Recibido: 23 de noviembre de 2018
Aceptado: 06 de junio de 2019
Con la ayuda de herramientas de tecnologías de virtualización se han desarrollado nuevas plataformas de redes de infraestructura más eficientes y flexibles, como las redes definidas por software (SDN, por sus siglas en inglés), una solución práctica al separar las funciones de los planos de datos y de control. El objetivo principal de la investigación fue implementar un banco de pruebas para evaluar el rendimiento y comportamiento de una red SDN ejecutándose sobre el protocolo IPv6. El alcance de la investigación abarcó desde el diseño hasta la puesta en marcha de un entorno en un laboratorio experimental; la metodología empleada consistió en la aplicación de la técnica Top-Down. Se estructuraron cinco fases: se identificaron los requisitos, se ejecutó el diseño conceptual, se estableció la ingeniería de detalle del subsistema, se integró y se validó el sistema con la puesta en marcha en un ambiente controlado. Los resultados obtenidos fueron: la correcta validación del protocolo IPv6, la garantía en la entrega de paquetes de texto e imágenes y la baja latencia del tráfico. Se concluye que con la validación del uso de redes SDN sobre IPv6 se obtienen ventajas claras en la flexibilidad en la infraestructura de red, administración centralizada del tráfico y eficacia en la gestión del tráfico. La interoperabilidad garantiza la compatibilidad con los diferentes tipos de hardware en el momento de la integración de dispositivos y plataformas respetando los estándares de la industria.
Palabras clave: Hardware, infraestructura, mininet, red de próxima generación, Ryu.
With the help of virtualization technology tools, new, more efficient, and flexible infrastructure network platforms have been developed, such as software-defined networking (SDN) as a practical solution by separating the functions of the data and control planes. The main objective of the research was the implementation of a testbed to evaluate the performance and behavior of an SDN network running on the IPv6 protocol. The scope of the research ranged from the design to the implementation of an experimental laboratory environment. The methodology used consisted of applying the Top-Down technique. Five phases were structured: requirements were identified, the conceptual design was executed, detailed subsystem engineering was established, and the system was integrated and validated with implementation in a controlled environment. The results obtained were: successful validation of the IPv6 protocol, guaranteed delivery of text and image packets, and low traffic latency. Finally, it is concluded that validating the use of SDN networks over IPv6 provides clear advantages in terms of network infrastructure flexibility, centralized traffic management, and efficient traffic management. Interoperability ensures compatibility with different types of hardware when integrating devices and platforms, while respecting industry standards.
Keywords: Hardware, infraestructure, mininet, next-generation network, Ryu.
Una de las particularidades de las redes definidas por software (SDN, por sus siglas en inglés)
En comparación con las estructuras de redes actuales que utilizan excesivos equipos de hardware y software, las SDN posibilitan que los administradores de servicios de redes tomen decisiones inteligentes de enrutamiento y gestión del tráfico por medio de la abstracción de un controlador centralizado (por ejemplo: OpenDaylight, ONOS, Ryu, Floodlight, Trema, POX, Cisco APIC-EM y ONAP, entre otros) en la capa física
Los equipos como switchet, router y puntos de acceso se convierten en dispositivos programables
Las redes SDN para optimizar y simplificar sus funciones se deben configurar en entornos virtuales y requieren para su implementación de dispositivos físicos, que ya no depende de la configuración manual y estática de cada dispositivo; para ello introduce un controlador centralizado que ejecuta las instrucciones de manera dinámica para: automatizar procesos, dar eficiencia en operación y configuración
El objetivo de esta investigación fue evaluar el rendimiento de SDN, mediante un entorno experimental que permita analizar la eficiencia en la gestión del tráfico, la asignación de recursos y la latencia en distintos escenarios de red.
