administracion de redes utilizando · pdf filela gestion de redes 7 estructura de la gestion...

53
1 ADMINISTRACION DE REDES UTILIZANDO PROTOCOLO SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL) INFORME DE PRÁCTICA EMPRESARIAL ANALISTA DE INFRAESTRUCTURA POR JHON EDUARSON VELASQUEZ HERNANDEZ ASESOR GERMAN ZAPATA FACULTAD DE MINAS INGENIERIA ELECTRICA UNIVERSIDAD NACAIONAL DE COLOMBIA SEDE MEDELLIN 2009

Upload: doanlien

Post on 30-Jan-2018

234 views

Category:

Documents


2 download

TRANSCRIPT

Page 1: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

1

ADMINISTRACION DE REDES UTILIZANDO PROTOCOLO SNMP

(SIMPLE NETWORK MANAGEMENT PROTOCOL)

INFORME DE PRÁCTICA EMPRESARIAL

ANALISTA DE INFRAESTRUCTURA

POR

JHON EDUARSON VELASQUEZ HERNANDEZ

ASESOR

GERMAN ZAPATA

FACULTAD DE MINAS

INGENIERIA ELECTRICA

UNIVERSIDAD NACAIONAL DE COLOMBIA

SEDE MEDELLIN

2009

Page 2: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

2

A mi familia,

quienes me formaron como persona

y me apoyo para ser el profesional

que soy hoy día.

Page 3: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

3

PREAMBULO

El siguiente informe hace referencia a la labor realizar en el proyecto de practica

empresarial, la cual se puede definir como una experiencia de vida; en esta

práctica empresarial se llevaron a la practica la gran cantidad de conocimientos

adquiridos en mis estudios de Universidad y en la gran cantidad de conocimientos

adquiridos en el transcurso de este proceso.

Los estudios de redes y las cualidades adquiridas fueron el respaldo más grande

en el momento de enfrentar todos los problemas que se presentaron en este

proyecto.

Las redes de comunicación, el internet y la transmisión de información son puntos

críticos en las compañías actuales; la expansión y el nivel de seguridad son temas

críticos al momento de almacenar información, así como la comunicación con

clientes, empleados y el resto del mundo; hoy día se implementan solución

tecnológicas que superan las expectativas de las personas pero es esta misma

tecnología la que requiere un control total para poder administrar la información.

Los sistemas tecnológicos nos muestran nuevas formas de confrontar las

necesidades de las compañías, Cisco, IBM, DELL, PANDA y otra gran cantidad

de marcas nos enseñan muchas soluciones; servicios como la telefonía y la

comunican son servicios que crecen de forma desmesurada haciendo de las

maquinas de las empresas obsoletas sin posibilidad de evolucionar e incapaces

de enfrentarse al mercado.

Page 4: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

4

CONTENIDO

INTORDUCCION 6

LA GESTION DE REDES 7

ESTRUCTURA DE LA GESTION DE LA RED 8

GESTION DE FALLOS 9

GESTION DE LA CONFIGURACIÓN 9

GESTION DE RENDIMIENTO 10

GESTION DE LA TARIFICACIÓN 10

GESTIONDE LA SEGURIDAD 10

LA GESTION INTEGRAL 10

SOLUCIONES ACTUALES 14

EL MODELO DE GESTION OSI 15

EL MODELO DE GESTION SNMP 15

DISEÑO DE LA RED TOYOTA 18

CONECTIVIDAD IP 18

ACCESSO A INTERNET 18

CANAL DEDICADO DE INTERNET 19

SOLUCION DEL DATA CENTER 20

DISEÑO DEL CANAL 21

CONDICIONES ELECTRICAS MINIMAS 22

TEMPERATURA AMBIENTE 23

EQUIPOS DE ALMACENAMIENTO 23

EQUIPOS DE DATA CENTER 24

MAQUINAS DE TRABAJO – APLICATIVOS 25

CHASIS DE SERVIDORES 25

SELECCIÓN DE SISTEMA OPERATIVO 27

Page 5: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

5

SERVIDORES TOYOTA 30

SERVIDOR SRVASC 30

FIREWALL 30

SQUID 31

DHCP 32

DNS 33

VPN 34

SERVIDOR DE CORREO 35

CORREO WEBMAIL 35

EXTRANET 36

PORTAL TOYOTA 36

SERVIDOR EXTRANET 37

CHAT INTERNO 37

SERVIDOR RADIUS 38

ANEXO

ARCHIVOS DE CONFIGURACION DE IPTABLES (FIREWALL)

ARCHIVOS DE CONFIGURACION DE SQUID (PROXY)

ARCHIVOS DE CONFIGURACION DE DHCP (ADMINISTRADOR DE DOMINIO)

ARCHIVOS DE CONFIGURACION DE DNS (RESOLUCIÓN DE NOMBRE)

DISEÑO DE RED LOGICA EN LAS OFICINAS TOYOTA

Page 6: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

6

INTRODUCCION

Con el fin de crear una empresa con sistemas confiables, que cumpla con las

expectativas de los empleados y de los usuarios, se dispuso de sistemas

tecnológicos de alta calidad, de diseños eficientes y confiables que se han

amigables con la compañía y lo más importante que estén en la capacidad de

seguir la filosofía de la compañía.

