Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gua Administrador
Pgina 1 de 40
ndice
1. 2. 3. INTRODUCCIN ...................................................................................................4 ENTRADA EN EL SISTEMA.....................................................................................4 PORTAL DE GESTIN............................................................................................5
3.1 Soporte Tcnico y Averas .......................................................................................... 7 Manuales ............................................................................................................ 7 Configuracin de Sedes ADSL ............................................................................... 7 Configuracin RTC ............................................................................................... 8 Configuracin IPSec ............................................................................................. 8 Configuracin ADSL Wi-Fi de Movistara................................................................. 8
4.
Altas........................................................................................................................ 12 Altas masivas en lista ............................................................................................... 13 Altas en bucle .......................................................................................................... 14 Bajas de usuarios en lista ......................................................................................... 15
5.
5.3
6.
Punto Singular ......................................................................................................... 28 Punto Singular con NAT selectivo en EDC............................................................ 29 Punto Singular con NAT en LAN de Cliente .......................................................... 29
6.2.1 6.2.2
7.
Descarga de configuracin software IPSec ................................................................ 38 Consulta parmetros:............................................................................................... 39 Datos para Configuracin de PDAs ........................................................................... 40
8. 9.
1. INTRODUCCIN
En este documento se pretende guiar al administrador en el uso del Portal de Gestin. En l se mostrar como realizar las operaciones bsicas para la configuracin de funcionalidades del servicio y el mantenimiento de los usuarios de las distintas Redes Privadas Virtuales IP (RPV-IP) que el usuario puede administrar. Los requisitos mnimos para poder usar la aplicacin son un navegador http y una conexin a Internet, como le corresponde a toda aplicacin web. Para acceder a la aplicacin es necesario estar dado de alta en Canal OnLine, con los adecuados permisos de acceso. Esta operacin habr sido tramitada por el comercial correspondiente en el momento del alta en el servicio Solucin Net-Lan.
2. ENTRADA EN EL SISTEMA
El acceso al Portal de Gestin se realizar a travs de Canal Online, utilizando para ello la siguiente direccin movistar.es/negocios/netlan . En esta primera pgina se nos muestra una breve descripcin del servicio, as como el enlace para gestionar el servicio.
Una vez que pulsemos sobre dicho enlace, el sistema nos pedir el usuario y contrasea de :
y tras autenticarnos pasaremos al Portal de Gestin donde encontraremos informacin del servicio, as como las herramientas para la gestin del servicio. Si se accede previamente a la parte de AREA PRIVADA y se autentica se mostrar una lista de los servicios contratados. Este ser otro posible acceso al portal de gestin de redes privadas virtuales.
3. PORTAL DE GESTIN
En primer lugar tendremos que seleccionar la RPV-IP que queremos gestionar. Pueden presentarse tres situaciones: 1. Ninguna RPV-IP: en este caso aparecer un mensaje de error avisando de lo ocurrido. 2. Una nica RPV-IP: en este caso se pasar directamente a la pgina principal del Portal de Gestin. 3. Varias RPV-IPs: en este caso la pgina mostrada ser la siguiente:
En esta pgina aparece un listado con todas las RPV-IPs de las que el usuario es administrador, y entre las que debe elegir una. Una vez hecho esto ya podr acceder a la pgina principal pulsando en el enlace ACEPTAR.
En la pgina del Portal se nos muestra una barra con distintas pestaas que indican las gestiones que podemos hacer, por defecto siempre aparece abierta la pestaa de Gestin de usuarios.Sobre la barra, junto al CIR de la RPV-IP aparecen dos enlaces adicionales: Necesita ayuda? Que nos llevar a una pgina desde la que se podr descargar manuales de utilizacin del servicio. La informacin disponible se describe en apartado 3.1 Noticias que nos llevar a una nueva pgina donde se publican peridicamente noticias y novedades sobre el servicio Net-LAN.
