UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4Dicha red informatica debera proveer servicio al total de In empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en Ia ciudad de Buenos Aires, con Ja oficina de ventas situada en la ciudad de Cérdoba, Brindandole una conexién mas rapida y segura, considerando aspectos econdmicos y teenaligicos. Ene presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como Ia definicién de las politicas de scguridad de Ia red para un funcionamicnto flexible y Sptimo. ‘Tras un analisis y estudio de las necesidades particulares de eada caso, se ereara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, eon lo cual logramos asignar automaticamente las direceiones IP a cada uno de los puestos de los usuarios dentro de cada subs Para la sub-red de servidores se les asigna una direceién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el ser jor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriviindola a la red del area de Ventas, Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las imerfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se apticara politicas de control de ancho de banda, por sub-redes © por puesto de trabajo. El control de ancho de banda de los P2P seri aplicado a la red de administracién por politica de la empresa. También el filtrado total de los p2p seri aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario ¢l MSN Live Messenger y se creard un servidor llamado JABBER de mensajeria privada de la empre La instalacién de un Web Pro: ¥y, Se utilizar para la optimizaeién del aneho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las piginas que se hayan visitado. A props: email: vdirienzo@ gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas, Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la desearga desde la Web. Haciendo este proceso mucho mis rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda empresa no (rabaja las 24hs al dia, se dispuso la posil para la red de Administraci6n, en un rango horario determinado, Para ello To. primero que debemos hacer ¢s una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs, Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operative y software del router; cl cual convierte a una PC Intel 6 un Mikrotik RouterBOARD cn un router dedicado, Se toma esta deci nya que estos equipos brindan seguridad, flexibilidad y son muy econémicos lo cual es un gran beneficio para Ia empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara Ia implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@ gmail.com 6Metodologia 2 Estudio Explorat bibliogrsifico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entomo organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables + Las nuevas areas de la empresa + Cantidad de puestos de trabajos # Inlerfaces a ulilizar. © Redes Virtuales Privadas © Servidor de monitoreo SNMP Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER, + Seguridad. + Modelado de colas de trifico, © Trafico cursado, Disefio de Ia implementacién virtualizada de la red, paca la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacién del Mikrotik fueron: © Instalacién Mikrotik * Acceso al Mikrotik email: wdirienzo@ gmail.com© Declarncién de interfaces # Definicién Vlan‘s © Asignacién de direccién ip por interfaces # Asignacién de pools de direeciones ip’s © Configuracién servidor DHCP * Instalacién del servidor y cliente NTP. Servidor VPN © Balanceo de carga * Control de ancho de banda 4 Instalacién servidor SNMP ® Instalacién servidor RADIUS Instalaci6n servidor JABBER * Instalacién servidor PROXY © Configuracién Hotspot. email: wdirienzo@ gmail.comResultado y discusi6n Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software de] router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado, Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy cconémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamajio considerable El RouterOS es un sisterna operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. EI software RourterOS puede ejecutarse desde un disco ID memoria tipo FLASH. Este dispositive se conecta como un disco rigido comin y permite acceder a las avanzadas caracteristicas dle este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado cn el Kernel de Linux y es muy estable, © Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Diseito modular © Médulos actualizables © Interfaz grafica amigable Caracteristicas de ruteo * Politicas de enrutamiento, Ruteo estatico o dinamico, # Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: wdirienzo@ gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web- proxy, DNS. © Gateway de HotSpot. © Lenguaje interno de seripts. Caracteristicas del RouterOS: * Filtrado de paquetes por: ® Origen, IP de destino. * Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). * Puede detectar ataques de denegacién de servicio (DoS) * Permite solamente cierto nimero de paquctes por periado de tiempo. Calidad de servicio (QoS) Tipos de colas * RED * BFIFO © PFIFO * PcQ + Direecién IP de cliente. * Interfase Arboles de colas * Por protocolo.. © Porpuento. email: wdirienzo@ gmail.com 10Por tipo de conexién, Interfases del RouterOS Ethemet 10/100/1000 Mbi Inalambrica (Atheros, Prism, CISCOfAirones) Punto de acceso o modo estacidn/clicnte, WDS. Sincronas: V35, El, Frame Relay. Asincronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (WLAN) Herramientas de manejo de red Ping, traceroute, Medidor de ancho de banda. Contabilizacién de trafico. SNMP. Torch. Sniffer de paquetes. Estas son las principales caraeteristicas del sistema operative y software Mikrotik RouterOS elegido para la implementaci6n de la ted virtualizada. email: wdirienzo@ gmail.com "Estudio descriptivo de la empresa Royaltech Después de haber hecho un analisis exhaustive de la estructura de Royaltech, se pudo diagramar Ia estructura de cémo estaba conformada dicha empresa. Tenemos una sub-red de administracién, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el do trifico de datos hacia la red de Ad i0 problema de que se genera demas racién, lo cual produce congestién y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Ademas pose una impresora en la red del tipo hogarena para que impriman todas las otras sub-redes. Tener una sola npresora le trajo muchos inconvenientes a la empresa debido a que se genetan colas interminables de documentos a imps mir. También, 1a: impresor se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al rea de administracién, Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otta Area, Rotura de mobiliario en la zona en cuesti6n al igual que Ia. falta ‘ada de insumos. Las sub-redes de Ventas y Produceién simplemente poseen pe’s conectadas a través de un switch, Todo este grupo de computadoras acceden al servidor de archivos a1 igual que la impresora a través del router principal. email: wdirienzo@ gmail.com 2LAN RoyalTech El router en cuestidn, no es un router de alta productividad, eon lo cual se generan grandes problemas de congestién, debido a que no puede administrar la gran cantidad y volumen de informacién que transita por la red. Los switch en cada una de las reas son idénticos, Ninguno posee la habilidad de poder administrar sus puertos, al igual que estén imposibilitados de generar vlan 0 cualquier otro tipo de politica que se pueda generar en otro tipo de switch, Debido a esta disposicidn de red y los constantes problemas téenicos que pose, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidiG la reestructuracin de su red para optimizar y mejorar la produccién de la misma y sus recursos humanos. Luego de examinar dicha situaciin se decidié planificar toda una reestructuracién de la red nueva. Lo cual solucionard los problemas de congestion al igual que prover mayor productividad. Lo eual traerd grandes beneficios. email: sdirienzo@ gmail.com 13La nueva red planeada posee dos nuevas sub-redes, una un hotspot y It otra una sub-red de servidores. También en esta nueva reestructuracién se interconectara las oficinas de ventas que estin ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Cérdoba. Asimismo se opto por Ia utilizacién de dos proveedores de Internet distintos, debido a que constantemente poseian problemas de caida del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las offcinas de Cérdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementaci6n sera Mikrotik RouterOs. El router proveera de varios servicios para Ia red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPOE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspat. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, das para eada una de a las sub redes email: xdirienzo@ gmail.com 4El Firewall se utilizara para las siguientes actividades: ¢ Bloqueo del cliente MSN Live Messenger. * Bloqueo P2P para redes Produccién y Ventas. + Rediteecionamiento de puertos. 2 Puerto 80 WEB. © Puerto 110 POP3. © Puerto 25 SMTP. © Puerto 1723 PPTP. * Descartar conexiones invalidas. © Aceptar conexiones establecidas. © Acepia Trafico UDP. ‘© Acepta paquetes de iemp Limitados. Descarta exeesivos paquetes de temp © Descarta el resto de las conexiones externas El servidor PPTP, sera utilizado para interconectar las oficinas de Buenos Aires Cérdoba. El servidor PPPoE seré utilizado para autenticar a los usuarios que se descen loguear desde fuera de la red de produccién, El cliente PPPoE. se utilizara en el caso improbable que las dos otras conexiones a Internet se caigan, Con lo cual se utilizara como ruta alternativa de backup. El modelado de colas se utilizara para asignarle un determinado ancho de banda acada una de las sub redes, Al igual se utilizara el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizara para sincronizar Ia hora de nuestro mikrotik. El servidor NTP se utilizara para que las computadoras de la red estén sincronizadas. email: wdirienzo@ gmail.com 15El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al navegar a través de Internet, Para ello se apliearan las siguientes politicas: * Bloqueo Pornografia = Bloqueo paginas que brinden el servicio de Web Messenger + Bloqueo del Live Messenger A Través del Proxy * Bloqueo de paginas que brinden webmail © Bloqueo desearga directa de archivos MP3 y AVI © Bloqueo desearga directa de archivos RAR, ZIP, EXE Sub-red Administracion Red Administracion Impresora ‘Adcross; 192.168.2124 —_ Network: 192 108.20" Pe Broooonet, 102.168.7255, Rouler Swatch = CBA Administracién Po a Pc File Server Poot Admnissacin Rango: 182 108.25 9 182.108.2254 La nueva restructuracin de Ia sub-red de administracién se dio debido al ato trAfico que tenian entre todas las otras redes. A esta sub-ted se decidié cambiar el switch que poseia para utilizar un switch de alta productividad. email: xdirienzo@ gmail.com 16Nuestra sub-red poscera un pool de impresoras de red para esta sola area, Esto disminuira el tifieo de impresién al igual que el ifieo de personal ajeno a Asimismo se le instalari un servidor de archivos propio de administracién en el cual se encontrar exclusivamente los archivos de dicha aréa. Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Ra 192,168.2.254/24, Se decidié dejar las direcciones desde el 192.168. go de direcciones sera desde 192,168.2.5/24 al 2724 al 192, 168.2.4/24 fuera de este rango para el caso de que se quieran instalar algan otro tipo de servidores en dicha area em un futuro préximo. Los niimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. La red de administracién sera conectada a través del switch al router mediante un backbone de IGbit Ethernet. El cual sera limitado mediante teoria de colas simples a 250M/bits de subida y 300M/bits de bajada, Debido a que dentro del area de administracion se encuentra gerencia, Ia misma autoriz6 1a utilizaciGn de kos P2P para dicha drea, El trafico P2P sera modelado para que no ocupe gran cantidad de ancho de banda, email: vdirienzo@ gmail.com "7‘Sub-red Ventas Red Ventas a Impresora Adoress: 192.168 3.1724 = NNetwerk: 192 268.3" Pe Brooceaet #02. 168 3255 iw “_ ig Router ‘Swatch = CBA Vontas Pe a Pe File Server ool Yona Range: 2108.35 0 192.168.2264 A.esta sub-ted se le decidié cambiar el switch que poseia para utilizar un switch de alta productividad. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira et wafico de impresién al igual que el tifico de personal ajeno a Administraci6n, Asimismo se le instalara un servidor de archivos propio de ventas en el cual se encontrara exclusivamente los archivos de dicha aréa, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Rango de direcciones seri desde 192.168.3.5/24 al 192,168.3.254/24, Se decidid dejar las direcciones desde el 192,168,3.2/24 al 192,168.3.4/24 fuera de este eango para el caso de que se quieran instalar algan otro tipo email: xdirienzo@ gmail.com 18de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante In direceién mac de cada uno, La red de ventas seri conectada a través del switch al router mediante un backbone de IGbit Ethernet, El cual sera limitado mediante teoria de eolas simples a 400MJbits de subida y 300MJbits de bajada. Esta sub-red albergara también las pe’s de la oficina de Buenos Aires, Dicha oficina sera conectada a las oficinas de Cérdoba mediante una VPN. Se utilizari el protocolo PPTP para crear el tinel. Eltrafico de P2P quedara bloqueado absolutamente para esta sub-red. Ya que se prohibis el trafico p2p para esta area, VPN Buenos Aires - Cordoba 1sp.cBa Movifonica Router — aa, isp f ae VPN Router s Firewall cee ream rans En. ISPCBA ias- 192.1886 1/24 Globalphone Router Ht es oT Ventas BsAs Para contra restar la carga hacia Internet desde esta red, se decidié realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traera grandes email: sdirienzo@ gmail.com 19beneficio ya que no desbordara uno solo de los enlaces. Sino todo el irifico generado sera balanceado entre ambas conexiones. Sub-red Produccién Red Produccién Impresora File Server oo! Preceste Range: 192,168.45 4 102.108,4.254 A Ia sub-red de produceién se decidié cambiarle el switch que poseia para utilizar un switch de alta productividad, que nos brinde Ia posibilidad de administrar puertos. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira el trifico de impresién al igual que el trifico de personal ajeno a Administracion. Asimismo se Ie instalara un servidor de archivos propio de produccién en el cual se encontrara exclusivamente los archivos de dicha aréa. email: xdirienzo@ gmail.com 20Los nimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. EI Rango de direceiones seri desde 192.168.4524 al 192.168.4.254/24, Se decidid dejar las direcciones desde el 192,168.4.2/24 al 192,168.4.4/24 fuera de este rango para el caso de que se quieran instalar algun otro tipo de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante Ia direceién mac de cada uno. La red de ventas sera conectada a través del switch al router mediante un backbone de 1Gbit Ethernet. El cual sera limitado mediante teoria de colas simples a 350M/bits de subida y 400M/bits de bajada. Esta sub-red poseera la posibilidad que usuarios que estén en otras areas de la | trifico de P2P quedara bloquendo absolutamente para esta sub-red. Ya que se prohibié el trafico p2p para esta empresa, se puedan conectar a esta sub-red mediante PPPoE. area Sub-red Hotspot Red Hotspot Adsross: 192.108.5:128 eter: $02 108.50 Broodoaet 102 168 8.285, 4 ‘cgreen: 192.168.10:724 Netw: 192.108 100 POA ya Broadcast 12 68 10.288 » Notebook Router Celular Hotspot Acteoon: 192.108.5.524 Gataay 182.1885 1 Natwort 192.188.50 Bromdcoat 192.188.5265 Lact Poo HotSpot Ronges 192.108.1032 0 192.169.10254 email: xdirienzo@ gmail.com aLa red hot spot es una nueva red que se decidié implementar debido a que Ia empresa ahora posee un rea de recreaci6n, La misma red solo poseerd la capacidad de navegar a través de Internet Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. El Rango de direceiones sera desde 192.168.10.2/24 al 192, 168.10,254/24, Para la proteccién de los datos en la seceién wireless se decidié asegurarlos mediante WPA PSK 0 WPA2 PSK. Esto nos dari fiabilidad y seguridad en los mismos. No obstante la seguridad WPAx que se desee implementar, todos los usuarios que se conecten al hotspot deberdn ser autenticados mediante el servidor radius instalado en la granja de servidores. Sub-red Servidores Red Servidores mt Impresora Across: 192 108.1174 2B Newark: 192165 10" Base do Brotceadt 402188 4 256 Datos Rouler Switch Serve CBA Servideres ai SUMP SON Peal Sarvideres Rango:192.108.1.1 8 192.165.1258 email: xdirienzo@ gmail.com 2A la subsred de Servidores se decidié cambiarle el switch que poseia para utilizar un switeh de alta productividad, que nos brinde Ia posibilidad de administrar puertos. Nuestra sub-red poseeri un pool de impresoras de red para esta sola area. Esto disminuiri el wrifico de impresién al igual que el trifieo de personal ajeno a Administraci6n, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, El Rango de direeciones seri desde 192.168.1.524 al 192,168.1.254/24, Los nimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. Asimismo se le instalara un servidor de archivos propio de administracién en el cual se encontrara exclusivamente los archivos de dicha aréa. En esta sub-red se i nticacin de los lara un servidor radius para la au usuarios que se conecten desde el hotspot. El servidor de correo de la empresa se encontrari dentro de esta sub-red. Este servidor se utilizara tamto para correo interno a igual que correo externo, ién de la red, El servidor de SNMP se utilizara para la monitori Disefio de la implementacisn viriualizada de Ja red. Instalacion de Mikrotik RouterOS A continuacién vamos a mostrar paso por paso como se realiza Ia instalacién de Mikrotik sobre una plataforma x86, La plataforma cuenta con 2 placas de red pci que poseen 4 bocas de red gigabyte Ethernet. Utilizaremos 2 bocas para conectamos a dos proveedores de Internet distintos y una tercera para conectarnos a un proveedor de email: vdirienzo@ gmail.com 23ADSL. El resto de las placas se utilizaran para Ia distribucién de nuestra red interna. Utilizaremos la versiGn 2.9.27 Nivel 6 del software Mikrotik Router Os. Booteamas con un CD que contenga la imagen del Mikrotik RouterOs ya quemada, arecera el menia de insta Luego nos acién que nos preguntard que paquetes deseamos instalar. Para desplazarnos por el menii utilizamos las tecla P’ 0 ‘N“o sino las flechas del teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la Barra Espaciador: cién local en Luego presionamos la tecla 1’ para comenzar la inst: nuestra plataforma. Los paquetes seleccionados para nuestra configu cidn son los siguientes: Ce TUL) Ere ee See Te ae oe eae Sirs ety nc Pee ey eset read Tre) seen Poser tists ee Seer ese) eer routing ese iors pm sien ete Perna va rate esr ors ory Cea erred Seen an See * System: Paquete principal que posce los servicios bisicos al igual que Ios drivers basicos. © Ppp: Provee de soporte para PPP, PPTP, LTP, PPPol e ISDN PPP. © Dhep: Servidor y cliente DHCP. * Hotspot: provee de un hot spot © Hotspot-fix: Provee el parche para actualizar el modulo hot spot que tiene problemas en las versién 2.9.2 + Nip: Servidor y cliente NTP. email: wdirienzo@ gmail.com 24© Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4, © Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. 323 © Telephony: Prove soporte para * Ups: provee soporte para UPS APC. © User-manager: Servicio de usuario del RouterOs * Web-Proay: Paguete para realizar un Web Proxy, + wireless-legacy: Provee soporte para placas Cisco Aironet, Prismll, Atheros entre otras. Lugo Ia instalacién nos pregunta si deseamos quedamos con la con anterior, contestamos que no ‘N’. La siguiente pregunta hace referencia a que perderemos todos los datos que se encuentran en el disco fijo le contestamos que si “Y’. wen reise stare ane See ae eS ere continue? tun) A continuaci6n comienza el proceso de particionado y formateado del diseo fijo que es automitico y no nos hace ningin tipo de preguntas. Luego nos dice que presionemos inter” para que el sistema se reinicie. Seguidamente que se reinicia el sistema, nos pregunta si deseamos chequear la superficie del disco fijo le contestamos que si “Y’. Luego comienza la instalacién de los paquetes seleccionados con anterioridad. Al finalizar dicho proceso nos pide que presionemos ‘Enter’ nuevamente para reiniciar el sistema. email: vdirienzo@ gmail.comyear remeron enemies rete eee nie esi eon ese eer tt fener eect ree) ieee nites areca nd ry errr feennted rare ee aon ee ceerectts Con el sistema reinieiado ¢ instalado, la consola nos pide el usuario y contrasefia Por defecto dicho nombre de usuario es: adiain y para la contrasemia se deja el easillero en blanco y se presiona enter A continuacién nos da la bienvenida y nos pregunta si deseamos leer la licencia lo cual contestamos que si “Y’, Pr aaa) Cauacgniasee tes TaD fret iy ete ce q UL ra cee ¢ RRARRR 000 000 crt cr ce ec) fiat CeCe ed Dea ne ne Rc ee email: wdirienzo@ gmail.com 26Luego de haber leido fa liceneia ya nos queda la consol para comenzal 4 configurar nuestro Mikrotik, TEA a eT] Cerner tir tren Cement TGR Ten Rog eee re a MA ee CO eee eR Re ee ee Log are ee eC) Ce ee eC et ee MCS Leg oC eas ee ee \reenent is Se CR eC ae es ae eso See OE aT Ms el eae ee point 12 of this docunent that is r Cleese sets Caer er ee em tes Ca ae rl Pea iri tee a raed eee eee res Prats serena Cae eaeetea : Cnn Logueo al Mikrotik Hay varias maneras para acceder a la administracién del Mikrotik sin haber configurado nada en un principio. La primera ¢s directamente desde la consola finalizada 1a instalacién, otro método es utilizando una consola Telnet a través del el puerto serie o Ethernet por mac © ip, sino mediante Ia utilizacién del software winbox, el cual lo brinda los desarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacién de winbox respecto a los otros métodos, éste ser la manera con Ia cual realizaremos 1a configuracién de la red. email: wdirienzo@ gmail.com 7Desde una PC remota con Windows xp instalado. Conectados mediante un cable cruzado al Mikrotik al puerto Ethernet. Hacemos correr el soft Winbox, el cual nos brindara una ventana para loguearse al Mikrotik. iat adn 7 Keep Pereword I Secse Mode 1 Loed Previous Seivon Took. Note: [MikroT ie En esta ventana nos deja introdueir las direcciones Mac 0 ip de la placa del Mikrotik a 1a cual estamos conectados. Debido a que no hemos configurado el Mikrotik desde la consola Hacemos clic en (...) esto hara que el software nos devuelva las direeciones Mac de las interfases de red que posean un Mikrotik instalado y cortiendo. Seleccionamos la interfase y luego utilizaremos de Login: admin y como Password: alizar esta carga de datos hacemos elie en Connect. (nada). Al Luego