Nuestro diseño de infraestructura refleja una red segura, eficiente y que contiene

elemento de gran desarrollo tecnológico; las aplicaciones instaladas en su mayoría

son implementaciones que hacen amigables las labores.

Esta compañía (TOYOTA) debe tener la capacidad de darle a sus empleado la

conectividad a los servicios tales como importación, pedidos de vehículos, pedido

de repuesto, ventas y una base de datos solida, que refleje el resultado del arduo

trabajo realizado.

Page 7: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

7

LA GESTIÓN DE REDES

Las redes corporativas, hoy en día, manejan cualquier tipo de información, sea

voz, texto o imágenes, al tender las aplicaciones a ser multimedia, y se extienden

para cubrir todos los entornos donde la empresa se desenvuelve: local, nacional e

internacional, proporcionando la vía de comunicación interna, y a través de

pasarelas, externa, necesaria para el desarrollo de su actividad.

Cualquier red, de manera muy simple, se constituye con nodos de conmutación, a

los que se conectan los usuarios, y enlaces de transmisión que sirven para

interconectarlos, bien sean privados o a través de redes públicas. El correcto

funcionamiento de la red, de cara a los usuarios, vendrá determinado por la

disponibilidad del servicio conforme a lo planificado, lo que implica que cada uno

de los elementos que intervienen en la comunicación ha de estar operativo y

configurado de una determinada manera; cualquier cambio no esperado puede dar

lugar a errores en la transmisión si no se detecta y corrigen sus efectos a tiempo,

para lo que resulta esencial disponer de un sistema de gestión de red, adecuado a

los requerimientos que demandan los usuarios.

La gestión de redes es una de las áreas más importantes en el mercado de

comunicaciones de hoy en día. Los clientes saben perfectamente los enormes

beneficios que se logran adoptando una estrategia de gestión coherente y sólida y

dos factores son los que se destacan como los más importantes para ellos cuando

especifican sus requerimientos de gestión: Un único punto de entrada de datos y

la facilidad de uso por los supervisores de la red.

Page 8: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

8

Las tendencias apuntan a que los sistemas de gestión de red pasarán, en los

próximos tres a cinco años, de ser unos meros complementos en la oferta de

elementos de red a constituirse en una parte esencial de ellos, siendo en algunos

casos el elemento decisorio en la compra ya que, con la distribución de procesos y

datos, los entornos distribuidos son más potentes y más flexibles, pero también

más críticos, lo que hace que su gestión sea una pieza clave para garantizar la

disponibilidad y grado de servicio requerido a la red.

ESTRUCTURA DE LA GESTIÓN DE RED

El objetivo genérico de un sistema de gestión de red es proporcionar una

plataforma de gestión distribuida para todo tipo de entornos de red con las

siguientes características:

Monitorear el estado actual de la red y su funcionamiento y responder a

los comandos del computador que controla la red.

Proporcionar un filtrado inteligente de las alarmas, que ayude a

minimizar el tiempo requerido para localizar fallos.

Aislar errores, de una manera automática, tanto de hardware como de

software.

Generar tráfico para simular condiciones reales en la red y realizar

pruebas de funcionamiento.

Adoptar acciones correctoras que ayuden al personal encargado de la

red a solucionar problemas.

Presentar información de la configuración, dando así una perspectiva

más amplia de la red.

Recoger y analizar datos de gestión muy valiosos, que permitan hacer

una planificación de la red a corto y largo plazo.

Page 9: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

9

Almacenar estadísticas sobre el funcionamiento de la red.

Formular aquellas recomendaciones útiles para el usuario.

La gestión de red se lleva a cabo mediante una aplicación software residente en el

computador designado como Gestor de la red que, mediante una interface de

operador, permite la gestión, y otras residentes en cada uno de los elementos que

conforman la estructura de la red, es decir nodos y medios de transmisión. El

software de gestión responde a los comandos del operador de red, enviando

información a los elementos de la red y/o recibiendo información de ellos.

En la gestión de red se identifican cinco áreas funcionales que son:

Gestión de fallos, para facilitar la detección, aislamiento y corrección de las

incidencias que se produzcan en la red, controlando cualquier funcionamiento

que se salga de los márgenes de tolerancia fijados por el administrador de ella.

Lo normal es que al producirse un fallo se genere una alarma que indique la

causa y el lugar del mismo, alertando al personal encargado de la gestión, que

actuará en consecuencia.