3.1.1 Manuales Esta subcategora incluye los siguientes documentos: Manual del usuario Manual del Administrador Gua rpida de Firewall Gua rpida de cifrado
3.1.2 Configuracin de Sedes ADSL Esta subcategora incluye los siguientes documentos:
Mdem-router Thomson ST580i: gua de configuracin Mdem-router Thomson ST580i: software configuracin Mdem-router Xavi 7028r: gua de configuracin Mdem-router Xavi 7028r: software configuracin Mdem-router Zyxel P650: gua de configuracin Mdem-router Zyxel P650: software configuracin Mdem-router Zyxel P660: gua de configuracin Mdem-router Zyxel P660: software configuracin
3.1.3 Configuracin RTC Gua de configuracin Accesos a travs de conexin telefnica (RTC)
3.1.4 Configuracin IPSec Gua de configuracin IPSec en un ordenador Gua de configuracin IPSec en una agenda electrnica Software Cliente IPSec (versiones de Linux, MacOs, Solaris, Windows y agendas electrnicas)
3.1.5 Configuracin ADSL Wi-Fi de Movistara Gua de configuracin Servicio Acceso Corporativo Software Servicio Acceso Corporativo
4. GESTIN DE USUARIOS
Por defecto, al autenticarse en el portal y seleccionar la RPV-IP que corresponde administrar, siempre aparecer como primera pantalla la de Bsqueda de Usuarios, desde donde podr consultar la lista de usuarios dados de alta.
Sobre
la
lista
de
resultados
obtenida
podemos
realizar
cuatro
acciones:
baja,
activacin/desactivacin, cambiar a tipo rpv/wifi (sedes LAN WiFi y ADSL LAN Wifi) y cambio de password.
4.1.1 Bajas La baja de usuarios se realiza sobre la tabla anterior resultado de una bsqueda, es decir, no podremos dar de baja a ningn usuario si previamente no lo hemos buscado. Como se puede apreciar en la figura anterior la primera columna de la tabla de resultados est compuesta por un cuadro de check, para dar de baja a un usuario, basta con marcar la casilla correspondiente y pulsar el botn de baja. El sistema iniciar el proceso de dar de baja a los usuarios e informar del resultado del proceso una vez finalizado. Desde esta pgina informativa se podr volver al listado desde el que se parti pudindose ver reflejados en ste los cambios producidos al eliminar algunos de los usuarios. NOTA: al hacer consultas de usuarios es posible que obtengamos ms de una pgina de resultados; en estos casos no es posible dar de baja simultneamente a usuarios situados en pginas distintas sino que ser necesario dar de baja a los usuarios de una pgina antes de pasar a la siguiente
4.1.2 Activacin / Desactivacin De igual forma que ocurre con las bajas, slo se pueden activar / desactivar usuarios despus de haberlos buscado. Para hacerlo debe pincharse en la palabra activo o no activo perteneciente al usuario en cuestin. Aparecer un mensaje como el de la figura pidiendo confirmacin y si se acepta el sistema realizar el proceso solicitado.
Despus el sistema informar al administrador del xito del proceso. Si realizamos una nueva bsqueda podremos ver que el estado del usuario ha pasado de activo a no activo.
4.1.3 Convertir Usuarios a RPV WiFi Desde la pgina de resultados de una bsqueda se pueden sealar los usuarios que se deseen para efectuar una conversin masiva del tipo de estos usuario, de forma que pasen a ser RPV+WiFi. Esto se hace desde el enlace que hay en la parte baja convertir a rpv+wifi de la pgina de resultados. Si el proceso ha tenido xito se informa debidamente en una pgina de confirmacin.
4.1.4 Cambio de contrasea Por ltimo, dentro de las acciones que podemos realizar tras la bsqueda, tenemos el cambio de contrasea de los usuarios. Para cambiar la contrasea de un usuario hay que pinchar en el nombre de ste que es un enlace a la pgina de la figura.
Como se puede ver aparece el nombre del usuario y dos cajas de texto, una para la nueva contrasea y la otra para re-escribirla. Pulsando el link aceptar se inicia el proceso, informando debidamente del xito o no del mismo.
4.2 Altas
Para dar de alta a un nuevo usuario se requieren los siguientes datos, solicitados en esta pgina: a. Nombre: mximo 8 caracteres (nmeros y letras) b. Contrasea: mximo 8 caracteres (nmeros y letras) c. Confirmacin contrasea: misma cadena que en el campo anterior d. Tipo de usuario: rpv, WiFi, rpv+WiFi e. Mnemnico: el mnemnico de la RPV-IP al que pertenecer el usuario. A la hora de aadir un usuario se tendrn en cuenta el nmero mximo de estos que puede contener la RPV-IP. Si se excediera este nmero o el nombre de usuario ya existiera el administrador sera informado debidamente.
