Sistemas y Aplicaciones SAI · Redes WAN

Tema 58. Redes de área extensa. Interconexión redes locales

🎁 Muestra Gratuita 🎧 11 audios incluidos

Tema 58. Redes de área extensa. Interconexión redes locales.

1. Índice

2. Vinculación curricular

SMR / Redes locales → Interconecta redes privadas con redes públicas, Configura equipos de interconexión y pasarelas.
ASIR / Planificación y administración de redes → Integra equipos de comunicaciones, Configura protocolos de enrutamiento y subredes lógicas.

3. Introducción

Las redes de área local (LAN, conjunto de dispositivos interconectados en un espacio físico reducido) resuelven la necesidad de comunicación dentro de un mismo edificio. Cuando una organización necesita intercambiar información entre sedes separadas por kilómetros, las topologías LAN alcanzan su límite. Para superar esta restricción geográfica, la ingeniería desarrolla las redes de área extensa (WAN, redes de comunicación que abarcan regiones, países o continentes).

El despliegue inicial de las redes WAN se basó en líneas telefónicas dedicadas que empleaban la conmutación de circuitos, un método que establece una ruta física exclusiva durante toda la conexión. Este modelo presentaba ineficiencias técnicas para transmitir datos informáticos. Por ello, la industria evolucionó hacia las redes de conmutación de paquetes, una técnica donde los equipos emisores dividen la información en bloques independientes que comparten dinámicamente los enlaces.

💡 Historia Curiosa: Paul Baran ideó la conmutación de paquetes en la década de 1960 mientras diseñaba una red militar tolerante a fallos para la corporación RAND. Presentó el diseño a AT&T, el mayor monopolio telefónico de la época, pero sus ingenieros ignoraron la propuesta asegurando que la tecnología que Baran proponía era imposible de construir.

Esta evolución de la conmutación establece la infraestructura base de Internet. En la actualidad, la red global opera mediante la interconexión de múltiples sistemas autónomos (AS, conjuntos de redes bajo una única política de administración). Los operadores conectan estas redes para intercambiar datos entre equipos muy distantes. El valor de esta interconexión crece según la ley de Metcalfe, de forma proporcional a , donde representa el número de nodos conectados.

En los ciclos de Formación Profesional, el estudio de esta arquitectura capacita al alumno para diseñar y administrar infraestructuras de red en empresas.

El estudiante aprende a configurar el enrutamiento (proceso de calcular y seleccionar la ruta de red más rápida) y a establecer redes privadas virtuales (VPN, túneles cifrados que unen sucursales a través de infraestructuras públicas). La asimilación de estos conceptos permite al técnico gestionar las salidas a Internet en entornos productivos corporativos.

4. Desarrollo

4.1. Concepto y arquitectura de redes de área extensa (WAN)

4.1.1. Definición y naturaleza de las redes de área extensa

Una red de área extensa (WAN) es una infraestructura de comunicaciones de datos que abarca una gran área geográfica. Estas redes conectan sistemas informáticos y redes de menor tamaño distribuidas a lo largo de ciudades, países o continentes. La distancia geográfica impide que una única organización despliegue su propia infraestructura física de principio a fin.

Las empresas contratan servicios de transporte de datos a un proveedor de servicios de telecomunicaciones (ISP). El proveedor ofrece la infraestructura física y los mecanismos de enrutamiento para que los datos viajen entre las distintas sedes de la organización. La red del proveedor opera de forma transparente para el usuario final.

🧩 Analogía: Imagina una WAN como el sistema nacional de ferrocarriles. Las empresas poseen las mercancías y las estaciones locales, pero alquilan el uso de las vías y las locomotoras a una empresa estatal para mover la carga a largas distancias.

El límite físico entre la red privada y la red del proveedor marca el punto de demarcación. En este punto, la responsabilidad del mantenimiento pasa del cliente al proveedor de servicios. El equipo situado en las instalaciones del cliente recibe el nombre de equipo local del cliente (CPE).

El diseño de estas redes busca transferir la máxima cantidad de información en el menor tiempo y con el menor coste. La arquitectura debe equilibrar la capacidad de transmisión de los enlaces con el coste económico de alquilarlos.

Las organizaciones también emplean infraestructuras públicas, como Internet, para construir una red privada virtual (VPN). El sistema encripta los datos y crea un túnel seguro a través de la red pública, lo que simula un enlace WAN dedicado a un coste muy inferior.

4.1.2. Características técnicas definitorias

Las distancias geográficas grandes representan la característica más evidente de las redes WAN. Esta longitud física impone restricciones directas sobre la velocidad de transmisión de las señales eléctricas u ópticas. La señal sufre atenuación y necesita regeneración mediante amplificadores a intervalos regulares en su recorrido.

El ancho de banda en estas redes es variable y depende del contrato de arrendamiento. Una organización compra una tasa de transmisión específica que el proveedor garantiza mediante técnicas de multiplexación. Los anchos de banda WAN varían desde unos pocos kilobits por segundo en líneas antiguas hasta decenas de gigabits en enlaces modernos.

La latencia es el tiempo que tarda un paquete de datos en viajar desde el origen hasta el destino. En las redes WAN, la latencia alcanza valores muy altos debido a la suma acumulativa de varios retardos en la transmisión. Podemos calcular la latencia total sumando el retardo de transmisión, el retardo de propagación y los retardos en los nodos.

Fórmula: es la longitud del paquete, el ancho de banda, la distancia y la velocidad de propagación de la señal.

El retardo de propagación () domina la latencia total en conexiones a larga distancia. La luz viaja por la fibra óptica a unos metros por segundo. Un viaje de ida y vuelta transcontinental añade decenas de milisegundos de latencia, un valor inalterable por las leyes de la física que obliga a adaptar los protocolos de transporte.

4.1.3. Componentes estructurales de la arquitectura WAN

La arquitectura WAN distribuye sus funciones entre equipos ubicados en las instalaciones del cliente y equipos dentro de la red del proveedor. La línea de acceso local (o bucle local) conecta físicamente el enrutador del cliente con el conmutador más cercano de la empresa de telecomunicaciones.

Este bucle local utiliza cables de par trenzado, cables coaxiales o enlaces de fibra óptica. En el extremo del cliente opera el equipo terminal de datos (DTE), normalmente un enrutador. El proveedor instala un dispositivo de conversión llamado equipo de terminación del circuito de datos (DCE), como un módem o una CSU/DSU.

El dispositivo DCE adapta las señales lógicas de la red local al formato físico de la línea de transmisión de área extensa externa.

Los nodos de conmutación operan dentro de la red del proveedor. Estos ordenadores especializados reciben datos por una línea de entrada, leen la dirección de destino y reenvían la información por la línea de salida correspondiente. Los nodos frontera se comunican directamente con las líneas de acceso local.

Los enlaces troncales de transmisión conectan los nodos de conmutación del proveedor entre sí. Los proveedores construyen estos enlaces utilizando fibra óptica de altísima capacidad. Aplican técnicas de multiplexación para transmitir múltiples flujos de datos simultáneos sobre el mismo medio físico.

Diagrama: Flujo de datos a través de los componentes estructurales de una red de área extensa.

4.1.4. Tecnologías de conmutación subyacentes

Las redes WAN emplean tradicionalmente dos métodos para mover los datos a través de la infraestructura. La conmutación de circuitos establece un camino de comunicación dedicado de extremo a extremo antes de comenzar cualquier transferencia de datos. La red telefónica tradicional funciona mediante este principio.

El circuito dedicado garantiza un ancho de banda constante y un retardo de transmisión sin variaciones. El sistema reserva los recursos físicos y lógicos de la red temporalmente. El inconveniente surge con el tráfico informático, que viaja en ráfagas e inutiliza el canal durante los silencios.

La conmutación de paquetes divide los datos en bloques manejables llamados paquetes y no reserva ningún camino por adelantado. El equipo origen envía los paquetes a la red a la velocidad que su línea de acceso permite. La infraestructura de red procesa cada bloque de información de forma independiente.

Cada nodo de conmutación recibe el paquete completo, lo almacena temporalmente en memoria y lo envía al siguiente nodo. Esta técnica de almacenamiento y reenvío (store-and-forward) optimiza el uso de los enlaces troncales, ya que los paquetes de diferentes usuarios comparten la línea bajo demanda.

⭐ Importante: La conmutación de paquetes predomina en las redes de datos modernas. Permite una redistribución dinámica del ancho de banda entre los flujos de tráfico que atraviesan los enlaces troncales, aumentando la eficiencia global del sistema.

Dentro de la conmutación de paquetes, las WAN implementan dos enfoques. El enfoque de datagramas enruta cada paquete de manera aislada. El enfoque de circuitos virtuales establece un camino lógico previo, insertando una etiqueta en el paquete para acelerar la conmutación en los nodos intermedios, como ocurre en tecnologías como ATM o Frame Relay.