Gestión de la configuración, para realizar las labores rutinarias de cambios

en los parámetros de funcionamiento de los elementos que configuran la red,

mantener el inventario de todos los elementos que conforman la red, realizar

altas y bajas de usuarios y asegurar que el tráfico se mantiene conforme a lo

planificado. Así, en caso de caída de algún enlace, se puede establecer un

camino alternativo en tanto en cuanto se restablecen las condiciones iniciales.

Page 10: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

10

Gestión del rendimiento, que incluye todas las funciones necesarias para

evaluar el comportamiento de los objetos gestionados y de la red en su

conjunto, incluidos los medios de transmisión. En base al resultado se

determina la carga real de tráfico (throughput) , la disponibilidad y el tiempo de

respuesta, y se puede prever la congestión de determinados nodos o rutas,

adelantándose a llegue a suceder y que la demanda de los usuarios se vea

insatisfecha.

Gestión de la tarificación, que engloba las funciones relativas a la

administración de los recursos de la red y el cargo que por su uso hay que

hacer a los usuarios. Permite distribuir los costos, generando las facturas para

los distintos departamentos de la empresa.

Gestión de la seguridad, uno de los aspectos más críticos en la gestión de

una red corporativa, esencial para mantener la integridad y confidencialidad de

los datos, protegiendo frente a la intrusión por terceros. Con la adopción de

Internet como medio de comunicación global y la implantación de su tecnología

en las empresas para la creación de Intranets, el aislamiento entre el entorno

corporativo y el mundo exterior se ha de conseguir a base de establecer

cortafuegos y claves de acceso, que han de estar integrados en el sistema de

gestión de red.

LA GESTIÓN INTEGRADA

Conforme las redes aumentan en tamaño y complejidad y soportan aplicaciones

diversas, toman más valor e importancia, con lo que su gestión es un aspecto

Page 11: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

11

fundamental para garantizar el flujo de información y una gestión de red integrada

y eficiente que lo asegure se vuelve imprescindible.

Tradicionalmente, los productos de red han venido con un sistema de gestión

stand-alone (independiente), lo que implicaba que los clientes tenían que emplear

una serie de herramientas diferentes para gestionar sus redes, con los

inconvenientes que ello supone: Demasiadas consolas que tienen que ser

supervisadas y distintos interfaces de usuario que tienen que aprenderse.

El alto costos de ello y su baja eficiencia es evidente; no se desea hacer

inversiones adicionales en sistemas propietarios, y prefieren en cambio soluciones

abiertas basadas en estándares del mercado y tecnología de uso corriente. Esta

tendencia es muy fuerte en el área de gestión de datos y ahora los usuarios

también demandan la disponibilidad de soluciones de gestión de voz bajo las

mismas premisas.

Una gestión integrada de la red gana así una amplia aceptación por parte del

mercado. El uso de plataformas abiertas trae consigo muchas ventajas, entre ellas

típicamente el dar soporte a los propios productos del fabricante y el proporcionar

un marco de trabajo para terceros que desarrollan aplicaciones; esto es, una

interfaz de usuario común con un mapa gráfico de la red y un sistema de menús,

con sus protocolos de comunicación y de acceso de datos. OpenView de HP es

uno de los líderes del mercado en este aspecto, siendo soportado por un gran

número de suministradores.

Page 12: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

12

La gestión de una red corporativa se puede realizar de una manera básica o

avanzada, dependiendo de lo crítico y complejos que sean todos y cada uno de

los elementos que la conforman, individualmente y en conjunto.

Las funciones de gestión básica, integradas en el sistema operativo de cada nodo,

pueden ser accedidas desde un terminal asíncrono (por ejemplo, un PC dotado de

un programa de comunicaciones) conectado a una puerta del procesador de uno

de los nodos, donde el software de gestión resida en el propio sistema operativo.

Mediante las funciones básicas de gestión se posibilita el establecimiento de

sesiones de comandos y recepción de alarmas hacia/desde cualquier nodo de la

red siendo posible realizar remotamente en los nodos su configuración y también

monitorizar el estado, tasa de errores (BERT) y rendimiento de los enlaces entre

ellos.

Para la gestión avanzada, en la que exista un amplio conjunto de elementos a ser

gestionados (terminales, routers, módems, PBXs, etc.), dentro de un entorno LAN-

WAN, se requiere un terminal más sofisticado que un simple PC (por ejemplo, una

estación de trabajo con sistema operativo UNIX y formato de presentación X-

Windows). En el caso de que varios usuarios necesiten acceder simultáneamente

al sistema de gestión de red, la interconexión mediante una LAN TCP/IP ofrece

esa posibilidad y, si se necesita disponer de la función de gestión en cualquier

punto de la red la plataforma SUN, por ejemplo, permite remotizar terminales

gráficos ("terminales X" siguiendo los estándares X-Windows y OSF/Motif, o bien

emulaciones de "terminales X" sobre PC).

