Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
PORTADA
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA INFORMÁTICA
REESTRUCTURACIÓN Y DISEÑO DE LA RED DE DATOS DE CIESPAL
SEDE QUITO BASADO EN PARÁMETROS DE CALIDAD DE SERVICIO (QoS)
TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE
INGENIERA INFORMÁTICA
AUTOR:
GUAMANÍ PALOMINO MAYRA BELÉN
TUTOR:
ING. HERRERA FLORES BORIS ENRIQUE
QUITO - ECUADOR
2015
ii
DEDICATORIA
Dedico el presente trabajo de tesis a Dios por ser mi fortaleza y por guiar mi camino, y
a mi familia por su apoyo incondicional a lo largo de toda mi vida.
iii
AGRADECIMIENTO
Infinitas gracias a mi madre, por su amor, paciencia y dedicación sin ella no sería la
persona que hoy soy formada de carácter, principios y valores.
A mi padre, por su apoyo a lo largo de mi carrera estudiantil.
A mi hermano, que pese a la distancia me alentó para alcanzar este sueño.
A mi enamorado, por brindarme su apoyo en todo momento y por ser mi inspiración para
culminar esta difícil tarea.
A mi querida institución, la Universidad Central del Ecuador que me abrió las puertas y
me permitió crecer profesionalmente.
A mi tutor, Ing. Boris Herrera quien supo orientarme en el desarrollo de mi trabajo de
graduación y a mis revisores, Ing. Ramiro Ríos e Ing. Mario Morales por sus
conocimientos y experiencia que aportaron para la culminación del documento de tesis.
A mis amistades del cole, por sus palabras de aliento y sus consejos.
A mis amistades del deporte, por ser ejemplo de solidaridad y disciplina.
A mis amistades de la u, por estar en el momento oportuno.
iv
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL
Yo, GUAMANÍ PALOMINO MAYRA BELÉN en calidad de autor del trabajo de
tesis: REESTRUCTURACIÓN Y DISEÑO DE LA RED DE DATOS DE CIESPAL
SEDE QUITO BASADO EN PARÁMETROS DE CALIDAD DE SERVICIO (QoS),
por la presente autorizo a la UNIVERSIDAD CENTRAL DEL ECUADOR, hacer
uso de todos los contenidos que me pertenecen o de parte del que contiene esta
obra, con fines estrictamente académicos o de investigación.
Los derechos que como autor me corresponden, con excepción de la presente
autorización, seguirán vigentes a mi favor, de conformidad con lo establecido en
los artículos 5, 6, 8, 19 y demás pertinentes de la ley de la Propiedad Intelectual
y su Reglamento.
En la ciudad de Quito, a los 08 días del mes de Mayo del 2015
Mayra Belén Guamaní Palomino
CC. 1718000860
v
CERTIFICACIÓN
En calidad de Tutor del proyecto de Investigación: REESTRUCTURACIÓN Y
DISEÑO DE LA RED DE DATOS DE CIESPAL SEDE QUITO BASADO EN
PARÁMETROS DE CALIDAD DE SERVICIO (QoS) presentado y desarrollado
por la Srta. Guamaní Palomino Mayra Belén, previo a la obtención del Título de
Ingeniera Informática, considero que el proyecto reúne los requisitos necesarios.
En la ciudad de Quito, a los 24 días del mes de Febrero de 2015
…………………………….
Ing. Boris Enrique Herrera Flores
TUTOR
ix
CONTENIDO
PORTADA............................................................................................................. i
DEDICATORIA .................................................................................................... ii
AGRADECIMIENTO ........................................................................................... iii
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL ........................................... iv
CERTIFICACIÓN ................................................................................................. v
INFORME DE CULMINACIÓN ........................................................................... vi
NOTIFICACIÓN AL TRIBUNAL ......................................................................... vii
CALIFICACIÓN DEL TRIBUNAL ...................................................................... viii
CONTENIDO ...................................................................................................... ix
LISTA DE TABLAS ............................................................................................ xv
LISTA DE GRÁFICOS ...................................................................................... xvi
RESUMEN ........................................................................................................ xxi
ABSTRACT ...................................................................................................... xxii
CERTIFICADO DE TRADUCCIÓN ................................................................. xxiii
TÍTULO DEL TRADUCTOR ............................................................................ xxiv
INTRODUCCIÓN ................................................................................................ 1
CAPÍTULO 1 ....................................................................................................... 2
1. PRESENTACIÓN DEL PROBLEMA ............................................................ 2
1.1. Planteamiento del Problema .................................................................. 2
1.2. Formulación del Problema ..................................................................... 2
1.3. Interrogantes de la Investigación ........................................................... 3
1.3.1. Interrogante Principal ...................................................................... 3
1.3.2. Interrogantes Secundarios .............................................................. 3
1.4. Objetivos de la Investigación ................................................................. 4
1.4.1. Objetivo General ............................................................................. 4
1.4.2. Objetivos Específicos ...................................................................... 4
1.5. Justificación ........................................................................................... 4
CAPÍTULO 2 ....................................................................................................... 6
2. REVISIÓN BIBLIOGRÁFICA ........................................................................ 6
2.1. Antecedentes ......................................................................................... 6
2.2. Fundamentación Teórica ....................................................................... 6
2.3. Principios de las Redes ......................................................................... 6
x
2.3.1. ¿Qué es una red? ........................................................................... 6
2.3.2. Componentes de una Red Local ..................................................... 6
2.3.3. Topologías de red ......................................................................... 12
2.3.4. Topología física de la red ............................................................. 12
2.3.5. Topología lógica de la red ............................................................. 14
2.3.6. Redes de Área Local Virtuales: VLAN ........................................... 15
2.3.7. VTP (VLAN Trunking Protocol) ..................................................... 15
2.3.8. Red DMZ (zona desmilitarizada) ................................................... 15
2.4. Calidad de Servicio (QoS) ................................................................... 16
2.4.1. Definición ...................................................................................... 16
2.4.2. Clase de Servicio (CoS) ................................................................ 16
2.4.3. Precedencia IP .............................................................................. 17
2.4.4. Tipo de Servicio (ToS) ................................................................... 17
2.4.5. Parámetros de Calidad de Servicio (QoS) .................................... 18
2.4.6. ¿Por qué usar IP QoS? ................................................................. 21
2.4.7. Conjunto de herramientas de QoS ................................................ 21
2.4.8. Requerimientos de aplicación con SLA ......................................... 23
2.5. Mecanismos de QoS............................................................................ 25
2.5.1. Clasificación .................................................................................. 25
2.5.2. Marcado ........................................................................................ 27
2.5.3. Vigilancia y Medición ..................................................................... 28
2.5.4. Encolamiento, Programación, Moldeado y Caída ......................... 29
2.6. Arquitecturas de IP QoS ...................................................................... 33
2.6.1. Arquitectura de Servicios Integrados ............................................. 33
2.6.2. Arquitectura de Servicios Diferenciados ........................................ 34
2.6.3. Arquitectura IPv6 QoS ................................................................... 36
2.6.4. Arquitectura MPLS QoS ................................................................ 36
2.7. Seguridad ............................................................................................ 36
2.7.1. Definición ...................................................................................... 36
2.7.2. Seguridad Física ........................................................................... 38
2.7.3. Seguridad Lógica .......................................................................... 39
CAPÍTULO 3 ..................................................................................................... 40
3. MARCO METODOLÓGICO ....................................................................... 40
3.1. Enfoque ............................................................................................... 40
xi
3.2. Modalidad de la Investigación .............................................................. 40
3.2.1. Investigación de Campo ................................................................ 40
3.3. Nivel de Investigación .......................................................................... 40
3.4. Técnicas e Instrumentos de Investigación ........................................... 41
3.5. Análisis de la organización CIESPAL .................................................. 41
3.5.1. Descripción ................................................................................... 41
3.5.2. Organigrama ................................................................................. 42
3.5.3. Departamento de Tecnologías de la Información .......................... 42
3.6. Descripción de la red de comunicaciones............................................ 42
3.6.1. Infraestructura ............................................................................... 42
3.6.2. Esquema actual de la red de datos ............................................... 44
3.6.3. Esquema de los equipos de red por pisos .................................... 45
3.6.4. Planos actuales del cableado de red............................................. 45
3.6.5. Enlaces con el ISP ........................................................................ 45
3.6.6. Cableado de Red .......................................................................... 46
3.6.7. Equipos de Red ............................................................................. 47
3.6.8. Equipos de Computación .............................................................. 47
3.6.9. Servidores ..................................................................................... 48
3.6.10. Servicios y Aplicaciones............................................................. 50
3.6.11. Direccionamiento IP ................................................................... 51
3.6.12. Seguridad Física y Lógica .......................................................... 52
3.6.13. Diagnóstico de Red .................................................................... 52
3.6.14. Conclusiones del análisis de la red actual ................................. 59
CAPÍTULO 4 ..................................................................................................... 60
4. PROPUESTA PARA LA RED CIESPAL..................................................... 60
4.1. Requerimientos de la nueva red del CIESPAL .................................... 60
4.1.1. Criterios Generales para la implantación ...................................... 60
4.1.2. Requerimiento de usuarios ........................................................... 60
4.1.3. Acceso a internet........................................................................... 61
4.1.4. Requerimiento de aplicaciones ..................................................... 62
4.1.5. Aplicaciones de misión crítica ....................................................... 68
4.2. Diseño de la nueva red de datos ......................................................... 68
4.2.1. Marco abierto para diseño y gestión de red .................................. 68
4.2.2. Sistema de Cableado Estructurado ............................................... 70
xii
4.2.3. Selección del cableado y acceso a internet .................................. 71
4.2.4. Centro de Datos ............................................................................ 71
4.2.5. Equipos de Conexión de Red ........................................................ 73
4.2.6. Características técnicas de los equipos para la red ...................... 74
4.2.7. Diseño Físico ................................................................................ 77
4.2.8. Asignación de Vlan’s ..................................................................... 78
4.2.9. Direccionamiento IP y ruteo .......................................................... 78
4.2.10. Planos del diseño de la nueva red ............................................. 79
4.2.11. Diseño Lógico ............................................................................ 80
4.3. Características de la Red Inalámbrica ................................................. 81
4.3.1. Usuarios en la red inalámbrica ...................................................... 81
4.3.2. Compatibilidad de equipos en la red inalámbrica .......................... 81
4.3.3. Seguridad en la red inalámbrica .................................................... 82
4.4. Entorno de red para la herramienta de seguridad y QoS .................... 82
4.5. Herramienta open source con calidad de servicio ............................... 83
4.5.1. Comparativa de herramientas que ofrecen QoS .............................. 83
4.6. Solución que brinda la herramienta Zentyal ......................................... 85
4.6.1. Diseño de Zentyal ......................................................................... 85
4.6.2. Componentes de software libre ..................................................... 86
4.6.3. Ciclo de vida .................................................................................. 86
4.6.4. Módulos de Zentyal ....................................................................... 87
4.6.5. Requerimientos de hardware ........................................................ 87
4.7. Guía de instalación del Zentyal ............................................................ 88
4.7.1. Método de instalación ................................................................... 88
4.7.2. Selección del idioma ..................................................................... 89
4.7.3. Selección de tipo de instalación .................................................... 90
4.7.4. Selección de ubicación .................................................................. 91
4.7.5. Configuración del teclado .............................................................. 92
4.7.6. Configuración de red ..................................................................... 95
4.7.7. Configuración de usuarios y contraseñas ..................................... 97
4.7.8. Configuración del reloj ................................................................. 100
4.7.9. Instalación del sistema base ....................................................... 101
4.7.10. Interfaz web de logueo ............................................................. 103
4.7.11. Configuración de inicio ............................................................. 103
xiii
4.7.12. Interfaz web de administración ................................................ 107
4.8. Pruebas de seguridad y QoS con Zentyal ......................................... 108
4.8.1. Hardware y software de pruebas................................................. 108
4.8.2. Configuración del sistema ........................................................... 108
4.8.3. Pruebas de implementación de seguridades .............................. 108
4.8.4. Pruebas de calidad de servicio ................................................... 111
4.8.5. Resultados de las pruebas de calidad de servicio ...................... 114
4.8.6. Implementación del sistema en la organización .......................... 115
CAPÍTULO 5 ................................................................................................... 116
5. CONCLUSIONES Y RECOMENDACIONES ........................................... 116
MARCO DE REFERENCIA............................................................................. 118
ANEXO A: Organigrama del CIESPAL ........................................................... 118
ANEXO B: Planos actuales de la red .............................................................. 119
ANEXO C: Herramienta Procaster para streaming de video .......................... 130
ANEXO D: Herramienta Radio On-line ........................................................... 133
ANEXO E: Planos nuevo diseño de red .......................................................... 135
ANEXO F: Configuración de zentyal ............................................................... 146
F.1. Perfil Core ................................................................................................ 147
F.1.1. Dashboard ......................................................................................... 147
F.1.2. Estado de los Módulos ...................................................................... 150
F.1.3. Sistema ............................................................................................. 151
F.1.3.1. Configuración General ................................................................ 151
F.1.3.2. Copia de seguridad ..................................................................... 152
F.1.3.3. Importar/exportar configuración .................................................. 154
F.1.3.4. Apagar o Reiniciar ....................................................................... 155
F.1.4. Red .................................................................................................... 155
F.1.4.1. Interfaces .................................................................................... 155
F.1.4.2. Puertas de enlace ....................................................................... 157
F.1.4.3. DNS ............................................................................................. 158
F.1.4.4. Objetos ........................................................................................ 159
F.1.4.5. Servicios ...................................................................................... 160
F.1.4.6. Herramientas ............................................................................... 161
F.1.4.7. Monitor de ancho de banda ......................................................... 162
F.1.5. Mantenimiento ................................................................................... 163
xiv
F.1.5.1. Monitorización ............................................................................. 163
F.1.5.2. Registros ..................................................................................... 164
F.1.5.3. Eventos ....................................................................................... 168
F.1.5.4. Uso de disco ............................................................................... 168
F.1.6. Gestión de Software .......................................................................... 169
F.1.6.1. Componentes de zentyal ............................................................. 169
F.1.6.2. Actualizaciones del sistema ........................................................ 170
F.1.6.3. Actualizaciones automáticas de software .................................... 170
F.2. Perfil Gateway ......................................................................................... 171
F.2.1. Moldeado de Tráfico .......................................................................... 171
F.2.1.1. Protocolos de aplicación ............................................................. 171
F.2.1.2. Reglas ......................................................................................... 172
F.2.1.3. Tasas de interfaz ......................................................................... 173
F.2.2. Sistema de Detección/Prevención de Intrusos .................................. 174
F.2.3. Cortafuegos ....................................................................................... 175
F.2.3.1. Filtrado de paquetes .................................................................... 175
F.2.3.2. Redirecciones de puertos ............................................................ 179
F.3. Infraestructura .......................................................................................... 181
F.3.1. DHCP ................................................................................................ 181
F.3.2. DNS ................................................................................................... 184
F.3.3. Autoridad de certificación .................................................................. 185
F.3.3.1. General ....................................................................................... 185
F.3.3.2. Certificados para los servicios ..................................................... 185
F.4. Perfil Oficina ............................................................................................ 186
F.4.1. Antivirus ............................................................................................. 186
ANEXO G: Glosario de Términos ................................................................... 187
BIBLIOGRAFÍA ............................................................................................... 191
xv
LISTA DE TABLAS
Tabla 1. Requerimientos de aplicaciones para QoS……………………………...25
Tabla 2. Puntos de Red………………………………………………………………46
Tabla 3. Equipos de Red…………………………………………………………….47
Tabla 4. Equipos de Computación………………………………………………….48
Tabla 5. Servidores…………………………………………………………………...49
Tabla 6. Parámetros de QoS día normal 6Mbps…………………………….……58
Tabla 7. Parámetros de QoS día evento 6Mbps…………….…………………….58
Tabla 8. Requerimiento de usuarios nueva red…………………………………...61
Tabla 9. Códecs VoIP………………………………………………………………..66
Tabla 10. Cantidad de equipos de red nuevos…………………………………….73
Tabla 11. Características técnicas para nuevos equipos de red………………..74
Tabla 12. Asignación de Vlan’s……………………………………………………..78
Tabla 13. Direccionamiento IP privado……………………………………………..78
Tabla 14. Direccionamiento IP público……………………………………………..79
Tabla 15. Comparativa de herramientas con QoS………………………………..84
Tabla 16. Ciclo de vida versiones de Zentyal……………………………………...86
Tabla 17. Requerimientos de hardware para Zentyal…………………………….88
Tabla 18. Priorización de tráfico en aplicaciones del CIESPAL…………….....112
Tabla 19. Resultados de parámetros de QoS en la nueva red………………...114
xvi
LISTA DE GRÁFICOS
Gráfico 1. Topología de bus…………………………………………………………12
Gráfico 2. Topología de anillo……………………………………………………….12
Gráfico 3. Topología de estrella……………………………………………………..13
Gráfico 4. Topología de estrella extendida………………………………...………13
Gráfico 5. Topología jerárquica……………………………………………………..14
Gráfico 6. Topología de malla……………………………………………………….14
Gráfico 7. Cabecera de paquete IP…………………………………………………17
Gráfico 8. Evolución del octeto de tipo de servicio………………………………..18
Gráfico 9. Funciones de QoS del plano de control y datos………………………22
Gráfico 10. Diagrama de le red actual…………………………………………...…44
Gráfico 11. Diagrama de equipos de red por pisos………………………..……...45
Gráfico 12. Promedio porcentaje de paquetes por protocolo en la red……..…53
Gráfico 13. Promedio porcentaje de paquetes por aplicación en la red...……...54
Gráfico 14. Coloración de paquetes Wireshark…………….……………………..55
Gráfico 15. Interfaz Gráfica Wireshark……………………………………….…….56
Gráfico 16. Interfaz Gráfica VE Network Catcher…………………………………57
Gráfico 17. Acceso a internet por día y mes…………………………………..…..62
Gráfico 18. Arquitectura SONA Cisco………………………………………………69
Gráfico 19. Diagrama de los equipos y cableado de la nueva red………………74
Gráfico 20. Diagrama físico de la nueva red………………………………………77
Gráfico 21. Diagrama lógico de la nueva red……………………………………...80
Gráfico 22. Entorno de red para la herramienta de QoS…………………………83
Gráfico 23. Ciclo de vida zentyal……………………………………………………87
Gráfico 24. Selección del idioma……………………………………………………89
Gráfico 25. Selección del tipo de instalación………………………………………90
Gráfico 26. Selección de ubicación…………………………………………………91
xvii
Gráfico 27. Disposición del teclado…………………………………………………92
Gráfico 28. Origen del idioma del teclado………………………………………….93
Gráfico 29. Distribución del teclado…………………………………………………94
Gráfico 30. Configuración de tarjetas de red………………………………………95
Gráfico 31. Creación del nombre de la máquina………………………………….96
Gráfico 32. Creación del nombre de usuario…………………………...………….97
Gráfico 33. Creación de contraseña………………………………………………..98
Gráfico 34. Verificación de contraseña……………………………………………..99
Gráfico 35. Configuración del reloj……………………………………………...…100
Gráfico 36. Instalación del sistema base…………………………………………101
Gráfico 37. Instalación del sistema base terminada…………………………….102
Gráfico 38. Interfaz web de logueo………………………………………………..103
Gráfico 39. Configuración de inicio………………………………………………..104
Gráfico 40. Resumen paquetes seleccionados……………………………….…105
Gráfico 41. Progreso de instalación de paquetes……………………………..…106
Gráfico 42. Instalación de paquetes completada……………………………..…107
Gráfico 43. Interfaz web de administración………………………………………107
Gráfico 44. Ping desde zentyal a dmz…………………………………………….109
Gráfico 45. Ping desde lan hacia dmz….…………………………………………109
Gráfico 46. Ping desde zentyal a lan……………………………………………...110
Gráfico 47. Acceso servidor web de dmz desde lan…………………………….110
Gráfico 48. Acceso servidor web lan desde dmz………………………………..111
Gráfico 49. Interfaz gráfica de carga y descarga de uTorrent………………….113
Gráfico 50. Velocidad de carga y descarga de uTorrent………………………..113
Gráfico 51. Catálogo de descargas……………………………………………….114
Anexos
Gráfico 52. Organigrama CIESPAL…………………………………………….....118
xviii
Gráfico 53. Piso Mezzanine………………………………………………………..120
Gráfico 54. Piso Auditorio…………………………………………………………..121
Gráfico 55. Piso Salas de Capacitación…………………………………………..122
Gráfico 56. Planta baja……………………………………………………………..123
Gráfico 57. Primer piso del CAM…………………………………………………..124
Gráfico 58. Segundo piso del CAM………………………………………………..125
Gráfico 59. Primer piso edificio principal….………………………………………126
Gráfico 60. Segundo piso edificio principal……………………………………….127
Gráfico 61. Tercer piso edificio principal…………………………………….……128
Gráfico 62. Terraza edificio principal……………...………………………………129
Gráfico 63. Pantalla inicial Procaster………………………………………...……130
Gráfico 64. Preferencias de Procaster……………………………………………131
Gráfico 65. Configuración de video Procaster.……………………..……………131
Gráfico 66. Configuración de audio Procaster...…………………………………132
Gráfico 67. Interfaz inicial para radio online……………………………………...133
Gráfico 68. Configuración de stream…………..………………………………….134
Gráfico 69. Configuración de grabación………..…………………………………134
Gráfico 70. Piso Mezzanine nueva red………..………………………………….136
Gráfico 71. Piso Auditorio nueva red………..…………………………………….137
Gráfico 72. Piso Salas de Capacitación nueva red………..…………………….138
Gráfico 73. Planta baja nueva red………..……………………………………….139
Gráfico 74. Primer piso del CAM nueva red………..…………………………….140
Gráfico 75. Segundo piso del CAM nueva red………..………………………….141
Gráfico 76. Primer piso edificio principal nueva red………..……………………142
Gráfico 77. Segundo piso edificio principal nueva red………..………………...143
Gráfico 78. Tercer piso edificio principal nueva red………..……………………144
Gráfico 79. Terraza edificio principal nueva red………..………………………..145
xix
Gráfico 80. Menú lateral izquierdo………..……………………………………….146
Gráfico 81. Menú superior………..………………………………………………...147
Gráfico 82. Contenido principal………..…………………………………………..147
Gráfico 83. Configuración widgets………..……………………………………….148
Gráfico 84. Pantalla dashboard………..…………………………………………..149
Gráfico 85. Estado de módulos………..…………………………………………..150
Gráfico 86. Configuración general del sistema………..………………………....151
Gráfico 87. Copia de seguridad………..……………………………………….….152
Gráfico 88. Importar/exportar configuración………..…………………………….154
Gráfico 89. Apagar o reiniciar sistema………..……….………………………….155
Gráfico 90. Interfaces de red………..……………………………….…………….156
Gráfico 91. Puertas de enlace………..…………………………………………....157
Gráfico 92. Traductor de DNS………..…………………………………………....158
Gráfico 93. Lista de objetos de red………..………………………………...…….159
Gráfico 94. Miembros de los objetos de red………..…………………………….159
Gráfico 95. Lista de servicios de red………..…………………………………….160
Gráfico 96. Servicios de red………..…………………………………………..….161
Gráfico 97. Herramientas de diagnóstico de red………..……………………….161
Gráfico 98. Monitor de ancho de banda………..………………………………...162
Gráfico 99. Configuración de interfaces de ancho de banda………..…………162
Gráfico 100. Monitorización de recursos………..………………………………..163
Gráfico 101. Consulta de registros……..…………………………………….…...164
Gráfico 102. Informe completo de registros……..…………………………….....165
Gráfico 103. Informe resumido de registros………..…………………………….166
Gráfico 104. Configuración de los registros………..…………………………….167
Gráfico 105. Configuración de eventos………..………………………………….168
Gráfico 106. Uso de disco………..…………………………………………..…….168
xx
Gráfico 107. Componentes de zentyal………..………………….……………….169
Gráfico 108. Actualizaciones del sistema………..……………………………….170
Gráfico 109. Actualizaciones automáticas del sistema………..………………..170
Gráfico 110. Grupos de servicios basados en aplicación………..……….…….171
Gráfico 111. Reglas de moldeado de tráfico………..………………………...….172
Gráfico 112. Tasas de interfaz………..……………………………………………173
Gráfico 113. Configuración de interfaces en IDS/IPS………..………………….174
Gráfico 114. Reglas en IDS/IPS………..………………………………………….174
Gráfico 115. Filtrado de paquetes………..…………………………….………….175
Gráfico 116. Filtrado de redes internas a zentyal………..………………………176
Gráfico 117. Filtrado de rede internas………..…………………………………...177
Gráfico 118. Filtrado de redes externas hacia zentyal………..………………...178
Gráfico 119. Filtrado del tráfico saliente de zentyal………..………………...….179
Gráfico 120. Redirección de puertos………..…………………………………….180
Gráfico 121. Configuración de interfaces de DHCP………..…………………...181
Gráfico 122. Opciones personalizadas………..………………………………….182
Gráfico 123. Opciones avanzadas………..……………………………………….183
Gráfico 124. Configuración de DNS………..……………………………………..184
Gráfico 125. Configuración de certificados de autorización………..…………..185
Gráfico 126. Lista de los certificados para servicios………..…………………...185
Gráfico 127. Configuración general de NTP………..…………………………....186
Gráfico 128. Información antivirus………..………………………..………..…….186
xxi
RESUMEN
REESTRUCTURACIÓN Y DISEÑO DE LA RED DE DATOS DE CIESPAL SEDE
QUITO BASADO EN PARÁMETROS DE CALIDAD DE SERVICIO (QoS)
En el CIESPAL se ha requerido del cambio de la estructura de red, ya que hace
años atrás se ha mantenido con hardware que ha terminado su vida útil y la falta
de administración en la red de datos ha involucrado congestión en la navegación
sobre la intranet ocasionando pérdidas de información y disponibilidad en la
intranet donde se encuentran alojados los servidores y aplicaciones críticas que
la institución utiliza; siendo todo esto un factor de riesgo que ha involucrado
vulnerabilidades en la red. Para ello se ha determinado en este proyecto un
análisis que constituye la solución a la problemática mediante la realización de
un diseño de red para comunicaciones convergentes que incluye una
infraestructura confiable, escalable y disponible para tratar el intercambio de
información hacia redes interna y externas, facilitando el despliegue de servicios
tecnológicos hacia los usuarios finales. Para evitar problemas de retardo, jitter,
pérdida de paquetes, disponibilidad y rendimiento en la red se ha determinado
acuerdos de nivel de servicio (SLA’s) que optimicen el ancho de banda de la red
priorizando los distintos flujos de tráfico en aplicaciones de voz, video y datos
para usuarios fijos y eventuales de la organización, brindando así calidad de
servicio (QoS) a través de una herramienta open source que implemente
adicionalmente la seguridad en los servicios de la infraestructura tecnológica.
