3.3 pliego de condiciones: wifibibing.us.es/proyectos/abreproy/12013/fichero/3.+pliego... · 5....

3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012

PFC. Marina Peinado Mengibar Página 1

3.3 PLIEGO DE CONDICIONES: DISEÑO, SUMINISTRO

E INSTALACIÓN DE UNA NUEVA RED INALÁMBRICA

(WIFI)

1. OBJETIVOS ............................................................................................................................. 2 2. IMPLEMENTACIÓN ............................................................................................................... 5

2.1 COBERTURA INALÁMBRICA ....................................................................................... 5 2.1.1 ZONA DE AULAS ..................................................................................................... 5 2.1.2 SALÓN DE ACTOS ................................................................................................... 6

2.2 PUNTOS DE ACCESO ...................................................................................................... 7 2.3 CONTROLADOR INALÁMBRICO ................................................................................. 8 2.4 EQUIPO DE GESTIÓN ................................................................................................... 10 2.5 ALIMENTACIÓN MEDIANTE CABLE ETHERNET DE DATOS (POE) ................... 10

3. SEGURIDAD .......................................................................................................................... 11 3.1 INTRODUCCIÓN ............................................................................................................ 11 3.2 CONSIDERACIONES GENERALES ............................................................................. 12 3.3 VLANS ............................................................................................................................. 12

3.3.1 RED CORPORATIVA .............................................................................................. 13 3.3.2 RED DE ALUMNOS ................................................................................................ 15 3.3.3 RED DE INVITADOS .............................................................................................. 15 3.3.4 RED DE ACCESO A ESCRITORIOS REMOTOS (VDI) ....................................... 16

4. LISTADO DE EQUIPAMIENTO INSTALADO .................................................................. 16 5. CONFIGURACIÓN DE LOS COMPONENTES .................................................................. 17

5.1 CONTROLADOR INALÁMBRICO ............................................................................... 17 5.2 PUNTOS DE ACCESO .................................................................................................... 18

6. DIAGRAMA DE RED ........................................................................................................... 18 7. PLANOS DE POSICIONAMIENTO ..................................................................................... 19 8. PLANOS DE COBERTURA .................................................................................................. 20

8.1 PLANTA BAJA ................................................................................................................ 20 8.2 PLANTA PRIMERA ........................................................................................................ 21

9. CONCLUSIONES DEL DISEÑO .......................................................................................... 21



1. OBJETIVOS

Los principales requisitos definidos por los responsables del organismo en el que se desarrolla

el presente pliego se detallan a continuación:

La red wifi debe permitir el acceso inalámbrico de los usuarios a aplicaciones y

servicios con las máximas prestaciones de seguridad, disponibilidad y rendimiento.

La topología de la red propuesta debe constar de un controlador central inalámbrico

conectado al núcleo de la red, junto con una serie de puntos de acceso controlados por

dicho controlador inalámbrico, que se conectarán a las tres ubicaciones de red

disponibles: Centro de Procesamiento de Datos, Aulas y Secretaría.

El diseño de la red se deberá orientar a los usuarios, dispositivos y servicios que se van

a necesitar. El objetivo final es que la red esté al servicio de los usuarios y se adapte a

sus necesidades, y no sean los usuarios los que se adapten al diseño de la red.

Facilidad de la gestión: el sistema debe facilitar la gestión de las cuentas de los usuarios,

disponer de interfaces simples e intuitivos y con capacidad de crear/borrar masivamente

las cuentas.

Alta capacidad: se considera fundamental para el correcto funcionamiento de la red que

la capacidad de la misma no tenga de cuellos de botella y que el flujo de datos sea lo

más rápido y flexible posible.

Escalabilidad de la solución: todos los elementos de la solución deberán permitir

ampliar sus funcionalidades mediante el agregado de nuevos dispositivos o módulos

modificaciones a realizar en la solución ya existente.

Flexibilidad: Las plataformas ofertadas deberán estar preparadas para soportar nuevas

tecnologías y servicios de cara al futuro.

El sistema debe ser abierto, de manera que facilite la incorporación de módulos

adicionales de comunicaciones con otras aplicaciones y la integración con otros

sistemas. Por tanto, deberá seguir estándares que permitan su interoperatividad con

otros fabricantes y otras tecnologías.

El sistema debe estar dimensionado para soportar una media de más de 400 conexiones

simultáneas.

Se deberá proporcionar cobertura en todo el edificio.

Se reforzará la cobertura en las Zonas de las Aulas de Formación ya que se tratará de

los puntos de mayor concurrencia de usuarios, teniendo en cuenta que las aulas son

panelables.

El número mínimo de puntos de acceso ofertados será de 30.

Las características mínimas que deberá cumplir el controlador inalámbrico serán las

siguientes:



Los estándares que debe cumplir el controlador son los siguientes:

IEEE 802.3 10BASE-T

IEEE 802.3u 100BASE-TX

1000BASE T, 1000 BASE-SX, 1000 BASE-LH

IEEE 802.1Q Vtagging

IEEE 802.1A Link Aggregation

IEEE 802.11a, 802.11b, 802.11b, WMM/802.11e, 802.11h, 802.11n

DHCP

BOOTP

SNMP v1,v2,v3

Telnet

RMON

Syslog

http

CAPWAP

Los puntos de acceso han de tener las capacidades técnicas mínimas para cumplir con la

instrucción 1/2006 de 15 de Mayo de la Junta de Andalucía. Además, deberá cumplir con las

siguientes especificaciones y estándares:

Características Valor

Duales (802.11ª/n y 802.11g/n) simultáneos SI

Características Valor

Número mínimo de puntos de acceso soportados 50

Capacidad de ampliación por licencia software Hasta 500

Soporte de equipos 802.11 a/g/n SI

Autoconfiguración automática y centralizada de los puntos de acceso SI

Asignación automática de canales 802.11 para evitar interferencia cocanal SI

Balanceo de carga SI

Detección y corrección de huecos en la cobertura SI

Control dinámico de potencia SI

802.11i (WPA2), WPA y WEP SI

Protocolo 802.11x con soporte para EAP-TLS, EAP-TTLS, PEAP, EAP-FAST SI

Detección de puntos de acceso no autorizados SI

Capacidades de IDS/IPS SI

Listas de control de acceso SI

Integración en entorno RADIUS AAA SI

Roaming mejorado SI

Soporte para VLAN y calidad de servicio (QoS) SI

Soporte CAPWAP SI

Capacidad de portal cautivo SI

Validación de usuario y clave contra base de datos interna, LDAP o Radius SI

Varios interfaces para Uplink Gigabit (10/100/1000 BASE T, 100 BASE SX) SI

Interfaz de gestión web (http, https) SI

Posibilidad de varios SSID SI

Posibilidad de varias VLAN SI

Tabla 1. Características mínimas del controlador inalámbrico



Compatibilidad 802.11n Draft 2.0 SI

Tasa de datos de hasta 300 Mbit/s SI

Software CAPWAP SI

Antenas duales integradas SI

Encriptación AES por hardware (sin pérdida de rendimiento) SI

Certificados WPA y WPA2 compatibles con 802.11i SI

Diseño estético SI

Soporte de alimentación por cable de red (PoE) SI

Interfaz 10/100/1000 BASE-T SI Tabla 2. Especificaciones para los puntos de acceso

El software de gestión de usuarios deberá tener las siguientes características:

Interfaz de usuario independiente para la gestión de usuarios (altas/bajas)

Fácil creación de usuarios mediante entorno gráfico amigable

Capacidad para la creación masiva de usuarios

Capacidad de autogeneración de contraseñas

Comunicación automatizada de las credenciales al usuario, mediante correo

electrónico ó mensaje de texto (SMS)

Soporte de múltiples servidores de autenticación externos, incluyendo la base de

datos de usuarios locales, Active Directory, LDAP, RADIUS y Proxy

Generación de mensajes de registro (Syslog) para la autorización y autenticación,

permitiendo cumplir con la directiva europea en base a protección de datos

Gestión de la interfaz de usuario para usuarios wifi (portal cautivo)

Creación de usuarios mediante plantillas

Capacidad de funcionar en modo de autorregistro y como sistema centralizado de

gestión de usuarios

Creación de planes personalizados de uso: ilimitados, de una determinada duración,

con limitación de uso por tiempo o por volumen de descargas

Personalización del entorno de gestión de usuarios, mostrando sólo las opciones

deseadas

Módulo de generación de informes y consultas: por usuario, globales en el sistema,

globales en un período de tiempo, etc.

Funcionamiento como servidor de autenticación 802.1X: soporte PEAP, TLS,

TTLS

Posibilidad de modificación de la interfaz y funcionalidades de la aplicación a

criterio del organismo

Integración con plataformas existentes de gestión mediante API abierta

El software deberá permitir su instalación en una máquina virtual

Elementos adicionales: se deberán presentar así mismo los siguiente elementos

adicionales:

GBIC de conexión del controlador al núcleo de la red (CORE)

Latiguillos fibra/cobre

Tirada de cableado nuevo completo hacia puntos de acceso



2. IMPLEMENTACIÓN

2.1 Cobertura inalámbrica

Para satisfacer las necesidades de cobertura y capacidad contempladas en los requisitos, se han

instalado 32 puntos de acceso en las ubicaciones indicadas por los estudios de cobertura

preliminares realizados para este proyecto, y corregidas tras una visita a las instalaciones.

El desglose de equipos propuestos por cada una de las ubicaciones es el siguiente:

Planta Número de puntos de acceso

Baja 16

Primera 16

Total 32

Tabla 3. Distribución de los puntos de acceso por zonas

A la hora de decidir la ubicación de los puntos de acceso, se ha tenido en cuenta, por un lado los

materiales de fabricación del edificio y por el otro, los requisitos en cuanto a las zonas de

cobertura especificados. Además en el diseño de la red se ha tenido en cuenta la contribución a

la cobertura inalámbrica que ofrecen los puntos de acceso a las plantas inmediatamente inferior

y superior a la que están colocados.

También se ha tenido en cuenta la opinión del propio personal del edificio, que ha preferido

primar la cobertura en las zonas deseadas (aulas, salas de reuniones, zonas de concentración de

usuarios), en lugar de buscar una distribución más uniforme.

Por tanto, en zonas donde la densidad de usuarios va a ser muy grande, como por ejemplo, en

las aulas, es posible que con un único punto de acceso se habría podido dar cobertura a toda la

zona (dado que suelen ser zonas diáfanas), pero en cuanto se conectaran más de 25 personas, ya

no se podría prestar servicio adecuadamente en esa zona. Por eso, tal y como se podrá observar

en los gráficos a continuación, se ha optado por poner un número adicional de puntos de acceso

en dichas zonas para que la red pueda funcionar incluso con un elevado número de usuarios

conectados.

A continuación se ofrecerá información detallada de las zonas donde se ha añadido un mayor

número de puntos de acceso de los inicialmente necesarios, con el fin de asegurar el correcto

funcionamiento de la red en caso de saturación por uso.

2.1.1 Zona de aulas



Ilustración 1. Distribución de los puntos de acceso en la Planta baja

Se puede observar como en la zona de las aulas, se configura un punto de acceso por aula, pero

al mismo tiempo se dedica un elevado número de puntos de acceso a zonas adyacentes a dichas

aulas, de modo que contribuyan no tanto a dotar de cobertura al aula (puesto que esto ya se

consigue con un único punto), si no a prestar servicio a usuarios de las aulas que no puedan

conectarse al punto de acceso principal de las aulas por encontrarse este saturado.

