Estado del arte - MPLS en Redes Convergentes
John Jairo Mack Vargas,
Universidad Distrital Francisco José de Caldas
Bogotá D.C., Colombia 2011
Resumen
En la estructura de redes convergentes actuales, los equipos de núcleo son de vital importancia. A través de ellos transita el grueso de información y datos de las organizaciones de telecomunicaciones, y es en ellos donde se pone especial atención en la redundancia y la alta disponibilidad. El siguiente documento describe un sistema de información convergente con topología en anillo en fibra óptica, luego se analiza el protocolo MPLS finalmente se presenta una propuesta; que consiste en un plan de implementación de un enlace contingente utilizando MPLS.
Palabras clave: Redes Convergentes, MPLS, Seguridad de la Información, Ingeniería de Tráfico, Servicios diferenciados y Enlace Contingente.
Abstract
The current structure of converged networks, core teams are vital importance, through these travels the thick of information and data telecommunications organizations, and here is where set special attention on redundancy and high availability, the next document describes an information system with ring topology converged optical fiber, then analyzes the MPLS protocol finally presented a proposal consisting of a plan to implement a contingent link using MPLS.
Keywords: Converged networks, MPLS, Data Security, Traffic Engineering, Differentiated Services and Contingent Link.
1. INTRODUCCIÓN
En las redes de paquetes existen protocolos y algoritmos de encaminamiento auxiliares al protocolo de red que les sirven a los nodos o Routers para conocer los caminos que permiten llevar la información desde un origen a un destino [1]. Estos protocolos en su mayoría son dinámicos, permiten adaptarse a cambios en la red. De este modo ante la caída de un nodo o un enlace los protocolos y algoritmos de encaminamiento, se ponen en marcha para obtener las nuevas alternativas que eviten el fallo. En este sentido estas redes son autónomas ante fallos, se adaptan a los cambios por sí mismas.
En la actualidad, MPLS se constituye en un escalón fundamental para una mejor escalabilidad y eficiencia; este se encuentra implementado con éxito en las redes de los mayores ISPs mundiales, que han utilizado su funcionalidad para ofrecer servicios de Red Privada Virtual (RPV - VPN) y para el transporte del tráfico telefónico comercial [2].
Una de las aplicaciones de ingeniería de tráfico más utilizadas en redes IP-MPLS es la protección de enlaces y nodos de la red mediante LSPs de modo que pueda llevarse a cabo una recuperación rápida del tráfico en casos de fallo. Las ventajas de utilizar MPLS en estos esquemas de protección frente a utilizar el reencaminamiento IP es la rapidez de reacción, lo que conlleva a una menor pérdida de tráfico.
La implementación de una red de alta velocidad implica mirar más de cerca aquellos detalles que van a influir en el rendimiento global. Pequeñas modificaciones en el hardware pueden mejorar considerablemente las prestaciones de una red. En general la norma a seguir es: “Mantener el caso frecuente lo más simple y rápido posible”.
A lo largo de este artículo se mostrará de una forma muy abstracta las características principales de las redes de interconexión de altas prestaciones como lo son las redes convergentes, y la descripción del protocolo MPLS y sus aplicaciones.
Finalmente con los temas tratados se estudia si una tecnología que trabaja en el nivel 3 del modelo OSI, se considera como insegura. Por lo tanto, el objetivo principal de este documento es validar y comentar si MPLS es tan insegura como creen sus detractores, o sólo se trata de miedo al cambio.
2. ESTADO DEL ARTE
Las redes convergentes o redes multiservicio hacen referencia a la integración de los servicios de voz, datos y video sobre una sola red basada en IP como protocolo de nivel de red [3]. La arquitectura de esta red está constituida básicamente, por el media Gateway, el controlador de media Gateway, el Gateway de señalización y el Gatekeeper, en la imagen No. 1 se muestra el esquema básico de su interconexión. Las redes de convergencia han tenido y tendrán dificultades técnicas qué superar ya que los distintos servicios por ofrecer tienen diferentes características y requerimientos de red, por tanto es importante hablar aquí de ingeniería de tráfico y mecanismos que garanticen calidad de servicio.
Figura 1. Arquitectura física de una red Convergente
La integración de servicios de voz sobre redes IP (VoIP) es una forma eficiente, flexible y económica de construir redes de convergencia de voz y datos. Justamente VoIP es un término que describe la transmisión de tráfico de voz digitalizado en paquetes utilizando el protocolo IP.
Básicamente entre las mejoras incluidas en VoIP respecto a la PSTN, se tiene en la Tabla No. 1 lo más destacado:
| PSTN | INTERNET |
| Basada en conmutación de Circuitos. | Basada en conmutación de paquetes. |
| Excelente Calidad de Servicio. | No garantiza la Calidad de servicio (QoS). |
| Posee Servicios avanzados de Voz, datos y Fax. | Provee servicios de datos muy flexibles. |
| Red de bajo retardo, de ancho de banda Fijo. | Red de retardo variable Ancho de Banda Variable. |
| Los servicios son proporcionados por los nodos de conmutación y las RI. | Existencia de Nodos de Paquetes. |
| Las Redes Inalámbricas poseen conectividad Global. | Mayor crecimiento. |
Tabla 1. Evolución de PSTN a Redes de Nueva Generación
Arquitectura funcional del servicio VoIP
La clave para las redes de convergencia basadas en IP es la división de las principales funciones de red en componentes lógicos que pueden implementarse en equipos de propósito específico. Así se pueden construir soluciones escalables e interoperables para satisfacer las diferentes necesidades de los distintos proveedores de servicios a bajo costo y permitiendo que los mismos servicios se puedan ofrecer uniformemente a lo largo de toda la red. De esta manera los proveedores pueden acelerar el desarrollo de sus soluciones mediante la adquisición de elementos de red estándar. La competencia entre fabricantes de equipos se promueve a través de estos estándares abiertos; la separación de los elementos de control y de multimedios permite el rápido desarrollo de nuevas aplicaciones.
Los componentes de esta plataforma que tienen que ver con servicios de voz e interoperabilidad con redes existentes, son:
Ø Gateway Controller
Es la unidad funcional, mantiene las normas para el procesamiento de llamadas, por medio del Media Gateway y el Signalling Gateway los cuales ayudan a mejorar su operatividad. El responsable para ejecutar el establecimiento y desconexión de la llamada es Signalling Gateway.
Frecuentemente esta unidad es referida como Call Agent o Media Gateway Controller. Algunas veces el Call Agent es referido como el centro operativo. Este componente se comunica con las otras partes y componentes externos usando diferentes protocolos.
Ø Signalling Gateway
Son responsables de traducir la señalización CSN (Circuit Switched Network), típicamente SS7, y reenviarla al Media Gateway Controller o Conmutador Soft, a través de la red IP. El Media Gateway Controller o Conmutador Soft hace la señalización intermedia, procesa las llamadas y controla los Media Gateway. Se basa principalmente en módulos de Software para controlar el flujo del tráfico de voz y datos en una red de convergencia, intermediando entre las señalizaciones de los subdominios IP, PSTN e inalámbrico.
Ø Media Gateway
Son los elementos críticos para la interconexión de redes, pues hacen la traducción entre redes que manejan diferentes estándares, convirtiendo los flujos de distintos medios como voz o video y manejan la transferencia de información entre las diferentes redes. Algunas de las características que se pueden ofrecer son:
- Múltiples tipos de terminación de red (E1, T1, Ethernet, ATM, etc.)
- Codificadores de voz.
- Canceladores de eco.
- Detectores y generadores de tonos DTMF.
Existen diferentes tipos de Media Gateway, tales como:
- Gateway de acceso: conecta a las interfaces de red de usuario con un VoIP.
- Gateway troncal: conecta la red PSTN con la red IP.
- Servidor de Acceso: permite el acceso de llamadas de modem o conexiones HDLC a la red IP.
Ø Media Server
Mejora las características funcionales de operación de datos, si es requerido soporta Digital Signal Processing ( DSP) así como las funcionalidad de IVR.
Ø Feature Server
Controla los datos para la generación de la facturación, usa los recursos y los servicios localizados en los componentes del nodo.
Arquitectura de servicio
Ø Services Targeted
Encargado de la Traslación de direcciones, enrutamiento, IVR, Emergencia, llamada en espera.
Ø Service Interface
Proporciona soporte para servicios suplementarios y clases de servicios.
Adicional soporta arquitectura independiente de señalización; SIP, H.323, SS7, ISDN, R2.
Protocolo H.323
El H323 es un estándar que especifica los componentes, protocolos y procedimientos que proveen unos servicios de comunicación multimedia para las comunicaciones de audio en tiempo real, vídeo y datos en redes ya sean LANs, WANs, MANs o Internet a través de IP.
