T8-Nivel Red Avanzado

Tema 8
El Nivel de Red en Internet

Aspectos avanzados
Rogelio Montaana
Esta obra est bajo una Licencia Creative Commons Atribucin-NoComercial-CompartirIgual 4.0 Internacional.
Universidad de Valencia
Redes 4-1
Rogelio Montaana
Sumario
Protocolos de resolucin inversa de dir.

Ataques de protocolos de resolucin de dir.
Protocolos de routing intra-AS
Concepto de sistema autnomo (AS) y protocolos
de routing inter-AS
Arquitectura de Internet y puntos neutros de
interconexin
Fragmentacin
Protocolo IPv6
Historia y organizacin administrativa de Internet
Redes 4-2
Rogelio Montaana
Resolucin inversa de direcciones

ARP averigua la MAC a partir de la IP (IP->MAC). A veces se
plantea el problema inverso, encontrar la IP a partir de la MAC
(MAC->IP).
Esto es til cuando se quiere configurar remotamente un host, lo
cual permite una gestin centralizada de las configuraciones
La resolucin inversa de direcciones se apoya siempre en un
servidor que almacena las correspondencias MAC-IP
Para esta funcin se han desarrollado tres protocolos diferentes:
RARP: RFC 983 (6/1984) obsoleto
BOOTP: RFC 951 (9/1985) poco utilizado
DHCP: RFC 1531 y 2131 (10/1993) el ms utilizado
actualmente
Redes 4-3
Rogelio Montaana
RARP (Reverse Address Resolution Protocol)

Utiliza el mismo formato de mensajes que ARP y funciona de forma
parecida, pero a la inversa (MAC->IP).
Necesita un servidor donde se registren las equivalencias MAC-IP
(correspondencia biunvoca)
El host (cliente) que quiere saber su IP enva un RARP Request
(broadcast) con su MAC; el servidor RARP busca en sus tablas la IP
solicitada y si la encuentra devuelve un RARP Reply (unicast) con la IP.
RARP utiliza un Ethertype distinto de ARP (x8035). Esto permite que los
mensajes RARP sean fcilmente ignorados por los hosts no interesados
Problemas de RARP:
Solo devuelve la direccin IP, pero ningn otro parmetro de red
(mscara, router por defecto, MTU, etc.)
Los routers no reenvan mensajes ARP/RARP pues no son paquetes IP.
Por tanto el servidor RARP ha de estar en la misma red que el cliente
Redes 4-4
Rogelio Montaana
Formato de mensaje ARP y RARP en el caso de

protocolo IPv4 y red Ethernet
32 bits
Tipo de hardware (1=Enet)

Lon. Dir. Hard. (6)
Tipo de protocolo (800=IP)
Lon. Dir. Red (4)
Operacin (1-2: ARP, 3-4: RARP)
Dir. MAC Emisor (octetos 0-3)

Dir. MAC Emisor (oct 4-5)
Dir. IP emisor (octetos 0-1)
Dir. IP emisor (octetos 2-3)
Dir. MAC destino (oct. 0-1)
Dir. MAC destino (octetos 2-5)

Dir. IP destino
Cdigos de Operacin:
Redes 4-5
1: ARP Request
2: ARP Reply
3: RARP Request
4: RARP Reply
Rogelio Montaana
BOOTP (Bootstrap Protocol)

Desempea la misma funcin que RARP, pero resuelve sus
dos problemas principales:
Permite suministrar al cliente todos los parmetros de
configuracin, no solo la direccin IP
El servidor y el cliente pueden estar en redes diferentes,
ya que los mensajes BOOTP pueden atravesar los
routers.
Si el servidor no est en la misma red que el cliente debe
haber un agente en la red del cliente que se encargue de
capturar la BOOTP Request para reenviarla al servidor
remoto
Es importante recordar que los mensajes BOOTP viajan
siempre en datagramas IP
Redes 4-6
Rogelio Montaana
Funcionamiento de BOOTP:
cliente y servidor en la misma LAN
Cuando un cliente arranca enva un BOOTP request broadcast (a la
direccin 255.255.255.255) poniendo como IP de origen 0.0.0.0 (pues
aun no sabe su propia IP)
El servidor recibe el mensaje, busca en su tabla la MAC del solicitante y
si la encuentra prepara el BOOTP reply. Dependiendo de
implementaciones la respuesta puede enviarse de dos maneras
diferentes:
En un paquete IP broadcast (lo ms habitual)
En un paquete IP unicast dirigido a la MAC del cliente. Al ser un
paquete IP la MAC se debera averiguar consultando la ARP cache,
pero la MAC no esta all pues es nueva. Mandar un ARP Request no
servira de nada pues el cliente an no sabe su IP y no responder.
Es el problema del huevo y la gallina. La solucin es permitir que el
proceso BOOTP actualice ilegalmente la ARP cache del servidor
aadiendo la entrada necesaria sin que se haya recibido un ARP
Reply.
Redes 4-7
Rogelio Montaana
Funcionamiento de BOOTP
Tabla BOOTP
A?
20.0.0.2/24
Dir. MAC
Servidor BOOTP
IP?
D.O.: 0.0.0.0 (A)
D.D.: 255.255.255.255 (F)
4a
4b
Dir. MAC broadcast
IP
20.0.0.5/24
Tabla ARP Cache
20.0.0.5?
MAC
MAC
IP
20.0.0.5
IP 20.0.0.5/24
D.O.: 20.0.0.2 (B)
D.D.: 255.255.255.255 (F)
IP 20.0.0.5/24
D.O.: 20.0.0.2 (B)
D.D.: 20.0.0.5 (A)
1. A lanza BOOTP request en broadcast preguntando por su IP

2. B busca en su tabla la MAC de A. Encuentra que la IP correspondiente es 20.0.0.5
3. B no puede enviar un datagrama a 20.0.0.5 porque esa IP no esta en su ARP cache;
tampoco puede enviar un ARP request pues A no conoce su IP y no responder
4. a) B lanza BOOTP reply en broadcast, o bien
4. b) El proceso BOOTP de B modifica la ARP cache (si el kernel se lo permite) para
incluir la MAC de A y enva el BOOTP reply en unicast
Redes 4-8
Rogelio Montaana
BOOTP con servidor remoto

Cuando el servidor BOOTP es remoto alguien en la LAN
debe capturar los BOOTP Request y reenviarlos al
servidor. El equipo que hace esta funcin se conoce como
BOOTP relay agent y normalmente es un router
Cuando el BOOTP Request (IP destino broadcast, IP
origen 0.0.0.0) llega al agente se convierte en un paquete
IP unicast con IP origen la del agente e IP destino la del
servidor.
El BOOTP Reply viaja del servidor al agente tambin en
unicast. Cuando llega a la LAN el Reply se puede enviar
en broadcast o en unicast, depende de implementaciones
(mismo caso que cuando cliente y servidor estaban en la
misma LAN).
Redes 4-9
Rogelio Montaana
Funcionamiento de BOOTP entre LANs

20.0.0.7/24
Rtr: 20.0.0.1
U
LAN A
20.0.0.0/24
Host configurado
estticamente
LAN C
40.0.0.0/16
BOOTP Req.
O: 0.0.0.0
D: 255.255.255.255
Tabla BOOTP
BOOTP requests a 40.0.0.2

A 40.0.0.0/16 por 90.0.0.2
LAN B
30.0.0.0/24
20.0.0.1/24
BOOTP Req.
O: 20.0.0.1
D: 40.0.0.2
BOOTP Reply
O: 40.0.0.2
D: 255.255.255.255
IP
30.0.0.3/24
30.0.0.7/24
20.0.0.5/24
40.0.0.3/16
40.0.0.1/16
MAC
IP
BOOTP Reply
O: 40.0.0.2
D: 20.0.0.1
30.0.0.1/24
Tabla BOOTP
MAC
90.0.0.1/30
90.0.0.2/30
W
40.0.0.2/16 Serv.
BOOTP (local y
remoto)
30.0.0.2/24 Serv.
BOOTP (local)
A 20.0.0.0/24 por 90.0.0.1

A 30.0.0.0/24 por 90.0.0.1
Redes 4-10
Rogelio Montaana
Captura Wireshark de un BOOTP Reply
Paquete
IP
Envo broadcast
Dir. MAC del cliente

en el paquete BOOTP
Opciones de
configuracin
adicionales
Redes 4-11
Rogelio Montaana
DHCP
(Dynamic Host Configuration Protocol)
Muy parecido a BOOTP, permite una asignacin ms flexible de
las direcciones IP, que puede ser:
Manual. El administrador fija de forma esttica en
configuracin la correspondencia MAC-IP, como en BOOTP.
Dinmica. A cada MAC se le asigna una IP de un pool por un
tiempo limitado. Pasado ese tiempo la IP se retira, salvo que se
renueve la peticin. Permite un ptimo reaprovechamiento de
las direcciones, pero stas no son fijas.
Automtica. Cada MAC recibe una IP pero el servidor
recuerda la IP asignada e intenta darle siempre la misma a cada
MAC cuando se conecte en el futuro
Usa el mismo mecanismo que BOOTP para acceder al servidor
cuando ste es remoto (agentes relay)
DHCP es lo ms parecido a la autoconfiguracin
Redes 4-12
Rogelio Montaana
Configuracin DHCP de una interfaz de red en Windows

C:\>ipconfig/all
Configuracin IP de Windows
Nombre del host . . . . . . . . . :
Sufijo DNS principal . . . . . . :
Tipo de nodo. . . . . . . . . . . :
Enrutamiento habilitado. . . . . .:
Proxy WINS habilitado. . . . .
:
Lista de bsqueda de sufijo DNS:
uveg-97871125e1
hbrido
No
No
uv.es
Adaptador Ethernet Conexiones de red inalmbricas
Sufijo de conexin especfica DNS :

Descripcin. . . . . . . . . . . :
Direccin fsica. . . . . . . . . :
DHCP habilitado. . . . . . . . . :
Autoconfiguracin habilitada. . . :
Direccin IP. . . . . . . . . . . :
Mscara de subred . . . . . . . . :
Puerta de enlace predeterminada
:
Servidor DHCP . . . . . . . . . . :
Servidores DNS . . . . . . . . . .:
uv.es
Intel(R) PRO/Wireless 3945ABG Network Connection
00-13-02-29-86-F8
No
S
147.156.249.228
255.255.252.0
147.156.248.1
Direccin prestada
10.4.0.10
por ocho horas
147.156.1.1
147.156.1.3
147.156.167.210
Servidor WINS principal . . . . . : 147.156.1.46
Concesin obtenida . . . . . . . : lunes, 26 de febrero de 2007 9:25:21
Concesin expira . . . . . . . . .: lunes, 26 de febrero de 2007 17:25:21
C:\>
Redes 4-13
Rogelio Montaana
Parmetros configurables por