4.1.5. Topologías comunes en el diseño WAN

La disposición física y lógica de los nodos de conmutación y los enlaces troncales determina la topología de la red. Los ingenieros seleccionan la topología evaluando el coste del arrendamiento de las líneas de transmisión frente al nivel de tolerancia a fallos requerido.

En una topología de malla completa, el sistema conecta cada nodo directamente con todos los demás nodos de la red. Esto ofrece múltiples rutas alternativas, lo que incrementa la disponibilidad. El coste aumenta rápidamente porque el número de enlaces crece de forma cuadrática con el número de nodos.

Para conectar nodos en una malla completa, la red requiere evaluar la siguiente expresión matemática:

Fórmula: Cálculo del número total de enlaces físicos necesarios en una topología de malla completa.

La topología de malla parcial reduce el coste eliminando enlaces directos entre nodos que intercambian bajo volumen de tráfico. El sistema mantiene conexiones redundantes solo entre los nodos principales. El tráfico entre nodos periféricos viaja a través de los nodos centrales que actúan como conmutadores de tránsito.

La topología en estrella centraliza todas las comunicaciones en un único nodo principal. Los nodos periféricos se conectan al nodo central mediante un solo enlace punto a punto. El coste de despliegue disminuye, pero la red sufre vulnerabilidad ante fallos del equipo central, provocando la desconexión total.

La topología en anillo conecta cada nodo exactamente con otros dos nodos, formando un bucle cerrado. Los datos viajan a través del circuito pasando por cada nodo intermedio. Si un enlace falla, la electrónica de red dirige el tráfico en la dirección opuesta para mantener la conectividad.

4.1.6. Diferencias estructurales y de protocolo respecto a las redes locales

Las redes locales (LAN) y las redes de área extensa (WAN) resuelven problemas de conectividad de distinta naturaleza y escala. La red LAN confina su cobertura a un espacio geográfico reducido. El administrador de sistemas diseña, instala y mantiene todo el cableado y la electrónica de la red local de forma autónoma.

En la red WAN, la propiedad de la infraestructura pertenece al proveedor de telecomunicaciones. El usuario alquila la capacidad de transmisión sin intervenir en el hardware troncal. El coste elevado de los enlaces de área extensa obliga a los diseñadores a optimizar el uso del ancho de banda, a diferencia de la abundancia de capacidad típica en un entorno LAN.

La tasa de error presenta discrepancias notables entre ambos entornos. Los enlaces locales operan en ambientes controlados con distancias muy cortas, lo que reduce la atenuación y el ruido electromagnético. Los enlaces WAN atraviesan condiciones físicas adversas durante cientos de kilómetros, lo que eleva la probabilidad de errores en la transmisión.

Los protocolos reflejan estas diferencias físicas. Las redes locales utilizan medios compartidos con esquemas de direccionamiento plano (direcciones MAC) y basan gran parte de su resolución de nodos en mensajes de difusión masiva (broadcast).

Los protocolos WAN emplean redes punto a punto y evitan la difusión masiva porque saturaría los enlaces de larga distancia. La red de área extensa requiere esquemas de direcciones lógicas jerárquicas (como IP) y mecanismos de enrutamiento explícito mediante tablas de reenvío en cada nodo.

Característica técnica	Red de área local (LAN)	Red de área extensa (WAN)
Extensión geográfica	Espacios confinados (decenas de metros)	Grandes distancias (cientos de kilómetros)
Titularidad del medio	Propiedad privada de la organización	Arrendamiento a un proveedor de servicios
Gestión del medio	Acceso compartido o conmutación rápida	Enlaces punto a punto y conmutación nodal
Tolerancia a errores	Muy baja tasa de bits erróneos	Exige algoritmos de corrección en largas distancias
Tráfico de difusión	Uso habitual para descubrir servicios	Inviable por consumo excesivo de ancho de banda

Tabla: Resumen de las diferencias estructurales y de comportamiento entre arquitecturas LAN y WAN.

4.2. Tecnologías de transmisión en redes de área extensa

4.2.1. Conmutación de circuitos y conmutación de paquetes

Las redes de área extensa implementan históricamente dos tecnologías diferenciadas para transmitir datos. La conmutación de circuitos establece un camino físico o lógico dedicado entre el origen y el destino antes de iniciar la comunicación. El sistema reserva los recursos de la red durante toda la sesión.

La red telefónica tradicional funciona bajo este principio de conmutación. Los datos viajan a una velocidad constante, lo que garantiza un retardo predecible. La desventaja surge al transmitir datos informáticos, que operan en ráfagas. El sistema mantiene los recursos reservados incluso cuando ninguna de las partes transmite información en la línea.

🧩 Analogía: La conmutación de circuitos es equivalente a reservar un carril de autopista exclusivamente para un coche. La conmutación de paquetes es equivalente a permitir que todos los coches compartan los carriles disponibles, cediendo el paso según el tráfico.

La conmutación de paquetes soluciona esta ineficiencia temporal. El equipo de origen divide los datos en bloques pequeños llamados paquetes. Cada paquete incluye una cabecera con la dirección de destino. Los conmutadores de la red procesan cada paquete de forma independiente. Varios usuarios comparten el mismo enlace físico simultáneamente.

Se emplea la técnica de almacenar y enviar en los nodos intermedios de la red. El equipo recibe el paquete completo en su memoria antes de retransmitirlo al siguiente salto. El sistema asigna el ancho de banda bajo demanda. Si la red recibe más paquetes de los que puede procesar, los almacena en colas de espera, lo que genera latencia.

4.2.2. Transmisión mediante conmutación de celdas

La conmutación de paquetes convencional maneja tamaños de bloque variables. Los paquetes largos retienen el uso de un enlace de red y retrasan a los paquetes más cortos. Este retardo variable perjudica la transmisión de información en tiempo real, como el audio o el vídeo bidireccional.

Para solucionar la variabilidad del tráfico, la industria diseña la conmutación de celdas. Esta técnica divide los datos en bloques de longitud fija y muy pequeña, denominados celdas. Al tener un tamaño constante, los conmutadores procesan las celdas de forma rápida y predecible mediante circuitos integrados de aplicación específica.

El tamaño fijo de la celda reduce los tiempos de espera en las colas de los enrutadores. El hardware de conmutación no necesita analizar el tamaño del bloque entrante en la cabecera. El sistema lee la etiqueta de destino, identifica el puerto de salida y transfiere la celda inmediatamente hacia el siguiente nodo.

El enfoque por hardware de las celdas supera en velocidad al enrutamiento por software de los paquetes tradicionales. Los diseñadores optimizan el tamaño de la celda para equilibrar la eficiencia en la transmisión de datos y el tiempo de latencia exigido por la voz digitalizada.

4.2.3. Redes orientadas a conexión con Frame Relay y ATM

Las operadoras integran protocolos de conmutación específicos para conectar sedes a larga distancia. Frame Relay es un protocolo de red orientado a conexión que transmite tramas de longitud variable. El sistema establece un circuito virtual entre los extremos, definiendo una ruta fija previa a la transmisión.

Frame Relay omite la corrección de errores y el control de flujo en los nodos intermedios. El protocolo delega estas tareas a las capas de transporte de los equipos terminales. El conmutador utiliza notificaciones explícitas de congestión para indicar saturación en la red. Los dispositivos terminales leen estas marcas y reducen su tasa de emisión de datos temporalmente.

Asynchronous Transfer Mode (ATM) es una tecnología de conmutación basada en celdas de 53 bytes. Cada celda contiene 48 bytes de carga útil y 5 bytes de cabecera de control. ATM opera orientada a conexión mediante canales virtuales y rutas virtuales. La cabecera incluye identificadores numéricos que guían la celda por la red.

El usuario negocia un contrato de tráfico con la red ATM al establecer la comunicación inicial. ATM soporta la tasa de bits constante (CBR) para flujos de voz y la tasa de bits variable (VBR) para datos en ráfagas. El sistema asegura los recursos en los conmutadores para mantener la variación del retardo dentro de los márgenes acordados en el contrato.

Característica	Conmutación de Paquetes IP	Frame Relay	ATM
Unidad de datos	Paquete (longitud variable)	Trama (longitud variable)	Celda (longitud fija de 53 bytes)
Enrutamiento	Datagramas sin conexión	Orientado a conexión	Orientado a conexión
Corrección de errores	Moderado en el enlace	Nulo en nodos intermedios	Limitado a la cabecera de la celda

Tabla: Comparativa de protocolos y tecnologías de transmisión de área extensa.

