Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

2020 Rediseno Red Local

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 66

REDISEÑO DE RED LOCAL EMPRESA SEVICOL LTDA

INTEGRANTES:
BRAYAN STYBEN DIAZ GARCIA
CRISTHIAN CAMILO LUIS RAMOS

UNIVERSIDAD COOPERATIVA DE COLOMBIA


FACULTAD DE INGENIERÍA DE TELECOMUNICACIONES
SEMINARIO CCNA
BOGOTA D.C
2020
REDISEÑO DE RED LOCAL EMPRESA SEVICOL LTDA

INTEGRANTES:
BRAYAN STYBEN DIAZ GARCIA
CRISTHIAN CAMILO LUIS RAMOS

PROPUESTA TRABAJO REDISEÑO RED LOCAL

CARLOS ANDRES RIBON RINALDI


TUTOR ASESOR DE PROYECTO

UNIVERSIDAD COOPERATIVA DE COLOMBIA


FACULTAD DE INGENIERÍA DE TELECOMUNICACIONES
SEMINARIO CCNA
BOGOTA D.C
2020

2
Nota de Aceptación

Presidente del Jurado

Jurado

Jurado

Bogotá D.C (06/06/2020) - (29/09/2020)

3
TABLA DE CONTENIDOS

Pág.
1. INTRODUCCIÓN ........................................................................................................ 9
2. OBJETIVOS ................................................................................................................ 10
2.1 OBJETIVO GENERAL ........................................................................................... 10
2.2 OBJETIVOS ESPECÍFICOS .................................................................................. 10
3. PLANTEAMIENTO DEL PROBLEMA ......................................................................... 11
3.1 DEFINICIÓN DEL PROBLEMA ............................................................................. 11
3.2 JUSTIFICACIÓN .................................................................................................... 11
4. MARCO TEORIO ..................................................................................................... 12
4.1 TOPOLIGÍA DE RED ............................................................................................. 12
4.1.1 TOPOLOGÍA FÍSICA .......................................................................................... 12
4.1.2 TOPOLOGÍA LÓGICA ........................................................................................ 12
4.2 RED FIABLE .......................................................................................................... 12
4.3 MODELO DE DISEÑO JERARQUICO .................................................................. 13
4.3.1 CAPA DE ACCESO ............................................................................................ 14
4.3.2 CAPA DE DISTRIBUCIÓN.................................................................................. 15
4.3.3 CAPA DE NÚCLEO ............................................................................................ 16
4.4 LICENCIAMINETO EQUIPOS CISCO ................................................................... 16
4.7 PROTOCOLO SEGURIDAD DE PUERTOS .......................................................... 23
4.7.1 MODOS DE VIOLACION DE SEGURIDAD ........................................................ 24
4.8 RUTA ESTÁTICA POR DEFECTO ........................................................................ 25
4.9 LISTA DE ACL EXTENDIDAS ............................................................................... 25
4.9.1 CONFIGURACIÓN DE LAS ACL EXTENDIDAS ................................................ 26
5. PROTOCOLO DE CONTROL DE AGREGACIÓN DE ENLACES (LACP) .............. 26
5.1CONEXIÓN MULTIHOMING ................................................................................... 27
5.2 NAT IPV4 ............................................................................................................... 28
5.2.1 NAT ESTÁTICA .................................................................................................. 29
5.2.2 NAT DINAMICA .................................................................................................. 29
5.2.3 TRADUCCIÓN DE LA DIRECCIÓN DEL PUERTO (PAT) .................................. 29
5.3 CALIDAD DE SERVICIO (QoS) ............................................................................. 30

4
5.4 PROTOCOLO DE ENRUTAMIENTO OSPF .......................................................... 31
6. DISEÑO DE LA RED ................................................................................................... 33
6.1 PLANIFICACIÓN DE LA ASIGNACIÓN DE DIRECCIONES IP ................................ 39
6.2 DISEÑO LÓGICO DE LA RED .................................................................................. 40
7 RESULTADOS Y DISCUSIÓN ..................................................................................... 51
7.1PRUEBAS .................................................................................................................. 52
8 CONCLUSIONES ......................................................................................................... 64
9 WEBGRAFIAS ............................................................................................................. 65

5
LISTA DE TABLAS
Pág.
Tabla 1 Topología lógica Red Actual .......................................................................... 394
Tabla 2 Referencia de Dispositivos en Red por Switch ............................................ 394
Tabla 3 topología lógica vlan ........................................................................................ 39
Tabla 4 direccionamiento por vlan ............................................................................... 39
Tabla 5 Referencia de Dispositivos en Red por Switch .............................................. 43

6
LISTA DE FIGURAS
Pág.
Figura 1 Características de la Red…………………………………………………. 12
Figura 2 Modelo Diseño Jerárquico……………………………………………….. 13
Figura 3 Conectividad De la Capa de Acceso……………………………………. 14
Figura 4 Modelo de paquetes de IOS para Router ISR G2…………………….. 17
Figura 5 Plataformas de Switch…………………………………………………….. 18
Figura 6 Plataformas de Routers…………………………………………………… 20
Figura 7 Modos de violación de Puertos………………………………………….. 24
Figura 8 Traducción entre direcciones privadas y públicas …………………... 28
Figura 9 Ejemplo de CBWFQ……………………………………………………….. 30
Figura 10 Árbol Trayectoria más Corta ………………………………………….. 32
Figura 11 Topología Actual………………………………………………………….. 33
Figura 12 Diseño de Red……………………………………………………………... 40
Figura 13 topología lógica de la red experimental………………………… ……. 51

7
RESUMEN

En este proyecto se brinda una solución a la empresa SEVICOL LTDA, la cual, requiere
una reestructuración en su red local a causa de la problemática sufrida por la empresa;
donde no se tiene una administración y organización definida en la red, no cuenta con
seguridad en redes ya que cualquier persona puede acceder a su red interna, se presentan
retardos en los tiempos de respuesta. Por esto se plantea un rediseño de la red, se
implementarán nuevos equipos como router, switch, cableado certificado, cámaras de
mayor alcance.
Se garantizará la seguridad de los activos. Este proyecto tiene como finalidad conectar las
áreas de su sede principal en Bogotá. garantizando que su red sea totalmente privada,
proveedores de servicio secundarios, así tener un mejor desempeño a nivel de conectividad
y mayor seguridad en los datos.

Teniendo en cuenta la necesidad del usuario se realiza el estudio de la tecnología, los


equipos, rutas, topología, estructura; que se van a utilizar, para determinar cada parámetro
a tener en cuenta en el desarrollo de la red local y así tener óptimo resultado.

Adicionalmente, para evaluar viabilidad de este proyecto se realizarán simulaciones en el


software Packet Tracer. También realizaremos un análisis de los costos de implementación
del sistema.

PALABRAS CLAVE: DHCP, VLAN, PORT SECURITY, ROUTING ENTRE VLANS, ACL

8
1. INTRODUCCIÓN

En este proyecto evaluaremos y diseñaremos una solución de Red Local implementando


los principios físicos y teóricos, para lograr una comunicación alámbrica e inalámbrica
efectiva de la empresa Sevicol Ltda, entre los departamentos de la sede Bogotá, siendo
Bogotá la oficina principal de la empresa Sevicol Ltda. La cual transmitirán y compartirá la
información contable, administrativa y operativa de la empresa esta información se
concentrará en el servidor oficina principal de Bogotá y de esta manera retransmitida en las
oficinas a nivel Colombia.

Se evaluará la viabilidad técnica de este proyecto, el rendimiento y la capacidad de la


comunicación. Los equipos que se implementaran este diseño son: Access Point, Router,
Switch, pc’s, cableado, conectores, infraestructura y principales componentes que
garanticen la comunicación. Se harán diseños físicos y lógicos de la red, junto a la
simulación de Packet Tracer teniendo en cuenta las fichas técnicas de los equipos que se
utilizarán en la implantación.

9
2. OBJETIVOS

2.1 OBJETIVO GENERAL

Diseñar solución de la Red Local para la empresa Sevicol Ltda. determinando sus
requerimientos y garantizando una comunicación efectiva entre las áreas de la sede
Bogotá, utilizando los recursos teóricos y prácticos para evaluar la viabilidad técnica
del proyecto.

2.2 OBJETIVOS ESPECÍFICOS

● Diagnosticar estado actual de la red.


● Determinar los requerimientos del cliente.
● Diseñar solución de red local.
● Evaluar viabilidad técnica del proyecto.

10
3. PLANTEAMIENTO DEL PROBLEMA

3.1 DEFINICIÓN DEL PROBLEMA

La red actual de La empresa Sevicol Ltda. fue diseñada bajo la necesidad de cubrir la
interconexión de solo 20 computadores de escritorio algunas impresoras; con el crecimiento
de la planta física y la arquitectura tecnológica, el tráfico de red se ha visto seriamente
afectado evidenciando la falta de administración sobre la misma y la necesidad de realizar
ajustes de diseño, ampliación y actualización de la infraestructura junto con la posibilidad
de mejorar la seguridad de la red.

La red LAN de la empresa Sevicol Ltda. en la actualidad presenta una infraestructura de


aproximadamente 40 dispositivos finales entre computadores de escritorio, computadores
portátiles e impresoras. Esta infraestructura cuenta con 12 años de ser instalada y fue
diseñada inicialmente con una capacidad no mayor a los 44 dispositivos finales.

3.2 JUSTIFICACIÓN

Como resultado de la ampliación de la red en los últimos años en la empresa Sevicol Ltda.
se vio la necesidad de instalar dispositivos como pc, impresoras, cámaras, teléfonos y
dispositivos finales. La instalación de dispositivos que permitiera interconectar más equipos
finales a la red como lo son Router y switch e incluso realizar una implementación de
equipos que permitieran establecer una conexión inalámbrica sin necesidad de ampliar la
infraestructura física.

Teniendo como resultado lentitud o no disponibilidad en las comunicaciones, uno de los


resultados esperados es enfrentar las diferentes fallas como lo son los conflictos de
direccionamiento ip, atenuaciones, bucles, insuficiencia de ancho de banda, aplicaciones
que operan sobre la red y la seguridad de la red LAN. La información que se maneja a
través de esta; Como consecuencia de la poca administración y control que se tiene sobre
la infraestructura de red implementada la empresa Sevicol Ltda., se crea la necesidad de
rediseñar y proponer otras soluciones a nivel tecnológico que permitan un crecimiento
controlado y administrable de la red, garantizando así niveles de disponibilidad y calidad en
el servicio de comunicación.

