Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NETWORKING III
Caso de estudio
2
3.3 Alta disponibilidad capa 3 ............................................................................ 44
3.3.1 Alta disponibilidad de FHRP .............................................................. 44
3.3.2 Tracking de FHRP ............................................................................. 48
3.3.3 Topología de alta disponibilidad IGP ................................................. 51
3.3.4 Topología Alta disponibilidad enlaces WAN ...................................... 53
4 Administración y monitoreo de red. ................................................................ 54
4.1 Administración de la red .............................................................................. 54
4.1.1 Topología de Direcciones IP de administración ................................. 54
4.1.2 Topología Servicios de administración de red ................................... 56
4.2 Monitoreo de la red...................................................................................... 62
4.2.1 Topología de Direcciones IP de monitoreo. ....................................... 62
4.2.2 Topología Servicios de monitoreo de red .......................................... 66
5 Seguridad de la red ........................................................................................ 73
5.1 Diseño de seguridad de capa 3 ................................................................... 73
5.1.1 Autenticación de VRRP ..................................................................... 73
5.1.2 Autenticación de IGP ......................................................................... 74
5.2 Diseño de seguridad de capa 2 ................................................................... 75
5.2.1 Diseño de seguridad DHCP snooping ............................................... 75
5.2.2 Diseño de seguridad VLAN hopping .................................................. 76
5.2.3 Diseño de seguridad ARP spoofing ................................................... 79
5.2.4 Diseño de seguridad Port-security ..................................................... 80
5.2.5 Diseño de seguridad Spanning-tree .................................................. 81
5.2.6 Diseño de seguridad Buenas prácticas ............................................. 83
6 Arquitectura de la red...................................................................................... 85
6.1 Diseño del modelo jerárquico ...................................................................... 85
6.1.1 Funciones de la capa de acceso ....................................................... 85
6.1.2 Funciones de capa de distribución o núcleo colapsado..................... 87
6.2 Diseño de arquitectura empresarial ............................................................. 88
6.2.1 Diseño del modelo de arquitectura empresarial ................................ 88
Conclusión............................................................................................................. 89
Bibliografía ............................................................................................................ 90
3
Índice de Imágenes
4
Ilustración 4.15 Ejemplo dashboard de nodos intercomunicados.......................... 70
Ilustración 4.16 Administración y respaldo de base de datos ................................ 71
Ilustración 4.17 Conexiones seguras para administración de servicios ................ 72
Ilustración 5.1 Configuración autenticación VRRP ................................................ 74
Ilustración 5.2 Configuración de autenticación EIGRP .......................................... 75
Ilustración 5.3 Puertos modo acceso .................................................................... 77
Ilustración 5.4 Puertos troncales ........................................................................... 78
Ilustración 5.5 Seguridad en capa de acceso ........................................................ 81
Ilustración 5.6 Puertos root y prioridades .............................................................. 82
Ilustración 5.7 Estado de los puertos STP ............................................................ 82
Ilustración 6.1 Diseño de modelo de arquitectura empresarial .............................. 88
5
Índice de Tablas
6
Introducción
7
1 Definición general del diseño
1.1 Objetivo general del diseño
1.1.1 Objetivo general del diseño
El objetivo general para la empresa “JETBLACK LTDA”, es dar una solución
de mejoramiento para el óptimo desempeño de la red de telecomunicaciones
existente, a través de la reestructuración de esta, en su gran mayoría. Diseñando
una “Alta Disponibilidad” y “Seguridad de los datos y servidores” a través de una
zona desmilitarizada (DMZ) en la arquitectura de red On-premise y acceso a
servidores On-Cloud.
8
1.2 Metas y límites del diseño
1.2.1 Metas del negocio
9
1.2.4 Limitantes técnicas del diseño
• No posee poder de respaldo, lo que con lleva que no exista una continuidad
operacional en la empresa.
• No existe una topología lógica definida que permita visualizar las diferentes
conexiones virtuales y protocolos dentro de la red.