4.2.4. Transmisión óptica troncal mediante SDH y SONET

Las redes troncales emplean fibra óptica para transportar grandes volúmenes de tráfico entre ciudades. La Jerarquía Digital Síncrona (SDH) y la red SONET (Synchronous Optical Network) estandarizan la transmisión óptica síncrona. Ambos sistemas emplean relojes atómicos de alta precisión para sincronizar el envío de datos en toda la red física.

SDH emite una trama base denominada módulo de transporte síncrono (STM-1) a una velocidad de 155,52 Mbps. SONET utiliza la señal de transporte síncrono (STS-1) a 51,84 Mbps. El sistema multiplexa múltiples señales de baja velocidad en estos módulos sin modificar el formato de los datos subyacentes.

SDH emplea un sistema de punteros en la cabecera de control de la trama. Estos punteros indican la posición exacta de los datos dentro de la carga útil óptica. El conmutador extrae o inserta canales individuales en el flujo de luz sin necesidad de demultiplexar la trama completa. Esta técnica acelera el procesamiento de la señal.

⭐ Importante: Los anillos ópticos SDH proporcionan topologías autorreconfigurables. En caso de un corte en la fibra óptica física, el hardware desvía el tráfico hacia un anillo de protección alternativo en menos de 50 milisegundos.

Para aumentar la capacidad del medio físico, se utiliza la multiplexación por división de longitud de onda (WDM). El sistema transmite múltiples haces de luz de distinto color por una misma fibra. Cada longitud de onda transporta un flujo de datos independiente. La capacidad máxima teórica del canal óptico se calcula mediante la ley de Shannon:

Donde representa la capacidad en bits por segundo, el ancho de banda en hercios, y la relación señal-ruido.

4.2.5. Tecnologías de acceso de última milla sobre cobre y redes híbridas

La última milla conecta las instalaciones del proveedor con el domicilio del usuario final. La línea de abonado digital (xDSL) reutiliza el par trenzado de cobre del sistema telefónico histórico. El equipo inyecta señales de alta frecuencia inaudibles para el oído humano sobre el mismo hilo que transporta la voz.

La variante Asymmetric DSL (ADSL) divide el espectro de frecuencias disponible en múltiples subcanales independientes. El sistema asigna más canales para la descarga de datos que para la subida. Un dispositivo llamado DSLAM (Digital Subscriber Line Access Multiplexer) concentra las conexiones DSL en la central y separa el tráfico IP del tráfico de voz.

La capacidad de transmisión de la línea disminuye a medida que aumenta la distancia a la central telefónica. La tecnología VDSL (Very high bit-rate DSL) alcanza mayores velocidades que ADSL pero reduce su alcance efectivo a distancias inferiores a mil metros.

Las redes híbridas de fibra coaxial (HFC) combinan dos medios físicos distintos. El operador utiliza fibra óptica desde la central hasta un nodo zonal en el barrio. Desde el nodo zonal, el sistema distribuye la señal a las viviendas mediante un árbol de cable coaxial. El ancho de banda en el segmento coaxial se comparte entre todos los vecinos conectados.

El protocolo DOCSIS (Data Over Cable Service Interface Specification) estandariza la transmisión de datos sobre sistemas HFC. DOCSIS divide el ancho de banda del cable en canales de radiofrecuencia de bajada y de subida. El proveedor configura parámetros de contienda temporal para arbitrar qué módem transmite primero en el canal de subida.

Diagrama: Topología lógica y física de una red HFC.

4.2.6. Despliegue de fibra óptica en la red de acceso

Las limitaciones de atenuación del cobre obligan a los operadores a acercar la fibra óptica directamente al usuario. El término FTTx (Fibra hasta la x) agrupa las arquitecturas de red según el punto exacto donde termina el cable óptico. La arquitectura fibra hasta el hogar (FTTH) extiende el enlace de luz hasta el interior del domicilio del abonado.

FTTH se implementa habitualmente mediante una red óptica pasiva (PON). En esta arquitectura, un único hilo de fibra sale de la central y se divide mediante divisores ópticos de cristal sin alimentación eléctrica. El divisor reparte la misma señal luminosa hacia múltiples viviendas de la zona.

En la central del proveedor se ubica el terminal de línea óptica (OLT), que coordina la transmisión general. En la vivienda del cliente se instala el terminal de red óptica (ONT), que convierte la señal óptica recibida en pulsos eléctricos estándar para el enrutador local.

El OLT transmite los datos en modo de difusión continua hacia todos los ONT de la rama. El ONT cifra la información y filtra los paquetes de red que no le corresponden. En el sentido ascendente, los ONT transmiten mediante multiplexación por división en el tiempo. El OLT asigna ventanas de tiempo estrictas a cada usuario para evitar colisiones ópticas en el divisor central.

La industria de telecomunicaciones impulsa las redes ópticas pasivas con capacidad Gigabit (GPON). Estas redes soportan velocidades descendentes de 2,4 Gbps y ascendentes de 1,2 Gbps. GPON empaqueta los datos utilizando un método de encapsulación genérica antes de inyectarlos al láser de la fibra.

4.3. Dispositivos para la interconexión de redes

4.3.1. Clasificación según el modelo de referencia

La interconexión de sistemas informáticos requiere equipos físicos que operan en distintas capas de la arquitectura de red. El modelo de interconexión de sistemas abiertos (OSI) permite categorizar estos dispositivos según la información que analizan para dirigir los datos. Los dispositivos de las capas inferiores procesan señales eléctricas o direcciones físicas, mientras que los equipos de capas superiores inspeccionan direcciones lógicas o el contenido de las aplicaciones.

Un principio técnico determina que todo dispositivo intermedio incorpora las funciones de las capas inferiores a su nivel de operación. Un equipo que trabaja en la capa de red ejecuta también los protocolos de la capa de enlace y de la capa física. Esta jerarquía garantiza la compatibilidad en el procesamiento de las unidades de datos.

Tabla: Clasificación de dispositivos de interconexión según la capa del modelo OSI.

Dispositivo	Capa OSI	Unidad de Datos de Protocolo (PDU)	Función Principal
Repetidor y Concentrador	Capa 1 (Física)	Bit	Regeneración y distribución de señal
Puente y Conmutador	Capa 2 (Enlace de Datos)	Trama	Filtrado y reenvío mediante direcciones MAC
Enrutador	Capa 3 (Red)	Paquete / Datagrama	Determinación de rutas mediante direcciones IP
Pasarela	Capas 4-7	Mensaje	Traducción de formatos y protocolos

La elección del dispositivo depende del alcance de la red y del tipo de aislamiento que se busca aplicar sobre el tráfico. Los equipos de capa física extienden el medio, los de capa de enlace aíslan colisiones y los de capa de red segmentan las difusiones generales.

4.3.2. Repetidores y concentradores a nivel físico

El repetidor es un dispositivo analógico que recibe una señal atenuada a través de un cable, recupera el patrón de bits original y lo transmite por su otro puerto. Su función consiste en superar las limitaciones de distancia impuestas por la degradación electromagnética del medio físico. El dispositivo no interpreta la información contenida en la señal, operando exclusivamente con voltajes o pulsos de luz.

El concentrador (hub) funciona como un repetidor multipuerto y se utiliza para agrupar conexiones en una topología física de estrella. Cuando un concentrador recibe una señal por uno de sus puertos, la retransmite de manera simultánea por todos los demás puertos. Esta lógica de operación conforma un único dominio de colisión, donde todos los nodos conectados comparten el mismo medio de transmisión y compiten por el acceso al canal.

En un concentrador, la capacidad efectiva se divide entre las estaciones activas. Para calcular el rendimiento teórico en escenarios de alta demanda, se emplea una relación simple. Si representa la capacidad total del medio y el número de estaciones que transmiten simultáneamente, el ancho de banda efectivo por usuario se expresa mediante la fórmula:

Cuando dos equipos transmiten al mismo tiempo hacia el concentrador, las señales eléctricas se superponen y los datos se corrompen, generando una colisión. Los algoritmos de acceso al medio gestionan estas situaciones ordenando pausas aleatorias antes de iniciar una retransmisión. El dispositivo carece de memoria temporal para almacenar información y no puede separar el tráfico.

⚠️ Warning:

❌ Error Común: Asumir que un concentrador elimina las colisiones al emplear una topología en estrella. Aunque cada equipo tiene un cable independiente, el concentrador une eléctricamente todas las conexiones, comportándose lógicamente como un bus compartido.

4.3.3. Puentes y separación de dominios de colisión

El puente (bridge) interconecta dos o más segmentos de red utilizando el mismo protocolo físico y de control de acceso. Opera en la capa de enlace de datos, por lo que captura las tramas completas y examina la dirección de control de acceso al medio (MAC). Este dispositivo lee la dirección de destino de la trama para decidir si la transmite hacia otro segmento o la descarta.