11
4. MARCO TEORIO

4.1 TOPOLIGÍA DE RED


Topología de red define la estructura de una red. Una parte de la definición topológica es la
topología física, que es la disposición real de los cables o medios. La otra parte es la
topología lógica, que define la forma en que los hosts acceden a los medios para enviar
datos CCNA1 V6.0 capítulo 4.4.1.2 TOPOLOGIAS (CISCO NETWORKING ACADEMY,
pág. CCNA1 CAP 4.4.1.2).

4.1.1 TOPOLOGÍA FÍSICA


Cisco hace referencia a las conexiones físicas e identifica cómo se interconectan los
terminales y dispositivos de infraestructura, como los Router, los switches y los puntos de
acceso inalámbrico. Las topologías físicas generalmente son punto a punto o en estrella.
CCNA1 V6.0 capítulo 4.4.1.2 TOPOLOGIAS (CISCO NETWORKING ACADEMY, pág.
CCNA1 CAP 4.4.1.2).

4.1.2 TOPOLOGÍA LÓGICA


se refiere a la forma en que una red transfiere tramas de un nodo al siguiente. Esta
disposición consta de conexiones virtuales entre los nodos de una red. Los protocolos de
capa de enlace de datos definen estas rutas de señales lógicas. La topología lógica de los
enlaces punto a punto es relativamente simple, mientras que los medios compartidos
ofrecen métodos de control de acceso al medio diferentes. CCNA1 V6.0 capítulo 4.4.1.2
TOPOLOGIAS (CISCO NETWORKING ACADEMY, pág. CCNA1 CAP 4.4.1.2).

4.2 RED FIABLE

Figura 1 Características de la Red

(CISCO NETWORKING ACADEMY)

12
Indica la fiabilidad de los componentes que crean la red, como los Router, los switches, las
computadoras y los servidores. A menudo, la confiabilidad se mide como la probabilidad de
fallas o como el tiempo medio entre fallas (MTBF).
Estas características y atributos proporcionan un medio para comparar distintas soluciones
de redes.

Velocidad: la velocidad mide la velocidad de datos de un enlace dado en la red en bits por
segundo (b/s).

Costo: el costo indica el gasto general de la adquisición de componentes de red, así como
de la instalación y el mantenimiento de la red.

Seguridad: la seguridad indica el nivel de protección de la red, incluida la información que


se transmite a través de esta. El tema de la seguridad es importante, y las técnicas y las
prácticas están en constante evolución. Siempre tenga en cuenta la seguridad cuando se
tomen medidas que afecten la red.

Disponibilidad: la disponibilidad es la probabilidad de que la red esté disponible para ser


utilizada cuando resulte necesario.

Escalabilidad: la escalabilidad indica la facilidad con la que la red puede admitir más
usuarios y requisitos de transmisión de datos. Si un diseño de red está optimizado para
cumplir solo con los requisitos actuales, puede resultar muy difícil y costoso satisfacer
nuevas necesidades cuando la red crezca. CCNA 2 V6.0 CAPITULO 1.1.1.1
CARACTERISTICAS DE LA RED (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 2
CAP 1.1.1.1)

4.3 MODELO DE DISEÑO JERARQUICO

Figura 2 Modelo Diseño Jerárquico

(CISCO NETWORKING ACADEMY)

13
La Guía de diseño para la tecnología LAN cableada en campus usa un modelo de diseño
jerárquico para desglosarlo en grupos modulares o capas. Este desglose del diseño en
capas permite a cada capa implementar funciones específicas, lo que simplifica el diseño
de red y, por lo tanto, la implementación y administración de la red. El modularidad en el
diseño de red permite crear elementos de diseño que pueden replicarse en toda la red. La
replicación ofrece una manera sencilla de ampliar la red, así como también un método de
implementación homogéneo. En arquitecturas de red mallada o plana, los cambios tienden
a afectar a una gran cantidad de sistemas. El diseño jerárquico permite restringir los
cambios operativos a un subgrupo de la red, lo que facilita la administración y mejora la
recuperabilidad. La estructuración modular de la red en elementos pequeños y fáciles de
comprender también facilita la recuperabilidad mediante aislamiento de fallas mejorado.

4.3.1 CAPA DE ACCESO


La capa de acceso es por donde los dispositivos controlados por el usuario, dispositivos
accesibles al usuario y otros dispositivos terminales se conectan a la red. La capa de acceso
ofrece conectividad tanto inalámbrica como por cable y contiene características y servicios
para garantizar seguridad y recuperabilidad para toda la red.

Figura 3 Conectividad De la Capa de Acceso

(CISCO NETWORKING ACADEMY)

CONECTIVIDAD DE DISPOSITIVOS: la capa de acceso ofrece conectividad de


dispositivos con ancho de banda de alta velocidad. A fin de hacer de la red una pieza
transparente del trabajo diario del usuario final, la capa de acceso debe poder admitir
ráfagas de tráfico de ancho de banda de alta velocidad cuando los usuarios realizan tareas
de rutina, como enviar correos electrónicos pesados o abrir un archivo desde una página
web interna. Debido a que muchos tipos de dispositivos de los usuarios finales se conectan
a la capa de acceso (equipos personales, teléfonos IP, puntos de acceso inalámbricos, y
cámaras de video vigilancia mediante IP), la capa de acceso puede admitir muchas redes
lógicas, con lo cual ofrece los beneficios de rendimiento, administración y seguridad.

14
SERVICIOS DE SEGURIDAD Y RECUPERABILIDAD: el diseño de la capa de acceso
debe garantizar que la red esté disponible para todos los usuarios que la necesitan, cuando
la necesitan. Como punto de conexión entre la red y los dispositivos clientes, la capa de
acceso debe ayudar a proteger la red contra errores humanos y ataques maliciosos. Esta
protección incluye garantizar que los usuarios tengan acceso solamente a servicios
autorizados, con lo cual se evita que los dispositivos de usuario final se apoderen del rol de
otros dispositivos en la red y, cuando es posible, se verifica que todos los dispositivos de
usuario final están permitidos en la red.

FUNCIONALIDADES DE TECNOLOGÍA AVANZADA: la capa de acceso ofrece un


conjunto de servicios de red que admiten tecnologías avanzadas, como voz y video. La
capa de acceso debe ofrecer acceso especializado para los dispositivos mediante el uso
de tecnologías avanzadas, para garantizar que el tráfico de estos dispositivos no se vea
afectado por el tráfico de otros dispositivos y, además, para garantizar la distribución
eficiente del tráfico que necesitan muchos dispositivos en la red

PLATAFORMAS DE CAPA DE ACCESO


• Switches Cisco Catalyst de la serie 2960-S
• Switches Cisco Catalyst de la serie 2960-X
• Switches Cisco Catalyst de la serie 3560-X
• Switches Cisco Catalyst de la serie 3750-X
• Switches Cisco Catalyst de la serie 3650
• Switches Cisco Catalyst de la serie 3850
• Switches Cisco Catalyst de la serie 4500E

4.3.2 CAPA DE DISTRIBUCIÓN


La capa de distribución admite muchos servicios importantes. En una red donde la
conectividad debe atravesar la LAN completa, ya sea entre distintos dispositivos de la capa
de acceso o desde un dispositivo de la capa de acceso a la WAN, la capa de distribución
hace posible esta conectividad.

ESCALABILIDAD: La capa de distribución sirve como un punto de agregación para


múltiples switches de la capa de acceso. La capa de distribución puede reducir los gastos
operativos haciendo que la red sea más eficiente, exigiendo menos cantidad de memoria,
creando dominios de falla que compartimenten las fallas o los cambios en la red y
procesando los recursos para dispositivos en cualquier otro lado en la red. La capa de
distribución también aumenta la disponibilidad de red gracias a que contiene las fallas en
dominios más pequeños, CCNA 3 V6.0 CAPITULO 1.1.2.1 DISEÑO DE ESCALABILIDAD
(CISCO NETWORKING ACADEMY , s.f., pág. CCNA 3 CAP 1.1.2.1).

PLATAFORMAS DE CAPA DE DISTRIBUCIÓN


• Switches Cisco Catalyst de la serie 6500 con Supervisor Engine 2T

15
• Switches Cisco Catalyst de la serie 6880-X
• Switches Cisco Catalyst de la serie 4500-X
• Switches Cisco Catalyst de la serie 4507R+E
• Switches Cisco Catalyst de la serie 3750-X

4.3.3 CAPA DE NÚCLEO


En un entorno de LAN grande con frecuencia surge la necesidad de contar con varios
switches de capa de distribución. Uno de los motivos es que cuando los switches de la capa
de acceso se ubican en varios edificios geográficamente dispersos, puede ahorrarse la
instalación de fibra óptica, potencialmente costosa, entre los edificios mediante la
colocación de un switch de capa de distribución en cada uno de esos edificios. Dado que
las redes crecen más allá de las tres capas de distribución en una sola ubicación, las
organizaciones deberían usar una capa de núcleo central para optimizar el diseño. Otro
motivo para usar varios switches de capa de distribución es cuando la cantidad de switches
de capa de acceso que se conectan a una sola capa de distribución excede los objetivos
de rendimiento del diseñador de redes. En un diseño modular y escalable, puede colocar
capas de distribución para el centro de datos, conectividad WAN o servicios periféricos de
Internet. En entornos en los que existen varios switches de capa de distribución próximos
entre sí y en los que la fibra óptica ofrece capacidad de interconexión de ancho de banda
de alta velocidad, la capa de núcleo central reduce la complejidad de la red.

La capa de núcleo central de la LAN es una pieza fundamental de la red escalable y, aun
así, es una de las más simples de diseñar. La capa de distribución aporta los dominios de
control y fallas, y el núcleo central representa la conectividad ininterrumpida, 24 horas al
día, los 7 días de la semana todos los días del año, entre ellos; las organizaciones deben
contar con esto en entornos comerciales modernos en los que la conectividad a los recursos
para realizar negocios sea crucial. CCNA 3 V6.0 CAPITULO 1.1.1.2 MODELO DE DISEÑO
JERARQUICO (CISCO NETWORKING ACADEMY , s.f., pág. CCNA 3 CAP 1.1.1.2).

PLATAFORMAS DE CAPA DE NÚCLEO CENTRAL


• Switches Cisco Catalyst serie 6807-XL con Cisco Catalyst 6500 Supervisor Engine 2T
• Switches Cisco Catalyst serie 6500 con Cisco Catalyst 6500 Supervisor Engine 2T

4.4 LICENCIAMINETO EQUIPOS CISCO

la licencia de IP Base es un requisito previo para instalar las licencias de Datos, Seguridad
y Comunicaciones unificadas. No se encuentra disponible una imagen universal para
plataformas de Router anteriores que pueden admitir la versión 15.0 del software IOS de
Cisco. Es necesario descargar otra imagen que contenga las características deseadas.