En resumen, en todas las aulas existe al menos la contribución de:

Un punto de acceso en el aula

Un punto de acceso de algún aula cercana/pasillo en el mismo piso

Un punto de acceso de aulas que estén en pisos inferiores y/o superiores

Además, cada punto de acceso cuenta con doble radio, con lo que cada uno de ellos puede dar

soporte a 25 usuarios en 802.11b/g, y otros 25 en 802.11a/n. De este modo se pueden garantizar

altas tasas de uso de la red inalámbrica en zonas como esta donde puede darse un elevado

número de usuarios simultáneos.

2.1.2 Salón de actos



Ilustración 2. Distribución de puntos de acceso en el Salón de Actos

De igual modo, otra zona que comúnmente tiene un elevado número de usuarios conectados es

el Salón de Actos, donde pueden realizarse eventos, actos, cursos, etc. que requieran de

conectividad inalámbrica.

Para evitar un posible escenario de saturación de puntos de acceso por un excesivo número de

usuarios, se han desplegado dos puntos de acceso en el Salón de Actos, junto con uno en el

pasillo anexo. Además, se ha tenido en cuenta que justo en la planta superior existen otros

puntos de acceso a los que podrían conectarse eventualmente usuarios del Salón de Actos.

2.2 Puntos de acceso

Para el presente proyecto se han adquirido un total de 32 puntos de acceso Cisco de la serie

1042N (AIR-LAP1042N-A-K9), a lo que se debe añadir un controlador de acceso de la gama

WLC modelo 5508 para gestionarlos, del cual se hablará en el correspondiente apartado.

Con esta configuración, y teniendo en cuenta que cada punto puede soportar hasta 50 usuarios

simultáneos (unos 25 por cada una de las dos radios instaladas, en 2.4 GHz y en 5 GHz), se

permitiría dar servicio a un total de 1600 usuarios simultáneos. A esto se le sumarán las

capacidades de balanceo de carga de las que dispone el controlador.

La serie 1042 de Cisco soporta el nuevo estándar 802.11n.

Entre el controlador y el punto de acceso gestionado, la comunicación se realiza mediante el

protocolo de última generación CAPWAP (Control and Provisioning of Wireless Access

Point) propuesto por la IETF, encriptado con DTLS. Debido a la seguridad DTLS, junto con la

configuración vía web, los parámetros confidenciales de configuración no aparecen expuestos ni

en el aire ni en la red ethernet. Además, la configuración no se guarda en el punto de acceso

gestionado, lo que reduce el riesgo de que una configuración sea capturada si se produce el robo

de uno de ellos.

Soportar el protocolo CAPWAP permitirá a los puntos de acceso operar en el entorno propuesto

con controladores inalámbricos de las series 2100 y 5500 de Cisco.



Los puntos de acceso disponen de las siguientes características:

Duales: Trabajan simultáneamente en 802.11b/g/n (2,4 GHz) y 802.11a/n (5GHz)

Compatibilidad con 802.11n

Soporta 24 ó 10 canales no solapables (21 en 11a/n y 3 en 11g/n a 20 MHz; 9 en 11a/n y

1 en 11g/n a 40 MHz)

Velocidades de hasta 300 Mbits/s

Software CAPWAP (mencionado anteriormente)

Control de potencia de transmisión

Antenas duales integradas

Encriptación AES por hardware (sin pérdida de rendimiento)

Certificados WPA y WPA2. Compatible con 802.11i

Diseño estético

Soporte de alimentación mediante cable de red (PoE, Power over Ethernet)

Soporte servidor RADIUS

802.1x: Cisco LEAP, EAP-FAST, PEAP, EAP-TLS, EAP-TTLS y EAP-SIM.

Claves dinámicas por usuario y por sesión (WPA y WPA2)

Encriptación TKIP (WPA) y AES-CCM (WPA2)

Gestión: BootP, SSH, HTTPS, TFTP, FTP, Telnet, Consola, SNMP, RME, SWIM,

Campus Manager, CiscoView y WLSE.

En la siguiente imagen se puede comprobar el aspecto de este modelo.

Ilustración 3. Punto de acceso Cisco de la serie 1042N

Los puntos de acceso funcionan en modo centralizado, por lo que sin conexión con el

controlador central (Cisco WLC) no levantarán las radios ni emitirán identificadores (SSID)

alguno. Sin embargo, sí que responden a los pings, y se les ha habilitado el interfaz de línea de

comandos (CLI: Telnet/SSH) a todos ellos para tareas de gestión.

2.3 Controlador inalámbrico

La principal función del controlador inalámbrico es la de proporcionar inteligencia a la red, así

como actuar como elemento de configuración y gestión centralizada, permitiendo implementar

de manera eficiente y flexible las ventajas propias de redes inalámbricas desplegadas mediante

switches wifi, tales como la gestión y configuración de radiofrecuencias automática, roaming

avanzado, seguridad centralizada, etc.



Ilustración 4. Controlador inalámbrico AIR-CT5508-50-K9

Se ha instalado concretamente el modelo AIR-CT5508-50-K9, con capacidad para soportar

hasta 50 puntos de acceso, y que tiene las siguientes características:

• 8 puertos SFP (Small Form Factor Pluggable) con soporte Gigabit. Éstos permitirán conectar

un transmisor y un receptor simultáneamente al mismo puerto.

Ilustración 5. Puerto SFP

• Licencias para dar soporte hasta a 25 equipos (pero con capacidad de ampliación mediante

licencias de software a 500 puntos de acceso soportados).

• Autoconfiguración automática y centralizada de los puntos de acceso

• Gestión inteligente de los recursos de radiofrecuencia

Asignación automática de canales 802.11 para evitar interferencias cocanales

Detección y evasión de interferencias

Balanceo de carga

Detección y corrección de huecos en la cobertura

Control dinámico de potencia

Seguridad mejorada

802.11i (WPA2), WPA y WEP

Protocolo 802.1x con soporte para EAP-TLS, EAP-TTLS, PEAP, EAP-FAST

Detección de puntos de acceso “piratas”

Listas de control de acceso

Integración en entornos RADIUS AAA

• Roaming mejorado

• Redundancia

• Soporte para VLAN y calidad de servicio (QoS)

En el apartado 4 del presente pliego se encuentran los diagramas detallados del despliegue de la

red en el edificio, y en el apartado 5 se hablará sobre la configuración del dispositivo. Para

acceder a la configuración del equipo, es necesario acceder mediante interfaz http seguro

(https).



