Índice |
La configuración VRRP que muestra la Figura 1 es tolerante a fallos pero desaprovecha recursos, ya que el encaminador de seguridad permanece inactivo. Afortunadamente, se puede configurar VRRP de forma que ambos encaminadores permanezcan activos, ya que los encaminadores VRRP pueden atender a más de un identificador VRID y de una dirección VRIP de una misma interfaz. Como muestra la Figura 2, es posible configurar, por ejemplo, el "Encaminador 2" como el encaminador principal de VRID 02 y VRIP 192.1.1.2, y el "Encaminador 1" como el encaminador de seguridad del encaminador virtual VRID 02. También se puede configurar la mitad de los equipos de la subred para que utilicen la dirección VRIP 192.1.1.1 como pasarela predeterminada, y a la otra mitad para que utilicen la dirección VRIP 192.1.1.2 como pasarela predeterminada. Esta configuración permite el reparto de carga además de la tolerancia a fallos.
Figura 2
Las marcas más importantes ya han incluido el protocolo VRRP en sus encaminadores y conmutadores de encaminamiento. Cisco, por ejemplo, ha desarrollado un protocolo propio, el HSRP (Hot Standby Router Protocol o Protocolo de encaminadores en espera), a partir del protocolo VRRP, con el que guarda gran similitud. Las firmas Alteon y Arrowpoint, por su parte, han incluido VRRP en sus repartidores de carga de servidores para hacerlos redundantes. Los términos que utilizan estas firmas para referirse a sus configuraciones de redundancia son "activo-de seguridad" y "activo-activo", por lo que se trata de configuraciones muy similares a las que muestran la Figura 1 y la Figura 2, respectivamente.
BGP
Los encaminadores utilizan, con frecuencia, un protocolo de encaminamiento para
intercambiar información de encaminamiento y para actualizar de forma dinámica
las tablas de encaminamiento cada vez que se produce un cambio en la topología
de la red (por ejemplo, cuando falla una conexión o un encaminador). A las
redes que pertenecen a un solo dominio administrativo, como es el caso de la
intranet de una empresa, se las denomina "sistemas autónomos"
(Autonomous System o AS) y a los protocolos de encaminamiento que se utilizan
dentro de los límites de un AS se les denomina "protocolos de
encaminamiento interior". Los protocolos RIP (Routing Information Protocol
o Protocolo de información de encaminamiento) y OSPF (Open Shortest Path First
o Abrir primero la ruta más corta) son dos protocolos de encaminamiento
interior muy conocidos. A los protocolos que utilizan con frecuencia los AS para
intercambiar información de encaminamiento se les denomina "protocolos de
encaminamiento exterior" y, también, "protocolo de encaminamiento
entre dominios". El protocolo de encaminamiento exterior de Internet es el
protocolo BGP, cuya definición aparece recogida en la RFC 1.771 del IETF. Todos
los AS necesitan disponer de un número de AS único, que les asigna InterNIC,
para poder ejecutar BGP en Internet.
El protocolo BGP se ejecuta, normalmente, en los encaminadores "fronterizos" de un AS (por ejemplo, en los encaminadores con que una empresa se conecta a Internet o en los encaminadores de los ISP a los que se conectan sus clientes y otros ISP). A aquellos encaminadores BGP que intercambian directamente información de encaminamiento se les denomina "interlocutores" o "iguales" (peers). Por ejemplo, en la Figura 3, el "Encaminador 1" de AS1 y el "Encaminador 4" de AS4 son interlocutores, como también lo son el "Encaminador 2" y el "Encaminador 3"; el "Encaminador 2" y el "Encaminador 5"; el "Encaminador 3" y el "Encaminador 6"; y el "Encaminador 4", el "Encaminador 5" y el "Encaminador 6". También se denomina "interlocutores" a aquellos AS que se conectan entre sí mediante el protocolo BGP (por ejemplo, el AS2 y el AS3).