Las redes SDN se adaptan a las redes convergentes fácilmente con el protocolo IPv6
La creciente demanda de servicios de datos en tiempo real exige infraestructuras de cloud computing y redes móviles capaces de garantizar una calidad de servicio (QoS) óptima y el ancho de banda necesario para su prestación del servicio
Frente a estos desafíos, las redes SDN surgen como una solución viable. Su principio fundamental se basa en la disociación entre el plano de control y el plano de datos que permite procesos de gestión ágiles, tal y como demuestran
La orquestación de SDN es la solución clave para integrar redes fragmentadas a nivel nacional o regional como exponen
De igual forma, el análisis planteado por
En ambientes corporativos de redes pequeñas y medianas
En su estudio,
En lo que respecta a la seguridad en SDN,
En la investigación de
Los estudios previos que aportaron al objeto de estudio se sintetizan en la Tabla 1 resaltando las variables por temas de afinidad a la investigación desarrollada.
| Tema | Autores | Variables de estudio | Método de estudio | Técnicas empleadas | Resultados obtenidos | Conclusiones principales | |
| Arquitectura SDN y controladores | Rendimiento (latencia, throughput). | Revisión sistemática |
Análisis comparativo de arquitecturas. | ONOS y OpenDaylight superan en escalabilidad a Ryu y POX |
La elección y ubicación del controlador para el rendimiento en redes a gran escala. Los controladores distribuidos son esenciales para entornos de producción. | ||
| Escalabilidad y confiabilidad. | Emulación de topologías de red. | La latencia y la resiliencia dependen críticamente de la solución al CPP |
|||||
| Ubicación óptima de controladores (CPP). | Algoritmos heurísticos para CPP. | ||||||
| Seguridad en SDN | Tasa de detección de ataques (SLAAC). | Diseño e implementación de mecanismos |
Mecanismos de detección de ataques SLAAC. | "SADetection" para identificar y mitigar ataques de suplantación en IPv6 |
La implementación de defensas proactivas y específicas, para IPv6, y la IA en automatización de ciberseguridad. | ||
| Eficacia de protocolos de autenticación. | Frameworks de IA/ML para IDS. | La IA permite una respuesta dinámica y adaptativa a las amenazas |
|||||
| Integración SDN/IPv6 y casos de uso | Interoperabilidad en entornos heterogéneos. | Estudio de caso |
Análisis de idoneidad de controladores. | ONOS y ODL son adecuados para teleprotección en redes eléctricas |
SDN actúa como un facilitador clave para la integración de IPv6 y la gestión de redes de próxima generación en sectores críticos. | ||
| Rendimiento en aplicaciones críticas (redes eléctricas, QKD). | Protocolos de orquestación para QKD. | SDN es viable para orquestar la gestión de claves en redes QKD |
|||||
| IA y automatización en SDN | Precisión en clasificación de tráfico y detección de anomalías. | Revisión exhaustiva |
Algoritmos de ML para optimización de red. | ML/DL mejora la detección de intrusos y la eficiencia del tráfico |
La sinergia SDN-IA es fundamental para crear redes autónomas, seguras y auto-optimizadas. | ||
| Eficiencia en el balanceo de carga. | Estrategias de balanceo de carga. | El balanceo de carga inteligente mejora la tolerancia a fallos |
Basado en lo anterior, el objetivo de la investigación consistió en implementar un dispositivo para pruebas de conectividad de una red definida por software sobre el protocolo IPv6 con el fin de comprobar la interoperabilidad y compatibilidad con los diferentes tipos de hardware.
La metodología utilizada en la investigación es de tipo experimental
En la fase 1, enfocada en la identificación de los requerimientos generales del sistema, se determinan los requisitos esenciales de una red SDN. En la fase 2 se realiza el diseño global del sistema, mediante la subdivisión del sistema en cinco módulos: dispositivos de red, diseño del controlador de red, topologías básicas de la red, selección de los protocolos y las herramientas de expansión de la red. Para la fase 3, se considera la ingeniería de detalle; en la fase 4 se realiza la consolidación de todos los módulos y submódulos y, finalmente, en la fase 5 se ejecutan la implementación y las pruebas de funcionamiento
2.1 Fase 1: identificación de los requerimientos del sistema
El proceso se enfoca en comprender y documentar las necesidades y especificaciones técnicas de la red. Sus componentes son: a) hardware especializado en redes SDN; b) software de control de datos, núcleo central de la red que permite la configuración de políticas de red, protocolos de comunicación y estrategias de gestión de la red; c) compatibilidad de la red, proceso que facilita la gestión y administración de IPv6 como protocolo subyacente al hardware de SND y d) escalabilidad de la red SDN para implementar e incorporar más dispositivos a la infraestructura propuesta.
