ManualAdministradorNetLAN2 2

Solucin Net-LAN
Gua del Administrador
Gua Administrador
Pgina 1 de 40
ndice
1. 2. 3. INTRODUCCIN ...................................................................................................4 ENTRADA EN EL SISTEMA.....................................................................................4 PORTAL DE GESTIN............................................................................................5
3.1 Soporte Tcnico y Averas .......................................................................................... 7 Manuales ............................................................................................................ 7 Configuracin de Sedes ADSL ............................................................................... 7 Configuracin RTC ............................................................................................... 8 Configuracin IPSec ............................................................................................. 8 Configuracin ADSL Wi-Fi de Movistara................................................................. 8
3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2
Administracin de su RPV-IP ...................................................................................... 8
4.
GESTIN DE USUARIOS ........................................................................................9

4.1 Bsqueda de usuarios ................................................................................................ 9 Bajas ................................................................................................................. 10 Activacin / Desactivacin ................................................................................. 11 Convertir Usuarios a RPV WiFi ............................................................................ 11 Cambio de contrasea ....................................................................................... 11
4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.3 4.4 4.5
Altas........................................................................................................................ 12 Altas masivas en lista ............................................................................................... 13 Altas en bucle .......................................................................................................... 14 Bajas de usuarios en lista ......................................................................................... 15
5.
INFORMES Y DIAGNSTICO ................................................................................16

5.1 5.2 Informes SIA ............................................................................................................ 17 Configuracin salida a Internet ................................................................................. 18
1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 2 de 40
5.3
Informes rendimiento .............................................................................................. 19
6.
ADMINISTRACIN AVANZADA ............................................................................21

6.1.1 6.1.2 6.1.3 6.2 Administracin diferenciada............................................................................... 22 Configurar DNS.................................................................................................. 23 Flujos de trfico y Calidades de Servicio. QoS....................................................... 24
Punto Singular ......................................................................................................... 28 Punto Singular con NAT selectivo en EDC............................................................ 29 Punto Singular con NAT en LAN de Cliente .......................................................... 29
6.2.1 6.2.2
7.
GESTIN DEL CLIENTE IPSEC..............................................................................29

7.1 7.2 Visibilidad de Red Local: ........................................................................................... 30 Opciones de filtrado (Split tunneling) ........................................................................ 31 Funcionamiento de las listas de acceso ............................................................... 31 Ejemplos de situaciones ..................................................................................... 33 Resumen........................................................................................................... 38
7.2.1 7.2.2 7.2.3 7.3 7.4 7.5
Descarga de configuracin software IPSec ................................................................ 38 Consulta parmetros:............................................................................................... 39 Datos para Configuracin de PDAs ........................................................................... 40
8. 9.
FIREWALL Y ENCRIPTACIN ...............................................................................40 GESTIN DEL TRFICO LAN ................................................................................40
1. INTRODUCCIN
En este documento se pretende guiar al administrador en el uso del Portal de Gestin. En l se mostrar como realizar las operaciones bsicas para la configuracin de funcionalidades del servicio y el mantenimiento de los usuarios de las distintas Redes Privadas Virtuales IP (RPV-IP) que el usuario puede administrar. Los requisitos mnimos para poder usar la aplicacin son un navegador http y una conexin a Internet, como le corresponde a toda aplicacin web. Para acceder a la aplicacin es necesario estar dado de alta en Canal OnLine, con los adecuados permisos de acceso. Esta operacin habr sido tramitada por el comercial correspondiente en el momento del alta en el servicio Solucin Net-Lan.
2. ENTRADA EN EL SISTEMA
El acceso al Portal de Gestin se realizar a travs de Canal Online, utilizando para ello la siguiente direccin movistar.es/negocios/netlan . En esta primera pgina se nos muestra una breve descripcin del servicio, as como el enlace para gestionar el servicio.
Figura 1: Pgina de acceso al Portal de Gestin
Una vez que pulsemos sobre dicho enlace, el sistema nos pedir el usuario y contrasea de :
Figura 2: Peticin de usuario y contrasea
y tras autenticarnos pasaremos al Portal de Gestin donde encontraremos informacin del servicio, as como las herramientas para la gestin del servicio. Si se accede previamente a la parte de AREA PRIVADA y se autentica se mostrar una lista de los servicios contratados. Este ser otro posible acceso al portal de gestin de redes privadas virtuales.
3. PORTAL DE GESTIN
En primer lugar tendremos que seleccionar la RPV-IP que queremos gestionar. Pueden presentarse tres situaciones: 1. Ninguna RPV-IP: en este caso aparecer un mensaje de error avisando de lo ocurrido. 2. Una nica RPV-IP: en este caso se pasar directamente a la pgina principal del Portal de Gestin. 3. Varias RPV-IPs: en este caso la pgina mostrada ser la siguiente:
Figura 3: Seleccin de RPV-IP
En esta pgina aparece un listado con todas las RPV-IPs de las que el usuario es administrador, y entre las que debe elegir una. Una vez hecho esto ya podr acceder a la pgina principal pulsando en el enlace ACEPTAR.
Figura 4: Pgina principal del Portal de Gestin
En la pgina del Portal se nos muestra una barra con distintas pestaas que indican las gestiones que podemos hacer, por defecto siempre aparece abierta la pestaa de Gestin de usuarios.Sobre la barra, junto al CIR de la RPV-IP aparecen dos enlaces adicionales: Necesita ayuda? Que nos llevar a una pgina desde la que se podr descargar manuales de utilizacin del servicio. La informacin disponible se describe en apartado 3.1 Noticias que nos llevar a una nueva pgina donde se publican peridicamente noticias y novedades sobre el servicio Net-LAN.
3.1 Soporte Tcnico y Averas