Al procesar tramas y no señales eléctricas continuas, el puente almacena los datos de forma temporal en su memoria interna. Esta característica permite conectar segmentos que operan a diferentes velocidades de transmisión. El puente divide la red en segmentos lógicos separados, de manera que cada puerto conforma un dominio de colisión independiente. El tráfico local de un segmento no interfiere con la capacidad de los demás segmentos.

Para decidir el destino de cada trama, el puente construye una base de datos de reenvío de forma dinámica. El dispositivo examina la dirección MAC de origen de cada trama que ingresa y asocia esa dirección al puerto por el que llegó. Cuando recibe una trama dirigida a un destino conocido, consulta su tabla y la reenvía únicamente por el puerto correspondiente.

Si la dirección de destino no figura en la tabla, el puente ejecuta un algoritmo de inundación. El dispositivo retransmite copias de la trama por todos sus puertos activos, exceptuando el puerto por el que ingresó originalmente.

Para evitar la formación de bucles infinitos de tráfico en topologías con enlaces redundantes, los puentes ejecutan el algoritmo de árbol de expansión (Spanning Tree Protocol). Este algoritmo desactiva lógicamente ciertos puertos para mantener una única ruta activa entre dos segmentos cualesquiera.

4.3.4. Conmutadores y reenvío paralelo

El conmutador (switch) es la evolución directa del puente y proporciona una alta densidad de puertos para la conexión directa de equipos finales. El dispositivo introduce el concepto de microsegmentación, asignando un dominio de colisión dedicado a cada computadora conectada. El conmutador emplea circuitos integrados de aplicación específica para ejecutar las decisiones de reenvío en hardware, lo que reduce el tiempo de procesamiento.

A diferencia de los concentradores, el conmutador permite el reenvío paralelo de tramas entre múltiples pares de puertos de forma simultánea. Cuando las conexiones operan en modo bidireccional simultáneo (full-duplex), las estaciones pueden transmitir y recibir al mismo tiempo sin riesgo de colisiones. La capacidad total de un conmutador equivale a la suma del ancho de banda de todos sus puertos activos:

donde

representa la velocidad de transmisión de cada puerto individual.

El conmutador utiliza principalmente dos métodos para procesar las tramas. El método de almacenamiento y envío (store-and-forward) recibe la trama completa, calcula la suma de comprobación para detectar errores y, si el resultado es correcto, la reenvía al puerto de salida. El método de conmutación al vuelo (cut-through) lee únicamente los primeros bytes donde se ubica la dirección MAC de destino y comienza a retransmitir los datos antes de recibir el final de la trama.

Diagrama: Flujo de comunicación directa a nivel de enlace mediante un conmutador.

Para gestionar situaciones donde el tráfico entrante excede la capacidad de un puerto de salida, los conmutadores emplean mecanismos de control de flujo. En conexiones full-duplex, el conmutador envía tramas de control PAUSE al nodo transmisor. Estas tramas ordenan a la estación que suspenda su envío de datos temporalmente, evitando así el desbordamiento de la memoria interna del conmutador.

4.3.5. Enrutadores en la interconexión de redes lógicas

El enrutador (router) interconecta redes lógicas distintas y permite la comunicación entre tecnologías de enlace heterogéneas. El dispositivo opera en la capa de red y basa sus decisiones de envío en las direcciones lógicas, como las direcciones IP. El enrutador procesa paquetes y detiene la propagación de tramas de difusión, aislando los dominios de difusión de cada red local conectada a sus interfaces.

Cuando un paquete llega a una interfaz, el enrutador elimina la cabecera de la capa de enlace. A continuación, el dispositivo examina la cabecera de la capa de red para verificar la suma de comprobación y disminuir el tiempo de vida (TTL) del paquete. El enrutador extrae la dirección IP de destino y consulta su tabla de enrutamiento para determinar la interfaz de salida y la dirección del siguiente salto.

El proceso de búsqueda en la tabla de enrutamiento aplica el algoritmo de la coincidencia de prefijo más largo. El enrutador compara la dirección de destino con las máscaras de subred de sus rutas conocidas y selecciona el registro que comparta el mayor número de bits con la dirección objetivo. Una vez determinada la interfaz de salida, el enrutador delega en el protocolo de resolución de direcciones la tarea de descubrir la dirección física del siguiente salto.

El dispositivo genera una nueva trama de capa de enlace, encapsula el paquete IP y lo transmite por el medio físico correspondiente. Las tablas de enrutamiento se construyen manualmente o de forma dinámica. Los protocolos de enrutamiento permiten a los enrutadores intercambiar información sobre el estado de los enlaces y calcular los caminos más cortos hacia todas las redes conocidas.

[!TIP]

🧩 Analogía: El conmutador actúa como un recepcionista de edificio que dirige paquetes a la oficina correcta leyendo un nombre. El enrutador funciona como la oficina de correos internacional, que lee el código postal para decidir la mejor ruta geográfica por la que debe viajar una carta hasta otro país.

4.3.6. Pasarelas para la traducción de aplicaciones

La pasarela (gateway) es un sistema intermedio que opera en las capas superiores del modelo OSI y conecta redes que utilizan arquitecturas de comunicación incompatibles. Su función principal consiste en traducir el formato y la semántica de la información a nivel de la capa de aplicación o de transporte. El dispositivo procesa el contenido completo del mensaje de usuario antes de reenviarlo al destinatario final.

Una pasarela finaliza la conexión de red del equipo emisor y establece una nueva conexión independiente con el equipo receptor. Al realizar esta intervención, el dispositivo actúa en nombre del servidor real y oculta los detalles de la infraestructura interna. Un ejemplo técnico habitual son los sistemas que traducen correos electrónicos del formato estándar de Internet a mensajes SMS para redes de telefonía móvil.

Debido al procesamiento profundo que requieren los datos de aplicación, las pasarelas introducen un mayor tiempo de tránsito en comparación con los enrutadores o conmutadores.

Las pasarelas de aplicación también se implementan como servidores intermediarios (proxies) en entornos de cortafuegos. Estos equipos inspeccionan el tráfico para aplicar políticas de seguridad específicas, bloqueando operaciones no autorizadas dentro de protocolos como HTTP o FTP antes de permitir su acceso a la red privada.

4.4. Protocolos de interconexión (TCP/IP)

4.4.1. Características del protocolo de Internet (IPv4)

El protocolo de Internet (IP) constituye el núcleo de la arquitectura TCP/IP en la capa de red. IP define el formato de los paquetes, denominados datagramas, y gestiona su enrutamiento desde un origen hasta un destino. Funciona como un protocolo sin conexión. El sistema trata cada datagrama de forma independiente, sin establecer un circuito previo entre los extremos de la comunicación.

IP opera bajo la política del mejor esfuerzo. El protocolo intenta entregar los paquetes, pero no garantiza la recepción, no mantiene el orden original y no descarta la duplicidad de datos. La capa de red asume que las tareas de fiabilidad se delegan a las capas superiores de la arquitectura.

La versión 4 del protocolo, IPv4, define direcciones lógicas de 32 bits. Esto permite un espacio de direcciones únicas. La cabecera IPv4 tiene una longitud mínima de 20 bytes e incluye múltiples campos de control. El campo versión especifica la versión del protocolo en uso. El campo longitud de la cabecera determina el tamaño total incluyendo las opciones IP.

El campo tipo de servicio (ToS) permite diferenciar el tráfico para aplicar calidad de servicio en los routers. El campo tiempo de vida (TTL) determina el número máximo de saltos que un datagrama puede dar. Cada router decrementa este valor en una unidad. Si el TTL llega a cero, el router descarta el paquete para evitar bucles de enrutamiento infinitos.

El campo protocolo indica a la capa de red del receptor a qué protocolo de transporte debe entregar la carga útil, como TCP o UDP. El campo suma de comprobación de la cabecera permite detectar errores de transmisión en la cabecera, requiriendo un recálculo en cada router debido al decremento del TTL.

4.4.2. El protocolo de Internet versión 6 (IPv6)

El crecimiento de redes conectadas agotó el espacio de direcciones de IPv4. El protocolo IPv6 amplía el direccionamiento a 128 bits. Esto proporciona un espacio teórico de direcciones. La representación de estas direcciones emplea notación hexadecimal separada por dos puntos.

IPv6 simplifica la estructura de la cabecera base para acelerar el procesamiento en los routers de tránsito. La cabecera base tiene una longitud fija de 40 bytes. Campos como la suma de comprobación y los datos de fragmentación desaparecen de la cabecera principal. El control de errores recae en las capas de enlace y transporte de los nodos terminales.

