Captulo6.

Serviciosdetrabajadoresadistancia

6.0Introduccindelcaptulo
6.0.1Introduccindelcaptulo

Eltrabajoadistanciasignificatrabajarlejosdeunlugardetrabajotradicional,amenudodesde
una oficina domstica. Los motivos para la eleccin del trabajo a distancia son variados e
incluyentodo,desdelaconvenienciapersonalhastalasoportunidadesqueselesotorganalos
empleados con lesiones o discapacidades de seguir trabajando durante los perodos de
convalecencia.

Eltrabajoadistanciaesuntrminoamplioquehacereferenciaarealizaruntrabajomediante
la conexin al lugar de trabajo desde una ubicacin remota, con la ayuda de las
telecomunicaciones.EltrabajoadistanciaeficazesposibledebidoaconexionesdeInternetde
bandaancha,redesprivadasvirtuales(VPN)ytecnologasmsavanzadas,incluidasVozsobre
IP(VoIP)yvideoconferencias.Eltrabajoadistanciapermiteahorrardineroquedeotromodo
segastaenviajes,infraestructuraysoportedeinstalaciones.

Lasempresasmodernasempleanaquienesnopuedentrasladarsealtrabajotodoslosdaso
para quienes es ms prctico trabajar desde una oficina domstica. Estas personas,
denominadas trabajadores a distancia, deben conectarse a la red de la empresa para poder
trabajardesdesusoficinasdomsticas.

Este captulo explica cmo las organizaciones pueden brindar conexiones de red remotas
confiables,rpidasysegurasparalostrabajadoresadistancia.

6.1Requisitoscomercialesparalosserviciosdetrabajoadistancia
6.1.1Losrequisitoscomercialesparalosserviciosdetrabajoadistancia

Cadavezmsempresasconsideranbeneficiosotenertrabajadoresadistancia.Conlosavances
enlastecnologasdeconexionesdebandaanchaeinalmbricas,eltrabajolejosdelaoficina
ya no presenta los mismos desafos que en el pasado. Los empleados pueden trabajar de
manera remota casi como si estuvieran en el despacho o la oficina de al lado. Las
organizaciones pueden distribuir de manera rentable aplicaciones de datos, voz, video y en
tiempo real a travs de una conexin de red comn que alcance a todos los empleados, sin
importarcunlejososeparadosestn.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Las ventajas del trabajo a distancia se extienden mucho ms all de la habilidad de las
empresas para obtener ganancias. El trabajo a distancia afecta la estructura social de las
sociedadesypuedetenerefectospositivosenelmedioambiente.

Para las operaciones comerciales de todos los das, es una ventaja poder mantener la
continuidadencasodequeelclima,lacongestindeltrfico,losdesastresnaturalesuotros
eventos impredecibles les impidan a los empleados llegar al lugar de trabajo. En una escala
msamplia,lahabilidaddelasempresasparaproporcionarunaumentoenelservicioatravs
de zonas horarias y los lmites internacionales se mejora notablemente por medio de los
trabajadoresadistancia.Lassolucionesdecontratacinysubcontratacindetercerossonms
fcilesdeimplementaryadministrar.

Desdeunaperspectivasocial,lasopcionesdetrabajoadistanciaaumentanlasoportunidades
de empleo para varios grupos; entre ellos, padres con hijos pequeos, discapacitados y
personasquevivenenreaslejanas.Lostrabajadoresadistanciadisfrutandemstiempode
calidadconsufamilia,menosestrsgeneradoporlosviajesy,engeneral,proporcionanasus
empleadores una mayor productividad, satisfaccin y retencin. En la poca de cambios
climticos,eltrabajoadistanciarepresentaotramaneraenlaquelaspersonaspuedenreducir
lacantidaddedixidodecarbono.

Cuandosediseanlasarquitecturasderedesqueadmitenunasolucindetrabajoadistancia,
losdiseadoresdebenlograrunequilibrioentrelosrequisitosdelaorganizacindeseguridad,
administracin de infraestructura, escalabilidad y viabilidad econmica, y las necesidades
prcticas de los trabajadores a distancia de facilidad de uso, velocidades de conexin y
fiabilidaddelservicio.

Para permitir que las empresas y los trabajadores a distancia funcionen de manera eficaz,
debemos equilibrar la seleccin de tecnologas y disear cuidadosamente los servicios de
trabajoadistancia.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

6.1.2Lasolucindeltrabajadoradistancia

Las organizaciones necesitan redes seguras, confiables y rentables para conectar sedes
corporativas, sucursales y proveedores. Con el aumento en la cantidad de trabajadores a
distancia, las empresas tienen una creciente necesidad de maneras seguras, confiables y
rentablesdeconectaralaspersonasquetrabajanenpequeasoficinasyoficinasdomsticas
(SOHO)yotrasubicacionesremotas,conlosrecursosexistentesenlasoficinascorporativas.

Lafiguramuestralastopologasdelasconexionesremotasqueusanlasredesmodernaspara
conectarlasubicacionesremotas.Enalgunoscasos,lasubicacionesremotassloseconectan
a las sedes, mientras que en otros, las ubicaciones remotas se conectan a varios lugares. La
sucursal que aparece en la figura se conecta a la sede central y las oficinas de los socios,
mientrasqueeltrabajadoradistanciatieneunasolaconexinalasedecentral.

Lafiguramuestratrestecnologasdeconexionesremotasdisponiblesparaorganizacionesafin
deadmitirlosserviciosdetrabajadoresadistancia:

Las tecnologas de Capa 2 de WAN privada tradicionales, que incluyen Frame Relay,
ATMylneasalquiladas,proporcionanmuchassolucionesparaconexionesremotas.La
seguridaddeestasconexionesdependedelproveedordelservicio.
Lasredesprivadasvirtuales(VPN)conIPSecofrecenconectividadflexibleyescalable.
Lasconexionesdesitioasitiopuedenbrindarunaconexinremotaconfiable,rpiday
segura para los trabajadores a distancia. sta es la opcin mas frecuente para los
trabajadores a distancia, combinada con el acceso remoto por banda ancha, para

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

obtener una VPN segura a travs de Internet pblica. (Un medio de conectividad
menosconfiablequeusaInterneteslaconexindeaccesotelefnico.)

Eltrminobandaanchahacereferenciaalossistemasavanzadosdecomunicacionescapaces
de proporcionar una transmisin de servicios de alta velocidad como datos, voz y video, a
travsdeInternetyotrasredes.Unampliorangodetecnologasproporcionalatransmisin,
incluida la lnea de suscriptor digital (DSL) y el cable de fibra ptica, el cable coaxial, la
tecnologa inalmbrica y de satlite. Las velocidades de transmisin de datos del servicio de
banda ancha, en general, superan los 200 kilobits por segundo (kbps), en al menos una
direccin:descendente(desdeInternetalacomputadoradelusuario)oascendente(desdela
computadoradelusuarioaInternet).

Estecaptulodescribecmofuncionacadaunadeestastecnologasypresentaalgunosdelos
pasosnecesariosparagarantizarquelasconexionesdeltrabajadoradistanciaestnseguras.

Para conectarse efectivamente a las redes de la organizacin, los trabajadores a distancia

necesitan dos conjuntos de componentes clave: componentes de la oficina domstica y
componentes corporativos. La opcin de incorporar componentes de telefona IP se est
volviendomscomndebidoaquelosproveedoresextiendenlosserviciosdebandaanchaa
ms reas. Pronto, los componentes de voz sobre IP (VoIP) y videoconferencias sern parte
esperadadelasherramientasdelostrabajadoresadistancia.

Comosemuestraenlafigura,eltrabajoadistanciarequieredelossiguientescomponentes:

Componentes de la oficina domstica: los componentes de la oficina domstica

requeridossonunalaptopoPC,accesoabandaancha(cableoDSL)yunrouterVPNo
software cliente de VPN instalado en la computadora. Algunos componentes
adicionales podran incluir un punto de acceso inalmbrico. Durante los viajes, los
trabajadores a distancia necesitan una conexin a Internet y un cliente VPN para
conectarsealaredcorporativapormediodecualquierconexindebandaancha,red
oaccesotelefnicodisponible.
Componentescorporativos:loscomponentescorporativossonroutersconcapacidad
de VPN, concentradores VPN, aplicaciones de seguridad de varias funciones,
autenticacin y dispositivos de administracin central para la unificacin y la
terminacinflexiblesdelasconexionesVPN.

En general, la provisin de asistencia tcnica para VoIP y videoconferencia requiere

actualizaciones de estos componentes. Los routers necesitan la funcionalidad de calidad de
servicio(QoS).Lacalidaddeservicioserefierealacapacidaddeunareddeproporcionarun
mejorservicioparaeltrficodelaredseleccionado,comolorequierenlasaplicacionesdevoz

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

yvideo.Elanlisisdetalladodelacalidaddeservicio(QoS)noseencuentradentrodelalcance
deestecurso.