Para introducir los usuarios se requieren los siguientes datos, solicitados en esta pgina: 1. Lista de usuarios: la lista de usuarios a dar de alta, en el formato:
usuario1,password1;usuario2, password2; no excediendo nunca los 8 caracteres para el usuario y 8 para el password. 2. Mnemnico: el mnemnico al que pertenecer el usuario debe escogerse de entre una lista donde aparecen todos los disponibles en esa RPV. 3. Tipo de usuario: rpv, WiFi, rpv+WiFi. Una vez introducida la lista pulsamos aceptar y tendremos dados de alta todos los usuarios. Si se excede el nmero de usuarios o se produce cualquier otro error en el alta de un usuario, se dar de alta todos los usuarios anteriores al errneo, y se presentar un mensaje informando del usuario en el que se ha quedado el alta.
En este caso puede escoger un nombre y contrasea de usuario y la aplicacin completar nombre y contrasea concatenando nmeros 1 hasta el nmero tecleado en N de usuarios a introducir. El mximo nmero es 99999. Como en el caso de Altas en lista, usuario y contrasea no pueden exceder los 8 caracteres en total (login+nmero y contrasea+nmero).
Esta opcin dar de baja a los usuarios en el servicio RPV-IP y WiFi. La lista de usuarios a dar de baja se pone en formato login1,passwd1;login2,passwd2;... en el recuadro, para dar de baja a los usuarios de la lista. El login y passwd no pueden exceder los 8 caracteres. Posteriormente se mostrar la lista de los usuarios que se han intentado borrar y de los usuarios dados de baja con xito.
5. INFORMES Y DIAGNSTICO
El administrador tambin podr acceder a los servicios de informes que tenga contratados. Estos estarn accesibles desde la pgina de la figura a la que se llega desde la pestaa Informes y Diagnostico. Como las RPV-IPs se encuentran agrupadas por empresa, el Portal suministra un mecanismo para poder obtener la informacin de informes de la RPV. Dentro del Portal, la pgina de Informes y Diagnostico proporciona las siguientes opciones: Informes SIA. Configuracin Salida a Internet. Informes Rendimiento.
Si se clickea sobre uno de los enlaces pdf se visualizar el informe seleccionado en una nueva pantalla:
Una vez lanzada la consulta se presiona sobre el botn de aceptar para ver el resultado.
a.- Lista informes lanzados: Para ver los informes que han sido lanzados y en el estado que se encuentran. Presionando sobre el link listar se accede a la pantalla Listado de Informes. En est pantalla el usuario puede borrar aquellos informes que desee seleccionndolos en los checkbox que aparecen en la primera columna y posteriormente presionando en el botn de aceptar. As mismo, existe la posibilidad de seleccionar/deseleccionar todos los informes de una sola vez para proceder al borrado.
Una vez realizado el borrado, se le mostrar una pgina informativa de la operacin satisfecha. Se podr consultar el resultado del informe en concreto presionando en el link de Consultar >> pudiendo elegir el formato en el que queremos visualizarlo de un desplegable dispuesto con las distintas opciones (gif, pdf png). EL resultado se muestra en una ventana nueva.
b-
seleccionar de un men desplegable para una sede concreta que seleccionar tambin de un men desplegable. Una vez realizado el lanzamiento se presentar una pantalla informando de la satisfaccin o no de la operacin.
6. ADMINISTRACIN AVANZADA
La Administracin Avanzada nos permite modificar o gestionar servicios especficos de la RPV-IP
Administracin diferenciada Configurar DNS Flujos de trfico con QoS (calidad de servicio) Punto nico: esta opcin slo aparece si se tiene contratada esta facilidad
6.1.1 Administracin diferenciada Esta nueva funcionalidad permite diferenciar la administracin de distintas RPV-IPs de un mismo promotor. Mediante la asignacin de diferentes contraseas para cada RPV-IP o para una determinada, es posible diferenciar y proteger la administracin en dichas RPV-IPs respecto al resto. Esta opcin aparece como opcin inicial segn se observa en la figura anterior. Desde cualquier otra opcin se accede pulsando el enlace Administracin Diferenciada dentro de la administracin avanzada.
