Un ejemplo de un diseo de red del campus

El objetivo de esta seccin es presentar un diseo de red del campus que fue desarrollado usando el diseo metodologa en este libro. El ejemplo se basa en un diseo de red real. Algunos de los hechos se han modificado para preservar la privacidad del cliente el diseo, para proteger la seguridad de la red del cliente, y para que sea posible presentar un ejemplo simple y fcil de entender.

Informacin bsica para el proyecto Campus de Diseo de Redes

Indagando sobre Valley Community College (WVCC) es una pequea universidad en el oeste de los Estados Unidos, que participarn alrededor de 600 estudiantes a tiempo completo y parcial. Los estudiantes no viven en el campus. Aproximadamente 50 profesores imparten cursos en el campus de las artes y las humanidades, negocios, ciencias sociales, matemticas, ciencias de la computacin, las ciencias fsicas y ciencias de la salud. Muchos de los profesores tambin tienen otros puestos de trabajo en la comunidad empresarial, y slo la mitad de ellos tienen una oficina en el campus. Aproximadamente 25 del personal de administracin manejan las admisiones, los registros de los estudiantes, y otras funciones operativas. La inscripcin en WVCC se ha duplicado en los ltimos aos. El personal docente y administrativo tambin se duplic en tamao, con la excepcin del departamento IT, que es todava muy pequeo. El departamento IT est formado por un gerente, un administrador del servidor, dos administradores de la red, y dos de tiempo parcial, alumnos ayudantes. Debido al aumento en la matrcula y otros factores cubiertos en los prximos tres secciones, la actual red tiene problemas de rendimiento y fiabilidad. La administracin ha declarado al departamento IT quejas de los estudiantes y profesores acerca de la red en aumento. Los miembros de la Facultad afirman que no pueden enviar de manera eficiente a tal grado de no mantener contacto con sus colegas de las otras universidades, o mantenerse al da con la investigacin debido a problemas de red. Los estudiantes dicen que han tenido que entregar la tarea tarde debido a problemas en la red y que sus calificaciones se ven afectadas. A pesar de las quejas sobre la red, el personal y los estudiantes han duplicado el uso de la red duplicado en los ltimos aos. El acceso inalmbrico se ha convertido en un punto de contencin entre el departamento IT y otros departamentos. Los estudiantes suelen colocar puntos de acceso inalmbrico en el Centro de computacin y el edificio de Matemticas y Ciencias sin el permiso del departamento IT. El directo del departamento IT se preocupa de la seguridad de la red y se ha asignado a los estudiantes un tiempo parcial a vagar por la red en busca de puntos de acceso no autorizado y luego sacarlos de la red si se encuentran. Los estudiantes de tiempo parcial odian esta tarea ya que con sus amigos ya que son sus amigos, en muchos casos es que van a instalar los puntos de

acceso. Adems, piensan que el acceso inalmbrico se debe permitir. Muchos de los estudiantes, profesores y miembros del personal estn de acuerdo.

Metas de Negocio
La universidad todava quiere atraer y retener a ms estudiantes. La Junta directiva considera que la mejor manera de seguir siendo fiscalmente, es seguir aumentando la matrcula y reducir la desercin. La administracin de la universidad y la junta directiva a identificados los objetivos de negocio: Aumentar la matrcula de 600 a 1000 estudiantes en los prximos 3 aos. Reducir la tasa de desercin de 30 a 15 por ciento en los prximos 3 aos. Mejorar la eficiencia docente y permitir a los docentes a participar en proyectos de investigacin con ms colegas de otras universidades. Mejorar la eficiencia de los estudiantes y eliminar los problemas con la presentacin de tareas. Permitir a los estudiantes acceder a la red del campus e Internet con sus computadoras porttiles. Permitir a los visitantes del campus para acceder a Internet a travs de sus computadoras porttiles. Proteger la red de los intrusos. Aprovechar la subvencin emitida por el gobierno estatal para la mejora de la red del campus. El dinero debe ser invertido por ser el final del ao fiscal.