La figura muestra un tnel VPN encriptado que conecta al trabajador a distancia con la red
corporativa.steeselcentrodelasconexionessegurasyconfiablesdeltrabajadoradistancia.
LaVPNesunaredprivadadedatosqueusalainfraestructurapblicadetelecomunicaciones.
La seguridad de la VPN mantiene la privacidad mediante un protocolo de tunneling y
procedimientosdeseguridad.

Este curso presenta el protocolo IPSec (Seguridad IP) como el enfoque elegido para la
construccindetnelesVPNseguros.Adiferenciadelosenfoquesanterioresdeseguridadque
aplicanlaseguridadenlacapadeaplicacindelmodelodeInterconexindesistemaabierto
(OSI),IPSecfuncionaenlaredoenlacapadeprocesamientodepaquetes.

6.2Serviciosdebandaancha
6.2.1ConexinalaWANdelostrabajadoresadistancia

Los trabajadores a distancia, a menudo, usan distintas aplicaciones (por ejemplo, correo
electrnico,aplicacionesWeb,aplicacionescrticas,colaboracinentiemporeal,voz,videoy
videoconferencias)querequierenunaconexindeunanchodebandaelevado.Laeleccinde
latecnologadereddeaccesoylanecesidaddegarantizarelanchodebandaadecuadosonlas
primerasconsideracionesquedebentenerseencuentacuandoseconectaalostrabajadoresa
distancia.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

El cable residencial, DSL y el acceso inalmbrico de banda ancha son tres opciones que
proporcionan un ancho de banda elevado a los trabajadores a distancia. El ancho de banda
bajoproporcionadoporunaconexindialuppormdemnoessuficiente,aunqueresultatil
para el acceso mvil cuando se est de viaje. Una conexin dialup por mdem slo debe
considerarsecuandonohayotrasopcionesdisponibles.

ParaaccederaInternet,lostrabajadoresadistancianecesitanunaconexinconunISP.LosISP
ofrecen varias opciones de conexin. Los mtodos principales de conexin que utilizan los
usuariosdomsticosydepequeasempresassonlossiguientes:

Acceso dialup: opcin econmica que utiliza cualquier lnea telefnica y un mdem.
ParaconectarsealISP,elusuariollamaalnmerotelefnicodeaccesodelISP.Dialup
es la opcin ms lenta de conexin y, generalmente, los trabajadores mviles la
utilizan en zonas donde no estn disponibles opciones de conexin de mayor
velocidad.
DSL: generalmente, es ms costoso que el dialup, pero ofrece una conexin ms
rpida.ElDSLtambinutilizalneastelefnicas,peroadiferenciadelaccesodialup,el
DSL proporciona una conexin continua a Internet. La opcin de DSL emplea un
mdemespecialdealtavelocidadqueseparalasealdeDSLdelasealtelefnicay
proporcionaunaconexinEthernetaunacomputadorahostoLAN.
Mdem por cable: los proveedores del servicio de televisin por cable ofrecen esta
opcin.LasealdeInternetestransportadaenelmismocablecoaxialquesuministra
televisinporcable. Un mdempor cableespecialseparalasealdeInternetdelas
otras seales transportadas en el cable y proporciona una conexin Ethernet a una
computadorahostoLAN.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Satlite:losproveedoresdelserviciodesatliteofrecenestaopcin.Lacomputadora
seconectaatravsdeEthernetaunmdemsatelitalquetransmitesealesderadioal
puntodepresencia(POP)mscercanodentrodelaredsatelital.

En esta seccin, aprende de qu manera los servicios de banda ancha, como DSL, cable y
accesoinalmbricodebandaancha,extiendenlasredesempresarialesparapermitirelacceso
delostrabajadoresadistancia.

6.2.2Cable

El acceso a Internet a travs de una red de cable es una opcin frecuente usada por los
trabajadores a distancia para acceder a la red empresarial. El sistema de cable usa un cable
coaxialquetransportalassealesderadiofrecuencia(RF)atravsdelared.Elcablecoaxiales
elmedioprincipalusadoparaconstruirsistemasdetelevisinporcable.

LatelevisinporcablesurgiporprimeravezenPensilvaniaen1948.JohnWalson,eldueo
de una tienda de electrodomsticos de una pequea ciudad en las montaas, necesitaba
resolverlosproblemasdelamalarecepcinporairequeexperimentabanlosclientes,quienes
intentaban recibir la seal de televisin desde Filadelfia a travs de las montaas. Walson
construyunaantenaenunpostedelaempresadeserviciospblicosubicadoenlacimade
una montaa local, que le permiti mostrar los televisores en su tienda con transmisiones
potentes que llegaban desde tres estaciones de Filadelfia. Conect la antena a su tienda de
electrodomsticosatravsdeuncableyunamplificadordesealmodificado.Luego,conect
avariosdesusclientesubicadosalolargodelrecorridodelcable.stefueelprimersistema
detelevisinporantenacomunitario(CATV)delosEstadosUnidos.

La empresa de Walson creci con los aos y a l se lo reconoce como el fundador de la

televisin por cable. Tambin, fue el primer operador de cable en usar microondas para
importarestacionesdetelevisindistantes,elprimeroenusarelcablecoaxialparamejorarla
calidad de la imagen y el primero en distribuir la programacin de la televisin con
programacinporpago.

La mayor parte de los operadores de cable usan antenas parablicas para recopilar seales
televisivas.Lasprimerossistemaseranunidireccionales,convariosamplificadoresubicadosen
series a lo largo de la red para compensar la prdida de la seal. Estos sistemas usaban
conexionesintermediasparaconectarlassealesdevideodeltroncoprincipalaloshogares
delosabonados,atravsdecablesdederivacin.

Los sistemas de cable modernos proporcionan una comunicacin bidireccional entre los
abonados y el operador de cable. Los operadores de cable ofrecen ahora servicios de
telecomunicacionesavanzadosalosclientesqueincluyenaccesoaInternetdealtavelocidad,
televisin digital por cable y servicio de telefona residencial. Los operadores de cable en
generalimplementanredesdefibracoaxialhbrida(HFC)parapermitirlatransmisindedatos

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

a alta velocidad a los mdems por cable ubicados en las pequeas oficinas y oficinas
domsticas.

Lafiguramuestraloscomponentesdeuntpicosistemadecablemoderno.

Elespectroelectromagnticoincluyeunampliorangodefrecuencias.

Lafrecuenciaeslavelocidadalacualocurrenlosciclosdecorriente(ovoltaje),computados
comolacantidadde"ondas"porsegundo.Lalongituddeondaeslavelocidaddepropagacin
delasealelectromagnticadivididaporsufrecuenciaenciclosporsegundo.

Las ondas de radio, generalmente denominadas RF, constituyen una parte del espectro
electromagntico entre 1 kilohercio (kHz) hasta 1 terahercio, aproximadamente. Cuando los
usuariossintonizanunaradiootelevisorparabuscardistintasestacionesderadioocanalesde
televisin, estn sintonizando diferentes frecuencias electromagnticas a travs del espectro
delaRF.Elmismoprincipioseaplicaalsistemaporcable.

La industria de la televisin por cable usa una parte del espectro electromagntico de RF.
Dentrodelcable,frecuenciasdiferentesllevandatosycanalesdetelevisin.Enelextremodel
suscriptor, los equipos, tales como televisores, videograbadoras y decodificadores de
televisindealtadefinicin,sintonizanciertasfrecuenciasquepermitenqueelusuarioveael
canalo,siseusaunmdemporcable,querecibaaccesoaInternetdealtavelocidad.

Unaredporcableescapazdetransmitirsealesenelcableencualquierdireccinalmismo
tiempo.Seutilizaelsiguientembitodefrecuencia:

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Descendente: la direccin de una transmisin de seal de RF (datos y canales de

televisin) desde el origen (cabecera) hacia el destino (suscriptores). La transmisin
desde el origen hacia el destino se denomina ruta de envo. Las frecuencias
descendentesseencuentranenelrangode50a860megahercios(MHz).
Ascendente: la direccin de una transmisin de seal de RF desde los suscriptores
hacia la cabecera o la ruta inversa o de regreso. Las frecuencias ascendentes se
encuentranenelrangode5a42MHz.

La especificacin sobre interfaz del servicio de datos por cable (DOCSIS) es un estndar
internacional desarrollado por CableLabs, un consorcio sin fines de lucro dedicado a la
investigacinyeldesarrollodelastecnologasrelacionadasconelcable.CableLabspruebay
certificadispositivosdeproveedoresdeequiposdecable,comomdemsporcableysistemas
determinacindemdemsdecable,yotorgaelestadocalificadoocertificadoporDOCSIS.

