Академический Документы
Профессиональный Документы
Культура Документы
La caracterstica de acceso remoto proporciona servicios de VPN de forma que los usuarios puedan tener acceso
de forma segura a las redes corporativas a travs de Internet como si estuvieran conectados directamente. El
acceso remoto tambin permite que los usuarios que trabajan a distancia o que se desplazan, que usan enlaces
de comunicacin de acceso telefnico, tengan acceso a las redes corporativas.
Enrutamiento
RRAS es un enrutador de software completo y una plataforma abierta para el enrutamiento y las funciones de
red. Las compaas pueden usar sus servicios de enrutamiento en entornos de red de rea local (LAN) y red de
rea extensa (WAN) o a travs de Internet mediante conexiones VPN seguras. El componente de enrutamiento
se usa para los servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT (traduccin de
direcciones de red).
Introduccin a RRAS
El Servicio de enrutamiento y acceso remoto (RRAS) recibe su nombre por los dos servicios principales de red
que proporciona.
Enrutamiento
Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes. El enrutador
dirige los paquetes entrantes y salientes basndose en la informacin sobre el estado de sus propias interfaces de
red y una lista de posibles orgenes y destinos del trfico de red. Al proyectar el trfico de red y las necesidades
de enrutamiento segn el nmero y los tipos de dispositivos de hardware y aplicaciones usados en el entorno, es
posible decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado en software o una
combinacin de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de
enrutamiento ms complejas, mientras que los enrutadores basados en software, que no resultan tan caros,
controlan cargas de enrutamiento ms ligeras.
Una solucin de enrutamiento basada en software, como RRAS en esta versin de Windows, puede resultar
idnea para una red pequea y segmentada con un trfico entre subredes relativamente ligero. Los entornos de
red empresariales con un gran nmero de segmentos de red y una amplia gama de requisitos de rendimiento
pueden necesitar una variedad de enrutadores basados en hardware para realizar distintos roles en la red.
Acceso remoto
Al configurar RRAS para actuar como un servidor de acceso remoto, podr conectar trabajadores remotos o
mviles a las redes de la organizacin. Los usuarios remotos pueden trabajar como si sus equipos estuvieran
conectados directamente a la red.
Todos los servicios que suelen estar a disposicin de un usuario conectado directamente (incluso el uso
compartido de archivos e impresoras, el acceso al servidor web y la mensajera) se habilitan por medio de la
conexin de acceso remoto. Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de
Windows para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que las letras de
unidad y los nombres de convencin de nomenclatura universal (UNC) son totalmente compatibles con el
acceso remoto, la mayora de las aplicaciones comerciales y personalizadas funcionan sin necesidad de
modificacin.
Un servidor RRAS proporciona dos tipos de conectividad de acceso remoto:
Redes privadas virtuales. Una red privada virtual (VPN) es una conexin segura punto a punto a travs
de una red pblica como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP
denominados protocolos de tnel para realizar una conexin a un puerto de un servidor VPN remoto. El
servidor VPN acepta la conexin, autentica al usuario y al equipo que se est conectando, y transfiere los
datos entre el cliente VPN y la red corporativa. Puesto que los datos que enve a travs de la conexin
recorren una red pblica, debe cifrarlos para garantizar la privacidad.
Acceso telefnico a redes. En el acceso telefnico a redes, un cliente de acceso remoto establece una
conexin de acceso telefnico con un puerto fsico de un servidor de acceso remoto mediante el servicio
de un proveedor de telecomunicaciones, como un telfono analgico o una ISDN (RDSI). El acceso
telefnico a redes a travs de un telfono analgico o una ISDN es una conexin fsica entre el cliente y
el servidor de acceso telefnico a redes. Puede cifrar los datos que enve a travs de la conexin, pero no
es obligatorio ya que la lnea telefnica suele considerarse segura.
