Académique Documents
Professionnel Documents
Culture Documents
(LXROUTER)
TRG 0501
BOGOTA D.C.
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
DEPARTAMENTO DE ELECTRNICA
Director
Ing. FRANCISCO VIVEROS
BOGOT D.C
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERA
DEPARTAMENTO DE ELECTRNICA
A Dios que me ha dado la fortuna de contar con los medios y personas para
lograr mis metas.
A mi Madre quien supo entender y apoyar mi proceso, en forma constante y
con el amor que siempre la ha caracterizado.
A mi Padre por la paciencia y apoyo constante en este largo de tiempo de
estudios satisfactorios, que aun no culminan.
A Claudia Patricia Gmez Garcia, mi novia, quien por su nobleza y paciencia
me contagi de la calma y tranquilidad necesarias para seguir luchando.
A mis amigos que siempre estuvieron pendientes de mi vida acadmica
como personal, brindando apoyo y ayuda en los momentos difciles.
A los compaeros que ya disfrutan de los frutos de ser ingenieros
electrnicos.
A los empleados de la Facultad que siempre estuvieron ah, eran
indispensables para un mejor desempeo en mis labores.
Gracias.
AGRADECIMIENTOS
Los autores expresan sus agradecimientos a:
Ing. Francisco Viveros por su apoyo, gua y preocupacin constante por tener los
mejores medios para la realizacin del trabajo de grado.
Al jefe de seccin de Laboratorio del departamento de Electrnica, Ing. Jorge Luis
Snchez Tllez.
Al Laboratorio por habernos facilitado el equipo para llevar a cabo nuestro trabajo
de grado
Ing. Henry Leonardo Moreno Daz por su resolucin de dudas a cualquier
momento.
Al estudiante Jorge Mario Grimaldos por su resolucin de dudas a cualquier
momento.
TABLA DE CONTENIDO
2METODOLOGA PARA EL DESARROLLO DEL LXROUTER.........................................................5
3ESPECIFICACIONES DEL ENRUTADOR IP (LXROUTER) ............................................................8
4PROBLEMAS ENCONTRADOS......................................................................................................31
5FUTUROS PROYECTOS.................................................................................................................35
6ANLISIS DE RESULTADOS..........................................................................................................36
7ANALISIS DE COSTOS...................................................................................................................54
8CONCLUSIONES.............................................................................................................................56
9BIBLIOGRAFIA................................................................................................................................57
10ANEXOS.........................................................................................................................................58
TABLA DE FIGURAS
FIGURA 1 DIAGRAMA GENERAL DE FUNCIONAMIENTO...........................................................16
FIGURA 2 DIAGRAMA DE SWITCH................................................................................................17
FIGURA 3 DIAGRAMA DE FIREWALL.............................................................................................20
FIGURA 4 DIAGRAMA FILTRADO DE IP.........................................................................................21
FIGURA 5 DIAGRAMA GENERAL DE NAT......................................................................................23
FIGURA 6 DIAGRAMA GENERAL DE DNAT...................................................................................25
FIGURA 7 DIAGRAMA GENERAL DE SNAT..................................................................................27
FIGURA 8 DIAGRAMA GENERAL DE DHCP...................................................................................28
FIGURA 9 DIAGRAMA GENERAL DE FUNCIONAMIENTO............................................................29
FIGURA 10 RECURSOS DISPONIBLES CON 4000 SOLICITUDES...............................................36
FIGURA 11 RECURSOS DISPONIBLES CON 2000 SOLICITUDES...............................................36
FIGURA 12 RECURSOS DISPONIBLES CON 1000 SOLICITUDES...............................................37
FIGURA 13 RECURSOS DISPONIBLES CON 4000 SOLICITUDES...............................................37
FIGURA 14 RECURSOS DISPONIBLES CON 2000 SOLICITUDES...............................................38
FIGURA 15 RECURSOS CON 1000 SOLICITUDES........................................................................38
FIGURA 16 EJEMPLO SNAT............................................................................................................39
FIGURA 17 EJEMPLO ENMASCARAMIENTO.................................................................................40
FIGURA 18 EJEMPLO DE DNAT......................................................................................................41
FIGURA 19 EJEMPLO DE DNAT......................................................................................................42
FIGURA 20 PING SIN NINGUNA REGLA........................................................................................43
II
III
INDICE DE TABLAS
INTRODUCCIN
En el mercado actual, una solucin de este tipo es el Ringdale's Proxy Router and
DHCP Server1 con caractersticas similares a la del dispositivo propuesto, esta por
el orden de los $465 dlares, es decir unos $1.030.000 pesos colombianos, sin
vincular gastos por importacin o intermediarios, sin contemplar que este
dispositivo es muy aproximado al desarrollado en este trabajo de grado, pero con
ciertos aspectos que no incluye el Ringdaless Proxy router y que si contempla el
LXRouter como los son fcil configuracin va WEB, acceso a 3 puertos, firewall,
entre otros adems de que no existira problema por las licencias de software ya
que es libre, y todo por un precio apreciablemente menor (observar la tabla de
costos), teniendo en cuenta que esto seria el desarrollo total, se apreciara
claramente en la comercializacin de la solucin.