10
2 Diseño de red Campus Empresarial.
2.1 Diseño de Servicios de Infraestructura
2.1.1 Diseño de servicios y aplicaciones de negocio
11
En la presente tabla se pueden apreciar la cantidad de servidores y los tipos
de servicios que están incluidos en la DMZ, a la cual se le asignará el número de
VLAN 200 con un rango de direccionamiento, el cual va desde la 172.16.3.65 al 76
con mascara de red 27, que nos permite que cada servidor tenga su propia IP.
SERVICIO DESCRIPCION IP
Base de Datos (KMDB) Gestión de Recursos 172.16.3.65
Base de Datos (CMDB) Gestión de Cambios 172.16.3.66
Base de Datos (FMDB) Gestión de Facturas 172.16.3.67
Base de Datos (SMDB) Gestión de Ventas 172.16.3.68
Base de Datos (NMDB) Gestión de Redes 172.16.3.69
Web KM Gestión de Recursos 172.16.3.70
Web CM Gestión de Cambios 172.16.3.71
Web SM Gestión de Ventas 172.16.3.72
Web FM Gestión de Facturas 172.16.3.73
Web NM Gestión de Red 172.16.3.74
FTP Transferencia de archivos internos 172.16.3.75
Email Cuentas de usuario correo electrónico 172.16.3.76
Tabla 2.1 Direccionamiento servidores de negocio
En la presente tabla se pueden apreciar el rango de direccionamiento IP
público del ISP principal que en este caso es Movistar asignando a cada uno de los
servidores de negocios, el cual va desde la dirección 190.108.160.1 al
190.108.160.12 con mascará 28 el cual será configurado en el FW1.
SERVICIO ASIGNADO A IP
Base de Datos (KMDB) FW1 190.108.160.1
Base de Datos (CMDB) FW1 190.108.160.2
Base de Datos (FMDB) FW1 190.108.160.3
Base de Datos (SMDB) FW1 190.108.160.4
Base de Datos (NMDB) FW1 190.168.160.5
Web KM FW1 190.108.160.6
12
Web CM FW1 190.108.160.7
Web SM FW1 190.108.160.8
Web FM FW1 190.108.160.9
Web NM FW1 190.108.160.10
FTP FW1 190.108.160.11
Email FW1 190.108.160.12
Tabla 2.2 Direccionamiento movistar servidores de negocios
En la presente tabla se pueden apreciar el rango de direccionamiento IP
público del ISP principal que en este caso es Entel asignando a cada uno de los
servidores de negocios, el cual va desde la dirección 186.67.237.1 al 186.67.237.12
con mascará 28 el cual será configurado en el FW2.
SERVICIO ASIGNADO A IP
Base de Datos (KMDB) FW2 186.67.237.1
Base de Datos (CMDB) FW2 186.67.237.2
Base de Datos (FMDB) FW2 186.67.237.3
Base de Datos (SMDB) FW2 186.67.237.4
Base de Datos (NMDB) FW2 186.67.237.5
Web KM FW2 186.67.237.6
Web CM FW2 186.67.237.7
Web SM FW2 186.67.237.8
Web FM FW2 186.67.237.9
Web NM FW2 186.67.237.10
FTP FW2 186.67.237.11
Email FW2 186.67.237.12
Tabla 2.3 Direccionamiento Entel servidores de negocio
13
2.1.2 Diseño de servicios y aplicaciones de red
14
En la presente tabla se pueden apreciar la cantidad de servidores y tipos de
servicios que actualmente posee la empresa, en conjunto a la conexión con el switch
de capa 2 y sus direccionamientos IP.