Una vez configurada la opcin de administracin diferenciada, cada vez que se intente acceder a la administracin dicha RPV-IP, solicitar la contrasea adicional para poder gestionar altas, bajas, en la RPV-IP en cuestin. El usuario / contrasea de Canal OnLine, no vara:
6.1.2 Configurar DNS Esta gestin se realiza a travs de la opcin DNS de la parte de Administracin Avanzada de la RPV. Por medio de esta opcin, podrn modificarse las direcciones de los servidores DNS que reciben los usuarios remotos (RTC e IPSec). Por defecto los que el usuario remoto recibe son los de la red RIMA, si en su red dispone de dichos servidores y quiere que los remotos hagan uso de ellos deber introducir las direcciones correspondientes. El administrador debe proporcionar la direccin IP de los servidores DNS primario y secundario para cada tecnologa. En caso de que alguna de ellas no est disponible para la RPV, no aparecer la posibilidad de configurar los DNS de esta tecnologa.
Pulsando activar, se enviarn a los usuarios remotos los servidores DNS indicados. En caso de que el administrador decida inhabilitar la configuracin de DNS para una tecnologa, deber seleccionar el botn Desactivar, y pulsar aceptar. El valor de DNS se borrar y no se enviar al usuario remoto.
6.1.3 Flujos de trfico y Calidades de Servicio. QoS Esta funcionalidad permite al usuario configurar diferentes calidades de servicio para cada una de las sedes pertenecientes a la RPV-IP, que tengan contratada esta funcionalidad. Para utilizar el servicio se elige la opcin QoS del men de administracin avanzada, con lo que accedemos a la pgina de seleccin de sede, donde podremos seleccionar cualquier sede existente actualmente que tenga contratada calidad de servicio. Las sedes aparecen identificadas por su correspondiente nmero administrativo.
Tras seleccionar una sede y pulsar aceptar, pasamos a gestionar las reglas de calidad de servicio de la sede seleccionada en la pantalla de modificacin de QoS. En caso de producirse algn problema durante de la carga de las pginas referentes a sede o calidad de servicio, aparecer una nueva pgina informando de los posibles problemas al usuario.
El contenido de la pantalla de modificacin de QoS vara en funcin del tipo de calidad de servicio y nivel de detalle contratados en la sede seleccionada, existiendo dos partes claramente diferenciadas. Por un lado, en la parte superior, tenemos todos los campos necesarios para introducir nuevas reglas de cada uno de los tipos existentes; por otra parte, y bajo estos campos, existen dos listas que nos permiten almacenar cada una de las reglas de QoS (la primera muestra las reglas de Tiempo Real mientras que la segunda mostrar las de tipo Oro). Al acceder a esta pantalla se cargan las reglas existentes en el servidor de ambos tipos en las listas destinadas a tal
efecto. Cada una de estas listas solo aparecer o no dependiendo de que el tipo de calidad que afecte a la sede seleccionada. Dependiendo del nivel de detalle, en la parte superior aparecern ms o menos campos de opcin para permitir al usuario introducir nuevas reglas en cada lista. Los campos mostrados en funcin del nivel de detalle son los siguientes: Nivel de detalle bajo: IP origen, mscara IP origen. Nivel de detalle medio: IP origen, puerto origen, protocolo, mscara IP origen. Nivel de detalle alto: IP origen, puerto origen, protocolo, DSCP, IP destino, puerto destino, mscara IP origen, mscara IP destino. Las validaciones indicadas a continuacin tambin podrn producirse en el momento en que se abandona el campo sobre el que se est rellenando la informacin. Dichos chequeos incluyen: Direcciones IP: Su formato deber coincidir con el necesario para definir una direccin IP, siendo necesario rellenar este campo cuando el nivel de detalle sea bajo (1) y pudiendo quedar vaco en los niveles de detalle medio (2) y alto (3). El formato empleado es octetos (en formato decimal) separados por puntos, es decir de la forma: 192.168.10.3 Mscaras de origen y destino: su valor debe encontrarse en el rango [0-32], pudiendo no rellenarse. En caso de rellenarse, es necesario introducir el valor correspondiente a las direcciones IP. No solemos estar habituados a este formato, el ms habitual para indicar una mscara de octetos en formato decimal separados por puntos, similar al de la direccin IP: 255.255.255.240. Para realizar la conversin podemos usar la tabla siguiente:
Mscara
255.255.255.255 255.255.255.254 255.255.255.252 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0
Valor
32 31 30 29 28 27 26 25 24
Mscara
255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0 255.254.0.0 255.252.0.0 255.248.0.0
Valor
21 20 19 18 17 16 15 14 13
Mscara
255.192.0.0 255.128.0.0 255.0.0.0 254.0.0.0 252.0.0.0 248.0.0.0 240.0.0.0 224.0.0.0 192.0.0.0
Valor
10 9 8 7 6 5 4 3 2
255.255.254.0 255.255.252.0
23 22
255.240.0.0 255.224.0.0
12 11
128.0.0.0
El campo Protocolo aparece con el valor por defecto IP y permite seleccionar entre los valores TCP, UDP e IP, debiendo siempre ir relleno.
Los campos destinados a almacenar el puerto de origen y de destino deben ir vacos en caso de utilizar el protocolo IP en la regla. Cuando se rellenen deben estar comprendidos en el rango [0-65535].
DSCP: Este campo podr ir vaco, siendo necesario respetar el rango [0-63] cuando se rellene, en general el valor DSCP aparece en binario, es necesario pasar dicho valor a decimal. Este campo permite extender la calidad de servicio de la LAN del cliente al resto de las sedes de la RPV-IP, siempre y cuando esta funcionalidad se est dando en las restantes sedes. El valor del campo DSCP de las calidades de su sede se debe introducir en este campo para que reciba el mismo tratamiento en la red, de esta manera si el valor binario 111000 (56 en decimal) es considerado multimedia en su red local, deberemos introducir dicho valor en el campo.
Tras rellenar los campos anteriores pulsaremos sobre los botones Aadir Tiempo Real o Aadir oro para aadir la regla definida a la lista de reglas que nos interese. En este momento, el usuario puede recibir algn mensaje informndole de las posibles incorrecciones lexicogrficas y sintcticas cometidas al definir la regla actual. Para ver las listas de reglas y dependiendo del nivel de detalle que afecte a la sede elegida, es necesario desplazarse hacia abajo pasando el puntero del ratn sobre las flechas encerradas en crculo verde existentes a la derecha de los campos. Sobre cada una de estas listas aparecen tres iconos: Flecha azul ascendente: Mueve la regla seleccionada una posicin hacia arriba en la lista de reglas. Flecha azul descendente: Mueve la regla seleccionada una posicin hacia abajo en la lista de reglas. Aspa roja: Elimina la regla seleccionada de la lista de reglas.
Es posible obtener una descripcin de la finalidad de cada uno de los iconos anteriores en una pequea etiqueta de ayuda al colocar el puntero del ratn sobre ellos durante 1 segundo aproximadamente. El hecho de que una regla aparezca por encima de otra dentro de la misma calidad de servicio, no quiere decir que tenga ms prioridad, el tratamiento en red ser el mismo. En el caso de sedes definidas con nivel de detalle alto, tras seleccionar una regla, se muestra bajo la lista correspondiente informacin que completa el contenido de la regla actual puesto que toda esta informacin supera en tamao el ancho de la lista (protocolo, DSCP, mscara IP origen y mscara IP destino). Una vez escritas las reglas que deseamos aplicar en cada una de las calidades de servicio, pulsaremos el botn de Enviar, para que se configuren las reglas en el equipo. Una vez enviadas las reglas se muestra una ltima pantalla informando de la finalizacin del proceso de forma exitosa y que nos permitir volver al men de administracin avanzada con un click. En caso de presentarse algn problema se mostrar la informacin referente al mismo al usuario. El botn Borrar limpia los campos existentes en pantalla. No confundir con el borrado de reglas.
6.2.1 Punto Singular con NAT selectivo en EDC En este caso, el router ser el encargado de hacer NAT de las distintas direcciones IP privadas existentes en la Red Privada Virtual, para traducirla en una direccin IP pblica. El control de las mquinas que pueden salir a Internet ser gestionado a travs del Portal de Gestin del servicio. A travs del mismo podr seleccionar que sedes salen a Internet y cuales no. El filtrado tambin podr realizarse a nivel de sede, configurando que subredes dentro de una sede pueden o no salir a Internet.
Las subredes marcadas son las que dispondrn de la salida a Internet. 6.2.2 Punto Singular con NAT en LAN de Cliente Mediante esta funcionalidad, se permite el control de acceso a Internet de todas las sedes de su RPV-IP. Todo el trfico que tenga como destino Internet, ser entregado en un equipo, el cual se encargar de hacer NAT, las operaciones de filtrado de trfico de sedes/subredes que se deseen, etc. En este escenario, el trfico Internet se entrega en una direccin IP de la LAN de la sede (esta direccin deber ser especificada en el momento de contratacin) que estar conectada al EDC. El EDC, para este caso, no tendr configurada la funcionalidad NAT.