Page 13: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

13

En ambos casos los objetivos que se tratan de alcanzar a la hora de hacer una

gestión integral (es decir, planificada y que busca el máximo rendimiento) de las

redes corporativas de una empresa son básicamente los siguientes:

Prevenir fallos en transmisiones críticas.

Evitar interrupciones en las transmisiones de datos/voz.

Reducir los gastos en el mantenimiento y desarrollo de la red.

Optimizar la planificación de la gestión en ambientes heterogéneos.

Incrementar el volumen y la calidad del tráfico de las informaciones.

Solucionar problemas para conexiones remotas.

El mayor mercado de los sistemas de gestión de red son empresas con redes

integradas de voz y datos. Éstas, casi con toda seguridad, dispondrán de un

sistema de gestión de red basado en el estándar SNMP para sus equipos de datos

pero carecerán de una solución para los elementos de voz, de forma que estos se

puedan integrar en su sistema ya existente y así cubrir las siguientes necesidades:

Reducir el número de sistemas diferentes, métodos y personal

involucrado en la gestión de la red.

Asegurar que los recursos de red se emplean de la forma más eficaz

posible.

Incrementar la calidad de servicio que se proporciona a los usuarios

finales.

Proporcionar un alto nivel de facilidad de uso para los gestores de red,

con independencia de su nivel de preparación.

También, es importante mantener las características de trabajo que han sido

propias de soluciones pasadas, como pueden ser las facilidades de drag and drop

Page 14: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

14

(arrastrar y pegar), una presentación de los datos en forma de árbol y un look and

feel (apariencia) similar de las distintas aplicaciones.

SOLUCIONES ACTUALES

Las aplicaciones de gestión software se deben desarrollar teniendo un amplio

conocimiento de las necesidades de los clientes y estar basadas en un conjunto

común de reglas de diseño. Así, se han desarrollado aplicaciones que, basadas en

plataformas abiertas, permiten la gestión, control y administración de los recursos

de red. Es algo mucho más amplio que un simple sistema de recogida de alarmas

de red y actuación remota sobre diferentes elementos de ella, ya que comprende

otras funciones tales como gestión de direcciones, gestión de facilidades de las

líneas y de las prestaciones de los elementos de red.

Las aplicaciones de gestión pueden incluirse en un único PC o distribuirse a lo

largo de un número de ellos, empleando un módulo que proporcione funciones de

servidor de datos para las demás aplicaciones, y que en definitiva se configura

mediante su co-instalación con una base de datos, por ejemplo la "SQL Server" de

Microsoft.

Es posible construir una gran red de gestores mediante el uso de varios servidores

de datos, en la que cada uno de estos atienda un subconjunto concreto de nodos.

Al iniciar una aplicación que actúe como cliente, elegirá uno de los gestores al que

conectarse y entonces, dependiendo del nivel de autoridad, administrar los nodos

asociados. Esta arquitectura distribuida permite optimizar el tráfico y los tiempos

de respuesta, lo que es especialmente importante en las grandes redes

internacionales.

Page 15: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

15

Para realizar una exploración automática y crear submapas particulares para cada

nodo, existen aplicaciones que presentan, mediante iconos, los diferentes

elementos. Los submapas pueden reunirse para tener una jerarquía de mapas que

permiten ir desde el nivel global hasta cada nodo particular. Tan pronto como

ocurren, todas las alarmas se transmiten hacia los niveles superiores de la

topología y estudiando el registro de alarmas a nivel de nodos, se pueden

determinar las causas de los diferentes sucesos notificados.

El modelo de gestión OSI

Este protocolo, definido por ISO a nivel 7, CMIP (Common Management

Information Protocol) sirve para el intercambio de información de gestión entre las

aplicaciones y los agentes, que acceden al servicio mediante el interface estándar

CMIS (Common Management Information Service), que, en el caso de utilizar el

protocolo TCP/IP recibe el nombre de CMOT.

Este modelo, debido a su gran complejidad, no está teniendo aceptación para la

gestión de redes corporativas y es el SNMP, dada su sencillez, el que se está

imponiendo.

El modelo de gestión SNMP

Dado que en la industria existen otros estándares de factores para redes, tal como

es el caso del TCP/IP, una gran mayoría de fabricantes soportan un conjunto de

estándares de gestión denominado SNMP (Simple Network Management

Protocol), que incluye un protocolo, una especificación de estructura de base de

Page 16: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

16

datos y un conjunto de definiciones de objetos de datos. La versión más

avanzada, SNMPv2, es compatible tanto para redes TCP/IP como para aquellas

basadas en OSI.

SNMP, en sus distintas versiones, es un conjunto de aplicaciones de gestión de

red que emplea los servicios ofrecidos por TCP/IP y que ha llegado a convertirse

en un estándar. Surge a raíz del interés por encontrar un protocolo de gestión que

fuese válido para la red Internet, dada la necesidad del mismo a causa de la gran

dimensión que estaba tomando. Para el protocolo SNMP la red constituye un

conjunto de elementos básicos: Administradores o Gestores (Network

Management Stations) ubicados en el/los equipo/s de gestión de red y Agentes

(elementos pasivos ubicados en los host, routers, multiplexores, módems, etc. a

ser gestionados), siendo los segundos los que envían información a los primeros,

relativa a los elementos gestionados, bien al ser interrogados o de manera

secuencial.