16
IP Base Ofrece características que se encuentran en la imagen IP Base del IOS en los ISR
1900, 2900 y 3900 + Flexible Netflow + paridad IPv6 para características de IPv4 presentes
en IP Base.

Datos: Características de datos que se encuentran en la imagen del IOS de servicios SP y


Enterprise Services en los ISR 1900, 2900 y 3900.

Comunicaciones unificadas (UC): Ofrece las características UC que se encuentran en la


imagen del IOS IPVoice en los ISR 1900, 2900 y 3900

Seguridad (SEC): Ofrece las características de seguridad que se encuentran en la imagen


del IOS de Advanced Security en los ISR 1900, 2900 y 3900.

Figura 4 Modelo de paquetes de IOS para Router ISR G2

(CISCO NETWORKING ACADEMY)

PAQUETES DE IMAGEN DE SISTEMA DEL IOS 15


Las series de Router de servicios integrados Cisco de segunda generación (ISR G2) 1900,
2900 y 3900 admiten servicios a petición mediante el uso de licencias de software. El
proceso de Servicios a petición permite que los clientes logren ahorros operativos mediante
la facilidad de pedido y administración del software. Cuando se realiza un pedido de una
nueva plataforma de ISR G2 de Cisco, el Router se envía con una imagen única y universal
del software IOS de Cisco, y se utiliza una licencia para habilitar los paquetes de conjuntos
de características específicos. Existen dos tipos de imágenes universales admitidas en ISR
G2:

17
Imágenes universales con la designación “universalk9" en el nombre de la imagen Esta
imagen universal ofrece todas las funciones del software Cisco IOS, incluidas sólidas
características de criptografía de carga útil como IPsec VPN, SSL VPN y
Secure Unified Communications.

Imágenes universales con la designación “universalk9_npe" en el nombre de la imagen -


La fuerte imposición de las capacidades de cifrado proporcionadas por
Cisco Software Activación satisface los requisitos para la exportación de funcionalidades
de cifrado. Sin embargo, algunos países tienen requisitos de importación que exigen que la
plataforma no admita ninguna funcionalidad de criptografía segura, como la criptografía del
contenido. Para satisfacer los requisitos de importación de dichos países, la imagen
universal npe no admite ningún cifrado del contenido seguro.

Con los dispositivos ISR G2, se facilitó la selección de la imagen del IOS, debido a que se
incluyen todas las características dentro de la imagen universal. Las características se
activan mediante licencias. Cada dispositivo se envía con imagen universal. Los paquetes
de tecnología IP Base, Datos, UC (Comunicaciones unificadas) y SEC (Seguridad) se
habilitan en la imagen universal mediante las claves de licencia de Cisco Software
Activation. Cada clave de licencia es exclusiva de un dispositivo en particular y se obtiene
de Cisco al proporcionar la ID del producto, el número de serie del Router y una clave de
activación del producto (PAK). Cisco proporciona la PAK en el momento de la compra del
software. IP Base se instala de manera predeterminada. CCNA 2 V6 CAPITULO 10.3.2.1
PAQUETES DE IMAGEN DE SISTEMA IOS 15 (CISCO NETWORKING ACADEMY, s.f.,
pág. CCNA2 CAP 10.3.2.1)

4.5 FACTORES DE FORMA

Al seleccionar los switches, los administradores de red deben determinar los factores de
forma de estos. Esto incluye las características de configuración fija, configuración modular,
apilable y no apilable. El grosor del switch, que se expresa en el número de unidades de
rack, también es importante en el caso de los switches que se montan en un rack. Por
ejemplo, los switches de configuración fija son todas unidades de un rack (1U).

Figura 5 Plataformas de switch

(CISCO NETWORKING ACADEMY)

18
Cuando se diseña una red, es importante seleccionar el hardware adecuado para cumplir
con los requisitos actuales de la red, así como para permitir su crecimiento. Dentro de una
red empresarial, tanto los switches como los routers desempeñan un papel muy importante
en la comunicación de red.

CONSIDERACIONES
• COSTO: el costo de un switch depende de la cantidad y la velocidad de las interfaces,
de las funciones admitidas y de la capacidad de expansión.
• DENSIDAD DE PUERTOS: los switches de red deben admitir una cantidad adecuada
de dispositivos en la red.
• ALIMENTACIÓN: hoy en día, es común alimentar puntos de acceso, teléfonos IP e
incluso switches compactos mediante la alimentación por Ethernet. Algunos switches
basados en bastidor admiten fuentes de alimentación redundantes.
• CONFIABILIDAD: el switch debe proporcionar acceso continuo a la red.
• VELOCIDAD DE PUERTO: la velocidad de la conexión de red es uno de los aspectos
fundamentales para los usuarios finales.
• BUFFERS PARA TRAMAS: la capacidad que tiene el switch de almacenar tramas es
importante en las redes donde puede haber puertos congestionados conectados a
servidores o a otras áreas de la red.
• ESCALABILIDAD: en general, la cantidad de usuarios en una red aumenta con el
tiempo; por lo tanto, el switch debe proporcionar la posibilidad de crecimiento.
SWITCHES DE CONFIGURACIÓN FIJA
generalmente admiten hasta 48 puertos en un único dispositivo. Presentan opciones para
hasta cuatro puertos adicionales para dispositivos de factor de forma conectable (SFP)
pequeños. Las altas densidades de puerto permiten un mejor uso del espacio y la energía
limitados.
Si hay dos switches de 24 puertos cada uno, podrían admitir hasta 46 dispositivos, dado
que al menos uno de los puertos de cada switch se pierde en la conexión de cada switch al
resto de la red. Además, se requieren dos tomas de alimentación eléctrica.

Por otra parte, si hay un único switch de 48 puertos, se pueden admitir 47 dispositivos; en
este caso, se utiliza un solo puerto para conectar el switch al resto de la red y un solo
tomacorriente para admitir el switch.

SWITCHES MODULARES

pueden admitir altas densidades de puertos mediante el agregado de varias tarjetas de


línea de puertos de switch. Por ejemplo, algunos switches Catalyst 6500 pueden admitir
más de 1000 puertos de switch.
Las grandes redes empresariales que admiten muchos miles de dispositivos de red
requieren switches modulares de alta densidad para lograr el mejor uso del espacio y de la
energía. Sin el uso de un switch modular de alta densidad, la red necesitaría muchos
switches de configuración fija para incluir el número de dispositivos que necesitan acceso
a la red. Este enfoque puede consumir muchas tomas de alimentación eléctrica y mucho
espacio en el armario. (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 3 CAP 1.2.1.1)

19
CCNA 3 V6.0 CAPITULO 1.2.1.1 PLATAFORMAS DE SWITCH, CCNA 3 V6.0 CAPITULO
1.2.1.2 DENSIDAD DE PUERTOS, CCNA 3 V6.0 CAPITULO 1.2.1.3 VELOCIDADES DE
REENVIO

Figura 6 Plataformas de Routers

(CISCO NETWORKING ACADEMY)

los routers vienen en muchos factores de forma, como se muestra en la ilustración. Los
administradores de red en un entorno empresarial deben poder brindar soporte a una
variedad de routers, desde un Router de escritorio pequeño hasta uno montado en un rack
o un modelo blade. Los routers también pueden categorizarse como configuración fija o
modular. Con la configuración fija, las interfaces de router deseadas están incorporadas.
Los routers modulares tienen múltiples ranuras que permiten al administrador de red
cambiar las interfaces en el router. Por ejemplo, el router Cisco 1941 cuenta con dos
interfaces Gigabit Ethernet RJ-45 incorporadas y dos ranuras que pueden alojar diversos
módulos de interfaz de red. Los routers tienen una variedad de interfaces distintas, tales
como Fast y Gigabit Ethernet, Serial y de fibra óptica, CCNA 3 V6.0 CAPITULO 1.2.2.3
HARDWARE DE ROUTERS (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 3 CAP
1.2.2.3).

4.6 CONSIDERACIONES DE SEGURAIDAD

Desde la perspectiva de la seguridad de la red, se colocan en la red donde el tráfico se


reenvía y descarta. Una vez que un ataque ha sido detectado, los agujeros negros se
pueden utilizar para eliminar todo el tráfico de ataque en el borde de una red de proveedor
de servicios de Internet (ISP), en función de cualquier destino o direcciones IP de origen. El
filtrado RTBH es una técnica que utiliza actualizaciones de protocolo de enrutamiento para
manipular tablas de enrutamiento en el borde de la red o en cualquier otro lugar de la red

20
para eliminar específicamente el tráfico no deseado antes de que ingrese a la red del
proveedor de servicios. El filtrado RTBH proporciona un método para eliminar rápidamente
el tráfico no deseado en el borde de la red, según las direcciones de origen o direcciones
de destino enviándolas a una interfaz nula. Null0 es una subinterfaz que siempre está activa
y nunca puede reenviar o recibir tráfico, El reenvío de paquetes a null0 es una forma común
de filtrar paquetes a un destino específico.

• Mitigar eficazmente los ataques DDoS y de gusanos


• Poner en cuarentena todo el tráfico destinado al objetivo bajo ataque
• Aplicar el filtrado de listas negras

4.6.1 VLAN DE BLACKHOLE


Los conmutadores Cisco tienen una configuración de fábrica en la que las VLAN
predeterminadas están pre configuradas para admitir varios tipos de protocolos y medios.
La VLAN Ethernet predeterminada es VLAN 1. Es una práctica recomendada de seguridad
configurar todos los puertos en todos los conmutadores para asociarlos con VLAN distintas
a la VLAN 1. Esto generalmente se hace configurando todos los puertos no utilizados en
una VLAN de agujero negro que no se utiliza para cualquier cosa en la red. Todos los
puertos utilizados están asociados con VLAN distintas de la VLAN 1 y distintas de la VLAN
de agujero negro. También es una buena práctica cerrar los puertos del conmutador no
utilizados para evitar el acceso no autorizado.
Una buena práctica de seguridad es separar el tráfico de datos de gestión y de usuario. La
VLAN de administración, que es la VLAN 1 de forma predeterminada, debe cambiarse a
una VLAN distinta y separada. Para comunicarse de forma remota con un conmutador de
Cisco con fines de gestión, el conmutador debe tener una dirección IP configurada en la
VLAN de gestión. Los usuarios de otras VLAN no podrían establecer sesiones de acceso
remoto al conmutador a menos que fueran enrutados a la VLAN de administración, lo que
proporciona una capa adicional de seguridad. Además, el conmutador debe configurarse
para aceptar solo sesiones SSH cifradas para la administración remota. CCNA 4 V6.0
CAPITULO 5.1.1.5 ATAQUES DE VLAN (CISCO NETWORKING ACADEMY, s.f., pág.
CCNA 4 CAP 5.1.1.5)

DIRECCIONES MUERTAS

La forma más común de agujero negro es simplemente una dirección IP que especifica una
máquina host que no se está ejecutando o una dirección a la que no se ha asignado ningún
host.

