2020 Rediseno Red Local
2020 Rediseno Red Local
2020 Rediseno Red Local
INTEGRANTES:
BRAYAN STYBEN DIAZ GARCIA
CRISTHIAN CAMILO LUIS RAMOS
INTEGRANTES:
BRAYAN STYBEN DIAZ GARCIA
CRISTHIAN CAMILO LUIS RAMOS
2
Nota de Aceptación
Jurado
Jurado
3
TABLA DE CONTENIDOS
Pág.
1. INTRODUCCIÓN ........................................................................................................ 9
2. OBJETIVOS ................................................................................................................ 10
2.1 OBJETIVO GENERAL ........................................................................................... 10
2.2 OBJETIVOS ESPECÍFICOS .................................................................................. 10
3. PLANTEAMIENTO DEL PROBLEMA ......................................................................... 11
3.1 DEFINICIÓN DEL PROBLEMA ............................................................................. 11
3.2 JUSTIFICACIÓN .................................................................................................... 11
4. MARCO TEORIO ..................................................................................................... 12
4.1 TOPOLIGÍA DE RED ............................................................................................. 12
4.1.1 TOPOLOGÍA FÍSICA .......................................................................................... 12
4.1.2 TOPOLOGÍA LÓGICA ........................................................................................ 12
4.2 RED FIABLE .......................................................................................................... 12
4.3 MODELO DE DISEÑO JERARQUICO .................................................................. 13
4.3.1 CAPA DE ACCESO ............................................................................................ 14
4.3.2 CAPA DE DISTRIBUCIÓN.................................................................................. 15
4.3.3 CAPA DE NÚCLEO ............................................................................................ 16
4.4 LICENCIAMINETO EQUIPOS CISCO ................................................................... 16
4.7 PROTOCOLO SEGURIDAD DE PUERTOS .......................................................... 23
4.7.1 MODOS DE VIOLACION DE SEGURIDAD ........................................................ 24
4.8 RUTA ESTÁTICA POR DEFECTO ........................................................................ 25
4.9 LISTA DE ACL EXTENDIDAS ............................................................................... 25
4.9.1 CONFIGURACIÓN DE LAS ACL EXTENDIDAS ................................................ 26
5. PROTOCOLO DE CONTROL DE AGREGACIÓN DE ENLACES (LACP) .............. 26
5.1CONEXIÓN MULTIHOMING ................................................................................... 27
5.2 NAT IPV4 ............................................................................................................... 28
5.2.1 NAT ESTÁTICA .................................................................................................. 29
5.2.2 NAT DINAMICA .................................................................................................. 29
5.2.3 TRADUCCIÓN DE LA DIRECCIÓN DEL PUERTO (PAT) .................................. 29
5.3 CALIDAD DE SERVICIO (QoS) ............................................................................. 30
4
5.4 PROTOCOLO DE ENRUTAMIENTO OSPF .......................................................... 31
6. DISEÑO DE LA RED ................................................................................................... 33
6.1 PLANIFICACIÓN DE LA ASIGNACIÓN DE DIRECCIONES IP ................................ 39
6.2 DISEÑO LÓGICO DE LA RED .................................................................................. 40
7 RESULTADOS Y DISCUSIÓN ..................................................................................... 51
7.1PRUEBAS .................................................................................................................. 52
8 CONCLUSIONES ......................................................................................................... 64
9 WEBGRAFIAS ............................................................................................................. 65
5
LISTA DE TABLAS
Pág.
Tabla 1 Topología lógica Red Actual .......................................................................... 394
Tabla 2 Referencia de Dispositivos en Red por Switch ............................................ 394
Tabla 3 topología lógica vlan ........................................................................................ 39
Tabla 4 direccionamiento por vlan ............................................................................... 39
Tabla 5 Referencia de Dispositivos en Red por Switch .............................................. 43
6
LISTA DE FIGURAS
Pág.
Figura 1 Características de la Red…………………………………………………. 12
Figura 2 Modelo Diseño Jerárquico……………………………………………….. 13
Figura 3 Conectividad De la Capa de Acceso……………………………………. 14
Figura 4 Modelo de paquetes de IOS para Router ISR G2…………………….. 17
Figura 5 Plataformas de Switch…………………………………………………….. 18
Figura 6 Plataformas de Routers…………………………………………………… 20
Figura 7 Modos de violación de Puertos………………………………………….. 24
Figura 8 Traducción entre direcciones privadas y públicas …………………... 28
Figura 9 Ejemplo de CBWFQ……………………………………………………….. 30
Figura 10 Árbol Trayectoria más Corta ………………………………………….. 32
Figura 11 Topología Actual………………………………………………………….. 33
Figura 12 Diseño de Red……………………………………………………………... 40
Figura 13 topología lógica de la red experimental………………………… ……. 51
7
RESUMEN
En este proyecto se brinda una solución a la empresa SEVICOL LTDA, la cual, requiere
una reestructuración en su red local a causa de la problemática sufrida por la empresa;
donde no se tiene una administración y organización definida en la red, no cuenta con
seguridad en redes ya que cualquier persona puede acceder a su red interna, se presentan
retardos en los tiempos de respuesta. Por esto se plantea un rediseño de la red, se
implementarán nuevos equipos como router, switch, cableado certificado, cámaras de
mayor alcance.
Se garantizará la seguridad de los activos. Este proyecto tiene como finalidad conectar las
áreas de su sede principal en Bogotá. garantizando que su red sea totalmente privada,
proveedores de servicio secundarios, así tener un mejor desempeño a nivel de conectividad
y mayor seguridad en los datos.
