En este cap tul o nos concentraremos netamente en l a propuesta que hacemos nosotros para l a red del CTS, y espec fi camente nos basaremos en l a propuesta futura que el col egi o ti ene, ya que hacer hi ncapi en el di seo actual, resulta un tanto no funci onal .
3.1. DISEO EN LA CAPA 1.
3.1.1. Topologa. En cuanto a l a topol oga adoptada por el CTS, nosotros estamos de acuerdo con el l os ya que l a topol oga en estrell a extendi da Fi gura 3.1, bri nda escal abi l i dad y fl exi bi l i dad que necesita l a i nsti tuci n.
Fi gura 3.1 Topol og a Estrel l a extendi da.
La topol og a de estrel l a extendi da es i deal para redes medi anas que se desarrol lan rpi damente, las ventaj as por enci ma de l as otras topol og as podemos deci r que son l as si guientes, fcil de disear e i nstal ar, flexi bil idad y escal abi l i dad.
2 Cuando se necesite agregar ms estaci ones de trabaj o, i mpresoras o servi dores, sl o se debe conectar otro cable al di sposi ti vo central , que puede ser un Hub o swi tch.
Otra ventaj a es que, si fal l a el enl ace permanente, no fal l ar toda l a red. Si fal l a un cabl e, sl o se ver afectado el di sposi ti vo que est en el extremo de ese cable, el resto de la red seguir funcionando.
Y por l ti mo, el di agnsti co de probl emas es senci l l o, ya que l a fal l a se puede i denti fi car con rapi dez. Sin embargo, l a desventaj a pri nci pal de l a topol og a en estrel l a es su dependenci a del di sposi ti vo central , sea un swi tch o un Router. Si este di sposi ti vo fal l a, se ver afectada toda la red.
Por las ventajas y desventaj as dadas anteri ormente deci di mos por apl icar este diseo.
3.1.2. Cableado Vertical. En cuanto al cabl eado verti cal , es necesario hacer l as si gui entes sugerenci as:
El cabl eado verti cal que conecta al MDF con el I DF, estamos de acuerdo que su conexi n sea medi ante fi bra pti ca, debi do a l as di stanci as que hay que cubri r, l as cual es sobrepasan l os 100 metros, adems de l a vel oci dad soportada por este medi o que es 1Gbps en Fi bra monomodo con una escal abi l i dad a 10Gbps. No se ha el egi do Fi bra mul ti modo debi do a que su tasa de transferenci a soportada es de 100Mbps, l o cual l i mi tar a l a red en cuanto a Escal abi l i dad.
3 Porque se ha propuesto el enl ace de Fi bra a 1Gbps, debi do a que el I DF tendr en enl ace acti vo 8 swi tches de acceso, a l os que en total se encontraran conectados 165 usuari os, y tomando en cuenta el factor de escal abi l i dad de l a red al 20%, tendremos un total de 198 usuari os, medi ante l a tecnolog a que se sugi ere estar amos asi gnando una tasa de transferenci a de 5Mbps, lo cual es semej ante a l a tasa de transferenci a con l a que copi amos l os datos desde un CD a l a computadora, que es muy bueno.
Fi gura 3.2. Cabl eado Verti cal Propuesto. (Anexo 17)
Para el cabl eado verti cal entre el I DF y l os HCC, debemos tener como m ni mo, un medi o que soporte l as tasas de transferenci a asi gnadas entre el MDF e I DF. Proponemos Cable UTP Categor a 6, el cual soporta hasta 1Gbps. Con esto aseguramos qu, caso: para cada HCC del departamento Admini strati vo, que ti ene una capaci dad para 48 cl i entes, en el caso ms cr ti co cuando todos l os usuari os transmi tan concurrentemente, todos el l os tendrn asi gnado una
4 tasa de transferencia de 21Mbps dentro del Edi fi ci o Anti guo y 5 Mbps hacia el edi fico nuevo si todos los usuarios del edi fi ci o anti guo estn transmi ti endo concurrentemente.
Nosotros no estamos de acuerdo, con la propuesta del CTS que se reuti l i ce el cabl eado del edi fici o anti guo Categora 5e, porque basndonos en l os mi smos cl cul os como en el caso anteri or, con este medi o, que soporta 100Mbps, a l os 48 usuari os del departamento Admi ni strati vo, l e estar amos asi gnando una tasa de transferencia concurrente de 2Mbps, con l o que se desperdiciara l a tasa de transferencia asi gnada por medi o del canal de Fi bra. Lo que en una comparaci n un tanto absurda haci a l a vida real , ser a, como construi r una pi sta de aterri zaj e para vuel os i nternaci onal es, para dar permi sos de aterri zaje sol o a l as avi onetas ul trali geras.