15
2.2 Diseño de topología de enrutamiento
2.2.1 Diseño de FHRP
16
Ilustración 2.3 Topología diseño VRRP
17
INFORMATICA 172.16.3.0/26 255.255.255.192
BUSINESS_SERVER 172.16.3.64/27 255.255.255.224
ADMIN 172.16.3.96/27 255.255.255.224
NETWOWKING_SERVER 172.16.3.128/27 255.255.255.224
Tabla 2.5 Direccionamiento Router virtual VRRP
18
Ilustración 2.4 Topología diseño EIGRP
19
DLS1(config-router)# passive-interface default
DLS1(config-router)# network 172.16.0.0 0.0.0.255
20
2.2.3 Diseño de NAT
Los tipos de NAT que se utilizaran en esta topología son los siguientes
21
Para finalizar los pasos para configurar PAT son los siguientes
• Primero definir una lista de acceso estándar que permita las direcciones a
traducir que en este serán las VLAN internas.
interface G1/0/2
ip nat inside
interface G1/0/1
ip nat outside
22
Web FM 172.16.3.73 190.108.160.9
Web NM 172.16.3.74 190.108.160.10
FTP 172.16.3.75 190.108.160.11
Email 172.16.3.76 190.108.160.12
Tabla 2.7 Direccionamiento NAT estático
23
200 BUSINESS_SERVER
300 ADMIN
100 NETWOWKING_SERVER
Ilustración
Tabla 2.9 2.5 Diseño
Diseño dedeVLAN
VLAN
24
Cada VLAN individual recibe su propio dominio de difusión o dominio de
broadcast. Si un participante envía una difusión dentro de la VLAN, todos los
demás participantes de ese segmento (y sólo esos participantes) reciben el
mensaje. La difusión no se transmite más allá de los límites de cada VLAN.
Regiones MST
MST es diferente de 802.1d y PVST+ aunque puede interoperar con ellos. Cada
switch configurado con MST debe saber que tipo de STP están ejecutando sus
vecinos.
Esto se hace configurando los switches en regiones MST comunes, donde en cada
switch en una región ejecuta MST con parámetros compatibles.
Por lo general en la mayoría de las redes, es suficiente una sola región MST, aunque
se puede configurar más de una región. Dentro de la región, todos los switches
deben ejecutar la instancia de MST que está definida por los siguientes atributos:
• Nombre de la configuración MST (32 caracteres). Region name.
• Número de revisión de la configuración MST (de 0 a 65535). Se debe
configurar manualmente en todos los switches el mismo número.
• Tabla con la relación entre instancia MST y la(s) vlan(s) (4096 entradas).
Indica en la instancia qué vlans contiene o qué vlan está en qué instancia.
25
Si dos o más switches tiene los mismos atributos están en la misma región, si no,
están en regiones diferentes.
Instancias IST
La idea detrás de MST es agrupar multiples VLANs a un número pequeño de
instancias de STP.
Dentro de una región las instancias MST coexisten con IST. Cisco soporta un
máximo de 16 instancias MST (MSTI) dentro de una misma región, que van desde
el 1 al 15 siendo la 0 utilizada por IST. Por defecto todas la VLANs pertenecen a la
instancia MST00, por lo que debemos explícitamente mapear las VLANs a la
instancia.
Configuración MST
En este diseño se configurarán DLS1 y DLS2 como Root Bridge para sus
respectivas instancias.
Para definir y configurar una región MST debemos seguir estos 7 pasos, de forma
manual, en cada uno de los switches que participen:
26
Este número nos sirve a modo de seguimiento, por lo que cada vez que se haga un
cambio en la configuración se debe incrementar en 1 manualmente. Como la
configuración dentro de una región debe coincidir en TODOS los switches debemos
replicar este incremento en todos los switches de la misma región.
6.- Mostrar los cambios que hemos realizado, es importante para verificar la
configuración:
7.- Salir del modo de configuración de MST que inmediatamente aplica los cambios
y los hace activos:
Switch(config-mst)# exit
Switch(config-mst)# abort
Una vez activado y configurado MST, PVST+ se detiene y el switch cambia a RSTP.
Un switch NO puede operar a la vez MST y PVST+.
Otras configuraciones
27
Switch(config)# spanning-tree mst [instance-id] priority [bridge-priority]
28
formar un bucle, pasa directamente a Forwarding. Si se recibe una BPDU en
un puerto Edge este puerto pierde su estado de Edge.
