Dispositius de xarxa

23 Març 2014
Josep Ma Solanes 0

Hi ha molta literatura extensa sobre la xarxa /es, però precisament aquest excés de informació, de vegades, fa que es faci incomprensible pel dia a dia o pels que no estem habituats a treballar contínuament amb xarxes. Però és una part més del trencaclosques que hem de tenir configurat de manera correcta. No hi ha serveis sinó hi ha comunicacions.

Tothom disposa de commutadors (switchs), encaminadors (routers), tallafocs (firewalls), balancejadors (loadbalancing), etc… a les seves instal·lacions, però molt sovint aquests aparells es converteixen en “caixes negres” per l’usuari. No se sap què fan, què deixen de fer, ni amb què em poden ajudar més. Sovint, a la pregunta de si funciona l’aparell la resposta és: Si, fa llumetes. I en part és correcte, l’aparell està endollat a la corrent i acostuma a fer llumetes.

Però, què són aquestes llumenetes? Els dispositius d’avui en dia són molt més que una simple llumeta com ho eren els concentradors (hubs). Hi ha tot un món al seu voltant, no és electrònica pura i dura, sinó que disposen de complexes sistemes operatius amb un muuuuunt de funcions. El fet de fer llumetes indica que el dispositiu té electricitat i fins potser que ha arrancat el seu sistema operatiu. Però i la configuració és correcte? No haurà recuperat una configuració antiga que ja no aplica? S’ha configurat correctament? etc… Aquestes preguntes ja només es poden respondre accedint al propi dispositiu per revisar la configuració i els logs.

 

El model OSI

No entraré en els detalls tècnics del model OSI (Open System Interconnection), per això hi ha tota la literatura que ja he esmentat. Podeu trobar informació general a la Viquipèdia (http://ca.wikipedia.org/wiki/OSIhttp://es.wikipedia.org/wiki/Modelo_OSI). M’interessa que us quedi la foto amb la comparativa del model OSI i el model TCP/IP ja què, si bé el model TCP/IP és una implementació del model OSI, hi ha alguna diferència. Cada capa té una funció concreta que només es desenvolupa dins la pròpia capa. Aquí és on es diferencien els tipus d’aparell de xarxa, segons la capa o capes que implementen.

El model TCP/IP és una implementació del model OSI, i és el que s’utilitza en la majoria de xarxes.

Comparativa entre el model OSI i TCP/IP de xarxa
Comparativa entre el model OSI i TCP/IP de xarxa

El model TCP/IP

És la implementació del model OSI a la majoria de xarxes. La diferència amb el model OSI és que agrupa les capes de sessió, presentació i aplicació en una única capa. El que pretenc amb l’entrada és deixar clar què fa cada capa, per a què serveix i quins dispositius intervenen de forma general.

Centrant-nos ja, de forma general, en les diferents capes del model TCP/IP.

Nivell FÍSIC

A l’igual que els ordinadors, és la part que veiem, la que es pot tocar. Quan parlem de les xarxes equival al cable i a l’electrònica “simple”. Quan fem passar electricitat per ell arriba a tot arreu. Podem fer el símil amb la instal·lació elèctrica de casa: els cables porten l’electricitat per a tota la casa. Mitjançant els interruptors deixem passar o no l’electricitat. Si vull posar electricitat al jardí, només cal que endolli un cable allargador a un endoll de la casa i ja tinc electricitat al jardí.

En aquesta capa també hi entren les Wi-Fi, ja què el “cable” hi continua sent (l’aire que ens envolta), però no el veiem amb la vista.

Per tant dues opcions:

  • Cable: Més fàcil de controlar el seu accés. Tornant al símil, és més difícil (que no impossible) que el veí es connecti a la meva instal·lació elèctrica.
  • Wi-Fi: Més difícil de controlar el seu accés. Al ser l’aire precisament un mitjà universal que no puc ni veure ni controlar, tothom hi té accés.

 

Nivell ENLLAÇ (capa 2)

Aquesta part ja no la veiem, no la podem tocar i requereix de certa intel·ligència del dispositiu. El més habitual és parlar dels commutadors de capa 2, que permeten disposar de VLANs, agregats de ports i un filtratge bàsic a nivell de MAC (adreça física del dispositiu). També són habituals els agregats de ports dels servidors (Teamings).

