Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Diseño de enrutadores y conmutadores

Actualizado:
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
Instrucciones de diseñoInstrucciones de diseño
Definición de los dispositivosDefinición de los dispositivos
ClasesClases
Clases de conmutadoresClases de conmutadores
Clase 1: Conmutadores fijos inferiores Clase 1: Conmutadores fijos inferiores
Clase 2: Conmutadores flexibles inferiores Clase 2: Conmutadores flexibles inferiores
Clase 3: Conmutadores de gama media Clase 3: Conmutadores de gama media
Clase 4: Conmutadores superioresClase 4: Conmutadores superiores
EnrutadoresEnrutadores
Clases de enrutadoresClases de enrutadores
Clase 1: Enrutadores de softwareClase 1: Enrutadores de software
Clase 2: Enrutadores fijos inferioresClase 2: Enrutadores fijos inferiores
Clase 3: Enrutadores flexibles inferioresClase 3: Enrutadores flexibles inferiores
Clase 4: Enrutadores de gama mediaClase 4: Enrutadores de gama media
Clase 5: Enrutadores superioresClase 5: Enrutadores superiores
Clase 6: Enrutadores de ISPClase 6: Enrutadores de ISP
SeguridadSeguridad
Consideraciones sobre la seguridad en los enrutadoresConsideraciones sobre la seguridad en los enrutadores
Consideraciones sobre la seguridad en los conmutadoresConsideraciones sobre la seguridad en los conmutadores
Instantánea de una red seguraInstantánea de una red segura
ResumenResumen
Información adicionalInformación adicional

Descripción del módulo

En este módulo se estudian los métodos de selección de conmutadores y enrutadores. Se identifican las características disponibles de estos dispositivos y se ofrece ayuda para elegir las que puedan ser necesarias. Los conmutadores y los enrutadores se agrupan en clases según las características más típicas. A partir de estas clases, deberían poderse determinar los tipos de conmutadores y enrutadores necesarios para su organización. Hay muchos tipos de conmutadores y enrutadores disponibles y, puesto que aparentemente ofrecen características similares, puede resultar difícil elegir el más adecuado. En este módulo se identifican las características más destacadas y se explica cómo se pueden adaptar a sus necesidades. También se aborda la seguridad de los conmutadores y enrutadores, así como su configuración.

Objetivos

Utilice este módulo para:

Decidir cuáles son los conmutadores y enrutadores adecuados para su organización.

Identificar las principales cuestiones relativas a la seguridad de los conmutadores y enrutadores.

Garantizar la seguridad de la configuración de los conmutadores y enrutadores.

Marco de aplicación

Este módulo se aplica a las tecnologías siguientes:

Conmutadores Ethernet

Enrutadores Ethernet y de protocolo Internet (IP)

Uso del módulo

Este módulo ayuda a decidir cuáles son los conmutadores y enrutadores adecuados para su organización. Se proporciona una lista de las características más importantes de los conmutadores y enrutadores y se explica la función de cada una de ellas. Se puede utilizar esta lista de características para determinar cuáles son las más necesarias para su organización. A continuación, los conmutadores y enrutadores se clasifican en grupos en función de las características de cada uno de ellos. No existe un solo conmutador o enrutador que satisfaga todas las necesidades de la organización, sino que al comparar las necesidades y las diferentes clases se podrá determinar cuáles son los mejores productos para cada ubicación.

Instrucciones de diseño

En esta sección se estudian cuáles son los requisitos de los enrutadores y los conmutadores en la red empresarial, los tipos de dispositivos que pueden satisfacer estas necesidades y las opciones disponibles para su implantación. Los conmutadores y enrutadores son dos componentes esenciales de las redes y su selección adecuada ayuda a garantizar que la red ofrezca un servicio rápido y confiable y que pueda adaptarse a las necesidades en constante evolución.

Diseño de entradas

Al diseñar la implantación de conmutadores y enrutadores, es necesaria la información siguiente:

Arquitectura de la red

Protocolos de enrutamiento

Disponibilidad

Arquitectura de la red

Hay que realizar el diseño de la red antes de determinar el tipo de enrutadores y conmutadores que se necesitan, dónde se ubican estos dispositivos en relación los unos con los otros y qué funciones son necesarias. Antes de elegir las clases de enrutadores y conmutadores, hay que disponer de la información siguiente relativa al diseño de la red:

1.

¿Cuántos dispositivos hay en la red? ¿Cuántos de ellos requieren conectividad? ¿Cuál es el crecimiento estimado en el futuro?

2.

¿Qué dispositivos deben comunicarse entre sí?

3.

¿Qué ancho de banda se necesita entre los dispositivos que deben comunicarse?

4.

¿Dónde se requiere la conmutación (frente al enrutamiento) en la red?

5.

¿Se requieren redes virtuales de área local (VLAN)? ¿Cuántas? ¿Qué hosts habrá en cada VLAN? ¿Habrá enrutamiento entre las VLAN?

6.

¿Cuál es la latencia aceptable?

Diseño de la red

Existen muchas estructuras organizativas y muchas formas de diseñar la arquitectura de las redes. Sin embargo, hay dos modelos que son los más utilizados en el diseño de las redes. Se trata de la arquitectura de conmutación multinivel, que suele ser útil para la sede central de la organización, y la arquitectura para las sucursales pequeñas.

En la figura 1 se muestra un ejemplo de una arquitectura multinivel, que se suele utilizar cuando hay un nivel público de sitio Web y un nivel de base de datos de servidor. Empezando por el lado de la red orientado al público y adentrándonos a partir de este punto, el primer segmento es una red de borde con un enrutador de borde orientado a Internet y que proporciona una primera función de servidor de seguridad. A continuación viene un conmutador que une el enrutador a un servidor de seguridad perimetral, el cual ofrece una mayor protección. El servidor de seguridad perimetral, a su vez, está conectado mediante un conmutador a servidores Web de la red perimetral y los servidores Web están conectados mediante otro conmutador a un servidor de seguridad interno. El servidor de seguridad interno enlaza mediante un conmutador a los servidores internos y los PC de usuario de la red del servidor. En esta ilustración se muestra un diseño lógico, pero la distribución física de los conmutadores podría ser de redes VLAN separadas en el mismo conmutador. Es preferible que el conmutador de borde sea un dispositivo separado ya que se encuentra en una zona menos segura. El conmutador que funciona como servidor también puede estar constituido por varios conmutadores en función de si se prefiere un solo conmutador de gran capacidad o varios conmutadores más pequeños.

Arquitectura de conmutación multinivel

Figura 1
Arquitectura de conmutación multinivel

En la figura 2 se muestra una arquitectura adecuada para pequeñas sucursales. Esta arquitectura consta de tres dispositivos de red: un módem, un enrutador y un conmutador. Estos tres dispositivos pueden estar combinados en dos dispositivos o en uno solo en función de la conexión de la red. Los enrutadores más económicos, generalmente, incorporan un conmutador Ethernet con función de servidor de seguridad, mientras que para las conexiones de banda ancha también puede incorporarse un módem al enrutador.

Arquitectura de pequeña sucursal

Figura 2
Arquitectura de pequeña sucursal

Protocolos de enrutamiento

Al diseñar la red, se debe tomar una decisión importante acerca de los protocolos de enrutamiento que se utilizarán para intercambiar la información de enrutamiento. Los enrutadores necesitan tablas de enrutamiento para poder indicar la forma de llegar a las redes de destino. Las tablas de enrutamiento pueden configurarse manualmente como rutas estáticas, pero ello sólo resulta útil en las redes pequeñas. La alternativa consiste en utilizar protocolos de enrutamiento que permiten crear las tablas al identificar de forma automática las otras redes. Si un vínculo no funciona correctamente, éste se quita automáticamente de la tabla de enrutamiento, de manera que el enrutador siempre sabe cuál es la mejor ruta activa para llegar a una red de destino.

En la lista siguiente se describen los dos protocolos de enrutamiento más utilizados en las redes, RIP y OSPF, y un protocolo especial, BGP.

RIP (Routing Information Protocol, Protocolo de información de enrutamiento)
El protocolo RIP está diseñado para el intercambio de información de enrutamiento en una interred pequeña o mediana y suele estar disponible en una gran variedad de enrutadores.

La principal ventaja del protocolo RIP es su extremada sencillez de configuración, pero presenta varios inconvenientes de importancia, ya que no puede controlar redes grandes, genera un gran volumen de tráfico en la red y su respuesta a los errores de la red es lenta (tiempo de convergencia). Por estos motivos, generalmente sólo se utiliza para redes de área local (LAN) pequeñas. Para obtener más información sobre el protocolo RIP, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_rras-ch3_03.asp

OSPF (Open Shortest Path First, Abrir primero la ruta de acceso más corta)
OSPF es un protocolo de enrutamiento estándar en el sector que es muy eficaz y se adapta bien a las redes grandes. Las ventajas de OSPF son que provoca muy poca carga en la red, incluso en interredes muy grandes y responde rápidamente a los errores de vínculo. Los principales inconvenientes de OSPF son su complejidad y su dificultad de configuración y administración.

OSPF se utiliza actualmente en la mayoría de las redes empresariales como protocolo de enrutamiento porque es más eficaz que el protocolo RIP. Por regla general, está disponible en enrutadores de gama media y alta y, a veces, también en enrutadores pequeños. Si desea obtener más información sobre OSPF, vaya a: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_rras-ch3_04.asp

BGP (Border Gateway Protocol, Protocolo de puerta de enlace de borde)
El protocolo BGP es un protocolo de enrutamiento de puerta de enlace exterior que se utiliza en enrutadores conectados a Internet para proporcionar tanto enrutamiento como la función de equilibrio de la carga. Por regla general, el protocolo BGP sólo está disponible en enrutadores grandes y deberá consultarse su configuración con el proveedor de servicios Internet (ISP).

Disponibilidad

Las redes deben ofrecer una alta disponibilidad y cuanto mayor es la red, mayor debe ser la disponibilidad. Los conmutadores y enrutadores se pueden configurar y ubicar de distintas formas para satisfacer los diferentes requisitos de disponibilidad. Entre ellas cabe destacar la duplicación de componentes, como fuentes de alimentación y motores en los dispositivos de la red, y la duplicación de los propios dispositivos. Este último enfoque aumenta considerablemente el costo pero puede ofrecer una solución de máxima resistencia.

Definición de los dispositivos

En esta sección se definen los siguientes tipos de dispositivos de red:

Conmutadores

Enrutadores

Estos dispositivos son la base de la unión entre todos los segmentos de redes de área local (LAN) y redes de área amplia (WAN).

Conmutadores

Los conmutadores se utilizan para unir los segmentos físicos de una red y permiten la circulación de datos entre estos segmentos. Los conmutadores trabajan en el nivel 2 del modelo OSI y dirigen el tráfico según la dirección del nivel 2 como, por ejemplo, la dirección MAC de Ethernet. Algunos conmutadores también ofrecen funciones adicionales tales como VLAN y conmutación en el nivel 3.

Los conmutadores se configuran automáticamente. Se encargan de escuchar el tráfico en cada puerto Ethernet y descubren el puerto al que está conectado cada dispositivo. A continuación, el conmutador envía el tráfico directamente al puerto de destino. A menos que existan características adicionales que deban activarse, el conmutador no requiere configuración, lo que resulta muy ventajoso al instalar una red. El proceso de conmutación se realiza en hardware a la velocidad que permite el cable sin prácticamente período de latencia.

Originariamente, los conmutadores unían segmentos con varios dispositivos pero a medida que fueron más asequibles, cada vez era más normal conectar un solo dispositivo a cada puerto. Esta distribución se conoce como Ethernet "conmutada" en lugar de Ethernet "compartida". Con sólo un dispositivo activo por puerto no pueden producirse colisiones, de manera que mejora el rendimiento de la red y los dispositivos pueden funcionar a dúplex completo.

