ACCEPT)/sbin/ipchains -P input DENY/sbin/ipchains -P output ACCEPT/sbin/ipchains -P forward ACCEPT
tt Turn on packet forwardingecho 1 > /proc/sys/net/ipv4/ip_forward
##tttt Install Modulestttttt Insert the active ftp module. This will allow non-passive
ftp to machines# on the local network (but not to the router since it is not
masq'd)if ! ( /sbin/lsmod I /bin/grep raasq_ftp > /dev/null ); then
/sbin/insrnod ip_masq_ftpfi
tttt## Some Security Stufftttt# turn on Source Address Verification and get spoof protection# on all current and future interfaces.if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for f in /proc/sys/net/ipv4/conf/*/rp_filter; doecho 1 > $f
doneelse
echoecho "PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE
WORRIED."echo
fi
over IP
tt deny bcasts on remaining interfaces/sbin/ipchains -A input -d 0.0.0.0 -j DENY/sbin/ipchains -A input -d 255.255.255.255 -j DENY
tt deny these without logging 'cause there tend to be a lot.../sbin/ipchains -A input -p udp -d $ANY 137 -j DENY # NetBIOS
/sbin/ipchains -A input -p tcp -d $ANY 137 -j DENY/sbin/ipchains -A input -p udp -d $ANY 138 -j DENY/sbin/ipchains -A input -p tcp -d $ANY 138 -j DENY/sbin/ipchains -A input -p udp -d $ANY 67 -j DENY/sbin/ipchains -A input/sbin/ipchains -A input
Multicast addresses
-p udp -d $ANY 68 -j DENY-s 224.0.0.0/8 -j DENY
#
#tttt bootptttt
##tttt Allow private network outtttttt allow all packets on the loopback Ínterface/sbin/ipchains -A input -i lo -j ACCEPT
# allow all packets from the Ínternal "trusted" Ínterface/sbin/ipchains -A input -i SPRIVATE -s $PRIVATENET -d $ANY -j
ACCEPT/sbin/ipchains -A input -i SPRIVATE -d $ALLONES -j ACCEPT
t### Allow Outside Services into the firewall (if you daré)
# allow ICMP/sbin/ipchains -A input -p icmp -j ACCEPT# allow TCP/sbin/ipchains -A input -p tcp ! -y -j ACCEPT
# allow lookups to DNS (on firewall)/sbin/ipchains -A input -p udp -s $DNS1 domain -d $ANY 1023: -j
ACCEPT/sbin/ipchains -A input -p udp -s $DNS2 domain -d $ANY 1023: -j
ACCEPT# or (BETTER IDEA) run a caching DNS server on the router and
use the# following two lines instead...# /sbin/ipchains -A input -p udp -s $DNS1 domain -d $ANY domain
-j ACCEPT# /sbin/ipchains -A input -p udp -s $DNS2 domain -d $ANY domain
-j ACCEPT
# uncomment the following to allow ssh in/sbin/ipchains -A input -p tcp -d $ANY 22 -j ACCEPT
# uncomment the following to allow telnet in (BAD IDEA!!)/sbin/ipchains -A input -p tcp -d $ANY telnet -j ACCEPT
# uncomment to allow NTP (network time protocol) to router# /sbin/ipchains -A input -p udp -d $ANY ntp -j ACCEPT
tt uncomment to allow SMTP in (not for mail clients - only aserver)
/sbin/ipchains -A input -p tcp -d $ANY smtp -j ACCEPT
# uncomment to allow POP3 in (for mail clients)/sbin/ipchains -A input -p tcp -d $ANY 110 -j ACCEPT
# allow auth in for sending mail or doing ftp/sbin/ipchains -A input -p tcp -d $ANY auth -j ACCEPT
# uncomment to allow HTTP in (only if you run a web server onthe router)
/sbin/ipchains -A input -p tcp -d $ANY http -j ACCEPT
# uncomment to allow FTP in/sbin/ipchains -A input -p tcp -d $ANY ftp -j ACCEPT
## Masquerading stuff
# masquerade packets forwarded frorn internal network
/sbin/ipchains -A forward -s SPRIVATENET -d $ANY -j MASO
## deny EVERYthing else and log them to /var/log/messages
/sbin/ipchains -A input -1 -j DENY
# Remove the Plug/sbin/ipchains -D input 1
stop)action "Stoping firewall: " /bin/trueecho O > /proc/sys/net/ipv4/ip_forward/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward
echo
restart)action "Restarting firewall: " /bin/true$0 stopSO start
echo
status)# List out settings/sbin/ipchains -L
test)
## This is about as simple as it gets#tt (This is not secure AT ALL)action "WARNING Test Firewall: " /bin/true/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forwardecho 1 > /proc/sys/net/ipv4 /ip_f orward/sbin/ipchains -A input -j ACCEPT/sbin/ipchains -A output -j ACCEPT/sbin/ipchains -P forward DENY/sbin/ipchains -A forward -i $PUBLIC -j MASQ
echo
echo "Usage: $0 {startI stop I restartI status(test)exit 1
esac
16. APPENDEX B - An VPN RC Script for RedHat
#!/bin/sh## vpnd This shell script takes care of starting and stoppingt vpnd (Vertual Privage Network connections).## chkconfig: - 96 96# description: vpnd#
# Source function library.. /etc/rc.d/init.d/functions
# Source networking configuration.. /etc/sysconfig/network
# Check that networking is up.[ ${NETWORKING} = "no" ] && exit O
[ -f /usr/sbin/vpnd ] || exit O
[ -f /etc/vpnd.conf ] || exit O
RETVAL=0
# See how we were callad,case "$1" in
start)# Start daemons.echo -n "Starting vpnd: "daemon vpndRETVAL=$?[ $RETVAL -eq O ] && touch /var/lock/subsys/vpndecho
stop)# Stop daeraons.echo -n "Shutting down vpnd: "killproc vpndRETVAL=$?[ $RETVAL -eq O ] && rm -f /var/lock/subsys/vpndecho
restart)$0 stop$0 start/ i
*)echo "Usage: vpnd {start|stop|restart}"exit 1
esac
ANEXO A7
CARACTERÍSTICAS DE ROUTER CISCO2500 Y SWITCH CISCO 1548M
Cisco 2500 Series — Fixed and Modular Access Routers
Product OverviewThe Cisco 2500 series routers provide a variety of models designed for branch office and remote site environments. Theserouters are typically fixed configuration with at least two of the following interfaces:
• Ethernet (AUI)
• lOBaseT Ethernet hub
• Token Ring
• Synchronous serial
• Asynchronous serial
• ISDNBRI
Key Features and BenefitsCisco 2500 routers come with Flash EPROM technology for simplified software maintenance. These systems support avariety of Cisco IOS software feature sets, so you can choose a feature set that supports your specific protocol environment.The software feature sets range from an IP and bridging-only to the full array of Cisco's software functionality, includingAPPN and RMON.
Mission-specific models contain less memory and less hardware functionality to support a subset of protocols. Each mission-specific model can be upgraded to full router capability by downloading a new Cisco IOS software feature set and, ifnecessary, adding memory.
Cisco 2500 series models can be divided into the following categories:
• Single LAN routers — Models 2501, 2502,2503, 2504, 2520, 2521, 2522 and 2523
• Mission-specific, entry-level routers — Models 2501CF, 2501LF, 2502CF, 2502LF, 25031, 25041, 2520CF, 2520LF,2521CF, 2521LF, 2522CF, 2522LF, 2523CF and2523LF
• Router/hub combinations — Models 2505, 2507 and 2516
• Access servers — Models 2509 to 2512 (refer to the "Cisco 2500 Series Access Servers" section in the "Access Servers"chapter in the catalog)
• Dual LAN routers — Models 2513, 2514 and 2515
• Modular routers — Models 2524 and 2525 (optional integrated DSU/CSU or NT-1)
Specifications
HardwareAll the Cisco 2500 series models support the features usted in the following table.
