El documento proporciona una introducción a las Redes Privadas Virtuales (VPN). Explica que una VPN permite la conectividad entre múltiples sitios a través de una red compartida con los mismos atributos de una red privada. Describe dos tecnologías VPN principales: MPLS y IPsec, y cómo cada una funciona para crear túneles seguros a través de una red pública. También resume los diferentes tipos de implementaciones de VPN como sitio a sitio, acceso remoto y extranet.
2. Esquema WAN convencional Oficina Principal Usuario Intinerante Oficina Regional Acceso desde el hogar Lineas Privadas Frame Relay Oficina Estatal RAS Carlos Castillo Calderon 26/01/2012
3.
4. Oficina Principal Acceso desde el Hogar Oficina Regional Red Wan Clasica Oficina Estatal Oficinas Remotas y/o Internacionales Miles ó cientos de usuarios remotos Redes WAN Clasicas: Ahora existen nuevos retos Carlos Castillo Calderon 26/01/2012 Usuarios Intinerantes Socios De Negocios ? ? ?
10. UNA VPN MPLS (VIRTUAL PRIVATE NETWORK) PERMITE CONECTIVIDAD DE MÚLTIPLES SITIOS A TRAVÉS DE UNA RED COMPARTIDA, CON LOS MISMOS ATRIBUTOS QUE UNA RED PRIVADA Carlos Castillo Calderon 26/01/2012
11. LAS REDES ESTÁN EVOLUCIONANDO HACIA IP QUE ES EL PROTOCOLO QUE HA DOMINANADO EN LAS REDES Y APLICACIONES ( INTERNET, E-BUSINESS, E-MAIL, INTRANET, EXTRANET, B2B, B2C, VOIP ) F rame Relay / ATM VPN MPLS VPN IPSEC Carlos Castillo Calderon 26/01/2012 MPLS Internet
12. INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNA SOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET). Video Dat os Internet Carlos Castillo Calderon 26/01/2012 Video Internet Dat os Voz Voz
13. MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITE DAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMO VOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICA Carlos Castillo Calderon 26/01/2012 Voz y Video Internet Datos
15. MPLS México VPN Aguascalientes Monterrey VPN INTERNET TECNOLOGIA VPN - MPLS Carlos Castillo Calderon 26/01/2012
16. VPN - IPSEC INTERNET Carlos Castillo Calderon 26/01/2012
17. IPSEC - NO ES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DE PROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y POR IETF´s IPSEC WORKING GROUP. -SOPORTADO PARA IPV4 E IPV6. -CUMPLE CON LOS 3 ELEMENTOS BÁSICOS DE VPN : AUTENTICACION (AH), ENCRIPCION(ESP) Y ADMINISTRACIÓN DE LLAVES. -ALGORITMOS DE ENCRIPCIÓN DISPONIBLES PARA IPSEC : DES (DATA ENCRYPTION STANDARD) 3 DES RC4 Integridad Confidencialidad Autenticación Carlos Castillo Calderon 26/01/2012
19. TUNELES QUE ES UN TUNEL ? -UN TUNEL ES LA ENCAPSULACIÓN DE PAQUETES O FRAMES DENTRO DE OTROS PAQUETES O FRAMES. CUALES SON LOS PROTOCOLOS PARA GENERAR TUNELES ? -IPSEC -PPTP -L2TP -L2F Carlos Castillo Calderon 26/01/2012
20. Tuneles Red IP Compartida BN Tunel seguro IP IPSEC PPTP L2TP L2F Carlos Castillo Calderon 26/01/2012 Intranet 1 Media IP 140 .100.20.101 179 .1 0 .1.1 Encaps. Encripción Autenticación PPP IP 192.100.10.101 192.100.10.230 Datos Media IP 192.100.10.101 192.100.10.230 Datos Encripción Desencripción Media IP 192.100.10.101 192.100.10.230 Datos
21. Cómo funciona? Carlos Castillo Calderon 26/01/2012 Corporativo Internet Dat os Encapsulado Encriptado y encapsulado
22.
23.