Componentes
El Standard H323 especifica 4 tipos de componentes que interconectados proveen comunicación, estos son: terminales, Gateway, Gatekeepers, unidades de control multipunto (MCUs).
Terminales
Se usa para comunicaciones multimedia bidireccionales en tiempo real, un terminal H323 puede ser un PC o un dispositivo especifico, este soporta comunicaciones en audio y opcionalmente en vídeo o datos.
Gateways
Un Gateway conecta dos redes que no sean del mismo tipo. Es decir un Gateway provee de conectividad de una red H323 y otra que no lo sea, para esto se convierten los formatos entre las diferentes redes y transfiriendo la información entre las redes conectadas por el Gateway.
Gatekeepers
Un Gatekeeper provee de servicios importantes como el direccionamiento, autorización y autentificación de terminales y Gateways, administración del ancho de banda, así como servicio de ruta de llamada.
MCUs
Los MCUs proveen soporte para las conferencias entre tres o más terminales H323, todos los terminales que participen en la conferencia establecerán conexión con el MCU. El MCU gestiona los recursos, negocia entre los terminales.
Con lo expuesto hasta aquí para realizar una sintaxis al funcionamiento del protocolo H323, se presenta la siguiente figura que resume una zona H323.
Figura 2. Ejemplo de zona H323
Protocolo MGCP
El protocolo Media Gateway Control Protocolo (MGCP) permite controlar las pasarelas de (Gateways) de los medios de comunicaciones de los elementos de control de llamada externas que se llaman Gateway o Agente de Llamada. La pasarela de medio es, típicamente, un elemento de la red que proporciona la conversión entre la señal de audio de un teléfono conmutado por circuito y la señal de paquete que se puede transportar a través de Internet o sobre la red de conmutación de paquete como ATM y Frame Relay.
Los Gateways de los medios de comunicación pueden ser:
Ø Trunking Gateways: Interfaz entre la red telefónica y la red de Voz sobre IP.
Ø Voice over ATM Gateways: Es igual al Trunking Gateways pero que es para interfaz de red ATM.
Ø Residencial Gateways: Proporcionan una interfaz (RJ11) a una de Voz sobre IP.
Ø Access Gateways: Proporcionan una interfaz desde PBX digitales en una red de Voz sobre IP.
Ø Business Gateways: Proporcionan una interfaz de PBX digital tradicional o un PBX a una red de Voz sobre IP.
Los Servidores de Acceso a red pueden ser conectados a través de un módem a una red telefónica de circuito y pueden proporcionar el acceso a Internet. Las mismas pasarelas combinarán servicio de VoIP y servicios de Acceso a Red.
El protocolo MGCP presenta una arquitectura de control de llamada donde la “inteligencia” está fuera de las pasarelas y es manejado por elementos de control de llamada externos, conocidos como Agentes de Llamada. El MGCP presupone que estos elementos del control de llamada, o Agentes de Llamada, se sincronizan entre sí para enviar órdenes coherentes y respuesta a las pasarelas. Si esta suposición se viola, debe esperarse una conducta incoherente.
Interfaz de control de Gateway de medios de comunicación
La función de la interfaz es mantener el control de la conexión y del Equipo Terminal. Utiliza el mismo modelo del sistema y las mismas convenciones de la denominación.
El Protocolo MGCP implementa la Interfaz de control de Gateway de medios de comunicación como un conjunto de transacciones. Las transacciones están compuestas por un orden y una respuesta obligatoria.
Permite comunicar al controlador de Gateway MGC (también conocido como Call Agent) con los Gateway de telefonía GW (hacia la PBX o PSTN). Se trata de un protocolo de tipo Master/Slave donde el MGC informa las acciones a seguir al GW.
Para la implementación de una buena señalización de la llamada, el Agente de Llamada debe guardar huella del estado del Equipo Terminal, y la entrada debe asegurarse, y que se notifiquen los eventos apropiadamente al Agente de Llamada. Las condiciones especiales existen cuando la entrada o el Agente de Llamada se reinician. La entrada debe remitirse a un nuevo Agente de Llamada durante los procedimientos de “fallas”, el mismo debe tomar la acción cuando la entrada se desconecta, o hay que reiniciar.
Los mensajes MGCP viajan sobre UDP, por la misma red de transporte IP. El formato de trabajo genera una inteligencia externa a la red (concentrada en el MGC) y donde la red de conmutación está formada por los Router de la red IP. El GW solo realiza funciones de conversión vocal (analógica o de velocidad digital) y genera un camino RTP entre extremos. La sesión de MGCP puede ser punto-a-punto o multipunto. MGCP entrega a GW la dirección IP, el puerto UDP y los perfiles de RTP; siguiendo los lineamientos del Protocolo de Descripción de Sección (SDP).
Los comandos disponibles en MGCP son los siguientes:
• NotificationsRequest: indica al GW de eventos como puede ser la señalización DTMF en el extremo.
• Notification Command: confirma las acciones del comando NotificationsRequest.
• CreateConnection: usado para crear una conexión que se inicia en el GW.
• ModifyConnection: usado para cambiar los parámetros de la conexión existente.
• DeleteConnection: usado para cancelar la conexión existente.
• AuditEndpoint: usado para requerir el estado del extremo al GW.
• AuditConnection: usado para requerir el estado de la conexión.
• RestartInProgress: usado por el GW para notificar que un grupo de conexiones se encuentran en falla o reinicio.
• EndpointConfiguration: usado para indicar al GW las características de codificación esperadas en el extremo final.
Relación con la Norma H.323
MGCP está diseñado como un protocolo interno dentro de un sistema distribuido que aparece en el exterior como una sola pasarela de VoIP. Este sistema está compuesto por un Agente de Llamada que puede ser o no distribuido sobre varias plataformas de la computadora, y de un conjunto de Gateways, incluyendo un Gateway que realiza la conversión de los medios de comunicación, por lo menos de las señales entre conmutación de circuitos y paquetes, y un Gateway de señalización cuando es conectado a una red controlada por SS7 (Signalling Systems 7) que permite el enrutamiento y control de la información y el tráfico de voz a través de las diferentes redes de comunicación. En una configuración típica, estos sistema distribuidos hacen interfaz con una o varias partes de conmutación y compatible con H323.
Aplicación de Ingeniería de tráfico a VoIP
Como IP no fue diseñado para los requerimientos del tráfico de voz (los paquetes pueden sufrir retardos excesivos y, peor aún, variables), VoIP se basa en procesos adicionales, implementados en los Media Gateway, para manejar problemas relacionados con la calidad de voz tales como supresión de silencios y cancelación de ecos. Indudablemente, se necesitan protocolos adicionales para garantizar una mínima QoS, tales como MPLS (Multiprotocol Label Switching) y DiffServ (Servicios Diferenciados).
La aplicación del protocolo IP para la transmisión integrada de voz y datos es un concepto que ha revolucionado a la industria de las telecomunicaciones, elevando la posición de la Internet a un plano de competencia comercial.
Sobre la Internet se ofrece servicios de transmisión de voz, gracias al desarrollo de aplicaciones de tiempo real sobre IP. De hecho se ha evolucionado a líneas telefónicas sobre IP. Por supuesto, la ventaja de este servicio radica en las características y requerimientos de red. Por ejemplo, los datos se presentan en ráfagas que consumen grandes volúmenes de ancho de banda durante cortos intervalos de tiempo, mientras que el tráfico de voz requiere un ancho de banda constante y un bajo retardo de transmisión. Así con las capacidades de ingeniería de tráfico que ofrece MPLS y los mecanismos de calidad de servicio (QoS) para redes de nueva generación se puede dar respuesta a los requerimientos de nuevos servicios.
El concepto de ingeniería de tráfico hace referencia al proceso de gestión de las rutas que siguen los paquetes del usuario en una red, para optimizar de esta forma los recursos de esa red, garantizando de esta forma la optimización de sus prestaciones, en algunos casos esto se consigue tratando de repartir la carga sobre los enlaces y sobre los conmutadores de la red. La mayoría de algoritmos de encaminamiento detectan o escogen la ruta de menos costo incurriendo en la falla de concentrar el trafico sobre unos pocos enlaces a costa de dejar prácticamente sin uso el resto de enlaces, lo cual despierta en los ISP el interés de aumentar la cantidad de tráfico en sus redes, ofreciendo los mismos servicios pero sin tener que invertir de mas [7].
Una de las ventajas de MPLS es que empleando las rutas explicitas las cuales son rutas diferentes a las que tomarían los paquetes si el encaminamiento se hiciera con protocolos comunes. Así mismo el hecho de definir los LSPs de acuerdo a los patrones de tráfico previamente estudiados, durante bastante tiempo se convierte en una técnica que permite crear una ingeniería de tráfico de la red eficiente.