• Root Port: Es el puerto que tiene mejor coste hacia el raiz y solo
puede haber un puerto Root en cada switch.
• Point-to-Point Port: cualquier puerto que se conecta a otro switch y
se convierte en Designated Port. El estado del puerto lo decide un acuerdo
rápido ente ambos switches en vez de que un temporizador expire.
29
Ilustración 2.6 Diseño de multiple spanning tree
30
Diagrama Configuración MST
31
2.3.3 Diseño de Vlan Trunk Protocol (VTP)
32
DLS (config)#vtp domain ccnp3.cl
En cada enlace troncal entre Distribución y Acceso la configuración tipo será la siguiente:
33
DLS(config-if-range)#sw trunk allowed vlan xx [Vlans asignadas a cada
A tener en cuenta
• Todas las interfaces deben tener las mismas características. Misma
velocidad, duplex, storm-control, flow-control, MTU, etc.
• Se crea redundancia entre las interfaces.
• Ninguna interface puede ser un puerto SPAN (SPAN permite capturar el
tráfico que entra y sale de los puertos de un switch. Luego los envía a otro
host conectado a su red)
• Las interfaces deben pertenecer a la misma vlan o al mismo trunk.
• Cualquier cambio en el port-channel afecta a todos los puertos.
• Un cambio en un puerto individual afecta solo a ese puerto.
34
Descripción del Protocolo LACP
35
Configuración en la capa 2: DLS1 y DLS2
36
Ilustración 2.8 Diagrama de descripción ether channel LACP
37
3 Diseño de Alta disponibilidad
3.1 Alta disponibilidad capa 1
3.1.1 Topología de enlaces físicos
38
En la siguiente tabla se detallan interfaces de conexión según “ilustración 3.1”.
39
VL 40(ventas)
VL 50(Servicio al cliente)
VL 60 (Dirección general)
VL 70 (Secretaría)
VL 80 (Proyectos)
VL 90 (Marketing)
DLS2 FA 0/2 ACCESS_2 FA 0/24 VLAN 30 (Control)
DLS2 FA 0/3 ACCESS_3 FA 0/24 VLAN 10 (Finanzas)
VLAN 90 (Marketing)
DLS2 FA 0/4 ACCESS_4 FA 0/24 VLAN 20 (Informática)
VLAN 80 (Proyectos)
DLS2 FA 0/5 ACCESS_5 FA 0/24 VLAN 40 (Ventas)
VLAN 70 (Secretaría)
DLS2 FA 0/6 ACCESS_6 FA 0/24 VLAN 50
(Servicio al cliente)
VLAN 60
(Dirección General)
Tabla 3.1 Enlaces físicos WAN
40
3.2 Alta disponibilidad capa 2
3.2.1 Topología de alta disponibilidad de STP
41
Configuración estará guiada bajo la siguiente línea de comandos:
DLS1
DLS2
DLS2(config-mst)#name region1
DLS2(config-mst)#revision 10
DLS2(config-mst)#instance 1 vlan 10,20,30,40,50,60,70,80,90
DLS2(config-mst)#instance 2 vlan 500
DLS2(config-mst)#instance 3 vlan 100
DLS2(config-mst)#exit
DLS2(config)#spanning-tree mst 2-3 root primary
DLS2(config)#spanning-tree mst 0-1 root secondary
42
Access_1(config-mst)#name region1
Access_1(config-mst)#revision 10
Access_1(config-mst)#instance 1 vlan 10,20,30,40,50,60,70,80,90
Access_1(config-mst)#instance 2 vlan 500
Access_1(config-mst)#instance 3 vlan 100
Access_1(config-mst)#exit
43
A continuación, se muestra figura con diseño de alta disponibilidad spanning tree
detallando las vlan que participan en balanceo de carga y prioridades que los
switches de capa 3 asignan por defecto al primario y secundario.
