Académique Documents
Professionnel Documents
Culture Documents
Entre los autores que han escrito sobre tecnologa Ethernet, se encuentra W. Stallin
(2002), el cual describe que Ethernet es el nombre que se le ha dado a una popular
tecnologa LAN de conmutacin de paquetes inventada por Xerox Parc a principios de
los aos 70`s, Xerox Corporation, Intel Corporation y Digital Equipment Corporation
estandarizaron Ethernet en 1978; IEEE libero una versin compatible del estndar
utilizado el numero 802.3. Ethernet se ha vuelto una tecnologa LAN popular.
Dado que Ethernet es muy popular existen muchas variantes, hoy da se puede hacer la
siguiente clasificacin de las redes de protocolo Ethernet:
Ethernet (tambin llamada Ethernet original): Hasta 10 Mbps.
Fast Ethernet: hasta 100 Mbps.
Gigabit Ethernet: hasta 1000 Mbps.
10 Gigabit Ethernet.
Un aporte sobre el protocolo de comunicaciones Ethernet, lo presenta Tomasi (2003), en
cual destaca que Ethernet 100BASE100-T se incluye una familia de normas para
Ethernet rpida, que permiten velocidades de transmisin de datos de 100 Mbps con
metodologa de acceso CSMA/CD (Multiplexacion De Acceso al Medio por Deteccin
de portadora y Deteccin de Colisin). La norma propuesta IEEE 802.3 detalla la
operacin de la red 100BASE-T. Hay tres normas de capa fsica, especificas para los
medios, para Ethernet 100BASE-T:
100BASE-TX: Es la norma ms comn de las tres, y la que tiene disponible ms
tecnologa. Especifica velocidades de transmisin de 100Mbps por dos pares de
conductores UTP (Par Trenzado no Blindado) de categora 5, o dos pares de
conductores UTP (Par Trenzado Blindado) tipo 1.
100BASE-T4: Es una norma de capa fsica que especifica velocidades de datos de
100Mbps, por cuatro pares de UTP categora 3, 4 o 5.
100BASE-FX: Es una norma de capa fsica que especifica velocidades de datos de
100Mbps, por cables de fibra ptica.
Este protocolo de comunicacin permite trabajar con una velocidad entre los
10/100Mbps, adems de ser un protocolo que gestiona redes VLAN, siendo esta una de
las caractersticas que presenta la propuesta de segmentacin a la red del COR II.
As mismo el IEEE cuyas siglas en ingles (Institute of Electrical and Electronics
Engineers) en espaol Instituto de Ingenieros Elctricos y Electrnicos, una asociacin
tcnico-profesional mundial dedicada a la estandarizacin, entre otras cosas. Formada
por profesionales de las nuevas tecnologas, como ingenieros elctricos, ingenieros en
electrnica, cientficos de la computacin, ingenieros en informtica, ingenieros en
biomdica, ingenieros en telecomunicacin e ingenieros en Mecatrnica.
Su creacin se remonta al ao 1884, contando entre sus fundadores a personalidades
de la talla de Thomas Alva Edison, Alexander Graham Bell y Franklin Leonard Pope.
En 1963 adopt el nombre de IEEE al fusionarse asociaciones como el AIEE (American
Institute of Electrical Engineers) y el IRE (Institute of Radio Engineers). La finalidad de
su trabajo es promover la creatividad, el desarrollo y la integracin, compartir y aplicar
los avances en las tecnologas de la informacin, electrnica y ciencias en general para
beneficio de la humanidad y de los mismos profesionales. Algunos de sus estndares
son:
IEEE 802: Es un estudio de estndares elaborado por el Instituto de Ingenieros
Elctricos y Electrnicos (IEEE) que acta sobre Redes de ordenadores. Concretamente
y segn su propia definicin sobre redes de rea local (LAN) y redes de rea
metropolitana (MAN). EL proyecto IEEE 802 se centra en definir los niveles ms bajos
Consideraciones importantes sobre las listas las hace E. Ariganello (2008), quien
comenta, son la especificacin de una accin a realizar sobre paquetes que cumplan
ciertas condiciones. Una ACL es un conjunto de reglas identificadas con un nmero o
un nombre y cada regla especifica una accin y una condicin, las acciones a aplicar son
permitir o denegar todos los paquetes que cumplan la condicin asociada a la regla. Una
ACL se identifica con un nmero o un nombre y todas las reglas que tengan el mismo
nmero/nombre hacen parte de la ACL, stos identificadores suelen indicar tambin qu
tanta expresividad tendr la ACL, es decir, qu tan especficas pueden ser las reglas.