2.1. MPLS
La creciente popularidad de MPLS (Multi-Protocol Label Switching) [4], no deja indiferentes a las empresas. A su capacidad para integrar voz, vídeo y datos en una plataforma común con garantías de calidad de servicio (QoS), hay que sumar las mejoras del rendimiento y la disponibilidad que se obtienen con esta tecnología, así como su soporte de una amplia y escalable gama de servicios. Su topología de muchos-a-muchos (any-to-any) ofrece a los administradores la flexibilidad para desviar tráfico sobre la marcha en caso de fallo de enlaces y congestión de red, este esquema se ilustra en la imagen No. 3 [4]. Además, la ingeniería de tráfico y la precisión e inteligencia del encaminamiento basado en MPLS permiten empaquetar más datos en el ancho de banda disponible y reducir los requerimientos de procesamiento a nivel de Router. Se trata, pues, de una tecnología de red efectiva en costes, rápida y altamente escalable.
MPLS combina la flexibilidad de las comunicaciones, calidad y seguridad de los servicios, ofrece niveles de rendimiento diferenciados y priorización de tráfico, así como aplicaciones de voz y multimedia; todo ello en una única red.
MPLS combina las mejores características de la conmutación (Switching) de capa 2 con los beneficios del enrutamiento de paquetes de capa 3. Para el transporte de información MPLS se basa en la asignación de etiquetas a los paquetes en base a criterios de prioridad y/o calidad de servicio para transportarlos a través de la red, logrando así, aumentar la velocidad en la transmisión; todo esto debido a que solamente se analiza una etiqueta y no toda la cabecera de capa 3 (96 bits como mínimo y múltiples campos). A este procedimiento se le conoce como Label Swapping y es el mecanismo de enrutamiento que utiliza MPLS, logrando así que el proceso de conmutación sea mucho más rápido.
MPLS se caracteriza en la forma como se asignan las distintas etiquetas y la capacidad con la que estas pueden ser llevadas en forma de una pila de etiquetas (Label Stack) en el paquete. Dicho concepto hace posibles nuevas aplicaciones como ingeniería de tráfico, redes privadas virtuales y re-enrutamiento si un nodo falla.
La asignación de etiquetas en capa 2 es estática y si una ruta a un destino falla, deben ser los algoritmos de enrutamiento de capa de red los encargados de recuperar caminos alternos para mantener la comunicación entre la fuente y destino. Los algoritmos que usa MPLS permiten añadir la característica del descubrimiento de vecinos y recuperación de rutas alternativas.
MPLS permite ofrecer QoS independientemente de la red sobre la cual se implemente; además del servicio multiprotocolo a las múltiples tecnologías de capa de enlace como: ATM, Frame Relay, etc.
El surgimiento de MPLS con su eficiencia para poder crear caminos explícitos entre dos nodos de una red es un mecanismo fundamental para poder realizar ingeniería de tráfico [8] tal como se observa en las figuras No. 2 y 3.
Figura 1. Esquema general solución MPLS
El ruteo explícito permite que un flujo de datos específico vaya al destino por un camino predeterminado y no por un camino que se construye paso a paso (hop by hop) tal como ocurre con OSPF o IS-IS [4].
COMPONENTES DE UNA RED MPLS
Figura 3. Esquema general solución MPLS clientes
Como se puede observar en la figura No. 3 en una red MPLS consta de diferentes componentes:
LER (LABEL EDGE ROUTER)
Los LERs, o Routers de etiqueta de borde son dispositivos que operan en los extremos de las redes MPLS y funcionan como el punto de interconexión entre ésta y la red de acceso. Los LERs se encargan de unir diferentes subredes como Ethernet, Frame Relay, ATM, a la red MPLS. Además son los encargados de asignar y retirar las etiquetas a la entrada o salida de la red MPLS.
LSR (LABEL SWITCHING ROUTER)
Los LSRs, o Routers de conmutación de etiquetas, son los encargados de dirigir el tráfico en el interior de la red. Usan un protocolo de distribución de etiquetas que no necesariamente es el mismo en todos los LSRs. Su función es encaminar los paquetes basándose únicamente en la etiqueta de cada paquete. Cuando un paquete arriba a un LSR, éste examina su etiqueta y la utiliza como un índice en una tabla propia que especifica el siguiente "salto" y una nueva etiqueta. El LSR intercambia entonces esta etiqueta por la que contenía el paquete y lo envía hacia el siguiente Router.
LSP (LABEL SWITCHING PATH)
Un LSP se forma con la concatenación de varios LSRs, los mismos que sirven de “camino” para un paquete etiquetado; es decir, es el camino lógico que un paquete MPLS toma a través de la red, hasta alcanzar el LSR de salida. El LSP es unidireccional, lo que significa que para el tráfico de retorno es necesario utilizar un LSP diferente.
El LSP es como una especie de tubo o túnel, tal como se aprecia en la Figura No.4. En el interior de la red, los LSR ignoran la cabecera de la capa red de los paquetes y simplemente basan su envío del paquete usando el algoritmo de etiquetas. De esta manera es posible diseñar LSP personalizados capaces de soportar aplicaciones y requerimientos específicos. Un LSP puede ser asignado a un mínimo de saltos, reunir ciertos requerimientos para el ancho de banda, requerimientos de apoyo precisos, bypass para los puntos de congestión, tráfico directo fuera del camino dado por IGP (Interior Gateway Protocol) o simplemente, forzar el tráfico a cruzar ciertos enlaces o nodos en la red.
FEC (FORWARDING EQUIVALENCE CLASS)
Un FEC es la representación de un conjunto de paquetes que ingresan a la red MPLS por la misma interfaz, comparten los mismos requerimientos para su transporte y por lo tanto circulan por un mismo trayecto. Los paquetes que pertenecen a un determinado FEC seguirán el mismo LSP hasta llegar a su destino. Un FEC puede agrupar varios flujos, pero un mismo flujo no puede pertenecer a más de un FEC al mismo tiempo. La asignación de un paquete a un determinado FEC en MPLS se hace una sola vez cuando el paquete ingresa a la red, luego ningún Router lo hace.
ETIQUETA
La etiqueta es un identificador corto de longitud fija, empleado para asociar un determinado FEC; normalmente es de significado local. Cuando se habla de etiquetas MPLS se refiere a una percepción simplificada del encabezado de un paquete IP, aún cuando una etiqueta contiene toda la información asociada al direccionamiento de un paquete hasta su destino final en la red MPLS. A diferencia de un encabezado IP, las etiquetas no contienen una dirección IP, sino más bien un valor numérico acordado entre dos nodos consecutivos para proporcionar una conexión a través de un LSP.
Las decisiones de asignación de etiquetas pueden estar basadas en criterios de envío tales como: Ingeniería De Tráfico, Multicast, Redes Privadas Virtuales (VPN) y QoS. Las etiquetas son asociadas a un flujo específico de datos unidireccional, así como también a una determinada FEC como resultado de algún evento que indique una necesidad para tal asociación. Dichas asociaciones pueden ser manejadas por el flujo de datos (Data Driven Bindings) o por el control de tráfico (Control Driven Bindings).
Formato de la Etiqueta MPLS
Como se observa en la Figura No.5 la etiqueta MPLS tiene una longitud de 32 bits divididos en cuatro secciones:
1. Etiqueta: Constituye los primeros 20 bits. Corresponden a la etiqueta en sí.
2. Exp: Los 3 bits que siguen son considerados de uso experimental.
3. Stack: Es el bit utilizado para denotar la presencia de "Stack". Vale 1 para la primera entrada en la pila (la más antigua) y 0 para el resto.
Figura 5. Formato de las Etiquetas MLSP
Pila de Etiquetas
Es útil tener un modelo más general en el que un paquete etiquetado transporte cierto número de etiquetas, organizadas en una estructura de pila. A esta estructura se le denomina “pila de etiquetas”, siendo esta una característica fundamental de MPLS.
Aunque MPLS soporta una estructura jerárquica, el procesamiento de un paquete etiquetado es completamente independiente del nivel jerárquico. Un paquete etiquetado puede llevar muchas etiquetas, las mismas que pueden anidarse formando una pila con funcionamiento LIFO (Last-In, First-Out), último en entrar primero en salir (Figura No. 6). Esto permite ir agregando o segregando flujos.
Figura 6. Pila de Etiquetas con funcionamiento LIFO
El procesamiento está siempre basado en la etiqueta superior, sin tener en cuenta que cierto número de etiquetas puedan haber estado sobre ella en la pila, anteriormente, o que otras tantas estén bajo ella actualmente. Un paquete sin etiquetar se puede ver como un paquete con la pila de etiquetas vacía. Si la profundidad de la pila de etiquetas es de profundidad m, a la etiqueta del fondo se la nombra como 1 y a la de la cima como m. (nivel 1, nivel m).
Cabe destacar que cualquier LSR puede añadir una etiqueta a la pila (operación Push) o puede remover la misma (operación Pop).