Visit Cisco Connection Online at www.cisco.com
Table 18-92: Tech nica I Speclfications for Cisco 2500 Serles
Descriptlon Speciftcatlon
Flash memory Mínimum of 8 MB of Flash memory, except for the mission-specific routers which require only4 MB of Flash memory. However, depending on the Cisco IOS reléase that shipped with thcsystem, it might require more memory. Refer to the "Cisco IOS Software" chapter for themínimum Flash memory required foreach feature set.
DRAM memory expandability
Processor type
Minimum DRAM required by the Cisco IOS reléase that shipped wíth the system. Refer to the"Cisco IOS Software" chapter for the mínimum DRAM required for each feature set.
20 MHz 68030
Software options — Cisco IOSReléase 11.2
IP Routing
IP Routing Plus
IP/IPX with IBM base functionality and APPN
Desktop (IP/IPX/AppleTalk/DEC)
Desktop (IP/IPX/AppleTalk/DEC) Plus
Enterprise
Enterprise Plus
Enterprise/APPN/Plus
Mission-specific Cisco 2500 series: application-specific software
Software options — Cisco IOSReléase 11.1 and 11.0
IP Routing
IP Routing with IBM base functionality
IP/IPX Routing
IP/IPX Routing with IBM base functionality
IP/IPX with IBM base ftinctionality and APPN
Desktop
Desktop with IBM base functionality
Enterprise
Enterprise/APPN
RMON
Mission-specific Cisco 2500 series: application-specific software
Standard components Power supply and cord
Consolé cable kit
RJ-45-to-DB-9 adapter
19 in. rack-mount/wall-mount kit
1. If your systcm rcquircs more than 8 MB of Flash mcmory, thc additional mcmory must be ordcrcd scparalcly.2. This feature set ¡s availablc with Cisco IOS Reléase 11.Oandlatcrrcleascs.3. Thc consolé cable kit includcs an RJ-45-to-RJ-45 roll-ovcr consolé cable, an RJ-45-to-DB-25 malc DCE adaptcr, an RJ-45-to-DB-25 fcmalcDTE adapter, and an RJ-45-to-DB-9 femate DTE adapter
Table 18-93: Physical and Environmental Speciflcations for Cisco 2500 Serles
Descrlption Specff I catión
Consumption Formodels 2501 to 2525: 40W
Input Formodels 2501 to 2516 and 2520 to 2525: 110 to 220 VAC, 50 to 60 Hz -48 VDC
Current rating For models 2501 to 2516 and 2520 to 2525: I .OA at 60 Hz, 0.5A at 50 Hz
Operating temperature range For models 2501 to 2516 and 2520 to 2525: 32 to 104T (O to 40'C)
S tora ge temperatura range For models 2501 to 2516 and 2520 to 2525: -10 to 185T (-40to 85°C)
Humidity (noncondensing) For models 2501 to 2525: 5 to 95%
Dimensions (H x W x D) Models 2501 to 2516 and 2520 to 2525: l .75x 17.5 x 10.56 in. (4.44 x 44.45 x 26.82 cm)
Weight (average shipping) Models 2501 to 2516 and 2520 to 2525: IO Ib. (4.5 kg)
2 Cisco Product Catalog, October, 2001
OptionsThe Cisco 2500 series routers are discussed in the following scctions:
* Memory Options
* Single LAN Routers
* Mission-Speciríc Routers
* Router/Hub Combinations
* Access Servers
* Dual LAN Routers
* Modular Routers
* Hardware Product Numbers
Memory OptionsAll Cisco 2500 models include a mínimum of 8 MB of Flash memory, except for the mission-specific routers which include4 MB or 8 MB of Flash memory, depending upon the Cisco IOS software reléase you order. Additional Flash memory canbe purchased to allow for dual banking or potcntial ñiture code growth.
There are two types of DRAM memory in the Cisco 2500 series routers: primary and shared (packet). Primary memory isused to store the operating configuraron, routing tables, caches, and queues. Shared memory is used to store incoming andoutgoing packets, In the table below, the physical configuration column lists the amount of DRAM SIMM memorysupported. The system usage column lists how the system allocates the total DRAM memory installed.
Table 18-94: Shared and Primary DRAM Memory for Cisco 2500 Seríes
Total DRAM Memory
4MB
8MB
I6MB
Physical Configuraron
DRAM SIMM
4MB
8MB
16 MB
System Usage
Shared DRAM Memory
2MB
2MB
2MB
Primary DRAM Memory
2MB
6MB
14 MB
Single LAN RoutersEach Cisco 2501, 2502, 2503, 2504, 2520, 2521, 2522, and 2523 machine contain the common Cisco 2500 series featurcsusted in the following table.
Note This section discusses standard models. The mission-specific models are described in the "Míssion-Specific Routers"section later in this chapter.
Visit Cisco Connection Online at www.cisco.com
Table 18-95: Single LAN Router Network Interfaces
Model
Cisco 250 1
Cisco 2502
Cisco 2503
Cisco 2504
Cisco 2520
Cisco 252 1
Cisco 2522
Cisco 2523
Ethernet
I
0
I0
I0
I0
Token Ring0
I0
I0
I0
I
Low-Speed Serial1
0
0
0
0
2
2
8
8
Serial2
2
2
2
2
2
2
2
2
ISDN BRI
0
0
111111
1. Synchronous and asynchronous.2. Synchronous.
Figure 18-24: Cisco 2501 RearVIew
DB-15 DB-60 RJ-45 On/off Powerswitch
Figure 18-25: Cisco 2502 RearVIew
í íDB-9 DB-60 RJ-45 On/off Power
switch
4 Cisco Product Catalog, October, 2001
Figure 18-26: Cisco 2503 Rear Vlew
t f t f tDB-15 DB-60 RJ-45 On/off Power
switch
Figure 18-27: Cisco 2504 Rear View
DB-9 DB-60 RJ-45í t
On/off Powerswitch
Figure 18-28: Cisco 2520 Rear Vlew
DB-60 DB-60 DB-15 RJ-45 On/off Powerswitch
Figure 18-29: Cisco 2521 Rear Vlew
t t t tDB-60
! t! V t tDB-9 UTP ISDN RJ-45 On/off Power
Token Ring (BRI) switch
Visit Cisco Connection Online at www.cisco.com
Figure 18-30: Cisco 2522 Rear View
DB-60í tí V t í
DB-15 10BaseT RJ-45 On/off PowerISDN switch(BRI)
Figure 18-31: Cisco 2523 Rear View
DB-60
ít V t tDB-60 DB-15 UTP ISDN RJ-45 On/off Power
Ethernet (BRI) switch
Mission-Specific RoutersMission-specific routers are entry-level routers that are based on standard Cisco 2500 hardware. However, mission-specificrouters contain less memory than standard models and run reduced software images designed for CFRAD, LAN FRAD, andISDN applications. These reduced software images disable unused ports. Mission-specific routers can be upgraded to fullstandard-model functionality by purchasing additional software and memory.
