Proyecto red

Integrantes:
Francisco Escobar
Osvaldo Riquelme

inalámbrica
Cristian Rojas

Implementación colegio con

sistemas Mikrotik
 Tabla de contenidos

Resumen del proyecto..................................................................................... 2

Diagrama Lógico............................................................................................. 3
Diagrama Físico............................................................................................... 4
Equipos y Materiales........................................................................................ 4
Software de administración WinBox.................................................................6
Configuraciones equipos Mikrotik....................................................................7
Configuración GW1...................................................................................... 7
Reset por defecto e identificación del equipo...................................................7
Interfaces a configurar................................................................................. 7
Creación de DHCP Cliente...........................................................................9
Asignación IP........................................................................................... 10
Configuración DNS.................................................................................... 11
Servidores DHCP...................................................................................... 11
Servicio HotSpot....................................................................................... 12
Activación de NAT..................................................................................... 13
Configurar Seguridad................................................................................. 16
Configuración APs...................................................................................... 17
Reset por defecto e identificación del equipo.................................................17
Configuración interfaces.............................................................................18
Configuración WLAN.................................................................................19
Información técnica del proyecto....................................................................23
Direccionamiento IP.................................................................................... 23
Servidores DHCP........................................................................................ 23
VLANs....................................................................................................... 23
Información HotSpot................................................................................... 23
Información SSID........................................................................................ 24
Observaciones finales................................................................................... 25

1
 Resumen del proyecto

Comprende la implementación de la red inalámbrica en el establecimiento,

mediante el uso de tecnología Mikrotik y Ubiquiti, las cuales permiten separar
cada comunidad de usuarios (Alumnos, Administrativos y Docentes)
protegiendo la integridad de los datos que se transmiten en la red y permitiendo
una mejor gestión en lo que respecta a las páginas que acceden los usuarios y
las velocidad de navegación.
Según el estudio en terreno y cálculos de radioenlaces, se requerirán el uso de
múltiples AP en modo roaming. Esta característica soluciona las desconexiones
que se producen por el cambio de ubicación del equipo cliente y permite un
balanceo en la carga de trabajo de los equipos. Junto a esto, los equipos
contarán con soporte de banda doble y tecnología MIMO, optimizando la
cobertura y velocidad de navegación.
Debido a la distribución de las salas y espacios en el establecimiento, se
requerirá de un enlace inalámbrico WDS para interconectar uno de los puntos
más alejados. Esta es la mejor solución costo/rendimiento según los estudios
realizados, ya que permite el envío de datos con el mínimo de intervención en
la estructura
Finalmente, en lo que respecta a la administración de red, se contara con el
uso de tecnología tipo HotSpot para el ingreso de las redes de alumnos,
controles de velocidad y limitaciones de velocidad para evitar un uso abusivo
de la red.

2
Diagrama Lógico

3
Diagrama Físico

4
 Equipos y Materiales
Vaciar

RB3011UIAS-RM. 1 $ 187.0
MIKROTIK 10-1000 1-SFP 1-USB LCD L5 1,4GHz-Dual $-31.7
1GB 1U-Rack 10-30VDC Sin Stock. (17,0

RBCAP-2N. 3 $ 50.5
MIKROTIK 2.4GHZ L4 2DBI CAPSMAN 1-100-POE/12- $-8.5
56V 17DBM 50MW AR9331 100+ Unid. (17,0

PBE-M5-300. 1 $ 80.2
UBIQUITI 22DBI 5GHZ 300MM POWERBEAM $-15.2
NANOBRIDGE NB-5G22 100+ Unid. (19,0

5
 RK06-4LD. 1 $ 59.0
LINKMADE RACK DESARMADO 45CM-FONDO 6U $-10.0
PARED INC-2U 10 Unid. (17,0

PP624B. 1 $ 89.0
BRANDREX 1U UTP PATCHPANEL 24-RJ45 CAT6 CIRC- $-13.3
IMPRESO C6CPNLU24012M 35+ Unid. (15,0

CP6B-15L 10
$ 1.9
LINKMADE 1,5MT CAT6 NARANJO LSZH CABLE PATCH
$-323 (17,0
INYECTADO MULTIFILAR 100+ Unid.