cuando el soft se conecta al Mikrotik automaticamente empieza a descargar los plugins instalados en el Mikrotik para poder administrarlos remotamente. iene) Diode lapis on 09.7 COFE FA an Eutaeine lat: 2c (PEA GDH of 131760 Hb copied) Tienes, 2eG24ho/see email: sdirienzo@ gmail.com 28UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4Dicha red informatica debera proveer servicio al total de In empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en Ia ciudad de Buenos Aires, con Ja oficina de ventas situada en la ciudad de Cérdoba, Brindandole una conexién mas rapida y segura, considerando aspectos econdmicos y teenaligicos. Ene presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como Ia definicién de las politicas de scguridad de Ia red para un funcionamicnto flexible y Sptimo. ‘Tras un analisis y estudio de las necesidades particulares de eada caso, se ereara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, eon lo cual logramos asignar automaticamente las direceiones IP a cada uno de los puestos de los usuarios dentro de cada subs Para la sub-red de servidores se les asigna una direceién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el ser jor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriviindola a la red del area de Ventas, Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las imerfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se apticara politicas de control de ancho de banda, por sub-redes © por puesto de trabajo. El control de ancho de banda de los P2P seri aplicado a la red de administracién por politica de la empresa. También el filtrado total de los p2p seri aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario ¢l MSN Live Messenger y se creard un servidor llamado JABBER de mensajeria privada de la empre La instalacién de un Web Pro: ¥y, Se utilizar para la optimizaeién del aneho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las piginas que se hayan visitado. A props: email: vdirienzo@ gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas, Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la desearga desde la Web. Haciendo este proceso mucho mis rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda empresa no (rabaja las 24hs al dia, se dispuso la posil para la red de Administraci6n, en un rango horario determinado, Para ello To. primero que debemos hacer ¢s una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs, Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operative y software del router; cl cual convierte a una PC Intel 6 un Mikrotik RouterBOARD cn un router dedicado, Se toma esta deci nya que estos equipos brindan seguridad, flexibilidad y son muy econémicos lo cual es un gran beneficio para Ia empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara Ia implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@ gmail.com 6Metodologia 2 Estudio Explorat bibliogrsifico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entomo organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables + Las nuevas areas de la empresa + Cantidad de puestos de trabajos # Inlerfaces a ulilizar. © Redes Virtuales Privadas © Servidor de monitoreo SNMP Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER, + Seguridad. + Modelado de colas de trifico, © Trafico cursado, Disefio de Ia implementacién virtualizada de la red, paca la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacién del Mikrotik fueron: © Instalacién Mikrotik * Acceso al Mikrotik email: wdirienzo@ gmail.com© Declarncién de interfaces # Definicién Vlan‘s © Asignacién de direccién ip por interfaces # Asignacién de pools de direeciones ip’s © Configuracién servidor DHCP * Instalacién del servidor y cliente NTP. Servidor VPN © Balanceo de carga * Control de ancho de banda 4 Instalacién servidor SNMP ® Instalacién servidor RADIUS Instalaci6n servidor JABBER * Instalacién servidor PROXY © Configuracién Hotspot. email: wdirienzo@ gmail.comResultado y discusi6n Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software de] router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado, Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy cconémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamajio considerable El RouterOS es un sisterna operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. EI software RourterOS puede ejecutarse desde un disco ID memoria tipo FLASH. Este dispositive se conecta como un disco rigido comin y permite acceder a las avanzadas caracteristicas dle este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado cn el Kernel de Linux y es muy estable, © Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Diseito modular © Médulos actualizables © Interfaz grafica amigable Caracteristicas de ruteo * Politicas de enrutamiento, Ruteo estatico o dinamico, # Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: wdirienzo@ gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web- proxy, DNS. © Gateway de HotSpot. © Lenguaje interno de seripts. Caracteristicas del RouterOS: * Filtrado de paquetes por: ® Origen, IP de destino. * Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). * Puede detectar ataques de denegacién de servicio (DoS) * Permite solamente cierto nimero de paquctes por periado de tiempo. Calidad de servicio (QoS) Tipos de colas * RED * BFIFO © PFIFO * PcQ + Direecién IP de cliente. * Interfase Arboles de colas * Por protocolo.. © Porpuento. email: wdirienzo@ gmail.com 10Por tipo de conexién, Interfases del RouterOS Ethemet 10/100/1000 Mbi Inalambrica (Atheros, Prism, CISCOfAirones) Punto de acceso o modo estacidn/clicnte, WDS. Sincronas: V35, El, Frame Relay. Asincronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (WLAN) Herramientas de manejo de red Ping, traceroute, Medidor de ancho de banda. Contabilizacién de trafico. SNMP. Torch. Sniffer de paquetes. Estas son las principales caraeteristicas del sistema operative y software Mikrotik RouterOS elegido para la implementaci6n de la ted virtualizada. email: wdirienzo@ gmail.com "Estudio descriptivo de la empresa Royaltech Después de haber hecho un analisis exhaustive de la estructura de Royaltech, se pudo diagramar Ia estructura de cémo estaba conformada dicha empresa. Tenemos una sub-red de administracién, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el do trifico de datos hacia la red de Ad i0 problema de que se genera demas racién, lo cual produce congestién y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Ademas pose una impresora en la red del tipo hogarena para que impriman todas las otras sub-redes. Tener una sola npresora le trajo muchos inconvenientes a la empresa debido a que se genetan colas interminables de documentos a imps mir. También, 1a: impresor se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al rea de administracién, Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otta Area, Rotura de mobiliario en la zona en cuesti6n al igual que Ia. falta ‘ada de insumos. Las sub-redes de Ventas y Produceién simplemente poseen pe’s conectadas a través de un switch, Todo este grupo de computadoras acceden al servidor de archivos a1 igual que la impresora a través del router principal. email: wdirienzo@ gmail.com 2LAN RoyalTech El router en cuestidn, no es un router de alta productividad, eon lo cual se generan grandes problemas de congestién, debido a que no puede administrar la gran cantidad y volumen de informacién que transita por la red. Los switch en cada una de las reas son idénticos, Ninguno posee la habilidad de poder administrar sus puertos, al igual que estén imposibilitados de generar vlan 0 cualquier otro tipo de politica que se pueda generar en otro tipo de switch, Debido a esta disposicidn de red y los constantes problemas téenicos que pose, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidiG la reestructuracin de su red para optimizar y mejorar la produccién de la misma y sus recursos humanos. Luego de examinar dicha situaciin se decidié planificar toda una reestructuracién de la red nueva. Lo cual solucionard los problemas de congestion al igual que prover mayor productividad. Lo eual traerd grandes beneficios. email: sdirienzo@ gmail.com 13La nueva red planeada posee dos nuevas sub-redes, una un hotspot y It otra una sub-red de servidores. También en esta nueva reestructuracién se interconectara las oficinas de ventas que estin ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Cérdoba. Asimismo se opto por Ia utilizacién de dos proveedores de Internet distintos, debido a que constantemente poseian problemas de caida del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las offcinas de Cérdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementaci6n sera Mikrotik RouterOs. El router proveera de varios servicios para Ia red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPOE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspat. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, das para eada una de a las sub redes email: xdirienzo@ gmail.com 4El Firewall se utilizara para las siguientes actividades: ¢ Bloqueo del cliente MSN Live Messenger. * Bloqueo P2P para redes Produccién y Ventas. + Rediteecionamiento de puertos. 2 Puerto 80 WEB. © Puerto 110 POP3. © Puerto 25 SMTP. © Puerto 1723 PPTP. * Descartar conexiones invalidas. © Aceptar conexiones establecidas. © Acepia Trafico UDP. ‘© Acepta paquetes de iemp Limitados. Descarta exeesivos paquetes de temp © Descarta el resto de las conexiones externas El servidor PPTP, sera utilizado para interconectar las oficinas de Buenos Aires Cérdoba. El servidor PPPoE seré utilizado para autenticar a los usuarios que se descen loguear desde fuera de la red de produccién, El cliente PPPoE. se utilizara en el caso improbable que las dos otras conexiones a Internet se caigan, Con lo cual se utilizara como ruta alternativa de backup. El modelado de colas se utilizara para asignarle un determinado ancho de banda acada una de las sub redes, Al igual se utilizara el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizara para sincronizar Ia hora de nuestro mikrotik. El servidor NTP se utilizara para que las computadoras de la red estén sincronizadas. email: wdirienzo@ gmail.com 15El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al navegar a través de Internet, Para ello se apliearan las siguientes politicas: * Bloqueo Pornografia = Bloqueo paginas que brinden el servicio de Web Messenger + Bloqueo del Live Messenger A Través del Proxy * Bloqueo de paginas que brinden webmail © Bloqueo desearga directa de archivos MP3 y AVI © Bloqueo desearga directa de archivos RAR, ZIP, EXE Sub-red Administracion Red Administracion Impresora ‘Adcross; 192.168.2124 —_ Network: 192 108.20" Pe Broooonet, 102.168.7255, Rouler Swatch = CBA Administracién Po a Pc File Server Poot Admnissacin Rango: 182 108.25 9 182.108.2254 La nueva restructuracin de Ia sub-red de administracién se dio debido al ato trAfico que tenian entre todas las otras redes. A esta sub-ted se decidié cambiar el switch que poseia para utilizar un switch de alta productividad. email: xdirienzo@ gmail.com 16Nuestra sub-red poscera un pool de impresoras de red para esta sola area, Esto disminuira el tifieo de impresién al igual que el ifieo de personal ajeno a Asimismo se le instalari un servidor de archivos propio de administracién en el cual se encontrar exclusivamente los archivos de dicha aréa. Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Ra 192,168.2.254/24, Se decidié dejar las direcciones desde el 192.168. go de direcciones sera desde 192,168.2.5/24 al 2724 al 192, 168.2.4/24 fuera de este rango para el caso de que se quieran instalar algan otro tipo de servidores en dicha area em un futuro préximo. Los niimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. La red de administracién sera conectada a través del switch al router mediante un backbone de IGbit Ethernet. El cual sera limitado mediante teoria de colas simples a 250M/bits de subida y 300M/bits de bajada, Debido a que dentro del area de administracion se encuentra gerencia, Ia misma autoriz6 1a utilizaciGn de kos P2P para dicha drea, El trafico P2P sera modelado para que no ocupe gran cantidad de ancho de banda, email: vdirienzo@ gmail.com "7‘Sub-red Ventas Red Ventas a Impresora Adoress: 192.168 3.1724 = NNetwerk: 192 268.3" Pe Brooceaet #02. 168 3255 iw “_ ig Router ‘Swatch = CBA Vontas Pe a Pe File Server ool Yona Range: 2108.35 0 192.168.2264 A.esta sub-ted se le decidié cambiar el switch que poseia para utilizar un switch de alta productividad. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira et wafico de impresién al igual que el tifico de personal ajeno a Administraci6n, Asimismo se le instalara un servidor de archivos propio de ventas en el cual se encontrara exclusivamente los archivos de dicha aréa, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Rango de direcciones seri desde 192.168.3.5/24 al 192,168.3.254/24, Se decidid dejar las direcciones desde el 192,168,3.2/24 al 192,168.3.4/24 fuera de este eango para el caso de que se quieran instalar algan otro tipo email: xdirienzo@ gmail.com 18de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante In direceién mac de cada uno, La red de ventas seri conectada a través del switch al router mediante un backbone de IGbit Ethernet, El cual sera limitado mediante teoria de eolas simples a 400MJbits de subida y 300MJbits de bajada. Esta sub-red albergara también las pe’s de la oficina de Buenos Aires, Dicha oficina sera conectada a las oficinas de Cérdoba mediante una VPN. Se utilizari el protocolo PPTP para crear el tinel. Eltrafico de P2P quedara bloqueado absolutamente para esta sub-red. Ya que se prohibis el trafico p2p para esta area, VPN Buenos Aires - Cordoba 1sp.cBa Movifonica Router — aa, isp f ae VPN Router s Firewall cee ream rans En. ISPCBA ias- 192.1886 1/24 Globalphone Router Ht es oT Ventas BsAs Para contra restar la carga hacia Internet desde esta red, se decidié realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traera grandes email: sdirienzo@ gmail.com 19UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4Dicha red informatica debera proveer servicio al total de In empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en Ia ciudad de Buenos Aires, con Ja oficina de ventas situada en la ciudad de Cérdoba, Brindandole una conexién mas rapida y segura, considerando aspectos econdmicos y teenaligicos. Ene presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como Ia definicién de las politicas de scguridad de Ia red para un funcionamicnto flexible y Sptimo. ‘Tras un analisis y estudio de las necesidades particulares de eada caso, se ereara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, eon lo cual logramos asignar automaticamente las direceiones IP a cada uno de los puestos de los usuarios dentro de cada subs Para la sub-red de servidores se les asigna una direceién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el ser jor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriviindola a la red del area de Ventas, Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las imerfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se apticara politicas de control de ancho de banda, por sub-redes © por puesto de trabajo. El control de ancho de banda de los P2P seri aplicado a la red de administracién por politica de la empresa. También el filtrado total de los p2p seri aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario ¢l MSN Live Messenger y se creard un servidor llamado JABBER de mensajeria privada de la empre La instalacién de un Web Pro: ¥y, Se utilizar para la optimizaeién del aneho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las piginas que se hayan visitado. A props: email: vdirienzo@ gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas, Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la desearga desde la Web. Haciendo este proceso mucho mis rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda empresa no (rabaja las 24hs al dia, se dispuso la posil para la red de Administraci6n, en un rango horario determinado, Para ello To. primero que debemos hacer ¢s una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs, Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operative y software del router; cl cual convierte a una PC Intel 6 un Mikrotik RouterBOARD cn un router dedicado, Se toma esta deci nya que estos equipos brindan seguridad, flexibilidad y son muy econémicos lo cual es un gran beneficio para Ia empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara Ia implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@ gmail.com 6Metodologia 2 Estudio Explorat bibliogrsifico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entomo organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables + Las nuevas areas de la empresa + Cantidad de puestos de trabajos # Inlerfaces a ulilizar. © Redes Virtuales Privadas © Servidor de monitoreo SNMP Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER, + Seguridad. + Modelado de colas de trifico, © Trafico cursado, Disefio de Ia implementacién virtualizada de la red, paca la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacién del Mikrotik fueron: © Instalacién Mikrotik * Acceso al Mikrotik email: wdirienzo@ gmail.com© Declarncién de interfaces # Definicién Vlan‘s © Asignacién de direccién ip por interfaces # Asignacién de pools de direeciones ip’s © Configuracién servidor DHCP * Instalacién del servidor y cliente NTP. Servidor VPN © Balanceo de carga * Control de ancho de banda 4 Instalacién servidor SNMP ® Instalacién servidor RADIUS Instalaci6n servidor JABBER * Instalacién servidor PROXY © Configuracién Hotspot. email: wdirienzo@ gmail.comResultado y discusi6n Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software de] router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado, Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy cconémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamajio considerable El RouterOS es un sisterna operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. EI software RourterOS puede ejecutarse desde un disco ID memoria tipo FLASH. Este dispositive se conecta como un disco rigido comin y permite acceder a las avanzadas caracteristicas dle este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado cn el Kernel de Linux y es muy estable, © Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Diseito modular © Médulos actualizables © Interfaz grafica amigable Caracteristicas de ruteo * Politicas de enrutamiento, Ruteo estatico o dinamico, # Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: wdirienzo@ gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web- proxy, DNS. © Gateway de HotSpot. © Lenguaje interno de seripts. Caracteristicas del RouterOS: * Filtrado de paquetes por: ® Origen, IP de destino. * Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). * Puede detectar ataques de denegacién de servicio (DoS) * Permite solamente cierto nimero de paquctes por periado de tiempo. Calidad de servicio (QoS) Tipos de colas * RED * BFIFO © PFIFO * PcQ + Direecién IP de cliente. * Interfase Arboles de colas * Por protocolo.. © Porpuento. email: wdirienzo@ gmail.com 10Por tipo de conexién, Interfases del RouterOS Ethemet 10/100/1000 Mbi Inalambrica (Atheros, Prism, CISCOfAirones) Punto de acceso o modo estacidn/clicnte, WDS. Sincronas: V35, El, Frame Relay. Asincronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (WLAN) Herramientas de manejo de red Ping, traceroute, Medidor de ancho de banda. Contabilizacién de trafico. SNMP. Torch. Sniffer de paquetes. Estas son las principales caraeteristicas del sistema operative y software Mikrotik RouterOS elegido para la implementaci6n de la ted virtualizada. email: wdirienzo@ gmail.com "Estudio descriptivo de la empresa Royaltech Después de haber hecho un analisis exhaustive de la estructura de Royaltech, se pudo diagramar Ia estructura de cémo estaba conformada dicha empresa. Tenemos una sub-red de administracién, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el do trifico de datos hacia la red de Ad i0 problema de que se genera demas racién, lo cual produce congestién y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Ademas pose una impresora en la red del tipo hogarena para que impriman todas las otras sub-redes. Tener una sola npresora le trajo muchos inconvenientes a la empresa debido a que se genetan colas interminables de documentos a imps mir. También, 1a: impresor se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al rea de administracién, Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otta Area, Rotura de mobiliario en la zona en cuesti6n al igual que Ia. falta ‘ada de insumos. Las sub-redes de Ventas y Produceién simplemente poseen pe’s conectadas a través de un switch, Todo este grupo de computadoras acceden al servidor de archivos a1 igual que la impresora a través del router principal. email: wdirienzo@ gmail.com 2LAN RoyalTech El router en cuestidn, no es un router de alta productividad, eon lo cual se generan grandes problemas de congestién, debido a que no puede administrar la gran cantidad y volumen de informacién que transita por la red. Los switch en cada una de las reas son idénticos, Ninguno posee la habilidad de poder administrar sus puertos, al igual que estén imposibilitados de generar vlan 0 cualquier otro tipo de politica que se pueda generar en otro tipo de switch, Debido a esta disposicidn de red y los constantes problemas téenicos que pose, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidiG la reestructuracin de su red para optimizar y mejorar la produccién de la misma y sus recursos humanos. Luego de examinar dicha situaciin se decidié planificar toda una reestructuracién de la red nueva. Lo cual solucionard los problemas de congestion al igual que prover mayor productividad. Lo eual traerd grandes beneficios. email: sdirienzo@ gmail.com 13La nueva red planeada posee dos nuevas sub-redes, una un hotspot y It otra una sub-red de servidores. También en esta nueva reestructuracién se interconectara las oficinas de ventas que estin ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Cérdoba. Asimismo se opto por Ia utilizacién de dos proveedores de Internet distintos, debido a que constantemente poseian problemas de caida del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las offcinas de Cérdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementaci6n sera Mikrotik RouterOs. El router proveera de varios servicios para Ia red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPOE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspat. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, das para eada una de a las sub redes email: xdirienzo@ gmail.com 4El Firewall se utilizara para las siguientes actividades: ¢ Bloqueo del cliente MSN Live Messenger. * Bloqueo P2P para redes Produccién y Ventas. + Rediteecionamiento de puertos. 