Aunque TCP / IP proporciona un medio para comunicar el error de entrega al remitente a


través de ICMP, el tráfico destinado a tales direcciones a menudo simplemente se descarta.

Tenga en cuenta que una dirección inactiva será indetectable solo para los protocolos que
no tienen conexión ni son confiables (por ejemplo, UDP). Los protocolos confiables u
orientados a la conexión (TCP, RUDP) no podrán conectarse a una dirección inactiva o no
recibirán los reconocimientos esperados.

21
CORTAFUEGOS Y PUERTOS

La mayoría de los cortafuegos (y enrutadores para uso doméstico) se pueden configurar


para descartar de forma silenciosa paquetes dirigidos a hosts o puertos prohibidos, lo que
genera "agujeros negros" pequeños o grandes en la red.

Algunos proveedores han designado cortafuegos personales que no responden a las


solicitudes de eco ICMP ("ping") como en "modo sigiloso".

A pesar de esto, en la mayoría de las redes, las direcciones IP de los hosts con firewalls
configurados de esta manera se distinguen fácilmente de las direcciones IP inválidas o
inalcanzables: al encontrar estas últimas, un enrutador generalmente responderá con un
rsp de red ICMP. error de host inalcanzable. La traducción de direcciones de red (NAT),
como se usa en los enrutadores domésticos y de oficina, es generalmente una forma más
efectiva de ocultar el diseño de una red interna.

FILTRADO DE BLACK HOLE

Una ruta nula o una ruta de agujero negro es una ruta de red (entrada de la tabla de
enrutamiento) que no va a ninguna parte. Los paquetes coincidentes se descartan (ignoran)
en lugar de reenviarlos, actuando como una especie de cortafuegos muy limitado. El acto
de utilizar rutas nulas se denomina a menudo filtrado de agujeros negros. El resto de este
artículo trata del enrutamiento nulo en el Protocolo de Internet (IP).

El filtrado de agujeros negros se refiere específicamente a la eliminación de paquetes en el


nivel de enrutamiento, generalmente utilizando un protocolo de enrutamiento para el filtrado
de agujeros negros de activación remota (RTBH) es una técnica que brinda la capacidad
de eliminar el tráfico no deseado antes de que ingrese a una red protegida. El proveedor de
Internet Exchange (IX) generalmente adquiere esta tecnología para ayudar a sus miembros
o participantes a filtrar dicho ataque, Las rutas nulas se configuran típicamente con un
indicador de ruta especial, pero también se pueden implementar reenviando paquetes a
una dirección IP ilegal como 0.0.0.0 o la dirección de bucle de retorno.

El enrutamiento nulo tiene una ventaja sobre los firewalls clásicos, ya que está disponible
en todos los enrutadores de red potenciales (incluidos todos los sistemas operativos
modernos) y prácticamente no afecta el rendimiento. Debido a la naturaleza de los
enrutadores de gran ancho de banda, el enrutamiento nulo a menudo puede mantener un
rendimiento más alto que los firewalls convencionales. Por esta razón, las rutas nulas se
utilizan a menudo en enrutadores centrales de alto rendimiento para mitigar los ataques de
denegación de servicio a gran escala antes de que los paquetes lleguen a un cuello de
botella, evitando así daños colaterales. De ataques DDoS, aunque el objetivo del ataque
será inaccesible para cualquiera. Los atacantes malintencionados también pueden abusar
del filtrado Blackhole en los enrutadores comprometidos para filtrar el tráfico destinado a
una determinada dirección.

El enrutamiento normalmente solo funciona en la capa de Protocolo de Internet y es muy


limitado en la clasificación de paquetes. Es probable que no tenga estado debido a la

22
naturaleza de los enrutadores IP. Por lo general, la clasificación se limita al prefijo de la
dirección IP de destino, la dirección IP de origen y la interfaz de red entrante. (CISCO
SYSTEMS)

4.7 PROTOCOLO SEGURIDAD DE PUERTOS

Se deben proteger todos los puertos (interfaces) del switch antes de implementar el
dispositivo para la producción. Una forma de proteger los puertos es mediante la
implementación de una característica denominada “seguridad de puertos”. La seguridad del
puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el
acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones
MAC se rechazan.

La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si
la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo
con esa dirección MAC específica puede conectarse correctamente al puerto, Si se
configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC,
cualquier intento adicional de conexión de las direcciones MAC desconocidas genera una
violación de seguridad.

TIPOS DE DIRECCIONES MAC SEGURAS


Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se
basa en la configuración e incluye lo siguiente:

Direcciones MAC seguras estáticas: son direcciones MAC que se configuran


manualmente en un puerto mediante el comando switchport port-security mac-address
dirección-mac (comando del modo de configuración de interfaz) Las direcciones MAC
configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la
configuración en ejecución del switch.

Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente


y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas
de esta manera se eliminan cuando el switch se reinicia.

Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de
forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla
de direcciones y se agregan a la configuración en ejecución.

DIRECCIONES MAC SEGURAS PERSISTENTES

Para configurar una interfaz a fin de convertir las direcciones MAC detectadas
dinámicamente en direcciones MAC seguras persistentes y agregarlas a la configuración
en ejecución, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia
se habilita en una interfaz mediante el comando switchport port-security mac-address
sticky del modo de configuración de interfaz.

23
Cuando se introduce este comando, el switch convierte todas las direcciones MAC
detectadas dinámicamente en direcciones MAC seguras persistentes, incluso las que se
detectaron dinámicamente antes de que se habilitará el aprendizaje por persistencia. Todas
las direcciones MAC seguras persistentes se agregan a la tabla de direcciones y a la
configuración en ejecución.

Las direcciones MAC seguras persistentes también se pueden definir manualmente.


Cuando se configuran las direcciones MAC seguras persistentes con el comando de
configuración de interfaz switchport port-security mac-address sticky dirección-mac todas
las direcciones especificadas se agregan a la tabla de direcciones y a la configuración en
ejecución.

Si se guardan las direcciones MAC seguras persistentes en el archivo de configuración de


inicio, cuando el switch se reinicia o la interfaz se desactiva, la interfaz no necesita volver a
aprender las direcciones. Si no se guardan las direcciones seguras persistentes, estas se
pierden.

Si se inhabilita el aprendizaje por persistencia mediante el comando no switchport port-


security mac-address sticky del modo de configuración de interfaz, las direcciones MAC
seguras persistentes siguen formando parte de la tabla de direcciones, pero se eliminan de
la configuración en ejecución. CCNA 2 V6.0 CAPITULO 5.2.2.2 SEGURIDAD DE
PUERTOS (CISCO NETWORKING ACADEMY, pág. CNNA 2 CAP 5.2.2.2)

4.7.1 MODOS DE VIOLACION DE SEGURIDAD


Se puede configurar una interfaz para uno de tres modos de violación, con la acción
específica que se debe realizar si se produce una violación. La figura muestra los tipos de
tráficos de datos que se envían cuando se configura en el puerto uno de los siguientes
modos de violación de seguridad.

Figura 7 Modos de violación de Puertos

(CISCO NETWORKING ACADEMY)

Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el límite


permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan
hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la
cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo
una violación de seguridad.

Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el límite


permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan
hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la

24
cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se
produjo una violación de seguridad.

Shutdown (Desactivar): en este modo (predeterminado), una violación de seguridad de


puerto produce que la interfaz se inhabilite de inmediato por errores y que se apague el
LED del puerto. Aumenta el contador de violaciones. Cuando un puerto seguro está en el
estado inhabilitado por errores, se lo puede sacar de este estado si se introduce el comando
de modo de configuración de interfaz shutdown seguido por el comando no shutdown.
CCNA 2 V6.0 CAPITULO 5.2.2.3 SEGURIDAD DE PUERTOS MODOS DE VIOLACION DE
SEGURIDAD (CISCO NETWORKING ACADEMY, pág. CNNA 2 CAP 5.2.2.3)

4.8 RUTA ESTÁTICA POR DEFECTO


Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere que ningún bit más significativo coincida entre la ruta
predeterminada y la dirección IPv4 de destino. Una ruta predeterminada se utiliza cuando
ninguna otra ruta de la tabla de routing coincide con la dirección IP de destino del paquete.
Es decir, si no existe una coincidencia más específica, entonces se utiliza la ruta
predeterminada como el gateway de último recurso.

En general, las rutas estáticas predeterminadas se utilizan al conectar:

Un router perimetral a la red de un proveedor de servicios, Un router de rutas internas (aquel


con solo un router vecino ascendente) Como se muestra en la ilustración, la sintaxis del
comando para una ruta estática predeterminada es similar a la sintaxis del comando de
cualquier otra ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la
máscara de subred es 0.0.0.0 (CISCO NETWORKING ACADEMY, s.f., pág. CCNA 2 CAP
2.2.2.1)

4.9 LISTA DE ACL EXTENDIDAS

Para un control más preciso del filtrado del tráfico, se pueden crear ACL de IPv4 extendidas.
Las ACL extendidas se numeran del 100 al 199 y del 2000 a 2699, lo que da un total de
799 ACL extendidas numeradas posibles. Las ACL extendidas también pueden tener
nombre.

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar, porque
proporcionan un mayor grado de control. Al igual que las ACL estándar, las ACL extendidas
tienen la capacidad para revisar las direcciones de origen de los paquetes, pero también
pueden revisar la dirección de destino, los protocolos y los números de puerto (o servicios).
Esto proporciona una gama de criterios más amplia sobre la cual basar la ACL. Por ejemplo,
una ACL extendida puede permitir el tráfico de correo electrónico de una red a un destino
específico y, simultáneamente, denegar la transferencia de archivos y la navegación web.
(CISCO NETWORKING ACADEMY, s.f., pág. CCNA 4 CAP 4.2.1.1)

FILTRADO DE PUERTOS Y SERVICIOS La capacidad de filtrar por protocolos y


números de puerto permite que los administradores de red creen ACL extendidas muy

25
específicas. Se puede especificar una aplicación mediante la configuración del número o el
nombre de un puerto bien conocido. (CISCO NETWORKING ACADEMY, s.f., pág. CCNA
4 CAP 4.2.1.2)

4.9.1 CONFIGURACIÓN DE LAS ACL EXTENDIDAS

Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las
ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una
interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a
fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.

Nota: La lógica interna aplicada al ordenamiento de las instrucciones de las ACL estándar
no se aplica a las ACL extendidas. El orden en que se introducen las instrucciones durante
la configuración es el orden en que se muestran y se procesan.

