En
este artículo se pretende describir en qué consiste una red privada virtual o VPN
(Virtual Private Network), analizando sus funcionalidades y realizando una comparativa
entre las tecnologías existentes para implementarlas.
Estas tecnologías son usadas por los proveedores para ofrecer el
servicio a los clientes, y en función del tipo de implementación escogida, se les
ofrecerá uno u otro tipo de servicio.
Supongamos, que una organización dispone de una oficina central y una serie de
delegaciones en otras localizaciones geográficas (Figura 1). La comunicación entre la
central y las delegaciones debe ser fluida y segura para facilitar el trabajo dentro de la
organización. Habitualmente en la sede central residen los servidores de bases de datos,
de correo y aplicaciones necesarias para el trabajo diario del personal.
En este caso se plantean tres diferentes opciones para interconectar las oficinas:
• Una primera posibilidad es ser propietario de las líneas punto a punto que unan
las delegaciones con la central. Esta solución tan simple es extraordinariamente costosa
y necesita de licencias para instalar las líneas. Esta solución no es rentable.
• Una segunda opción es alquilar para uso exclusivo las líneas punto a punto que
unen la central con las oficinas. Esta solución aún siendo más económica que la
anterior sigue siendo excesivamente costosa.
• Una tercera solución consiste en contratar con un proveedor de servicios una red
privada virtual (VPN). Este proveedor ofrecerá su propia red para interconectar las
oficinas. La red del proveedor es pública, ya que la pueden usar otras organizaciones,
pero el proveedor se compromete a que los datos procedentes de una compañía no van a
llegar a otras entidades. Igualmente, el proveedor garantiza la confidencialidad de la
información. Esta última solución es económicamente la más rentable y los problemas
de seguridad son mínimos teniendo en cuenta las ventajas que aporta.
Las Redes Privadas Virtuales están entrando con mucha fuerza en las estructuras
empresariales actuales. La curva del volumen de negocio generado por las VPN será
exponencial si la realidad se ajusta finalmente a las previsiones, de tal manera que los
ingresos debidos a IP-VPN en el año 2000 en Estados Unidos fueron de €1.15MM, y se
esperan unos ingresos de €8.85MM para el año 2005.
Posibilidades técnicas
La forma de proveer este servicio por parte de los proveedores está muy condicionada por
la infraestructura de sus redes de datos.
Las soluciones más comunes son las siguientes:
• Mediante circuitos ATM
• A través de túneles tradicionales (GRE, IP-IP, etc.)
• Utilizando IPSec
• Implementando MPLS
Se analizan a continuación cada una de estas opciones.
Circuitos ATM
ATM son las siglas de Modo de Transmisión Asíncrono (Asynchronous Transfer Mode). Esta
tecnología define únicamente dos velocidades de transmisión, STM-1 (155Mbps) y STM-4
(620Mbps).
La tecnología ATM está ampliamente extendida, aunque actualmente se está sustituyendo
por medios de transmisión síncronos y ópticos.
Para suministrar Redes Privadas Virtuales con ATM lo que se hace es reservar Circuitos
Virtuales Permanentes (PVC) del ancho de banda deseado entre las sedes que se desean unir.
Esta solución está empezando a entrar en desuso por varias razones.
• Tiene el problema del N2, lo que quiere decir que en caso de tener N centros, si
quiero conectarlos con todos los nodos restantes, hay que proveer N*(N-1) enlaces y esto
puede llegar a suponer una cantidad excesiva. Así para interconectar 50 nodos, se
necesitan 2450 enlaces.
• El tráfico actual mayoritario es IP. La gestión de las redes ATM es diferente del
de IP, con lo que se tienen que duplicar dichos sistemas (uno para IP y otro para ATM).
Esto supone duplicar esfuerzos tanto en operación y mantenimiento como en recursos
humanos.
Túneles IP
En las redes que no utilizan ATM como protocolo de transporte, se pueden realizar túneles
IP. En este caso los datos viajan a través de la red como si hubiese un enlace virtual
entre cada nodo origen y cada nodo destino.
Los túneles IP aportan pocas ventajas sobre los PVC ATM salvo la independencia del medio.