Table 18-96: Mission-Specific Router Network Interfaces
Model
Cisco 2501CF
Cisco 250 1 LF
Cisco 2502CF
Cisco 2502LF
Cisco 25031
Cisco 25041
Cisco 2520CF
Cisco 2520LF
Cisco 252ICF
Cisco 252 1LF
Cisco 2522CF
Cisco 2522LF
Ethernet
Software disabled
1
0
0
1
25 1 6: hardware :interfaces>0
Software disabled
I
0
0
Software disabled
1
Token Ring
0
0
Software disabled
1
0
1
0
0
Software disabled
1
0
0
Serial
2
2
2
2
Software disabled
Software disabled
2
2
2
2
2
2
Low-Speed Serial
0
0
0
0
0
0
2
2
2
2
8
8
ISDN BRI
0
0
0
0
1tSoftware disabled
Software disabled
Software disabled
Software disabled
Software disabled
Software disabled
6 Cisco Product Catalog. October, 2001
Model Ethernet Token Ring Serial Low-Speed Serial ISDN BRI
Cisco 2523CF O Software disabled Software disabled
Cisco 2523LF Software disabled
Router/Hub CombinationsThe Cisco 2505, 2507, and 2516 support integrated hub ftlnctionality as well as all the common features listed inTable 11-89. In addition, these models support the interfaces listed in the following table.
Table 18-97:10BaseT Hub Ports for Cisco 2500 Series
Model
Cisco 2505
Cisco 2507
Cisco 25 16
Serial
2
2
2
Hub Ports
8
16
14
ISDN BRI
0
0
1
Figure 18-32: Cisco 2505 Rear View
FU-45t , t U t t
DB-60 RJ-45 On/off Powerswitch
Figure 18-33: Cisco 2507 Rear View
í íRJ-45 DB-60 RJ-45 On/off Power
switch
Visit Cisco Connection Online at www.cisco.com
Figure 18-34: Cisco 2516 Rear Vlew
LJ t tRJ-45
MDI/MDI-Xswitch
BRI DB-60 DB-60 RJ^t5 On/off Powerswitch
Access ServersThe Cisco 2509 25! O 2511, and 2512 are designed to function as access servers for remote node and asynchronous/For complete informador,, refer to the "Access Se^ers" chapter ui the cataiog.
ROUtT C i s c o 2 5 I3,25l4,and25,5providehigher-densityLAN
Table 18-98: Dual LAN Router Interface Options
Ethernet Token Ring
Figure 18-35: Cisco 2513 Rear Vlew
DB-9 DB-15 DB-60
í í í tRJ-45 On/off Power
switch
8 Cisco Product Catalog. October, 2001
Figure 18-36: Cisco 2514 Rear View
DB-15 DB-15 DB-60í t t tRJ-45 On/off Power
switch
Figure 18-37: Cisco 2515 Rear Vlew
DB-9 DB-9 DB-60í t t tRJ-45 On/off Power
switch
Modular RoutersThe Cisco 2524 and 2525 provide LAN and WAN access in a low-cost modular router platform that can grow with yourinternetworking needs. The Cisco 2524 offers an Ethernet (AUI or lOBaseT) LAN connection, and the Cisco 2525 offers aToken Ring (STP or UTP) LAN connection. Both routers can accommodate up to three WAN modules — two synchronousserial and one ISDN.
The choice of synchronous serial WAN modules is as follows:
• 2-wire, switched, 56-kbps DSU/CSU
• 4-wire, 56/64-Kbps DSU/CSU
• Fractional TI/TI DSU/CSU
• Five-in-one synchronous serial
Note The five-in-one synchronous serial WAN module gets its ñame from the five types of signaling it supports, whichinclude: EIA/TIA-232, EIAATIA-449, V.35, X.21 and EIA-530. You can order a DB-60 shielded serial transition cable. Therouter end of the cable has a DB-60 connector; the other end of the cable has the appropriate connector for the standardinterface you specify.
The choice of ISDN WAN modules is as follows:
• ISDNBRI
• ISDN with integrated NT1 device
The ISDN WAN modules are keyed so that you cannot insert them into the synchronous serial WAN slots. A blank slot coveris installed over unused slots.
Visit Cisco Connection Online at www.cisco.com
Figure 18-38: Cisco 2524 Rear View
port (DB-15)LED
On/offswitch
Power
(RJ-45)Ethernet 10BaseT Auxilian/link LED port port
(RJ-45) (RJ-45)
Figure 18-39: Cisco 2525 Rear View
F j ----- — - - , -i -j — — — _ -. _ . ..
£-•" " ^-^-^^^S^" H-t
Token Ringport (DB-9)
Token
/ T '
LANactivity
Ringin-ring LED
Consoléport
(RJ-45)
. finí'--• 1 f])
t fOn/off Poweswitch
Auxilian/UTP portPOft (RJ-45)
(RJ-45)
Figure 18-40: 2-WÍre, Switched, 56-Kbps DSU/CSU WAN Module
TranLE
'
^ 2-WIRE f1! I I III1! C® 56K l l ! l 1 1 1 OA DSU/CSU ..r CD C
aPtive RJ-11 CarrierdetectLED
RecLE
smitD
LoopbackLED
I
f 1 ^X LB
5 ° ®[
x 2 t
Alarm Captív
LED SCre^
eiveID
10 Cisco Product Catalog, October, 2001
Figure 18-41: 4-Wire, 56/64-kbps DSU/CSU WAN Module
TranLE
i_J l_ T
4-WIRE r V, Cíl£) 56K/64K j OA DSU/CSU Ln_l__J-i ' CD C
( r = i | " >
Sew6 RJ-*88 CarrierdetectLED
RecLE
smitD
LoopbackLED
f y iX LB1 O C
(íüíi
) O AX AL _ _l í VZ117 |
Alarm CaPtiv
LED
siveD
Figure 18-42: Fractional T1/T1 DSU/CSU WAN Module
TransmitLED
LoopbackLED
© F
A c
aptiveicrew
MON JACK
Tim O Osu/es u ^--/ ^^
v ,q IN | OUTC )
NET' i
Monitor
iT
° cCD ^
t R>k
Carrier.„» detect
r | íX LB"} C} ¿
(3£i) O A
Alarm CaptivLED screw
LEDReceive
LED
Figure 18-43: ISDN BRI WAN Module
(£) ISDN-BRIA 1J
A sn-
aptive RJ-45screw
Q ACTIVITY A [
T r i1 1
ISDN BRI Captlv
activity LED screvv
V/s/í Cisco Connection Online at www.cisco.com 11
Figure 18-44: ISDN BRI with Integrated NT1 WAN Module
ISDN-BRIwith NTI
ACT NTI
O O
Captivescrew RJ-45
Captivescrew
Figure 18-45: Five-ln-One Synchronous Serial WAN Module
SERIAL'( ) ACTIVITY
Captivescrew DB-60 Serial
activity LED
Captivescrew
Figure 18-46: Blank Slot Cover
BLANK
Do not plug/unplug modules with power on.
Captivescrew
Captivescrew
Refer to the "Cisco IOS Software" chapter for detailed software feature set information.