La naturaleza de HTTP requiere que el tráfico fluya nuevamente hacia la red desde los sitios
web a los que se accede mediante clientes internos. El administrador de red desea restringir
ese tráfico de retorno a los intercambios HTTP de los sitios web solicitados y denegar el
resto del tráfico. La ACL 104 logra esto mediante el bloqueo de todo el tráfico entrante,
excepto las conexiones establecidas previamente. La instrucción permit en la ACL 104
permite el tráfico entrante con el parámetro established.

El parámetro established permite que solo las respuestas al tráfico procedente de la red
192.168.10.0/24 vuelvan a esa red. Si el segmento TCP que regresa tiene los bits ACK o
de restablecimiento (RST) establecidos, que indican que el paquete pertenece a una
conexión existente, se produce una coincidencia. Sin el parámetro established en la
instrucción de ACL, los clientes pueden enviar tráfico a un servidor web, pero no recibir el
tráfico que vuelve de dicho servidor. (CISCO NETWORKING ACADEMY, s.f., pág. CCNA
4 CAP 4.2.1.3)

5. PROTOCOLO DE CONTROL DE AGREGACIÓN DE ENLACES (LACP)

LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al peer. Realiza una función similar a
PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.

LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear
el enlace EtherChannel al detectar la configuración de cada lado y asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
La figura muestra los modos para LACP.

Encendido: este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces
configuradas en el modo encendido no intercambian paquetes LACP.

26
LACP activo: este modo LACP coloca un puerto en estado de negociación activa. En este
estado, el puerto inicia negociaciones con otros puertos mediante el envío de paquetes
LACP.
LACP pasivo: este modo LACP coloca un puerto en estado de negociación pasiva. En este
estado, el puerto responde a los paquetes LACP que recibe, pero no inicia la negociación
de paquetes LACP. Al igual que con PAgP, los modos deben ser compatibles en ambos
lados para que se forme el enlace EtherChannel. Se repite el modo encendido, ya que crea
la configuración de EtherChannel incondicionalmente, sin la negociación dinámica de PAgP
o LACP.

El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales. (CISCO
NETWORKING ACADEMY, s.f., pág. CCNA 3 CAP 4.1.2.3)

5.1CONEXIÓN MULTIHOMING

Border Gateway Protocol (BGP) es uno de los protocolos clave para conseguir la
redundancia de conexiones de Internet. Conectar la red a dos Proveedores de servicio de
Internet (ISP) diferentes se denomina multihoming. Multihoming proporciona redundancia y
optimización de red.
Selecciona el ISP que ofrece el mejor trayecto a un recurso. Si ejecuta BGP con varios
proveedores de servicio, corre el riesgo de que su sistema autónomo (AS) se convierta en
un AS de tránsito. Esto provoca que el tráfico de Internet pase por su AS y consuma
potencialmente todo el ancho de banda y los recursos de la CPU del router.

El termino multihoming, también conocido como conexión a Internet multiproveedor basada


en protocolo BGP (Border Gateway Protocol), es el empleado para describir una
configuración de red en la que el acceso a Internet se afecta a través de dos (o ms) ISP’s
(Internet Service Providers).
Además de aportar disponibilidad y redundancia a una conexión Internet, multihoming
encamina el tráfico IP por la mejor ruta, y permite ser completamente flexibles a la hora de
cambiar de proveedor de conectividad. Con esta técnica, haciendo routing BGP, se crea
una nueva red o sistema autónomo independiente en Internet, que, aunque conectada al
resto, buscar siempre la ruta menos congestionada, ofreciendo redundancia en el acceso y
garantizando más la disponibilidad de acceso a la Red en todo momento.
La creciente utilización sobre Internet de aplicaciones con valor crítico, tales como la gestión
de una cadena de suministros, e-commerce, transacciones financieras y comunicaciones
interactivas (voz sobre IP o videoconferencia) ha sido la causa de que cada vez ms
empresas prefieran disponer de redes Multihoming, y de esta forma no arriesgar, al delegar
todo el servicio de conectividad en un solo operador. Con la redundancia en los nodos se
garantiza la conexión a Internet, y esta solución resuelve cualquier incidencia en las
conexiones ya que el tráfico se distribuye entre las redes de los diferentes ISPs, con lo que
el posible fallo de una queda solventado por la otra. (CISCO NETWORKING ACADEMY)

27
5.2 NAT IPV4

Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir
que los dispositivos se comuniquen localmente. Sin embargo, como estas direcciones no
identifican empresas u organizaciones individuales, las direcciones privadas IPv4 no se
pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4
privada acceda a recursos y dispositivos fuera de la red local, primero se debe traducir la
dirección privada a una dirección pública.

Figura 8 Traducción entre direcciones privadas y publicas

(CISCO NETWORKING ACADEMY)

Como se muestra en la figura 8, NAT proporciona la traducción de direcciones privadas a


direcciones públicas. Esto permite que un dispositivo con una dirección IPv4 privada acceda
a recursos fuera de su red privada, como los que se encuentran en Internet. La combinación
de NAT con las direcciones IPv4 privadas resultó ser un método útil para preservar las
direcciones IPv4 públicas. Se puede compartir una única dirección IPv4 pública entre
cientos o incluso miles de dispositivos, cada uno configurado con una dirección IPv4 privada
exclusiva.

Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4
públicas válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando
un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la
dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Para los
dispositivos externos, todo el tráfico entrante y saliente de la red parece tener una dirección
IPv4 pública del conjunto de direcciones proporcionado.

En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red
de rutas internas es aquella que tiene una única conexión a su red vecina, una entrada
hacia la red y una salida desde ella. Cuando un dispositivo dentro de la red de rutas internas
desea comunicarse con un dispositivo fuera de su red, el paquete se reenvía al router de
frontera. El router de frontera realiza el proceso de NAT, es decir, traduce la dirección
privada interna del dispositivo a una dirección pública, externa y enrutable. CCNA 2 V6.0
CAPITULO 9.1.1.1 CARACTERISTICAS DE NAT

28
5.2.1 NAT ESTÁTICA

La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales.
Estas asignaciones son configuradas por el administrador de red y se mantienen
constantes, Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales
internas se traducen a las direcciones globales internas configuradas. Para las redes
externas, estos dispositivos tienen direcciones IPv4 públicas.

La NAT estática resulta útil, en especial para los servidores web o los dispositivos que
deben tener una dirección constante que sea accesible tanto desde Internet, como desde
el servidor web de una empresa. También es útil para los dispositivos a los que debe poder
acceder el personal autorizado cuando no está en su lugar de trabajo, pero no el público en
general en Internet. (CCNA 2 V6.0 CAPITULO 9.1.2.1 NAT ESTATICA)

5.2.2 NAT DINAMICA

La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica
asigna una dirección IPv4 pública disponible del conjunto, accede a Internet mediante la
primera dirección disponible del conjunto de NAT dinámica. Las demás direcciones siguen
disponibles para utilizarlas. Al igual que la NAT estática, la NAT dinámica requiere que haya
suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de
usuario simultáneas. (CCNA 2 V6.0 CAPITULO 9.1.2.2 NAT DINAMICA)

5.2.3 TRADUCCIÓN DE LA DIRECCIÓN DEL PUERTO (PAT)

también conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a
una única dirección IPv4 pública o a algunas direcciones. Esto es lo que hace la mayoría
de los routers domiciliarios. El ISP le asigna una dirección al router, pero varios miembros
de la familia pueden acceder a Internet simultáneamente. Esta es la forma más común de
NAT.

Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia
una sesión TCP/IP, genera un valor de puerto de origen TCP o UDP o un ID de consulta
asignado especialmente para ICMP, con el fin de identificar la sesión sin posibilidad de
ambigüedades. Cuando el router NAT recibe un paquete del cliente, utiliza su número de
puerto de origen para identificar de forma exclusiva la traducción NAT específica.

PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión
con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto
de origen, que se convierte en el número de puerto de destino en la devolución, determina
a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida que los
paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la sesión.
CCNA 2 V6.0 CAPITULO 9.1.2.3 PAT (CISCO NETWORKING ACADEMY, s.f., pág.
CCNA 2 CAP 9)

29
5.3 CALIDAD DE SERVICIO (QoS)
CBWFQ (mecanismo de cola de espera equitativa ponderada basada en
clases)

El CBWFQ extiende la funcionalidad estándar de la cola equitativa ponderada (WFQ) para


admitir las clases de tráfico definidas por el usuario. Para el CBWFQ, se definen las clases
de tráfico en base a los criterios de concordancia, incluidos los protocolos, las listas de
control de acceso (ACL) y las interfaces de entrada. Los paquetes que cumplen los criterios
de coincidencia para una clase constituyen el tráfico para esa clase. Se reserva una cola
FIFO para cada clase y el tráfico de cada clase se dirige a la cola de dicha clase, como se
muestra en la figura.

Cuando se ha definido una clase según sus criterios de coincidencia, puede asignarle
características. Para cuantificar una clase, le asigna el ancho de banda, el peso, y el límite
de paquete máximo. El ancho de banda asignado a una clase es el ancho de banda
garantizado que se entrega a la clase durante la congestión.

Para caracterizar una clase, también especifica el límite de cola para esa clase, que es la
cantidad máxima de paquetes que se pueden acumular en la cola de esa clase. Los
paquetes que pertenecen a una clase están sujetos al ancho de banda y a los límites de
cola que caracterizan a la clase.

Una vez que una cola haya alcanzado su límite de cola configurado, el agregado de más
paquetes a la clase hace que surtan efecto el descarte de cola o el descarte de paquetes,
según cómo esté configurada la política de clase. El descarte de extremo final implica que
el router descarte todos los paquetes que lleguen al extremo final de una cola que ya agotó
por completo sus recursos de almacenamiento de paquetes. Esta es la respuesta de espera
predeterminada para la congestión. El descarte de extremo final trata a todo el tráfico de la
misma manera y no diferencia entre clases de servicios. (CISCO NETWORKING
ACADEMY, s.f., pág. CCNA 4 CAP 6.1.3.5)

Figura 9 Ejemplo de CBWFQ

(CISCO NETWORKING ACADEMY)

30
5.4 PROTOCOLO DE ENRUTAMIENTO OSPF

OSPF es un protocolo de estado de link. Podemos pensar en un link como una interfaz en
el router. El estado del link ofrece una descripción de esa interfaz y de su relación con los
routers vecinos. Una descripción de la interfaz incluiría, por ejemplo, la dirección IP de la
interfaz, la máscara, el tipo de red a la que se conecta, los routers conectados a esa red y
así sucesivamente. La recolección de todos estos estados de link formaría una base de
datos de estados de link.

