VPN proporcionada por el proveedor

VPN proporcionada por el proveedor

Una VPN proporcionada por un proveedor (PPVPN) es una red privada virtual (VPN) implementada por un proveedor de servicios de conectividad o una gran empresa en una red que opera por su cuenta, a diferencia de una "VPN proporcionada por el cliente", donde la VPN es implementada por el cliente que adquiere el servicio de conectividad además de las especificidades técnicas del proveedor.

Cuando los proveedores de servicios de Internet implementan PPVPN en sus propias redes, el modelo de seguridad de los protocolos PPVPN típicos es más débil con respecto a los protocolos de tunelización utilizados en las VPN proporcionadas por el cliente, especialmente en términos de confidencialidad, porque la privacidad de los datos puede no ser necesaria.

Componentes básicos de VPN proporcionados por el proveedor

Terminología de VPN de sitio a sitio

Dependiendo de si una VPN provista por un proveedor (PPVPN) opera en la capa 2 (L2) o en la capa 3 (L3), los componentes básicos que se describen a continuación pueden ser solo de L2, solo de L3 o una combinación de ambos. La funcionalidad de conmutación de etiquetas multiprotocolo (MPLS) difumina la identidad de L2-L3. ^{[1] [ ¿ Investigación original? ]}

El RFC  4026 generalizó los siguientes términos para cubrir las VPN L2 MPLS y las VPN L3 ( BGP ), pero se introdujeron en el RFC  2547. ^{[2] [3]}

Dispositivos del cliente

Un dispositivo que se encuentra dentro de la red de un cliente y no está conectado directamente a la red del proveedor de servicios. Los dispositivos del cliente no conocen la VPN.

Dispositivo de borde del cliente

Dispositivo en el borde de la red del cliente que proporciona acceso a la PPVPN. A veces es solo un punto de demarcación entre la responsabilidad del proveedor y la del cliente. Otros proveedores permiten que los clientes lo configuren.

Dispositivo de borde del proveedor

Un dispositivo o un conjunto de dispositivos en el borde de la red del proveedor que se conecta a las redes de los clientes a través de dispositivos de borde del cliente y presenta la vista del proveedor del sitio del cliente. Los PE conocen las VPN que se conectan a través de ellos y mantienen el estado de la VPN.

Dispositivo del proveedor

Dispositivo que opera dentro de la red central del proveedor y que no interactúa directamente con ningún punto final del cliente. Por ejemplo, podría proporcionar enrutamiento para muchos túneles operados por el proveedor que pertenecen a PPVPN de diferentes clientes. Si bien el dispositivo P es una parte clave de la implementación de PPVPN, no es compatible con VPN y no mantiene el estado de VPN. Su función principal es permitir que el proveedor de servicios escale sus ofertas de PPVPN, por ejemplo, actuando como un punto de agregación para múltiples PE. Las conexiones P a P, en esa función, a menudo son enlaces ópticos de alta capacidad entre las principales ubicaciones de los proveedores.

Servicios PPVPN visibles para el usuario

Servicios de capa 2 de OSI

VLAN

VLAN es una técnica de Capa 2 que permite la coexistencia de múltiples dominios de difusión de redes de área local (LAN) interconectados a través de enlaces troncales mediante el protocolo de enlaces troncales IEEE 802.1Q . Se han utilizado otros protocolos de enlaces troncales, pero han quedado obsoletos, como Inter-Switch Link (ISL), IEEE 802.10 (originalmente un protocolo de seguridad, pero se introdujo un subconjunto para enlaces troncales) y ATM LAN Emulation (LANE).

Servicio de red de área local privada virtual (VPLS)

Desarrolladas por el Instituto de Ingenieros Eléctricos y Electrónicos , las VLAN permiten que varias LAN etiquetadas compartan enlaces troncales comunes. Las VLAN con frecuencia comprenden solo instalaciones propiedad del cliente. Mientras que VPLS, como se describe en la sección anterior (servicios de capa 1 de OSI), admite la emulación de topologías tanto de punto a punto como de punto a multipunto, el método que se analiza aquí extiende las tecnologías de capa 2, como los enlaces troncales de LAN 802.1d y 802.1q, para ejecutarse sobre transportes como Ethernet metropolitano .

