3.1.2 - 802.1 Conexión entre Redes

IEEE 802.1

La norma 802.1 describe la interrelación entre las partes del documento y su relación con el Modelo de Referencia OSI. También contiene información sobre normas de gestión de red e interconexión de redes. Establece los estándares de interconexión relacionados con la gestión de redes.

El IEEE 802.1 Grupo de Trabajo ha sido creado para ocupar y desarrollar normas y prácticas recomendadas en las siguientes áreas: 
  • Arquitectura 802LAN / MAN.
  • Interconexión entre los 802 LAN, MAN y otras redes de área amplia.
  • Seguridad (802).
  • Gestión de la red general (802).
  • Protocolo y capas superiores(MAC y LLC).
El grupo de trabajo 802.1 tiene cuatro grupos de trabajo activos: Interworking, seguridad, audio / vídeo puente y puente del centro de datos.

  1. Interworking.
    • 802.1AC - Media Access Control revisión de servicio.
    • 802.1aq - Reducción de la ruta más corta.
    • 802.1Qbf - PBB-TE Protección segmento de las infraestructuras.
    • 802.1AXbk - Link Aggregation: Protocolo de direccionamiento.
    • 802.1Qbp - Igualdad de Costo varias rutas.
    • 802.1AXbq - Agregación de enlaces: Interconexión en red distribuida y resistentes.
  2. Seguridad.
  3. Audio / Video puente.
    • 802.1ASbt - Tiempo y Sincronización: avances y mejoras de rendimiento.
  4. Puente del centro de datos (Data Center Bridging).
Enlaces e información en ingles.

IEEE 802.1Q

El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo de trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples redes compartir de forma transparente el mismo medio físico, sin problemas de interferencia entre ellas (Trunking). Es también el nombre actual del estándar establecido en este proyecto y se usa para definir el protocolo de encapsulamiento usado para implementar este mecanismo en redes Ethernet.

Formato de la trama

802.1Q en realidad no encapsula la trama original sino que añade 4 bytes al encabezado Ethernet original. El valor del campo EtherType se cambia a 0x8100 para señalar el cambio en el formato de la trama.
Debido a que con el cambio del encabezado se cambia la trama, 802.1Q fuerza a un recálculo del campo "FCS".

VLAN nativas

El punto 9 del estándar define el protocolo de encapsulamiento usado para multiplexar varias VLAN a través de un solo enlace, e introduce el concepto de las VLAN nativas. Las tramas pertenecientes a la VLAN nativa no se etiquetan con el ID de VLAN cuando se envían por el trunk. Y en el otro lado, si a un puerto llega una trama sin etiquetar, la trama se considera perteneciente a la VLAN nativa de ese puerto. Este modo de funcionamiento fue implementado para asegurar la interoperabilidad con antiguos dispositivos que no entendían 802.1Q.

La VLAN nativa es la vlan a la que pertenecía un puerto en un switch antes de ser configurado como trunk. Sólo se puede tener una VLAN nativa por puerto.

Para establecer un trunking 802.1q a ambos lados debemos tener la misma VLAN nativa porque la encapsulación todavía no se ha establecido y los dos switches deben hablar sobre un link sin encapsulación (usan la native VLAN) para ponerse de acuerdo en estos parámetros. En los equipos de Cisco Systems la VLAN nativa por defecto es la VLAN 1. Por la VLAN 1 además de datos, se manda información sobre PAgP, CDP, VTP.

Durante el diseño se recomienda
  • La VLAN nativa no debe ser la de gestión.
  • Cambiar la VLAN nativa de la 1 a cualquier otra como medida de seguridad.
  • Todos los switches en la misma VLAN nativa.
  • Usuarios y servidores en sus respectivas VLANs.
  • El tráfico entre switches debe ser el único que no se encapsule en enlaces trunk. El resto del tráfico, incluyendo la VLAN de gestión debe ir encapsulado por los trunks. Si no estamos encapsulando cualquiera puede conectar un equipo que no hable 802.1q (switches y hubs) y funcionará sin nuestro control.
IEEE 802.1X

La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748.

802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos.

Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.

Enlaces externos

http://standards.ieee.org/getieee802/ programa GetIEEE802]: [1] (en inglés).
802.1X en castellano
Ċ
Gabriel Cortez Calderón,
1 de oct. de 2011 0:03
Comments