Dentro de esta categora nos encontraremos documentos informativos de las caractersticas del servicio, as como distintos manuales de configuracin de los elementos del servicio. Veremos los distintos documentos que podemos encontrar. Adems se podr consultar el estado de las averas de los servicios correspondientes al usuario de Canal Online.
Figura 5: Pgina de Soporte Tcnico
3.1.1 Manuales Esta subcategora incluye los siguientes documentos: Manual del usuario Manual del Administrador Gua rpida de Firewall Gua rpida de cifrado
3.1.2 Configuracin de Sedes ADSL Esta subcategora incluye los siguientes documentos:
Mdem-router Thomson ST580i: gua de configuracin Mdem-router Thomson ST580i: software configuracin Mdem-router Xavi 7028r: gua de configuracin Mdem-router Xavi 7028r: software configuracin Mdem-router Zyxel P650: gua de configuracin Mdem-router Zyxel P650: software configuracin Mdem-router Zyxel P660: gua de configuracin Mdem-router Zyxel P660: software configuracin
3.1.3 Configuracin RTC Gua de configuracin Accesos a travs de conexin telefnica (RTC)
3.1.4 Configuracin IPSec Gua de configuracin IPSec en un ordenador Gua de configuracin IPSec en una agenda electrnica Software Cliente IPSec (versiones de Linux, MacOs, Solaris, Windows y agendas electrnicas)
3.1.5 Configuracin ADSL Wi-Fi de Movistara Gua de configuracin Servicio Acceso Corporativo Software Servicio Acceso Corporativo
3.2 Administracin de su RPV-IP

Como ya se ha comentado al seleccionar la RPV, la pgina de Gestin de Usuarios es la primera que aparece.
Figura 6: Bsqueda de usuarios
4. GESTIN DE USUARIOS
Por defecto, al autenticarse en el portal y seleccionar la RPV-IP que corresponde administrar, siempre aparecer como primera pantalla la de Bsqueda de Usuarios, desde donde podr consultar la lista de usuarios dados de alta.
4.1 Bsqueda de usuarios

Utilizaremos esta opcin, para que el sistema nos muestre los usuarios que actualmente tenemos dados de alta, posteriormente sobre estos usuarios podremos realizar distintas operaciones. Para realizar la bsqueda se solicita una cadena de bsqueda se puede utilizar * como comodn - y la eleccin de un mnemnico, as como la eleccin de un tipo de usuario. Una vez cumplimentado el formulario puede lanzarse la bsqueda, pulsando para ello el enlace buscar. Si se encuentran usuarios que satisfagan los criterios anteriormente definidos, se mostrarn en forma de tabla.
Figura 7: Resultado de la bsqueda
Sobre
la
lista
de
resultados
obtenida
podemos
realizar
cuatro
acciones:
baja,
activacin/desactivacin, cambiar a tipo rpv/wifi (sedes LAN WiFi y ADSL LAN Wifi) y cambio de password.
4.1.1 Bajas La baja de usuarios se realiza sobre la tabla anterior resultado de una bsqueda, es decir, no podremos dar de baja a ningn usuario si previamente no lo hemos buscado. Como se puede apreciar en la figura anterior la primera columna de la tabla de resultados est compuesta por un cuadro de check, para dar de baja a un usuario, basta con marcar la casilla correspondiente y pulsar el botn de baja. El sistema iniciar el proceso de dar de baja a los usuarios e informar del resultado del proceso una vez finalizado. Desde esta pgina informativa se podr volver al listado desde el que se parti pudindose ver reflejados en ste los cambios producidos al eliminar algunos de los usuarios. NOTA: al hacer consultas de usuarios es posible que obtengamos ms de una pgina de resultados; en estos casos no es posible dar de baja simultneamente a usuarios situados en pginas distintas sino que ser necesario dar de baja a los usuarios de una pgina antes de pasar a la siguiente
4.1.2 Activacin / Desactivacin De igual forma que ocurre con las bajas, slo se pueden activar / desactivar usuarios despus de haberlos buscado. Para hacerlo debe pincharse en la palabra activo o no activo perteneciente al usuario en cuestin. Aparecer un mensaje como el de la figura pidiendo confirmacin y si se acepta el sistema realizar el proceso solicitado.
Figura 8: Verificacin de la desactivacin de usuario
Despus el sistema informar al administrador del xito del proceso. Si realizamos una nueva bsqueda podremos ver que el estado del usuario ha pasado de activo a no activo.
4.1.3 Convertir Usuarios a RPV WiFi Desde la pgina de resultados de una bsqueda se pueden sealar los usuarios que se deseen para efectuar una conversin masiva del tipo de estos usuario, de forma que pasen a ser RPV+WiFi. Esto se hace desde el enlace que hay en la parte baja convertir a rpv+wifi de la pgina de resultados. Si el proceso ha tenido xito se informa debidamente en una pgina de confirmacin.
4.1.4 Cambio de contrasea Por ltimo, dentro de las acciones que podemos realizar tras la bsqueda, tenemos el cambio de contrasea de los usuarios. Para cambiar la contrasea de un usuario hay que pinchar en el nombre de ste que es un enlace a la pgina de la figura.
Figura 9: Cambio de contrasea de usuario remoto
Como se puede ver aparece el nombre del usuario y dos cajas de texto, una para la nueva contrasea y la otra para re-escribirla. Pulsando el link aceptar se inicia el proceso, informando debidamente del xito o no del mismo.
4.2 Altas
Para dar de alta a un nuevo usuario se requieren los siguientes datos, solicitados en esta pgina: a. Nombre: mximo 8 caracteres (nmeros y letras) b. Contrasea: mximo 8 caracteres (nmeros y letras) c. Confirmacin contrasea: misma cadena que en el campo anterior d. Tipo de usuario: rpv, WiFi, rpv+WiFi e. Mnemnico: el mnemnico de la RPV-IP al que pertenecer el usuario. A la hora de aadir un usuario se tendrn en cuenta el nmero mximo de estos que puede contener la RPV-IP. Si se excediera este nmero o el nombre de usuario ya existiera el administrador sera informado debidamente.
Figura 10: Alta de usuario remoto
4.3 Altas masivas en lista