La propuesta realizada por l os contactos del CTS para la segunda pl anta del edi fi ci o anti guo es l a de col ocar dos swi tches de 48 puertos, ubi cados ambos en el centro de computo, l os mi smos que bri ndaran conexi n a 57 usuari os, di stribui dos de l a si gui ente forma: 1 swi tch de 48 puertos asignado al departamento bi bli oteca pero ubicado f si camente en el cuarto de tel ecomuni caci ones del segundo pi so (Di stanci a aproxi mada entre el l os 5mts). El swi tch 2 de 48 puertos ser asi gnado a l os l aboratori os 5 y 6 con 21 usuari os c/u (distanci a aproxi mada 30 mts). Nuestra propuesta conll eva l a sigui ente; 2 swi tches, uno de 48puertos (l aboratori os) y el otro de 24 puertos (bi bl i oteca), distri buidos en el l aboratori o 6 y en el centro de computo respecti vamente, con l o cual evi tamos el tener que tender demasi ados cabl es para conectar l os l aboratorios. Esto l o vimos necesari o, debi do que todos l os usuari os se encuentran concentrados en un espaci o no mayor de 64 mts 2 entre l os dos
5 l aboratorios y estos a su vez a una di stanci a de 30 mts del centro de computo, entonces la facilidad de instal aci n, di stri buci n y manteni mi ento del cabl eado, j usti fi ca nuestra propuesta.
As mi smo, para l os Laboratori os de Si mul aci n y F si ca, en donde un swi tch de 48 puertos se encontrar a en el Laboratori o de Fsi ca y real i zar a l a distri buci n l a Laboratori o de Si mul aci n que ti enen una di stancia aproxi mada de 15 metros. El tender demasi ados cabl es para un sector de hosts concntri cos no ser a una buena i dea, proponemos el uso de dos swi tches de 24 puertos cada uno, ubicados en el l aboratori o de Si mul aci n y el de Fsica, en l ugar de un sol o swi tch de 48 puertos ubi cado en el Laboratori o de F sica.
En el di seo propuesto por el CTS, no se contempl o l os cambi o f si cos de l os departamentos de Secretari a y Admi ni strati vos que se conectaban al switch en Secretar a, en nuestra propuesta esto no se al tera mucho, ya que sol o cambi amos al swi tch de secretari a que era uno de 48 puertos, por uno de 24 que aun no ti ene un uso defi ni do y todos l os usuari os que se conectaban antes al l , se trasl adan al swi tch que estaba en el Lab. de qu mica para tomar el nombre de Departamentos Admi ni strati vos.
Con respecto al swi tch del Mari o Ri zzi ni , no exi sten cambi os.
En l o que refiere al Edi fici o nuevo, no estamos de acuerdo con l a di stri buci n de l os equi pos, exi stan 2 Swi tch de 48 puertos di stri bui dos desde el pri mero al tercer piso y uno en el cuarto pi so. La di stri buci n propuesta se encuentra sobre di mensi onada, ya que en cada pi so tendrn un mxi mo de 60 Usuari os, y quedan 36 puertos si n uti l i zaci n en espera del creci mi ento de l a red.
6 Para esto proponemos l a si gui ente di stri buci n.
1 switch de 48 puertos en la planta 1. 2 Swi tch de 48 puertos en l a planta 2. 3 Swi tch de 48 puertos en l a planta 3. 1 switch de 48 puertos en la planta 4.
Ponemos todos l os swi tch de 48 puertos, porque l a i nsti tuci n ti ene adquiri do l os equi pos, i ntentamos acomodarnos a su si tuaci n actual proponi endo l a mej or i mpl ementaci n. La di stri buci n de puertos propuesto se real i zara de l a si gui ente manera. Pl anta 3 edi f i ci o nuevo Laboratori o P 3 21 Swi tch Laboratori o i ngl s P3 21 Aul as P 3 8 Swi tch Centro de cmputo 8 Access Poi nt P3 1 Admi ni stradores P3 8 Admi ni stradores P4 8 Sal a de sesi ones P4 1 Access Poi nt P4 1 Aul as P 4 8 Servi dores 16 Swi tch DMZ 8 Pl anta 1 edi f i ci o nuevo Laboratori o pl anta 1 21 Swi tch I ngl s 21 Pl anta 2 edi f i co nuevo Laboratori o pl anta 2 21 Swi tch I ngl es 21 Aul as P2 8 Swi tch Admi ni stradores P2 8 Psi copedaggi co 1 Access Poi nt P2 1 Aul as P1 8 Admi ni stradores P1 8
7 Access Poi nt P1 1 Pl anta 4 edi f i co nuevo Laboratori o P4 21 Swi tch I ngl es P4 21 Tabl a 3.1 Di stri buci n Usuari os Edi fi ci o Nuevo.
Nuestra propuesta impl i ca una nueva di stri buci n de l os equi pos y mej or uti l i zaci n de l os di sposi ti vos ya adqui ri dos por el CTS.
3.2. DISEO EN LA CAPA 2. 3.2.1. Segmentacin.
El concepto de segmentacin en el CTS a ni vel de capa dos no puede ser apl i cado porque l a i nsti tuci n no ti ene Hub y l os swi tch dentro de l a red son di sposi ti vos de conmutaci n que el i mi nan este concepto.