Objetivos tcnicos
El departamento IT ha desarrollado la siguiente lista de objetivos tcnicos, con base en la investigacin sobre las causas de los problemas de red, que se cubre con ms detalle en la seccin "La red actual en WVCC": Redisear el esquema de direccionamiento IP. Aumentar el ancho de banda de la conexin a Internet para soportar nuevas aplicaciones y ampliar el uso de las aplicaciones actuales. Proporcionar una red segura, inalmbrica privada para los estudiantes para acceder a la red del campus y a Internet. Proporcionar una red inalmbrica abierta para que los visitantes del campus para acceder a Internet. Proporcionar una red que ofrece un tiempo de respuesta de aproximadamente 1/10th de un segundo o menos para aplicaciones interactivas. Proporcionar una red de campus que est disponible aproximadamente el 99,90 por ciento del tiempo y ofrecer un MTBF de 3.000 horas (alrededor de 4 meses) y un tiempo medio de reparacin de 3 horas (con un bajo nivel de desviacin de estas cifras promedio).

Proporcionar seguridad para proteger la conexin a Internet y red interna de intrusos. Utilizacin de herramientas de gestin de red que pueden aumentar la eficiencia y la efectividad del departamento IT. Proporcionar una red que puede escalar para soportar el uso futuro de aplicaciones multimedia.

Aplicaciones de red
Los estudiantes, profesores y personal utilizaran la red WVCC para los siguientes fines: Aplicacin 1, los deberes. Los estudiantes usan la red para escribir artculos y otros documentos. Ellos guardaran su trabajo en los servidores de archivos en el Centro de Computacin e imprimirn su trabajo en las impresoras, en el Centro de Computacin y otros edificios. Aplicacin 2, e-mail. Los estudiantes, profesores y personal administrativo hacen un amplio uso del correo electrnico. Aplicacin 3, investigacin de la web. Los estudiantes, profesores y personal administrativo utiliza Mozilla o Microsoft Internet Explorer para acceder a la informacin, participar en salas de chat, juegos, y utilizar otros servicios web tpicas. Aplicacin 4, Catalogo de las tarjetas de bibliotecas. Los estudiantes y la facultad tendrn acceso a la tarjeta de catlogo en lnea. Aplicacin 5, el modelado del tiempo. Estudiantes Meteorologa y profesores participan en proyectos para los patrones del clima en relacin con el modelo de otros colegios y universidades en el estado. Aplicacin 6, Monitoreo a travs de telescopios. Estudiantes de astronoma y sus facultades podrn descargar las imgenes grficas de un telescopio situado en la universidad estatal. Aplicacin 7, Subir Grficos. La subida de archivos de arte grafico de gran tamao a una tienda del campus de impresin pueda imprimir imgenes de gran escala en una impresora lser de alta velocidad. La imprenta imprime obras de arte que es el archivo a transferir a la tienda a travs de Internet. Aplicacin 8, el aprendizaje a distancia. El departamento de Ciencias de la Computacin participa en un de aprendizaje a distancia con el proyecto de la universidad estatal. La universidad estatal permite a los estudiantes WVCC inscribirse para recibir streaming de vdeo de un curso de informtica conferencia de la ciencia que se ofrece la Universidad del Estado. Los estudiantes tambin pueden participar en tiempo real "chat" mientras asista a la clase. Aplicacin 9, el sistema de gestin de la universidad. El personal de la administracin de la universidad utilizan el sistema de gestin de la universidad para realizar un seguimiento de los registros de clase y registros de los estudiantes.

Comunidades de Usuarios
Tabla 10-7 muestra las comunidades de usuarios en WVCC. El crecimiento esperado de las comunidades tambin incluido. El crecimiento se espera por dos razones: Las nuevas PCs y Macintosh se pueden comprar. Acceso inalmbrico permitir que ms estudiantes y visitantes puedan acceder a la red con su computadoras personales porttiles.

