Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ndice general
ndice general 3
Introduccin
5
7 7 7
II
Motivacin
9
11
2. Objetivos
III Estudio
3. Estudio de Viabilidad del Sistema 3.1. Establecimiento del alcance del sistema . 3.1.1. Estudio de la solicitud . . . . . . 3.1.2. Descripcin de los situacin actual 3.2. Denicin de requisitos del sistema . . . 3.2.1. Identicacin de Requisitos . . . 3.2.2. Catalogacin de Requisitos . . . . 3.3. Seleccin y aprobacin de la Solucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
15 15 15 17 17 18 18 18
IV
Anlisis
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
21 22 22 22 23 23
4. Anlisis de la solucin propuesta 4.1. Denicin del sistema . . . . . . . . . . . . . . . . . . . . 4.1.1. Determinacin del alcance del sistema . . . . . . . 4.1.2. Identicacin de los usuarios participantes y nales 4.2. Establecimiento de requisitos . . . . . . . . . . . . . . . . 4.2.1. Catlogo de requisitos . . . . . . . . . . . . . . . 3
NDICE GENERAL
V Diseo
5. Diseo LAN 5.1. Diseo de la topolgico . . . . . . . . . . . . . . . . . . . . . . . . . 5.2. Diseo jerarquico por capas . . . . . . . . . . . . . . . . . . . . . . .
25
27 27 28
VI Implementacin
6. Instalacin y conguracin 6.1. Instalacin fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2. Conguracin de componentes . . . . . . . . . . . . . . . . . . . . .
31
33 33 33
VII Conclusin
7. Conclusin
37
39
41
43 45 47
Parte I
Introduccin
Captulo 1
1.2. Agradecimientos
No quisiera entregar este documento sin dar las gracias a las personas que a da de hoy me permiten escribir estas lineas, el magnco profesorado al cual he tenido acceso, estos son; Juan Ramn Daz Santos, Jos Miguel Jimnez Herranz, Antonio Len Fernndez, Jaime Lloret Mauri, Javier Martnez Nohals, Franciso Jos Martinez Zaldivar, Carlos Enrique Palau Salvador y Jos Oscar Romero Martinez, con los que a lo largo de estos dos ltimos aos he ido conociendo y obteniendo una gran formacin. Dejando por ltimo lugar y no por ello menos importante, la gran labor de Salvador Bernad Sabate, el cual ha sabido instruirme en aquellos aspectos humanos donde no llega la docencia, por sus valiosos consejos y por haber querido compartirlos, tanto conmigo como con el resto de compaeros. Por todos ellos, gracias!
1 Integrated
1.2. Agradecimientos
Parte II
Motivacin
Captulo 2
Objetivos
Hoy en da cualquier activadad empresarial de mediana envergadura que se precie, necesita de las tecnologas de informacin para desarrollar su actividad. Las computadoras, parte integral de una red, juegan un papel vital en el mundo laboral. Las empresas emplean las computadoras para multiples propsitos; servidores de datos, conectividad a internet, impresin de documentos, etc. El objetivo principal de este proyecto es que sirva como documento de anlisis, donde se realize un exhaustivo estudio de las necesidades en cuanto a comunicaciones surgidas en una organizacin comn, denido como un edicio de 3 plantas (ver 3.1), y el resultado sea tratado como posible alternativa de solucin y correcta implantacin de la solucin obtenida.
11
12
Parte III
Estudio
13
Captulo 3
1 Imagen
15
16
17
Archivo
Despachos
Aulas
Control acceso
Figura 3.2: Edicio sin conectividad Dado el caracter del proyecto, podemos topar con algn tipo de restriccin econmica, operativa o legal que pueda afectar al sistema. El hardware de comunicaciones puede resultar costoso, se deber valorar en que puntos fortaleceremos la infraestructura con redundacia y en que otros no. Tambin jaremos especial atencin en el cumplimiento de la normativa vigente.
18
se analiza la informacin obtenida deniendo los requisitos y sus prioridades, que se aaden al catalogo de requisitos que servir para el estudio y valoracin de las distintas alternativas de solucin que se propongan.