Otra opcin para dar de alta usuarios y no tener que hacerlo de uno en uno, es por medio de las altas en lista, opcin que aparece en el men de la parte superior de la pantalla.
Figura 11: Alta masiva de usuarios remotos en lista
Para introducir los usuarios se requieren los siguientes datos, solicitados en esta pgina: 1. Lista de usuarios: la lista de usuarios a dar de alta, en el formato:
usuario1,password1;usuario2, password2; no excediendo nunca los 8 caracteres para el usuario y 8 para el password. 2. Mnemnico: el mnemnico al que pertenecer el usuario debe escogerse de entre una lista donde aparecen todos los disponibles en esa RPV. 3. Tipo de usuario: rpv, WiFi, rpv+WiFi. Una vez introducida la lista pulsamos aceptar y tendremos dados de alta todos los usuarios. Si se excede el nmero de usuarios o se produce cualquier otro error en el alta de un usuario, se dar de alta todos los usuarios anteriores al errneo, y se presentar un mensaje informando del usuario en el que se ha quedado el alta.
4.4 Altas en bucle

Otra facilidad para dar de alta elevados nmeros de usuarios con identificadores similares es Altas en bucle opcin que aparece igualmente en el men de la parte superior de la pantalla.
Figura 12: Alta de usuarios remotos en bucle
En este caso puede escoger un nombre y contrasea de usuario y la aplicacin completar nombre y contrasea concatenando nmeros 1 hasta el nmero tecleado en N de usuarios a introducir. El mximo nmero es 99999. Como en el caso de Altas en lista, usuario y contrasea no pueden exceder los 8 caracteres en total (login+nmero y contrasea+nmero).
4.5 Bajas de usuarios en lista

Para facilitar la baja masiva de usuarios, existe la opcin de bajas en lista
Figura 13: Bajas de usuarios en lista
Esta opcin dar de baja a los usuarios en el servicio RPV-IP y WiFi. La lista de usuarios a dar de baja se pone en formato login1,passwd1;login2,passwd2;... en el recuadro, para dar de baja a los usuarios de la lista. El login y passwd no pueden exceder los 8 caracteres. Posteriormente se mostrar la lista de los usuarios que se han intentado borrar y de los usuarios dados de baja con xito.
5. INFORMES Y DIAGNSTICO
El administrador tambin podr acceder a los servicios de informes que tenga contratados. Estos estarn accesibles desde la pgina de la figura a la que se llega desde la pestaa Informes y Diagnostico. Como las RPV-IPs se encuentran agrupadas por empresa, el Portal suministra un mecanismo para poder obtener la informacin de informes de la RPV. Dentro del Portal, la pgina de Informes y Diagnostico proporciona las siguientes opciones: Informes SIA. Configuracin Salida a Internet. Informes Rendimiento.
5.1 Informes SIA

En esta pestaa nos aparecer una pgina con el listado de los informes disponibles y su descripcin. Los podr visualizar en formato pdf pulsado sobre ellos.
Figura 14 Listado de Informes de SIA
Si se clickea sobre uno de los enlaces pdf se visualizar el informe seleccionado en una nueva pantalla:
Figura 15: Descripcin de Informe pdf
5.2 Configuracin salida a Internet

Nada ms seleccionar est opcin se lanza una consulta para recuperar las sesiones de activas de salida a Internet para la toda la RPV-IP. Se informa al usuario de que la operacin puede tardar varios minutos. Para ver el resultado hay que presionar el botn aceptar.
Figura 16: Lanzamiento de Consulta
Una vez lanzada la consulta se presiona sobre el botn de aceptar para ver el resultado.
Figura 17: Resultado de Consulta de sesiones de Internet activas
5.3 Informes rendimiento