Ms an dentro de l a capa 3, si se apl i ca el concepto de segmentaci n que l o detal l amos a conti nuaci n.
Para el CTS, ocuparemos redes de ti po C. 192.168.0.0 en un rango de 192.168.255.255, en donde l os pri meros 3 octetos son de red teni endo di sponi bl e 255 redes y el l ti mo octeto de de host, teni endo 255 host por cada red.
Dentro del CTS proponemos el segmentar toda l a red medi ante redes cl ase C, y dentro de cada red realizar el SubNeti ng para abarcar los host que necesi tamos.
Las redes 192.168.10.0 y 192.168.13.0 son l as redes que se propone utilizar para los equipos de Laboratorios dentro de l a I nsti tuci n.
192.168.1.0 Servi dores y l os Equi pos Acti vos de l a red. 192.168.2.0 Abarca La VLAN de Sistemas y l a de Admi nistradores
8 192.168.15.0 Ubi caremos el Col egi o Mari o Ri zzini. 192.168.20.0 Acceso Pbl i co.
Si ocupamos dos redes para l os l aboratori os es porque con l a segmentaci n que se i mpl ementa no tenemos l as sufi ci entes subredes para abarcar los laboratori os. Pero si no tenemos sufici entes subredes porque no ponemos una red ti po B se preguntarn; esto no l o hacemos por l as si gui entes consi deraci ones. Una red ti po B para l as subredes con 30 host que necesi tamos para cada l aboratori o, nos da un total de 2046 subredes, de l as cual es ocuparemos 15 subredes teni endo un desperdicio de subredes muy grande. Al contrari o que tenemos uti l i zando una cl ase C en l a cual para 30 host en cada subred tenemos 6 subredes, y entre l as 3 redes un total de 18 subredes. Otra consideraci n importante es tener el mi smo direccionami ento I P dentro de l a instituci n para tener una mej or admi ni straci n.
Con este di recci onami ento tenemos l a si gui ente segmentaci n de la red Fi gura 3.3.
Debi do a que l a red del Colegi o Tcni co Salesi ano, est di seada ni camente con di sposi ti vos de capa dos en adel ante, y si recordamos que estos di sposi ti vos segmentan l os domi ni os de colisiones grandes en vari os pequeos, esto genera un ambi ente l i bre de col i si ones.
Aunque el swi tch bri nda esta ventaj a, exi ste un probl ema, que este di sposi ti vo no es capaz de segmentar l os domi nios de di fusi n, por l o que l a Red conti nuara perteneci endo al mi smo domini o de di fusi n.
Los swi tches di vi den l os domi ni os de col i si n medi ante l a mi crosegmentaci n, que es l a concepci n de que cada puerto del swi tch ser un segmento de red, por medi o de esta mi crosegmentaci n cada host es el ni co domi ni o de col i si n exi stente.
10 La manera de l a el i mi naci n de l os domi nios de colisi n es mediante l a conmutaci n de paquetes, esto se pueden reali zar de l a si gui ente manera:
Mediante Al macenami ento y Env o: es l a acci n de al macenar l a trama compl eta antes de que se real ice cual qui er ti po de env o. Se analizan las direcciones desti no y/u ori gen antes de enviar l a trama, esto produce l atenci a, si el tamao de l as tramas es grande, el ni vel de latencia aumenta.
Mtodo de corte: El disposi ti vo de red (swi tch), l ee l a di recci n desti no antes de reci bir l a trama compl eta. Como en este mtodo, l a trama comi enza a ser envi ada antes de que esta l l egue compl etamente, el ni vel de l atenci a de transmi si n se reduce, pero l a detecci n de errores de conmutaci n de l a LAN no se real i za.
3.3. DISEO EN LA CAPA 3. 3.3.1. Direccionamiento Lgico.
Para el direccionami ento I P, escogi mos uti lizar una cl ase C.
Ubicacin Descri pcin # Usuarios Red Capaci dad hasta Pi so 1 EN Laboratori o 1 20 192.168.10.32/27 30 Lab. I ngl es 1 20 192.168.10.64/27 30 Pi so 2 EN Laboratori o 2 20 192.168.10.96/27 30 Lab I ngl es 2 20 192.168.10.128/27 30 Pi so 3 EN Laboratorio 3 20 192.168.10.160/27 30 Lab. I ngl es 3 20 192.168.10.192/27 30 Si stemas 10 192.168.2.32/27 30 Servi dores 192.168.1.64/26 62
11 Equi pos Acti vos 192.168.1.128/26 62 DMZ 5 192.168.3.32 / 27 30 VPN 10 192.168.3.64 / 27 30 Pi so 4 EN Laboratorio 4 20 192.168.11.32/27 30 Lab. I ngl es 4 20 192.168.11.64/27 30 Pi so 2 EA Laboratorio 5 20 192.168.12.32/27 30 Laboratorio 6 20 192.168.12.64/27 30 Si mul aci n 20 192.168.12.96/27 30 Neumti ca 18 192.168.12.128/27 30 Bi bl i oteca 15 192.168.12.160/27 30 Pi so 3 EA Audi ovi sual es & Manteni mi ento 10 192.168.12.192/27 30 Cosj Estudi anti l & Cl ubes 20 192.168.12.224/27 30 Pi so 1 EA Mari o Rizzi ni 20 192.168.15.64/26 62 Vari os Pi sos Departamento Admi ni stradores 41 192.168.2.64/26 62 Acceso Wi reless Estudi antes. 40 192.168.20.64/26 62 Aul as EN 36 192.168.20.128/26 62
Tabl a 3.2 Di recci onami ento I P.