Cuando se ejecuta el Asistente para la instalacin de RRAS, ste indica que se elija la ruta de configuracin que
ms se parezca a la solucin de acceso remoto que se desea implementar. Si ninguna de las rutas de
configuracin del asistente satisface exactamente sus necesidades, puede elegir la opcin Configuracin
predeterminada. Sin embargo, si se elige esta opcin, todos los elementos de RRAS deben configurarse de
forma manual. Las soluciones ms comunes de acceso remoto incluyen conexiones de red privada virtual
(VPN), conexiones de acceso telefnico y conexiones seguras entre dos redes privadas.
Acceso remoto
Cuando un acceso remoto est habilitado, RRAS permite el trfico de red entrante desde clientes VPN de
Internet o de mdems conectados al sistema telefnico. El trfico entrante es dirigido a la red privada. Se puede
configurar por separado qu tipos de VPN se admiten, cmo autenticar y autorizar a los usuarios para que
tengan acceso al servidor de acceso remoto y qu configuracin IP recibe el equipo remoto al conectarse.
Traduccin de direcciones de red
Cuando est habilitada la traduccin de direcciones de red (NAT), RRAS permite el trfico de red saliente desde
equipos en la red privada. Comparte la conexin a Internet y su direccin IP pblica nica con equipos que se
encuentran en la red privada; para ello, lleva a cabo la traduccin entre la direccin pblica y las direcciones y
puertos IP que se usan en la red privada.
VPN y NAT
En este escenario, RRAS proporciona la NAT para la red privada y acepta las conexiones de VPN desde clientes
remotos.
Un servidor RRAS en el permetro de una red privada puede conectarse a un servidor remoto a travs de un
tnel VPN. Los equipos conectados a las redes privadas detrs de los dos servidores pueden intercambiar datos
a travs de Internet de manera segura. La conexin entre los dos servidores puede ser persistente (siempre
activa) o a peticin (marcado a peticin).
Escenarios de enrutamiento comunes
Puede usar los enrutadores de software RRAS en numerosas topologas y configuraciones de red diferentes. En
este tema se describen tres escenarios de enrutamiento tpicos.
Escenario de enrutamiento simple
En la siguiente ilustracin se muestra una configuracin de red simple con un servidor RRAS que conecta dos
segmentos de red de rea local (LAN), las redes A y B. En esta configuracin, no se requiere un protocolo de
enrutamiento porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes. Los
enrutadores configuran automticamente las rutas a las redes a las que estn conectados directamente.
Cuando un usuario de la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red A
reenva el paquete al enrutador 1. El enrutador 1 reenva el paquete al enrutador 2 y ste lo reenva al equipo del
usuario de la red C.
Sin protocolos de enrutamiento, un administrador de redes debe especificar rutas estticas en las tablas de
enrutamiento del enrutador 1 y del enrutador 2. Las rutas estticas no funcionan bien en redes de gran tamao ni
se recuperan despus de realizar cambios en la topologa de la red.
Nota
Esta versin de Windows solo admite enrutamiento esttico para el protocolo de Internet versin
6 (IPv6).
Escenario de enrutamiento de marcado a peticin
En la siguiente ilustracin se muestra una configuracin de enrutamiento que usa marcado a peticin. Las redes
A y B estn separadas geogrficamente y, por la cantidad de trfico que se transfiere entre las redes, no resulta
econmico una concesin de vnculo de red de rea extensa (WAN). El enrutador 1 y el enrutador 2 pueden
conectarse a travs de una lnea telefnica analgica mediante un mdem u otro tipo de conectividad como
ISDN (RDSI) en cada extremo. Cuando un equipo de la red A inicia la comunicacin con un equipo de la red B,
el enrutador 1 establece una conexin con el enrutador 2. La conexin se mantiene solo mientras se estn
enviando o recibiendo paquetes. Si la conexin est inactiva, el enrutador 1 se desconecta para reducir los
costos de conexin.