DESCRIPTORES: ANÁLISIS DE RED DE DATOS / CALIDAD DE SERVICIO EN
LA RED / ZENTYAL / PRIORIZACIÓN DE SERVICIOS DE RED / DISEÑO DE
RED DE COMUNICACIONES /
xxii
ABSTRACT
QUITO-CIESPAL’S DATA NETWORK RE-ESTRUCTURATION AND DESIGN
BASED ON QoS PARAMETERS
In CIESPAL it has been required the change of the network structure since years
ago, it has been supported with hardware that has finished its useful life, and the
lack of administration in the network of information has involved congestion in the
navigation on the intranet causing losses of information and availability in the
intranet where there are lodged the servers and critical applications that the
institution uses; being a factor of risk that has involved vulnerabilities in the
network. For this reason it has determined in this project an analysis that
constitutes the solution to the problematic through the accomplishment of a
design of a network for convergent communications that includes a reliable,
scalable and available infrastructure to treat the exchange of information carrying
out the deployment of technology services to final users. In order to avoid delay
problems, jitter, loss of packages, availability and performance in the network, it
has determined level agreements of service (SLA's) to optimize the bandwidth of
the network, prioritizing the different streams of traffic in applications of voice,
video and data information for fixed and eventual users of the organization,
offering quality of service (QoS) through an open tool source that implements
additional safety of the technological infrastructure services.
DESCRIPTORS: DATA NETWORK ANALYSIS / QUALITY OF SERVICE ON
THE NETWORK / ZENTYAL / PRIORITIES FOR NETWORK SERVICES /
COMMUNICATIONS NETWORK DESIGN
1
INTRODUCCIÓN
Las redes de comunicaciones en la actualidad son un pilar importante en la
tecnología de cualquier empresa, organización o institución.
Para ello se debe considerar la realización de un diseño de red inteligente que
implique una infraestructura escalable y robusta, y a su vez centralizar los
servicios y aplicaciones que funcionan en la institución.
Este proyecto también se enfocará en proporcionar calidad de servicio en la red
a través de los servicios de voz, video, datos priorizando el tipo de datos.
Además para realizar el análisis de la situación actual de la red del CIESPAL se
utilizará herramientas que permitan monitorizar el tráfico en el canal de acceso a
internet y medir los parámetros de QoS.
También se presentarán las características técnicas de los equipos de red, una
herramienta que provea QoS y las respectivas pruebas y la inclusión de
seguridades en la red de datos.
2
CAPÍTULO 1
1. PRESENTACIÓN DEL PROBLEMA
1.1. Planteamiento del Problema
En la actualidad la red de datos del CIESPAL Quito se encuentra en una difícil
tarea ya que no cuenta con una estructura organizada de la misma, es decir, no
existe una topología de red acorde a las características funcionales de la
organización ni de los recursos que se manejan en la intranet hacia los diferentes
departamentos que la constituyen. El CIESPAL se dedica a la formación y
posicionamiento de la comunicación social mediante proyectos de investigación,
seminarios, conferencias, eventos culturales, talleres, cursos de formación
profesional, donde hacen uso del acceso a internet el personal interno y aquel
que alquila las instalaciones de la institución. Debido al crecimiento de usuarios
se produce saturación en la red, ocasionando retardo en las comunicaciones de
los equipos terminales.
Además la administración de red se vuelve tediosa porque su estructura ya que
se encuentra en un único segmento de red y los servicios de voz, video y datos
que a diario maneja la organización no cuenta con calidad de servicio.
1.2. Formulación del Problema
En la red de comunicaciones de la organización requiere una reestructuración a
nivel de la LAN1 y acceso a internet, para esto se creará un nuevo diseño que
vaya acorde a las características de la institución y los servicios que ofrece.
Dentro de las características de la organización está:
- Es una organización líder en promover la comunicación social democrática
en el país y en América Latina.
1 LAN.- Local Area Network
3
- Produce conocimientos sobre la comunicación y el periodismo aportando
al pensamiento latinoamericano.
Entre los servicios que el CIESPAL ofrece está:
- Cursos y talleres de formación y capacitación dirigidos al área de
comunicación.
- Realización de proyectos, asesoría, investigación y publicaciones de
carácter cultural.
- Alquiler de locales y equipos para el desarrollo de eventos de carácter
cultural, como conferencias y entrevistas.
Debido a las distintas necesidades de comunicación, requerirá de una
administración de ancho de banda que provea QoS2, además que la red de
comunicaciones del CIESPAL maneja aplicaciones y servicios como: correo
institucional, D-Space, Página web institucional, Skype y webinar para
videoconferencia, compartición de archivos (FTP3), transmisión de audio y video
en vivo.
1.3. Interrogantes de la Investigación
1.3.1. Interrogante Principal
¿Cómo determinar la estructura de red adecuada que se adapte a las
necesidades funcionales de los departamentos del CIESPAL?
1.3.2. Interrogantes Secundarios
¿Cómo determinar los requerimientos de la infraestructura de red actual para en
lo posterior hacer el cambio de la misma?
2 QoS.- Quality of Service 3 FTP.- File Transfer Protocol
4
¿Cómo definir la herramienta de software libre idónea que incluya calidad de
servicio (QoS) que se adapte a la red de comunicaciones para realizar un control
adecuado de la misma?
¿Qué pruebas se realizarán para ofrecer calidad de servicio en la red de datos
de la organización a través de la herramienta de software libre?
¿Qué elementos de seguridad serán necesarios para mejorar la red de
comunicaciones del CIESPAL?
¿Cuáles serán las características técnicas de los equipos de red para la nueva
red?
1.4. Objetivos de la Investigación
1.4.1. Objetivo General
Reestructurar y diseñar la red de datos del CIESPAL sede Quito basado en
parámetros de calidad de servicio QoS.
1.4.2. Objetivos Específicos
Realizar un estudio de la estructura de red actual para saber las
necesidades y ofrecer un diseño acorde a los requerimientos tecnológicos
de la organización.
Definir una herramienta de Software Libre que maneje calidad de servicio
(QoS).
Ejecutar pruebas con la herramienta seleccionada de QoS.
Implementar elementos de seguridad a la red.
Definir las características técnicas de los equipos necesarios para la red
de comunicaciones.
1.5. Justificación
En las nuevas generaciones las redes desempeñan un papel muy importante
dentro de las tecnologías de la información, ya que sin su ayuda las
5
comunicaciones serían no fiables y con demora. Para esto se plantea un
ambiente en el cual la red corporativa de la organización se encuentre estable
para el consumo de las diferentes estaciones de trabajo, y que la conectividad
entre los equipos o dispositivos terminales sea versátil y eficiente.
En el CIESPAL se utiliza a diario el acceso a internet a través de tecnología
alámbrica e inalámbrica donde se requiere de un rediseño de su topología ya que
todos los usuarios pertenecen a una red no diferenciada, lo que ocasiona lentitud
en la transmisión de datos. Además, cualquier equipo conectado al internet se
puede infectar de virus o gusanos ya que no dispone de un firewall actualizado
que como tal verifique los paquetes de ingreso y salida de la información. En el
CIESPAL se realizan innumerables eventos que hacen uso de la red de
comunicaciones siendo conveniente realizar pruebas con un sistema que provea
un control de la calidad de servicio en base a su ancho de banda, retardo,
rendimiento para que las actividades de video, voz y datos fluyan aprovechando
al máximo los recursos.
Se destaca que la reestructuración de red se definirá en base a una parte física
y otra lógica, en la primera se va a organizar el equipamiento y los respectivos
enlaces para cada departamento, en la segunda se determinará los protocolos
que se usan como un lenguaje común en la comunicación, siendo el diseño de la
topología el que se fundamentará en lo anterior y en los recursos que la
organización tiene para realizar la conectividad.
Como propósito de mantener la calidad del servicio en la red del CIESPAL se
dispondrá de un aplicativo para controlar el canal de comunicación priorizando el
tráfico de aplicaciones o servicios y así mejorar el rendimiento de la red.
La información acerca de la situación actual de la red se recolectará mediante la
comunicación oral y escrita con el personal encargado de la administración de
red del CIESPAL y con personal que tenga información adicional. Se empleará
información digital para el análisis conjuntamente con la revisión física de las
instalaciones de la organización.
6
CAPÍTULO 2
2. REVISIÓN BIBLIOGRÁFICA
2.1. Antecedentes
El Departamento de Tecnologías del CIESPAL con Sede en Quito fue creado con
el fin de brindar soporte tecnológico en redes, hardware, software y en el
desarrollo de proyectos tecnológicos.
El Coordinador de Tecnologías ha visto el desarrollo creciente en el negocio de
la organización y está consciente que la red necesita un cambio hacia nuevas
tecnologías y una organización en la que se facilite la atención y el soporte.
2.2. Fundamentación Teórica
El presente trabajo de investigación tiene como fundamento en su estructuración
el diseño de red y ejecución de un aplicativo para mantener el control de la calidad
de servicio, principios de diseño de redes, mecanismos de gestión de tráfico en
la red, parámetros de (QoS). Para el levantamiento de información a través del
diagnóstico de red durante un tiempo determinado. De forma paralela se
obtendrán datos de la situación actual, se analizará y probará la aplicación en la
red del CIESPAL.
2.3. Principios de las Redes
2.3.1. ¿Qué es una red?
Una red es un conjunto de computadoras (ordenadores) conectadas mediante
algún medio (cables o inalámbrico) que les permita comunicarse e intercambiar
información entre sí.
2.3.2. Componentes de una Red Local
7
Equipos terminales
Los equipos terminales son los dispositivos que empiezan o terminan una
conversación en la red. Son aquellos que emiten o receptan la información.
Se conectan de forma directa a un segmento de la red y se denominan hosts.
Este nombre se utiliza genéricamente y lo constituyen:
Computadoras, como clientes o servidores.
Periféricos, como impresoras o escáneres.
Otros dispositivos, como dispositivos móviles, etc.
Servicios y Protocolos
Un servicio es una utilidad que proporciona un host que puede ser un servidor al
resto de dispositivos de la red que son los clientes y un protocolo es el conjunto
de normas o criterios que permiten la comunicación entre los diversos
dispositivos de la red.
Existen múltiples servicios de red y los más comunes son:
DHCP (Dynamic Host Configuration Protocol): Es un protocolo que
asigna una dirección IP4 a los clientes de la red de manera automática.
DNS (Domain Name System): Es un protocolo que traduce las
direcciones IP a nombres determinados, de esta forma es más fácil
encontrar dichos nombres en internet.
FTP (File Transfer Protocol): Es un protocolo orientado a la conexión que
permite mover archivos de una computadora a otra. Funciona bajo el
modelo cliente-servidor, es decir, que el cliente FTP solicitará los datos, y
el servidor FTP responderá y enviará los datos.
SMTP (Simple Mail Transfer Protocol): Es un protocolo que participa en
el intercambio de correo electrónico entre computadores.
4 IP.- Internet Protocol
8
SNMP (Simple Network Management Protocol): Es un protocolo de la
capa de aplicación utilizado para gestionar y controlar la información que
generan los dispositivos de red.
ARP (Address Resolution Protocol): Es responsable de resolver la
dirección IP a la dirección de hardware (MAC5) del destino.
ICMP (Internet Control Message Protocol): Es utilizado por los
dispositivos para enviar una notificación de errores mediante mensajes
entre sí, indicando por ejemplo que algún servicio no se encuentra
disponible.
Hoy en día no sólo los servidores proporcionan los servicios, también existen
otros equipos que también incorporan servicios determinados, como los routers:
Cuando el servicio es proporcionado por un servidor, el resto de
ordenadores que reciben dicho servicio se denominan clientes, entonces
se determina que la arquitectura de red es cliente-servidor. Es por ello que
dicha arquitectura sigue un modelo jerárquico donde el servidor es el
componente más importante.
Cuando todos los ordenadores de la red pueden dar y recibir servicios
entre unos y otros, la arquitectura que siguen es la que se conoce como
arquitectura de igual a igual o P2P (peer to peer) y en este modelo no
existe una jerarquía determinada, aquí todos los equipos tienen el mismo
nivel de importancia.
Medios de transmisión
Un medio de transmisión es el canal a través del cual transmiten los paquetes de
datos que constituyen la información que viaja por la red.
Entre los medios de transmisión que se han ido desarrollando a través del tiempo
se tienen:
5 MAC.- Media Access Control
9
Cable telefónico: este cable es ampliamente utilizado para enviar
información digital.
Cable coaxial: es un cable de cobre blindado que evita interferencias
electromagnéticas.
Cable UTP6: es un cable compuesto por cuatro pares de cobre
entrelazados y no son apantallados.
Cable STP7: es parecido al UTP, pero con mayor blindaje contra
interferencias.
Fibra óptica: son delgadas fibras de vidrio que transportan luz a modo de
información.
Y para la comunicación inalámbrica se determina que la información se envía a
través del aire.
Elementos de conexión
Los elementos de conexión son los dispositivos físicos por donde se realiza la
conectividad con la red.
Tarjeta de red: La tarjeta de red es la encargada de realizar las funciones
de conexión entre el dispositivo que queremos conectar a la red
(impresora, computador) y la red de comunicaciones. También es
conocida como NIC8 y, en su interior está constituida por un conjunto de
circuitos que permiten interpretar las señales que viajan por los medios
como bits de información.
Conectores: Los conectores se definen como los elementos donde
termina la conexión del cable. Al existir diferentes tipos de cable, los
conectores necesitarán de tarjetas de red que las soporten.
Algunos de los conectores más utilizados son los siguientes:
6 UTP.- Unshielded Twisted Pair 7 STP.- Shielded Twisted Pair 8 NIC.- Network Interface Card
10
Los cables UTP utilizan un conector llamado RJ-459 y los STP uno
llamado RJ-4910.
Los cables de tipo coaxial utilizan un conector que recibe el nombre de
BNC (bayonet neill-concelman).
Los tipos de conectores para el cable de fibra óptica son muy variados
dependiendo del tipo de red que se tenga. Los conectores más usados
son:
o El conector FC11, usado para la transmisión de datos y
telecomunicaciones.
o El conector FDDI12, que se usa para redes de fibra óptica en
forma de anillo.
o El conector LC13, considerado un conector óptico de cuarta
generación para transmisiones de alta velocidad.
Antenas: Las antenas se utilizan para implementar redes inalámbricas.
Entonces, tanto las tarjetas de red como los elementos intermedios
poseen antenas en vez de conectores machos o hembras. Hay dos tipos
básicos de antenas: las omnidireccionales, que tienen la capacidad de
emitir en todas las direcciones del espacio, y las direccionales, que emiten
en una sola dirección.
Equipos Intermedios
Los equipos intermedios son nodos de una red local que aparecen colocados
entre los equipos terminales y la conexión de estos a Internet. Estos equipos
tienen funciones desarrolladas como: repetición de las señales de red,
9 RJ-45.- Registered Jack 45 10 RJ-49.- Registered Jack 49 11 FC.- Ferrule Connector 12 FDDI.- Fiber Distributed Data Interface 13 LC.- Lucent Connector
11
enrutamiento de paquetes entre redes distintas y la concentración de los
dispositivos de red.
Concentradores o hubs: Son dispositivos que conectan varios equipos
terminales y su función principal es regenerar la señal de transmisión hacia
todos los nodos a los que están conectados, es por ello que la calidad de
la señal se va perdiendo en función de la distancia de la conexión. El
mayor inconveniente de los hubs es que la red se ve como segmento único
y si varios equipos transmiten al mismo tiempo se producen colisiones.
Puentes o bridges: Son dispositivos capaces de dividir la red en dos
segmentos, de tal manera que los paquetes de un segmento A no
colisionen con los del segmento B.
Conmutadores o switches: Son dispositivos que tienen la capacidad de
dividir la red en varios segmentos como puertos posea el switch. Al existir
tantos segmentos de red no se producen colisiones en el envío de
paquetes.
Enrutadores o routers: Se utilizan para dirigir y distribuir el tráfico de la
red, y se emplean cuando se tienen que unir varias LAN haciendo que
paquetes transmitidos sigan unas rutas determinadas para llegar a su
destino.
Cortafuegos o firewall: Es un dispositivo encargado de gestionar la
seguridad de la red. Se le denomina cortafuegos cuando actúa como
dispositivo intermedio y es como un router que tiene la capacidad de
analizar el tráfico que se transmite por la red y permite decidir si acepta o
rechaza los paquetes de información que provienen del exterior de la red
como para los que van desde el interior al exterior.
Módem: Es un dispositivo que se utiliza para enviar señales de datos
informáticos a través de cables de teléfono. Dicha transmisión se realiza
por un método que se denomina modulación-demodulación de la señal.
12
2.3.3. Topologías de red
La topología de la red está definida por su estructura, es decir, de que dispositivos
está compuesta la red, mediante qué elementos se comunican.
2.3.4. Topología física de la red
Describe cómo están dispuestos en la red los medios de transmisión. Las
topologías físicas más utilizadas son:
Topología de bus: utiliza un único canal de comunicaciones donde todos
los equipos se conectan entre sí.
Gráfico 1. Topología de bus Autor: Tesista
Fuente: Internet
Topología de anillo: conecta cada equipo con el siguiente y el último con
el primero, es decir, que realizan el paso de la señal a la siguiente estación.
Gráfico 2. Topología de anillo
Autor: Tesista Fuente: Internet
Topología de estrella: conecta los medios de transmisión de cada equipo
a un único punto central. Este punto central suele ser un hub o un switch.
13
Gráfico 3. Topología de estrella Autor: Tesista
Fuente: Internet
Topología de estrella extendida: Es la unión de varias redes con
topología de estrella. Es así que todas las redes de estrella irán unidas a
un punto central que reunirá dichas conexiones.
Gráfico 4. Topología de estrella extendida Autor: Tesista
Fuente: Internet
Topología jerárquica: Está formada por varias redes en forma de estrella
conectadas entre sí y ordenadas de forma jerárquica. Es una topología
colocada en forma de árbol donde un switch crea una ramificación con el
resto de nodos.
14
Gráfico 5. Topología jerárquica Autor: Tesista
Fuente: Internet
Topología de malla: su estructura se forma cuando cada nodo de la red
está conectado a todos los demás nodos. Así los paquetes se pueden
enviar de un punto a otro por múltiples caminos.
Gráfico 6. Topología de malla Autor: Tesista
Fuente: Internet
2.3.5. Topología lógica de la red
Describe la forma en que se comunican los equipos de red. Los dos tipos de
topologías lógicas más comunes son la topología de bus y el uso de testigos.
La topología de bus lógico es la que tiene una implementación sencilla. Un
ordenador de la red envía sus datos hacia todos los demás ordenadores.
Todos los nodos de la red miran los datos que circulan por el canal y cada
equipo se encuentra en escucha de la red por lo que si nadie lo está
utilizando entonces se apodera y transmite. Este sistema puede provocar
colisiones de paquetes cuando dos equipos escuchan y transmiten al
mismo tiempo en la red.
15
Es el tipo de transmisión mediante el uso de testigos (también llamado
token), el equipo que tiene el testigo en un momento dado es el que puede
transmitir datos a través de la red. Entonces, el testigo va pasando entre
los diferentes equipos de la red, si un equipo no desea transmitir en el
momento que posee el testigo, lo pasa a otro equipo y así sucesivamente.
En esta clase de topología no existen colisiones de envío de datos, ya que
solamente el equipo que tenga el testigo podrá transmitir los datos en un
momento determinado.
2.3.6. Redes de Área Local Virtuales: VLAN
Una LAN virtual, o VLAN14, es la manera de crear una red lógica de dispositivos
o de usuarios. Cada agrupación de vlan funciona por un canal distinto, es decir,
que no podrán compartir la información de las demás, sino únicamente aquellas
que pertenezcan al departamento del cual forman parte o la aplicación que
utilizan, por ejemplo.
2.3.7. VTP (VLAN Trunking Protocol)
Es un protocolo de mensajes de capa 2 que mediante la tecnología de cisco
permite centralizar la administración en un dominio de Vlan’s, realizando la
creación, modificación o eliminación de las mismas siendo el que se encuentre
en modo servidor aquel que pueda realizar dichas acciones, mientras el cliente
se sincronizará la información que recibirá del servidor.
2.3.8. Red DMZ (zona desmilitarizada)
Es un tipo de red que se crea con la finalidad de apartar lo servicios o recursos
de red como los servidores de web, correo electrónico, DNS. Se denomina
también zona desmilitarizada porque se tendrá que proteger de las
vulnerabilidades del internet mediante un firewall, en las conexiones del interior
14 VLAN.- Virtual Local Area Network
16
hacia el exterior y viceversa, estarán sujetas a reglas para permitir o denegar la
conectividad.
