UNIDAD I: REDES DE AREA AMPLIA

MATERIA: INTERCONECTIVIDAD DE REDES

UNIDAD I: REDES DE AREA AMPLIA

Objetivo: El estudiante conocerá los componentes, protocolos y elementos esenciales de una WAN.

INTRODUCCION

Una red de área amplia, con frecuencia denominada WAN, acrónimo de la expresión en idioma inglés wide area network, es un tipo de red de computadoras capaz de cubrir distancias desde unos 100 hasta unos 1000 km, proveyendo de servicio a un país o un continente. Un ejemplo de este tipo de redes sería RedIRIS, Internet o cualquier red en la cual no estén en un mismo edificio todos sus miembros (sobre la distancia hay discusión posible).

Muchas WAN son construidas por y para una organización o empresa particular y son de uso privado, otras son construidas por los proveedores de internet (ISP) para proveer de conexión a sus clientes.

Hoy en día, Internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente, mientras que las redes privadas virtuales que utilizan cifrado y otras técnicas para hacer esa red dedicada, aumentan continuamente.

Normalmente la WAN es una red punto a punto, es decir, red de paquete conmutado. Las redes WAN pueden usar sistemas de comunicación vía satélite o de radio.

Características

• Posee máquinas dedicadas a la ejecución de programas de usuario (hosts).
• Una subred, donde conectan varios hosts.
• División entre líneas de transmisión y elementos de conmutación (enrutadores).

 Topología de los enrutadores

Topologías de los enrutadores en una red de área amplia:

• Estrella
• Anillo
• Árbol
• Completa
• Intersección de anillos
• Irregular

1.1  INTERCONEXION DE REDES

La Interconectividad (Internetworking) puede ser definida como:

“Comunicación entre dos o más redes”

“Proceso de comunicación el cual ocurre entre dos o más redes que están conectadas entre sí de alguna manera”.

¿Por qué es importante la interconectividad de redes?

·         Compartir recursos

·         Acceso Instantáneo a bases de datos compartidas

·         Insensibilidad a la distancia física y a la limitación en el número de nodos

·         Administración centralizada de la red

·         Da una ventaja estratégica en el mercado competitivo global

¿Qué retos existen? El reto de la interconectividad

·         Reducción de presupuestos (tiempo, dinero)

·         Escasez de ingenieros especializados en redes

·         Capacidad de planeación, administración y soporte

·         Retos técnicos y retos de admisnitración de redes

¿Que retos técnicos existen?

·         Equipos de diferentes fabricantes

·         Arquitecturas, plataformas, sistemas operativos, protocolos, medios de comunicación diferentes

·         Limitaciones en distancia y en tamaño de los paquetes

·         Limitaciones en ancho de banda y potencia

¿Que retos de administración de redes existen?

·         configuración

·         Seguridad

·         Confiabilidad

·         Desempeño

·         Localización, aislamiento, corrección y prevención de fallas

·         Planeación hacia el futuro

·          

“El verdadero reto de la interconectividad es la conectividad del transporte de información entre LAN dispersas geográficamente”.

¿Cómo se interconectan las redes? Las redes se conectan mediante equipos de telecomunicaciones conocidos como equipos de interconexión. Equipos de Interconexión Dos o más redes separadas están conectados para intercambiar datos o recursos forman una interred (internetwork). Enlazar LANs en una interred requiere de equipos que realicen ese propósito. Estos dispositivos están diseñados para sobrellevar los obstáculos para la interconexión sin interrumpir el funcionamiento de las redes. A estos dispositivos que realizan esa tarea se les llama equipos de Interconexión.

Existen equipos de Interconexión a nivel de:

    » LAN:   Hub, switch, repetidor, gateway, puente, access points.

    » MAN:   Repetidor, switch capa 3, enrutador, multicanalizador, wireless bridges. puente, modem analógico, modem ADSL, modem CABLE, DSU/CSU.

    » WAN:   Enrutador, multicanalizador, modem analógico, DSU/CSU, modem satelital.

Algunas de las ventajas que plantea la interconexión de redes de datos, son:

·         Compartición de recursos dispersos.

