CAPITULO 3

3. DISEÑO DE UNA INTERNETWORK

En este capí tul o nos concentraremos netamente en l a propuesta que
hacemos nosotros para l a red del CTS, y especí fi camente nos
basaremos en l a propuesta futura que el col egi o ti ene, ya que hacer
hi ncapi é en el di seño actual, resulta un tanto no funci onal .


3.1. DISEÑO EN LA CAPA 1.

3.1.1. Topología.
En cuanto a l a topol ogía adoptada por el CTS, nosotros estamos de
acuerdo con el l os ya que l a topol ogía en estrell a extendi da Fi gura 3.1,
bri nda escal abi l i dad y fl exi bi l i dad que necesita l a i nsti tuci ón.


Fi gura 3.1 Topol ogí a Estrel l a extendi da.

La topol ogí a de estrel l a extendi da es i deal para redes medi anas que se
desarrol lan rápi damente, las ventaj as por enci ma de l as otras
topol ogí as podemos deci r que son l as si guientes, fácil de diseñar e
i nstal ar, flexi bil idad y escal abi l i dad.



2
Cuando se necesite agregar más estaci ones de trabaj o, i mpresoras o
servi dores, sól o se debe conectar otro cable al di sposi ti vo central , que
puede ser un Hub o swi tch.

Otra ventaj a es que, si fal l a el enl ace permanente, no fal l ará toda l a
red. Si fal l a un cabl e, sól o se verá afectado el di sposi ti vo que esté en
el extremo de ese cable, el resto de la red seguirá funcionando.

Y por úl ti mo, el di agnósti co de probl emas es senci l l o, ya que l a fal l a
se puede i denti fi car con rapi dez. Sin embargo, l a desventaj a pri nci pal
de l a topol ogí a en estrel l a es su dependenci a del di sposi ti vo central ,
sea un swi tch o un Router. Si este di sposi ti vo fal l a, se verá afectada
toda la red.

Por las ventajas y desventaj as dadas anteri ormente deci di mos por
apl icar este diseño.



3.1.2. Cableado Vertical.
En cuanto al cabl eado verti cal , es necesario hacer l as si gui entes
sugerenci as:

 El cabl eado verti cal que conecta al MDF con el I DF, estamos de
acuerdo que su conexi ón sea medi ante fi bra ópti ca, debi do a l as
di stanci as que hay que cubri r, l as cual es sobrepasan l os 100
metros, además de l a vel oci dad soportada por este medi o que es
1Gbps en Fi bra monomodo con una escal abi l i dad a 10Gbps.
No se ha el egi do Fi bra mul ti modo debi do a que su tasa de
transferenci a soportada es de 100Mbps, l o cual l i mi tarí a l a red
en cuanto a Escal abi l i dad.



3
Porque se ha propuesto el enl ace de Fi bra a 1Gbps, debi do a que
el I DF tendrá en enl ace acti vo 8 swi tches de acceso, a l os que en
total se encontraran conectados 165 usuari os, y tomando en
cuenta el factor de escal abi l i dad de l a red al 20%, tendremos un
total de 198 usuari os, medi ante l a tecnologí a que se sugi ere
estarí amos asi gnando una tasa de transferenci a de 5Mbps, lo
cual es semej ante a l a tasa de transferenci a con l a que copi amos
l os datos desde un CD a l a computadora, que es muy bueno.


Fi gura 3.2. Cabl eado Verti cal Propuesto. (Anexo 17)

 Para el cabl eado verti cal entre el I DF y l os HCC, debemos tener
como mí ni mo, un medi o que soporte l as tasas de transferenci a
asi gnadas entre el MDF e I DF. Proponemos Cable UTP
Categorí a 6, el cual soporta hasta 1Gbps.
Con esto aseguramos qué, caso: para cada HCC del
departamento Admini strati vo, que ti ene una capaci dad para 48
cl i entes, en el caso más crí ti co cuando todos l os usuari os
transmi tan concurrentemente, todos el l os tendrán asi gnado una


4
tasa de transferencia de 21Mbps dentro del Edi fi ci o Anti guo y 5
Mbps hacia el edi fico nuevo si todos los usuarios del edi fi ci o
anti guo están transmi ti endo concurrentemente.

 Nosotros no estamos de acuerdo, con la propuesta del CTS que
se reuti l i ce el cabl eado del edi fici o anti guo Categoría 5e,
porque basándonos en l os mi smos cál cul os como en el caso
anteri or, con este medi o, que soporta 100Mbps, a l os 48
usuari os del departamento Admi ni strati vo, l e estarí amos
asi gnando una tasa de transferencia concurrente de 2Mbps, con
l o que se desperdiciaría l a tasa de transferencia asi gnada por
medi o del canal de Fi bra.
Lo que en una comparaci ón un tanto absurda haci a l a vida real ,
serí a, como construi r una pi sta de aterri zaj e para vuel os
i nternaci onal es, para dar permi sos de aterri zaje sol o a l as
avi onetas ul trali geras.