Table 10-7. WVCC User Communities

nombre de la Comunidad de Usuarios Los usuarios de PC en Centro de Computacin Tamao de la comunidad (Nmero de usuarios) 30, crecer a 60 Localizacin (s) de comunidades Stano de biblioteca Aplicacin (s) usado por comunidad Las tareas, correo electrnico, Investigacin de la Web, una biblioteca ficha de catlogo Las tareas, correo electrnico, Investigacin de la Web, una biblioteca ficha de catlogo E-mail, red de investigacin, Catlogo de tarjetas de la Biblioteca Las tareas, correo electrnico, Investigacin de la Web, una biblioteca ficha de catlogo Las tareas, correo electrnico, Investigacin de la Web, una biblioteca ficha de catlogo, grficos de carga Las tareas, correo electrnico, Investigacin de la Web, una biblioteca ficha de catlogo, grficos de carga Las tareas, correo electrnico, Investigacin de la Web, una biblioteca catlogo de tarjetas, el tiempo

Los usuarios de Mac en el Centro de computacin

15, crecer a 30

Stano de biblioteca

Usuarios de la biblioteca 15,

crecer a 30

Pisos 1-3 de biblioteca

Negocios / Social Ciencias de los usuarios de PC

15, crecer a 30

Negocios y Ciencias Sociales edificio

Arte y Humanidades Los usuarios de Mac

15, crecer a 25

las Artes y las humanidades edificio

Artes / Humanidades PC usuarios

25, crecer a 50

las Artes y las humanidades edificio

Matemticas / Ciencias PC usuarios

25, crecer a 50

Matemticas y Ciencias edificio

PC de Administracin

25, crecer a 50

administracin edificio

Los visitantes a la campus

10, crecer a 25

Todos los destinos

Usuarios de afuera

Muchos

Internet

modelos, el telescopio seguimiento, la distancia aprendizaje E-mail, red de investigacin, Catlogo de la Biblioteca de tarjetas, gestin universitaria sistema Web de la investigacin, la biblioteca catlogo de tarjetas, email Navegar por el sitio web de la WVCC

Almacenes de datos (servidores)

Tabla 10-8 muestra los almacenes de datos principales (servidores) que han sido identificados en WVCC.

Table 10-8. WVCC Data Stores

Almacenamiento de datos Ubicacin Aplicacin Utilizado por la comunidad de usuarios(o comunidades) Todo

Tarjeta de biblioteca, catalogo en el servidor de Windows AppleShare IP archivo / servidor de impresin

Centro de computacin sitio del servidores Centro informtico sitio del servidor

Catalogo de tarjetas de biblioteca Tarea

Servidor de Archivos impresin de Windows Servidor Web de Windows Seridor de correo de Windows

Centro Computacional Sitio del servidor Centro Informtico sitio del servidor Centro informtico sitio del servidor

Tarea Sede del sitio web de la WVCC Correo

Los usuarios de Mac en el Centro de Computacin Artes y Humanidades del edificio Los usuarios de pc en todos los edificios Todo Todos los usuarios excepto los visitantes(que utilizan sus propios servidores) Administracin Todo Administracin

Sistema del servidor novel en el colegio Servidor DHCP de Windows Servidor de gestin de Windows

Centro de computacin sitio de servidores Centro de computacin sitio de servidores Centro de computacin sitio de servidores

Sistema de gestin del Colegio Direcciones Administracin

Servidor DNS UNIX

Estado de Comunidad Red del sistema del Colegio

Nombrar

Todo

La red actual en WVCC

Hace unos aos, los edificios universitarios no estaban vinculados entre s, incluso. Acceso a Internet no era centralizado, y cada departamento maneja su propia red y administracin de servidores. Mucho progreso se ha hecho desde entonces, hoy en da los switchs de Capa 2 dan lugar al diseo de redes jerrquicas. Un nico Router tambin acta como un firewall proporciona acceso a Internet. La topologa lgica del backbone de la red del campus actual en WVCC consiste en una estructura jerrquica, arquitectura de malla con enlaces redundantes entre los edificios. Figura 10-5 muestra la topologa lgica del backbone del campus.
Figura 10-5. Backbone de la Red

El diseo de la red del campus tiene las siguientes caractersticas: La red utiliza switch Ethernet. Un switch de alta gama en cada edificio es redundante conectado a dos conmutadores de gama alta en el Centro de Computacin. La figura 10.5 muestra estos switch. Dentro de cada edificio se encuentra un switch Ethernet de 24 o 48 puertos en cada planta se conecta el usuario final del sistema. La Figura 10-6 muestra la arquitectura de red del edificio.

