En este artículo voy a intentar describir de una forma muy simple cómo es la comunicación en una red TCP/IP, pero antes quisiera aclarar que esta descripción no pretende ser un documento técnico, de hecho, pretende ser sólo un resumen en el que describo los aspectos que, a mi juicio, son los más relevantes.
Vamos a utilizar la siguiente red para mostrar cómo se comunica el equipo con IP 192.168.1.101 con los demás equipos.
De acuerdo al diagrama podemos resumir que vamos a analizar 3 tipos de acceso:
- A la 192.168.1.102 en la misma LAN
- A la 192.168.5.101 en otra LAN (posiblemente en el mismo edificio)
- A un equipo en Internet donde yyy.yyy.yyy.yyy puede ser cualquier dirección válida en Internet
Cualquier dato que sea transmitido a través en una interfaz de red empleará tramas (generalmente 802.3 ó compatibles) que contienen (entre otros datos) la dirección MAC origen y la MAC destino, por lo que cualquier intercambio de datos se hará siempre entre dispositivos en la misma LAN.
En nuestro equipo tenemos configurada una IP, la 192.168.1.101 y (para este ejemplo) tenemos configurada la máscara 255.255.255.0, por lo cual, la 192.168.1.102 pertenece a la misma LAN, es decir, es local.
A continuación, el protocolo procede a indagar a qué MAC corresponde la 192.168.1.102, primero consulta en su tabla de direcciones locales llamada tabla ARP si ya esta asociada la IP a una MAC, si es así utiliza esta MAC para transmitir, si no, lo averigua utilizando tramas con la MAC destino FF:FF:FF:FF:FF:FF (esta dirección en realidad representa a todos los dispositivos de la red local, por lo que todos reciben las tramas y las procesan según sea el caso) esperando que algún dispositivo se reporte con esa IP.
Teniendo ya la MAC asociada a la IP, el protocolo transmite empleando tramas con esa dirección física como destino.
Debido a que esta comunicación únicamente va de interfaz a switch y de switch a interfaz y es el mismo protocolo es que se encarga de hacer la "conversión" de IP a MAC, el switch sólo se encarga de transmitir las tramas al dispositivo que corresponde. Es por esto que se dice que el switch es un dispositivo de capa 2 (aunque en realidad ya existen switches que hacen más que eso).
Comunicación en red extendida
Para la comunicación con la 192.168.5.101, de acuerdo con la máscara, se encuentra fuera de nuestra LAN, es decir, es remota.
Para comunicarnos con una IP externa es necesario tener definido un ruteador, normalmente tenemos definido uno solo al que denominamos el default gateway ó default router, en este ejemplo el que tenemos definido en este equipo es el 192.168.1.1
Observen que esa IP es local para la 192.168.1.101 y, como comenté anteriormente, la comunicación siempre es utilizando dispositivos locales, por lo que, todos los paquetes que vayan dirigidos a IP's remotas serán enviados a la IP del ruteador. Es por esta razón que se dice que un ruteador es un dispositivo de capa 3.
En nuestro ejemplo, el ruteador tiene una interfaz en la red 192.168.1.0/24 y otra en la red 192.168.5.0/24, por lo que "pasa" el paquete de una interfaz a otra y desde la 192.168.5.1 hace el envío a la 192.168.5.101
Por supuesto que en la vida real, en una organización difícilmente hay un solo ruteador, lo más probable es que tenga varios y que éstos estén interconectados entre sí por medio de switches o de otros ruteadores, por lo que en la configuración de los ruteadores hay listas que indican dónde localizar una red u otra, estas listas se llaman tablas de ruteo.
La definición del default router nuestros equipos (que, normalmente se les llaman hosts) no solo nos permite transmitir a redes remotas, si no que, además, nos permite recibir paquetes remotos. Esto es debido a que sólo recibe paquetes que provienen de redes remotas de IP's definidas como ruteadores. Las IP's que son definidas así se encuentran en su tabla de ruteo y si, efectivamente, es igual a las tablas de ruteo que se encuentran en los ruteadores. De hecho, al menos en teoría, cualquier host podría ser capaz de ser un ruteador, siempre y cuando tenga las suficientes interfaces de red.
Comunicación de redes privadas a Internet
Por supuesto que en toda organización actual el acceso a Internet es indispensable, como comenté en artículos anteriores, la redes privadas no pueden accesar directamente a Internet, por lo que es necesario un dispositivo que haga la "conversión" de las peticiones que provienen de IP's de la red privada a una IP pública que, en este caso, denominé como xxx.xxx.xxx.xxx (la cual, puede ser cualquier dirección válida proporcionada por nuestro proveedor de Internet). A esta "conversión" se le llama traducción de dirección de red (NAT) y el dispositivo encargado de ésta se llama firewall.
Además de permitir el uso de una NAT para las peticiones de salida de la red privada, es posible el asociar una IP pública a un host dentro de la red privada, además de poseer filtros para permitir el acceso de un lado a otro de solo unos servicios. Por ejemplo, es posible tener un servidor web dentro de nuestra red privada y por medio del firewall definir una NAT que traduzca las peticiones a una IP pública hacia la IP privada del servidor bloqueando cualquier petición que no sea al servicio web (ftp, por decir alguno).
En organizaciones reales es frecuente encontrar definidas por medio de firewalls varias "zonas" que, normalmente, son de tres tipos: zona privada en la que se encuentran usuarios y servidores con aplicaciones propias de la organización; zona desmilitarizada (DMZ) en la que se encuentran los servidores a los que se requiere tenga acceso personas externas, y la zona pública que, prácticamente, es lo que se encuentra fuera de la organización.
Ya que los bloqueos o filtros se pueden hacer a nivel servicio, se dice que el firewall es un dispositivo de capa 4, sin embargo, en la actualidad hay firewalls que permiten monitorear y analizar si las peticiones a ciertos servicios tratan de hallar una vulnerabilidad haciendo una serie de peticiones inválidas, este tipo de firewall es un dispositivo de capa 7.
Con esto doy por terminado el tema, espero les sea de utilidad y si alguien tiene algún comentario, por favor, no duden en compartirlo.
No hay comentarios.:
Publicar un comentario