PALABRAS CLAVE: DHCP, VLAN, PORT SECURITY, ROUTING ENTRE VLANS, ACL
8
1. INTRODUCCIÓN
9
2. OBJETIVOS
Diseñar solución de la Red Local para la empresa Sevicol Ltda. determinando sus
requerimientos y garantizando una comunicación efectiva entre las áreas de la sede
Bogotá, utilizando los recursos teóricos y prácticos para evaluar la viabilidad técnica
del proyecto.
10
3. PLANTEAMIENTO DEL PROBLEMA
La red actual de La empresa Sevicol Ltda. fue diseñada bajo la necesidad de cubrir la
interconexión de solo 20 computadores de escritorio algunas impresoras; con el crecimiento
de la planta física y la arquitectura tecnológica, el tráfico de red se ha visto seriamente
afectado evidenciando la falta de administración sobre la misma y la necesidad de realizar
ajustes de diseño, ampliación y actualización de la infraestructura junto con la posibilidad
de mejorar la seguridad de la red.
3.2 JUSTIFICACIÓN
Como resultado de la ampliación de la red en los últimos años en la empresa Sevicol Ltda.
se vio la necesidad de instalar dispositivos como pc, impresoras, cámaras, teléfonos y
dispositivos finales. La instalación de dispositivos que permitiera interconectar más equipos
finales a la red como lo son Router y switch e incluso realizar una implementación de
equipos que permitieran establecer una conexión inalámbrica sin necesidad de ampliar la
infraestructura física.
11
4. MARCO TEORIO
12
Indica la fiabilidad de los componentes que crean la red, como los Router, los switches, las
computadoras y los servidores. A menudo, la confiabilidad se mide como la probabilidad de
fallas o como el tiempo medio entre fallas (MTBF).
Estas características y atributos proporcionan un medio para comparar distintas soluciones
de redes.
Velocidad: la velocidad mide la velocidad de datos de un enlace dado en la red en bits por
segundo (b/s).
Costo: el costo indica el gasto general de la adquisición de componentes de red, así como
de la instalación y el mantenimiento de la red.
Escalabilidad: la escalabilidad indica la facilidad con la que la red puede admitir más
usuarios y requisitos de transmisión de datos. Si un diseño de red está optimizado para
cumplir solo con los requisitos actuales, puede resultar muy difícil y costoso satisfacer
nuevas necesidades cuando la red crezca. CCNA 2 V6.0 CAPITULO 1.1.1.1
CARACTERISTICAS DE LA RED (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 2
CAP 1.1.1.1)
13
La Guía de diseño para la tecnología LAN cableada en campus usa un modelo de diseño
jerárquico para desglosarlo en grupos modulares o capas. Este desglose del diseño en
capas permite a cada capa implementar funciones específicas, lo que simplifica el diseño
de red y, por lo tanto, la implementación y administración de la red. El modularidad en el
diseño de red permite crear elementos de diseño que pueden replicarse en toda la red. La
replicación ofrece una manera sencilla de ampliar la red, así como también un método de
implementación homogéneo. En arquitecturas de red mallada o plana, los cambios tienden
a afectar a una gran cantidad de sistemas. El diseño jerárquico permite restringir los
cambios operativos a un subgrupo de la red, lo que facilita la administración y mejora la
recuperabilidad. La estructuración modular de la red en elementos pequeños y fáciles de
comprender también facilita la recuperabilidad mediante aislamiento de fallas mejorado.
14
SERVICIOS DE SEGURIDAD Y RECUPERABILIDAD: el diseño de la capa de acceso
debe garantizar que la red esté disponible para todos los usuarios que la necesitan, cuando
la necesitan. Como punto de conexión entre la red y los dispositivos clientes, la capa de
acceso debe ayudar a proteger la red contra errores humanos y ataques maliciosos. Esta
protección incluye garantizar que los usuarios tengan acceso solamente a servicios
autorizados, con lo cual se evita que los dispositivos de usuario final se apoderen del rol de
otros dispositivos en la red y, cuando es posible, se verifica que todos los dispositivos de
usuario final están permitidos en la red.
15
• Switches Cisco Catalyst de la serie 6880-X
• Switches Cisco Catalyst de la serie 4500-X
• Switches Cisco Catalyst de la serie 4507R+E
• Switches Cisco Catalyst de la serie 3750-X
La capa de núcleo central de la LAN es una pieza fundamental de la red escalable y, aun
así, es una de las más simples de diseñar. La capa de distribución aporta los dominios de
control y fallas, y el núcleo central representa la conectividad ininterrumpida, 24 horas al
día, los 7 días de la semana todos los días del año, entre ellos; las organizaciones deben
contar con esto en entornos comerciales modernos en los que la conectividad a los recursos
para realizar negocios sea crucial. CCNA 3 V6.0 CAPITULO 1.1.1.2 MODELO DE DISEÑO
JERARQUICO (CISCO NETWORKING ACADEMY , s.f., pág. CCNA 3 CAP 1.1.1.2).
la licencia de IP Base es un requisito previo para instalar las licencias de Datos, Seguridad
y Comunicaciones unificadas. No se encuentra disponible una imagen universal para
plataformas de Router anteriores que pueden admitir la versión 15.0 del software IOS de
Cisco. Es necesario descargar otra imagen que contenga las características deseadas.
16
IP Base Ofrece características que se encuentran en la imagen IP Base del IOS en los ISR
1900, 2900 y 3900 + Flexible Netflow + paridad IPv6 para características de IPv4 presentes
en IP Base.
17
Imágenes universales con la designación “universalk9" en el nombre de la imagen Esta
imagen universal ofrece todas las funciones del software Cisco IOS, incluidas sólidas
características de criptografía de carga útil como IPsec VPN, SSL VPN y
Secure Unified Communications.