Encapsulacin. Los datos privados se encapsulan con un encabezado que contiene informacin de
enrutamiento que permite a los datos recorrer la red de trnsito. Para obtener ejemplos de encapsulacin,
vea el tema sobre protocolos de tnel de VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140602).
Autenticacin. La autenticacin para las conexiones VPN puede realizarse de tres formas distintas:
1. Autenticacin en el nivel de usuario con autenticacin PPP (Protocolo punto a punto). Para
establecer la conexin VPN, el servidor VPN autentica el cliente VPN que intenta realizar la
conexin con un mtodo de autenticacin PPP en el nivel de usuario y comprueba que el cliente
VPN tiene la autorizacin adecuada. Si se usa la autenticacin mutua, el cliente VPN tambin
autentica el servidor VPN, lo que proporciona proteccin frente a equipos que se hacen pasar por
servidores VPN.
2. Autenticacin en el nivel de equipo con Intercambio de claves por red (IKE). Para establecer
una asociacin de seguridad (SA) de protocolo de seguridad de Internet (IPsec), el cliente VPN y
el servidor VPN usan el protocolo IKE para intercambiar los certificados de equipo o una clave
previamente compartida. En cualquiera de los casos, el cliente y el servidor VPN se autentican
mutuamente en el nivel de equipo. La autenticacin de certificados de equipo es un mtodo de
autenticacin mucho ms seguro y, por lo tanto, es muy recomendable. Las conexiones IKE
versin 2 o protocolo de tnel de capa dos (L2TP)/IPsec usan la autenticacin en el nivel de
equipo.
3. Autenticacin del origen de datos e integridad de datos. Para comprobar que los datos
enviados en la conexin VPN se originaron al otro extremo de la conexin y no se modificaron
durante el trnsito, los datos contienen una suma de comprobacin criptogrfica basada en una
clave de cifrado que solo conocen el destinatario y el remitente. La autenticacin del origen de
datos y la integridad de datos estn disponibles para las conexiones IKE versin 2 y L2TP/IPsec.
Cifrado de datos. Para garantizar la confidencialidad de los datos mientras recorren la red compartida o
pblica, el remitente cifra los datos y el destinatario los descifra. El proceso de cifrado y descifrado
depende de que tanto el remitente como el receptor usen una clave de cifrado comn.
Los paquetes interceptados enviados con la conexin VPN en la red de trnsito son ininteligibles para
cualquier persona que no tenga la clave de cifrado comn. La longitud de la clave de cifrado es un
importante parmetro de seguridad. Puede usar tcnicas de clculo para determinar la clave de cifrado.
Sin embargo, dichas tcnicas requieren mayor capacidad de proceso y tiempo de clculo a medida que
aumenta el tamao de las claves de cifrado. Por lo tanto, es importante usar claves del mayor tamao
posible para garantizar la confidencialidad de los datos.
Determine la interfaz de red que desee conectar a Internet y la que conectar a la red privada.
Durante la configuracin se le solicitar que elija la interfaz de red que desea conectar a Internet. Si
indica la interfaz incorrecta, el servidor VPN de acceso remoto no funcionar adecuadamente.
Determine si los clientes remotos recibirn direcciones IP de un servidor DHCP de la red privada, o bien
del servidor VPN de acceso remoto que est configurando.
Si dispone de un servidor DHCP en la red privada, el servidor VPN de acceso remoto podr conceder 10
direcciones a la vez desde el servidor DHCP y asignarlas a los clientes remotos. Si no cuenta con un
servidor DHCP en la red privada, el servidor VPN de acceso remoto puede asignar a los clientes remotos
Si usa DHCP, determine si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP de la red
privada.
Si un servidor DHCP se encuentra en la misma subred que el servidor VPN de acceso remoto, los
mensajes DHCP de los clientes VPN podrn alcanzar el servidor DHCP una vez establecida la conexin
VPN. Si, por el contrario, el servidor DHCP est situado en una subred distinta de la del servidor VPN
de acceso remoto, asegrese de que el enrutador entre ambas subredes puede retransmitir mensajes
DHCP entre los clientes y el servidor.