2.4. Calidad de Servicio (QoS)
2.4.1. Definición
Calidad de Servicio (QoS) es el término utilizado para definir la capacidad de una
red para proporcionar diferentes acuerdos de nivel de servicio garantizando las
diversas formas de tráfico. Permite a los administradores de red asignar cierta
prioridad de tráfico sobre los demás o los niveles reales de calidad con respecto
al ancho de banda de la red. QoS se utiliza para proporcionar servicios
asegurados a aplicaciones críticas.
Para un servicio IP, el servicio que recibe el tráfico IP se mide mediante
indicadores de calidad; las métricas o parámetros más importantes para la
definición de rendimiento de los servicios IP son:
Latencia o Retardo
Variación del retardo o retraso-jitter
Pérdida de paquetes
Ancho de Banda y Rendimiento
Disponibilidad del servicio
Preservación de secuencia por flujo.
2.4.2. Clase de Servicio (CoS)
Además de ser utilizado de forma intercambiable con calidad de servicio, clase
de servicio se usa para referirse a las capacidades de calidad de servicio en la
capa 2 proporcionadas por Ethernet o ATM15.
Por lo tanto, para evitar confusiones, se utiliza el término "clases de servicio" para
referirse a la clasificación de un flujo de tráfico agregado en una serie de clases
15 ATM.- Asynchronous Transfer Mode
17
constituyentes, donde se aplicarán diferentes acciones para cada individuo "clase
de servicio".
2.4.3. Precedencia IP
El uso de la precedencia IP sólo se define en el RFC16 791, que define la noción
de precedencia como "una medida independiente de la importancia de este
datagrama." RFC 791 define un número de denominaciones de tráfico, indica el
tráfico de red de control, el tráfico de enrutamiento, y varios niveles de privilegio
y un esquema de marcación asociado con el campo de precedencia con el fin de
ser capaz de identificar a los que pertenece un paquete de denominación
particular. Los bits del campo de precedencia no tienen ningún significado
individual, sino más bien el valor de campo se toma como un todo para determinar
la "prioridad IP" de un paquete en particular; por lo tanto, ya que hay tres bits de
precedencia, hay ocho valores de precedencia IP diferentes.
Gráfico 7. Cabecera de paquete IP Autor: Tesista
Fuente: Internet
2.4.4. Tipo de Servicio (ToS)
Utilizamos el término "tipo de servicio" para referirse específicamente al uso del
octeto de Tipo de Servicio en la cabecera del paquete IPv417.
La definición del tipo de servicio de campo se desarrolló a través de RFC 791,
RFC 1122, RFC 1349 y RFC 1349 ofrece la definición más reciente y completa.
16 RFC.- Request for Comments 17 IPv4.- Internet Protocol versión 4
18
RFC 1349 define un esquema utilizando el campo TOS de 4 bits (bits 3 al 6 del
tipo del octeto de servicio) para indicar en cada paquete del servicio que se
requiere de la red. Por lo tanto, el marcado de un paquete de TOS se utiliza para
determinar qué camino deberán tomar los paquetes a través de la red.
Gráfico 8. Evolución del octeto de tipo de servicio
Autor: Tesista Fuente: Libro “Deploying IP and MPLS QoS for Multiservice Networks”
2.4.5. Parámetros de Calidad de Servicio (QoS)
Latencia o Retardo
Los niveles de servicio se definen generalmente en términos de retardo en un
sentido para aplicaciones no adaptativas (inelástica) de tiempo crítico como
VoIP18 y video, y en términos de retardo de ida y vuelta o de ida y vuelta del
18 VoIP.- Voice over Internet Protocol
19
tiempo (RTT19) para aplicaciones adaptativas (elásticas), como los que utilizan el
Protocolo de Control de Transmisión (TCP20) [RFC793]. Retardo en un sentido
caracteriza la diferencia de tiempo entre la recepción de un paquete IP en un
punto de ingreso de red definido y su transmisión en un punto de salida de red
definida.
Variación del retardo o retraso-jitter
Jitter se considera generalmente que es la variación del retardo unidireccional
para dos paquetes consecutivos, tal como se define en [RFC3393] en el IETF21.
En la práctica, sin embargo, la fluctuación de fase también puede ser medida
como la variación de retraso con respecto a alguna métrica de referencia, tales
como retraso medio o retraso mínimo. Es fundamental que el jitter se refiere al
retardo en un sentido.
Pérdida de paquetes
La pérdida de paquetes caracteriza porque un paquete enviado desde un punto
de entrada a la red se considera perdido si no llega a un punto de salida de red
especificada dentro de un período de tiempo definido.
Ancho de Banda
Dentro del contexto de la creación de redes el término "ancho de banda" que
originalmente se utiliza para describir una amplia gama de frecuencias
electromagnéticas, potencialmente puede tener un número de diferentes
significados con respecto a la capacidad de un enlace, red o servicio para el
transporte de tráfico y datos. Por lo tanto, para evitar confusiones definimos
algunos términos más específicos:
Capacidad de Enlace. La capacidad de un enlace es una medida de la
cantidad de bits por segundo que un enlace puede transportar; la
19 RTT.- Round-Trip delay Time 20 TCP.- Transmission Control protocol 21 IETF.- Internet Ingineering Task Force
20
capacidad de enlace debe ser considerado tanto en la capa 2 y en la
capa 3.
Capacidad de clase. Cuando se utilizan mecanismos de QoS, un flujo
de tráfico agregado se puede clasificar en un número de clases
constituyentes, y diferentes garantías de calidad de servicio puede
proporcionarse a diferentes clases dentro del agregado. Cuando una
clase tiene una garantía de ancho de banda mínimo definido, esto se
conoce como la capacidad de la clase, y también puede ser conocido
como el ancho de banda de la clase.
Capacidad del camino. Capacidad del camino es la capacidad mínima
del enlace en un camino entre un punto de ingreso de red definido y
una red definida.
Rendimiento
Es una medida de la velocidad de los datos de una sola conexión desde el origen
al destino. Está limitado por la capacidad del trayecto y por factores de la
congestión de red.
Disponibilidad del servicio
La disponibilidad del servicio se define como la fracción de tiempo que el servicio
está disponible entre un punto de entrada especificado y un punto de salida
especificada dentro de los límites de las otros parámetros de calidad de servicio
definidos, por ejemplo, retardo, jitter y pérdida. La disponibilidad del servicio se
puede definir en una de dos maneras: o bien se puede definir
independientemente de disponibilidad de la red, en cuyo caso la disponibilidad
del servicio no puede exceder la disponibilidad de la red, o puede ser definido
como aplicable sólo cuando la red se considera disponible. La disponibilidad del
servicio puede abarcar rendimiento de las aplicaciones, así como rendimiento de
la red.
21
Preservación de secuencia por flujo.
IP no garantiza que los paquetes se entregan en el orden en que fueron enviados.
Según se define en el IETF por [RFC4737], si los paquetes en un flujo fueron
numerados secuencialmente en el orden en el que fueron enviados, un paquete
que llegó con un número de secuencia más pequeña que la de su predecesor se
definiría como fuera del orden, o reordenados.
2.4.6. ¿Por qué usar IP QoS?
Las principales razones para utilizar IP QOS se derivan del hecho de que IP es
la tecnología de capa de red de extremo a extremo utilizado por la gran mayoría
de las aplicaciones de hoy en día. Sumado a esto QOS es una disciplina de
extremo a extremo donde el servicio que una clase particular de tráfico recibe
está limitado por el elemento en el camino de extremo a extremo que ofrece el
peor servicio. Por lo tanto, con el fin de proporcionar un bajo retardo, baja jitter y
el servicio de baja pérdida (maximizando así la satisfacción del usuario) de la red
debe estar diseñado para eliminar todos los puntos de congestión en el camino
de extremo a extremo de ese servicio; a fin de asegurar diferentes niveles de
servicio para diferentes clases de tráfico (por lo tanto minimizando el coste),
debemos aplicar la diferenciación en todos los puntos de congestión.
2.4.7. Conjunto de herramientas de QoS
En términos prácticos, la calidad de servicio implica el uso de una amplia gama
de funciones y características por ejemplo: clasificación, programación,
vigilancia, modelado, dentro del contexto de anular la arquitectura por ejemplo:
servicios integrados, servicios diferenciados, con el fin de garantizar que un
servicio de red proporcione las características del SLA y que las aplicaciones
dirigidas por ese servicio tienen que trabajar con eficacia. Los mecanismos
utilizados para la ingeniería de la calidad de servicio en una red se pueden dividir
en plano de datos y mecanismos de plano de control aplicados en los dispositivos
de red tales como routers.
22
Gráfico 9. Funciones de QoS del plano de control y datos Autor: Tesista
Fuente: Libro “Deploying IP and MPLS QoS for Multiservice Networks”
Plano de Datos.- Los mecanismos de calidad de servicio del plano de
datos se aplican a los nodos de la red y pueden afectar directamente el
comportamiento de reenvío de paquetes. Estos están procesando
funciones intensivas; en routers de alto rendimiento, que se implementan
en hardware, junto con otras funciones del plano de datos, tales como
búsquedas de reenvío de paquetes y el filtrado de paquetes. Tales
mecanismos de QoS del plano de datos se pueden clasificar en términos
23
de las características de comportamiento primitivas que se imparten a
flujos de tráfico a los que se aplican:
Clasificación
Marcado
Aplicación de la tasa máxima
Priorización
Garantía de tasa mínima
Plano de control.- Los mecanismos de calidad de servicio del plano de
control o señalización normalmente se ocupan de control de admisión y
reserva de recursos, y pueden en algunos casos ser utilizados para
configurar las funciones de calidad de servicio del plano de datos. Las
funciones QoS del plano de control se aplican típicamente como procesos
de software, junto con otras funciones del plano de control tales como los
protocolos de enrutamiento. En la práctica, sólo hay un protocolo
ampliamente utilizado para la señalización del plano de control de calidad
de servicio; que es el protocolo de señalización RSVP. RSVP se utiliza en
varios contextos diferentes:
Arquitectura de servicios integrados
Ingeniería de tráfico MPLS
2.4.8. Requerimientos de aplicación con SLA
Las diferentes aplicaciones tienen diferentes requisitos de SLA; el impacto que
los diferentes servicios de red con diferentes SLAs tienen en una aplicación
depende de la aplicación específica:
La pérdida excesiva de paquetes o retraso puede hacer que sea difícil de
soportar aplicaciones en tiempo real, aunque el umbral preciso de
"excesivo" depende de la aplicación particular.
Cuanto mayor sea el valor de la pérdida de paquetes o retraso de la red,
más difícil es para los protocolos de capa de transporte sostener altos
anchos de banda.
24
Para apreciar estos impactos, hay un nivel mínimo de comprensión necesaria de
cómo las aplicaciones y los protocolos que utilizan, se comportan como las
características de las redes de SLA.
Voz sobre IP
Voz sobre IP (VoIP) es transportado más comúnmente como una corriente
codificada digitalmente utilizando el protocolo en tiempo real (RTP22) a través de
UDP; RTP es el protocolo de capa de transporte, que se trata de la entrega de la
corriente portadora VoIP del emisor al receptor. Los protocolos de señalización,
como el Protocolo de Iniciación de Sesión (SIP) pueden utilizarse para establecer
los flujos RTP al portador y para determinar los formatos de medios de
comunicación (códecs) que se utilizará. Los factores clave que determinan las
variaciones del impacto sobre las características de las redes de SLA como el
retardo y la pérdida tienen sobre VoIP el códec que se utiliza para codificar la
señal y los detalles específicos de la implementación del sistema final.
Video Streaming
Con la transmisión de aplicaciones de video, un cliente solicita recibir un video
que se almacena en el servidor; el servidor transmite el video para el cliente, que
se empieza a reproducir el video antes de que todos los datos de flujo de video
se ha recibido. La transmisión de video se utiliza tanto para los canales de video
"radiodifusión", que a menudo se entregan como multicast IP, y para el video bajo
demanda, que se entrega como unicast IP. Streaming de video basado en IP se
transporta más comúnmente como un flujo de datos codificados utilizando los
estándares definidos por el Grupo de Expertos de Imágenes en Movimiento
(MPEG23) y transportados utilizando RTP sobre UDP. MPEG define la
codificación utilizada para el flujo de video real. Protocolos como el Protocolo de
22 RTP.- Real-time Transfer Protocol 23 MPEG.- Moving Pictures Experts Group
25
Flujo en Tiempo Real (RTSP24) se pueden utilizar para configurar corrientes de
RTP.
Aplicaciones de datos
Los requisitos de calidad de la experiencia de aplicación de datos, que a su vez
el nivel de la unidad de red de los SLAs, no están tan bien definidos así como
para las aplicaciones de voz o video. Si bien hay varios tipos de aplicaciones de
datos que existen, desde una perspectiva de calidad de servicio se pueden dividir
en aplicaciones de datos interactivas y aplicaciones que están dirigidos a la
transferencia de datos sin requisitos de interactividad.
Nombre de clase de servicio
Tolerancia a
Pérdida de
paquetes
Retardo Jitter
Telefonía IP Muy bajo Muy bajo Muy bajo
Multimedia/
videoconferencias
Bajo - medio Muy bajo Bajo
Tiempo real interactivo Bajo Muy bajo Bajo
Multimedia/ streaming Bajo Medio Alto
Difusión de video Muy bajo Medio Bajo
Datos de baja latencia Bajo Bajo - medio Alto
Alto rendimiento de datos Bajo Medio - alto Alto
Baja prioridad de datos Alto Alto Alto
Tabla 1. Requerimientos de aplicaciones para QoS
Autor: Tesista Fuente: Internet
2.5. Mecanismos de QoS
2.5.1. Clasificación
La clasificación en el proceso de identificación de los flujos de paquetes y la
agrupación individual de los flujos de tráfico en corrientes agregadas de manera
24 RTSP.- Real Time Streaming Protocol
26
que las acciones se pueden aplicar a aquellas corrientes; las acciones que se
pueden aplicar después de la clasificación podría ser otro que las acciones de
calidad de servicio, por ejemplo filtrado de paquetes.
Clasificación Implícita
Desde la perspectiva de IP QoS, definimos la clasificación implícita como un
amplio enfoque de clasificación, que no requiere ningún conocimiento de la
cabecera del paquete o el contenido, y por ejemplo puede usar el contexto de
Capa 1 o Capa 2, como la interfaz de recibido, o el circuito virtual recibido con el
fin de clasificar el tráfico.
Clasificación Compleja
La Clasificación Compleja también conocida como clasificación multi-campo
permite una mayor granularidad de clasificación "implícita" y consiste en
identificar el tráfico basándose en los valores de los campos o combinaciones de
campos en la cabecera del paquete IP, que no estaban destinados expresamente
para la clasificación de calidad de servicio específicos. Esto incluye los campos
definidos previamente en el marco de la 5-tupla para la clasificación de flujo IP,
es decir, la clasificación de un flujo basado en la 5-tupla es una creación de la
clasificación compleja.
Clasificación Compleja también puede clasificar el tráfico utilizando criterios de
Capa 2, como origen o destino las direcciones MAC, por ejemplo, identificar el
tráfico de un host determinado por la dirección MAC de ese host.
Inspección Profunda de Paquetes/Inspección de Estado
Algunos sistemas tienen la capacidad de clasificar el tráfico en base a más de la
información contenida en un encabezado de paquete IP única. Ellos pueden ser
capaces de profundizar en el paquete, en los datos subyacentes; esto se refiere
a la inspección profunda de paquetes (DPI25). Ellos también pueden ser capaces
25 DPI.- Deep Packet Inspection
27
de clasificar los flujos manteniendo el estado de la información contenida en los
paquetes subsiguientes, en lugar de buscar en cada paquete de forma individual;
esto se conoce como la inspección de estado (SI26). Cuando DPI se combina con
SI, la combinación puede ser útil para clasificar las aplicaciones que no pueden
ser identificados por otros medios, tales como algunas aplicaciones peer-to-peer,
por ejemplo.
Debido a las demandas de tráfico que se pueden colocar en la red de las
aplicaciones peer-to-peer, algunos desarrolladores de aplicaciones peer-to-peer
intencionalmente tratan de hacer que sus aplicaciones difíciles de clasificar, o
que se vean como otras aplicaciones, específicamente por lo que son difíciles de
clasificar y por lo tanto difícil de controlar.
Clasificación Simple
Clasificación basada en campos en los encabezados de los paquetes que han
sido diseñados expresamente para la clasificación de calidad de servicio. Nos
referimos a ella como la clasificación "simple", ya que no requiere la comprensión
de otros campos en el encabezado o en paquetes de datos IP, y la necesidad de
no tener visibilidad de los flujos de constituyentes dentro de la corriente de tráfico
que puedan representar un agregado de los flujos. El uso de técnicas de
clasificación simple hace que el diseño de QOS sea más fácil y menos complejo
al requerir una implementación subyacente de clasificación en los equipos de red.
2.5.2. Marcado
Marcado de paquetes IP, es el proceso de establecer el valor de los campos
asignados para la clasificación de QoS en las cabeceras IP o MPLS27 de
paquetes para que el tráfico pueda ser fácilmente identificado más tarde, es decir,
utilizando técnicas de clasificación simple.
26 SI.- Inspection Status 27 MPLS.- Multiprotocol Label Switching
28
El tráfico es generalmente marcado en el sistema de extremo de la fuente o lo
más cercano a la fuente de tráfico como sea posible con el fin de simplificar el
diseño de la red:
Fuente de marcado: El marcado de paquetes se puede aplicar en la
propia fuente de marcado del sistema final; si el sistema final se considera que
está marcado de confianza, entonces este puede ser invocada en todo el resto
de la red, posteriormente sólo requerirá clasificación simple para identificar el
vapor de tráfico.
Entrada de marcado: Si el sistema final no es capaz de marcar los
paquetes que se origina, o no se puede confiar para hacerlo correctamente, a
continuación, en la entrada a la red un dispositivo de confianza cerca de la fuente
puede utilizar la clasificación implícita o compleja para identificar un flujo de tráfico
desde el sistema final y marcar el tráfico en consecuencia, de tal manera que
posteriormente puede ser identificado usando técnicas de clasificación simple. Si
la fuente no es de confianza para marcar paquetes, entonces cualquier marca
que ha sido previamente aplicada puede ser sobrescrita; esto a veces se
denomina "remarcado".
2.5.3. Vigilancia y Medición
Vigilancia
Vigilancia es un mecanismo que puede ser usado para asegurar que un flujo de
tráfico no excede de una tasa máxima definida. Un controlador de políticas
normalmente se visualiza como un mecanismo de cubetas de fichas que no debe
confundirse con un algoritmo de cubeta con goteo, que tiene propiedades
diferentes, y que se usa más comúnmente para la limitación de tráfico.
Medición
Medición de tráfico es el proceso de medición de la velocidad y la explosión,
característica de una corriente de tráfico a efectos contables o de medición. Una
función de medición simple podría consistir en la aplicación, ya sea tasa única o
29
dos tasas del controlador de políticas para un flujo de tráfico, pero con acciones
verdes, amarillas y rojas todo listo para transmitir; si se mantienen estadísticas
para el número de paquetes y bytes transmitidos y caídas entonces estas
estadísticas podrían ser utilizadas como un metro de una corriente de tráfico.
Alternativamente, la medición se puede realizar simplemente tomando
estadísticas de los paquetes y bytes de transmisión para los flujos de tráfico o
clases, durante un intervalo de tiempo definido.
2.5.4. Encolamiento, Programación, Moldeado y Caída
En los términos más generales, si las demandas que cualquier recurso finito
exceden la capacidad del recurso para dar servicio a ellos, la contención sucede,
entonces se determina el tiempo o el orden en el que las diferentes demandas
son servicios. Además que el reordenamiento sólo es posible si las demandas no
atendidas se retrasan o se ponen en cola. En términos de calidad de servicio IP
por ejemplo, cuando las demandas de tráfico que llegan superan el ancho de
banda de un enlace, la contención se produce y una parte del tráfico tendrá que
ser retrasado o en cola antes de que pueda ser reparado. Un programador de
paquetes IP actúa sobre los paquetes de la cola para determinar la hora de salida
(un administrador de tiempo real) o su orden de salida (un administrador de
tiempo relativo), arrastrando las salidas de paquetes de acuerdo a las normas
derivadas de las limitaciones de las tasas o prioridades. Las colas y los
programadores se utilizan en combinación para controlar retardos de cola y dar
garantías de ancho de banda para las corrientes de tráfico.
Encolamiento y Programación
Programación de Prioridad
Por lo general, la mayoría de los programadores de paquetes IP básicos
disponibles en la actualidad apoyan una cola servida con un planificador de
prioridad para la retención de tráfico intolerante como voz y video. En general, la
programación de prioridad puede ser preventiva o no preventiva. Un algoritmo de
prioridad preventiva sería dar servicio a una cola de prioridad en cuanto se activa,
30
mientras que el algoritmo de prioridad no preventiva pondría a la cola de prioridad
siguiente en la lista de colas para ser atendidos.
Programación de Ancho de Banda Ponderada
Si la cola de prioridad está inactiva, es decir, no hay paquetes en la cola a
continuación, hay un número de otras colas que son cada uno atendidos en orden
FIFO28. Estas colas generalmente se limpian de manera ponderada, donde una
ponderación determina el servicio que se ofrece a una cola con respecto a otra;
los coeficientes determinan efectivamente la proporción del ancho de banda de
enlace para cada cola. Un algoritmo de planificación se utiliza para asegurar que
se consigue el mantenimiento relativo entre las colas. Mediante el control de las
diferencias relativas entre las tasas de llegada de tráfico y tasas de servicio
(determinada por los coeficientes) de diferentes colas, el impacto de los retardos
de cola puede ser controlada y el servicio en relación con esas colas se puede
diferenciar.
o Round Robin Ponderado: Realiza la programación de paquetes
garantizando el ancho de banda mínimo para las colas,
independientemente de la carga de tráfico.
o Encolamiento Justo Ponderado: Calcula el tiempo que un paquete
terminaría siendo administrado si estaba siendo atendido mediante un
esquema de GPS29; entonces, los servicios de paquetes en el orden
de su hora de finalización, en efecto se convierte en un número de
secuencia. WFQ30 es efectivamente la versión basada en paquetes de
GPS.
o Round Robin Déficit: El planificador realiza visitas a cada cola en una
ronda y tiene como objetivo dar servicio a un peso o valor de quantum
de cada cola. A diferencia de Round Robin Ponderado, el quantum se
define en bytes en lugar de paquetes.
28 FIFO.- First In, First Out 29 GPS.- Global Positioning System 30 WFQ.- Weighted Fair Queueing
31
Interface FIFO
Se lleva a cabo si el programador puede quitar de la cola de paquetes en la
interfaz FIFO más rápido de lo que pueden ser atendidas (es decir, más rápido
que la velocidad del enlace), entonces la memoria cíclica de transmisión puede
comenzar a llenar. Es común implementar un mecanismo de control de flujo para
asegurar que la interfaz FIFO no continúa para llenar sin control, sino más bien
cuando el número de paquetes de la cola FIFO en la interfaz excede de un umbral
definido se detendrá el planificador para cualquier desencolado de más paquetes
(esto se conoce como un "flujo off"). Cuando el número de paquetes en cola en
la memoria intermedia de la interfaz FIFO cae por debajo de un umbral (que debe
ser igual o menor que el umbral de flujo-off) el mecanismo de control de flujo
permite que el planificador envíe más paquetes en la nueva interfaz FIFO (esto
se conoce como un "flujo in").