·         Coordinación de tareas de diversos grupos de trabajo.

·         Reducción de costos, al utilizar recursos de otras redes.

·         Aumento de la cobertura geográfica.

1.1.1      MODEM/ MULTIPLEXOR/ SWITCH/ HUB

MODEM

Un módem (Modulador Demodulador) es un dispositivo que sirve para enviar una señal llamada moduladora mediante otra señal llamada portadora.

Lo primero que hay que dejar claro es que los modem se utilizan con líneas analógicas, ya que su propio nombre indica su principal función, que es la de modular-demodular la señal digital proveniente de nuestro ordenador y convertirla a una forma de onda que sea asimilable por dicho tipo de líneas.

Es cierto que se suelen oír expresiones como modem ADSL o incluso modem RDSI, aunque esto no es cierto en estos casos, ya que estas líneas de tipo digital no necesitan de ningún tipo de conversión de digital a analógico, y su función en este caso es más parecida a la de una tarjeta de red que a la de un modem.

CARACTERISTICAS

1.- Existen módems internos y módems externos, aunque recientemente han aparecido módems llamados "módems software", más conocidos como "winmódems" o "linuxmódems".

2.- Todos los módem incluyen componentes comunes, como un transmisor y un receptor. El transmisor modula la señal digital a analógica (tonos y sonidos), y el receptor demodula la señal analógica recibida y la convierte de nuevo en digital.

3.-  Cuenta con foquitos que le permiten a los usuarios ver si está funcionando o no mediante el cambio de luz de los foquitos indicadores.

4.- Nos permiten enviar y recibir paquetes de la red.

5.- Seguridad: Aíslan el tráfico, gracias a los diferentes mecanismos de encaminamiento, estos facilitan la localización en caso de fallos en la red.

6.- Flexibilidad: No se encuentran limitados de ninguna forma en su topología.

7.- Soporte de protocolos: La información de cabecera es aprovechada de forma eficiente.

8.- Control de flujo y encaminamiento.

9.- Los módems internos no ocupan espacio en el escritorio

10.- Los módems externos son más seguros durante tormentas eléctricas.

MULTIPLEXOR

En el campo de las telecomunicaciones el multiplexor se utiliza como dispositivo que puede recibir varias entradas y transmitirlas por un medio de transmisión compartido. Para ello lo que hace es dividir el medio de transmisión en múltiples canales, para que varios nodos puedan comunicarse al mismo tiempo. Una señal que está multiplexada debe demultiplexarse en el otro extremo.

Según la forma en que se realice esta división del medio de transmisión, existen varias clases de multiplexación:

1.-Multiplexación por división de frecuencia

2.-Multiplexación por división de tiempo

3.-Multiplexación por división de código

4.-Multiplexación por división de longitud de onda

CARACTERISTICAS DE UN MULTIPLEXOR  MX-69

El multiplexor MX-69 ha sido diseñado para aplicaciones punto a punto entre equipos con interfaz RS-232. Por dos pares de fibra óptica se pueden transmitir 8 señales en cada dirección, lo que constituye una gran ventaja, por ejemplo cuando se dispone de poco cable de fibra óptica. Como la fibra óptica es totalmente inmune a las interferencias externas, es la solución perfecta para las aplicaciones en las que éstas alcanzan niveles elevados.

El MX-69 admite velocidades de transmisión de hasta 38,4 kbit/s en cada canal y distancias de transmisión de hasta 3,5 km con cable multimodo. El multiplexor MX-69 se instala en el bastidor Westermo (RV-01), lo cual supone un gran ahorro de espacio cuando es preciso instalar muchos módems en el mismo emplazamiento, por ejemplo, un centro de procesamiento de datos. El MX-69 es compatible con el MM-61.

MÁS CARACTERISTICAS DEL MULTIPLEXOR

1.- 8 canales

2.-Gran ahorro en cables y canalizaciones para cables

3.- Aislamiento galvánico

4.- Conectores ST

5.- Cable multinodo

6.-Independiente del código/transparente

7.-Fiabilidad de funcionamiento y rendimiento

8.-Resistente a los entornos expuestos a niveles elevados de interferencia

9.-Dimensiones (H x P) 100 x 100 mm

10.-Peso 0, 1 kg

SWITCH

Un switch (en castellano “conmutador”) es un dispositivo electrónico de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI (Open Systems Interconection. Un switch interconecta dos o más segmentos de red, funcionando de manera similar a los puentes (bridges), pasando datos de un segmento a otro, de acuerdo con la dirección MAC de destino de los datagramas en la red.

