VPN CarlosAguilarMora

MAESTRA EN REDES DE COMUNICACIONES
REDES DE BANDA ANCHA
VPN (VIRTUAL PRIVATE NETWORK)
Carlos Darwin Aguilar Mora

Quito, diciembre 2013
dfd
Contenido
Introduccin
VPN (Virtual Private Network)
Tipos de VPN
VPN capa 2 y VPN capa 3
Protocolo L2F
Protocolo L2TPv3
Protocolo PPTP
Protocolo IPSec
VPN sobre MPLS
Bibliografa
dfd
Introduccin
Existe una clara diferencia entre red pblica y privada
Pblica
Coleccin de dispositivos no
relacionados que intercambian
informacin entre si.
Las personas que acceden a la
red pblica pueden o no tener
nada en comn.
Cualquier persona en esta red
slo puede comunicarse con un
pequeo fragmento de sus
usuarios potenciales.
Ej: sistema de telefona e
Internet
Privada
Coleccin de dispositivos de
propiedad
de
una
sola
organizacin, que comparten
informacin especfica entre si.
Los usuarios de la organizacin
son los nicos que acceden a la
red.
La informacin esta vista entre
ellos, en el peor de los casos,
slo podr ser vista por otros
usuarios del mismo grupo.
Ej: red de rea local (LAN, red
de rea extensa (WAN)

dfd
Introduccin
(cont.)
Aunque las redes privadas trabajan de forma aislada, surge la necesidad de
poder interconectar estas redes, ya sean de una misma organizacin o de
otras organizaciones.
Tradicionalmente esta interconexin se realizaba mediante lineas

telefnicas dedicadas, que permitian conectar oficinas que trabajaban de
forma aislada.
Las redes privadas tamben tienen problema para interconectar usuarios

itinerantes, como usuarios que estan constantemente viajando (directivos,
vendedores, agentes, tcnicos, etc) y que requieren acceder a recursos de
red de la empresa
Los costos de mantener conexiones dedicadas para interconectar redes

privadas pueden ser altos.
Para solventar en gran medida estos inconvenientes nacen las

redes privadas virtuales (VPNs), que permiten crear una red segura
y privada sobre una red pblica como el Internet.

dfd
VPN (Virtual
Private Network)
Una VPN es una red de datos que
utiliza una red pblica para
extender la red privada.
Proporciona
comunicaciones
privadas entre los usuarios finales
(oficinas
remotas,
teletrabajadores).
Pueden
ser
ampliamente
categorizadas como VPN de capa
2 y VPN de capa3.

Tipos dfd
de VPN
Ciscopress.com

Tipos dfd
de VPN (cont.)
Por la forma en que se conectan, se pueden categorizar como:
Site to Site:
Permite comunicacin entre sitios de una organizacin u

organizaciones geogrficamente separadas, por lo general
se utiliza para conectar la oficina matriz con sus
sucursales.
Intranet VPN
Extranet VPN
Ciscopress.com

Tipos dfd
de VPN (cont.)
Remote access:
Tambin llamadas VPN de acceso, permite a usuarios

acceder remotamente desde cualquier ubicacin, sin
necsidad de lneas dedicadas.
Ciscopress.com
Compulsory remote access

Voluntary remote access
Tipos dfd
de VPN (cont.)
Por la tecnologa que utilizan, se pueden categorizar como:
Layer 1 VPN
GMPLS
Layer 2 VPN
Point-to-Poitn Tunneling Protocol (PPTP)
Layer 2 Forwarding (L2F)
Layer 2 Tunneling protocol (L2TP)
Leased lines (LL)
Permanent virtual circuits (PVCs)

Layer 3 VPN
Generic Routing Encapsulation (GRE)
IPinIP
IPSec
MPLS

dfd
VPN capa
2 / VPN capa 3
VPN capa 3 / Layer 3 VPN
VPN capa 2 / Layer 2 VPN
Caractersticas:
Flexibilidad y escalabilidad
Fcil mantenimiento
La organizacin tiene el
control de la red
Transparencia en soporte de
protocolos
de
orden
superios (SNA, DECnet, IPX,
etc.)
Pueden
implementarse
sobre Frame relay, ATM o
una combinacin de las dos.
Protocolos:
Point-to-Point
Tunneling
Protocol (PPTP)
Layer 2 Forwarding (L2F)
Layer 2 Tunnel Protocol

version 2 (L2TPv2/ L2TPv3)
Caractersticas:
Altamente esacalable.
Simplifica
el
enrutamiento WAN.
El control de la red lo
tiene el proveedor del
servicio
Una organizacin puede