24. Acceso Remoto Carlos Castillo Calderon 26/01/2012 Usuarios Remotos Internet VPN Gateway Oficina Central
25. Esquema Funcional RADIUS (AAA) BASES DE DATOS Usuarios Institucionales /Socios Intranet RPV Internet Carlos Castillo Calderon 26/01/2012
26. Acceso Sucursal y “Extranet” Proveedor De Servicio Carlos Castillo Calderon 26/01/2012 Oficina Regional Oficina Estatal Oficina Estatal Internet VPN Gateway Oficina Central
27. CONEXIÓN SITE - SITE México D.F. Servidor de Autenticación FW PC Boston Servidor de Autenticación FW VPN Gateway PC VPN Gateway Internet IDS IDS Carlos Castillo Calderon 26/01/2012
28. Seguridad en redes inalámbricas Lan (WLan) Acces Point ) ) ) ) ( ( ( ( 11 Mbps Switch Lan ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) Computadoras Desktop Computadoras Notebook Dispositivos Mobiles PDA Equipos 802.11b con cliente VPN-IPSEC VPN Carlos Castillo Calderon 26/01/2012
29. Seguridad en acceso inalámbricos via ISP Acces Point ( ( ( ( ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) Notebook con clientes VPN-IPSEC Palm con clientes VPN-IPSEC VPN Internet Carlos Castillo Calderon 26/01/2012
30. Remplazo de enlaces Wan utilizando Site-to-Site IPSec VPN INTRANET EXTRANET INTERNET VPN POP DSL CABLE SITIO PRINCIPAL Carlos Castillo Calderon 26/01/2012
31. Respaldo de enlaces Wan utilizando Site-to Site Vpn IPSEC Internet VPN PSTN/ISDN ADSL Enlaces Dedicados Frame Relay Oficina Corporativa Extranet B2B Intranet Oficinas Regionales y Estatales Carlos Castillo Calderon 26/01/2012
32.
33.
34. Oficinas Estatales Direcciones Regionales Censos Usuario Móvil Usuarios Institucionales (sin conexión a Red INEGI) Edificio Sede Aguascalientes Ejecutivo Encuestas USO DE REDES PRIVADAS VIRTUALES EN EL INEGI Instituciones de Gobierno Carlos Castillo Calderon 26/01/2012
Notas del editor
Today’s classic WAN is built on leased lines to connect fixed sites
The classic WAN has strengths listed above, but it has some significant challenges like: Adding new remote sites to the WAN Adding very remote sites where it is very expensive to extend the WAN Growing remote access populations External connectivity to business partners Cost
Classic WAN is often cost prohibitive to extend to smaller remote offices Classic WAN doesn’t extend to very remote offices where leased lines or frame relay are not available, such as international locations Classic WAN does not extend to extranets or very large remote dial access populations, especially as remote access population grows
“ public network” - “ Shared Public Network Infrastructure” - Nortel The key is the public network. “Public Network” is often referring to the Internet.
Traditionally, modem banks and 800 numbers would provide remote access to enterprise resources. Install a VPN and let employees connect through their ISP, greatly reduce support, equipment, and maintenance costs and provide security where there was none. A typical company will save $1000 per remote user per year.
A Contivity Extranet Switch is designed to drop into the corporate network and take advantage of the infrastructure that has been built around the remote access system. Users are authenticated against external databases using RADIUS, NT Domain, or LDAP (the emerging standard). This also allows support for NDS, SecureID, and more. The EAS is managed via HTML and Java, making it accessible from anywhere. Scriptable SNMP traps allow any combination of variables to be queried to sense problems. This allows integration into network management stations like HP OpenView. On the network map, an SNMP trap for an error condition would turn the icon for the Nortel Networks box from green to red. When the network manager double-clicks on the icon, the browser would be launched to the device management pages. Split-horizon management allows the management demarcation between the corporation and service provider to be customized. The service provider can manage none of the device, just the networking portion, or the networking and user security. This allows different service levels to be offered as well, with different levels of management. Users can take advantage of high-speed Internet access technologies like ADSL and cable which can’t usually be used for corporate access. These types of technologies will only be widely used if they can be tied to a business use. Casual consumers won’t pay the premium for high-speed Internet access.
(# builds = 5) Instead of expensive, hard to provision, private leased-lines, use VPNs and broadband access to interconnect all branches. Extranets --shared networks with business partners-- can be setup and taken down at Internet speed. Even this amount of management can be outsourced to a service provider, allowing enterprises to focus on their core business, and letting the service provider worry about IT turnover, etc.
(# builds = 5) The Boston Branch needs to access data from a server in Seattle. The Boston VPN Gateway contacts the Seattle Gateway. Seattle authenticates that Boston is Boston, and that they are allowed to have access to the requested server,then lets them in. All of the authentication communication is encrypted and all the data is encapsulated and encrypted.