Un switch en el centro de una red en estrella.

Los switches se utilizan cuando se desea conectar múltiples redes, fusionándolas en una sola. Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LANs (Local Area Network- Red de Área Local).

CARACTERÍSTICAS DESTACADAS

Los Switches de Cisco Catalyst Serie 2960 ofrecen una amplia gama de caracterísitcas, que incluye:

1. Soporte para comunicaciones de datos, inalámbricas y voz que le permite instalar una única red para todas sus necesidades de comunicación.
2. Capacidad de Power over Ethernet para que puedan implementar nuevas funcionalidades como voz y tecnología inalámbrica sin tener que realizar un nuevo cableado.
3. Opción de Fast Ethernet (transferencia de datos de 100 Mbps) o Gigabit Ethernet (transferencia de datos de 1000 Mbps), dependiendo del precio y las necesidades de rendimiento.
4. Múltiples modelos de configuración, con la habilidad para conectar escritorios, servidores, teléfonos IP, puntos de acceso inalámbrico, cámaras de TV de circuito cerrado u otros dispositivos de red.
5. Capacidad de configurar LANs virtuales de forma que los empleados estén conectados a través de funciones de organización, equipos de proyecto o aplicaciones en lugar de por criterios físicos o geográficos.
6. Seguridad integrada
7. Funciones de monitorización de red y solución de problemas de conectividad mejoradas.
8. Actualizaciones de software sin gastos adicionales.
9. Garantía limitada de hardware de por vida.
10. Cuenta con varios conectores RJ45

HUB

En informática un hub o concentrador es un equipo de redes que permite conectar entre sí otros equipos y retransmite los paquetes que recibe desde cualquiera de ellos a todos los demás. Los hubs han dejado de ser utilizados, debido al gran nivel de colisiones y tráfico de red que propician.

CARACTERISTICAS Y USOS

1. Un analizador de protocolo conectado a un conmutador no siempre recibe todos los paquetes desde que el conmutador separa a los puertos en los diferentes segmentos. La conexión del analizador de protocolos con un concentrador permite ver todo el tráfico en el segmento (los conmutadores caros pueden ser configurados para permitir a un puerto escuchar el tráfico de otro puerto. A esto se le llama puerto de duplicado. Sin embargo, estos costos son mucho más elevados).
2. Algunos grupos de computadoras o cluster, requieren cada uno de los miembros del equipo para recibir todo el tráfico que trata de ir a la agrupación. Un concentrador hará esto, naturalmente; usar un conmutador en estos casos, requiere la aplicación de trucos especiales.
3. Cuando un conmutador es accesible para los usuarios finales para hacer las conexiones, por ejemplo, en una sala de conferencias, un usuario inexperto puede reducir la red mediante la conexión de dos puertos juntos, provocando un bucle. Esto puede evitarse usando un concentrador, donde un bucle se romperá en el concentrador para los otros usuarios (también puede ser impedida por la compra de conmutadores que pueden detectar y hacer frente a los bucles, por ejemplo mediante la aplicación de Spanning Tree Protocol).
4. Un concentrador barato con un puerto 10BASE2 es probablemente la manera más fácil y barata para conectar dispositivos que sólo soportan 10BASE2 a una red moderna (no suelen venir con los puertos 10BASE2 conmutadores baratos).
5. La velocidad con la que funciona es la misma que la que posee el componente más lento de la red. Esto es así ya que si retransmitiera un paquete de datos a una velocidad mayor de la que posee uno de los componentes que lo recibe, parte del mensaje se perdería.
6. No posee capacidad de almacenamiento. Por lo que cada vez que recibe datos, los retransmite automáticamente al resto; incluso aunque ese paquete sea sólo para una Terminal, lo retransmite a todos.