DOCSISdefinelosrequisitosdeinterfazdesoportedeoperacionesycomunicacionesparael
sistema de datos por cable y permite la incorporacin de transferencia de datos de alta
velocidad a un sistema CATV existente. Los operadores de cable emplean DOCSIS para
proporcionaraccesoaInternetporlainfraestructuraexistentedefibracoaxialhbrida(HFC).
DOCSISespecificalosrequisitosdeCapa1yCapa2delmodeloOSI:

Capa fsica: para las seales de datos que el operador de cable puede usar, DOCSIS
especificalosanchosdecanales(anchosdebandadecadacanal)como200kHz,400
kHz,800kHz,1,6MHz,3,2MHzy6,4MHz.DOCSIStambinespecificalastcnicasde
modulacin(lamaneradeusarsealesdeRFparatransmitirlosdatosdigitales).

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Capa Mac: define un mtodo de acceso determinista, acceso mltiple por divisin
temporal(TDMA)oelmtododeaccesomltiplepordivisindecdigosncrono(S
CDMA).

Para comprender los requisitos de capa MAC para DOCSIS, es til una explicacin de cmo
varias tecnologas de comunicacin dividen el acceso al canal. El TDMA divide el acceso por
tiempo.Elaccesomltiplededivisinporfrecuencia(FDMA)divideelaccesoporfrecuencia.El
accesomltiplepordivisindecdigo(CDMA)empleaunatecnologadeespectrodispersoy
un esquema de codificacin especial en el que se asigna un cdigo especfico a cada
transmisor.

Unaanalogaqueilustraestosconceptoscomienzaconunasalaquerepresentauncanal.La
sala est llena de personas que necesitan hablar entre ellas, en otras palabras, necesitan
accesoalcanal.Unasolucinesquelaspersonasseturnenparahablar(divisinportiempo).
Otra es que cada persona hable en tonos diferentes (divisin por frecuencia). En CDMA,
hablaran diferentes idiomas. Las personas que hablan el mismo idioma pueden entenderse
entreellas,peroelrestono.EnCDMAderadiousadoporlasredesdetelfonosmvilesde
Norteamrica,cadagrupodeusuariostieneuncdigocompartido.Muchoscdigosocupanel
mismo canal, pero slo los usuarios asociados con un cdigo particular pueden entenderse
entreellos.SCDMAesunaversinpropietariadeCDMAdesarrolladaporTerayonCorporation
para la transmisin de datos a travs de redes de cable coaxial. SCDMA dispersa datos
digitalesarribayabajodeunabandadefrecuenciaampliaypermitequevariossuscriptores
conectados a la red trasmitan y reciban de forma simultnea. SCDMA es seguro y
extremadamenteresistentealruido.

Los planes para las bandas de asignacin de frecuencias difieren entre los sistemas de cable
europeos y norteamericanos. EuroDOCSIS est adaptado para su uso en Europa. Las
diferenciasprincipalesentreDOCSISyEuroDOCSISserelacionanconlosanchosdebandadel
canal. Los estndares tcnicos de televisin varan en el mundo, lo que afecta cmo se
desarrollan las variantes de DOCSIS. Los estndares de televisin internacionales incluyen
NTSC en Norteamrica y partes de Japn; PAL en la mayor parte de Europa, Asia, frica,
Australia,BrasilyArgentina;ySECAMenFranciayalgunospasesdeEuropadelEste.

EnlossiguientessitiosWebobtendrmsinformacin:

AcercadeDOCSIS:http://www.cablemodem.com/specifications
AcercadeEuroDOCSIS:http://eurocablelabs.com

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Laprovisindeserviciosatravsdeunaredporcablerequieredistintasfrecuenciasderadio.
Lasfrecuenciasdescendentesestnenelrangode50a860MHzylasfrecuenciasascendentes
estnenelrangode5a42MHz.

Se requieren dos tipos de equipos para enviar seales de mdem digitales ascendentes y
descendentesenunsistemaporcable:

Sistemadeterminacindemdemsdecable(CMTS)enlacabeceradeloperadorde
cable
Mdemporcable(CM)enelextremodelsuscriptor

UnCMTSdecabecerasecomunicaconlosCMubicadosenloshogaresdelossuscriptores.La
cabeceraes,enrealidad,unrouterconbasesdedatosparaproporcionarserviciosdeInternet
alosabonadosdecable.Laarquitecturaesrelativamentesimpleyusaunaredcoaxialptica
combinada,enlacuallafibrapticareemplazaelcoaxialdeanchodebandamenor.

Una malla de cables troncales de fibra conecta la cabecera a los nodos donde ocurre la
conversin de seales pticas en seales de RF. La fibra transporta el mismo contenido de
bandaanchaparaconexionesdeInternet,serviciostelefnicosystreamingvideoqueelcable
coaxial.Loscablesdealimentacincoaxialseoriginanenelnodoquetransportalassealesde
RFalossuscriptores.

En una red HFC moderna, en general, se conectan entre 500 y 2000 suscriptores de datos
activosaun segmentoderedporcableytodoscompartenelanchodebandaascendentey
descendente.ElanchodebandarealparaelserviciodeInternetatravsdeunalneadeCATV
puedeserdehasta27Mbpsenlarutadedescargaalsuscriptoryde2.5Mbpsdeanchode
bandaaproximadoenlarutadecarga.Basadoenlaarquitecturaderedporcable,lasprcticas

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

deprovisindeloperadordecableylacargadetrfico,unabonadoindividualgeneralmente
puedeobtenerunavelocidaddeaccesode256kbpsa6Mbps.

Cuando el uso elevado causa congestin, el operador de cable puede agregar un ancho de
banda adicional para los servicios de datos mediante la asignacin de un canal de televisin
adicional para los datos de alta velocidad. Esta incorporacin puede duplicar de manera
efectiva el ancho de banda descendente disponible para los suscriptores. Otra opcin es
reducir la cantidad de suscriptores a los que cada segmento de red presta servicios. Para
reducirlacantidaddesuscriptores,eloperadordecablesubdivideanmslaredmediantela
colocacindeconexionesdefibrapticamscercaydentrodelosbarrios.

6.2.3DSL

DSL es una forma de proveer conexiones de alta velocidad mediante cables de cobre
instalados.Enestaseccin,analizamosDSLcomounadelassolucionesclavedisponiblespara
eltrabajadoradistancia.

Hacevariosaos,loslaboratoriosdeBellidentificaronqueunaconversacindevozcomnpor
unbuclelocalsolamenterequeraunanchodebandade300Hza3kHz.Durantevariosaos,
lasredestelefnicasnousaronunanchodebandasuperiora3kHz.Losavancesentecnologa
permitieron que DSL use el ancho de banda adicional desde 3 kHz up hasta 1 MHz para
proporcionarserviciosdedatosdealtavelocidadmediantelaslneasdecobrecomunes.

Como ejemplo, DSL asimtrica (ADSL) usa un rango de frecuencia de 20 kHz a 1 MHz
aproximadamente. Por suerte, slo se requieren cambios relativamente pequeos en la
infraestructura existente de las empresas telefnicas para ofrecer velocidades de datos de
ancho de banda elevado a los suscriptores. La figura muestra una representacin de la
asignacin del espacio de ancho de banda en un cable de cobre para ADSL. El rea de color
azulidentificaelrangodefrecuenciausadoporelserviciotelefnicodegradodevoz,elcual
se denomina en general servicio telefnico analgico (POTS). Los dems espacios en colores
representanelespaciodefrecuenciausadoporlassealesDSLascendentesydescendentes.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

ExistendostiposbsicosdetecnologaDSL:laasimtrica(ADSL)ylasimtrica(SDSL).Todaslas
formasdeservicioDSLsepuedenclasificarcomoADSLoSDSLyexistenmuchasvariedadesde
cada tipo. ADSL brinda un mayor ancho de banda descendente al usuario que el ancho de
bandadecarga.SDSLofrecelamismacapacidadenambasdirecciones.

LosdistintostiposdeDSLbrindandiferentesanchosdebanda,algunosconcapacidadesque
exceden aquellas de la lnea alquilada T1 o E1. La velocidad de transferencia depende de la
longitudrealdelbuclelocalydeltipoylacondicindesucableado.Paraobtenerunservicio
satisfactorio,elbucledebesermenora5,5kilmetros(3,5millas).

Los proveedores de servicio implementan conexiones DSL en el ltimo paso de una red
telefnicalocal,loquesedenominabuclelocaloltimamilla.Seinstalalaconexinentreun
pardemdemsubicadosencualquierextremodeuncabledecobrequeseextiendeentreel
equipo local del cliente (CPE) y el multiplexor de acceso DSL (DSLAM). El DSLAM es el
dispositivo ubicado en la oficina central (CO) del proveedor, que concentra las conexiones
desdelosdistintossuscriptoresDSL.