Con los dispositivos ISR G2, se facilitó la selección de la imagen del IOS, debido a que se
incluyen todas las características dentro de la imagen universal. Las características se
activan mediante licencias. Cada dispositivo se envía con imagen universal. Los paquetes
de tecnología IP Base, Datos, UC (Comunicaciones unificadas) y SEC (Seguridad) se
habilitan en la imagen universal mediante las claves de licencia de Cisco Software
Activation. Cada clave de licencia es exclusiva de un dispositivo en particular y se obtiene
de Cisco al proporcionar la ID del producto, el número de serie del Router y una clave de
activación del producto (PAK). Cisco proporciona la PAK en el momento de la compra del
software. IP Base se instala de manera predeterminada. CCNA 2 V6 CAPITULO 10.3.2.1
PAQUETES DE IMAGEN DE SISTEMA IOS 15 (CISCO NETWORKING ACADEMY, s.f.,
pág. CCNA2 CAP 10.3.2.1)
Al seleccionar los switches, los administradores de red deben determinar los factores de
forma de estos. Esto incluye las características de configuración fija, configuración modular,
apilable y no apilable. El grosor del switch, que se expresa en el número de unidades de
rack, también es importante en el caso de los switches que se montan en un rack. Por
ejemplo, los switches de configuración fija son todas unidades de un rack (1U).
18
Cuando se diseña una red, es importante seleccionar el hardware adecuado para cumplir
con los requisitos actuales de la red, así como para permitir su crecimiento. Dentro de una
red empresarial, tanto los switches como los routers desempeñan un papel muy importante
en la comunicación de red.
CONSIDERACIONES
• COSTO: el costo de un switch depende de la cantidad y la velocidad de las interfaces,
de las funciones admitidas y de la capacidad de expansión.
• DENSIDAD DE PUERTOS: los switches de red deben admitir una cantidad adecuada
de dispositivos en la red.
• ALIMENTACIÓN: hoy en día, es común alimentar puntos de acceso, teléfonos IP e
incluso switches compactos mediante la alimentación por Ethernet. Algunos switches
basados en bastidor admiten fuentes de alimentación redundantes.
• CONFIABILIDAD: el switch debe proporcionar acceso continuo a la red.
• VELOCIDAD DE PUERTO: la velocidad de la conexión de red es uno de los aspectos
fundamentales para los usuarios finales.
• BUFFERS PARA TRAMAS: la capacidad que tiene el switch de almacenar tramas es
importante en las redes donde puede haber puertos congestionados conectados a
servidores o a otras áreas de la red.
• ESCALABILIDAD: en general, la cantidad de usuarios en una red aumenta con el
tiempo; por lo tanto, el switch debe proporcionar la posibilidad de crecimiento.
SWITCHES DE CONFIGURACIÓN FIJA
generalmente admiten hasta 48 puertos en un único dispositivo. Presentan opciones para
hasta cuatro puertos adicionales para dispositivos de factor de forma conectable (SFP)
pequeños. Las altas densidades de puerto permiten un mejor uso del espacio y la energía
limitados.
Si hay dos switches de 24 puertos cada uno, podrían admitir hasta 46 dispositivos, dado
que al menos uno de los puertos de cada switch se pierde en la conexión de cada switch al
resto de la red. Además, se requieren dos tomas de alimentación eléctrica.
Por otra parte, si hay un único switch de 48 puertos, se pueden admitir 47 dispositivos; en
este caso, se utiliza un solo puerto para conectar el switch al resto de la red y un solo
tomacorriente para admitir el switch.
SWITCHES MODULARES
19
CCNA 3 V6.0 CAPITULO 1.2.1.1 PLATAFORMAS DE SWITCH, CCNA 3 V6.0 CAPITULO
1.2.1.2 DENSIDAD DE PUERTOS, CCNA 3 V6.0 CAPITULO 1.2.1.3 VELOCIDADES DE
REENVIO
los routers vienen en muchos factores de forma, como se muestra en la ilustración. Los
administradores de red en un entorno empresarial deben poder brindar soporte a una
variedad de routers, desde un Router de escritorio pequeño hasta uno montado en un rack
o un modelo blade. Los routers también pueden categorizarse como configuración fija o
modular. Con la configuración fija, las interfaces de router deseadas están incorporadas.
Los routers modulares tienen múltiples ranuras que permiten al administrador de red
cambiar las interfaces en el router. Por ejemplo, el router Cisco 1941 cuenta con dos
interfaces Gigabit Ethernet RJ-45 incorporadas y dos ranuras que pueden alojar diversos
módulos de interfaz de red. Los routers tienen una variedad de interfaces distintas, tales
como Fast y Gigabit Ethernet, Serial y de fibra óptica, CCNA 3 V6.0 CAPITULO 1.2.2.3
HARDWARE DE ROUTERS (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 3 CAP
1.2.2.3).
20
para eliminar específicamente el tráfico no deseado antes de que ingrese a la red del
proveedor de servicios. El filtrado RTBH proporciona un método para eliminar rápidamente
el tráfico no deseado en el borde de la red, según las direcciones de origen o direcciones
de destino enviándolas a una interfaz nula. Null0 es una subinterfaz que siempre está activa
y nunca puede reenviar o recibir tráfico, El reenvío de paquetes a null0 es una forma común
de filtrar paquetes a un destino específico.
DIRECCIONES MUERTAS
La forma más común de agujero negro es simplemente una dirección IP que especifica una
máquina host que no se está ejecutando o una dirección a la que no se ha asignado ningún
host.
Tenga en cuenta que una dirección inactiva será indetectable solo para los protocolos que
no tienen conexión ni son confiables (por ejemplo, UDP). Los protocolos confiables u
orientados a la conexión (TCP, RUDP) no podrán conectarse a una dirección inactiva o no
recibirán los reconocimientos esperados.