7.     A veces suele ocurrir que más de una computadora que integran la red envíen un mensaje simultáneamente, por lo que en estos casos puede perderse uno de ellos y debe ser retransmitido. Esto es lo que se conoce como colisión de manera que, cuantas más máquinas hay en una red, más son las posibilidades de error.

8.     En la actualidad, la gran cantidad de colisiones que se producen hacen que el Hub ya no esté siendo muy utilizado.

9. existen 3 clases:
   • Pasivo: No necesita energía eléctrica.
   • Activo: Necesita alimentación.
   • Inteligente: También llamados smart hubs son hubs activos que incluyen microprocesador.

10.  Quedan un tanto obsoletos debido al abaratamiento de los switches y sus mejoras (por ejemplo, capacidad de almacenaje.) hicieron que fuera siendo más popular.

1.1.2 REPETIDOR

Un repetidor es un dispositivo electrónico que recibe una señal débil o de bajo nivel y la retransmite a una potencia o nivel más alto, de tal modo que se puedan cubrir distancias más largas sin degradación o con una degradación tolerable.

CARACTERISTICAS

1.     Cuando las señales viajan a través de un cable, se degradan y se distorsionan en un proceso denominado «atenuación». Si un cable es bastante largo, la atenuación provocará finalmente que una señal sea prácticamente irreconocible. La instalación de un repetidor permite a las señales viajar sobre distancias más largas.

2.     Un repetidor funciona en el nivel físico del modelo de referencia OSI para regenerar las señales de la red y reenviarla a otros segmentos.

3.     El repetidor toma una señal débil de un segmento, la regenera y la pasa al siguiente segmento. Para pasar los datos de un segmento a otro a través del repetidor, deben ser idénticos en cada segmento los paquetes y los protocolos Control lógico de enlace (LLC; Logical Link Control).

4.     Un repetidor no activará la comunicación, por ejemplo, entre una LAN (Ethernet) 802.3 y una LAN (Token Ring) 802.5.

5.     Los repetidores no traducen o filtran señales.

6.     Los repetidores constituyen la forma más barata de extender una red.

7.     Ni aislamiento ni filtrado. Los repetidores envían cada bit de datos de un segmento de cable a otro, incluso cuando los datos forman paquetes mal configurados o paquetes no destinados a utilizarse en la red. Esto significa que la presencia de un problema en un segmento puede romper el resto de los segmentos. Los repetidores no actúan como filtros para restringir el flujo del tráfico problemático.

Los pasos a considerar cuando se decide implementar repetidores en la red son:

8. Conectar dos segmentos de medio similar o no similar.
9. Regenerar la señal para incrementar la distancia transmitida.
10. Pasar todo el tráfico en ambas direcciones.
11. Conectar dos segmentos de la forma más efectiva en cuanto al coste.

1.1.3      PUENTE

Un puente o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Funciona a través de una tabla de direcciones MAC detectadas en cada segmento a que está conectado. Cuando detecta que un nodo de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred. Por utilizar este mecanismo de aprendizaje automático, los bridges no necesitan configuración manual.

CARACTERISTICAS

1.    Al igual que un repetidor, un bridge puede unir segmentos o grupos de trabajo LAN.

2.    Un bridge puede, además, divide una red para aislar el tráfico o los problemas. Por ejemplo, si el volumen del tráfico de uno o dos equipos o de un departamento está sobrecargando la red con los datos y ralentizan todas las operaciones, el bridge podría aislar a estos equipos o al departamento.

3.    Los bridges se pueden utilizar para;

4. Extender la longitud de un segmento.
5. Proporcionar un incremento en el número de equipos de la red.
6. Reducir los cuellos de botella del tráfico resultantes de un número excesivo de equipos conectados.
7. Dividir una red sobrecargada en dos redes separadas, reduciendo la cantidad de tráfico en cada segmento y haciendo que la red sea más eficiente.
8. Enlazar medios físicos diferentes como par trenzado y Ethernet coaxial.
9. Los bridges trabajan a nivel de enlace de datos del modelo de referencia OSI y, por tanto, toda la información de los niveles superiores no está disponible para ellos.
10. Reenvían paquetes de la siguiente forma:
1. o Si el destino no aparece en la tabla de encaminamiento, el bridge reenvía el paquete a todos los segmentos.
2. o Si el destino aparece en la tabla de encaminamiento, el bridge reenvía el paquete al segmento correspondiente (a menos que este segmento sea también el origen).