El apilamiento de etiquetas hace posible la agregación de LSPs en un solo LSP gracias a la creación de un túnel para una porción de la ruta a través de una red.
Al inicio de un túnel el LSR asigna la misma etiqueta a los paquetes de un número de LSPs, colocando la etiqueta sobre la pila de cada paquete. Al final del túnel, otro LSR es el encargado de extraer la etiqueta de la cima de la pila. MPLS se destaca debido a que soporta una pila ilimitada, logrando de esta manera una considerable flexibilidad en la transmisión de la información.
Asignación de Etiquetas
Se tiene las siguientes maneras de asignación de etiquetas:
• Asignación de etiquetas derivada del tráfico.- Este tipo de asignación ocurre normalmente; es decir, es una forma dinámica de asignación dependiendo de la situación presente en el tráfico. Dicha asignación se inicia con una nueva comunicación que demande el uso de etiquetas. El LSP se establece bajo demanda únicamente cuando hay tráfico por enviar. A este tipo de asignación se le considera como un ejemplo de Data Driven Bindings.
• Asignación de etiquetas derivada de la topología.- El establecimiento de etiquetas se presenta de una manera muy ordenada utilizando para esto una señalización entre nodos de la red, así como por ejemplo cuando un LSR en cierto momento decide actualizar sus tablas de envío y cambiar las etiquetas que estaba utilizando para sus entradas. Esto puede suceder ante situaciones anormales en la red o en el nodo; en dichas ocasiones el LSR procederá a informar las nuevas etiquetas a sus vecinos.
• Asignación de etiquetas derivada por solicitud.- Es cuando un LSR cambia sus etiquetas en las tablas de envío, debido a que la capa de Internet usa protocolos propios de IP como RSVP, el mismo que reserva recursos en la red para un determinado servicio. A esto es lo que se conoce como asignación de etiquetas derivada por solicitud.
Estas dos últimas maneras de asignación de etiquetas son ejemplos de control Driven Bindings. Además, es importante recalcar que en dichos ejemplos la escalabilidad es significativamente mejor, debido a que el número de LSPs es proporcional al número de entradas en la tabla de envío y no al número de flujos de tráfico individuales. MPLS usa el modelo Control Driven.
Aplicaciones de MPLS
El crecimiento del tráfico de datos en las redes, ha provocado la búsqueda de nuevas tecnologías para poder satisfacer esa demanda.
Las redes de fibra óptica tienen la característica de ofrecer un gran ancho de banda y todos los esfuerzos van dirigidos hacia esa tecnología. Por tanto los operadores de telecomunicaciones necesitan, entre otras cosas, de herramientas para poder desplegar las redes troncales de fibra óptica.
La arquitectura de red que predomina en las OTN’s (redes ópticas de transporte) es DWDM, que consiste en la multiplexación de longitudes de onda en una fibra.
GMPLS/MPLS
DWDM es un plano de transporte eficaz que puede dar un ancho de banda para comunicaciones con un límite casi desconocido, pero se necesita de un plano de control que lleve la gestión de esa red. EL protocolo que se encarga de ello es GMPLS/MPLS.
GMPLS soporta cinco interfaces:
Ø Interfaz de conmutado de paquetes.
Ø Interfaz de conmutado a nivel 2.
Ø Interfaz de multiplexado por división de tiempo.
Ø Interfaz de conmutado por longitud de onda.
Ø Interfaz de conmutado de fibra.
Una interfaz de conmutado de paquetes reconoce los límites del paquete y puede encaminar paquetes basándose en la cabecera IP. Una interfaz de conmutado de nivel 2 reconoce los límites de una célula o “Frame” y puede encaminar los datos basándose en el contenido de la cabecera de la célula o “Frame”. El ejemplo de ATM que encaminan células basándose en su valor VPI/VCI o Switches Ethernet que encaminan el tráfico basándose en la información de MAC. Una interfaz de multiplexado por división de tiempo encamina datos basándose en las ranuras temporales que forman tramas, “Frames” en el caso SONET/SDH. Una interfaz de conmutado por longitud de onda encamina señales ópticas de una longitud de onda entrante a otra saliente. Como ejemplo los OXCs que operan a nivel de longitud de onda individual. Interfaz de conmutado por fibra encamina señales de una o más fibras de entrada a una o más fibras de salida. Como ejemplo los OXCs que operan a nivel de fibra.
En GMPLS se utiliza la distribución de etiquetas, con estas características se destaca que es una evolución de MPLS, Algunas formas nuevas de etiquetas son necesarias para soportar la amplia visión de GMPLS en el dominio óptico y en el multiplexado por división temporal. La nueva etiqueta no sólo permite que las etiquetas tradicionales viajen junto con el paquete asociado también permite que las etiquetas identifiquen ranuras temporales, longitudes de onda o fibras. Los protocolos de distribución de etiquetas LDP y RSVP. Los protocolos interiores IS-IS y OSPF también han sido extendidos para poder utilizarse con las tecnologías ópticas. También se ha desarrollado un protocolo para administrar el nivel de enlace en redes ópticas, el protocolo LMP (Link Management Protocol) [15].
Técnicas de Switching óptico
MEMs consiste en espejos con un diámetro no mayor al diámetro de un pelo humano que son alineados en unos pivotes especiales que permiten su movimiento en los tres ejes espaciales. El rayo de un puerto de entrada después de incidir en el espejo será redirigido al puerto de salida, según el protocolo de enrutamiento.
Los sistemas convencionales MEMs tienen partes móviles y la rapidez con la que se mueve el espejo es limitada. Aplicando más corriente el espejo ira más rápido, pero hay un límite físico que se puede hacer circular por el Array de espejos sin quemar los circuitos. Cambiando el diseño de los espejos es posible conseguir movimientos más rápidos; es la técnica conocida como “fase MEMs”.
En comparación, MEMs es una tecnología de cambio rápido. Parece tener el monopolio que las arquitecturas de los equipos de conmutación ópticos.
T-MPLS
Servicios Ethernet Sobre El Transporte MPLS (T-MPLS - Producto PTN). Los servicios de Ethernet sobre T-MPLS o de transporte MPLS ha sido definido por la UIT-T como una aplicación de la tecnología MPLS para redes de transporte de paquetes, o servicios de Ethernet, han sido definidas por las series G.8111.X Recomendación UIT-T, así como por el MEF y sus Especificaciones Técnicas:
Ø Los servicios Ethernet están definidos independientemente de la tecnología de red de transporte que se utiliza para el transporte.
Ø MPLS es una tecnología de transporte basado en paquetes de red adecuado para el soporte de Ethernet Services o transporte MPLS.
T-MPLS es una tecnología de transporte que se puede utilizar para implementar los siguientes servicios:
• Punto a punto EPL / EVPL MEF sobre la base de E-Line (punto a punto EVC).
• Multipunto EVPLAN (Ethernet Virtual Private LAN) basado en MEF E-LAN (multipunto EVC).
• Multipunto Arraigado: Los servicios basados en MEF son las bases de EVC multipunto.
En la implementación de servicios de Ethernet con beneficios de T-MPLS se destaca:
• Mejor adaptación a la naturaleza de los servicios de paquetes como Ethernet.
• Una tecnología de transporte (por ejemplo, un carrier-grade OAM de tecnología de apoyo y protección a las capacidades de conmutación).
Transporte MPLS (o T-MPLS) es una nueva formulación de MPLS, diseñado específicamente para su aplicación en las redes de transporte. Se basa en la bien conocida y ampliamente desplegada IP/MPLS con sus tecnologías y normas, pero ofrece una implementación más simple, donde las características y aplicaciones no relevantes están orientadas a la conexión, se elimina la criticidad de la funcionalidad del transporte dirigido.
MPLS-TP
La capa de la sección T-MPLS protege contra cualquier falla que se detecta por el OAM T-MPLS en su sección. Las entidades protegidas: PTP y PT-MP conexiones de T-MPLS:
Interruptor de tiempo: el tiempo de finalización para la protección contra un solo fallo podrá ser inferior a 50 ms asumiendo una red de referencia con un anillo de 16 nodos y de menos de 1200 km de fibra y sin temporizador hold-off.
Tipos de tráfico
Tráfico normal: este tipo de tráfico debe ser protegido contra cualquier fallo único.
Tráfico Reemplazable sin protección: este tipo de tráfico no está protegido por el sistema de protección de anillo.
Objetivos de la red
Tiempo Hold-off: para evitar la cascada de la conmutación de protección en diferentes capas de la red cuando una red de capa inferior el mecanismo de protección se activa en combinación con el esquema de la capa de T-MPLS de protección. El uso de hold-off permite que la capa inferior para restablecer el tráfico de trabajo de la capa de T-MPLS inicia una acción de protección.
Espere para recuperar el tiempo: evitar la pérdida de la conmutación, es un esquema de protección en caso de inestabilidad si la red falla.