TC-PRO. 1 $ 153.0
UBIQUITI F/UTP CABLE CAT5E 305MT 24AWG PE- $-26.0
EXTERIOR 50+ Unid. (17,0

UB-AM. 2 $ 7.5
UBIQUITI SOPORTE 50cm P/MURO EXTERIOR $-1.2
ABATIBLE Sin Stock. (17,0

Observaciones:
Valores más IVA. Forma de pago, transferencia bancaria.
Se incluyen equipos para enlaces de equipos, y elemento para armado de rack
de telecomunicaciones. Además de soporte para antenas y cableado diseñado
para instalación de equipos en exterior
Herramientas especiales necesarias: crimpeadora RJ45, ponchadora RJ45,
deschaquetador de cable, atornilladores correspondientes y materiales
ferretería.

6
 Software de administración WinBox

Es la principal herramienta de gestión de configuraciones en sistema RouterOS

La podemos encontrar gratuitamente ingresando a la página oficial de mikrotik

Ejemplo de software Winbox

Permite ingresar mediante la dirección IP, en caso de tener configurada una o

mediante la MAC en caso de estar el equipo sin IP configurada

7
 Configuraciones equipos Mikrotik

Configuración GW1

Reset por defecto e identificación del equipo

El técnico debe cerciorarse de comenzar reseteando el equipo, para evitar

cualquier configuración antigua que puede afectar el normal funcionamiento.
Una vez concretado, debe identificar el equipo mediante un nombre, utilizando
la opción IDENTITY ubicado en el menú SYSTEM
Interfaces a configurar

Pantalla final de interfaces configuradas

Acorde a la topología expuesta con anterioridad, el equipo utilizado (951G)

posee 5 puertos físicos, los cuales serán designados como siguen:

N° Puerto Físico Nombre asignado Función

1 ether1_WAN
2 ether2
3 ether3_PTP_WDS
4 ether4_AP1
5 ether5_AP2
Conexión a Internet
SIN USO
Conexión a AP WDS para enlace
PTP
Conexión a AP Multi SSID
Conexión a AP Multi SSID

8
Adicional a esto, es necesario la creación de un bridge, el cual nos permitirá
agrupar las interfaces comunes, a modo de switch, pero con funciones
avanzadas. Al aparecer como una interfaz virtual, podemos asignarle VLANs,
las cuales serán accesible desde cualquier interfaz que se encuentre agregada
en el bridge.

Bridge creado (bridge_LAN) y puertos requeridos asociados

Finalmente, el técnico deberá crear las correspondientes VLANS, asignando

como interfaz maestra “bridge_LAN”. De esta manera nos evitamos crear la
misma VLAN repetidas veces por cada interfaz que maneje múltiples redes
(Alumnos, Administración y Docentes)

VLAN ALUMNOS VLAN ADMINISTRATIVOS

9
 VLAN DOCENTES
Creación de DHCP Cliente

Con el fin de tener acceso a internet, el técnico deberá crear un DHCP Cliente
para obtener la dirección IP. Esta se asignará a la interfaz WAN, quedando de
la siguiente manera:

DHCP Cliente creado, la dirección IP mostrada es la otorgada al momento de

crear este manual

10
Asignación IP

El técnico deberá configurar las direcciones IP de la manera mostrada a

continuación, tomando en cuenta las interfaces correspondientes

Direcciones IP. La letra “D” al comienzo, indica que la IP fue obtenida de

manera automática

11
Configuración DNS

Con el fin de poder resolver los nombres de páginas y servicios en internet a

direcciones IP, es necesario habilitar la función de DNS en el router (Allow
Remote Request) al mismo tiempo que se deberá indicar los servidores a los
cuales se le enviará la consulta DNS. En este caso, utilizaremos los servidores
de Google, los cuales son de libre acceso y alta estabilidad.