ALGORITMO DE LA TRAYECTORIA MÁS CORTA PRIMERO

OSPF usa un algoritmo de trayectoria más corta primero para construir y calcular la
trayectoria más corta a todos los destinos conocidos. La trayectoria más corta se calcula
con el uso del algoritmo Dijkstra. El algoritmo en sí mismo es muy complicado. La siguiente
es una forma simplificada de nivel muy elevado de analizar los diversos pasos del algoritmo:

En la inicialización y debido a cualquier cambio en la información de ruteo, un router genera


un anuncio de estado de link. Este anuncio representa la colección de todos los estados de
link en ese router.

Todos los routers intercambian estados de link mediante inundación. Cada router que recibe
una actualización de estado de link debe almacenar una copia en su base de datos de
estados de link y a continuación propagar la actualización a otros routers.

Una vez que la base de datos de cada router está completa, el router calcula un árbol de
trayectoria más corta a todos los destinos. El router utiliza el algoritmo Dijkstra para calcular
el árbol de trayectoria más corta. Los destinos, el costo asociado y el salto siguiente para
alcanzar dichos destinos forman la tabla de IP Routing.

En caso de que no ocurran cambios en la red OSPF, tales como el costo de un link, o el
agregado o eliminación de una red, OSPF debería permanecer muy tranquila. Cualquier
cambio que ocurra se comunica a través de los paquetes de estado de link, y el algoritmo
Dijkstra se recalcula para encontrar la trayectoria más corta.

El algoritmo coloca cada router en la raíz de un árbol y calcula la trayectoria más corta a
cada destino basándose en el costo acumulativo necesario para alcanzar ese destino. Cada
router dispondrá de su propia vista de la topología, a pesar de que todos los routers crearán
un árbol de trayectoria más corta usando la misma base de datos de estados de link. Las
secciones siguientes indican que comprende la creación de un árbol de trayecto más corto.

31
COSTO DE OSPF
El costo (también llamado métrica) de una interfaz en OSPF es una indicación de la
sobrecarga requerida para enviar paquetes a través de una interfaz específica. El costo de
una interfaz es inversamente proporcional al ancho de banda de dicha interfaz. Un mayor
ancho de banda indica un menor costo. El cruce de una línea serial de 56k implica mayores
gastos generales (costo mayor) y más retrasos de tiempo que el cruce de una línea Ethernet
de 10M. La fórmula que se usa para calcular el costo es:

costo = 10000 0000/ancho de banda en bps

ÁRBOL DE TRAYECTO MÁS CORTO


Suponga que tenemos el siguiente diagrama de red con los costos de la interfaz indicados.
Para crear el árbol de trayecto más corto para RTA, se debe convertir a RTA en la raíz del
árbol y se debe calcular el menor costo para cada destino.

Figura 10 Árbol Trayectoria más Corta

(CISCO NETWORKING ACADEMY)

ROUTERS DE ÁREA Y DE BORDE


Como se mencionó anteriormente, el OSPF utiliza la inundación para intercambiar las
actualizaciones de estado de los links entre los routers. Cualquier cambio de la
información de ruteo se distribuye a todos los routers en la red. Las áreas se introducen
para que pongan un límite en la explosión de actualizaciones de estado de link. La
inundación y el cálculo del algoritmo Dijkstra en un router están limitados a los cambios
dentro de un área. Todos los routers dentro de un área tienen la base de datos de estado
de link exacta. Los routers que corresponden a varias áreas y conectan estas áreas al
área de estructura básica se denominan routers de borde (ABR). Por lo tanto, los ABR
deben mantener información que describa las áreas de estructura básica y las otras áreas
asociadas. (CISCO NETWORKING ACADEMY, s.f.)

32
6. DISEÑO DE LA RED

En la figura 10 encontraremos la topología de red LAN de la empresa Sevicol LTDA.


Actualmente presenta una infraestructura de aproximadamente 40 dispositivos finales entre
computadores de escritorio, computadores portátiles e impresoras. Esta infraestructura
cuenta con 12 años de ser instalada y fue diseñada inicialmente con una capacidad no
mayor a los 44 dispositivos finales.
Esta red no cuenta con una segmentación de Vlan por departamentos, no tiene listas de
acceso y todos los dispositivos que se conecten a esta red tienen acceso a toda la
información de la empresa por lo que es de suma importancia atacar las falencias en
seguridad para garantizar el desempeño de la red.

Figura 11 Topología Actual

(AUTORES DEL PROYECTO)


el direccionamiento de la empresa está regido por una dirección ip clase c privada con
una máscara /24 y todos los equipos finales obtienen una dirección por DHCP quien es
asignada desde el router concentrador.

33
Tabla 1 Topología lógica Red Actual

INTERFACE MÁSCARA DE GATEWAY


EL ADMINISTRADOR DIRECCIÓN IP
S SUBRED PREDETERMINADO
G0/0 192,168,10,1 255,255,255,0 N/D
R1
G0/1 192,168,20,1 255,255,255,0 N/D
SERVER CORREO NIC 192,168,90,254 255,255,255,0 192,168,100,1
SERVER PÁGINA
WEB NIC 192,168,90,253 255,255,255,0 192,168,100,1
SW1 NIC DHCP ASIGNADO DHCP ASIGNADO DHCP ASIGNADO
SW2 NIC DHCP ASIGNADO DHCP ASIGNADO DHCP ASIGNADO
(AUTORES DEL PROYECTO)

En la tabla 2 encontraremos las referencias de los dispositivos finales actualmente


instalados en la empresa, determinando ubicación del switch, departamento y
especificaciones técnicas de los equipos.

Tabla 2 Referencia de Dispositivos en Red por Switch

DISPOSITIVO EQUIPO

SW1 PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 2

LAPTOP HP 14-DQ1004LA PC-HSEQ 3

LAPTOP HP 14-DQ1004LA PC-HSEQ 4

34
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 5

LAPTOP HP 14-DQ1004LA PC-HSEQ 6

LAPTOP HP 14-DQ1004LA PC-G-H 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-G-H 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-G-H 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-G-H 4

LAPTOP HP 14-DQ1004LA PC-G-H 5

LAPTOP HP 14-DQ1004LA PC-G-H 6

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 1

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 1

35
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-VEBLINCO 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-VEBLINCO 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-VEBLINCO 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-UNP 1

LAPTOP HP 14-DQ1004LA PC-UNP 2

SW2 PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-UNP 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 3

36
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 5

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-OPERACIONES 6

LAPTOP HP 14-DQ1004LA PC-OPERACIONES 7

LAPTOP HP 14-DQ1004LA PC-COMERCIAL 1

LAPTOP HP 14-DQ1004LA PC-COMERCIAL 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8"PC-COMERCIAL 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-COMERCIAL 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-TECNOLOGIA 1

LAPTOP HP 14-DQ1004LA PC-TECNOLOGIA 2

LAPTOP HP 14-DQ1004LA PC-TECNOLOGIA 3

37
LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 1

LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 2

LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 3

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 2

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 3

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 2

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 3

(AUTORES DEL PROYECTO)

En este paso procedemos a realizar el diseño de la topología lógica con los requerimientos
del cliente, teniendo en cuenta la inclusión de nuevos dispositivos, esto con el fin de que la
red sea escalable.
• El primer nivel del piso 1 cuenta con 15 pc’s, 1 impresora, 1 Access point y 4 cámaras
IP.
• El segundo Piso cuenta con 16 pc’s, 1 impresora, 1 Access point y 4 cámaras
IP.
• El tercer Piso 12 pc’s, 1 impresora, 1 Access point, 8 cámaras, 1 servidor de
correo y 1 servidor web.

38
6.1 PLANIFICACIÓN DE LA ASIGNACIÓN DE DIRECCIONES IP

Mediante los métodos de subnetting se establece el direccionamiento de los equipos


teniendo en cuenta los requerimientos y jerarquía de los dispositivos, se asignarán VLAN
de acuerdo al uso de los equipos.

Tabla 3 topología lógica Vlan


CANTIDAD DE USUARIOS,
VLAN NOMBRE
DIRECCIONES IP REQUERIDAS
10 HSEQ 7
20 GESTION HUMANA 8
30 VEBLINCO 4
40 UNP 4
50 OPERACIONES 8
60 COMERCIAL 5
70 TECNOLOGIA 3
80 DIRECTIVOS 4
85 IMPRESORAS 3
86 CCTV 16
90 SERVIDORES 2
97 INVITADOS-1 No determinado
99 GESTION 4
100 NAVEGACIÓN 4
999 BLACK HOLE
(AUTORES DEL PROYECTO)

Tabla 4 direccionamiento por Vlan


VLAN RED
10 192.168.10.0/24
20 192.168.20.0/24
30 192.168.30.0/24
40 192.168.40.0/24
50 192.168.50.0/24
60 192.168.60.0/24
70 192.168.70.0/24
80 192.168.80.0/24
85 172.16.0.0/27
86 172.16.86.0/24
90 172.16.1.0/29
97 192.168.97.0/24
99 192.168.99.0/24

39
100 10.10.10.0/29
(AUTORES DEL PROYECTO)

Para beneficiar la escalabilidad de la red ante un crecimiento de la empresa, se destinarán


para los usuarios redes clase C privada con longitud de prefijo por defecto.

6.2 DISEÑO LÓGICO DE LA RED


Figura 12 Diseño de Red

(AUTORES DEL PROYECTO)

40
Para favorecer los atributos que hacen una red fiable; se realiza el diseño bajo el modelo
de tres capas; core, distribución y acceso.

Capa de acceso: en cada piso se utiliza un switch cisco 2960T con licencia IP BASE y
cuyos factores de forma satisfacen las necesidades de velocidades de puerto, procesador
y memoria requeridas para la solución de conectividad.
A las interfaces Fast ethernet (100Mbps) de estos equipos se conectarán los dispositivos
terminales de datos. Una de las interfaces gigabit ethernet se configura en modo troncal de
manera estática permitiendo solo el paso de las VLAN conocidas en la red, descritas en la
tabla número 4, la otra interfaz gigabit ethernet permitirá la conexión de los puntos de
acceso wifi, su configuración es de troncal fija que sólo permite el tráfico de las VLAN de
usuarios finales, cámaras, impresoras y la VLAN de gestión.
Para prevenir posibles intrusiones desde el interior de la compañía, las interfaces en desuso
serán apagas y ligadas a una VLAN de Black Hole. Adicionalmente los puertos fast ethernet
estarán ligados a los computadores de los funcionarios haciendo uso del protocolo port
security en modo de violación shutdown.