A través de un MIB (Management Information Base) se tiene acceso a la

información para la gestión, contenida en la memoria interna del dispositivo en

cuestión. MIB es una base de datos completos y bien definidos, con una estructura

en árbol, adecuada para manejar diversos grupos de objetos, que contiene

información sobre variables/valores que se pueden adoptar.

En resumen, la gestión de red es una actividad compleja, en muchos casos, pero

imprescindible para controlar los recursos de red y conseguir mantener la

disponibilidad y grado de servicio que los usuarios demandan. La falta de

Page 17: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

17

estándares, la existencia de protocolos propietarios, la rápida evolución de la

tecnología y la diversidad de entornos hace que a veces sea imposible mantener

un único sistema y haya que mantener varios con distintos interfaces, pero la

aplicación de inteligencia artificial, la utilización de interfaces amigables y la

disponibilidad de terminales gráficos ayudarán en gran medida al gestor de red en

el desempeño de su trabajo.

Page 18: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

18

DISEÑO DE LA RED TOYOTA

Para la solución de datos y comunicaciones se plantea un diseño en el cual se

pueda contar con telefonía IP y datos, todo reunido en un canal.

Conectividad IP

Se solicito un servicio integral de comunicación de datos con tecnología de punta

IP-MPLS, para resolver necesidades como:

Comunicación integrada de datos, voz y video entre oficinas con el ancho de

banda necesario para soportar todos los servicios y aplicaciones del negocio.

Acceso compartido a recursos y servicios informáticos centralizados, tales

como: correo electrónico, telefonía IP, bases de datos, ERP, Internet, entre

otros.

Interconexión con sistemas de información de entidades externas como:

entidades de fiscalización y control, proveedores de bases de datos, entre

otros.

Acceso a Internet

Poder dar soluciones de conexión a la red mundial Internet, empleando

tecnologías acorde a los requerimientos y necesidades específicas de la

compañía.

Los servicios de acceso a Internet:

Page 19: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

19

Canal Dedicado de internet

Las tecnologías de acceso y transporte de la red de Conectividad Avanzada IP

que permita enlaces permanentes, con un ancho de banda simétrico garantizado

desde el sitio requerido.

Un servicio permita resolver necesidades como:

Publicación en web (páginas o portales transaccionales

http://www.toyotadecolombia.com.co/), por tratarse de un servicio con

direccionamiento IP Público y ancho de banda simétrico.

Accesos VPN a las oficinas o maquinas para realizar soportes remotos.

Navegación centralizada para las oficinas a través de una solución de

Conectividad Avanzada IP, de tal manera que todos los empleados tengan

acceso a Internet desde un punto común, facilitando la implementación de

políticas de control de acceso y seguridad.

Adicional a esto se requiere de una solución que nos de una mayor confiabilidad

en nuestras maquinas de misión critica; con esto se busca garantizar un constante

servicio en todas nuestras aplicaciones y servicios no solo para nuestros

empleados sino también para aquellos socios o personas que de una u otra forma

hace parte de esta compañía.

Para este servicio se opto por el servicio que se ofrece en los Data Center:

Page 20: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

20

Soluciones de Data Center

Este servicio muestra una robusta infraestructura altos estándares, con espacio

físico, condiciones eléctricas y ambientales (temperatura y humedad relativa),

seguridad física y lógica, necesarios para resguardar los equipos y/o la

información que soportan la operación del negocio. En muchas compañía se

cuenta con los recursos necesario para garantizar esta funcionalidad, pero en

otras tantas este servicio no es tan básico, el data center es quizás el mejor medio

para garantizar todos estos requerimientos que garantizan el mejor trabajo.

Los servicios de Data Center nos permiten:

Tener grandes espacios y adecuación de los mismos como Centros de

Cómputo.

Protección de las bases de datos e información general del negocio, brindando

la posibilidad de establecer planes de continuidad de negocio y recuperación

ante desastres.

Administración de los servidores de aplicación y equipos de comunicación que

soportan el negocio.

Esencialmente el Colocation nos facilitara estas necesidades además de equipos

costosos de almacenamiento, con estándares más grandes de seguridad

garantizando sistemas redundantes asegurando el continuo servicio.

Page 21: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

21

DISEÑO DEL CANAL

Dado que la proyecto requiere que nuestros equipos de misión crítica se

encuentres en un Data Center y la ubicación de las oficinas se encuentre en otra

ubicación, ase requirió de un canal, el cual comunique las dos instalaciones y

además nos permita una salida a internet segura y rápida.