3.3.2. Conmutacin VLAN.
Definicin de VLANS
Descri pci n Red Vl an Permi sos Laboratori o 1 192.168.10.32/27 21 -. Acceso I nternet (Proxy Estudi antes).
12 -. Profesor Acceso a todos los laboratori os. -. Servi dor Ftp de grupo. Lab. I ngles 1 192.168.10.64/27 31 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos l os l aboratori os I ngles. -. Servi dor Ftp de grupo. Laboratori o 2 192.168.10.96/27 22 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos los laboratori os. -. Servi dor Ftp de grupo. Lab I ngl es 2 192.168.10.128/27 32 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos l os l aboratori os I ngles. -. Servi dor Ftp de grupo. Laboratori o 3 192.168.10.160/27 23 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos los laboratori os. -. Servi dor Ftp de grupo. Lab. I ngl es 3 192.168.10.192/27 33 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a
13 todos l os l aboratori os I ngles. -. Servi dor Ftp de grupo. Si stemas 192.168.2.32/27 13 -. Acceso a toda l a red si n restri cci ones. -. Admi ni straci n de equi pos Acti vos, y de servi ci os en l a red. Servi dores 192.168.1.64/26 10 -. Acceso a equi pos admi ni stradores con permi sos segn sus acti vi dades Admi ni straci n Equi pos Activos 192.168.1.128/26 11 -. Acceso a equi pos admi ni stradores con permi sos segn sus acti vi dades Laboratori o 4 192.168.11.32/27 24 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos los laboratori os. -. Servi dor Ftp de grupo. Lab. I ngles 4 192.168.11.64/27 34 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos l os l aboratori os I ngles. -. Servi dor Ftp de grupo. Laboratori o 5 192.168.12.32/27 25 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a
14 todos los laboratori os. -. Acceso a servi dor FTP de grupo asi gnado. Laboratori o 6 192.168.12.64/27 26 -. Acceso I nternet (Proxy Estudi antes). -. Profesor Acceso a todos los laboratori os. -. Acceso a servi dor FTP de grupo asi gnado. Si mul aci n 192.168.12.96/27 40 -. Acceso I nternet (Proxy Estudi antes). -. Acceso a servi dor FTP de grupo asi gnado. Neumti ca 192.168.12.128/27 41 -. Acceso I nternet (Proxy Estudi antes). -. Acceso a servi dor FTP de grupo asi gnado. Bi bl i oteca 192.168.12.160/27 42 -. Acceso I nternet (Proxy Estudi antes). -. Bi bli otecari a acceso permi ti do al servi dor del si stema de manej o bi bli otecari o. Audi ovi sual es & Manteni mi ento 192.168.12.192/27 43 -. Acceso I nternet (Proxy Estudi antes). Consej o Estudi anti l & Cl ubes 192.168.13.32/27 44 -. Acceso I nternet (Proxy Estudi antes).
15 Mari o Rizzi ni 192.168.15.64/26 50 -. Acceso a I nternet. Departamento Admi n. 192.168.2.64/26 12 -. Rector, Vi cerrector y Di rector de comuni dad, acceso a todos los servi cios que bri nda el col egi o (Servidor Base de datos, Apl i caci ones, mai l). Acceso Wi reless Estudi antes. 192.168.20.64/26 51 Acceso a I nternet (Perfi l Proxy Acceso Pbl ico). Aul as EN 192.168.20.128/26 52 Acceso a I nternet (Perfi l Proxy Acceso Pbl ico). VPN 192.168.3.32/27 14 Acceso a Servi dor de MAI L, Si stema de l a Uni versi dad DMZ 192.168.3.64/27 15 Acceso Web, publi caci n de servi ci os Mai l , WEB, FTP.
Tabl a 3.3 Defi ni ci n de VLANs.
16 3.3.3. ACL VLAN.
Las Access Control Li st son i nstrucci ones que se apl i can a una i nterfaz, ya sea de un Router o en un swi tch capa 3, a sus puertos o a sus i nterfaces vi rtual es VLANs, estas ACL i ndi can a l a i nterfaz que ti po de paquetes se deben aceptar o se deben denegar. La aceptaci n y rechazo se puede basa en especi fi caci ones, como l a di recci n ori gen, direccin desti no, protocol o o nmero de puerto. Las ACL nos ayudan a l a admi ni straci n del trfi co exami nando l os paquetes y tomando l a deci si n perti nente para cada paquete. Existen 2 ti pos de ACL los estndares (1-99) y l as extendi das (100 - 199), l as pri meras se basan si mpl emente en di recci n I P ori gen y di recci n I P desti no para tomar l a deci si n en senti do ms extenso l as ACL extendi das a parte de la direcci n ori gen y desti no, tambi n se puede fi l trar el trfi co por protocol o espec fi co. En caso de nuestra propuesta, uti l i zaremos ACL extendi das para control ar el trfico a ni vel de protocolos.