Caída
En este punto, antes de considerar caída, hay que destacar la diferencia entre
buffers y colas. Los buffers son las ubicaciones de memoria física donde los
paquetes se almacenan temporalmente mientras esperan a transmitir. Colas en
el otro lado no contienen paquetes aunque es el lenguaje común para referirse a
"los paquetes en una cola"; más bien, una cola se compone de un conjunto
ordenado de punteros a las ubicaciones en la memoria del buffer donde los
paquetes en dicha cola se almacenan realmente.
Como el buffer de memoria es utilizado para hacer cola los paquetes deben ser
finitos, y en algún momento, la profundidad de la cola debe exceder la memoria
intermedia disponible, e inevitablemente paquetes deberán descartarse.
Tail Drop: Es un mecanismo que se utiliza para colocar un límite estricto
en el número de paquetes que se pueden mantener en una cola. Antes de
que un paquete se encole, la profundidad actual de los paquetes en la cola
se comprueba y si la profundidad de la cola supera el límite máximo para
32
la cola, que normalmente se especifica en bytes, entonces el paquete se
descartará en lugar de esperar su turno.
Weighted Tail Drop: Algunas implementaciones del descarte de colas
soportan más que límite de una cola en una cola; esto a veces se conoce
como "caída de cola ponderada". El concepto detrás de esto es que si hay
congestión en la cola, es decir, la tasa de tráfico de llegada para la cola
supera la tasa de servicio y la profundidad de la cola empieza a construir,
entonces algún subconjunto del tráfico en la cola será preferentemente
descartada.
Random Early Detection (RED): (Detección Aleatoria Temprana). Es un
mecanismo de gestión de colas activa. Estos mecanismos detectan la
congestión antes del desbordamiento de colas (es decir, antes de invocar
caída de la cola), y brindan información de esta congestión de los sistemas
de extremo con el fin de evitar el exceso de pérdida de paquetes debido a
la congestión y el mantenimiento de un alto rendimiento de la red y reducir
al mínimo los retrasos de puesta en cola, también se conocen como
técnicas de "evitación de la congestión".
Weighted Random Early Detection (WRED): (Detección Aleatoria
Temprana Ponderada). Permite que un número de diferentes perfiles RED
a ser utilizado para la misma cola, donde cada perfil se puede aplicar a un
subconjunto diferente del tráfico destinado a la cola. El concepto es muy
similar a la caída de la cola ponderada, en que si hay congestión en la
cola, haya algún subconjunto del tráfico en la cola donde serán
preferentemente descartados; esto se logra por tener un perfil de WRED
más agresivo (ajustes de cola mínimos y máximos) para el tráfico que se
descarta primero. El tráfico que va a ser preferentemente descartado,
podría por ejemplo ser identificado usando un marcado diferente del resto
del tráfico; el tráfico se pudo haber marcado diferencialmente fuera de
contrato a través de un controlador de políticas.
33
Shaping/Moldeado
Shaping es un mecanismo que puede ser usado para asegurar que un flujo de
tráfico que no exceda una tasa máxima definida. Un moldeador puede ser
visualizado como un mecanismo de cubetas de fichas con una profundidad
definida máxima (normalmente en bytes) para una clase individual de tráfico.
2.6. Arquitecturas de IP QoS
Arquitecturas de calidad de servicio definen las estructuras dentro de las cuales
desplegamos mecanismos de calidad de servicio para ofrecer garantías de
calidad de servicio o SLA31 de extremo a extremo. Para ser completamente
definido, que necesitan para proporcionar el contexto en que se utilizan
mecanismos tales como la clasificación, marcado, vigilancia, colas, y la
programación, caída, y el modelado juntos para asegurar un SLA especificado
para un servicio. Las normas que definen las diferentes arquitecturas de QoS IP
han sido definidas por el Grupo de Trabajo de Ingeniería de Internet (IETF).
2.6.1. Arquitectura de Servicios Integrados
[RFC1633] expuso la filosofía de los servicios integrados o "Intserv" arquitectura
IP QoS. Fue diseñado para hacer frente a los problemas identificados con la
precedencia de IP y el tipo de servicio, proporcionando la capacidad necesaria
para soportar aplicaciones con requisitos de SLA delimitadas, tales como VoIP y
video. Intserv aborda el problema de proporcionar garantías de nivel de servicios
a las aplicaciones mediante la gestión de los recursos de ancho de banda de
forma explícita y programadores en una base por flujo; recursos están reservados
y control de admisión se realiza para cada flujo. El Protocolo de reserva de
recursos (RSVP32) es el protocolo de señalización de extremo a extremo se utiliza
para configurar reservas Intserv.
Intserv se define por los siguientes aspectos clave:
31 SLA.- Service level Agreement 32 RSVP.- Resource Reservation Protocol
34
Clasificación: Con Intserv, la clasificación se realiza en una base por flujo;
en cada router Intserv capaz, se realiza la clasificación compleja para
identificar un flujo particular utilizando la 5-tupla de direcciones IP de
origen y de destino, origen y números de puerto TCP/UDP33 de destino y
número de protocolo IP. Esto requiere un estado plano de datos por flujo
en cada salto Intserv.
Programación: Intserv requiere que los recursos de programación
también se gestionan en función de cada flujo, con el fin de garantizar que
se cumplen los requisitos de la aplicación para el flujo. Esto no significa
que los recursos de programación (colas) tienen que ser provisionados en
una base por flujo. Alternativamente, un número de flujos puede ser
asignada a una clase, que es atendida desde una sola cola; todos los
paquetes de la clase a continuación, recibirá el mismo tratamiento del
planificador.
El control de admisión: Con el fin de ofrecer garantías a cada flujo, el
control de admisión se realiza en cada salto para asegurar que hay
suficientes recursos disponibles para satisfacer los requisitos del flujo. Si
hay suficientes recursos, el flujo es admitido, de lo contrario el flujo se
rechaza. Esto requiere por la señalización de flujo y por el estado del plano
de control de flujo en cada salto Intserv.
2.6.2. Arquitectura de Servicios Diferenciados
Los inconvenientes de escalabilidad con Intserv conducen a la definición de los
servicios diferenciados (DS34) o Arquitectura "Diffserv" IP QoS [RFC 2475].
Diffserv comprende los siguientes componentes clave que se utilizan en conjunto
para permitir diferencia de extremo a extremo en retardo, jitter y pérdida para ser
apoyados en la misma red IP Diffserv habilitado que se refiere como un dominio
Diffserv para diferentes tipos o clases de servicio.
33 UDP.- User Datagram Protocol 34 DS.- Differentiated Services
35
Clasificación del tráfico y acondicionamiento: El borde del dominio
Diffserv es el proveedor o cliente límite para los servicios habilitados que
ofrece Diffserv. Esto no significa, sin embargo, deducir que Diffserv sólo
es aplicable a los proveedores de servicios de red; el departamento de
redes de una organización empresarial es un proveedor de servicios para
su empresa. En la entrada al dominio Diffserv, el tráfico del cliente se
clasifica utilizando la clasificación implícita, simple o compleja en un
número limitado de clases de tráfico, que también se conocen como
"agregados de comportamiento" al hablar de Diffserv. En estos agregados
se comprueba la conformidad en relación a perfiles acordados se refiere a
Diffserv como Acuerdos de Tráfico Condicionado (TCAs35).
Marcado DSCP: Los paquetes están pre-marcados usando el Código de
Punto de Diffserv (DSCP36) en el campo DS en la cabecera del paquete
IP, o se marcan en la entrada para el dominio Diffserv, con el fin de
identificar a qué clase particular o comportamiento agregado los paquetes
pertenecen. La marca podría ser realizada por un controlador de políticas
que cumplan con TCA, por ejemplo. Nodos posteriores Diffserv, por tanto,
sólo necesitan llevar a cabo la clasificación sencilla utilizando el DSCP con
el fin de determinar la clase de un paquete.
Comportamientos por salto: El acondicionamiento aplicado en los
bordes de la red asegura que todo el tráfico ingresado al dominio Diffserv
está dentro del TACs comprometido y está marcado adecuadamente.
Dentro del dominio Diffserv, el objetivo es simple para asegurarse de que
se cumplen los SLAs por clase, por el número limitado de clases
compatibles. Por clase de planificación y mecanismos de control que
hacen cola se aplican a las clases de tráfico basadas en el marcado DSCP
con el fin de garantizar una diferenciación SLA por clase. Diffserv no es
preceptivo en la definición de la programación y algoritmos de control de
colas que se deben aplicar en cada salto, sino más bien, utiliza un nivel de
35 TCA.- Traffic Agreements Conditioned 36 DSCP.- Differentiated Services Code Point
36
abstracción en la definición de los comportamientos de reenvío
externamente observables - denominado comportamientos por salto
(PHB) - que se puede aplicar al tráfico en cada salto.
2.6.3. Arquitectura IPv6 QoS
Hay una percepción errónea de que IPv637 proporciona fundamentalmente
mejores capacidades de calidad de servicio que en IPv4, lo cual es incorrecto.
Tanto las arquitecturas Intserv como Diffserv puede aplicarse por igual a IPv6
como para IPv4. La única diferencia práctica entre IPv6 e IPv4 desde una
perspectiva de calidad de servicio es que las cabeceras de paquetes IPv6
también incluyen un campo de etiqueta de flujo de 20 bits [RFC 3697]. La etiqueta
de flujo ayuda a clasificar un flujo sin ambigüedad, donde alguna información se
utiliza para identificar el flujo que puede faltar debido a la fragmentación de
paquetes o cifrado.
2.6.4. Arquitectura MPLS QoS
Esta arquitectura permite el reenvío basado en criterios distintos de la dirección
IP de destino. Cuando un flujo de tráfico atraviesa una red MPLS (también
conocido como un "dominio" MPLS), los paquetes IP (o unidades de datos de
protocolo [PDU38] de otro protocolo, como la "M" en MPLS significa
"multiprotocolo") son "etiquetados" en el enrutador de borde de entrada del
dominio MPLS. La "etiqueta" MPLS es de 32 bits de longitud, es de importancia
local y es más comúnmente "empujado" en la parte superior o impuesta hacia el
encabezado IP original.
2.7. Seguridad
2.7.1. Definición
En la actualidad, la seguridad no sólo significa salvar el sistema de tipos malos y
software malicioso. Seguridad significa preservar la integridad de datos,
37 IPv6.- Internet Protocol versión 6 38 PDU.- Protocol Data Unit
37
proporcionando acceso autorizado, y el mantenimiento de la privacidad. Por lo
tanto, la prevención de un usuario de la eliminación accidental o corrupción de
un archivo importante es tan esencial para la seguridad como detener a un
usuario malicioso. No solo basta con saber qué medidas tomar ante cualquier
ataque sino también cumplir principios fundamentales para obtener seguridad en
todo el sistema como: integridad, confidencialidad, disponibilidad.
La gran mayoría de los problemas de seguridad están dirigidas a la protección
de datos y privacidad, lo que garantiza que los usuarios no hacen algo que no
deben hacer. Hay muchas formas de examinar las cuestiones de seguridad de
red. En general, una amenaza o bien puede venir de una cuenta en el sistema
(acceso local), o de un sistema a través de una red (acceso remoto). Pero alguien
con acceso físico a un sistema también puede suponer una amenaza.
La seguridad incluye tres compromisos fundamentales: prevención, detección y
respuesta. La combinación de estos elementos determina la eficacia global de la
seguridad de un sistema:
Prevención: Aborda las medidas adoptadas para disuadir a un atacante
o mitigar un compromiso del sistema. Estas medidas van desde la
arquitectura física de red, elementos de firewall y los sistemas antivirus, al
endurecimiento del sistema y la formación de usuarios. Un entorno que se
basa únicamente en medidas preventivas puede ser difícil de poner en
peligro.
Detección: Saber cuándo un sistema está bajo ataque proporciona un
paso importante para responder a las amenazas, incluso si se trata de un
ataque ineficaz debido a las contramedidas preventivas. Muchos tipos de
analizadores de redes actúan como sistemas de detección de intrusos
(IDS39).
Respuesta: Dado el tiempo suficiente, un atacante determinado
probablemente comprometa cualquier sistema.
39 IDS.- Instrusion Detection System
38
Saber cómo reaccionar ante un compromiso es tan importante como la
identificación del compromiso. Opciones de mitigación comunes incluyen
el uso de sistemas automatizados de prevención de intrusiones (IPS40-un
IDS que elimina automáticamente el control de acceso), dispositivos de
copia de seguridad, y lo más importante, los procedimientos de respuesta.
Aunque cada transacción es diferente, las mismas políticas y
procedimientos determinan la forma de abordar la situación desconocida.
2.7.2. Seguridad Física
La seguridad física es la protección de los dispositivos de acceso físico, daños y
robo. Los dispositivos son por lo general redes y hardware del sistema, tales
como los dispositivos de red (routers, switches, hubs, etc), servidores y
dispositivos especializados, pero también pueden ser CD41 de software, cintas o
dispositivos periféricos. La seguridad física es la forma más básica de la
seguridad, y la que es más intuitiva para los usuarios. La seguridad física debe
abordarse como parte de la arquitectura de la red incluso cuando el campus o
edificio tiene restricciones de acceso o guardias de seguridad.
Formas de implementar seguridad física son las siguientes:
Salas de acceso controlado (por ejemplo, a través de las llaves de tarjeta)
para dispositivos compartidos (servidores) y dispositivos especializados.
Las fuentes de energía de reserva y acondicionamiento de energía
Fuera de las instalaciones de almacenamiento y archivo
Sistemas de alarma (por ejemplo, el fuego y las alarmas de entrada de
ilegales)
La seguridad física también se aplica a otros tipos de amenazas físicas, como los
desastres naturales (por ejemplo, incendios, terremotos y tormentas). Seguridad
de los desastres naturales incluye protección contra el fuego (utilizando sistemas
de alarmas y equipo contra reducción de incendios), el agua (con bombeo y otros
40 IPS.- Instrusion Prevention System 41 CD.- Compact Disc
39
mecanismos de eliminación de agua/protección), y la degradación estructural (a
través de los dispositivos que tienen en bastidores unidos a los pisos, paredes,
etc.) Abordar la seguridad física sienta las bases de su plan de toda la seguridad
de red y la privacidad.
2.7.3. Seguridad Lógica
La seguridad lógica permite proteger los datos, redes, sistemas informáticos
mediante políticas en una organización y además garantiza el acceso a la
información de personal únicamente autorizado. Hoy en día, la conexión a
internet de múltiples usuarios para realizar transacciones, búsquedas, etc., se
ven afectadas por atacantes en la red de forma remota o accediendo a sistemas
que no tienen las adecuadas políticas de seguridad.
A continuación, algunas medidas para implementar seguridad lógica:
S.O. y aplicaciones informáticos deben emitir usuarios y contraseñas para
las personas autorizadas.
Generación de listas de control de acceso como roles o grupos de usuarios
que pueden acceder a aplicaciones, IOS de equipos de red, sistemas
operativos.
Cifrar mensajes para evitar que la información sea modificada o accesada
por personas indebidas.
Cifrado en sistemas de archivo o unidades de discos lo que protege la
confidencialidad.
Emitir certificados y firmas digitales para saber la identificación del
propietario de la página o mensaje respectivamente.
Antivirus
40
CAPÍTULO 3
3. MARCO METODOLÓGICO
3.1. Enfoque
Para el proyecto propuesto el enfoque se basa en obtener un diseño de red a
partir del diagnóstico de la red actual, la implantación de una herramienta que
brinde calidad de servicio y las pruebas de validación para mejorar la
transferencia de datos en las distintas aplicaciones y servicios que posee la
organización, generando así seguridad y disponibilidad en la red de
comunicaciones.
3.2. Modalidad de la Investigación
3.2.1. Investigación de Campo
La metodología que se utilizó es la investigación de campo ya que se realizó en
el ambiente del objeto de estudio, es decir, en las instalaciones del CIESPAL
permitiendo reunir información de los problemas e inconvenientes en la red de
datos, lo cual facilita al investigador una mayor confiabilidad en la adquisición de
la información.
3.3. Nivel de Investigación
La investigación se inicia con el nivel de profundidad exploratorio permitiendo
recabar la información real en el ambiente laboral donde se encuentran los
recursos personales e informáticos. A continuación se aplicó el nivel descriptivo
para determinar las características y propiedades del fenómeno de estudio y,
finalmente el nivel explicativo para determinar la relación entre causa-efecto
reflejándose en los resultados y las conclusiones del proyecto.
41
3.4. Técnicas e Instrumentos de Investigación
Las técnicas de investigación que se utilizó es: la entrevista realizada al personal
del Departamento de Tecnologías, donde el administrador de red ha recibido
quejas por parte de los usuarios fijos y eventuales ya que existe problemas en la
red de comunicaciones en los servicios de video, voz y datos. A su vez se realizó
la técnica de observación directa a través de herramientas como: Wireshark, Ntop
y VE Network Catcher que permitirán medir el tráfico de datos y QoS en la red
del CIESPAL, contribuyendo a una gran objetividad en la recolección de la
información.
La red de datos del CIESPAL no está funcionando como requiere el
Departamento de Tecnologías tanto en la estructura de red como en los servicios
y aplicaciones que oferta y para ello se tomará en cuenta los tipos de datos que
permitirán la priorización de servicios.
3.5. Análisis de la organización CIESPAL
3.5.1. Descripción
El Centro Internacional de Estudios Superiores de Comunicación para América
Latina – CIESPAL tiene como objetivo generar acciones y propuestas de alto
nivel académico y funcional que estén alineadas dentro del enfoque de derechos
que constituye un pilar de acción en la organización.
El enfoque de derechos sobre el cual se fundamenta el CIESPAL constituye una
propuesta innovadora y sustentable, que permite promover el ejercicio y
exigibilidad dentro de la sociedad, este principio fundamental en cada uno de los
seres humanos como entes sociales del país y América Latina.
Misión
Somos una organización que promueve el derecho a la comunicación para
democratizar la sociedad.
42
Visión
Ser una organización paradigmática en el pensamiento comunicacional de
América Latina.
Objetivos
Propiciar y ofrecer espacios para la discusión y reflexión de los temas
comunicacionales que coadyuven a la actualización y capacitación de
los comunicadores latinoamericanos, desde una perspectiva de la
comunicación como derecho.
Incidir en la producción de conocimientos sobre la comunicación y el
periodismo para aportar al pensamiento latinoamericano.
Producir material comunicacional educativo y de reflexión en
multimedia y digital, que contribuyan a la capacitación y educación de
las audiencias.
Promover sostenidamente el uso de las nuevas tecnologías de
comunicación con una visión crítica.
3.5.2. Organigrama
El organigrama estructural de la institución se lo puede ver en el ANEXO A.
3.5.3. Departamento de Tecnologías de la Información
Este departamento fue creado con visión hacia la creación de soluciones
tecnológicas fundamentales en áreas como sistemas y telecomunicaciones, al
momento cuenta con dos técnicos encargados de la infraestructura tecnológica y
aplicaciones informáticas que se manejan en la organización.
3.6. Descripción de la red de comunicaciones
3.6.1. Infraestructura
La red interna del CIESPAL se encuentra distribuida en el Edificio Principal y el
Centro Audiovisual y Multimedia (CAM).
43
A continuación se describe las instalaciones que forman parte de la red de datos
donde se realizan eventos académicos, sociales y culturales:
Auditorio: Se encuentra ubicado en el edificio principal y cuenta con
capacidad para 250 personas, donde se requiere de equipos tecnológicos
y servicios como acceso a internet, transmisión en vivo, la instalación es
utilizada para realizar seminarios y congresos.
Salas de Capacitación: Tiene 6 salas de capacitación ubicadas en el
edificio principal donde se realizan talleres, cursos, conferencias y tiene
capacidad para 150 personas en conjunto aproximadamente, donde se
requiere de acceso a internet y aplicativos como Skype, webinar.
44
3.6.2. Esquema actual de la red de datos
Gráfico 10. Diagrama de la red actual Autor: Tesista
Fuente: Investigación de Campo
45
3.6.3. Esquema de los equipos de red por pisos
Gráfico 11. Diagrama de los equipos de red por pisos Autor: Tesista
Fuente: Investigación de Campo
3.6.4. Planos actuales del cableado de red
Los planos actuales de la red se representan en el ANEXO B.
3.6.5. Enlaces con el ISP
La red de comunicaciones proporciona servicio de internet al Edificio Principal y
al Centro Audiovisual y Multimedia, mediante un enlace de 6 Mbps los mismos
que son utilizados a diario por el personal y usuarios que alquilan las
instalaciones los cuales han observado lentitud en las conexiones a internet y
más aún cuando acceden a servicios de streaming. Además la red del CIESPAL
posee un enlace de 1 Mbps para el servicio de transmisión en vivo donde la señal
de streaming se entrecorta y el video se pixela, el proveedor de internet en el
46
CIESPAL es Telconet, el mismo que utiliza un convertidor de medios (transceiver)
de fibra óptica a RJ-45 para proporcionar la señal de red en los dos enlaces.
3.6.6. Cableado de Red
Al momento las instalaciones de la LAN funcionan bajo la tecnología Ethernet, y
su cableado de red es UTP categoría 5e.
El cableado de red de la organización no se ha cambiado hace más de 10 años
el mismo que no posee certificación y la distribución de los puntos de red en las
estaciones de trabajo se ha realizado mediante canaletas, ductos, techo falso, y
en otros lugares por la afueras de los edificios, bajo estas circunstancias los
cables se encuentran deteriorados. En la red de la organización no hay
etiquetado del cableado de red, ni documentación que indique como están
conectados los puntos de red hacia los diferentes equipos de red.
En la siguiente tabla se visualiza la cantidad de puntos de red que tiene
actualmente el CIESPAL.
Pisos No. Puntos de Red
Primer Piso CAM 12
Segundo Piso CAM 12
Mezzanine 8
Piso Salas Capacitación 8
Auditorio 3
Planta Baja 2
Primer Piso Ed. Principal 18
Segundo Piso Ed.
Principal
24
Tercer Piso Ed. Principal 6
Terraza 2
Total 95
Tabla 2. Puntos de Red
Autor: Tesista Fuente: Investigación de Campo
47
3.6.7. Equipos de Red
En la siguiente tabla se indica los equipos de conexión y sus características, los
cuales se encuentran instalados en la institución.
Cant. Equipo Modelo No. Puertos
1 Router Cisco 851 1 puerto WAN
4 puertos, 10/100 Mbps
1 Router HP MSR900 2 puertos WAN
4 puertos, 10/100 Mbps
1 Switch Cisco 2950 24 puertos, 10/100 Mbps
5 Switch 3com 3CFSU08 8 puertos, 10/100 Mbps
1 Switch 3com 3C16792B 16 puertos, 10/100 Mbps
4 Switch 10/100 ------------- 8 puertos, 10/100 Mbps
5 Switch Cnet CSH 1600 16 puertos, 10/100 Mbps
1 Switch D-Link DES-108 16 puertos, 10/100 Mbps
2 Switch D-Link DES-16 8 puertos, 10/100 Mbps
Tabla 3. Equipos de Red
Autor: Tesista Fuente: Investigación de Campo
Algunos de los equipos tecnológicos han presentado problemas como puertos
quemados y otros han culminado su vida útil.
Por lo tanto el equipamiento tecnológico de la organización debe cambiarse con
el fin de adquirir nuevas características y funcionalidades para mejorar el
desempeño de la red de datos del CIESPAL y así, brindar un buen servicio a
usuarios finales.
3.6.8. Equipos de Computación
La siguiente tabla proporciona información acerca del número de equipos de
cómputo que posee la institución.