La figura muestra el equipo clave necesario para brindar una conexin DSL a una oficina
pequeauoficinadomstica.LosdoscomponentesclavesoneltransceptorDSLyelDSLAM:

Transceptor: conecta la computadora del trabajador a distancia con el DSL.

Generalmente, el transceptor es un mdem DSL conectado a la computadora
mediante un cable USB o Ethernet. Los transceptores DSL ms nuevos pueden
integrarseenrouterspequeosconvariospuertosdeswitch10/100paraqueusenlas
oficinaspequeas.
DSLAM:ubicadoenlaoficinacentraldelaempresadetelecomunicaciones,elDSLAM
combinaconexionesDSLindividualesdelosusuariosenunenlacedealtacapacidadal
ISPy,porlotanto,aInternet.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

La ventaja que tiene DSL sobre la tecnologa por cable es que no es un medio compartido.
CadausuariotieneunaconexindirectaseparadaalDSLAM.Laincorporacindeusuariosno
afectaelrendimiento,amenosquelaconexindeInternetDSLAMalISPoInternetsesature.

LamayorventajadeADSLeslahabilidaddeproporcionarserviciosdedatosjuntoconservicios
devozPOTS.

CuandoelproveedordelserviciocolocavozanalgicayADSLenelmismocable,divideelcanal
POTS desde el mdem ADSL por medio de filtros o divisores de seal. Esta configuracin
garantiza el servicio telefnico normal sin interrupciones, aun si ocurre una falla en el ADSL.
Cuando los filtros o divisores de seal estn en su lugar, el usuario puede usar la lnea de
telfonoylaconexinADSLalmismotiempo,sinafectarningunodelosservicios.

LassealesADSLdistorsionanlatransmisindevozysedividenofiltranenlasinstalaciones
del cliente. Hay dos maneras de separar ADSL de la voz en las instalaciones del cliente:
medianteunmicrofiltrooundivisordeseal.

Unmicrofiltroesunfiltrodepasobajocondosextremos.Unextremoseconectaaltelfonoy
el otro al jack de pared. Esta solucin elimina la necesidad de que un tcnico visite las
instalaciones y permite que el usuario use cualquier jack de la casa para el servicio de voz o
ADSL.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

LosdivisoresdesealPOTSseparaneltrficoDSLdeltrficoPOTS.EldivisordesealPOTSes
un dispositivo pasivo. Si se produjera un corte de energa elctrica, el trfico de voz an se
desplazara al switch de voz en la oficina central de la empresa de telecomunicaciones. Los
divisores de seal se ubican en la oficina central y, en algunas implementaciones, en las
instalacionesdelcliente.Enlaoficinacentral,eldivisordesealPOTSseparaeltrficodevoz,
destinadoparalasconexionesPOTS,yeltrficodedatosdestinadoparaDSLAM.

La figura muestra el bucle local que termina en las instalaciones del cliente en el punto de
demarcacin. El dispositivo real es el dispositivo de interfaz de red (NID). Este punto es,
generalmente,dondelalneatelefnicaingresaalasinstalacionesdelcliente.Enestepunto,
puede colocarse un divisor de seal en la lnea telefnica. El divisor de seal desva la lnea
telefnica;unaparteproporcionaelcableadotelefnicodelacasaoriginalparalostelfonosy
laotraparteseconectaalmdemADSL.Eldivisordesealactacomounfiltrodepasobajoy
solamentepermitequelasfrecuenciasde0a4kHzpasenaltelfonoodesdel.Lainstalacin
del divisor de seal POTS en el NID en general significa que un tcnico debe ir a las
instalacionesdelcliente.

Debidoalserviciodeasistenciatcnicaymanodeobraadicionales,hoyenda,lamayorparte
de las instalaciones domsticas usa microfiltros, como se muestra en la figura. El uso de
microfiltros tambin ofrece la ventaja de proporcionar una conectividad mayor a travs del
hogar. Debido a que el divisor de seal POTS separa las seales de voz y ADSL en el NID,
generalmente,hayunasolatomaADSLdisponibleenlacasa.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

La figura muestra un diseo DSL tpico de oficinas pequeas u oficinas domsticas mediante
microfiltros. En esta solucin, el usuario puede instalar microfiltros de lnea interna en cada
telfono,oinstalarmicrofiltrosmontadosenlaparedenvezdejacksdetelfonocomunes.Si
colocaelcursorsobrelosmicrofiltrosqueaparecenenelgrfico,semuestranlasfotografas
delosproductosCisco.

Sielproveedordeserviciohubierainstaladoundivisordeseal,steseubicaraentreelNIDy
el sistema interno de distribucin telefnica. Un cable ira directamente al mdem DSL y el
otrotransportaralasealDSLalostelfonos.Sicolocaelcursorsobrelacajadedivisoresde
sealqueseencuentraenelgrfico,semuestraunesquemadecableadofrecuente.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

6.2.4Conexininalmbricadebandaancha

El acceso de banda ancha por ADSL o cable proporciona conexiones ms rpidas a los
trabajadoresadistanciaqueelserviciodialup;sinembargo,hastahacepoco,losequiposde
lasoficinaspequeasydomsticasdebanconectarseaunmdemorouterporuncableCat5
(Ethernet). Las conexiones de red inalmbricas, o WiFi (del ingls, Wireless Fidelity), han
mejoradoesasituacinnosloparalasoficinaspequeasuoficinasdomsticas,sinotambin
enloscampusempresariales.

Mediantelosestndaresdenetworking802.11,losdatossedesplazandeunlugaraotroen
ondasderadio.Loquehacequeelnetworking802.11searelativamentefcildeimplementar
es que usa el espectro de radio sin licencia para enviar y recibir datos. La mayora de las
transmisionesdetelevisinyradioestnreguladasporelgobierno,ysenecesitalicenciapara
poderusarlas.

A partir de 2007, los fabricantes de computadoras comenzaron a incorporar adaptadores de

red inalmbrica en la mayora de los equipos porttiles. Como el precio de los conjuntos de
chip para WiFi sigue disminuyendo, se est convirtiendo en una opcin de networking muy
econmicatambinparalasPC.

Las ventajas de WiFi se extienden ms all del hecho de no tener que usar o instalar
conexionesderedporcable.Lasconexionesderedinalmbricasproporcionanmovilidad.Las
conexiones inalmbricas proporcionan una mayor flexibilidad y productividad al trabajador a
distancia.

Hastahacepoco,unalimitacinimportantedeaccesoinalmbricohabasidolanecesidadde
estardentrodeunrangodetransmisinlocal(engeneralmenora30,5metros)deunrouter
inalmbricoopuntodeaccesoinalmbricoquetieneunaconexinconcableaInternet.Una
vezqueeltrabajadorabandonabalaoficinaoelhogar,elaccesoinalmbriconoseencontraba
fcilmentedisponible.

Sin embargo, con los avances tecnolgicos, se ha extendido el alcance de las conexiones
inalmbricas. El concepto de puntos de conexin ha aumentado el acceso a las conexiones
inalmbricasenelmundo.Unpuntodeconexineselreacubiertaporunoomspuntosde
acceso interconectados. Los lugares de reuniones pblicas, como cafeteras, parques y
bibliotecas, han creado puntos de conexin WiFi con la esperanza de aumentar el negocio.
Mediantelasuperposicindepuntosdeacceso,lospuntosdeconexinpuedencubrirmuchos
metroscuadrados.

Los desarrollos recientes en la tecnologa de conexin inalmbrica de banda ancha estn

aumentandoladisponibilidadinalmbrica.Entreotros,seencuentranlossiguientes:

WiFimunicipal
WiMAX
Internetsatelital

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

LosgobiernosmunicipalestambinsehanunidoalarevolucinWiFi.Amenudo,juntoconlos
proveedoresdeservicios,lasciudadesestnimplementandoredesinalmbricasmunicipales.
Algunas de estas redes proporcionan acceso a Internet de alta velocidad sin costo o por un
precio mucho menor al de los dems servicios de banda ancha. Otras ciudades reservan las
redes WiFi para uso oficial y proporcionan acceso remoto a Internet y a las redes del
municipioalapolica,losbomberosylostrabajadoresmunicipales.

Lafiguramuestraunaimplementacindomsticatpicamedianteunnicorouterinalmbrico.
Esta implementacin usa el modelo hubandspoke. Si ocurre una falla en el nico router
inalmbrico,sepierdelaconectividad.Useelmouseparacolocarelcursorsobreelcuadrode
texto.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

La mayor parte de las redes inalmbricas municipales usa una topologa de malla en vez del
modelo hubandspoke. Una malla es una serie de puntos de acceso (transmisores de radio)
comoapareceenlafigura.Cadapuntodeaccesoestdentrodelrangoypuedecomunicarse
con al menos otros dos puntos de acceso. La malla cubre su rea con seales de radio. Las
sealessedesplazandesdeunpuntodeaccesoaotro,atravsdeestanube.