 La propuesta realizada por l os contactos del CTS para la
segunda pl anta del edi fi ci o anti guo es l a de col ocar dos swi tches
de 48 puertos, ubi cados ambos en el centro de computo, l os
mi smos que bri ndaran conexi ón a 57 usuari os, di stribui dos de l a
si gui ente forma: 1 swi tch de 48 puertos asignado al
departamento bi bli oteca pero ubicado fí si camente en el cuarto
de tel ecomuni caci ones del segundo pi so (Di stanci a aproxi mada
entre el l os 5mts). El swi tch 2 de 48 puertos será asi gnado a l os
l aboratori os 5 y 6 con 21 usuari os c/u (distanci a aproxi mada 30
mts).
Nuestra propuesta conll eva l a sigui ente; 2 swi tches, uno de
48puertos (l aboratori os) y el otro de 24 puertos (bi bl i oteca),
distri buidos en el l aboratori o 6 y en el centro de computo
respecti vamente, con l o cual evi tamos el tener que tender
demasi ados cabl es para conectar l os l aboratorios. Esto l o vimos
necesari o, debi do que todos l os usuari os se encuentran
concentrados en un espaci o no mayor de 64 mts
2
entre l os dos


5
l aboratorios y estos a su vez a una di stanci a de 30 mts del centro
de computo, entonces la facilidad de instal aci ón, di stri buci ón y
manteni mi ento del cabl eado, j usti fi ca nuestra propuesta.

Así mi smo, para l os Laboratori os de Si mul aci ón y Fí si ca, en
donde un swi tch de 48 puertos se encontrarí a en el Laboratori o
de Físi ca y real i zarí a l a distri buci ón l a Laboratori o de
Si mul aci ón que ti enen una di stancia aproxi mada de 15 metros.
El tender demasi ados cabl es para un sector de hosts concéntri cos
no serí a una buena i dea, proponemos el uso de dos swi tches de
24 puertos cada uno, ubicados en el l aboratori o de Si mul aci ón y
el de Física, en l ugar de un sol o swi tch de 48 puertos ubi cado
en el Laboratori o de Fí sica.

 En el di seño propuesto por el CTS, no se contempl o l os cambi o
fí si cos de l os departamentos de Secretari a y Admi ni strati vos que
se conectaban al switch en Secretarí a, en nuestra propuesta esto
no se al tera mucho, ya que sol o cambi amos al swi tch de
secretari a que era uno de 48 puertos, por uno de 24 que aun no
ti ene un uso defi ni do y todos l os usuari os que se conectaban
antes al l í , se trasl adan al swi tch que estaba en el Lab. de
quí mica para tomar el nombre de Departamentos
Admi ni strati vos.

 Con respecto al swi tch del Mari o Ri zzi ni , no exi sten cambi os.

 En l o que refiere al Edi fici o nuevo, no estamos de acuerdo con
l a di stri buci ón de l os equi pos, exi stan 2 Swi tch de 48 puertos
di stri bui dos desde el pri mero al tercer piso y uno en el cuarto
pi so. La di stri buci ón propuesta se encuentra sobre
di mensi onada, ya que en cada pi so tendrán un máxi mo de 60
Usuari os, y quedan 36 puertos si n uti l i zaci ón en espera del
creci mi ento de l a red.



6
Para esto proponemos l a si gui ente di stri buci ón.

1 switch de 48 puertos en la planta 1.
2 Swi tch de 48 puertos en l a planta 2.
3 Swi tch de 48 puertos en l a planta 3.
1 switch de 48 puertos en la planta 4.

Ponemos todos l os swi tch de 48 puertos, porque l a i nsti tuci ón
ti ene adquiri do l os equi pos, i ntentamos acomodarnos a su
si tuaci ón actual proponi endo l a mej or i mpl ementaci ón.
La di stri buci ón de puertos propuesto se real i zara de l a si gui ente
manera.
Pl anta 3 edi f i ci o
nuevo
Laboratori o P 3 21
Swi tch Laboratori o i ngl és
P3 21
Aul as P 3 8
Swi tch
Centro de cómputo 8
Access Poi nt P3 1
Admi ni stradores P3 8
Admi ni stradores P4 8
Sal a de sesi ones P4 1
Access Poi nt P4 1
Aul as P 4 8
Servi dores 16
Swi tch
DMZ 8
Pl anta 1 edi f i ci o
nuevo
Laboratori o pl anta
1 21 Swi tch
I ngl és 21
Pl anta 2 edi f i co
nuevo
Laboratori o pl anta
2 21 Swi tch
I ngl es 21
Aul as P2 8
Swi tch
Admi ni stradores P2 8
Psi copedagógi co 1
Access Poi nt P2 1
Aul as P1 8
Admi ni stradores P1 8


7
Access Poi nt P1 1
Pl anta 4 edi f i co
nuevo
Laboratori o P4 21
Swi tch
I ngl es P4 21
Tabl a 3.1 Di stri buci ón Usuari os Edi fi ci o Nuevo.

Nuestra propuesta impl i ca una nueva di stri buci ón de l os equi pos y
mej or uti l i zaci ón de l os di sposi ti vos ya adqui ri dos por el CTS.



3.2. DISEÑO EN LA CAPA 2.
3.2.1. Segmentación.

El concepto de segmentación en el CTS a ni vel de capa dos no puede
ser apl i cado porque l a i nsti tuci ón no ti ene Hub y l os swi tch dentro de
l a red son di sposi ti vos de conmutaci ón que el i mi nan este concepto.

Más aún dentro de l a capa 3, si se apl i ca el concepto de segmentaci ón
que l o detal l amos a conti nuaci ón.

Para el CTS, ocuparemos redes de ti po C. 192.168.0.0 en un rango de
192.168.255.255, en donde l os pri meros 3 octetos son de red teni endo
di sponi bl e 255 redes y el úl ti mo octeto de de host, teni endo 255 host
por cada red.

Dentro del CTS proponemos el segmentar toda l a red medi ante redes
cl ase C, y dentro de cada red realizar el SubNeti ng para abarcar los
host que necesi tamos.