2.2 Fase 2: diseño global del sistema
Integra los elementos para estructurar el sistema y cumplir con los requerimientos por medio de la metodología Top-Down
La infraestructura base del proyecto a implementar la componen: a) dispositivos de red: se configuran los conmutadores y enrutadores SDN, equipos de cómputo (host) y otros componentes para facilitar la comunicación y el flujo de datos, que se gestionan de manera centralizada por software Mininet
2.3 Fase 3: Ingeniería de detalle
En el contexto de la metodología Top-Down, los módulos globales diseñados inicialmente se dividen en submódulos con el fin de analizar y desarrollar de forma sistemática los componentes y desafíos del proyecto, como se describe a continuación:
a) Dispositivos de red SDN. -Host: dispositivos finales que generan el flujo de datos y alojan las aplicaciones; incluyendo la participación como víctimas y atacantes en las pruebas de seguridad realizadas con stegomalware y la exfiltración de datos, aquí se incluyen los equipos portátiles, computadores de escritorio. -Nodos de red SDN: incluyen los enrutadores y conmutador SDN
b) Controlador de red SDN: ejecuta la gestión y el direccionamiento del tráfico. -El software de control de red SDN lo constituye el controlador Ryu, que se integra a la arquitectura ARM por su capacidad de procesamiento y bajo consumo de energía en una tarjeta Orange PI Lite 2
c) Topología básica de la red: es de estructura de árbol con un nodo raíz que se ramifica en subredes secundarias para organizar y el enrutar tráfico.
d) Protocolos de red: en la capa de aplicación se utilizan los protocolos: DNS, DHCP, SMTP, FTP, HTTP; en la capa de transporte, los protocolos UDP y TCP; en la capa de internet, el enrutamiento se direcciona por medio de los protocolos: IP, ICMP y NAT y la capa de interfaz de red, que realizan las conexiones físicas con la ayuda de los protocolos ARP y Ethernet
e) Herramientas de expansión de red: para facilitar la escalabilidad de la red se configuran: dispositivos de red emulados que son los host, conmutadores y las tarjetas de red para conectar los equipos externos y el módulo SDN (ver la Figura 2). El producto final del módulo se diseña con FreeCAD en 3D y se lleva a una máquina CNC para que sea terminado y cortado físicamente en material acrílico, el diseño se acompaña de una tapa móvil y otra fija donde internamente se alojan los módulos de expansión junto con la Orange Pi Lite 2 y la fuente de alimentación
2.4 Fase 4: Integración del sistema
Es la fusión física de los elementos de hardware que hacen parte de las fases del proceso de construcción modular, como se observa en la Figura 3. En la etapa de dispositivos de red se ha optado por emplear host emulados con sistemas operativos Linux, cada uno configurado con sus respectivas interfaces de Ethernet emuladas por medio del software Mininet, lo que garantiza un costo más económico en comparación con el uso de hardware físico
En la etapa de topología tipo árbol se analiza el comportamiento de los paquetes en la red para garantizar el crecimiento de la misma con más equipos a futuro, como se observa en la Figura 4.