BOOTP/DHCP
Direccin IP del cliente

Hostname del cliente
Mscara de subred
Direccin(es) IP de:
Router(s)
Servidor(es) de nombres
Servidor(es) de impresin (LPR)
Servidor(es) de tiempo
Nombre y ubicacin del fichero que debe usarse

para hacer boot (en ese caso el fichero se cargar
despus por TFTP)
Redes 4-14
Rogelio Montaana
Configuracin de un servidor BOOTP/DHCP

con asignacin manual de direcciones
s_FarmaciaSotano:\
ht=ether:\
Mscara sm=255.255.254.0:\
Serv. DNS ds=147.156.1.1 147.156.1.3 147.156.122.64:\
Dominio dn=uv.es:\
Router gw=147.156.16.1:\
Serv. NTP nt=147.156.1.3:\
Serv. tiempo ts=147.156.1.3:\
hn:\
Time Offset to=auto:\
Serv. WINS na=147.156.1.46:
Parmetros
comunes a
toda la subred
infsecre2:tc=s_FarmaciaSotano:ha=004f4e0a21f8:ip=147.156.17.135
sdisco:tc=s_FarmaciaSotano:ha=004f4e0a24e7:ip=147.156.16.32
pfc7:tc=s_FarmaciaSotano:ha=004f4e0a35d3:ip=147.156.17.133
pfc5:tc=s_FarmaciaSotano:ha=004f4e0a35d8:ip=147.156.17.131
pfc6:tc=s_FarmaciaSotano:ha=004f4e0a35df:ip=147.156.17.132
sweb:tc=s_FarmaciaSotano:ha=004f4e0a44ab:ip=147.156.16.46
Dir. MAC
Redes 4-15
Dir. IP
Rogelio Montaana
Servidor DHCP que combina asignacin

dinmica y esttica de direcciones
Rango de asignacin
dinmica
Subnet 239.252.197.0 netmask 255.255.255.0 {

range 239.252.197.10 239.252.197.250;
Tiempo de
default-lease-time 600 max-lease-time 7200;
prstamo
(segundos)
option subnet-mask 255.255.255.0;
option broadcast-address 239.252.197.255;
option routers 239.252.197.1;
option domain-name-servers 239.252.197.2, 239.252.197.3;
option domain-name isc.org;
}
Host haagen {
hardware ethernet 08:00:2b:4c:59:23;
fixed-address 239.252.197.9;
Asignacin esttica
filename /tftpboot/haagen.boot;
(Excepcin a la regla)
option domain-name-servers 192.5.5.1;
option domain-name vix.com;
}
Redes 4-16
Rogelio Montaana
Sumario

Concepto de sistema autnomo (AS) y protocolos de
routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-17
Rogelio Montaana
Ataques de DHCP
Cuando se utilizan servidores BOOTP/DHCP
pueden ocurrir dos tipos de ataques:
Agotamiento de direcciones (DHCP starvation):
ocurre cuando se utiliza asignacin dinmica o
automtica y un cliente intenta consumir todas las
direcciones disponibles en el servidor
Servidores DHCP furtivos (rogue): se da
cuando hay en la red servidores no autorizados
que compiten con el legtimo
Redes 4-18
Rogelio Montaana
Agotamiento de direcciones en DHCP

A puede falsear las MACs que
utiliza al mandar los DHCP Request
Dame IP para MAC AA
Usa 10.0.0.100
Dame IP para MAC AB
Usa 10.0.0.101
Dame IP para MAC AC
..
.
Usa 10.0.0.102
Dame IP para MAC DU
Usa 10.0.0.199
..
.
Cliente malintencionado
rango dinmico
10.0.0.100 10.0.0.199
2
3
ya n
,
!
f
f
U
edan
u
q
me
Servidor
DHCP
Dame IP para MAC C
Cliente inocente
Redes 4-19
Rogelio Montaana
Solucin al ataque de agotamiento de

direcciones DHCP
Si limitamos el nmero de MACs que pueden aparecer por puerto
con el comando:
switchport port-security maximum 1
podramos evitar el problema. El presunto atacante quedara
bloqueado (puerto shutdown) cuando intentara utilizar ms de una
direccin MAC
Pero esto por s solo no evita el ataque, ya que los servidores
DHCP no utilizan la direccin MAC de la trama Ethernet para
asignar direcciones, sino la que aparece dentro del paquete
BOOTP/DHCP, que no es vista por el conmutador
Algunos conmutadores tienen una funcin denominada DHCP
Snooping (snooping = husmear) que les permite inspeccionar
informacin contenida dentro de los paquetes DHCP
Redes 4-20
Rogelio Montaana
Solucin al ataque de agotamiento de

direcciones DHCP
Con DHCP snooping activado el conmutador comprueba
que la direccin MAC dentro del paquete DHCP coincida
con la de la cabecera Ethernet, en caso contrario el paquete
se descarta (o el puerto se deja en shutdown).
Adems el conmutador aprovecha esto para construir una
tabla, llamada DHCP binding table (parecida a la ARP
Cache) que le permite saber la correspondencia entre las
direcciones MAC e IP asignadas.
El DHCP snooping solo est disponible en conmutadores
modernos, normalmente de gama alta.
Redes 4-21
Rogelio Montaana
Uso de DHCP snooping

sw(config)# ip dhcp snooping
sw(config)# interface 1
sw(config-if)# switchport port-security maximum 1
Rango dinmico
10.0.0.100 10.0.0.199
Vale. Usa
10.0.0.100
Dame IP para
MAC A
Servidor
DHCP
Con dhcp snooping se comprueba que la
MAC de Ethernet y de DHCP coincidan
Con port-security maximum 1 no se
aceptar ms de una MAC en la interfaz 1
sw# sh ip dhcp snooping binding

MAC
IP
Lease(sec)
A
10.0.0.100
3600
Redes 4-22
Interface
1
Rogelio Montaana
Ataque Servidor DHCP furtivo (rogue)

Los mensajes DHCP Request que envan los clientes se mandan a la
direccin broadcast
Si en la LAN hay un servidor furtivo ste recibir tambin el DHCP
Request y si responde antes que el legtimo el host atender sus
mensajes
Cuando el DHCP furtivo est en la misma LAN que el cliente y el
legtimo est remoto el furtivo normalmente responde antes
El servidor furtivo puede controlar por completo al cliente ya que la
configuracin DHCP que le manda incluye:
La direccin IP del cliente
El router por defecto
El servidor DNS
Asignando un router y un DNS falsos se pueden llevar a cabo ataques

muy sofisticados
Redes 4-23
Rogelio Montaana
Ataque servidor DHCP furtivo

DHCP Reply (A)
Usa 20.0.0.5
DHCP Request (FF)

Dame IP para MAC A
2
3
Vale, soy 10.0.0.10

Gracias, ya estoy
configurado
Servidor DHCP legtimo

Asignacin Manual
MAC
IP
A
20.0.0.5
DHCP Reply (A)
Usa 10.0.0.10
Servidor DHCP furtivo

Asignacin Dinmica
Rango 10.0.0.10 10.0.0.250
Redes 4-24
Rogelio Montaana
Solucin al ataque servidor

DHCP furtivo
Para evitar este ataque hay que configurar los conmutadores
para que solo acepten los mensajes DHCP Reply cuando
vengan de puertos donde se sabe que hay servidores legtimos.
Esto es posible si los conmutadores soportan DHCP snooping
Los puertos por los que se espera recibir mensajes DHCP
Reply deben configurarse como puertos trust (de confianza)
en el conmutador
Normalmente la configuracin por defecto es no trust para
todos los puertos. Solo deberan configurarse como trust los
puertos por los que previsiblemente deban llegar mensajes
DHCP Reply
Redes 4-25
Rogelio Montaana
Ataque servidor DHCP furtivo

configuracin protegida
sw(config-if)# ip dhcp snooping trust
DHCP Reply (A)

Usa 20.0.0.5
DHCP Request (FF)

Dame IP para MAC A
2
3
Vale, soy 20.0.0.5

MAC
IP
Lease(sec)
Interface
A
20.0.0.5
3600
1
Redes 4-26
Servidor DHCP legtimo

Asignacin Manual
MAC
IP
A
20.0.0.5
DHCP Reply (A)
Usa 10.0.0.10
Servidor DHCP furtivo

Asignacin Dinmica
Rango 10.0.0.10 10.0.0.250
Rogelio Montaana
Ataques de spoofing
(suplantacin de identidad)
Consisten en utilizar una direccin falsa para acceder a
algn recurso hacindose pasar por otro host. Se
pueden hacer de diferentes maneras:
ARP spoofing: se falsea la informacin de la tabla ARP
cache mediante el envo de mensajes ARP falsos
IP spoofing: un equipo utiliza la direccin IP de otro. En
determinadas circunstancias este ataque puede hacerse a
mquinas de otra LAN
MAC spoofing: un equipo utiliza la direccin MAC de otro
Diversas combinaciones de los tres anteriores
Redes 4-27
Rogelio Montaana
Ataque de ARP spoofing,

o envenenamiento de ARP
Para averiguar una direccin IP un host enva un ARP Request en
broadcast preguntando por la direccin IP buscada
Todos los Hosts en la LAN reciben y procesan el ARP Request; el
dueo de la IP buscada responde con un ARP Reply
Pero el protocolo ARP no es seguro, cualquier host puede responder
a un ARP Request diciendo poseer cualquier direccin IP, sea o no
cierto. En condiciones normales los hosts se fan de los ARP que
reciben, nadie se encarga de verificar la veracidad de la informacin
Enviando mensajes ARP gratuitos (GARP; Gratuitous ARP) un host
se puede poner entre otro host y el router, pudiendo inspeccionar o
modificar todo el trfico intercambiado entre ambos.
Redes 4-28
Rogelio Montaana
ARP spoofing, ataque

ARP Reply (A)
10.1.1.1 es B
B
IP: 10.1.1.1
ARP Request (FF)

Busco a 10.1.1.1
1
IP: 10.1.1.2
Rtr.: 10.1.1.1
IP
MAC
10.1.1.2
A
10.1.1.2
C
2
3
GARP (B)
10.1.1.2 es C
IP
MAC
10.1.1.1
B
10.1.1.1
C
GARP (A)
10.1.1.1 es C
Todo el trfico entre A y B pasa a travs de C
Esto permite los ataques del hombre en medio
Redes 4-29
Rogelio Montaana
ARP spoofing, limpieza

B
IP: 10.1.1.1
A
1
IP: 10.1.1.2
Rtr.: 10.1.1.1
IP
MAC
10.1.1.2
A
10.1.1.2
C
IP
MAC
10.1.1.1
B
10.1.1.1
C
GARP (B)
10.1.1.2 es A
GARP (A)
10.1.1.1 es B
Despus del ataque el agresor

limpia todos los rastros
Redes 4-30
Rogelio Montaana
Solucin al ARP spoofing

Los conmutadores tienen que husmear los paquetes ARP
(parecido a lo que hacan con DHCP) para comprobar que la
informacin que lleva es correcta. En este caso no se llama
ARP Snooping sino ARP Inspection o ARP Security
ARP Inspection hace uso de la DHCP binding table, por lo que
requiere tener activado el DHCP Snooping
Cuando un ARP pasa por el conmutador ste comprueba que la
MAC e IP se correspondan con la binding table; si no el mensaje
se descarta.
Se pueden configurar puertos de confianza (trust) en los que no
se aplica el ARP Inspection. Por defecto todos los puertos son
no trust
Otra forma de evitar el ataque ARP es llenar a mano la ARP
cache con entradas estticas. Esto requiere mucha labor
administrativa por lo que no suele hacerse.
Redes 4-31
Rogelio Montaana
ARP spoofing, configuracin protegida

MAC
IP
Lease(sec)
Interface
A
10.1.1.2
3600
1
ARP Reply (A)

10.1.1.1 es B
B
IP: 10.1.1.1
ARP Request (FF)

Busco a 10.1.1.1
2
1
IP: 10.1.1.2
Rtr.: 10.1.1.1
IP
MAC
10.1.1.1
B
GARP (B)
10.1.1.2 es C
GARP (A)
10.1.1.1 es C