Una vez realizado este proceso se deben cumplir con unas ciertas condiciones

para garantizar un buen servicios suministrado por cualquier entidad de

comunicación como lo es ETB, TELEFONICA, UNE,…, ETC.

- Condiciones Eléctricas Mínimas

SEDE TOYOTA DE COLOMBIA

S.A.

CISCO 2821

28212821E1

e1 – E1

3072 Kbps 4056 Kbps

DIAGRAMA LOGICO – SOLUCION TOYOTA

DE COLOMBIA S.A.

9216 Kbps

4056 Kbps

Page 22: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

22

Las condiciones eléctricas garantizan la continuidad del servicio en las

instalaciones de la compañía ya que las condiciones eléctricas en cualquier Data

center estas dada con las empresas proveedoras de este servicio.

El centro de cómputo cuenta con equipos de alta tecnología y por tal razón debe

contar con sistemas eléctricos de excelentes estándares.

Toma corrientes de energía regulada y con puesta a tierra AC 120 V: éstos

deben proveerse como máximo a 1.20 mts., del sitio destinado para alojar los

quipos de acceso a la red (llámese módem de fibra, Equipo SDH-NG, módem de

radio o cualquier otro equipo de acceso).

Sistema de puesta a tierra: Se debe poseer un sistema de puesta a tierra que

garantice la protección de los equipos y las personas que podrían estar en

contacto con los mismos; este es de tierras unificadas (potencia y datos) y como

máximo garantizar un voltaje entre tierra y neutro de 1.0 V.

Sistema de UPS: se posee un sistema de suministro ininterrumpido de potencia

UPS, capaz de entregar una autonomía mínima de 45 minutos para nuestros

equipos como son servidores, switch, monitores, etc. que puedan ser apagados

debidamente en caso de falla de energía (esto para evitar problemas como

perdidas de configuración y daños en los equipos de acceso).

Adicional a esto el sistema UPS se encuentra debidamente conectado a los

sistemas de puesta a tierra.

Nuestros equipos de comunicación se encuentras aislados a distancias no

inferiores a tres (3) de las UPS, transformador, central eléctrica, entre otros; esto

se realiza para evitar interferencia magnética.

Page 23: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

23

- Temperatura Ambiente de los equipos

La temperatura ambiente en operación normal debe oscilar entre 0º y 35 º C para

garantizar la buena operación de los equipos de datos (incluye módems,

servidores, CPs, etc).

Para garantizar estas condiciones se hace necesaria la instalación de un sistema

de aire acondicionado, ventiladores, entre otros, que permitan mantener los

parámetros ambientales dentro de los umbrales especificados a continuación:

Temperatura tiempo limitado de operación: -5º C a 40º C

Humedad relativa: 5% al 95 % sin condensación

Disipación del calor: 700 a 970 BTU´s/ hora máximo por gabinete

Equipos de almacenamiento

Los equipos de comunicación requieren de equipos de almacenamiento como son

Racks o los gabinetes cerrados (espacios adecuados para cada equipo).

Para soluciones que involucren solamente acceso en cobre, el espacio debe

ser como mínimo 45 cm x 30 cm x de largo x 20 cm de alto.

Para equipos de fibra óptica se requiere, la instalación de un gabinete con las

siguientes dimensiones: 1.60 mts de alto X 60 cm ancho X 1.50 mts de

profundidad (incluido espacio para la apertura de las dos puertas), este

gabinete va anclado al piso. Para la energía del equipo se requiere un circuito

eléctrico independiente, con un cable tripolar y toma eléctrica, con un breaker

de 15 amperios y un punto de tierra independiente desde el barraje de tierra

Page 24: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

24

del tablero eléctrico para aterrizar el gabinete con cable #10 ó 12. El consumo

de potencia es menor a 50 W.

En soluciones que impliquen instalación de routers, multiplexores, CPEs en

general, entre otros, el espacio puede variar según las características del

diseño.

Equipos en Data Center

Dado que los equipos ubicados en Data Center son de misión critica, estos deben

estar en las mejores condiciones ambientales y física.

Se debe contar con sistemas eléctricos regulados, sistema doble circuito, aire

acondicionado e instalados en gabinetes cerrados adecuados para estos

elementos.

Page 25: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

25

MAQUINAS DE TRABAJO – APLICACIONES

Para mantener la compañía como la mejor automotriz a nivel mundial, se requería

de un nivel alto de servicio y para garantizar esto se necesito de herramientas

versátiles que se amolden a las necesidades de la empresa.

CHASIS DE SERVIDORES

Se cuenta con un chasis IBM en el cual se encuentran alojados varios de los

servicios de la compañía; esta maquina es capas de tener un espacio en discos

duros de 4Tb y cada una de sus cuchillas puede tener hasta 24Gb de RAM y

adicional a esto las cuchillas cuentan con disco desde 50G a 300Gb.