Un usuario podr realizar varias acciones desde esta pantalla de informe de rendimiento
Figura 18: Informes de rendimiento
a.- Lista informes lanzados: Para ver los informes que han sido lanzados y en el estado que se encuentran. Presionando sobre el link listar se accede a la pantalla Listado de Informes. En est pantalla el usuario puede borrar aquellos informes que desee seleccionndolos en los checkbox que aparecen en la primera columna y posteriormente presionando en el botn de aceptar. As mismo, existe la posibilidad de seleccionar/deseleccionar todos los informes de una sola vez para proceder al borrado.
Una vez realizado el borrado, se le mostrar una pgina informativa de la operacin satisfecha. Se podr consultar el resultado del informe en concreto presionando en el link de Consultar >> pudiendo elegir el formato en el que queremos visualizarlo de un desplegable dispuesto con las distintas opciones (gif, pdf png). EL resultado se muestra en una ventana nueva.
Figura 19: Listado de Informes de rendimiento
Figura 20: Listado de Informes de rendimiento
b-
Lanzamiento de informes: El lanzamiento de un tipo de informe (error o rendimiento) que
seleccionar de un men desplegable para una sede concreta que seleccionar tambin de un men desplegable. Una vez realizado el lanzamiento se presentar una pantalla informando de la satisfaccin o no de la operacin.
Figura 21: Informes lanzados
6. ADMINISTRACIN AVANZADA
La Administracin Avanzada nos permite modificar o gestionar servicios especficos de la RPV-IP
Figura 22: Pantalla principal de administracin avanzada
Las opciones disponibles son las siguientes:
Administracin diferenciada Configurar DNS Flujos de trfico con QoS (calidad de servicio) Punto nico: esta opcin slo aparece si se tiene contratada esta facilidad
6.1.1 Administracin diferenciada Esta nueva funcionalidad permite diferenciar la administracin de distintas RPV-IPs de un mismo promotor. Mediante la asignacin de diferentes contraseas para cada RPV-IP o para una determinada, es posible diferenciar y proteger la administracin en dichas RPV-IPs respecto al resto. Esta opcin aparece como opcin inicial segn se observa en la figura anterior. Desde cualquier otra opcin se accede pulsando el enlace Administracin Diferenciada dentro de la administracin avanzada.
Figura 23: Pantalla de administracin diferenciada
Una vez configurada la opcin de administracin diferenciada, cada vez que se intente acceder a la administracin dicha RPV-IP, solicitar la contrasea adicional para poder gestionar altas, bajas, en la RPV-IP en cuestin. El usuario / contrasea de Canal OnLine, no vara:
Figura 24: Peticin del sistema de la contrasea de administracin diferenciada
6.1.2 Configurar DNS Esta gestin se realiza a travs de la opcin DNS de la parte de Administracin Avanzada de la RPV. Por medio de esta opcin, podrn modificarse las direcciones de los servidores DNS que reciben los usuarios remotos (RTC e IPSec). Por defecto los que el usuario remoto recibe son los de la red RIMA, si en su red dispone de dichos servidores y quiere que los remotos hagan uso de ellos deber introducir las direcciones correspondientes. El administrador debe proporcionar la direccin IP de los servidores DNS primario y secundario para cada tecnologa. En caso de que alguna de ellas no est disponible para la RPV, no aparecer la posibilidad de configurar los DNS de esta tecnologa.
Figura 25: Configuracin de los servidores DNS
Pulsando activar, se enviarn a los usuarios remotos los servidores DNS indicados. En caso de que el administrador decida inhabilitar la configuracin de DNS para una tecnologa, deber seleccionar el botn Desactivar, y pulsar aceptar. El valor de DNS se borrar y no se enviar al usuario remoto.
6.1.3 Flujos de trfico y Calidades de Servicio. QoS Esta funcionalidad permite al usuario configurar diferentes calidades de servicio para cada una de las sedes pertenecientes a la RPV-IP, que tengan contratada esta funcionalidad. Para utilizar el servicio se elige la opcin QoS del men de administracin avanzada, con lo que accedemos a la pgina de seleccin de sede, donde podremos seleccionar cualquier sede existente actualmente que tenga contratada calidad de servicio. Las sedes aparecen identificadas por su correspondiente nmero administrativo.
Figura 26: Pantalla principal de configuracin de QoS
Tras seleccionar una sede y pulsar aceptar, pasamos a gestionar las reglas de calidad de servicio de la sede seleccionada en la pantalla de modificacin de QoS. En caso de producirse algn problema durante de la carga de las pginas referentes a sede o calidad de servicio, aparecer una nueva pgina informando de los posibles problemas al usuario.
Figura 27: Configuracin de Calidad de Servicio
El contenido de la pantalla de modificacin de QoS vara en funcin del tipo de calidad de servicio y nivel de detalle contratados en la sede seleccionada, existiendo dos partes claramente diferenciadas. Por un lado, en la parte superior, tenemos todos los campos necesarios para introducir nuevas reglas de cada uno de los tipos existentes; por otra parte, y bajo estos campos, existen dos listas que nos permiten almacenar cada una de las reglas de QoS (la primera muestra las reglas de Tiempo Real mientras que la segunda mostrar las de tipo Oro). Al acceder a esta pantalla se cargan las reglas existentes en el servidor de ambos tipos en las listas destinadas a tal
efecto. Cada una de estas listas solo aparecer o no dependiendo de que el tipo de calidad que afecte a la sede seleccionada. Dependiendo del nivel de detalle, en la parte superior aparecern ms o menos campos de opcin para permitir al usuario introducir nuevas reglas en cada lista. Los campos mostrados en funcin del nivel de detalle son los siguientes: Nivel de detalle bajo: IP origen, mscara IP origen. Nivel de detalle medio: IP origen, puerto origen, protocolo, mscara IP origen. Nivel de detalle alto: IP origen, puerto origen, protocolo, DSCP, IP destino, puerto destino, mscara IP origen, mscara IP destino. Las validaciones indicadas a continuacin tambin podrn producirse en el momento en que se abandona el campo sobre el que se est rellenando la informacin. Dichos chequeos incluyen: Direcciones IP: Su formato deber coincidir con el necesario para definir una direccin IP, siendo necesario rellenar este campo cuando el nivel de detalle sea bajo (1) y pudiendo quedar vaco en los niveles de detalle medio (2) y alto (3). El formato empleado es octetos (en formato decimal) separados por puntos, es decir de la forma: 192.168.10.3 Mscaras de origen y destino: su valor debe encontrarse en el rango [0-32], pudiendo no rellenarse. En caso de rellenarse, es necesario introducir el valor correspondiente a las direcciones IP. No solemos estar habituados a este formato, el ms habitual para indicar una mscara de octetos en formato decimal separados por puntos, similar al de la direccin IP: 255.255.255.240. Para realizar la conversin podemos usar la tabla siguiente:
Mscara
255.255.255.255 255.255.255.254 255.255.255.252 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0
Valor
32 31 30 29 28 27 26 25 24
Mscara
255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0 255.254.0.0 255.252.0.0 255.248.0.0
Valor
21 20 19 18 17 16 15 14 13
Mscara
255.192.0.0 255.128.0.0 255.0.0.0 254.0.0.0 252.0.0.0 248.0.0.0 240.0.0.0 224.0.0.0 192.0.0.0
Valor
10 9 8 7 6 5 4 3 2
255.255.254.0 255.255.252.0
23 22
255.240.0.0 255.224.0.0
12 11
128.0.0.0
El campo Protocolo aparece con el valor por defecto IP y permite seleccionar entre los valores TCP, UDP e IP, debiendo siempre ir relleno.
Los campos destinados a almacenar el puerto de origen y de destino deben ir vacos en caso de utilizar el protocolo IP en la regla. Cuando se rellenen deben estar comprendidos en el rango [0-65535].
DSCP: Este campo podr ir vaco, siendo necesario respetar el rango [0-63] cuando se rellene, en general el valor DSCP aparece en binario, es necesario pasar dicho valor a decimal. Este campo permite extender la calidad de servicio de la LAN del cliente al resto de las sedes de la RPV-IP, siempre y cuando esta funcionalidad se est dando en las restantes sedes. El valor del campo DSCP de las calidades de su sede se debe introducir en este campo para que reciba el mismo tratamiento en la red, de esta manera si el valor binario 111000 (56 en decimal) es considerado multimedia en su red local, deberemos introducir dicho valor en el campo.
Tras rellenar los campos anteriores pulsaremos sobre los botones Aadir Tiempo Real o Aadir oro para aadir la regla definida a la lista de reglas que nos interese. En este momento, el usuario puede recibir algn mensaje informndole de las posibles incorrecciones lexicogrficas y sintcticas cometidas al definir la regla actual. Para ver las listas de reglas y dependiendo del nivel de detalle que afecte a la sede elegida, es necesario desplazarse hacia abajo pasando el puntero del ratn sobre las flechas encerradas en crculo verde existentes a la derecha de los campos. Sobre cada una de estas listas aparecen tres iconos: Flecha azul ascendente: Mueve la regla seleccionada una posicin hacia arriba en la lista de reglas. Flecha azul descendente: Mueve la regla seleccionada una posicin hacia abajo en la lista de reglas. Aspa roja: Elimina la regla seleccionada de la lista de reglas.
Es posible obtener una descripcin de la finalidad de cada uno de los iconos anteriores en una pequea etiqueta de ayuda al colocar el puntero del ratn sobre ellos durante 1 segundo aproximadamente. El hecho de que una regla aparezca por encima de otra dentro de la misma calidad de servicio, no quiere decir que tenga ms prioridad, el tratamiento en red ser el mismo. En el caso de sedes definidas con nivel de detalle alto, tras seleccionar una regla, se muestra bajo la lista correspondiente informacin que completa el contenido de la regla actual puesto que toda esta informacin supera en tamao el ancho de la lista (protocolo, DSCP, mscara IP origen y mscara IP destino). Una vez escritas las reglas que deseamos aplicar en cada una de las calidades de servicio, pulsaremos el botn de Enviar, para que se configuren las reglas en el equipo. Una vez enviadas las reglas se muestra una ltima pantalla informando de la finalizacin del proceso de forma exitosa y que nos permitir volver al men de administracin avanzada con un click. En caso de presentarse algn problema se mostrar la informacin referente al mismo al usuario. El botn Borrar limpia los campos existentes en pantalla. No confundir con el borrado de reglas.
6.2 Punto Singular