Capa de agregación: Basados en el requerimiento de disponibilidad, esta capa está


constituida por un switch de capa tres cisco 4506 con licencia Ip base, escogido por su
capacidad de instalación de fuentes de alimentación redundantes de forma integrada, su
capacidad modular que permite la extensión de puertos con el uso de tarjetas y además,
en caso de ser requerido, permite configuración como Virtual Switching System (VSS) lo
que, al momento de ser requerido, aumentará la disponibilidad de la red.
Los servidores están conectados en una configuración con LACP para conservar la
disponibilidad de los servicios, en caso de requerirse la implementación de esta capa con
la configuración VSS del dispositivo, la conexión de los servidores será implementada con
la configuración VPC, lo que permite la escalabilidad de la red, es decir, se pueden realizar
modificaciones y crecimiento sin afectar los servicios existentes.

El enrutamiento de la red se realiza en este dispositivo que el cuál tiene una VSI por cada
vlan y cuyo direccionamiento corresponde a la primera ip válida de cada subred. El
enrutamiento hacia la WAN se realiza haciendo uso de una ruta estática por defecto en la
cual el siguiente salto o puerta de enlace es la dirección ip virtual de la capa de CORE.

En primera instancia, la seguridad será aplicada en esta capa haciendo uso de listas de
control de acceso extendidas que permiten el bloqueo del tráfico dependiendo de su origen,
destino y aplicación, sin embargo, el diseño de la red permite su evolución para implementar
sistemas de prevención de intrusiones y firewalls de nueva generación desviando el tráfico
hacia el firewall que se decida implementar ante la necesidad del negocio y dejando la tarea
de enrutamiento en este dispositivo.

La configuración de los puertos está marcada de la siguiente forma:

41
Hacia los equipos de acceso: configuración en modo troncal fija que permite el paso solo
de las VLAN de clientes finales, impresoras, cámaras y gestión.

Hacia los servidores: las configuraciones de estos puertos están configurados como como
EtherChannel usando el protocolo LACP para permitir la operatividad con otros fabricantes
en modo acceso con marcados con la VLAN de servidores.

También se tiene configurada una interfaz port channel en modo trocal con las VLAN de
cliente final hacia una controladora de redes inalámbricas cisco WLC3504 la cual se
encarga de la administración de todos los puntos de acceso inalámbricos y adicionalmente
una interfaz port channel configurada en modo acceso marcada con la VLAN de las
cámaras de video vigilancia que permite la conexión del DVR que, a su vez, es controlador
del sistema de video vigilancia.

Hacia la capa de CORE: los puertos están configurados en modo acceso con la VLAN de
navegación.

Capa de CORE: al ser una red con dos proveedores de servicios de internet (ISP) y
sesenta- tres usuarios los factores de forma requeridos para la capa de core son satisfechos
con el uso de dos enrutadores cisco 2901 con licencia de datos.

Hacia la WAN, cada ISP tiene dedicado un enrutador con el fin de generar una la conexión
multihoming de manera más estable, de esta manera se logra aumentar la disponibilidad
de la capa de core. Entre los dos enrutadores se ejecuta el protocolo HSRP con contadores
por defecto por la cercanía geográfica entre estos, el rol de los enrutadores en el HSRP
está definido por el valor de la prioridad; el enrutador con mayor prioridad está conectado
al prestador de servicio de internet de preferencia. Adicionalmente el enlace del ISP es
verificado cada 60 segundos haciendo uso de un IP SLA, el cual, está ligado a un track que
fuerza la conmutación del HSRP en caso de falla de los enlaces hacia los proveedores de
servicios.

Hacia la LAN, las VLAN de usuarios serán direccionadas haciendo uso de la técnica de
NAT por overload y los servidores serán enrutados haciendo uso de un NAT estático. Se
realiza el NAT en la capa de core porque la empresa no cuenta con un pool propio de
direcciones IP, es decir, cada proveedor de servicios asigna un direccionamiento en
comodato. Lo que imposibilita el uso del NAT en la capa de agregación. Hacia la lAN
también se implementa QoS con el mecanismo CBWFQ para priorizar el tráfico proveniente
de los servidores, del DVR y de las direcciones IP que sean requeridas por el negocio.

El enrutamiento hacia internet se realiza con rutas estáticas por defecto en la cual el próximo
salto es el PE de la red mpls indicado por el proveedor de servicios.

42
En la tabla 5 referenciamos servidores y los dispositivos finales como lo son pc, impresoras,
Access point, cámaras a instalar en el Diseño, determinando ubicación del switch por pisos,
departamento y especificaciones técnicas de los equipos.

Tabla 5 Referencia de Dispositivos en Red por Switch

DISPOSITIVO EQUIPO

SW-PISO 1 PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 2

LAPTOP HP 14-DQ1004LA PC-HSEQ 3

LAPTOP HP 14-DQ1004LA PC-HSEQ 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-HSEQ 5

LAPTOP HP 14-DQ1004LA PC-HSEQ 6

LAPTOP HP 14-DQ1004LA PC-HSEQ 7

LAPTOP HP 14-DQ1004LA PC-G-H 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-G-H 2

43
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-G-H 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-G-H 4

LAPTOP HP 14-DQ1004LA PC-G-H 5

LAPTOP HP 14-DQ1004LA PC-G-H 6

LAPTOP HP 14-DQ1004LA PC-G-H 7

LAPTOP HP 14-DQ1004LA PC-G-H 8

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 1

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 1

DS-2TD2137-7 (10 15 25 35) /V1 CAMARA IP 1

44
DS-2TD2137-7 (10 15 25 35) /V1 CAMARA IP 2

DS-2TD2137-7 (10 15 25 35) /V1 CAMARA IP 3

DS-2TX3636-25A CAMARA IP 4

SW-PISO 2 PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-VEBLINCO 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-VEBLINCO 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-VEBLINCO 3

LAPTOP HP 14-DQ1004LA PC-VEBLINCO 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-UNP 1

LAPTOP HP 14-DQ1004LA PC-UNP 2

45
PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-UNP 3

LAPTOP HP 14-DQ1004LA PC-UNP 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 1

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 4

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 5

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-OPERACIONES 6

LAPTOP HP 14-DQ1004LA PC-OPERACIONES 7

46
LAPTOP HP 14-DQ1004LA PC-OPERACIONES 8

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 2

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 2

DS-2TX3636-25A CAMARA IP 5

DS-2TD2137-7 (10 15 25 35)/V1 CAMARA IP 6

DS-2TX3636-25A CAMARA IP 7

DS-2TX3636-25A CAMARA IP 8

SW-PISO 3 LAPTOP HP 14-DQ1004LA PC-COMERCIAL 1

47
LAPTOP HP 14-DQ1004LA PC-COMERCIAL 2

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-COMERCIAL 3

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-COMERCIAL 4

LAPTOP HP 14-DQ1004LA PC-COMERCIAL 5

PC ALL IN ONE HP 24-F024LA INTEL CORE I5 23.8" PC-TECNOLOGIA 1

LAPTOP HP 14-DQ1004LA PC-TECNOLOGIA 2

LAPTOP HP 14-DQ1004LA PC-TECNOLOGIA 3

LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 1

LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 2

48
LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 3

LAPTOP HP 14-DQ1004LA PC-DIRECTIVOS 4

IMPRESORA LASER MULTIFUNCIONAL KYOCERA M2135DN PISO 3

CISCO AIRLAP1042NAK9 ACCESS POINT PISO 3

DS-2TD2137-7 (10 15 25 35)/V1 CAMARA IP 9

DS-2TD2137-7 (10 15 25 35)/V1 CAMARA IP 10

DS-2TD2137-7 (10 15 25 35)/V1 CAMARA IP 11

DS-2TD2137-7 (10 15 25 35) /V1 CAMARA IP 12

49
DS-2TX3636-25A CAMARA IP 13

DS-2TX3636-25A CAMARA IP 14

DS-2TX3636-25A CAMARA IP 15

DS-2TX3636-25A CAMARA IP 16

DELL PRECISION 3630 TOWER WORKSTATION SERVER CORREO

DELL PRECISION 3630 TOWER WORKSTATION SERVER PÁGINA WEB

(AUTORES DEL PROYECTO)

50
7 RESULTADOS Y DISCUSIÓN

Por medio del software Packet Tracer, realizaremos la simulación para evaluar el
comportamiento de los protocolos HRSP y NAT. Implementando el protocolo Ospf entre el
Switch de agregación y los dos Router de Core y se anuncia las redes menos la de
navegación ya que se marca una ruta estática por defecto 0.0.0.0 0.0.0.0 con una ip virtual
del protocolo HRSP, con el fin de experimentar la protección ante fallas que se pueda
presentar en cualquiera de los dos proveedores (Movistar y ETB), así se garantizara que la
red sea escalable.

Se realizará la segmentación de la red LAN, a través de las Vlan’s, propagando las Vlan’s
10, 20, 90, 99 y 100, por medio del Switch Concentrador.

Se creará una Access List para permitir el acceso a internet, desde las Vlan’s 10, 20 y 90,
implementando el protocolo NAT para garantizar un pool de direcciones para los
proveedores Movistar y ETB.
• Se asignará de forma dinámica las direcciones: Movistar 200.100.200.1 -
200.100.200.13 y ETB 186.31.142.160 - 186.21.142.173 para las Vlan’s 10 y 20.
• Se asignará de forma estática las direcciones: Movistar 200.100.200.1 y ETB
186.21.142.173 para la Vlan 90 que corresponde a el servidor WEB.
Figura 13 topología lógica de la red experimental

(AUTORES DEL PROYECTO)

51
7.1 PRUEBAS

PRUEBA 1: PROPAPAGACIÓN Y ENRUTAMIENTO ENTRE VLAN

Después de propagar las vlan por el sw-concentrador y sw-1, se configura las interfaces del
SW-P1 Fast Ethernet en modo acceso y las interfaces giga Ethernet en modo troncal, en
SW-CONCENTRADOR se configura las interfaces giga Ethernet G1/0/1, G1/0/2 en modo
troncal para las vlan 99 y 100 y en modo de acceso para la vlan 100, y la interfaz giga
Ethernet G1/0/4 en modo acceso para la vlan 90.

(AUTORES DEL PROYECTO)

52
(AUTORES DEL PROYECTO)

Se verifica conectividad entra las Vlan’s 10, 20 y 90, las cuales fueron propagadas por el
SW-CONCENTRADOR.
Para realizar la verificación por medio de un ping de la dirección 192.168.10.4 que
pertenece a la VLAN 10 a la dirección 192.168.20.4 que pertenece a la VLAN 20.

53
(AUTORES DEL PROYECTO)

(AUTORES DEL PROYECTO)

54
(AUTORES DEL PROYECTO)

(AUTORES DEL PROYECTO)

55
Con el resultado exitoso en la ejecución del ping entre equipos terminales que pertenecen
a diferentes VLAN, se demuestra la viabilidad del esquema de conectividad propuesto.