El campo TTL pasa a denominarse límite de saltos, manteniendo la misma función de prevención de bucles. IPv6 introduce el campo etiqueta de flujo de 20 bits. Esta etiqueta permite a los emisores marcar secuencias de paquetes que requieren un tratamiento diferenciado por parte de los routers de tránsito.

El campo siguiente cabecera reemplaza al campo protocolo de IPv4 y enlaza la cabecera base con posibles cabeceras de extensión. Estas cabeceras adicionales alojan opciones de fragmentación, enrutamiento o seguridad, procesándose únicamente en el nodo destino.

💡 Historia Curiosa: Aunque IPv6 se estandarizó a finales de los años 90, su adopción global se retrasó décadas. La aparición de soluciones técnicas como NAT prolongó artificialmente la vida útil de IPv4 al permitir compartir direcciones públicas.

4.4.3. Fragmentación y reensamblado de datagramas

Las tecnologías de enlace de datos establecen un límite físico en el tamaño de las tramas que pueden transportar. Este límite se denomina unidad máxima de transferencia (MTU). Cuando un router recibe un datagrama IPv4 mayor que la MTU del enlace de salida, divide el paquete en partes más pequeñas. Este proceso se conoce como fragmentación.

Cada fragmento viaja por la red como un datagrama IP independiente. La cabecera de cada fragmento copia la mayoría de los campos originales. El control del proceso utiliza tres campos de la cabecera IPv4: identificación, indicadores y desplazamiento del fragmento.

El campo identificación contiene un número asignado por el emisor del datagrama original. Todos los fragmentos del mismo paquete original comparten este identificador. El receptor utiliza este número para agrupar las piezas correspondientes.

El campo indicadores consta de tres bits. El bit MF (More Fragments) se establece a 1 en todos los fragmentos excepto en el último, señalizando que faltan piezas por llegar. El bit DF (Don't Fragment) prohíbe la fragmentación; si el paquete excede la MTU y DF es 1, el router descarta el paquete y notifica al origen.

El desplazamiento del fragmento especifica la posición de los datos del fragmento respecto al inicio del datagrama original. Este valor se mide en bloques de 8 bytes. El reensamblado se realiza exclusivamente en el nodo destino, conservando los recursos de procesamiento de los routers intermedios.

Fórmula: Cálculo del valor del desplazamiento del fragmento.

En IPv6, la fragmentación recae únicamente en el host emisor. Los routers IPv6 no fragmentan datagramas. Si un paquete excede la MTU, el router lo rechaza. El origen emplea el mecanismo de descubrimiento de la MTU de la ruta para ajustar el tamaño inicial.

4.4.4. Traducción de direcciones de red (NAT)

La traducción de direcciones de red (NAT) permite interconectar redes locales con la Internet pública alterando la información de direccionamiento. NAT modifica las direcciones IP en las cabeceras de los datagramas mientras transitan a través del router de frontera.

Los equipos de la red interna configuran direcciones privadas no enrutables en la red pública. El router NAT posee al menos una dirección pública globalmente enrutable asignada a su interfaz externa.

En la configuración de NAT tradicional, cuando un equipo interno inicia una conexión hacia el exterior, el router reemplaza la dirección IP de origen privada por su propia dirección IP pública. El dispositivo registra esta sustitución temporal en una tabla de traducción en memoria.

Cuando la respuesta externa regresa, el router consulta su tabla de traducción utilizando la dirección pública de destino. Localiza el registro correspondiente, reemplaza la IP pública por la IP privada original y reenvía el datagrama hacia la red interna.

La variante más implementada es la traducción de direcciones y puertos de red (NAPT), que altera las direcciones IP y los puertos de transporte TCP o UDP. NAPT modifica el puerto de origen en los paquetes salientes, permitiendo multiplexar múltiples flujos de comunicación privados sobre una sola IP pública simultáneamente.

IP Privada (Origen)	Puerto Interno	IP Pública NAT	Puerto NAT	IP Destino Público
10.0.0.15	4500	80.50.10.1	6001	203.0.113.5
10.0.0.16	4500	80.50.10.1	6002	203.0.113.5
10.0.0.17	8080	80.50.10.1	6003	198.51.100.2

Tabla: Tabla de traducción dinámica en un router operando con NAPT.

❌ Error Común: Confundir NAT con un sistema integral de seguridad. Aunque NAT oculta la topología de la red interna y bloquea el tráfico entrante no iniciado desde el interior, no analiza el contenido del tráfico en busca de software malicioso. Requiere mecanismos de filtrado adicionales.

4.4.5. Protocolo de resolución de direcciones (ARP)

Las comunicaciones de extremo a extremo utilizan direcciones IP lógicas. La entrega de datos en el tramo físico local requiere direcciones de la capa de enlace. En redes de difusión como Ethernet, el sistema utiliza las direcciones físicas de control de acceso al medio (MAC). El protocolo de resolución de direcciones (ARP) efectúa la traducción entre direcciones IP y direcciones MAC en IPv4.

Cuando un host requiere transmitir un datagrama, comprueba mediante la máscara de red si el destino pertenece a su misma subred. Si el destino es local, el sistema busca la traducción de la IP correspondiente en su caché ARP. La caché ARP contiene mapeos previamente aprendidos para agilizar las transmisiones y reducir el tráfico de red.

Si la dirección IP no figura en la caché, el emisor genera un mensaje de solicitud ARP. Este mensaje incluye la IP objetivo y se transmite utilizando la dirección MAC de difusión (FF:FF:FF:FF:FF:FF). Todos los adaptadores de red en el dominio de difusión procesan la solicitud.

El equipo que posee la dirección IP solicitada identifica su dirección. Este nodo genera una respuesta ARP que incluye su dirección MAC real. La respuesta se envía directamente al host solicitante mediante un mensaje unicast.

El emisor recibe la respuesta, registra la nueva asociación IP-MAC en su caché ARP y reanuda el proceso de encapsulación del datagrama IP original en la trama de la capa de enlace para su envío final.

Existen variantes como el ARP gratuito, donde un host difunde su propio mapeo IP-MAC al conectarse a la red. El Proxy ARP permite a un router responder peticiones ARP en nombre de equipos ubicados en subredes físicamente separadas.

Diagrama: Intercambio estándar de mensajes en el protocolo ARP.

4.4.6. Protocolo de mensajes de control de Internet (ICMP)

El protocolo IP carece de mecanismos integrados para notificar problemas durante el enrutamiento. El protocolo de mensajes de control de Internet (ICMP) complementa a IP proporcionando herramientas para la notificación de errores y el diagnóstico de la red. Los mensajes ICMP se encapsulan directamente en el campo de datos de los datagramas IP.

La cabecera de un mensaje ICMP consta de 8 bytes iniciales. Los campos más descriptivos son el tipo y el código. El campo tipo define la categoría general del mensaje, mientras que el campo código aporta detalles específicos sobre el escenario originado en la red.

Cuando un router no dispone de una entrada en su tabla de enrutamiento para una IP de destino, envía un mensaje ICMP de destino inalcanzable (tipo 3) al host emisor. Si el campo TTL de un datagrama caduca durante el tránsito, el router descarta el paquete y genera un mensaje ICMP de tiempo excedido (tipo 11).

Los mensajes de error ICMP contienen el encabezado IP original y los primeros 8 bytes de datos del paquete que causó la incidencia. Esta información permite a la capa de transporte del emisor identificar el proceso que originó el datagrama fallido.

Las herramientas de diagnóstico de red operan con base en ICMP. La utilidad de verificación de conectividad genera mensajes de solicitud de eco (tipo 8). El nodo receptor, al interceptarlos, devuelve mensajes de respuesta de eco (tipo 0). La utilidad de rastreo de rutas genera datagramas con valores de TTL progresivos, obligando a los routers intermedios a devolver mensajes de tiempo excedido para revelar la topología.

🧩 Analogía: ICMP actúa como el servicio de notificaciones de una agencia postal. Si un paquete lleva una dirección inexistente, la agencia no corrige el destino, sino que devuelve el paquete al remitente con una etiqueta indicando el motivo de la devolución.