Esta opcin ser contratable para una sla Sede PaP dentro de la RPV-IP. Mediante esta funcionalidad, se permite cursar el trfico Internet de Sedes y accesos remotos (en el caso de remotos Internet slo cuando no tengan la opcin de Split Tunneling activada) a travs de una sede Punto a Punto, pudiendo aplicar polticas de filtrado. En una RPV-IP con ms de una Sede PaP, el Punto nico filtrar el trfico de las Sedes ADSL, accesos remotos, as como el de la propia Sede PaP que acte como Punto nico, no siendo as para el resto de sedes PaP que conformen dicha RPV-IP. stas sern independientes, es decir tendrn salida a Internet por ellas mismas. Dentro de esta funcionalidad, se distinguen dos casos: punto singular con NAT en EDC y punto singular con NAT en la LAN de cliente.
6.2.1 Punto Singular con NAT selectivo en EDC En este caso, el router ser el encargado de hacer NAT de las distintas direcciones IP privadas existentes en la Red Privada Virtual, para traducirla en una direccin IP pblica. El control de las mquinas que pueden salir a Internet ser gestionado a travs del Portal de Gestin del servicio. A travs del mismo podr seleccionar que sedes salen a Internet y cuales no. El filtrado tambin podr realizarse a nivel de sede, configurando que subredes dentro de una sede pueden o no salir a Internet.
Figura 28: Configuracin del punto singular
Las subredes marcadas son las que dispondrn de la salida a Internet. 6.2.2 Punto Singular con NAT en LAN de Cliente Mediante esta funcionalidad, se permite el control de acceso a Internet de todas las sedes de su RPV-IP. Todo el trfico que tenga como destino Internet, ser entregado en un equipo, el cual se encargar de hacer NAT, las operaciones de filtrado de trfico de sedes/subredes que se deseen, etc. En este escenario, el trfico Internet se entrega en una direccin IP de la LAN de la sede (esta direccin deber ser especificada en el momento de contratacin) que estar conectada al EDC. El EDC, para este caso, no tendr configurada la funcionalidad NAT.
7. GESTIN DEL CLIENTE IPSEC