12 Cisco Product Catalog, October, 2001
Ordering Information
Where to buy Cisco producísVisit http://www.ci sco.com/public/orderi ng_info.shtml
Product and Part Numbers
Part Numbers for the Cisco 2500 Serles
Part Description Part Number
Cisco 2500 Seríes Products
Cisco 2501 Ethernet/Dual Serial Router CISCO250I
Cisco 2501 Ethernet/Dual Serial Router-DC
CISCO250I-DC
Cisco 2503 Ethernet/Dual Serial/ISDN-BRIRouter
CISCO2503
Cisco 2503 Ethernet/Dual Serial/ISDN-BRIRouter-DC
CISCO2503-DC
Cisco 2503 Ethernet/Dual Serial/ISDN-BRI Router
C1SCO2503I
Cisco 2503 Ethernet/Dual Serial/ISDN-BRI Router-DC
CISCO2503I-DC
Cisco 2507 Ethernet (16 UTP Hub Ports}/Dual Serial Router
CISCO2507
Cisco 2507 Ethernet (16 Hub Ports)/DualSerial Router-DC
CISCO2507-DC
Ethernef dual serial/8 asynch router C1SCO2509-CH
Cisco 2514 Dual Ethernel/Dual SerialRouter
CISCO2514
Cisco 2514 Dual Ethernet/Dual SerialRouter-DC
CISCO2514-DC
Cisco 2520 Ethemet/4-Port Serial/ISDNRouter
CISCO2520
Cisco 2520 Ethernet/4-Port Serial/ISDNRouter-DC
C1SCO2520-DC
Cisco 2524 Ethernet/Modular 3-Port SerialRouter
CISCO2524
Modular router with 3 Open Slots CISCO2524-CH
Cisco 2524 Ethernet/Modular 3-Port SerialRouter
CISCO2524-DC
Cisco 2500 Routers wlth 1P Software
Ethernet/dual serial router C1SCO2501-CH
Ethernet/dual serial/ISDN/BRI router CISCO2503-CH
Ethernet (16-port hub)/dual serial router CISCO2507-CH
Dua! Ethernet/dual serial router CISCO2514-CH
Ethernet/dual serial/dual asynch/synch/ISDN/BRI
CISCO2520-CH
Modular router with 3 Open Slots CISCO2524-CH
Cisco 2524/2525 Optional WANInterface Modules
Visit Cisco Connection Online at www.cisco.com 13
Part Descriptlon
Cisco 2524/25 2-Wire 56Kbps DSU/CSUInterface
Cisco 2524/25 2-Wirc 56Kbps DSU/CSUInlerface
Cisco 2524/25 4-Wire 56/64Kbps DSU/CSU Interface
Cisco 2524/25 4-Wire 56/64Kbps DSU/CSU Interface
Cisco 2524/25 Fraclional/Full T-l DSU/CSU Interface
Cisco 2524/25 T1/FT1 DSU/CSU
Cisco 2524/25 ISDN-BRI with SAT busInterface
Cisco 2524/25 ISDN-BRI with U busInterface
Cisco 2524/25 Blank Module
Cisco 2524/2525 Blank Module - Spare
Part Number
SM25-56K2
SM25-56K2=
SM25-56K4
SM25-56K4=
SM25-T1
SM25-TI =
SM25-BRI-S/T
SM25-BRI-U
SM25-BLANK.
SM25-BLANK=
Cisco 2500 Series (all but 2517, 2518,2519) Memory Optlons
Optional 4 MB of DRAM Memory
Optional 8 MB of DRAM Memory
Optional 8 MB of DRAM Memory
Optional l ó M B o f D R A M Memory
Optional l ó M B o f D R A M Memory
Optional 4 MB Flash Memory
Optional 8 MB Flash SIMM
Optional 8 MB Flash Memory
MEM-lX4D=
MEM-IX8D
MEM-lX8D=
MEM-IXI6D
MEM-IXI6D=
MEM-IX4F=
MEM-1X8F
MEM-IX8F=
Cisco 2500 Seríes Memory Optlons
4MB-to-8MB DRAM SIMM FactoryUpgrade for Cisco 2500 seríes
4MB-IO-I6MB DRAM SIMM FactoryUpgrade for Cisco 2500 series
8MB-IO-16MB DRAM SIMM FactoryUpgrade for Cisco 2500 series
8MB-to-I6MB Flash SIMM FactoryUpgrade for Cisco 2500 seríes
MEM2500-4U8D
MEM2500-4U16D
MEM2500-8UI6D
MEM2500-8UI6F
Cisco 2500 Seríes Optlons andAccessoríes
Auxiliary/Console Port Cable Kít
AUX/Console Part Cable Kit
RACK-MOUNT KIT, I9INCHES
RACK-MOUNT KIT, 24 INCHES
RPS Field Upgrade for 2500
IGS-RXBOOT (2500)
Cisco 2500 local loopback serial DB-60adapter
ACS-2500ASYN
ACS-2500ASYN-
ACS-2500RM-l9=
ACS-2500RM-24=
ACS-2500RPS=
BOOT-2500=
CAB-2500-LLADAPT
Cisco 2500 local loopback seria! DB-60adapter
CAB-2500-LLADAPT-
14 Cisco Product Catalog, October, 2001
Part Description Part Number
18 Inch Ethernet Adaptor Cable CAB-3CE18=
V.35 Cable, DTE, Male, 10 Feet CAB-V35MT
V.35 Cable, DTE, Male, 10 Feet CAB-V35MT=
V.35 Cable, DCE, Female, 10 Feet CAB-V35FC
V.35 Cable, DCE, Female, 10 Feet CAB-V35FC=
RS-232 Cable, DTE, Male, 10 Feet CAB-232MT
RS-232 Cable, DTE, Male, 10 Feet CAB-232MT=
RS-232 Cable, DCE, Female, 10 Feet CAB-232FC
RS-232 Cable, DCE, Female, 10 Feet CAB-232FC=
RS-449 Cable, DTE, Male, 10 Feet CAB-449MT
RS-449 Cable, DTE, Male, 10 Feet CAB-449MT=
RS-449 Cable, DCE, Female, 10 Feet CAB-449FC
RS-449 Cable, DCE, Female, 10 Feet CAB-449FC=
X.21 Cable, DTE, Male, 10 Feet CAB-X21MT
X.2I Cable, DTE, Male, 10 Feet CAB-X21MT-
X.21 Cable, DCE, Female, 10 Feet CAB-X21FC
X.21 Cable, DCE, Female, 10 Feet CAB-X21FC=
RS-530 Cable, DTE, Male, 10 Feet CAB-530MT
Male DTE RS-530 Cable, 10 foot CAB-530MT=
Cisco 2500 Serles Power SupplyOptlons
Cisco 2500 AC Power Supply Spare PWR-2500-AC=
Cisco 2500 DC Power Supply Spare PWR-2500-DC=
Cisco 2500 Serles Software Optlons -Models 2501-2525
Cisco 2500 Series IOS IP/H323 S25CU-I2105XM
Cisco 2500 Series IOS 1P/H323 S25CU-l2l05XM=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12106
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12l06=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12107
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-l2107=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12I06
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-I2I06=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12107
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-I2107=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12I06
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12I06=
Visit Cisco Connection Online at www.cisco.com 15
Part Descríptlon Part Number
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12I07
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2107-
Cisco 2500 Series !OS IP/IPX/AT/DEC S25B-I2106
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I06=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2107
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12I07=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12106
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12106=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12I07
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12I07=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12106
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12106=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12I07
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12107=
Cisco 2500 Series IOS IP S25C-I2106
Cisco 2500 Series IOS IP S25C-I2106=
Cisco 2500 Series IOS IP S25C-I2107
Cisco 2500 Series IOS IP S25C-12I07=
Cisco 2500 Series IOS IP/FW S25CH-12I06
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12I05
Cisco 2500 Series IOS IP/FW S25CH-12I06=
Cisco 2500 Series IOS IP/FW S25CH-I2107
Cisco 2500 Series IOS IP/FW S25CH-12I07=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2106
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2106=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2107
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2I07=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12106
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12106=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12107
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12I07=
Cisco 2500 Series IOS IP PLUS S25CP-I2I06
Cisco 2500 Series IOS IP PLUS S25CP-I2106=
16 Cisco Product Catalog, October, 2001
Part Descrlption Part Number
Cisco 2500 Series IOS IP PLUS S25CP-I2107
Cisco 2500 Series IOS IP PLUS S25CP-I2107=
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-I2I06
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12106=
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12107
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12107=
Cisco 2500 Series IOS IP/H323 S25CU-I2106
Cisco 2500 Series IOS IP/H323 S25CU-12106=
Cisco 2500 Series IOS IP/H323 S25CU-12107
Cisco 2500 Series IOS IP/H323 S25CU-12107=
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-I2106
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-12106=
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-12107
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25 02-12107=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12106
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12106=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12107
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12107=
Cisco 2500 Series IOS FRAD S25F-12106=