Es importante destacar que se ha configurado una conexión con el núcleo de la red que soporta

alta disponibilidad a nivel de enlace físico, a través del protocolo de agregación de enlaces

(LAG). De este modo, los dos puertos conectados del controlador se unen a dos puertos del

Cisco 4500 que hace las labores de núcleo de la red cableada del edificio. Concretamente se

unen los puertos 1 y 2 del controlador con los puertos 1 y 3 del módulo 9 del 4500.

2.4 Equipo de gestión

En el sistema existe una funcionalidad añadida que permitirá monitorizar y gestionar la red de

los puntos de acceso instalados, de modo que se puedan detectar en un breve período de tiempo

averías en el sistema, ó se pueda conocer en todo momento el número de usuarios conectado a la

red, por ejemplo. Esta funcionalidad añadida reside en un software de control de Cisco

denominado WCS (Wireless Control System), que se conecta al controlador inalámbrico y

mediante el intercambio de paquetes SNMP permite conocer en todo momento el estado de la

red, y proporciona un punto único de configuración para la misma.

Este sistema permite al gestor de la red diseñar, controlar y monitorizar todos los recursos de la

red inalámbrica en una única ubicación centralizada, simplificando las operaciones y reduciendo

los costes de operación. Se ha incluido una licencia de 50 puntos de acceso (WCS-APBASE-

50), siendo el sistema ampliable mediante la instalación de nuevas licencias.

El sistema de control de Cisco (WCS) proporciona los siguientes servicios:

Gestión centralizada

Monitorización de la red

Resolución de problemas

Protección y seguridad de la red

Generación de informes

Este software ha sido desplegado en un servidor virtual dentro de la infraestructura VMWare

vSphere 4 de que dispone el organismo que trabaja en el edificio. La máquina ha sido

dimensionada con 2 Gigabits de RAM, un único núcleo, y 100 Gigabits de disco duro. La

versión del software instalada es la 7.0.98, y corre bajo un sistema operativo Windows Server

2003.

El acceso al sistema de gestión WCS se realiza mediante acceso web seguro http (https).

2.5 Alimentación mediante cable ethernet de datos (poe)

Los puntos de acceso soportan PoE, es decir, permiten ser alimentados de forma remota

mediante el propio cable Ethernet de datos, con lo cual se elimina la necesidad de tener

alimentación cerca de la ubicación definitiva de los equipos.

Dado que los switches desplegados en el segmento cableado disponen de tal capacidad, los

puntos de acceso sólo reciben un único cable Ethernet, con alimentación y datos

simultáneamente.



3. SEGURIDAD

3.1 Introducción

En este proyecto se ha contemplado el despliegue de cuatro tipos de redes inalámbricas,

diferenciadas según su propósito y características. Los cuatro tipos considerados son:

Red inalámbrica para alumnos. Es la red inalámbrica que ofrece el organismo a sus

usuarios (que generalmente serán alumnos que asisten a cursos que allí se imparten)

para salir a Internet (o a los recursos internos que consideren necesarios). Esta red no

usa cifrado y tiene un acceso restringido mediante un portal cautivo incorporado en el

propio controlador inalámbrico. La presencia de este equipo obliga a que todo aquel que

desee usar la red debe disponer de un usuario y una contraseña otorgada por el

organismo. El controlador inalámbrico realiza las tareas de asignación dinámica de

direcciones (DHCP), mientras que las labores de filtrado de paquetes y traducción de

direcciones (NAT) las realiza la infraestructura de cortafuegos de la que dispone la red.

Red inalámbrica de invitados. Se trata de una red inalámbrica de idénticas

características a la anterior (sin cifrar, y con acceso restringido por un portal cautivo),

pero que se diferencia en la naturaleza de sus usuarios. Esta red la utilizarán invitados,

personal de paso, y en definitiva, usuarios que no se consideran parte del alumnado,

pero a los cuales se desea proporcionar un acceso restringido a Internet.

Red corporativa. También se ha implementado una extensión de la red corporativa del

organismo al segmento inalámbrico. Esta red cuenta con cifrado y control de acceso,

utilizando como elementos auxiliares servidores de dominio de la propia infraestructura

informática del organismo. En esta red serán los servidores internos los que otorguen

direcciones a los equipos clientes autenticados, mientras que las tareas de traducción de

direcciones (NAT) y registro de los accesos las llevarán a cabo la infraestructura de

cortafuegos de la que dispone la red.

Red de acceso a escritorios remotos. Por último, se ha configurado una red inalámbrica

específica para el acceso de ciertos dispositivos móviles a máquinas virtuales que

residen en el sistema de virtualización por software (VMWare) del que dispone el

organismo. Concretamente, se trata de un acceso inalámbrico a los escritorios remotos

de estas máquinas, desde dispositivos móviles que cuentan con capacidades

inalámbricas. La existencia de una red separada para estos dispositivos obedece a dos

motivos:

Cuentan con una configuración de seguridad diferente a las tres redes anteriores (se utilizará un

cifrado WPA-PSK).

Sus valores de calidad de servicio (QoS) serán diferentes, dado que se trata de una red con un

mayor nivel de prioridad, con el fin de lograr que el acceso a los escritorios remotos pueda

permitir un visionado correcto de vídeos al mismo tiempo que se descarga (streaming).

Se ha escogido un cifrado WPA-PSK con el fin de reducir los tiempos de autenticación en el

sistema, dado que se trata de una red donde las temporizaciones son críticas (por uso de

aplicaciones de streaming). Se utilizará una clave PSK segura de 20 caracteres alfanuméricos

aleatorios, para evitar ataques de fuerza bruta y/o diccionario.