Bajo esta pestaa epgrafe se agrupan cuatro funcionalidades asociadas a los remotos IPSEC, que describimos a continuacin.
Figura 29: Pgina principal de gestin de usuarios IPSec
7.1 Visibilidad de Red Local:

Esta opcin aparece la primera cuando se pulsa sobre la pestaa IPSec. La opcin Visibilidad de Red Local permite al usuario del cliente IPSec acceder a los recursos de su red local mientras est contectado a la RPV-IP. Cuando esta opcin est activada, el cliente IPSec enviar por el tnel slo aquellos paquetes que no pertenezcan al entorno de su subred, como podemos ver en la figura siguiente.
Equipo1 Trfico hacia RPV
Trfico hacia su LAN
Equipo2
Figura 30: Funcionamiento de la visibilidad de red local
Cuando est desactivada, todos los paquetes originados en el PC irn dirigidos hacia el tnel, es decir hacia la RPV-IP. Esta opcin es incompatible con las opciones de filtrado (split tunneling), es decir si est activa la opcin Visibilidad de Red Local, las opciones de Opciones de Filtrado estarn deshabilitadas.
7.2 Opciones de filtrado (Split tunneling)

Esta nueva funcionalidad consiste en separar el trfico con destino a Internet del que tiene como destino nuestra Intranet. Hasta ahora todo el trfico generado desde un remoto Internet se tunelizaba hacia la RPV-IP, de esta forma se poda introducir cierto retardo en la navegacin por Internet. Al introducir Split tunneling a la entrada de la red, se realiza una separacin del trfico, de manera que el trafico hacia Internet se canaliza directamente sin tener que atravesar la RPVIP eliminando el retardo que ello conlleva. Esta funcionalidad se dar por defecto en todas las RPV-IPs, aunque existir la opcin de tunelizar todo el trfico (Internet/Intranet), esa opcin es recomendable cuando el direccionamiento de alguna de las sedes es pblico. El uso de "split tunneling" implica algunos problemas de seguridad en el usuario remoto: alguien puede entrar en el PC del usuario desde Internet y desde ese PC entrar en la RPV-IP. Esto se evita mediante la activacin del cortafuegos del cliente IPSec, que configura las siguientes reglas: 1 2 3 Todo lo que es cifrado es pasado al tnel para destino su RPV-IP. Permite que pase todo el trfico originado en el PC. Todo lo que no es originado en el PC, que viene del exterior, es denegado.
Como complemento a esta funcionalidad se han introducido listas de acceso que permiten limitar la conexin a determinadas sedes, dependiendo del direccionamiento de la sede.
7.2.1 Funcionamiento de las listas de acceso En determinadas circunstancias puede ser necesario que los usuarios remotos Internet no accedan a determinadas sedes y si lo hagan a otras. Para ello se ha implantado en el Portal del Servicio un mecanismo para que el administrador de la RPV-IP personalice el filtrado de sus direcciones IP. A esta opcin se accede pulsando el enlace Opciones de filtrado dentro de la administracin avanzada.
Figura 31: Configuracin de las listas de acceso
En el tnel IPSec entran 3 rangos de direcciones privadas (10.X.X.X, 192.168.X.X, y 172.16.X.X). Las posibles listas de acceso que se han habilitado son las combinaciones de las redes anteriores, quedando las siguientes posibilidades para los usuarios: 10.0.0.0 - 0.255.255.255: el tnel permite nicamente el paso del rango de direcciones (10.X.X.X) 172.16.0.0 - 0.15.255.255: permite nicamente el paso del rango de direcciones (172.16.X.X) 192.168.0.0 - 0.0.255.255: permite nicamente el paso del rango de direcciones (192.168.X.X) 10.0.0.0 - 0.255.255.255 y 172.16.0.0 - 0.15.255.255: permite el paso del rango de direcciones (10.X.X.X) y el de (172.16.X.X) 10.0.0.0 - 0.255.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso del rango de direcciones (10.X.X.X) y el de (192.168.X.X) 172.16.0.0 - 0.15.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso del rango de direcciones (172.16.X.X) y el de (192.168.X.X)
10.0.0.0 - 0.255.255.255 y 172.16.0.0 - 0.15.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso de todas las direcciones privadas; esto es los rangos (10.X.X.X), (172.16.X.X), y (192.168.X.X). Es la opcin por defecto.
Direcciones pblicas: Desactiva filtrado, es decir, tuneliza todas las direcciones privadas y pblicas a la RPV-IP.
Seleccionando alguna de las opciones anteriores, los accesos remotos slo podrn acceder a las sedes cuyos rangos de direcciones se encuentren dentro de la opcin seleccionada. Si el direccionamiento en las sedes de su RPV-IP, pertenece a los rangos definidos como privados y se desea que dichas sedes sean accedidas desde accesos remotos Internet, se deber seleccionar el rango correspondiente. Si por el contrario alguna de las sedes tiene direccionamiento pblico, existe la posibilidad de acceder a ellas deshabilitando el Split tunneling pulsando la opcin de direcciones pblicas. La opcin por defecto en las listas de acceso es la que da paso a todas las direcciones privadas,
(10.0.0.0) y (172.16.0.0) y (192.168.0.0).