Sw(config)# ip arp inspection
Sw(config-if)# ip arp inspection trust
IP
MAC
10.1.1.2
A
Redes 4-32
El ataque falla porque el conmutador no

deja pasar los ARP falsos.
Los ARP del router no sern comprobados
Rogelio Montaana
IP spoofing
El host enva paquetes IP poniendo una direccin de origen falsa.
Generalmente esto lo hacen los atacantes para evitar ser perseguidos.
Muchos ataques de denegacin de servicio se basan en desbordar
recursos de servidores usando mltiples direcciones IP, todas falsas,
desde un mismo host.
Podemos distinguir dos tipos de spoofing:
IP Spoofing ciego: el host impostor y el suplantado estn en LANs
diferentes. En este caso el impostor no recibe las respuestas a los
paquetes de ataque. Suele utilizarse para ataques de denegacin de
servicio.
IP Spoofing con visibilidad: el impostor y el suplantado estn en la
misma LAN, de forma que el impostor puede fcilmente obtener
los paquetes de respuesta (con ARP spoofing, por ejemplo). Esto le
permite controlar la sesin y potencialmente le da acceso a
recursos reservados.
Redes 4-33
Rogelio Montaana
Solucin al spoofing ciego

filtro anti-spoofing, RFC 2267
No aceptar paquetes
entrantes con IP origen
147.156.0.0/16
No aceptar paquetes entrantes

con IP origen 147.156.0.0/16
E0
S0
Internet
Router con filtro

anti-spoofing
Red 147.156.0.0/16
El filtro anti-spoofing lo aplican habitualmente

los ISPs a las conexiones de sus clientes.
Consiste en no aceptar por una interfaz paquetes IP cuya
direccin de origen no corresponda con el rango esperado
Redes 4-34
Rogelio Montaana
Solucin al spoofing no ciego

Activando IP Source Guard el conmutador
analiza las direcciones IP de origen de los
paquetes que recibe por cada interfaz y las
compara con las que figuran en la binding
table. Requiere tener activado tambin el
DHCP-snooping
Si las direcciones no se ajustan a lo previsto
el paquete se descarta
Redes 4-35
Rogelio Montaana
Configuracin de switch seguro

A

sw(config)# ip arp inspection
sw(config-if)# switchport port-security maximum 1
sw(config-if)# ip verify source port-security
sw(config-if)# ip arp inspection trust
IP Source Guard
Redes 4-36
Rogelio Montaana
MAC Spoofing
Consiste en que un host ponga como origen en los paquetes
que enva la direccin MAC de otro
En una LAN conmutada el impostor MAC spoofing
actualizara las tablas CAM de los conmutadores, con lo que
desviara hacia s el trfico que fuera dirigido al legtimo
propietario de esa MAC
Generalmente va acompaado de IP spoofing ya que la
direccin de red es la que se utiliza para controlar la identidad
y el acceso a recursos. Si la red utiliza BOOTP/DHCP el IP
spoofing va implcito en el MAC spoofing
El MAC spoofing puede evitarse configurando estticamente
las tablas de direcciones MAC en los conmutadores, pero esto
es administrativamente muy laborioso
Redes 4-37
Rogelio Montaana
Sumario

de routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-38
Rogelio Montaana
Protocolos de routing en IP
Algoritmo del vector distancia (Bellman-Ford
RIP
IGRP y EIGRP
BGP (inter-AS)
Algoritmo de estado del enlace (Dijstra)

IS-IS
OSPF
Redes 4-39
Rogelio Montaana
RIP (Routing Information Protocol)

Sufre los problemas tpicos del vector distancia (cuenta a
infinito)
Solo til en redes pequeas (5-10 routers)
Mtrica basada en nmero de saltos nicamente. Mximo
15 saltos
La informacin se intercambia cada 30 segundos. Los
routers tienden a sincronizarse. La red puede bloquearse
mientras ocurre el intercambio.
RIPv1 no soporta subredes ni mscaras de tamao variable
(RIPv2 s)
Muchas implementaciones no permiten hacer balanceo de
trfico (usar mltiples rutas simultneamente)
Es bastante habitual en sistemas UNIX
Redes 4-40
Rogelio Montaana
IGRP (Interior Gateway Routing

Protocol) y EIGRP (Enhanced IGRP)
Protocolos propietarios de Cisco
Resuelven muchos de los problemas de RIP
Mtrica sofisticada (ancho de banda, retardo, carga de los enlaces,
fiabilidad)
Posibilidad de balanceo de trfico entre mltiples rutas
Incluyen soporte multiprotocolo

IGRP intercambia vectores cada 90 segundos
Mejoras de EIGRP sobre IGRP
Soporta subredes
Solo transmite modificaciones
Incorpora mecanismos sofisticados para evitar el problema de la
cuenta a infinito
Redes 4-41
Rogelio Montaana
OSPF (Open Shortest Path First)

Desarrollado por el IETF entre 1988-1990. Actualmente se
usa OSPF V. 3 definido en el RFC 5340
Basado en el algoritmo del estado del enlace
Dos niveles jerrquicos (reas):
Area 0 o backbone (obligatoria)
Areas adicionales (opcionales)
Resuelve los problemas de RIP:

Rutas de red, subred y host (mscaras de tamao variable)
Admite mtricas complejas (costo). En la prctica el costo se
calcula a partir del ancho de banda nicamente
Balanceo de trfico entre mltiples rutas cuando tienen el mismo
costo
Las rutas ptimas pueden no ser simtricas.

Redes 4-42
Rogelio Montaana
Clases de routers y rutas en OSPF

Clases de routers en OSPF:
Routers backbone: los que se encuentran en el rea 0
Routers internos: pertenecen nicamente a un rea
Routers frontera de rea: los que conectan dos o mas reas (una de
ellas necesariamente el backbone)
Routers frontera de AS: los que conectan con otros ASes. Pueden
estar en el backbone o en cualquier otra rea
Tipos de rutas en OSPF:
Intra-rea: las determina directamente el router
Inter-rea: se resuelven en tres fases:
Ruta hacia el router backbone en el rea
Ruta hacia el rea de destino en el backbone
Ruta hacia el router en el rea de destino
Inter-AS: se envan al router frontera de AS ms prximo
(empleando alguna de las dos anteriores).
Redes 4-43
Rogelio Montaana
Funcionamiento de OSPF
Router
Backbone
Area 0
(Backbone)
Router
Frontera de Area
C
E
D
Area 1
Area 2
F
G
Router Interno
Ruta intra-rea: D-G-H
Ruta inter-rea: F-C,C-A-D,D-G-H
Ruta inter-AS: A-D,D-G-H, H-...
Redes 4-44
A otros
ASes
Router Frontera
de Sistema Autnomo
Rogelio Montaana
Router designado en OSPF

Cuando hay varios routers en una misma red (normalmente una LAN) uno de
ellos acta como designado. En ese caso los dems le envan a l sus LSPs y
l los distribuye (va multicast) a todos los routers y es el nico que intercambia
los LSPs con el resto:
A
E
Router
Designado
A
E
B
E
Reparto de LSPs sin

router designado
(10 intercambios)
Reparto de LSPs con

router designado
(4 intercambios)
Redes 4-45
Rogelio Montaana
Mtrica (costo) de OSPF

En OSPF la mtrica se denomina costo. El RFC 2740 solo especifica
que el costo es un parmetro de 16 bits, no como se calcula
Algunos fabricantes usan nmero de saltos para calcular el costo de
una ruta
Otros asocian un costo a cada interfaz calculndolo con la frmula:
Costo = 108 / Ancho_de_banda (en b/s)
El costo de una ruta es la suma de los costos de las interfaces por las
que se sale (no por las que se entra) hacia el destino
Ancho de banda 108/Ancho de banda Costo
64 Kb/s
1562,5
1562
128 Kb/s
781,25
781
256 Kb/s
390,62
390
2048 Kb/s
48,8
48
10 Mb/s
10
10
100 Mb/s
1 Gb/s
0,1
Redes 4-46
El costo es:
max (int (108/BW), 1)
Rogelio Montaana
Clculo de ruta ptima en OSPF

Red 20.0.0.0/8
E0
10 Mb/s
S0
128 Kb/s
S0
128 Kb/s
S1
256 Kb/s
S1
256 Kb/s
S0
256 Kb/s
Costo desde A hacia 30.0.0.0/8 (B):

Por S0: 781 + 1 = 782
Por S1: 390 + 390 + 1 = 781
F0
100 Mb/s
Red 30.0.0.0/8
S1
256 Kb/s
Costo desde B hacia 20.0.0.0/8 (A):

Por S0: 781 + 10 = 791
Por S1: 390 + 390 + 10 = 790
Al ser menor el costo de S1 (tanto en A como en B) enviarn por ah todo el trfico.

Para que el trfico se reparta entre dos rutas los costos han de ser idnticos
En este caso la ruta por S0 solo se usar si falla la de S1 (en A y en B)
El costo de la ruta se calcula sumando el costo de las interfaces por las que se sale
Redes 4-47
Rogelio Montaana
Ejemplo de ruta asimtrica

En este caso hemos bajado a 128 Kb/s el ancho de
banda en S1 de A (el enlace A-C es asimtrico)
Red 20.0.0.0/8
E0
10 Mb/s
S0
128 Kb/s
S0
128 Kb/s
F0
100 Mb/s
Red 30.0.0.0/8
S1
256 Kb/s
S1
128 Kb/s
S0
256 Kb/s
Costo desde A hacia 30.0.0.0/8 (B):

Por S0: 781 + 1 = 782
Por S1: 781 + 390 + 1 = 1172
S1
256 Kb/s
Costo desde B hacia 20.0.0.0/8 (A):

Por S0: 781 + 10 = 791
Por S1: 390 + 390 + 10 = 790
Al ser ahora menor el costo de S0 se enviar por ah todo el trfico de A a B

Sin embargo la routa ptima de B hacia A sigue siendo a travs de S1
Redes 4-48
Rogelio Montaana
IS-IS
(Intermediate System- Intermediate System)
IS-IS es el protocolo de routing propio de los protocolos
OSI de ISO no orientados a conexin
En ellos el router se llama IS Intermediate System (el
host es un End System)
IS-IS es muy similar a OSPF, pero no es estndar Internet,
es estndar ISO (OSI). Sin embargo es ampliamente
utilizado en Internet
Antiguamente haba rivalidad entre los partidarios de
OSPF e IS-IS. Hoy en da se suele utilizar OSPF en redes
pequeas e IS-IS en las grandes (ISPs)
Actualmente la mayora de los fabricantes soportan ambos
protocolos
Redes 4-49
Rogelio Montaana
Protocolos de routing de Internet