44
30 (CONTROL)
40 (VENTAS)
50(SERVICIO AL CLIENTE)
60(DIRECCIÓN GENERAL)
70 (SECRETARÍA)
80 (PROYECTOS)
90 (MARKETING)
DLS1 BACKUP 500 (TELEFONÍA)
100(NETWORKING_SERVER)
DLS2 MASTER 500 (TELEFONÍA)
100(NETWORKING_SERVER)
DLS2 BACKUP 10 (FINANZAS)
20 (INFORMÁTICA)
30 (CONTROL)
40 (VENTAS)
50(SERVICIO AL CLIENTE)
60(DIRECCIÓN GENERAL)
70 (SECRETARÍA)
80 (PROYECTOS)
90 (MARKETING)
Tabla 3.4 Roles VRRP
Cabe destacar que preempt está habilitado por defecto en VRRP, que es el que
permite reclamar el rol de activo una vez que se haya recuperado de la falla,
mensajes de hello y holdtime son de 1 y 3 segundos respectivamente.
Estados de VRRP
45
Se aplicarán siguientes comandos, creando interfaz vlan y su direccionamiento
dentro del rango de la LAN, estableciendo la primera dirección ip de cada vlan, como
puerta de enlace virtual, designando una prioridad de 120, mayor que la prioridad
por defecto que es 100 según el switch master de cada vlan.
DLS1
[DLS1-Vlanif10] exit
DLS 2
[DLS2-Vlanif10] exit
46
En la siguiente figura se aprecia el balanceo de carga y alta disponibilidad de VRRP,
las vlan que están asociadas en cada switch de distribución y respectiva prioridad.
47
3.3.2 Tracking de FHRP
2.- Luego, se aplica el track a la interfaz hacia LAN, con el objetivo que cuando
detecte un fallo decremente su prioridad en 30 y pase a ser el backup:
CONFIGURACIÓN IPSLA
Finalmente configurar un ping a la interfaz f0/23 del FW1, desde la interfaz f0/23 de
DLS1, que lo haga siempre y que se active inmediatamente luego de configurar con
un timeout de 6 segundos y una frecuencia de 10 segundos, de esta manera cuando
el ip sla se active, activa inmediatamente el track y el track decrementa en 30 la
prioridad de VRRP.
[DLS1] Ip sla 1
[DLS1] Frecuency 10
48
La siguiente figura muestra el track de las vlan configuradas en caso de fallo del
enlace entre DLS1 y FW1
Para que el comportamiento de las trazas sea al igual que en el caso anterior, si
existiera un fallo en el enlace entre DLS2 y FW2, se aplican siguientes comandos:
49
[DLS2-Vlanif10] vrrp vrid 1 track 10 decrement 30
[DLS2] Ip sla 1
[DLS2] Frecuency 10
La siguiente figura muestra el track de las vlan configuradas en caso de fallo del
enlace entre DL21 y FW2.
50
Cabe destacar que una vez se reestablece el enlace, los switches vuelven a su
estado original.
51
En la siguiente figura se demuestran las interfaces que deben ser configuradas
pasivas dentro del protocolo EIGRP.
52
3.3.4 Topología Alta disponibilidad enlaces WAN
53
4 Administración y monitoreo de red.
4.1 Administración de la red
4.1.1 Topología de Direcciones IP de administración
SERVICIOS DE NETWORKING DIRECCIONES IP VLAN
SERVER_AD 172.16.3.129 100
SERVER_DHCP 172.16.3.131 100
SERVER_ARCHIVO 172.16.3.132 100
SERVER_PANDORA 172.16.3.132 100
Tabla 4.1 Direcciones ip servidores de networking
54
Todas las credenciales de accesos serán monitoreada y almacenada por la vlan de
administración, para este correcto control se utilizará el software Keepass versión
2.50 para almacenar las credenciales de acceso.