4.5. Enrutamiento del tráfico de red

4.5.1. Conceptos básicos del enrutamiento

El enrutamiento consiste en el proceso mediante el cual un dispositivo de red selecciona el camino adecuado para enviar paquetes desde un origen hasta un destino. Los dispositivos encargados de esta tarea extraen la dirección IP de destino del paquete entrante. Evalúan las opciones disponibles en su base de datos y reenvían los datos por la interfaz de salida correspondiente. El enrutamiento opera en la capa de red y permite la comunicación entre redes lógicamente separadas. Para tomar decisiones matemáticas, el sistema utiliza una métrica. Este valor numérico permite evaluar el coste de utilizar una ruta específica. Dependiendo del algoritmo, la métrica contabiliza los saltos físicos, el ancho de banda disponible, el retardo de propagación o la carga del enlace. El algoritmo busca minimizar el coste total de la ruta entre el nodo origen y el nodo destino. La fórmula general para calcular el coste de una ruta formada por enlaces consecutivos se expresa como:

Donde

representa el coste individual de cada enlace. El dispositivo compara los costes totales de las diferentes rutas descubiertas. Selecciona la trayectoria que presenta el menor valor numérico y descarta las alternativas más costosas. Un concepto técnico asociado es el **salto** o *hop*. Un salto ocurre cada vez que un paquete atraviesa un dispositivo de interconexión con capacidad de enrutamiento. Algunos algoritmos simplifican sus cálculos utilizando el número de saltos como única variable para componer la métrica. Las redes emplean el **enrutamiento distribuido**. Cada dispositivo toma su decisión de envío de forma local e independiente basándose en su propia visión topológica.

4.5.2. Estructura y mantenimiento de las tablas de enrutamiento

La tabla de enrutamiento es una base de datos almacenada en la memoria del dispositivo. Contiene información topológica sobre las redes conocidas y especifica la interfaz física por la que el hardware debe reenviar los paquetes para alcanzarlas. Cada registro de esta tabla incluye varios campos técnicos. La red de destino indica la dirección IP de la subred remota. La máscara de subred permite al procesador identificar la porción de red de la dirección IP aplicando álgebra de Boole. El siguiente salto o gateway señala la dirección IP del dispositivo adyacente que recibirá el paquete. La interfaz muestra el puerto local de salida. La distancia o métrica establece la preferencia de la ruta.

Red de destino	Máscara de subred	Siguiente salto	Interfaz	Métrica	Origen
192.168.1.0	255.255.255.0	Conectada	ETH0	0	Directo
10.0.0.0	255.255.255.252	192.168.1.254	ETH1	10	OSPF
0.0.0.0	0.0.0.0	10.0.0.1	ETH1	1	Estático

Tabla: Estructura interna de una tabla de enrutamiento con tres registros técnicos.

El microprocesador extrae la IP de destino del paquete y aplica una operación lógica AND con cada máscara de subred presente en la tabla. Si el resultado coincide con la red de destino del registro, el dispositivo considera la ruta como válida para el reenvío. Cuando el paquete cumple las condiciones de múltiples registros, el equipo aplica la regla del prefijo más largo. El algoritmo prioriza la ruta cuya máscara de subred posee mayor cantidad de bits a uno. Esta ruta representa el destino más restrictivo y específico. Si ninguna red coincide, el dispositivo recurre a la ruta predeterminada, codificada como 0.0.0.0/0. Esta regla general envía el tráfico no reconocido hacia un ruteador superior en la topología. Si la tabla omite esta ruta por defecto, el sistema descarta el paquete y devuelve un mensaje de error ICMP al emisor. La agregación de prefijos reduce el volumen de la tabla. Un solo registro representa múltiples subredes continuas. Esto optimiza el consumo de memoria RAM y acelera las búsquedas de los microprocesadores.

4.5.3. Enrutamiento estático frente a enrutamiento dinámico

Existen dos estrategias operativas para generar y mantener actualizadas las tablas de enrutamiento. El enrutamiento estático requiere que el administrador del sistema configure manualmente cada ruta. El técnico introduce los comandos correspondientes y las rutas permanecen inalterables en la configuración. Este modelo estático no consume recursos de procesamiento adicionales. El equipo no genera tráfico de red para intercambiar mensajes de control. Garantiza un alto nivel de previsibilidad, ya que los paquetes siguen siempre el mismo camino predefinido. Resulta adecuado para redes terminales aisladas con un único punto de salida hacia Internet.

❌ Error Común: Mantener redes complejas usando enrutamiento estático provoca fallos de conectividad. Si un enlace sufre un corte físico, el ruteador continúa enviando paquetes por la interfaz caída hasta que el personal técnico reconfigura la tabla manualmente.

En contraposición, el enrutamiento dinámico utiliza protocolos especializados para automatizar el descubrimiento de la topología. Los dispositivos se comunican entre sí para compartir la información topológica y descubrir redes remotas sin intervención manual. Cuando ocurre una alteración en la infraestructura, como el fallo de un puerto, los protocolos recalculan matemáticamente alternativas. El software actualiza la tabla de enrutamiento de forma autónoma. Esta capacidad de reacción aumenta la resiliencia del sistema ante fallos de hardware.

🧩 Analogía: El enrutamiento estático opera como un tren que circula por vías de hierro fijas. El enrutamiento dinámico actúa como un sistema de navegación por satélite que desvía el vehículo al detectar retenciones en la autopista principal.

Los protocolos dinámicos introducen un coste operativo. Consumen ancho de banda para transmitir sus actualizaciones y emplean ciclos de CPU para resolver los algoritmos matemáticos. El tiempo que tardan todos los nodos en actualizar sus tablas tras un cambio se denomina tiempo de convergencia.

4.5.4. Sistemas autónomos y jerarquía de enrutamiento

La red Internet conecta millones de dispositivos a escala mundial. Si cada equipo almacenara una ruta individual para cada destino, las memorias se colapsarían. Para solucionar la escalabilidad, la arquitectura de enrutamiento se divide en bloques administrativos independientes. Un sistema autónomo (AS) agrupa un conjunto de redes IP y dispositivos bajo la responsabilidad de una única entidad administrativa. Los proveedores de servicios de Internet y las grandes corporaciones gestionan sus propios sistemas autónomos. Cada AS aplica políticas internas de tráfico homogéneas y bien definidas. La autoridad global de asignación de números entrega un número de identificación único a cada sistema autónomo público. El ecosistema de enrutamiento adopta un diseño jerárquico de dos niveles separados. Un nivel resuelve los caminos físicos locales y el otro gestiona las interconexiones. El primer nivel opera dentro del dominio de cada sistema autónomo. El administrador selecciona un protocolo de puerta de enlace interior (IGP). El IGP minimiza los tiempos de tránsito basándose en métricas de rendimiento físico como la capacidad del cable o la latencia. El segundo nivel controla el flujo de datos entre los distintos sistemas autónomos. Los equipos de frontera ejecutan un protocolo de puerta de enlace exterior (EGP). En esta capa superior, el rendimiento técnico pasa a un plano secundario. Las decisiones responden a políticas económicas y acuerdos comerciales de tránsito.

4.5.5. Protocolos de puerta de enlace interior (IGP)

Los protocolos IGP se clasifican habitualmente en dos subfamilias según el modelo matemático que implementan. Los algoritmos determinan qué tipo de información de estado intercambian los nodos y cómo computan los trayectos. La primera familia abarca los protocolos de vector de distancias. Cada nodo transfiere copias de su tabla de enrutamiento a sus vecinos conectados físicamente. El equipo receptor suma el coste del enlace local a las métricas anunciadas por sus vecinos. El protocolo no conoce el mapa físico de la red, solo las distancias y las interfaces de salida. El protocolo RIP (Routing Information Protocol) ejemplifica el comportamiento del vector de distancias. Utiliza el número estricto de saltos como única métrica. RIP fija un límite operativo de 15 saltos y etiqueta como inalcanzable cualquier red que exija 16 saltos. Esta limitación previene bucles de enrutamiento pero restringe su uso a redes de tamaño reducido. Su convergencia es lenta. La segunda familia engloba los protocolos de estado del enlace. Cada equipo explora sus conexiones directas e inunda la red enviando el estado de sus interfaces a todos los nodos del sistema. Cada procesador recopila estos anuncios y ensambla un mapa topológico exacto y completo. El protocolo OSPF (Open Shortest Path First) emplea el estado del enlace. Los nodos aplican el algoritmo de Dijkstra sobre el grafo de red resultante para calcular los caminos más cortos sin bucles. OSPF define el coste del enlace dividiendo un ancho de banda de referencia entre la velocidad real del puerto. Permite estructurar el sistema autónomo jerárquicamente dividiéndolo en áreas para reducir el tamaño de las bases de datos topológicas. El protocolo IS-IS (Intermediate System to Intermediate System) comparte el modelo de estado del enlace. IS-IS transporta sus mensajes de control directamente sobre la capa de enlace de datos, lo que le otorga independencia respecto al protocolo IP. Los proveedores de servicios utilizan frecuentemente IS-IS para gobernar las redes de fibra óptica troncales.

Diagrama: Clasificación técnica de los protocolos de puerta de enlace interior según su algoritmo matemático subyacente.