Protocolo Algoritmo Subredes
Mtrica
Notifica
compleja Actualiz.
Niveles
jerrquicos
Estndar
RIPv1
Vector
Distancia
NO
NO
NO
NO
SI
(Internet)
RIPv2
Vector
Distancia
SI
NO
NO
NO
SI
(Internet)
IGRP
Vector
Distancia
NO
SI
NO
NO
NO
EIGRP
Vector
Distancia
SI
SI
SI
NO
NO
OSPF
Estado
Enlace
SI
SI
SI
SI
SI
(Internet)
IS-IS
Estado
Enlace
SI
SI
SI
SI
SI
(ISO)
Redes 4-50
Rogelio Montaana
Mecanismo de enrutado de paquetes
Los paquetes se enrutan de acuerdo con su

direccin de destino. La direccin de origen no
se toma en cuenta para nada.
Si al enrutar un paquete el router descubre que
existen varias rutas posibles para llegar a ese
destino aplica tres criterios de seleccin, por
orden:
1.
Usa la ruta de mscara ms larga. En caso de

empate
2. Usa la ruta de distancia administrativa menor. En
caso de empate
3. Usa la ruta de mtrica menor. En caso de empate las
usa todas (en algunas implementaciones usa solo la
primera)
Redes 4-51
Rogelio Montaana
Mscara ms larga
Supongamos que se han declarado las siguientes rutas estticas en

un router:
a) ip route 20.0.0.0 255.255.254.0
10.0.0.1
b) ip route 20.0.0.0 255.255.255.0
10.0.0.2
c) ip route 20.0.0.0 255.255.255.128 10.0.0.3
Al tener mscaras diferentes las tres rutas son diferentes y se

incorporan todas ellas en la tabla de rutas
Pregunta: Por donde se enviar un datagrama dirigido a 20.0.0.1?
Respuesta: como las tres rutas satisfacen el paquete se enruta por
10.0.0.3 pues la ruta c) es la que tiene una mscara ms larga
El orden como se introducen las rutas en la configuracin es
irrelevante. El router siempre las reordena poniendo primero las de
mscara ms larga (en el ejemplo anterior el orden sera c, b, a)
Redes 4-52
Rogelio Montaana
Distancia administrativa
Un router puede conocer dos rutas hacia un mismo destino
por diferentes mecanismos. Ejemplos:
Un router est ejecutando simultneamente RIP y OSPF y recibe
rutas hacia un mismo destino por ambos protocolos.
Un router ejecuta IS-IS y recibe un anuncio de una ruta para la que
tena configurada una ruta esttica.
Cada ruta tiene asociada una distancia administrativa que

depende del protocolo de routing o mecanismo por el que se
la ha conocido
La distancia administrativa establece una prioridad entre los
diferentes protocolos de routing. Siempre se da preferencia
a la ruta que tiene menor distancia administrativa
Las distancias administrativas reflejan la confianza relativa
que nos merece un protocolo de routing frente a otro. El de
ms confianza debe tener una distancia menor
Redes 4-53
Rogelio Montaana
Distancias administrativas por defecto en

routers cisco
Mecanismo como se conoce la
ruta
Distancia
administrativa
Red directamente conectada
Ruta esttica
Sumarizada de EIGRP
BGP externa
20
EIGRP
90
IGRP
100
OSPF
110
IS-IS
115
RIP
120
EGP
140
Routing bajo demanda
160
EIGRP externo
170
BGP interno
200
Desconocido
255
Las rutas con distancia

255 no se utilizan
Si se modifican los valores por defecto hay que hacerlo con cuidado y de
forma consistente en toda la red (de lo contrario se pueden producir bucles)
Redes 4-54
Rogelio Montaana
Uso de la distancia administrativa

La distancia administrativa por defecto de un protocolo de
routing o de una ruta esttica se puede cambiar. La de una red
directamente conectada no.
Por ejemplo si nos fiamos ms de las rutas anunciadas por IS-IS
que de las anunciadas por OSPF debemos darle a OSPF una
distancia superior a 115 o darle a IS-IS una inferior a 110
En las rutas estticas el cambio se puede hacer individualmente,
por ejemplo:
ip route 0.0.0.0 0.0.0.0 10.0.0.1 201
Aqu asignamos a la ruta por defecto una distancia administrativa
de 201 para que se utilice solo cuando no se conozca una ruta por
defecto por ningn otro mecanismo (todos los protocolos de
routing tienen por defecto distancias administrativas de 200 o
menos)
Redes 4-55
Rogelio Montaana
Mtrica menor
Cuando dos rutas estn empatadas en longitud de mscara y
distancia administrativa se elige la de mtrica ms baja.
Cuando dos rutas tienen exactamente la misma mtrica
normalmente se hace balanceo de trfico entre ambas rutas
(pero el balanceo puede hacerse de muchas formas, algunas
de ellas muy desequilibradas)
La(s) ruta(s) de mtrica mayor no aparecen en la tabla de
rutas, pero se tiene(n) en reserva por si falla la elegida
En principio cada protocolo de routing calcula las mtricas
de distinta forma, por lo que las mtricas de diferentes
protocolos en principio no son comparables. El uso de
distancias administrativas diferentes asegura que las mtricas
solo se comparen entre rutas obtenidas por un mismo
protocolo
Redes 4-56
Rogelio Montaana
Redes directamente conectadas

y rutas estticas
A 0.0.0.0/0 por 10.0.4.5 (d.a. 201)
10.0.4.5/30
S0
10.0.4.6/30
RS
10.0.3.1/30
F0
RS#CONFigure Terminal
RS(config)#INterface Fastethernet 0
RS(config-if)#Ip ADdress 10.0.3.1 255.255.255.0
RS(config)#INterface Serial 0
RS(config-if)#Ip ADdress 10.0.4.6 255.255.255.252
RS(config)#IP ROute 0.0.0.0 0.0.0.0 10.0.4.5 201
RS(config)#Exit
RS#Show IP ROute
Codes: C - connected, S - static, R - RIP, O OSPF,* - candidate default

Gateway of last resort is 10.0.4.5 to network 0.0.0.0
C
C
S*
RS#
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

10.0.3.0/24 is directly connected, FastEthernet0
10.0.4.4/30 is directly connected, Serial0
0.0.0.0/0 [201/0] via 10.0.4.5
Mtrica (en rutas estticas la mtrica siempre es cero)
Redes 4-57
Rogelio Montaana
Adicin de OSPF al router anterior

A 0.0.0.0/0 por 10.0.4.5 (d.a. 201)
10.0.4.5/30
S0
RS
10.0.3.1/30
F0
10.0.4.6/30
OSPF
RS#CONFigure Terminal
RS(config)#ROUTER OSPF 1
RS(config-if)#NETwork 0.0.0.0 255.255.255.255 area 0
RS(config)#Exit
RS#Show IP Route
Codes: C connected, S static, O OSPF, * - candidate default
Gateway of last resort is 10.0.4.5 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
O
10.0.2.0/24 [110/1563] via 10.0.4.5, 00:01:59, Serial0
C
10.0.3.0/24 is directly connected, FastEthernet0
O
10.0.0.0/24 [110/782] via 10.0.4.5, 00:01:59, Serial0
C
10.0.4.4/30 is directly connected, Serial0
O
10.0.1.0/24 [110/791] via 10.0.4.5, 00:01:59, Serial0
O
10.0.4.0/30 [110/1562] via 10.0.4.5, 00:01:59, Serial0
S* 0.0.0.0/0 [201/0] via 10.0.4.5
Mtrica
RS#
Rogelio Montaana
Redes 4-58
Mecanismo de enrutado: resumen

Seleccionar rutas ptimas en
base a la mtrica (aqu rutas
con diferente mscara se
consideran rutas diferentes)
Flujo de
paquetes
entrantes
Procesos
de routing
RIP
R1 L:24 Met:2
R2 L:24 Met:5
R3 L:16 Met:2
R4 L:16 Met:4
OSPF
R5 L:24 Met:234
R6 L:24 Met:357
R7 L:16 Met:135
R8 L:16 Met:234
R9 L:16 Met:135
RIP(d.a.120)
R1 L:24
R3 L:16
Instalar rutas;
elegir ganador en
base a distancia
administrativa
Utilizar la ruta
aplicable de
mscara ms
larga
Tabla de
rutas
OSPF(d.a.110)
R5 L:24
R7 L:16
R9 L:16
R5 L:24
R7 L:16
R9 L:16
Proceso de
enrutado
R. Estticas
Configuracin
manual
(d.a. 130)
R10 L:24 (d.a.130)

R11 L:16 (d.a.130)
L: longitud de mscara
Met: Mtrica
d.a.: Distancia administrativa
Redes 4-59
A la cola de la
interfaz de
salida
Rogelio Montaana
Sumario

Concepto de Sistema Autnomo y protocolos de
routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-60
Rogelio Montaana
Sistema Autnomo
Un Sistema Autnomo (AS) es un conjunto de routers IP que
tienen:
Un protocolo de routing comn (posiblemente tambin rutas
estticas)
Una gestin y poltica de enrutamiento comunes
Los AS son como los pases de Internet
Normalmente cada ISP (Internet Service Provider) tiene un
sistema autnomo (a veces varios cuando un ISP ha absorbido a
otro, por ejemplo). Tambin las grandes organizaciones,
especialmente si estn conectadas a ms de un ISP
Dentro de un AS se utilizan protocolos de routing intra-AS o
interiores
Entre ASes se utilizan protocolos de routing inter-AS o exteriores
Redes 4-61
Rogelio Montaana
Identificacin de los ASes

Cada AS se identifica por un nmero entero de 16 bits
Hay tres tipos de ASes:
Pblicos: del 1 al 49151
Privados: del 64512 al 65534. Nunca intercambian informacin
con los ASes pblicos
Reservados: el 0, del 49152 al 64511 y el 65535
Los ASes pblicos los asignan los RIR, que a su vez

reciben asignaciones de la IANA (Internet Assigned
Numbers Authority)
El RFC 4893 (5/2007) introdujo nmeros de AS de 32 bits,
que se representan en dos grupos de 16 separados por un
punto, por ejemplo 12345.54321. Con el nuevo sistema los
ASes antiguos se representan poniendo a 0 los primeros 16
bits (por ejemplo 0.766 para el AS 766)
Redes 4-62
Rogelio Montaana
Tipos de ASes
AS de trnsito: el que mantienen conexiones con dos o
ms ASes y permite trfico de trnsito de otros ASes. Este
es el que tienen normalmente los ISPs
AS multihomed: el que mantiene conexiones con dos o
ms ASes, pero no permite trfico de trnsito. Es el que
tienen normalmente las grandes organizaciones que se
conectan a ms de un ISP
AS stub (colilla): el que solo se conecta a otro AS. Se
utiliza cuando en un conjunto de routers se quiere definir
una poltica de difusin de rutas (peering) especial, por
ejemplo para montar una red privada.
Redes 4-63
Rogelio Montaana
Routing entre sistemas autnomos

Los Sistemas Autnomos son como los pases de Internet. A menudo el
enrutamiento entre ellos requiere incluir restricciones de tipo poltico, lo
cual no es posible con los protocolos de routing normales. Supongamos
una red de sistemas autnomos con mtrica nmero de saltos:
AS1
AS4
AS2
AS3
AS5
AS6
AS1 y AS3 pueden intercambiar trfico con AS2, pero AS2 no les deja
comunicarse a travs de l, para lo cual deben usar la ruta AS4-AS5-AS6.
Esto no es posible con IS-IS u OSPF
Redes 4-64
Rogelio Montaana
Protocolos de routing entre Sistemas

Autnomos
La necesidad de fijar reglas polticas obliga a
crear nuevos protocolos de routing
Hasta 1990 se usaba EGP (Exterior Gateway
Protocol).
En 1989 se desarroll BGP. En 1995 se aprob la
versin 4 (BGP-4) que incluye soporte de CIDR y
sumarizacin de rutas
BGP-4 es usado actualmente por prcticamente
todos los ISPs para el intercambio de rutas entre
ASes
Redes 4-65
Rogelio Montaana
BGP (Border Gateway Protocol)

Algoritmo de vector distancia modificado: adems
de la interfaz y el costo se incluye el itinerario
completo de cada ruta
El router descubre y descarta las rutas que pasan
por l mismo. As se evita el problema de la cuenta
a infinito.
La mtrica suele ser nmero de saltos.
Permite introducir restricciones o reglas
polticas. Una ruta que viola estas reglas recibe
una distancia infinito.
Redes 4-66
Rogelio Montaana
Red con BGP
ISP U
AS 2
AS 1
A
AS 3
j
Tr
AS 5
ISP W
ISP X
AS 6
AS 4
k
AS 7
G
ISP V
Ruta ptima de C a H.
Informacin recibida por
C de sus vecinos:
Int. Dist.
ISP Y
AS 8
Tr
ISP Z
AS 9
Ruta ptima
Ruta
BAEH
CGIH
GIH
CGIH
Rutas descartadas
EL AS 6 intercambia trfico con AS 3 y AS 8, pero no acepta
trfico de trnsito. Para ello F oculta su conexin con C cuando
se anuncia a H y su conexin con H cuando se anuncia a C
Redes 4-67
Rogelio Montaana
Topologa de la red acadmica europea en 1996 (TEN-34)
Los rectngulos grises representan routers del backbone de la red europea.