Servidores DHCP

El técnico deberá crear 3 servidores DHCP, los cuales otorgarán IP de manera

automática a las redes de Alumnos, Administrativos y Docentes. Cada servidor
estará asignado a cada VLAN creada con anterioridad. Este diseño, nos
permite separar los rangos de IP y el tráfico de cada una de estas redes pero
manteniendo centralizadas las concesiones IP, creando una red escalable y de
fácil administración.
Los servidores serán creados mediante la opción “DHCP Setup”, utilizando los
valores por defectos que entrega el router

12
Servicio HotSpot

Debido a la necesidad de entregar un acceso controlado a los alumnos, se

deberá implementar acceso mediante portal cautivo. De esta forma podemos
controlar el ingreso mediante usuarios únicos, estableciendo límites de
velocidad y tiempo de conexión.
La configuración se realizará mediante la opción “Hotspot Setup” utilizando los
valores por defectos entregados e indicando la interfaz VLAN correspondiente
a la red de alumnos.

Luego de crear el hotspot, agregaremos un perfil de usuario nuevo tal como se

detalla en la imagen. Le asignaremos sesiones máximas de 45min y límite de
velocidad de 2mbit bajada / 256kbits subida

13
Debido a que actualmente no manejamos el listado total de usuarios a tener
acceso o si se integrará con servidor RADIUS, crearemos un usuario de prueba
para comprobar la función del perfil creado.

Activación de NAT

14
Finalmente el técnico deberá crear una regla en el Firewall, para enmascarar el
tráfico de salía a internet desde nuestra red LAN. Esto es debido a que en las
redes de internet no tienen conocimiento de la existencia de nuestra red
interna, esto es al no estar comunicando nuestras redes mediante algún
protocolo de enrutamiento.
Para crear la regla se debe ir a IP > Firewall pestaña NAT y agregar regla
(botón +)+
Es importante que al seleccionar la interfaz de salida, sea la que nos entrega la
conexión a internet

15
16
Configurar Seguridad

Con el fin de proteger el acceso a usuarios no autorizados en la red, se deberá

cambiar la contraseña por defecto del sistema Mikrotik
Para ello, la opción se ubica bajo el menú System > Password. La contraseña
por defecto es admin y debe ser ingresada en la casilla “Old Password”

17
Configuración APs

Motivos del diseño centralizado, las configuraciones de cada AP son similares

ya que la única función de estos equipos es desencapsular las
correspondientes VLANs y enlazarlas con cada SSID emitido.

Reset por defecto e identificación del equipo

El técnico debe cerciorarse de comenzar reseteando el equipo, para evitar

cualquier configuración antigua que puede afectar el normal funcionamiento.
Una vez concretado, debe identificar el equipo mediante un nombre, utilizando
la opción IDENTITY ubicado en el menú SYSTEM

18
Configuración interfaces

El técnico requerirá de un solo puerto en cada AP, el cual tendrá por fin recibir
todas las redes encapsuladas. Esta interfaz se unirá mediante un bridge a
todos los Virtual AP, que entregaran el tráfico ya etiquetado con su respectiva
VLAN.
“bridge_wlans” tendrá asignado como puertos todos los VirtualAP creados,
además del puerto ether1 en el AP

19
Configuración WLAN

Antes de crear cada una de las redes inalámbricas planeadas, el técnico

deberá crear los diferentes perfiles de seguridad que correspondes con las
claves que ingresaran los usuarios al conectarse la red. El tipo de seguridad
elegida es WPA2- AES la cual brinda alta seguridad y hasta el día de hoy solo
puede ser corrompida mediante a taques de fuerza bruta.
Para ingresar cada uno de los perfiles, se deberá ingresar a la opción Wireless
> Security Profiles, creando un nuevo registro con clave en modo dinámico
(Dynamic Keys)