Cisco 2500 Series IOS FRAD S25F-12107=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12I06=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12107=
Cisco 2500 Series IOS LAN FRAD S25F4-12106=
Cisco 2500 Series IOS LAN FRAD S25F4-12I07=
Cisco 2500 Series IOS ISDN S25I-12106
Cisco 2500 Series IOS ISDN 5251-12106=
Cisco 2500 Series IOS ISDN S25I-12I07
Cisco 2500 Series IOS ISDN 8251-12107=
Cisco 2500 Series IOS SERVICEPROVIDER WITH PT/TARP
S25Z7-I2I06=
Cisco 2500 Series IOS SERVICEPROV1DER WITH PT/TARP
S25Z7-12107=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12I05=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12105
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12105=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12105
Visit Cisco Connection Online at www.cisco.com 17
Part Descrlption Part Number
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12105=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12105
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12105=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12105
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12105=
Cisco 2500 Series IOS 1P/1PX/AT/DECPLUS
S25BP-12105
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12105=
Cisco 2500 Series IOS IP S25C-12I05
Cisco 2500 Series IOS IP S25C-12105=
Cisco 2500 Series IOS 1P/FW S25CH-12105
Cisco 2500 Series IOS IP/FW S25CH-12105=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12I05
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12105=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12104
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2105
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12I05=
Cisco 2500 Series IOS IP PLUS S25CP-12105
Cisco 2500 Series IOS IP PLUS S25CP-12105=
Cisco 2500 Series IOS IP/1BM/SNASW S25CRIS-I2I05
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12105=
Cisco 2500 Series IOS IP/H323 S25CU-I2105
Cisco 2500 Series IOS IP/H323 S25CU-12105=
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-12105
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-12¡05=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12105
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-I2I05=
Cisco 2500 Series IOS FRAD S25F-12I05=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12I05=
Cisco 2500 Series IOS LAN FRAD S25F4-I2I05=
Cisco 2500 Series IOS ISDN S25I-12105
Cisco 2500 Series IOS ISDN S25I-12105=
Cisco 2500 Series IOS SERVICEPROVIDER W1TH PTATARP
S25Z7-12105=
Cisco 25FX Series IOS FIXED FRAD-S ERIAL
SFRADF1-12106=
18 Cisco Product Catalog, October, 2001
Part Descríption Parí Number
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-12107=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-I2106=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12107=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12106=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-I2107=
Cisco 25FX Series IOS FIXED FRAD-SER1AL
SFRADF1-12.0.15=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-I2.0.I6-
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12.0.15=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12.0.16=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12.0.15=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12.0.I6=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADFI-12105T=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12105T-
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12I05T=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-12105=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12I05=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12105=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12I04=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-I2I04
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12I04=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2104
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12104=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I04
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2104=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-I2104
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-I2104=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-I2104
Visit Cisco Connection Online at www.cisco.com 19
Part Descrlption Part Number
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12104=
Cisco 2500 Series IOS IP S25C-12104
Cisco 2500 Series IOS IP S25C-I2I04=
Cisco 2500 Series IOS IP/FW S25CH-I2104
Cisco 2500 Series IOS IP/FW S25CH-12!04=
Cisco 2500 Series IOS IP/FW PLUSIPSEC56
S25CHL-12104
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2I04=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12104
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12104=
Cisco 2500 Series IOS IP PLUS S25CP-12104
Cisco 2500 Series IOS IP PLUS S25CP-12104=
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-I2I04
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12.0.12
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.I3=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12.0.14
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.14=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.15
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12.0.15=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.16
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.I6=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-I2.0.13=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.14
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.14=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-I2.0.I5
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.15=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.I6
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.I6=
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-I2.0.13=
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-12.0.14
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-I2.0.14=
20 Cisco Product Catalog, October, 2001
Part Description Part Number
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-I2.0.15
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-12.0.15=
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-12.0.I6
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-12.0.16=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12.0.13=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12.0.14
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12.0.14=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12.0.15
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12.0.15=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2.0.I6
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2.0.16=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.13=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.14
Cisco 2500 Series IOS IP/IPX/AT/DEC 8258-12.0.14=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.15
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.I5=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2.0.I6
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.16=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-I2.0.13=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-I2.0.I4
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.I4=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.I5
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.I5=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.16
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.16=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.13=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.14
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.14=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.15
Visit Cisco Connection Online at www.cisco.com 21
Part Dése ription Parí Number
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.15=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.16