http://www.ringdale.com/products/st/asp/control.wizmoreinfo/id.10213/po./en/default.htm
1.1
OBJETIVO GENERAL
1.2
OBJETIVOS ESPECFICOS
(Network Address
Para lograr los objetivos planteados desde el principio y avanzar de una manera
adecuada en el desarrollo del trabajo de grado, se debe definir un proceso de
desarrollo de software. Se tomo una metodologa de trabajo en la cual se hacen
claras unas etapas:
2.1
Etapa de Ingeniera
ICMP), y Puertos y/o cdigos. Para SNAT como para DNAT. Se proceder de la
misma forma para firewall, para los servicios adicionales PROXY (Memoria a
utilizar, Tamao del cache), DHCP (Dominio, Interfaz y Rango de Direcciones).
2.2
Etapa de Produccin
Ver
bibliografa
http://www.nsauditor.com/
3.1
Generalidades
FIREWALL (Cortafuegos)
Ver Glosario
http://sourceforge.net/docman/display_doc.php?docid=8794&group_id=13751
* Para mayor informacin ver Anexo 1 Glosario
10
Variacin de DSL, puede ser ADSL, CDSL, FeeDSL, HDSL, entre otras
10
En el caso de los usuarios con conexin PPPoE o una puerta de enlace con
VPN*, la velocidad de transmisin se incrementa si se usan sistemas con
procesador Pentium I, los cuales, adems de lo anterior, poseen ranuras PCI* lo
cual permite el uso de MODEM y tarjetas de red econmicas y fciles de
configurar.
11
12
3.2
11
http://netfilter.org/
12
http://www.thekelleys.org.uk/dnsmasq/doc.html
13
http://www.squid-cache.org/
http://squid.visolve.com/squid/sqguide.htm
http://www.icewalkers.com/Linux/Software/54580/Squid.html
14
http://www.php.net/
15
http://apache.org/
13
archivos
de
configuracin
original
previamente
guardados
16
http://www.gamarod.com.ar/javascript/menu.asp
http://www.w3schools.com/js
17
Ver Glosario
18
http://www.gnu.org/
19
14
3.3
LAN
INTERFAZ
WEB
I
Enrutador
IP
T
E
R
SWITCH
FIREWALL
NAT
DHCP
PROXY
Mdulo
de Funcionamiento
15
N
E
T
3.4
MDULO DE CONFIGURACIN
3.5
MDULO DE FUNCIONAMIENTO
20
21
http://bridge.sourceforge.net/
16
IN
OUT
En la figura se aprecia que si uno de los clientes (MAC 1), desea comunicarse con
otro (MAC 3), el sistema sabe en que localizacin fsica se encuentra,
estableciendo de esta forma la conexin directa, a diferencia de un HUB que
enviara la conexin primero a los clientes intermedios hasta llegar al destino
(MAC 1 a MAC 2 a MAC 3).
3.5.2 FIREWALL
Mediante este mdulo es posible filtrar las conexiones originadas tanto de dentro
hacia afuera como de afuera hacia adentro del Enrutador IP basados en
parmetros como el protocolo (TCP22 - UDP23) y su puerto de origen o destino, o
cdigo ICMP24. Permitiendo de esta forma aceptar o descartar dicha conexin.