48
Pisos Departamento PC’s Laptop Impresoras
Primer Piso CAM Multimedia 6 2 1
Segundo Piso CAM
Edición TV 3
3 Mac
1 1
Producción y
Estudio de Radio
4
Mezzanine Centro de Copiado 1 3
Planta Baja Imprenta 1 1
Piso Auditorio Centro Eventos 1 1
Primer Piso
Ed. Principal
Planificación 4 1
Dirección General 2 1 1
Administración
Financiera
3 2 1
Tecnologías 2 2
Segundo Piso
Ed. Principal
Investigación 4 1 1
Capacitación 2 1 1
Publicaciones 3 1
Documentación 4 1 1
TOTAL 43 13 12
Tabla 4. Equipos de Computación
Autor: Tesista Fuente: Investigación de Campo
Por lo tanto el total de equipos de cómputo es 68 entre pc’s, laptop’s e
impresoras, sin tener en cuenta equipos de red y servidores. Además, equipos
como proyectores y laptop’s que sirven como préstamo en las diferentes
actividades, se utilizan únicamente para el momento y no son fijos en las salas
de capacitación por ejemplo.
3.6.9. Servidores
En la siguiente tabla se detallan las características y servicios de los servidores
que tiene la organización, los cuales se encuentran conectados a routers y
switches de forma correspondiente y se ubican en el Data Center.
49
Tabla 5. Servidores
Autor: Tesista Fuente: Investigación de Campo
Como se indica la red está formada por 10 servidores, de los cuales 4 funcionan
sobre la plataforma Linux Centos y 6 sobre Windows de tipo server o escritorio.
Se ha detectado que en la configuración de algunos servidores Linux existen
servicios activos que no son utilizados por las aplicaciones que se encuentran
instaladas, además que las versiones de sistema operativo están
desactualizadas y necesitan un firewall actualizado para la protección de la
información. Estos dispositivos poseen UPS42 y las aplicaciones críticas no
cuentan con la seguridad física y lógica requerida, además que la información
crítica no cuenta con un plan de respaldos.
42 UPS.- Uninterrupible Power Supply
No. Equipo S. O Funcionalidad
1 HP Proliant ML 110 G7 CentOS 6.5 x64 D-Space
2 HP Proliant ML 110 G7 CentOS 5.8 x64 Zimbra Correo
Institucional
3 HP Proliant ML 110 G7 Linux Kernel 2.6 i686 Firewall
4 HP ProLiant ML310Oe G8 Windows Server
STD 2012
Web ciespal.org
5 Clon Pentium 4 CentOS 5.8 x32 DNS
6 Clon Pentium 4
Windows XP Monitorizar Cámaras
de Seguridad
7 Clon Pentium 4 Windows XP Biométrico
8 Clon Pentium 4 Windows Server
2000
Web de procesos
internos
9 HP Proliant ML 110 G7 Windows Server
2003
Web ciespal.net
10 Clon Intel Xeon Windows 7 Ultimate Servidor Streaming
50
3.6.10. Servicios y Aplicaciones
Web ciespal.net
Es la página web del CIESPAL donde muestra la información sobre los
productos y servicios que ofrece, además que se encuentra ligada a redes
sociales y YouTube. También indica las noticias y boletines sobre los cursos,
talleres, capacitación que se van a realizar en las instalaciones del CIESPAL,
los mismos que hacen uso de equipos tecnológicos y servicio de internet.
Correo Institucional
Es el correo que posee la organización con la finalidad de que los usuarios
administrativos del CIESPAL comuniquen el trabajo y actividades a realizarse
en la organización. A través de este correo los usuarios que requieran de los
servicios que brinda el CIESPAL se comunicarán hacia el departamento de
capacitación y centro de eventos
D-Space
Es una base de datos donde se almacena una gran cantidad de información
como: informes, entrevistas, proyectos, series radiales, ediciones de revista
chasqui, entre otros, donde se muestra la gestión institucional. Esta
información se la puede revisar on-line de forma gratuita y está abierta al
público.
Control Biométrico
Es un sistema de control de acceso que está conectado en la red de
comunicaciones del CIESPAL, el cual registra la asistencia del personal que
labora en la institución, y a través del cual se obtiene reportes mensuales que
facilitan el trabajo de áreas como: RR.HH. y financiero.
Firewall
51
Es un sistema que permite o deniega las comunicaciones en usuarios de la
red interna hacia el internet, es decir, está encargado de la seguridad de la
red de datos de la organización.
Web de procesos internos
Es un sistema de gestión de procedimientos que maneja información de áreas
como: centro de eventos, capacitación, administrativo y tecnologías.
Livestream
El programa Procaster de escritorio que es de código libre, permite crear y
grabar streaming de contenido de video, y conjuntamente con
www.livestream.com realiza la transmisión de video. El servicio de
transmisión en vivo es utilizado por usuarios que realizan eventos en las
instalaciones del CIESPAL.
En el ANEXO C se indica la herramienta Procaster con la cual trabaja el
CIESPAL.
Radio online
Este herramienta permite transmitir datos de audio y grabarlos, los mismos
que son utilizados por usuarios que alquilan las instalaciones o invitados que
van a realizar un programa de radio. En el ANEXO D se representa la
herramienta que utiliza el CIESPAL para la transmisión de radio online.
3.6.11. Direccionamiento IP
Actualmente la red del CIESPAL no cuenta con segmentación lo que causa
colisiones puesto que todos los medios son compartidos y como consecuencia
se tiene daños en los datos que se transmite en la red.
El direccionamiento IP está dado mediante una red (192.168.0.0/24) que es de
clase C e ip’s públicas para aplicativos que la organización requiere publicar al
internet.
52
3.6.12. Seguridad Física y Lógica
El centro de procesamiento de datos se encuentra ubicado en el primer piso del
centro de Audiovisual y Multimedia CAM, su espacio físico se encuentra
compartido con los equipos de televisión donde tiene acceso el personal de radio
y tv y tecnologías, es decir, no poseen políticas de acceso. El centro de datos no
posee certificación de ningún tipo por lo que en su entorno actual el aire
acondicionado está dañado, no están reguladas las instalaciones eléctricas lo
que a futuro ocasionaría el daño de los equipos. No existe un plan de prevención
o detección de incendios, fugas de agua o desastres naturales. Tampoco hay un
plan de respaldos de la información de la organización.
El CIESPAL tiene instalado un antivirus de paquete empresarial con 60 licencias,
al momento está por caducarse, pero con el crecimiento de los usuarios no
abastece a todos la protección y son vulnerables en la red, las contraseñas de
los servidores son inseguras pues la organización no maneja una política para la
generación de contraseñas seguras, no hay un plan de acceso hacia los
aplicativos o sistemas de la organización mediante un usuario y contraseña. No
existe un aplicativo de detección y prevención de intrusos.
3.6.13. Diagnóstico de Red
El tráfico de red se midió en toda la infraestructura tanto de los edificios del CAM
como en el Edificio Principal, observando que los servicios que se manejan en la
red no se encuentran priorizados ni distribuidos de tal manera que esto causa
congestión al momento de realizar las diferentes actividades de voz, video y
datos, lo que causa molestias en los usuarios finales. El diagnóstico de red se
realizó durante quince días, en el horario de 9 a 17 horas, en el enlace de 6 Mbps
para lo cual se utilizó un equipo con las siguientes características:
o Intel Core 2 Duo
o 4 GB Ram
o 500 gb en Disco Duro
53
El equipo que se utilizó para realizar el diagnóstico de red se conectó en el switch
10/100 de Tecnologías (12) que se puede observar en el gráfico 10, en la cual
se instaló las siguientes herramientas para obtener información de la red de
comunicaciones:
- Wireshark 1.10.6 sobre Windows
- Ntop
- VE Network Catcher Lite
A continuación se presentan los datos que se obtuvieron:
Gráfico 12. Promedio porcentaje de paquetes por protocolo en la red Autor: Tesista
Fuente: Herramienta Wireshark
TCP
UDP
IGMP
ICMP
OTROS
Promedio de porcentaje de paquetes por protocolo en la red
TCP 79,63 %
UDP 11,49 %
IGMP 0,75 %
ICMP 0,79 %
OTROS (ARP, STP, IPV6) 7,33 %
IP (TCP, UDP, IGMP, ICMP) 92,67 %
(IP + OTROS) 100 %
54
Gráfico 13. Promedio porcentaje de paquetes por aplicación en la red Autor: Tesista
Fuente: Herramienta Ntop
Herramienta Wireshark
Es un analizador de paquetes de red de código abierto que permite examinar
detalladamente un paquete de red, con el fin de solucionar problemas de red y
examinar problemas de seguridad.
La instalación y configuración del programa wireshark se la ha realizado como
indica la guía en el siguiente link: https://www.wireshark.org, para la finalidad de
este proyecto a continuación se detallará las reglas de colores que se usan en la
corrida del sistema.
En la interfaz principal de wireshark, vamos a la barra de herramientas a la
pestaña “View” y damos clic en “Coloring Rules”, y muestra la siguiente imagen.
REDES SOCIALES
APLICACIONES P2P
APLICACIONES DE AUDIO Y VIDEO
APLICACIONES SSL
OTROS
Promedio porcentaje de paquetes por aplicación en la red
REDES SOCIALES (Twitter,Facebook, etc) 20,73 %
APLICACIONES P2P (GrooveShark,uTorrent, Ares) 19,87 %
APLICACIONES DE AUDIO Y VIDEO(Youtube, Vimeo, Streaming) 38,29 %
APLICACIONES SSL (Bancos,Compras) 15,47 %
OTROS 5,64 %
55
Gráfico 14. Coloración de paquetes Wireshark Autor: Tesista
Fuente: Herramienta Wireshark
La coloración de paquetes es un mecanismo que utiliza wireshark. La imagen
anterior muestra como viene configurado por defecto las reglas para colorear
paquetes de acuerdo a un filtro de pantalla, estas reglas se pueden crear, editar,
eliminar de esta manera permite enfatizar en los paquetes que se esté interesado
en analizar. Cada regla proporciona un nombre, un filtro, un color y la habilitación
de la misma.
Para interés de este proyecto a continuación se muestra la captura del tráfico
generado en Wireshark, donde se observa que los paquetes de la línea negra es
“Bad TCP” de acuerdo a la coloración proporcionada en el gráfico anterior, para
saber el significado con mayor detalle de cada una de estas líneas podemos ver
en “Info”, que se tienen paquetes retrasmitidos, duplicación de ACK, paquetes no
capturados, por lo que se determina que existe problemas de conectividad en la
56
red a través de la pérdida de información como se observa en la siguiente
imagen.
Gráfico 15. Interfaz Gráfica Wireshark
Autor: Tesista Fuente: Herramienta Wireshark
Para concluir con el diagnóstico se realizó un análisis sobre el enlace de red (6
Mbps) utilizando el comando ping, el programa VE Network Catcher Lite, entre
otras herramientas de internet para determinar los valores de los parámetros de
calidad de servicio que más aportan y, así determinar la mejora de las
aplicaciones que utilizan voz, video y datos en la red.
Herramienta VE Network Catcher Lite
Es una herramienta gratuita que realiza escuchas de red para obtener el registro
de la latencia y pérdida de paquetes desde un ordenador hacia cualquier sitio en
internet, solo basta descargar el aplicativo de internet y ejecutarlo. En el programa
se configura parámetros como: dirección de internet, intervalo de muestreo (ms),
tiempo de grabación (s), tamaño de paquetes (Bytes), Tipo de servicio, luego dar
clic en el botón “inicio de grabado”.
57
Gráfico 16. Interfaz Gráfica VE Network Catcher Autor: Tesista
Fuente: Herramienta VE Network Catcher
A continuación, se presenta una tabla con los valores de las métricas de QoS que
se obtuvo sobre los días donde no hubo eventos, es decir, donde todo el ancho
de banda es utilizado únicamente por el personal interno y sus aplicaciones sobre
el enlace de 6 Mbps.
58
Tabla 6. Parámetros de QoS día normal 6 Mbps Autor: Tesista
Fuente: Ping, internet
La siguiente tabla da información sobre los parámetros QoS en días que se
realizaron eventos en las instalaciones de la organización.
Tabla 7. Parámetros de QoS día evento 6 Mbps
Autor: Tesista Fuente: Ping, internet
Como resultado se observa que cuando existe eventualidades en la intranet los
valores de las métricas de QoS que se ha considerado en este proyecto se
incrementan, esto se debe a la infraestructura que posee la red de datos y a la
falta de administración de ancho de banda para los servicios y aplicaciones que
se ocupan en la red.
Parámetros QoS (Día Normal) Valores
Latencia Mínima 42 ms
Latencia Media 65 ms
Latencia Máxima 156 ms
Variación de Latencia (Jitter) 36 ms
Pérdida de paquetes 3 %
Disponibilidad proveedor
Telconet
99.6%
Parámetros QoS (Evento) Valores
Latencia Mínima 51 ms
Latencia Media 97 ms
Latencia Máxima 198 ms
Variación de Latencia
(Jitter)
40 ms
Pérdida de paquetes 9.37 %
Disponibilidad proveedor
Telconet
99.6%
59
3.6.14. Conclusiones del análisis de la red actual
La congestión de red es mayor cuando se maneja aplicaciones de voz y
video que a su vez se presentan de forma entrecortada y con lentitud.
Existe indisponibilidad de los servicios de red porque se tienen medios
compartidos ocasionando así colisiones en la red y la pérdida de
información.
El cableado de red del CIESPAL actualmente no cumple con normas y
estándares de un cableado estructurado.
Los equipos de red requieren de cambio para brindar un servicio de
calidad.
El data center al momento no cuenta con una nomenclatura estándar que
le permita funcionar a prueba de fallos.
El acceso a internet tiene disponibilidad a través del proveedor, sin
embargo la falta de segmentación en la red y, la administración de ancho
de banda a través de una herramienta hace que el flujo de tráfico sature el
canal.
60
CAPÍTULO 4
4. PROPUESTA PARA LA RED CIESPAL
En este capítulo se realizará el diseño de la nueva de red de comunicaciones del
CIESPAL y la restructuración la cual constará de una red WAN, LAN y DMZ,
constituyendo la red de forma segmentada, promoviendo además la utilización
de una herramienta open source que se adapte a las necesidades de la
organización y que ofrezca calidad de servicio. Además que se implementarán
seguridades y se definirán las características técnicas de los equipos de red.
4.1. Requerimientos de la nueva red del CIESPAL
4.1.1. Criterios Generales para la implantación
La red de comunicaciones del CIESPAL se encuentra actualmente
distribuida en los edificios que la conforman siendo así el edificio principal
y el CAM.
El diseño de red se realizará bajo la arquitectura SONA la cual permitirá la
administración y el mantenimiento de la misma al personal de tecnologías.
En el diseño además se considerará los servicios y aplicaciones que a
futuro se implementarán en la red como telefonía IP.
La red inalámbrica estará basado en estándares 802.11 b/g/n para su
consumo y compatibilidad con el resto de dispositivos.
Se promoverá la implementación de una herramienta de software libre que
brinde seguridad y calidad de servicio en la red de comunicaciones de la
organización.
4.1.2. Requerimiento de usuarios
Los datos que se muestran a continuación se los tomaron en los meses de Mayo
2014, siendo el total de usuarios 47.
61
Tabla 8. Requerimiento de usuarios nueva red Autor: Tesista
Fuente: Investigación de Campo
Los usuarios esperan una red de comunicaciones rápida y confiable para el buen
funcionamiento de la organización. La red debe contar con tecnologías y
estándares que proporcionen calidad en los recursos y servicios de la
infraestructura tecnológica, además que debe estar sujeta a cualquier cambio de
modo que sea fácil de administrar y configurar equipos, usuarios y sistemas,
proveyendo de seguridad la conexión de red mediante el constante monitoreo del
enlace.
4.1.3. Acceso a internet
Mediante la herramienta de monitorización de tráfico de red que se encuentra
conectado al enlace de 6Mbps se ha identificado que el tráfico de red en la LAN
utiliza 4,72 Mbps promedio por día para los 47 usuarios actualmente, se estima
Pisos Departamento Nº Usuarios
Primer Piso CAM Multimedia 5
Segundo Piso CAM Edición TV 2
Producción y Estudio de Radio 8
Mezzanine Centro de Copiado 1
Planta Baja Servicios Generales 2
Piso Auditorio Centro Eventos 1
Primer Piso
Ed. Principal
Planificación 5
Dirección General 2
Administración Financiera 4
Tecnologías 2
Segundo Piso
Ed. Principal
Investigación 5
Capacitación 3
Publicaciones 3
Documentación 4
Total 47
62
que para el próximo año el crecimiento de usuarios será de un 20% por lo que se
requerirá 5,62 Mbps de ancho de banda promedio por día.
Gráfico 17. Acceso a internet por día y mes Autor: Tesista
Fuente: Tráfico de red
4.1.4. Requerimiento de aplicaciones
Aplicaciones que actualmente operan en CIESPAL
Web ciespal.net
Para obtener la capacidad que se necesita para acceder a la aplicación se
sabe que se transmite 50 KB en 4 segundos.
63
𝐶𝑤𝑒𝑏 = 𝑇𝑤𝑒𝑏 ∗ 𝑡𝑤𝑒𝑏
𝐶𝑤𝑒𝑏 =50 𝐾𝐵
4 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑤𝑒𝑏 = 100 𝐾𝑏/𝑠
𝐶𝑤𝑒𝑏 Capacidad de flujo para acceder al sistema
𝑇𝑤𝑒𝑏 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑤𝑒𝑏 Tiempo promedio de respuesta del sistema
Correo Institucional
La capacidad requerida para el correo que tiene como tamaño promedio
de datos 512 KB, se transmitirá en 15 segundos.
𝐶𝑐𝑜𝑟𝑟𝑒𝑜 = 𝑇𝑐𝑜𝑟𝑟𝑒𝑜 ∗ 𝑡𝑐𝑜𝑟𝑟𝑒𝑜
𝐶𝑐𝑜𝑟𝑟𝑒𝑜 =512 𝐾𝐵
15 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑐𝑜𝑟𝑟𝑒𝑜 = 273,06 𝐾𝑏/𝑠
𝐶𝑐𝑜𝑟𝑟𝑒𝑜 Capacidad de flujo para acceder al sistema
𝑇𝑐𝑜𝑟𝑟𝑒𝑜 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑐𝑜𝑟𝑟𝑒𝑜 Tiempo promedio de respuesta del sistema
Antivirus
Para acceder al sistema de antivirus que tiene la institución se sabe que
el tamaño es de 100 KB en un tiempo de 10 segundos.
𝐶𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 = 𝑇𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 ∗ 𝑡𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠
64
𝐶𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 =100 𝐾𝐵
10 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 = 80 𝐾𝑏/𝑠
𝐶𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 Capacidad de flujo para acceder al sistema
𝑇𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑎𝑛𝑡𝑖𝑣𝑖𝑟𝑢𝑠 Tiempo promedio de respuesta del sistema
D-Space
Para acceder a los datos del repositorio de la organización se tiene que se
transmite 60 KB promedio en 5 segundos.
𝐶𝑑𝑠𝑝𝑎𝑐𝑒 = 𝑇𝑑𝑠𝑝𝑎𝑐𝑒 ∗ 𝑡𝑑𝑠𝑝𝑎𝑐𝑒
𝐶𝑑𝑠𝑝𝑎𝑐𝑒 =60 𝐾𝐵
5 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑑𝑠𝑝𝑎𝑐𝑒 = 96 𝐾𝑏/𝑠
𝐶𝑑𝑠𝑝𝑎𝑐𝑒 Capacidad de flujo para acceder al sistema
𝑇𝑑𝑠𝑝𝑎𝑐𝑒 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑑𝑠𝑝𝑎𝑐𝑒 Tiempo promedio de respuesta del sistema
Biométrico
Para realizar el acceso al sistema se tiene como tamaño promedio de
transmisión 60 KB y un tiempo de 3 segundos.
𝐶𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 = 𝑇𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 ∗ 𝑡𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜
65
𝐶𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 =60 𝐾𝐵
3 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 = 160 Kb/s
𝐶𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 Capacidad de flujo para acceder al sistema
𝑇𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑏𝑖𝑜𝑚é𝑡𝑟𝑖𝑐𝑜 Tiempo promedio de respuesta del sistema
Video vigilancia
Para acceder a esta aplicación se tiene 256 KB promedio de datos y en un
tiempo de acceso de 13 segundos.
𝐶𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 = 𝑇𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 ∗ 𝑡𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎
𝐶𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 =256 𝐾𝐵
13 𝑠𝑒𝑔𝑢𝑛𝑑𝑜𝑠∗
8 𝑏𝑖𝑡𝑠
1 𝑏𝑦𝑡𝑒
𝐶𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 = 157,53 𝐾𝑏/𝑠
𝐶𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 Capacidad de flujo para acceder al sistema
𝑇𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 Tamaño promedio de datos que se envían hacia el sistema
𝑡𝑣𝑖𝑑𝑒𝑜𝑣𝑖𝑔𝑖𝑙𝑎𝑛𝑐𝑖𝑎 Tiempo promedio de respuesta del sistema
Livestream
Velocidad de transmisión: 512 Kbps
Codificador: H.264
Canal: Stereo
66
Número de usuarios: máximo 50
Radio Online
Velocidad de transmisión Stream: 64 Kbps
Velocidad de transmisión Record: 192 Kbps
Códec: mp3
Canal: Stereo
Número de usuarios: máximo 250
Aplicaciones por implementarse
Telefonía IP
Para el desempeño de este nuevo sistema se necesita saber el ancho de
banda para la transmisión de VoIP, a continuación se presenta una tabla
con los códecs de voz más utilizados:
ITU-T códec G.711 G.723.1 G.726 G.728 G.729A
Tipo de códec PCM43 ACELP44 ADPCM45 LD-CELP46 CS-ACELP47
Máximo retraso
de códec (ms)
0,375 97,5 0,375 1,875 35
Velocidad de
bits (Kbps)
64 5,3 16/24/32/40 16 8
Intervalo de
empaquetado
(ms)
20 30 10 20 10
43 PCM.- Pulse Code Modulation 44 ACELP.- Algebraic Code Excited Linear Prediction 45 ADPCM.- Adaptive Differential Pulse Code Modulation 46 LD-CELP.- Low-Delay Code Excited Linear Prediction 47 CS-ACELP.- Conjugate Structure Algebraic Code Excited Linear Prediction
67
Pps 50 33,33 100 50 100
Tamaño de
carga útil
(bytes)
160 20 20 40 10
Tamaño de
paquete (bytes)
200 60 60 80 50
Velocidad de
transmisión
(Kbps)
80 15,998 48 32 40
MOS 4,1 3,8 3,85 3,61 3,92
Tabla 9. Códecs VoIP
Autor: Tesista Fuente: Internet
Tipo de códec: Es un algoritmo de compresión de voz.
Máximo retraso de códec (ms): Es el tiempo máximo que tarda en propagarse la
señal de voz.
Velocidad de bits (Kbps): De acuerdo al tipo de códec, es el número de bits que
es preciso trasmitir por segundo para enviar una llamada de voz.
Intervalo de empaquetado (ms): es el intervalo de tiempo en el cual opera el
códec.
Pps: es el número de paquetes que se transmite por segundo para enviar la
velocidad de bits del códec.
Tamaño de carga útil (bytes): es el número de bytes o bits que comprende un
paquete.
Tamaño de paquete (bytes): es el número de bytes capturados por el procesador
de señales digitales
Velocidad de transmisión (Kbps): Es el ancho de banda que ocupa una
conversación de voz ip.
68
MOS: es un sistema de calificación de la calidad de voz en conexiones telefónicas
a través de un grupo de oyentes que pueden clasificar la calidad de voz en escala
del 1 (mala) a 5 (excelente).
