CCNP I: Implementación y documentación de una Red.

Integrantes: Sergio EspinozaGonzalo Sánchez

Profesor: Gabriel Urra

Introducción

El presente informe tiene por objetivo analizar y tomar como aprendizaje todos los detalles de cómo se organiza, planifica, documenta y como se monta una red computacional, basándose en los modelos jerárquicos de red que a propuesto Cisco, dado el crecimiento en el tiempo de las redes empresariales, que ya no se limitan solamente a una pequeña oficina con una simple red y que comparten entre si Internet, si no que es mas, esa misma oficina pequeña puede ser parte de una gran red, de una empresa en crecimiento que cada año ve aumentado sus costos en producción, clientes, sucursales, trabajadores, con lo que un buen plan y diseño de red pueden hacer la diferencia entre el éxito o el fracaso.

Todo lo anterior conlleva a la empresa al aumento en el flujo de información y los diferentes tipos de trafico, como lo son, el video, la voz y datos, nuevos equipos se van necesitando con mayor poder de procesamiento, la empresa ya no se limita a un solo punto en las instalaciones, comienzan a surgir sucursales, dentro y fuera del país, los trabajadores a distancia ya son cada vez mas necesarios y que necesitan acceso a la información de la empresa para poder realizar sus labores, aquí surge un problema que a existido desde siempre en las redes que es el de la seguridad, la conexión a Internet es cada vez mas necesaria, pero que tomando todas las medidas en seguridad y políticas de empresa, estas pueden ser aun mas seguras.

Cisco, primero propuso el modelo jerárquico de redes, por capaz que era el tradicional, que la componían la capa de acceso, donde se conectaban los usuarios finales de la red, como PCs, impresoras, teléfonos ip, la capa de distribución donde había redundancia de enlaces y donde habían políticas de seguridad de la empresa y la capa de núcleo, donde se proveía de una conexión de alta de velocidad sin que nada provocara algún retardo.

Conforme paso el tiempo, a este modelo de red jerárquica le faltaba algo y era que no especificaba o había un vacío de donde ubicar a los usuarios y al proveedor de servicios que se conectaban desde afuera de esa red privada, esto comenzó a ser necesario para la buena organización de la red y tener un respaldo a la hora de ver algún problema y decidir de quien este era responsabilidad. Con todo esto se propone entonces la arquitectura empresarial de red de Cisco, que venia a complementar a la jerarquía de redes, porque abarcaba no solo al modelo ya existente si no que a todo el espectro de la red, con la representación de las sucursales, teletrabajadores y los proveedores de servicio con que estos contaran.

A continuación se presentan algunos diagramas de estos modelos:

Modelo jerárquico de redes

Modelo jerárquico aplicado a una WAN

Composición del modelo de red empresarial funcional por áreas

Modelo de red empresarial propuesto por Cisco

Como se puede ver en este ultimo diagrama, el modelo por capaz ya es parte de este nuevo modelo, agrupando a lo que el campus o central lo que es el acceso, la distribución y el núcleo.

Un poco de teoría:

La composición del modelo empresarial de redes, se divide primero en tres áreas funcionales:

Enterprise Campus: Esta área contiene los módulos requeridos para una construcción jerárquica de la red a nivel de campus, donde el acceso, la distribución y el núcleo son sus principales módulos.

Enterprise Edge: Esta área agrega conectividad, desde y hacia varios elementos de la red empresarial, incluyendo puntos remotos, Internet y usuarios remotos.

Service Provider Edge: Esta área no esta implementada por la organización, esta incluye representaciones de conectividad hacia proveedores de servicio, tales como Internet Service Provider (ISPs), enlaces WAN y la red telefónica publica conmutada (PSTN).

El área de Campus funcional consta de las siguientes áreas:

Building: Contiene switches de acceso y usuarios finales (incluyendo PCs y teléfonos IP).

Building Distribution: Incluye distribución con switches multilayer que provee acceso entre los grupos de trabajo y el núcleo.

Core: También llamado backbone provee alta velocidad de conexión entre todos los módulos de la Building Distribution y la Edge Distribution.

Edge Distribution: Es la interfaz entre la Enterprise Campus y la Enterprise Edge. Este modulo concentra conectividad hacia y desde todas las sucursales y los teletrabajadores que accesan a la red vía WAN o Internet.

Server Farm: Representa el data center del campus (Granja de Servidores).

Managenment: Representa las gestiones sobre la red, como el monitoreo, registros de seguridad y otras gestiones de la red.

Creación, Documentación y ejecución de un plan de implementación

Desarrollo.

Una buena implementación de red, implica tener muy claro esta misma, su distribución física, lógica, funcionamiento y cada uno de los cambios que en ella pueden haber a lo largo del tiempo, por eso es bueno un plan de implementación que incluye también documentación de esta, esto ayudara a los administradores que existen en ella y también a los futuros administradores.

En un enfoque estructurado, la ingeniería de red identifica que es lo que necesita la red para una actualización (por ejemplo una nueva actualización de enrutamiento) y comienza con un planeamiento como primer paso. Basado en la topología existente, todos los potenciales cambios son revisados y muchas consideraciones se tienen en cuenta. El diseño y el plan de implementación son completados y pueden incluir:

Una nueva topología.

Un plan de direccionamiento IP.

Conectividad a redes remotas.

Otros parámetros de cambios en la red.

El diseño y la implementación son requerimientos esénciales en el negocio, todos estos detalles deben ser documentados antes de la implementación. Después de que se ha completado la implementación, la documentación es actualizada para incluir todas las herramientas y recursos usados y los resultados de la implementación.

Topología a implementar y documentar

Esta topología basada en una arquitectura empresarial posee los siguientes componentes:

Usuarios finales, tales como: PCs, teléfonos IP, impresoras.

Switches de acceso a la red para estos usuarios.

Routers que proveen diferentes rutas, a diferentes destinos.

Enlace de alta velocidad Frame Relay.

Router de borde entre la red local y la red publica.

Servidores que proveen diferentes servicios.

Equipamiento responsabilidad del ISP.

Usuarios teletrabajadores.

Los usuarios finales de la red, tendrán diferentes tipos de acceso a la red, lo que también genera distintos tipos de trafico, ya sea de voz, datos y video, es de vital importancia dejar en claro que hará cada usuario y como lo hará y en que momento, estos son factores que en cualquier momento pueden incidir en la red, positiva o negativamente. La especificación de usuario y clave para cada usuario dará el nivel de presencia en la red, mas específicamente los perfiles de usuario, se debe tener en cuenta que al momento de autenticarse cada usuario entra a la par a la red, ya que las políticas de seguridad para cada usuario se aplican al nivel de capa 3, es decir, el filtrado por ip o segmentos de red, les dará a los usuarios la posición real que tienen dentro de la red.

Estos filtros pueden ser:

Denegar o permitir el acceso a Internet. Denegar el acceso al sitio FTP. Permitir el acceso a ciertas aplicaciones. Denegar ciertos tipos de tráfico. Comunicarse solo con ciertos usuarios. Recibir solamente correo interno.

Todos estos filtros se van aplicando a nivel de enrutamiento, los routers deben ser capaces de aplicarlo, con la configuración necesaria en la mayoría de los casos se hace con listas de acceso (ACLs), estos pueden funcionar de varias maneras, por filtros ip o por puertos que es donde mas se pueden sufrir ataques, externos, otro de los detalles de seguridad primordiales es el establecimiento de las interfaces precisas que son necesarias a la hora publicar rutas y actualizaciones de enrutamiento, por ejemplo, las interfaces donde que brindan acceso a usuarios finales, nunca deben mandar actualizaciones de enrutamiento a menos que sea necesario, un usuario externo a la empresa podría realizar un ataque con el simple hecho de hablar el mismo protocolo que el resto de la red y aprender todas las redes.

Muchas veces para evitar este tipo de ataques también se hace imprescindible la autentificación del protocolo, esto justamente permite que ataques externos puedan ejecutarse si es no se tiene sincronizada las mismas claves, sin la autentificación correcta simplemente no hay adyacencia.

En nuestro caso, el protocolo de enrutamiento utilizado es OSPF con sistema autónomo 100, totalmente autentificado en todos los routers que en ellos participa hasta el router frontera entre la red privada y la publica, todas las configuraciones desde ahí hacia fuera conciernen solo al proveedor de servicios.

Red Privada

Aquí se puede apreciar la red privada empresarial, con sus diferentes componentes, en este punto es donde se aplican las políticas de seguridad de la empresa, esta zona también es llamada de distribución.

Red Pública

Todo lo que aquí se encuentras es externo a la red privada, aquí están los servicios del proveedor o ISP, como lo son Internet, telefonía y otros, aquí también existe la salvedad de que hay usuarios que pertenecen a la empresa, pero que se conectaran a los recursos de la red, pasando por Internet, la conexión aquí es vía VPN, totalmente de forma segura o encriptada, será un túnel de conexión virtual tal y como si estuviera físicamente dentro de la red.

Información técnica del equipamiento de la red

Cada PC, contara con Microsoft Windows XP Profesional, con software Web y ftp cliente.

Teléfonos IP, marca Cisco. Impresoras láser, marca HP. Switches de acceso a Lan, Cisco Catalyst 2960. Routers Cisco 1700 series Modular Access Routers.

Diagrama de una solución multiservicio:

Diagrama de una solución de conectividad segura:

Plan de direccionamiento IP

Equipo Interfaz IP Link MascaraRouter 1 Serial 0 192.168.0.145 A Router 2 255.255.255.252

Serial 1 192.168.0.149 A Router 3 255.255.255.252Fast Ethernet 0 192.168.0.1 Segmento A 255.255.255.192Fast Ethernet 1 192.168.0.65 Segmento B 255.255.255.224

Router 2 Serial 0 192.168.0.146 A Router 1 255.255.255.252Serial 1 192.168.0.157 A Router 4 255.255.255.252Serial 2 192.168.0.165 A Router 5 255.255.255.252

Router 3 Serial 0 192.168.0.150 A Router 1 255.255.255.252Serial 1 192.168.0.153 A Router 4 255.255.255.252Fast Ethernet 0 192.168.0.97 Segmento C 255.255.255.224

Router 4 Serial 0 192.168.0.158 A Router 2 255.255.255.252Serial 1 192.168.0.154 A Router 3 255.255.255.252Serial 3 192.168.0.161 A Router 6 255.255.255.252

Router 5 Serial 0 192.168.0.166 A Router 2 255.255.255.252Serial 1 192.168.0.169 A Router 6 255.255.255.252

Router 6 Serial 0 192.168.0.162 A Router 4 255.255.255.252Serial 1 192.168.0.170 A Router 5 255.255.255.252Serial 3 200.0.0.1 A Router 7 255.255.255.0Fast Ethernet 0 192.168.0.129 Segmento D 255.255.255.240

Configuraciones de red

Router 1:

hostname R1

ip domain name gonzalo.clip audit po max-events 100

username RC password 0 123username RB password 0 123username gonzalo privilege 15 secret 5 $1$Lo1p$QJOEhYXdVJVJvdrtYAZvP0

interface Loopback0 ip address 192.168.0.65 255.255.255.224!interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.192 duplex auto speed auto!interface Serial0/0 ip address 192.168.0.149 255.255.255.252 encapsulation ppp

ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication pap ppp pap sent-username RA password 0 123!interface Serial0/1 ip address 192.168.0.145 255.255.255.252 encapsulation ppp ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication pap ppp pap sent-username RA password 0 123!router ospf 100 log-adjacency-changes area 0 authentication message-digest network 192.168.0.0 0.0.0.63 area 0 network 192.168.0.64 0.0.0.31 area 0 network 192.168.0.144 0.0.0.3 area 0 network 192.168.0.148 0.0.0.3 area 0!ip classless!ip http serverip http authentication localip http secure-server

line con 0line aux 0line vty 0 4 privilege level 15 login local transport input telnet ssh!end

Router 2:

hostname R2

username RA password 0 123username RD password 0 123

interface Loopback1

ip address 192.168.0.97 255.255.255.224!interface Serial0/0 ip address 192.168.0.150 255.255.255.252 encapsulation ppp ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication pap ppp pap sent-username RB password 0 123!interface Serial0/1 ip address 192.168.0.153 255.255.255.252 encapsulation ppp ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication chap!router ospf 100 log-adjacency-changes area 0 authentication message-digest network 192.168.0.96 0.0.0.31 area 0 network 192.168.0.148 0.0.0.3 area 0 network 192.168.0.152 0.0.0.3 area 0!line con 0line aux 0line vty 0 4 login!end

Router 3:

hostname R3

username RA password 0 123username RD password 0 123!interface Serial0/0 ip address 192.168.0.146 255.255.255.252 encapsulation ppp

ip ospf authentication message-digest

ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication pap ppp pap sent-username RC password 0 123!interface Serial0/1 ip address 192.168.0.157 255.255.255.252 encapsulation ppp ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication chap!router ospf 100 log-adjacency-changes area 0 authentication message-digest network 192.168.0.144 0.0.0.3 area 0 network 192.168.0.156 0.0.0.3 area 0

line con 0line aux 0line vty 0 4 login!end

Router 4:

hostname R4

username RB password 0 123username RC password 0 123!interface Serial0/0 ip address 192.168.0.154 255.255.255.252 encapsulation ppp ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco clock rate 2000000 ppp authentication chap!interface Serial0/1 ip address 192.168.0.158 255.255.255.252 encapsulation ppp

ip ospf message-digest-key 1 md5 cisco

clock rate 2000000 ppp authentication chap!interface Serial0/2 ip address 192.168.0.161 255.255.255.252 encapsulation frame-relay IETF ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco ip ospf network point-to-point clock rate 2000000 frame-relay interface-dlci 100 frame-relay lmi-type ansi!router ospf 100 log-adjacency-changes area 0 authentication message-digest network 192.168.0.152 0.0.0.3 area 0 network 192.168.0.156 0.0.0.3 area 0 network 192.168.0.160 0.0.0.3 area 0!line con 0line aux 0line vty 0 4 login!end

Router 5:

hostname R6!interface Loopback2 ip address 192.168.0.129 255.255.255.240!interface Serial0/0 ip address 200.0.0.1 255.255.255.252 clock rate 2000000!interface Serial0/1 ip address 192.168.0.162 255.255.255.252 encapsulation frame-relay IETF ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco ip ospf network point-to-point

clock rate 2000000

frame-relay interface-dlci 101 frame-relay lmi-type ansi!router ospf 100 log-adjacency-changes area 0 authentication message-digest network 192.168.0.128 0.0.0.15 area 0 network 192.168.0.160 0.0.0.3 area 0

line con 0line aux 0line vty 0 4 login!end

Router 6:

hostname ISP!interface Serial0/1 ip address 200.0.0.2 255.255.255.0 clock rate 2000000!line con 0line aux 0line vty 0 4!End

Conclusión

En este informe hemos analizado y comprendido la manera en que han evolucionado las redes en el tiempo, porque ya no son pequeñas redes de oficina, ya son a nivel de campus y donde poseen sucursales y trabajadores a distancia, que deben poder ser capaces de ingresar a los recursos de la red independiente de donde estén situados, todo esto lo hace posible la conexión a Internet ya cada vez mas necesaria porque sin ella ya seria muy difícil para la empresa entrar en el mercado competitivo.

Es por esto que necesitamos cada vez más de redes más organizadas a todo nivel, a nivel de diseño, implementación y documentación y lo que es mas importante a nivel de los usuarios de la empresa que son los que en algún momento dado pueden ser el punto de equilibrio para la red o simplemente quienes sean los responsables de un mal funcionamiento, el rol del administrador en este caso es la de mantener la red en constante supervisión porque las grandes cantidades de trafico que se manejan dentro de la red, podrían en algún momento hacerlas colapsar. La diagramación y recopilación de información sobre la red se hace fundamental para hacer un buen plan de implementación y saber con exactitud donde puede estar el potencial problema o donde se debe poner mayor atención a la red y así satisfacer las diferentes necesidades de la empresa en cuanto a la información que maneja.