21
CORTAFUEGOS Y PUERTOS
A pesar de esto, en la mayoría de las redes, las direcciones IP de los hosts con firewalls
configurados de esta manera se distinguen fácilmente de las direcciones IP inválidas o
inalcanzables: al encontrar estas últimas, un enrutador generalmente responderá con un
rsp de red ICMP. error de host inalcanzable. La traducción de direcciones de red (NAT),
como se usa en los enrutadores domésticos y de oficina, es generalmente una forma más
efectiva de ocultar el diseño de una red interna.
Una ruta nula o una ruta de agujero negro es una ruta de red (entrada de la tabla de
enrutamiento) que no va a ninguna parte. Los paquetes coincidentes se descartan (ignoran)
en lugar de reenviarlos, actuando como una especie de cortafuegos muy limitado. El acto
de utilizar rutas nulas se denomina a menudo filtrado de agujeros negros. El resto de este
artículo trata del enrutamiento nulo en el Protocolo de Internet (IP).
El enrutamiento nulo tiene una ventaja sobre los firewalls clásicos, ya que está disponible
en todos los enrutadores de red potenciales (incluidos todos los sistemas operativos
modernos) y prácticamente no afecta el rendimiento. Debido a la naturaleza de los
enrutadores de gran ancho de banda, el enrutamiento nulo a menudo puede mantener un
rendimiento más alto que los firewalls convencionales. Por esta razón, las rutas nulas se
utilizan a menudo en enrutadores centrales de alto rendimiento para mitigar los ataques de
denegación de servicio a gran escala antes de que los paquetes lleguen a un cuello de
botella, evitando así daños colaterales. De ataques DDoS, aunque el objetivo del ataque
será inaccesible para cualquiera. Los atacantes malintencionados también pueden abusar
del filtrado Blackhole en los enrutadores comprometidos para filtrar el tráfico destinado a
una determinada dirección.
22
naturaleza de los enrutadores IP. Por lo general, la clasificación se limita al prefijo de la
dirección IP de destino, la dirección IP de origen y la interfaz de red entrante. (CISCO
SYSTEMS)
Se deben proteger todos los puertos (interfaces) del switch antes de implementar el
dispositivo para la producción. Una forma de proteger los puertos es mediante la
implementación de una característica denominada “seguridad de puertos”. La seguridad del
puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el
acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones
MAC se rechazan.
La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si
la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo
con esa dirección MAC específica puede conectarse correctamente al puerto, Si se
configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC,
cualquier intento adicional de conexión de las direcciones MAC desconocidas genera una
violación de seguridad.
Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de
forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla
de direcciones y se agregan a la configuración en ejecución.
Para configurar una interfaz a fin de convertir las direcciones MAC detectadas
dinámicamente en direcciones MAC seguras persistentes y agregarlas a la configuración
en ejecución, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia
se habilita en una interfaz mediante el comando switchport port-security mac-address
sticky del modo de configuración de interfaz.
23
Cuando se introduce este comando, el switch convierte todas las direcciones MAC
detectadas dinámicamente en direcciones MAC seguras persistentes, incluso las que se
detectaron dinámicamente antes de que se habilitará el aprendizaje por persistencia. Todas
las direcciones MAC seguras persistentes se agregan a la tabla de direcciones y a la
configuración en ejecución.
24
cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se
produjo una violación de seguridad.
Para un control más preciso del filtrado del tráfico, se pueden crear ACL de IPv4 extendidas.
Las ACL extendidas se numeran del 100 al 199 y del 2000 a 2699, lo que da un total de
799 ACL extendidas numeradas posibles. Las ACL extendidas también pueden tener
nombre.
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar, porque
proporcionan un mayor grado de control. Al igual que las ACL estándar, las ACL extendidas
tienen la capacidad para revisar las direcciones de origen de los paquetes, pero también
pueden revisar la dirección de destino, los protocolos y los números de puerto (o servicios).
Esto proporciona una gama de criterios más amplia sobre la cual basar la ACL. Por ejemplo,
una ACL extendida puede permitir el tráfico de correo electrónico de una red a un destino
específico y, simultáneamente, denegar la transferencia de archivos y la navegación web.
(CISCO NETWORKING ACADEMY, s.f., pág. CCNA 4 CAP 4.2.1.1)
25
específicas. Se puede especificar una aplicación mediante la configuración del número o el
nombre de un puerto bien conocido. (CISCO NETWORKING ACADEMY, s.f., pág. CCNA
4 CAP 4.2.1.2)
Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las
ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una
interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a
fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.
Nota: La lógica interna aplicada al ordenamiento de las instrucciones de las ACL estándar
no se aplica a las ACL extendidas. El orden en que se introducen las instrucciones durante
la configuración es el orden en que se muestran y se procesan.
La naturaleza de HTTP requiere que el tráfico fluya nuevamente hacia la red desde los sitios
web a los que se accede mediante clientes internos. El administrador de red desea restringir
ese tráfico de retorno a los intercambios HTTP de los sitios web solicitados y denegar el
resto del tráfico. La ACL 104 logra esto mediante el bloqueo de todo el tráfico entrante,
excepto las conexiones establecidas previamente. La instrucción permit en la ACL 104
permite el tráfico entrante con el parámetro established.