Cuando dos encaminadores BGP que son interlocutores se conectan entre sí mediante TCP, intercambian mensajes de actualización BGP que contienen información de encaminamiento. Los encaminadores BGP también envían dicha información a los AS con los que tanto ellos como sus interlocutores pueden conectarse. Dichos mensajes incluyen las rutas de Internet que otros encaminadores les hayan facilitado, así como las rutas de intranet que algún protocolo de encaminamiento interior o alguna configuración estática de encaminamiento les haya proporcionado. Las rutas de los AS se representan en BGP mediante una dirección IP "agregada" o CIDR (Classless Inter-Domain Routing o Encaminamiento entre dominios sin clases), también conocida como "prefijo", del tipo 192.1.0.0/16. Los encaminadores BGP asocian un atributo AS-PATH a cada ruta. Dicho atributo indica la ruta que va desde el AS del encaminador que envía el mensaje al AS asociado a la dirección CIDR. Por ejemplo, la dirección de red del sistema autónomo AS3 de la Figura 3 es la 192.100.0.0/16. AS1, un interlocutor directo de AS3, comunica a los demás que una de las posibles rutas para llegar a 192.100.0.0/16 es la que posee el atributo AS-PATH 1 3. Tan pronto como AS4, un interlocutor directo de AS1, recibe dicha información, la podrá utilizar como factor a la hora de calcular cuál es la mejor ruta posible entre AS4 y AS1.
Los encaminadores BGP ofrecen la posibilidad de configurar políticas de filtrado que permiten especificar las rutas que deben aceptar los encaminadores de sus interlocutores y las rutas que deben proporcionar los encaminadores a sus interlocutores. Para sacar el máximo partido posible al encaminamiento y hacer realidad la redundancia, pueden incluirse atributos como, por ejemplo, preferencias y métricas, en las rutas que se reciban y envíen. Los encaminadores comprueban la disponibilidad de sus interlocutores mediante los mensajes "KeepAlive" (Mantener activo). Si, transcurrido un intervalo de tiempo preestablecido, el encaminador no recibe un mensaje "KeepAlive" de uno de sus interlocutores, interrumpirá la sesión BGP, eliminará las rutas ya inservibles de su interlocutor de la tabla de encaminamiento BGP y enviará un mensaje de actualización para comunicar el cambio a sus restantes interlocutores.
Al protocolo BGP que se ejecuta entre dos AS se le denomina EBGP (External BGP o BGP externo) y al protocolo BGP que se ejecuta entre encaminadores de un mismo AS se le denomina IBGP (Internal BGP o BGP interno). Todos los encaminadores IBGP de un AS deben poder comunicarse entre sí. Es preferible utilizar IBGP a un protocolo de encaminamiento interior convencional (por ejemplo, OSPF), ya que IBGP permite configurar políticas de encaminamiento BGP. BGP proporciona de forma nativa a los encaminadores IBGP las rutas BGP que recibe y los atributos AS-PATH asociados a éstas. Muchos de los ISP y de las empresas que disponen de múltiples conexiones a Internet utilizan IBGP en sus encaminadores de conexión fronterizos. No es necesario que exista una conexión física entre los encaminadores IBGP, siempre y cuando puedan comunicarse entre sí por medio de algún protocolo de encaminamiento interior o de alguna configuración estática de encaminamiento. Así, por ejemplo, el "Encaminador 4", el "Encaminador 5" y el "Encaminador 6" de AS4 de la Figura 3 se encuentran conectados mediante una conexión IBGP lógica. De este modo, el "Encaminador 4" de Los Ángeles podrá proporcionar las rutas que reciba del "Encaminador 1" de AS1 al "Encaminador 5" de Chicago y al "Encaminador 6" de Nueva York.
Multihoming
El escenario más simple posible de conexión de una empresa a Internet es aquél
en el que sólo existe una conexión a Internet que va desde la red de la
empresa a un ISP. Desafortunadamente, este tipo de configuración no presenta ni
redundancia ni tolerancia a fallos. Para que exista redundancia, hace falta una
configuración "multihoming", es decir, una configuración en la que
existan varias conexiones a Internet a través de uno o varios ISP. Dentro de
este tipo de configuración, pueden distinguirse dos categorías principales:
varias conexiones con un solo ISP y varias conexiones con varios ISP.
Si se opta por la primera categoría, es decir, por utilizar varias conexiones con un solo ISP, se podrá recurrir a uno de los dos tipos de configuraciones siguientes que gozan de gran aceptación. La primera consiste en conectar un único encaminador de Internet a dos o más encaminadores de distintos POP (Point of Presence o Punto de presencia) de un ISP, como muestra la Figura 4, mientras que la segunda consiste en conectar dos o más encaminadores de Internet a dos o más encaminadores de distintos POP de un ISP, como muestra la Figura 5. Si bien la primera configuración permite el establecimiento de conexiones redundantes a Internet, la utilización de un único encaminador en la empresa da lugar a la concentración del riesgo en un solo punto de fallo. La segunda configuración, en cambio, ofrece un mayor nivel de redundancia, ya que si los encaminadores de Internet se encuentran en distintos lugares, las contingencias que puedan producirse en un lugar no impedirán el acceso a Internet a través de los restantes lugares. Si se aplica el reparto de carga a los servidores web, los clientes de la empresa podrán seguir accediendo al servidor web que se encuentre disponible.
