Estudio, anlisis, diseo e implementacin de una infraestructura de red comn en un edicio de propsito general Tesis de Master universitario en redes

corporativas e integracin de sistemas1 2005-2007

Ignacio Santos Gaudioso 26 de diciembre de 2007

Universidad Politcnica de Valencia - Centro de Formacin Permanente

2 Dedico esta tesis a mis compaeros de grupo; Juanjo, Colombo y Ren

ndice general
ndice general 3

Introduccin

5
7 7 7

1. Notas del autor 1.1. Aspectos Editoriales . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2. Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . .

II

Motivacin

9
11

2. Objetivos

III Estudio
3. Estudio de Viabilidad del Sistema 3.1. Establecimiento del alcance del sistema . 3.1.1. Estudio de la solicitud . . . . . . 3.1.2. Descripcin de los situacin actual 3.2. Denicin de requisitos del sistema . . . 3.2.1. Identicacin de Requisitos . . . 3.2.2. Catalogacin de Requisitos . . . . 3.3. Seleccin y aprobacin de la Solucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13
15 15 15 17 17 18 18 18

IV

Anlisis
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19
21 22 22 22 23 23

4. Anlisis de la solucin propuesta 4.1. Denicin del sistema . . . . . . . . . . . . . . . . . . . . 4.1.1. Determinacin del alcance del sistema . . . . . . . 4.1.2. Identicacin de los usuarios participantes y nales 4.2. Establecimiento de requisitos . . . . . . . . . . . . . . . . 4.2.1. Catlogo de requisitos . . . . . . . . . . . . . . . 3

NDICE GENERAL

V Diseo
5. Diseo LAN 5.1. Diseo de la topolgico . . . . . . . . . . . . . . . . . . . . . . . . . 5.2. Diseo jerarquico por capas . . . . . . . . . . . . . . . . . . . . . . .

25
27 27 28

VI Implementacin
6. Instalacin y conguracin 6.1. Instalacin fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2. Conguracin de componentes . . . . . . . . . . . . . . . . . . . . .

31
33 33 33

VII Conclusin
7. Conclusin

37
39

VIII Apndice e ndices

A. Nota legal ndice de guras Bibliografa

41
43 45 47

Parte I

Introduccin

Captulo 1

Notas del autor

1.1. Aspectos Editoriales
La mayor parte de los programas procesadores de texto siguen la losofa WYSIYWG(What You See Is What You Get), desviando nuestra atencin de la cuestin realmente importante, preocupandonos ms del aspecto que del contenido. Frente a estos existen los programas de composicin lgica, los cuales obligan al autor a centrarse en la estructura interna del documento y no en su aspecto. Por ello he A elegido L TEX eLaTeX como programa de composicin de textos, el cual pone emfasis en el contenido del documento. No quiero dejar sin mencionar el maravilloso IDE1 de programacin que he utilizado, el cual me ha simplicado enormemente la tarea, este es Kile.

1.2. Agradecimientos
No quisiera entregar este documento sin dar las gracias a las personas que a da de hoy me permiten escribir estas lineas, el magnco profesorado al cual he tenido acceso, estos son; Juan Ramn Daz Santos, Jos Miguel Jimnez Herranz, Antonio Len Fernndez, Jaime Lloret Mauri, Javier Martnez Nohals, Franciso Jos Martinez Zaldivar, Carlos Enrique Palau Salvador y Jos Oscar Romero Martinez, con los que a lo largo de estos dos ltimos aos he ido conociendo y obteniendo una gran formacin. Dejando por ltimo lugar y no por ello menos importante, la gran labor de Salvador Bernad Sabate, el cual ha sabido instruirme en aquellos aspectos humanos donde no llega la docencia, por sus valiosos consejos y por haber querido compartirlos, tanto conmigo como con el resto de compaeros. Por todos ellos, gracias!

1 Integrated

Development Environment, es decir, un entorno integrado de desarrollo.

1.2. Agradecimientos

Parte II

Motivacin

Captulo 2

Objetivos
Hoy en da cualquier activadad empresarial de mediana envergadura que se precie, necesita de las tecnologas de informacin para desarrollar su actividad. Las computadoras, parte integral de una red, juegan un papel vital en el mundo laboral. Las empresas emplean las computadoras para multiples propsitos; servidores de datos, conectividad a internet, impresin de documentos, etc. El objetivo principal de este proyecto es que sirva como documento de anlisis, donde se realize un exhaustivo estudio de las necesidades en cuanto a comunicaciones surgidas en una organizacin comn, denido como un edicio de 3 plantas (ver 3.1), y el resultado sea tratado como posible alternativa de solucin y correcta implantacin de la solucin obtenida.