2 Se
Parte IV
Anlisis
19
Captulo 4
22
Internet
Archivo
Despachos
Aulas
Control acceso
4. Anlisis de la solucin propuesta Identicacin de usuarios: Participantes : 1. Usuario: Empleado Area funcional: Usuario 2. Usuario: Responsable Area funcional: Organizacin 3. Usuario: Administrador de red Area funcional: Organizacin 4. Usuario: Tcnico de red Area funcional: Tcnico 5. Usuario: Tcnico de software Area funcional: Tcnico 6. Usuario: Alumno Area funcional: Usuario 7. Usuario: Visitante Area funcional: Usuario Finales : 1. Usuario: Responsable Area funcional: Organizacin
23
2. Usuario: Empleado Area funcional: Usuario 3. Usuario: Alumno Area funcional: Usuario 4. Usuario: Visitante Area funcional: Usuario
vertical,troncal
24
4.2. Establecimiento de requisitos 4. Tecnologa de conexin horizontal mnima 100BaseTX2 Fast Ethernet Full Duplex. Tecnologa de conexin vertical 1000BaseSX Gigabit Ethernet 3 . 5. Switchs en cada planta ejecutando protocolos STP y tal vez VTP 6. Vlans (vlan 300 ocinas, vlan 200 formacion/visitantes, vlan 100 recepcion) 7. Wi 802.11g con WEP de 128 para red local formacin/visitantes y VPN remota contra router para intranet y salida a internet. 8. Servicio de VPN remoto en router con cisco security IOS. Easy VPN 9. Rutas y ACLs en router para DMZ, enrutamiento entre VLANs y acceso a internet. 10. Ubicacin IDF (2a ocinas, 1a formacin, PB ). Ubicacin MDF (3a planta) 11. Enlace WAN (internet) con ISP4 , alquilada. 12. Direccionamiento privado de clase B 172.16.0.0 IPv4 con divisin en subredes. 13. Pool de 7 direcciones IP pblicas para salida a internet y servicios. 14. Asignacin de direcciones IP por protocolo de conguracin dinmico DHCP. Control de acceso.
2 Par
trenzado transmisin en banda base multimodo transmisin en banda base 4 Proveedor de servicios de internet
3 bra
Parte V
Diseo
25
Captulo 5
Diseo LAN
El diseo de una red sigue siendo un tema complicado. Existe una clara tendencia hacia entornos ms complejos compuestos por muchos tipos distintos de medios de transmisin, y la interconexin con redes externas a la propia LAN de la organizacin.Por tanto, resulta fundamental tener todos estos conceptos en la mente. Un diseo cuidadoso de la red puede reducir complicaciones aosciadas con el crecimiento de la misma. Actividades: DISE 1 Diseo topolgico(5.1) DISE 2 Diseo jerarquico por capas(5.2)
27
28
cable. Este tipo de conexiones proporcionan conexin permanente. Los servicios ofertados son de anchos de banda diferentes, sobrepasando en algunos casos al ofrecido por una linea compartida T1 o E1.
de rbol de extensin
5. Diseo LAN
29
Como dijimos antes, los usuarios/hosts de la subred VLAN 200, podrn unirse a la red de la empresa y/o salir a internet mediante la creacin de una VPN iniciada por el cliente. Para ello utilizaremos un router con Cisco IOS Firewall con Easy VPN y un cliente Cisco VPN software para los hosts.Para este menester podremos utilizar un router Cisco de la serie 2600. Una red VPN es una conexin cifrada (IPSec) entre redes privadas sobre una red pblica. En nuestro caso la red privada estar formada por un extreno el host remoto que inicia la conexin y por otro la red de la empresa. La red pblica ser la red inalambrica con cifrado WEP, la cual la consideramos insegura. Mediante este diseo podremos dotar de conectividad rpida y sencilla a los visitantes/alumnos y extender el uso de la red hacia la intranet y/o internet de manera controlada mediante conexiones VPN remotas. La conguracin de la DMZ y sus listas de control de acceso, as como los ACLs de la red interna para la salida a internet se realizar mediante Control de acceso basado en el contexto (CBAC). De esta manera examinamos el trco que atraviesa nuestra red para descubrir y administrar la informacin de estado para las sesiones TCP y UDP. Esta informacin de estado se utiliza para crear aperturas temporales en las listas de acceso del router actuando como rewall. De esta manera nos ahorraremos mantener tediosas ACLs extendidas. Finalmente este ser el diseo propuesto (ver 5.1) para la red corporativa, en el cual se han cumplido los objetivos de abilidad, manejabilidad y escalabilidad. No se ha realizado un diseo exhaustivo ya que el tema es excesivamente amplio como para cubrirlo todo en este documento. Detalles como SNMP, switchport security, Pix failover y otros tantos los hemos dejado como mejoras aplicables a la red, aunque no por ello innecesarias.