Los rectngulos blancos representan los routers principales de conexin de las redes de los pases
Redes 4-68
Rogelio Montaana
Sistemas autnomos de la red anterior
(UV)
65432
AS de una Red
Acadmica Nacional
Redes 4-69
Rogelio Montaana
Organizacin sin AS propio conectada a dos ISPs

En caso de fallo de un proveedor
los ordenadores que salen por l
quedan sin servicio
Los ordenadores de la organizacin

X se han de configurar con una IP de
Y o de Z
A 0.0.0.0/0 por Y
A 0.0.0.0/0 por Z
A 20.0.0.0/24 por
Organizacin X
AS 147
A 30.0.0.0/24 por
AS 504
Internet
Proveedor Y
Proveedor Z
Redes 4-70
Rogelio Montaana
Organizacin con AS propio conectada a dos ISPs

(AS multihomed)
Con un AS propio la
organizacin X puede elegir
la ruta ptima en cada
momento para cada destino
En caso de fallo de un
proveedor el trfico se
reencamina de forma
automtica
AS 812
A
Las direcciones son de X,

no pertenencen a Y ni a Z
Organizacin X
AS 147
AS 504
Internet
Proveedor Y
Proveedor Z
Redes 4-71
Rogelio Montaana
Sumario

de routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-72
Rogelio Montaana
Modelo jerrquico de Internet

Proveedor
ISP de
trnsito
ISP de
trnsito
ISP de
trnsito
Cliente
ISP
nacional
ISP
nacional
ISP
regional
ISP
local
ISP
regional
ISP
local
ISP
nacional
ISP
nacional
ISP
regional
ISP
local
ISP
regional
ISP
local
Redes 4-73
ISP
local
ISP
regional
ISP
local
Rogelio Montaana
Interconexiones y relaciones en Internet

ISP
ISP
Exchange
Red IP cliente
Exchange
ISP
Exchange
ISP
ISP
Red IP cliente
Red IP cliente
ISP
Exchange
Red IP cliente
Red IP cliente
Proveedor
Servicio
minorista
Clientes dialup
Cliente
Redes 4-74
Proveedor
Servicio al
por mayor
Cliente
Peer
Acuedo de
Peering
Peer
Rogelio Montaana
Puntos de interconexin
Los puntos de interconexin, tambin llamados puntos
neutros de interconexin, IX IXP (Internet Exchange
Point) CIX (Commercial Internet Exchange) facilitan el
intercambio de trfico entre ISPs
Los puntos de interconexin simplifican la infraestructura
necesaria para que los ISP tengan conectividad entre ellos
El hecho de que dos ISPs estn conectados a un mismo
IXP no conlleva automticamente el intercambio de
trfico. Para ello es necesario que adems establezcan un
acuerdo de peering
Redes 4-75
Rogelio Montaana
Acuerdo de peering
Un acuerdo de peering (acuerdo entre pares) es el que realizan
dos ISPs cuando acuerdan intercambiar trfico sin cobrarse por
el servicio que mutuamente se prestan
El trmino suele aplicarse a cualquier acuerdo de intercambio de
trfico entre ISPs, incluso cuando hay pago por el servicio. Esto
ocurre normalmente cuando los dos ISPs son de tamao muy
diferente (el pequeo paga al grande)
Para que el intercambio de trfico sea posible es preciso que las
redes estn interconectadas, bien directamente o mediante un
punto de interconexin
Tcnicamente el acuerdo de peering se realiza permitiendo a dos
routers intercambiar informacin de sus respectivos procesos
BGP. Cada ISP se identifica por su nmero de AS
El objetivo final es conseguir la accesibilidad global, es decir que
cualquier red sea accesible, independientemente de su ubicacin
geogrfica o del ISP que le de servicio
Redes 4-76
Rogelio Montaana
Principales puntos de interconexin de Internet

Nombre
Ubicacin
Creacin
Miembros(ISPs)
Trfico (Gb/s)
URL
AMS-IX
Amsterdam
1997
341
520
www.ams-ix.net
DE-CIX
Frankfurt
1995
330
460
www.de-cix.net
LINX
Londres
1994
342
303
www.linx.net
Equinix
Varias
1998
386
291
www.equinix.com
JPNAP
Tokyo
2001
44
170
www.jpnap.net
Netnod
Estocolmo
1997
50
97
www.netnod.se
MSK-IX
Mosc
1995
254
100
www.msk-ix.ru
JPIX
Tokyo
1997
113
88
www.jpid.ad.jp
BIX
Budapest
1996
46
63
www.bix.hu
ESPANIX
Madrid
1997
45
74
www.espanix.net
NIX.CZ
Praga
1996
91
54
www.nix.cz
HKIX
Hong Kong
1995
100
60
www.hkix.net
Any2
EEUU
2005
165
??
www.coresite.com
PaNAP
Paris
2005
141
N/A
www.panap.fr
NYIIX
Nueva York
1996
102
52
www.nyiix.net
PLIX
Varsovia
2006
113
42
www.plix.pl
UA-IX
Kiev
2000
94
34
www.ix.net.ua
KINX
Seul
2000
53
35
www.kinx.net
MIX
Milan
2000
76
26
www.mix-it.net
Redes 4-77
Rogelio Montaana
Redes 4-78
Rogelio Montaana
Esquema de GALNIX
(punto neutro de interconexin de Galicia)
Redes 4-79
Rogelio Montaana
Sumario

de routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-80
Rogelio Montaana
MTU (Maximum Transfer Unit)

Cada tecnologa del nivel de enlace tiene un tamao mximo de trama
que puede transmitir, que se conoce como la MTU de dicha red:
Nivel de enlace
MTU (bytes)
PPP normal
1500
PPP bajo retardo
296
Frame Relay
1600 (valor por defecto)
Ethernet (DIX)
1500
Ethernet con jumbo frames
Alrededor de 9000
WiFi (802.11)
2272
Token Ring 4 Mb/s
4440 (valor por defecto)
FDDI
4500
En un router, host, conmutador, etc. cada interfaz tienen un valor de

MTU caracterstico que depende del tipo de interfaz
Redes 4-81
Rogelio Montaana
Pros y contras de una MTU grande

Ventajas:
Mejora la eficiencia y reduce el overhead, pues se consume menos
ancho de banda en el envo de cabeceras
Reduce la carga de CPU en hosts, routers y conmutadores al
procesar menos paquetes por segundo para un caudal dado
Inconvenientes:
Requiere ms memoria (buffers mayores)
En caso de que se pierdan paquetes por errores o problemas de
congestin la prdida es mayor
En lneas de baja velocidad el envo de un paquete grande puede
bloquear la interfaz de salida durante demasiado tiempo, pudiendo
causar problemas para el envo de paquetes urgentes
Redes 4-82
Rogelio Montaana
Fragmentacin en IP
Siempre que se enva un datagrama IP en una red viaja
envuelto en una trama del nivel de enlace. Si el
datagrama es demasiado grande se ha de partir en otros
mas pequeos para que quepan en la MTU disponible
La fragmentacin puede ser de dos tipos:
Fragmentacin en origen: la hacen los hosts cuando
han preparado un paquete IP mayor que la MTU de la
interfaz por la que se ha de enviar
Fragmentacin en ruta: la hacen los routers cuando
les llega por una interfaz un paquete ms grande que la
MTU de la interfaz por la que tiene que salir
Redes 4-83
Rogelio Montaana
Fragmentacin en origen (host)

Ethernet DIX
MTU 1500
Cab.
UDP
Datos
Datagrama IP Cab. Cab.

(8192 bytes)
IP
UDP
Datos
Datagrama UDP
(8172 bytes)
Cab
.IP
Cab
.UD
P
Dato
s F1
Fragmento 1
(1500 bytes)
Cab
.IP
Dato
s F2
Fragmento 2
(1500 bytes)
Cab
.IP
Dato
s F3
Cab
.IP
Dato
s F4
Fragmento 3 Fragmento 4
(1500 bytes) (1500 bytes)
Redes 4-84
Cab
.IP
Dato
s F5
Cab
.IP
Dato
s F6
Fragmento 5 Fragmento 6
(1500 bytes) (792 bytes)
Rogelio Montaana
Fragmentacin en ruta (router)

Ethernet DIX
A
Token
Ring
MTU 1500
MTU 4440
Cab.
TCP
Datos
Datagrama IP Cab. Cab.

(4440 bytes)
IP
TCP
Datos
Segmento TCP
(4420 bytes)
Cab
.
IP
Cab
.
TCP
Datos
F1
Fragmento 1
(1500 bytes)
Cab
.
IP
Datos
F2
Fragmento 2
(1500 bytes)
Redes 4-85
Cab
.
IP
Datos
F3
Fragmento 3
(1480 bytes)
Rogelio Montaana
Fragmentacin mltiple en ruta

Ethernet DIX
A
Token
Ring
IP
IP
TCP
Datos F1
MTU 296
(PPP bajo
retardo)
MTU 1500
MTU 4440
Datagrama IP
(4440 bytes)
Modem
56 Kb/s
Datos
IP
Datos F2
IP
Datos F3
140 bytes
IP
F1.
1
292 bytes
IP
F1.
2
292 bytes
Aunque no representado en la
figura el fragmento F2 tambin
se divide en seis fragmentos
IP
F1.
3
292 bytes
IP
F3.
1
292 bytes
IP
F1.
4
292 bytes
F1.
5
292 bytes
IP
IP
F3.
2
292 bytes
Redes 4-86
IP
F3.
3
292 bytes
IP
F1.
6
IP
F3.
4
292 bytes
IP
F3.
IP F3.
5
6
292 bytes 120 bytes
Rogelio Montaana
Campos de fragmentacin en la cabecera IP

32 bits
Lnea
2
Identificacin
Res. DF MF
Desplazam. de Fragmento
Los fragmentos reciben la misma cabecera que el datagrama original

salvo por los campos Longitud Total, MF y Desplazamiento del
Fragmento.
Todos los fragmentos de un datagrama se identifican por el campo
Identificacin.
Todos los fragmentos, menos el ltimo, tienen a 1 el bit MF (More
Fragments).
La unidad bsica de fragmentacin son 8 bytes de datos (sin contar la
cabecera IP). Los datos se reparten en tantos fragmentos como haga
falta, todos mltiplos de 8 bytes, salvo quizs el ltimo
Toda red debe aceptar un MTU de al menos 68 bytes. El mnimo
recomendado en IPv4 es de 576 bytes.
Redes 4-87
Rogelio Montaana
Fragmentacin mltiple
Token
Ring
E-net
DIX
PPP
Bajo
Retardo
4420 bytes
Id.
Long
DF
MF
Desplaz.
Datos
Datagrama
Original
XXX
4440
ABCDEF GHIJKL MNOPQR
Fragmento 1
XXX
1500
ABCDEF
1480 bytes
Fragmento 2
XXX
1500
185
GHIJKL
1480 bytes
Fragmento 3
XXX
1480
370
MNOPQR
1460 bytes
Fragm. 3.1
XXX
292
370
272 bytes
Fragm. 3.2
XXX
292
404
272 bytes
Fragm. 3.3
XXX
292
438
272 bytes
Fragm. 3.4
XXX
292
472
272 bytes
Fragm. 3.5
XXX
292
506
272 bytes
Fragm. 3.6
XXX
120
540
100 bytes
El campo Desplaz. cuenta los bytes en grupos de 8 (1480 / 8 = 185)