El tráfico en la red incluye mensajes de difusión que tienen que copiarse en todos los puertos, lo que tiene una repercusión considerable en las redes grandes. Puesto que la mayoría de los usuarios desea comunicarse con un grupo limitado de servidores y asociados, el tráfico de difusión podría enviarse únicamente dentro de dicho grupo. Una forma de reducir el tráfico de difusión consiste en proporcionar un conmutador para cada grupo y, a continuación, conectarlo a un enrutador, ya que los enrutadores no transmiten difusiones. Otro método consiste en utilizar redes VLAN en el conmutador. Una VLAN es un grupo de dispositivos que están configurados para comunicarse como si estuvieran conectados al mismo cable, cuando de hecho se encuentran en diferentes segmentos físicos de la LAN. La difusión de un miembro de la VLAN sólo va a los otros miembros de la misma VLAN, de manera que se reduce el tráfico de difusión.

Enrutadores

Los enrutadores trabajan en el nivel 3 del modelo OSI. Su función es la de permitir el tráfico entre dos redes IP diferentes que pueden ser redes LAN o WAN. El proceso de enrutamiento se basa en examinar la dirección IP de destino de los datos entrantes y enviarlos a través de un puerto de salida de acuerdo con una tabla de enrutamiento. Las tablas de enrutamiento pueden configurarse manualmente o descubrirse mediante protocolos de enrutamiento pero, a diferencia de los conmutadores, los enrutadores siempre requieren cierto grado de configuración.

Los grandes conmutadores también pueden incluir un enrutador, generalmente, en una tarjeta integrada, lo que se suele describir como conmutación de nivel 3 pero desde el punto de vista funcional equivale al enrutamiento.

Clases

Los enrutadores y los conmutadores se dividen en clases para identificar los diferentes niveles de dispositivos disponibles y las características que proporcionan. Si un enrutador o un conmutador se incluye en una clase específica, podrá admitir todas las características propias de esa clase de dispositivos.

Las clases generales de conmutadores y enrutadores vienen definidas por varias características básicas. En concreto, la capacidad de procesamiento de los enrutadores y los conmutadores es un criterio esencial, así como su capacidad de actualización, flexibilidad y resistencia. Los conmutadores y enrutadores inferiores suelen estar diseñados para una tarea específica y, para mantener su bajo costo, tienen poca o nula capacidad de expansión. Las clases superiores no sólo ofrecen más potencia, sino también mayor capacidad de expansión Las clases superiores también proporcionan resistencia.

La selección del conmutador o el enrutador más adecuado puede ser una tarea ardua, puesto que los fabricantes suelen ofrecer una retahíla de argumentos según los cuales sus dispositivos tienen más características, son más económicos y más rápidos. Para poder evaluar los productos, habrá que distinguir entre características y ventajas. Las características son lo que tienen o hacen los productos pero sólo constituyen una ventaja si tienen utilidad para el usuario. Por ejemplo, la capacidad de conexión a un cable de fibra óptica en lugar de uno de cobre es una ventaja en un gran centro de datos, donde los conmutadores están conectados entre sí. Sin embargo, esto no presenta ninguna utilidad en una pequeña oficina con un único conmutador.

Antes de seleccionar un conmutador o un enrutador, debe diseñarse la red y, a continuación, deben evaluarse los dispositivos que se adapten al diseño. Es probable que haya diferentes diseños que satisfagan las diversas necesidades, y además deberán evaluarse las diferentes arquitecturas. Aunque el precio de compra es un criterio importante, también deben incluirse los costos de mantenimiento, ya que un dispositivo de bajo costo puede tener un elevado costo de funcionamiento.

En las grandes organizaciones, una decisión clave en el diseño de la red es la de elegir entre disponer de muchos conmutadores o de pocos conmutadores pero de gran capacidad en la sede central. El diseño preferido es el de pocos conmutadores de gran capacidad, pero ello dependerá en parte de la distribución física de las oficinas de la sede central. El hecho de disponer de muchos conmutadores de poca capacidad puede comportar problemas de administración, mientras que con los conmutadores más grandes, la configuración de las redes VLAN puede ser más compleja.

Características principales de los conmutadores y enrutadores

A continuación se describen las características más habituales de los conmutadores y enrutadores. Cada característica se explica y evalúa por separado. A medida que repase la lista, compruebe si la característica presenta importancia para su organización. Por ejemplo, la mayoría de las empresas tiene una sede central y muchas sucursales pequeñas. Probablemente en la sede central las características de resistencia y escalabilidad sean importantes, mientras que un costo bajo puede ser una ventaja en las pequeñas y numerosas sucursales.

En la lista se ofrecen las características recomendables tanto de los conmutadores como de los enrutadores y, seguidamente, se enumeran las características propias de los conmutadores o enrutadores.

Escalabilidad
La ampliación del número de puertos Ethernet suele ser muy útil, especialmente en los conmutadores de las grandes oficinas, ya que el número de usuarios y servidores puede aumentar. No es recomendable instalar un conmutador que no pueda hacer frente a un crecimiento futuro, ya que con el tiempo deberá retirarse y sustituirse por otro conmutador. Los conmutadores suelen ser:

De configuración fija con un número determinado de puertos Ethernet

Flexibles con posibilidad de adición de tarjetas adicionales para disponer de más puertos

Totalmente ampliables, generalmente, gracias a un chasis vacío y a una buena capacidad de expansión.

La expansión también es recomendable en los enrutadores pero probablemente la capacidad de ampliación no sea tan importante como en los conmutadores. Lo que suele cambiar en los enrutadores son los vínculos WAN, ya sea porque cambia la tecnología WAN, de ISDN (RDSI) a ADSL por ejemplo, o porque se incorporan vínculos WAN adicionales.

Aunque la capacidad de expansión siempre es recomendable, representa un costo adicional y, en las sucursales, los conmutadores o enrutadores de configuración fija pueden ser el producto más adecuado.

Compatibilidad con Ethernet de alta velocidad
La velocidad normal de Ethernet actualmente es de 100 Mbps en lugar de los 10 Mbps originarios. El costo de una Ethernet a 1 Gbps ha disminuido considerablemente, pero su uso suele limitarse a servidores y vínculos de red troncal entre conmutadores, ya que las tarjetas PC todavía son caras. También cabe destacar las redes Ethernet de 10 Gbps y, a medida que bajan los precios, seguramente desplazarán a la Ethernet de 1 Gbps en los vínculos de red troncal de mayor importancia. Todos los conmutadores y enrutadores deben ser compatibles con las redes Ethernet de 100 Mbps, aunque generalmente únicamente los modelos de gama media y alta admiten las velocidades más elevadas.

Resistencia
¿Qué ocurre cuando da error un componente del conmutador o el enrutador? ¿Se echa a perder todo el dispositivo o dispone de un diseño redundante que le permite seguir funcionando? Los conmutadores y enrutadores de gama alta pueden llevar componentes duplicados tales como fuentes de alimentación, motores y elementos de conmutación con el fin de que los errores no afecten al funcionamiento. En los dispositivos grandes con muchas conexiones esta característica es muy recomendable. Sin embargo, en un conmutador o enrutador más pequeño, por ejemplo en una sucursal pequeña, es posible que el costo adicional no esté justificado. Como alternativa, ¿puede considerarse la posibilidad de que dos conmutadores o enrutadores funcionen en paralelo, de manera que uno esté en funcionamiento y el otro en espera, el cual tomará el relevo si el primero da error? ¿Existe algún mecanismo que permita realizar el cambio de forma automática?

Facilidad de administración
Los conmutadores empiezan a funcionar sin necesidad de configuración y aprenden cuál es la arquitectura de la red al escuchar la transmisión de tramas Ethernet y deduciendo la ubicación de los puertos de cada dispositivo. Todos los conmutadores realizan esta función, pero el acceso al conmutador es recomendable para realizar tareas adicionales de configuración y supervisión. Los conmutadores inferiores no disponen de opciones de configuración pero, a medida que aumenta el número de características, la configuración se hace necesaria para sacar el mayor partido a estas características.

Los enrutadores siempre requieren configuración para definir las direcciones IP de los puertos y el método que se utilizará para construir las tablas de enrutamiento.

El acceso remoto a través de la red es necesario para configurar y administrar los dispositivos. Esto puede reducir significativamente los costos de administración, ya que se evitan los desplazamientos hasta los dispositivos para corregir los problemas. Además, estos dispositivos se pueden supervisar mediante programas de administración de red para obtener informes de errores de forma automática.

VoIP (Voice over IP, Voz sobre IP)
La capacidad de VoIP permite realizar conversaciones de voz a través de la red Ethernet local e incluso a través de la WAN. Las ventajas inmediatas son la reducción del cableado, ya que la transmisión de voz utiliza el mismo cable Ethernet que los datos en lugar de una red de cable telefónico, pero las ventajas futuras son la mayor flexibilidad de ubicación del personal y de los equipos. Los sistemas telefónicos PBX tradicionales se sustituyen por sistemas PBX IP que se albergan en un PC estándar en lugar de en equipos específicos de una empresa determinada.

En los centros de datos con una red telefónica existente, es posible que el VoIP no sea necesario a corto plazo, pero sí en el futuro, a medida que crezca la organización o evolucionen las exigencias empresariales. Los conmutadores y enrutadores adecuados para la administración del VoIP deben tener dos características:

Compatibilidad con la norma IEEE 802.1p, calidad de servicio (QoS)
Permite que el conmutador dé prioridad al tráfico de voz por delante del tráfico de datos.

Compatibilidad con la norma IEEE 802.3af, suministro eléctrico en línea para los teléfonos IP
Permite que los conmutadores proporcionen un bajo voltaje en los cables UTP de categoría 5 de las redes Ethernet para alimentar los teléfonos IP.

Seguridad
La seguridad es cada vez un requisito más importante en todos los componentes de la red. La implantación de seguridad se explica detalladamente más adelante, pero cabe destacar que los conmutadores y enrutadores deben valorarse pensando en la seguridad para detectar aquellas características especiales que faciliten su implantación.

Existen dos ámbitos de la seguridad que deben tenerse en cuenta. En primer lugar, existen intrusiones de seguridad de la propia red que posiblemente el dispositivo no pueda bloquear. En segundo lugar, hay intrusiones de seguridad destinadas al propio dispositivo. La primera categoría puede estar enfocada al dispositivo y puede incluir al propio dispositivo. ¿Tiene el dispositivo (principalmente, los enrutadores) función de servidor de seguridad? La segunda categoría serán los ataques destinados a tener acceso a la configuración del dispositivo. Para evitar la segunda posibilidad, ¿pueden realizarse controles adicionales que limiten el acceso a la configuración?

Los conmutadores de bajo costo, generalmente, no pueden configurarse ni disponen de dirección IP, por lo que son relativamente inmunes a los ataques surgidos de la red. Los conmutadores y enrutadores más complejos suelen tener sofisticados mecanismos de control de acceso y también pueden configurarse para limitar las intrusiones. Los conmutadores y los enrutadores de gama media son, probablemente, los más vulnerables pero, si se utiliza un buen servidor de seguridad, pueden eliminarse las intrusiones externas.

¿Puede el dispositivo responder a la creciente seguridad de las VLAN limitando el acceso de los usuarios a los servidores?

Soporte técnico
El soporte técnico del fabricante es muy importante en las redes grandes. Por regla general, éste dependerá de la cantidad que se abone. Los dispositivos de bajo costo, generalmente, sólo dispondrán de soporte técnico por correo electrónico, sin garantía en el tiempo de respuesta. Cuanto más caro sea un dispositivo, probablemente, mayor será su complejidad y podría ser necesario un contrato de soporte técnico. La adquisición de todos los dispositivos y enrutadores del mismo fabricante reduce los problemas entre ellos, que pueden surgir cuando los fabricantes se acusan mutuamente de las dificultades con las que se encuentre el usuario.