Para la etapa de controladores de red, se consideran los requisitos necesarios en la ejecución del controlador Ryu
| Dispositivos de hardware para el laboratorio de redes SDN | ||||
| Nombres | Raspberry pi 3 B+ | Mini PC | Raspberry pi 4 | Orange pi lite 2 |
| Procesador | Broadcom BCM2837B0 | Intel Core I5-4258U | Broadcom BCM2711 | H6 ARM Cortex™-A53 |
| CPU | 4 núcleos, 4 hilos, 1.4 GHz | 2 núcleos, 4 hilos, 2.9 GHz | 4 núcleos, 4 hilos, 1.5GHz | 4 núcleos, 4 hilos, 1.8GHz |
| Memoria RAM | 1GB LPDDR2 | 4GB DDR3 | 4GB LPDDR3 | 1 GB LPDDR3 |
| Sistema operativo | Raspbian | Ubuntu 22.04.1 LTS | Raspbian | Armbian |
| Unidad de almacenamiento | 32 GB (SDCard) | 128 GB (SSD) | 32GB (SDCard) | 32GB (SDCard) |
| Controlador de SDN compatible | OpenDaylight, Ryu, POX | OpenDaylight, Floodlight, Beacon, Ryu, NOX, POX | OpenDaylight, Ryu, POX | OpenDaylight, Ryu, POX |
La Orange Pi Lite 2 se soporta en un procesador H6 ARM Cortex™-A53 de 4 núcleos y 4 hilos que opera a 1.8GHz, con alto rendimiento y una memoria RAM de 1 GB LPDDR3 y la eficiencia energética para este tipo de investigaciones
En la etapa de protocolos de red se adoptó el protocolo Hypertext Transfer Protocol (HTTP) para la ejecución de Flow Manager
2.5 Fase 5: funcionamiento del sistema
Se inicia con la integración del sistema de potencia y la incorporación de los puertos USB y Ethernet, después se carga el sistema operativo Armbian por medio de la aplicación balenaEtcher y se instala el boot en una memoria microSD que es insertada en la Orange Pi Lite 2, a la cual se accede por medio de una terminal; desde allí se procede a la configuración de Mininet con los siguientes comandos e instrucciones: apt-get install mininet, apt-get install openvswitch-switch, git clone https://github.com/mininet/mininet/mininetymininet/útil/install.sh –fw. Después se crea y emula la red SDN que, a su vez, es soportada con las aplicaciones Open vSwitch
Mediante la ejecución del algoritmo de red en Python (ver Figura 7), se establece la estructura de la topología de red SDN con el uso del protocolo OpenFlow
Una vez establecida la topología, se incorpora a la configuración del Mininet, que gestiona los recursos entre el OpenFlow, el Ryu y los hosts; se procede a establecer de forma simultánea la comunicación por medio de comandos
A continuación, se describe un script en Python que inicia el proceso mencionado por medio de la librería Mininet.
#!/usr/bin/python3
from mininet.net import Mininet
from mininet.node import RemoteController, OVSSwitch
from mininet.link import TCLink
from mininet.cli import CLI
from mininet.log import setLogLevel, info
def sdn_topology():
setLogLevel('info')
net = Mininet(controller=RemoteController, link=TCLink, switch=OVSSwitch)
info('*** Creando el controlador remoto (Ryu)\n')
ryu_controller = net.addController (
name='ryuController',
controller =RemoteController,
ip='FE80::/10', # Dirección del host donde corre Ryu
port=6645 # Puerto OpenFlow por defecto
)
Info ('*** Creando hosts\n')
ha1 = net.addHost('ha1', ip='2100::/64')
ha2 = net.addHost('ha2', ip='2100::/2000:0:0:0/64')
hd1 = net.addHost ('hd1', ip='2100::/4000:0:0:0/64')
hd2 = net.addHost ('hd2', ip='2100::/6000:0:0:0/64')
info ('*** Creando switch (Open vSwitch)\n')
s1 = net.addSwitch ('s1')
info ('*** Creando enlaces\n')
net.addLink (h1, s1)
net.addLink(h2, s1)
info ('*** Iniciando la red\n')
net.start ()
info ('*** Verificando conectividad entre hosts\n')
net.pingAll ()
info ('*** Iniciando CLI de Mininet\n')
CLI (net)
info ('*** Deteniendo la red\n')
net.stop ()
if __name__ == '__main__':
sdn_topology ()
El siguiente paso implica la inicialización de la red y el controlador; para ello se activan dos componentes: el protocolo de árbol de expansión (STP) y OpenFlow 1.3. La activación de STP contribuye a la eficiencia y redundancia de la red, asegurando la prevención de bucles y mejorando la estabilidad. Con la implementación de OpenFlow 1.3 se proporciona la comunicación entre el controlador Ryu y los dispositivos de red, para la gestión del flujo de datos con la asignación del direccionamiento IPv6
Posteriormente se integra el software de Flow Manager mediante los comandos: http://github.com/martimy/flowmanager.git y ryu-manager --obereve--links flowmanager.py
En el desarrollo de la verificación del funcionamiento de la red SDN con soporte para IPv6 se realizan las comprobaciones básicas por medio del protocolo ICMPv6, con el fin de evidenciar la conectividad para informar y diagnosticar los errores; con esto se comprueba la configuración y el alcance de las tablas de flujo por medio de la tabla de direccionamiento estático IPv6 (ver Tabla 3), de forma que se puedan confinar las pruebas entre bloques de direcciones de los diferentes segmentos de red, como se estableció en la Figura 4, para determinar el comportamiento en tiempo real.