1.1.4      ROUTER

Un router —anglicismo, también conocido como encaminador, enrutador, direccionador o ruteador— es un dispositivo de hardware usado para la interconexión de redes informáticas que permite asegurar el direccionamiento de paquetes de datos entre ellas o determinar la mejor ruta que deben tomar. Opera en la capa tres del modelo OSI.

CARACTERISTICAS DE UN ROUTER Cisco 2501

• Ruteo multiprotocolo entre WANs y LANs.

• Un puerto Ethernet (salida AUI), dos puertos seriales sincrónicos de alta velocidad, un puerto consola y un puerto auxiliar asincrónico de baja velocidad.

• La familia de productos 2500 permite a los usuarios ruteos a través de líneas T1/E1.

• Procesador de 25 MHz, memoria flash de 8 MB y DRAM de 4 MB upgrades hasta 16 MB.

• Protocolos Seriales Sincrónicos: PPP, HDLC, LAPB.

• Servicios Sincrónicos Seriales WAN: Frame Relay, X.25.

Componentes

RAM/DRAM (volátil)

·         tablas de enrutamiento, caché ARP

·         script de configuración activo (running-config) del router

·         buffering de paquetes (RAM compartida) y cola de espera de paquetes

·         memoria temporal y/o de trabajo para el archivo de configuración; imagen del IOS mientras el router está encendido (intérprete de comandos, EXEC)

NVRAM (no volátil)

·         archivos de configuración de inicio (startup-config) y copia de respaldo

FLASH (no volátil, ROM borrable y reprogramable)

·         imagen del sistema operativo Cisco IOS

·         actualizar su software no implica cambio de hardware

·         puede almacenar varias versiones del IOS

ROM

·         programa de diagnósticos de encendido

·         programa de arranque (bootstrap)

·         actualizar su software requiere cambio hardware

Interfaces

·         conexión a la red (en placa base o módulo separado)

ü  Son relativamente fáciles de mantener una vez configurados, ya que muchos protocolos pueden actualizar sus tablas de ruta de una manera dinámica.

ü  Los routers proveen características entre intereses, esto previene incidentes que pudieran ocurrir en una sub red, afectando a otras sub redes. Así como también previene la presencia de intrusos.

ü  Los routers no son afectados por los contrastes de los tiempos de retardos como ocurre en los bridges. Esto significa que los routers no están limitados topológicamente.

1.1.5      BROUTERS

Como sugiere el nombre, un bruoter (bridge/router) es un conector que ayuda a transferir la información entre redes y que combina simultáneamente las funciones de bridge y router, y que elige “la mejor solución de los dos”.

Los Brouters trabajan como router con los protocolos encaminables y como bridge con los que no lo son. Tratan estas funciones independientemente y proporcionan soporte de hardware para ambos.

CARACTERISTICAS

ü  Un brouter puede chequear primero si la red soporta el protocolo usado por el paquete que recibe y, si no lo hace, en lugar de descartar el paquete, lo reenvía usando información de direcciones físicas.

ü  Los brouters pueden encaminar uno o varios protocolos, como TCP/IP y XNS, y puentear todo el tráfico restante.

ü  Los brouters pueden:

ü  Encaminar protocolos encaminables seleccionados.

ü  Actuar de bridge entre protocolos no encaminables.

ü  Proporcionar un mejor coste y gestión de interconexión que el que proporcionan los bridges y routers por separado.

ü  Brouters ofrecen todas las ventajas de los routers para protocolos de router, y todas aquellas de los bridges para protocolos de bridge.

ü  Pensando que ellos son los sistemas más complejos de instalar, proporcionan el más alto grado de flexibilidad, lo que los hace ideales para rápidos cambios o expansiones de la red.