Gama de productos y viabilidad del fabricante
En cada clase de conmutadores o enrutadores, puede haber fabricantes que proporcionen el mejor dispositivo de una clase, pero es posible que no ofrezcan dispositivos de otras clases. Por ejemplo, en el ámbito de las pequeñas sucursales hay una gran variedad de fabricantes con buenos productos a precios muy competitivos, pero la mayoría de ellos no fabrica productos aptos para las grandes compañías. También debe considerarse la longevidad del fabricante y el nivel de servicio que puede proporcionar en caso de problemas, ya que muchos fabricantes pequeños se enfrentan a una competencia feroz y su supervivencia en el mercado no está garantizada.

Costo
Inevitablemente el precio de adquisición es un factor determinante en la selección de los dispositivos, pero no deben obviarse los costos de operación. Los conmutadores suelen clasificarse según el precio por puerto. Este costo se calcula a partir del costo total del conmutador dividido por el número de puertos Ethernet para obtener el costo individual de cada puerto. Este cálculo sólo debe utilizarse para comparar conmutadores de la misma clase, ya que no tiene en cuenta las características adicionales que ofrecen las clases superiores. Por ejemplo, los conmutadores sencillos probablemente ofrecen el mejor precio por puerto pero también tienen menos características. En los enrutadores no puede utilizarse el mismo método de comparación de costos sino que debe evaluarse su rendimiento y flexibilidad para el enrutamiento. Uno puede estar tentado a basar su decisión en el precio más asequible de cada clase. Sin embargo, también hay que tener en cuenta el costo de funcionamiento y mantenimiento, por ejemplo, el costo de formación del personal para los diferentes métodos de configuración de dispositivos de cada fabricante.

Rendimiento
La valoración de la capacidad de procesamiento o el rendimiento de los conmutadores y enrutadores es más compleja que la valoración de los PC, en los que la potencia de la CPU puede utilizarse como punto de partida. Los conmutadores y enrutadores suelen basarse en el hardware propio del fabricante y, aunque disponen de CPU, ésta no ofrece una indicación clara de la potencia total. El rendimiento de los conmutadores puede medirse en número de bits por segundo (bps) y paquetes por segundo (pps), mientras que el rendimiento de los enrutadores suele medirse únicamente en pps. Los fabricantes de conmutadores y enrutadores, generalmente, no indican el rendimiento de sus dispositivos. Además, no existe una norma en el sector para medir el rendimiento, lo que dificulta las comparaciones directas. Los fabricantes de enrutadores pequeños tampoco suelen dar cifras de rendimiento.

Características específicas de los conmutadores

En esta sección se describen las características recomendables propias de los conmutadores.

STP (Spanning Tree Protocol, protocolo del árbol de expansión)
El protocolo STP se utiliza para calcular la mejor ruta entre conmutadores cuando existen varios conmutadores y varias rutas en la red. Esto es necesario para evitar el envío de datos por varias rutas a la vez, lo que redunda en duplicación de los datos. En las redes grandes es esencial que los conmutadores admitan este protocolo, el cual no suele estar disponible en los conmutadores pequeños.

Compatibilidad con VLAN
Las redes VLAN sirven para segmentar la red en grupos de equipos con necesidades de comunicación similares, de manera que se reduce el tráfico en la red. Esta configuración puede utilizarse en redes de cualquier tamaño, pero resulta especialmente útil cuando se instalan pocos conmutadores pero de gama alta. Los conmutadores de bajo costo no suelen ser compatibles con las redes VLAN. Esto no resulta importante en las redes pequeñas, pero la compatibilidad con las redes VLAN es esencial en las redes de gran tamaño.

Conectividad de vínculo ascendente
Los vínculos ascendentes se utilizan para conectar conmutadores en una red. Mientras que todos los conmutadores pueden conectarse mediante vínculos Ethernet ordinarios, los conmutadores de gama alta admiten vínculos de mayor velocidad que utilizan protocolos troncales diseñados para conexión entre conmutadores.

Consolidación
La incorporación de otras funciones en el conmutador puede reducir los costos y mejorar la administración. Por ejemplo, los conmutadores de bajo costo destinados a las sucursales pequeñas pueden incluir un enrutador y un servidor de seguridad e incluso un módem de banda ancha. Además de la reducción de costos, también se simplifica la administración, ya que se trabaja con una sola unidad física. Los conmutadores superiores también pueden incorporar un módulo enrutador, denominado conmutador de nivel 3, así como otras funciones de equilibrio de carga y servidor de seguridad. Ello también mejora la administración de la red. Este tipo de consolidación debe considerarse con detenimiento, ya que puede comportar una menor resistencia porque, en caso de error del conjunto de la unidad, todos los servicios consolidados quedarían anulados.

Clases de conmutadores

En esta sección se definen varias clases de conmutadores. Estas clases son flexibles y puede darse el caso de que un modelo específico de un fabricante pertenezca a varias clases debido a las opciones de actualización, mientras que dos modelos diferentes de un mismo fabricante pueden pertenecer a la misma clase. Las clases de conmutadores descritas en esta sección son:

Clase 1: Conmutadores fijos inferiores

Clase 2: Conmutadores flexibles inferiores

Clase 3: Conmutadores de gama media

Clase 4: Conmutadores superiores

Clase 1: Conmutadores fijos inferiores

Los conmutadores inferiores presentan características y capacidades de expansión limitadas y ninguna tolerancia a errores. Esta clase de conmutadores está diseñada para un número fijo de puertos Ethernet (generalmente, entre 4 y 24) y su rendimiento limitado suele estar adaptado a sus restricciones de conectividad.

Los conmutadores de esta clase son económicos pero carecen de capacidad de actualización y flexibilidad. La conectividad Ethernet está integrada en el hardware y las funciones del dispositivo (por ejemplo, número de puertos) no se pueden modificar a medida que cambian las necesidades. Los conmutadores inferiores están diseñados para un funcionamiento autónomo, sin coordinación del tráfico con otros conmutadores. Es posible que no admitan características como el protocolo STP, la administración remota, los vínculos ascendentes de alta velocidad y las redes VLAN. Los vínculos ascendentes con otros conmutadores, generalmente, pueden realizarse a las velocidades Ethernet estándar mediante un puerto especial o un cable de vínculo Ethernet. La función de conmutador también puede combinarse con un enrutador.

Por regla general, estos conmutadores están diseñados para pequeñas oficinas, sucursales de grandes organizaciones y usuarios domésticos. La falta de capacidad de administración probablemente no reviste importancia para las empresas pequeñas o los usuarios domésticos; sin embargo, es un inconveniente significativo en las sucursales de una empresa. En la tabla 1 se resumen las características de los conmutadores de la clase 1.

Tabla 1. Clase 1: Conmutadores fijos inferiores

Características habituales

No hay necesidad de configuración o no está disponible

No hay posibilidad de expansión

Probablemente no son compatibles con el protocolo STP

No son compatibles con las redes VLAN

No permiten la administración remota

Soporte técnico limitado del fabricante

No son compatibles con el protocolo VoIP

Costo bajo

Ventajas

Las ventajas de los conmutadores fijos inferiores son:

Precio asequible:
Estos dispositivos suelen ser económicos debido a su construcción física sencilla y su reducido número de características; además, hay muchos fabricantes y una fuerte competencia. Si obviamos sus deficiencias, ofrecen la mejor relación de todas las clases de conmutadores en cuanto al precio por puerto.

Configuración sencilla:
Estos dispositivos no suelen disponer de opciones de configuración y son muy sencillos de instalar; el conmutador descubre su entorno y se autoconfigura. La ausencia de opciones de configuración es una ventaja en las ubicaciones remotas ya que impide su manipulación indebida.

Inconvenientes

Los inconvenientes de los conmutadores fijos inferiores son:

No ofrecen capacidad de actualización:
Como consecuencia de su bajo costo de construcción, estos dispositivos no suelen ofrecer ninguna capacidad de actualización cuando se necesitan puertos Ethernet adicionales.

Sin posibilidades de configuración ni de administración:
Estos dispositivos no disponen de opciones configurables y no cuentan con un programa de configuración que permita su administración y supervisión remotas. Por regla general, estos dispositivos se instalan en centros remotos pequeños sin soporte técnico local, por lo que la falta de capacidad de supervisión puede ser un inconveniente importante. Otra consecuencia de la falta de capacidad de configuración es que el conmutador no admite el protocolo STP ni las redes VLAN, lo que significa que esta clase de conmutadores no es la opción preferida de las grandes redes empresariales centrales.

Soporte técnico limitado:
El soporte técnico para esta clase de enrutadores suele ser limitado y se ofrece a través de páginas Web, preguntas más frecuentes (FAQs) y por correo electrónico sin garantía del nivel de servicio. La competencia es dura, el ciclo de vida del producto es muy corto y los modelos cambian rápidamente, por lo que los modelos antiguos quedan fuera del servicio del soporte técnico. Las garantías están limitadas a la sustitución de los dispositivos, lo que no puede asegurarse que se realice en un margen de tiempo determinado. Si el dispositivo se estropea una vez transcurrido el período de garantía, su reparación no resulta rentable. El nivel del soporte técnico puede resultar adecuado debido a la sencillez del dispositivo y al ahorro en la compra del mismo.

Clase 2: Conmutadores flexibles inferiores

Los conmutadores flexibles inferiores ofrecen características similares a los conmutadores fijos inferiores pero disponen de hardware actualizable que permite responder a las nuevas necesidades. En general, estos conmutadores permiten un aumento del número de puertos Ethernet (con más puertos que un conmutador fijo), proporcionan una capacidad de vínculos ascendentes más flexible (en general, Ethernet de 1 Gbps) y son compatibles con el protocolo STP. Suelen ofrecer un mayor rendimiento del tráfico Ethernet que los conmutadores fijos porque tienen que dar cabida a un mayor número de puertos. Otra característica es que cuestan más que los conmutadores fijos inferiores porque son ampliables y suelen ofrecer capacidad de administración remota y compatibilidad con VLAN. Los conmutadores de configuración fija apilables pueden considerarse en la misma clase, con las mismas características técnicas, pero con capacidad de expansión al apilar conmutadores nuevos en conmutadores existentes y conectarlos mediante buses de alta velocidad a fin de que funcionen como una sola unidad. Cabe destacar que el término "apilable" no tiene una definición estándar. Algunos fabricantes se refieren a que el conmutador puede colocarse físicamente sobre otro conmutador, pero en esta clase se entiende que hay un bus de alta velocidad entre los dos conmutadores y que estos conmutadores se administran como si de uno solo se tratara.

Los conmutadores flexibles inferiores pueden utilizarse cuando se prevé un crecimiento o cuando un conmutador fijo inferior no dispone de suficientes puertos. Pueden utilizarse en plantas de edificios, departamentos, sucursales remotas o de forma individual en pequeñas organizaciones. El costo inicial es mayor que el de los conmutadores fijos inferiores pero, a largo plazo, pueden realizarse ampliaciones sin tener que desechar el conmutador. Puesto que los conmutadores flexibles inferiores suelen tener un potencial de conectividad mayor que los conmutadores fijos inferiores, pueden equiparse oficinas de mayor tamaño. En la tabla 2 se resumen las características de los conmutadores de la clase 2.

Tabla 2. Clase 2: Conmutadores flexibles inferiores

Características habituales

Actualización de puertos Ethernet

Flexibilidad de puertos de vínculo ascendente

Ampliable a más puertos Ethernet que los conmutadores de clase 1

Protocolo STP Spanning Tree Protocol, (protocolo del árbol de expansión)

Capacidad de configuración, administración y acceso remotos

Compatibilidad con el protocolo VoIP poco habitual

Compatibilidad con redes VLAN

Costo bajo a alto

Ventajas

Las ventajas de los conmutadores flexibles inferiores son:

Precio asequible:
Estos dispositivos tienen un costo por puerto mayor que los conmutadores de la clase 1. Sin embargo, ofrecen mejor capacidad de administración y de ampliación, y son más económicos que los conmutadores de las clases superiores.