PRUEBA 2: OSPF CAPA DE AGREGACIÓN Y CAPA DE CORE

Implementando el protocolo Ospf entre el Switch de agregación y los dos Router de Core,
se anuncian las redes pertenecientes a dos VLAN de usuarios finales. Verificamos que los
Routers aprendan las rutas vecinas atreves del protocolo de enrutamiento OSPF.
Adicionalmente configuramos una ruta estática por defecto cuya puerta de enlace es la IP
10.10.10.1 correspondiente a la ip virtual del HSRP existente entre los dos Router de Core.

(AUTORES DEL PROYECTO)

56
A través del comando Show ip route, verificamos las redes 172.16.1.0, 192.168.10.0 y
192.168.20.0 que conoce por medio del protocolo OSPF, por medio de la subinterface
G0/0.100. Estas redes están asignadas a la Vlan de navegación.

(AUTORES DEL PROYECTO)

57
A través del comando Show ip route, verificamos las redes 172.16.1.0, 192.168.10.0 y
192.168.20.0 que conoce por medio del protocolo OSPF, por medio de la subinterface
G0/0.100. Estas redes están asignadas a la Vlan de navegación.

(AUTORES DEL PROYECTO)

58
Con lo anterior se confirma que con el uso del protocolo OSPF se anuncian correctamente
los prefijos de red de la capa de agregación a la capa de Core.

PRUEBA 3: CONMUTACIÓN HSRP

Se evalúa el protocolo HSRP, con el fin de garantizar la disponibilidad a internet a través


de dos proveedores, dándole la prioridad más alta a Router Movistar y el Router ETB
funcionará como un Router virtual y será utilizado como puerta de enlace; en caso de
producirse un fallo en el Router Movistar, el Router ETB tendrá la segunda prioridad más
alta y se convertirá en la puerta de enlace predeterminada.

Se realiza un tracert desde el pc de la Vlan 20 hasta la IP del Router de Internet (Router0(1)),


tomando la ruta del Router Movistar ya que es el enlace predeterminado con la prioridad
más alta. De esta manera se descarta la ruta del proveedor ETB, el cual está a la espera
de cualquier falla para habilitar esta ruta. Con este protocolo brindamos respaldo para que
los equipos de la capa de acceso puedan conectarse a internet.

(AUTORES DEL PROYECTO)

59
Se realiza un tracert desde el pc de la Vlan 20 hasta la IP del Router de Internet (Router0(1)),
a la interface serial que está conectada directamente al Router ETB. Evidenciamos que al
enviar el paquete por la ruta del Router ETB, no llega el paquete debido a que el Router
con prioridad primaria es el Router Movistar.

(AUTORES DEL PROYECTO)

Se realiza un tracert desde el pc de la Vlan 20 hasta la IP del Router de Internet (Router0(1)),


a la interface serial que está conectada directamente al Router ETB, apagando la interface
G0/0 del proveedor Movistar. Esto evidencia que al momento que se presenta una falla en
el Router primario Movistar, se habilita el Router ETB con la prioridad secundaria.

60
(AUTORES DEL PROYECTO)

Se estableció la funcionalidad del protocolo HSRP de forma correcta, garantizando la


disponibilidad de la red, a pesar de las fallas en los enlaces de los proveedores.

PRUEBA 4: FUNCIONANAMIENTO NAT ESTATICO Y POR SOBRE CARGA

Se evalúa la asignación del pool de direcciones del protocolo NAT, evidenciando que se
asigna de forma dinámica las direcciones IP para el proveedor de servicios Movistar en el
rango 200.100.200.1 - 200.100.200.13 y ETB 186.31.142.160 - 186.21.142.173 para las
Vlan’s 10 y 20.
Se asignará de forma estática las direcciones IP para el proveedor de servicios Movistar
200.100.200.1 y ETB 186.21.142.173; para la Vlan 90 que corresponde a el servidor WEB.

61
Por medio del comando Show ip nat translation verificamos, el protocolo Nat, donde se
evidencia la conversión de una ip privada 192.168.10.4 a una ip publica 186.31.142.161
dada por el pool de direcciones del proveedor de servicios.

(AUTORES DEL PROYECTO)

Por medio del comando Show ip nat translation verificamos, el protocolo Nat, donde se
evidencia la conversión de una ip privada 192.168.10.4 a una ip publica 200.100.200.1 dada
por el pool de direcciones del proveedor de servicios. A la dirección 172.16.0.2 del servidor
web se le asigno la dirección 192.168.20.4.

(AUTORES DEL PROYECTO)

62
A la dirección 172.16.1.2 del servidor web se le asigno la dirección 200.100.200.14.

(AUTORES DEL PROYECTO)

63
8 CONCLUSIONES

Para beneficiar el cumplimento de los atributos necesarios para una red fiable, la mejor
alternativa es el uso de una arquitectura por capas (tier), como la propuesta por el modelo
jerárquico de Cisco y cuya principal ventaja es la asignación de responsabilidades de
acuerdo a las capacidades (capabilities) de los equipos que componen cada una de estas.

Con la segmentación de VLAN de acuerdo al uso, se puede realizar control de trafico de


acuerdo a los lineamientos de seguridad dispuestos por la compañía Sevicol LTDA.

Con el protocolo HSRP, se garantiza la disponibilidad de los servicios de navegación a


pesar de las fallas de los enlaces de uno de los dos proveedores. Para afinar el
funcionamiento de este protocolo, es aconsejable utilizar el método del tracking ligado a IP
SLAs que estén analizando la calidad del enlace.

Ante un crecimiento mayor de la red y de las necesidades de seguridad de la empresa, se


harán necesario la implementación de un Firewall, que se encargue de la administración de
las políticas. Para hacer esta implementación, con el diseño actual de red, solo basta con
conectar este nuevo dispositivo a la capa de agregación.

Para el funcionamiento correcto del servidor web, debido a que este debe ser conectado
con NAT estático a una dirección ip publica, se debe requerir a los proveedores de servicios
bloques de direcciones, con longitud de prefijo máxima de 29 bits (/29), con el fin, de
mantener separado el trafico de navegación de usuarios del servidor web. Como
consideración adicional, se deben realizar dos registros tipo A para la pagina web, es decir,
un registro por una ip publica por cada proveedor. De esta manera habrá disponibilidad de
la página ante fallos.

64
9 WEBGRAFIAS

1. CISCO NETWORKING ACADEMY . (s.f.). CCNA 3 ESCALAMIENTO DE REDES.


Obtenido de https://www.cisco.com/c/dam/r/es/la/internet-of-everything-
ioe/assets/pdfs/en-05_campus-wireless_wp_cte_es-xl_42333.pdf
2. CISCO NETWORKING ACADEMY. (s.f.). CCNA 1 INTRODUCCION A LAS REDES.
Obtenido de http://www.utez.edu.mx/curriculas/ccna1_ES/CHAPID=knet-
1072827538031/RLOID=knet-1072905429421/RIOID=knet-
1072905429828/knet/311072827537671/chapterframeset.html
3. CISCO NETWORKING ACADEMY. (s.f.). CCNA 2 NAT IPV4. Obtenido de
https://static-course-assets.s3.amazonaws.com/RSE6/es/index.html#9
4. CISCO NETWORKING ACADEMY. (s.f.). CCNA 2 PAQUETES DE IMAGEN DE
SISTEMAS IOS 15. Obtenido de https://static-course-
assets.s3.amazonaws.com/ScaN50ES/course/module9/9.2.1.1/9.2.1.1.html
5. CISCO NETWORKING ACADEMY. (s.f.). CCNA 2 PRINCIPIOS BASICOS DE
ROUTING Y SWITCHING. Obtenido de https://static-course-
assets.s3.amazonaws.com/RSE50ES/module4/4.1.1.1/4.1.1.1.html
6. CISCO NETWORKING ACADEMY. (s.f.). CCNA 2 SEGURIDAD DE PUERTOS.
Obtenido de https://static-course-
assets.s3.amazonaws.com/RSE6/es/index.html#5.2.2.2
7. CISCO NETWORKING ACADEMY. (s.f.). CCNA 2 SEGURIDAD DE PUERTOS
MODOS DE VIOLACION DE SEGURIDAD. Obtenido de https://static-course-
assets.s3.amazonaws.com/RSE6/es/index.html#5.2.2.3
8. CISCO NETWORKING ACADEMY. (s.f.). CCNA 3 HARDWARE DE SWITCH.
Obtenido de
https://www.itesa.edu.mx/netacad/switching/course/module1/1.1.2.2/1.1.2.2.html
9. CISCO NETWORKING ACADEMY. (s.f.). CCNA 3 HARDWARE ROUTER.
Obtenido de https://static-course-
assets.s3.amazonaws.com/ScaN50ES/course/module1/1.2.2.3/1.2.2.3.html
10. CISCO NETWORKING ACADEMY. (s.f.). CCNA 4 ATAQUES DE VLAN. Obtenido
de https://www.ciscopress.com/articles/article.asp?p=2208697&seqNum=6
11. CISCO NETWORKING ACADEMY. (s.f.). CONEXIÓN MULTIHOMING . Obtenido
de https://www.cisco.com/c/es_mx/support/docs/ip/border-gateway-protocol-
bgp/23675-27.pdf
12. CISCO SYSTEMS. (s.f.). FILTRO DE AGUJERO NEGRO BASADO EN DESTINO
Y FUENTE. Obtenido de
https://www.cisco.com/c/dam/en_us/about/security/intelligence/blackhole.pdf
13. RCRWIRELESSNEWS . (s.f.). RCRWIRELESSNEWS . Obtenido de
https://www.rcrwireless.com/20140513/wireless/mpls-pe
14. INTRODUCCION A LAS REDES. (2019). Recuperado 26 de junio de 2020, de
CISCO NETWORKING website: https://static-course-
assets.s3.amazonaws.com/ITN6/es/index.html

65
15. PRINCIPIOS BASICOS DE ROUTING Y SWITCHING. (2019). Recuperado 26 de
junio de 2020, de CISCO NETWORKING website: https://static-course-
assets.s3.amazonaws.com/RSE6/es/index.html
16. ESCALAMIENTO DE REDES. (2019). Recuperado 26 de junio de 2020, de CISCO
NETWORKING website: https://static-course-
assets.s3.amazonaws.com/ScaN6/es/index.html
17. CONEXION A REDES. (2019). Recuperado 26 de junio de 2020, de CISCO
NETWORKING website: https://static-course-
assets.s3.amazonaws.com/ConnectNet6/es/index.html
18. (2020). Recuperado 26 de junio de 2020, de
https://www.ionos.es/digitalguide/hosting/cuestiones-tecnicas/registro-a/
19. (2020). Recuperado 26 de junio de 2020, de
https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-550x-series-
stackable-managed-switches/smb5797-configure-ip-sla-tracking-for-ipv4-static-
routes-on-an-sg550.html

66

También podría gustarte