Alcance de la protección
Para un solo fallo, el anillo restaurará todo el tráfico normal que se pasa por el nodo.
El anillo debe restablecer el tráfico normal, si es posible, en condiciones de fallo múltiple.
Objetivos
El protocolo APS y el algoritmo del protocolo de conmutación deberá ser capaz de acomodar, como mínimo, hasta 127 nodos en un anillo.
El protocolo APS y las funciones asociadas OAM deberá adaptarse a la capacidad de actualizar el anillo (nodo inserción / extracción), lo que limita el posible impacto sobre el tráfico existente en el anillo.
Todos se extienden en un anillo que tendrá la misma prioridad en caso de fallos múltiples.
El protocolo APS deberá permitir la coexistencia de múltiples peticiones de cambiar el anillo como resultado de la combinación de fallas y solicitudes manual o forzada que resulta en el anillo de la segmentación en segmentos separados.
El protocolo APS es fiable y es lo suficientemente robusto como para evitar los casos de fallo y peticiones de cambios de las solicitudes de protección, así como la interpretación errónea de la solicitud.
Objetivos de la red
Modos de funcionamiento: permite el cambio reversivo.
Modos de protección: proporciona el cambio de protección bidireccional.
Control manual: Los siguientes comandos pueden ser iniciados externamente: Bloqueo de Trabajo, bloqueo de protección, cambio forzoso y comando Borrar.
Tipos de arquitectura
Embalaje:
La técnica de embalaje implica que el nodo que detecta un fallo envía una solicitud a través del protocolo APS con el nodo adyacente al fracaso.
Cuando el nodo detecta un fallo, o recibe una solicitud de puente a través del protocolo APS dirigidas a este nodo, el tráfico normal de transmisión hacia el salto no se cambia en la dirección opuesta (lejos de la falla). Este tráfico viaja por el camino largo de todo el anillo al otro nodo de conmutación en el que se enciende de nuevo en la dirección de trabajo. Los nodos de conmutación restablecer el flujo normal del tráfico, cuando se detecta falla o el protocolo de petición de APS se borra.
Los casos de uso más común para MPLS-TP incluyen MetroEthernet de acceso y agregación y transporte óptico de paquetes.
MPLS-TP contiene mecanismos de protección de camino, y funciones que se utilizan para apoyar estos escenarios de implementación.
Como parte de la familia MPLS, MPLS-TP complementan al protocolo IP. Las tecnologías de MPLS cierran las brechas en el acceso tradicional y agregación de transporte para proveer de extremo a extremo soluciones con costo mínimo de manera eficiente, confiable e interoperable.
2.2. Análisis a las características de MPLS
MPLS se trata de una técnica de encaminamiento de tráfico IP, no de un servicio. Por tanto, puede ser utilizado para entregar a los usuarios desde redes privadas virtuales IP (VPN IP) hasta Metro Ethernet, e incluso servicios ópticos. MPLS tiene sus raíces en las propuestas IP Switching (de Ipsilon), Tag Switching (de Cisco), ARIS (de IBM) y en algunas otras tecnologías ideadas con el propósito de llevar el tipo de ingeniería de tráfico característico de las redes orientadas a conexión, como ATM y Frame Relay, a las redes IP, no orientadas a conexión (connectionless).
Entre las principales ventajas que MPLS puede aportar a las organizaciones cabe destacar las siguientes [4]:
Ø Ahorros de costes: Dependiendo de la combinación específica de aplicaciones y de la configuración de red de una empresa, los servicios basados en MPLS pueden reducir los costes entre un 10 y un 25% frente a otros servicios de datos comparables (como Frame Relay y ATM). Y, a medida que se vayan añadiendo a las infraestructuras de Networking el tráfico de vídeo y voz, los ahorros de costes empiezan a dispararse alcanzando niveles de hasta un 40%.
Ø Soporte de QoS: Uno de los principales beneficios de los servicios basados en MPLS reside en su capacidad para aplicar calidades de servicio (QoS) mediante la priorización del tráfico en tiempo real, una prestación clave cuando se quiere introducir voz y vídeo en las redes de datos.
Ø Rendimiento mejorado: Debido a la naturaleza de “muchos a muchos” de los servicios MPLS, los diseñadores de red pueden reducir el número de saltos entre puntos, lo que se traduce directamente en una mejora de los tiempos de respuesta y del rendimiento de las aplicaciones.
Ø Recuperación ante desastres: Los servicios basados en MPLS mejoran la recuperación ante desastres de diversas maneras. En primer lugar, permiten conectar los centros de datos y otros emplazamientos claves mediante múltiples conexiones redundantes a la nube MPLS y, a través de ella, a otros sitios de la red. Además, los sitios remotos pueden ser reconectados fácil y rápidamente a las localizaciones de Backup en caso de necesidad; a diferencia de lo que ocurre con las redes ATM y Frame Relay, en las cuales se requieren circuitos virtuales de Backup permanentes o conmutados. Esta flexibilidad para la recuperación del negocio es precisamente una de las principales razones por la que muchas empresas se han encaminado por esta tecnología.
Ø Preparación para el futuro: Tras muchas pruebas y validación de resultados, la mayoría de las empresas han llegado a la conclusión de que MPLS representa “el camino del futuro”. La inversión en servicios WAN convencionales, como los citados ATM y Frame Relay, prácticamente se han paralizado.
2.3. Características operativas de MPLS
Algunas de las características a destacar:
Ø Los servicios basados en MPLS Nivel 3 Border Gateway Protocol (BGP) / VPN MPLS se basan en RFC 2547 [5].
Ø Los servicios de Nivel 2 Ethernet: Servicios de LAN Privada Virtual (VPLS); Transport-MPLS (T-MPLS); Provider Backbone Transport (PBT).
Ø ATM/Frame: Permite la emulación Pseudowire de extremo a extremo.
Ø Nivel 1 (óptico) Generalized MPLS (GMPLS).
Una vez analizada la documentación disponible acerca de MPLS, se presenta una revisión de los beneficios incluidos en el protocolo a nivel de capa 3[1]:
Velocidad
La variante más utilizada para encapsular servicios orientados a conexión ATM y Frame Relay sobre redes IP recibe el nombre de Pseudo Wire Edge to Edge Emulation (PWE3); este funciona definiendo túneles punto a punto a través de la troncal MPLS, y, efectivamente, trabaja bien con protocolos de red orientados a circuitos.
MPLS también puede utilizarse para soportar protocolos LAN no orientados a conexión, aunque ciertamente en este contexto no es la solución más adecuada. En este tipo de protocolos “connectionless” (principalmente Ethernet) es preferible una especificación diferente, denominada servicio de LAN privada virtual (VPLS), resolviendo algunos de los desafíos específicos relacionados con la extensión de Ethernet sobre redes WAN o de área metropolitana, como la escalabilidad y la disponibilidad. Otra especificación (en este caso, emergente) particularmente orientada a estos entornos es Transport-MPLS (T-MPLS) de la UIT, diseñada para simplificar el despliegue de servicios Ethernet.
Gestión inteligente del tráfico
Básicamente, MPLS se encarga de dirigir el tráfico IP a una variedad de rutas, en lugar de a la única descubierta por un protocolo de Gateway externo como BGP. El objetivo es evitar congestiones o fallos, como también hacer posible la aplicación de clases de servicio particulares o garantizar niveles de servicio específicos según tipos de tráfico.
Para conseguirlo, los Routers y Conmutadores MPLS añaden a los paquetes etiquetas con información sobre parámetros como destino, tipos de servicio asignados y Red Privada Virtual a la que pertenecen, entre otros. A medida que el paquete va atravesando la red, otros Routers y Conmutadores construyen tablas asociando los paquetes y las rutas (Label Switched Path –LSP) más adecuadas para encaminarlos según las etiquetas. Pero, dado que las etiquetas hacen referencia a las rutas y no a los puntos finales, varios paquetes con el mismo punto final como destino pueden utilizar diferentes LSP para llegar a él.
MPLS en acción
1. Un Switch / Router (LSR) adjunta una etiqueta MPLS al tráfico del cliente, con información sobre su destino, tipo de servicio o red VPN a la que pertenece.
2. Los LSR conmutan el tráfico basándose en la información de la etiqueta introducida por el LSR de entrada, en lugar de inspeccionar el interior del paquete IP. Esto acelera el procesamiento del tráfico.
3. Un LSR de salida elimina las etiquetas MPLS antes de trasladar el tráfico al punto final.
Procesamiento de tráfico en la Red
En contraste con los entornos que siguen topologías en estrella o con las arquitecturas en anillo o malladas parcialmente, como Frame Relay, la arquitectura completamente mallada de MPLS proporciona rendimiento sitio-a-sitio, minimizando así el retardo y el Jitter, y eliminando las demandas de ancho de banda adicional requeridas en el Host central para soportar todo el tráfico de la red en un mismo punto. En MPLS, el tráfico toma el camino más corto posible (o el más adecuado, según diferentes parámetros, como el nivel de congestión de las distintas rutas) para llegar a su destino.