11

12

Parte III

Estudio

13

Captulo 3

Estudio de Viabilidad del Sistema

El propsito de este proceso es analizar un conjunto concreto de necesidades, con la idea de proponer una solucin a corto plazo. Los criterios con los que se hace esta propuesta no sern estratgicos sino tcticos y relacionados con aspectos econmicos, tcnicos, legales y operativos. Se ha considerado que este proceso es obligatorio, aunque el nivel de profundidad con el que se lleve a cabo depender de cada caso. Los resultados del Estudio de Viabilidad del Sistema constituirn la base para tomar la decisin de seguir adelante o abandonar. La solucin obtenida como resultado del estudio puede ser la denicin del proyecto. Para ello, se identican los requisitos que se han de satisfacer y se estudia, si procede, la situacin actual. A partir del estado inicial, la situacin actual y los requisitos planteados, se estudian las alternativas de solucin. Actividades: EVS 1 Establecimiento del alcance del sistema (3.1) EVS 2 Denicin de requisitos del sistema (3.2) EVS 3 Seleccin y aprobacin de la solucin (3.3)

3.1. Establecimiento del alcance del sistema

En esta actividad se estudia el alcance de la necesidad planteada por el cliente o usuario, realizando una descripcin general de la misma. Se determinan los objetivos, se inicia el estudio de los requisitos y se identican las unidades organizativas afectadas estableciendo su estructura.

3.1.1. Estudio de la solicitud

El proyecto en estudio consiste en un hipottico1 edicio de 3 plantas de altura, ms un recibidor en P.B (ver 3.1) al cual se le dotar de una infraestructura de comunicaciones comn.

1 Imagen

obtenida de internet. Cualquier relacin con este documento es mera casualidad.

15

16

3.1. Establecimiento del alcance del sistema

Figura 3.1: Edicio ejemplo

3. Estudio de Viabilidad del Sistema

17

Archivo

Despachos

Aulas

Control acceso

Figura 3.2: Edicio sin conectividad Dado el caracter del proyecto, podemos topar con algn tipo de restriccin econmica, operativa o legal que pueda afectar al sistema. El hardware de comunicaciones puede resultar costoso, se deber valorar en que puntos fortaleceremos la infraestructura con redundacia y en que otros no. Tambin jaremos especial atencin en el cumplimiento de la normativa vigente.

3.1.2. Descripcin de los situacin actual

Nos enfrentamos a la implantacin inicial de un proyecto de comunicaciones, por lo que no existen sistemas de informacin a los cuales afecte el proyecto. La conectividad del edicio es nula. Cada equipo trabaja de manera aislada. Los datos se almacenanan en soporte ptico/magntico.(Ver 3.2) La P.B registra el acceso de manera local. La primera planta es un aula de acceso para formacin y visitantes La segunda planta est dedicada a la actividad/produccin de la empresa. La tercera planta est dedicada al almacenamiento de informacin.

3.2. Denicin de requisitos del sistema

Esta actividad incluye la determinacin de los requisitos generales, mediante una serie de sesiones de trabajo, que hay que planicar y realizar. Una vez nalizadas,

18

3.3. Seleccin y aprobacin de la Solucin

se analiza la informacin obtenida deniendo los requisitos y sus prioridades, que se aaden al catalogo de requisitos que servir para el estudio y valoracin de las distintas alternativas de solucin que se propongan.

3.2.1. Identicacin de Requisitos

Esta es una tarea previa para la obtencin de los requisitos que debe cumplir el Sistema de Informacin. Por medio de sesiones de trabajo con los usuarios participantes y de las necesidades que ha de cubrir el sistema, obtenemos los siguientes prodctos de salida(3.2.2).