En este contexto, un VPLS es un PPVPN de capa 2 que emula la funcionalidad completa de una LAN tradicional. Desde el punto de vista del usuario, un VPLS permite interconectar varios segmentos de LAN de una manera transparente para el usuario, haciendo que los segmentos de LAN separados se comporten como una única LAN. ^[4]

En un VPLS, la red del proveedor emula un puente de aprendizaje, que puede incluir el servicio VLAN opcionalmente.

Pseudo-cable (PW)

PW es similar a VPLS pero puede proporcionar diferentes protocolos L2 en ambos extremos. Normalmente, su interfaz es un protocolo WAN como Asynchronous Transfer Mode o Frame Relay . Por el contrario, cuando se pretende proporcionar la apariencia de una LAN contigua entre dos o más ubicaciones, el servicio de LAN privada virtual o IPLS sería adecuado.

Túnel Ethernet sobre IP

EtherIP ( RFC  3378) ^[5] es una especificación de protocolo de tunelización Ethernet sobre IP. EtherIP solo tiene un mecanismo de encapsulación de paquetes. No tiene protección de confidencialidad ni de integridad de mensajes. EtherIP se introdujo en la pila de red FreeBSD ^[6] y en el programa de servidor SoftEther VPN ^{[7] .}

Servicio tipo LAN solo IP (IPLS)

Los dispositivos CE son un subconjunto de VPLS y deben tener capacidades de capa 3; el IPLS presenta paquetes en lugar de tramas. Puede admitir IPv4 o IPv6.

Red privada virtual Ethernet (EVPN)

La VPN Ethernet (EVPN) es una solución avanzada para proporcionar servicios Ethernet a través de redes IP-MPLS. A diferencia de las arquitecturas VPLS, EVPN permite el aprendizaje de MAC (y MAC, IP) basado en el plano de control en la red. Los PE que participan en las instancias EVPN aprenden las rutas MAC (MAC, IP) del cliente en el plano de control mediante el protocolo MP-BGP. El aprendizaje de MAC del plano de control aporta una serie de beneficios que permiten a EVPN abordar las deficiencias de VPLS, incluido el soporte para multihoming con equilibrio de carga por flujo y la prevención de inundaciones innecesarias sobre la red central MPLS a múltiples PE que participan en la L2VPN P2MP/MP2MP (en la ocurrencia, por ejemplo, de una consulta ARP). Se define en RFC  7432.

Arquitecturas PPVPN de capa 3 de OSI

En esta sección se analizan las principales arquitecturas de PPVPN: una en la que el PE elimina la ambigüedad de las direcciones duplicadas en una única instancia de enrutamiento y la otra, la del enrutador virtual, en la que el PE contiene una instancia de enrutador virtual por VPN. El primer enfoque y sus variantes han sido los que han recibido más atención.

Uno de los desafíos de las PPVPN implica que diferentes clientes utilicen el mismo espacio de direcciones, especialmente el espacio de direcciones privadas IPv4. ^[8] El proveedor debe poder desambiguar las direcciones superpuestas en las PPVPN de múltiples clientes.

BGP/MPLS PPVPN

En el método definido por RFC  2547, las extensiones BGP anuncian rutas en la familia de direcciones VPN IPv4, que tienen la forma de cadenas de 12 bytes, comenzando con un diferenciador de ruta (RD) de 8 bytes y terminando con una dirección IPv4 de 4 bytes. Los RD eliminan la ambigüedad de direcciones que de otro modo estarían duplicadas en el mismo PE. ^{[ cita requerida ]}

Los PE comprenden la topología de cada VPN, que está interconectada con túneles MPLS directamente o a través de enrutadores P. En la terminología MPLS, los enrutadores P son enrutadores de conmutación de etiquetas que no tienen conocimiento de las VPN. ^{[ cita requerida ]}