Determine si desea que las solicitudes de conexin de los clientes VPN se autentiquen mediante un
servidor de Servicio de autenticacin remota telefnica de usuario (RADIUS) o bien mediante el
servidor VPN de acceso remoto que est configurando.
Agregar un servidor RADIUS resulta til cuando se desea instalar varios servidores VPN de acceso
remoto, puntos de acceso inalmbrico u otros clientes RADIUS en la red privada. Para obtener ms
informacin, vea el tema sobre el servidor de directivas de redes (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=139764).
Compruebe que todos los usuarios disponen de cuentas de usuario configuradas para el acceso remoto.
Para que los usuarios puedan conectarse a la red, deben tener cuentas de usuario en el servidor VPN de
acceso remoto o en Servicios de dominio de Active Directory. Todas las cuentas de usuario situadas en
servidores independientes o controladores de dominio contienen propiedades que determinan si el
usuario se puede conectar. Para definir estas propiedades en un servidor independiente, haga clic con el
botn secundario en la cuenta de usuario en Usuarios y grupos locales y, a continuacin, haga clic en
Propiedades. Para definirlas en un controlador de dominio, haga clic con el botn secundario en la
cuenta de usuario en la consola Usuarios y equipos de Active Directory y, a continuacin, haga clic en
Propiedades.
El acceso telefnico remoto es una tecnologa de acceso remoto que est disponible como parte del Servicio de
enrutamiento y acceso remoto (RRAS).
El acceso telefnico remoto ofrece una solucin sencilla a las organizaciones que desean permitir a los
empleados tener acceso de forma remota a las cuentas de correo corporativas y a los archivos compartidos
desde casa o desde otros lugares que estn fuera de la red corporativa. Gracias al acceso telefnico remoto, un
cliente de acceso remoto puede usar la infraestructura de red de rea extensa (WAN) para conectarse a un
servidor de acceso remoto. Un cliente de acceso remoto usa el sistema telefnico para crear un circuito fsico
temporal o un circuito virtual a un puerto en un servidor de acceso remoto. Una vez creado el circuito fsico o
virtual, se puede negociar el resto de los parmetros de conexin. El acceso telefnico a redes admite el
enrutamiento de marcado a peticin para ayudar a reducir los costos telefnicos.
Componentes de una conexin de acceso telefnico remoto
Los clientes de acceso remoto que ejecuten Windows, UNIX y Macintosh pueden conectarse a un servidor de
acceso remoto RRAS.
Servidor de acceso remoto
El servidor de acceso remoto RRAS acepta conexiones de acceso telefnico y reenva los paquetes entre los
clientes de acceso remoto y la red a la que est conectado el servidor RRAS.
Equipo de acceso telefnico e infraestructura WAN
La conexin fsica y lgica entre el servidor de acceso remoto y el cliente de acceso remoto se facilita a travs
del equipo de acceso telefnico que se instala en el cliente de acceso remoto, el servidor de acceso remoto y la
infraestructura WAN. La naturaleza del equipo de acceso telefnico y la infraestructura WAN vara en funcin
del tipo de conexin. En las secciones siguientes se describen los mtodos de acceso telefnico remoto ms
comunes.
RTC
RTC, conocido tambin como servicio de telefona convencional, es el sistema de telfono analgico diseado
para transportar las frecuencias mnimas necesarias para distinguir la voz humana.
El equipo de acceso telefnico se compone de un mdem analgico en el cliente de acceso remoto y al menos
un mdem analgico en el servidor de acceso remoto. En las organizaciones de gran tamao, el servidor de
acceso remoto est conectado a un banco de mdems que contiene cientos de mdems. Dado que RTC no se
dise para la transmisin de datos, su velocidad de transmisin es limitada si se compara con otros mtodos de
conexin.