3.2.2. Catalogacin de Requisitos

Como hemos dicho anteriormente, de las sesiones de trabajo para la Identicacin de Requisitos (3.2.1), pasamos a denir y catalogar los requisitos que debe satisfacer el sistema. 1. Una de las plantas del edicio se dedicar de manera exclusiva a la actividad de la empresa. Se necesitar conectividad usuario a usuario y usuario a aplicacin, as como acceso a recursos comunes como espacio de almacenamiento compartido y sistemas de impresin. 2. Una de las plantas servir de aula de formacin y acceso de visitantes al edicio. Sus caractersticas preribles sern las de movilidad y rpido acceso. 3. Se requiere control de acceso informatizado (chajes/registro de visitantes) en la P.B. 4. Todas las plantas y equipos tendrn conectividad hacia internet de manera ilimitada. El acceso desde el aula de formacin ser autenticado y controlado2 . 5. El protocolo de comunicacin orientado a conexin. 6. La actividad de la empresa es lo ms importante, se requiere seguridad y abilidad as como de seguridad cara a internet. 7. Los equipos informticos de usuario son PC de escritorio y PC porttil.

3.3. Seleccin y aprobacin de la Solucin

Antes de nalizar el Estudio de Viabilidad del Sistema (3), se debaten las ventajas de cada una de las alternativas incorporando las modicaciones que se consideren oportunas, con el n de seleccionar la ms adecuada. Finalmente, se aprueba la solucin o se determina su inviabilidad. Por tanto, en la siguiente parte (IV) de esta memoria, procederemos al anlisis de la solucin aprobada.

2 Se

aprecia la necesidad de utilizar AAA

Parte IV

Anlisis

19

Captulo 4

Anlisis de la solucin propuesta

El objetivo de este proceso es la obtencin de una especicacin detallada del sistema de informacin que satisfaga las necesidades de los usuarios y sirva de base para el posterior diseo del sistema. En la primera actividad, Denicin del Sistema (4.1), se lleva a cabo la descripcin inicial del proyecto, a partir de los productos generados en el proceso Estudio de Viabilidad del Sistema (3). Se delimita el alcance del sistema, se genera un catlogo de requisitos(4.2.1) generales y se describe el sistema mediante unos modelos iniciales de alto nivel. Tambin se identican los usuarios que participan en el proceso de anlisis, determinando sus perles, responsabilidades y dedicaciones necesarias. As mismo se elabora el plan de trabajo a seguir. La denicin de requisitos del nuevo sistema se realiza principalmente en la actividad Establecimiento de Requisitos (4.2). El objetivo de esta actividad es elaborar un catlogo de requisitos detallado, que permita describir con precisin el sistema, y que adems sirva de base para comprobar que es completa la especicacin. Las tcnicas que ayudan a la recopilacin de esta informacin pueden variar en funcin de las caractersticas del proyecto y los tipos de usuario a entrevistar. Entre ellas podemos citar las reuniones, entrevistas, examenes visuales, etc. A continuacin se identican las facilidades que ha de proporcionar el sistema, y las restricciones a que est sometido en cuanto a rendimiento, seguridad y control de accesos, etc. Toda esta informacin se incorpora al catlogo de requisitos. La participacin activa de los usuarios es una condicin imprescindible para el anlisis, ya que dicha participacin constituye una garanta de que los requisitos identicados son comprendidos e incorporados al sistema y, por tanto, de que ste ser aceptado. Para facilitar la colaboracin de los usuarios, se pueden utilizar tcnicas interactivas, como diseo de dilogos y prototipos, que permiten al usuario familiarizarse con el nuevo sistema y colaborar en la construccin y perfeccionamiento del mismo.

Actividades: ASI 1 Denicin del sistema(4.1) ASI 2 Establecimiento de requisitos(4.2) 21

22

4.1. Denicin del sistema

Internet

Archivo

Despachos

Aulas

Control acceso

Figura 4.1: Esquema lgico de conexin

4.1. Denicin del sistema

Esta actividad tiene como objetivo efectuar una descripcin del sistema, delimitando su alcance, estableciendo las interfaces con otros sistemas e identicando a los usuarios respresentativos. Las tareas de esta actividad se pueden haber desarrollado ya en parte en el proceso Estudio de Viabilidad (3), de modo que se parte de los productos obtenidos en dicho proceso para proceder a su adecuacin como punto de partida para denir el sistema de informacin.

4.1.1. Determinacin del alcance del sistema

Los objetivos del sistema son dotar deinteraccin, comunicacin y publicacin de la informacin gestionada por la empresa. Su objetivo empieza y acaba en la conexin fsica y lgica de los equipos informticos y sistemas de informacin que tratan dicha informacin (ver 4.1). Se garantizar por tanto la conectividad requerida, con la conabilidad y abilidad adecuada. Se denir la instalacin y ubicacin del equipamiento de red necesario.