Figura 4
Figura 5
Si se opta por utilizar varias conexiones con varios ISP, habrá que conectar uno o varios encaminadores de Internet con los encaminadores de dos o más ISP, como muestra la Figura 6. Este tipo de configuración aumenta la fiabilidad de las conexiones a Internet, ya que, en el caso de que el funcionamiento de la red de un ISP sufra algún problema serio, siempre se podrá acceder a Internet a través de las redes de los otros ISP que funcionen sin problemas.
Figura 6
Configuraciones multihoming con tolerancia a
fallos
Las configuraciones multihoming con tolerancia a fallos consisten en utilizar
una de las conexiones como conexión principal y las restantes como conexiones
de seguridad. De este modo, si falla la conexión principal, las conexiones de
seguridad tomarán el relevo. En la Figura 4, por ejemplo, la conexión
principal es la existente entre el "Encaminador 3" de la empresa A y
el "Encaminador 1" del ISP1 de Los Ángeles, mientras que la conexión
de seguridad es la existente entre el "Encaminador 3" de dicha empresa
y el "Encaminador 2" del ISP1 de Nueva York. Para que la conexión con
el "Encaminador 1" sea siempre la principal y la conexión con el
"Encaminador 2" sea siempre la de seguridad, el administrador del
"Encaminador 3" tiene varias alternativas. Una sería configurar dos
rutas estáticas predeterminadas: una ruta más corta para el "Encaminador
1" y una ruta más larga para el "Encaminador 2". De este modo,
el "Encaminador 3" dará siempre preferencia a la conexión con el
"Encaminador 1", que es la más corta, en sus conexiones de salida a
Internet.
Otra alternativa sería configurar el "Encaminador 3" para que acepte las rutas predeterminadas que le indiquen el "Encaminador 1" y el "Encaminador 2" y asociar a dichas rutas un valor de atributo (LOCAL-PREF) de preferencia local BGP que indique cuál es la ruta preferida. Cuanto mayor sea el valor, mayor será la preferencia. Por ejemplo, el administrador del "Encaminador 3" puede asignar el valor 200 al atributo LOCAL-PREF de la ruta predeterminada del "Encaminador 1" y el valor 100 al atributo LOCAL-PREF de la ruta predeterminada del "Encaminador 2" con el fin de que la conexión con Los Ángeles se utilice como la conexión principal de salida.
Para utilizar la conexión de Los Ángeles como conexión principal de entrada, el administrador del "Encaminador 3" puede incluir el atributo MED (Multiple Exit Discrimination o Discriminación de salidas múltiples) de BGP en la ruta que proporciona dicho encaminador (192.1.0.0/16). El atributo MED pide a los AS interlocutores que seleccionen la conexión que posea el valor MED más bajo como la conexión de salida en el caso de que el AS disponga de varias conexiones de salida. Por ejemplo, si el "Encaminador 3" proporcionara la ruta 192.1.0.0/16 con un valor MED de 100 al "Encaminador 1" y con un valor MED de 200 al "Encaminador 2", el ISP1 utilizaría la conexión de Los Ángeles como conexión principal de entrada y la conexión de Nueva York como conexión de seguridad de entrada. Pero, como el ISP1 puede añadir a la ruta un valor LOCAL-PREF que anule el atributo MED del "Encaminador 3" (BGP siempre da preferencia al valor LOCAL-PREF a la hora de tomar decisiones de encaminamiento), lo mejor será pedir al ISP que utilice unos valores MED determinados.
Configuraciones multihoming con reparto de
carga
Para crear una configuración multihoming con reparto de carga, hay que
especificar los encaminadores que enviarán y recibirán la información
relativa a determinadas rutas. Por ejemplo, la "Empresa A" de la
Figura 5 utiliza dos rutas. Como la ruta 192.1.0.0/16 es la más corta entre el
ISP1 y el "Encaminador 3", el administrador de redes de la empresa A
puede configurar el "Encaminador 3" para que utilice preferentemente
la conexión de Los Ángeles para el tráfico de entrada. Para ello, sólo tiene
que añadir un valor MED más bajo a la ruta que proporcione dicho encaminador
al "Encaminador 1" de Los Ángeles y un valor MED más alto a la ruta
que proporcione el "Encaminador 3" al "Encaminador 2" de
Nueva York. El administrador también podría asignar un valor MED más bajo a
la ruta que proporcione el "Encaminador 4" al "Encaminador
2" de Nueva York y un valor MED más alto a la ruta que proporcione el
"Encaminador 4" al "Encaminador 1" de Los Ángeles. El
resultado sería el siguiente: para el tráfico de entrada, la conexión de Los
Ángeles sería la conexión principal de 192.1.0.0/16 y la conexión de
seguridad de 130.1.0.0/16, mientras que la conexión de Nueva York sería la
conexión principal de 130.1.0.0/16 y la conexión de seguridad de 192.1.0.0/16.