| Asignación de direccionamiento en la red de pruebas | |||
| # | dl_type | ipv6_src | ipv6_dst |
| 1 | IPv6 | 2100:: | 2100::1 |
| 2 | IPv6 | 2100::1 | 2100:: |
| 3 | IPv6 | 2100::2000:0:0:0 | 2100:: |
| 4 | IPv6 | 2100::2000:0:0:0 | 2100::1 |
| 5 | IPv6 | 2100::1 | 2100::2000:0:0:0 |
| 6 | IPv6 | 2100::a000:0:0:0 | 2100::c000:0:0:0 |
| 7 | IPv6 | 2100::c000:0:0:0 | 2100::a000:0:0:0 |
| 8 | IPv6 | 2100::a000:0:0:0 | 2100::e000:0:0:0 |
| 9 | IPv6 | 2100::e000:0:0:0 | 2100::a000:0:0:0 |
| 10 | IPv6 | 2100::c000:0:0:0 | 2100::e000:0:0:0 |
| 11 | IPv6 | 2100::e000:0:0:0 | 2100::c000:0:0:0 |
| 12 | IPv6 | 2100::4000:0:0:0 | 2100::6000:0:0:0 |
| 13 | IPv6 | 2100::6000:0:0:0 | 2100::4000:0:0:0 |
| 14 | IPv6 | 2100::4000:0:0:0 | 2100::8000:0:0:0 |
| 15 | IPv6 | 2100::8000:0:0:0 | 2100::4000:0:0:0 |
| 16 | IPv6 | 2100::4000:0:0:0 | 2100::8000:0:0:1 |
| 17 | IPv6 | 2100::8000:0:0:1 | 2100::4000:0:0:0 |
| 18 | IPv6 | 2100::6000:0:0:0 | 2100::8000:0:0:0 |
| 19 | IPv6 | 2100::8000:0:0:0 | 2100::6000:0:0:0 |
| 20 | IPv6 | 2100::6000:0:0:0 | 2100::8000:0:0:1 |
| 21 | IPv6 | 2100::8000:0:0:1 | 2100::6000:0:0:0 |
| 22 | IPv6 | 2100::8000:0:0:0 | 2100::8000:0:0:1 |
| 23 | IPv6 | 2100::8000:0:0:1 | 2100::8000:0:0:0 |
En la Figura 8 se presentan gráficamente los resultados obtenidos de la forma como se envían los paquetes ICMPv6 entre cada uno de los elementos que hacen parte de la red propuesta con Mininet. De esta forma el Flow Manager se encarga de la detección y gestión del flujo de tráfico de datos a través la virtualización de las comunicaciones en la SDN, y responde de forma interactiva y dinámica a las peticiones dentro de la red. Aquí no solo se hace referencia a las conexiones que son catalogadas como exitosas, también se incluye una perspectiva de comportamiento global de la red en la creación, actualización y restricción de entrada en la tabla de flujo de datos.
En el momento en que se reinicia el controlador Ryu, automáticamente la red SDN activa todos los dispositivos de red; de inmediato el emulador de red Mininet crea la red virtual indicando que el Ryu ya inició, y luego se habilita el Flow Manager para realizar el respaldo de las tablas de flujo.
Posteriormente, se cierra Mininet por un momento y se vuelve a reiniciar, indicándole que no cargue las tablas de flujo, ya que este proceso solo debe realizarse una vez con el respaldo previamente hecho. Tras ejecutar de nuevo Mininet, se restablecen las tablas de flujo utilizando Flow Manager y logrando así una red operativa y funcional.