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.I6=
Cisco 2500 Series IOS IP S25C-12.0.!3=
Cisco 2500 Series IOS IP S25C-12.0.14
Cisco 2500 Series IOS IP S25C-12.0.14=
Cisco 2500 Series IOS IP S25C-12.0.15
Cisco 2500 Series IOS IP S25C-12.0.15=
Cisco 2500 Series IOS IP S25C-12.0.16
Cisco 2500 Series IOS IP S25C-12.0.16=
Cisco 2500 Series IOS IP/IPX PLUS S25CBP-12.0.15=
Cisco 2500 Series IOS IP/IPX PLUS S25CBP-I2.0.I6
Cisco 2500 Series IOS IP/IPX PLUS S25CBP-!2.0.16=
Cisco 2500 Series IOS IP/FW S25CH-!2.0.I3=
Cisco 2500 Series IOS IP/FW S25CH-12.0.I4
Cisco 2500 Series IOS IP/FW S25CH-12.0.14=
Cisco 2500 Series IOS IP/FW S25CH-12.0.15
Cisco 2500 Series IOS IP/FW S25CH-12.0.I5=
Cisco 2500 Series IOS IP/FW S25CH-I2.0.I6
Cisco 2500 Series IOS IP/FW S25CH-I2.0.I6=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.I3=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.14
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.I4=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2.0.I5
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.15=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.16
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12.0.16=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I3=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I4
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I4=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.15
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.I5=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.16
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.16=
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.13=
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.I4
22 Cisco Product Catalog, October, 2001
Part Description Parí Number
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.14-
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.I5
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.15=
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.I6
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.16=
Cisco 2500 Series IOS 1P PLUS S25CP-12.0.I3-
Cisco 2500 Series IOS 1P PLUS S25CP-12.0.I4
Cisco 2500 Series IOS 1P PLUS S25CP-12.0.14=
Cisco 2500 Series IOS IP PLUS S25CP-12.0.I5
Cisco 2500 Series IOS IP PLUS S25CP-12.0.15=
Cisco 2500 Series IOS IP PLUS S25CP-12.0.I6
Cisco 2500 Series IOS IP PLUS S25CP-12.0.I6=
Cisco 2500 Series IOS IP/IBM/SNASW S25CR15-12104=
Cisco 2500 Series IOS IP/H323 S25CU-I2104
Cisco 2500 Series IOS IP/H323 S25CU-12104=
Cisco 2500 Series IOS ÍP PLUS 40 S25CW-12.0.13=
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.14
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.14=
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.15
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.15=
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.16
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.16=
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.13=
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.14
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.14=
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.I5
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.15=
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.16
Cisco 2500 Series IOS IP PLUS 56 S25CY-12.0.I6=
Cisco 2500DD Series IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-12104
Cisco 2500DD Ser IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
S25D2-I2104=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.13=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.14
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-I2.0.14=
Cisco 2500 Seríes IOS REMOTE ACCESSSERVER
S25E-12.0.I5
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.15=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-I2.0.16
Visit Cisco Connection Online at www.cisco.com 23
Part Descriptlon Part Number
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.16=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12104
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12104=
Cisco 2500 Series IOS FRAD S25F-12.0.13=
Cisco 2500 Series IOS FRAD S25F-12.0.14=
Cisco 2500 Series IOS FRAD S25F-12.0.15=
Cisco 2500 Series IOS FRAD S25F-I2.0.I6=
Cisco 2500 Series IOS FRAD S25F-I2104=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-I2.0.I3=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12.0.I4=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-I2.0.I5=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-I2.0.I6=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12I04=
Cisco 2500 Series IOS LAN FRAD S25F4-12.0.I3=
Cisco 2500 Series IOS LAN FRAD S25F4-12.0.14=
Cisco 2500 Series IOS LAN FRAD S25F4-I2.0.I5=
Cisco 2500 Series IOS LAN FRAD S25F4-I2.0.16=
Cisco 2500 Series IOS LAN FRAD S25F4-I2104=
Cisco 2500 Series IOS ISDN S25I-I2.0.13=
Cisco 2500 Series IOS ISDN S25I-I2.0.14
Cisco 2500 Series IOS ISDN 5251-12.0.14=
Cisco 2500 Series IOS ISDN S25I-I2.0.15
Cisco 2500 Series IOS ISDN 5251-12.0.15=
Cisco 2500 Series IOS ISDN S25I-12.0.16
Cisco 2500 Series IOS ISDN 8251-12.0.16=
Cisco 2500 Series IOS ISDN S25I-12104
Cisco 2500 Series IOS ISDN 5251-12104=
Cisco 2500 Series IOS SERVICEPROVIDER WITH PTATARP
S25Z7-12104
Cisco 2500 Series IOS SERVICEPROVIDER WITH PTATARP
S25Z7-I2104=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2.0.I2=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.12
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12.0.I2=
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-I2.0.I2
Cisco 2500 Series IOS ENTERPRISE/APPN PLUS IPSEC 56
S25ANL-I2.0.12=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2.0.12
24 Cisco Product Catalog, October, 2001
Part Descrlptlon Part Number
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-I2.0.12=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.I2
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12.0.I2=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-I2.0.12
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BL-12.0.12=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12.0.12
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-I2.0.12-
Cisco 2500 Series IOS IP S25C-I2.0.12
Cisco 2500 Series IOS IP S25C-I2.0.12=
Cisco 2500 Series IOS IP/FW S25CH-I2.0.I2
Cisco 2500 Series IOS IP/FW S25CH-12.0.I2=
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2.0.12
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-Í2.0.12=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.12
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12.0.12=
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-12.0.12
Cisco 2500 Series IOS IP/IBM/APPN S25CNS-I2.0.12=
Cisco 2500 Series IOS IP PLUS S25CP-I2.0.I2
Cisco 2500 Series IOS 1P PLUS S25CP-I2.0.12=
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.I2
Cisco 2500 Series IOS IP PLUS 40 S25CW-12.0.I2=
Cisco 2500 Series IOS IP PLUS 56 S25CY-I2.0.I2
Cisco 2500 Series IOS IP PLUS 56 S25CY-I2.0.12=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.12
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12.0.12=
Cisco 2500 Series IOS FRAD S25F-12.0.12=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12.0.12=
Cisco 2500 Series IOS LAN FRAD S25F4-12.0.12=
Cisco 2500 Series IOS ISDN S25I-12.0.12
Cisco 2500 Series IOS ISDN 8251-12.0.12=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12102
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12103T
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12103T=
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12I05T
Visit Cisco Connection Online at www.cisco.com 25
Part Descrlption
Cisco 2500 Series IOS ENTERPR1SE/FWPLUS 1PSEC 56
Cisco 2500 Series IOS ENTERPRISEPLUSIPSEC56
Cisco 2500 Series IOS ENTERPRISEPLUS 1PSEC 56
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
Cisco 2500 Series IOS ENTERPRISEPLUS
Cisco 2500 Series IOS ENTERPRISEPLUS
Cisco 2500 Series IOS ENTERPRISEPLUS