En la tabla se observa los valores de los códecs de voz y de acuerdo a la
complejidad que presentan los algoritmos de compresión se evalúa la calidad de
una llamada mediante el ancho de banda requerido. En la actualidad el códec
G.729A es el más utilizado para actividades de VoIP, debido a que ofrece una
alta compresión, es decir, utiliza poco ancho de banda mientras ofrece una buena
calidad de voz, por esta razón es el que se recomienda para implementar en la
nueva red.
4.1.5. Aplicaciones de misión crítica
Entre las aplicaciones de misión crítica de la organización tenemos:
Telefonía IP
Streaming de video en vivo
Radio On-line
Video vigilancia
Cuando se realicen eventos, conferencias, talleres que requieran de estos
aplicativos se realizará una priorización de tráfico para no afectar la navegación
ni de los colaboradores ni de los invitados y así optimizar el tráfico.
4.2. Diseño de la nueva red de datos
4.2.1. Marco abierto para diseño y gestión de red
Para el diseño de la nueva red se ha considerado utilizar como marco de
referencia la arquitectura SONA que permitirá crear un diseño óptimo.
Cisco ha creado SONA (Arquitectura de Red Orientada a Servicios), la cual
permite crear un diseño de red inteligente basado en tres capas fundamentales
que se indican en el siguiente gráfico:
69
Gráfico 18. Arquitectura SONA Cisco Autor: Tesista
Fuente: Internet
SONA es un marco de referencia para crear soluciones empresariales robustas
y consistentes, en función de servicios que tiene una red de comunicaciones y
que se despliegan a través de las aplicaciones respectivas.
Capa de infraestructura física
Es aquella que contiene la arquitectura de red empresarial: dispositivos de
red, enlaces de comunicación, etc. Esta capa tiene prestaciones como
redundancia en una infraestructura de red y seguridad de capa de red para
hacer cumplir las políticas de la organización, según se necesite.
Capa de núcleo de servicios comunes
Hace que los servicios sean virtualizados, para proporcionar su consumo en
un ambiente de red que puede ser disperso o centralizado.
Capa de aplicaciones
Esta capa proporciona un conjunto de aplicaciones confiables y de gran
funcionalidad en la empresa.
70
4.2.2. Sistema de Cableado Estructurado
Debido a la evolución de los equipos y necesidades de los usuarios, se deberá
crear un sistema principal del cual se extiendan subsistemas y así formar una
estructura jerarquizada que se organiza por niveles, permitiendo modificar las
áreas de trabajos y distribución del servicio de internet alámbrico mediante la
escalabilidad y flexibilidad. A continuación se ha considerado los subsistemas de
cableado estructurado desde el nivel jerárquico más bajo:
Localización de cada puesto de trabajo
A cada puesto de trabajo deben llegar todos los medios de transmisión de la
señal que requiera cada equipamiento: UTP, STP, fibra óptica, etc.
Subsistema horizontal o de planta
Este subsistema permite la comunicación desde el cuarto de
telecomunicaciones hasta la toma de cada usuario mediante ductos o
instalación de canaletas para la distribución del cableado en estrella. La
distancia ideal desde el subsistema distribuidor hasta la toma del usuario es
de 90 m y para la comunicación entre el área de trabajo y puentes o patchcord
un máximo de 10 m.
Subsistema distribuidor o administrador
Este subsistema incluye: los racks, distribuidores de red con sus latiguillos,
etc.
Subsistema vertical o backbone
Este subsistema es que el que permite la interconexión de todos los
subsistemas horizontales tales como: centro de datos, salas de equipos y
servicios de entrada.
Subsistema de campus
71
Este subsistema extiende el área de red local hacia un ambiente de varios
edificios, es decir, se parece a una red MAN en cuanto a su extensión, pero
mantiene toda la funcionalidad de una red de área local.
Cuartos de entrada de servicios, telecomunicaciones y equipos
Son los lugares donde se recogen las entradas de los servicios externos a la
organización (acceso a internet, líneas telefónicas, etc.), la instalación de
dispositivos de comunicación, y equipos de informática centralizados.
4.2.3. Selección del cableado y acceso a internet
En función de los requerimientos de la organización para el cableado
estructurado se considerará el estándar EIA/TIA-568-B y se ha optado por
tecnología Gigabit Ethernet mediante categoría 6 aumentado (cat 6A) ya que su
vida útil es de 10 años y soporta tecnología 10GBASE-T alcanzando una
distancia máxima de 100 metros, además que se con esta elección se asegurará
que la red de datos brinde un buen servicio de voz, video y datos y, que a su vez
la información de las distintas aplicaciones como página web, correo,
transferencia de archivos y más, llegue a los usuarios finales de forma rápida.
Se ha propuesto que el acceso a internet sea uno solo de 10 Mbps ya que esto
permitirá la administración del ancho de banda entre los diferentes usuarios y
servicios.
4.2.4. Centro de Datos
En función de los requerimientos técnicos por parte del Departamento de
Tecnologías y basándose en el estándar TIA-942, para el diseño del centro de
datos se tomará en cuenta las siguientes características:
Ubicación
Para seleccionar el lugar donde operará el data center se debe considerar
que no exista interferencias electromagnéticas, el sitio debe ser accesible
para los equipos de red de gran tamaño. No debe limitar la expansión del
72
espacio, es decir, que tenga opción a crecer el centro de procesamiento de
datos. El lugar tendrá piso y techo falso.
Control ambiental
El ambiente del lugar debe sustentarse bajo un equipo de aire acondicionado
que proporcione temperaturas de 18º C hasta 27º C, y control de humedad de
50% ± 10º C. Mantener estos valores evitará condensaciones de los equipos
por motivos de humedad, pero en cambio si el entorno del lugar es seco
evitará la estática.
Energía eléctrica
Se deberá plasmar un sistema de energía ininterrumpida UPS para las
instalaciones del centro de datos en especial para los equipos de conexión de
red y servidores críticos, proporcionando seguridad y redundancia ante fallos
eléctricos.
Protección contra riesgos físicos
Se determinará protección contra el fuego, inundaciones, tormentas,
mediante sistemas de detección, alarma y extinción mediante sensores,
pulsadores, etc, lo que permitirá anticiparse a que estos riesgos crezcan
evitando daños mayores como pérdidas de información o humanas.
Seguridad
La seguridad física es importante ya que evitará el ingreso de personal no
autorizado. Para ello se creará un control de acceso en recepción y otro en la
puerta del centro de datos mediante una tarjeta de acceso o seguros
eléctricos, acceso biométrico. Además se contempla el sistema de guardianía
que tiene actualmente el CIESPAL los 365 días del año y la expansión del
sistema de video vigilancia.
73
4.2.5. Equipos de Conexión de Red
Actualmente el CIESPAL no cuenta con equipos de red modernos por lo que se
requiere de cambio de los mismos para el nuevo diseño de red, y para cuando
se implemente esta infraestructura se recomienda tomar en cuenta las
características técnicas de los equipos de red del ítem 4.2.6. Se contemplará para
el diseño los siguientes equipos de red:
Pisos Rack Patch Panel Equipo de red
Primer piso CAM 12 U 48 puertos 1 sw 48-puertos
Segundo piso CAM 12 U 48 puertos 1 sw 48-puertos
Piso auditorio 12 U 24 puertos 1 sw 24-puertos
Piso salas capacitación 12 U 24 puertos 1 sw 24-puertos
Piso mezzanine 12 U 48 puertos 1 sw 48-puertos
Primer piso ed. principal 12 U 48 puertos 1 sw 48-puertos
Segundo piso ed.
principal
12 U 48 puertos 1 sw 48-puertos
Tercer piso ed. principal 12 U 24 puertos 1 sw 24-puertos
Tabla 10. Cantidad de equipos de red nuevos
Autor: Tesista Fuente: Investigación de Campo
A continuación se presenta un gráfico donde se observa la ubicación de los
respectivos switches de distribución y de acceso en los pisos del Edificio Principal
y el CAM del CIESPAL, respectivamente.
74
Gráfico 19. Diagrama de los equipos y cableado de la nueva red Autor: Tesista
Fuente: Investigación de campo
4.2.6. Características técnicas de los equipos para la red
En la siguiente tabla se indica las características técnicas de los equipos
necesarios de red.
Equipo de red Características técnicas
Router Tecnología y conexión que soporten Gigabit Ethernet
Puertos de fibra óptica
Compatibilidad con IPv6
Conectividad VPN segura para trabajadores remotos
Funciones de seguridad como:
Cifrado
Autenticación
Control de acceso
VPN con SSL y seguridad IP (IPsec48)
Interfaz de administración basada en web
48 IPsec.- Internet Protocol security
75
Routing de acceso de usuarios temporales y de DMZ
Switch Tecnología y conexión que soporten Gigabit Ethernet
Puertos compatibles con IPv6
Soporte Etherchannel
Puertos de fibra óptica
Capacidad de administración de toda la red
Interfaz de administración basada en web
Seguridad avanzada para proteger la red de usuarios
no autorizados como:
Listas de control de acceso (ACL`s)
Vlan’s privadas
Seguridad en puertos
Escalabilidad de red y mayor disponibilidad
Alimentación CA estándar y compatibilidad con
conexión PoE49
Access point Tecnología y conexión que soporten Gigabit Ethernet
Alimentación CA estándar y compatibilidad con
conexión PoE.
Permite acceso a los usuarios temporales y con
funciones de seguridad como:
Listas de control de acceso y filtrados de MAC
Cifrado de acceso con WPA250
Detección de puntos de acceso dudosos
Compatibilidad con conectividad inalámbrica
802.11b/g/n.
Permitir la conexión de computadores portátiles y
dispositivos móviles y eliminar interferencia con otros
dispositivos inalámbricos.
49 PoE.- Power over Ethernet 50 WPA2.- Wi-Fi Protected Access 2
76
Instalar, configurar y administrar con facilidad los
distintos puntos de acceso inalámbrico mediante un
controlador.
Antenas Omnidireccionales.
Tabla 11. Características técnicas para nuevos equipos de red
Autor: Tesista Fuente: Internet
77
4.2.7. Diseño Físico
Gráfico 20. Diagrama físico de la nueva red Autor: Tesista
Fuente: Investigación de Campo
78
4.2.8. Asignación de Vlan’s
En la siguiente tabla se indica la distribución de las vlan’s del nuevo diseño:
Nº Id Vlan Nombre Vlan Nº host Ubicación
1 10 Servidores 12 Data Center
2 20 Directores 20 Oficinas de Ed. Principal y CAM
3 30 Funcionarios 28 Oficinas de Ed. Principal y CAM
4 40 Invitados 30 Oficinas de Ed. Principal y CAM
5 50 Wireless LAN 15 Oficinas de Ed. Principal y CAM
6 60 Telefonía IP 40 Oficinas de Ed. Principal y CAM
7 70 Video vigilancia 5 Oficinas de Ed. Principal y CAM
Tabla 12. Asignación de Vlan’s
Autor: Tesista Fuente: Investigación de Campo
4.2.9. Direccionamiento IP y ruteo
Direccionamiento IP Privado
Para el direccionamiento de red se escogió una red clase C que nos permitirá
escalabilidad y flexibilidad, así en la DMZ se propone utilizar la red 192.168.5.0/24
y para la red interna la red 192.168.6.0 /24.
Id Vlan Nombre Vlan Red CIDR Máscara
10 Servidores 192.168.5.0 28 255.255.255.240
20 Directores 192.168.6.0 27 255.255.255.224
30 Funcionarios 192.168.6.32 26 255.255.255.192
40 Invitados 192.168.6.96 27 255.255.255.224
50 Wireless LAN 192.168.6.128 27 255.255.255.224
60 Telefonía IP 192.168.6.160 26 255.255.255.192
70 Video vigilancia 192.168.6.224 29 255.255.255.248
Tabla 13. Direccionamiento IP privado
Autor: Tesista Fuente: Investigación de Campo
79
Direccionamiento IP público
Nº Equipo Red Máscara
1 Internet 181.211.XX.XX 255.255.255.248
2 Router 192.168.X.0 255.255.255.252
Tabla 14. Direccionamiento IP público Autor: Tesista
Fuente: Investigación de Campo
4.2.10. Planos del diseño de la nueva red
La distribución de la red del CIESPAL se realizó en los pisos del Edificio Principal
y el CAM, en el ANEXO E se representa los planos del diseño para la nueva red.
80
4.2.11. Diseño Lógico
Gráfico 21. Diagrama lógico de la nueva red Autor: Tesista
Fuente: Investigación de Campo
81
4.3. Características de la Red Inalámbrica
4.3.1. Usuarios en la red inalámbrica
Los usuarios que utilizan la red inalámbrica son los directivos, funcionarios y
adicionalmente instituciones o grupos que alquilan las instalaciones como las
salas de capacitación y auditorio para desarrollar cursos, talleres,
videoconferencias, etc. Entonces cuando estas instalaciones se encuentran
copadas y de acuerdo a los requerimientos de servicio de internet se prevé que
150 personas podrán acceder mediante dispositivos inalámbricos. Se debe
destacar las ventajas principales de redes Wi-Fi como: movilidad de usuarios y
dispositivos, menor coste y menor tiempo de instalación.
Es por ello que de acuerdo a la necesidad de uso de internet de los clientes del
CIESPAL se requerirá de una controladora para gestionar los diferentes puntos
de acceso inalámbrico permitiendo configurar valores como: autenticación,
seguridad, canales y potencias de RF.
4.3.2. Compatibilidad de equipos en la red inalámbrica
Los dispositivos inalámbricos que operan en la institución funcionan bajo
estándares 802.11b y 802.11g (frecuencia de 2,4 GHz).
En la actualidad se tiene un nuevo estándar que se ha introducido ya en el
mercado y está presente en los equipos, es el 802.11n y opera en una frecuencia
de 2.4 GHz y 5 GHz pudiendo transmitir a una velocidad de hasta 300 Mbps,
mediante la tecnología MIMO51.
Los productos como tarjetas de red, adaptadores, laptops que son de estándar
802.11b y 802.11g son compatibles para conectarse hacia puntos de acceso que
tenga el estándar 802.11n sin ningún inconveniente, en base a esto se propone
el uso de la tecnología 802.11n en la red inalámbrica del CIESPAL.
51 MIMO.- Multiple-Input Multiple-Output
82
4.3.3. Seguridad en la red inalámbrica
Las redes inalámbricas son vulnerables y hay que tomar medidas de seguridad
mediante:
Cambiar el nombre del SSID del fabricante del equipo.
Desactivar la difusión del identificador de red SSID52, evita usuarios no
admitidos.
No utilizar las contraseñas por defecto de router inalámbrico.
Elegir una contraseña segura que contenga números, letras mayúsculas y
minúsculas y caracteres especiales.
Utilizar la seguridad WPA/WPA2 mediante el cifrado AES, se debe colocar
una contraseña robusta para evitar ataques de fuerza bruta.
Proporcionar portales cautivos a los usuarios visitantes en la organización,
los mismos que regulan el acceso a la red mediante el nivel de aplicación,
de esta forma solo podrá ingresar el usuario que tenga las credenciales
proporcionadas por tecnologías.
4.4. Entorno de red para la herramienta de seguridad y QoS
A continuación se presenta un gráfico del ambiente de red donde se colocará la
herramienta de software libre para realizar las pruebas de QoS y seguridad en la
red.
52 SSID.- Service Set IDentifier
83
Gráfico 22. Entorno de red para la herramienta de QoS Autor: Tesista
Fuente: Data Center CIESPAL
4.5. Herramienta open source con calidad de servicio
4.5.1. Comparativa de herramientas que ofrecen QoS
Debido a la economía de CIESPAL se ha determinado utilizar una herramienta
de software libre que permita adaptarse a la red de tal forma que brinde seguridad
y calidad de servicio, en la cual se ha realizado la comparación de dos
herramientas bajo licencia GPL.
84
Aspectos
Generales
Parámetros de Comparación Zentyal SmoothWall
Interfaz gráfica
Interfaz gráfica sencilla Sí Sí
Interfaz disponible en varios idiomas Sí Sí
Interfaz disponible en español Sí Sí
Características
Generales
Accesible por interfaz web Sí Sí
Basado en Iptables Sí Sí
Licencia GPL Sí Sí
Desarrollo de plugins Sí No
Funcionalidades
División del tráfico por categorías Sí No
Definición de servicios Sí Sí
QoS a nivel de puerto/aplicación Sí Sí
QoS a nivel de direcciones IP o
rangos de direcciones
Sí No
Tasa garantizada o limitada de
ancho de banda por direcciones o
rangos IP
Sí No
Redirección de puertos Sí Sí
SNAT Sí No
Proxy transparente/ no transparente Sí Sí
Cortafuegos Sí Sí
IDS Sí Sí
IPS Sí No
Registro de eventos (proxy,
cortafuegos, IDS/IPS, etc.)
Sí No
Actualizaciones de la aplicación y
kernel
Sí Sí
Requisitos
mínimos de
hardware
CPU 1,5 GHz 1,5 GHz
Memoria RAM 1 GB 64 MB
Espacio en disco 80 GB 80 GB
Tabla 15. Comparativa de herramientas con QoS
Autor: Tesista Fuente: Investigación de Campo
85
En base a esta comparación se puede otorgar que zentyal es más potente y con
sus características hace un todo en uno de una herramienta de seguridad
confiable y garantizada.
Se ha definido la propuesta de red del CIESPAL a través de los siguientes
componentes:
Sistema de Cableado estructurado
Centro de datos
Un sistema que brinde QoS y seguridad en la red de comunicaciones
4.6. Solución que brinda la herramienta Zentyal
Zentyal se ha desarrollado para el apoyo de administración de redes y seguridad,
enfocándose en pymes que requieren aplicaciones de bajo coste y de gran
producción.
Es así que zentyal funciona bajo los reglamentos de GPL53 y está basado en la
distribución de Ubuntu, cabe destacar que gestiona la infraestructura de red
mediante el acceso a internet, seguridad en la red, compartición de recursos y
las comunicaciones, todo esto en una única plataforma.
Además zentyal ofrece una edición de software comercial que tiene
interoperabilidad nativa con Microsoft Active Directory y Microsoft Exchange
Server.
4.6.1. Diseño de Zentyal
Zentyal es una aplicación web escrita en Perl, que se argumenta en un marco de
desarrollo que facilita la creación de nuevo código y su programación está
orientada a objetos utilizando:
- Servidor Apache que incorpora mod_perl
- Componentes Mason con bloques de construcción
53 GPL- General Public License
86
En su diseño incluye técnicas de programación modernas como:
Patrones de diseño
Tolerancia a fallos
Desacoplamiento de la lógica y presentación
4.6.2. Componentes de software libre
Zentyal se encuentra estructurado de una gama de componentes de código libre
que a continuación se anuncian: Apache, mod-perl, openSSL, netfilter/Iptables,
BIND, squid, DansGuardian, postfix, Ntpd, samba, APT54, asterisk, snort, zarafa,
dovecot, etc.
4.6.3. Ciclo de vida
Tanto las ediciones comerciales como las ediciones de comunidad que en este
caso se utilizará se van actualizando en función de la última versión de LTS55 de
Ubuntu Server y a partir de la versión Zentyal 3.2 el soporte será durante 4,5
años.
Ciclo de vida Zentyal (versiones estables)
Lanzamiento Fin de soporte Edición Servidor
Zentyal
Edición servidor
Ubuntu
Septiembre/2012 Septiembre/2015 Zentyal 3.0 12.04 LTS
Septiembre/2013 Marzo/2018 Zentyal 3.2 12.04 LTS
Octubre/2014 Marzo/2019 Zentyal 4.0 14.04 LTS
Tabla 16. Ciclo de vida versiones de Zentyal
Autor: Tesista Fuente: Internet
54 APT.- Advanced Packaging Tool 55 LTS.- Long-Term Support
87
Gráfico 23. Ciclo de vida zentyal Autor: Tesista
Fuente: www.zentyal.com
4.6.4. Módulos de Zentyal
Los módulos o perfiles de Zentyal que se pueden utilizar son:
Zentyal Gateway.- Zentyal actúa como la puerta de enlace de la red local
ofreciendo un acceso a Internet seguro y controlado.
Zentyal Infrastructure.- Zentyal gestiona la infraestructura de la red local
con los servicios básicos: DHCP, DNS, NTP, servidor HTTP, etc.
Zentyal Office.- Zentyal actúa como servidor de recursos compartidos de
la red local.
Zentyal Unified Communications.- Zentyal se convierte en el centro de
comunicaciones de la empresa.
4.6.5. Requerimientos de hardware
Zentyal se maneja sobre arquitecturas estándar de 32 y 64 bits. Los
requerimientos de hardware para el despliegue de sistema con cualquiera de los
módulos mencionados anteriormente, se indican en la siguiente tabla:
88
Tabla 17. Requerimientos de hardware para Zentyal Autor: Tesista
Fuente: www.zentyal.org
4.7. Guía de instalación del Zentyal
4.7.1. Método de instalación
La versión que se ha elegido para la instalación es Zentyal 3.2 de arquitectura 64
bits para un mejor desempeño de la aplicación sobre un servidor.
Para instalar zentyal 3.2 se eligió utilizar un DVD con la imagen .iso del aplicativo,
por consiguiente se ingresa el DVD en el lector de discos, se espera hasta que
arranque el sistema desde el DVD.
Módulo de
Zentyal
Usuarios CPU Memoria Disco Tarjetas
de red
Puerta de
acceso
< 50 P4 o superior 2 GB 80 GB 2 ó más
50 o más Xeon dual core o
superior
4 GB 160 GB 2 ó más
Infraestructura < 50 P4 o superior 1 GB 80 GB 1
50 o más P4 o superior 2 GB 160 GB 1
Oficina
< 50 P4 o superior 1 GB 250 GB 1
50 o más Xeon dual core o
superior
2 GB 500 GB 1
Comunicaciones
< 100 Xeon dual core o
equivalente
4 GB 250 GB 1
100 o más Xeon dual core o
equivalente
8 GB 500 GB 1
89
4.7.2. Selección del idioma
Una vez cargado el sistema de instalación se emite la siguiente pantalla que
permite escoger el idioma y a continuación colocarse sobre la línea “Español”
mediante los cursores del teclado y presionar enter.
Gráfico 24. Selección del idioma
Autor: Tesista Fuente: Instalación zentyal 3.2
90
4.7.3. Selección de tipo de instalación
Este gráfico indica la opciones de instalación, recuperación, checheo o test sobre
el equipo a instalar la aplicación. Para este caso seleccionar la primera opción
“Install Zentyal (delete all disk)” y pulsar enter.
Gráfico 25. Selección del tipo de instalación
Autor: Tesista Fuente: Instalación zentyal 3.2
91
4.7.4. Selección de ubicación
Escoger el país, territorio o área, colocarse sobre “Ecuador” y pulsar enter.
Gráfico 26. Selección de ubicación Autor: Tesista
Fuente: Instalación zentyal 3.2
92
4.7.5. Configuración del teclado
En primera instancia se puede hacer un chequeo de la disposición del teclado si
se desea sino se puede seleccionar de una lista, a continuación colocarse sobre
“No” y dar enter.
Gráfico 27. Disposición del teclado
Autor: Tesista Fuente: Instalación zentyal 3.2
93
En esta pantalla se puede seleccionar el país de origen del teclado que es
“Español” y pulsar enter.
Gráfico 28. Origen del idioma del teclado Autor: Tesista
Fuente: Instalación zentyal 3.2
94
En este gráfico se selecciona la distribución del teclado que es “Español” y
presionar enter. Con esto se ha terminado la configuración del teclado.
Gráfico 29. Distribución del teclado
Autor: Tesista Fuente: Instalación zentyal 3.2
95
4.7.6. Configuración de red
En este gráfico se muestra la cantidad de interfaces de red, y el sistema
preguntará cual es la interfaz de red primaria, seleccionar “eth0” y presionar enter.