22
http://es.tldp.org/Tutoriales/doc-servir-web-escuela/doc-servir-web-escuela-html/proto.html
23
http://neo.lcc.uma.es/evirtual/cdd/tutorial/transporte/udp.html
24
http://www.htmlweb.net/redes/tcp_ip/capa_3/red_5.html
17
18
25
http://www.gnu.org/software/gawk/gawk.html
26
http://www.gnu.org/software/bash/bash.html
27
http://netfilter.org/
19
20
21
3.5.3 NAT
Normalmente, los paquetes viajan en una red desde su origen a su destino a
travs de varios enlaces diferentes. Ninguno de estos enlaces altera realmente el
paquete: simplemente lo envan un paso adelante.
Si uno de estos enlaces hiciera NAT, podra alterar el origen o destino del paquete
segn pasa a travs suyo. Normalmente, el enlace que est haciendo NAT
recordar cmo manipul el paquete, para hacer la accin inversa con el paquete
de respuesta, de manera que todo funciona como se espera.
Las razones principales para el uso de NAT son:
Conexiones con mdem a Internet
La mayora de los PSI (Proveedor de Servicios de Internet) dan una sola
direccin IP cuando se conecta con ellos. Puede enviar paquetes con
cualquier direccin, pero slo obtendr respuesta a los paquetes con esa IP
de origen. Si desea utilizar varias mquinas diferentes (como una red
casera) para conectar a Internet a travs de un enlace, necesita NAT.
Este es, el uso ms comn de NAT hoy en da, conocido normalmente
como Enmascaramiento (masquerading) en el mundo de Linux. Tambin
llamado SNAT, porque se cambia la direccin de origen (source) del primer
paquete.
Varios servidores
Puede que se quiera cambiar el destino de los paquetes que entran en su
red, con frecuencia esto se debe, a que slo tiene una direccin IP, pero se
desea que la gente sea capaz de llegar a las mquinas detrs de la IP que
tiene a la IP real. Si se rescribe el destino de los paquetes entrantes, se
podr conseguir.
Una variante comn de esto es el balanceo de carga, en la cual se toma un
cierto nmero de computadores, repartiendo los paquetes entre ellos. Este
22
Aqu los paquetes o en general la informacin viene del firewall, una vez lo cruza
entra a NAT, especficamente a DNAT, aqu es donde se evalan los aspectos
concernientes al destino de los paquetes o la conexin; ejecuta las reglas y
polticas que se hayan configurado, incluso tambin existe la posibilidad de que el
paquete pase sin tocarlo; posteriormente entra a SNAT, y all es donde se
evalan los aspectos concernientes al origen de los paquetes o la conexin; y de
23
all sale a los dems servicios adicionales que se ofrecen y que el usuario a su
gusto configura.
24
25
26
27
28
29
En algunas ocasiones es necesario simular que cada paquete que pase por la
mquina Linux est destinado a un programa en la propia mquina. Esto es lo que
se conoce como proxy transparente. La parte transparente se debe a que la red
nunca tendr por qu enterarse de que est comunicndose con un proxy, a
menos, claro, que el proxy no funcione.
Se puede configurar Squid para que trabaje de esta manera, y a esto se le llam
redireccin o proxy transparente en anteriores versiones de Linux.
Las reglas especficas para que funcionen en la implementacin desarrollada son:
iptables t nat A PREROUTING i br0 p tcp dport 80 j REDIRECT to-port
3128
iptables t nat A PREROUTING i br0 p tcp dport 443 j REDIRECT to-port
3128
Con esto se permite que cualquier intento de acceso a los puertos 80 y 443
(protocolo TCP) sean redireccionados al Servidor Proxy, logrando de esta forma la
implementacin del Proxy Transparente.