El parámetro established permite que solo las respuestas al tráfico procedente de la red
192.168.10.0/24 vuelvan a esa red. Si el segmento TCP que regresa tiene los bits ACK o
de restablecimiento (RST) establecidos, que indican que el paquete pertenece a una
conexión existente, se produce una coincidencia. Sin el parámetro established en la
instrucción de ACL, los clientes pueden enviar tráfico a un servidor web, pero no recibir el
tráfico que vuelve de dicho servidor. (CISCO NETWORKING ACADEMY, s.f., pág. CCNA
4 CAP 4.2.1.3)
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al peer. Realiza una función similar a
PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear
el enlace EtherChannel al detectar la configuración de cada lado y asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
La figura muestra los modos para LACP.
Encendido: este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.
26
LACP activo: este modo LACP coloca un puerto en estado de negociación activa. En este
estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
LACP pasivo: este modo LACP coloca un puerto en estado de negociación pasiva. En este
estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la negociación
de paquetes LACP. Al igual que con PAgP, los modos deben ser compatibles en ambos
lados para que se forme el enlace EtherChannel. Se repite el modo encendido, ya que crea
la configuración de EtherChannel incondicionalmente, sin la negociación dinámica de PAgP
o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales. (CISCO
NETWORKING ACADEMY, s.f., pág. CCNA 3 CAP 4.1.2.3)
5.1CONEXIÓN MULTIHOMING
Border Gateway Protocol (BGP) es uno de los protocolos clave para conseguir la
redundancia de conexiones de Internet. Conectar la red a dos Proveedores de servicio de
Internet (ISP) diferentes se denomina multihoming. Multihoming proporciona redundancia y
optimización de red.
Selecciona el ISP que ofrece el mejor trayecto a un recurso. Si ejecuta BGP con varios
proveedores de servicio, corre el riesgo de que su sistema autónomo (AS) se convierta en
un AS de tránsito. Esto provoca que el tráfico de Internet pase por su AS y consuma
potencialmente todo el ancho de banda y los recursos de la CPU del router.
27
5.2 NAT IPV4
Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir
que los dispositivos se comuniquen localmente. Sin embargo, como estas direcciones no
identifican empresas u organizaciones individuales, las direcciones privadas IPv4 no se
pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4
privada acceda a recursos y dispositivos fuera de la red local, primero se debe traducir la
dirección privada a una dirección pública.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4
públicas válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando
un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la
dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Para los
dispositivos externos, todo el tráfico entrante y saliente de la red parece tener una dirección
IPv4 pública del conjunto de direcciones proporcionado.
En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red
de rutas internas es aquella que tiene una única conexión a su red vecina, una entrada
hacia la red y una salida desde ella. Cuando un dispositivo dentro de la red de rutas internas
desea comunicarse con un dispositivo fuera de su red, el paquete se reenvía al router de
frontera. El router de frontera realiza el proceso de NAT, es decir, traduce la dirección
privada interna del dispositivo a una dirección pública, externa y enrutable. CCNA 2 V6.0
CAPITULO 9.1.1.1 CARACTERISTICAS DE NAT
28
5.2.1 NAT ESTÁTICA
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales.
Estas asignaciones son configuradas por el administrador de red y se mantienen
constantes, Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales
internas se traducen a las direcciones globales internas configuradas. Para las redes
externas, estos dispositivos tienen direcciones IPv4 públicas.
La NAT estática resulta útil, en especial para los servidores web o los dispositivos que
deben tener una dirección constante que sea accesible tanto desde Internet, como desde
el servidor web de una empresa. También es útil para los dispositivos a los que debe poder
acceder el personal autorizado cuando no está en su lugar de trabajo, pero no el público en
general en Internet. (CCNA 2 V6.0 CAPITULO 9.1.2.1 NAT ESTATICA)
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica
asigna una dirección IPv4 pública disponible del conjunto, accede a Internet mediante la
primera dirección disponible del conjunto de NAT dinámica. Las demás direcciones siguen
disponibles para utilizarlas. Al igual que la NAT estática, la NAT dinámica requiere que haya
suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de
usuario simultáneas. (CCNA 2 V6.0 CAPITULO 9.1.2.2 NAT DINAMICA)
también conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a
una única dirección IPv4 pública o a algunas direcciones. Esto es lo que hace la mayoría
de los routers domiciliarios. El ISP le asigna una dirección al router, pero varios miembros
de la familia pueden acceder a Internet simultáneamente. Esta es la forma más común de
NAT.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia
una sesión TCP/IP, genera un valor de puerto de origen TCP o UDP o un ID de consulta
asignado especialmente para ICMP, con el fin de identificar la sesión sin posibilidad de
ambigüedades. Cuando el router NAT recibe un paquete del cliente, utiliza su número de
puerto de origen para identificar de forma exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión
con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto
de origen, que se convierte en el número de puerto de destino en la devolución, determina
a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida que los
paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la sesión.
CCNA 2 V6.0 CAPITULO 9.1.2.3 PAT (CISCO NETWORKING ACADEMY, s.f., pág.
CCNA 2 CAP 9)
29
5.3 CALIDAD DE SERVICIO (QoS)
CBWFQ (mecanismo de cola de espera equitativa ponderada basada en
clases)
Cuando se ha definido una clase según sus criterios de coincidencia, puede asignarle
características. Para cuantificar una clase, le asigna el ancho de banda, el peso, y el límite
de paquete máximo. El ancho de banda asignado a una clase es el ancho de banda
garantizado que se entrega a la clase durante la congestión.
Para caracterizar una clase, también especifica el límite de cola para esa clase, que es la
cantidad máxima de paquetes que se pueden acumular en la cola de esa clase. Los
paquetes que pertenecen a una clase están sujetos al ancho de banda y a los límites de
cola que caracterizan a la clase.