Redes 4-88
Rogelio Montaana
Bit DF (Dont Fragment)

Indica que el datagrama no se debe fragmentar
Se usa:
Cuando se sabe o se sospecha que el host de destino no
est capacitado para reensamblar fragmentos (p. ej.:
estaciones diskless).
Cuando se quiere evitar la fragmentacin en ruta
mediante la tcnica denominada descubrimiento de la
MTU del trayecto o Path MTU discovery (RFC 1191)
El bit DF se pone cuando en el ping de windows

se utiliza la opcin -f
Redes 4-89
Rogelio Montaana
Funcionamiento del Path MTU Discovery

1: A enva a B un paquete
de 4020 bytes con DF=1.
Ethernet DIX
B
A
1060 DF 1500 DF 4020
1500DF
DF
Token
Ring
3: A fragmenta la informacin
y a partir de ahora no mandar
a B paquetes de ms de 1500
bytes. Sigue usando el bit DF.
X
Max 1500
2: X descarta el paquete y responde a

A con un mensaje ICMP destino
inaccesible. En el mensaje le indica
que si hubiera sido de 1500 bytes
habra pasado.
Paquete normal
ICMP Destination Unreachable
Redes 4-90
Rogelio Montaana
Uso de Path MTU Discovery (PMTUD)

Normalmente una vez descubierta la MTU del trayecto el emisor
mantiene puesto el bit DF; as si la MTU se reduce por un
cambio en la ruta el emisor se da cuenta porque el paquete es
rechazado
Tambin puede ocurrir que el cambio de ruta d lugar a una
MTU mayor. Por eso muchas implementaciones envan
peridicamente un paquete sonda de mayor tamao. En Linux
esto se hace por defecto cada 10 minutos.
Muchos cortafuegos bloquean el paso de mensajes ICMP de
cualquier tipo. En estos casos el PMTUD no funciona y se
produce lo que se conoce como un agujero negro. El emisor de
los paquetes de prueba ha de imaginar lo que est ocurriendo y
probar a bajar el tamao de los paquetes.
Redes 4-91
Rogelio Montaana
Preguntas sobre fragmentacin (I)

P: Cuando se emite un datagrama IP, se ha de asignar
siempre un valor al campo Identificacin, o solo cuando el
datagrama se vaya a fragmentar?
R: A priori el host emisor no sabe si el datagrama se va a
tener que fragmentar ms adelante (salvo que est utilizando
el bit DF o que la IP de destino est en la misma red). Ante la
duda siempre ha de poner un valor en el campo
identificacin. Dicho valor ha de ser nico para ese
datagrama durante toda su vida previsible.
Redes 4-92
Rogelio Montaana
Preguntas sobre fragmentacin (II)

P: Qu campos deben coincidir en todos los
fragmentos que un host recibe de otro?
R:
Identificacin
Direcciones IP de origen y destino
Protocolo (TCP, UDP, ICMP, etc.)
Redes 4-93
Rogelio Montaana
Preguntas sobre fragmentacin (III)

P: En caso de fragmentacin las opciones de la
cabecera IP (record route, timestamp, strict source
route y loose source route), han de copiarse en
todos los fragmentos o solo en el primero?
R: Las opciones que implican anotar la ruta utilizada
(record route y timestamp) solo se copian en el
primer fragmento. Las opciones que implican un
efecto sobre la ruta seguida (strict source route y
loose source route) se copian en todos los
fragmentos
Redes 4-94
Rogelio Montaana
Preguntas sobre fragmentacin (IV)

P: Si un fragmento se pierde el host receptor no podr
reensamblar el datagrama original; cuanto tiempo
esperar el host antes de considerar que se ha perdido
y descartar los dems fragmentos?
R: El nivel de red en el host receptor va decrementando
el TTL de cada fragmento a razn de 1 por segundo.
Cuando uno de los TTL vale 0 se descartan todos los
fragmentos del mismo datagrama
Los fragmentos no se reenvan. Si al reensamblar falta
algn fragmento se descarta el datagrama completo
Redes 4-95
Rogelio Montaana
Preguntas sobre fragmentacin (V)

P: De que manera limita el TTL utilizado el nmero
mximo de paquetes por segundo que puede enviar un host
a un destino determinado cuando hay fragmentacin?
R: El TTL establece la vida mxima (en segundos) de los
fragmentos. En ese tiempo no puede aparecer un nuevo
datagrama con la misma identificacin.
El campo identificacin tiene 16 bits, por lo que el nmero
mximo de identificadores que puede haber es de 216 = 65535.
El caudal mximo ser pues de 65535/TTL. Con TTL=64
tenemos 1024 pps como mximo, con TTL = 128 ser 512 pps
y con TTL = 255 ser no ms de 256 pps. Esta limitacin se
aplica para cada pareja de IP origen-destino y para cada
posible valor del campo protocolo (TCP, UDP etc.)
Redes 4-96
Rogelio Montaana
Preguntas sobre fragmentacin (VI)

Un datagrama de 4020 bytes de carga til pasa de una red
Token Ring con MTU 4400 a una Ethernet DIX (MTU 1500)
y despus a un enlace PPP con bajo retardo (MTU 296). Si
ese mismo datagrama pasara directamente de la red Token
Ring al enlace PPP (sin pasar por la Ethernet) habra alguna
diferencia en los fragmentos resultantes?
Caso TR-> Eth->PPP, 16 fragmentos:
5 fr. de 292 + 1 de 140 + 5 de 292 + 1 de 140
+ 3 de 292 + 1 de 264
Caso TR-> PPP, 15 fragmentos:
14 fragmentos de 292 bytes + 1 de 232
Redes 4-97
Rogelio Montaana
Sumario

de routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Redes 4-98
Rogelio Montaana
Protocolo IPv6
Desarrollado fundamentalmente para
resolver el problema de escasez de
direcciones de IPv4
De paso incorpor mejoras en seguridad,
eficiencia, calidad de servicio, multicast,
etc.
Especificado en RFC 1883 (12/1995).
Modificado (campo DS) en RFC 2460
(12/1998)
Redes 4-99
Rogelio Montaana
Objetivos de IPv6
Direcciones: Pasa a direcciones de 128 bits.
Eficiencia: Simplifica cabeceras. Omite checksum.
Seguridad: Posibilidad de incorporar mecanismos de
privacidad y validacin mediante criptografa
Calidad de Servicio: Previsto soporte de trfico en tiempo
real o urgente
Multicast: Mejora el soporte de este tipo de trfico
Sencillez: posibilidad de autoconfiguracin de equipos (sin
necesidad de un servidor central)
Movilidad: Permite movilidad manteniendo la direccin IP
Evolucin: Contempla un mecanismo para aadir futuras
opciones.
Compatibilidad: puede coexistir con IPv4
Redes 4-100
Rogelio Montaana
Versin
DS
Longitud de carga til
Etiqueta de flujo
Sig. Cabecera
Lmite saltos
Direccin de origen
(16 bytes)
40 bytes
Direccin de destino
(16 bytes)
Cabecera IPv6
20 bytes
Cabecera IPv4
Redes 4-101
Rogelio Montaana
Direcciones IPv6
Inicialmente se plantearon tres propuestas para la longitud
de las direcciones: 8, 16 y 20 bytes
8 bytes era suficiente para resolver el problema de
direcciones, pero no habra permitido la autoconfiguracin
a partir de direccin MAC
20 bytes: era el formato utilizado en CLNP (protocolo OSI
anlogo a IP). Fcil de implementar (ya haba cosas
hechas) pero impopular por ser OSI (la competencia)
16 bytes: fue la solucin aceptada. En teora capaz de
ofrecer 2128 = 3,4 x 1038 direcciones. En la prctica son 264
= 1,8 x 1019
Redes 4-102
Rogelio Montaana
Direcciones IPv6
Todas las direcciones son classless

Las direcciones se escriben con dgitos hexadecimales agrupados de cuatro
en cuatro (las letras en minsculas):
8000:0000:0000:0123:0067:0000:89ab:cdef
Dentro de cada grupo los ceros no significativos (a la izquierda) pueden
omitirse:
8000:0000:0000:123:67:0000:89ab:cdef
Si uno o ms grupos contiguos son todo ceros se pueden abreviar con dobles
dos puntos. Esto solo puede hacerse una vez:
8000::123:67:0000:89ab:cdef
No hay una direccin broadcast, en su lugar hay una direccin a todos los
nodos:
ff02:0:0:0:0:0:0:1
Las direcciones IPv4 se expresan utilizando un rango reservado y con una
notacin mixta, hexadecimal-decimal. Ej., la direccin 147.156.135.22
sera:
::ffff:147.156.135.22
Redes 4-103
Rogelio Montaana
Clasificacin de direcciones IPv6

Prefijo
Valores
Uso
::/128
::
La direccin todo ceros significa ausencia de direccin
::1/128
::1
Direccin loopback (corresponde a 127.0.0.1 de IPv4)
::ffff:0:0/96
::ffff:%%%%:%%%%
Direccin IPv4 mapeada (para traducciones IPv4-IPv6)
2000::/3
2%%%:*
3%%%:*
Direcciones unicast globales
2001:db8::/32
2001:db8:*
Rango utilizado para documentacin (ejemplos de

configuracin, etc.)
2002::/16
2002:*
Direcciones 6to4 (para comunicar nodos IPv6 a travs

de nodos IPv4)
fc00::/7
fc%%:*
fd%%:*
Direcciones locales nicas segn RFC 4193 (similar a

las direcciones privadas de IPv4)
fe80::/10
fe8%:*
fe9%:*
fea%:*
feb%:*
Direcciones locales al enlace. (Equivalente al rango

169.254.0.0/16 de IPv4)
ff00::/8
ff%%:*
Direcciones multicast
% representa cualquier dgito hexadecimal

* representa cualquier grupo (o grupos) de cuatro dgitos hexadecimales
Redes 4-104
Rogelio Montaana
Direcciones unicast en IPv6 (2000::/3)

Formato estndar
3
13
24
16
64
FP
TLA
Res
NLA
SLA
Interface ID
Toploga de
organizacin
Interfaz
Toploga pblica
Parte red
Parte host
Formato RIPE
3
13
FP
TLA
13
Sub TLA Res
13
16
64
NLA
SLA
Interface ID
Toploga de
organizacin
Interfaz
Toploga pblica
Parte red
RIPE
16 bits
(2001)
RedIRIS
19 bits
(0720)
Parte host
UV
13 bits
(1014)
Interno
16 bits
Redes 4-105
FP: Format Prefix (siempre 001)

TLA: Top Level Agregator
NLA: Next Level Agregator
SLA: Site level Agregator
Rogelio Montaana
Autoconfiguracin stateless en
IPv6
Desde el punto de vista de un host las direcciones IPv6
siempre tienen la parte red de 8 bytes y la parte host de 8
bytes
En la autoconfiguracin el host construye su propia
direccin a partir de:
La parte red (8 bytes) que le indica el router
La parte host (8 bytes) que construye l a partir de su direccin
MAC (expandida a 8 bytes).
Si el host no tiene MAC se inventa un identificador al azar