3.2 Consideraciones generales

El sistema de seguridad implantado se basa en 3 principios básicos:

Separación entre las redes mediante VLANs, de manera que se impidan (o limiten en

algunas circunstancias) los accesos entre ellas y cada una cuente con diferentes perfiles

de seguridad. De este modo, se impide que un usuario con unos privilegios

determinados pueda acceder a zonas de la red donde no tiene permiso de acceso, usando

sus credenciales.

Cifrado del enlace inalámbrico entre los usuarios y los puntos de acceso en la red

corporativa, asegurando la privacidad e inviolabilidad del canal radio ellos en las redes

que se han considerado de seguridad crítica (red corporativa).

Uso de mecanismos de autenticación “fuertes”, basados en el estándar 802.1X y en un

certificado autofirmado por el servidor, junto con el protocolo PEAP para los usuarios,

también en el caso de la red corporativa.

3.3 VLANs

El propósito de las redes de área local virtuales (Virtual Local Area Networks: VLANs) es

ofrecer la posibilidad de tener diferentes redes de área local, cada una de ellas con su

correspondiente identificador y perfil de seguridad, aprovechando la misma infraestructura

hardware, y con un perfecto aislamiento entre redes con vistas a mejorar los niveles de

seguridad.

El primer elemento en la cadena que conforma la VLAN es el punto de acceso (AP). En la

implementación llevada a cabo es el controlador inalámbrico quien posee la “inteligencia” de la

red siendo los puntos de acceso simples antenas con una lógica de control y configuración

reducida. Toda la información que circula entre un punto de acceso y el controlador en el que

está registrado utiliza el protocolo CAPWAP (Control And Provisioning of Wireless Access

Point) y es transmitida canalizada a través de una VLAN de gestión (VLAN 97).

Es a partir del controlador inalámbrico donde se realiza una diferenciación de la información

transmitida en función del perfil de usuario conectado, siendo dicho controlador el que se

encarga de marcar la pertenencia de los paquetes de una u otra red mediante etiquetas (tags)

usando la norma 802.1q, que permite a los paquetes de diferentes VLANs compartir un mismo

canal físico. Esos paquetes etiquetados son interpretados por los switches que limitan la difusión

de los paquetes a únicamente los puertos incluidos en la VLAN correspondiente y pudiéndose,

por tanto, acceder únicamente a los servicios definidos en dicha VLAN. Con ello se consigue

separar y aislar las redes completamente, logrando un mayor nivel de seguridad.

Las VLANs definidas en el controlador inalámbrico son las siguientes:

VLAN 21 – Red Corporativa

VLAN 30 – Red Abierta y con portal cautivo para usuarios (alumnos)

VLAN 31 – Red Abierta y con portal cautivo para invitados

VLAN 32 – Red cifrada con WPA-PSK para el acceso a escritorios remotos

VLAN 97 – Gestión e interconexión con los puntos de acceso.

Es muy importante comprobar siempre que las asociaciones entre redes inalámbricas y

subinterfaces del controlador inalámbrico estén correctamente configuradas ya que si esto no



fuera así los usuarios de una red sin cifrar podrían entrar en la red corporativa, con el riesgo de

seguridad que ello conllevaría.

3.3.1 Red corporativa

Los equipos inalámbricos del personal del organismo deben usar esta red 802.11a/b/g/n para

tener acceso a todos los recursos y equipos de la red interna, tales como servidores de dominio,

impresoras, servidores de antivirus, etc. El identificador SSID utilizado por esta red es

“prueba1” y como medida de seguridad y en cumplimiento de las políticas de seguridad

definidas se ha deshabilitado temporalmente la difusión del mismo. Este SSID se difundirá

sobre el VLAN 21 de la red corporativa, de modo que todos los elementos de la red corporativa

serán visibles para los usuarios inalámbricos de esta red segura.

3.3.1.1 Cifrado y seguridad del enlace inalámbrico

El primer nivel de seguridad lo proporcionan los mecanismos de cifrado y autenticación

presentes en el enlace inalámbrico, mediante los cuales se pretende impedir que personas no

deseadas se conecten a la red.

Tanto la autenticación como el cifrado utilizan el estándar WPA/WPA2-Corporativo con TKIP /

AES. Este algoritmo permite la generación de claves dinámicas por sesión y por usuario y hace

imposible la interceptación de datos por parte de terceros. Para las labores de autenticación del

usuario, se usa el protocolo PEAP-TLS (integrado en los sistemas operativos Windows), y una

acreditación del usuario mediante nombre y clave, verificadas contra un servidor de

autenticación de Internet, (en adelante IAS), que se ha desplegado en la infraestructura de

servidores de la red del organismo tal y como se comentará en el apartado correspondiente.

La comprobación de las credenciales, en este caso el usuario y contraseña usados para la

autenticación PEAP-TLS, la realiza el controlador inalámbrico (WLC), que mantiene en espera

al usuario hasta comprobar la autenticidad de las credenciales consultando a un servidor de

autenticación RADIUS, que comprueba los datos presentados. Si son válidos permite el acceso

del usuario a la red. El servidor de autenticación se detallará a continuación.

Por tanto, los equipos inalámbricos que deseen conectarse a la red inalámbrica corporativa

deben contar con el hardware y el software necesario:

Hardware. Tarjeta inalámbrica que cumpla con las especificaciones 802.11a/b/g/n para

operación en la banda de 2,4 ó 5 GHz.

Software. Sistema operativo con suplicante 802.1X. Actualmente, todos los sistemas

operativos modernos (Windows XP/Vista, Mac OS X y Linux) cuentan con suplicantes

802.1X integrados y de uso gratuito.