Una vez que una cola haya alcanzado su límite de cola configurado, el agregado de más
paquetes a la clase hace que surtan efecto el descarte de cola o el descarte de paquetes,
según cómo esté configurada la política de clase. El descarte de extremo final implica que
el router descarte todos los paquetes que lleguen al extremo final de una cola que ya agotó
por completo sus recursos de almacenamiento de paquetes. Esta es la respuesta de espera
predeterminada para la congestión. El descarte de extremo final trata a todo el tráfico de la
misma manera y no diferencia entre clases de servicios. (CISCO NETWORKING
ACADEMY, s.f., pág. CCNA 4 CAP 6.1.3.5)
30
5.4 PROTOCOLO DE ENRUTAMIENTO OSPF
OSPF es un protocolo de estado de link. Podemos pensar en un link como una interfaz en
el router. El estado del link ofrece una descripción de esa interfaz y de su relación con los
routers vecinos. Una descripción de la interfaz incluiría, por ejemplo, la dirección IP de la
interfaz, la máscara, el tipo de red a la que se conecta, los routers conectados a esa red y
así sucesivamente. La recolección de todos estos estados de link formaría una base de
datos de estados de link.
OSPF usa un algoritmo de trayectoria más corta primero para construir y calcular la
trayectoria más corta a todos los destinos conocidos. La trayectoria más corta se calcula
con el uso del algoritmo Dijkstra. El algoritmo en sí mismo es muy complicado. La siguiente
es una forma simplificada de nivel muy elevado de analizar los diversos pasos del algoritmo:
Todos los routers intercambian estados de link mediante inundación. Cada router que recibe
una actualización de estado de link debe almacenar una copia en su base de datos de
estados de link y a continuación propagar la actualización a otros routers.
Una vez que la base de datos de cada router está completa, el router calcula un árbol de
trayectoria más corta a todos los destinos. El router utiliza el algoritmo Dijkstra para calcular
el árbol de trayectoria más corta. Los destinos, el costo asociado y el salto siguiente para
alcanzar dichos destinos forman la tabla de IP Routing.
En caso de que no ocurran cambios en la red OSPF, tales como el costo de un link, o el
agregado o eliminación de una red, OSPF debería permanecer muy tranquila. Cualquier
cambio que ocurra se comunica a través de los paquetes de estado de link, y el algoritmo
Dijkstra se recalcula para encontrar la trayectoria más corta.
El algoritmo coloca cada router en la raíz de un árbol y calcula la trayectoria más corta a
cada destino basándose en el costo acumulativo necesario para alcanzar ese destino. Cada
router dispondrá de su propia vista de la topología, a pesar de que todos los routers crearán
un árbol de trayectoria más corta usando la misma base de datos de estados de link. Las
secciones siguientes indican que comprende la creación de un árbol de trayecto más corto.
31
COSTO DE OSPF
El costo (también llamado métrica) de una interfaz en OSPF es una indicación de la
sobrecarga requerida para enviar paquetes a través de una interfaz específica. El costo de
una interfaz es inversamente proporcional al ancho de banda de dicha interfaz. Un mayor
ancho de banda indica un menor costo. El cruce de una línea serial de 56k implica mayores
gastos generales (costo mayor) y más retrasos de tiempo que el cruce de una línea Ethernet
de 10M. La fórmula que se usa para calcular el costo es:
32
6. DISEÑO DE LA RED
33
Tabla 1 Topología lógica Red Actual
DISPOSITIVO EQUIPO
34
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 5
35
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-VEBLINCO 1
36
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 4
37
LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 1
En este paso procedemos a realizar el diseño de la topología lógica con los requerimientos
del cliente, teniendo en cuenta la inclusión de nuevos dispositivos, esto con el fin de que la
red sea escalable.
• El primer nivel del piso 1 cuenta con 15 pc’s, 1 impresora, 1 Access point y 4 cámaras
IP.
• El segundo Piso cuenta con 16 pc’s, 1 impresora, 1 Access point y 4 cámaras
IP.
• El tercer Piso 12 pc’s, 1 impresora, 1 Access point, 8 cámaras, 1 servidor de
correo y 1 servidor web.
38
6.1 PLANIFICACIÓN DE LA ASIGNACIÓN DE DIRECCIONES IP
39
100 10.10.10.0/29
(AUTORES DEL PROYECTO)
40
Para favorecer los atributos que hacen una red fiable; se realiza el diseño bajo el modelo
de tres capas; core, distribución y acceso.
Capa de acceso: en cada piso se utiliza un switch cisco 2960T con licencia IP BASE y
cuyos factores de forma satisfacen las necesidades de velocidades de puerto, procesador
y memoria requeridas para la solución de conectividad.
A las interfaces Fast ethernet (100Mbps) de estos equipos se conectarán los dispositivos
terminales de datos. Una de las interfaces gigabit ethernet se configura en modo troncal de
manera estática permitiendo solo el paso de las VLAN conocidas en la red, descritas en la
tabla número 4, la otra interfaz gigabit ethernet permitirá la conexión de los puntos de
acceso wifi, su configuración es de troncal fija que sólo permite el tráfico de las VLAN de
usuarios finales, cámaras, impresoras y la VLAN de gestión.
Para prevenir posibles intrusiones desde el interior de la compañía, las interfaces en desuso
serán apagas y ligadas a una VLAN de Black Hole. Adicionalmente los puertos fast ethernet
estarán ligados a los computadores de los funcionarios haciendo uso del protocolo port
security en modo de violación shutdown.
El enrutamiento de la red se realiza en este dispositivo que el cuál tiene una VSI por cada
vlan y cuyo direccionamiento corresponde a la primera ip válida de cada subred. El
enrutamiento hacia la WAN se realiza haciendo uso de una ruta estática por defecto en la
cual el siguiente salto o puerta de enlace es la dirección ip virtual de la capa de CORE.