Tipos de listas de acceso
ACL estndar: Dentro de las ACL ms comunes estn las ACL estndar y las ACL
extendidas, ambos tipos de listas se pueden numerar o nombrar. Las ms simples en
todo sentido son las ACLs estndar, que permiten definir trfico con base en las
direcciones IP de origen de los paquetes que correspondan con las reglas de la ACL. Las
ACL estndar entonces especifican un slo par direccin de referencia/wildcard contra
el que se comparan todos los paquetes que entren o salgan de la interfaz en la que se
instale la ACL, en otras palabras, una ACL estndar filtra trfico con base en la
direccin IP origen de los paquetes.
ACL extendidas: A diferencia de lo que sucede con la ACL estndar, las extendidas
permiten especificar hacia dnde se dirige el trfico y con sta caracterstica, se puede
bloquear o permitir un trfico mucho ms especfico: slo trfico que proviene del host
pero se dirige a una red en particular o a otro host en particular o slo el trfico de una
red que se dirige a otra red en particular. Esto se logra con el hecho de permitir
comparar las direcciones destino de los paquetes contra la ACL, no slo las direcciones
origen.
Dispositivos de conexin e interconexin de redes
Sobre los dispositivos de interconexin de redes B. Hallberg (0000), el cual destaca que
es importante entender los distintos tipos comunes de dispositivos que normalmente se
encontrara en una red, no solo para planear una de ellas sino tambin para resolver
problemas y dar mantenimiento a una red.
Dichos dispositivos son:
- Repetidor
- Concentrador
- Puente
- Conmutador (Swich)
- Dispositivo de encadenamiento (Router)
Puerta de Enlace:
SUBRED N6: UTILIZADA PARA LA RED CONFIGURACIN
Subred: 150.1.2.194;
Mascara: 255.255.255.224;
Broadcast: 150.1.2.223;
Primera IP utilizable: 150.1.2.195;
Ultima IP utilizable: 150.1.2.222;
Puerta de Enlace:
Tomando en cuenta lo antes expuesto, la Puerta de Enlace (P.E.) en cada subred es la
ltima IP utilizable en la misma subred, por ejemplo la Subred 150.1.2.32 su puerta de
enlace sera 150.1.2.62.
Creacin de las VLAN
Se procede a la creacin de las LAN virtuales o VLANs considerando que
actualmente existen las siguientes redes:
A) La red administrativa donde se conectan usuarios administrativos y adems se
encuentran los elementos compartidos como lo son la impresora y el internet.
B) La red de operadores en esta se monitorean y gestionan los servicios de fibra
ptica, lo que representa parte vital del centro de operaciones y redes.
C) Por ltimo las redes de servidores (SDH y DWDM) adems de monitoreo y
energa donde se procesa informacin importante del proyecto de red fibra
ptica.
Ante esta situacin, y procurando establecer un diseo de red lo ms seguro posible,
se determin que los operadores tienen acceso a comunicacin tanto a la red de
servidores para la gestin y monitoreo del proyecto de fibra ptica, como para la red de
administracin por los elementos compartidos (impresora, internet), pero a su vez se
precisa denegar el acceso de intrusos a las redes vitales del COR II (SDH, DWDM,
monitoreo y energa), se crean las VLANs para obtener mayor seguridad, flexibilidad y
para mejorar el rendimiento de la red interna LAN del centro de operaciones y redes.
Con referencia a lo anterior, se requiere separar las diferentes subredes creadas
(red administracin, red operadores, red servidores, configuracin.), tomando en cuenta
principalmente la seguridad de la red LAN del COR II y una forma de hacerlo es
segmentando usando VLANs, debido a que se puede aislar los sistemas ms sensibles
del COR II para que solo se pueda permitir el acceso al grupo elegido, por otro lado al
no propagarse difusiones de un segmento a otro se aprovecha ampliamente los
beneficios de la red.