(con suerte no coincidir con ningn otro de la red).
Tambin es posible asignar direcciones por DHCPv6 o
manualmente (til para servidores)
Redes 4-106
Rogelio Montaana
Conversin de direcciones MAC de 6 a 8

bytes (EUI-48 a EUI-64)
3
OUI
Formato EUI-64 (IEEE):
Equipo
Conversin EUI-48 EUI-64 para IPv6:

xxxxxx00
xxxxxx10
cd
cd
ef
ef
0xFF
gh
ij
0xFE
gh
kl
ij
kl
Bit I/G (Individual/Grupo) 0/1

Bit G/L (Global/Local) 0/1. (Este bit se cambia al hacer la conversin)
Redes 4-107
Rogelio Montaana
Autoconfiguracin en IPv6
(RFC 4862, 9/2007)
Router IPv6
2: Respuesta (unicast):
El prefijo es
2001:720:1014:2
1: Me podis decir el
prefijo de esta red?
(mensaje ICMPv6
Router discovery,
enviado multicast a
todos los routers IPv6)
Prefijo red: 2001:0720:1014:0002

2
Host IPv6
MAC: 0008:0267:5cca
EUI-64: 0208:02ff:fe67:5cca
IPv6: ??
3: Entonces mi direccin IPv6 debe ser

2001:720:1014:2:208:2ff:fe67:5cca
Redes 4-108
Rogelio Montaana
Autoconfiguracin stateless en IPv6

En IPv4 el uso de DHCP automtico es lo mas prximo a
autoconfiguracin.
Pero el DHCP tena dos inconvenientes:
Si se perda la comunicacin con el servidor el servicio
no estaba disponible
Si el servidor se reiniciaba se perda todo rastro de la
asignacin de direcciones, haba que liberar todas las
direcciones asignadas y pedirlas nuevamente. La
configuracin tena estado
Con la Stateless address autoconfiguration (SLAAC) de
IPv6 se evitan estos dos inconvenientes.
Redes 4-109
Rogelio Montaana
Fragmentacin en IPv6
La fragmentacin se hace utilizando los mismos campos que
en IPv4, pero la fragmentacin en ruta est prohibida.
Cuando hay fragmentacin los datos correspondientes
(Identificacin, fragment offset, etc) se colocan en una
cabecera de opciones adicional
En cualquier caso, la fragmentacin intenta evitarse de dos
maneras:
Mediante la tcnica de descubrimiento de la MTU del
trayecto, que se considera altamente recomendable.
Requiriendo que todos los nodos soporten una MTU
mnima de 1280 bytes. Esto reduce la necesidad de
fragmentacin
Redes 4-110
Rogelio Montaana
Opciones en IPv6
En IPv4 las opciones formaban parte de la cabecera. Esto
causaba problemas de rendimiento porque cuando el paquete
tena opciones el router tena que procesar una cabecera ms
compleja
En IPv6 las opciones se han sacado de la cabecera y forman
ahora cabeceras adicionales que se insertan entre la cabecera
IPv6 y la de transporte. Esto se indica mediante el campo
siguiente cabecera. Se pueden insertar varias cabeceras
opcionales encadenndolas
Ejemplos de cabeceras opcionales:
Cabecera de fragmentacin
Cabecera de routing (record route)
Cabecera de routing desde el origen (source routing)
Redes 4-111
Rogelio Montaana
Opciones en IPv6
Se expresan como cabeceras adicionales encadenadas:
Cabecera
procesada por
todos los routers
Cabecera IPv6
Siguiente Cab. =
TCP
Cabecera TCP
+ Datos
Cabecera
procesada en el
host de destino
Cabecera IPv6
Siguiente Cab. =
Routing
Cabecera IPv6
Siguiente Cab. =
Routing
Cabecera Routing
Siguiente Cab. =
TCP
Cabecera TCP
+ Datos
Cabecera Routing
Siguiente Cab. =
Fragment.
Cabecera Fragment.
Siguiente Cab. =
TCP
Redes 4-112
Cab. TCP +
Fragmento de Datos
Rogelio Montaana
Mejoras introducidas en IPv4

(o por qu ha tardado tanto en extenderse IPv6)
Direcciones: NAT (Network Address Translation)

Reduccin tablas de routing: CIDR (RFC 1817, 8/1995)
Seguridad: IPSEC (RFC 2410, 11/1998).
Calidad de Servicio: Intserv (RFC 1633, 6/1994) y
Diffserv (RFC 2475, 12/1998)
Multicast: mbito administrativo: RFC2365 (7/1998)
Movilidad: IP mvil
Autoconfiguracin: DHCP
Redes 4-113
Rogelio Montaana
Situacin actual de IPv6

En la segunda mitad de los 90 pareca inminente el cambio
a IPv6.
Sin embargo las expectativas de evolucin no se han
cumplido. La principal razn ha sido la aparicin del NAT.
Por otro lado la mayora de las mejoras de IPv6 se han
incorporado tambin en IPv4
Fabricantes e ISPs han mostrado hasta ahora poco inters
por IPv6, pero por fin despega. Ej.: Linux 2.6.12 (2005)
y Windows Vista (2007) incorporan IPv6 de forma
estndar
Esto se ha debido en buena medida a la presin de los
pases de la zona del Pacfico: Japn, China y Corea del
Sur
Redes 4-114
Rogelio Montaana
El IANA asign su ltimo bloque de direcciones IPv4

el 31 de enero de 2011
Redes 4-115
Rogelio Montaana
Posibles estrategias de migracin de

IPv4 a IPv6
Pila dual (Dual stack): cada nodo (host o router)
soporta IPv4 e IPv6 simultneamente, como si fueran
protocolos independientes. Es la ms utilizada
actualmente.
Tneles: las redes que soportan IPv6 se comunican a
travs de zonas que no lo soportan encapsulando el trfico
en datagramas IPv4
Traduccin: Algunos nodos de la red (que son Dual
Stack) se encargan de actuar como pasarelas o proxies
convirtiendo los paquetes de un protocolo en el otro.
Generalmente estos dispositivos han de actuar a nivel de
aplicacin ya que cuando lo hacen a nivel de red o
transporte son poco fiables
Redes 4-116
Rogelio Montaana
Ejercicio
P: En IPv6 se modifica de forma sustancial la
cabecera del datagrama debido al aumento de
longitud de las direcciones (de 32 a 128 bits).
Como afecta esto a los puentes?
R: De ninguna forma. Los puentes solo manejan

direcciones MAC (que no cambian en IPv6). Desde
el punto de vista de los puentes la cabecera IP
forma parte de los datos.
Redes 4-117
Rogelio Montaana
Sumario

de routing inter-AS
interconexin
Fragmentacin
Protocolo IPv6
Historia y organizacin administrativa de
Internet
Redes 4-118
Rogelio Montaana
Antecedentes de Internet: ARPANET

El lanzamiento del Sputnik por la URSS en 1957 provoc la creacin
de la agencia ARPA, dependiente del Departamento de Defensa de los
EEUU, en 1958.
Una oficina de la ARPA se ocup de estudiar la forma de mantener las
comunicaciones en situaciones blicas. Esto di lugar a modelos de
servicio de conmutacin de paquetes no orientados a conexin, para
mejorar la robustez y resistencia ante desastres.
Las primeras pruebas reales de ARPANET se hicieron el 29 de octubre
de 1969 entre dos nodos en California. A finales de 1971 ya haba 15
nodos en la red
Los documentos tcnicos de la red se empezaron a publicar ya
entonces bajo la denominacin RFC (Request For Comments)
Los routers o IMPs (Interface Message Processors) se conectaban
con lneas telefnicas de 56 Kbps; a cada IMP se conectaba localmente
un host.
El mantenimiento de la red, formada por los IMPs y las lneas que los
unan, se contrat con la empresa BBN (Bolt, Beranek & Newman), el
primer ISP de la historia.
Redes 4-119
Rogelio Montaana
Steve Crocker
(1944)
Jon Postel
(1943-1998)
Vint Cerf
(1943- )
Redes 4-120
Rogelio Montaana
Un IMP (Interface Message Processor)

Tena una arquitectura
de 16 bits y 12 24
Kbytes de memoria.
El IMP fue el primer

router de ARPANET (y el
primero de la historia)
Se basaba en una
versin adaptada del
miniordenador
Honeywell DDP-516
El ciclo de reloj era de

100 microsegundos
(equivalente a 10 KHz)
El protocolo utilizado
por los IMP se describe
en el RFC 1
Redes 4-121
Rogelio Montaana
Diseo de la ARPANET original

Host (mainframe)
Protocolo host a host
P destino
IM
a
n
e
ig
r
o
P
Protocolo IM
P
olo IM
c
o
t
o
r
P
a IMP
IMP
Subred
Redes 4-122
Rogelio Montaana
Evolucin de ARPANET
SRI
SRI
SRI
UTAH
UTAH
SRI
MIT
UTAH
ILL.
MIT
CASE
LINCOLN
STAN.
UCSB
UCSB
UCSB
SDC
CARN
SDC
HARVARD
UCLA
UCLA
Oct. 1969
UCLA
Dic. 1969
RAND
UCLA
BBN
Jul. 1970
SRI
AMES
UCSB
STAN.
UCLA
LBL MCCLELLAN
UTAH
ILL.
MIT
CCA
BBN
HARVARD
AMES IMP
ABERDEEN
LINC
X-PARC
STANFORD
NBS
ETAC
RAND
RADC
FNWC
TINKER ARPA
AMES TIP
UTAH NCAR
USC
BURROUGHS
BBN
Mar. 1971
SRI
MCCELLAN
RAND
GWC LINCOLN CASE
ILL.
SDC
RADC
CARN
LINC
MIT
MITRE
ETAC
MITRE
SAAC
BELVOIR
CMU
UCSB
UCSD
RAND TINKER BBN HARVARD NBS
UCLA
Abr. 1972
SDC
USC
NOAA
GWC
CASE
Sept. 1972
Redes 4-123
Rogelio Montaana
Desarrollo de Internet y TCP/IP

El protocolo de comunicaciones utilizado en ARPANET se
denominaba NCP (Network Control Protocol)
El rpido crecimiento y los intentos de utilizar redes diversas
(enlaces telefnicos, satlite, radio, etc.) demostraron que el diseo
de NCP no era adecuado para esos entornos.
Para resolverlo Cerf y Kahn disearon en 1974 la base de los
protocolos TCP/IP actuales. La especificacin se public como
RFC675 usando por vez primera el trmino Internet
La versin 2 de TCP/IP apareci en 1977, y la versin 3 en 1978. En
1980 se public la versin 4, actualmente vigente.
El 1 de enero de 1983 toda la ARPANET pas a utilizar TCP/IPv4
En 1980 toda la ARPANET qued fuera de servicio debido a la
distribucin accidental de un virus
La versatilidad de TCP/IP para interconectar LANs y WANs, y su
promocin por ARPA (distribucin gratuita con UNIX BSD 4.2)
provocaron un enorme crecimiento de ARPANET
Redes 4-124
Rogelio Montaana
Expansin de Internet
Pero ARPANET, financiada por el DoD, estaba restringida a
universidades y centros de investigacin con proyectos militares.
En 1985 la NSF (National Science Foundation) cre NSFNET, red
abierta a todas las universidades de EEUU, que se interconect con
ARPANET.
En 1989 se hicieron las primeras interconexiones entre NSFNET y
redes comerciales (MCI Mail)
Gradualmente se conectaron a NSFNET otras redes acadmicas
regionales y de otros pases, algunas de ellas mediante pasarelas al
no utilizar TCP/IP. En Europa el desarrollo de Internet en el mundo
acadmico empez en torno a 1990.
El 6 de agosto de 1991 apareci el World Wide Web, a veces
confundido con la propia Internet
El 30 de junio de 2010 se estimaba el nmero de usuarios de
Internet en 1.970 millones
Redes 4-125
Rogelio Montaana
Backbone de la NSFNET en 1988
Enlaces T1 (1,5 Mb/s)
Redes 4-126
Rogelio Montaana
Mapa climtico de RedIRIS: http://www.rediris.es/conectividad/weathermap