Realizando las pruebas sobre la red propuesta en la Figura 4 se puede inferir que: Las pruebas con tráfico externo: se realizan durante 17 minutos en tres eventualidades diferentes, para generar tráfico hacia toda la red con un tamaño de paquetes de 25 bytes de 1000 unidades cada uno y con un ping 1000 veces en cada uno de los hosts y de forma simultánea mediante el fragmento de código de ejemplo, citado a continuación:
# Realizar ping a múltiples hosts de forma simultánea
for host in "${hosts[@]}"; do
Ping -c $numero_pings -s $tamano_paquete -I $interfaz $host &
done
Simultáneamente con la red SDN trabajando con tráfico al 100 % se observa que al enviar paquetes entre los equipos externos denominados atacante y víctima al hacer el tránsito desde el exterior pasando por la red SDN, los 25Kbytes de datos llegan completos y las latencias son mínimas, si se comparan cuando hay tráfico y sin tráfico, lo que garantiza una buena velocidad de trasferencia para la red trabajando sobre protocolo IPv6 y el controlador Ryu como se muestra en la Tabla 4.
| Pruebas de ping sin tráfico | |||||||
| Host | Latencia (ms) | Tiempo máx (ms) | Tiempo mín (ms) | Tasa de transmisión (bytes/s) | |||
| Atacante-Victima | 0,095 | 3,059 | 0,011 | 26571,639 | |||
| Víctima - Atacante | 2,480 | 9,074 | 0,570 | 484,219 | |||
| Pruebas de ping con tráfico | |||||||
| Host | Latencia (ms) | Tiempo máx (ms) | Tiempo mín (ms) | Tasa de transmisión (bytes/s) | |||
| Atacante - Victima | 0,095 | 3,059 | 0,011 | 26571,639 | |||
| Víctima - Atacante | 2,480 | 9,074 | 0,570 | 484,219 | |||
De igual forma sucede al realizar las pruebas de múltiples paquetes para tres interacciones con las mismas características mencionadas anteriormente, como se muestra en la Figura 9.
Se observa que al ejecutar simultáneamente el envío de paquetes a cada host el tiempo promedio de duración de los paquetes es de 1,5 milisegundos, excepto el equipo 2100::1 que por control de tráfico presenta un tiempo de 3 milisegundos de latencia.
Al considerar la prueba de envío de paquetes en forma de texto e imagen, tomando como referencia el indicador del número máximo del Hop Limit o límite de salto, con tamaño de 8 bit dentro de la cabecera de IPv6, se establece que cuando el paquete llega al Hop Limit con valor cero, el paquete se descarta, lo cual es una ventaja sobre IPv4, donde dicho trabajo aparentemente lo hace el TTL (tiempo de vida), pero no es tan eficaz como IPv6 para permitir el salto de enrutamiento antes de que se envié el error a través de ICMP y los paquetes se pierdan en el enlace.
En la Tabla 5 se observa el envío del archivo de imagen de 60 Kbyte/s y de texto de 37 Kbyte/s con la duración máxima y mínima a la cual debe llegar el paquete permitiendo una latencia que no causa la pérdida de paquetes y posibilita el envío completo..
| Archivos | Tiempo promedio de latencia (ms) | Tiempo máx (ms) | Tiempo mín (ms) | Tasa de transmisión (Kbyte/s) |
| img_m.jpg | 0,020 | 6,400 | 0,002 | 60,745 |
| img_s.jpg | 0,028 | 4,829 | 0,004 | 61,153 |
| texto_1.txt | 0,036 | 4,521 | 0,004 | 38,802 |
| texto_2.txt | 0,038 | 4,950 | 0,003 | 36,640 |
Al entrar en activación el Ryu cuando se inicia la red SDN de acuerdo con la Figura 6, el Mininet detecta que el parámetro Hop Limit no alcanza su valor cero para el promedio de la latencia prevista, lo que significa que no hubo pérdida de paquetes en ninguno de los dos sentidos de la comunicación establecida.