Capacidad de actualización:
Estos dispositivos cuentan con métodos para aumentar el número de puertos Ethernet, ya sea mediante la inclusión de puertos adicionales en la unidad base o conectando una unidad base adicional a la existente conectándola directamente al bus interno. El puerto de vínculo ascendente utilizado para conectar a otros dispositivos puede albergar diferentes sistemas de conectividad, tales como Ethernet de 1 Gbps y fibra o cobre.

Configurable:
Estos conmutadores tienen capacidad para configurar el protocolo STP (Spanning Tree Protocol, Protocolo del árbol de expansión) y redes VLAN. Por esta razón, estos dispositivos son adecuados para redes empresariales. Además, también admiten la administración y supervisión remotas.

Inconvenientes

Los inconvenientes de los conmutadores flexibles inferiores son:

Capacidad de actualización poco flexible:
Estos dispositivos suelen ofrecer un aumento limitado del número de puertos Ethernet y cambios limitados en las características del puerto de vínculo ascendente. La adición de una unidad apilada aumentará considerablemente el número de puertos, aunque sólo se necesite un número reducido. En general, no ofrecen la adición de otras características tales como la conmutación de nivel 3.

La compatibilidad con el protocolo VoIP (Voice over IP, Voz sobre IP) es poco habitual:
Aunque puede que el protocolo VoIP no sea necesario en estos momentos, su disponibilidad podría ser imprescindible si una organización actualizara la red telefónica.

Resistencia baja o limitada:
En general, estos conmutadores presentan poca resistencia; en caso de que exista, la única característica de resistencia será probablemente una fuente de alimentación redundante.

Clase 3: Conmutadores de gama media

Los conmutadores de gama media ofrecen más potencia y una densidad de puertos y capacidad de expansión mucho mayor que los conmutadores de clase 2. También disponen de un nivel más alto de capacidad de administración, redundancia y resistencia. Generalmente, estos conmutadores tienen un chasis modular en lugar de fijo, con tarjetas de puertos conectables. Suelen haber chasis de diferentes tamaños con distinto número de ranuras. Estos conmutadores incluyen varias fuentes de alimentación redundantes intercambiables en caliente, mientras que las características de resistencia incluyen protocolos para facilitar el cambio a un conmutador alternativo. También pueden incluir un segundo motor, es decir, el procesador del conmutador que ofrece resistencia en caso de error del primer conmutador.

Estos conmutadores pueden utilizarse para proporcionar la función principal de conmutación en una organización mediana, en las sucursales grandes o para agrupar departamentos de una organización grande que deban conectarse a un conmutador mayor. Ofrecen una gran flexibilidad y capacidad de crecimiento para conectividad WAN y LAN, y suelen tener un ciclo de vida largo, ya que se pueden actualizar para albergar tecnologías futuras. En la tabla 3 se resumen las características de los conmutadores de la clase 3.

Tabla 3. Clase 3: Conmutadores de gama media

Características habituales

Unidad del sistema con chasis de diferente tamaño

Fuentes de alimentación redundantes

Alta densidad de puertos Ethernet

Flexibilidad de puertos de vínculo ascendente

Capacidad de configuración, administración y acceso remotos

Protocolo STP Spanning Tree Protocol, (protocolo del árbol de expansión)

Compatibilidad con redes VLAN

Compatibilidad con el protocolo VoIP

Conmutación de nivel 3

Fuente de alimentación redundante

Motor redundante

Costo elevado

Ventajas

Las ventajas de los conmutadores de gama media son:

Rentabilidad:
Aunque el precio del conmutador básico de gama media es superior al de los conmutadores inferiores, el precio por puerto disminuye considerablemente a medida que se incrementa el número de puertos de la unidad. Esto es así, especialmente, en las unidades con chasis más grandes.

Configuración sencilla:
Estos dispositivos tienen características más complejas, como las redes VLAN, que deben configurarse. Esta clase de conmutadores suele proporcionar una interfaz gráfica de tipo explorador para la configuración además de los métodos tradicionales de línea de comandos. Pueden utilizarse las mismas herramientas para administrar y supervisar de forma remota la actividad del dispositivo.

Capacidad de administración:
Esta clase de conmutadores ofrece funciones de administración superiores debido a las herramientas de software mejoradas y a las características de hardware diseñadas específicamente.

Resistencia:
A medida que aumenta la capacidad de puertos, la resistencia resulta más importante y esta clase de conmutadores puede proporcionar una fuente de alimentación y un motor redundante opcionales.

Escalabilidad y ciclo de vida largo:
Puesto que estos conmutadores se basan en un chasis, todas las opciones de conectividad están constituidas por tarjetas conectables. Esto significa que la unidad se puede ampliar fácilmente si cambian las necesidades o si las nuevas tecnologías disminuyen de precio. A su vez, se alarga la vida de los conmutadores, mientras que los conmutadores inferiores tendrían que desecharse.

Inconvenientes

Los inconvenientes de los conmutadores de gama media son:

Costo elevado:
Estos dispositivos tienen un costo básico superior a los de clases inferiores, aunque resultan más rentables cuanto mayor es la cantidad de puertos, especialmente en el caso de los chasis de mayor tamaño.

Configuración compleja:
Puesto que estos dispositivos tienen más opciones, la configuración es más compleja, aunque las herramientas gráficas de configuración facilitan esta tarea.

Clase 4: Conmutadores superiores

Los conmutadores superiores ofrecen alto rendimiento, gran expansión, tolerancia a errores extremadamente elevada y gran disponibilidad. El diseño del hardware es extremadamente flexible y ofrece múltiples opciones de conectividad junto con otras opciones, tales como varias fuentes de alimentación y varios procesadores, así como otras características que hacen que el sistema sea extremadamente resistente.

Se hace un mayor énfasis en los protocolos de alta velocidad, tales como el modo de transferencia asíncrono (ATM) para establecer vínculos con otros dispositivos de red. Estos conmutadores ofrecen una versatilidad extrema porque son compatibles con diferentes sistemas de hardware, como el cobre y la fibra óptica, y tienen la capacidad de administrar varios vínculos Ethernet de 1 Gbps. Esta clase de conmutadores también puede incluir un módulo enrutador que les permite también hacer las veces de enrutadores. Esta opción es especialmente útil para unir redes VLAN. En la tabla 4 se resumen las características de los conmutadores de la clase 4.

Tabla 4. Clase 4: Conmutadores superiores

Características habituales

Unidad del sistema basada en un chasis

Fuentes de alimentación redundantes

Alta densidad de puertos Ethernet

Flexibilidad de puertos de vínculo ascendente

Compatibilidad con Ethernet de 10 Gbps

Capacidad de configuración, administración y acceso remotos

Protocolo STP Spanning Tree Protocol, (protocolo del árbol de expansión)

Compatibilidad con redes VLAN

Compatibilidad con el protocolo VoIP

Conmutación de nivel 3

Conmutación de nivel 4-7

Características de seguridad

Fuente de alimentación redundante

Motor redundante

Costo elevado

Ventajas

Las ventajas de los conmutadores superiores son:

Rentabilidad:
Al igual que los conmutadores de la clase 3, los conmutadores de esta clase también tienen un precio unitario básico elevado. Sin embargo, a medida que se amplía la unidad y se incrementa la densidad de los puertos, el costo por puerto disminuye considerablemente.

Capacidad de administración:
Al igual que los conmutadores de la clase 3, esta clase de conmutadores ofrece características de administración superiores debido a las herramientas de software mejoradas y a las funciones de hardware diseñadas específicamente.

Resistencia:
A medida que se incrementa la capacidad del conmutador para albergar puertos, la resistencia resulta cada vez más esencial. Esta clase de conmutadores proporciona características avanzadas de resistencia, tales como fuentes de alimentación redundantes e intercambiables en caliente, motores redundantes y elementos de conmutación redundantes.

Escalabilidad y ciclo de vida largo:
Puesto que estos conmutadores se basan en un chasis, todas las opciones de conectividad están constituidas por tarjetas conectables. Esto significa que la unidad se puede ampliar fácilmente si cambian las necesidades o si las nuevas tecnologías disminuyen de precio. A su vez, se alarga la vida de los conmutadores, a diferencia de los conmutadores de las clases inferiores que podrían tener que desecharse.

Seguridad:
Esta clase de conmutadores generalmente ofrece características de seguridad avanzadas para proteger la red contra las intrusiones.

Conmutación de nivel 3-7:
Esta clase ofrece conmutación de nivel 3 (enrutamiento) como opción. También puede ofrecer otras funciones avanzadas, tales como conmutación de nivel 4-7, equilibrio de carga y servidores de seguridad. Estos servicios integrados en la unidad reducen el costo en comparación con las unidades externas y mejoran el rendimiento.

Inconvenientes

Los inconvenientes de los conmutadores superiores son:

Costo inicial elevado:
El costo inicial de estas unidades basadas en un chasis es elevado porque incluye el costo de componentes tales como el chasis, el motor y la fuente de alimentación. El precio por puerto es especialmente elevado cuando el chasis cuenta con pocos puertos. Sin embargo, el precio por puerto disminuye a medida que aumenta la densidad de puertos.

Configuración compleja:
La oferta de características adicionales incrementa inevitablemente la complejidad de configuración de los conmutadores. Esta clase de conmutadores deben ser configurados por técnicos informáticos experimentados.

Enrutadores

Según la tarea que deba realizar en la red, se pueden utilizar distintas clases de enrutadores, tales como enrutadores de borde que dan a Internet, enrutadores internos que unen redes VLAN y enrutadores de pequeñas oficinas.

Características específicas de los enrutadores

En este apartado se describen las características recomendables propias de los enrutadores.

Protocolos de enrutamiento
Para los enrutadores de trabajo debe haber una gama de protocolos de enrutamiento y la selección de los enrutadores debe realizarse considerando el diseño de la red y la selección de los protocolos de enrutamiento. Los protocolos de enrutamiento más habituales son RIP y OSPF, pero el protocolo RIP no es adecuado para redes a gran escala.

Gama de vínculos WAN y protocolos
¿Qué protocolos pretende usar en los vínculos WAN y cuáles podrían ser útiles en el futuro? Deben seleccionarse los enrutadores superiores que sean compatibles con una gran variedad de vínculos y protocolos de alta velocidad, aunque en el presente no sean necesarios. Las pequeñas sucursales pueden tener conexiones de acceso telefónico, ISDN (RDSI) o de banda ancha y los enrutadores inferiores deben ser compatibles con estos métodos de conexión. Aunque la banda ancha puede ser la mejor opción para la estructura actual de una sucursal, no está disponible de forma universal y el acceso telefónico o la ISDN (RDSI) pueden ser las únicas soluciones para las ubicaciones remotas.

Traducción de direcciones de red (NAT)
La NAT se utiliza en los enrutadores que dan a Internet para traducir una única dirección de Internet en múltiples direcciones de la red privada. Esto significa que muchos dispositivos pueden tener una misma dirección de Internet y, puesto que no se puede tener acceso directamente a las direcciones privadas desde otro usuario de Internet, el resultado es una mayor seguridad. Debe estar disponible en los enrutadores de las oficinas pequeñas conectados a través de Internet y también en el enrutador de borde de las oficinas de mayor tamaño.