Las redes 192.168.10.0 y 192.168.13.0 son l as redes que se propone
utilizar para los equipos de Laboratorios dentro de l a I nsti tuci ón.

192.168.1.0 Servi dores y l os Equi pos Acti vos de l a red.
192.168.2.0 Abarca La VLAN de Sistemas y l a de Admi nistradores


8
192.168.15.0 Ubi caremos el Col egi o Mari o Ri zzini.
192.168.20.0 Acceso Públ i co.

Si ocupamos dos redes para l os l aboratori os es porque con l a
segmentaci ón que se i mpl ementa no tenemos l as sufi ci entes subredes
para abarcar los laboratori os.
Pero si no tenemos sufici entes subredes porque no ponemos una red
ti po B se preguntarán; esto no l o hacemos por l as si gui entes
consi deraci ones.
Una red ti po B para l as subredes con 30 host que necesi tamos para
cada l aboratori o, nos da un total de 2046 subredes, de l as cual es
ocuparemos 15 subredes teni endo un desperdicio de subredes muy
grande. Al contrari o que tenemos uti l i zando una cl ase C en l a cual
para 30 host en cada subred tenemos 6 subredes, y entre l as 3 redes un
total de 18 subredes.
Otra consideraci ón importante es tener el mi smo direccionami ento I P
dentro de l a instituci ón para tener una mej or admi ni straci ón.

Con este di recci onami ento tenemos l a si gui ente segmentaci ón de la
red Fi gura 3.3.


9
RED COLEGIO TÉCNICO SALESIANO
192.168.10.0
Laboratorios EN
SubRed
1
SubRed
6
SubRed
5
SubRed
2
SubRed
3
SubRed
4
192.168.11.0
Laboratorios EN
SubRed
7
SubRed
12
SubRed
11
SubRed
8
SubRed
9
SubRed
10
192.168.13.0
Laboratorios EA
SubRed
19
SubRed
24
SubRed
23
SubRed
20
SubRed
21
SubRed
22
192.168.1.0
SubRed
1
Servidores
SubRed
2
Equipos Act
192.168.2.0
SubRed
1
Sistemas
SubRed
2
Admin
192.168.15.0
SubRed
1
Mario Rizzini
SubRed
2
192.168.20.0
SubRed
1
Wireless EN
SubRed
2
Aulas EN
192.168.12.0
Laboratorios EA
SubRed
13
SubRed
18
SubRed
17
SubRed
14
SubRed
15
SubRed
16
192.168.3.0
SubRed
1
VPN
SubRed
2
Admin

Fi gura 3.3 Segmentaci ón Capa 3. (Anexo 18)

3.2.2. Dominios de colisiones.

Debi do a que l a red del Colegi o Técni co Salesi ano, está di señada
úni camente con di sposi ti vos de capa dos en adel ante, y si recordamos
que estos di sposi ti vos segmentan l os domi ni os de colisiones grandes
en vari os pequeños, esto genera un ambi ente l i bre de col i si ones.

Aunque el swi tch bri nda esta ventaj a, exi ste un probl ema, que este
di sposi ti vo no es capaz de segmentar l os domi nios de di fusi ón, por l o
que l a Red conti nuara perteneci endo al mi smo domini o de di fusi ón.

Los swi tches di vi den l os domi ni os de col i si ón medi ante l a
mi crosegmentaci ón, que es l a concepci ón de que cada puerto del
swi tch será un segmento de red, por medi o de esta mi crosegmentaci ón
cada host es el úni co domi ni o de col i si ón exi stente.



10
La manera de l a el i mi naci ón de l os domi nios de colisi ón es mediante
l a conmutaci ón de paquetes, esto se pueden reali zar de l a si gui ente
manera:

 Mediante Al macenami ento y Enví o: es l a acci ón de al macenar l a
trama compl eta antes de que se real ice cual qui er ti po de enví o.
Se analizan las direcciones desti no y/u ori gen antes de enviar l a
trama, esto produce l atenci a, si el tamaño de l as tramas es
grande, el ni vel de latencia aumenta.

 Método de corte: El disposi ti vo de red (swi tch), l ee l a di recci ón
desti no antes de reci bir l a trama compl eta. Como en este
método, l a trama comi enza a ser envi ada antes de que esta
l l egue compl etamente, el ni vel de l atenci a de transmi si ón se
reduce, pero l a detecci ón de errores de conmutaci ón de l a LAN
no se real i za.


3.3. DISEÑO EN LA CAPA 3.
3.3.1. Direccionamiento Lógico.

Para el direccionami ento I P, escogi mos uti lizar una cl ase C.

Ubicación Descri pción
#
Usuarios
Red
Capaci dad
hasta
Pi so 1 EN
Laboratori o 1 20 192.168.10.32/27 30
Lab. I ngl es 1 20 192.168.10.64/27 30
Pi so 2 EN
Laboratori o 2 20 192.168.10.96/27 30
Lab I ngl es 2 20 192.168.10.128/27 30
Pi so 3 EN
Laboratorio 3 20 192.168.10.160/27 30
Lab. I ngl es 3 20 192.168.10.192/27 30
Si stemas 10 192.168.2.32/27 30
Servi dores 192.168.1.64/26 62


11
Equi pos Acti vos 192.168.1.128/26 62
DMZ 5 192.168.3.32 / 27 30
VPN 10 192.168.3.64 / 27 30
Pi so 4 EN
Laboratorio 4 20 192.168.11.32/27 30
Lab. I ngl es 4 20 192.168.11.64/27 30
Pi so 2 EA
Laboratorio 5 20 192.168.12.32/27 30
Laboratorio 6 20 192.168.12.64/27 30
Si mul aci ón 20 192.168.12.96/27 30
Neumáti ca 18 192.168.12.128/27 30
Bi bl i oteca 15 192.168.12.160/27 30
Pi so 3 EA
Audi ovi sual es
&
Manteni mi ento
10 192.168.12.192/27
30
Cosj Estudi anti l
& Cl ubes
20 192.168.12.224/27
30
Pi so 1 EA Mari o Rizzi ni 20 192.168.15.64/26 62
Vari os
Pi sos
Departamento
Admi ni stradores
41 192.168.2.64/26
62
Acceso
Wi reless
Estudi antes.
40 192.168.20.64/26
62
Aul as EN 36 192.168.20.128/26 62

Tabl a 3.2 Di recci onami ento I P.