4.1.2. Identicacin de los usuarios participantes y nales

En esta actividad procedemos a identicar y actualizar los usuarios de la futura de red de datos.

4. Anlisis de la solucin propuesta Identicacin de usuarios: Participantes : 1. Usuario: Empleado Area funcional: Usuario 2. Usuario: Responsable Area funcional: Organizacin 3. Usuario: Administrador de red Area funcional: Organizacin 4. Usuario: Tcnico de red Area funcional: Tcnico 5. Usuario: Tcnico de software Area funcional: Tcnico 6. Usuario: Alumno Area funcional: Usuario 7. Usuario: Visitante Area funcional: Usuario Finales : 1. Usuario: Responsable Area funcional: Organizacin

23

2. Usuario: Empleado Area funcional: Usuario 3. Usuario: Alumno Area funcional: Usuario 4. Usuario: Visitante Area funcional: Usuario

4.2. Establecimiento de requisitos

En esta actividad se lleva a cabo la denicin, anlisis y validacin de los requisitos, completndose el catlogo de requisitos obtenido en la actividad Denicin del Sistema (4.1). El objetivo de esta actividad es obtener un catlogo detallado de los requisitos, a partir del cual se pueda comprobar que los productos generados en las actividades de modelizacin se ajustan a los requisitos de usuario.

4.2.1. Catlogo de requisitos

En esta tarea elaboramos el catlogo de requisitos. 1. Cableado estructurado segn norma vigente. 2. Topologa estrella extendida utilizando tecnologa Ethernet 802.3. 3. Cableado horizontal mnimo UTP cat 5. Cableado backbone1 bra ptica.
1 cableado

vertical,troncal

24

4.2. Establecimiento de requisitos 4. Tecnologa de conexin horizontal mnima 100BaseTX2 Fast Ethernet Full Duplex. Tecnologa de conexin vertical 1000BaseSX Gigabit Ethernet 3 . 5. Switchs en cada planta ejecutando protocolos STP y tal vez VTP 6. Vlans (vlan 300 ocinas, vlan 200 formacion/visitantes, vlan 100 recepcion) 7. Wi 802.11g con WEP de 128 para red local formacin/visitantes y VPN remota contra router para intranet y salida a internet. 8. Servicio de VPN remoto en router con cisco security IOS. Easy VPN 9. Rutas y ACLs en router para DMZ, enrutamiento entre VLANs y acceso a internet. 10. Ubicacin IDF (2a ocinas, 1a formacin, PB ). Ubicacin MDF (3a planta) 11. Enlace WAN (internet) con ISP4 , alquilada. 12. Direccionamiento privado de clase B 172.16.0.0 IPv4 con divisin en subredes. 13. Pool de 7 direcciones IP pblicas para salida a internet y servicios. 14. Asignacin de direcciones IP por protocolo de conguracin dinmico DHCP. Control de acceso.

2 Par

trenzado transmisin en banda base multimodo transmisin en banda base 4 Proveedor de servicios de internet
3 bra

Parte V

Diseo

25

Captulo 5

Diseo LAN
El diseo de una red sigue siendo un tema complicado. Existe una clara tendencia hacia entornos ms complejos compuestos por muchos tipos distintos de medios de transmisin, y la interconexin con redes externas a la propia LAN de la organizacin.Por tanto, resulta fundamental tener todos estos conceptos en la mente. Un diseo cuidadoso de la red puede reducir complicaciones aosciadas con el crecimiento de la misma. Actividades: DISE 1 Diseo topolgico(5.1) DISE 2 Diseo jerarquico por capas(5.2)