Protocolo de configuración dinámica de host (DHCP)
El protocolo DHCP permite asignar direcciones IP automáticamente a los PC de manera que no es necesario configurar las direcciones manualmente. Esto simplifica la instalación de los PC, ya que pueden ser configurados para utilizar DHCP y recibirán una dirección cuando se enciendan y se conecten a la red. También resulta útil en los equipos portátiles que se utilizan en distintos lugares de trabajo, ya que así reciben automáticamente una dirección IP según la ubicación donde se encuentren. En las sedes centrales, el servicio DHCP puede ofrecerlo un servidor que ejecute el sistema operativo Microsoft® Windows® 2000 o Microsoft® Windows Server™ 2003, pero en oficinas pequeñas es posible que no haya ningún servidor, de manera que sería útil que el propio enrutador asignara direcciones DHCP.

Servidor de seguridad
Los enrutadores pueden tener una característica de servidor de seguridad, lo que resulta útil en cualquier enrutador que dé a Internet, tal como el enrutador de una sucursal o el enrutador de borde de grandes oficinas. Aunque en las grandes oficinas se recomienda un enrutador a gran escala, el enrutador de borde se encuentra fuera del servidor de seguridad y debe protegerse por sí mismo.

VRRP (Virtual Router Redundancy Protocol, Protocolo de redundancia de enrutadores virtuales)
En las grandes oficinas, pueden instalarse dispositivos de red duplicados como arquitectura a prueba de errores, de manera que un dispositivo funcione como maestro y el otro como dispositivo en espera en caliente, el cual se activaría en caso de error del dispositivo maestro. El protocolo VRRP es un protocolo que funciona en un vínculo entre los enrutadores, de forma que cada enrutador sabe si el otro está activo y, cuando se produce un error en el vínculo, el dispositivo activo puede reaccionar.

Red privada virtual (VPN)
Las redes privadas virtuales ofrecen confidencialidad y seguridad en las conexiones a través de Internet. De hecho, proporcionan una línea privada en un servicio público y su principal uso es para usuarios individuales que se conectan desde casa o para pequeñas sucursales que se conectan a la sede central. El vínculo VPN se puede configurar de varias maneras, por ejemplo, empezando el proceso en el PC cliente, en cuyo caso el enrutador no tiene constancia de la conexión VPN. Sin embargo, el enrutador también puede configurarse con vínculos VPN directos entre enrutadores en los que no participan los usuarios, lo que puede ser un requisito en las pequeñas sucursales.

Clases de enrutadores

De forma similar a las clases de conmutadores, se han definido varias clases y los productos pueden incluirse en varias de ellas dependiendo de las opciones disponibles. Las clases de enrutadores descritas en este apartado son:

Clase 1: Enrutadores de software

Clase 2: Enrutadores fijos inferiores

Clase 3: Enrutadores flexibles inferiores

Clase 4: Enrutadores de gama media

Clase 5: Enrutadores superiores

Clase 6: Enrutadores de ISP

Clase 1: Enrutadores de software

Los enrutadores de software son equipos informáticos con un sistema operativo estándar y programas instalados que ofrecen la capacidad de enrutamiento entre una LAN y una WAN. El equipo informático proporciona las funciones típicas de un PC y las características de enrutamiento se llevan a cabo en segundo plano. Estos enrutadores suelen proporcionar acceso a Internet compartido a varios equipos de usuarios domésticos o de pequeñas empresas. Su rendimiento es limitado, ya que la función de enrutamiento es un proceso de segundo plano en lugar de la función principal del dispositivo. Su rendimiento también depende de la actividad que se realice en primer plano. La resistencia está limitada a la del equipo. Puesto que el equipo suele ser una estación de trabajo, el enrutamiento depende especialmente de que el usuario no apague el sistema. La capacidad de actualización y la flexibilidad son bajas porque el software admite un número limitado de protocolos WAN. Un ejemplo de esta clase de enrutadores de software es la Conexión compartida a Internet (ICS), que está disponible en sistemas operativos Windows 98, ME, 2000, 2003 y XP.

Los enrutadores de software son útiles cuando hay pocos usuarios en una red local y poca necesidad de tener acceso a la WAN. Cada vez se utilizan más en los hogares en los que varios usuarios deben entrar en Internet a través de una misma línea telefónica. Cuando las necesidades superan la capacidad de esta solución de enrutamiento, puede instalarse un enrutador de hardware dedicado de la siguiente clase de enrutadores. En la tabla 5 se resumen las características de los enrutadores de la clase 1.

Tabla 5. Clase 1: Enrutadores de software

Características habituales

Sólo software

Configuración sencilla

Traducción de direcciones de red (NAT) integrada

Sin protocolos de enrutamiento

Gratis con el sistema operativo o costo muy bajo

Ventajas

Las ventajas de los enrutadores de software son:

Económicos:
Estos enrutadores no requieren ninguna unidad de hardware adicional aparte del módem y se incluyen con el sistema operativo o pueden adquirirse a un precio muy bajo. El costo reducido es la principal ventaja, pero los inconvenientes tales como la falta de características y el rendimiento pueden pesar más que esta ventaja.

Configuración sencilla:
La configuración suele estar limitada a la activación de la función de enrutamiento. La NAT también se activará con el Protocolo de configuración dinámica de host (DHCP), el cual proporciona a cada equipo de la red interna una dirección privada de forma automática.

Inconvenientes

Los inconvenientes de los enrutadores de software son:

Rendimiento variable:
Esta función de enrutamiento depende de la capacidad de procesamiento de un único equipo que, generalmente, realizará otras tareas al mismo tiempo, de manera que el rendimiento queda afectado y es inconstante. En principio está destinado a un acceso a Internet esporádico y no continuo; aunque es adecuado para un equipo en modo autónomo, su rendimiento cae al conectar más equipos o si aumenta el uso de Internet.

Opciones de configuración limitadas:
Al no disponer de protocolos de enrutamiento, las opciones de configuración son prácticamente nulas y sólo se dispone de características básicas de servidor de seguridad.

Resistencia nula:
La resistencia se limita a la del equipo donde el programa del enrutador esté instalado, lo que significa que no existe resistencia alguna. En consecuencia, el software de enrutamiento es especialmente vulnerable a las acciones del usuario, tales como el hecho de apagar el equipo.

Clase 2: Enrutadores fijos inferiores

Los enrutadores fijos inferiores, generalmente, tienen un rendimiento, unas características y la capacidad de expansión limitadas y ninguna tolerancia a errores. Esta clase de enrutadores está diseñada para conectar una LAN Ethernet a una WAN. Las conexiones WAN suelen estar limitadas a un módem de acceso telefónico, ISDN (RDSI), vínculo X25, banda ancha o un módem de cable. El enrutador, generalmente, dispone de un concentrador o un conmutador integrado (que también puede incluir conectividad inalámbrica con los equipos provistos de tarjetas inalámbricas) y también puede tener un servidor de seguridad sencillo.

La conectividad WAN está integrada en el hardware del enrutador y no se puede modificar si cambian las necesidades del usuario. Sin embargo, los enrutadores son económicos y la falta de capacidad de actualización es la contrapartida a su bajo precio.

Estos enrutadores no presentan funciones de resistencia pero son dispositivos dedicados y pueden estar encendidos en todo momento. Puesto que son económicos, se puede instalar un segundo enrutador para proporcionar redundancia. Sólo ofrecen una gama limitada de protocolos de enrutamiento, tales como RIP y OSPF, pero suelen disponer de una función NAT que permite que varios usuarios internos de la LAN tengan acceso a Internet a través de una sola dirección.

El rendimiento es limitado pero es superior al de los dispositivos de la clase 1, ya que el hardware está diseñado para realizar la función de enrutamiento sin que se ejecuten otras tareas simultáneas.

Esta clase de enrutadores está concebida para oficinas pequeñas, para empleados que trabajen en casa a través de Internet o para que las pequeñas sucursales se conecten a la oficina central dentro de una estructura de red jerárquica. La ISDN (RDSI) ha tenido mucha aceptación para llevar a cabo esta función, ya que la conexión sólo se establece cuando deben transmitirse datos. Esto significa que los vínculos WAN, aunque resultan costosos, se utilizan de forma eficaz y rentable. Al reducirse el costo de esta clase de enrutadores, este nivel de enrutamiento penetró en los hogares, de forma que los enrutadores más conocidos de esta clase se limitan a conexiones ISDN (RDSI) o de Internet de banda ancha. En la tabla 6 se resumen las características de los enrutadores de la clase 2.

Tabla 6. Clase 2: Enrutadores fijos inferiores

Características habituales

Protocolos WAN limitados

Capacidad nula de actualización de hardware

Protocolo de enrutamiento RIP, posiblemente también OSPF

Rendimiento limitado

Configuración, generalmente, sencilla

Sin tolerancia a errores

Conmutador o concentrador integrado

Servidor de seguridad integrado

NAT/DHCP integrado

Soporte técnico limitado del fabricante

Costo bajo

Ventajas

Las ventajas de los enrutadores fijos inferiores son:

Precio asequible:
Los enrutadores de esta clase son económicos, en parte debido a su rendimiento y funciones limitadas y también a la gran competencia que existe a este nivel. Puesto que estos enrutadores también pueden incluir un concentrador o un conmutador y un servidor de seguridad, pueden resultar especialmente rentables como enrutadores en redes pequeñas.

Configuración sencilla:
De acuerdo con la fuerte competencia en esta clase de enrutadores y con sus opciones limitadas, la configuración suele ser sencilla, generalmente mediante un explorador y una interfaz gráfica.

Rango de conectividad WAN:
Muchos de los enrutadores de bajo costo están limitados a conexiones WAN ISDN (RDSI) o ADSL, pero también existen enrutadores en esta clase con X25 y Frame Relay, aunque a un precio superior. El vínculo WAN debe seleccionarse al comprar el enrutador y no puede cambiarse si surgen nuevas necesidades.

Funciones integradas:
Estos enrutadores ofrecen las funciones NAT y DHCP para asignar direcciones automáticamente a los equipos conectados. Opcionalmente, pueden ofrecer un concentrador o un conmutador de 4 u 8 puertos, y cada vez es más habitual que incluyan un servidor de seguridad básico. La popularidad de los conmutadores inalámbricos está en constante crecimiento.

Inconvenientes

Los inconvenientes de los enrutadores fijos inferiores son:

Capacidad de actualización limitada:
El hardware de esta clase de enrutadores no se puede actualizar, pero generalmente su firmware sí. Existen diferentes opciones de conectividad WAN, número de puertos Ethernet y conmutadores integrados, que pueden elegirse en el momento de la compra, pero no posteriormente. Sin embargo, gracias a su bajo costo inicial, estos productos pueden desecharse si no satisfacen las necesidades futuras.

Rendimiento limitado:
Estos enrutadores presentan un rendimiento limitado. Los fabricantes no suelen divulgar las cifras de rendimiento, pero por lo general son adecuados para unos ocho usuarios, dependiendo de las tareas que realicen.

Soporte técnico limitado:
El soporte técnico para esta clase de enrutadores suele ser limitado y se ofrece a través de páginas Web, preguntas más frecuentes (FAQs) y por correo electrónico sin garantía del nivel de servicio. La competencia es dura, el ciclo de vida del producto es muy corto y los modelos cambian rápidamente, por lo que los modelos antiguos quedan fuera del servicio del soporte técnico. Las garantías están limitadas a la sustitución de los dispositivos, lo que no puede asegurarse que se realice en un margen de tiempo determinado. Si el dispositivo se estropea una vez transcurrido el período de garantía, su reparación no resulta rentable. El nivel del soporte técnico puede resultar adecuado debido a la sencillez del dispositivo y al ahorro en la compra del mismo.

Administración y características limitadas:
Esta clase de enrutadores, que han sido diseñados para redes pequeñas, presenta un nivel de administración limitado. Esta limitación es un inconveniente en las oficinas remotas de una red empresarial. Estos enrutadores también ofrecen opciones de enrutamiento limitadas y es posible que no dispongan de algunas características esenciales para los usuarios empresariales, tales como el protocolo de enrutamiento OSPF.