4.5.6. Protocolos de puerta de enlace exterior (EGP)

Los protocolos EGP no persiguen la ruta más rápida desde el punto de vista del rendimiento físico del cable. Si lo hicieran, el tráfico internacional de un proveedor atravesaría los equipos de la competencia sin compensación económica. El enrutamiento interdominio prioriza el control administrativo del flujo de datos. El protocolo BGP (Border Gateway Protocol) funciona como el estándar exclusivo y universal para unir Internet. BGP utiliza un algoritmo avanzado de vector de ruta. El protocolo propaga anuncios que no solo incluyen el prefijo de red, sino también la lista ordenada de los sistemas autónomos transitados. Las tablas de BGP guardan múltiples atributos técnicos para cada ruta. El atributo AS-PATH almacena la secuencia de identificadores de sistemas autónomos. Cada ruteador fronterizo verifica el atributo AS-PATH del mensaje entrante. Si el identificador de su propio sistema autónomo aparece en la lista, el equipo desecha el mensaje. Esta mecánica previene matemáticamente los bucles a escala global. El atributo NEXT-HOP indica la dirección IP de la interfaz que da inicio a la secuencia hacia el destino exterior. El atributo LOCAL-PREF establece un grado de preferencia interno para las rutas de salida, dictaminando qué enlace externo debe utilizar la organización para enviar información. BGP emplea sesiones sobre el protocolo TCP en el puerto 179 para garantizar intercambios estables sin pérdida de datos. La especificación distingue entre dos variantes operativas. El modo eBGP establece conexiones entre equipos fronterizos pertenecientes a sistemas autónomos diferentes. El modo iBGP funciona entre ruteadores pertenecientes al mismo sistema autónomo para sincronizar y propagar las rutas externas aprendidas.

[!TIP] Los administradores alteran el atributo LOCAL-PREF de BGP mediante configuración para asegurar que el tráfico saliente circule a través de un enlace mayorista de menor coste, reteniendo las conexiones más caras como simples enlaces de reserva para casos de fallo.

BGP aplica un método conocido como enrutamiento de la patata caliente. Cuando un sistema autónomo aprende múltiples rutas de salida válidas hacia un mismo destino exterior, el equipo selecciona el punto de salida que se encuentre más cerca según la métrica del protocolo IGP interno. El sistema expulsa el paquete de su propia red en el menor tiempo posible para descargar el procesamiento sobre el proveedor vecino.

4.6. Redes privadas virtuales (VPN) y seguridad en la interconexión

4.6.1. Principios de encapsulación y túneles

Las redes privadas virtuales establecen conexiones seguras sobre infraestructuras públicas de área extensa. El mecanismo base para lograr esto es la encapsulación, un proceso que oculta un paquete de datos original dentro del área de carga útil de otro paquete exterior. El sistema emisor toma el paquete, lo envuelve en una nueva cabecera y lo transmite por la red de tránsito. El receptor extrae la cabecera exterior y procesa el paquete original.

Esta operación crea un túnel, que consiste en un enlace lógico virtual formado entre los dispositivos de los extremos. Los equipos en la red pública solo examinan la cabecera exterior para tomar decisiones de enrutamiento. Los dispositivos intermedios ignoran por completo la existencia del paquete encapsulado en el interior.

El uso de túneles genera una red superpuesta. La red privada funciona de forma transparente para las aplicaciones, que envían y reciben datos como si estuvieran en una red de área local continua. Se emplean túneles cuando una organización necesita unir redes distantes de forma económica.

Las arquitecturas de túnel soportan diferentes escenarios de implementación. La VPN de sitio a sitio conecta dos enrutadores fijos, enlazando redes corporativas separadas geográficamente. La VPN de acceso remoto permite a un usuario individual conectarse a la red corporativa a través de un software cliente instalado en su equipo.

🧩 Analogía: Imagina un tren de carga que viaja por una vía pública. El tren transporta en su interior un contenedor cerrado con su propia cerradura. Las estaciones intermedias solo ven el tren y su destino final, pero ignoran qué hay dentro del contenedor o hacia qué pasillo del almacén de destino va dirigido.

Diagrama: Proceso de encapsulación y creación de un túnel lógico entre dos redes privadas.

4.6.2. Arquitectura de seguridad IPsec

La seguridad en la capa de red se implementa a través de IPsec (Seguridad IP), un conjunto de protocolos que autentica y cifra los datagramas. La ubicación de IPsec en la capa de red garantiza que la protección sea transparente para los protocolos de las capas superiores. Las aplicaciones no requieren modificaciones para beneficiarse del cifrado.

El funcionamiento de IPsec se basa en la asociación de seguridad (SA). Una SA constituye una relación lógica unidireccional entre un emisor y un receptor que define los servicios de protección aplicados a un flujo de tráfico. Para establecer una comunicación bidireccional segura, el sistema requiere al menos dos asociaciones de seguridad distintas.

Cada SA se identifica de manera unívoca mediante tres parámetros. El sistema utiliza la dirección IP de destino, el identificador del protocolo de seguridad aplicado y un valor numérico específico.

Este valor numérico recibe el nombre de índice de parámetros de seguridad (SPI). El SPI es una cadena de bits asignada localmente que permite al receptor distinguir entre diferentes asociaciones de seguridad entrantes.

Podemos representar la identificación de la asociación de seguridad con la siguiente función matemática:

Los dispositivos mantienen una base de datos de asociaciones de seguridad (SAD), que almacena los parámetros activos. Adicionalmente, utilizan una base de datos de políticas de seguridad (SPD) para decidir qué paquetes deben procesarse con IPsec, cuáles se descartan y cuáles pasan en texto claro.

4.6.3. Protocolos de la arquitectura IPsec: AH y ESP

La arquitectura IPsec utiliza dos protocolos principales para proporcionar los servicios de protección a los datos. El primer protocolo es la cabecera de autenticación (AH), que proporciona integridad, autenticación del origen de los datos y un servicio contra la repetición de paquetes.

El protocolo AH utiliza funciones de dispersión unidireccionales combinadas con claves secretas para calcular un valor de comprobación de integridad. El receptor verifica este valor para confirmar que el paquete no sufrió alteraciones durante el tránsito. AH no cifra los datos, por lo que la carga útil viaja en texto claro.

El servicio contra repetición utiliza un campo de número de secuencia. El emisor incrementa este número en cada paquete. El receptor mantiene una ventana deslizante y rechaza los paquetes con números duplicados o antiguos, frustrando ataques que intenten reenviar mensajes capturados previamente.

El segundo protocolo es el encapsulado de la carga útil de seguridad (ESP). Este protocolo cifra los datos para garantizar la confidencialidad de la comunicación. ESP requiere añadir un campo de relleno al final de los datos para asegurar que el bloque cifrado cumpla con la longitud exigida por el algoritmo.

ESP también puede proporcionar servicios de autenticación e integridad si el administrador activa dichas opciones. Cuando se combinan, el emisor cifra primero la carga útil y posteriormente calcula el valor de comprobación sobre los datos cifrados.

Característica de seguridad	Cabecera de autenticación (AH)	Encapsulado de carga útil (ESP)
Integridad de los datos	Sí	Sí (opcional)
Autenticación de origen	Sí	Sí (opcional)
Confidencialidad (cifrado)	No	Sí
Protección contra repeticiones	Sí	Sí

Tabla: Comparativa de los servicios proporcionados por los protocolos de la arquitectura IPsec.

🎯 Tip: En implementaciones modernas de redes privadas virtuales, la configuración por defecto suele emplear exclusivamente ESP. El protocolo ESP con la opción de autenticación activada satisface las necesidades de confidencialidad e integridad sin la sobrecarga que supone añadir una cabecera AH adicional.

4.6.4. Modos de funcionamiento de IPsec y gestión de claves

Los protocolos AH y ESP operan en dos modos distintos según los requerimientos de la topología. El modo transporte protege los protocolos de las capas superiores y la carga útil del paquete IP, pero mantiene intacta la cabecera IP original.

Este modo se utiliza habitualmente para establecer comunicaciones directas entre dos sistemas finales. El tamaño del paquete aumenta mínimamente, ya que solo se insertan las cabeceras de seguridad entre la cabecera IP original y la carga de transporte.

El modo túnel protege el paquete IP completo, incluyendo su cabecera original. El sistema cifra el paquete interno, le añade la cabecera de seguridad y encapsula el resultado dentro de un nuevo datagrama IP con una cabecera exterior diferente. El modo túnel conecta redes enteras entre sí a través de pasarelas de seguridad, ocultando el direccionamiento de la red interna.

El establecimiento de las asociaciones exige la negociación de algoritmos y el intercambio de material criptográfico. La gestión de claves automatiza este proceso mediante el protocolo IKE (Intercambio de claves de Internet).