Page 26: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

26

Esta máquina cuenta con una consola de administración que realiza la gestión

administrativa sobre el chasis asiendo de esta un potente sistema de tecnología

en el cual se pueden almacenar gran cantidad de información e integrar todos los

servicios.

Este sistema cuenta con las siguientes características eléctricas:

Consumo de 950W/1450W AC (110/220V)

Auto-switch de 110/220V

También cuenta con 4 fuentes de alimentación y 4 ventiladores para mantener la

temperatura estable del Chasis; además internamente cuenta con sensores que

me permiten determinar niveles de electricidad, reinicios, temperatura de los

componentes, etc.

Page 27: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

27

SELECCIÓN DE SISTEMA OPERATIVO

Debido a la necesidad de implementar aplicaciones complejas que requería de

tecnología de calidad y fácil de manipular sin dejar de lado la seguridad de esta,

se evaluaron dos sistemas operativos para implementar en servidores el sistema

operativo Linux y el sistema operativo Windows.

Existen gran diferencias entres estos dos grande de la tecnología pero son estas

las verdaderas razones para tomar la decisión de elegir uno de estos:

- Diferencias entre Windows y Linux

Linux a diferencia de Windows, es multitarea real, y multiusuario, posee un

esquema de seguridad basado en usuarios y permisos de lectura, escritura y

ejecución establecidos a los archivos y directorios. Esto significa que cada usuario

es propietario de sus archivos, y otro usuario no puede acceder a estos archivos.

Esta propiedad no permite el contagio de virus entre archivos de diferentes

usuarios.

Una diferencia, quizás la más importante de todas, con respecto a cualquier

sistema operativo comercial, es el hecho de que es software libre, que junto con el

sistema, se puede obtener el código fuente de cualquier parte del mismo y

modificarlo a gusto.

Esto da varias ventajas:

1. La seguridad de saber qué hace un programa tan solo viendo el código

fuente, o en su defecto, tener la seguridad que al estar el código disponible,

nadie va a agregar «características ocultas» en los programas que

distribuye.

Page 28: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

28

2. La libertad que provee la licencia GPL permite a cualquier programador

modificar y mejorar cualquier parte del sistema, ésto da como resultado que

la calidad del software incluido en GNU/Linux sea muy buena.

3. El hecho de que el sistema sea mantenido por una gran comunidad de

programadores y usuarios alrededor del mundo, provee una gran velocidad

de respuesta ante errores de programas que se van descubriendo, que

ninguna compañía comercial de software puede igualar.

4. Las aplicaciones desarrollas son fácil de instalar si cumple con los

protocolos estándar.

Además de las ventajas anteriormente enumeradas, GNU/Linux es ideal para su

utilización en un ambiente de trabajo, dos razones justifican ésto:

1. Al ser software libre, no existe el costo de las licencias, y una copia del

sistema GNU/Linux puede instalarse en tantas computadoras como se

necesite.

2. Existen utilidades para el trabajo en oficina, que son compatibles con las

herramientas de la serie MS-Office.

3. La administración por consola de comando se realiza con gran facilidad y

da mayor respuesta ante los problemas que se presenten.

Linux es un sistema robusto, confiable, y muy eficiente. Se ha probado en varias

ocasiones como solución popular para los servidores de web hosting, perfecta

para nuestro portal de internet junto con las aplicaciones Tomcat (la cual se

desarrolla en genexus).

Linux utiliza PHP, en Perl, o MySQL como idiomas para agregar el acceso y

procesar datos en línea. Linux es ideal para los Web site que brindan información

de exhibición como folleto, en formato del boletín de noticias o como hojas de

datos (mediante estas aplicaciones se pueden realizar la exhibición de los

vehículos de marca).

Page 29: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

29

De hecho gracias a que es software “free” es que hoy día existen diversas

herramientas que nos permiten un completo aprovechamiento de los recursos

suministrados por Windows.

Son estas algunas de las razones por las cuales se decidió que Linux fuera el

sistema operativo base de las aplicaciones de la compañía.

Page 30: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

30

SERVIDORES TOYOTA

Las necesidades de la compañía requieren de diferentes servicios.

SERVIDOR SRVASC

FIREWALL

Un firewall es un dispositivo que filtra el tráfico entre redes. Nuestro firewall es un

hardware específico con un sistema operativo Linux que filtra el tráfico

TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se

descarta.

Es habitual tenerlos como protección de internet en las empresas, también

funciones como: controlar los accesos externos hacia dentro y también los

internos hacia el exterior; esto último se hace con el firewall o frecuentemente con

un proxy (que también utilizan reglas, aunque de más alto nivel).

Red Data Center – Toyota de Colombia

Page 31: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

31

En nuestro firewal contamos con Iptables que es una herramienta que nos permite

configurar las reglas del sistema de filtrado de paquetes del kernel de Linux,

proporcionando unas reglas, especificando cada una de ellas unas determinadas

características que debe cumplir un paquete. Además, se especifica para esa

regla una acción o target. Las reglas tienen un orden, y cuando se recibe o se

envía un paquete; las reglas incluyen:

Validación de direcciones externas.