17 Vl an Lab Lab I ng WEB Mai l FTP Base Dat os Apl i c Serv Vari os Admi n Si s t Equi pos Act i vos ACL 21-26 - - - - - - - - * Permi ti r vl an 21-26 acceso host vl an 10 protocol o Http Proxy estudi antes. * Permi ti r vl an 21-24 acceso host protocol o ftp Estudi antes Edi fi ci o Nuevo. * Permi ti r vl an 25-26 acceso host protocol o ftp Estudi antes Edi fi ci o Anti guo. * Permi ti r host vl an 21-26 PC profesor acceso vl an 21-26 * Denegar todo. 31-34 - - - - - - - - * Permi ti r vl an 31-34 acceso host vl an 10 protocol o Http Proxy estudi antes. * Permi ti r vl an 31-34 acceso host protocol o ftp Estudi antes Edi fi ci o Nuevo. * Permi ti r host vl an 31-34 PC profesor acceso vl an 31-34 * Denegar todo. 40 42,44 - - - - - - - - - - * Permi ti r vl an 40-42,44 acceso host vl an 10 protocol o
18 Http Proxy estudi antes. * Denegar todo. 13 * Permi ti r vl an 11 acceso any. 10 - * Permi ti r vl an 10 acceso vl an 11 and vl an 12 11 - - - - - - * Permi ti r vl an 11 acceso vl an 11 and vl an 12 42 - - - - - - - - - * Permi ti r vl an 42 acceso host vl an 10 protocol o Http servi dor Proxy estudi antes. * Permi ti r vl an 42 acceso host vl an 10 Servi dor apl i caci n Si stema Bi bl i oteca. * Denegar todo. 12 - - - - - - * Permi ti r vl an 12 acceso host vl an 10 protocol o Http servi dor Proxy admi ni stradores. * Permi ti r vl an 12 acceso hosts vl an 10 Servi dor Base de datos, Servi dor de apl i caci ones. * Denegar Todo 14 - - - - - - * Permi ti r vl an 14 acceso host vl an 10 servi dor de mai l , Base
19
Tabl a 3.4 Defi ni ci n de ACLs.
de Datos, Apl i caci ones. * Denegar Todo 15 - - - - - - - - - - * Permi ti r vl an 15 publ i caci n de servi ci os a I nternet. * Denegar Todo 50 - - - - - - - - - - * Permi ti r vl an 50 acceso host vl an 10 protocol o Http Servi dor Proxy acceso Pbl i co. * Denegar todo. 51 - - - - - - - - - - * Permi ti r vl an 51 acceso host vl an 10 protocol o Http Servi dor Proxy acceso Pbl i co. * Denegar todo. 52 - - - - - - - - - - * Permi ti r vl an 52 acceso host vl an 10 protocol o Http Servi dor Proxy acceso Pbl i co. * Denegar todo.
20 En la tabla de defini ci n de ACL Tabl a 3.4 Defi nici n de ACLs, bri ndamos l os pri vil egi os a l os usuarios asi gnados a una VLAN y que se encuentran dentro de un segmento de red l os pri vi l egi os de acceso a recursos dentro de l a internetwork.
Las ms i mportantes y como nueva propuesta al CTS se encuentra l a creaci n de una VLAN de VPN, l a cual bri ndar acceso a l os usuarios remotos a servi cios como mail , y aplicaci ones dentro del CTS, esta VLAN est di seada pri ncipal mente para los admi ni stradores de l a institucin, tambi n se encuentra proyectada para l as nuevas tendenci as como tel efona I P, donde un usuari o remoto conectndose a l a VPN, puede l evantar un software que l e simul e a un tel fono, que contendr l a extensin asignada por el CTS, y podr contestar y realizar sus llamadas como si se encontrar presente f si camente dentro de l a i nsti tuci n.
Dentro de l os puntos ms i mportantes, tenemos l a defi nici n de una VLAN para l os servi dores de l a DMZ, qui enes sern l os que tengan los servi cios que publicara l a institucin como pgi na web, mai l , y servici os que en futuro adquieran.
Ese model o de publ i caci n de servi ci os medi ante una DMZ (Zona Desmi litari zada) le bri nda seguri dad, flexi bil idad a la internetwork con un di seo de al to ni vel .
21 3.3.4. Dominio Broadcast.
Dentro del di seo, podemos observar un domi ni o de Broadcast General , el pri mero con el Swi tch de Core que es un di sposi ti vo de capa 3 y el swi tch de di stribuci n del edi fici o anti guo que tambi n es un di spositivo de capa 3. Esto l o podemos Observar en la Fi gura 3.4.