5.1. Diseo de la topolgico

Usaremos topologa en estrella extendida utilizando la tecnologa Ethernet 802.3. El cableado fsico seguir la norma TIA/EIA-568-B 1 . Los tendidos horizontales utilizarn un cableado del tipo UTP cat 5e. En el cableado vertical se utilizar bra ptica. Distinguiremos entre MDF2 e IDF3 para la ubicacin de los servidores y la divisin en plantas. Por lo tanto tendremos un IDF por planta (2a ocinas, 1a formacin y planta baja) y el MDF en la tercera planta, donde tendremos los servidores de empresa y de grupo de trabajo. Adems de estos ubicaremos la DMZ4 para los servidores cara a internet, el rewall y el DTE5 para la conexin a internet. La conexin cruzada horizontal a los patch panels del HCC cumplir la tecnologa 100BaseTX Fast Ethernet Full Duplex. Para la conexin VCC cruzada vertical la cual conecta los IDF con los MDF la tecnologa empleada ser 1000BaseSX Gigabit Ethernet Para la conexin WAN a internet, podremos servirnos de cualquier tipo de alquiler de servicio. En principio, si la disponibilidad geogrca lo permite, usariamos una conexin xDSL a travs de la linea telefnica o una conexin coaxial por modem de
de cableado de telecomunicaciones para los edicios comerciales creada por la TEIA/EIA[2] de distribucin principal 3 Armario de distribucin intermedia 4 Zona desmilitarizada 5 Data terminal equipment
2 Armario 1 Norma

27

28

5.2. Diseo jerarquico por capas

cable. Este tipo de conexiones proporcionan conexin permanente. Los servicios ofertados son de anchos de banda diferentes, sobrepasando en algunos casos al ofrecido por una linea compartida T1 o E1.

5.2. Diseo jerarquico por capas

Aplicaremos microsegmentacin medienta switches para mejorar el rendimiento de los grupos de trabajo y del backbone. Crearemos una topologa conmutada redundante para evitar las interrupciones de la red provocadas por un solo punto de error. Esto nos lleva a congurar los switchs con STP6 para mantener una topologa libre de bucles. Los switches Cisco, con los Catalyst 1900 y 2950, usan STP IEEE 802.1d. Utilizaremos la subdivisin en VLAN, para limitar el trco de difusin y proporcionar seguridad. El tipo de VLAN ser esttica, basada en puerto, asignando manualmente los puertos. Elegimos este tipo de VLAN, ya que los movimientos estan controlados y administrados, son seguras, fciles de congurar y sencillas de monitorizar. La subdivisin realizada ser de tres VLANs (100,200,300). La VLAN 100 general ser la utilizada como propsito general y por ende ser la menos segura, se podr utilizar para conectar cualquier equipo nueva a esperas de poder ubicarlo denitivamente. La VLAN 200 formacin estar formada por los puestos del aula de formacin y conexin de los equipos de visitantes o cualquier personal ajeno a la organizacin. La VLAN 300 ocinas ser la encargada de acoger los equipos de la organizacin y el equipo de recepcin ms el sistema de chajes. En principio no vemos necesario la implementacin de VTP, protocolo de trunking entre VLAN, ya que no tenemos un diseo complejo. La conexin en el aula formacin (VLAN 200) se realizar mediante tecnologa inalmbrica 802.11g de 54Mbps,compatible con 802.11b,formando un BSS usando cifrado WEP de 128 bits y SSID secreto. No usaremos 802.11i (WPAv2) ni 802.1x (Radius), ya que transportaremos la seguridad a nivel tres creando un enlace punto a punto mediante un tunel VPN con IPSec de cliente a servidor, la cual nos permitir acceder a la red interna y/o conectividad hacia internet. Determinaremos el direccionamiento IP de la red como direccionamiento privado de clase B, en el rango 172.16.0.0 IPv4 con divisin en subredes. Cogeremos 4 bits a la parte de host(mascara 255.255.240.0) para obtener as 16 subredes y 4096-2 hosts usables. La asignacin de esas direcciones IP las realizaremos mediante el protocolo de conguracin dinmica de hosts DHCP con el cual podremos congurar de forma automtica; direccin IP, mscara de subred, puerta de enlace, DNS, etc. Aadiremos un pequeo nivel de seguridad permitiendo el uso de DHCP a las direcciones MAC previamente registradas. Para la salida a internet utilizaremos un pool de 7 direcciones IP pblicas alquiladas al ISP. Con algunas de ellas realizaremos una traduccin de sobrecarga PAT para los hosts y con otras las asignaremos a traducciones estticas para servidores web o los servidores de empresa que las requieran. Esta conversin PAT podremos realizarla en un Cisco PIX.
6 Protocolo