3.3.2. Conmutación VLAN.

Definición de VLANS

Descri pci ón Red Vl an Permi sos
Laboratori o 1 192.168.10.32/27 21
-. Acceso I nternet
(Proxy Estudi antes).


12
-. Profesor Acceso a
todos los laboratori os.
-. Servi dor Ftp de
grupo.
Lab. I ngles 1 192.168.10.64/27 31
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos l os l aboratori os
I ngles.
-. Servi dor Ftp de
grupo.
Laboratori o 2 192.168.10.96/27 22
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos los laboratori os.
-. Servi dor Ftp de
grupo.
Lab I ngl es 2 192.168.10.128/27 32
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos l os l aboratori os
I ngles.
-. Servi dor Ftp de
grupo.
Laboratori o 3 192.168.10.160/27 23
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos los laboratori os.
-. Servi dor Ftp de
grupo.
Lab. I ngl es 3 192.168.10.192/27 33
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a


13
todos l os l aboratori os
I ngles.
-. Servi dor Ftp de
grupo.
Si stemas 192.168.2.32/27 13
-. Acceso a toda l a red
si n restri cci ones.
-. Admi ni straci ón de
equi pos Acti vos, y de
servi ci os en l a red.
Servi dores 192.168.1.64/26 10
-. Acceso a equi pos
admi ni stradores con
permi sos según sus
acti vi dades
Admi ni straci ón
Equi pos
Activos
192.168.1.128/26 11
-. Acceso a equi pos
admi ni stradores con
permi sos según sus
acti vi dades
Laboratori o 4 192.168.11.32/27 24
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos los laboratori os.
-. Servi dor Ftp de
grupo.
Lab. I ngles 4 192.168.11.64/27 34
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos l os l aboratori os
I ngles.
-. Servi dor Ftp de
grupo.
Laboratori o 5 192.168.12.32/27 25
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a


14
todos los laboratori os.
-. Acceso a servi dor
FTP de grupo
asi gnado.
Laboratori o 6 192.168.12.64/27 26
-. Acceso I nternet
(Proxy Estudi antes).
-. Profesor Acceso a
todos los laboratori os.
-. Acceso a servi dor
FTP de grupo
asi gnado.
Si mul aci ón 192.168.12.96/27 40
-. Acceso I nternet
(Proxy Estudi antes).
-. Acceso a servi dor
FTP de grupo
asi gnado.
Neumáti ca 192.168.12.128/27 41
-. Acceso I nternet
(Proxy Estudi antes).
-. Acceso a servi dor
FTP de grupo
asi gnado.
Bi bl i oteca 192.168.12.160/27 42
-. Acceso I nternet
(Proxy Estudi antes).
-. Bi bli otecari a acceso
permi ti do al servi dor
del si stema de manej o
bi bli otecari o.
Audi ovi sual es
&
Manteni mi ento
192.168.12.192/27 43
-. Acceso I nternet
(Proxy Estudi antes).
Consej o
Estudi anti l &
Cl ubes
192.168.13.32/27 44
-. Acceso I nternet
(Proxy Estudi antes).


15
Mari o Rizzi ni 192.168.15.64/26 50 -. Acceso a I nternet.
Departamento
Admi n.
192.168.2.64/26 12
-. Rector, Vi cerrector
y Di rector de
comuni dad, acceso a
todos los servi cios que
bri nda el col egi o
(Servidor Base de
datos, Apl i caci ones,
mai l).
Acceso
Wi reless
Estudi antes.
192.168.20.64/26 51
Acceso a I nternet
(Perfi l Proxy Acceso
Públ ico).
Aul as EN 192.168.20.128/26 52
Acceso a I nternet
(Perfi l Proxy Acceso
Públ ico).
VPN 192.168.3.32/27 14
Acceso a Servi dor de
MAI L, Si stema de l a
Uni versi dad
DMZ 192.168.3.64/27 15
Acceso Web,
publi caci ón de
servi ci os Mai l , WEB,
FTP.

Tabl a 3.3 Defi ni ci ón de VLANs.












16
3.3.3. ACL VLAN.

Las Access Control Li st son i nstrucci ones que se apl i can a una
i nterfaz, ya sea de un Router o en un swi tch capa 3, a sus puertos o a
sus i nterfaces vi rtual es VLANs, estas ACL i ndi can a l a i nterfaz que
ti po de paquetes se deben aceptar o se deben denegar. La aceptaci ón y
rechazo se puede basa en especi fi caci ones, como l a di recci ón ori gen,
dirección desti no, protocol o o número de puerto.
Las ACL nos ayudan a l a admi ni straci ón del tráfi co exami nando l os
paquetes y tomando l a deci si ón perti nente para cada paquete.
Existen 2 ti pos de ACL los estándares (1-99) y l as extendi das (100 -
199), l as pri meras se basan si mpl emente en di recci ón I P ori gen y
di recci ón I P desti no para tomar l a deci si ón en senti do más extenso l as
ACL extendi das a parte de la direcci ón ori gen y desti no, tambi én se
puede fi l trar el tráfi co por protocol o especí fi co.
En caso de nuestra propuesta, uti l i zaremos ACL extendi das para
control ar el tráfico a ni vel de protocolos.