Resistencia nula:
Esta clase de enrutadores carece de características de resistencia.

Clase 3: Enrutadores flexibles inferiores

Los enrutadores flexibles inferiores ofrecen características similares a los enrutadores fijos inferiores pero disponen de hardware actualizable que permite responder a las nuevas necesidades de las organizaciones. En general, estos enrutadores permiten varios tipos de conexiones WAN o varios puertos WAN y, en caso de llevar concentradores o conmutadores Ethernet integrados, pueden conectarse dispositivos locales adicionales. Suelen ofrecer un rendimiento mayor que los enrutadores fijos porque están concebidos para albergar el número máximo de puertos sin necesidad de actualizar los procesadores. A causa de la posibilidad de actualización, son más caros que los enrutadores fijos inferiores, aunque suelen ofrecer una gama limitada de protocolos de enrutamiento, al igual que los enrutadores fijos inferiores.

Estos enrutadores se utilizan a menudo en pequeñas oficinas o sucursales donde se prevé un crecimiento. A pesar de que el costo inicial es superior al de los enrutadores fijos, a largo plazo son más rentables porque en caso de crecimiento se pueden actualizar sin necesidad de sustituirlos. Puesto que los enrutadores flexibles inferiores suelen ser de mayor potencia que los enrutadores fijos inferiores, pueden equiparse oficinas de mayor tamaño. En la tabla 7 se resumen las características de los enrutadores de la clase 3.

Tabla 7. Clase 3: Enrutadores flexibles inferiores

Características habituales

Posibilidad de actualización

Amplia gama de conexiones WAN

Protocolos de enrutamiento RIP y OSPF

Compatibilidad con redes VLAN

Compatibilidad con el protocolo VoIP

Sin tolerancia a errores

Conmutador o concentrador integrado

Servidor de seguridad integrado

NAT/DHCP integrado

Costo bajo a alto

Ventajas

Las ventajas de los enrutadores flexibles inferiores son:

Precio asequible:
Aunque son más caros que los enrutadores de la clase 2, estos enrutadores pueden considerarse igualmente de bajo costo. Ofrecen más características, un mejor rendimiento y capacidad de actualización, de modo que su precio más elevado está justificado.

Configuración sencilla:
Puesto que estos enrutadores suelen utilizarse en redes sencillas, a menudo cuentan con herramientas gráficas de configuración. Para las opciones de configuración más complejas se puede recurrir a la línea de comandos.

Conjunto de características avanzadas:
Estos enrutadores disponen de características avanzadas como OSPF, VoIP, servidor de seguridad y NAT, por lo que son adecuados como componentes de una red empresarial.

Capacidad de actualización:
Esta clase de enrutadores dispone de una amplia gama de opciones de conectividad WAN y, en caso de que surjan nuevas necesidades después de su adquisición, se pueden actualizar. Se puede actualizar la memoria para mejorar el rendimiento y también el sistema operativo para incluir características adicionales.

Inconvenientes

Los inconvenientes de los enrutadores flexibles inferiores son:

Rendimiento limitado:
Aunque es posible que los fabricantes no divulguen cifras sobre el rendimiento de sus enrutadores, esta clase de enrutadores presenta limitaciones de rendimiento y está destinada a oficinas o departamentos pequeños, dependiendo de la actividad existente y del tráfico en la WAN.

Opciones de configuración limitadas:
Aunque los enrutadores de esta clase cuentan con un conjunto de características considerable, éstas todavía son limitadas si se comparan con las características de los enrutadores de las clases superiores.

Poca escalabilidad:
Las conexiones WAN, en general, se pueden actualizar (aunque exista una limitación en el número de conexiones) pero la cantidad de puertos LAN no puede aumentarse.

Resistencia nula:
Los enrutadores de esta clase tienen pocas o nulas características de resistencia.

Clase 4: Enrutadores de gama media

Los enrutadores de gama media ofrecen más potencia y capacidad de expansión del hardware que los enrutadores de la clase 3. Proporcionan múltiples puertos LAN y WAN con conexiones Ethernet más rápidas, tales como Ethernet de 1 Gbps o conexiones de fibra o de cobre. Es posible que dispongan de protocolos adicionales, especialmente para conectividad troncal, para establecer vínculos con otros dispositivos de red, como enrutadores o conmutadores, en lugar de equipos individuales. Estos enrutadores suelen utilizarse para conexiones entrantes de equipos individuales de trabajadores domésticos o de pequeños proveedores de servicios de Internet (ISP) que utilicen módems analógicos o ISDN (RDSI). En general, también son compatibles con el protocolo VoIP, que permite la transmisión simultánea de voz y datos a través de un mismo cable.

Aunque los enrutadores de gama media cuentan con poca o nula resistencia de hardware integrada, ofrecen un método de resistencia alternativo basado en el uso de dos enrutadores (uno principal y otro en espera) y protocolos que garantizan un intercambio rápido entre ellos en caso de mal funcionamiento.

Estos enrutadores pueden utilizarse para proporcionar la función principal de enrutamiento en una organización mediana, en las sucursales grandes o para agrupar departamentos de una organización grande que deban conectarse a un enrutador mayor. La capacidad de acceso telefónico a menudo es utilizada por los empleados domésticos para conectarse directamente a la empresa sin pasar por Internet. Ofrecen una gran flexibilidad y capacidad de crecimiento para conectividad WAN y LAN, y suelen tener un ciclo de vida largo, ya que se pueden actualizar para albergar tecnologías futuras. En la tabla 8 se resumen las características de los enrutadores de la clase 4.

Tabla 8. Clase 4: Enrutadores de gama media

Características habituales

Posibilidad de actualización

Amplia gama de conexiones WAN

Rendimiento >40 Kbps

Protocolos de enrutamiento RIP y OSPF

Compatibilidad con redes VLAN

Compatibilidad con el protocolo VoIP

Sin tolerancia a errores

Servidor de seguridad integrado

Protocolo de resistencia VRRP

NAT/DHCP integrado

Compatibilidad con redes VPN

Costo bajo a alto

Ventajas

Las ventajas de los enrutadores de gama media son:

Rendimiento:
Los enrutadores de esta clase tienen un rendimiento de al menos 40 Kbps y pueden considerarse enrutadores de rendimiento medio, adecuados para sucursales grandes o empresas medianas.

Expansión y escalabilidad:
Esta clase de enrutadores tiene una capacidad de expansión considerable y puede albergar un mayor número de puertos y una amplia gama de tipos de conexiones.

Conjunto de características completo:
Estos enrutadores suelen tener un conjunto de características completo que incluye una amplia gama de conexiones WAN, protocolos de enrutamiento, NAT, DHCP, servidores de seguridad, VLAN, VoIP y VPN.

Inconvenientes

Los inconvenientes de los enrutadores de gama media son:

Poca resistencia:
Estos dispositivos no suelen disponer de una característica de resistencia integrada, aunque los enrutadores superiores de esta clase pueden tener fuentes de alimentación redundantes. Sin embargo, deberían ser compatibles con los protocolos de enrutamiento redundantes, tales como VRRP, con los que un enrutador en espera puede proporcionar resistencia.

Bajo rendimiento y escalabilidad:
Estos dispositivos difícilmente tendrán la potencia o la capacidad de conexión necesaria para hacer las veces de enrutador principal de una gran empresa.

Clase 5: Enrutadores superiores

Los enrutadores superiores ofrecen alto rendimiento, gran expansión, tolerancia a errores extremadamente elevada y gran disponibilidad. El diseño del hardware es flexible y ofrece múltiples opciones de conectividad, al igual que los enrutadores de la clase 4, junto con otras opciones, tales como varias fuentes de alimentación, varios procesadores y otras características que hacen que la unidad sea muy resistente.

Se profundiza mucho más en los protocolos de alta velocidad, como ATM y SONET, para establecer vínculos con otros dispositivos de red y transmitir grandes volúmenes de datos entre diferentes ubicaciones, mientras que los enrutadores o conmutadores más pequeños se concentran en las conexiones de las estaciones de trabajo. Estos enrutadores son muy versátiles y admiten un gran número de protocolos WAN y LAN, así como diferentes sistemas de hardware, tales como el cobre o la fibra óptica. En la tabla 9 se resumen las características de los enrutadores de la clase 5.

Tabla 9. Clase 5: Enrutadores superiores

Características habituales

Unidad basada en un chasis

Amplia gama de conexiones WAN

Rendimiento >900 Kbps

Protocolos de enrutamiento RIP y OSPF

Compatibilidad con redes VLAN

Compatibilidad con el protocolo VoIP

Fuente de alimentación redundante

Motor redundante

Servidor de seguridad integrado

Protocolo de resistencia VRRP

NAT/DHCP integrado

Compatibilidad con redes VPN

Costo elevado

Ventajas

Las ventajas de los enrutadores de gama alta son:

Rendimiento:
Los enrutadores de esta clase tienen un rendimiento de al menos 900 Kpps, que es considerablemente superior al rendimiento correspondiente de los enrutadores de la clase 4; por lo tanto, se pueden considerar enrutadores de alto rendimiento aptos para puertas de enlace WAN o como enrutadores principales en empresas medianas y grandes.

Expansión y escalabilidad:
Basados en un chasis, los enrutadores de la clase 5 tienen una capacidad de expansión considerable y pueden albergar un mayor número de puertos y una amplia gama de tipos de conexiones.

Conjunto de características completo:
Estos enrutadores suelen tener un conjunto de características completo que incluye una amplia gama de conexiones WAN, protocolos de enrutamiento, NAT, DHCP, servidores de seguridad, VLAN, VoIP y VPN.

Resistencia:
Estos dispositivos tienen opciones de resistencia integradas, tales como motores y fuentes de alimentación intercambiables en caliente redundantes. También admiten protocolos de enrutamiento redundantes, tales como VRRP, en los que un enrutador en espera supervisa el enrutador principal y puede tomar su relevo si se produce un error el principal.

Inconvenientes

El inconveniente de los enrutadores superiores es su costo elevado. Puesto que estos dispositivos tienen una capacidad de actualización y una resistencia considerables, su precio inicial es elevado, pero el precio por puerto disminuye a medida que se incorporan puertos al chasis.

Clase 6: Enrutadores de ISP

Los enrutadores de ISP son utilizados por los proveedores de servicios de Internet (ISP) como elementos troncales de Internet. También se pueden utilizar en las empresas para obtener un rendimiento inigualable. Ofrecen un rendimiento extremadamente elevado, junto con una alta disponibilidad y resistencia, y pueden administrar cientos y miles de usuarios de Internet y conectarse a la red troncal de Internet a grandes velocidades. En la tabla 10 se resumen las características de los enrutadores de la clase 6.

Tabla 10. Clase 6: Enrutadores de ISP

Características habituales

Unidad basada en un chasis

Amplia gama de conexiones WAN

Amplia gama de conexiones LAN

Rendimiento de varios millones de paquetes por segundo (pps)

Amplia capacidad de expansión

Fuentes de alimentación redundantes

Motores redundantes

Costo muy elevado

Ventajas

Las ventajas de los enrutadores de ISP son:

Alto rendimiento:
Los enrutadores de esta clase están concebidos para empresas muy grandes, redes troncales de los ISP o usos extremos. Su rendimiento es extremadamente elevado.

Escalabilidad:
Estos enrutadores están basados en un chasis y se pueden actualizar con gran versatilidad. Los chasis suelen tener 16 ranuras y cada uno de ellos puede albergar múltiples conexiones.

Amplia gama de protocolos WAN y LAN:
Los enrutadores de esta clase son compatibles con prácticamente todos los protocolos de cierta relevancia, incluidos muchos protocolos WAN de muy alta velocidad, como el OC 192.

Inconvenientes

Los inconvenientes de estos enrutadores son su costo elevado y su configuración potencialmente compleja.