IKE opera sobre la estructura definida por el marco de trabajo ISAKMP (Asociación para seguridad de Internet y protocolo de gestión de claves). IKE emplea una arquitectura de dos fases para establecer la comunicación. En la primera fase, los nodos negocian un canal de gestión seguro y autenticado. En la segunda fase, utilizan este canal para acordar las asociaciones de seguridad IPsec para el tráfico de datos.

Diagrama: Fases del protocolo IKE para el establecimiento automático de asociaciones de seguridad.

4.6.5. Cortafuegos y control perimetral

Un cortafuegos es un sistema compuesto por hardware y software que se sitúa en el límite entre la red privada de la organización y la red pública. Su objetivo consiste en controlar el tráfico entrante y saliente, aplicando una política de seguridad que restringe el paso a comunicaciones no autorizadas.

La eficacia del cortafuegos depende de la topología y de la centralización del flujo de red. Todo el tráfico perimetral debe atravesar el dispositivo de protección obligatoriamente. No deben existir rutas alternativas que conecten la red interna con el exterior eludiendo los controles.

Los cortafuegos operan mediante la evaluación de atributos de los paquetes. Analizan direcciones de origen y destino, tipos de protocolo y números de puerto. Existen cortafuegos avanzados, denominados pasarelas de nivel de aplicación, que inspeccionan los datos de las aplicaciones directamente. Estas pasarelas actúan como intermediarios y obligan a los usuarios a autenticarse antes de permitir el tránsito.

El diseño del perímetro frecuentemente incluye una zona desmilitarizada (DMZ). Una DMZ es una subred aislada, ubicada entre la red interna y la red externa, que aloja los servidores que deben ser accesibles desde el exterior, como servidores web o de correo electrónico. El tráfico desde Internet hacia la DMZ se permite bajo reglas estrictas, pero se prohíbe el acceso directo desde la DMZ hacia la red interna.

❌ Error Común: Un error frecuente de diseño es confiar la seguridad únicamente al cortafuegos perimetral, asumiendo que el tráfico interno es inofensivo. Los administradores deben implementar estrategias de seguridad en profundidad, ya que un cortafuegos perimetral no protege frente a amenazas originadas desde estaciones de trabajo internas infectadas o frente a usuarios internos.

4.6.6. Listas de control de acceso (ACL) y filtrado de estado

Los cortafuegos y enrutadores aplican las reglas de seguridad mediante una lista de control de acceso (ACL). Una ACL contiene un conjunto secuencial de condiciones que el dispositivo verifica frente a cada paquete interceptado. Si el paquete coincide con una condición, el sistema ejecuta la acción asociada, que suele ser permitir o denegar el paso.

El orden de las reglas afecta directamente al funcionamiento del dispositivo. El procesador evalúa la lista de arriba a abajo y detiene la evaluación en la primera regla que coincida con el paquete. Al final de la lista se configura una regla implícita que descarta cualquier paquete que no haya coincidido con ninguna directiva anterior.

Los filtros de paquetes tradicionales evalúan cada datagrama de forma aislada, sin conservar información del contexto. Los cortafuegos modernos implementan el filtrado de estado, una técnica que supervisa el ciclo de vida completo de cada conexión TCP o UDP. El sistema registra las conexiones activas en una tabla interna y toma decisiones basándose en el contexto de la comunicación.

Si un equipo interno solicita un archivo externo, el cortafuegos anota la conexión saliente y los números de puerto asociados en su tabla de estado. Cuando el servidor externo responde, el cortafuegos verifica esta tabla. Si detecta que la respuesta pertenece a la conexión previamente iniciada desde el interior, permite el paso de los paquetes. Este mecanismo elimina la necesidad de abrir puertos de entrada en la ACL de forma permanente.

El protocolo UDP carece de estados de conexión explícitos. Para solucionar esto, el cortafuegos simula un pseudo-estado para UDP basándose en los pares de direcciones IP y puertos durante un intervalo de tiempo programado.

Acción	Dirección origen	Puerto origen	Dirección destino	Puerto destino	Indicador TCP
Permitir	Red Interna	> 1023	Red Externa	80	Cualquiera
Permitir	Red Externa	80	Red Interna	> 1023	ACK
Denegar	Cualquiera	Cualquiera	Cualquiera	Cualquiera	Cualquiera

Tabla: Ejemplo simplificado de una lista de control de acceso (ACL) para permitir únicamente tráfico de navegación web.

El cálculo de las coincidencias se optimiza al revisar primero la tabla de estado de conexiones establecidas, en lugar de evaluar secuencialmente la ACL completa para cada datagrama. La métrica de coste computacional para un cortafuegos de estado procesando un paquete depende del tamaño de la tabla de estado y de la longitud de la lista de acceso :

El sistema reduce el tiempo de procesamiento por paquete mediante la búsqueda optimizada en la tabla de estado, incrementando el rendimiento global de la red en los puntos de demarcación perimetrales.

5. Conclusiones

El estudio de las redes de área extensa (WAN) muestra una transición técnica desde los modelos de conmutación de circuitos hacia la conmutación de paquetes. Las redes heredadas como ATM (Modo de Transferencia Asíncrono, que transporta datos en celdas de tamaño fijo) y Frame Relay (que transmite tramas de longitud variable) pierden presencia.

Los operadores de telecomunicaciones adoptan infraestructuras unificadas que combinan Metro Ethernet (redes Ethernet de alta velocidad que cubren áreas metropolitanas) e IP/MPLS (Conmutación Multiprotocolo Mediante Etiquetas). El estándar MPLS dirige el tráfico mediante etiquetas cortas insertadas en los paquetes y optimiza el reenvío de los datos.

Esta unificación facilita la aparición de arquitecturas SD-WAN (Redes de Área Extensa Definidas por Software). Una red SD-WAN separa el plano de control (la lógica de enrutamiento) del plano de datos (el hardware de reenvío) y gestiona múltiples enlaces mediante un controlador centralizado.

El software reprograma los dispositivos de red en tiempo real para equilibrar la carga de tráfico. Las organizaciones utilizan estas redes para interconectar sedes dispersas, combinando líneas de transmisión dedicadas con conexiones a internet de bajo coste.

La expansión constante de internet provoca el agotamiento del espacio de direccionamiento de IPv4 (Protocolo de Internet versión 4, que utiliza direcciones numéricas de bits). Para resolver esta limitación técnica, los ingenieros implementan IPv6, un protocolo actualizado que emplea direcciones de bits y multiplica exponencialmente el espacio de numeración.

La transición hacia IPv6 asegura la disponibilidad de direcciones públicas directas y soporta el despliegue del internet de las cosas (IoT). El ecosistema IoT conecta sensores, vehículos y dispositivos cotidianos a la red, requiriendo millones de identificadores únicos.

En la Formación Profesional (FP), el conocimiento de estas redes forma parte de los currículos de la familia de Informática y Comunicaciones. El marco normativo del Real Decreto 659/2023 ordena las enseñanzas actuales y requiere que los centros educativos adapten los contenidos a las herramientas de la industria. Los técnicos superiores en Administración de Sistemas Informáticos en Red (ASIR) configuran dispositivos de interconexión y gestionan conexiones de área extensa.

Las tendencias tecnológicas actuales exigen profesionales capaces de administrar entornos informáticos híbridos que conectan sedes físicas con centros de datos en la nube.

La virtualización de funciones de red y la orquestación mediante controladores lógicos reemplazan la configuración manual de los ruteadores. La convergencia de datos, telefonía de voz y flujos de vídeo sobre IP obliga a programar políticas de calidad de servicio (QoS, que prioriza tipos de tráfico específicos) y a establecer accesos cifrados mediante redes privadas virtuales.

6. Bibliografía

Tanenbaum, A. S., & Wetherall, D. J. (2012). Redes de computadoras. Pearson. — Describe la arquitectura por capas y los protocolos de red.
Stallings, W. (2004). Comunicaciones y redes de computadores. Prentice Hall. — Detalla las tecnologías WAN como SDH, ATM y Frame Relay.
Kurose, J. F., & Ross, K. W. (2017). Redes de computadoras: un enfoque descendente. Pearson. — Explica los algoritmos de enrutamiento y SDN.
IETF. (1981). RFC 791: Internet Protocol. IETF. — Define la cabecera IP y la lógica de direccionamiento interredes.
IETF. (2006). RFC 4271: A Border Gateway Protocol 4 (BGP-4). IETF. — Especifica el protocolo estándar de enrutamiento entre sistemas autónomos.
IEEE. (2014). IEEE 802.1Q: Bridges and Bridged Networks. IEEE. — Estandariza la interconexión a nivel de enlace y las redes virtuales.

🎧 Audio de Repaso — Tema 58

11 secciones de audio