Page 424 - Untitled
P. 424

CAPÍTULO 9: REDES PRIVADAS VIRTUALES

                    TÚNELES GRE: CONFIGURACIÓN Y VERIFICACIÓN




                       La  comunicación  a  través  de  una  VPN  se  hace  posible  gracias  a  la  aplicación
                    conjunta  de  diferentes  protocolos  y  procesos,  cada  uno  de  ellos  con  una  función
                    específica. Los analizados hasta ahora, de manera muy superficial, proveen seguridad
                    sobre los  datos, sin  embargo, no ejecutan el proceso  de encapsulación y envío de
                    estos. Para ello debe ser aplicado algún otro protocolo que establezca, mantenga y
                    gestione la conexión entre ambos extremos de la VPN. Uno de ellos es GRE, el cual
                    será analizado a continuación.




                    Protocolo GRE: Conceptos básicos



                       GRE (Generic  Routing Encapsulation), es  un protocolo  propietario de Cisco  que
                    aplicado sobre una VPN define el proceso de encapsulación de datos necesario para
                    que  la  comunicación  entre  ambos  extremos  pueda  llevarse  a  cabo.  Su  función
                    principal  consiste  en  dar  formato  a  las  cabeceras  IP  y  VPN  agregadas  sobre  el
                    paquete IP original ya cifrado, aunque también provee los mecanismos necesarios
                    para el establecimiento, transmisión y gestión de la conexión.


                       Dicho proceso, denominado tunneling, consiste en encapsular un protocolo sobre
                    otro, gracias a lo cual resulta posible transportar datos entre redes de diferente tipo,
                    por ejemplo, que un paquete LAN pueda atravesar un entorno WAN. Para ello, GRE
                    ejecuta las siguientes acciones:


                    - Primero, sobre los datos ya cifrados, agrega una cabecera propia de GRE, con un
                    tamaño  de  4  bytes  (32  bits).  Esta,  entre  otros,  incluye  los  campos  autenticación

                    (opcional),  número  de  secuencia  o  protocolo  encapsulado,  siendo  todos  ellos
                    necesarios para la comunicación y control entre ambos extremos.


                    - Segundo,  agrega  otra cabecera,  esta vez IP y  denominada “delivery header”, con
                    una longitud de 20 bytes e incluyendo en la misma, entre otros, los campos dirección
                    de origen y destino. Estas direcciones corresponden a aquellas públicas asignadas a
                    los routers para su comunicación a través de Internet. Los dispositivos intermediarios
                    entre  el  origen  y  el  destino  tomarán  la  decisión  de  reenvío  en  relación  con  la
                    información incluida en esta cabecera.









                                                                                                          409
   419   420   421   422   423   424   425   426   427   428   429