Unaredenmallatienevariasventajasencomparacinconlospuntosdeconexinderouter
nico.Lainstalacinesmsfcilypuedesermseconmicaporquehaymenoscables.Esms
rpidalaimplementacinsobreunreaurbanagrande.Desdeelpuntodevistaoperativo,es
msconfiable.Siocurreunafallaenunnodo,losrestantesdelamallalocompensan.

WiMAX (Interoperatividad mundial para el acceso por microondas) es una tecnologa de

telecomunicacionesquetienecomoobjetivolaprovisindedatosinalmbricossobreunagran
distancia de diferentes maneras, desde enlaces punto a punto hasta el acceso completo de
tipo celular mvil. WiMAX funciona a velocidades mayores, sobre distancias ms grandes y
para una cantidad de usuarios superior que WiFi. Debido a su velocidad mayor (ancho de
banda) y a la reduccin de los precios de los componentes, se predice que WiMAX pronto
reemplazarlasredesenmallamunicipalesporlasimplementacionesinalmbricas.

UnaredWiMAXconstadedoscomponentesprincipales:

Una torre conceptualmente similar a una torre de telefona celular. Una sola torre
WiMAX puede brindar cobertura a un rea de 7500 kilmetros cuadrados,
aproximadamente,o3000millascuadradas.
UnreceptorWiMAXsimilarentamaoyformaaunatarjetaPCMCIAoseincorporaa
unalaptopoaotrodispositivoinalmbrico.

UnaestacindetorreWiMAXseconectadirectamenteaInternetmedianteunaconexinde
anchode bandaelevado (porejemplo,unalneaT3).Unatorretambinpuedeconectarsea

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

otrastorresWiMAXmedianteenlacesdemicroondasdelneadevisin.Porlotanto,WiMAX
puede proporcionar cobertura a las reas rurales situadas fuera del alcance del cable de
"ltimamilla"ydelastecnologasDSL.

Los servicios de Internet satelital se usan en lugares donde no est disponible el acceso a
Internetterrestreoeninstalacionestemporariasqueestnencontinuomovimiento.Elacceso
a Internet por medio de satlites se encuentra disponible mundialmente, incluso para los
barcosenelmar,losavionesduranteelvueloylosvehculosqueviajanportierra.

Hay tres formas de conectarse a Internet por medio de satlites: multicast unidireccional,
retornoterrestreunidireccionalybidireccional.

LossistemasdeInternetsatelitalmulticastunidireccionalseusanparaladistribucin
devideo,audioydatosbasadosenIPmulticast.Aunquelamayoradelosprotocolos
IPrequierenunacomunicacinbidireccional,paraelcontenidodeInternet,incluidas
las pginas Web, los servicios de Internet satelital unidireccional pueden ser pginas
enviadasalalmacenamientolocalenlossitiosdelusuariofinalpormediodeInternet
satelital.Noesposiblelainteractividadtotal.
Los sistemas de Internet satelital de retorno terrestre unidireccional usan el acceso
tradicional dialup para enviar datos salientes a travs de un mdem o recibir
descargasdesdeelsatlite.
LossistemasdeInternetsatelitalbidireccionalenvandatosdesdelugaresremotosa
travs del satlite a un hub, el cual luego enva los datos a Internet. Las antenas
parablicas de cada lugar necesitan una ubicacin precisa para evitar interferencias
conotrossatlites.

LafiguramuestraunsistemadeInternetsatelitalbidireccional.Lasvelocidadesdecargason
alrededordeundcimodelasvelocidadesdedescarga,loqueestenunrangode500kbps.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

ElrequisitoclavedeinstalacinesquelaantenatengaunavistaclarahaciaelEcuador,donde
se encuentra la mayora de los satlites. Los rboles y las lluvias copiosas pueden afectar la
recepcindelasseales.

ElsistemadeInternetsatelitalbidireccionalusatecnologamulticastIP,lacualpermitequeun
satlitebrindeserviciosa5000canalesdecomunicacindemanerasimultnea.IPMulticast
envadatosdesdeunpuntoavariospuntosalmismotiempomedianteelenvodedatosenun
formatocomprimido.Lacompresinreduceeltamaodelosdatosydelanchodebanda.

Las conexiones de redes inalmbricas cumplen con un rango de estndares que usan los
routersylosreceptoresparacomunicarseentres.Losestndaresmsfrecuentesseincluyen
enelestndarIEEE802.11pararedesderealocalinalmbrica(WLAN),elcualdireccionalas
bandasdeespectropblico(sinlicencia)de5GHzy2,4GHz.

Lostrminos802.11yWiFiseusandemaneraintercambiable,peronoescorrecto.WiFies
unacertificacindeinteroperatividaddelaindustriaquesebasaenunsubconjuntode802.11.
La especificacin WiFi apareci porque la demanda del mercado llev a que WiFi Alliance
comenzaraconlacertificacindeproductosantesdequesecompletaranlasmodificacionesal
estndar802.11.Desdeesemomento,elestndar802.11haalcanzadoysuperadoaWiFi.

Desdeelpuntodevistadelostrabajadoresadistancia,losenfoquesdeaccesomspopulares
alaconectividadsonaquellosdefinidosporlosprotocolosIEEE802.11byIEEE802.11g.Enun
principio,laseguridaderaintencionalmentedbilenestosprotocolosdebidoalosrequisitos
de exportacin restrictivos de varios gobiernos. El estndar ms reciente, 802.11n, es una
modificacin propuesta que se basa en los estndares 802.11 anteriores por medio de la
incorporacindeentradamltiple,salidamltiple(MIMO).

El estndar 802.16 (o WiMAX) permite transmisiones de hasta 70 Mbps y tiene un rango de

hasta 50 km (30 millas). Puede funcionar en bandas con licencia o sin licencia del espectro
desde2hasta6GHz.

6.3TecnologaVPN
6.3.1LasredesVPNysusbeneficios

InternetesunaredIPdeaccesopblicoentodoelmundo.Debidoasuampliaproliferacin
global,sehaconvertidoenunamaneraatractivadeinterconectarsitiosremotos.Sinembargo,
el hecho de que sea una infraestructura pblica conlleva riesgos de seguridad para las
empresas y sus redes internas. Afortunadamente, la tecnologa VPN permite que las
organizacionescreenredesprivadasenlainfraestructuradeInternetpblicaquemantienenla
confidencialidadylaseguridad.

LasorganizacionesusanlasredesVPNparaproporcionarunainfraestructuraWANvirtualque
conecta sucursales, oficinas domsticas, oficinas de socios comerciales y trabajadores a
distanciaatodalaredcorporativaoapartedeella.Paraquepermanezcaprivado,eltrfico

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

estencriptado.EnvezdeusarunaconexindeCapa2exclusiva,comounalneaalquilada,la
VPNusaconexionesvirtualesqueseenrutanatravsdeInternet.

Anteriormente en este curso, se present una analoga que inclua la obtencin de entradas
preferenciales para un espectculo en un estadio. Una ampliacin de esa analoga ayuda a
explicarcmofuncionalaVPN.Imagineelestadiocomounlugarpblico,aligualqueInternet
esunlugarpblico.Cuandoelespectculotermina,elpblicoabandonaelestadioatravsde
lospasillosylaspuertas,seempujayabrepasoalolargodelcamino.Losrobosmenoresson
amenazasquedebensoportarse.

Tengaencuentacmosalenlosactores.Sucomitivaunelosbrazosyformacordonesentrela
gente y protege a las celebridades de los empujones. De hecho, estos cordones forman
tneles. Las celebridades se trasladan a travs de tneles hacia las limusinas que los llevan
protegidosasusdestinos.EstaseccindescribecmofuncionanlasVPNdeunamaneramuy
parecida; agrupan datos y los desplazan de manera segura a travs de Internet por tneles
protectores. Comprender la tecnologa VPN es esencial para poder implementar servicios
segurosparatrabajadoresadistanciaenlasredesempresariales.

Analoga:CadaLANesunaisla

UsaremosotraanalogaparailustrarelconceptodelaVPNdesdeunpuntodevistadiferente.
Imagine que vive en una isla en un gran ocano. Hay miles de otras islas alrededor, algunas
cerca y otras lejos. La manera normal de viajar es tomar el transbordador desde su isla a
cualquier otra que desee visitar. El viaje en el transbordador significa que casi no tiene
privacidad.Otrapersonapuedeobservartodoloquehaga.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

SupongaquecadaislarepresentaunaLANprivadayqueelocanoesInternet.Cuandoviaja
eneltransbordador,essimilaracuandoseconectaaunservidorWeboaotrodispositivoa
travsdeInternet.NotienecontrolsobreloscablesniroutersqueformanInternet,deigual
manera que no tiene control sobre el resto de las personas que viajan en el transbordador.
Estolovuelvevulnerablealosproblemasdeseguridadsiintentaconectarseentredosredes
privadaspormediodeunrecursopblico.

Suisladecideconstruirunpuenteaotraislaparaqueseaunmediomsfcil,seguroydirecto
paraquelaspersonasviajenentreellas.Escaroconstruirymantenerelpuente,aunquelaisla
alaqueseestconectandoesmuycercana.Perolanecesidaddeunarutasegurayconfiable
estangrandequedecidehacerlodetodosmodos.Suislaquisieraconectarseaunasegunda
islaquequedamuchomslejos,perodecidequeesdemasiadocaro.

Estasituacinesmuysimilaratenerunalneaalquilada.Lospuentes(lneasalquiladas)estn
separadosdelocano(Internet),peroaunaspuedenconectarlasislas(redesLAN).Muchas
empresas han elegido esta ruta debido a la necesidad de seguridad y fiabilidad para la
conexindesusoficinasremotas.Sinembargo,silasoficinasestnmuylejos,elcostopuede
serdemasiadoalto,igualqueintentarconstruirunpuentequecubraunagrandistancia.

Entonces cmo encaja una VPN en esta analoga? Podramos darle a cada habitante de las
islassupropiosubmarinoconestaspropiedades:

Veloz
Fcildellevarconusteddondeseaquevaya
Permiteocultarseporcompletodeotrosbotesosubmarinos
Confiable
Cuesta poco agregar submarinos adicionales a la flota una vez que se compr el
primero

Aunqueestnviajandoenelocanojuntoconmstrfico,loshabitantesdenuestrasdosislas
podran viajar entre ellas cuando lo deseen con privacidad y seguridad. Esencialmente, as
funciona la VPN. Cada miembro remoto de la red puede comunicarse de manera segura y
confiable a travs de Internet como medio para conectarse a la LAN privada. La VPN puede
desarrollarse para alojar ms usuarios y ubicaciones diferentes de manera mucho ms fcil
queunalneaalquilada.Dehecho,laescalabilidadesunaventajaprincipalquetienenlasVPN
sobre las lneas alquiladas comunes. A diferencia de las lneas alquiladas, donde aumenta el
costo en proporcin a las distancias en cuestin, las ubicaciones geogrficas de cada oficina
tienenpocaimportanciaenlacreacindeunaVPN.

Las organizaciones que usan las VPN se benefician con el aumento en la flexibilidad y la
productividad.Lossitiosremotosylostrabajadoresadistanciapuedenconectarsedemanera
seguraalaredcorporativadesdecasicualquierlugar.LosdatosdelaVPNestnencriptadosy
ningunapersonaquenoestautorizadapuededescifrarlos.LasVPNtraenaloshostsremotos
dentro del firewall y les brindan casi los mismos niveles de acceso a los dispositivos de red

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

comosiestuvieranenunaoficinacorporativa.

Lafiguramuestralaslneasalquiladasenrojo.Laslneasazulesrepresentanlasconexionesde
VPN.TengaencuentaestosbeneficiosalusarlasVPN:

Econmicos: las organizaciones pueden usar transporte de Internet de terceros y

econmico para conectar oficinas y usuarios remotos al sitio corporativo principal.
EstoeliminalosenlacesWANexclusivosycaros,ylosbancosdemdems.Medianteel
usodebandaancha,lasVPNreducenloscostosdeconectividadmientrasaumentael
anchodebandadelasconexionesremotas.
Seguridad: los protocolos de autenticacin y encriptacin avanzados protegen los
datoscontraelaccesonoautorizado.
Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las
empresas de telecomunicaciones, y es ms fcil para las organizaciones agregar
usuarios nuevos. Las organizaciones, grandes y pequeas, pueden agregar grandes
cantidadesdecapacidadsinincorporarunainfraestructurasignificativa.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

6.3.2TiposdeVPN

LasorganizacionesusanlasVPNdesitioasitioparaconectarubicacionesremotas,talcomose
usaunalneaalquiladaoconexinFrameRelay.Debidoaquelamayoradelasorganizaciones
ahoratieneaccesoa Internet,eslgicoaprovecharlosbeneficiosdelasVPN desitioasitio.
Comosemuestraenlafigura,lasVPNdesitioasitiotambinadmitenintranetsdelaempresa
yextranetsdelossocioscomerciales.

Dehecho,unaVPNdesitioasitioesunaextensindeunanetworkingWANclsica.LasVPN
desitioasitioconectanredesenterasentreellas.Porejemplo,puedenconectarlareddeuna
sucursalalareddelasedecentralcorporativa.

En una VPN de sitio a sitio, los hosts envan y reciben trfico TCP/IP a travs de un gateway
VPN, el cual podra ser un router, una aplicacin firewall PIX o una aplicacin de seguridad
adaptable(ASA).ElgatewayVPNesresponsabledelaencapsulacinyencriptacindeltrfico
salienteparatodoeltrficodesdeunsitioparticularydesuenvoatravsdeuntnelVPNpor
InternetaungatewayVPNparenelsitioobjetivo.Alrecibirlo,elgatewayVPNpareliminalos
encabezados,descifraelcontenidoyretransmiteelpaquetehaciaelhostobjetivodentrode
suredprivada.

LosusuariosmvilesytrabajadoresadistanciausanmucholasVPNdeaccesoremoto.Enel
pasado,lasempresasadmitanusuariosremotosconredesdialup.Engeneral,estoimplicaba
una llamada de larga distancia y los costos correspondientes para lograr el acceso a la
empresa.

LamayoradelostrabajadoresadistanciaahoratienenaccesoaInternetdesdesushogaresy
pueden establecer VPN remotas por medio de las conexiones de banda ancha. De manera
similar, un trabajador mvil puede realizar una llamada local a un ISP local para lograr el
accesoalaempresaatravsdeInternet.Dehecho,estomarcaunavancedeevolucinenlas

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

redesdialup.LasVPNdeaccesoremotopuedenadmitirlasnecesidadesdelostrabajadoresa
distancia,losusuariosmviles,ademsdelasextranetsdeconsumidoresaempresas.

EnunaVPNdeaccesoremoto,cadahostengeneraltienesoftwareclientedeVPN.Cuandoel
host intenta enviar trfico, el softwarecliente de VPN encapsula y encripta ese trfico antes
delenvoatravsdeInternethaciaelgatewayVPNenelbordedelaredobjetivo.Alrecibirlo,
el gateway VPN maneja los datos de la misma manera en que lo hara con los datos de una
VPNdesitioasitio.

6.3.3ComponentesdelaVPN

LaVPNcreaunaredprivadaatravsdeunainfraestructuraderedpblica,mientrasmantiene
la confidencialidad y la seguridad. Las VPN usan protocolos de tunneling criptogrficos para
brindarproteccincontradetectoresdepaquetes,autenticacindeemisoreseintegracinde
mensajes.

La figura muestra una topologa de VPN tpica. Los componentes necesarios para establecer
estaVPNincluyenlosiguiente:

Unaredexistenteconservidoresyestacionesdetrabajo
UnaconexinaInternet
GatewaysVPN,comorouters,firewalls,concentradoresVPNyASA,queactancomo
extremosparaestablecer,administrarycontrolarlasconexionesVPN
SoftwareadecuadoparacrearyadministrartnelesVPN

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante
encapsulacinoencriptacin.LamayoradelasVPNpuedehacerlasdoscosas.

Laencapsulacintambinsedenominatunneling,porquetransmitedatosdemanera
transparentederedaredatravsdeunainfraestructuraderedcompartida.
Laencriptacincodificalosdatosenunformatodiferentemedianteunaclavesecreta.
Ladecodificacinvuelvelosdatosencriptadosalformatooriginalsinencriptar.

Laencapsulacinylaencriptacinseanalizancondetallemsadelanteduranteestecurso.

6.3.4CaractersticasdelasVPNseguras

Las VPN utilizan tcnicas de encriptacin avanzada y tunneling para permitir que las
conexionesderedprivadasdeextremoaextremoqueestablezcanlasorganizacionesatravs
deInternetseanseguras.