SHA 256=
84790D4CCA415348BA32574CFEEAD51B225410A5B1DCB6056A8C2194413F3
BDF
La VLAN 100 está destinada para los servidores catalogados como servicios de
networking, cuyo objetivo es entregar servicios a los usuarios finales de la
organización para agilizar los procesos, datos, transferencias de archivos, etc.
Dentro de la VLAN 100 se encuentran 04 servidores dedicados para su
funcionamiento que se detallarán en el siguiente punto de topología servicios de
administración de red.
55
Ilustración 4.2 Vlan 100 directamente con ACCESS_1
IP HOST : 172.16.3.132/27
Username: admin_pandora
Pass: LgaHGsVnBiRFuta1lTvW
56
Ilustración 4.3 Dashboard de Pandora FMS
IP HOST: 172.16.3.129/27
Username: Administrador
Password: DGajEQRX15mNPvQYQ0BZ
57
Ilustración 4.4 Administración de Active Directory Windows 2019
IP HOST: 172.16.3.131/27
Username: Administrador
Password: 0lOMyZF3MFxY9uc86cwp
58
Ilustración 4.5 Implementación de servicio DHCP primario en server 2019
59
IP HOST: 172.16.3.132/27
Username: Data_Admin
Password: ftvMkffrR1C3hT0waCud
60
Ilustración 4.7 Dashboard lomega NAS, gestor de directorios administrables
61
4.2 Monitoreo de la red
4.2.1 Topología de Direcciones IP de monitoreo.
Dispositivo Red Mascara
FW1 172.16.3.210 255.255.255.248
FW2 172.16.3.218 255.255.255.248
SERVER_PANDORA 172.16.3.132 255.255.255.224
Tabla 4.3 direcciones ip firewalls y pandora
EL monitoreo principal será desde la consola FDM de Firepower: (Firepower Device
Manager)
La administración y monitoreo de la organización cumple unos objetivos muy
indispensables para brindar la correcta conexión y seguridad a la red organizacional.
Los servicios que ofrece Firepower es de protección a la red mediante Firewall y de
sistema de previsión de intrusos (IPS). Dejando la conexión en modo en línea.
62
Ilustración 4.8 Conexión de Firepower in line
Cuando el administrador inicia sesión por consola, SSH o vía web, se ejecuta un
script para iniciar la consola FOXS y sus caracteristicas de monitoreo. La figura
muestra tipos iniciales del proceso inicio de sesión donde le pedirá nombre de
usuario, contraseña.
172.16.3.210
63
El FTD (Firepower threat defense) o FW (firewall) se monitoreará mediante la GUI
de FDM (FIrepower device manager) basada en interfaz gráfica web que solamente
requiere un navegador compatible, como en el caso de Google Chrome, Firefox,
Edge, safari y Brave. Mediante este monitoreo simplifica la experiencia del
administrador mediante el uso de asistentes de configuración, políticas de red,
reglas de intrusiones para la seguridad de la red.
64
Ilustración 4.11 alta disponibilidad ante falla de enlace
65
4.2.2 Topología Servicios de monitoreo de red
Monitoreo de la red con Pandora FMS
Por ésta y otra cantidad de razones más, se vuelve importante estar atento a los
eventos que ocurre en nuestra red organizacional, ya sea para tener un control
estadístico, de inventario, estado del equipamiento, etc. Las posibilidades que
ofrecen los sistemas de monitoreo son innumerables, debido que nos mantiene en
alerta a cualquier eventualidad que surja dentro de la red organizacional y puede
verse como una gran ventaja para el apoyo de la seguridad además de facilitar la
tarea de administración, gestión y reacción ante fallas.
Pandora Fms tiene una gama de compatibilidades e instaladores para diferentes
sistemas operativos y de diversos proveedores amoldado a diferentes necesidades
de cada administrador.
66
Ilustración 4.12 Módulos antes fallas, rojo falla en equipamiento
PROTOCOLOS DE MONITOREO:
La implementación para ser efectivo este servicio es con un servidor dedicado para
su instalación y con hardware que permita el correcto funcionamiento y monitoreo.