Cisco 2500 Series IOS ENTERPRISEPLUS
Cisco 2500 Series IOS IP/IPX/AT/DEC
Cisco 2500 Series IOS IP/IPX/AT/DEC
Cisco 2500 Series IOS IP/IPX/AT/DEC
Cisco 2500 Series IOS IP/IPX/AT/DEC
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS 1P
Cisco 2500 Series IOS 1P
Cisco 2500 Series IOS 1P
Cisco 2500 Series IOS 1P
Cisco 2500 Series IOS 1P/FW
Cisco 2500 Series IOS 1P/FW
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Part Number
S25AHL-12105T=
S25AL-12103T
S25AL-12103T=
S25AL-12105T
S25AL-12105T=
S25AP-12103T
S25AP-12103T=
S25AP-I2105T
S25AP-I2105T=
S25B-12I03T
S25B-12103T=
S25B-I2I05T
S25B-12I05T=
S25BHP-12I03T
S25BHP-12103T=
S25BHP-12105T
S25BHP-12I05T=
S25BP-I2103T
S25BP-12103T=
S25BP-I2I05T
S25BP-I2I05T=
S25C-12103T
S25C-12103T=
S25C-12105T
S25C-12105T=
S25CH-I2103T
S25CH-12103T=
S25CH-I2105T
S25CH-12105T=
S25CHL-12103T
S25CHL-12103T=
26 Cisco Product Catalog, October, 2001
Part Descrlptlon Part Number
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-12105T
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
S25CHL-I2I05T=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2I03T
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12!03T=
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-I2105T
Cisco 2500 Series IOS IP PLUS IPSEC 56 S25CL-12105T=
Cisco 2500 Series IOS IP PLUS S25CP-I2I03T
Cisco 2500 Series IOS IP PLUS S25CP-12I03T=
Cisco 2500 Series IOS IP PLUS S25CP-12I05T
Cisco 2500 Series IOS IP PLUS S25CP-12105T=
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12103T
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12103T=
Cisco 2500 Series IOS IP/IBM/SNASW S25CRIS-12I05T
Cisco 2500 Series IOS IP/IBM/SNASW S25CR1S-12105T=
Cisco 2500 Series IOS IP/H323 S25CU-12I03T
Cisco 2500 Series IOS IP/H323 S25CU-12103T=
Cisco 2500 Series IOS IP/H323 S25CU-12I05T
Cisco 2500 Series IOS IP/H323 S25CU-12I05T=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-I2I03T
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-¡2103T=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12I05T
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12105T=
Cisco 2500 Series IOS FRAD S25F-12103T=
Cisco 2500 Series IOS FRAD S25F-12105T=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12103T=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12105T=
Cisco 2500 Series IOS LAN FRAD S25F4-12103T=
Cisco 2500 Series IOS LAN FRAD S25F4-12I05T=
Cisco 2500 Series IOS ISDN S25I-12I03T
Cisco 2500 Series IOS ISDN S25I-12103T=
Cisco 2500 Series IOS ISDN S25I-12105T
Cisco 2500 Series IOS ISDN S25I-12105T=
Cisco 2500 Series IOS SERVICEPROV1DER WITH PT/TARP
S25Z7-I2103T
Cisco 2500 Series IOS SERVICEPROVIDER WITH PTATARP
S25Z7-I2103T=
Cisco 2500 Series IOS SERVICEPROVIDER WITH PT/TARP
S25Z7-I2105T
Cisco 2500 Series IOS SERVICEPROVIDER WITH PTATARP
S25Z7-12I05T=
Visit Cisco Connection Online ai www.c/sco.com 27
Part Description Part Number
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12102=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12102
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12102=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12102
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12102=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I02
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2I02=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12I02
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-12102=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-12102
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS IP
Cisco 2500 Series IOS IP
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Cisco 2500 Series IOS IP PLUS IPSEC 56
Cisco 2500 Series IOS IP PLUS IPSEC 56
Cisco 2500 Series IOS IP PLUS
Cisco 2500 Series IOS IP PLUS
Cisco 2500 Series IOS IP/IBM/SNASW
Cisco 2500 Series IOS IP/IBM/SNASW
Cisco 2500 Series IOS IP/H323
Cisco 2500 Series IOS 1P/H323
Cisco 2500DD Series IOS DISTRIBUTEDDIRECTOR SYSTEM SOFTWARE
Cisco 2500 Series IOS REMOTE ACCESSSERVER
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
S25BP-12I02=
S25C-I2102
S25C-12102=
S25CH-I2102
S25CH-I2I02=
S25CHL-12102
S25CHL-I2102=
S25CL-I2I02
S25CL-I2!02=
S25CP-12102
S25CP-12102=
S25CRIS-I2102
S25CR1S-12102=
S25CU-12102
S25CU-12102=
S25D2-12102=
S25E-12I02
1FRADF2-I2102
1FRADF2- 12103
IFRADF2-12105
IFRADF2-12106
IFRADF3-12102
28 Cisco Product Catalog, October, 2001
Part Descríption Part Number
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
IFRADF3-12103
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
IFRADF3-I2105
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
IFRADF3-12106
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-12I03
Cisco 2500 Series IOS ENTERPRISE/FWPLUS IPSEC 56
S25AHL-I2103=
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12I03
Cisco 2500 Series IOS ENTERPRISEPLUS IPSEC 56
S25AL-12I03=
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-Í2I03
Cisco 2500 Series IOS ENTERPRISEPLUS
S25AP-12103=
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-I2103
Cisco 2500 Series IOS IP/IPX/AT/DEC S25B-12103=
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-I2I03
Cisco 2500 Series IOS IP/IPX/AT/DEC/FW PLUS
S25BHP-I2I03=
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
S25BP-I2103
Cisco 2500 Series IOS IP/IPX/AT/DECPLUS
Cisco 2500 Series IOS IP
Cisco 2500 Series IOS IP
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Cisco 2500 Series IOS IP/FW PLUSIPSEC 56
Cisco 2500 Series IOS IP PLUS IPSEC 56
Cisco 2500 Series IOS IP PLUS IPSEC 56
Cisco 2500 Series IOS IP PLUS
Cisco 2500 Series IOS IP PLUS
Cisco 2500 Series IOS IP/IBM/SNASW
Cisco 2500 Series IOS IP/IBM/SNASW
Cisco 2500 Series IOS IP/H323
Cisco 2500 Series IOS IP/H323
Cisco 2500DD Series IOS D1STRIBUTEDDIRECTOR SYSTEM SOFTWARE
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25BP-12103=
S25C-12103
S25C-12103=
S25CH-12103
S25CH-12103=
S25CHL-12I03
S25CHL-12103-
S25CL-12I03
S25CL-12I03=
S25CP-12I03
S25CP-12I03=
S25CR1S-I2103
S25CR1S-I2103=
S25CU-12I03
S25CU-12I03=
S25D2-12103=
S25E-12102=
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12103
Visit Cisco Connection Online at www.cisco.com 29
Part Description Part Number
Cisco 2500 Series IOS REMOTE ACCESSSERVER
S25E-12103=
Cisco 2500 Series IOS FRAD S25F-I2102=
Cisco 2500 Series IOS FRAD S25F-12103=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-12102=
Cisco 2500 Series IOS LAN FRAD/OSPF S25F2-!2103=
Cisco 2500 Series IOS LAN FRAD S25F4-!2102=
Cisco 2500 Series IOS LAN FRAD S25F4-12103=
Cisco 2500 Series IOS ISDN S25I-I2102
Cisco 2500 Series IOS ISDN S25I-!2102=
Cisco 2500 Series IOS ISDN S25I-12103
Cisco 2500 Series IOS ISDN S25I-12103=
Cisco 2500 Series IOS SERVICEPROVIDER W1TH PT/TARP
S25Z7-12103
Cisco 2500 Series IOS SERVICEPROVIDER WITH PT/TARP
S25Z7-12103=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-12.0.14=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADFÍ-12102=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-I2.0.I4=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12102=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12.0.I4=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12102=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-12103=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12103=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12103=
Cisco 25FX Series IOS FIXED FRAD-SERIAL
SFRADF1-12104=
Cisco 25FX Series IOS FIXED LANFRAD/OSPF
SFRADF2-12104=
Cisco 25FX Series IOS FIXED LANFRAD/EIGRP
SFRADF3-12104=
Cisco 2500 Series IOS ENTERPRISE/SNASwitch PLUS IPSEC 56
S25AR1L-12.0.5XN
Cisco 2500 Series IOS ENTERPRISE/SNASwitch PLUS IPSEC 56
S25AR1L-12.0.5XN=
Cisco 2500 Software Upgrades forRouters with IP Software
Cisco 2500 Enterprise Plus Feature Pack CD25-AP-12.0=
Cisco 2500 IP/IPX/AT/DEC Feature Pack CD25-B-12.0=
Cisco 2500 IP/IPX/AT/DEC Plus FeaturePack
CD25-BP-12.0=
30 Cisco Product Catalog, October, 2001
Part Descriptlon Part Number