Recordar els dos conceptes que apareixen:

  • VLAN. Separa o uneix dispositius dins de la mateixa xarxa física, com si estiguessin separats o units físicament quan no ho estan.
    • Separa. Dins d’un mateix commutador puc tenir ports que pertanyin a la xarxa A (ofimàtica) i ports que pertanyin a la xarxa B (DMZ, industrial, etc…) sense que entre ells es puguin comunicar.
    • Uneix. També és útil quan es tracta de comunicar dos equips de la mateixa xarxa, però que estan separats físicament entre sí. Per exemple, les oficines i el laboratori. Al laboratori hi ha equips ofimàtics i equips industrials i al revés. Com connectar els dos punts? Amb un únic cable i 2 commutadors (un a cada edifici), pel que es fan passar 3 VLANs: 1a la de gestió, comunicació entre els commutadors; la 2a per ofimàtica; i la 3a per industrials. Físicament només es veurà un cable, però a nivell de la capa d’enllaç és com si haguéssim posat 3 cables i 3 commutadors diferents. Els equips connectats a la xarxa d’ofimàtica es veuran entre ells, tot i que estan en edificis diferents; però no veuran els equips de la xarxa d’industrials i a la inversa.
  • Agregat de ports. Conegut com a 802.1ad, o EtherChannel (aquests de Cisco anant a la seva) serveix per unir ports, per tant, donar més ample de banda o tolerància a errades a un dispositiu. És el més recomanable per unir diferents commutadors i per les connexions amb els servidors. D’aquesta forma puc controlar colls d’ampolla generats per una demanada molt gran (200 usuaris a 1 Gbit) sobre una connexió molt petita (1 port de 1 Gbit). L’agregat s’ha de realitzar en els dos extrems (commutador, dispositiu), no val de crear només en un dels extrems. Actualment, l’enllaç es dur a terme amb el protocol LACP, més dinàmic en quan es defineix el tipus d’agregat.

 

Nivell XARXA (capa 3)

En aquest nivell s’estableix l’adreçament IP dels dispositius. Segons l’adreça, formada per una adreça IP v4 o v6 + la submàscara, es poden veure uns equips amb els altres. L’encaminament (routing) permet comunicar les xarxes amb diferent adreçament IP.

Dins d’una xarxa empresarial, el normal és disposar d’una xarxa IP per a cada VLAN. D’aquesta forma, mitjançant la VLAN, separo els dispositius entre ells i, amb l’encaminador (router), puc connectar una xarxa amb una altre aplicant regles d’accés a nivell d’equip.

En aquest nivell es troben els dispositius:

  • encaminadors (routers), com el d’ADSL per exemple.
  • commutadors de capa 3 (switchs layer 3) que permeten comunicar més d’una xarxa entre elles, aplicant diferents regles d’accés.
  • tallafocs (firewalls) més bàsics que permeten filtrar i establir regles entre els paquets

Els dispositius anteriors es poden trobar separats, però és habitual trobar commutadors amb capacitats d’encaminament i tallafocs bàsic a la vegada. Depèn de les necessitats i la butxaca.

Per comunicar xarxes sempre han de pertànyer a xarxes IPs diferents, sinó no és possible aquesta comunicació.

Moltes VPN (Virtual Private Network) estableixen enllaços de capa 3 per connectar l’equip client a la xarxa. En aquests casos, recordar que la xarxa del client NO pot tenir el mateix adreçament IP que la xarxa on es connecta. Per exemple, si la xarxa de l’empresa té l’adreçament 192.168.1.0/24; la xarxa des on es connecta l’usuari (casa seva) no pot tenir la mateixa adreça. Algú dels dos haurà de canviar per una altre, per exemple a: 192.168.2.0/24.

 

Nivell TRANSPORT i APLICACIÓ

Trobem el tipus de servei o aplicació: el servei Web (http), correu electrònic (SMTP, POP3, IMAP), etc… En aquest nivell actuen el tallafocs, IPS (Intrusion Prevention System), DDOS que permeten passar o denegar l’accés a un servei determinat, analitzar el contingut del servei a la recerca de malware i comprovar el tipus d’aplicació que funciona damunt el propi servei. Són la barrera entre una banda i l’altre.

Els tallafocs han evolucionat segons les demandes dels clients i, actualment, han deixat de ser mers controladors de tràfic a incorporar intel·ligència com l’anàlisi de virus i spyware, filtre de contingut, tallafocs d’aplicació i IPS. Són els anomenats dispositius UTM.

El tallafocs d’aplicació permet fer un control més detallat en les connexions. Posem un exemple il·lustratiu: El departament de Màrqueting ha de poder accedir al Facebook per la seva dinamització, però l’empresa no vol que els usuaris juguin amb les aplicacions. En aquesta situació es pot definir una regla que permeti l’accés al Facebook, però una altre que bloquegi els jocs del propi Facebook. Un altre exemple seria evitar una “possible fuga d’informació” mitjançant carrega de fitxers per FTP. Es crea una regla que permeti fer una connexió FTP, però que només permeti descarregar i no pas pujar fitxers, etc…

 

Conclusió de dispositius

Resum de quin dispositiu necessito segons necessitats:

  • Separar dispositius dins una mateixa xarxa o bé, unir equips situats en diferents ubicacions físiques. O bé unir ports per aconseguir més ample de banda: Commutadors de capa 2.
  • Unir diferents xarxes i controlar l’accés entre elles: Commutadors de capa 3.
  • Controlar el tràfic d’entrada i sortida entre xarxes: Tallafocs.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada