Академический Документы
Профессиональный Документы
Культура Документы
A continuacin se muestran distintos esquemas y detalles del diseo de redes (algo inconexos, pero bueno
In Figure 12-4, 10-Mbps Ethernet connects the hosts on each floor to switches A, B, C, and D. 100-Mbps Fast Ethernet connects these to Switch E. VLAN 10 consists of those hosts on Ports 6 and 8 of Switch A and Port 2 on Switch B. VLAN 20 consists of those hosts that are on Port 1 of Switch A and Ports 1 and 3 of Switch B. Vamos, que las VLANs no son agrupaciones fsicas, sino lgicas. P. Ej, VLAN 10 formado por un ordenador del switch A y otro del B.
La red principal (core) tiene switches con gran capacidad de conmutacin, pero no realiza ningn tipo de filtrado. De esto se encarga el router que hay a la entrada (red de distribucin). De todas formas, yo creo que en el examen pondr un router en lugar de un switch por eso de tener ms inteligencia y manejar nivel 3 (IP). La cuestin es que ahora, con el incremente de inteligencia de los switches (switches de nivel 3,...) la cosa se complica.
En este caso, este router representa la capa de distribucin y la capa principal (core)
Aqu se muestra una forma de conexin LAN /MAN (mediante el estndar 802.10) mediante FDDI. Esta sera su capa principal.
Aqu se muestra otra forma de conexin LAN /MAN (mediante el estndar 802.10) mediante FDDI. Esta sera su capa principal. Yo creo que pondra la figura anterior pero con routers, no con switches.
DISEO JERRQUICO MODELO 5 y 6: nicamente se distinguen en que uno usa ATM en el subsistema vertical y el otro 100BaseTX. Yo pondra este diseo
Cortafuegos
Este diseo es bueno para redes que no cumplen la regla 80/20 (80% del trfico dentro de la propia VLAN, 20% fuera), ya que si los servidores estn centralizados, la mayora del trfico es entre VLANs => se necesita alta capacidad de ruteo.
VENTAJAS: Barato y transparente DESVENTAJAS Limitaciones de los routers, filtrado de paquetes (ataques tunelizados sobre servicios permitidos)
Misma configuracin que el esquema anterior pero con la pasarela con 2 tarjetas de red. VENTAJAS: Implementan seguridad a nivel de red (filtrado de paquetes por el router-cortafuegos) y a nivel de aplicacin (pasarela o servidor proxy) Las reglas externas de filtrado pueden establecerse de forma que los sistemas externos solo puedan acceder al ordenador de proteccin, denegando el trfico a cualquier otra mquina interna. Es decir, puede configurarse para que todo el trfico, tanto desde el exterior hacia el interior como del interior al exterior, pase por la pasarela. O El servidor e informacin pblica (web, ftp, DNS, ...) puede instalarse en el segmento de red compartido entre el router de filtrado de paquetes y la pasarela. DESVENTAJAS Aumento del coste y disminucin del tiempo de respuesta
VENTAJAS: Los usuarios internos acceden a Internet a travs de la pasarela El cortafuegos 1 dirige el trfico al servidor de informacin de la zona DMZ correspondiente, or lo que elimina la necesidad de que la pasarela tenga 2 interfaces de red.
MAIL NEWS
Servidor WEB
Naranja
Naranja
NAT
VIRUS SCAN
PROXY
FW 2
Amarilla
Verde
Servidor Aplicaciones
INTRANET
P P P P
Servidor Datos
Puestos de usuario
Yo creo que en un caso normal, se puede plantear la arquitectura del PNTIC: zona desmilitarizada con un nico cortafuegos y, opcionalmente una pasarela detrs del cortafuegos. POSIBLE AGUJERO DE SEGURIDAD A TRAVS DEL POOL DE MDEMS
En este caso vemos un agujero de seguridad ya que la conexin remota no pasa por el cortafuegos. Para solucionarlo, es mejor concentrar los mdems en un pool de mdems y aplicar medidas de seguridad al conjunto, incluyendo mtodos de autenticacin avanzada.
cortafuegos
DESVENTAJA: el banco de mdems est sin proteger => meter el banco de mdems en la zona DMZ o accesible a travs de la pasarela de aplicaciones (esquemas de las siguientes soluciones). PROTEGIDO POR CORTAFUEGOS
10
METIDO EN DMZ
11