Figure 10-6. The Building Network Design for WVCC

Los switch ejecutan el protocolo IEEE 802.1D Spanning Tree Protocol. Los switches soportan SNMP y RMON. Una red basada en Windows del software de gestin de paquetes de seguimiento de los switch. El software se ejecuta en un modulo del servidor del diseo de la red. Todos los dispositivos son parte del mismo dominio de broadcast. Todos los dispositivos (con excepcin de dos servidores pblicos) son parte de la subred 192.168.1.0 con una mscara de subred 255.255.255.0. Las direcciones de PC de los usuarios finales y Macintosh se llevan a cabo con DHCP. Un servidor de Windows ubicado en un modulo del centro de computacin de servidores que acta como el servidor DHCP. El e-mail y el servidor web utiliza direcciones pblicas a la comunidad estatal de universidades asign a la universidad. El sistema tambin proporciona un servidor DNS que utiliza la universidad. El Router acta como un servidor de seguridad mediante el filtrado de paquetes. El router tambin implementa NAT. La Router tiene una ruta predeterminada a Internet y no se ejecuta un protocolo de enrutamiento. El enlace WAN a Internet es un enlace T1 de 1,544 Mbps.

El diseo fsico de la red actual tiene las siguientes caractersticas:

Los edificios se conectan a travs de dplex completo 100BASE-FX Ethernet. Dentro de los edificios, se utilizan de switches Ethernet de 10 Mbps. Cada edificio cuenta con un cableado estructura de categora 5e en las oficinas, aulas de clase y laboratorios El router en el Centro de Informtica es compatible con dos 100BASE-TX y un puerto con T1 con una unidad integrada CSU / DSU. El router tiene una fuente de alimentacin redundante.

Una topologa fsica centralizada(estrella) es usada en el cableado del compus. Cables subterrneos en conductos tienen cableado de fibra ptica multimodo. El cableado est fuera de la plataforma de cableado que se compone de 30 hilos de fibra con un ncleo 62,5 micrones y el revestimiento 125-micra, protegido por una funda de plstico adecuado para uso al aire libre de uso normal. Figura 10-7 muestra el diseo de cableado del campus.
Figure 10-7. The Campus Cabling Design for WVCC

Caractersticas del trfico de aplicaciones de red

Los estudiantes asistentes en el departamento IT conducen un anlisis de trafico de las caractersticas de aplicaciones. Los mtodos de anlisis incluyen la captura de las sesiones de aplicacin tpica con un protocolo analizador, entrevistar a los usuarios acerca de sus usos actuales y previstos de las aplicaciones, y la estimacin de el tamao de los objetos de red transferidos en la red utilizando la Tabla 4.5, "Tamao aproximado de la Objetos que las aplicaciones de transferencia de las redes. "Los estudiantes tambin se utiliza la Tabla 4.6," Trfico de techo para varios protocolos, "para estimar el ancho de banda adicional requerido por los jefes de protocolo.