2 Puerto 80 WEB. © Puerto 110 POP3. © Puerto 25 SMTP. © Puerto 1723 PPTP. * Descartar conexiones invalidas. © Aceptar conexiones establecidas. © Acepia Trafico UDP. ‘© Acepta paquetes de iemp Limitados. Descarta exeesivos paquetes de temp © Descarta el resto de las conexiones externas El servidor PPTP, sera utilizado para interconectar las oficinas de Buenos Aires Cérdoba. El servidor PPPoE seré utilizado para autenticar a los usuarios que se descen loguear desde fuera de la red de produccién, El cliente PPPoE. se utilizara en el caso improbable que las dos otras conexiones a Internet se caigan, Con lo cual se utilizara como ruta alternativa de backup. El modelado de colas se utilizara para asignarle un determinado ancho de banda acada una de las sub redes, Al igual se utilizara el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizara para sincronizar Ia hora de nuestro mikrotik. El servidor NTP se utilizara para que las computadoras de la red estén sincronizadas. email: wdirienzo@ gmail.com 15El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al navegar a través de Internet, Para ello se apliearan las siguientes politicas: * Bloqueo Pornografia = Bloqueo paginas que brinden el servicio de Web Messenger + Bloqueo del Live Messenger A Través del Proxy * Bloqueo de paginas que brinden webmail © Bloqueo desearga directa de archivos MP3 y AVI © Bloqueo desearga directa de archivos RAR, ZIP, EXE Sub-red Administracion Red Administracion Impresora ‘Adcross; 192.168.2124 —_ Network: 192 108.20" Pe Broooonet, 102.168.7255, Rouler Swatch = CBA Administracién Po a Pc File Server Poot Admnissacin Rango: 182 108.25 9 182.108.2254 La nueva restructuracin de Ia sub-red de administracién se dio debido al ato trAfico que tenian entre todas las otras redes. A esta sub-ted se decidié cambiar el switch que poseia para utilizar un switch de alta productividad. email: xdirienzo@ gmail.com 16Nuestra sub-red poscera un pool de impresoras de red para esta sola area, Esto disminuira el tifieo de impresién al igual que el ifieo de personal ajeno a Asimismo se le instalari un servidor de archivos propio de administracién en el cual se encontrar exclusivamente los archivos de dicha aréa. Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Ra 192,168.2.254/24, Se decidié dejar las direcciones desde el 192.168. go de direcciones sera desde 192,168.2.5/24 al 2724 al 192, 168.2.4/24 fuera de este rango para el caso de que se quieran instalar algan otro tipo de servidores en dicha area em un futuro préximo. Los niimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. La red de administracién sera conectada a través del switch al router mediante un backbone de IGbit Ethernet. El cual sera limitado mediante teoria de colas simples a 250M/bits de subida y 300M/bits de bajada, Debido a que dentro del area de administracion se encuentra gerencia, Ia misma autoriz6 1a utilizaciGn de kos P2P para dicha drea, El trafico P2P sera modelado para que no ocupe gran cantidad de ancho de banda, email: vdirienzo@ gmail.com "7‘Sub-red Ventas Red Ventas a Impresora Adoress: 192.168 3.1724 = NNetwerk: 192 268.3" Pe Brooceaet #02. 168 3255 iw “_ ig Router ‘Swatch = CBA Vontas Pe a Pe File Server ool Yona Range: 2108.35 0 192.168.2264 A.esta sub-ted se le decidié cambiar el switch que poseia para utilizar un switch de alta productividad. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira et wafico de impresién al igual que el tifico de personal ajeno a Administraci6n, Asimismo se le instalara un servidor de archivos propio de ventas en el cual se encontrara exclusivamente los archivos de dicha aréa, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Rango de direcciones seri desde 192.168.3.5/24 al 192,168.3.254/24, Se decidid dejar las direcciones desde el 192,168,3.2/24 al 192,168.3.4/24 fuera de este eango para el caso de que se quieran instalar algan otro tipo email: xdirienzo@ gmail.com 18de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante In direceién mac de cada uno, La red de ventas seri conectada a través del switch al router mediante un backbone de IGbit Ethernet, El cual sera limitado mediante teoria de eolas simples a 400MJbits de subida y 300MJbits de bajada. Esta sub-red albergara también las pe’s de la oficina de Buenos Aires, Dicha oficina sera conectada a las oficinas de Cérdoba mediante una VPN. Se utilizari el protocolo PPTP para crear el tinel. Eltrafico de P2P quedara bloqueado absolutamente para esta sub-red. Ya que se prohibis el trafico p2p para esta area, VPN Buenos Aires - Cordoba 1sp.cBa Movifonica Router — aa, isp f ae VPN Router s Firewall cee ream rans En. ISPCBA ias- 192.1886 1/24 Globalphone Router Ht es oT Ventas BsAs Para contra restar la carga hacia Internet desde esta red, se decidié realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traera grandes email: sdirienzo@ gmail.com 19beneficio ya que no desbordara uno solo de los enlaces. Sino todo el irifico generado sera balanceado entre ambas conexiones. Sub-red Produccién Red Produccién Impresora File Server oo! Preceste Range: 192,168.45 4 102.108,4.254 A Ia sub-red de produceién se decidié cambiarle el switch que poseia para utilizar un switch de alta productividad, que nos brinde Ia posibilidad de administrar puertos. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira el trifico de impresién al igual que el trifico de personal ajeno a Administracion. Asimismo se Ie instalara un servidor de archivos propio de produccién en el cual se encontrara exclusivamente los archivos de dicha aréa. email: xdirienzo@ gmail.com 20Los nimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. EI Rango de direceiones seri desde 192.168.4524 al 192.168.4.254/24, Se decidid dejar las direcciones desde el 192,168.4.2/24 al 192,168.4.4/24 fuera de este rango para el caso de que se quieran instalar algun otro tipo de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante Ia direceién mac de cada uno. La red de ventas sera conectada a través del switch al router mediante un backbone de 1Gbit Ethernet. El cual sera limitado mediante teoria de colas simples a 350M/bits de subida y 400M/bits de bajada. Esta sub-red poseera la posibilidad que usuarios que estén en otras areas de la | trifico de P2P quedara bloquendo absolutamente para esta sub-red. Ya que se prohibié el trafico p2p para esta empresa, se puedan conectar a esta sub-red mediante PPPoE. area Sub-red Hotspot Red Hotspot Adsross: 192.108.5:128 eter: $02 108.50 Broodoaet 102 168 8.285, 4 ‘cgreen: 192.168.10:724 Netw: 192.108 100 POA ya Broadcast 12 68 10.288 » Notebook Router Celular Hotspot Acteoon: 192.108.5.524 Gataay 182.1885 1 Natwort 192.188.50 Bromdcoat 192.188.5265 Lact Poo HotSpot Ronges 192.108.1032 0 192.169.10254 email: xdirienzo@ gmail.com aLa red hot spot es una nueva red que se decidié implementar debido a que Ia empresa ahora posee un rea de recreaci6n, La misma red solo poseerd la capacidad de navegar a través de Internet Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. El Rango de direceiones sera desde 192.168.10.2/24 al 192, 168.10,254/24, Para la proteccién de los datos en la seceién wireless se decidié asegurarlos mediante WPA PSK 0 WPA2 PSK. Esto nos dari fiabilidad y seguridad en los mismos. No obstante la seguridad WPAx que se desee implementar, todos los usuarios que se conecten al hotspot deberdn ser autenticados mediante el servidor radius instalado en la granja de servidores. Sub-red Servidores Red Servidores mt Impresora Across: 192 108.1174 2B Newark: 192165 10" Base do Brotceadt 402188 4 256 Datos Rouler Switch Serve CBA Servideres ai SUMP SON Peal Sarvideres Rango:192.108.1.1 8 192.165.1258 email: xdirienzo@ gmail.com 2A la subsred de Servidores se decidié cambiarle el switch que poseia para utilizar un switeh de alta productividad, que nos brinde Ia posibilidad de administrar puertos. Nuestra sub-red poseeri un pool de impresoras de red para esta sola area. Esto disminuiri el wrifico de impresién al igual que el trifieo de personal ajeno a Administraci6n, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, El Rango de direeciones seri desde 192.168.1.524 al 192,168.1.254/24, Los nimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. Asimismo se le instalara un servidor de archivos propio de administracién en el cual se encontrara exclusivamente los archivos de dicha aréa. En esta sub-red se i nticacin de los lara un servidor radius para la au usuarios que se conecten desde el hotspot. El servidor de correo de la empresa se encontrari dentro de esta sub-red. Este servidor se utilizara tamto para correo interno a igual que correo externo, ién de la red, El servidor de SNMP se utilizara para la monitori Disefio de la implementacisn viriualizada de Ja red. Instalacion de Mikrotik RouterOS A continuacién vamos a mostrar paso por paso como se realiza Ia instalacién de Mikrotik sobre una plataforma x86, La plataforma cuenta con 2 placas de red pci que poseen 4 bocas de red gigabyte Ethernet. Utilizaremos 2 bocas para conectamos a dos proveedores de Internet distintos y una tercera para conectarnos a un proveedor de email: vdirienzo@ gmail.com 23ADSL. El resto de las placas se utilizaran para Ia distribucién de nuestra red interna. Utilizaremos la versiGn 2.9.27 Nivel 6 del software Mikrotik Router Os. Booteamas con un CD que contenga la imagen del Mikrotik RouterOs ya quemada, arecera el menia de insta Luego nos acién que nos preguntard que paquetes deseamos instalar. Para desplazarnos por el menii utilizamos las tecla P’ 0 ‘N“o sino las flechas del teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la Barra Espaciador: cién local en Luego presionamos la tecla 1’ para comenzar la inst: nuestra plataforma. Los paquetes seleccionados para nuestra configu cidn son los siguientes: Ce TUL) Ere ee See Te ae oe eae Sirs ety nc Pee ey eset read Tre) seen Poser tists ee Seer ese) eer routing ese iors pm sien ete Perna va rate esr ors ory Cea erred Seen an See * System: Paquete principal que posce los servicios bisicos al igual que Ios drivers basicos. © Ppp: Provee de soporte para PPP, PPTP, LTP, PPPol e ISDN PPP. © Dhep: Servidor y cliente DHCP. * Hotspot: provee de un hot spot © Hotspot-fix: Provee el parche para actualizar el modulo hot spot que tiene problemas en las versién 2.9.2 + Nip: Servidor y cliente NTP. email: wdirienzo@ gmail.com 24© Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4, © Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. 