3.3.1.4 Servidor de autenticación

Como elemento repositorio de credenciales de autenticación se ha considerado en este proyecto

el despliegue de un servidor de autenticación bajo Windows 2003 Server, que utilice los datos

existentes en el Directorio Activo del organismo. De este modo, los usuarios no necesitan

disponer de nuevas credenciales con el fin de acceder a la red inalámbrica, si no que se

utilizarán las mismas credenciales que utiliza el usuario para unirse a su dominio (característica



denominada Single Sign On, SSO). No será necesaria la instalación de ningún software

adicional en el caso de clientes inalámbricos con Sistema Operativo Windows, ya que estos

incluyen el cliente necesario PEAP de manera nativa. Además, el proceso de introducción de

credenciales se hace en el inicio de sesión, credenciales que de modo transparente el S.O. pasa

al cliente inalámbrico para que se produzca la validación del enlace inalámbrico. Todo esto se

realizaría de manera totalmente transparente al usuario, que introduciendo sus credenciales

habituales ya se autenticaría tanto frente al dominio de la red, como frente al servidor RADIUS.

Para poder implementar estas funciones, se ha desplegado un paquete adicional en el

controlador principal denominado IAS (Internet Authenticacion Server). Este paquete se

encarga de recibir las peticiones de conexión de los usuarios que envía el controlador, consulta

esas credenciales que aporta el usuario en el directorio activo, y en función del resultado,

permite al usuario la entrada o no a la red.

Un elemento muy importante de este funcionamiento es la capacidad de separar la autenticación

de máquinas y la autenticación de usuarios, creándose dos grupos dentro del controlador de

dominio:

Wifi_usuarios. Aquí dentro habría que incluir los usuarios del dominio que van a tener

permisos para poder usar la red inalámbrica.

Wifi_equipos. Aquí se deberían incluir los equipos del dominio que van a poder

utilizarse para poder acceder de manera inalámbrica.

Ambos equipos tienen permitidas las conexiones desde la red inalámbrica, cosa que no ocurre

con el resto de equipos y usuarios del dominio, por eso deben incluirse tanto usuarios como

equipos dentro de estos grupos para poder utilizar la red inalámbrica.

En base a esta doble autenticación, tanto de usuarios como equipos, podemos barajar los

siguientes escenarios:

Ordenador dentro del grupo wifi_equipos, junto con usuario dentro de wifi_usuarios. En

este caso, el equipo autenticado envía sus credenciales al IAS, se valida, y carga las

correspondientes políticas GPO. Una vez validado el equipo, se le presenta al usuario su

pantalla de autenticación para que se valide. En función de las credenciales aportadas, y

dado que ya se han cargado las GPO, el usuario estará perfectamente registrado en el

dominio, con red inalámbrica, y todas las opciones que se incluyen por políticas de

usuarios: mapeo de unidades, etc.

Ordenador dentro del grupo wifi_equipos, pero usuario fuera del grupo de

wifi_usuarios. En este caso, el usuario entrará al PC, pero éste no dispondrá de enlace

inalámbrico.

Ordenador fuera del grupo wifi_equipos, y usuario dentro del grupo wifi_usuarios. En

este caso, el usuario podrá entrar al equipo, y gozará de enlace inalámbrico, pero no se

le habrán cargado automáticamente las políticas de dominio definidas para él.

Ordenador y usuario fuera de los grupos wifi. En este caso, el usuario podrá entrar a la

máquina, pero no tendrá acceso a la red inalámbrica.

Por ello, para que el usuario pueda acceder a la red, previamente se ha debido solicitar un

usuario autorizado a los responsables de la red, de modo que pueda ser reconocido por el

servidor IAS como autorizado a utilizar la red inalámbrica corporativa y éste pueda asignarle el

perfil de uso correspondiente. Todo este proceso de gestión de usuarios (creación y gestión de



usuarios con sus correspondientes certificados, nombres de usuario y palabras de paso) es

realizado por el personal del organismo.

3.3.2 Red de alumnos

Esta red inalámbrica es la que será utilizada por los alumnos que realicen cursos en este edificio

para acceder a los contenidos disponibles tanto internamente como en Internet. Será una red en

abierto (sin mecanismos de cifrado para la protección del enlace inalámbrico), pero con un

control de usuarios que será gestionado por el personal del organismo.

Este control de usuarios se realiza mediante un portal cautivo que proporciona el controlador

inalámbrico, cuya gestión de usuarios se realizará mediante la herramienta WiFiAdmin instalada

en el servidor de autenticación.

Los usuarios de la red de alumnos (siempre dentro de la VLAN 31) se comunicarán con la red

interna a través del interfaz con que cuenta el controlador dentro de dicha VLAN 31. El

controlador hará también las tareas de gestión de peticiones de direcciones de manera dinámica

(DHCP) por parte de los usuarios de la red inalámbrica y será por tanto el encargado de ofrecer

direcciones de su rango de direcciones disponible.

La página que sirve de repositorio externo para el portal cautivo que presenta el controlador

también se mantendrá en la máquina anteriormente descrita, aunque se plantea también la

opción de alojar dicha página en el propio controlador inalámbrico, con el fin de hacer más

eficiente el uso del portal cautivo.

Resaltar que se mantienen en todo momento los principios de separación de redes, de modo que

los usuarios de esta red en ningún momento podrán acceder a recursos internos de la red

corporativa gracias a la presencia de un firewall intermedio entre este segmento de red y la red

interna.

3.3.3 Red de invitados

Esta red inalámbrica es la que será utilizada por el personal nómada y de paso que esté en el

edificio, tales como consultores, invitados, etc. Será una red en abierto (sin mecanismos de

cifrado para la protección del enlace inalámbrico), pero con un control de usuarios que será

gestionado por el personal del organismo.

Este control de usuarios se realiza mediante un portal cautivo que proporciona el controlador

inalámbrico, que será configurado según la identidad corporativa del organismo, y cuya gestión

de usuarios se realizará mediante la herramienta WiFiAdmin. Se tratará de un portal diferente al

de alumnos, dado que el WLC permite la opción de presentar diferentes portales cautivos según

los diferentes SSID.

Tal y como ocurría en la solución anterior, los usuarios de la red de invitados (siempre dentro de

la VLAN 30) se comunicarán con la red interna a través del interfaz con que cuenta el

controlador dentro de dicha VLAN 30. El controlador hará también las tareas de gestión de

peticiones de asignación dinámica de direcciones (DHCP) por parte de los clientes de la red

inalámbrica y será por tanto el encargado de ofrecer direcciones de su rango de direcciones

disponibles.

La página que sirve de repositorio externo para el portal cautivo que presenta el controlador

también se mantendrá en la máquina anteriormente descrita, aunque se plantea también la



opción de alojar dicha página en el propio controlador inalámbrico, con el fin de hacer más

eficiente el uso del portal cautivo.

Resaltar que se mantienen en todo momento los principios de separación de redes, de modo que

los usuarios de esta red en ningún momento podrán acceder a recursos internos de la red

corporativa gracias a la presencia de un firewall intermedio entre este segmento de red y la red

interna.

3.3.4 Red de acceso a escritorios remotos (VDI)

Esta red tiene una funcionalidad especial, dado que se va a dedicar exclusivamente al acceso a

escritorios remotos en la infraestructura de máquinas virtuales del organismo desde los

portátiles que se encuentran desplegados en las aulas.

La principal característica de esta red es su necesidad de acceder a contenidos que puedan

visualizarse en el momento de su descarga (en streaming) que se reproducirán en el escritorio de

la máquina virtual, y que por conexión inalámbrica con esos escritorios remotos deberán verse

en los portátiles de las aulas. Debido a esta necesidad de mantener una elevada transferencia de

datos y lo sensible que sería a los retardos inherentes a procesos de autenticación seguros, se ha

configurado inicialmente con un protocolo de cifrado PSK y una clave de 20 caracteres

alfanuméricos aleatorios, de modo que no tenga un retraso elevado en los procesos de

regeneración de claves (y por tanto afecte lo menos posible a las transmisiones inalámbricas

desde estos escritorios remotos).

Tal y como ocurría en la solución anterior, los usuarios de la red de escritorios remotos (siempre

dentro de la VLAN 32) se comunicarán con la red interna a través del interfaz con que cuenta el

controlador dentro de dicha VLAN 32.

El controlador hará también las tareas de gestión de peticiones de asignación dinámica de

direcciones (DHCP) por parte de los clientes de la red inalámbrica y será por tanto el encargado

de ofrecer direcciones de su pool de direcciones disponible.

4. LISTADO DE EQUIPAMIENTO INSTALADO

Se presenta a continuación una tabla con el equipamiento instalado para la

implementación de la red inalámbrica.

Fabricante Modelo Descripción Cantidad

Cisco Controlador AIR-CT5508-50-K9 Controlador inalámbrico 1

Cisco Módulo GLC-T= Módulo de cobre para el

controlador

2

Cisco Software gestión WCS-APBASE-

50=

Software para gestión

centralizada

1

Cisco AP 11n interiores AIR-

LAP1042N-E-K9

Punto de acceso red de acceso 32

Tabla 4. Equipamiento instalado



5. CONFIGURACIÓN DE LOS COMPONENTES

En los siguientes apartados se recogerán los principales parámetros de configuración del

equipamiento instalado.

5.1 Controlador inalámbrico

A continuación se muestran los parámetros básicos de configuración del controlador

inalámbrico.

Controlador AIR-CT5508-50-K9

Ubicación CPD

Marca Cisco 5508 (AIR-CT5508-50-K9)

Interfaces

Gestión

Propósito Gestión del controlador

VLAN 97

Dirección IP 10.22.97.6 / 24

Puerta de enlace 10.22.97.1

DHCP -

Corporativa

Propósito Red corporativa

VLAN 21

Dirección IP 10.22.21.6 / 24


DHCP 10.22.97.6

SSID Prueba1

Seguridad WPA/WPA2 PEAP Corporativo

Invitados

Propósito Red para invitados

VLAN 30

Dirección IP 10.22.30.6 / 24


DHCP 10.22.97.6

SSID Prueba2

Seguridad Red abierta con portal cautivo

Alumnos

Propósito Red para invitados

VLAN 31

Dirección IP 10.22.31.6 / 24


DHCP 10.22.97.6

SSID Prueba3

Seguridad Red abierta con portal cautivo

Escritorios remotos

Propósito Red para acceso a escritorios remotos

VLAN 32

Dirección IP 10.22.32.6 / 24


DHCP 10.22.97.6

SSID Prueba4



Seguridad WPA – PSK Tabla 5. Parámetros básicos de configuración del controlador inalámbrico

Como elemento a destacar en la configuración del controlador, hay que mencionar que se ha

optado por una configuración “conservadora” en la banda de 5 GHz en configuración 802.11n,

ya que aunque inicialmente se optó por el uso de canales de doble ancho de banda (40 MHz)

con el fin de maximizar la velocidad, finalmente se han optado por canales convencionales de

20 MHz con el fin de maximizar la compatibilidad de la red. Conforme vaya avanzando la

tecnología, y el uso de canales de doble ancho de banda se vaya haciendo más común, se

considerará un cambio de configuración en ese sentido.

5.2 Puntos de acceso

A la hora de reseñar la configuración de los puntos de acceso, es importante mencionar que

éstos funcionarán en configuración CAPWAP y a penas tienen parámetros de configuración, ya

que los valores más relevantes (seguridad, configuración radio, etc.) se encuentran almacenados

en el controlador inalámbrico.

Tampoco se ha hecho mención de las configuraciones radio (niveles de potencia y canales en las

bandas de 2.4 y 5 GHz) ya que se trata de valores que son gestionados por el controlador

inalámbrico en tiempo real, y por tanto, variables en el tiempo.

6. DIAGRAMA DE RED

Para poder transmitir una mejor idea sobre la disposición de todos los elementos de la red

inalámbrica mencionados hasta ahora se presenta a continuación un diagrama de la red.

El controlador se encuentra conectado al C4500 (núcleo de la red) en el Centro de

Procesamiento de Datos (CPD). Por otro lado también vemos los puntos de acceso

correspondientes conectados a las tres zonas principales donde se encuentra la totalidad de la

electrónica de red: CPD, Secretaría y Aulas (en estas últimas los puntos de acceso se encuentran

conectados a la pila de equipos Cisco 2960-S).

Ilustración 6. Diagrama de red



7. PLANOS DE POSICIONAMIENTO

A continuación se presentan los planos con el posicionamiento exacto de los equipos instalados.

Ilustración 7. Distribución de puntos de acceso en la planta baja

Ilustración 8. Distribución de puntos de acceso en la planta primera



8. PLANOS DE COBERTURA

A continuación se presentan los planos con los niveles de cobertura medidos durante un

replanteo en las instalaciones del edificio.

Lo que se representa mediante estos planos es la potencia transmitida por cada uno de los

puntos de acceso que se encuentran distribuidos por el edificio donde se ha llevado a cabo este

proyecto.

Se utiliza la unidad dBm (decibelios relativos al nivel de referencia de 1 milivatio). 1 mW es

igual a 0 dBm y cada vez que se doblan los milivatios, se suma 3 a los decibelios.

La potencia radiada (potencia enviada por la antena en dirección de su máxima ganancia) puede

calcularse fácilmente (en dBm) como:

Potencia radiada [dBm]= Potencia del transmisor [dBm] – Pérdidas del cable[dB] + Ganancia

de la antena [dBi]

El limite legal para la potencia radiada (EiRP) para redes inalámbricas en Europa (excepto

Francia) es 100mW (= +20 dBm).

Una vez introducidos dichos conceptos podemos proceder a analizar los planos de cobertura que

se muestran a continuación.

8.1 Planta Baja

Ilustración 9. Plano de cobertura en la planta baja

En base a la disposición de los puntos de acceso en la planta baja, la mayor potencia (valores

cercanos a 20 dBm) se da alrededor de ellos. El radio de cobertura cubre perfectamente laz

zonas de mayor demanda de red inalámbrica (zona de Aulas, Salón de Actos y Secretaría),



además la potencia es suficiente para que los usuarios que allí se encuentren tengan un acceso

óptimo a la red.

8.2 Planta Primera

Ilustración 10. Plano de cobertura en la planta primera

Como se puede apreciar, y en base a la disposición de los puntos de acceso, la mayor potencia

se da alrededor de dichos puntos, además el radio de cobertura cubre correctamente las zonas de

mayor demanda de red inalámbrica.

9. CONCLUSIONES DEL DISEÑO

Tras la realización del diseño, suministro e instalación de esta nueva red inalámbrica, en este

apartado se dispone a comentar las conclusiones más notables.

Para el desarrollo del proyecto han sido necesarios una serie de pasos que se describen

brevemente a continuación:

• Replanteo de las ubicaciones: Se visitó el edificio donde se ha llevado a cabo el proyecto y se

examinaron las características requeridas para poder desplegar la red, identificando lugares

propicios para la instalación de los equipos inalámbricos e identificando las características

topográficas.

• Diseño de la red: Se tuvieron en cuenta los materiales de fabricación del edificio y los

requisitos en cuanto a las zonas de cobertura especificados. También se tuvo en cuenta la

contribución a la cobertura inalámbrica que ofrecen los puntos de acceso a las plantas

inmediatamente inferior y superior a la que están colocados. El personal del edificio también



indicó las zonas de mayor densidad de usuarios inalámbricos. En base a esto se ha diseñado la

red inalámbrica, eligiendo el equipamiento adecuado que se ajustaba a los requerimientos.

La característica más destacada de la red inalámbrica implementada es la ausencia de cableado,

lo que permite movilidad dentro de la zona de cobertura correspondiente. El hecho de que los

puntos de acceso estén gestionados por un controlador posibilita su configuración de manera

centralizada. Esto evita el hecho de que haya que configurar cada equipo de manera individual

facilitando con esto la configuración de la red.

También se debe mencionar en este apartado la elección de hacer uso de un software de gestión

de usuarios. A través de una interfaz sencilla y un mecanismo de sms los responsables de la red

pueden gestionar y crear usuarios wifi con sus correspondientes certificados, nombres de

usuario y palabras de paso. Una vez más el controlador inalámbrico será quien proporcione

dicho servicio, centralizando en él la gestión de la red inalámbrica.

Otro punto a destacar como conclusión es que la segmentación en VLANS de los puntos de

acceso permitirá el acceso de los usuarios inalámbricos a distintas VLANs declaradas en los

conmutadores de red, dependiendo del nivel de acceso y del tipo de cliente conectado. Esto

tiene las siguientes ventajas:

Mayor flexibilidad en la administración y en los cambios de la red, ya que la

arquitectura puede cambiarse usando los parámetros de los conmutadores.

Aumento de la seguridad, ya que la información se encapsula en un nivel

adicional y se analiza.

Disminución en la transmisión de tráfico en la red, lo cual evita posibles

sobrecargas.

Por último, la implementación de escritorios remotos VDI permite a los usuarios remotos

conectarse a recursos de la red interna a través de la red inalámbrica mediante una conexión

cifrada, sin necesidad de configurar conexiones de red individuales. Resulta útil y eficiente ante

la llegada de un nuevo visitante a la red ya que puede acceder en tiempo real (en streaming) de

manera fácil y rápida a contenidos comunes ofrecidos por el personal del edificio.

Los servicios del escritorio remoto extienden la vida útil de los equipos ya que evita la

necesidad de renovar el hardware continuamente. Además, proporciona un modelo completo de

configuración de seguridad que permite controlar el acceso a recursos específicos de la red

interna.

• Realización del proyecto técnico: Esta es la parte que se ha recogido en el presente documento.

Con el presente proyecto técnico sería posible implementar la red inalámbrica descrita en una

situación real, siendo solo necesario ocuparse de los detalles específicos de la instalación en

cada una de las ubicaciones descritas.

3.3 pliego de condiciones: wifibibing.us.es/proyectos/abreproy/12013/fichero/3.+pliego... · 5....

Documents