Los estudiantes determinaron que la tarea, e-mail, red de investigacin, catlogo de tarjeta de la biblioteca, y aplicaciones de sistemas de gestin de la universidad tienen requisitos de ancho de banda nominal y no son sensibles el retraso . Las otras aplicaciones, sin embargo, utiliza una cantidad significativa de ancho de banda, en particular un alto porcentaje del ancho de banda WAN a Internet. La aplicacin de aprendizaje a distancia es tambin sensible a los retrasos. Los usuarios de las aplicaciones de modelado el clima y el telescopio de vigilancia, quieren ampliar su uso de estas aplicaciones, pero actualmente se ve obstaculizada por la cantidad de ancho de banda disponible para el Internet. Los usuarios de aplicacin de subida de grficos tambin se impidi el envo de archivos de gran tamao oportunamente por la escasez de ancho de banda a Internet. La aplicacin de aprendizaje a distancia es una asimtrica (solo ida) streaming-video de la aplicacin. La Universidad del Estado utiliza equipos de vdeo digital para grabar las conferencias de clase en tiempo real y enviar la transmisin de vdeo a travs de Internet, utilizando el RealTime Streaming Protocol (RTSP) y el tiempo real- Protocolo (RTP). Los estudiantes a distancia no envan datos de audio o video, sino que simplemente tienen la posibilidad de enviar preguntas de texto, mientras que la clase que est ocurriendo, utilizando una pgina web sala de chat. Un usuario se suscribe a la clase de aprendizaje a distancia mediante el acceso a un servidor web en la universidad estatal, entrar en un nombre de usuario y contrasea, y especificar cunto ancho de banda que el usuario tiene disponible. La pgina web en la actualidad no permite que un usuario especifique ms de 56 Kbps de ancho de banda disponible. En este momento, el servicio de aprendizaje a distancia es un sistema de punto a punto. Cada usuario recibe un nico flujo de 56 Kbps de vdeo del sistema de vdeo en la universidad estatal. Por esta razn, WVCC limita el nmero de usuarios que pueden acceder al sistema de educacin a distancia a los 10 estudiantes que se encuentran en el edificio de Matemticas y Ciencias. En el futuro, el sistema de educacin a distancia apoyar tecnologas de multidifusin IP. En el entretanto, Sin embargo, los estudiantes y el personal del departamento IT estn de acuerdo en que se debe encontrar una solucin para permitir que ms de 10 estudiantes puedan utilizar el sistema de educacin a distancia en un tiempo.

Un resumen de los flujos de trfico

Los estudiantes asistentes utilizaron su investigacin con respecto a las comunidades de usuarios, almacenes de datos y caractersticas de la aplicacin de trfico para analizar los flujos de trfico. Ellos representaban la cross-conexin del campus a travs de la grafica del flujo de trfico de la fig. 10-8.
Figure 10-8. Cross-Campus Traffic Flows on the WVCC Campus Network

Adems de los flujos de trfico del campus transversal, los estudiantes documentado los flujos de trfico dentro de la biblioteca y Centro de Informtica y los flujos de trfico hacia y desde Internet. Dentro de la biblioteca y Centro de Computacin, el trfico viaja desde y hacia los distintos servidores en alrededor de los siguientes tipos:

Total

2300 Kbps

Caractersticas de rendimiento de la red actual

A partir del anlisis realizado por los alumnos ayudantes y de los registros de switch, router y el servidor, el departamento IT determin que el ancho de banda de la red del campus Ethernet es poco utilizado. Sin embargo, tres problemas principales son probablemente la causa de las dificultades que estn experimentando los usuarios: El esquema de direccionamiento IP soporta una sola subred IP con una mscara de subred 255.255.255.0. En otras palabras, slo se permiten 254 direcciones. Hace unos aos, el departamento de IT supone que slo un pequeo subconjunto de los estudiantes y profesores que utilizan la red al mismo tiempo. Esto ya no es el caso. Como el uso de la red crece y los estudiantes colocar los ordenadores porttiles inalmbricos en la red, el nmero de direcciones se ha convertido en insuficiente. Los usuarios que se unen a la red de media maana despus de muchos otros usuarios se han unido a menudo no recibe una direccin IP desde el servidor DHCP. La conexin de 1.544 Mbps a Internet est sobrecargado. Utilizacin de la red media de la enlace serie WAN, medido 95 por ciento en una ventana de 10-minutos. El router cae alrededor del 5 por ciento de los paquetes debido a los picos de utilizacin del 100 por ciento. El propio router est sobrecargado. Los estudiantes asistentes, escribieron un script peridicamente colecta la salida de comandos de la CPU. Los asistentes descubrieron que 5 minutos de utilizacin de la CPU se eleva en un 90% y la utilizacin de la CPU de 5 segundos se obtienen los picos del 99%, con una gran porcin de la energa de la CPU consumida por las interrupciones de la CPU. Usando un laboratorio de la red, la simulacin de los asistentes de trfico de la red real de pasar por un enrutador similares con y sin habilitar listas de acceso y NAT. Los asistentes determinaron que la Internet CPU del router est sobre utilizado, no slo por la gran cantidad de trfico, pero tambin debido a las listas de acceso y las tareas de NAT.