Los PVC sólo valen para ATM, y los túneles al ser IP están por encima del nivel físico
y de enlace, siendo en teoría independientes del medio de transmisión.
El túnel más común es GRE (Generic Routing Encapsulation)
Una arquitectura típica cuando se usan túneles es hacer pasar estos por un
“Concentrador de Túneles”. Este equipo suele ser un equipo de gran potencia y
bastante costoso. Además el tráfico tipo “túnel” no suele ser observado por
los routers, con lo que se pierde la información de la cabecera IP como los bits de
precedencia, impidiendo las políticas tradicionales de QoS.
Túneles IPSec
Este protocolo está siendo desarrollado por el grupo de trabajo de seguridad del IETF
(Internet Engineering Task Force).
El protocolo IPSec surgió a partir del desarrollo de Ipv6. Empezó siendo una extensión
de la cabecera en Ipv6, pero debido a que cubría las necesidades de un gran número de
clientes, se decidió implantar en parte para Ipv4.
IPSec tiene como característica más importante la posibilidad de encriptar los datos
transmitidos. Esta cualidad es hoy en día el gran valor que tiene este protocolo y es lo
que está permitiendo su rápida difusión en el mundo empresarial.
Sus desventajas son varias:
• Es un protocolo complejo.
• Su configuración es complicada.
• Requiere configuración en el cliente.
• Tiene una provisión lenta y complicada.
A pesar de estos inconvenientes IPSec está teniendo una gran difusión en las redes
actuales debido a la seguridad que proporciona tener los datos encriptados.
Multi Protocol Label Switching (MPLS)
Este protocolo también está siendo estandarizado por el IETF, dentro del grupo de
trabajo subIP. Al ser un grupo de trabajo diferente al que desarrolla IPSec, ambas formas
de implementar VPN se están desarrollando de forma simultánea.
MPLS es un protocolo que se encapsula por encima de los protocolos de nivel de enlace,
pero por debajo de IP. Básicamente lo que se consigue es decrementar el tiempo de
resolución del “next-hop” para los paquetes IP.
El protocolo de señalización usado para MPLS es RSVP. Este protocolo es un estándar en
Internet para la reserva de recursos. Con RSVP se pueden reservar anchos de banda
mínimos, se permite la gestión del tráfico según su origen y según su tipo.
Actualmente representa la forma más completa y sencilla de implementación de técnicas
de ingeniería de tráfico.
Las Redes Privadas Virtuales implementadas con MPLS sólo se aplican al backbone del
proveedor. Esto significa que el cliente sólo tiene que solicitarla y el proveedor se
encarga de provisionarla y de hacerla activa sin afectar al cliente.
Las VPNs implementadas sobre una red MPLS, contará con una latencia baja. RSVP también
permite técnicas de protección de los caminos MPLS, con lo que a pesar de la caída de
algún enlace del backbone del proveedor, no se apreciará la pérdida de conectividad en
ningún instante (siempre y cuando exista un camino físico alternativo).
Este protocolo basa las VPN en la creación de una tabla de rutas distintas para cada VPN.
Esto permite el solapamiento de direcciones y por tanto la reutilización del espacio de
direcciones. Para los clientes esto añade una ventaja más ya que puede crear una VPN sin
necesidad de cambiar el direccionamiento de sus equipos. La creación de una tabla de
rutas por VPN separa el tráfico de diferentes VPN de forma lógica. En la Figura 2 se
puede ver una arquitectura de una VPN sobre MPLS.
Conclusiones
Actualmente las tecnologías preferidas para suministrar VPN son IPSec y MPLS, ya que
además son las estandarizadas por el IETF. Las operadoras están en un proceso de
migración de redes ATM a redes IP puras con MPLS. Esta migración se aconseja por la
rentabilidad económica que aporta MPLS y por las herramientas que proporciona para la
realización de ingeniería de tráfico, QoS y el despliegue rápido y sencillo de VPNs.
MPLS está adquiriendo protagonismo en los backbones e IPSec en los clientes. La tendencia
a medio plazo será utilizar IPSec para encriptación de datos y MPLS para la provisión
de servicios como VPN y la optimización de tráficos dentro de la red del proveedor.
|