17
Vl an Lab
Lab
I ng
WEB Mai l FTP
Base
Dat os
Apl i c
Serv
Vari os
Admi n Si s t
Equi pos
Act i vos
ACL
21-26  -  -  - - - - - -
* Permi ti r vl an 21-26 acceso
host vl an 10 protocol o Http
Proxy estudi antes.
* Permi ti r vl an 21-24 acceso
host protocol o ftp Estudi antes
Edi fi ci o Nuevo.
* Permi ti r vl an 25-26 acceso
host protocol o ftp Estudi antes
Edi fi ci o Anti guo.
* Permi ti r host vl an 21-26 PC
profesor acceso vl an 21-26
* Denegar todo.
31-34 -   -  - - - - - -
* Permi ti r vl an 31-34 acceso
host vl an 10 protocol o Http
Proxy estudi antes.
* Permi ti r vl an 31-34 acceso
host protocol o ftp Estudi antes
Edi fi ci o Nuevo.
* Permi ti r host vl an 31-34 PC
profesor acceso vl an 31-34
* Denegar todo.
40 –
42,44
- -  - - - - - - - -
* Permi ti r vl an 40-42,44
acceso host vl an 10 protocol o


18
Http Proxy estudi antes.
* Denegar todo.
13            * Permi ti r vl an 11 acceso any.
10   -
* Permi ti r vl an 10 acceso vl an
11 and vl an 12
11 - - - - -   -
* Permi ti r vl an 11 acceso vl an
11 and vl an 12
42 - -  - - - -  - - -
* Permi ti r vl an 42 acceso host
vl an 10 protocol o Http
servi dor Proxy estudi antes.
* Permi ti r vl an 42 acceso host
vl an 10 Servi dor apl i caci ón
Si stema Bi bl i oteca.
* Denegar todo.
12 - -      - - - -
* Permi ti r vl an 12 acceso host
vl an 10 protocol o Http
servi dor Proxy
admi ni stradores.
* Permi ti r vl an 12 acceso
hosts vl an 10 Servi dor Base
de datos, Servi dor de
apl i caci ones.
* Denegar Todo
14 - - -      - - -
* Permi ti r vl an 14 acceso host
vl an 10 servi dor de mai l , Base


19

Tabl a 3.4 Defi ni ci ón de ACLs.



de Datos, Apl i caci ones.
* Denegar Todo
15 - -  - - - - - - - -
* Permi ti r vl an 15 publ i caci ón
de servi ci os a I nternet.
* Denegar Todo
50 - -  - - - - - - - -
* Permi ti r vl an 50 acceso host
vl an 10 protocol o Http
Servi dor Proxy acceso
Públ i co.
* Denegar todo.
51 - -  - - - - - - - -
* Permi ti r vl an 51 acceso host
vl an 10 protocol o Http
Servi dor Proxy acceso
Públ i co.
* Denegar todo.
52 - -  - - - - - - - -
* Permi ti r vl an 52 acceso host
vl an 10 protocol o Http
Servi dor Proxy acceso
Públ i co.
* Denegar todo.


20
En la tabla de defini ci ón de ACL Tabl a 3.4 Defi nici ón de ACLs, bri ndamos
l os pri vil egi os a l os usuarios asi gnados a una VLAN y que se encuentran
dentro de un segmento de red l os pri vi l egi os de acceso a recursos dentro de
l a internetwork.

Las más i mportantes y como nueva propuesta al CTS se encuentra l a
creaci ón de una VLAN de VPN, l a cual bri ndará acceso a l os usuarios
remotos a servi cios como mail , y aplicaci ones dentro del CTS, esta VLAN
está di señada pri ncipal mente para los admi ni stradores de l a institución,
tambi én se encuentra proyectada para l as nuevas tendenci as como tel efonía
I P, donde un usuari o remoto conectándose a l a VPN, puede l evantar un
software que l e simul e a un tel éfono, que contendrá l a extensión asignada
por el CTS, y podrá contestar y realizar sus llamadas como si se encontrará
presente fí si camente dentro de l a i nsti tuci ón.


Dentro de l os puntos más i mportantes, tenemos l a defi nici ón de una VLAN
para l os servi dores de l a DMZ, qui enes serán l os que tengan los servi cios
que publicara l a institución como pági na web, mai l , y servici os que en
futuro adquieran.

Ese model o de publ i caci ón de servi ci os medi ante una DMZ (Zona
Desmi litari zada) le bri nda seguri dad, flexi bil idad a la internetwork con un
di seño de al to ni vel .









21
3.3.4. Dominio Broadcast.

Dentro del di seño, podemos observar un domi ni o de Broadcast General , el
pri mero con el Swi tch de Core que es un di sposi ti vo de capa 3 y el swi tch
de di stribuci ón del edi fici o anti guo que tambi én es un di spositivo de capa
3. Esto l o podemos Observar en la Fi gura 3.4.


Con un concepto de domi nio de broadcast con equipos de capa 3, tenemos el
ri esgo de que l a red crezca de una forma desmesurada y que nos provoque
demasi ada l atenci a y por ende problemas de vel oci dad en todo el domi ni o,
para esto hemos di seño la reducción de l os domi ni os de broadcast mediante
VLANs, que fueron defini das anteri ormente.