Con un concepto de domi nio de broadcast con equipos de capa 3, tenemos el ri esgo de que l a red crezca de una forma desmesurada y que nos provoque demasi ada l atenci a y por ende problemas de vel oci dad en todo el domi ni o, para esto hemos di seo la reduccin de l os domi ni os de broadcast mediante VLANs, que fueron defini das anteri ormente.
22
Fi gura 3.4. Broadcast General . (Anexo 19)
23
Fi gura 3.5. Broadcast por VLANS. (Anexo 20)
24 3.4. MAPAS 3.4. 1. Mapa de topologa de capa OSI.
Topologa Modelo OSI SWITCH CAPA 3 SWITCH CAPA 2 HOST, PC CLIENTE SERVIDOR ACCESO MDF IDF HCC HCC HCC HCC HCC HCC MDF IDF HCC Main Distributor Frame Marco de Distribucin principal Intermediate Distributor Frame Marco de Distribucion Intermedia Horizontal Cross Connect Conexin del cable horizontal Fibra Monomodo 9/125 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 6 Full Dupl ex 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 6 Ful l Duplex 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 5E Ful l Duplex 100 Mbps UTP Cat 5E Full Duplex 100 Mbps UTP Cat 5E Full Duplex 100 Mbps UTP Cat 5E Full Duplex 100 Mbps UTP Cat 5E Full Duplex 100 Mbps UTP Cat 5E Full Duplex 100 Mbps UTP Cat 6 Full Duplex 1000 Mbps UTP Cat 6 Full Duplex 1000 Mbps HCC UTP Cat 5E Full Duplex 100 Mbps HCC
Fi gura 3.6. Mapa de Topol og a OSI . (Anexo 21)
Dentro del di seo de l a topol og a del Model o OSI , tenemos un MDF (Marco de Di stri buci n Pri nci pal ) que al mi smo ti empo tambi n es I DF (Marco de Di stri buci n I ntermedi a) para HCC (Conexi n del cabl e Hori zontal) del edi fici o nuevo.
Tambi n Tenemos un I DF en el edi ficio antiguo el cual tambin es HCC para l os servidores de grupo que bri nda servici os a usuarios del edifi ci o anti guo, como un servi dor FTP que es de uso l os profesores para l os al umnos, este I DF es el qui en ti ene l a comuni caci n con l os HCC.
25 Ti po de conexi n f si ca entre el MDF y el I DF l a real i zamos con fi bra Monomodo porque l a di stanci a es mayor a 100 mts y para escal abi l i dad del CTS con una veloci dad de 1000 Mbps, la conexi n de todos los HCC la real i zamos con CAT 6 con una vel oci dad de 1000 Mbps.
Los puntos fi nal es se comuni caran a l os swi tch de acceso con Cat 5e, a una vel oci dad de 100 Mbps.
La escal abil i dad de l a red es pensando en:
I mpl ementaci n de Telefona I P.
Aulas Virtual es con Vi deo Conferencia, en la que un solo Profesor pueda di ctar clases a 4 Laboratori os al mi smo ti empo.
3.4. 2. Mapa lgico de LAN.
El diagrama l gi co es el model o de topol oga de red si n todos l os detalles de la ruta de i nstalacin exacta del cableado. Es un mapa que nos indica la ruta bsi ca de una LAN. Ti ene l as caracter sti cas de l as ubi caci ones del MDF e I DF, ti po de cabl e que se utili za para l a i nterconexi n entre el los.
26 DIAGRAMA LOGICO MDF UBICACIN 3 PISO EDIFICIO NUEVO IDF UBICACIN 2 PISO ANTIGUO DEPARTAMENTO DE SISTEMAS FIBRA MONOMODO 9/125 DE 4 HILOS. 2 HILOS UTILIZADOS Y 2 DE BACKUP VELOCIDAD 1000 MBPS VELOCIDAD DE LA WAN 1384 Kbps HCC UBICADOS EN PISO 1,2,3,4 DEL EDIFICIO NUEVO CABLE CAT 6 VELOCIDAD 1000 MBPS HCC UBICADOS EN PISO 1,2,3 DEL EDIFICIO ANTIGUO CABLE CAT 6 VELOCIDAD 1000 MBPS
Fi gura 3.7. Di agrama Lgi co. (Anexo 22)
El cl cul o de l a vel ocidad WAN se real i z como si gue a conti nuaci n.
Laboratori o de l os Estudi antes, a l os que l es vamos a dar 2 Kbps por host son 14 l aboratori os con 20 maqui nas cada uno; esto nos da un total de 560 Kbps.
Al rea de admi ni straci n con un total de 60 Usuari os a l os que vamos a bri ndar 4 Kbps, nos bri nda un total de 240 Kbps.