20
Configuración SSID: WIFI_ALUMNOS Se indica la vlan a la cual se asignará su
tráfico para la posterior administración

21
Configuración SSID: WIFI_ADMIN (administrativos) Se indica la vlan a la cual
se asignará su tráfico para la posterior administración

22
Configuración SSID: WIFI_DOCENTES (docentes) Se indica la vlan a la cual
se asignará su tráfico para la posterior administración

23
 Información técnica del proyecto

Direccionamiento IP

RED IP GATEWAY RANGO DHCP

ALUMNOS 10.0.10.1 10.0.10.10-10.0.10.254
ADMINISTRATIVOS 10.0.20.1 10.0.20.10-10.0.20.254
DOCENTES 10.0.30.1 10.0.30.10-10.0.30.254

Servidores DHCP

RED INTERFAZ TIEMPO LEASE

ALUMNOS VLAN10_ALUMNO 2 HORAS
S
ADMINISTRATIVOS VLAN20_ALUMNO 7 DIAS
S
DOCENTES VLAN30_ALUMNO 7 DIAS
S

VLANs

RED VLAN ID NOMBRE INTERFAZ

ALUMNOS 10 VLAN10_ALUMNOS
ADMINISTRATIVOS 20 VLAN20_ADMINISTRATIVOS
DOCENTES 30 VLAN30_DOCENTES

Información HotSpot

HOTSPOT RED LIMITES

ALUMNOS 10.0.10.0/24 256K Bajada / 2M Subida Max 45 MIN.

HOTSPOT USUARIO PASSWORD Perfil

ALUMNOS alumno 1234 alumnos2M

24
Información SSID

SSID VLAN TAG INTERFAZ MAESTRA

RED_ALUMNOS 10 Wlan1
RED_ADMIN 20 Wlan1
RED_DOCENTES 30 Wlan1

SSID TIPO DE SEGURIDAD CONTRASEÑA

RED_ALUMNOS OPEN HOTSPOT
RED_ADMIN WPA2-AES administrativos2016
RED_DOCENTE WPA2-AES docentes2016
S

25
 Observaciones finales

La red tiene un diseño de tipo estrella, siendo el punto principal el router GW1,
en caso de necesidad de ampliar el número de AP, con el fin de mejorar la
cobertura y cantidad de equipos conectados, se puede agregar un switch a la
salida del GW1 ampliando los puertos disponibles para nuevos equipos.
Mikrotik incluye la posibilidad de activar CAPsMAN, esto es un nuevo sistema
centralizado para manejo de múltiples AP (decenas a cientos) de manera
automática y centralizada, evitando el acceder equipo por equipo para
modificar configuraciones. Debido a la complejidad de este protocolo
propietario y la baja densidad del proyecto actual, no se tuvo como opción
implementarlo, pero es un protocolo a tener en cuenta en otros escenarios
Se puede mejorar la velocidad de acceso modificando el tipo de AP cotizado, a
uno de tecnología doble banda AC. Habilitando el uso de señal en 5Ghz en la
parte del cliente (disponible en equipos tope de gama tipo Samsung S7 y
Iphone 6s y otros). Debido a el costo mayor (3 veces el costo por AP
actualmente cotizado) no se tuvo como opción debido a la finalidad de conectar
una densidad media de usuarios.
Para una mejor gestión de usuarios, se recomienda complementar el sistema
hotspot con un servidor RADIUS que maneje los RUT o algún dato
identificador. De esta maneja se puede manejar una gran cantidad de usuarios
y evitar ingresar manual mente cada uno de los usuarios. Mikrotik es altamente
compatible con este sistema. Se puede encontrar mayor información
directamente en la Wiki de RouterOS.

26