LasbasesdeunaVPNsegurasonlaconfidencialidad,laintegridaddedatosylaautenticacin:

Confidencialidad de datos: una cuestin de seguridad que suele despertar

preocupacin es la proteccin de datos contra personas que puedan ver o escuchar
subrepticiamente informacin confidencial. La confidencialidad de datos, que es una
funcindediseo,tieneelobjetivodeprotegerloscontenidosdelosmensajescontra

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta

confidencialidadmediantemecanismosdeencapsulacinyencriptacin.
Integridad de datos: los receptores no tienen control sobre la ruta por la que han
viajadolosdatosy,porlotanto,nosabensialguienhavistoohamanejadolosdatos
mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan
sido modificados. La integridad de datos garantiza que no se realicen cambios
indebidos ni alteraciones en los datos mientras viajan desde el origen al destino.
Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El
hash es como una checksum o un sello (pero ms robusto) que garantiza que nadie
hayaledoelcontenido.Enelprximotemaseincluyelaexplicacindeloshashes.
Autenticacin: la autenticacin garantiza que el mensaje provenga de un origen
autntico y se dirija a un destino autntico. La identificacin de usuarios brinda al
usuariolaseguridaddequelapersonaconquien secomunica esquien creequees.
Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y
biomtricasparaestablecerlaidentidaddelaspartesubicadasenelotroextremode
lared.

6.3.5TunnelingdeVPN

LaincorporacindecapacidadesdeconfidencialidaddedatosadecuadasenunaVPNgarantiza
queslolosorgenesylosdestinosindicadosseancapacesdeinterpretarloscontenidosdel
mensajeoriginal.

El tunneling permite el uso de redes pblicas como Internet para transportar datos para
usuarios,siemprequelosusuariostenganaccesoaunaredprivada.Eltunnelingencapsulaun

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

paqueteenterodentrodeotropaqueteyenvaporunaredelnuevopaquetecompuesto.Esta
figuracontieneunalistadelastresclasesdeprotocolosqueutilizaeltunneling.

Para ilustrar el concepto de tunneling y las clases de protocolos de tunneling, veamos un

ejemplodeunenvodeunatarjetanavideaporcorreotradicional.Latarjetanavideatiene
unmensajeadentro.Latarjetaeselprotocolopasajero.Elemisorcolocalatarjetadentrode
un sobre (protocolo de encapsulacin) y escribe las direcciones correctas. Luego, deposita el
sobre en el buzn de correo para que sea entregado. El sistema postal (protocolo portador)
buscayentregaelsobreenelbuzndelreceptor.Losdosextremosdelsistemaportadorson
las"interfacesdeltnel".Elreceptorquitalatarjetanavidea(extraeelprotocolopasajero)y
leeelmensaje.

EstafiguramuestraunmensajedecorreoelectrnicoqueviajaporInternetatravsdeuna
conexin VPN. PPP transmite el mensaje al dispositivo VPN, donde el mensaje se encapsula
dentro de un paquete de Encapsulamiento de enrutamiento genrico (GRE). El GRE es un
protocolo de tunneling desarrollado por Cisco Systems que puede encapsular una amplia
variedaddetiposdepaquetesdeprotocolodentrodetnelesIP,loquecreaunenlacevirtual
puntoapuntoconlosroutersCiscoenpuntosremotos,atravsdeunainternetworkIP.Enla
figura,eldireccionamientodelpaquetedeorigenydedestinoexternoseasignaa"interfaces
deltnel"ysehaceenrutableatravsdelared.Unavezqueelpaquetecompuestollegaala
interfazdeltneldedestino,seextraeelpaqueteinterno.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

6.3.6IntegridaddedatosdelaVPN

Si por Internet pblica se transporta texto sin formato, puede ser interceptado y ledo. Para
mantener la privacidad de los datos, es necesario encriptarlos. La encriptacin VPN encripta
losdatosylosvuelveilegiblesparalosreceptoresnoautorizados.

Paraquelaencriptacinfuncione,tantoelemisorcomoelreceptordebenconocerlasreglas
que se utilizan para transformar el mensaje original en la versin codificada. Las reglas de
encriptacin de la VPN incluyen un algoritmo y una clave. Un algoritmo es una funcin
matemticaquecombinamensaje,texto,dgitosolostresconunaclave.Elresultadoesuna
cadena de cifrado ilegible. El descifrado es extremadamente difcil o imposible sin la clave
correcta.

En el ejemplo, Gail desea enviar un documento de finanzas a Jeremy por Internet. Gail y
Jeremy han acordado previamente una clave secreta compartida. En el extremo de Gail, el
softwaredeclientedelaVPNcombinaeldocumentoconlaclavesecretacompartidaylopasa
porunalgoritmodeencriptacin.Elresultadoesuntextocifradoindescifrable.Eltextocifrado
seenvamedianteuntneldelaVPNoporInternet.Enelotroextremo,elmensajesevuelve
acombinarconlamismaclavesecretacompartidayseloprocesaconelmismoalgoritmode
encriptacin. El resultado es el documento de finanzas original, que ahora es legible para
Jeremy.

Elgradodeseguridadqueproporcionaunalgoritmodeencriptacindependedelalongitudde
la clave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las
posibilidadesdedescifrartextocifradoesunafuncindelapotenciadecmputodelequipo.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

Porlotanto,cuantomscortasealaclave,msfcilserromperla;pero,asuvez,msfcil
pasarelmensaje.

Algunosdelosalgoritmosdeencriptacinmscomunesylalongituddeclavesqueseutilizan
sonlossiguientes:

AlgoritmoEstndardecifradodedatos(DES):DES,desarrolladoporIBM,utilizauna
clave de 56 bits para garantizar una encriptacin de alto rendimiento. El DES es un
sistema de encriptacin de clave simtrica. Las claves simtricas y asimtricas se
explicanmsadelante.
Algoritmo Triple DES (3DES): una variante ms reciente del DES que realiza la
encriptacinconunaclave,descifraconotraclaveyrealizalaencriptacinporltima
vez con otra clave tambin diferente. 3DES le proporciona mucha ms fuerza al
procesodeencriptacin.
Estndar de encriptacin avanzada (AES): el Instituto Nacional de Normas y
Tecnologa (NIST) adopt el AES para reemplazar la encriptacin DES en los
dispositivoscriptogrficos.AESproporcionamsseguridadqueDESyesmseficazen
cuantoasuclculoque3DES.AESofrecetrestiposdelongitudesdeclave:clavesde
128,192y256bits.
Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave asimtrica. Las
clavesutilizanunalongituddebitsde512,768,1024osuperior.

Encriptacinsimtrica

LosalgoritmosdeencriptacincomoDESy3DESrequierenqueunaclavesecretacompartida
realicelaencriptacinyeldescifrado.Losdosequiposdebenconocerlaclaveparadecodificar
lainformacin.Conlaencriptacindeclavesimtrica,tambinllamadaencriptacindeclave

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

secreta, cada equipo encripta la informacin antes de enviarla por la red al otro equipo. La
encriptacin declavesimtricarequiereelconocimiento delosequiposquesecomunicarn
parapoderconfigurarlamismaclaveencadauno.

Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra se sustituye con la
letraqueseencuentradosposicionesadelanteenelalfabeto;"A"seconvierteen"C"y"B"se
convierte en "D" y as sucesivamente. En este caso, la palabra SECRETO se convierte en
UGETGVQ.Elemisorlehainformadoalreceptorquelaclavesecretaes"saltear2".Cuandoel
receptorrecibeelmensajeUGETGVQ,suequipodecodificaelmensajealcalcularlasdosletras
anteriores a las del mensaje y llega al cdigo SECRETO. Cualquier otra persona que vea el
mensajesloverelmensajecifrado,quepareceunafrasesinsentidoamenosquelapersona
conozcalaclavesecreta.

Lapreguntaes,cmoeldispositivodeencriptacinyeldedescifradotienenlamismaclave
secreta compartida? Puede utilizar el correo electrnico, un mensajero o un correo de 24
horas para enviar las claves secretas compartidas a los administradores de los dispositivos.
Otromtodomsfcilymsseguroeslaencriptacinasimtrica.

Encriptacinasimtrica

La encriptacin asimtrica utiliza diferentes claves para la encriptacin y el descifrado. El

conocimientodeunadelasclavesnoessuficienteparaqueunpiratainformticodeduzcala
segunda clave y decodifique la informacin. Una clave realiza la encriptacin del mensaje y
otra,eldescifrado.Noesposiblerealizarambosconlamismaclave.

Laencriptacindeclavepblicaesunavariantedelaencriptacinasimtricaqueutilizauna
combinacindeunaclaveprivadayunapblica.Elreceptorledaunaclavepblicaacualquier
emisorconquiendeseecomunicarseelreceptor.Elemisorutilizaunaclaveprivadajuntocon
laclavepblicadelreceptorparaencriptarelmensaje.Adems,elemisordebecompartirla
clavepblicaconelreceptor.Paradescifrarunmensaje,elreceptorutilizalaclavepblicadel
emisorysupropiaclaveprivada.