22

Fi gura 3.4. Broadcast General . (Anexo 19)


23

Fi gura 3.5. Broadcast por VLANS. (Anexo 20)


24
3.4. MAPAS
3.4. 1. Mapa de topología de capa OSI.

Topología Modelo
OSI
SWITCH CAPA 3
SWITCH CAPA 2
HOST, PC
CLIENTE
SERVIDOR
ACCESO
MDF
IDF
HCC
HCC
HCC
HCC
HCC
HCC
MDF
IDF
HCC
Main Distributor Frame
Marco de Distribución principal
Intermediate Distributor Frame
Marco de Distribucion Intermedia
Horizontal Cross Connect
Conexión del cable horizontal
Fibra
Monomodo
9/125
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 6
Full Dupl ex
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 6
Ful l Duplex
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 5E
Ful l Duplex
100 Mbps
UTP Cat 5E
Full Duplex
100 Mbps
UTP Cat 5E
Full Duplex
100 Mbps
UTP Cat 5E
Full Duplex
100 Mbps
UTP Cat 5E
Full Duplex
100 Mbps
UTP Cat 5E
Full Duplex
100 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
UTP Cat 6
Full Duplex
1000 Mbps
HCC
UTP Cat 5E
Full Duplex
100 Mbps
HCC

Fi gura 3.6. Mapa de Topol ogí a OSI . (Anexo 21)

Dentro del di seño de l a topol ogí a del Model o OSI , tenemos un MDF (Marco
de Di stri buci ón Pri nci pal ) que al mi smo ti empo tambi én es I DF (Marco de
Di stri buci ón I ntermedi a) para HCC (Conexi ón del cabl e Hori zontal) del
edi fici o nuevo.

Tambi én Tenemos un I DF en el edi ficio antiguo el cual también es HCC
para l os servidores de grupo que bri nda servici os a usuarios del edifi ci o
anti guo, como un servi dor FTP que es de uso l os profesores para l os
al umnos, este I DF es el qui en ti ene l a comuni caci ón con l os HCC.



25
Ti po de conexi ón fí si ca entre el MDF y el I DF l a real i zamos con fi bra
Monomodo porque l a di stanci a es mayor a 100 mts y para escal abi l i dad del
CTS con una veloci dad de 1000 Mbps, la conexi ón de todos los HCC la
real i zamos con CAT 6 con una vel oci dad de 1000 Mbps.

Los puntos fi nal es se comuni caran a l os swi tch de acceso con Cat 5e, a una
vel oci dad de 100 Mbps.

La escal abil i dad de l a red es pensando en:

 I mpl ementaci ón de Telefonía I P.

 Aulas Virtual es con Vi deo Conferencia, en la que un solo Profesor
pueda di ctar clases a 4 Laboratori os al mi smo ti empo.



3.4. 2. Mapa lógico de LAN.

El diagrama l ógi co es el model o de topol ogía de red si n todos l os detalles
de la ruta de i nstalación exacta del cableado. Es un mapa que nos indica la
ruta bási ca de una LAN.
Ti ene l as caracterí sti cas de l as ubi caci ones del MDF e I DF, ti po de cabl e
que se utili za para l a i nterconexi ón entre el los.




26
DIAGRAMA LOGICO
MDF
UBICACIÓN 3 PISO
EDIFICIO NUEVO
IDF
UBICACIÓN 2 PISO
ANTIGUO DEPARTAMENTO
DE SISTEMAS
FIBRA MONOMODO 9/125 DE 4 HILOS.
2 HILOS UTILIZADOS Y 2 DE BACKUP
VELOCIDAD 1000 MBPS
VELOCIDAD DE LA WAN
1384 Kbps
HCC
UBICADOS EN PISO 1,2,3,4
DEL EDIFICIO NUEVO
CABLE CAT 6
VELOCIDAD 1000 MBPS
HCC
UBICADOS EN PISO 1,2,3
DEL EDIFICIO ANTIGUO
CABLE CAT 6
VELOCIDAD 1000 MBPS

Fi gura 3.7. Di agrama Lógi co. (Anexo 22)


El cál cul o de l a vel ocidad WAN se real i zó como si gue a conti nuaci ón.

Laboratori o de l os Estudi antes, a l os que l es vamos a dar 2 Kbps por host
son 14 l aboratori os con 20 maqui nas cada uno; esto nos da un total de 560
Kbps.

Al área de admi ni straci ón con un total de 60 Usuari os a l os que vamos a
bri ndar 4 Kbps, nos bri nda un total de 240 Kbps.

Para el departamento de Si stemas, se asi gnara 5 Kbps por usuarios, este
cuenta con 20 usuari os l o que nos da un total de 100 Kbps así mi smo l os
servi dores con 4 Kbps cada uno para actual i zaci ones, son 10 Servi dores que
nos da un total de 40 Kbps.


27

Los Usuari os del Col egio Mario Rizzini se les otorgara 2 Kbps por host al
ser 20 usuari os nos bri nda un total de 40 Kbps.

El acceso públi co en el edi ficio nuevo contamos que sean 10 usuarios por
piso, bri ndándol es un acceso de 2 Kbps en 4 pi sos nos da un total de 80
Kbps.

La pági na web no ocupara más de 64Kbps tanto de i ngreso como de sal i das
de peti ci ones.

Esto nos bri nda un total de 1124 Kbps mas el 20% de creci mi ento
consi derado necesitamos 1349 Kbps de servi ci o al i nternet que debe ser
contratado.