323 © Telephony: Prove soporte para * Ups: provee soporte para UPS APC. © User-manager: Servicio de usuario del RouterOs * Web-Proay: Paguete para realizar un Web Proxy, + wireless-legacy: Provee soporte para placas Cisco Aironet, Prismll, Atheros entre otras. Lugo Ia instalacién nos pregunta si deseamos quedamos con la con anterior, contestamos que no ‘N’. La siguiente pregunta hace referencia a que perderemos todos los datos que se encuentran en el disco fijo le contestamos que si “Y’. wen reise stare ane See ae eS ere continue? tun) A continuaci6n comienza el proceso de particionado y formateado del diseo fijo que es automitico y no nos hace ningin tipo de preguntas. Luego nos dice que presionemos inter” para que el sistema se reinicie. Seguidamente que se reinicia el sistema, nos pregunta si deseamos chequear la superficie del disco fijo le contestamos que si “Y’. Luego comienza la instalacién de los paquetes seleccionados con anterioridad. Al finalizar dicho proceso nos pide que presionemos ‘Enter’ nuevamente para reiniciar el sistema. email: vdirienzo@ gmail.comyear remeron enemies rete eee nie esi eon ese eer tt fener eect ree) ieee nites areca nd ry errr feennted rare ee aon ee ceerectts Con el sistema reinieiado ¢ instalado, la consola nos pide el usuario y contrasefia Por defecto dicho nombre de usuario es: adiain y para la contrasemia se deja el easillero en blanco y se presiona enter A continuacién nos da la bienvenida y nos pregunta si deseamos leer la licencia lo cual contestamos que si “Y’, Pr aaa) Cauacgniasee tes TaD fret iy ete ce q UL ra cee ¢ RRARRR 000 000 crt cr ce ec) fiat CeCe ed Dea ne ne Rc ee email: wdirienzo@ gmail.com 26Luego de haber leido fa liceneia ya nos queda la consol para comenzal 4 configurar nuestro Mikrotik, TEA a eT] Cerner tir tren Cement TGR Ten Rog eee re a MA ee CO eee eR Re ee ee Log are ee eC) Ce ee eC et ee MCS Leg oC eas ee ee \reenent is Se CR eC ae es ae eso See OE aT Ms el eae ee point 12 of this docunent that is r Cleese sets Caer er ee em tes Ca ae rl Pea iri tee a raed eee eee res Prats serena Cae eaeetea : Cnn Logueo al Mikrotik Hay varias maneras para acceder a la administracién del Mikrotik sin haber configurado nada en un principio. La primera ¢s directamente desde la consola finalizada 1a instalacién, otro método es utilizando una consola Telnet a través del el puerto serie o Ethernet por mac © ip, sino mediante Ia utilizacién del software winbox, el cual lo brinda los desarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacién de winbox respecto a los otros métodos, éste ser la manera con Ia cual realizaremos 1a configuracién de la red. email: wdirienzo@ gmail.com 7Desde una PC remota con Windows xp instalado. Conectados mediante un cable cruzado al Mikrotik al puerto Ethernet. Hacemos correr el soft Winbox, el cual nos brindara una ventana para loguearse al Mikrotik. iat adn 7 Keep Pereword I Secse Mode 1 Loed Previous Seivon Took. Note: [MikroT ie En esta ventana nos deja introdueir las direcciones Mac 0 ip de la placa del Mikrotik a 1a cual estamos conectados. Debido a que no hemos configurado el Mikrotik desde la consola Hacemos clic en (...) esto hara que el software nos devuelva las direeciones Mac de las interfases de red que posean un Mikrotik instalado y cortiendo. Seleccionamos la interfase y luego utilizaremos de Login: admin y como Password: alizar esta carga de datos hacemos elie en Connect. (nada). Al Luego cuando el soft se conecta al Mikrotik automaticamente empieza a descargar los plugins instalados en el Mikrotik para poder administrarlos remotamente. iene) Diode lapis on 09.7 COFE FA an Eutaeine lat: 2c (PEA GDH of 131760 Hb copied) Tienes, 2eG24ho/see email: sdirienzo@ gmail.com 28Al finalizar la descarga de los plugins nos aparece la pantalla de configuracién del Mikrotik. En Ja cual a mano izquierda se encuentra el meni de configuracién de cada uno de los médulos instalados. eee En Ia barra superior de! software nos encontramas con la barra de herramiemta, En Ia misma sobre mano izquierda posee tas opciones de undo y redo. Sobre mano derecha podemos encontrar dos iconos, el primero muestra la utilizacién del Mikrotik y el segundo nos indica sila conexiGn que estamos realizando es segura 0 no. oo Eee aT le) email: vdirienzo@ gmail.com 29Backup y Restore de Configuracién Debido a los problemas que pueden producirse en los equipamicntos, siempre es buena politica tener back up de todas las configuraciones de los sistemas, Ahora ‘mostraremos como se realizar un backup de la configuracién y coma se recupera. Backup de la configuracién. Primero nos Dirigimos al meni FILES alli se nos abrira una ventana y nos mostrara los archivos que se encuentran almacenados, Debemos hacer clic sobre el botén de BACKUP para realizar nuestro backup. Gestion Tin 4) AGB Ap! 14/2 OB Api2/2 api Apil 12/2 Bi begouthiml Api 12/2 ~ Bi tadverthirl Api 12/2 Biiedrect imi Api 12/2 Api 12/2 Api 12/2 Baronet Apu 12/2 testony Apu 12/2 pg fle Ap 12/2 iectony Apu 12/2 hie file And 1227) [SS4MBofB2G0 used SSC hee Luego de haber hecho clic nos aparece un nuevo archivo en Ia lista que posciamos, que es nuestro backup de toda la configuracién del Mikrotik. 30backup ‘pil 18/2 rectory Api! 12/2 shi fle pil 12/2 hie file Api 12/2 stifle Api 12/2 logout hi! hie file Api 12/2 B radvershinl hie file ApulT2/2 B redrect btm! biel file Apt 12/2, stave. efile Apu 12/2 BD mebis js fie Api 12/2, Benors.u, tot fle Api 12/2 Bing Grostory Apili22 Bilogubottom.png png ike Apiii2/2 Sabiendo que el almacenamiento puede fallar, sempre es bueno tener una copia de resguardo en otto sitio, Para ello debemos hacer lo siguiente, Seleceionamos el archivo de backup que deseamos y luego hacemos clic sobre el icono de COPY, Esto hard que nuestro archivo de configuracién quede almacenado en el porta papeles de Windows. A continuacién creamos una carpeta en el disco fijo de la PC y pegamos el archivo. Nos apareceri y ya tendremos e! backup de nuestro archivo de configuracién en nuestra PC. Cea ee use esa Un aAUEMUM EN os ep etd Ble Ed Yew Faverkes Toole Help OB Paws Borate |i JAaltess [Fea cHiDocurents and Settngr TATUBLAS\DesktoplBad »| [EY co email: sdirienzo@ gmail.com 3Restore de la configuracién. Si estamos recuperando el archivo de configuracién que esta dentro del Mikrotik. Simplemente debemos ir al meni FILES. En la ventana que nos aparece debemos seleecionar la versién del backup que deseamos recuperar y hacer elic sobre cl botén de RESTORE, diesteny a fe 12038 i fe 9998 rl fhe 3088 fhe 48138 shi fhe 14818 a fhe 2138 a he zi5sa iefle 70K@ tefl 35158 dectory oa fig 317 Aprizre (55MO 18.268 used Para el caso que el archivo de back up se encuentre en nuestro disco fijo. Seleccionamos el archive de backup. luego hacemos clic con el btn derecho del mouse y seleccionamos copiar. Luego en el winbox, simplemente debemos ir al ment Fi ES. En la ventana que nos aparece, debemos hacerle clic en el icono de pegar y nos aparecerd nuestra nueva configuracién. A continuacién seleccionamos nuestra nueva con iguracién y apretamos el bot6n de restore. Se nos abrira una nueva ventana que nos aplicara la nueva configuraci6n y nos hard reiniciar nuestro Mikrotik, email: sdirienzo@ gmail.com 32——_{Groation Tires 46698 Ap/18/2 pn12/2 aperteve AaD2 Amz. Awri2/2 apie apne B stots. she fle BSB Amriere Bnei iste 7OKia Apwri2/2 B enews “be fle 35150 Aerize Bing recto OB Ariz [ logebottom png peg He AR78per12/2 ov rectory OB Apriz2%| (S4MB of B2G8 used (93% hee Definicién y configuracién de interfases. Actualmente las placas de red estan funcionando pero les falta la configuracién basica para que se pueda acceder a ellas. Para esto deberemos asignarles los IP a cada una de las interfases. Asignaci6n de nombres a las interfases. Nos dirigimos al meni y elegimos INTERFASES. A continuacién nos aparece 1a lista de interfases que posce nuestro sistema. Hacemos doble clicks sobre las interfases y les vamos cambiando el nombre asignandole los nombres correspondientes a cada una. En nuestro caso utilizaremos: Globalphone, para nuestra conexién dedieada con IP fijo. © Movifonica: para nuestra conexién dedicada con IP fijo con el otro proveedor. ® Venas: Seri la interfase exclusiva de ventas. © Administracidn: Sera la interfase exclusiva de Administracién. © Produccidn: Seri la imerfase exclusiva de Produccién, + Servers: Seré la interfase para la granja de servidores. email: sdirienzo@ gmail.com 33* ADSL: Seri la interfase para conectarse al ADSL de Backup 4 Hoispor: sera la interfase que provera acceso a la red mediante el hotspot Mimo Pierre 1S00 176hEpe 81 aRDE Ywoob: esp: 1800be 6 ato: Interfase: Movifonica © Pestaiia General: © Name: Movifonica o MTU: 1500 o ARP: Enable email: sdirienzo@ gmail.comPitre ce General Ethernet Staiue Traffic MAC Addess: [00002876609 ARP: Jenabled Pestaiia Ethernet? * 100Mbps: Seleccionado * Auto negotiation: seleceionado © Full duplex; seleccionado, © T0Nbpe @ 100Mbpe ~ 16bpe Auto Negoiation FulDuglen email: sdirienzo@ gmail.com 35Pestaila Status: En esta ventana podemos ver el estatus la interfase actual Sie es |General Eternal Stour | Trae, ‘Auto Negotiston: lincomelete Rate [unknown OFubDeplex Pestafia Praffic: 1. Vemos la grafiea de kbps enviados y recibiclos por dicha interfase. 2. Vemos la gratica de pis enviados y recibidos por la interfase. Cities Genial Ethernet Status Tralfe [Ax Obps email: sdirienzo@ gmail.com 36UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4Dicha red informatica debera proveer servicio al total de In empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en Ia ciudad de Buenos Aires, con Ja oficina de ventas situada en la ciudad de Cérdoba, Brindandole una conexién mas rapida y segura, considerando aspectos econdmicos y teenaligicos. Ene presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como Ia definicién de las politicas de scguridad de Ia red para un funcionamicnto flexible y Sptimo. ‘Tras un analisis y estudio de las necesidades particulares de eada caso, se ereara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, eon lo cual logramos asignar automaticamente las direceiones IP a cada uno de los puestos de los usuarios dentro de cada subs Para la sub-red de servidores se les asigna una direceién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el ser jor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriviindola a la red del area de Ventas, Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las imerfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se apticara politicas de control de ancho de banda, por sub-redes © por puesto de trabajo. El control de ancho de banda de los P2P seri aplicado a la red de administracién por politica de la empresa. También el filtrado total de los p2p seri aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario ¢l MSN Live Messenger y se creard un servidor llamado JABBER de mensajeria privada de la empre La instalacién de un Web Pro: ¥y, Se utilizar para la optimizaeién del aneho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las piginas que se hayan visitado. A props: email: vdirienzo@ gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas, Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la desearga desde la Web. Haciendo este proceso mucho mis rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda empresa no (rabaja las 24hs al dia, se dispuso la posil para la red de Administraci6n, en un rango horario determinado, Para ello To. primero que debemos hacer ¢s una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs, Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operative y software del router; cl cual convierte a una PC Intel 6 un Mikrotik RouterBOARD cn un router dedicado, Se toma esta deci nya que estos equipos brindan seguridad, flexibilidad y son muy econémicos lo cual es un gran beneficio para Ia empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara Ia implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@ gmail.com 6Metodologia 2 Estudio Explorat bibliogrsifico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entomo organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables + Las nuevas areas de la empresa + Cantidad de puestos de trabajos # Inlerfaces a ulilizar. © Redes Virtuales Privadas © Servidor de monitoreo SNMP Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER, + Seguridad. + Modelado de colas de trifico, © Trafico cursado, Disefio de Ia implementacién virtualizada de la red, paca la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacién del Mikrotik fueron: © Instalacién Mikrotik * Acceso al Mikrotik email: wdirienzo@ gmail.com© Declarncién de interfaces # Definicién Vlan‘s © Asignacién de direccién ip por interfaces # Asignacién de pools de direeciones ip’s © Configuracién servidor DHCP * Instalacién del servidor y cliente NTP. Servidor VPN © Balanceo de carga * Control de ancho de banda 4 Instalacién servidor SNMP ® Instalacién servidor RADIUS Instalaci6n servidor JABBER * Instalacién servidor PROXY © Configuracién Hotspot. email: wdirienzo@ gmail.comResultado y discusi6n Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software de] router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado, Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy cconémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamajio considerable El RouterOS es un sisterna operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. EI software RourterOS puede ejecutarse desde un disco ID memoria tipo FLASH. Este dispositive se conecta como un disco rigido comin y permite acceder a las avanzadas caracteristicas dle este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado cn el Kernel de Linux y es muy estable, © Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Diseito modular © Médulos actualizables © Interfaz grafica amigable Caracteristicas de ruteo * Politicas de enrutamiento, Ruteo estatico o dinamico, # Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: wdirienzo@ gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web- proxy, DNS. © Gateway de HotSpot. © Lenguaje interno de seripts. Caracteristicas del RouterOS: * Filtrado de paquetes por: ® Origen, IP de destino. * Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). * Puede detectar ataques de denegacién de servicio (DoS) * Permite solamente cierto nimero de paquctes por periado de tiempo. Calidad de servicio (QoS) Tipos de colas * RED * BFIFO © PFIFO * PcQ + Direecién IP de cliente. * Interfase Arboles de colas * Por protocolo.. © Porpuento. email: wdirienzo@ gmail.com 10UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodoldgico: Ing. Arguello - 2008 - email: sdirienzo@ gmail.comindice Intoduccién 4 Metodologia Resultado y discusién.... susenessenesnsene 9 Estudio bibliografico de Mikrotik RouterOS... 9 Herramientas de manejo de red... Estudio descriptive de la empresa Royaltech Router CBA. asssssssasnssssesnsnsnsnssnsssnsnssunsssassssinissnissaniassseissnsssssassinssinuassenl a ub-red Venta L Sub-red Produccidn Ty Sub-red Hotspot 21 ‘Sub-red Servidores 2 Disefio de la implementacién virtualizada de Ia red. Logueo al Mikrot Backup y Restore de Configuracién Backup de la configuracién, Restore de la configuracid 2 Definieisn y configuracion de interfases. enon Asignacién de nombres a las interfases... Asignacién de Direcciones 1P’s a las interfases Definimos UPnP para las interfase: Configuracién Pools de Direcciones de IP.. = = 5 Nat Masquerade para todas las redes.... Configuracién Servidor DHCP. Asignacién de direcciones de ip fijas a partir de dinecciones MAC. Configuracion Servidor - Cliente NTP: Cliente NT a Servidor y Cliente PPPOE... 4 Configuracién Servidor PPPOE... ‘Configuracién Cliente PPPoE; ern Configuracién Servidor PPTP>.... Configuracién Cliente PPTP email: xdirienzo@ gmail.com 2Web Pro! 0 Vi Bloqueo Pomografia ... . Bloqueo paginas que brinden el servicio de Web Messengei Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y Bloqueo descarga directa de archivos RAR. ZIP, EXE, Bloqueo Archivos RAR... sosetntsenne Bloqueo Archivos ZIP... Bloqueo Archivos EXE. ‘Balanceo de carga. Asignacién de ancho de banda por sub red. Traffic Shaping de (P2P). 2... Aceptar conexiones establecidas ... Acepta Trafico UDP. Acepta icmp Limitados (Descarta G300S 105 (0007 iuttiitiitiininniniuiiuaiinnsnian LES Configuracign Hot Spot .u.cucuneneenseen Servidor de SNMP. 58 ‘Configuracién Servidor SMP... esses ue ene etnies 159 ior Radi Configuracién Servidor Radius... Configuracién MySQL... Configuracién dialup admin....... ‘Configuraci6n servidor - cliente Jabe email: xdirienzo@ gmail.com 3Introduccion Hoy por hoy 1a realidad nos dice que tas redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interact con el resto del mundo, ya sea por motivos comerciales, personales. 0 emergencias, uno de Tos elementos La optimizacién en el uso de los sistemas informiticos e: de que la aparicién de las plataformas de interconexién de equipos de computacién o redes era inos de la ciencia informati én y desarrollo que rige los dest spor cllo informaticas. Las mismas resultan ser uno de los elementos tecnoldgicos mas importantes al momento de definir un sisterna formético en una organizaci Entre las principales las ventajas que le brinda a una empresa el uso de redes informatica, podemos detallar algunas: compartir recursos especialmente informacién (datos), prover Ia confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la ted que asi lo solicite sin importar la localizacién fisica del recurso y del usuario. Permite al usuario poder acceder a una misma informaci6n sin problemas Hevandolo de un equipo a otro. También es una forma de redueir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres dreas, administracién, ventas y produccién. Ademas cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los titimos dos aos la empresa erecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidi6 disenar una nueva red informatica Ia cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la los cuales se empresa podr contar con dos proveedores de Iniernet simwltineo: distribuirin balacendamente en el area de ventas. Esto es debido a In gran utilizacién que se produce en esta sub-red del ancho de banda, Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las-conexiones, 1a empresa siempre posea conectividad con el exterior, email: wdirienzo@ gmail.com 4Dicha red informatica debera proveer servicio al total de In empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en Ia ciudad de Buenos Aires, con Ja oficina de ventas situada en la ciudad de Cérdoba, Brindandole una conexién mas rapida y segura, considerando aspectos econdmicos y teenaligicos. Ene presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como Ia definicién de las politicas de scguridad de Ia red para un funcionamicnto flexible y Sptimo. ‘Tras un analisis y estudio de las necesidades particulares de eada caso, se ereara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, eon lo cual logramos asignar automaticamente las direceiones IP a cada uno de los puestos de los usuarios dentro de cada subs Para la sub-red de servidores se les asigna una direceién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el ser jor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriviindola a la red del area de Ventas, Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las imerfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se apticara politicas de control de ancho de banda, por sub-redes © por puesto de trabajo. El control de ancho de banda de los P2P seri aplicado a la red de administracién por politica de la empresa. También el filtrado total de los p2p seri aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario ¢l MSN Live Messenger y se creard un servidor llamado JABBER de mensajeria privada de la empre La instalacién de un Web Pro: ¥y, Se utilizar para la optimizaeién del aneho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las piginas que se hayan visitado. A props: email: vdirienzo@ gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas, Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la desearga desde la Web. Haciendo este proceso mucho mis rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda empresa no (rabaja las 24hs al dia, se dispuso la posil para la red de Administraci6n, en un rango horario determinado, Para ello To. primero que debemos hacer ¢s una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs, Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operative y software del router; cl cual convierte a una PC Intel 6 un Mikrotik RouterBOARD cn un router dedicado, Se toma esta deci nya que estos equipos brindan seguridad, flexibilidad y son muy econémicos lo cual es un gran beneficio para Ia empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara Ia implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@ gmail.com 6Metodologia 2 Estudio Explorat bibliogrsifico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entomo organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables + Las nuevas areas de la empresa + Cantidad de puestos de trabajos # Inlerfaces a ulilizar. © Redes Virtuales Privadas © Servidor de monitoreo SNMP Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER, + Seguridad. + Modelado de colas de trifico, © Trafico cursado, Disefio de Ia implementacién virtualizada de la red, paca la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacién del Mikrotik fueron: © Instalacién Mikrotik * Acceso al Mikrotik email: wdirienzo@ gmail.com© Declarncién de interfaces # Definicién Vlan‘s © Asignacién de direccién ip por interfaces # Asignacién de pools de direeciones ip’s © Configuracién servidor DHCP * Instalacién del servidor y cliente NTP. Servidor VPN © Balanceo de carga * Control de ancho de banda 4 Instalacién servidor SNMP ® Instalacién servidor RADIUS Instalaci6n servidor JABBER * Instalacién servidor PROXY © Configuracién Hotspot. email: wdirienzo@ gmail.comResultado y discusi6n Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software de] router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado, Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy cconémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamajio considerable El RouterOS es un sisterna operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. EI software RourterOS puede ejecutarse desde un disco ID memoria tipo FLASH. Este dispositive se conecta como un disco rigido comin y permite acceder a las avanzadas caracteristicas dle este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado cn el Kernel de Linux y es muy estable, © Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Diseito modular © Médulos actualizables © Interfaz grafica amigable Caracteristicas de ruteo * Politicas de enrutamiento, Ruteo estatico o dinamico, # Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: wdirienzo@ gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web- proxy, DNS. © Gateway de HotSpot. © Lenguaje interno de seripts. Caracteristicas del RouterOS: * Filtrado de paquetes por: ® Origen, IP de destino. * Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). * Puede detectar ataques de denegacién de servicio (DoS) * Permite solamente cierto nimero de paquctes por periado de tiempo. Calidad de servicio (QoS) Tipos de colas * RED * BFIFO © PFIFO * PcQ + Direecién IP de cliente. * Interfase Arboles de colas * Por protocolo.. © Porpuento. email: wdirienzo@ gmail.com 10Por tipo de conexién, Interfases del RouterOS Ethemet 10/100/1000 Mbi Inalambrica (Atheros, Prism, CISCOfAirones) Punto de acceso o