de rbol de extensin

5. Diseo LAN

29

Como dijimos antes, los usuarios/hosts de la subred VLAN 200, podrn unirse a la red de la empresa y/o salir a internet mediante la creacin de una VPN iniciada por el cliente. Para ello utilizaremos un router con Cisco IOS Firewall con Easy VPN y un cliente Cisco VPN software para los hosts.Para este menester podremos utilizar un router Cisco de la serie 2600. Una red VPN es una conexin cifrada (IPSec) entre redes privadas sobre una red pblica. En nuestro caso la red privada estar formada por un extreno el host remoto que inicia la conexin y por otro la red de la empresa. La red pblica ser la red inalambrica con cifrado WEP, la cual la consideramos insegura. Mediante este diseo podremos dotar de conectividad rpida y sencilla a los visitantes/alumnos y extender el uso de la red hacia la intranet y/o internet de manera controlada mediante conexiones VPN remotas. La conguracin de la DMZ y sus listas de control de acceso, as como los ACLs de la red interna para la salida a internet se realizar mediante Control de acceso basado en el contexto (CBAC). De esta manera examinamos el trco que atraviesa nuestra red para descubrir y administrar la informacin de estado para las sesiones TCP y UDP. Esta informacin de estado se utiliza para crear aperturas temporales en las listas de acceso del router actuando como rewall. De esta manera nos ahorraremos mantener tediosas ACLs extendidas. Finalmente este ser el diseo propuesto (ver 5.1) para la red corporativa, en el cual se han cumplido los objetivos de abilidad, manejabilidad y escalabilidad. No se ha realizado un diseo exhaustivo ya que el tema es excesivamente amplio como para cubrirlo todo en este documento. Detalles como SNMP, switchport security, Pix failover y otros tantos los hemos dejado como mejoras aplicables a la red, aunque no por ello innecesarias.

30

5.2. Diseo jerarquico por capas

Internet

VLAN 300

Verticales Fibra

DMZ

Fast Ethernet

802.11g Fast Ethernet

VLAN 100

VLAN 200

Figura 5.1: Diseo topolgico

Parte VI

Implementacin

31

Captulo 6

Instalacin y conguracin
El objetivo de esta actividad es la conguracin de los componentes del sistema, a partir de las especicaciones de construccin obtenidas en el proceso de diseo. (V). Actividades: IMP 1 Instalacin fsica(6.1) IMP 2 Conguracin de componentes(6.2)

6.1. Instalacin fsica

La instalacin fsica del equipamiento de red se realizar por personal tcnico cualicado. Dicho personal se puede subcontratar. Este no es un aspecto que interese en este documento, ya que el objetivo de este es el del diseo y el anlisis.

6.2. Conguracin de componentes

Pasamos a incorporar algunos recortes de cdigos basicos que describen algunas de las conguraciones. Esto no es un manual, por lo que las conguraciones pueden no estar completas. Implementacin VLANs : Switch#vlan database Switch#vlan 100 Switch#exit ... Switch(config-if)#switchport access vlan 100 Implementacin DHCP en router : Router(config)#ip dhcp pool intranet200 Router(dhcp-config)#network 172.16.1.0 255.255.240.0 Router(dhcp-config)#dns-server 172.16.1.5 Router(dhcp-config)#... Router(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.50 33

34 Implementacin PAT en router :

6.2. Conguracin de componentes

Router(config)#ip nat pool nat-pool-isp 159.160.250.13 159.160.250.16 Router(config)#ip nat inside source list 101 pool nat-pool-isp overload Router(config)#interface e0/2 Router(config-if)#ip nat outside Router(config-if)#interface e0/0 Router(config-if)#ip nat inside Router rewall. DMZ y CBAC : Router(config)#ip inspect name ENTRANTE tcp Router(config)#ip inspect name ENTRANTE udp ... Router(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any Router(config)#access-list 101 deny ip any any ... Router(config)#interface e0/0 Router(config-if)#ip inspect ENTRANTE in Router(config-if)#ip access-group 101 in ... Router(config)#ip inspect name SALIENTE tcp Router(config-if)#access-list 102 permit icmp any host SERVIDORWEB Router(config-if)#access-list 102 permit tcp any host SERVIDORWEB eq www Router(config-if)#access-list 102 deny ip any any ... Router(config)#interface e0/1 Router(config-if)#ip inspect ENTRANTE in Router(config-if)#ip access-group 102 in ... Implementacin VPN en router : Router(config)#aaa new-model Router(config)#aaa authentication login VPNAUTHEN local Router(config)#aaa authorization network VPNAUTHOR local Router(config)#username vpn1 password passwd1 Router(config)#ip local pool IPPOOL 11.0.1.20 11.0.1.70: Router(config)# crypto isakmp policy 3 Router(config-isakmp)# encryption des Router(config-isakmp)# hash md5 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# group 2 Router(config-isakmp)# exit Router(config)#crypto isakmp client configuration group INVITADOS Router(isakmp-group)#key vpngrupopass Router(isakmp-group)#pool IPPOOL Router(isakmp-group)#domain oficina.com Router(isakmp-group)#exit