Equipo2
Cuando est desactivada, todos los paquetes originados en el PC irn dirigidos hacia el tnel, es decir hacia la RPV-IP. Esta opcin es incompatible con las opciones de filtrado (split tunneling), es decir si est activa la opcin Visibilidad de Red Local, las opciones de Opciones de Filtrado estarn deshabilitadas.
Como complemento a esta funcionalidad se han introducido listas de acceso que permiten limitar la conexin a determinadas sedes, dependiendo del direccionamiento de la sede.
7.2.1 Funcionamiento de las listas de acceso En determinadas circunstancias puede ser necesario que los usuarios remotos Internet no accedan a determinadas sedes y si lo hagan a otras. Para ello se ha implantado en el Portal del Servicio un mecanismo para que el administrador de la RPV-IP personalice el filtrado de sus direcciones IP. A esta opcin se accede pulsando el enlace Opciones de filtrado dentro de la administracin avanzada.
En el tnel IPSec entran 3 rangos de direcciones privadas (10.X.X.X, 192.168.X.X, y 172.16.X.X). Las posibles listas de acceso que se han habilitado son las combinaciones de las redes anteriores, quedando las siguientes posibilidades para los usuarios: 10.0.0.0 - 0.255.255.255: el tnel permite nicamente el paso del rango de direcciones (10.X.X.X) 172.16.0.0 - 0.15.255.255: permite nicamente el paso del rango de direcciones (172.16.X.X) 192.168.0.0 - 0.0.255.255: permite nicamente el paso del rango de direcciones (192.168.X.X) 10.0.0.0 - 0.255.255.255 y 172.16.0.0 - 0.15.255.255: permite el paso del rango de direcciones (10.X.X.X) y el de (172.16.X.X) 10.0.0.0 - 0.255.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso del rango de direcciones (10.X.X.X) y el de (192.168.X.X) 172.16.0.0 - 0.15.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso del rango de direcciones (172.16.X.X) y el de (192.168.X.X)
10.0.0.0 - 0.255.255.255 y 172.16.0.0 - 0.15.255.255 y 192.168.0.0 - 0.0.255.255: permite el paso de todas las direcciones privadas; esto es los rangos (10.X.X.X), (172.16.X.X), y (192.168.X.X). Es la opcin por defecto.
Direcciones pblicas: Desactiva filtrado, es decir, tuneliza todas las direcciones privadas y pblicas a la RPV-IP.
Seleccionando alguna de las opciones anteriores, los accesos remotos slo podrn acceder a las sedes cuyos rangos de direcciones se encuentren dentro de la opcin seleccionada. Si el direccionamiento en las sedes de su RPV-IP, pertenece a los rangos definidos como privados y se desea que dichas sedes sean accedidas desde accesos remotos Internet, se deber seleccionar el rango correspondiente. Si por el contrario alguna de las sedes tiene direccionamiento pblico, existe la posibilidad de acceder a ellas deshabilitando el Split tunneling pulsando la opcin de direcciones pblicas. La opcin por defecto en las listas de acceso es la que da paso a todas las direcciones privadas,
10.10.10.16 /255.255.255.240
Red IP TdE
Trfico Internet Trfico Intranet
. . . ...
10.10.10.0 /255.255.255.240
Como podemos ver, el split tunneling separa el trfico con destino la RPV-IP del que tiene por destino Internet. En esta situacin veamos el efecto de las distintas listas de acceso:
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto accede a todas las sedes El remoto no accede a ninguna de las sedes El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes El remoto accede a todas las sedes El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes El remoto accede a todas las sedes
172.16.10.0 /255.255.255.240
Red IP TdE
Trfico Internet Trfico Intranet
Sede B
. . .
Sede A
...
10.10.10.0 /255.255.255.240
La sede A tiene distinto direccionamiento que en la sede B, como en el caso anterior, estudiemos los efectos de cada una de las listas de acceso.
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto no accede a ninguna de las sedes El remoto accede a todas las sedes (A y B) El remoto slo a la sede A El remoto slo a la sede B El remoto accede a todas las sedes El remoto accede a todas las sedes
Sede C
192.168.10.0 /255.255.255.240
Red IP TdE
Trfico Internet Trfico Intranet
Sede B
172.16.10.0 /255.255.255.240
. . .