Seguridad
Las empresas se benefician de la seguridad y privacidad ofrecida por MPLS tal como la proporcionada por las redes de Nivel 2, al tiempo que ganan la flexibilidad y escalabilidad de una arquitectura completamente mallada. MPLS esconde el núcleo de su infraestructura y se protege contra el Spoofing de etiquetas, haciéndolas resistentes a los ataques. En ella, el tráfico de cada cliente es separado lógica y físicamente dentro de la red. La dirección IP del cliente es completamente privada.
Protocolos de encaminamiento
MPLS soporta múltiples protocolos de encaminamiento IP, como encaminamiento estático, BGP, OSPF y EIGRP.
Gestión y monitorización de red
La complejidad de las redes dinámicas (como las infraestructuras MPLS) demanda una extensa documentación para una adecuada gestión. Con las herramientas de gestión online por parte del proveedor se pueden reducir enormemente la carga de la plantilla TI de la empresa, es importante entender el alcance y el coste de los servicios gestionados que ofrece cada operador, así como si tales servicios incluyen el seguimiento y la monitorización de la red en su totalidad o sólo de una parte.
3. Proceso de cambio hacia redes MPLS
Una red de convergencia basada en IP se construye sobre tres elementos claves [2]:
Ø Tecnologías que permitan ofrecer múltiples servicios sobre una red de datos.
Ø Una red multipropósito, construida sobre una arquitectura de red funcionalmente distribuida y basada en IP.
Ø Un sistema abierto de protocolos estándares, maduro e internacionalmente aceptado.
La arquitectura de MPLS es un estándar del IETF [5] que permite llevar a cabo procedimientos avanzados de ingeniería de tráfico y funciones de calidad de servicio, gracias a la separación de las funciones de enrutamiento y conmutación.
Por otro lado, los servicios diferenciados [6] son una arquitectura de protocolos, estandarizada por el IETF para proporcionar QoS basada en clases. En esta arquitectura cada paquete tiene un campo de tipo de servicio en su encabezado de tal manera que pueda ser colocado con los demás paquetes que pertenecen a la misma clase y se les garanticen los recursos y el tipo de servicio correspondientes. Por ejemplo, para transporte de paquetes de voz, se puede definir una clase con características de bajo retardo, mínima varianza del retardo y determinado ancho de banda, de manera que todos los paquetes que vengan marcados como pertenecientes a esta clase sean tratados de la misma manera, garantizando así la calidad de servicio requerida para tráfico de voz.
El uso de IP permite combinar operaciones, eliminar posibles puntos de falla, consolidar las funciones de directorio, contabilidad y seguridad. Finalmente, se pueden tener muchas aplicaciones que redundan en el incremento de la productividad y mejoras en la prestación de servicios. Como ejemplos sobresalientes de estas aplicaciones tenemos:
Ø Call Center: Entre otras muchas aplicaciones y beneficios que ofrece la red convergente.
Ø Mensajería unificada: Manejo de forma consolidada de mensajes de voz y datos.
Ø Asistencia personalizada: recibir la llamada de un cliente y con esta traer de una base de datos el perfil del mismo, permite también tener conferencias múltiples.
Ø Movilidad: Al estar integrado todo el tráfico sobre una misma red IP, los usuarios pueden disponer de todas las ventajas de su puesto de trabajo desde cualquier otra parte.
3.1. Retos técnicos a superar con MPLS
A continuación se revisará los diferentes retos técnicos tales como pérdida de paquetes, retardos y variaciones en el retardo. En esta sección se revisa rápidamente estos retos y cómo se solucionan en las Redes de Convergencia basadas en IP.
Perdidas de paquetes
Las pérdidas son un fenómeno común en todas las redes conmutadas por paquetes como las redes IP. En particular, no se establecen circuitos físicos entre extremos y los paquetes provenientes de diferentes fuentes se almacenan en colas en espera de ser transmitidos por el enlace de salida de cada enrutador. Un paquete que llega se pierde en la red si no encuentra espacio en la cola. Mientras más personas accedan a la red, los enrutadores más se congestionan y se produce la pérdida de paquetes.
La pérdida de paquetes puede causar daños severos a la calidad de la voz transmitida sobre IP, las técnicas empleadas para combatir este fenómeno buscan, en principio, reducir las pérdidas o, si no es posible, reparar el daño causado.
Variaciones en el retardo
La varianza de los tiempos entre llegadas de paquetes al receptor (Jitter) es potencialmente más impactante para VoIP que el retardo mismo. Justamente, la adecuada secuencia en el tiempo es una característica importante de la voz, de manera que si dos sílabas de una palabra se pronuncian con cierto intervalo entre ellas, ese intervalo es tan importante como las sílabas mismas y un retardo adicional entre ellas rompería el ritmo de la voz.
Estas variaciones se presentan por la variabilidad del retardo en las colas y por la posibilidad de que cada paquete tome una ruta diferente dentro de la red IP. Para controlar este fenómeno, el receptor almacena el primer paquete en un buffer anti-Jitter por determinada cantidad de tiempo antes de empezar a reproducirlo.
Tanto MPLS como cualquier otra tecnología debe (o debería) asegurar que sus redes pueden ofrecer una serie de servicios básicos como confidencialidad, disponibilidad, integridad y un rápido restablecimiento de las conexiones en caso de fallo. Para aplicar todo esto, es necesario crear una buena política de seguridad y plasmarla en un modelo acorde con los servicios que le gustaría ofrecer.
Seguridad ofrecida por MPLS
Para dar respuesta a la inquietud planteada en la introducción del documento y retomando el modelo de desarrollo y operación de MPLS se puede afirmar que:
De acuerdo al modelo de seguridad básico utilizado en las redes MPLS VPN [1]. Se pueden denotar la existencia de tres “módulos” diferenciados: las VPNs de los usuarios, las VPNs de la red MPLS VPN y el Core de la red MPLS VPN como se ilustra en la figura 7.
Figura 7. Modelo de referencia de seguridad base
Se puede observar que no existe ninguna conexión con ninguna red externa (Internet o Extranet). Las únicas conexiones que existen, son las que unen las VPN de los usuarios con su respectiva VPN. No existe por lo tanto ninguna conectividad entre VPNs distintas. El otro punto a tener en cuenta, es la inexistencia de vínculo entre el Core y las VPN existentes.
Por lo tanto, en este modelo básico se puede observar que existe una gran independencia de las VPNs con respecto al resto de VPNs y la red Core.
Como detalle adicional, en las conexiones de cada VPN, Intranet o Extranet, se sitúa un Firewall/NAT para asegurar la privacidad y evitar solapamientos de direcciones entre redes.
VPN
Una VPN puede ser definida como una ruta física temporal que se forma sobre una red pública. El tipo más común de red virtual privada opera en la capa de enlace de datos del modelo OSI (capa 2) o la capa de red (capa 3). Además existen unos tipos de VPN que no son muy populares, las cuales operan en la capa de transporte (capa 4) mientras que el protocolo de distribución de claves de unos tipos estandarizados de VPN, operan en las capas de sesión, presentación y aplicación (capas 5, 6 y 7).Al ser la VPN establecida sobre una red pública, la seguridad juega un papel importante en su implementación. [18]
Existen varias tecnologías que las VPN´s usan para proteger los datos que viajan a través de las redes públicas, en especial internet. Los conceptos más importantes son Firewall, Autenticación, Encriptación, y Entunelamiento.
Firewall
El Firewall es el dispositivo (Hardware o Software) que examina los paquetes direcciones o puertos de las conexiones entrantes y salientes y decide que tráfico es permitido en la red. La principal finalidad de este es mantener a los intrusos alejados de la redes que se van a conectar, y las redes de los clientes de la VPN [19].
Autenticación
La autenticación es el acto de verificar la identidad de alguien o algo en un contexto definido. En un mundo de siete billones de personas no es suficiente simplemente declarar que se es quien se dice ser, se debe probarlo. La autenticación involucra usualmente la interacción entre dos entidades: el objeto de la autenticación (un usuario o un cliente) que afirma su identidad y un autenticador realizando la verificación de la identidad. El usuario entrega información de autenticación la cual incluye la identidad proclamada y la información que soporta dicha identidad al autenticador. En la labor de verificación, el autenticador aplica una función de autenticación que le entrega información y luego compara el resultado de esta operación con el resultado esperado.
Encriptación
Frecuentemente los Passwords o llaves de encripción son utilizadas para encriptar los datos. Si los dos extremos utilizan la misma llave para encriptar y desencriptar, se conoce como encripcion simétrica. La llave de encriptación debe colocarse en todas las maquinas que van a conectarse a la VPN.