Enrutador virtual PPVPN

La arquitectura de enrutador virtual, ^{[9] [10]} a diferencia de las técnicas BGP/MPLS, no requiere ninguna modificación de los protocolos de enrutamiento existentes, como BGP. Al proporcionar dominios de enrutamiento lógicamente independientes, el cliente que opera una VPN es completamente responsable del espacio de direcciones. En los diversos túneles MPLS, las diferentes PPVPN se desambiguan por su etiqueta, pero no necesitan diferenciadores de enrutamiento. ^{[ cita requerida ]}

Túneles sin cifrar

Algunas redes virtuales utilizan protocolos de tunelización sin cifrado para proteger la privacidad de los datos. Si bien las VPN suelen brindar seguridad, una red superpuesta sin cifrar no se ajusta a la categorización de segura o confiable. ^[11] Por ejemplo, un túnel configurado entre dos hosts con encapsulamiento de enrutamiento genérico (GRE) es una red privada virtual, pero no es segura ni confiable. ^{[12] [13]}

Los protocolos de tunelización de texto simple nativos incluyen el Protocolo de tunelización de capa 2 (L2TP) cuando se configura sin IPsec y el Protocolo de tunelización punto a punto (PPTP) o el Cifrado punto a punto de Microsoft (MPPE). ^[14]

Véase también

• Portal de software libre
• Portal de Internet

• Red privada virtual multipunto dinámica
• VPN Ethernet
• Servicio de LAN privada virtual

Referencias

1. "Configuración de la conmutación de etiquetas multiprotocolo en modo PFC3BXL y PFC3B" (PDF) . Archivado (PDF) del original el 24 de noviembre de 2020 . Consultado el 24 de octubre de 2020 .
2. E. Rosen & Y. Rekhter (marzo de 1999). «BGP/MPLS VPNs». Grupo de trabajo de ingeniería de Internet (IETF). RFC 2547. Archivado desde el original el 1 de septiembre de 2022. Consultado el 8 de octubre de 2022 . 
3. Lewis, Mark (2006). Comparación, diseño e implementación de VPN (1.ª edición). Indianápolis, Indiana: Cisco Press. Págs. 5-6. ISBN 1587051796.
4. Puente Ethernet (OpenVPN), archivado desde el original el 8 de octubre de 2022 , consultado el 8 de octubre de 2022
5. Hollenbeck, Scott; Housley, Russell (septiembre de 2002). «EtherIP: Tunneling Ethernet Frames in IP Datagrams». Archivado desde el original el 8 de octubre de 2022. Consultado el 8 de octubre de 2022 .
6. Glyn M Burton: RFC 3378 EtherIP con FreeBSD Archivado el 23 de marzo de 2018 en Wayback Machine , 3 de febrero de 2011
7. Noticias de net-security.org: La VPN multiprotocolo SoftEther se convierte en código abierto Archivado el 8 de octubre de 2022 en Wayback Machine , enero de 2014
8. Asignación de direcciones para redes privadas Archivado el 8 de octubre de 2022 en Wayback Machine , RFC  1918, Y. Rekhter et al. , febrero de 1996
9. RFC  2917, Una arquitectura básica de VPN IP MPLS
10. RFC  2918, E. Chen (septiembre de 2000)
11. Yang, Yanyan (2006). "Corrección y garantía de la política de seguridad de IPsec/VPN". Journal of High Speed ​​Networks . 15 : 275–289. CiteSeerX 10.1.1.94.8561 . 
12. "Descripción general de las redes privadas virtuales aprovisionadas por el proveedor (PPVPN)". Secure Thoughts. Archivado desde el original el 16 de septiembre de 2016. Consultado el 29 de agosto de 2016 .
13. RFC  1702: Encapsulación de enrutamiento genérico sobre redes IPv4. Octubre de 1994.
14. IETF (1999), RFC  2661, Protocolo de tunelización de capa dos "L2TP"

Enlaces externos

• "Implementación de red de ISP para acceso integrado en grandes empresas". support.huawei.com . Consultado el 12 de julio de 2024 .