Redes 4-127
Rogelio Montaana
La ISOC (Internet Society)
En 1992 se cre la ISOC, asociacin internacional para la promocin de la

tecnologa y servicios Internet. Cualquier persona fsica que lo desee puede
asociarse a la ISOC.
La actividad de la ISOC se enmarca en tres grandes reas:
Estndares
Poltica pblica
Educacin
La ISOC est gobernada por un Consejo de Administracin (Board of Trustees)

cuyos miembros son elegidos por votacin entre todos los socios
El desarrollo tcnico de la ISOC est gobernado por el IAB (Internet
Architecture Board) cuyos miembros son nombrados por el Consejo de
Administracin de la ISOC.
El IAB supervisa el trabajo de dos comits:
IRTF (Internet Research Task Force): se concentra en estrategia y
porblemas a largo plazo
IETF (Internet Engineering Task Force): se ocupa de los problemas mas
inmediatos.
Ms informacin en www.isoc.org
Redes 4-128
Rogelio Montaana
El IETF (Internet Engineering Task Force)

El IETF se cre en 1986 como actividad de una serie de
investigadores, financiados por el gobierno de EEUU
En 1990 se convirti en una organizacin internacional
independiente asociada con la ISOC, que es quien le
suministra apoyo financiero y legal, ya que el IETF en si
mismo no es una organizacin ni tiene miembros
El IETF es el foro donde se desarrollan las discusiones y
propuestas que dan lugar al desarrollo de los documentos
conocidos como RFCs (aunque su publicacin es
responsabilidad del IAB)
El presidente del IETF es elegido por perodos de dos
aos. Desde 2004 se sigue para ello el procedimiento
establecido en el RFC 3777
Ms informacin en www.ietf.org
Redes 4-129
Rogelio Montaana
Organizacin del trabajo tcnico en Internet

IAB
IETF
IRTF
IESG
IRSG
area 1
. . .
...
area n
.. .
Grupos de
investigacin
...
Grupos de
trabajo
IAB: Internet Architecture Board

IRTF: Internet Research Task Force
IRSG: Internet Research Steering Group
IETF: Internet Engineering Task Force
IESG: Internet Engineering Steering Group
Redes 4-130
Rogelio Montaana
reas del IETF
Area General
Area de aplicaciones
Area de Internet
Area de operacin y gestin
Area de Aplicaciones en tiempo real e infraestructura
Area de routing
Area de seguridad
Area de transporte
Redes 4-131
Rogelio Montaana
Grupos de trabajo del rea Internet del IETF
IPv6 over Low power WPAN

IPv6 Maintenance
Access Node Control Protocol
Ad-Hoc Network Autoconfiguration
Cga & Send maIntenance
Dynamic Host Configuration
DNS Extensions
Host Identity Protocol
Internet Area Working Group
IP over DVB
Layer Two Tunneling Protocol Extensions
Locator/ID Separation Protocol
Mobility EXTensions for IPv6
Multiple Interfaces
Mobility for IPv4
Multicast Mobility
Network-Based Mobility Extensions
Network Time Protocol
Port Control Protocol
Point-to-Point Protocol Extensions
Source Address Validation Improvements
Site Multihoming by IPv6 Intermediation
Softwires
Timing over IP Connection and Transfer of Clock
Transparent Interconnection of Lots of Links
Redes 4-132
Rogelio Montaana
Los estndares Internet

Desde 1969 los documentos tcnicos de Internet se han publicado en la
red bajo el nombre de RFCs (Request For Comments). Actualmente
hay ms de 6000 (6457 en diciembre de 2011). Un RFC puede contener
la especificacin de un protocolo o ser un documento de carcter
informativo o divulgativo
Para que un protocolo se estandarice ha de estar publicado en un RFC
(pero no todos los protocolos publicados en RFCs son estndares).
Para que un protocolo sea un estndar Internet ha de pasar por varias
fases llamadas el standards track:
Proposed Standard: se considera de inters
Draft Standard: hay alguna implementacin operativa probada
Internet Standard: es aprobado por el IAB
El IAB es el responsable de la edicin y publicacin de los RFCs,

aunque la mayor parte del trabajo de preparacin se desarrolla en los
comits del IETF.
Redes 4-133
Rogelio Montaana
Evolucin de los RFCs

Borrador
Mejores
prcticas
Informativo
Estndar
Propuesto
Protocolo
Experimental
Estndar
Borrador
Estndar
Internet
Histrico
Redes 4-134
Rogelio Montaana
Categora de algunos RFCs
Estndar Internet:
RFC 791: IPv4
RFC 793: TCP
RFC 826: ARP
Estndar Borrador (Draft)
RFC 2131: DHCP
RFC 2460: IPv6
Estndar Propuesto:
RFC 2210: RSVP (Resource Reservation Protocol)
RFC 2401: IPSEC (IP Security)
Protocolo Experimental:
RFC 1459: IRC (Internet Relay Chat)
Informativo:
RFC 1983: Internet Users Glossary
RFC 2475: Arquitectura DIFFSERV (Differentiated Services)
Mejores prcticas:
RFC 1917: Peticin de devolver al IANA prefijos no utilizados
Histrico:
RFC 904: EGP (Exterior Gateway Protocol)
Redes 4-135
Rogelio Montaana
RFCs humorsticos
La mayora de los RFC humorsticos estn fechados el 1
de abril:
RFC 1149 (1990). A Standard for the Transmission of IP
Datagrams on Avian Carriers
RFC 1216 (1991): Gigabit network economics and paradigm shift
(autor: Poorer Richard)
RFC 1605 (1994): SONET to sonnet translation (autor: W.
Shakespeare)
RFC2549 (1999): IP over avian carriers with Quality of Service
RFC2550 (1999): Y10K and beyond
RFC2795 (2000): The infinite monkey protocol suite
RFC3091 (2001): Pi digit generation protocol
RFC4824 (2007): The Transmission of IP Datagrams over the
Semaphore Flag Signaling System (SFSS)
Redes 4-136
Rogelio Montaana
Network Working Group

Request for Comments: 1149
D. Waitzman
BBN STC
1 April 1990
A Standard for the Transmission of IP Datagrams on Avian Carriers

Status of this Memo
This memo describes an experimental method for the encapsulation of
IP datagrams in avian carriers. This specification is primarily
useful in Metropolitan Area Networks. This is an experimental, not
recommended standard. Distribution of this memo is unlimited.
Overview and Rational
Avian carriers can provide high delay, low throughput, and low
altitude service. The connection topology is limited to a single
point-to-point path for each carrier, used with standard carriers,
but many carriers can be used without significant interference with
each other, outside of early spring. This is because of the 3D ether
space available to the carriers, in contrast to the 1D ether used by
IEEE802.3. The carriers have an intrinsic collision avoidance
system, which increases availability. Unlike some network
technologies, such as packet radio, communication is not limited to
line-of-sight distance. Connection oriented service is available in
some cities, usually based upon a central hub topology.
Frame Format
The IP datagram is printed, on a small scroll of paper, in
hexadecimal, with each octet separated by whitestuff and blackstuff.
The scroll of paper is wrapped around one leg of the avian carrier.
A band of duct tape is used to secure the datagram's edges. The
bandwidth is limited to the leg length. The MTU is variable, and
Redes 4-137
Rogelio Montaana
Implementacin prctica del RFC 1149
Redes 4-138
Rogelio Montaana
Pings con CPIP (Carrier Pigeon Internet Protocol)

vegard@gyversalen:~$/sbin/ifconfigtun0
tun0Linkencap:PointtoPointProtocol
inetaddr:10.0.3.2PtP:10.0.3.1Mask:255.255.255.255
UPPOINTOPOINTRUNNINGNOARPMULTICASTMTU:150Metric:1
RXpackets:1errors:0dropped:0overruns:0frame:0
TXpackets:2errors:0dropped:0overruns:0carrier:0
collisions:0
RXbytes:88(88.0b)TXbytes:168(168.0b)
vegard@gyversalen:~$pingi90010.0.3.1
PING10.0.3.1(10.0.3.1):56databytes
64bytesfrom10.0.3.1:icmp_seq=0ttl=255time=6165731.1ms
10.0.3.1pingstatistics
9packetstransmitted,4packetsreceived,55%packetloss
roundtripmin/avg/max=3211900.8/5222806.6/6388671.9ms
vegard@gyversalen:~$exit
Redes 4-139
Rogelio Montaana

T8-Nivel Red Avanzado

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

T8-Nivel Red Avanzado

Transféré par

Droits d'auteur :

Formats disponibles

Tema 8

El Nivel de Red en Internet

Protocolos de resolucin inversa de dir.

Resolucin inversa de direcciones

RARP (Reverse Address Resolution Protocol)

Formato de mensaje ARP y RARP en el caso de

Tipo de hardware (1=Enet)

Tipo de protocolo (800=IP)

Lon. Dir. Red (4)

Operacin (1-2: ARP, 3-4: RARP)

Dir. MAC Emisor (octetos 0-3)

Dir. IP emisor (octetos 0-1)

Dir. IP emisor (octetos 2-3)

Dir. MAC destino (oct. 0-1)

Dir. MAC destino (octetos 2-5)

BOOTP (Bootstrap Protocol)

Dir. MAC broadcast

Tabla ARP Cache

1. A lanza BOOTP request en broadcast preguntando por su IP

BOOTP con servidor remoto

Funcionamiento de BOOTP entre LANs

BOOTP requests a 40.0.0.2

A 20.0.0.0/24 por 90.0.0.1

Captura Wireshark de un BOOTP Reply

Dir. MAC del cliente

Configuracin DHCP de una interfaz de red en Windows

Adaptador Ethernet Conexiones de red inalmbricas

Sufijo de conexin especfica DNS :

Parmetros configurables por

Direccin IP del cliente

Nombre y ubicacin del fichero que debe usarse

Configuracin de un servidor BOOTP/DHCP

Servidor DHCP que combina asignacin

Subnet 239.252.197.0 netmask 255.255.255.0 {

Protocolos de resolucin inversa de dir.

Agotamiento de direcciones en DHCP

Dame IP para MAC AB

Dame IP para MAC AC

Dame IP para MAC DU

Dame IP para MAC C

Solucin al ataque de agotamiento de

Solucin al ataque de agotamiento de

Uso de DHCP snooping

sw# sh ip dhcp snooping binding

Ataque Servidor DHCP furtivo (rogue)

Asignando un router y un DNS falsos se pueden llevar a cabo ataques

Ataque servidor DHCP furtivo

DHCP Request (FF)

Vale, soy 10.0.0.10

Servidor DHCP legtimo

Servidor DHCP furtivo

Solucin al ataque servidor

Ataque servidor DHCP furtivo

DHCP Reply (A)

DHCP Request (FF)

Vale, soy 20.0.0.5

sw# sh ip dhcp snooping binding

Servidor DHCP legtimo

Servidor DHCP furtivo

Ataque de ARP spoofing,

ARP spoofing, ataque

ARP Request (FF)

ARP spoofing, limpieza

Despus del ataque el agresor