1.1.6      GATEWAYS

Un gateway es un equipo que permite interconectar redes con protocolos y arquitecturas completamente diferentes a todos los niveles de comunicación. La traducción de las unidades de información reduce mucho la velocidad de transmisión a través de estos equipos.

CARACTERISTICAS

Ø  Operan en los niveles más altos del modelo de referencia OSI

Ø  realizan conversión de protocolos para la interconexión de redes con protocolos de alto nivel diferentes.

Ø  Los gateways incluyen los 7 niveles del modelo de referencia OSI, y aunque son más caros que un bridge o un router, se pueden utilizar como dispositivos universales en una red corporativa compuesta por un gran número de redes de diferentes tipos.

Ø  Los tipos de Gateways son:

•          Gateway asíncrono

Sistema que permite a los usuarios de computadoras personales acceder a grandes ordenadores (mainframes) asíncronos a través de un servidor de comunicaciones, utilizando líneas telefónicas conmutadas o punto a punto. Generalmente están diseñados para una infraestructura de transporte muy concreta, por lo que son dependientes de la red.

• Gateway SNA

Permite la conexión a grandes computadoras con arquitectura de comunicaciones SNA (System Network Architecture, Arquitectura de Sistemas de Red), actuando como terminales y pudiendo transferir archivos o listados de impresión.

• Gateway TCP/IP

Estos gateways proporcionan servicios de comunicaciones con el exterior vía RAL o WAN y también funcionan como interfaz de cliente proporcionando los servicios de aplicación estándares de TCP/IP.

• Gateway PAD X.25

Son similares a los asíncronos; la diferencia está en que se accede a los servicios a través de redes de conmutación de paquetes X.25.

• Gateway FAX

Los servidores de Fax proporcionan la posibilidad de enviar y recibir documentos de fax.

Ø  Los gateways interconectan redes heterogéneas; por ejemplo, pueden conectar un servidor Windows NT de Microsoft a una Arquitectura de red de los sistemas IBM (SNA).

Ø  Un gateway utiliza los datos de un entorno, desmantela su pila de protocolo anterior y empaqueta los datos en la pila del protocolo de la red destino. Para procesar los datos, el gateway:

• Desactiva los datos de llegada a través de la pila del protocolo de la red.
• Encapsula los datos de salida en la pila del protocolo de otra red para permitir su transmisión.

IMAGEN REFERENTE A UNA RED WAN

1.1.7 TUNELIZACION DE PROTOCOLOS

Un protocolo tunelizado es un protocolo de red que encapsula un protocolo de sesión dentro de otro. El protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro usos de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales.

tunel SSH

El protocolo SSH (secure shell) se utiliza con frecuencia para tunelizar tráfico confidencial sobre Internet de una manera segura. Por ejemplo, un servidor de ficheros puede compartir archivos usando el protocolo SMB (Server Message Block), cuyos datos no viajan cifrados. Esto permitiría que una tercera parte, que tuviera acceso a la conexión (algo posible si las comunicaciones se realizan en Internet) pudiera examinar a conciencia el contenido de cada fichero trasmitido.

Para poder montar el sistema de archivo de forma segura, se establece una conexión mediante un tunel SSH que encamina todo el tráfico SMB al servidor de archivos dentro de una conexión cifrada SSH. Aunque el protocolo SMB sigue siendo inseguro, al viajar dentro de una conexión cifrada se impide el acceso al mismo.

Por ejemplo, para connectar con un servidor web de forma segura, utilizando SSH, haríamos que el Cliente (informatica) web, en vez de conectarse al servidor directamente, se conecte a un cliente SSH. El cliente SSH se conectaría con el servidor tunelizado, el cual a su vez se conectaría con el servidor web final. Lo atractivo de este sistema es que hemos añadido una capa de cifrado sin necesidad de alterar ni el cliente ni el servidor web.

CARACTERISTICAS

Tunelizar para evitar un Cortafuegos

La técnica de tunelizar puede ser usada también para evitar o circunvalar en cortafuegos. Pare ello, se encapsula el protocolo bloqueado en el cortafuegos dentro de otro permitido, habitualmente HTTP.