Entunelamiento
Es la técnica utilizada por las VPN, de tal forma que los paquetes de datos son enrrutados por la red pública (Internet o alguna red comercial), en un túnel privado que simula una conexión punto a punto. Este recurso hace que por la misma red puedan crearse muchos enlaces por diferentes túneles virtuales a través de la misma estructura [20].
Con el Entunelamiento se encapsula un paquete IP dentro de otro paquete IP. Esto quiere decir que se puede mandar paquetes de una fuente arbitraria y una dirección de destino a través de Internet, dentro de un paquete que tiene una dirección de origen y destino enrutable en Internet. Una de las ventajas es que se puede utilizar una dirección reservada (no enrutable en Internet) asignada por la IANA (Internet Assigned Numbers Authority) para redes privadas (LAN), y aun así acceder los hosts a través de Internet [19].
Con todo esto queda claro que:
Ø Con MPLS se consigue la separación de direcciones, tráficos y VPNs.
Ø Se consigue tanto escalabilidad como seguridad ya que ni el Core ni las diversas VPN son alcanzables entre sí.
Ø Es imposible introducirse en otra VPNs que no sea la que se tiene asignada.
Ø No se puede acceder desde el exterior al Core a menos que se autorice a ello.
MPLS trata a todos los mensajes que arriban por una VPN como mensajes de esa VPN, y por lo tanto no circulan a otro lugar (ni a las direcciones internas del Core, ni a otras VPN). Por lo que un ataque desde el exterior a cualquier elemento interno de la red es muy difícil de conseguir en redes MPLS.
Razones para utilizar MPLS en redes convergentes
El encapsulado de la voz en paquetes IP utiliza técnicas de compresión que mejoran sensiblemente las que ya están definidas actualmente, proporcionando capacidad extra para las tramas de voz en redes IP. Sin embargo, existe una deficiencia en cuanto al encaminamiento de los paquetes de voz en el núcleo IP, lo cual no garantiza los requisitos mínimos de calidad en el transporte de tráfico de voz.
Es por ello que se toma al protocolo MPLS como base para el diseño de la red de VoIP, debido a que esta tecnología está en capacidad de ofrecer calidad de servicio (QoS) en el transporte de voz. Dado que el protocolo IP no garantiza el éxito de la transmisión, por lo que no pareciera adecuado para el transporte de la voz, debido a que ésta requiere que los paquetes lleguen en un determinado orden para asegurar una comprensión total de la misma.
Garantizar calidad de servicio en base a retardos y ancho de banda disponible no es realmente posible sobre una red IP, razón por la cual se deben agregar mecanismos adicionales para garantizar un QoS apropiado. Este ha sido hasta el momento el gran impedimento para el despliegue masivo de la transmisión de voz sobre redes IP; sin embargo, se han desarrollado algunos mecanismos para mejorar la QoS, diferenciando los paquetes de voz de los paquetes de datos, priorizando la transmisión de los paquetes de voz y haciendo que los retardos asociados a la transmisión de éstos no superen los 150 ms. En lo relacionado con la priorización se tiene algunas alternativas:
Ø Asignación de un porcentaje de ancho de banda disponible.
Ø Establecer prioridad en las colas.
Ø Evitar tablas de Routers intermedios.
Ø Establecer rutas por paquetes; mediante la asignación al tráfico de menor carga.
A continuación se describe los factores que afectan la QoS:
Retardo de los paquetes de voz: El retardo máximo para una comunicación de buena calidad de extremo a extremo según el ITU es de 150 ms. Cabe destacar que la apreciación de la calidad de una comunicación de voz tiene una alta componente subjetiva, dependiendo de la razón calidad/precio que se le asigne al servicio. Retardos de tales magnitudes pueden resultar inadmisibles para muchos usuarios, especialmente en conversaciones de negocio y video conferencia, pero pueden resultar tolerantes para usuarios en que el factor precio no es el más importante.
Latencia: Retardo total de los paquetes entre fuente y destino a través de la red.
Jitter: Este parámetro resulta crítico para aplicaciones en tiempo real como la voz y representa la variación en los tiempos de llegada de los paquetes que viajan por las diversas rutas o nodos con diferentes estados de congestión. Una alternativa para mejorar el Jitter es incorporar la técnica de Buffering en los nodos, de tal manera de ir almacenando los paquetes en el interior de un Buffer y así darles un retardo constante. La idea básica es que si el Buffer está vacío, el paquete tardará un período de tiempo T constante (por ejemplo de 20 ms) en atravesarlo y si el Buffer está con paquetes, los entrantes empujan a los que están en su interior de tal manera que estos salgan con el mismo período T de tiempo.
Pérdida de paquetes: La pérdida de paquetes también afecta la calidad de la voz, pero el porcentaje admisible depende en alguna medida de los algoritmos de compresión usados. Algunos, bajo ciertas condiciones, recuperan errores. El límite máximo de pérdida de paquetes se sitúa alrededor del 8% y 10%.
Los factores que se han enunciado son los más importantes a tener en cuenta al momento de buscar por que se deteriora la calidad de la voz. Los valores tolerables de estos varían dependiendo de la marca de los equipos, siendo un límite para estos valores los siguientes:
El Jitter entre el punto inicial y final de la comunicación debiera ser inferior a 100 ms. Si el valor es menor a 100 ms el Jitter puede ser compensado de manera apropiada. En caso contrario debería ser minimizado.
La latencia o retardo entre el punto inicial y final de la comunicación debiera ser inferior a 150 ms. El oído humano es capaz de detectar latencias que van de 200 a 250 ms en el caso de personas bastante sensibles. Si se supera ese umbral la comunicación se vuelve molesta.
El oído humano es capaz de detectar el eco cuando su retardo con la señal original es igual o superior a 10 ms. Pero otro factor importante es la intensidad del eco ya que normalmente la señal de vuelta tiene menor potencia que la original. Es tolerable que llegue a 65 ms y una atenuación de 25 a 30 dB.
La perdida de paquetes máxima admitida para que no se degrade la comunicación deber ser inferior al 1%. Pero es bastante dependiente del Codec que se utiliza. Cuanto mayor sea la compresión del Codec más pernicioso es el efecto de la pérdida de paquetes.
La implementación de MPLS como una solución IP sobre Ethernet, Fast Ethernet o Gigabit Ethernet, es la conocida como IP pura. Puesto que IPv4 es un protocolo diseñado mucho antes que MPLS, en este caso, la etiqueta MPLS está ubicada después de la cabecera de nivel 2 y antes de la cabecera IP. Los LSR saben cómo conmutar utilizando la etiqueta MPLS en vez de utilizar la cabecera IP. El funcionamiento de IPv4 ha sido totalmente satisfactorio, no obstante, el sorprendente crecimiento de Internet evidenció importantes carencias, como: la escasez de direcciones IP, la imposibilidad de transmitir aplicaciones en tiempo real y los escasos mecanismos de seguridad. Estas limitaciones propiciaron el desarrollo de la siguiente generación del protocolo Internet o IPv6, definido en la RFC 1883. La versión IPv6 puede ser instalada como una actualización del software en los dispositivos de red de Internet e interoperar con la versión actual IPv4, produciéndose esta migración progresivamente durante los próximos años. En este caso, la etiqueta MPLS forma parte de la propia cabecera IPv6, estando su uso descrito en la RFC 1809.
4. IMPLEMENTACIÓN DE UN ENLACE REDUNDANTE CON MPLS
Una de las facilidades que aporta MPLS a los clientes de las redes BackBones, es que pueden seguir utilizando su rango de direcciones sin ningún problema. MPLS, mantiene separados los rangos de direcciones de las VPNs y el Core a través de un formato de empaquetamiento, la figura 8 ilustra esta consideración.
Figura 8. Modelo de referencia de seguridad base
Así pues, desde la perspectiva de los proveedores de servicios de comunicación, es de fundamental importancia introducir nuevos servicios en respuesta a las necesidades de sus clientes para poder adquirir y mantener una porción del mercado. Y desde la perspectiva de los fabricantes de equipos, esta condición les exige la rápida innovación de sus equipos y sistemas.
Es en estas condiciones donde las redes de convergencia basadas en IP adquieren su importancia. A diferencia de los modelos de servicios integrados anteriores, las redes de convergencia basadas en IP permiten aprovechar las habilidades de los desarrolladores de aplicaciones de la Internet en la innovación y desarrollo de nuevos productos, reduciendo significativamente el tiempo de introducción al mercado. Más aún, como los fabricantes no pueden construir todas sus soluciones “desde cero”, deben recurrir al Outsourcing y, para que este sea efectivo, las soluciones deben basarse en estándares abiertos, de manera que los diferentes equipos y redes puedan interoperar. [1] Estas condiciones no sólo se presentan en redes alambradas sino en redes móviles inalámbricas, donde el advenimiento de la tercera y cuarta generación implica la transición de la conmutación de circuitos a la conmutación de paquetes para convergencia de servicios.