El rediseo de la red de WVCC

El uso de un enfoque modular, los administradores de red y estudiantes asistentes designaron las siguientes mejoras de la red del campus: Optimizacion del enrutamiento y direccionamiento para la red troncal del campus que interconecta los edificios, proporciona acceso a los sitios de servidores, y enruta el trfico a Internet El acceso inalmbrico en todos los edificios, tanto para los visitantes y usuarios de la red del campus privado (Estudiantes, profesores y personal administrativo) Mejora el rendimiento y la seguridad en el borde de la red donde el trfico se encamina hacia y a travs de Internet

Optimizacin del Direccionamiento IP y enrutamiento de la red principal de Campus

Los administradores de red y estudiantes asistentes decidieron mantener la malla jerrquica y la topologa lgica que sus predecesores tan sabiamente eligieron. Sin embargo, para solucionar los problemas de direccionamiento IP, un mdulo de enrutamiento se aadi a cada uno de los extremos de los switch ubicados en los edificios, esencialmente convirtiendo los switch en routers rpidos. Con este nuevo enfoque, los administradores fueron capaces de subdividir el lgicamente la red en varias subredes. Los administradores decidieron quedarse con direcciones privadas. Se asign a los siguientes rangos de direcciones de la red del campus: Sitio de servidores. 192.168.1.1-192.168.1.254 Biblioteca. 192.168.2.1-192.168.2.254 Centro de Computacin . 192.168.3.1-192.168.3.254 Administracin. 192.168.4.1-192.168.4.254 Ciencias Empresariales y Sociales. 192.168.5.1-192.168.5.254 Matemticas y Ciencias. 192.168.6.1-192.168.6.254 Artes y Humanidades. 192.168.7.1-192.168.7.254 Los usuarios de la red inalmbrica segura privado. 192.168.8.1-192.168.8.254. (Esta es una en todo el campus de subred que se extiende por todos los edificios y los jardines exteriores.) Los usuarios de la red abierta, inalmbrica pblica. 192.168.9.1-192.168.9.254. (Esta es una en todo el campus de subred que se extiende por todos los edificios y los jardines exteriores.) El e-mail y el servidor web utiliza direcciones pblicas que la comunidad de la universidad del estado de la red del sistema asignado a la universidad.

En lugar de confiar en la capa 2 Spanning Tree Protocol para evitar bucle, los diseadores eligieron una protocolo de enrutamiento de capa 3. Eligieron Open Shortest Path First (OSPF), ya que no es propietario y se ejecuta en los routers de proveedores de muchos, converge rpidamente, apoya el intercambio de carga, y es moderadamente fcil de configurar y solucionar problemas.

La red inalmbrica
Los accesorios inalmbricos a la red representa el mayor desafo debido a los prejuicios y otra capa 8 (los temas no tcnicos). El departamento de TI prefieren una solucin nica que se extremadamente seguro. Muchos de los estudiantes y profesores queran un acceso seguro a la red del campus y en apoyo a los visitantes que utilizan la red inalmbrica para acceder a Internet. La solucin era ofrecer dos puntos de acceso en cada edificio, con las polticas de seguridad diferentes aplicado sobre ellos. Un punto de acceso abierto en cada edificio dispone de acceso para los visitantes, mientras que un punto de acceso seguro en cada edificio proporciona un