En primera instancia, la seguridad será aplicada en esta capa haciendo uso de listas de
control de acceso extendidas que permiten el bloqueo del tráfico dependiendo de su origen,
destino y aplicación, sin embargo, el diseño de la red permite su evolución para implementar
sistemas de prevención de intrusiones y firewalls de nueva generación desviando el tráfico
hacia el firewall que se decida implementar ante la necesidad del negocio y dejando la tarea
de enrutamiento en este dispositivo.
41
Hacia los equipos de acceso: configuración en modo troncal fija que permite el paso solo
de las VLAN de clientes finales, impresoras, cámaras y gestión.
Hacia los servidores: las configuraciones de estos puertos están configurados como como
EtherChannel usando el protocolo LACP para permitir la operatividad con otros fabricantes
en modo acceso con marcados con la VLAN de servidores.
También se tiene configurada una interfaz port channel en modo trocal con las VLAN de
cliente final hacia una controladora de redes inalámbricas cisco WLC3504 la cual se
encarga de la administración de todos los puntos de acceso inalámbricos y adicionalmente
una interfaz port channel configurada en modo acceso marcada con la VLAN de las
cámaras de video vigilancia que permite la conexión del DVR que, a su vez, es controlador
del sistema de video vigilancia.
Hacia la capa de CORE: los puertos están configurados en modo acceso con la VLAN de
navegación.
Capa de CORE: al ser una red con dos proveedores de servicios de internet (ISP) y
sesenta- tres usuarios los factores de forma requeridos para la capa de core son satisfechos
con el uso de dos enrutadores cisco 2901 con licencia de datos.
Hacia la WAN, cada ISP tiene dedicado un enrutador con el fin de generar una la conexión
multihoming de manera más estable, de esta manera se logra aumentar la disponibilidad
de la capa de core. Entre los dos enrutadores se ejecuta el protocolo HSRP con contadores
por defecto por la cercanía geográfica entre estos, el rol de los enrutadores en el HSRP
está definido por el valor de la prioridad; el enrutador con mayor prioridad está conectado
al prestador de servicio de internet de preferencia. Adicionalmente el enlace del ISP es
verificado cada 60 segundos haciendo uso de un IP SLA, el cual, está ligado a un track que
fuerza la conmutación del HSRP en caso de falla de los enlaces hacia los proveedores de
servicios.
Hacia la LAN, las VLAN de usuarios serán direccionadas haciendo uso de la técnica de
NAT por overload y los servidores serán enrutados haciendo uso de un NAT estático. Se
realiza el NAT en la capa de core porque la empresa no cuenta con un pool propio de
direcciones IP, es decir, cada proveedor de servicios asigna un direccionamiento en
comodato. Lo que imposibilita el uso del NAT en la capa de agregación. Hacia la lAN
también se implementa QoS con el mecanismo CBWFQ para priorizar el tráfico proveniente
de los servidores, del DVR y de las direcciones IP que sean requeridas por el negocio.
El enrutamiento hacia internet se realiza con rutas estáticas por defecto en la cual el próximo
salto es el PE de la red mpls indicado por el proveedor de servicios.
42
En la tabla 5 referenciamos servidores y los dispositivos finales como lo son pc, impresoras,
Access point, cámaras a instalar en el Diseño, determinando ubicación del switch por pisos,
departamento y especificaciones técnicas de los equipos.
DISPOSITIVO EQUIPO
43
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-G-H 3
44
DS-2TD2137-7 (10 15 25 35) /V1 CAMARA IP 2
DS-2TX3636-25A CAMARA IP 4
45
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-UNP 3
46
LAPTOP HP 14-DQ1004LA PC-OPERACIONES 8
DS-2TX3636-25A CAMARA IP 5
DS-2TX3636-25A CAMARA IP 7
DS-2TX3636-25A CAMARA IP 8
47
LAPTOP HP 14-DQ1004LA PC-COMERCIAL 2
48
LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 3
49
DS-2TX3636-25A CAMARA IP 13
DS-2TX3636-25A CAMARA IP 14
DS-2TX3636-25A CAMARA IP 15
DS-2TX3636-25A CAMARA IP 16
50
7 RESULTADOS Y DISCUSIÓN
Por medio del software Packet Tracer, realizaremos la simulación para evaluar el
comportamiento de los protocolos HRSP y NAT. Implementando el protocolo Ospf entre el
Switch de agregación y los dos Router de Core y se anuncia las redes menos la de
navegación ya que se marca una ruta estática por defecto 0.0.0.0 0.0.0.0 con una ip virtual
del protocolo HRSP, con el fin de experimentar la protección ante fallas que se pueda
presentar en cualquiera de los dos proveedores (Movistar y ETB), así se garantizara que la
red sea escalable.
Se realizará la segmentación de la red LAN, a través de las Vlan’s, propagando las Vlan’s
10, 20, 90, 99 y 100, por medio del Switch Concentrador.
Se creará una Access List para permitir el acceso a internet, desde las Vlan’s 10, 20 y 90,
implementando el protocolo NAT para garantizar un pool de direcciones para los
proveedores Movistar y ETB.
• Se asignará de forma dinámica las direcciones: Movistar 200.100.200.1 -
200.100.200.13 y ETB 186.31.142.160 - 186.21.142.173 para las Vlan’s 10 y 20.
• Se asignará de forma estática las direcciones: Movistar 200.100.200.1 y ETB
186.21.142.173 para la Vlan 90 que corresponde a el servidor WEB.