Para el departamento de Si stemas, se asi gnara 5 Kbps por usuarios, este cuenta con 20 usuari os l o que nos da un total de 100 Kbps as mi smo l os servi dores con 4 Kbps cada uno para actual i zaci ones, son 10 Servi dores que nos da un total de 40 Kbps.
27
Los Usuari os del Col egio Mario Rizzini se les otorgara 2 Kbps por host al ser 20 usuari os nos bri nda un total de 40 Kbps.
El acceso pbli co en el edi ficio nuevo contamos que sean 10 usuarios por piso, bri ndndol es un acceso de 2 Kbps en 4 pi sos nos da un total de 80 Kbps.
La pgi na web no ocupara ms de 64Kbps tanto de i ngreso como de sal i das de peti ci ones.
Esto nos bri nda un total de 1124 Kbps mas el 20% de creci mi ento consi derado necesitamos 1349 Kbps de servi ci o al i nternet que debe ser contratado.
3.4. 3. Mapa fsico de la LAN.
Con el diagrama f sico l o que i ntentamos representar, es l a ubicaci n f si ca de l os equi pos, y que cabl e uti l i za para l a i nterconexi n entre el l os, adems antiguamente se uti l i zaba este di seo para poder i ndi car al usuari o en donde se encontraban los domi ni os de coli si n, como se expli co anteri ormente en una red total mente conmutada se elimi na el concepto de domi ni os de col i si n.
Esto lo podemos observar en l a Fi gura 3.9, donde todos l os equipos de acceso sern swi tch de capa 2.
Con el mapa lgi co de VLANs lo que descri bimos l a distri buci n de las VLANs dentro de la estructura fsi ca, podemos observar que l as VLANs Admi ni stradores, Si stemas, Aul as, Servi dores son l as que ti enen una distri bucin por todo el edi fi ci o.
Adi ci onal a esto creamos una VLAN para l a admi ni straci n de equi pos acti vos en l a red, esta l a creamos por l as si guientes razones; l os equi pos acti vos vi enen por defaul t en l a VLAN 1, si conectamos un nuevo equi po a un equipo de nuestra red automti camente tendremos l os pri vi legi os de la VLAN 1, por esta razn recomendamos deshabili tar l a VLAN por defaul t de l os equipos acti vos y acti var l a VLAN de admi ni straci n de Equi pos Acti vos para su admini straci n, as , si un puerto del switch no est confi gurado en al guna VLAN automti camente pertenecern a la VLAN 1 que se encontrara deshabi l i tada, no tendrn acceso a l a red CTS.
Con esto apl i camos l os conceptos de seguri dad y admi ni stracin de VLANs. Todo esto l o podemos observar en l a Fi gura 3.10 y 3.11.
El Col egi o tcni co sal esi ano, se encuentra en una sol a zona f si ca, por l o que el di recci onami ento de capa 3, es recomendabl e real i zarl o en l os swi tch de capa 3, no exi ste conexi n con siti os remotos. En un futuro el CTS ti ene como proyecto l a expansi n de conecti vi dad hacia l a Uni versi dad Pol i tcni ca Sal esi ana, pero esta ser a l a encargada de l a confi guraci n y admi ni straci n del enl ace.
32
Fi gura 3.11. Enrutami ento. (Anexo 26)
Para el direccionami ento de capa tres, se deben crear Rutas estti cas en el I DF y en el MDF, para tener una conecti vi dad compl eta en toda l a red.
Adems se debe tomar l as si gui entes consi deraci ones, como l a red 192.168.1.0 Servi dores y equi po acti vos y l a 192.168.2.0 Si stemas y admi ni stradores se encuentran en l a mi sma VLAN y di stri bui dos por l os 2 edi fici os el momento que levantamos el puerto de enlace entre l os 2 switch de capa 3, automti camente se ven entre ellas y no necesitan de rutas para su comuni caci n.
Tambi n se debe tener muy presente el l evantar I nter VLAN Routi ng en l os swi tch de capa 3 para que todas l as VLANs se vean entre si , y con l as ACL li mi tamos el acceso y admi nistramos la conectividad y permi sos en la red.
33 Recomendamos ocupar protocol os de routi ng di nmi co como OSPF o EI GRP si es un equipo ci sco, con esto nos evi tar amos si en un futuro se crea una subred ms o red, medi ante cual qui era de estos protocol os automticamente se actuali zan las tablas de ruteo, para bri ndar conecti vi dad.
3.4. 6. Mapas de direccionamiento IP.
Dentro del direccionami ento I P se aplica la Tabla 3.2 Di recci onami ento I P, en la cual nos permi ti mos proponer l os siguientes puntos.
La definici n de todo el direccionami ento I P se encontrara dentro de vari as redes de ti pos C, como l o anali zamos anteri ormente, adems de esto dentro del diseo fi nal proponemos l a i mpl ementaci n de un nuevo di seo para l a red peri metral, en la cual contemplamos l as siguiente sugerencias.
I mpl ementar un equi po fi rewall para la seguri dad y publi cacin de l os servi cios de CTS, un I PS equipo detector de intrusos que protege el i ngreso de posi bl es ataques a nuestra red basndose en firmas di gi tal es, o al gori tmos de detecci n de atacantes a l a red.