acceso seguro para los estudiantes, profesores y empleados. La puntos de acceso abierto son en un canal diferente de los otros puntos de acceso para evitar interferencias y aumentar el rendimiento. El acceso a los puntos de apoyo IEEE 802.11b y cada uno proporciona un valor nominal de ancho de banda de 11 Mbps. El departamento de TI eligi Cisco Aironet puntos de acceso de la serie debido a su apoyo a la seguridad caractersticas y la interoperabilidad con herramientas de Cisco para la autenticacin y gestin de la red inalmbrica. El departamento de TI solicit a la librera de la universidad en el stock del cliente Cisco Aironet serie de LAN inalmbrica adaptadores y adaptadores compatibles para los estudiantes de la compra. Desde el punto de vista de direccionamiento IP, dos subredes diferentes han servido, como se mencion en el "IP Direccionamiento y enrutamiento optimizado para el backbone de campus" seccin-una para el seguro, privada LAN inalmbrica (WLAN) y otro para el pblico y abierto de WLAN. Cada una de estas subredes es una en todo el campus de subred. Con esta solucin, un usuario inalmbrico puede vagar por todo el campus y nunca requiere el contrato de arrendamiento de una nueva direccin del servidor DHCP. En cada edificio, un puerto del switch en el conmutador de enrutamiento se conecta el punto de acceso que soporta el abrir la red. Un puerto de switch distinto conecta el punto de acceso compatible con el privado y seguro, red. Cada uno de estos puertos de conmutacin est en su propia VLAN. Otro VLAN se utiliza para los puertos que conectar los interruptores con cable y los usuarios dentro del edificio. Los puntos de acceso abiertos no estn configurados para WEP o autenticacin de direccin MAC, y es el SSID anunci en tramas de sealizacin para que los usuarios puedan asociar fcilmente con la WLAN. Para proteger el red del campus de los usuarios de la red WLAN abierta, los conmutadores de enrutamiento se configura con listas de acceso que hacia adelante slo unos pocos protocolos. Los paquetes enviados por los usuarios de la WLAN abierta a los puertos TCP 80 (HTTP), 25 (SMTP) y 110 (POP), y los puertos UDP 53 (DNS) y 67 (DHCP) estn permitidos. Todo el resto del trfico denegado. Algunos estudiantes y profesores queran soportar ms protocolos, pero el el departamento insisti en que, al menos por ahora, estos son los protocolos slo se admiten. Esto protege al de red de los problemas de seguridad y evita a los visitantes que utilizan demasiado ancho de banda para otros aplicaciones. Los puntos de acceso privados implementar caractersticas de seguridad mucho ms. El SSID es oculta y no anunci en tramas de sealizacin. A pesar de un usuario determinado todava poda descubrir el SSID, la eliminacin de los paquetes de baliza oculta para el usuario casual y evita confundir a los visitantes, quienes slo ven el SSID pblica. Los estudiantes, profesores y empleados que quieren utilizar la WLAN privada deben conocer el sector privado SSID y escriba en la herramienta de configuracin para los adaptadores inalmbricos.

Para proteger la privacidad de los datos que viaja a travs de la WLAN privadas, las mejoras se utilizan WEP en los puntos de acceso y clientes. Por ahora, los puntos de acceso y los clientes utilizan Wi-Fi Protected Access (WPA) las mejoras requeridas por la Alianza Wi-Fi, tales como el Protocolo de Integridad de Clave Temporal (TKIP). En el futuro, despus de IEEE 802.11i, ha sido ratificado, los mtodos ms rigurosos para el cifrado, como el Advanced Encryption Standard (AES), se puede utilizar. Vase el Captulo 8 para obtener ms informacin sobre opciones de seguridad inalmbrica. Los puntos de acceso privados tambin estn configurados para utilizar 801.1x extensible y ligero Protocolo de autenticacin (LEAP). Los usuarios de la WLAN privada debe tener un ID de usuario vlido y contrasea. Para llevar a cabo la autenticacin del usuario, el departamento compr un acceso seguro de Cisco Servidor de Control de la solucin del motor, que es un dedicado una unidad de rack (RU-un) dispositivo reforzado que opera como una autenticacin remota centralizada Dial-In User Service (RADIUS) para el usuario autenticacin. Ellos eligieron un aparato en vez de software para una plataforma de PC genrico para evitar la las vulnerabilidades de seguridad se encuentra en los tpicos sistemas operativos estndar de la industria. Adems el aparato es fiable y fcil de configurar y solucionar problemas. El departamento de TI tambin opt por un dispositivo de hardware dedicado para la gestin de la red inalmbrica. El departamento de CiscoWorks Wireless coloca una LAN Solution Engine (WLSE) en el centro de informtica. El motor permite a los administradores administrar de forma remota los puntos de acceso. El WLSE tambin es compatible con el descubrimiento de los puntos de acceso que los estudiantes o los profesores pueden instalar sin el permiso del departamento de TI. Puntos de acceso Aironet de Cisco y el cliente compatible con dispositivos se pueden degustar cada pocos segundos en un canal por canal para tramas de sealizacin compatible con ad-hoc de pcaros y de radio frecuencia (RF) las firmas que indican la presencia de camuflado los pcaros. El punto de acceso local recopila datos acerca de estas muestras y lo sube a la WLSE aparato. El software CiscoWorks WLSE compara los datos de la muestra con direcciones MAC vlidas para los conocidos puntos de acceso, y los informes de los posibles dispositivos no autorizados o de otro tipo (de 2,4 GHz interferencias en la red) y la localizacin aproximada del dispositivo (calculado por triangulacin) para el personal de TI.