Figura 13 topología lógica de la red experimental
51
7.1 PRUEBAS
Después de propagar las vlan por el sw-concentrador y sw-1, se configura las interfaces del
SW-P1 Fast Ethernet en modo acceso y las interfaces giga Ethernet en modo troncal, en
SW-CONCENTRADOR se configura las interfaces giga Ethernet G1/0/1, G1/0/2 en modo
troncal para las vlan 99 y 100 y en modo de acceso para la vlan 100, y la interfaz giga
Ethernet G1/0/4 en modo acceso para la vlan 90.
52
(AUTORES DEL PROYECTO)
Se verifica conectividad entra las Vlan’s 10, 20 y 90, las cuales fueron propagadas por el
SW-CONCENTRADOR.
Para realizar la verificación por medio de un ping de la dirección 192.168.10.4 que
pertenece a la VLAN 10 a la dirección 192.168.20.4 que pertenece a la VLAN 20.
53
(AUTORES DEL PROYECTO)
54
(AUTORES DEL PROYECTO)
55
Con el resultado exitoso en la ejecución del ping entre equipos terminales que pertenecen
a diferentes VLAN, se demuestra la viabilidad del esquema de conectividad propuesto.
Implementando el protocolo Ospf entre el Switch de agregación y los dos Router de Core,
se anuncian las redes pertenecientes a dos VLAN de usuarios finales. Verificamos que los
Routers aprendan las rutas vecinas atreves del protocolo de enrutamiento OSPF.
Adicionalmente configuramos una ruta estática por defecto cuya puerta de enlace es la IP
10.10.10.1 correspondiente a la ip virtual del HSRP existente entre los dos Router de Core.
56
A través del comando Show ip route, verificamos las redes 172.16.1.0, 192.168.10.0 y
192.168.20.0 que conoce por medio del protocolo OSPF, por medio de la subinterface
G0/0.100. Estas redes están asignadas a la Vlan de navegación.
57
A través del comando Show ip route, verificamos las redes 172.16.1.0, 192.168.10.0 y
192.168.20.0 que conoce por medio del protocolo OSPF, por medio de la subinterface
G0/0.100. Estas redes están asignadas a la Vlan de navegación.
58
Con lo anterior se confirma que con el uso del protocolo OSPF se anuncian correctamente
los prefijos de red de la capa de agregación a la capa de Core.
59
Se realiza un tracert desde el pc de la Vlan 20 hasta la IP del Router de Internet (Router0(1)),
a la interface serial que está conectada directamente al Router ETB. Evidenciamos que al
enviar el paquete por la ruta del Router ETB, no llega el paquete debido a que el Router
con prioridad primaria es el Router Movistar.
60
(AUTORES DEL PROYECTO)
Se evalúa la asignación del pool de direcciones del protocolo NAT, evidenciando que se
asigna de forma dinámica las direcciones IP para el proveedor de servicios Movistar en el
rango 200.100.200.1 - 200.100.200.13 y ETB 186.31.142.160 - 186.21.142.173 para las
Vlan’s 10 y 20.
Se asignará de forma estática las direcciones IP para el proveedor de servicios Movistar
200.100.200.1 y ETB 186.21.142.173; para la Vlan 90 que corresponde a el servidor WEB.
61
Por medio del comando Show ip nat translation verificamos, el protocolo Nat, donde se
evidencia la conversión de una ip privada 192.168.10.4 a una ip publica 186.31.142.161
dada por el pool de direcciones del proveedor de servicios.
Por medio del comando Show ip nat translation verificamos, el protocolo Nat, donde se
evidencia la conversión de una ip privada 192.168.10.4 a una ip publica 200.100.200.1 dada
por el pool de direcciones del proveedor de servicios. A la dirección 172.16.0.2 del servidor
web se le asigno la dirección 192.168.20.4.
62
A la dirección 172.16.1.2 del servidor web se le asigno la dirección 200.100.200.14.
63
8 CONCLUSIONES
Para beneficiar el cumplimento de los atributos necesarios para una red fiable, la mejor
alternativa es el uso de una arquitectura por capas (tier), como la propuesta por el modelo
jerárquico de Cisco y cuya principal ventaja es la asignación de responsabilidades de
acuerdo a las capacidades (capabilities) de los equipos que componen cada una de estas.
Para el funcionamiento correcto del servidor web, debido a que este debe ser conectado
con NAT estático a una dirección ip publica, se debe requerir a los proveedores de servicios
bloques de direcciones, con longitud de prefijo máxima de 29 bits (/29), con el fin, de
mantener separado el trafico de navegación de usuarios del servidor web. Como
consideración adicional, se deben realizar dos registros tipo A para la pagina web, es decir,
un registro por una ip publica por cada proveedor. De esta manera habrá disponibilidad de
la página ante fallos.
64
9 WEBGRAFIAS
65
15. PRINCIPIOS BASICOS DE ROUTING Y SWITCHING. (2019). Recuperado 26 de
junio de 2020, de CISCO NETWORKING website: https://static-course-
assets.s3.amazonaws.com/RSE6/es/index.html
16. ESCALAMIENTO DE REDES. (2019). Recuperado 26 de junio de 2020, de CISCO
NETWORKING website: https://static-course-
assets.s3.amazonaws.com/ScaN6/es/index.html
17. CONEXION A REDES. (2019). Recuperado 26 de junio de 2020, de CISCO
NETWORKING website: https://static-course-
assets.s3.amazonaws.com/ConnectNet6/es/index.html
18. (2020). Recuperado 26 de junio de 2020, de
https://www.ionos.es/digitalguide/hosting/cuestiones-tecnicas/registro-a/
19. (2020). Recuperado 26 de junio de 2020, de
https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-550x-series-
stackable-managed-switches/smb5797-configure-ip-sla-tracking-for-ipv4-static-
routes-on-an-sg550.html
66