Lista de comandos utilizados en la configuracin del Switch y del Router
Creacin de la VLAN 2 (Administracin):
SWITCH>enable
Password:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#name administracion
Switch(config-vlan)#exit
Switch(config)#interface Fa0/1 6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
Creacin de la VLAN 3 (Operadores):
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 3
Switch(config-vlan)#name operadores
Switch(config-vlan)#exit
Switch(config)#interface Fa0/7 - 15
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
Creacin de la VLAN 4 (Servidores):
SWITCH#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 4
Switch(config-vlan)#name servidores
Switch(config-vlan)#exit
Switch(config)#interface Fa0/16 - 22
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
Creacin de la VLAN 5 (Configuraciones):
Permite configurar al switch remotamente desde un PC, con cable de conexin directa.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 5
Switch(config-vlan)#name configuraciones
Switch(config-vlan)#exit
Switch(config)#interface Fa0/23
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 5
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
Administracin del Switch va remota
#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 5
Switch(config)#interface vlan 5
Switch(config-if-range)#ip address 150.1.2.193 255.255.255.224
Switch(config-if-range)#no shutdown
Switch(config-if-range)#exit
Switch(config)#exit
Configuracin de la Troncal
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface Fa0/23
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#switchport trunk native vlan 5
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
Creacin de subinterfaces para cada VLAN en el Router
Router>enable
Router#configure terminal
Router(config)# interface Fa0/0.2
Router(config-subif)# encapsulation dot1Q 2
Router(config-subif)# ip address 150.1.2.62 255.255.255.224
Router(config-subif)# exit
Router>enable
Router#configure terminal
Router(config)# interface Fa0/0.3
Router(config-subif)# encapsulation dot1Q 3
Router(config-subif)# ip address 150.1.2.94 255.255.255.224
Router(config-subif)# exit
Router>enable
Router#configure terminal
Router(config)# interface Fa0/0.4
Router(config-subif)# encapsulation dot1Q 3
Router(config-subif)# ip address 150.1.2.126 255.255.255.224
Router(config-subif)# exit
Router>enable
Router#configure terminal
Router(config)# interface Fa0/0.5
Router(config-subif)# encapsulation dot1Q 2
Router(config-subif)# ip address 150.1.2.194 255.255.255.224
PREDETERMINADA EN lA SUBRED
Router(config-subif)# exit
Levantar la Interfaz del Router
Router#configure terminal
Router#interface Fa0/0
P.E.
Router#no shutdown
Tabla de enrutamiento en el Router
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
150.1.0.0/27 is subnetted, 3 subnets
C
150.1.2.32 is directly connected, FastEthernet0/0.2
C
150.1.2.64 is directly connected, FastEthernet0/0.3
C
150.1.2.192 is directly connected, FastEthernet0/0.5
Visualizar las VLAN activas en el Switch:
SWITCH#show vlan
VLAN Name
Status
Ports
---- -------------------------------- --------- ------------------------------1 default
active Gig0/1, Gig0/2
2 administration
active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6
3 operadores
active Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15
4 servidores
active Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22
5 configuraciones
active Fa0/23
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1
enet 100001 1500
0
0
2
enet 100002 1500
0
0
3
enet 100003 1500
0
0
4
enet 100004 1500
0
0
5
enet 100005 1500
0
0
1002 fddi 101002 1500
0
0
1003 tr 101003
1500
0
0
1004 fdnet 101004 1500
ieee
0
0
1005 trnet 101005 1500
ibm
0
0
Remote SPAN VLANs
-----------------------------------------------------------------------------Primary Secondary Type
Ports
------- --------- ----------------- ------------------------------------------
Native vlan
5
Port
Vlans allowed on trunk
Fa0/24
1-1005
Port
Vlans allowed and active in management domain
Fa0/24
1,2,3,4,5
Port
Vlans in spanning tree forwarding state and not pruned
Fa0/24
1,2,3,4,5
Creacin de las listas de control de acceso
Para determinar el tipo de lista de control de acceso (ACL) a utilizar en el
desarrollo de la propuesta de segmentacin y reconfiguracin de la red interna LAN del
Centro de Operaciones y Redes II, COR II de CORPOELEC, se tomo en cuenta las
condiciones de permisividad y restricciones para el acceso de una red a otra, en este
caso en especifico la subred de operadores tiene acceso a todas las subredes, pero todo
lo contrario es la subred de administracin que no debe tener salida a las otras redes solo
entre ella misma y a los recursos compartidos.
Tomando en cuenta lo antes expuesto, se requiere denegar o permitir un trfico
ms especifico en la LAN del COR II, para ello se escogi las listas de control de
acceso (ACL) extendidas numeradas, ya que especifica dos pares de direcciones de
referencia/wildcard, un par para la direccin origen de los paquetes y otro par para la
direccin destino de los mismos, adems que las ACL extendidas son mucho ms
eficientes en el filtrado.
A continuacin se presentan la creacin de las listas de control de acceso ACL y
los comandos para la creacin de las mismas:
Creacin de las Listas de Control de Acceso ACLs
Creacin de las ACLs en el Router
1) Red Administrativa
Permitir trfico slo del proxy y del recurso compartido hacia operadores, luego se
deniega toda la red.
Router(config)#access-list 100 permit ip 150.1.2.61 0.0.0.0 150.1.2.64 0.0.0.31
Se permite el trfico del host especfico, en este caso el proxy, hacia la red 150.1.2.64
0.0.0.31, wilcard 0.0.0.31.
Router(config)#access-list 100 permit ip 150.1.2.33 0.0.0.0 150.1.2.64 0.0.0.31
Se permite acceso a la impresora.
Router(config)#access-list 100 deny ip 150.1.2.32 0.0.0.31 150.1.2.64 0.0.0.31