Mejor rendimiento y seguridad para el borde de la red

Para solucionar los problemas con la utilizacin de la CPU de alta en el router de Internet, los diseadores optaron por romper adems las funciones de red de seguridad y el renvo de trfico. El router de Internet se centrar ahora en el renvo de trfico. Los administradores de reconfigurar el router con una lista simple de los filtros de acceso que proporcionan proteccin inicial de los intrusos, y le quitaron la funcionalidad NAT del router. En cambio, un Cisco PIX Security Appliance firewall se coloc en la topologa entre el router y el campus de la red. El servidor de seguridad PIX proporciona seguridad y NAT. El departamento de

TI eligi un servidor de seguridad PIX, debido a su factor de forma de dispositivo, su operativo reforzado sistema, y su apoyo a OSPF, NAT, filtrado de URL y filtrado de contenidos. El departamento IT tambin reconoci la importancia de la certificacin de la industria. El PIX Firewall tiene Comn Criterios de Evaluacin de Seguridad de Nivel 4 y el estado de Firewall de ICSA Labs y la certificacin IPSec. El departamento debe elegir un modelo de PIX Firewall que soporta mltiples interfaces Ethernet 10/100-Mbps. Por ahora, cuatro interfaces se utilizarn. La interfaz externa se conectar el router de Internet, dos dentro de las interfaces se conectar la red del campus, y la zona desmilitarizada (DMZ) de la interfaz se conectar el e-mail y servidor web. Para solucionar el problema de la utilizacin de alta en el enlace WAN a Internet y la alta incidencia de lanzamiento de paquetes, el enlace WAN fue remplazado con un enlace de 10 Mbps Metro Ethernet. El departamento descubri que algunos proveedores de servicios en el rea estaban dispuestos a traer a un enlace Ethernet de fibra monomodo en lugar de un protocolo WAN. El departamento de IT orden una interfaz de 10/100BASE-FX para el router y elegir un proveedor de servicios que ofrece una razonable cuota mensual y tiene una buena reputacin por su fiabilidad. Adems, el proveedor hace que sea fcil para sus clientes actualizar el ancho de banda. Por ejemplo, si la universidad decide que necesita un 100 -Mbps de enlace Ethernet, la universidad puede hacer una sola llamada telefnica al proveedor y el proveedor garantiza para hacer el cambio de ese da. El departamento de TI tambin tenerse en cuenta en la eleccin del proveedor el nivel de experiencia y el conocimiento de la instalacin y el personal de apoyo. En particular, los ingenieros de la red del proveedor tena muchas ideas prcticas para hacer frente a estos despidos para los diseos futuros de la red. La figura 9.10 muestra el nuevo diseo de la red del campus WVCC.
Figure 10-9. The Enhanced Network for WVCC

Futuras mejoras de la Red de Campus WVCC

El trabajo de un departamento de TI no se acaba nunca. Los administradores de red y estudiantes asistentes tiene muchos planes para la actualizacin de red siguiente. Su principal preocupacin en este momento es la disponibilidad. Aunque la red de malla jerrquica tiene cierta redundancia, hay muchos puntos nicos del fracaso. La disponibilidad de las aplicaciones puede verse afectado por cualquiera de estos puntos en quiebra. Se deja al lector para disear algunas soluciones a este problema.