3.1 Detalles del proceso de transmisión
Con el uso del protocolo ICMPv6 como medio para la transmisión de la exfiltración de los paquetes con la técnica de estenografía, se ejecuta la modificación de la dirección MAC para el envío del comando de extracción del archivo de prueba “CC.png” hacia el equipo establecido como víctima. Para tal fin se muestra en la Figura 10 la latencia sufrida en el proceso cuando son enviados los paquetes con un promedio de 0,003 segundos.
Esta técnica afecta directamente la cantidad de información que transporta por paquete, lo cual no significa que sea el determinante de la velocidad de trasmisión. Cuando se hace el cambio por direccionamiento MAC con 40 bit por stegopaquete, se logran velocidades de 12,160 Kbps. De igual forma, con la técnica estenográfica por cambio del Hop Limit con el uso de 8bits por stegopaquete, la velocidad alcanzada es de 2,430 Kbps. Estas cifras proporcionan perspectivas valiosas sobre las capacidades y limitaciones de las técnicas implementadas en el contexto de seguridad en redes SDN.
Si tomamos un referente reciente en lo que respecta a redes SDN y sus diversas adopciones
3.2 Análisis del ancho de banda
El análisis del ancho de banda en el laboratorio SDN, específicamente con relación a las técnicas de esteganografía implementadas, reveló notables diferencias entre las metodologías utilizadas. Al realizar el enfoque en la técnica de esteganografía por cambio de dirección MAC, la Figura 11 presenta la variación en la latencia entre stegopaquetes, que representa el tiempo transcurrido entre el envío de un stegopaquete y el siguiente.
El promedio alcanzado en la traza de pruebas fue de 0,025 segundos. Considerando que cada stegopaquete contiene 40 bits, el análisis de ancho de banda utilizando el algoritmo de control asociado a esta técnica arrojó una velocidad de 2.577 Kbps.
Al analizar la Figura 12, asociada a la técnica de modificación por Hop Limit, se lograron identificar picos de latencias altos, con valores de 3,460 segundos durante el 70 % del envío de los archivos “CC.png”. Sin embargo, la latencia promedio se mantiene baja, por debajo de los 0,048 segundos aproximadamente, aunque en términos generales no afecta la transmisión de los paquetes y la comunicación es estable. En las pruebas se detalla que el ancho de banda registrado es de 171 bps, un valor que es bajo y funcional para los casos en que se exfiltran los datos.
Los hallazgos evidencian que es importante fijar las políticas de seguridad de forma más restrictiva en este tipo de ambientes. Para ello se debe proceder principalmente con la creación de filtros en el firewall, no solo en el direccionamiento con IPv6, sino también sobre el direccionamiento MAC. De esta forma se logra mitigar ataques basados en técnicas de esteganografía, como se realizó en este laboratorio de pruebas.
Así mismo, se recomienda deshabilitar el protocolo ICMPv6 de no ser necesario; como es el caso cuando se crean un número considerables de host o computadoras dentro de la red, ya que aumenta el riesgo de seguridad siendo un vector potencial de ataque si se mantiene habilitado innecesariamente.
La técnica de estenografía por Hop Limit la hace muy fácil y versátil para ambientes de compatibilidad con el protocolo IPv6, por ello es conveniente la capacitación del personal técnico de seguridad para prevenir la inyección de stegomalware, especialmente en la primera línea de seguridad en el núcleo de la red.
El valor agregado de la investigación se centra en una solución práctica, económica y tangible en la implementación de redes SDN física, como un laboratorio de pruebas con interfaces para la evaluación del comportamiento de conectividad bajo el protocolo IPv6, que la hace diferente a una red simulada. Por otra parte, las limitaciones encontradas en el desarrollo de la investigación están en los controladores y su compatibilidad con el hardware y el software existentes en el mercado, pues se requiere de configuraciones avanzadas y estudios de documentos técnicos y de programación, también de la adquisición de dispositivos con capacidades robustas y avanzadas de procesamiento.
En lo que respecta a las implicaciones prácticas, es una herramienta útil para ingenieros de redes, investigadores y desarrolladores que busquen validar arquitecturas SDN con soporte nativo de IPv6. En la implementación se facilitan las pruebas para analizar posibles fallos de conectividad, evaluar rendimiento y verificar la eficiencia del enrutamiento y segmentación con IPv6, por medio de la combinación de controladores específicos para este tipo de redes en entornos de experimentación académica.