implementar su VPN,
depende
de
la
adquisicin de equipos.
Pueden implementarse
principalmente
con
IPSec y MPLS
Protocolos:
Multiprotocol
Label
Switching (MPLS)
Internet
Protocol
security (IPsec)
dfd L2F
Protocolo
Layer Two frowarding (L2F)
Es un protocolo propietario de Cisco.
Descrito en el RFC 2341
Permite encapsulamiento de tramas PPP establecer un tunel de

tipo PPP entre el NAS (Network Access server) y el gateway VPN.
La creacin de tneles L2F no depende del protocolo IP, por lo que
es capaz de trabjar directamente con Frame Relay o ATM.
La autenticacin de usuarios de realiza con el protocolo PPP, sin
embargo se puede utilizar sistemas como TACACS y RADIUS.
Su principal beneficio es brindar mltiples conexiones simultneas
Inicialmente fue pensado para crear tneles de sesiones punto a
punto (PPP).

dfd L2TPv3
Protocolo
L2TP:
Es un estndar de la IETF
Combina las mejores caractersticas de L2F y PPTP
Posee seguridad intrseca limitada
Debido a que no provee confidencialidad y autenticacin

robusta, se utiliza comunmente con IPsec (L2TP/IPsec)
Soporta mltiples protocolos y tecnologas como: IP, ATM,

Frame Relay, PPP
Utiliza dos tipos de mensajes:
De control: establecen, mantienen y liberan sesiones y

tneles
De datos: datos encapsulados en tramas PPP
Estructura del paquete:
cnti.gob.ve
http://cnti.gob.ve/

dfd L2TPv3 (cont.)

Protocolo
Layer two Tunneling Protocol version 3 (L2TPv3)
L2TPv3:
Simula una conexin mediante cable entre dos puntos,

estableciendo un tnel y una sesin L2TP que simula un
cable, conocido como Pseudowire
Funcionamiento L2TPv3:
Los PE (Provider Edge) routers
R1 y R2 proveen servicios
L2TPv3.
R1 y R2 establecen pseudowire
sobre la red IP,y atravs de una
ruta de acceso que comprende
las interfaces int1 y int2, la red IP
y las interfaces int3 y int4
Los CE (customer edge) routers

R3 y R4 se comunican a travs
de un par de interfaces 802.1q o
Xconnect ethernet, usando una
sesin L2TPv3
cisco.com

dfd PPTP
Protocolo
Point to Point Tunneling Protocol (PPTP)
Es un protocolo propietario de Microsoft

Ofrece VPN bajo demanda a travs de redes no seguras
Al igual que L2F, permite encapsulamiento de tramas PPP de clientes
de acceso remoto
Los paquetes encapsulados en tramas PPP sobre tneles PPTP, son
generalmente protegidos utilizando MPPE (Microsoft Point to Point
encryption)
Un tnel PPTP se crea en dos pasos:
El cliente PPTP conecta a su ISP usando PPP.
PPTP crea una conexin de control TCP (puerto 1723) entre el cliente VPN y el
servidor VPN para establecer un tnel
dfd IPsec
Protocolo
Internet Protocol security
Es un conjunto de protocolos diseo para proveer seguridad
basada en criptografa robusta

Mejora la seguridad del protocolo IP, garantizando privacidad,
integridad y autenticacin de los datos enviados.
Comprende sub protocolos:
Encapsulation Security Payload (ESP)

Protege los datos del paquete IP de terceros, encriptando
su contenido mediante algoritmos criptogrficos como
3DES
Authentication Header (AH)

Protege el encabazado del paquete IP de terceros,
calculando un checksum criptogrfico y mediante
funciones hash
Security Associations (SA)

Define configuraciones de seguridad e intrercambio de
claves (IKE)
dfd IPsec (cont.)

Protocolo
cisco.com
Debido a que Ipsec trabaja a nivel de capa 3, es transparente para las

aplicaciones.
VPNs sobre IPsec soporta todos los servicios IP como: ICMP, VoIP, FTP,
SNMP, etc.
Siporte para IPv4 (opcional) e IPv6 (nativo)

dfd
VPN sobre
MPLS
Multiprotocol Label Switching
MPLS:
Es una arquitectura de transporte de datos creado por la IETF

Opera entre la capa 2 (enlace de datos) y capa 3 (red) del
modelo OSI
Elementos:
Label Edge Router (LER): inicia o termina el tnel

(ingress router y egress router)
Label Switching Router (LSR): conmuta etiquetas
Label Switching Path (LSR): tnel MPLS establecido entre

los extermos
Label Distribution Protocol (LDP): distribuye etiquetas

MPLS entre los equipos de la red
Forwarding Equivalence Class (FEC): trfico que se

enruta bajo una etiqueta
dfd
VPN sobre
MPLS (cont.)
MPLS VPN
Ofrece una arquitectura VPN escalable

