Transmissió de Dades
Problemes de "Interconnexió de xarxes privades"
1. Sota quines circumstà ncies una VPN enviarà molts més datagrames per Internet que una internet tradicional, quan s’envia la mateixa quantitat de dades?
Una VPN, debido a la necesidad de cifrado y tunneling, necesitará por lo general enviar más información por Internet que una internet tradicional. Lo cual no significa que en todos los casos tengan que enviarse más datagramas, aunque sà de mayor tamaño.
Una VPN necesitará enviar muchos más datagramas que una internet tradicional cuando la cantidad de datos a transmitir sea grande, es decir, cuando haya muchos datagramas en los que los datos ocupen toda la capacidad del datagrama, ya que la una internet tradicional podrá enviar una cantidad de datos "efectivos" mayor en cada datagrama, mientras que la VPN ocupará parte de ese espacio para el cifrado y el tunneling.
Una cantidad de datos igual a la capacidad para datos de un datagrama (tamaño del datagrama=MTU) , una internet tradicional lo enviarÃa en un único datagrama, pero una VPN necesitarÃa, con casi toda seguridad, dividirlo en dos datagramas al salir de la red interna hacia Internet, por la información "añadida" en el cifrado y tunneling. Aunque el segundo datagrama serÃa pequeño, ya serÃan dos datagramas frente a uno de la internet tradicional.
- Aunque el tamño del datagrama fuera menor que el MTU, se seguirÃan enviando 20 bytes más por VPN. Es necesaria la negociación de seguridad : protocolo de cifrado y tunneling.
2. Comenta les restriccions que tindran tres xarxes amb espais d’adreçament diferents connectades a través de dos routers fent NAT.
Suposem que tenim 3 xarxes diferents(les anomenarem A, B i C) i dos routers utilitzant NAT (els anomenarem R1 i R2) configurats de la següent manera: A <-> R1 <-> B <-> R2 <-> C
La xarxa A podrà accedir a través de R1 a la xarxa B sabent les IPs internes a las que ha d'accedir, però no podrà accedir a la xarxa C si R2 no te configurada la redirecció de paquets. De la mateixa forma, la xarxa C pot accedir a la xarxa B a través de R2, però no a la xarxa A (depenent de R1). En canvi, la xarxa B podrà accedir a totes dues xarxes contigües a través de R1 (xarxa A) i R2 (Xarxa C).
()[23/11]
3. A l’exercici anterior, quantes vegades es traduiran les adreces de destinació? I les d’origen?
1 Un enviament de la xarxa 1 a la 2 cambiarà una vegada l'adreça d'origen i no cambiarà la de destinació.
2 Un enviament de la xarxa 1 a la 3 cambiarà dues vegades l'adreça d'origen mentre que no cambiarà la de destinació.
En tots dos casos si hi ha resposta o ACK es cambiarà les mateixas vegadas la direcció de destà com es va cambiar la d'origen
Ãndex
()[23/11]
4.
Considera el cas dels missatges ICMP de "host unreachable". Quantes
traduccions d’adreces hi haurà en un escenari com l’anterior?
Quantestraduccions deports?
En el cas dels missatges ICMP de "host unreachable" es farà n (suposant que el router2 envia el ICMP a un host de la xarxa1):
1 Un canvi d'adreces en el router1 per a adaptar l'adreça de destinació a la del host d'origen
2 No hi haurà cap canvi de traducció de port ja que ICMP no te aquest concepte
Ãndex
5. Imagina que construïm una internet paralel.la a la Internet, que utilitzés el seu mateix espai dadreçament. PodrÃem utilitzar NAT per interconnectar-les, considerant que totes dues són arbitrà riament grans?
- No podriem ja que igualment totes les adreces dins la "intranet" haurien de ser diferents entre sÃ. I al agafar el model d'internet extremadament gran, no podriem assegurar que això passes...
- No es pot formar una xarxa amb ip's repetides.
(DavidSánchez)[13/11]
6.
De quina manera podem detectar des de l’exterior la presència de més
d’un host darrere d’un router NAT? I com podrÃem detectar des de
l’interior si estem darrere de NAT?
Per a detectar la presencia de més d'un host darrere d'un router NAT podem veure que, en certs SO's , el camp ID de la capçalera IP és un contador. Per tant, els paquets enviats de mà quines individuals, poden ser aïllats i d'aquesta manera es poden detectar quantes mà quines hi han darrere d'un router NAT.
(DavidSánchez)[13/11]
7.
Tenim una xarxa privada amb un servidor (10.0.0.2). El nostre router fa
NAT (SNAT) i a més permet l’accés des d’Internet (els datagrames al
port 80 seran re-encaminats al port 8080 del servidor intern (DNAT)).
Mostra el contingut de la taula NAT després que un client s’hagi
connectat des d’Internet. Mostra també les connexions tal com les veuen
client, servidor i router.