30
4
4.1
PROBLEMAS ENCONTRADOS
NAT
31
4.2
Trfico Real
Segn se pudo apreciar en las pruebas realizadas con respecto al trfico HTTP
que an a 4000 solicitudes por segundo y usando un sistema Proxy para acelerar
el mencionado trfico, la cantidad de recursos disponibles en el LXRouter nunca
fue inferior al 70%, lo cual indica claramente que la cantidad de usuarios puede
incrementarse de forma notable y el sistema continuar respondiendo de la
manera adecuada (gil y robusta) antes los requerimientos hechos.
4.3
Por
esa
razn
se
concluy
que
es
necesario
asignar
32
4.4
4.5
Circuito de Reset
28
29
http://www.courtesan.com/sudo/
33
34
FUTUROS PROYECTOS
5.1
VPN
VPN (Virtual Private Network): Es una red privada, fue construida sobre la
infraestructura de una red pblica (recurso pblico, sin control sobre el acceso de
los datos), normalmente Internet. Es decir, en vez de utilizarse enlaces dedicados
(como el X.25 y Frame Relay) para conectar redes remotas, se utiliza la
infraestructura de Internet, una vez que las redes estn conectadas es
transparente para los usuarios.
5.2
30
http://www.icir.org/floyd/cbq.html
31
http://sourceforge.net/projects/htbinit/
35
PRUEBAS
DE
SOLICITUDES
HTTP
SIN
EL
SERVIDOR
ACTIVADO
Recursos disponibles con 4000 solicitudes HTTP
por segundo (2 PCs directamente conectados
2000+2000)
Porcentaje de
recursos
disponibles
6.1
ANLISIS DE RESULTADOS
Promedio:
89.09%
94
92
90
88
86
84
Series1
10
Tiempo en segundos
Promedio:
92.04%
100
95
Series1
90
85
1
10
Tiempo en segundos
36
PROXY
Porcentaje de
recursos
disponibles
96
95
94
Series1
93
92
91
1
10
Tiempo en segundos
80
Porcentaje de
recursos
disponibles
6.2
75
70
Series1
65
60
1
10 11
Tiempo en segundos
37
Porcentaje de
recursos
disponibles
90
85
80
Series1
75
70
1
10 11
Tiempo en segundos
Porcentaje de
recursos
disponibles
Promedio:
91.36%
Series1
10 11
Tiempo en segundos
38
6.3
NAT
39
III. Ahora si para hacer la traduccin deseada: solo es necesario usar los
campos de direcciones, en origen la IP del cliente de red interna, destino
40
la
triton.javeriana.edu.co.
Dado el caso en el cual se desee abrir el puerto TCP 139 del LXROUTER y
redireccionarlo al puerto 22 TCP de un servidor ubicado dentro de la red
interna, el procedimiento a seguir seria el siguiente:
41
6.4
FIREWALL
42
Ahora bien, se introduce la siguiente regla (Figura No.21): que permite rechazar
todo paquete destinado a lxrouter.javeriana.edu.co con protocolo ICMP y cdigo 8
32 http://www.iana.org/assignments/icmp-parameters
43
44
45
Segn se puede apreciar en la Figura No. 23, ahora la respuesta del LXROUTER
es enviar un mensaje de error a quien realizaba el ping y se rehsa a responderlo
de la manera habitual. Con esto queda comprobado que efectivamente el
dispositivo funciona de la manera esperada bajo el criterio que esta prueba ofrece.
6.4.2 Descartar Ping33
Para realizar esta prueba se borraron todas las reglas existentes en el firewall y se
procedi a verificar que el LXROUTER responda sin problemas al ping realizado
desde una mquina cliente, obteniendo de esta forma el mismo
resultado
33
http://www.iana.org/assignments/icmp-parameters
46
Ahora bien se procede a verificar que efectivamente la regla ha sido ejecutada por
el LXROUTER haciendo clic en Ver Reglas (Figura No. 25)
47
48
34
http://www.faqs.org/rfcs/rfc959.html
49
50
Finalmente,
51
Segn se puede apreciar, la conexin fall y no pudo establecerse, tal como era
de esperarse en consecuencia a la regla que previamente se haba ingresado.
6.5
Para
SERVIDOR DE DIRECCIONES
comprobar
la
funcionalidad
del
Servidor de
Direcciones
(DHCP),
52
6.6
SERVIDOR PROXY
53
ANALISIS DE COSTOS
Tabla 1 Tabla de costos actualizados
RECURSOS
HUMANOS
Director trabajo de
grado
HORAS X
PERSONA
17 semanas * 2h
17 semanas *40h
Desarrolladores
*3
TOTAL RECURSOS HUMANOS
EQUIPO
CANTIDAD
Componentes Varios
Varios
CPU
1
Tarjetas de Red PCI
3
Computador en Alquiler
1
TOTAL EQUIPO
PAPELERA
CANTIDAD
Papel
2*500 hojas
Fotocopias
1000
Empaste
3
Cartucho
2
Disco Compacto
10
Diskette
10
TOTAL PAPELERIA
LICENCIAS DE
SOFTWARE
CANTIDAD
Linux 2.4
1
Apache
1
PHP
1
SSL
1
TOTAL LICENCIAS DE SOFTWARE
SERVICIO DE
INTERNET
Cablenet
4 Meses
TOTAL SERVICIOS INTERNET
COSTOS INDIRECTOS CANTIDAD
Energa
1000 horas
Transporte
600 viajes
TOTAL COSTOS INDIRECTOS
OTROS
Imprevistos
TOTAL OTROS
54
VALOR
HORA
TOTAL
$50,000
$1,700,000
$10,000
$20,400,000
$22,100,000
VALOR
UNIDAD
$700,000
$7,000
VALOR
UNIDAD
$8,000
$35
$4,000
$60,000
$1,000
$1,000
VALOR
UNIDAD
$0.00
$0.00
$0.00
$0.00
VALOR
UNIDAD
$88,000
VALOR
UNIDAD
$161
$1,000
TOTAL
$30,000
$700,000
$21,000
$600,000
$1,351,000
TOTAL
$16,000
$35,000
$12,000
$120,000
$10,000
$10,000
$203,000
TOTAL
$0.00
$0.00
$0.00
$0.00
$0.00
TOTAL
$352,000
$352,000
TOTAL
$161,000
$600,000
$761,000
$0
$0
TOTAL COSTOS
$24,767,000
55
CONCLUSIONES
56
BIBLIOGRAFIA
57
10 ANEXOS
10.1 Codigos ICMP mas usados
ICMP
0
8
3
3
3
Tipo ICMP
0
0
0
2
3
4
5
9
10
11
0
1
0
0
0
11
12
58
10.2 Glosario
DHCP(Protocolo Dinmico de Configuracin de Equipo): Es un protocolo de
comunicaciones que permite a los administradores de red gestionar y automatizar
la asignacin de direcciones IP en una red. Sin DHCP, cada direccin IP debe
configurarse manualmente en cada computador y, si el computador se mueve a
otro lugar en otra parte de la red, se debe configurar otra direccin IP diferente. El
DHCP le permite al administrador supervisar y distribuir de forma centralizada las
direcciones IP necesarias, y automticamente asignar y enviar una nueva IP si el
computador es conectado en un lugar diferente de la red.
Direccin IP (Protocolo de Internet): Es la direccin numrica de un computador
en Internet. Cada direccin IP se asigna a un computador conectado a Internet y
por lo tanto es nica. Consiste en un nmero de 32 bits que suele representarse
como cuatro octetos separados por un punto, como 150.214.90.66.
DSL(Lnea del Subscriptor Digital): es una tecnologa que toma los datos
digitales, no requiere convertirlos a anlogos. Los datos digitales se transmiten
directamente al computador tal como se hace con los datos anlogos.
Una lnea de DSL puede llevar datos y seales de voz.
Ethernet: Protocolo del nivel de enlace originalmente desarrollado por Xerox y
que est muy difundido en las redes de rea local y en otros tipos de redes,
permitiendo la transmisin de datos en un rango de 10 Mbit/s a 1Gbit/s.
Gateway: Dispositivo que conecta dos o ms redes permitiendo que la
informacin de una pase a otra (u otras) segn algn criterio, realizando las
conversiones de datos que sean necesarias.
HTTP(HyperText Transfer Protocol ): Es el mtodo utilizado para transferir
archivos hipertexto por Internet. En Internet, las pginas escritas en HTML utilizan
59
60
61