Cisco 2500 IP Feature Pack CD25-C-12.0=
Cisco 2500 IP/FW Plus IPSEC 56 FeaturePack
CD25-CHL-12.0=
Cisco 2500 IP Plus Feature Pack CD25-CP-12.0=
Cisco 2500 Seríes LAT TerminalÜcenses
4 User LAT Terminal License FL-LAT4=
8 User LAT Terminal License FL-LAT8=
16 User LAT Terminal License FL-LAT16=
32 User LAT Terminal License FL-LAT32=
64 User LAT Terminal License FL-LAT64=
Cisco 2500 Seríes IOS FeatureLlcenses
Cisco IOS 2500 Series CFRAD to IP FL25-F-O
Cisco 2500 IOS CFRAD-to-IP and IBMIOS Upgrade
FL25-F-CS=
Cisco 2500 IOS LANFRAD to IP FL25-F4-C=
Cisco 2500 ÍOS CFRAD-to-lP/IPX IOSUpgrade
FL25-F-D=
Cisco 2500 IOS CFRAD-to-IP/IPX andIBM IOS Upgrade
FL25-F-DS=
Cisco IOS 2500 Series CFRAD to IP/IPX/AT/DEC
FL25-F-B=
Cisco 2500 IOS CFRAD-to-Desktop andIBM IOS Upgrade
FL25-F-BS=
Cisco 2500 IOS LANFRAD lo IP/IPX/AT/DEC
FL25-F4-B=
Cisco IOS 2500 Series CFRAD toEnterprise
FL25-F-A-
Cisco 2500 IOS LANFRAD to Enterprise FL25-F4-A=
Cisco IOS 2500 Series LANFRAD to IP FL25-LF-C=
Cisco IOS 2500 Series LANFRAD to IP/IPX/AT/DEC
FL25-LF-B=
Cisco IOS 2500 Series LANFRAD toEnterprise
FL25-LF-A=
Cisco IOS 2500 Series APPN toSNASwitch Upgrade
FL25-N-R1 =
Cisco IOS 2500 Series SNASwitchUpgrade
FL25-R1=
Cisco IOS 2500 Series ISDN to IP FL25-I-C=
Cisco 2500 IOS ISDN-to-lP and IBM IOSUpgrade
FL25-I-CS=
Cisco 2500 IOS ISDN-to-IP/IPX IOSUpgrade
FL25-I-D=
Cisco 2500 IOS ISDN-to-IP/IPX and IBMIOS Upgrade
FL25-I-DS=
Cisco IOS 2500 Series ISDN to IP/IPX/AT/DEC
FL25-1-B=
Cisco 2500 IOS ISDN-to-Desktop andIBM IOS Upgrade
FL25-I-BS=
Visit Cisco Connection Online at www.cisco.com 31
Part Descriptlon Part Number
Cisco IOS 2500 Series ISDN to Enterprise FL25-I-A=
Cisco 2500 IOS IP-to-IP and IBM IOSUpgrade
FL25-C-CS=
Cisco 2500 IOS IP-to-lP/IPX IOS Upgrade FL25-C-D=
Cisco IOS 2500 Series IP to IP/IPX/AT/DEC
FL25-C-B=
Cisco IOS 2500 Series IP to Enterprise orEnterprise Plus
FL25-C-A=
Cisco IOS 2500 IP-to-Remote AccessServer
FL25-C-E=
Cisco 2500 IOS IP and IBM-to-IP/IPX IOSUpgrade
FL25-CS-DS=
Cisco 2500 IOS IP and IBM-to-Desktopand IBM IOS Upgrade
FL25-CS-BS=
Cisco 2500 IOS IP-to-Desktop and IBMIOS Upgrade
FL25-C-BS=
Cisco 2500 IOS IP/IPX-to-IP/lPX andIBM IOS Upgrade
FL25-D-DS=
Cisco IOS 2500 Series IP/IPX to IP/IPX/AT/DEC
FL25-D-B=
Cisco 2500 IOS IP/IPX-to-Desktop andIBM IOS Upgrade
FL25-D-BS=
Cisco IOS 2500 Series IP/IPX toEnterprise
FL25-D-A=
Cisco 2500 IOS IP/IPX and IBM-to-Desktop and IBM IOS Upgrade
FL25-DS-BS=
Cisco 2500 IOS Desktop-to-Desktop andIBM IOS Upgrade
FL25-B-BS=
Cisco IOS 2500 Series IP/IPX/AT/DEC toEnterprise
FL25-B-A=
Cisco 2500 Series APPN Upgrade FL25-APPN=
Cisco 2500 IOS RMON IOS Upgrade FL25-RMON=
Cisco IOS 2500 Series IP/IBM to IP FL25-CS-C=
Cisco IOS 2500 Series IP to H323 FL25-C-U=
Cisco IOS 2500 Series Firewall FL25-H=
Cisco IOS 2500 Series 1PSEC 56 Upgrade FL25-L=
Cisco 2500 IOS APPN Upgrade FL25-N=
Cisco IOS 2500 Series PLUS FL25-P=
Cisco IOS 2500 Series PLUS 40 FL25-W-
Cisco IOS 2500 Series PLUS 56 FL25-Y=
DocumentationFor part numbers for product specific documentation, visit
http://www.cisco.com/univercd/cc/td/doc/pcat/swdo di.htm
32 Cisco Product Catalog, October, 2001
Cisco 1548 Series — Micro Switches 10/100
Product OverviewThe Cisco 1548 Series Micro Switches are affordable autosensing 10/100 Fast Ethernet switches for creating high-performance LANs in enterprise remote branch offices or in small, growing businesses. For customers whose bandwidthrcquirements have outgrown their legacy lOBaseT networks, the eight-port Cisco 1548M and Cisco 1548U switches offerdcdicated 10/100 autosensing Fast Ethernet conncctions, ideal for aggregating workgroupsorconnecting Ethernet and FastEthernet desktops.
Figure 21-24: Cisco 1548 Series Micro Switch 10/100 Front Vlew
Figure 21-25: Cisco 1548M Micro Switch 10/100 Rear View
Key Features and BenefitsThe Cisco 1548 Series Micro Switches 10/100 provide dedicated 10/100 autosensing Fast Ethernet solutions for creatinghigh-performancc LANs at an affordable pnce.
• Provides dedicated 10/100 autosensing LAN connectivity; ideal forprice-sensitive customcrs looking foran ultra-lowcost Fast Ethernet solution
* Provides unmatched flexibility, ease-of-deployment and -use vía features such as integrated stacking interconnections,auto-negotiation, easy stackability and auto-configuration/BootP
• Allows easy management and reduces total cost of ownership via SNMP, RMON (4 groups), embedded HTTP server,CDP and "multifunction per port" LEDs for status
* Offers an outstanding valué at an ultra-low cost
" Member of the Cisco Networked Office family of stackable producís designed to provide complete solutions for smallbusinesses and remote branch offices
Visit Cisco Connection Online at www.cisco.com
Specifications
Hardware
Table 21-185: Technlcal Speciflcatlons for Cisco 1548 Series
Oescrlptlon Specificatlon
Ports/Conncctor Types Eight workstation connectors: RJ-45 MDl-X shielded connectors
Media supported: Category 5 UTP or Category 3 UTP (lOBaseT only)
Performance 4 MB sharcd memory architecture shared by all ports
Packet forwarding rale for 64-byte packets:• 14,880 packets per second (pps) to 10 Mbps ports
• 148,800 pps to lOOBaseT ports
4096 Media Access Control (MAC) addresses per system (Ciscol548M)
2048 Media Access Control (MAC) addresses per system (Ciscol 548U-DS)
Management (Cisco I548M model only) SNMP Management Information Base (MIB) II, Bridge MIB, Ethernet MIB
Min-RMON MIB (4 Groups - Statistics, History, Alarm, and Event)
Cisco Discovery Protocol (CDP) supported
Indicator Pane! LED Display PWR: Indícales whether power is being supplied to switch
Ports 1 to 8: Port status including link, activity, speed and fuH-/half-duplex operation
Connectors and Cabling lOBaseT ports: RJ-45 connectors; two-pair category 3, 4, or 5 unshielded twisted-pair (UTP) cabling
lOOBaseTX ports: RJ-45 connectors; two-pair Category 5 UTP cabling
Management consolé port: RJ-45 connector (Cisco 1548M model only)
Shipping Conté nts Cisco 1548U-DSor Cisco 1548M Micro Switch 10/100
U.S. power cord
Stacking clip and accessories
Management consolé cable (Cisco I548M only)
Product documentation
Cisco ConfigMaker software (Cisco 1548M only)
Y2K Y2K compliant
Warranty Limited lifetime warranty covers product's retum to factory for free repair.
Power supply and fan covercd for first five years of product ownership.
Table 21-186: Power Requlrements for Cisco 1548 Serles
Descrlption Specificatlon
Power consumption Nominal 20W
AC ¡npul voltage 100 to 127 VAC, 200 to 240 VAC
Table 21-187: Physical and Environmental Speclfications for Cisco 1548 Series
Description Specification
Operating temperature 32tol04'F(Oto40-Q
Operating humidity 10 to 85% noncondensing
Operating altitude up to 9840 ft (3000 m)
Storagc lemperature -40 to 149'F(-25io65'C)
Storage altitude 30,000 ft (9146 m)
2 Cisco Product Catalog, October, 2001
Table 21-188: Regulatory Approvals for Cisco 1548 Series
Descrlption Speclflcation
Standards conformance IEEE 802.3 lOBaseT
IEEE 802.3u lOOBaseTX
IEEE 802.3x Full Dúplex on lOBaseT and lOOBaseTX portsIEEE 802.Id Spanning-Tree Protocol
Safcty Specificalions UL 1950/CSA 22.2 No. 950
IEC 950/EN 60950
Elcctromagndic Emissions Compliance FCC Part 15 Class BEN 55022B Class B (CISPR22 Class B)
VCCI Class B
AS/NRZ 3548 Class B
BCIQ Class B
CE
SoftwareFor dctailed software information, access Cisco Connection Online at the following URL:
http://www.cisco.com
Ordering Information
Where to buy Cisco producísVisit http://www.cisco.com/public/ordering_info.shtml
Product and Part Numbers
Part Numbers for the Cisco 1548 Serles
Part Descrlption Part Number
Cisco I548M MicroSwitch 10/100-8-port CISCO1548Mautosensing 10/100 managed switch
Cisco 1548U Micro Switch 10/100-8port CISCO1548U-DSautosensing I O/100 switch
DocumentationFor part numbers for product specific documentation, visit
http://www.cisco.com/univercd/cc/td/doc/pcat/swdo__dl.htm
Visit Cisco Connection Online at www.cisco.com