Si el encaminador de Internet acepta las rutas especificadas por el ISP, se podrá repartir la carga del tráfico de salida entre estas rutas. Por ejemplo, la empresa A de la Figura 5 realiza operaciones de e-business con un socio conectado al POP de Los Ángeles del ISP1 mediante una ruta corta (la ruta 193.1.0.0/16) y con otro socio conectado al POP de Nueva York del ISP1 mediante otra ruta corta (la ruta 11.0.0.0/8). El administrador de la empresa A puede asociar, por tanto, un valor LOCAL-PREF más alto a la ruta 193.1.0.0/16 y un valor LOCAL-PREF más bajo a la ruta 11.0.0.0/8 que reciba el "Encaminador 3" para convertir la conexión de Los Ángeles del ISP1 en la conexión principal de 193.1.0.0/16 y en la conexión de seguridad de 11.0.0.0/8. Para configurar la conexión de Nueva York como la conexión principal de 11.0.0.0/8 y como la conexión de seguridad de 193.1.0.0/16, sólo tendrá que invertir los parámetros de las dos rutas que reciba el "Encaminador 4". El administrador de la empresa A también podrá configurar la conexión de Los Ángeles como la conexión principal de la ruta predeterminada (es decir, para las restantes rutas de Internet) y la conexión de Nueva York como la conexión de seguridad.
Para repartir la carga y conferir tolerancia a fallos a una configuración multihoming que, como muestra la Figura 6, posee múltiples conexiones a múltiples ISP, deberán seguirse los mismos pasos que se han descrito para las configuraciones multihoming que poseen múltiples conexiones con un solo ISP. Hay que recordar, no obstante, que el atributo MED sólo funciona en aquellos casos en los que existen múltiples conexiones entre dos AS (en otras palabras, que el atributo MED no es transitivo). Por ello, si sólo se dispone de una conexión con cada ISP, no se podrá utilizar el atributo MED. En el ejemplo de la Figura 6, la empresa A sólo posee una conexión con cada ISP, por lo que el administrador de dicha empresa no podrá utilizar el atributo MED. Lo que sí podrá hacer, no obstante, es modificar el atributo AS-PATH para especificar una ruta. Por ejemplo, para que AS1 sea la conexión de seguridad de 130.1.0.0/16, el administrador podrá crear un valor AS-PATH falso añadiendo un 4 al valor normal de AS-PATH, que también es 4. Cuando el "Encaminador 3" proporcione a AS1 la ruta 130.1.0.0/16 con un valor AS-PATH de 4 4, dicho sistema autónomo proporcionará a AS3 dicha ruta con un valor AS-PATH de 1 4 4. A su vez, el "Encaminador 4" proporcionará a AS2 la ruta 130.1.0.0/16 con un valor AS-PATH normal de 4, y AS2 proporcionará a AS3 la ruta con un valor AS-PATH de 2 4. De esta forma, AS3 seleccionará la conexión de AS2 para el caudal de tráfico existente con 130.1.0.0/16, ya que será la ruta más corta.
Cada vez que nos conectemos con varios ISP, deberemos bloquear todas las rutas establecidas por los ISP, así como todas las rutas que se les hayan proporcionado a excepción de las que les indiquemos expresamente. De lo contrario, los ISP podrían descubrir una ruta más corta a otro destino a través de nuestro AS y utilizarían nuestra red como AS de tránsito entre distintos ISP.
Abróchense los cinturones
Las piezas del rompecabezas que acabamos de describir permiten crear distintas
configuraciones de encaminamiento IP redundante. El primer nivel de redundancia
se consigue mediante la utilización de varias pasarelas predeterminadas y
mediante los protocolos IRDP y VRRP. El segundo nivel de redundancia se consigue
mediante la utilización del protocolo BGP en conexiones múltiples a Internet.
Si se incluyen encaminadores adicionales entre los niveles primero y segundo,
por ejemplo, encaminadores troncales de la red, habrá que utilizar varios
encaminadores y rutas que garanticen la redundancia. También habrá que
utilizar conmutadores fiables o redundantes para los hosts y encaminadores de
Internet. Tan pronto como se disponga de una red con un elevado nivel de
redundancia, será posible hacer negocios en Internet sin contratiempos.
Índice |