Conexin RTC estndar
La velocidad de bits mxima de la conexin RTC depende del intervalo de frecuencias que transmiten los
conmutadores RTC y la relacin seal/ruido de la conexin. El sistema de telfono analgico actual es
analgico solo en el circuito local, el conjunto de cables que conectan al usuario al conmutador RTC de la
oficina central. Al llegar al conmutador RTC, la seal analgica se convierte en una seal digital.
Cuando un servidor RRAS se conecta a una oficina central mediante un conmutador digital basado en portadora
T o ISDN (RDSI) en lugar de un conmutador RTC analgico, hay una relacin seal/ruido mayor porque se
producen menos conversiones de analgico a digital y, por tanto, una velocidad de bits mxima ms alta.
Con esta tecnologa, denominada V.90, los clientes de acceso remoto pueden enviar datos a 33,6 kilobits por
segundo (Kbps) y recibirlos a 56 Kbps. En Estados Unidos, la velocidad de bits mxima es de 53 Kbps, lmite
impuesto por las normas de energa de la Comisin Federal de Comunicaciones (FCC).
Para obtener la velocidad de V.90:
El servidor de acceso remoto debe usar un conmutador digital V.90 y estar conectado a la
red RTC mediante un enlace digital, como portadora T o ISDN (RDSI).
Asignacin de direcciones IP
Cuando un cliente de acceso remoto inicia una conexin al servidor RRAS, el cliente crea una interfaz lgica
temporal (tambin denominada interfaz virtual o adaptador de red virtual) y solicita al servidor RRAS que
asigne una direccin IP a esta interfaz lgica. Se admiten tanto las direcciones del protocolo de Internet versin
6 (IPv6) como las del protocolo de Internet versin 4 (IPv4).
La asignacin de direcciones IP se puede realizar de una de las formas siguientes:
Desde un servidor DHCP
El servidor RRAS obtiene la direccin IP que se asignar a un cliente remoto desde un servidor DHCP de la
intranet. ste es el mtodo preferido de asignacin de direcciones IP. El servidor RRAS se comporta como un
cliente DHCP frente al servidor DHCP y obtiene 10 direcciones IP a la vez. A medida que los clientes de acceso
remoto se conectan al servidor RRAS, las direcciones IP se asignan a los clientes con el Protocolo de control del
protocolo de Internet (IPCP). Para obtener ms informacin, vea RRAS y DHCP (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140605). El servidor DHCP se puede usar para asignar direcciones
IPv6 e IPv4.
Si no se puede establecer la comunicacin con un servidor DHCP, el servidor RRAS asigna automticamente
direcciones IPv4 del intervalo de direcciones IP privadas automticas (APIPA) 168.254.0.1 a 169.254.255.254.
Si no se puede establecer la comunicacin con un servidor DHCP para la asignacin de direcciones IPv6,
entonces el cliente utiliza la asignacin de prefijo IPv6 configurada en el servidor RRAS con un identificador de
interfaz generado localmente para crear una direccin de enrutamiento IPv6.
Desde un intervalo de direcciones configurado en el servidor
El servidor RRAS obtiene una direccin IPv4 de un grupo de direcciones estticas configuradas en el servidor
RRAS. Si configura un grupo de direcciones estticas, no utilice direcciones IP que ya estn asignadas a otros
equipos o que se encuentren en un intervalo que el servidor DHCP pueda asignar a otro equipo. El grupo puede
constar de intervalos de direcciones que sean un subconjunto de direcciones de la red IP a la que est conectado
el servidor o de una subred distinta. Si los intervalos del grupo de direcciones IP estticas representan una
subred diferente, asegrese de que las rutas a los intervalos de direcciones existan en los enrutadores de la
intranet, a fin de que el trfico hacia la interfaz lgica de un cliente remoto se reenve al servidor de acceso
remoto.
Para IPv6, nicamente se asigna el prefijo. El cliente genera automticamente el identificador de interfaz, que
luego utiliza la deteccin de vecinos IPv6 para garantizar su exclusividad.