Gráfico 30. Configuración de tarjetas de red
Autor: Tesista Fuente: Instalación zentyal 3.2
96
Esta pantalla es muy importante ya que permitirá generar el nombre de la
máquina que identifica el sistema en la red. Escribir el nombre del equipo y enter
en continuar.
Gráfico 31. Creación del nombre de la máquina
Autor: Tesista Fuente: Instalación zentyal 3.2
97
4.7.7. Configuración de usuarios y contraseñas
En esta pantalla se permitirá crear el nombre de usuario principal para la cuenta
del sistema, escribir el nombre y enter en continuar.
Gráfico 32. Creación del nombre de usuario Autor: Tesista
Fuente: Instalación zentyal 3.2
98
Aquí se creará una contraseña con la que permite autenticar el sistema mediante
el usuario anterior, se debe elegir una contraseña segura, escribir y enter en
continuar.
Gráfico 33. Creación de contraseña
Autor: Tesista Fuente: Instalación zentyal 3.2
99
Le pedirá que ingrese nuevamente la contraseña para verificarla, escribir y ponga
enter en continuar
Gráfico 34. Verificación de contraseña Autor: Tesista
Fuente: Instalación zentyal 3.2
100
4.7.8. Configuración del reloj
En esta pantalla preguntará si se encuentra en la localización correcta en este
caso “América/Guayaquil”, entonces como la zona horaria está bien, presionar
enter en Sí.
Gráfico 35. Configuración del reloj Autor: Tesista
Fuente: Instalación zentyal 3.2
101
4.7.9. Instalación del sistema base
Hay que esperar hasta que el sistema base se instale, la duración de este
proceso será de 15 minutos dependiendo del servidor.
Gráfico 36. Instalación del sistema base Autor: Tesista
Fuente: Instalación zentyal 3.2
102
Ha terminado la instalación del sistema completamente, hay que extraer el disco
del lector y presionar enter en continuar. Hay que esperar hasta que el sistema
reinicie.
Gráfico 37. Instalación del sistema base terminada Autor: Tesista
Fuente: Instalación zentyal 3.2
103
4.7.10. Interfaz web de logueo
Al reiniciar el servidor, el sistema Zentyal se inicia con la siguiente interfaz gráfica
mediante el navegador, aquí se debe ingresar el usuario y la contraseña que se
creó en los pasos previos de instalación.
Gráfico 38. Interfaz web de logueo Autor: Tesista
Fuente: Instalación zentyal 3.2
4.7.11. Configuración de inicio
Al loguearse por primera vez en el sistema, este permitirá seleccionar los roles
del servidor o componentes a usarse en las pruebas del proyecto.
104
Al escoger los módulos que se requieran se pintarán de color verde con tan sólo
un clic, a continuación pulsar en instalar.
Gráfico 39. Configuración de inicio Autor: Tesista
Fuente: Instalación zentyal 3.2
105
A continuación presentará un resumen de los paquetes seleccionados y hacer
clic en aceptar.
Gráfico 40. Resumen paquetes seleccionados Autor: Tesista
Fuente: Instalación zentyal 3.2
106
Esta pantalla indicará el progreso de instalación de los módulos escogidos
anteriormente y además proveerá de información acerca de ediciones
comerciales y partner’s de Zentyal.
Gráfico 41. Progreso de instalación de paquetes Autor: Tesista
Fuente: Instalación zentyal 3.2
Antes de finalizar la instalación saldrán dos pantallas donde se puede configurar
la red y los usuarios y grupos, en estos pasos dar clic en saltar.
Después de un tiempo pertinente la instalación ha finalizado y muestra la
siguiente pantalla, hacer clic en “ir al dashboard”.
107
Gráfico 42. Instalación de paquetes completada Autor: Tesista
Fuente: Instalación zentyal 3.2
4.7.12. Interfaz web de administración
El servidor de Zentyal está listo para empezar a configurar los componentes
mediante su interfaz de administración llamada “dashborad”
Gráfico 43. Interfaz web de administración Autor: Tesista
Fuente: Instalación zentyal 3.2
108
4.8. Pruebas de seguridad y QoS con Zentyal
4.8.1. Hardware y software de pruebas
Para este proyecto se propone utilizar a Zentyal como puerta de enlace y un
soporte de 100 o más usuarios. El hardware y software de pruebas tienen las
siguientes características:
Procesador: Intel Xeon (3.1 GHz, 4 núcleos)
Disco Duro: 1 TB
Memoria RAM: 8 GB
Tarjetas de red: 3 Gigabit Ethernet
Cache: 8 MB
Arquitectura del servidor: x86_64 (64 bits)
Software: Zentyal 3.2 de 64 bits
4.8.2. Configuración del sistema
Para realizar las pruebas de seguridad y QoS con el sistema zentyal la
configuración se presenta en el ANEXO F.
4.8.3. Pruebas de implementación de seguridades
Una vez configurado el servidor zentyal como está especificado en el ítem 4.8.2.
A través de la configuración del módulo de firewall en la cual se realizaron las
pruebas de seguridad, se indicará los resultados mediante el comando ping que
permite ver si existe conectividad entre dos o más hosts según la configuración
del apartado anterior, controlando de esta forma los accesos entre la conexión
lan y dmz y los accesos no autorizados desde wan hacia la lan.
Reglas de filtrado
109
Permite conexión entre dmz y zentyal.- Realizando un ping desde zentyal
hacia un equipo de la red dmz
Gráfico 44. Ping desde zentyal a dmz Autor: Tesista
Fuente: Investigación de campo
Permite conexión entre lan y dmz.- Haciendo ping desde un ordenador de
la red lan hacia un equipo de la red dmz y viceversa.
Gráfico 45. Ping desde lan hacia dmz Autor: Tesista
Fuente: Investigación de campo
110
Permite conexión entre lan y zentyal.- Haciendo ping desde zentyal a un
ordenador que se encuentra en la red lan
Permite conexión entre wan y zentyal.- Haciendo ping desde zentyal a un
ordenador que se encuentra en la red de lan
Gráfico 46. Ping desde zentyal a lan Autor: Tesista
Fuente: Investigación de campo
Permite servicio http entre lan y dmz.- permite ver el servidor web de la red
dmz desde un equipo de la red lan
Gráfico 47. Acceso servidor web de dmz desde lan Autor: Tesista
Fuente: Investigación de campo
111
Permite servicio http entre dmz y lan.- permite ver el servidor web de la red
lan desde un equipo de la red dmz.
Gráfico 48. Acceso servidor web lan desde dmz Autor: Tesista
Fuente: Investigación de campo
4.8.4. Pruebas de calidad de servicio
Para realizar QoS en la red del CIESPAL se ha concluido que la prioridad del
tráfico se fundamenta en el orden de los siguientes servicios:
1. Voz
2. Video
3. Datos
Las aplicaciones que pertenezcan a cada uno de estos servicios se clasificarán
bajo un criterio de periodicidad de uso en la organización y de los requerimientos
diarios que tenga el administrador de red respectivamente.
El módulo de moldeado de tráfico en zentyal permite priorizar los paquetes por
puerto o por aplicación, donde el control de tráfico es más eficaz aplicado a la
capa de aplicación, es así, que permite regirse a valores entre 0 y 7 que
permitirán elegir una mayor o menor prioridad, respectivamente; esto hace que
pueda ofrecer calidad de servicio siendo el departamento de tecnologías el
proveedor de internet en su red y que mediante un acuerdo de nivel de servicio
permita satisfacer las necesidades de los usuarios finales, aumentado la
112
productividad en la organización por parte de los funcionarios y distribuyendo de
mejor manera el ancho de banda.
Al realizar las pruebas se escogió las aplicaciones que a diario utilizan en la red
de comunicaciones, agregándose características y valores que generan la
calidad de servicio en la red representada en la siguiente tabla:
Aplicación/Servicio Origen Destino Prioridad Tasa
garantizada
Tasa
limitada
VoIP (No elástico) Cualquiera Red Interna 0 2000 Kbps 0 Kbps
Streaming Video (No
elástico)
Cualquiera Directores 1 1000 Kbps 0 Kbps
Streaming Audio (No
elástico)
Cualquiera Directores 2 150 Kbps 0 Kbps
Acceso remoto
(Elástico)
Cualquiera Directores 3 200 Kbps 300 Kbps
Mail (Elástico) Cualquiera Directores 4 200 Kbps 0 Kbps
HTTP/HTTPS
(Elástico)
Cualquiera Red Interna 5 250 Kbps 0 Kbps
Chat (Elástico) Cualquiera Red Interna 6 60 Kbps 80 Kbps
P2P (Elástico) Cualquiera Red Interna 7 60 Kbps 60 Kbps
Tabla 18. Priorización de tráfico en aplicaciones del CIESPAL
Autor: Tesista Fuente: Pruebas con el sistema
Esta configuración es para las interfaces internas que realizan descargas en la
red de comunicaciones, es por ello que en Origen se tiene “Cualquiera” y como
Destino se tiene una variedad de grupos de objetos creados como: “Red interna”,
“Directores”, “Funcionarios”, cabe recalcar que dichos grupos pueden ser
editados o creados a necesidad del administrador de red. Así el ítem de Tasa
garantizada indica el ancho de banda que podrá utilizar el grupo asignado en tal
servicio, y en Tasa Limitada se puede indicar 0 Kbps como ilimitada, pero si se
tiene un valor de 60 Kbps ese será el tope o límite que tal grupo y servicio ocupe
en la red.
113
Al tener configurada y activada la regla para aplicaciones P2P en zentyal, se
utilizó el programa uTorrent en una pc y se tiene las siguientes pantallas que
indica como la descarga de un juego de tamaño 7,84 GB mantiene una velocidad
de descarga menor a 60 Kbps que no llega a su límite, además que las
velocidades de descarga son muy bajas por la prioridad siete lo que permite que
las aplicaciones críticas no tengan que competir por un espacio en la red.
Gráfico 49. Interfaz gráfica de carga y descarga de uTorrent Autor: Tesista
Fuente: Programa uTorrent
Gráfico 50. Velocidad de carga y descarga de uTorrent Autor: Tesista
Fuente: Programa uTorrent
114
Otra prueba realizada con la regla de acceso web (http/https) donde se descarga
la distribución centos se observa que la tasa limitada es 0 Kbps, donde 0 significa
tasa ilimitada. El ancho de banda de descarga es alta y el tiempo de descarga es
bajo.
Gráfico 51. Catálogo de descargas Autor: Tesista
Fuente: Navegador
Las pruebas con las aplicaciones de voz y video se hicieron en tiempo real en
días normales y de eventos donde se observó que funcionaron con fluidez y sin
entrecortarse las señales.
4.8.5. Resultados de las pruebas de calidad de servicio
Al realizar la monitorización de los parámetros de calidad de servicio en la red
con la configuración que se dispuso se obtuvieron los siguientes resultados:
Tabla 19. Resultados de parámetros de QoS en la nueva red Autor: Tesista
Fuente: Investigación de campo
Parámetros QoS Valores
Latencia Mínima 27 ms
Latencia Media 43 ms
Latencia Máxima 94 ms
Variación de Latencia (Jitter) 11 ms
Pérdida de paquetes 0,35 %
Disponibilidad proveedor
CNT
99.8 %
115
En la tabla se presentan los datos con los que la red de comunicaciones funciona
de manera correcta con aplicativos de voz, video y datos para este proyecto.
De esta manera se asegura que mediante acuerdos de nivel se servicio y reglas
predeterminadas para la priorización de tráfico se puede brindar calidad de
servicio en la red de una organización y así optimizar el ancho de banda.
4.8.6. Implementación del sistema en la organización
Al modificar el ambiente de red en el centro de procesamiento para la realización
de pruebas y al observar que la red ha mejorado se deja implementado el sistema
que proporciona seguridad y calidad de servicio que es zentyal. El Departamento
de tecnologías del CIESPAL ha cambiado su contrato con el proveedor de
internet que ahora es CNT, y tomando la recomendación sobre el proyecto se ha
contratado un enlace de red de 10 Mbps, el mismo que distribuirá el servicio de
internet a los distintos usuarios de la organización.
El nuevo entorno de red cuenta con segmentos de red como:
WAN.- Estará el segmento público de red mediante el cual se tendrá el
servicio de internet.
LAN.- Este segmento contempla la red interna ocupada por usuarios y
equipos como switches. impresoras, escáneres, pc’s, laptop’s.
DMZ.- En este segmento se encontrará los servidores internos donde
acceden únicamente usuarios autorizados y los servidores o aplicaciones
que se muestran al mundo los mismos que se configurarán mediante
nateo para su seguridad.
116
CAPÍTULO 5
5. CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES:
- El diseño de red propuesto en este proyecto permite confiabilidad,
escalabilidad y disponibilidad para los usuarios finales de manera que así
también se ofrece calidad de servicio en la infraestructura de la red de
comunicaciones.
- Al utilizar la arquitectura de red jerárquica permite en lo posterior que la
red de datos se expanda en usuarios y aplicaciones, y a su vez la
redundancia en equipos y enlaces de la red también hará que cualquier
elemento que falle no genere pérdida en el negocio de la organización.
- La segmentación en el diseño de la red permite que los usuarios anexados
a diferentes departamentos se encuentren conectados entre sí de manera
versátil desde cualquier punto del CIESPAL, esto mediante la propagación
de vlan’s a través del protocolo VTP.
- El uso de Wireless LAN Controller gestionará y administrará de forma
centralizada los puntos de acceso aportando seguridad en la red
inalámbrica.
- La reestructuración física en el data center del CIESPAL y la
implementación de Zentyal genera seguridad y organización en su
estructura mediante segmentos de red como WAN, LAN y DMZ.
- Aplicando los términos de calidad de servicio en la red del CIESPAL se
obtiene que bajo los resultados de los parámetros de QoS (ítem 4.8.5.)
funcionan de manera óptima los servicios de voz, video y datos en la red.
- La configuración de QoS a través de la herramienta zentyal gestiona la
administración de ancho de banda y la prioridad del tráfico en toda la red,
la misma que puede variar en los requisitos diarios que tengan los usuarios
fijos y eventuales del CIESPAL, todo bajo una única plataforma y además
que este sistema no tiene ningún costo lo que es beneficioso para la
117
organización que lo implementa y posee los mismos componentes que
una herramienta de pago.
RECOMENDACIONES:
- Se recomienda que al instalar la nueva red se establezca el etiquetado de
cableado estructurado y dispositivos que se encuentran distribuidos en los
diferentes puntos del CIESPAL, esto permitirá tener una documentación
técnica correcta que será de gran ventaja para el departamento de
tecnologías al momento de buscar una avería y facilitar la labor de
mantenimiento en la red de comunicaciones.
- Se debe considerar la migración de los diferentes sistemas que
actualmente operan en el CIESPAL hacia un servidor robusto donde se
virtualicen los aplicativos, esto ahorrará recursos económicos y
energéticos al tener un solo equipo, optimizando los servicios que se
ofrecen.
- Se recomienda implementar un suministro eléctrico potente (UPS) en el
data center para los equipos de red y servidores, esto evitará interrupción
en las comunicaciones internas y externas; además que proveerá de una
operación eficiente en los dispositivos.
- Se sugiere que el Departamento de Tecnologías se encuentre cerca del
Data center para un mejor desempeño de gestión y mantenimiento del
mismo.
118
MARCO DE REFERENCIA
ANEXO A: Organigrama del CIESPAL
Gráfico 52. Organigrama del CIESPAL Autor: Tesista
Fuente: www.ciespal.org
119
ANEXO B: Planos actuales de la red
Símbolos de red Descripción
Toma de datos
Access Point
1 Router CISCO 851 Data Center
2 Router HP MSR 900 Data Center
3 Switch 3COM 8p Data Center
4 Switch D-Link Terraza Ed. P
5 Switch CISCO 2950 Data Center
6 Switch 3COM 8p Data Center
7 Switch 3COM 16p Data Center
8 Switch 3COM 8p 1do Piso CAM
9 Switch D-Link Imprenta
10 Switch D-Link 16p 2do Piso CAM
11 Switch CNET 16p 1er Piso Ed. P
12 Switch 10/100 8p Tecnologías
13 Switch CNET 16p Comunicación
14 Switch CNET 16p 2do Piso Ed. P
15 Switch 3COM 8p 3er Piso Ed. P
16 Switch 10/100 8p Publicaciones
17 Switch CNET 16p Capacitación
18 Switch 3COM 8p Cámara Gesell
19 Switch Fastethernet 8p Mezzanine
20 Switch CNET 16p Cámara Gesell
21 Switch ethernet 8p Administración Ed.
130
ANEXO C: Herramienta Procaster para streaming de video
En la figura se muestra la configuración de la calidad de streaming, la cámara
que detecta, preferencias.
Gráfico 63. Pantalla inicial procaster Autor: Tesista
Fuente: Investigación de Campo
131
Es la ventana principal del botón “Preferencias” de la figura anterior.
Gráfico 64. Preferencias de procaster
Autor: Tesista Fuente: Investigación de Campo
Es la pestaña de configuración de video que se adopta para el streaming, entre
las características principales se tiene el decodificador, resolución, fps.
Gráfico 65. Configuración de video procaster Autor: Tesista
Fuente: Investigación de Campo
132
Además la pestaña de configuración de audio es importante con propiedades
como ajustar la calidad de audio, frecuencia de muestreo y los canales.
Actualmente Ciespal utiliza esta herramienta para realizar streaming con 50
clientes externos, mediante el paquete gratuito de www.livestream.com.
Por otra parte para videoconferencias o webinar utiliza una herramienta llamada
wirecast la misma que puede soportar a la vez varias cámaras lo que no hace
procaster.
Gráfico 66. Configuración de audio procaster
Autor: Tesista Fuente: Investigación de Campo
133
ANEXO D: Herramienta Radio On-line
Como se observa en la figura la interfaz gráfica del programa muestra las
características sobre la cuales se transmite audio, la conexión establecida y
cuánto tiempo se encuentra al aire.
Gráfico 67. Interfaz inicial para radio online
Autor: Tesista Fuente: Investigación de Campo
134
La figura representa la configuración de “Stream” que utiliza la institución como
el canal, el codificador, velocidad de bit.
Gráfico 68. Configuración de stream
Autor: Tesista Fuente: Investigación de Campo
En la pestaña de configuración de “Recording” tenemos el formato en el cual se
guardarán los audios, la velocidad de bit, frecuencia, canal y codificador.
Gráfico 69. Configuración de grabación Autor: Tesista
Fuente: Investigación de Campo
135
ANEXO E: Planos nuevo diseño de red
Símbolos de red Descripción
Cambio de toma de datos
Cambio de Access Point
Nueva toma de datos
Nueva toma de voz
Nuevo Access Point
Rack
1 Router
2 Equipo de seguridad 1
3 Equipo de seguridad 2
4 Switch Servidores
5 Switch Core 1
6 Switch Core 2
7 Wireless LAN Controller
8 Switch Distribución Edificio CAM
8.1 Switch Primer Piso CAM
8.2 Switch Segundo Piso CAM
9 Switch Distribución Ed. Principal
9.1 Switch Piso Auditorio
9.2 Switch Piso Salas Capacitación
9.3 Switch Piso Mezzanine
9.4 Switch Primer Piso Ed. Principal
9.5 Switch Segundo Piso Ed. Principal
9.6 Switch Tercer Piso Ed. Principal
Fibra óptica
Cable UTP cat 6a
142
Gráfico 76. Primer piso edificio principal nueva red Autor: Tesista
Fuente: Investigación de campo
143
Gráfico 77. Segundo piso edificio principal nueva red Autor: Tesista
Fuente: Investigación de campo
144
Gráfico 78. Tercer piso edificio principal nueva red Autor: Tesista
Fuente: Investigación de campo
146
ANEXO F: Configuración de zentyal
La interfaz gráfica de administración de Zentyal, está compuesta por tres
secciones importantes:
Menú lateral izquierdo: Es un menú donde se observan las diferentes categorías
y recursos que se pueden configurar, al seleccionar alguno se desplegará un
submenú para disponer de otros servicios específicos.
Gráfico 80. Menú lateral izquierdo
Autor: Tesista Fuente: Pruebas con el sistema
147
Menú superior: Contiene dos botones donde “Guardar Cambios” permitirá
guardar los cambios en la configuración del contenido y “Cerrar Sesión” finalizará
la sesión del sistema.
Gráfico 81. Menú superior Autor: Tesista
Fuente: Pruebas con el sistema
Contenido principal: Está estructurada por uno o varios formularios donde se
encuentra el contenido de configuración de los servicios que se han seleccionado
mediante el menú lateral izquierdo, a su vez se podrá configurar las subsecciones
que se determinan por la barra de pestañas o botones.
Gráfico 82. Contenido principal Autor: Tesista
Fuente: Pruebas con el sistema
F.1. Perfil Core
F.1.1. Dashboard
En el “Dashboard” se podrá configurar widgets, donde se agregará los títulos
arrastrándolos mediante el mouse.
148
Gráfico 83. Configuración widgets Autor: Tesista
Fuente: Pruebas con el sistema
Widgets Configurables
Información General: Tiene información acerca de la hora, nombre de la máquina,
versión de la plataforma, actualizaciones de software, carga del sistema, tiempo
de funcionamiento sin interrupciones, usuarios logueados.
Recursos: Es un conjunto de información de ayuda acerca del sistema, como
documentación, foro, certificaciones, manuales en fuentes oficiales de zentyal
gratuito o comercial.
Interfaces de Red: Muestra la configuración actual de las interfaces de red, donde
se indica el estado, dirección MAC, dirección IP.
Estado de Módulos: Como se muestra en la siguiente figura cada uno de los
servicios que se encuentran instalados en Zentyal indican su estado si se
encuentra ejecutándose, deshabilitado o debe reiniciarse.
150
F.1.2. Estado de los Módulos
Cada módulo gestiona servicios diferentes y para configurar se los puede
habilitar desde estado de los módulos, aquellos que se encuentran habilitados
son los que se seleccionaron en la instalación.
Gráfico 85. Estado de módulos
Autor: Tesista Fuente: Pruebas con el sistema
151
F.1.3. Sistema
F.1.3.1. Configuración General
Gráfico 86. Configuración general del sistema Autor: Tesista
Fuente: Pruebas con el sistema
Cambiar contraseña del administrador: Podemos cambiar la contraseña de los
usuarios que tengan acceso al sistema, añadiendo los valores requeridos y pulsar
en cambiar
152
Selección de Idioma: Se selecciona el idioma de la interfaz de administración y
poner en cambiar.
Zona Horaria: Se especifica la región y ciudad, el ajuste horario por defecto es el
que se cargó en la instalación.
Fecha y Hora: Se especifica la fecha y hora del servidor, siempre y cuando no
esté sincronizando con un servidor externo NTP.
Puerto TCP de la interfaz de administración: Por defecto es el 443/HTTPS, pero
se puede realizar el cambio a otro puerto por seguridad y especificarlo en la URL
al momento de acceder: https://direccion_ip:puerto/.
Nombre de máquina y dominio: Se puede cambiar el hostname o nombre de la
máquina, así como el dominio asociado, estos parámetros corresponden a los de
la instalación.
F.1.3.2. Copia de seguridad
Gráfico 87. Copia de seguridad Autor: Tesista
Fuente: Pruebas con el sistema
153
Método: Es la forma en cómo se obtendrá la copia de seguridad de los datos y
por lo tanto se debe especificar el protocolo mediante el cual se conectará al
servidor remoto. Los métodos soportados son: Sistema de ficheros, FTP,
RSYNC56, SCP57.
Si se selecciona FTP, Rsync o SCP tendrá que introducir la dirección del servidor
remoto y la autenticación asociada. Por ejemplo si se utiliza SCP tendrá que
ejecutar sudo ssh usuario@servidor y aceptar la huella del servidor remoto para
añadirlo a la lista de servidores.