La aplicación de la metodología Top-Down en el diseño y la implementación del laboratorio SDN/IPv6 denominado LBRED permitió alcanzar los objetivos con un enfoque estructurado para identificar los requisitos técnicos, seleccionar los componentes y consolidar un entorno de pruebas en un entorno real, comparado con
El dispositivo se implementó físicamente y es significativo respecto a los estudios previos, como es el caso de
Los resultados experimentales evidenciaron que el sistema mantiene un consumo estable de recursos por debajo del 11 % de CPU y 23 % de RAM, incluso durante las pruebas de seguridad con exfiltración de datos mediante técnicas de esteganografía (por cambio de MAC y Hop Limit). Dichos hallazgos confirman la viabilidad del diseño para analizar comportamientos de tráfico y mecanismos de ciberseguridad en redes IPv6 bajo control SDN. En contraste con la seguridad en SDN,
La incorporación de IPv6 demostró una gestión de red más dinámica, con asignación flexible del ancho de banda y priorización de tráfico en tiempo real. La arquitectura SDN implementada favorece la escalabilidad, reducción de costos operativos y actualización del sistema sin modificar el hardware para su adopción en laboratorios académicos y entornos empresariales pequeños.
Se comprobó que la utilización del protocolo IPv6 es compatible y permite la transición para este tipo de redes convergentes, porque la gestión centralizada facilita el control y monitoreo en tiempo real, como se comprobó con el indicador mínimo de salto en la asignación del ancho de banda eficiente y la prioridad del tráfico.
Una característica destacable del sistema fue su flexibilidad y escalabilidad, evidenciada en la capacidad de actualizar y modificar la red mediante el uso del Flow Manager, sin requerir cambios en el hardware. Esta funcionalidad posibilita la gestión centralizada de múltiples dispositivos desde un único controlador.
Una de las capacidades más relevantes observadas en la red SDN radicó en su interoperabilidad y adopción de estándares abiertos. Con esta característica se garantizó la compatibilidad entre distintos tipos de hardware durante la integración de dispositivos y plataformas, lo que evidencia la madurez tecnológica y la versatilidad del modelo implementado.
Se demostró que con las tablas de flujo se facilita el proceso de envío de paquetes soportado con la interfaz de aplicación del Flow Manager; por medio de este se detecta el tráfico y la forma como la red crece dinámicamente a medida que se agregan más dispositivos y le comunica al controlar Ryu para reducir la latencia y mejorar el desempeño de la red SDN.
Una deducción valiosa en la implementación de redes SDN es la facilidad de integrar el protocolo IPv6 con miras unir redes de infraestructuras híbridas para desarrollar la combinación de diversas aplicaciones y servicios mediante pruebas de validación.
Por último, este trabajo contribuye a fortalecer el conocimiento y la visibilidad de SDN en el contexto colombiano. De acuerdo con
Este trabajo se realizó como producto de la investigación entre los autores como miembros de Grupo de Investigación en Telecomunicaciones y Nuevas Tecnología (GITENT) de la Universidad de Pamplona del Programa Ingeniería en Telecomunicaciones, con recursos propios, sin financiamiento institucional. Se le agradece a la institución por facilitar los espacios donde se desarrollaron las pruebas.
Los autores manifiestan que no existe ningún conflicto de interés, ya sea financiero, profesional o personal, que pudiera surgir de la publicación del presente artículo.
Jorge E. Herrera Rubio: concepción, redacción, análisis de información, metodología, redacción y elaboración del artículo.
Luz María Ballesteros: concepción, redacción, análisis de información, laboratorio, desarrollo del software, configuración del hardware, pruebas, gestión de la información, elaboración y creación de imágenes, adaptación de tecnologías de bajo costo para el aprendizaje de SDN, implementación de IPv6 en redes de nueva generación, comproboración de la gestión centralizada facilita el control y monitoreo en tiempo real, la asignación del ancho de banda y la prioridad del tráfico.