Loshashescontribuyenalaautenticacinylaintegridaddelosdatos,yaquegarantizanque
personasnoautorizadasnoalterenlosmensajestransmitidos.Unhash,tambindenominado
messagedigest,esunnmerogeneradoapartirdeunacadenadetexto.Elhashesmenorque
eltexto.Se generamedianteunafrmula,deformatalque esextremadamenteimprobable
queotrotextoproduzcaelmismovalordehash.

El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El
receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y
comparalosdoshashes.Sisoniguales,puedeestarsegurodequelaintegridaddelmensajeno
hasidoafectada.

En la figura, alguien est intentando enviarle a Jeremy un cheque por 100 dlares. En el
extremoremoto,AlexJones(probablementeundelincuente)estintentandocobrarelcheque

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

en efectivo por 1000 dlares. El cheque fue alterado a medida que avanzaba mediante
Internet.Secambiaronelreceptoryelmontoendlares.Enestecaso,sisehubierautilizado
elalgoritmodeintegridaddedatos,loshashesnohabrancoincididoylatransaccinnohabra
tenidovalidez.

LosdatosdelaVPNsetransportanporInternetpblica.Talcomosemostr,hayposibilidades
dequeestosdatosseaninterceptadosymodificados.Comoproteccinfrenteaestaamenaza,
loshostspuedenagregarleunhashalmensaje.Sielhashtransmitidocoincideconelrecibido,
significa que se ha preservado la integridad del mensaje. Sin embargo, si no coinciden, el
mensajehasidoalterado.

Las VPN utilizan un cdigo de autenticacin de mensajes para verificar la integridad y la

autenticidad de un mensaje, sin utilizar mecanismos adicionales. Un cdigo de autenticacin
demensajesdehash(HMAC)enclaveesunalgoritmodeintegridaddedatosquegarantizala
integridaddelmensaje.

ElHMACtienedosparmetros:unmensajedeentradayunaclavesecretaquesloconocenel
creador del mensaje y los receptores adecuados. El emisor del mensaje utiliza una funcin
HMAC para producir un valor (el cdigo de autenticacin del mensaje) que se forma al
condensarlaclavesecretayelmensajedeentrada.Elcdigodeautenticacindelmensajese
enva junto con el mensaje. El receptor calcula el cdigo de autenticacin del mensaje en el
mensajerecibidoconlamismaclaveylamismafuncinHMACqueutilizelemisorycompara
los resultados calculados con el cdigo de autenticacin del mensaje. Si los dos valores
coinciden,elmensajeseharecibidocorrectamenteyelreceptorestsegurodequeelemisor
esunmiembrodelacomunidaddeusuariosquecompartenlaclave.Lafuerzacriptogrficade
HMACdependedelafuerzacriptogrficadelafuncinhashsubyacenteencuantoaltamaoy
alacalidaddelaclave,yeneltamaodelalongituddelresultadodehashenbits.

HaydosalgoritmosHMACcomunes:

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

MessageDigest5(MD5):utilizaunaclavesecretacompartidade128bits.Elmensaje
de longitud variable y la clave secreta compartida de 128 bits se combinan y se
ejecutan mediante el algoritmo de hash HMACMD5. El resultado es un hash de 128
bits.Elhashseagregaalmensajeoriginalyseenvaalextremoremoto.
Algoritmodehashseguro1(SHA1):utilizaunaclavesecretade160bits.Elmensaje
de longitud variable y la clave secreta compartida de 160 bits se combinan y se
ejecutanmedianteelalgoritmodehashHMACSHA1.Elresultadoesunhashde160
bits.Elhashseagregaalmensajeoriginalyseenvaalextremoremoto.

Cuandoserealizannegociosalargadistancia,esnecesariosaberquinestdelotroladodel
telfono,correoelectrnicoofax.LomismosucedeconlasredesVPN.Sedebeautenticarel
dispositivo ubicado en el otro extremo del tnel de la VPN antes de que la ruta de
comunicacinseconsideresegura.Haydosmtodosparesdeautenticacin:

Clavecompartidapreviamente(PSK):unaclavesecretacompartidaentredospartes
que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan
algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par
manualmenteyseutilizaparaautenticaralpar.Encadaextremo,laPSKsecombina
conotrainformacinparaformarlaclavedeautenticacin.
FirmaRSA:utilizaelintercambiodecertificadosdigitalesparaautenticarlospares.El
dispositivolocalderivaunhashyloencriptaconsuclaveprivada.Elhashencriptado
(firma digital) se adjunta al mensaje y se enva al extremo remoto. En el extremo
remoto,elhashencriptadosedesciframediantelaclavepblicadelextremolocal.Si
elhashdescifradocoincideconelhashrecalculado,lafirmaesverdadera.
ObserveunademostracindeRSAcomoejemplodeunaencriptacinRSA.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

6.3.7ProtocolosdeseguridadIPsec

El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que

proporcionaencriptacin,integridadyautenticacin.IPsecingresaelmensajenecesariopara
protegerlascomunicacionesVPN,perosebasaenalgoritmosexistentes.

ExistendosprotocolosdeestructuraIPsec.

Encabezadodeautenticacin(AH):seutilizacuandonoserequiereonosepermitela
confidencialidad. AH proporciona la autenticacin y la integridad de datos para
paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje
intercambiadodeR1aR3nohayasidomodificadoenelcamino.Tambinverificaque
el origen de los datos sea R1 o R2. AH no proporciona la confidencialidad de datos
(encriptacin)delospaquetes.Siseloutilizasolo,elprotocoloAHproporcionapoca
proteccin. Por lo tanto, se lo utiliza junto con el protocolo ESP para brindar las
funcionesdeseguridaddelaencriptacindelosdatosyelalertacontraalteraciones.
Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y
autenticacinmediantelaencriptacindelpaqueteIP.LaencriptacindelpaqueteIP
ocultalosdatosylasidentidadesdeorigenydedestino.ESPautenticaelpaqueteIP
internoyelencabezadoESP.Laautenticacinproporcionaautenticacindelorigende
datoseintegridaddedatos.Aunquetantolaencriptacincomolaautenticacinson
opcionalesenESP,debeseleccionarunacomomnimo.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

IPsecsebasaenalgoritmosexistentesparaimplementarlaencriptacin,laautenticacinyel
intercambiodeclaves.AlgunosdelosalgoritmosestndarqueutilizaIPsecson:

DES:encriptaydescifralosdatosdelpaquete.
3DES:proporcionaunafuerzadeencriptacinimportantesuperioralDESde56bits.
AES:proporcionaunrendimiento msrpidoyunaencriptacin msfuertesegnla
longituddelaclaveutilizada.
MD5:autenticadatosdepaquetesconunaclavesecretacompartidade128bits.
SHA1:autenticadatosdepaquetesconunaclavesecretacompartidade160bits.
DH; permite que dos partes establezcan una clave secreta compartida mediante la
encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de
comunicacionesnoseguro.

LafiguramuestracmoseconfiguraIPsec.IPsecproporcionalaestructurayeladministrador
elige los algoritmos utilizados para implementar los servicios de seguridad dentro de esa
estructura.ExistencuatroapartadosdeestructuraIPsecquedebencompletarse.

Cuando configura un gateway de IPsec para proporcionar servicios de seguridad,

primeroelijaunprotocoloIPsec.LasopcionessonESPoESPconAH.
ElsegundoapartadoesunalgoritmodeencriptacinsiIPsecseimplementaconESP.
Seleccioneelalgoritmodeencriptacinadecuadoparaelniveldeseguridaddeseado:
DES,3DESoAES.
Eltercerapartadoeslaautenticacin.Seleccioneunalgoritmodeautenticacinpara
proporcionarlaintegridaddelosdatos:MD5oSHA.

CCNA4.AccesoalaWAN

Captulo6.Serviciosdetrabajadoresadistancia

El ltimo apartado es el grupo de algoritmos DiffieHellman (DH). Establece que los

parescompartanlainformacindeclave.Seleccioneelgrupoquedeseautilizar:DH1o
DH2.

6.4Resumendelcaptulo
6.4.1Resumendelcaptulo

Enestecaptuloaprendilaimportanciacadavezmayordelostrabajadoresadistancia.Puede
describir los requisitos de una organizacin para proporcionar servicios de trabajadores a
distancia, segn las necesidades de los propios trabajadores a distancia y lo que debe
otorgarles la organizacin: conectividad confiable y rentable. Entre las formas elegidas para
conectar trabajadores a distancia, puede describir cmo usar los servicios de banda ancha
comoDSL,cableytecnologainalmbrica.Adems,sabecmosepuedeutilizarlatecnologa
VPN para proporcionar servicios de trabajo a distancia seguros en organizaciones; incluso
conocelaimportancia,losbeneficios,elpapelyelimpactodelatecnologaVPNylostiposde
acceso,componentes,tunnelingyencriptacin.

CCNA4.AccesoalaWAN