30
Internet
VLAN 300
Verticales Fibra
DMZ
Fast Ethernet
VLAN 100
VLAN 200
Parte VI
Implementacin
31
Captulo 6
Instalacin y conguracin
El objetivo de esta actividad es la conguracin de los componentes del sistema, a partir de las especicaciones de construccin obtenidas en el proceso de diseo. (V). Actividades: IMP 1 Instalacin fsica(6.1) IMP 2 Conguracin de componentes(6.2)
Router(config)#ip nat pool nat-pool-isp 159.160.250.13 159.160.250.16 Router(config)#ip nat inside source list 101 pool nat-pool-isp overload Router(config)#interface e0/2 Router(config-if)#ip nat outside Router(config-if)#interface e0/0 Router(config-if)#ip nat inside Router rewall. DMZ y CBAC : Router(config)#ip inspect name ENTRANTE tcp Router(config)#ip inspect name ENTRANTE udp ... Router(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any Router(config)#access-list 101 deny ip any any ... Router(config)#interface e0/0 Router(config-if)#ip inspect ENTRANTE in Router(config-if)#ip access-group 101 in ... Router(config)#ip inspect name SALIENTE tcp Router(config-if)#access-list 102 permit icmp any host SERVIDORWEB Router(config-if)#access-list 102 permit tcp any host SERVIDORWEB eq www Router(config-if)#access-list 102 deny ip any any ... Router(config)#interface e0/1 Router(config-if)#ip inspect ENTRANTE in Router(config-if)#ip access-group 102 in ... Implementacin VPN en router : Router(config)#aaa new-model Router(config)#aaa authentication login VPNAUTHEN local Router(config)#aaa authorization network VPNAUTHOR local Router(config)#username vpn1 password passwd1 Router(config)#ip local pool IPPOOL 11.0.1.20 11.0.1.70: Router(config)# crypto isakmp policy 3 Router(config-isakmp)# encryption des Router(config-isakmp)# hash md5 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# group 2 Router(config-isakmp)# exit Router(config)#crypto isakmp client configuration group INVITADOS Router(isakmp-group)#key vpngrupopass Router(isakmp-group)#pool IPPOOL Router(isakmp-group)#domain oficina.com Router(isakmp-group)#exit
6. Instalacin y conguracin
35
Router(config)# crypto ipsec transform-set MYSET esp-des esp-md5-hmac Router(cfg-crypto-trans)# exit Router(config)# crypto dynamic-map DYNMAP 10 Router(config-crypto-map)# set transform-set MYSET Router(config-crypto-map)# reverse-route Router(config-crypto-map)# exit Router(config)#crypto map CLIENTMAP client configuration address respond Router(config)#crypto map CLIENTMAP isakmp authorization list VPNAUTHOR Router(config)#crypto map CLIENTMAP client authentication list VPNAUTHEN Router(config)# crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP Router(config)# interface fastEthernet 0/1 Router(config-if)# crypto map CLIENTMAP Router(config-if)# exit Router# show crypto ipsec transform-set
36
Parte VII
Conclusin
37
Captulo 7
Conclusin
Disear una red es un gran desafo, el proceso no solo consiste en conectar computadoras. Una red precisa de muchas caractersticas que la hagan able, manejable y escalable. Para lograr estos objetivos, se deben conseguir que los componentes principales de una red tengan requerimientos de diseo diferentes.Si una red no est correctamente diseada, aparecern muchos problemas imprevistos que pueden poner en peligro su crecimiento. Para que una red sea ecaz y sirva a las necesidades de sus usuarios, debe estar diseada e implementada de acuerdo a una serie de pasos sistemticos planicados, entre los que se incluyen los siguientes. Estudio de viabilidad del sistema(ver III) Analisis de la solucin propuesta(ver IV) Diseo de la red(ver V) Implementacin(ver VI) Tras el estudio realizado, podemos garantizar que la solucin adoptada ha sido la mejor entre las muchas posibilidades que nos brindan las redes de hoy en dias. Es decir, utilizando los conocimientos de Ingeniera de las tecnologas de la informacin y comunicacin (TIC) hemos desarrollado la solucin ptima, adecuada a los requerimientos relacionados, tratando de aprovechar de la mejor manera los recursos disponibles teniendo en cuenta la funcionalidad, escalabilidad, adaptabilidad y manejabilidad.
39
40
Parte VIII
Apndice e ndices
41
Apndice A
Nota legal
Reconocimiento-CompartirIgual 2.5 Usted es libre de : copiar, distribuir y comunicar pblicamente la obra hacer obras derivadas hacer un uso comercial de esta obra Bajo las condiciones siguientes : Reconocimiento. Debe reconocer y citar al autor original. Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones reconocidas por ley no se ven afectados por lo anterior Esto es un resumen legible por humanos del texto legal (la licencia completa) 43
44
ndice de guras
3.1. Edicio ejemplo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2. Edicio sin conectividad . . . . . . . . . . . . . . . . . . . . . . . . 4.1. Esquema lgico de conexin . . . . . . . . . . . . . . . . . . . . . . 5.1. Diseo topolgico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 17 22 30
45
46
NDICE DE FIGURAS
Bibliografa
[1] Cisco Press is the Cisco Systems authorized book publisher of Cisco networking technology. www.ciscopress.com [2] Asociacin de la industria de las comunicaciones (TIA) y Asociacin de industrias electrnicas (EIA) www.tiaonline.org [3] Free Software Foundation www.fsf.org [4] Universidad Politcnica de Valencia www.upv.es [5] DIA Herramienta para www.gnome.org/projects/dia/ dibujar diagramas estructurados.
[6] GNU General Public License Licencia creada por la Free Software Foundation y orientada principalmente a los trminos de distribucin, modicacin y uso de software. Su propsito es declarar que el software cubierto por esta licencia es software Libre.GPL
A [7] L TEX is a high-quality typesetting system, with features designed for A the production of technical and scientic documentation. L TEXis the de facto standard for the communication and publication of scientic documents.www.latex-project.org
47