Tras haber realizado el proceso de análisis y evaluación al concepto de Redes Convergentes y del Protocolo MPLS, de los servicios y procesos que ofrecen. Se evidencia las mejoras y bondades que ofrece MPLS, al poner al servicio de los IPS y clientes finales su robustez y sencillez; para finalizar entre lo más destacado se tiene:
1. El surgimiento de MPLS con su eficiencia para poder crear caminos explícitos entre dos nodos de una red es un mecanismo fundamental para poder realizar Ingeniería de Tráfico.
2. Las tecnológicas anteriores como ATM ocultan el Core, porque trabaja a nivel 2, mientras que MPLS lo hace a nivel 3. Sin lugar a dudas, la ocultación es un gran beneficio en la lucha contra los atacantes de redes. Poder ocultar la red, significa que los atacantes no tienen posibilidad de conocer direcciones internas que puedan ser atacas. Para poder atacar un elemento interno de una red, primero se debe conocer su dirección. Y MPLS no revela ninguna información sobre el Core al exterior.
3. Con las redes MPLS, las empresas se benefician de la misma (o mejor) seguridad y privacidad que la proporcionada por las redes de Nivel 2, al tiempo que ganan la flexibilidad y escalabilidad de una arquitectura completamente mallada.
4. Los centros de datos redundantes que se pueden crear fácilmente en las redes MPLS brindan además a las empresas opciones más flexibles de recuperación ante desastres, al eliminar la dependencia de la localización del Host. Esta arquitectura de “cualquiera a cualquiera” reduce la complejidad, haciendo así más sencillo para las organizaciones administrar y añadir nuevas localizaciones o redirigir prioridades de tráfico dinámicamente según las condiciones de la red.
5. MPLS constituye una tecnología WAN altamente flexible que también permite diferentes opciones de acceso local, distintos niveles de QoS y coberturas de red variables.
5. CONCLUSIONES
Ø La evolución imparable de las tecnologías dirigidas al desarrollo de redes de alta disponibilidad hace extenuante la labor de análisis y recopilación de soluciones. Más cuando se habla de ideas abiertas a opiniones y expuestas a posibles (y probables) modificaciones.
Ø MPLS apareció solventando los problemas y aportando escalabilidad y control sobre las redes IP. De modo que una de las mayores dudas que se plantean ahora es ¿cuánto tiempo podrá estar MPLS en la cabeza de las propuestas para el soporte de IP? Y la segunda pregunta es ¿Batirá record de permanencia como IP, que va a cumplir 25 años? Solo los avances e investigaciones lo dirán.
Ø El paradigma del desarrollo tecnológico dirigido a la conmutación de paquetes aporta mayor escalabilidad de redes, mayor control en la QoS y, lo que más importa a las empresas, mayor control sobre la Ingeniería del Tráfico (Accounting y gestión de recursos). Siendo MPLS, el ejemplo que engloba todas estas características estableciendo que MPLS es tan segura como los protocolos que trabajan a nivel 2.
Observaciones al modo de operación de VoIP:
Ø MGCP (Media Gateway Control Protocol), es un protocolo que soporta un control de señalización de llamada escalable. El control de QoS se integra en el Gateway o en el controlador de llamadas. Así MGCP es compatible con Normas de IETF y H323 lo hace ideal para aplicaciones de multimedia sobre redes IP.
Ø Los mensajes MGCP viajan sobre UDP, por la misma red de transporte IP y su sesión puede ser punto-a-punto o multipunto.
Beneficios que aporta MPLS:
Ø MPLS Permite al Backbone expandirse sobre las capacidades de la ingeniería de tráfico.
Ø Utilizando MPLS las capacidades de la ingeniería de tráfico son integradas a la capa 3, lo que optimiza el ruteo de trafico IP gracias a las pautas establecidas por la topología y las capacidades de la troncal.
Ø La ingeniería de tráfico MPLS rutea el flujo del tráfico a lo largo de la red, basándose tanto en los recursos que dicho flujo requiere con la disponibilidad en la red.
Ø MPLS emplea la ruta más corta que cumpla con los requisitos del flujo de tráfico que incluye: requisitos de ancho de banda, de medios y de prioridades sobre otros flujos, parámetros configurables por el proveedor de servicios.
Ø MPLS proporciona a IP capacidades TE: Túneles con trayectos explícitos, protección de rutas y QoS extremo a extremo, cuyas características son seguras y robustas.
Ø MPLS permite el transporte de tráfico no-IP: TDM, ATM, SDH, HDLC, Ethernet.
Ø MPLS Desarrolla sofisticados y flexibles modelos de VPN de nivel 3.
Ø MPLS Facilita la migración desde IP a MPLS.
Ø MPLS Proporciona las capacidades opcionales de gestión: Administración y no administrados, opciones disponibles que le proporciona el nivel de control estratégico que necesita una organización.
Ø La arquitectura flexible y robusta de red y de las comunicaciones unificadas entre todos los lugares con MPLS; permite proporcionar de Cualquier a Cualquier sitio conexión entre clientes.
6. REFERENCIAS
[1] Escuela de Ingeniería de Castelldefels. http://upcommons.upc.edu/pfc/bitstream/2099.1/3716/2/40393-2.pdf, [En línea], Consultada: 23/05/2011.
[2] Mi tecnológico, Artículo: Redes Convergentes, http://www.mitecnologico.com/Main/RedesConvergente, [En línea], Consultada: 12/5/2011.
[3] Dialnet, Artículo: Redes convergentes, http://dialnet.unirioja.es/servlet/articulo?codigo=2332462, [En línea], Consultada: 12/5/2011.
[4] Blogs de la gente, Artículo: Migración a MPLS. http://blogsdelagente.com/planetadigital/2008/09/29/migracion-mpls-por-que-cuando-com/, [En línea], Consultada: 12/5/2011.
[5] Normas de internet, Artículo: RFC 2547, http://www.normesinternet.com/normes.php?rfc=rfc2547&lang=es, [En línea], consultada 21/06/2011.
[6] Normas de internet, Articulo: RFC 3747, http://www.normesinternet.com/normes.php?rfc=rfc3747&lang=es, [En línea], Consultada: 24/06/2011.
[7] Normas de internet, Articulo: Projecte fi de carrera. Redes ópticas transparentes, http://upcommons.upc.edu/pfc/bitstream/2099.1/4741/1/MEMORIA.pdf, [En línea], Consultada: 29/08/2011. [En línea], Consultada: 24/06/2011.
[8] Escuela politécnica Nacional, Articulo: Análisis de la tecnología MPLS orientada a la transmisión de voz.
http://dspace.epn.edu.ec/bitstream/15000/8690/4/T10784CAP2.pdf [En línea], Consultada: 27/06/2011.
[9]Cisco IOS MPLS Quality of Servic
www.cisco.com/warp/public/cc/pd/iosw/prodlit/mpios_wp.pdf [En línea], Consultada: 28/06/2011.
[10]http://atorresa.wordpress.com/2007/01/14/factores-que-afectan-la-calidad-de-la-voip [No disponible], Consultada: 20/06/2011.
[11] Nuntius, Articulo: Quality of Service and Multi-Protocol Label Switching White Paper, www.nuntius.com/docs/QoSandMPLS1.pdf [En línea], Consultada: 05/07/2011.
[12]MPLS,http://halley.ls.fi.upm.es/jyaguez/pdfs/TRANSCUARTOmplsfebrero2007.pdf [En línea], Consultada: 05/07/2011.
[13] Cisco IOS MPLS Quality of Servic, http://www.cisco.com/univercd/td/doc/cisintwk/ito_doc/ 111 [En línea], Consultada: 05/07/2011.
[14] Protocolos, MPLS, www.protocols.com/pbook/mpls.htm#MPLS, [En línea], Consultada: 05/07/2011.
[15] ITU-T Recommendation G.8080/Y.134 Amendment 1 (03/2003), Architecture for the automatically switched optical network (ASON). [En línea], Consultada: 05/07/2011.
[16]“Funcionalidad de las redes conmutadas ASON”. Carlos J. Fuentemayor Toro Revista AHCIET: revista de telecomunicaciones, Nº. 94, 2003.
[17]”Thomas E. Anderson, David E. Culler and David A. Patterson.”
Case for NOW (Networks of Workstations) IEEE Micro, p.p. 54-64, Febrero 2009.
[18] G. Held, Virtual private networking, John Wiley and Sons, 2004.
[19] C. Scott, P. Wolfe, y M. Erwin, Virtual private networks, O'Reilly Media, Inc., 1999.
[20] Fundamentos y aplicaciones de seguridad en redes WLAN, 2006.
No hay comentarios:
Publicar un comentario