Seguridad

La seguridad es de vital importancia en el diseño de las redes a fin de controlar las intrusiones externas desde Internet y las intrusiones internas de empleados u otros usuarios con acceso a la red interna. Hay cuatro ámbitos especiales de protección que deben tenerse en cuenta:

Control de intrusiones a través del conmutador o el enrutador

Control de intrusiones contra el conmutador o el enrutador

Control del acceso del administrador al conmutador o el enrutador

Protección física de los enrutadores y los conmutadores

Los conmutadores y los enrutadores permiten el paso de paquetes a través de la red y son el primer punto en que se pueden filtrar los intentos de intrusión, seguidos de un servidor de seguridad que proporcione un mayor nivel de filtrado. Este filtrado también debe evitar los ataques en los propios dispositivos de red. La mayoría de los conmutadores y enrutadores se pueden reconfigurar, por lo que deben establecerse unos controles estrictos en el acceso a las tareas de administración. La mayoría de los conmutadores y enrutadores dispone de algún método de acceso alternativo para obviar la seguridad lógica, de manera que estos dispositivos deberán bloquearse físicamente para evitar esta intrusión.

La mayoría de los enrutadores tiene problemas de seguridad específicos y conocidos, y deberá consultarse en el sitio Web del fabricante la información detallada sobre estos problemas de seguridad y los métodos para combatirlos.

Consideraciones sobre la seguridad en los enrutadores

El enrutador constituye la primera línea de defensa, así como la primera línea de ataque. Permite el enrutamiento de paquetes y también puede configurarse para bloquear o filtrar el reenvío de tipos de paquetes que pueden ser vulnerables o utilizados malintencionadamente, tales como los paquetes ICMP o del Protocolo simple de administración de redes (SNMP). Deberá configurarse el enrutador para bloquear el tráfico no autorizado o no deseado entre las redes. El propio enrutador también debe estar protegido contra reconfiguraciones mediante interfaces seguras de administración y las últimas actualizaciones y revisiones del software.

Si no se tiene control sobre el enrutador, no se puede hacer gran cosa para proteger la red aparte de preguntar al ISP cuáles son los mecanismos de defensa que tienen implantados en sus enrutadores.

Al considerar la seguridad de los enrutadores, resulta útil tener en cuenta las siguientes categorías de configuración:

Revisiones y actualizaciones

Protocolos

Acceso administrativo

Servicios

Auditoría y registro

Detección de intrusiones

Revisiones y actualizaciones

Es recomendable suscribirse a los servicios de alerta proporcionados por el fabricante del hardware de conectividad en red para estar al día de los problemas de seguridad y de las revisiones del servicio. A medida que se descubren problemas de seguridad, lo cual es inevitable, los buenos proveedores proporcionan revisiones rápidamente y las anuncian por correo electrónico o en su sitio Web. Siempre hay que probar las actualizaciones antes de implantarlas en un entorno de producción.

Protocolos

Los ataques de denegación de servicio suelen aprovecharse de los problemas de seguridad de los protocolos, por ejemplo, desbordando la red. Para evitar este tipo de ataque, se recomienda:

Utilizar filtrado de entrada y salida

Filtrar el tráfico ICMP de la red interna

Bloquear el trazado de ruta

Controlar el tráfico de difusión

Bloquear el tráfico innecesario

Utilizar filtrado de entrada y salida

Los paquetes imitados son indicativos de sondas, ataques y demás actividades realizadas por usuarios malintencionados con experiencia. Los enrutadores distribuyen los paquetes según la dirección de destino y, en general, no tienen en cuenta la dirección de origen, que puede ser diferente a la del autor del paquete. Los paquetes entrantes con una dirección interna pueden corresponder a un intento de intrusión o a una sonda y su acceso a la red perimetral deberá ser denegado. Asimismo, deberá configurarse el enrutador para que envíe los paquetes salientes sólo si tienen una dirección IP interna válida. La verificación de los paquetes salientes no protege contra los ataques de denegación de servicio, pero sí que impide que estos ataques se originen en la propia red y, si las demás redes aplican la misma verificación de salida, la red podría estar protegida contra este tipo de ataques.

Este tipo de filtrado también permite que el remitente sea controlado hasta el auténtico origen del ataque, ya que deberá utilizar una dirección de origen válida a la que se pueda tener acceso de forma legítima. Para obtener más información, consulte "Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing" en la dirección http://www.rfc-editor.org/rfc/rfc2267.txt.

Filtrar el tráfico ICMP de la red interna

ICMP es un protocolo libre que trabaja sobre el protocolo IP y permite verificar la información de disponibilidad entre un host y otro. En la tabla 11 se muestran los mensajes ICMP más utilizados.

Tabla 11: Mensajes ICMP más utilizados

MensajeDescripción

Echo request (solicitud de eco, ping)

Determina si un nodo IP (un host o un enrutador) está disponible en la red.

Echo reply (respuesta a eco o ping)

Responde a una solicitud de eco ICMP.

Destination unreachable (destino inaccesible)

Indica que no se puede entregar el datagrama.

Source quench (paquete de control de flujo)

Indica al host que disminuya la frecuencia de envío de datagramas debido a una congestión.

Redirect (redirección)

Indica al host cuál es la ruta preferida.

Time exceeded (tiempo superado)

Indica que se ha superado el TTL (time to live, tiempo de vida) de un datagrama IP.

El bloqueo del tráfico ICMP en el enrutador perimetral externo protege contra ataques como el desbordamiento de pings en cascada y demás ataques de denegación de servicio. Existen otros problemas de seguridad del protocolo ICMP que justifican el bloqueo de este protocolo. Aunque la solicitud de eco ICMP, o ping, puede utilizarse para solucionar problemas, también puede servir para descubrir los dispositivos de la red y trazar su arquitectura, de manera que deberá anularse este protocolo a menos que existan buenas razones para conservarlo. La función de ping también puede servir para una denegación de servicio mediante el ping de la muerte, por lo que se recomienda desactivarla.

Bloquear el trazado de ruta

El trazado de ruta es un método que permite recopilar la información de la topología de la red. Este sistema detecta los dispositivos que se encuentran en la ruta hacia un equipo de destino y es muy práctico para determinar si los datos viajan por las rutas óptimas. Su puesta en práctica varía según el fabricante; algunos utilizan un ping con valores TTL variables, mientras que otros utilizan datagramas UDP. El ping variable puede controlarse bloqueando los mensajes ICMP como se ha mencionado anteriormente, mientras que para bloquear los datagramas UDP es posible que deba recurrirse a una lista de control de acceso (ACL). Al bloquear los paquetes de este tipo, se impide que los usuarios malintencionados obtengan información sobre la red.

Controlar el tráfico de difusión

El tráfico de difusión dirigido se puede utilizar para enumerar los hosts de una red y como vehículo para un ataque de denegación de servicio. Por ejemplo, al bloquear direcciones de origen específicas, se evita que las solicitudes de eco malintencionadas provoquen desbordamientos de pings en cascada. Las direcciones de origen que deben filtrarse se indican en la tabla 12.

Tabla 12: Direcciones de origen que se deben filtrar

Dirección de origenDescription

0.0.0.0/8

Difusión histórica

10.0.0.0/8

Red privada RFC 1918

127.0.0.0/8

Bucle invertido

169.254.0.0/16

Vínculo de redes locales (direcciones APIPA)

172.16.0.0/12

Red privada RFC 1918

192.0.2.0/24

Red de prueba

192.168.0.0/16

Red privada RFC 1918

224.0.0.0/4

Multidifusión de clase D

240.0.0.0/5

Clase E reservada

248.0.0.0/5

No asignada

255.255.255.255/32

Difusión

Bloquear el tráfico innecesario

El tráfico entrante de Internet al enrutador de borde corresponde a usuarios desconocidos que no son de confianza y que requieren acceso a los servidores Web. Estos usuarios tienen acceso a una lista específica de direcciones IP y números de puerto, y su acceso puede limitarse únicamente a estos números de puerto y direcciones IP. Mediante listas de control de acceso, disponibles en la mayoría de los enrutadores, sólo podrá pasar por el enrutador de borde el tráfico correspondiente a la combinación deseada de direcciones y puertos, suponiendo que las demás direcciones son potencialmente hostiles.

Nota: los números de puerto de este ejemplo no se refieren a los puertos de un conmutador, que son las clavijas físicas donde se conectan los cables Ethernet. Los números hacen referencia al sistema de direccionamiento IP, en el que a la dirección IP se añade un número de puerto TCP o UDP. Por ejemplo, los servidores Web suelen estar en el puerto 80: la dirección completa del servicio Web en un servidor con la dirección IP 192.168.0.1 sería 192.168.0.1:80.

Los enrutadores y los conmutadores Cisco utilizan su propio protocolo, CDP (Cisco Discovery Protocol, Protocolo de descubrimiento de Cisco), para averiguar la información de los dispositivos conectados, como el número de modelo y el nivel de revisión del sistema operativo. Sin embargo, este protocolo puede ser perjudicial para la seguridad, ya que los usuarios malintencionados podrían obtener la misma información, de manera que el CDP deberá deshabilitarse definitivamente en el enrutador de borde y, posiblemente, en los conmutadores y enrutadores internos, dependiendo de si es necesario para el software de administración.

Acceso administrativo

¿Desde dónde se tendrá acceso al enrutador para fines administrativos? Deberá decidir las interfaces y los puertos que puede utilizar la conexión de administración y desde qué red o host se lleva a cabo la administración. Deberá restringirse el acceso a esas ubicaciones concretas. No deje ninguna interfaz administrativa abierta que dé a Internet sin cifrado ni medidas de seguridad que impidan el uso indebido de otros usuarios. También se recomienda:

Aplicar directivas estrictas de contraseñas

Utilizar un sistema de control de acceso a la administración

Deshabilitar las interfaces no utilizadas

Considerar el uso de rutas estáticas

Cerrar la configuración basada en Web

Servicios

Auditoría y registro

Detección de intrusiones

Controlar el acceso físico

Aplicar directivas estrictas de contraseñas

En primer lugar, hay que asignar una contraseña al administrador; muchos sistemas son atacados tan sólo porque el administrador ha dejado la contraseña en blanco. En segundo lugar, utilice contraseñas complejas. Los programas de detección de contraseñas más agresivos pueden realizar ataques no sólo basados en diccionarios, sino que pueden descubrir las contraseñas más habituales en las que un número sustituye a una letra. Por ejemplo, si se utiliza "p4ssw0rd" como contraseña, ésta puede averiguarse. Utilice siempre mayúsculas y minúsculas, números y símbolos en las contraseñas. De igual modo, es probable que el protocolo SNMP sea necesario para las tareas de administración y, aunque la seguridad SNMP no es muy prometedora, deben utilizarse contraseñas (cadena de comunidad) al configurarlo. SNMP v3 ofrece una seguridad mucho mayor.

Utilizar un sistema de control de acceso a la administración

En lugar de incorporar el nombre del administrador en la configuración, utilice un sistema de tres A para autenticar al administrador. Estos sistemas controlan quién es el usuario, qué puede hacer y registran lo que hace. Las tres A son:

Autenticación:
El proceso de identificar y validar a un usuario. Pueden utilizarse varios métodos para autenticar a un usuario, pero el más habitual es el uso de una combinación de nombre de usuario y contraseña.

Autorización:
El proceso referente a lo que un usuario autenticado puede ver y hacer.

Anotación:
Registro referente a lo que un usuario hace o ha hecho en un dispositivo.

Los sistemas de tres A están vinculados a una base de datos de un servidor central para autenticar al administrador la primera vez que inicia una sesión y controlar lo que intenta hacer durante el tiempo de conexión. Una de las principales ventajas de las tres A es la centralización de la información de seguridad, de manera que un único inicio de sesión permitirá controlar el acceso a todos los dispositivos de la red en lugar de tener que establecer diferentes inicios de sesión en cada dispositivo.