7.2.2 Ejemplos de situaciones A modo de ejemplos explicativos, planteamos diversas situaciones de direccionamiento que pueden plantearse en una RPV-IP y a qu sedes acceder el remoto Internet segn el filtro seleccionado en las listas de acceso: a) Sedes con direccionamiento privado i. Todas las sedes tiene direcciones pertenecientes a un nico rango privado
10.10.10.16 /255.255.255.240
Red IP TdE
Trfico Internet Trfico Intranet
. . . ...
10.10.10.0 /255.255.255.240
Figura 32: Ejemplo Sedes con direccionamiento privado
Como podemos ver, el split tunneling separa el trfico con destino la RPV-IP del que tiene por destino Internet. En esta situacin veamos el efecto de las distintas listas de acceso:
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto accede a todas las sedes El remoto no accede a ninguna de las sedes El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes El remoto accede a todas las sedes El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes El remoto accede a todas las sedes
ii. Las sedes tienen direccionamiento perteneciente a dos rangos privados
172.16.10.0 /255.255.255.240
Red IP TdE
Sede B
. . .
Sede A
...
10.10.10.0 /255.255.255.240
Figura 33: Ejemplo Sedes con direccionamiento privado de dos rangos
La sede A tiene distinto direccionamiento que en la sede B, como en el caso anterior, estudiemos los efectos de cada una de las listas de acceso.
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes (A y B) El remoto slo a la sede A El remoto slo a la sede B El remoto accede a todas las sedes El remoto accede a todas las sedes
iii. Las sedes tienen direccionamiento perteneciente a tres rangos privados
Sede C
192.168.10.0 /255.255.255.240
Red IP TdE
Sede B
172.16.10.0 /255.255.255.240
. . .
Sede A
...
10.10.10.0 /255.255.255.240
Figura 34: Ejemplo sedes tienen direccionamiento perteneciente a tres rangos privados
Esta tercera situacin es quiz la mas completa de las contempladas aunque no por ello la ms usual. Veamos el efecto de las listas de accesos en esta nueva situacin
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto slo a la sede C El remoto accede a las sedes A y B El remoto accede a las sedes A y C El remoto accede a las sedes B y C El remoto accede a todas las sedes El remoto accede a todas las sedes
b) Sedes con direccionamiento privado y pblico
Sede C
199.168.10.0 /255.255.255.240 (dir pblicas)
Red IP TdE
Sede B
172.16.10.0 /255.255.255.240
. . .
Sede A
...
10.10.10.0 /255.255.255.240
Figura 35: Ejemplo sedes con direccionamiento privado y pblico
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas
Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto no accede a ninguna de las sedes El remoto accede a las sedes A y B El remoto accede slo a la sede A El remoto accede slo a la sede B El remoto accede a las sedes A y B El remoto accede a todas las sedes
Slo en el caso de deshabilitar la opcin de split tunneling, es decir, pulsando la opcin de Direcciones pblicas, la sede de direccionamiento pblico ser visible a los accesos remotos. Las restantes sedes si podrn ver la sede C. c) Sedes slo con direccionamiento pblico Esta ltima situacin es una extensin de la anterior. Slo en el caso de deshabilitar split tunnenling las sedes sern visibles para el acceso remoto Internet, sino no sern accesibles
7.2.3 Resumen En las distintas situaciones descritas hemos podido comprobar la importancia de seleccionar correctamente el rango de direcciones a los que nosotros como administradores de la RPV-IP queremos que accedan nuestros accesos remotos Internet. Una seleccin incorrecta de las listas de acceso puede provocar incomunicacin de los remotos con las sedes o bien que los remotos accedan a recursos a los que no deseamos que accedan. Como recordatorio decir: La opcin por defecto es (10.0.0.0) y (172.16.0.0) y (192.168.0.0), esta opcin mantiene el split tunneling y da acceso a todas las sedes con direccionamiento privado. Si tenemos direccionamiento pblico en alguna de nuestras sedes y queremos que sea accesible desde los accesos remotos, deberemos deshabilitar la opcin de split tunneling, seleccionando como lista de acceso Direcciones pblicas. Para volver a habilitarlo pulsaremos la opcin por defecto.
7.3 Descarga de configuracin software IPSec