- l'estructura de les connexions son (Ip destÃ:port, Ip origen:port).
- El servidor intern te IP = 10.0.0.2 amb port (intern) d'aquest servidor = 8080
- La direcció NAT = 168.192.0.2
Arribada de la connexió al router |
(168.192.0.2:80 , 158.192.0.14:14041) |
DNAT veu la connexió següent |
(10.0.0.2:8080 , 158.192.0.14:14041) |
Client: |
(158.192.0.14:14041 , 168.192.0.2:80) |
FONT:
http://www.monografias.com/trabajos20/traductor-nat/traductor-nat.shtml
Ãndex
8. En el mateix escenari, suposa que tenim dos hosts interns més. Tots dos accediran al mateix servidor extern utilitzant el mateix port local. Mostra la taula de NAT i les connexions a les tres mà quines.
- Entendemos de mismo puerto local como mismo puerto interno... y suponemos que al puerto http (80) del server. A mas de lo anterior como se muestra antes de ... tendremos:
IPint |
?PortInt |
IPext |
?PortExt |
?PortNat |
10.0.0.2 |
8080 |
64.233.161.147 |
14008 |
80 |
... |
... |
... |
... |
... |
10.0.0.7 (Adreça interna) |
21037 |
64.233.128.150 |
80 |
14004 |
10.0.0.8 (Adreça interna) |
21037 |
64.233.128.150 |
80 |
14005 |
Arriba la següent connexió al router de primer host: |
|||
Ip host |
Port intern |
Ip |
port |
10.0.0.7 |
21037 |
64.233.128.150 |
80 |
Arriba la següent connexió al router del segon host |
|||
10.0.0.8 |
21037 |
64.233.128.150 |
80 |
Clients |
|||
10.0.0.1 (router) |
21037 |
64.233.128.150 |
80 |
Server primer host |
|||
64.233.128.150 (server) |
80 |
159.110.71.161 (Direcció NAT) |
14004 |
Server segon host |
|||
64.233.128.150 (server) |
80 |
159.110.71.161 (Direcció NAT) |
14005 |
()[23/11]
9. Creus que pot ser interessant en algun escenari conèixer quants hosts hi ha darrera d’un router NAT? Raona la teva resposta.
Si, en alguns casos
pot ser interessant saber quants hosts hi ha darrera d'un router.
Aquest podria ser el cas en el que es volgués fer un mapa de la xarxa i
calgués saber el nombre de hosts per a poder-lo dibuixar. Un altre cas
en el que això podria ser necessaria serÃa el cas d'un ISP que vulgui
limitar el nombre de pc's que accedeixen a la xarxa a través d'una ip
pública.
Ãndex
()[13/11]
10. Suposa que el router NAT que interconnecta una VPN a Internet té diverses interfÃcies i reencamina també el trà fic intern. A on es farà NAT, a les interfÃcies internes o a l’externa? Per què?
A la intercÃcie
externa, no tendrÃa molt sentit utilitzar-lo a les interficies internes
perque l'us principal de NAT sorgeix per no disposar d'adreçes
públiques suficients.
Ãndex
11. PodrÃem connectar xarxes privades diferents (p.e. Ethernet i ATM) utilitzant VPN? Raona la resposta.
Segons el principi de la tècnica de tunneling, que s'utilitza a les VPN, funcionarÃa sobre IP i no tindrÃem cap problema. Aixó es degut a que no depèn de les capes inferiors. Com a exemple podrÃem citar els túnels que es creen a les connexions per Internet, a on independentment del tipus de xarxa que hi ha es crea un túnel completament transparent per a l'usuari.
12. Suposa que els routers que han d’establir un túnel entre dues xarxes d’una mateixa VPN només tenen una adreça IP associada a la interfÃcie externa i cap per la interna (la interfÃcie interna no té associat ni protocol IP). Creus que seria tècnicament possible la interconnexió dels segments? En aquest cas, com serien els datagrames que circularien per Internet? Quines limitacions i avantatges tindria aquest esquema?
Si los routers tienen una dirección IP asociada a su interfÃcie externa, creo que serÃa suficiente para poder establecer un túnel entre las dos redes de la misma VPN, ya que los routers podrÃa utilizar el protocolo IP con las direcciones de sus interficies externas para comunicar las redes.
Pero dentro de cada red, para que la interconexión de los segmentos sea correcta, serÃa necesario que dentro de campo de datos del datagrama IP hubiera información que identificara de forma inequivoca al emisor y receptor del datagrama, que podrÃa ser por dirección MAC. En cada máquina, y en la interfÃcie interna de los routers, serÃa necesario tener implementado el "protocolo" que permitirÃa encapsular la información con este formato. Asà el router al recibir un datagrama de otra red lo enviará a todas las máquinas de la red interna y cada una lo aceptará si es para ella o lo rechazará si no es asÃ.