Existen dos sistemas de tres A de libre distribución:

RADIUS (Servicio de usuario de acceso telefónico de autenticación remota)

Kerberos

Otro sistema de tres A muy conocido es TACACS+, pero se trata de un sistema propiedad de Cisco, por lo que sólo controlaría el acceso a los dispositivos Cisco.

Deshabilitar las interfaces no utilizadas

En el enrutador, sólo las interfaces necesarias deberían estar habilitadas. Las interfaces no utilizadas no se supervisan ni controlan y, probablemente, tampoco se actualizan. Por ello, están expuestas a ataques imprevistos. Para el acceso administrativo se suele utilizar Telnet, de manera que es recomendable limitar el número de sesiones Telnet disponibles y emplear un tiempo límite de espera para garantizar que se cierre la sesión si no se utiliza durante un período de tiempo determinado.

Considerar el uso de rutas estáticas

Las rutas estáticas impiden que unos paquetes especiales modifiquen las tablas de enrutamiento del enrutador. Los intrusos podrían intentar cambiar las rutas simulando un mensaje del protocolo de enrutamiento para provocar una denegación de servicio o para reenviar solicitudes a un falso servidor. En primer lugar, al utilizar rutas estáticas, una interfaz administrativa debe comprometerse a realizar cambios de enrutamiento. Sin embargo, puesto que las rutas son estáticas, en caso de error en un vínculo los enrutadores no pasarán automáticamente a utilizar una ruta alternativa; además, la configuración de las rutas estáticas puede resultar compleja.

Cerrar la configuración basada en Web

Si existe un servidor Web integrado como método alternativo para las tareas de configuración, además de un modo de línea de comandos, deshabilite el servicio Web, ya que probablemente es susceptible a muchos errores de seguridad TCP/IP.

Servicios

En los enrutadores instalados, cada puerto abierto está asociado a un servicio de escucha. Para reducir la posibilidad de ataques, deberán cerrarse los servicios predeterminados que no son necesarios. Son ejemplos de ello bootps y Finger, que raramente son necesarios. También es recomendable hacer un análisis del enrutador para detectar los puertos que están abiertos.

Auditoría y registro

La mayoría de los enrutadores tiene una función de registro que permite supervisar todas las acciones de denegación, las cuales podrían ser intentos de intrusión. Los enrutadores modernos cuentan con una gran variedad de características de registro que permiten definir el nivel de gravedad de acuerdo con los datos registrados. Deberían definirse auditorías periódicas para detectar de forma rutinaria síntomas de intrusión o de sondeo en los registros.

Detección de intrusiones

Con las restricciones activadas en el enrutador para evitar los ataques TCP/IP, el enrutador debería identificar la existencia de un ataque y notificarlo al administrador del sistema.

Los intrusos intentan descubrir cuáles son las prioridades de seguridad para poder obviarlas. Los sistemas de detección de intrusiones (IDS) pueden mostrar el punto donde el usuario malintencionado pretende atacar.

Controlar el acceso físico

Como se ha dicho anteriormente, la mayoría de los enrutadores es vulnerable si el atacante logra tener acceso físico al dispositivo, ya que suele tener un método de acceso alternativo que prevalece ante la configuración existente, de manera que se recomienda cerrar los enrutadores bajo llave en una sala con acceso controlado.

Consideraciones sobre la seguridad en los conmutadores

Al igual que con los enrutadores, los conmutadores también se deben proteger contra reconfiguraciones. Es imprescindible utilizar interfaces de administración seguras, con las últimas revisiones y actualizaciones de software, controlar el acceso a las tareas de administración y proporcionar seguridad física.

La seguridad de los conmutadores no recibe tanta atención como la de los enrutadores, ya que éstos son la primera barrera defensiva ante Internet; al respecto puede consultarse un documento especialmente útil en: http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_paper09186a008014870f.shtml

En este documento se describen algunos problemas de seguridad conocidos de los conmutadores y la forma de contrarrestarlos.

Muchos de los conceptos de seguridad definidos para los enrutadores pueden aplicarse a los conmutadores; por ejemplo, el control de los usuarios que tienen acceso administrativo. Puesto que el conmutador sólo observa las tramas Ethernet y no los paquetes IP, no puede ejercer ningún control sobre las intrusiones IP dirigidas, pero el conmutador siempre estará tras un servidor de seguridad o un enrutador con servidor de seguridad, con lo que no es necesario.

Las siguientes categorías de configuración contribuyen a establecer una configuración segura de los conmutadores:

Revisiones y actualizaciones

Redes VLAN

Utilizar un sistema de control de acceso a la administración

Deshabilitar los puertos no utilizados

Servicios

Cifrado

Revisiones y actualizaciones

Las revisiones y las actualizaciones deben instalarse y probarse tan pronto como estén disponibles.

Redes VLAN

Las redes LAN virtuales permiten separar los segmentos de red y aplicar el control de acceso de acuerdo con las normas de seguridad. Las redes VLAN sin listas de control de acceso (ACL) ofrecen un primer nivel de seguridad, ya que limitan el acceso a los miembros de la misma VLAN. Sin embargo, el tráfico entre redes VLAN suele ser necesario y se consigue enrutando el tráfico entre subredes IP, lo que se puede controlar mediante listas ACL.

Las listas ACL entre redes VLAN restringen el flujo de tráfico entre diferentes segmentos de la red. Generalmente, esta restricción se basa en un filtrado sencillo y estático de paquetes, a diferencia de la inspección exhaustiva de paquetes o un servicio de proxy en el nivel de aplicación, el cual lo realizan muchos servidores de seguridad dedicados.

El uso de listas ACL entre redes VLAN proporciona un nivel medio de protección, ya que se bloquean las intrusiones internas procedentes de la empresa, mientras que las intrusiones del exterior se bloquean en la red de borde. Además del filtrado del servidor de seguridad, las listas ACL entre redes VLAN también se pueden implantar para disponer de un nivel adicional de seguridad. El inconveniente de utilizar listas ACL en las redes VLAN es que pueden repercutir en el rendimiento y deben configurarse de forma correcta y eficaz.

Utilizar un sistema de control de acceso a la administración

Pueden utilizarse los mismos métodos que en el caso de los enrutadores para controlar el acceso administrativo al conmutador.

Deshabilitar los puertos no utilizados

Los puertos Ethernet no utilizados en el conmutador deben deshabilitarse para evitar que los atacantes se conecten a ellos.

Servicios

Compruebe que todos los servicios no utilizados estén deshabilitados. Compruebe también que el protocolo TFTP (Trivial File Transfer Protocol, Protocolo trivial de transferencia de archivos) esté deshabilitado, que se quiten los puntos de administración orientados a Internet y que las listas ACL estén configuradas para limitar el acceso administrativo.

Cifrado

Aunque, normalmente, no se aplica en el conmutador, el cifrado de datos a lo largo del cable asegura que los paquetes detectados por los intrusos sean inútiles cuando se coloca un supervisor en el mismo segmento conmutado o cuando se comparte el conmutador, lo que permite espiar en varios segmentos.

Instantánea de una red segura

En la tabla 13 se ofrece una instantánea de las características de una red segura. La configuración de seguridad se ha obtenido de expertos del sector en seguridad y de aplicaciones reales en entornos seguros. Esta tabla se puede utilizar a título de referencia al evaluar la solución de una organización determinada.

Tabla 13: Instantánea de una red segura

ComponenteCaracterística

Enrutador

Revisiones y actualizaciones

El sistema operativo del enrutador tiene las últimas revisiones y actualizaciones de software.

Protocolos

Los protocolos y puertos no utilizados están bloqueados.
Se ha aplicado el filtrado de entrada y de salida.
El tráfico ICMP se filtra desde la red interna.
El trazado de ruta está deshabilitado.
El tráfico de difusión dirigido no se reenvía.
Se filtran los paquetes ping grandes.
Los paquetes del Protocolo de información de enrutamiento (RIP), si se utilizan, se bloquean en el enrutador más externo.
Se utiliza el enrutamiento estático.

Acceso administrativo

Se aplica una directiva estricta de contraseñas de administración.
Se utiliza un sistema de control de acceso a la administración.
Las interfaces de administración no utilizadas en el enrutador están deshabilitadas.
La administración Web está deshabilitada.

Servicios

Los servicios no utilizados están deshabilitados (por ejemplo bootps y Finger).

Auditoría y registro

El registro de todo el tráfico denegado está habilitado.
Los registros se almacenan de forma centralizada en un lugar seguro.
Se activa la auditoría de los registros para detectar patrones poco habituales.

Detección de intrusiones

Existe un sistema de detección de intrusiones (IDS) activado para identificar y notificar la existencia de los ataques.

Acceso físico

Se limita el acceso físico.

Conmutador

Revisiones y actualizaciones

Las últimas revisiones de seguridad se han probado e instalado o se ha mitigado la amenaza de problemas de seguridad conocidos.

Redes VLAN

Se utilizan redes VLAN y listas ACL.

Deshabilitar los puertos no utilizados

Se deshabilitan los puertos Ethernet no utilizados.

Servicios

Se deshabilitan los servicios no utilizados.

Cifrado

Se cifra el tráfico conmutado.

Otros

Sincronización de los registros

Se sincronizan todos los relojes de los dispositivos con funciones de registro.

Acceso administrativo a la red

Se utiliza Kerberos o RADIUS para autenticar a los usuarios administrativos.

Listas ACL en la red

La red se estructura de tal manera que las listas ACL se puedan implantar tanto en hosts como en redes.

Resumen

En este módulo se ofrece información y opciones que ayudarán a los técnicos encargados del diseño de la red a seleccionar los dispositivos que satisfagan las necesidades de una arquitectura de red empresarial. Se ha hecho hincapié en el diseño de los dispositivos con el fin de seleccionar aquéllos más adecuados.

El proceso de diseño descrito en este módulo tiene en cuenta la selección de la clase de dispositivos idónea para alcanzar los niveles de servicio necesarios. Además, es importante elegir las opciones más adecuadas para garantizar que los dispositivos puedan ser administrados por el personal de red de la organización y por los programas de administración de red que ya estén instalados. El objetivo de esta guía orientativa es dar una serie de especificaciones de los dispositivos que sean útiles para la arquitectura de la red de la organización y faciliten el diseño y la puesta en marcha de una red completa.

Información adicional

Si desea obtener información sobre las normas aplicables en el sector, consulte los documentos siguientes:

Internet protocol standards from the IETF (Internet Engineering Task Force) Request for Comments (RFCs), que se puede encontrar en http://www.ietf.org/rfc.html

Normas de Ethernet del IEEE (Instituto de ingenieros eléctricos y electrónicos), que se puede encontrar en http://standards.ieee.org/getieee802/

Para información de seguridad, varios fabricantes de enrutadores y conmutadores han publicado sus recomendaciones para garantizar la seguridad de las redes, las cuales se pueden consultar en calidad de buenas prácticas aplicables a todas las redes y no únicamente cuando se utilizan con sus productos respectivos. Consulte lo siguiente:

Cisco Systems publica su documento de seguridad SAFE Blueprint en http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_package.html

Nortel Networks ofrece documentación sobre su arquitectura de seguridad en http://www.nortelnetworks.com/solutions/security/collateral/nn102060-0902.pdf

"Improving Security on Cisco Routers" en http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

"Configuring Broadcast Supression" en http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a00800eb778.html

"Cisco IOS Intrusion Detection System Software App Overview" en http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns292/networking_solutions_white_paper09186a008010e5c8.shtml

"Configuring VLANs" en http://www.cisco.com/en/US/products/hw/switches/ps663/products_configuration_guide_chapter09186a00800e47e1.html#1020847

"Network Ingress Filtering" en http://www.rfc-editor.org/rfc/rfc2267.txt



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft