21 de abril de 2014

¿En qué capa operan?

La mayoría de nosotros al hacer los primeros palotes del networking hemos pasado por el estudio de los modelos de red ( OSI, TCP/IP, NetWare, etc.), y al estudiar el Modelo OSI hemos encontrado que los hubs operan en capa física, los switches LAN en capa de enlace de datos y los routers en capa de red.
Luego, a medida que progresamos en nuestros conocimiento vamos entrando en contacto con los dispositivos, su realidad, su operación, y a veces surge una pregunta que nos remite a esos conocimientos iniciales: ¿en qué capa del modelo OSI opera este dispositivo?
Por eso me pareció interesante dedicar un post a revisar el criterio con el cual se elabora la respuesta a esa pregunta. Pero antes, creo que es necesario hacer algunas precisiones:
  • No tenemos que confundir los productos comerciales (las "cajas"), con la definición de los dispositivos teóricos. Muchos productos comerciales en realidad integran múltiples funciones en una caja.
    Un ejemplo (es del ámbito hogareño, pero lo mismo pasa en el enterprise) son los llamados "routers de banda ancha" que son en la realidad una caja que combina en un producto comercial ajustado al mercado hogareño un router, con un pequeño switch LAN, con un access point, y en algunos casos un módem ADSL o cablemódem.
    En este caso tenemos 3 o 4 dispositivos diferentes integrados en una única caja.
  • La clasificación a la que se refiere este post, se basa en las funciones esenciales que definen el rol del dispositivo en la misión esencial de la red que es el establecimiento de un circuito end-to-end que permita el desarrollo de una comunicación entre 2 dispositivos terminales.
    Los dispositivos actuales integran muchas otras prestaciones que no hacen a esa misión esencial. Por ejemplo, no podemos considerar para estas clasificaciones la posibilidad de implementar protocolos asociados a la gestión de los dispositivos, tales como SSH, HTTPS o SNMP. Si así lo hiciéramos, todos los dispositivos serían dispositivos de capa de Aplicación, pero esta apreciación no tendría nada que ver con su propósito en el establecimiento de la ruta origen-destino.
Un criterio para sistematizar los dispositivos
El criterio básico que se utiliza para definir en qué capa del modelo OSI opera un dispositivo es tomar como referencia la información que utiliza ese dispositivo para elaborar la decisión de reenvío del tráfico hacia su destino. De esta forma, se referencia cuál el encabezado de mayor nivel que utiliza el dispositivo para definir la interfaz a través de la cuál debería reenviar ese segmento.
Así:
  • Son dispositivos de capa física aquellos que no utilizan información contenida en los encabezados para reenviar el tráfico.
    Estos dispositivos simplemente copian la señal portadora a todas las interfaces del dispositivo sin ningún procesamiento o, como se suele decir en algunos casos, sin agregar "inteligencia" en la red.
    Es el caso de los hubs, módems y repetidores.
  • Son dispositivos de capa de enlace de datos (dispositivos de capa 2) aquellos que procesan el encabezado de la trama para obtener la información que luego utilizarán para definir la interfaz de salida.
    Son dispositivos clásicos que operan en esta capa los switches LAN, los access point y los bridges. Los bridges son un caso particular ya que por conectar redes de capa 2 con diferente tecnología, no sólo toman la decisión de reenvío en función del encabezado de la trama, sino que adicionalmente reformatean la trama para adecuarla a la red de destino.
  • Son dispositivos de capa de red (dispositivos de capa 3) los que además de procesar el encabezado de la trama procesan el encabezado del paquete para obtener la información necesaria para definir la interfaz de salida del paquete.
    Este es típicamente el caso de los routers.
Según esto, ¿qué hay con las placas de red o NIC?
Pues, se trata de un caso particular, ya que las placas de red son las que permiten al dispositivo terminal conectarse a la red, y por lo tanto no participan del tránsito de la información sino que son origen o destino de la misma.
Sin embargo, desde una perspectiva más funcional generalmente son consideradas dispositivos de capa 2. ¿Por qué? Porque la placa de red define tanto la operación en capa física como en capa de enlace de datos; no la operación en capa de red que se define por software. La operación de capa 3 a 7 (red a aplicación o viceversa) se define a nivel del sistema operativo de la terminal y no depende de la NIC utilizada.

¿ Y los firewalls?
Ese es otro tema, un firewall no es propiamente un dispositivo sino un sistema.
Es decir, un firewall es una combinación de criterios y técnicas que permiten al Administrador de la red forzar políticas de acceso a recursos. Hay dispositivos que reciben la denominación de firewall (un ASA o un Fortinet); pero es posible también la implementación de firewall sin recurrir a un appliance dedicado a la operación.
Por ejemplo, una implementación de listas de acceso en diferentes dispositivos combinada con un IPS también recibe la denominación de firewall.
Pero si nos vamos a referir específicamente a los appliances, entonces hay diferentes niveles de firewalling a considerar, que van desde capa 2 y 3 (aplican políticas exclusivamente en base a direccionamiento MAC e IP, por ejemplo), hasta capa de aplicación (filtrado de URLs o comandos de aplicaciones, por ejemplo).


8 comentarios:

  1. Muy buena información, bastante específica y sobre todo útil.
    Gracias por tomarte el tiempo de escribir estos artículos.

    ResponderBorrar
  2. Interesante la aclaración de esos terminos. Gracias por el aporte.

    ResponderBorrar
  3. Muy buena aclaración.
    En cuanto al termino firewall, podría decir que si tengo dos vlan creadas en un switch (sin enrutarlas) también lo puedo considerar una forma de firewall (como concepto) ya que una “zona” no ve a la otra?
    Saludos.

    ResponderBorrar
    Respuestas
    1. Estás en lo correcto Javier.
      Precisamente, algunos autores (incluidos algunos materiales de estudio de Cisco) incluyen las VLANs como una forma primaria de firewall.

      Borrar
  4. profe queria saber si me pudiese aclarar algo: estoy termianado el ccna pero basado en el 4.0 sin embargo van a da run curso aparte en mi academia de nivelacion para el 5.0 mi pregunta es. ¿ el examen 200-201 de ccna es muy o mas complicado que el anterior ccna ? ( segun su opinion ) otra cosa profe, lo que es el estudio y la configuracion del Frame relay tambien esta presente en el curri 5.0 ?

    Gracias un fuerte Abrazo desde Venezuela

    ResponderBorrar
    Respuestas
    1. Harold.
      No hay diferencia significativa respecto del grado de "dificultad" del examen 200-120 respecto del anterior. Las diferencias son en realidad del temario: hay temas que se han retirado y otros nuevos que se incorporan.
      Un análisis de las diferencias, lo puedes encontrar en este post del blog: http://librosnetworking.blogspot.com/2013/10/diferencias-entre-ccna-y-ccna-r.html
      Respecto de Frame Relay, se mantiene dentro del temario.

      Borrar
  5. Buen dia , una pregunta, cuando saldra el apunte de conmutacion LAN

    ResponderBorrar
    Respuestas
    1. El eje temático de Conmutación LAN está terminado y en proceso de publicación. Estimo que hacia el próximo fin de semana ya estará disponible para la compra. Lo publicaré en el blog y las redes sociales.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.