modo estacidn/clicnte, WDS. Sincronas: V35, El, Frame Relay. Asincronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (WLAN) Herramientas de manejo de red Ping, traceroute, Medidor de ancho de banda. Contabilizacién de trafico. SNMP. Torch. Sniffer de paquetes. Estas son las principales caraeteristicas del sistema operative y software Mikrotik RouterOS elegido para la implementaci6n de la ted virtualizada. email: wdirienzo@ gmail.com "Estudio descriptivo de la empresa Royaltech Después de haber hecho un analisis exhaustive de la estructura de Royaltech, se pudo diagramar Ia estructura de cémo estaba conformada dicha empresa. Tenemos una sub-red de administracién, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el do trifico de datos hacia la red de Ad i0 problema de que se genera demas racién, lo cual produce congestién y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Ademas pose una impresora en la red del tipo hogarena para que impriman todas las otras sub-redes. Tener una sola npresora le trajo muchos inconvenientes a la empresa debido a que se genetan colas interminables de documentos a imps mir. También, 1a: impresor se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al rea de administracién, Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otta Area, Rotura de mobiliario en la zona en cuesti6n al igual que Ia. falta ‘ada de insumos. Las sub-redes de Ventas y Produceién simplemente poseen pe’s conectadas a través de un switch, Todo este grupo de computadoras acceden al servidor de archivos a1 igual que la impresora a través del router principal. email: wdirienzo@ gmail.com 2LAN RoyalTech El router en cuestidn, no es un router de alta productividad, eon lo cual se generan grandes problemas de congestién, debido a que no puede administrar la gran cantidad y volumen de informacién que transita por la red. Los switch en cada una de las reas son idénticos, Ninguno posee la habilidad de poder administrar sus puertos, al igual que estén imposibilitados de generar vlan 0 cualquier otro tipo de politica que se pueda generar en otro tipo de switch, Debido a esta disposicidn de red y los constantes problemas téenicos que pose, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidiG la reestructuracin de su red para optimizar y mejorar la produccién de la misma y sus recursos humanos. Luego de examinar dicha situaciin se decidié planificar toda una reestructuracién de la red nueva. Lo cual solucionard los problemas de congestion al igual que prover mayor productividad. Lo eual traerd grandes beneficios. email: sdirienzo@ gmail.com 13La nueva red planeada posee dos nuevas sub-redes, una un hotspot y It otra una sub-red de servidores. También en esta nueva reestructuracién se interconectara las oficinas de ventas que estin ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Cérdoba. Asimismo se opto por Ia utilizacién de dos proveedores de Internet distintos, debido a que constantemente poseian problemas de caida del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las offcinas de Cérdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementaci6n sera Mikrotik RouterOs. El router proveera de varios servicios para Ia red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPOE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspat. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, das para eada una de a las sub redes email: xdirienzo@ gmail.com 4El Firewall se utilizara para las siguientes actividades: ¢ Bloqueo del cliente MSN Live Messenger. * Bloqueo P2P para redes Produccién y Ventas. + Rediteecionamiento de puertos. 2 Puerto 80 WEB. © Puerto 110 POP3. © Puerto 25 SMTP. © Puerto 1723 PPTP. * Descartar conexiones invalidas. © Aceptar conexiones establecidas. © Acepia Trafico UDP. ‘© Acepta paquetes de iemp Limitados. Descarta exeesivos paquetes de temp © Descarta el resto de las conexiones externas El servidor PPTP, sera utilizado para interconectar las oficinas de Buenos Aires Cérdoba. El servidor PPPoE seré utilizado para autenticar a los usuarios que se descen loguear desde fuera de la red de produccién, El cliente PPPoE. se utilizara en el caso improbable que las dos otras conexiones a Internet se caigan, Con lo cual se utilizara como ruta alternativa de backup. El modelado de colas se utilizara para asignarle un determinado ancho de banda acada una de las sub redes, Al igual se utilizara el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizara para sincronizar Ia hora de nuestro mikrotik. El servidor NTP se utilizara para que las computadoras de la red estén sincronizadas. email: wdirienzo@ gmail.com 15El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al navegar a través de Internet, Para ello se apliearan las siguientes politicas: * Bloqueo Pornografia = Bloqueo paginas que brinden el servicio de Web Messenger + Bloqueo del Live Messenger A Través del Proxy * Bloqueo de paginas que brinden webmail © Bloqueo desearga directa de archivos MP3 y AVI © Bloqueo desearga directa de archivos RAR, ZIP, EXE Sub-red Administracion Red Administracion Impresora ‘Adcross; 192.168.2124 —_ Network: 192 108.20" Pe Broooonet, 102.168.7255, Rouler Swatch = CBA Administracién Po a Pc File Server Poot Admnissacin Rango: 182 108.25 9 182.108.2254 La nueva restructuracin de Ia sub-red de administracién se dio debido al ato trAfico que tenian entre todas las otras redes. A esta sub-ted se decidié cambiar el switch que poseia para utilizar un switch de alta productividad. email: xdirienzo@ gmail.com 16Nuestra sub-red poscera un pool de impresoras de red para esta sola area, Esto disminuira el tifieo de impresién al igual que el ifieo de personal ajeno a Asimismo se le instalari un servidor de archivos propio de administracién en el cual se encontrar exclusivamente los archivos de dicha aréa. Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Ra 192,168.2.254/24, Se decidié dejar las direcciones desde el 192.168. go de direcciones sera desde 192,168.2.5/24 al 2724 al 192, 168.2.4/24 fuera de este rango para el caso de que se quieran instalar algan otro tipo de servidores en dicha area em un futuro préximo. Los niimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. La red de administracién sera conectada a través del switch al router mediante un backbone de IGbit Ethernet. El cual sera limitado mediante teoria de colas simples a 250M/bits de subida y 300M/bits de bajada, Debido a que dentro del area de administracion se encuentra gerencia, Ia misma autoriz6 1a utilizaciGn de kos P2P para dicha drea, El trafico P2P sera modelado para que no ocupe gran cantidad de ancho de banda, email: vdirienzo@ gmail.com "7‘Sub-red Ventas Red Ventas a Impresora Adoress: 192.168 3.1724 = NNetwerk: 192 268.3" Pe Brooceaet #02. 168 3255 iw “_ ig Router ‘Swatch = CBA Vontas Pe a Pe File Server ool Yona Range: 2108.35 0 192.168.2264 A.esta sub-ted se le decidié cambiar el switch que poseia para utilizar un switch de alta productividad. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira et wafico de impresién al igual que el tifico de personal ajeno a Administraci6n, Asimismo se le instalara un servidor de archivos propio de ventas en el cual se encontrara exclusivamente los archivos de dicha aréa, Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP, EI Rango de direcciones seri desde 192.168.3.5/24 al 192,168.3.254/24, Se decidid dejar las direcciones desde el 192,168,3.2/24 al 192,168.3.4/24 fuera de este eango para el caso de que se quieran instalar algan otro tipo email: xdirienzo@ gmail.com 18de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante In direceién mac de cada uno, La red de ventas seri conectada a través del switch al router mediante un backbone de IGbit Ethernet, El cual sera limitado mediante teoria de eolas simples a 400MJbits de subida y 300MJbits de bajada. Esta sub-red albergara también las pe’s de la oficina de Buenos Aires, Dicha oficina sera conectada a las oficinas de Cérdoba mediante una VPN. Se utilizari el protocolo PPTP para crear el tinel. Eltrafico de P2P quedara bloqueado absolutamente para esta sub-red. Ya que se prohibis el trafico p2p para esta area, VPN Buenos Aires - Cordoba 1sp.cBa Movifonica Router — aa, isp f ae VPN Router s Firewall cee ream rans En. ISPCBA ias- 192.1886 1/24 Globalphone Router Ht es oT Ventas BsAs Para contra restar la carga hacia Internet desde esta red, se decidié realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traera grandes email: sdirienzo@ gmail.com 19beneficio ya que no desbordara uno solo de los enlaces. Sino todo el irifico generado sera balanceado entre ambas conexiones. Sub-red Produccién Red Produccién Impresora File Server oo! Preceste Range: 192,168.45 4 102.108,4.254 A Ia sub-red de produceién se decidié cambiarle el switch que poseia para utilizar un switch de alta productividad, que nos brinde Ia posibilidad de administrar puertos. Nuestra sub-red poseera un pool de impresoras de red para esta sola area, Esto disminuira el trifico de impresién al igual que el trifico de personal ajeno a Administracion. Asimismo se Ie instalara un servidor de archivos propio de produccién en el cual se encontrara exclusivamente los archivos de dicha aréa. email: xdirienzo@ gmail.com 20Los nimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. EI Rango de direceiones seri desde 192.168.4524 al 192.168.4.254/24, Se decidid dejar las direcciones desde el 192,168.4.2/24 al 192,168.4.4/24 fuera de este rango para el caso de que se quieran instalar algun otro tipo de servidores en dicha area en un futuro proximo. Los nimeros. de ip asignados a los servidores seran asignado mediante Ia direceién mac de cada uno. La red de ventas sera conectada a través del switch al router mediante un backbone de 1Gbit Ethernet. El cual sera limitado mediante teoria de colas simples a 350M/bits de subida y 400M/bits de bajada. Esta sub-red poseera la posibilidad que usuarios que estén en otras areas de la | trifico de P2P quedara bloquendo absolutamente para esta sub-red. Ya que se prohibié el trafico p2p para esta empresa, se puedan conectar a esta sub-red mediante PPPoE. area Sub-red Hotspot Red Hotspot Adsross: 192.108.5:128 eter: $02 108.50 Broodoaet 102 168 8.285, 4 ‘cgreen: 192.168.10:724 Netw: 192.108 100 POA ya Broadcast 12 68 10.288 » Notebook Router Celular Hotspot Acteoon: 192.108.5.524 Gataay 182.1885 1 Natwort 192.188.50 Bromdcoat 192.188.5265 Lact Poo HotSpot Ronges 192.108.1032 0 192.169.10254 email: xdirienzo@ gmail.com aLa red hot spot es una nueva red que se decidié implementar debido a que Ia empresa ahora posee un rea de recreaci6n, La misma red solo poseerd la capacidad de navegar a través de Internet Los mimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. El Rango de direceiones sera desde 192.168.10.2/24 al 192, 168.10,254/24, Para la proteccién de los datos en la seceién wireless se decidié asegurarlos mediante WPA PSK 0 WPA2 PSK. Esto nos dari fiabilidad y seguridad en los mismos. No obstante la seguridad WPAx que se desee implementar, todos los usuarios que se conecten al hotspot deberdn ser autenticados mediante el servidor radius instalado en la granja de servidores. Sub-red Servidores Red Servidores mt Impresora Across: 192 108.1174 2B Newark: 192165 10" Base do Brotceadt 402188 4 256 Datos Rouler Switch Serve CBA Servideres ai SUMP SON Peal Sarvideres Rango:192.108.1.1 8 192.165.1258 email: xdirienzo@ gmail.com 2