Puede ser ofrecido por un proveedor de servicios o implementado
por las propias empresas
Permite a las empresas simplificar su enrutamiento WAN
Permite conexin extermo a extermo con soporte de calidad de
servicio para aplicaciones crticas y de tiempo real
Nativamente solo soporta transporte de trfico IP.
Para otros protocolos es necesario configurar tneles entre los
routers CE.

dfd
VPN sobre
MPLS (cont.)
cisco.com
Operacin de MPLS VPN

Los routers CE y PE intercambian rutas utilizando protocolos tales
como: RIPv2, EIGRP, OSPF o eBGP. Tambin se pueden utilizar rutas
estticas
Los routers PE intercambian rutas de los clientes y etiquetas asociadas

a la VPN utilizando MP-BGP
Las rutas VPN de los clientes son almacenadas en diferentes VRFs

dfiografad
Bibliografa
Bibliografa:
Comparing, Designing, and Deploying VPNs, Mark Lewis, 2006

Cisco Press
Layer 2 VPN Architectures, Wei Luo / Carlos Pignataro / Dmitry

Bocotey / Anthony Chan, 2005, Cisco Press
Layer 2 Tunnel Protocol Version 3, 2003, Cisco

Recursos WEB:
http://aulavirtual.cnti.gob.ve/aulas/file.php/1/Manuales/Admin_Y
_Soporte_Tecnico_Nivel_Medio/Manual_de_VPN.pdf
http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/l2tpv30s
.pdf
http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativ
os/VPN_Gerardo_Brollo.pdf
http://www.cisco.com/image/gif/paws/91193/rtr-ipsec-internet-con
nect.pdf


VPN CarlosAguilarMora

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

VPN CarlosAguilarMora

Uploaded by

Copyright:

Available Formats

MAESTRA EN REDES DE COMUNICACIONES

REDES DE BANDA ANCHA

VPN (VIRTUAL PRIVATE NETWORK)

Carlos Darwin Aguilar Mora

REDES DE BANDA ANCHA

Tradicionalmente esta interconexin se realizaba mediante lineas

Las redes privadas tamben tienen problema para interconectar usuarios

Los costos de mantener conexiones dedicadas para interconectar redes

Para solventar en gran medida estos inconvenientes nacen las

REDES DE BANDA ANCHA

REDES DE BANDA ANCHA

REDES DE BANDA ANCHA

Permite comunicacin entre sitios de una organizacin u

REDES DE BANDA ANCHA

Tambin llamadas VPN de acceso, permite a usuarios

Compulsory remote access

Point-to-Poitn Tunneling Protocol (PPTP)

Layer 2 Forwarding (L2F)

Layer 2 Tunneling protocol (L2TP)

Leased lines (LL)

Permanent virtual circuits (PVCs)

Generic Routing Encapsulation (GRE)

REDES DE BANDA ANCHA

VPN capa 2 / Layer 2 VPN

Layer 2 Forwarding (L2F)

Layer 2 Tunnel Protocol

Una organizacin puede

Es un protocolo propietario de Cisco.

Descrito en el RFC 2341

Permite encapsulamiento de tramas PPP establecer un tunel de

REDES DE BANDA ANCHA

Descrito en el RFC 2661

Combina las mejores caractersticas de L2F y PPTP

Posee seguridad intrseca limitada

Debido a que no provee confidencialidad y autenticacin

Soporta mltiples protocolos y tecnologas como: IP, ATM,

Utiliza dos tipos de mensajes:

De control: establecen, mantienen y liberan sesiones y

De datos: datos encapsulados en tramas PPP

Estructura del paquete:

REDES DE BANDA ANCHA

dfd L2TPv3 (cont.)

Descrito en el RFC 3931

Simula una conexin mediante cable entre dos puntos,

Los CE (customer edge) routers

REDES DE BANDA ANCHA

Es un protocolo propietario de Microsoft

Un tnel PPTP se crea en dos pasos:

El cliente PPTP conecta a su ISP usando PPP.

Es un conjunto de protocolos diseo para proveer seguridad

basada en criptografa robusta

Descrito en el RFC 6071

Encapsulation Security Payload (ESP)

Authentication Header (AH)

Security Associations (SA)

dfd IPsec (cont.)

Debido a que Ipsec trabaja a nivel de capa 3, es transparente para las

Siporte para IPv4 (opcional) e IPv6 (nativo)

REDES DE BANDA ANCHA

Es una arquitectura de transporte de datos creado por la IETF

Descrito en el RFC 3031

Label Edge Router (LER): inicia o termina el tnel

Label Switching Router (LSR): conmuta etiquetas

Label Switching Path (LSR): tnel MPLS establecido entre