Ordenador o destino: Si se utiliza sistema de ficheros, introduzca la ruta de un
directorio local. Para FTP, y SCP tendrá que poner el nombre del servidor remoto
o dirección IP de la siguiente manera: otro.servidor:puerto/directorio_existente.
Usuario: Nombre de usuario para auntenticarse en el equipo remoto.
Contraseña: Clave para autenticarse en la máquina remota.
Cifrado: Se puede cifrar los datos del backup mediante una clave simétrica.
Frecuencia de la copia de seguridad completa: Se requiere escoger la frecuencia
con la cual se van a realizar las copias de seguridad completa de la aplicación,
siendo los valores: solo la primera vez, diariamente, semanalmente, dos veces al
mes, mensualmente.
Frecuencia de backup incremental: Se escoge la frecuencia de la copia de
seguridad incremental los valores a seleccionar son: diariamente, semanalmente,
deshabilitado.
El proceso de respaldo comienza a las: Seleccionar el horario en que se va a
realizar el respaldo ya sea para la copia de seguridad completa o incremental.
56 RSYNC.- Remote Synchronization Protocol 57 SCP.- Secure Copy Protocol
154
Guardar copias completas anteriores: Permite almacenar las copias de seguridad
en un número máximo y por su estado de antigüedad.
Restaurar ficheros: En esta pestaña se tiene opción a una lista de ficheros y
directorios respaldados de forma remota y las distintas fechas de las versiones
almacenadas.
Restauración de Servicios: Esta opción no solo nos permitirá realizar la
restauración de la copia de seguridad sino también de la base de datos de logs.
F.1.3.3. Importar/exportar configuración
Gráfico 88. Importar/exportar configuración Autor: Tesista
Fuente: Pruebas con el sistema
155
Descripción: Escriba un nombre específico para crear un backup del estado
actual del sistema haciendo clic sobre el botón “copia de seguridad.
Se puede seleccionar el fichero almacenado que se desea restaurar examinando
los archivos y haciendo clic en “Restaurar”.
La copia de seguridad realizada aparecerá en lista de backups donde se podrá
tomar acciones sobre el mismo restaurándolo, descargándolo o eliminándolo.
Se puede generar y descargar un fichero tipo reporte acerca del estado del
sistema.
F.1.3.4. Apagar o Reiniciar
Gráfico 89. Apagar o reiniciar sistema Autor: Tesista
Fuente: Pruebas con el sistema
Dar clic en el botón de apagar o reiniciar el sistema.
F.1.4. Red
F.1.4.1. Interfaces
En este apartado se puede configurar las NIC que reconoce el sistema, para este
caso se configuró la interfaz de red wan (eth0), lan (eth1), dmz (eth2).
156
Gráfico 90. Interfaces de red Autor: Tesista
Fuente: Pruebas con el sistema
Nombre: Identificación de la interfaz de red
Método: La interfaz puede configurarse de acuerdo a los siguientes valores:
estático, PPPoE, Trunk (802.11q) o puente de red.
Externo (WAN): Definir si la interfaz a utilizar es wan, hacer clic.
Dirección IP: Colocar la dirección ip de la red a utilizar puede ser pública o privada
según sea el caso.
Máscara de red: Añadir la máscara correspondiente a la red. Hacer clic en
cambiar y guardar cambios.
157
F.1.4.2. Puertas de enlace
Gráfico 91. Puertas de enlace Autor: Tesista
Fuente: Pruebas con el sistema
Para añadir una puerta de enlace hacer clic en “AÑADIR NUEVO” y llenar los
siguientes valores:
Nombre: Colocar la identificación de la puerta de enlace.
Dirección IP: Poner la dirección ip de la puerta de enlace mediante la cual se
conecta a internet.
Peso: Este valor se usa con otras configuraciones pero por defecto se considera
con valor “1”, pues refleja la prioridad que tendría con respecto a otras puertas
de enlace.
Hacer clic en predeterminado lo que indica que esta puerta de enlace es la que
se va a utilizar, hacer clic en añadir y guardar cambios.
Balanceo de tráfico: Este formulario se utiliza cuando se posee dos o más puertas
de enlace.
158
WAN failover: si está habilitado permitirá saber si están conectadas o
desconectadas las puertas de enlace.
F.1.4.3. DNS
Gráfico 92. Traductor de DNS
Autor: Tesista Fuente: Pruebas con el sistema
Este módulo se utiliza para configurar servidores de nombres de dominio y por
defecto crea un DNS local.
159
F.1.4.4. Objetos
Gráfico 93. Lista de objetos de red
Autor: Tesista Fuente: Pruebas con el sistema
La lista de objetos a crear son elementos de la red y grupos con los cuales se
interactúa en lo posterior con otros módulos, existen acciones como crear, editar
y borrar los objetos. Hacer clic en miembros de cualquier objeto y a continuación
presentará la siguiente pantalla.
Gráfico 94. Miembros de los objetos de red Autor: Tesista
Fuente: Pruebas con el sistema
160
Para ejemplo dentro de los miembros del objeto “access point” se podrá añadir
los siguientes valores: nombre del grupo o miembros, dirección ip que puede ser
una dirección de red con su CIDR o un rango de ip’s, la dirección MAC es
opcional, hacer clic en añadir y guardar cambios.
F.1.4.5. Servicios
Gráfico 95. Lista de servicios de red Autor: Tesista
Fuente: Pruebas con el sistema
Los servicios de red son aquellos utilizados por los protocolos y los puertos de
sus aplicaciones respectivamente
161
Gráfico 96. Servicios de red Autor: Tesista
Fuente: Pruebas con el sistema
Permite crear los servicios a utilizarse en la red donde se tiene los valores:
protocolo que puede ser “TCP/UDP”, “TCP”, “UDP”. Además el puerto de origen
puede ser cualquiera, puerto único o un rango de puertos y en el puerto destino
las mismas opciones, hacer clic en añadir y guardar cambios.
F.1.4.6. Herramientas
Gráfico 97. Herramientas de diagnóstico de red Autor: Tesista
Fuente: Pruebas con el sistema
162
Permite diagnosticar la red mediante ping, traceroute, resolución de nombre de
dominio y wake on lan.
F.1.4.7. Monitor de ancho de banda
Gráfico 98. Monitor de ancho de banda Autor: Tesista
Fuente: Pruebas con el sistema
Permite obtener información acerca del consumo de ancho de banda de la red.
Gráfico 99. Configuración de interfaces de ancho de banda Autor: Tesista
Fuente: Pruebas con el sistema
Habilitar o deshabilitar las interfaces de red configuradas.
163
F.1.5. Mantenimiento
F.1.5.1. Monitorización
Gráfico 100. Monitorización de recursos Autor: Tesista
Fuente: Pruebas con el sistema
Permite monitorizar los recursos del equipo sobre el cual funciona el sistema
como por ejemplo: carga del sistema, uso de cpu (núcleos), uso del sistema de
ficheros, uso de memoria física, temperatura del sensor. Además se puede ver
la periodicidad con la que toma la información por última hora, día, semana, mes,
año.
164
F.1.5.2. Registros
Gráfico 101. Consulta de registros Autor: Tesista
Fuente: Pruebas con el sistema
Indica el registro de los servicios que se requiera como cortafuegos, ips, dhcp,
etc. Así se obtiene reportes del uso y gestión de la red al hacer clic sobre un
informe completo o un informe resumido.
165
Pestaña “Eventos”
Gráfico 102. Informe completo de registros
Autor: Tesista Fuente: Pruebas con el sistema
El informe completo se obtiene de los servicios configurados, se puede realizar
una consulta personalizada con los valores que se observan en la imagen o un
detalle de los registros al hacer clic en vista.
166
Gráfico 103. Informe resumido de registros
Autor: Tesista Fuente: Pruebas con el sistema
El informe resumido se puede elegir el periodo del informe de acuerdo a la hora,
día, semana, mes, además gráficos y estadísticas del registro elegido, con una
tabla de valores distintos por fecha.
167
Gráfico 104. Configuración de los registros
Autor: Tesista Fuente: Pruebas con el sistema
En el botón configurar los registros se elige los dominios que serán habilitados y
la eliminación de los registros anteriores a un periodo que se elija, además
permite forzar la depuración de los registros en el momento que se elija.
168
F.1.5.3. Eventos
Gráfico 105. Configuración de eventos
Autor: Tesista Fuente: Pruebas con el sistema
Se puede habilitar o deshabilitar los eventos y alertas para generar los registros
de los diferentes dominios o servicios.
F.1.5.4. Uso de disco
Gráfico 106. Uso de disco Autor: Tesista
Fuente: Pruebas con el sistema
169
Muestra el uso del recurso del disco, identificando la partición raíz, tipo, opciones,
además que con el gráfico de pastel indica el espacio de almacenamiento del
sistema y el espacio libre.
F.1.6. Gestión de Software
F.1.6.1. Componentes de zentyal
Gráfico 107. Componentes de zentyal Autor: Tesista
Fuente: Pruebas con el sistema
El botón instalar permite seleccionar los módulos de zentyal que no se
encuentran instalados actualmente en el sistema.
El botón actualizar permite seleccionar los módulos que se pueden migrar hacia
una nueva versión de zentyal.
El botón borrar permite seleccionar los módulos instalados que ya no se
necesitan.
170
F.1.6.2. Actualizaciones del sistema
Gráfico 108. Actualizaciones del sistema Autor: Tesista
Fuente: Pruebas con el sistema
Se realiza la actualización del kernel del sistema con sus componentes de
seguridad, aquellos que están probados y no dan problema al momento de
actualizarlos.
Por el momento no se recomienda actualizar el sistema ya que en la página oficial
indica que esta versión es estable y porque en versiones actuales se eliminan
algunos componentes que se están utilizando para el proyecto.
F.1.6.3. Actualizaciones automáticas de software
Gráfico 109. Actualizaciones automáticas del sistema Autor: Tesista
Fuente: Pruebas con el sistema
171
Se puede configurar automáticamente las actualizaciones del sistema
habilitándolo y eligiendo la hora de inicio para el proceso.
F.2. Perfil Gateway
F.2.1. Moldeado de Tráfico
F.2.1.1. Protocolos de aplicación
Gráfico 110. Grupos de servicios basados en aplicación Autor: Tesista
Fuente: Pruebas con el sistema
En grupos de servicios basados en aplicación se agrega grupos generales donde
se añada protocolos para generar reglas de calidad de servicio.
172
F.2.1.2. Reglas
Gráfico 111. Reglas de moldeado de tráfico Autor: Tesista
Fuente: Pruebas con el sistema
Para explicar con mayor detalle y utilizar la pestaña reglas se debe configurar
antes las tasas de interfaz.
Para moldear la interfaz externa se estará garantizando o limitando el tráfico de
salida de zentyal a internet, para el usuario el tráfico de subida. Si se moldea la
173
interfaz interna se estará garantizando y limitando la tasa de bajada hacia la redes
internas.
Para cada interfaz se puede añadir reglas basadas en una prioridad donde 7 es
baja prioridad y 1 es alta prioridad, garantizando o limitando el tráfico en la red.
Además para configurar el servicio se puede tomar los valores de “servicio
basado en puerto”, “servicio basado en aplicación”, “grupos de servicios basados
en aplicación”, elige también el origen y destino para aplicar las regla. Para un
moldeado de tráfico con mayor eficacia se recomienda instalar el componente
(Layer-7 filter) filtro de capa 7 que permite un filtrado completo para que los
paquetes identifiquen los protocolos de aplicación por contenido y no solo por
puerto.
F.2.1.3. Tasas de interfaz
Gráfico 112. Tasas de interfaz Autor: Tesista
Fuente: Pruebas con el sistema
En las tasas de interfaz permite configurar la interfaz externa con sus respectivas
tasas de subida y bajada de la red.
174
F.2.2. Sistema de Detección/Prevención de Intrusos
Gráfico 113. Configuración de interfaces en IDS/IPS
Autor: Tesista Fuente: Pruebas con el sistema
El sistema de Detección y Prevención de Intrusos se puede habilitar para cada
una de las interfaces que tiene el sistema en este caso para la interfaz externa,
interna y dmz.
Gráfico 114. Reglas en IDS/IPS
Autor: Tesista Fuente: Pruebas con el sistema
175
En la pestaña de reglas se tiene un listado de reglas de snort que viene
precargado el sistema y se puede habilitar o deshabilitar y tomar acciones que
tiene valores como: registrar, bloquear, bloquear y registrar el tráfico de origen
sospechoso por cada una de las interfaces de red, los reportes de IPS se pueden
ver en Registros mediante el informe completo.
F.2.3. Cortafuegos
F.2.3.1. Filtrado de paquetes
Gráfico 115. Filtrado de paquetes Autor: Tesista
Fuente: Pruebas con el sistema
En las reglas de filtrado se configurará los siguientes parámetros:
Decisión: Las acciones a tomar acerca de la regla pueden ser: “permitir”,
“denegar” o “registrar”.
176
Origen: Se determina el elemento desde donde se va a aplicar la regla, se puede
elegir los siguientes valores: “cualquiera”, “ip origen”, “MAC origen”, “Objeto
origen”.
Destino: Se define hacia dónde va a dirigirse la regla a aplicar, tiene valores
como: “ip destino”, “objeto destino”.
Servicio: se elegirá el servicio que se desea filtrar asociado a un único puerto o a
un rango de puertos como por ejemplo https, ftp, dns, etc.
Se puede añadir una descripción breve sobre la regla que se va a especificar, dar
clic en añadir y guardar cambios.
Hay que tomar en cuenta que las reglas no se pueden solapar por definición de
cortafuegos.
Reglas de filtrado – Desde redes internas hacia zentyal
Gráfico 116. Filtrado de redes internas a zentyal Autor: Tesista
Fuente: Pruebas con el sistema
177
Reglas de filtrado – Redes internas
Gráfico 117. Filtrado de rede internas Autor: Tesista
Fuente: Pruebas con el sistema
178
Reglas de filtrado – Desde redes externas hacia zentyal
Gráfico 118. Filtrado de redes externas hacia zentyal Autor: Tesista
Fuente: Pruebas con el sistema
179
Reglas de filtrado – Tráfico saliente de zentyal
Gráfico 119. Filtrado del tráfico saliente de zentyal Autor: Tesista
Fuente: Pruebas con el sistema
F.2.3.2. Redirecciones de puertos
Para configurar una redirección hay que acotar los siguientes parámetros:
Interfaz: Conocer la interfaz sobre a cual se va a realizar la traducción.
Destino original: Puede ser el servidor Zentyal, una dirección IP o un objeto.
Protocolo: Se puede definir TCP/UDP, TCP, UDP, ICMP, etc.
Puerto de destino original: Puede ser cualquiera, puerto único o un rango de
puertos
Origen: Puede ser cualquiera, ip origen u objeto de origen.
IP Destino: Colocar dirección ip.
Puerto: Donde el equipo de destino recibirá las peticiones, puede ser el mismo
que el de origen o no.
180
Se puede añadir una descripción para identificar el propósito de la regla, hacer
clic en añadir y guardar cambios.
Gráfico 120. Redirección de puertos
Autor: Tesista Fuente: Pruebas con el sistema
Cabe mencionar que algunos de los servidores que tiene la organización y
necesitan reflejarse hacia el exterior se realizó este procedimiento pero antes hay
que añadir sus direcciones ip en la sección de interfaces de red en interfaces
virtuales.
181
F.3. Infraestructura
F.3.1. DHCP
Gráfico 121. Configuración de interfaces de DHCP Autor: Tesista
Fuente: Pruebas con el sistema
Se asocia la interfaz que se desee tenga DHCP, que en este caso sobre la
interfaz eth1. Luego en configuración se tendrán las siguientes pantallas.
182
Gráfico 122. Opciones personalizadas Autor: Tesista
Fuente: Pruebas con el sistema
Se configura la puerta de enlace predeterminada, dominios de búsqueda,
servidores dns primario y secundario, servidor NTP, servidor WINS.
Se agrega el rango de red que se requiere para aplicar dhcp asociada a la interfaz
183
Gráfico 123. Opciones avanzadas Autor: Tesista
Fuente: Pruebas con el sistema
En la pestaña opciones avanzadas se coloca el tiempo de asignación de DHCP
a cualquier equipo que se conecte en la red.
184
F.3.2. DNS
Gráfico 124. Configuración de DNS Autor: Tesista
Fuente: Pruebas con el sistema
Para el proyecto se ha utilizado los redireccionadores o forwarders que son
servidores DNS a los que nuestro servidor se dirigirá para realizar las consultas.
El primer servidor DNS que consultará el sistema será el local y luego preguntará
a los redireccionadores.
185
F.3.3. Autoridad de certificación
F.3.3.1. General
Gráfico 125. Configuración de certificados de autorización
Autor: Tesista Fuente: Pruebas con el sistema
Se crea un certificado de autorización donde se requerirá el nombre de la
organización, código de país, ciudad, estado y los días de expiración del
certificado.
En los certificados se puede tomar varias acciones como: revocar, descargar la
clave y certificado y renovar.
F.3.3.2. Certificados para los servicios
Gráfico 126. Lista de los certificados para servicios
Autor: Tesista Fuente: Pruebas con el sistema
186
Este certificado se podrá observar en el navegador cada vez que se ingrese a la
interfaz web de administración desde cualquier parte del mundo.
Submenú “NTP”
Gráfico 127. Configuración general de NTP Autor: Tesista
Fuente: Pruebas con el sistema
Se puede activar o desactivar la sincronización con los servidores NTP externos
mediante los cuales se emite la hora del reloj del sistema.
F.4. Perfil Oficina
F.4.1. Antivirus
Gráfico 128. Información antivirus Autor: Tesista
Fuente: Pruebas con el sistema
El antivirus que se utiliza es clamav, el mismo que actualiza su base de datos de
virus en un determinado tiempo.
187
ANEXO G: Glosario de Términos
A
Apache: Es un servidor web de código abierto que nos permite mostrar páginas
web estáticas y dinámicas en la World Wide Web.
Antivirus: Son programas que permiten detectar y eliminar virus en la red.
B
BIND: Es el servidor de DNS usado en sistemas UNIX.
Buffer de datos: Es un espacio de la memoria en un disco o en un instrumento
digital reservado para el almacenamiento temporal de información digital.
C
ClamAV: Es un sistema de antivirus que se despliega bajo código abierto.
Códec: Es aquel que permite codificar y decodificar el flujo o la señal que se
transmite, que puede ser de video y voz.
Cubeta con goteo: Es un algoritmo que se utiliza para controlar la cantidad de
datos inyectados en la red.
Cola: Es una estructura de datos que permite acceder al primero y al último
elemento de la estructura.
Criptografía: Es un método donde se utiliza un algoritmo de cifrado con cierta
clave secreta, la misma que permitirá la lectura del mensaje a quien posea dicha
clave.
D
DansGuardian: Es un sistema que realiza filtrado de contenido y permite controlar
el acceso web de los usuarios.
188
Dovecot: Es un servidor de IMAP y POP3 que nos permite acceder y recibir el
correo, respectivamente.
DNAT: Es la traducción de direcciones de red de destino permitiendo publicar un
servicio de red interna a una IP de acceso público.
E
Etherchannel: Permite la agrupación lógica entre varios enlaces Ethernet y así
obtiene alta velocidad en enlaces troncales y redundancia.
G
Gateway: Conocida como puerta de enlace, su objetivo es traducir la información
del protocolo utilizado red origen hacia el protocolo de red de destino.
H
H.264: Es un estándar que define un códec de video proporcionando una buena
calidad de imagen.
M
Mod-perl: Es un módulo que permite crear páginas dinámicas escritas en el
lenguaje de programación Perl.
Multicast IP: Es un mecanismo que permite entregar datagramas IP a un grupo
de receptores.
N
Netfilter/Iptables: Es un framework que permite manipular los paquetes de red y
para ello se ha creado iptables donde se realiza filtrado de paquetes en el
cortafuegos y funciones de NAT.
Ntpd: Es un servidor de sincronización de fecha y hora.
Ntop: Es un programa que permite monitorizar el tráfico de red en tiempo real.
189
O
OpenSSL: Es un conjunto de herramientas de administración y bibliotecas que
se encuentran ligadas con la criptografía para navegación web segura mediante
HTTPS.
P
Postfix: Es un servidor de correo de código libre que permite el envío de correo
electrónico.
Peer to Peer: Es un conjunto de nodos que se comportan iguales entre sí, de
manera todos funcionan sin clientes ni servidores fijos.
Paquete de red: Es cada uno de los bloques en que se divide la información para
enviar.
Prioridad de tráfico: Es definir clases de tráfico mediante la identificación de
paquetes de tipo crítico.
R
Red inalámbrica: Es la conexión de nodos a través de ondas electromagnéticas,
sin utilizar una red cableada.
S
Squid: Es un servidor proxy siendo el intermediario entre peticiones de recursos
entre un cliente y un servidor. Permite guardar en caché las peticiones
requeridas.
Snort: Es un detector de intrusos, un sniffer de paquetes. En la detección de
ataques a la red permite registrar, alertar y tomar acciones ante cualquier
incidente.
SNAT: Es la traducción de direcciones de red de origen permitiendo el tráfico
desde una red privada para viajar a internet.
190
Streaming: Es un flujo de video que se observa en tiempo real.
T
Telefonía IP: Es una tecnología que permite tener comunicaciones de voz a
través de la red de comunicaciones IP.
U
Unicast IP: Es el envío de datagramas IP de un único emisor a un único receptor.
V
Videoconferencia: Es la tecnología que permite la comunicación bidireccional de
audio, voz y datos permitiendo que los emisores y receptores tengan una
comunicación en tiempo real.
Video vigilancia: Es una tecnología que permite observar de forma local o remota
imágenes o audio a través de las redes de comunicación IP.
W
Wireless Lan Controller: Permite gestionar los puntos de acceso de los diferentes
lugares de una empresa mediante el administrador de red.
191
BIBLIOGRAFÍA
1. HILLAR, G.C. (2009). Redes: diseño, actualización y reparación.
Disponible en URL:
http://site.ebrary.com/lib/bgeneralucesp/reader.action?docID=10337681
[Consulta 07 de Agosto del 2014]
2. CASTAÑO RIBES, R.J. & LÓPEZ FERNÁNDEZ, J. (2013). Redes locales.
Disponible en URL:
http://site.ebrary.com/lib/bgeneralucesp/reader.action?docID=10820908
[Consulta 19 de Agosto del 2014]
3. EVANS, J.W. & FILSFILS, C. (2007). Deploying IP and MPLS QoS for
Multiservice Networks: Theory and Practice. Disponible en URL:
http://site.ebrary.com/lib/bgeneraluce/reader.action?docID=10186085
[Consulta 20 de Agosto del 2014]
4. ABAD DOMINGO, A. (2013). Redes locales. Disponible en URL:
http://site.ebrary.com/lib/bgeneralucesp/reader.action?docID=10721888
[Consulta 12 de Enero del 2015]
5. ESCRIVÁ GASCÓ, G.; ROMERO SERRANO, R.M. & RAMADA, D.J.
(2013). Seguridad informática. Disponible en URL:
http://site.ebrary.com/lib/bgeneralucesp/reader.action?docID=10820963
[Consulta 30 de Enero del 2015]
6. Página Wikipedia Zentyal
Disponible en URL: http://es.wikipedia.org/wiki/Zentyal
[Consulta 13 de Enero del 2015]
7. Página de Zentyal comercial
Disponible en URL: http://www.zentyal.com
[Consulta 15 de Enero del 2015]
8. Página de Zentyal Community Edition
Disponible en URL: http://www.zentyal.org
[Consulta 17 de Enero del 2015]