6. Instalacin y conguracin

35

Router(config)# crypto ipsec transform-set MYSET esp-des esp-md5-hmac Router(cfg-crypto-trans)# exit Router(config)# crypto dynamic-map DYNMAP 10 Router(config-crypto-map)# set transform-set MYSET Router(config-crypto-map)# reverse-route Router(config-crypto-map)# exit Router(config)#crypto map CLIENTMAP client configuration address respond Router(config)#crypto map CLIENTMAP isakmp authorization list VPNAUTHOR Router(config)#crypto map CLIENTMAP client authentication list VPNAUTHEN Router(config)# crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP Router(config)# interface fastEthernet 0/1 Router(config-if)# crypto map CLIENTMAP Router(config-if)# exit Router# show crypto ipsec transform-set

36

6.2. Conguracin de componentes

Parte VII

Conclusin

37

Captulo 7

Conclusin
Disear una red es un gran desafo, el proceso no solo consiste en conectar computadoras. Una red precisa de muchas caractersticas que la hagan able, manejable y escalable. Para lograr estos objetivos, se deben conseguir que los componentes principales de una red tengan requerimientos de diseo diferentes.Si una red no est correctamente diseada, aparecern muchos problemas imprevistos que pueden poner en peligro su crecimiento. Para que una red sea ecaz y sirva a las necesidades de sus usuarios, debe estar diseada e implementada de acuerdo a una serie de pasos sistemticos planicados, entre los que se incluyen los siguientes. Estudio de viabilidad del sistema(ver III) Analisis de la solucin propuesta(ver IV) Diseo de la red(ver V) Implementacin(ver VI) Tras el estudio realizado, podemos garantizar que la solucin adoptada ha sido la mejor entre las muchas posibilidades que nos brindan las redes de hoy en dias. Es decir, utilizando los conocimientos de Ingeniera de las tecnologas de la informacin y comunicacin (TIC) hemos desarrollado la solucin ptima, adecuada a los requerimientos relacionados, tratando de aprovechar de la mejor manera los recursos disponibles teniendo en cuenta la funcionalidad, escalabilidad, adaptabilidad y manejabilidad.

39

40

Parte VIII

Apndice e ndices

41

Apndice A

Nota legal

Reconocimiento-CompartirIgual 2.5 Usted es libre de : copiar, distribuir y comunicar pblicamente la obra hacer obras derivadas hacer un uso comercial de esta obra Bajo las condiciones siguientes : Reconocimiento. Debe reconocer y citar al autor original. Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones reconocidas por ley no se ven afectados por lo anterior Esto es un resumen legible por humanos del texto legal (la licencia completa) 43

44

ndice de guras
3.1. Edicio ejemplo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2. Edicio sin conectividad . . . . . . . . . . . . . . . . . . . . . . . . 4.1. Esquema lgico de conexin . . . . . . . . . . . . . . . . . . . . . . 5.1. Diseo topolgico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 17 22 30

45

46

NDICE DE FIGURAS

Bibliografa
[1] Cisco Press is the Cisco Systems authorized book publisher of Cisco networking technology. www.ciscopress.com [2] Asociacin de la industria de las comunicaciones (TIA) y Asociacin de industrias electrnicas (EIA) www.tiaonline.org [3] Free Software Foundation www.fsf.org [4] Universidad Politcnica de Valencia www.upv.es [5] DIA Herramienta para www.gnome.org/projects/dia/ dibujar diagramas estructurados.

[6] GNU General Public License Licencia creada por la Free Software Foundation y orientada principalmente a los trminos de distribucin, modicacin y uso de software. Su propsito es declarar que el software cubierto por esta licencia es software Libre.GPL
A [7] L TEX is a high-quality typesetting system, with features designed for A the production of technical and scientic documentation. L TEXis the de facto standard for the communication and publication of scientic documents.www.latex-project.org

47