Sede A
...
10.10.10.0 /255.255.255.240
Figura 34: Ejemplo sedes tienen direccionamiento perteneciente a tres rangos privados
Esta tercera situacin es quiz la mas completa de las contempladas aunque no por ello la ms usual. Veamos el efecto de las listas de accesos en esta nueva situacin
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto slo a la sede C El remoto accede a las sedes A y B El remoto accede a las sedes A y C El remoto accede a las sedes B y C El remoto accede a todas las sedes El remoto accede a todas las sedes
Sede C
199.168.10.0 /255.255.255.240 (dir pblicas)
Red IP TdE
Trfico Internet Trfico Intranet
Sede B
172.16.10.0 /255.255.255.240
. . .
Sede A
...
10.10.10.0 /255.255.255.240
Lista seleccionada (10.0.0.0) (172.16.0.0) (192.168.0.0) (10.0.0.0) y (172.16.0.0) (10.0.0.0) y (192.168.0.0) (172.16.0.0) y (192.168.0.0) (10.0.0.0) y (172.16.0.0) y (192.168.0.0) Direcciones pblicas
Efecto El remoto slo a la sede A El remoto slo a la sede B El remoto no accede a ninguna de las sedes El remoto accede a las sedes A y B El remoto accede slo a la sede A El remoto accede slo a la sede B El remoto accede a las sedes A y B El remoto accede a todas las sedes
Slo en el caso de deshabilitar la opcin de split tunneling, es decir, pulsando la opcin de Direcciones pblicas, la sede de direccionamiento pblico ser visible a los accesos remotos. Las restantes sedes si podrn ver la sede C. c) Sedes slo con direccionamiento pblico Esta ltima situacin es una extensin de la anterior. Slo en el caso de deshabilitar split tunnenling las sedes sern visibles para el acceso remoto Internet, sino no sern accesibles
7.2.3 Resumen En las distintas situaciones descritas hemos podido comprobar la importancia de seleccionar correctamente el rango de direcciones a los que nosotros como administradores de la RPV-IP queremos que accedan nuestros accesos remotos Internet. Una seleccin incorrecta de las listas de acceso puede provocar incomunicacin de los remotos con las sedes o bien que los remotos accedan a recursos a los que no deseamos que accedan. Como recordatorio decir: La opcin por defecto es (10.0.0.0) y (172.16.0.0) y (192.168.0.0), esta opcin mantiene el split tunneling y da acceso a todas las sedes con direccionamiento privado. Si tenemos direccionamiento pblico en alguna de nuestras sedes y queremos que sea accesible desde los accesos remotos, deberemos deshabilitar la opcin de split tunneling, seleccionando como lista de acceso Direcciones pblicas. Para volver a habilitarlo pulsaremos la opcin por defecto.
(reconfiguracin / reinstalacin) en caso necesario. Se informar al administrador de la RPV-IP mediante correo electrnico que un usuario remoto ha contratado este servicio para acceder a la RPV-IP administrada por l.
En caso de que el usuario remoto no haya contratado el servicio anteriormente mencionado para que pueda acceder remotamente a travs de Internet el administrador necesitar descargase en primer lugar el software cliente IPSec que se encuentra pulsando en el enlace de necesita ayuda? de la pgina principal y posteriormente dentro del apartado Configuracin IPSec Posteriormente es necesario descargar la configuracin del mismo. El proceso a seguir es el siguiente: Se seleccionar la opcin Descarga de fichero y aparece la pantalla siguiente:
En la pantalla de descarga se detallar el procedimiento de configuracin para cada sistema operativo: Windows, Linux y Mac. Posteriormente ser necesario distribuir estos ficheros (configuracin y software cliente IPSec) a los usuarios remotos.
8. FIREWALL Y ENCRIPTACIN
El servicio Firewall ofrece al usuario la posibilidad de filtrar la entrada y salida del trfico de sus sedes, haciendo ms segura la misma y adems controlando de esta manera el uso del ancho de banda.
El servicio de Encriptacin permite establecer tneles IPSec entre sedes Net-LAN, a travs de los
cuales el trfico viaja cifrado. La configuracin y gestin del servicio se realiza a travs del portal de gestin Net-LAN. Estas funcionalidades se documentan en detalle en las siguientes guas: Gua rpida de Firewall Gua rpida de Cifrado