67
La opción para configurar es por medio del sondeo por trampas (traps) donde el
servidor Pandora se mantiene atento a situaciones puntuales que le reporta un
agente; podría determinarse como más ventajoso, ya que no va el servidor nodo por
nodo preguntando y así es más eficiente para la performance de la red
organizacional.
68
Visualización de Servicios en Cloud.
69
Ilustración 4.15 Ejemplo dashboard de nodos intercomunicados
70
Ilustración 4.16 Administración y respaldo de base de datos
71
Ilustración 4.17 Conexiones seguras para administración de servicios
72
5 Seguridad de la red
5.1 Diseño de seguridad de capa 3
5.1.1 Autenticación de VRRP
5.1.1.1 Descripción De Autentificación VRRP
DLS1
DLS 2
73
[DLS2-Vlanif10] 10 authen md5 key-string VRRPPASS
74
Ejemplo:
75
5.2.1.2 Configuración DHCP Snooping
Ejemplo:
Para aprovechar este auto trunk por defecto, el atacante configura su host para
lanzar señales falsas de 802.1Q (standard de red que da soporte a VLANs sobre
una red 802.3 Ethernet) y de DTP (Dynamic Trunking Protocol es un protocolo
propietario de Cisco que permite negociar el trunking en un link entre dos switches
y el tipo de encapsulamiento a usar).
76
ACCESS_1(config)# interface range fa0/1 - 10
ACCESS_1(config-if-range)# exit
DLS1#exit
77
DLS1# interface range fa0/21 - 24
DLS1#switchport nonegotiate
DLS1# end
78
5.2.3 Diseño de seguridad ARP spoofing
5.2.3.1 Descripción ARP Spoofing
Ejemplo:
Ejemplo:
79
5.2.4 Diseño de seguridad Port-security
Se aplicará seguridad de puerto en todos los switches de capa dos en donde los
puertos se encuentren en modo acceso.
Switchport port-security
A través de este comando se habilitará la seguridad de puerto para
los puertos de acceso.
switchport-security max 10
Con el propósito restringir el máximo de direcciones se habilitará un
máximo de 10 direcciones Mac por cada switch de capa dos.
DLS1
Ejemplo:
80
Ilustración 5.5 Seguridad en capa de acceso
Puertos no root
81
Ejemplo:
82
5.2.6 Diseño de seguridad Buenas prácticas
banners motd
El objetivo es advertir a los usuarios no autorizados que sus actividades podrían
ser motivo de persecución.
Contraseñas seguras
Se utilizará el comando de configuración global service password-encryption para
cifrar todas las contraseñas que no se pueden cifrar mediante una autenticación
sólida.
Black Hole
Se va a crear una vlan con el nombre Black Hole, con el propósito de agrupar todos
los puertos que no se encuentren en uso.
Puertos Shutdown
Todos los puertos que no estén siendo utilizados se dejaran como shutdown, con el
fin de quedar abajo y no se encuentren activos.
No CDP Neigbord
No se habilitará CDP para los switches que estén conectados con usuarios finales.
83
Asegure la interfaz web integrada
Se utilizará la interfaz web del conmutador, utilice HTTPS. Para habilitar HTTPS,
use el comando de configuración global del servidor seguro ip http.