3.4. 3. Mapa físico de la LAN.

Con el diagrama fí sico l o que i ntentamos representar, es l a ubicaci ón fí si ca
de l os equi pos, y que cabl e uti l i za para l a i nterconexi ón entre el l os, además
antiguamente se uti l i zaba este di seño para poder i ndi car al usuari o en donde
se encontraban los domi ni os de coli si ón, como se expli co anteri ormente en
una red total mente conmutada se elimi na el concepto de domi ni os de
col i si ón.

Esto lo podemos observar en l a Fi gura 3.9, donde todos l os equipos de
acceso serán swi tch de capa 2.



28
Diagrama Físico
CAT 6
3 PISO
CAT 6
4 PISO
CAT 6
2 PISO
CAT 6
1 PISO
VCC
FIBRA
MONOMODO
CAT 6
CAT 6
CAT 6
CAT 6
2 PISO
CAT 6
CAT 6
1 PISO
CAT 6
CAT 6
CAT 6
3 PISO
EDIFICIO ANTIGUO
EDIFICIO NUEVO

Fi gura 3.8. Di agrama Fí si co. (Anexo 23)









29
3.4. 4. Mapa lógico de VLAN.

Con el mapa lógi co de VLANs lo que descri bimos l a distri buci ón de las
VLANs dentro de la estructura físi ca, podemos observar que l as VLANs
Admi ni stradores, Si stemas, Aul as, Servi dores son l as que ti enen una
distri bución por todo el edi fi ci o.

Adi ci onal a esto creamos una VLAN para l a admi ni straci ón de equi pos
acti vos en l a red, esta l a creamos por l as si guientes razones; l os equi pos
acti vos vi enen por defaul t en l a VLAN 1, si conectamos un nuevo equi po a
un equipo de nuestra red automáti camente tendremos l os pri vi legi os de la
VLAN 1, por esta razón recomendamos deshabili tar l a VLAN por defaul t de
l os equipos acti vos y acti var l a VLAN de admi ni straci ón de Equi pos
Acti vos para su admini straci ón, así , si un puerto del switch no está
confi gurado en al guna VLAN automáti camente pertenecerán a la VLAN 1
que se encontrara deshabi l i tada, no tendrán acceso a l a red CTS.

Con esto apl i camos l os conceptos de seguri dad y admi ni stración de VLANs.
Todo esto l o podemos observar en l a Fi gura 3.10 y 3.11.



30
LOGICO VLANS EDIFICIO
NUEVO
3 PISO
4 PISO
2 PISO
1 PISO
SISTEMAS
SERVIDORES
ADMINISTRADORES
LABORATORIO 4
LAB INGLES 4
LABORATORIO 3
LAB INGLES 3
LABORATORIO 2
LAB INGLES 2
LABORATORIO 1
LAB INGLES 1
AULAS
Administración
Equipos Activos


Fi gura 3.9. Lógi co VLANs EN. (Anexo 24)



31
LOGICO VLANS EDIFICIO
VIEJO
2 PISO
3 PISO
1 PISO
SISTEMAS
SERVIDORES
ADMINISTRADORES
AUDIOVISUALES
NEUMATICA
SIMULACION
BIBLIOTECA
LABORATORIO 5
LABORATORIO 6
MARIO RIZZINI
Administración
Equipos Activos

Fi gura 3.10. Lógi co VLANs EA. (Anexo 25)



3.4. 5. Mapa lógico de Capa 3.

El Col egi o técni co sal esi ano, se encuentra en una sol a zona fí si ca, por l o
que el di recci onami ento de capa 3, es recomendabl e real i zarl o en l os swi tch
de capa 3, no exi ste conexi ón con siti os remotos.
En un futuro el CTS ti ene como proyecto l a expansi ón de conecti vi dad
hacia l a Uni versi dad Pol i técni ca Sal esi ana, pero esta serí a l a encargada de
l a confi guraci ón y admi ni straci ón del enl ace.





32

Fi gura 3.11. Enrutami ento. (Anexo 26)

Para el direccionami ento de capa tres, se deben crear Rutas estáti cas en el
I DF y en el MDF, para tener una conecti vi dad compl eta en toda l a red.

Además se debe tomar l as si gui entes consi deraci ones, como l a red
192.168.1.0 Servi dores y equi po acti vos y l a 192.168.2.0 Si stemas y
admi ni stradores se encuentran en l a mi sma VLAN y di stri bui dos por l os 2
edi fici os el momento que levantamos el puerto de enlace entre l os 2 switch
de capa 3, automáti camente se ven entre ellas y no necesitan de rutas para
su comuni caci ón.

Tambi én se debe tener muy presente el l evantar I nter VLAN Routi ng en l os
swi tch de capa 3 para que todas l as VLANs se vean entre si , y con l as ACL
li mi tamos el acceso y admi nistramos la conectividad y permi sos en la red.



33
Recomendamos ocupar protocol os de routi ng di námi co como OSPF o EI GRP
si es un equipo ci sco, con esto nos evi tarí amos si en un futuro se crea una
subred más o red, medi ante cual qui era de estos protocol os automáticamente
se actuali zan las tablas de ruteo, para bri ndar conecti vi dad.


3.4. 6. Mapas de direccionamiento IP.

Dentro del direccionami ento I P se aplica la Tabla 3.2 Di recci onami ento I P,
en la cual nos permi ti mos proponer l os siguientes puntos.

La definici ón de todo el direccionami ento I P se encontrara dentro de vari as
redes de ti pos C, como l o anali zamos anteri ormente, además de esto dentro
del diseño fi nal proponemos l a i mpl ementaci ón de un nuevo di seño para l a
red peri metral, en la cual contemplamos l as siguiente sugerencias.