La ventaja que puede tener es que el tamaño del datagrama que circule por la red interna puede ser menor, pero tiene la desventaja que hay que implementar el "protocolo" que permita identificar de forma inequivoca a emisor y receptor en todas las máquinas y en las interficies internas de los routers.
13. Tenim necessitat d’interconnectar la nostra VPN (de 500 hosts) a Internet (qualsevol host intern ha de poder accedir-hi) per tal d’utilitzar un servei que utilitza un protocol que funciona directament sobre IP. Aquest protocol té un identificador en les capçaleres per a resoldre ambigüitats de fluxos d’informació a nivell d’aplicació. Com faries possible aquest accés tenint en compte que estadÃsticament un 1% dels hosts voldran accedir al mateix servidor d’Internet simultà niament?
Se puede utilizar un gateway "sencillo" que encamine hacia Internet enmascarando la dirección de cada host y guardando en la tabla la dirección de destino (externa) y orÃgen (interna) de cada comunicación, que después de un periodo de inoperatividad se borrará. Como estadÃsticamente sólo un 1% (5 hosts) querrán acceder al mismo servidor de Internet simultáneamente, cuando el gateway reciba la respuesta de Internet la enviará a todos los hosts internos que tengan una comunicación activa con el hosts externo emisor, y el identificador que rexuelve las ambigüedades de fljos de información a nivel de aplicación en cada máquina se encargará de aceptarlo o no.
14. En l’escenari de l’exercici anterior, com es podria aconseguir exactament el contrari? És a dir, si el que volem no és un accés a Internet, sinó des d’Internet poder accedir a un conjunt de servidors interns?
En el cas en que volguéssim que des de Internet es pogués accedir a un conjunt de servidors interns, podrÃem utilitzar també un Router NAT (o DNAT) que tingués la relació entre els hosts interns i Internet, aixà com el port a través del que l'aplicació s'ha de comunicar amb el servidor (i saver cap a quin servidor).
()[13/11]
15. En quins casos penses que seria més adient utilitzar un model de VPN overlay sobre un peer to peer?
En connexions en les quals es realitzi un filtratge/QoS de packets o es desitgi la major privacitat possible.
Un
exemple seria utilitzar-lo en connexions 'capades' per l'ISP,
l'administrador ( facultats, empreses, etc. ) o l'administració ( Xina )
Ãndex
()[13/11]
16.
PodrÃem interconnectar les diverses xarxes que integren una VPN
utilitzant túnels SSH (protocol d’aplicació sobre TCP) en comptes
d’utilitzar directament IP? Raona la teva resposta i explica quines
serien les diferències més significatives que hi hauria.
Si. El SSH podria
servir d'envolcall per als paquets que s'enviessin a través de la VPN.
Aquest protocol, al estar sobre TCP, està orientat a conexió. Això vol
dir que el fet d'utilitzar-lo per a implementar la VPN provocaria
certes diferències en el funcionament. Per exemple:
- . És un protocol encriptat i per tant segons la aplicació que es faci a la VPN no podria funcionar en NATS.
- . El fet d'estar implementat sobre TCP provocaria que en certs casos el buffering de TCP retracés l'enviament d'alguns paquets.
(DanielMartÃn)
17.
Seria possible combinar un esquema NAT per adreces amb un NAPT per tal
d'augmentar el nombre de connexions simultà nies entre la xarxa privada
i Internet? En cas afirmatiu, quin serà el nombre mà xim teòric de
connexions tenint en compte els parà metres de cada esquema?
- NAPT se puede combinar con NAT básico para que se use un bloque de direcciones externas en conjunto con la traducción de puertos.
- Se pueden hacer tantas conexiones como el número de puertos disponibles.
18.
Suposa que un router està fent NAPT bidireccional per a permetre
l’accés a un host intern des d’Internet, a més de les connexions en
sentit invers. Serà possible que aquest host es connecti amb si mateix
utilitzant l’adreça i port públics que utilitzaran la resta de hosts a
Internet?
Raona la resposta i explica els detalls d’aquest cas sobre la taula de NAT.
![/!\](comun/alert.png "/!\"){kind=small}
En Construcción Ãndex
En Construcción (DavidSánchez)[13/11]
20.
Com podrem interconnectar dues VPNs totalment independents que
comparteixen l’espai de direccionament? Quines limitacions té l’esquema
que proposes?
Es podria usar MPLS per crear, dins del mateix espai de direccionament, VPN's virtuals, per mitjà de capceleres amb etiquetes i taules de VRF (teoria que jo mateix he pujat en els apunts del tema 2). Això fa que hi hagin IP's mesclades (descoordinades) en un mateix o diferents hosts formant part de VPN's amb independencia entre si. Aquest esquema té un funcionament complicadot, per això considero que pot ser una limitació.