DLS1# login
DLS1# end
84
DLS1#exit
DLS1# shutdown
6 Arquitectura de la red
6.1 Diseño del modelo jerárquico
6.1.1 Funciones de la capa de acceso
La capa de acceso en la presente topología interactúa con dispositivos finales que
en el caso del diseño de topología propuesta son computadoras e impresoras en
estaciones de trabajo asociadas a cada departamento dentro de la empresa
JETBLACK LTDA, donde se crearon 9 VLAN de datos, VLAN 10 para el
departamento de finanzas, VLAN 20 para el departamento de informática, VLAN 30
para el departamento de control, VLAN 40 para el departamento de ventas, VLAN
50 para el departamento de servicio al cliente, VLAN 60 para la dirección general,
Vlan 70 para secretaría y planificación, VLAN 80 para la Dirección de proyectos y
VLAN 90 para marketing, Vlan 100 para la para PBX y telefonía IP y finalmente
VLAN 500 para los servidores de networking, con el objetivo de proporcionar
acceso a la red, la singularidad en esta topología con respecto a los dispositivos
finales es que los teléfonos se conectan a cada computador para obtener
direccionamiento, anexo y otras configuraciones desde la PBX, esto con el propósito
de reducir equipamiento de red y dejar un porcentaje de los puertos sin ocupar
brindando escalabilidad a la propuesta brindada dando la posibilidad de añadir
nuevos empleados y puestos de trabajo dentro de la empresa, La topología presenta
6 switches de 48 bocas cada uno marca Cisco y modelo SF350-48 10/100, de
acuerdo con la siguiente distribución:
1. Switch de acceso 1:
- Vlan 500 (06 servidores de networking)
- Vlan 100 (01 PBX)
85
- 3 HUB´S de 24 bocas (15 impresoras por HUB)
2. Switch de acceso 2:
- Vlan 30 (30 usuarios)
3. Switch de acceso 3:
- Vlan 10 (20 usuarios)
- VLan 90 (20 usuarios)
4. Switch de acceso 4:
- Vlan 20 (16 usuarios)
- VLan 80 (20 usuarios)
5. Switch de acceso 5:
- Vlan 40 (24 usuarios)
- VLan 70 (20 usuarios)
6. Switch de acceso 6:
- Vlan 50 (25 usuarios)
- VLan 60 (20 usuarios)
86
red, que era una de las principales deficiencias expresadas en el requerimiento
inicial.
La capa de distribución o núcleo colapsado está compuesto por dos swithes de capa
3 de 48 bocas cada uno, marca Cisco y modelo SF350-48 10/100. Ésta
capa agrega los datos recibidos de los switches de la capa de acceso
para finalmente enrutar hacia su destino final.
Para que la capa de distribución pueda recibir las distintas vlan a través de sus
interfaces físicas se creó, enrutamiento intervlan para todas las LAN virtuales
creadas en los switches de acceso, en DLS1 y DLS2, asignando cada interfaz virtual
a la interfaz física correspondiente.
87
networking, se enruten a través del DLS2, en este escenario al presentarse una falla
de enlace o equipamiento, cada vlan tiene un switch de backup de acuerdo con las
prioridades asignadas en los diseños presentados en el informe.
88
Conclusión
Finalmente, mediante este informe podemos apreciar una arquitectura de red donde
se determinó un diseño de comunicaciones de acuerdo a las necesidades
establecidas en el caso de estudio, para lo cual como primera medida fue entender
los principales inconvenientes de la empresa, donde se evidencio problemas graves
tales como; perdida de información, fallas del proveedor de internet, fallas del
acceso WAN, daños en enlaces físicos de la red, acceso a la red, retardo del tráfico,
el robo y venta de información, etc. Con estos antecedentes se logró establecer un
diseño de red el cual permita a la empresa afectada mantener una continua
conectividad en sus servicios internos y externos.
89
Bibliografía
✓ Specify MST Forward Time, Hello Time, and Max Age - Sun Ethernet Fabric
Operating System. (s. f.-b). Moved. https://docs.oracle.com/cd/E19285-
01/html/E21706/z40001891436171.html
90
✓ Configure DHCP Server/Relay on FTD Using Firepower Management
Center (FMC). (s. f.).
Cisco. https://www.cisco.com/c/en/us/support/docs/security/firepower-
ngfw/200475-Configure-DHCP-Server-Relay-on-FTD-Using.html
✓ Iomega 12TB (4 x 3TB) StorCenter px4-300r 1U Rack mount NAS. (s. f.).
BT Business Direct. https://www.businessdirect.bt.com/products/iomega-
12tb---4-x-3tb--storcenter-px4-300r-1u-rack-mount-nas-34775-7J74.html
91