TUNELES

El túnel es un método por el cual se hace uso de una red intermedia para transferir datos de un extremo a otro. Los paquetes que se transmiten se encapsulan sobre otro encabezado correspondiente al protocolo de túnel, este nuevo encabezado contiene la información necesaria para que el paquete atravesando la red intermedia llegue al destino correspondiente, una vez llegados a destino son desencapsulados y dirigidos al destino final. Un túnel es un canal virtual, configurado entre dos sistemas remotos que se encuentran en diferentes redes, sobre una conexión real que involucra más de un nodo intermedio.

La técnica de “tunneling” consiste en encapsular un mensaje de un protocolo dentro de sí mismo aprovechando ciertas propiedades del paquete externo con el objetivo de que el mensaje sea tratado de forma diferente a como habría sido tratado el mensaje encapsulado. De esta forma un paquete puede “saltar” la topología de una red. Por ejemplo, un túnel puede ser usado para evitar un firewall (con los peligros consecuentes de esta decisión). Esta es una consideración a tener en cuenta al configurar un túnel.

El túnel es creado encapsulando un protocolo de red dentro de los paquetes del mismo protocolo, que serán llevados por la red real. Adicionalmente, el paquete encapsulado es encriptado por el emisor, en acuerdo con el receptor (el sistema que se encuentra en del otro lado del túnel) de manera que sólo ambos extremos puedan acceder a los datos transportados. Éste tipo de comunicación solo es posible si el protocolo soporta esta facilidad, denominada modo túnel. La otra modalidad posible, modo transporte, provee protección sólo para protocolos de la capa superior.

De esta forma, el túnel es simplemente la ruta que toman los paquetes encapsulados (y encriptados), dentro de un paquete del mismo protocolo, entre las dos redes. Un atacante puede interceptar los mensajes que viajen por el túnel, pero los datos encapsulados están encriptados y solo pueden ser recuperados por el destinatario final. En el sistema de destino, el mensaje encapsulado es extraído del paquete recibido, desencriptado, y reinyectado en la red a la que pertenece el receptor (en el caso de un gateway).

Con el uso en modo túnel, el encabezado IP interno (encapsulado) es encriptado, ocultando la identidad del destinatario y del origen del tráfico. Los mismos servicios pueden ofrecerse a un usuario móvil al cual se asigna un IP dinámicamente para una conexión de conexión telefónica: se establece un canal en modo túnel al firewall del ISP funcionando como un gateway de seguridad. En relación con una conexión o canal seguro, cabe introducir un concepto importante: el de Asociación de Seguridad (Security Asociation - SA). Una asociación de seguridad (AS) es una instancia de una política de seguridad junto con componentes claves. Las SAs son identificadas de forma única por una dirección de destino, un protocolo de seguridad y un índice de parámetros de seguridad o SPI (un conjunto de atributos se seguridad).

Las SAs son independientes entre ellas. Una conexión de datos protegida necesita un conjunto de SAs, una por cada dirección y protocolo. Las SAs pueden actuar en una dirección o en ambas. Una SA en modo túnel es una SA aplicada a un túnel, por ejemplo, un túnel IP.

Siempre que en una asociación de seguridad esté involucrado un gateway de seguridad, dicha SA debe operar en modo túnel; de otra forma, si sólo están involucrados sistemas finales (o gateways de seguridad que no actúen como tales –no transporte tráfico de datos, por Ej. comandos SNMP para administración de red–), puede operar también en modo transporte. Por esto, un sistema final (un host) también debe soportar ambos modos de operación, transporte y túnel (ya que puede comunicarse con un gateway, que operará en modo túnel).

Las características más importantes de los protocolos que soportan “tunneling” son encriptado de datos, autenticación, autorización e integridad de datos; muchas de estas características son posibles gracias al encriptado completo del paquete encapsulado.

Una distinción a destacar es que el hecho de que un paquete esté encapsulado en otro no implica que esté encriptado, tampoco lo inverso. De esta forma se obtienen distintos beneficios que responden a necesidades y conveniencias específicas.

En los protocolos de capa 2 (PPTP, L2F, L2PF) el túnel se negocia por ambos extremos de la conexión a la hora de la creación del mismo así también la asignación de direcciones o los parámetros de encriptación y/o de compresión.