Desde una direccin esttica especificada en la cuenta de usuario
Se puede configurar una direccin IP esttica para un cliente determinado en la ficha Marcado de la cuenta de
usuario del cliente remoto o en la directiva de red. Cuando un cliente remoto inicia una conexin, crea una
interfaz lgica temporal y solicita al servidor de acceso remoto que asigne una direccin IP a esta interfaz
lgica, el servidor de acceso remoto asigna las direcciones IPv4 e IPv6 especificadas en la cuenta de usuario del
cliente remoto. Este mtodo es especialmente apropiado para un nmero reducido de usuarios remotos.
El acceso remoto de esta versin de Windows admite los protocolos de autenticacin de acceso remoto
enumerados en la tabla siguiente. Se muestran en orden de seguridad descendente. Se recomienda usar el
Protocolo de autenticacin extensible (EAP) y el Protocolo de autenticacin por desafo mutuo de Microsoft
versin 2 (MS-CHAPv2), y evitar el uso del Protocolo de autenticacin por desafo mutuo (CHAP) y el
Protocolo de autenticacin de contrasea (PAP).
Protocolo
EAP
MS-CHAP v2
CHAP
PAP
Descripcin
Nivel de seguridad
Permite la autenticacin
arbitraria de una conexin
de acceso remoto por medio
del uso de esquemas de
autenticacin, lo que se
conoce como tipos EAP.
Admite la autenticacin
mutua bidireccional. El
cliente de acceso remoto
recibe confirmacin de que
el servidor de acceso remoto
al que est llamando tiene
acceso a la contrasea del
usuario.
Usa el esquema de hash
MD5 (sntesis del
mensaje 5) estndar del
sector para cifrar la
respuesta.
Acceso no autenticado
RRAS tambin es compatible con el acceso no autenticado, lo que significa que no se necesitan credenciales de
usuario (un nombre de usuario y una contrasea). Existen situaciones en las que el acceso no autenticado resulta
til. Para obtener ms informacin, vea Acceso no autenticado (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=73649).
Seguridad Nota
Cuando el acceso no autenticado est habilitado, los usuarios de acceso remoto se conectan sin
necesidad de enviar sus credenciales de usuario. Un cliente de acceso remoto no autenticado no
negocia el uso de un protocolo de autenticacin comn durante el proceso de establecimiento
de conexin ni enva un nombre de usuario o una contrasea.
El acceso remoto no autenticado con clientes de acceso remoto puede producirse cuando los
protocolos de autenticacin configurados por el cliente de acceso remoto no coinciden con los
configurados en el servidor de acceso remoto. En este caso, no se negocia el uso de un protocolo
de autenticacin comn ni el cliente de acceso remoto enva un nombre de usuario y una
contrasea.
Enrutamiento
Personas que lo han encontrado til: 1 de 1 - Valorar este tema
Las directivas de red, antes conocidas como directivas de acceso remoto, se administran ahora desde el Servidor
de directivas de redes (NPS). Para obtener ms informacin, vea Servidor de directivas de redes (puede estar en
ingls) (http://go.microsoft.com/fwlink/?linkid=139764).
Referencia
Instale RRAS.
Instalar RRAS
Referencia
Enrutamiento
Enrutamiento IPv4 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140614)
Enrutamiento IPv6 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140615)
Enrutamiento esttico (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140617)
Protocolo de informacin de enrutamiento para IPv4 (puede estar
en ingls) (http://go.microsoft.com/fwlink/?linkid=140716)
Traduccin de direcciones de red (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140619)
Enrutamiento de marcado a peticin (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140603)
Configurar TCP/IP en el servidor RRAS
Instalar RRAS
Habilitar RRAS como enrutador LAN y WAN
Crear una ruta esttica
Habilitar y configurar RIP
Referencia
Instalar RRAS
Instalar RRAS
Se usan los siguientes procedimientos para configurar el servicio Enrutamiento y acceso remoto (RRAS).
Instalar RRAS