Un equi po controlador de ancho de banda, con este equi po podemos determi nar l as redes dentro del CTS y asignar el canal de I nternet dedi cado a cada segmento, y tener el control total de protocol os a los que doy pri vil egios para utili zar mi canal de I nternet y aprovechar de mej or manera l os recursos del CTS.
34 SD ON OFF Status 1/1 1/2 Inside Outside Console LINK LINK Packet Shaper
Fi gura 3.12. Di recci onami ento I P. (Anexo 27)
35 3.4. 7. Mapa Jerrquico. SD ON OFF Status 1/1 1/2 Inside Outside Console LINK LINK PacketShaper
Fi gura 3.13. Model o J errqui co. (Anexo 28)
36 El model o j errqui co propuesto en l a Fi gura 3.13, ti ene cl aramente defini do sus capas, esto ayuda al admi ni strador a tener una mej or admi ni stracin y control de la red.
La capa de acceso no se mezcl a con l a capa de di stri buci n, en caso del core que se convi erte en di stri buci n, por asunto de costos y util izaci n del 100% del equipo.
3.5. DEFINICIN DE EQUIPOS ACTIVOS. En l a defini ci n de l os equi pos acti vos estamos de acuerdo con l os equi pos que a adquiri do el CTS, detall amos l as especifi caci ones tcni cas de cada uno de ellos.
3.5.1. Equipos de Acceso.
Ci sco Catalyst 2960 Seri es Conecti vi dad Fast Ethernet and Gi gabi t Conecti vi dad Ethernet con servi ci os de LAN mej orado Confi guraci n de equipos independiente. Switching en capa 2 y 4 de servicios. De 48 10/100/1000 y 24 puertos 10/100/100 WS-C2960-24TC-L Fuente de poder para protecci n a fal los con fuente externa.
Los equi pos propuestos pueden ser equi pos de 48 0 24 puertos, con 4 puertos de capaci dad en 10/100/100, que son l os que uti l i zar amos para l a conexi n con el I DF.
3.5.2. Equipos de Distribucin. Swi tch de capa 3, 3560 de 24 puertos. 24 puertos 10/100/1000 Switch 1 uni dad de basti dor. 4 puertos Gi gabi t Ethernet basados en SPF.
37 Compati bl e con l a norma I EE 802.3af y l a norma prel i mi nar de Ci sco. Base I P (24PS-S) Servi ci o I P (24PS-E)
Estos equi po es el i deal para el I DF en el edi ficio antiguo, tiene 4 puertos de Fi bra que sern l os que utilicemos para la conexin con el Core.
3.5.3. Equipos de Backbone. Swi tch de Core Ci sco Catalyst 4500 Seri es Pl ataforma modul ar medi a que ofrece servi ci os desde l a capa 2-a e i deal para negocios pequeos, medi anos. Trabaja en al ta disponi bili dad. Seguri dad 802.1x, Net Fl ow; Li sta de control de Acceso y SSH. Puede ser admi ni strado por Ci scoWorks,CNA. Puertos de al ta disponi bili dad, di sponi bl e en Fast Ethernet o Gi ga Ethernet con cobre o fibra con funcionali dad de PoE.
Este equi pos es modul ar, al que se l e puede agregar mdul os de servicios segn las necesidades, en nuestro caso y modul o de 4 pares de fi bra, y un modul o de 24 puertos 10/100/1000 FastEthernet.
Fi rewal l Para l a red del col egi o tcni co sal esi ano recomendamos un Ci sco Pi x 506E (100 usuari os con 3DES) Pi x-501-50-BUN-k9. Fi rewal l de i nspecci n que conserva la informaci n de estado (Caudal de procesami ento de texto sencil lo a 10 Mbps). VPN I PSec DES de 56 bi ts (caudal de procesami ento de 6 Mbps)
38 10 pares VPN si mul tneos de empl azami ento a empl azami ento /acceso remoto. Detecci n de I ntrusos. Swi tch 10/100 de 4 puertos. Pl ug and Pl ay, actual i zaci n automti ca y Easy VPN. Cl i ente VPN.
El equi po que proponemos de frontera tiene 4 puertos que son Zonas de seguridad, y se pueden apl i car regl as entre estas zonas dando fl exi bi l i dad en l a confi guraci n, y un control total de l os accesos a l a red.
Control ador de Ancho de Banda Como equi po de control ador de ancho de banda proponemos, Packeteer 1700 con un canal de 2 Mbps. Con este equi po el CTS, tendr el control total sobre el canal de i nternet, admi ni strando de mej or manera l os recursos y si endo ms pti mos.
Equipo para deteccin de Intrusos Como equi po de deteccin de i ntrusos proponemos el Ti ppi ngPoi nt 50, que ti ene un Throughput 50 Mbps, con una l atenci a menor a 2 ms. Este equi po ti ene un a 2 i nterfaces Fast Ethernet que funci onan en modo bri dge.