El servicio Net-LAN Teletrabajo contratable por el usuario de una lnea ADSL de Movistar (debe ser el titular de la lnea), evita tener que realizar los pasos que se detallan posteriormente. Este servicio ofrece las siguientes ventajas: No es necesario distribuir el software cliente IPSec y el fichero de configuracin a los usuarios. El instalador de Movistar realizar la instalacin y configuracin en el domicilio del usuario, evitando que el administrador tenga que transmitir las instrucciones pertinentes con el consiguiente riesgo de que sean interpretadas incorrectamente. Adems el instalador se asegura de que se accede correctamente a la RPV-IP. Movistar proporciona adems soporte telefnico y mantenimiento domiciliario
(reconfiguracin / reinstalacin) en caso necesario. Se informar al administrador de la RPV-IP mediante correo electrnico que un usuario remoto ha contratado este servicio para acceder a la RPV-IP administrada por l.
En caso de que el usuario remoto no haya contratado el servicio anteriormente mencionado para que pueda acceder remotamente a travs de Internet el administrador necesitar descargase en primer lugar el software cliente IPSec que se encuentra pulsando en el enlace de necesita ayuda? de la pgina principal y posteriormente dentro del apartado Configuracin IPSec Posteriormente es necesario descargar la configuracin del mismo. El proceso a seguir es el siguiente: Se seleccionar la opcin Descarga de fichero y aparece la pantalla siguiente:
Figura 36: Pantalla de descarga del fichero de configuracin
En la pantalla de descarga se detallar el procedimiento de configuracin para cada sistema operativo: Windows, Linux y Mac. Posteriormente ser necesario distribuir estos ficheros (configuracin y software cliente IPSec) a los usuarios remotos.
7.4 Consulta parmetros:

Este enlace direcciona al mdulo de informes del servicio para consultar la configuracin de nuestra RPV-IP y los parmetros del cliente IPSec.
7.5 Datos para Configuracin de PDAs

Desde esta pantalla se mostrarn los parmetros de configuracin como IP primaria y secundaria:
Figura 37: Parmetros de configuracin de la PDA
8. FIREWALL Y ENCRIPTACIN
El servicio Firewall ofrece al usuario la posibilidad de filtrar la entrada y salida del trfico de sus sedes, haciendo ms segura la misma y adems controlando de esta manera el uso del ancho de banda.
El servicio de Encriptacin permite establecer tneles IPSec entre sedes Net-LAN, a travs de los
cuales el trfico viaja cifrado. La configuracin y gestin del servicio se realiza a travs del portal de gestin Net-LAN. Estas funcionalidades se documentan en detalle en las siguientes guas: Gua rpida de Firewall Gua rpida de Cifrado
Que se pueden encontrar en la documentacin del Portal de Gestin.
9. GESTIN DEL TRFICO LAN

El Servicio de Gestin de Trfico LAN proporciona la capacidad de gestin de trfico de una red de rea local (LAN) a travs de switches avanzados gestionados. El servicio se apoya en un portal de gestin web desde el cual el cliente puede configurar las distintas opciones. El detalle de esta funcionalidad se puede consultar en la Gua de Gestin de Trfico LAN, que se puede encontrar en la documentacin del Portal de Gestin.

ManualAdministradorNetLAN2 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ManualAdministradorNetLAN2 2

Cargado por

Copyright:

Formatos disponibles

Solucin Net-LAN

Gua del Administrador

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2

Administracin de su RPV-IP ...................................................................................... 8

GESTIN DE USUARIOS ........................................................................................9

4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.3 4.4 4.5

INFORMES Y DIAGNSTICO ................................................................................16

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 2 de 40

Informes rendimiento .............................................................................................. 19

ADMINISTRACIN AVANZADA ............................................................................21

GESTIN DEL CLIENTE IPSEC..............................................................................29

7.2.1 7.2.2 7.2.3 7.3 7.4 7.5

FIREWALL Y ENCRIPTACIN ...............................................................................40 GESTIN DEL TRFICO LAN ................................................................................40

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 3 de 40

Figura 1: Pgina de acceso al Portal de Gestin

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 4 de 40

Figura 2: Peticin de usuario y contrasea

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 5 de 40

Figura 3: Seleccin de RPV-IP

Figura 4: Pgina principal del Portal de Gestin

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 6 de 40

3.1 Soporte Tcnico y Averas

Figura 5: Pgina de Soporte Tcnico

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 7 de 40

3.2 Administracin de su RPV-IP

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 8 de 40

Figura 6: Bsqueda de usuarios

4.1 Bsqueda de usuarios

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 9 de 40

Figura 7: Resultado de la bsqueda

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 10 de 40

Figura 8: Verificacin de la desactivacin de usuario

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 11 de 40

Figura 9: Cambio de contrasea de usuario remoto

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 12 de 40

Figura 10: Alta de usuario remoto

4.3 Altas masivas en lista

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 13 de 40

Figura 11: Alta masiva de usuarios remotos en lista

4.4 Altas en bucle

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 14 de 40

Figura 12: Alta de usuarios remotos en bucle

4.5 Bajas de usuarios en lista

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 15 de 40

Figura 13: Bajas de usuarios en lista

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 16 de 40

5.1 Informes SIA

Figura 14 Listado de Informes de SIA

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 17 de 40

Figura 15: Descripcin de Informe pdf

5.2 Configuracin salida a Internet

Figura 16: Lanzamiento de Consulta

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 18 de 40

Figura 17: Resultado de Consulta de sesiones de Internet activas

5.3 Informes rendimiento

Figura 18: Informes de rendimiento

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 19 de 40

Figura 19: Listado de Informes de rendimiento

Figura 20: Listado de Informes de rendimiento

1 Guia_Administrador_Net-LAN Movistar V1.0.docPgina 20 de 40

Lanzamiento de informes: El lanzamiento de un tipo de informe (error o rendimiento) que

Figura 21: Informes lanzados

Figura 22: Pantalla principal de administracin avanzada