I mpl ementar un equi po fi rewall para la seguri dad y publi cación de l os
servi cios de CTS, un I PS equipo detector de intrusos que protege el i ngreso
de posi bl es ataques a nuestra red basándose en firmas di gi tal es, o
al gori tmos de detecci ón de atacantes a l a red.

Un equi po controlador de ancho de banda, con este equi po podemos
determi nar l as redes dentro del CTS y asignar el canal de I nternet dedi cado
a cada segmento, y tener el control total de protocol os a los que doy
pri vil egios para utili zar mi canal de I nternet y aprovechar de mej or manera
l os recursos del CTS.





34
SD
ON
OFF Status 1/1 1/2
Inside Outside Console LINK LINK
Packet Shaper

Fi gura 3.12. Di recci onami ento I P. (Anexo 27)


35
3.4. 7. Mapa Jerárquico.
SD
ON OFF Status 1/1 1/2
Inside Outside Console LINK LINK
PacketShaper

Fi gura 3.13. Model o J erárqui co. (Anexo 28)


36
El model o j erárqui co propuesto en l a Fi gura 3.13, ti ene cl aramente
defini do sus capas, esto ayuda al admi ni strador a tener una mej or
admi ni stración y control de la red.

La capa de acceso no se mezcl a con l a capa de di stri buci ón, en caso
del core que se convi erte en di stri buci ón, por asunto de costos y
util izaci ón del 100% del equipo.


3.5. DEFINICIÓN DE EQUIPOS ACTIVOS.
En l a defini ci ón de l os equi pos acti vos estamos de acuerdo con l os
equi pos que a adquiri do el CTS, detall amos l as especifi caci ones
técni cas de cada uno de ellos.

3.5.1. Equipos de Acceso.

 Ci sco Catalyst 2960 Seri es
 Conecti vi dad Fast Ethernet and Gi gabi t
 Conecti vi dad Ethernet con servi ci os de LAN mej orado
 Confi guraci ón de equipos independiente.
 Switching en capa 2 y 4 de servicios.
 De 48 10/100/1000 y 24 puertos 10/100/100 WS-C2960-24TC-L
 Fuente de poder para protecci ón a fal los con fuente externa.

Los equi pos propuestos pueden ser equi pos de 48 0 24 puertos, con 4
puertos de capaci dad en 10/100/100, que son l os que uti l i zarí amos
para l a conexi ón con el I DF.

3.5.2. Equipos de Distribución.
 Swi tch de capa 3, 3560 de 24 puertos.
 24 puertos 10/100/1000
 Switch 1 uni dad de basti dor.
 4 puertos Gi gabi t Ethernet basados en SPF.


37
 Compati bl e con l a norma I EE 802.3af y l a norma prel i mi nar
de Ci sco.
 Base I P (24PS-S)
 Servi ci o I P (24PS-E)

Estos equi po es el i deal para el I DF en el edi ficio antiguo, tiene 4
puertos de Fi bra que serán l os que utilicemos para la conexión con el
Core.

3.5.3. Equipos de Backbone.
Swi tch de Core
 Ci sco Catalyst 4500 Seri es
 Pl ataforma modul ar medi a que ofrece servi ci os desde l a capa
2-a e i deal para negocios pequeños, medi anos.
 Trabaja en al ta disponi bili dad.
 Seguri dad 802.1x, Net Fl ow; Li sta de control de Acceso y
SSH.
 Puede ser admi ni strado por Ci scoWorks,CNA.
 Puertos de al ta disponi bili dad, di sponi bl e en Fast Ethernet o
Gi ga Ethernet con cobre o fibra con funcionali dad de PoE.

Este equi pos es modul ar, al que se l e puede agregar módul os de
servicios según las necesidades, en nuestro caso y modul o de 4 pares
de fi bra, y un modul o de 24 puertos 10/100/1000 FastEthernet.


Fi rewal l
 Para l a red del col egi o técni co sal esi ano recomendamos un
Ci sco Pi x 506E (100 usuari os con 3DES) Pi x-501-50-BUN-k9.
 Fi rewal l de i nspecci ón que conserva la informaci ón de estado
(Caudal de procesami ento de texto sencil lo a 10 Mbps).
 VPN I PSec DES de 56 bi ts (caudal de procesami ento de 6 Mbps)


38
 10 pares VPN si mul táneos de empl azami ento a empl azami ento
/acceso remoto.
 Detecci ón de I ntrusos.
 Swi tch 10/100 de 4 puertos.
 Pl ug and Pl ay, actual i zaci ón automáti ca y Easy VPN.
 Cl i ente VPN.

El equi po que proponemos de frontera tiene 4 puertos que son Zonas
de seguridad, y se pueden apl i car regl as entre estas zonas dando
fl exi bi l i dad en l a confi guraci ón, y un control total de l os accesos a l a
red.


Control ador de Ancho de Banda
Como equi po de control ador de ancho de banda proponemos, Packeteer
1700 con un canal de 2 Mbps.
Con este equi po el CTS, tendrá el control total sobre el canal de
i nternet, admi ni strando de mej or manera l os recursos y si endo más
ópti mos.


Equipo para detección de Intrusos
Como equi po de detección de i ntrusos proponemos el Ti ppi ngPoi nt 50,
que ti ene un Throughput 50 Mbps, con una l atenci a menor a 2 ms.
Este equi po ti ene un a 2 i nterfaces Fast Ethernet que funci onan en
modo bri dge.