Evitar que direcciones externas usen dirección lookback.

Bloquear paquetes Netbios salientes.

Permitir lookback local.

Permitir ping entrante.

Permitir servicios tales como www y ssh.

Permisos en VPN.

Permitir conexiones locales y subredes privadas.

Permisos de envíos de correos.

Entre otras reglas de seguridad.

SQUID

El Squid es una aplicación de Proxy que se está ejecutando en cierto host con

acceso a la red, por ejemplo, Internet y a una red privada. El squid permite a los

clientes de dicha red privada, navegar en internet de forma controlada.

En resumen, el cliente no accede realmente a internet, sino que le solicita al proxy

lo que quiere, el proxy a su vez lo busca en Internet, lo transfiere, y luego se lo da

al cliente.

Squid:

Soporta muchísimos protocolos de aplicación (o sea, HTTP, FTP, etc)

Page 32: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

32

Tiene un avanzado mecanismo de autentificación (o sea, a quien y cuando

permitimos utilizar el proxy).

Permite actuar como 'cache' de Internet, copiando contenido en forma local

para que se lo pueda acceder más rápido (por ejemplo, animaciones flash).

DHCP

DHCP (Dynamic Host Configuration Protocol) es un conjunto de reglas para dar

direcciones IP y opciones de configuración a ordenadores y estaciones de trabajo

en una red. Una dirección IP es un número que identifica de forma única a un

ordenador en la red, ya sea en una red corporativa o en Internet.

Este protocolo puede entregar información IP en una LAN o entre varias VLAN.

Esta tecnología reduce el trabajo de un administrador, que de otra manera tendría

Page 33: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

33

que visitar todos los ordenadores o estaciones de trabajo uno por uno. Para

introducir la configuración IP consistente en IP, máscara, gateway, DNS, etc.

DNS

Es una base de datos distribuida, con información que se usa para traducir los

nombres de dominio, fáciles de recordar y usar por las personas, en números de

protocolo de Internet (IP) que es la forma en la que las máquinas pueden

encontrarse en Internet.

Hay personas en todo el mundo manteniendo una parte de la base de datos, y

esta información se hace accesible a todas las máquinas y usuarios de Internet.

Page 34: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

34

El servicio de DNS es indispensable para que un nombre de dominio pueda ser

encontrado en Internet.

www.toyotadecolombia.com.co en vez de 110.61.11.209

VPN

Realmente una VPN no es más que una estructura de red corporativa implantada

sobre una red de recursos de carácter público, pero que utiliza el mismo sistema

de gestión y las mismas políticas de acceso que se usan en las redes privadas, al

fin y al cabo no es más que la creación en una red pública de un entorno de

carácter confidencial y privado que permitirá trabajar al usuario como si estuviera

en su misma red local.

Page 35: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

35

SERVIDOR CORREO

CORREO WEBMAIL

El servidor de correo cuenta con una base dato y con los usuarios creados a los

cuales se les fue asignado un correo corporativo con el dominio

toyotadecolombia.com.co; se han creado cuenta para todo el personal de Toyota

y también para los concesionarios.

En este servidor se realiza el control de los correos, administración de cuentas;

además se encuentras otras configuraciones las cuales permiten el mejor

funcionamiento de los recursos que nos puede ofrecer este servidor.

Contamos con un servicio TOMCAT en el cual se encuentra toda la instancia

EXTRANET configurada y nuestro portal en internet

www.toyotadecolombia.com.co

Portal de correo de Toyota online

Page 36: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

36

EXTRANET

El servicio de extranet es el encargado de recibir todos los pedidos de los

concesionarios y clientes Toyota.

Esta aplicación fue desarrollada en genexus y montada en tomcat el cual es

sistema robusto que permite manipular gran cantidad de información y archivos

grandes, con altos índices de seguridad.

PORTAL DE TOYOTA

El portal de Toyota está desarrollado en el gestor de contenidos joomla.

Es una aplicación de código abierto construida mayoritariamente en PHP bajo una

licencia GPL.

Page 37: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

37

Esta aplicación es fácil de manipular y los cambios que se deseen realizar son

fáciles de gestionar sin crear impactos en configuración y diseño.

SERVIDOR INTRANET

Para nuestra comunicación interna se desarrollo algunos servicios como un chat

interno que facilite la comunicación entre departamentos sin necesidad de

desplazamiento; también se encuentra configurado un servicio de Radius que

garantiza la seguridad de la red wifi de Toyota denominada TOYOTA_DATOS.

CHAT INTERNO

El chat interno es un servicio instalado para mejorar la comunicación interna entre

áreas de Toyota de Colombia; este servicio no consume recurso de canal ya que

es un servicio interno sin salida a internet.

Page 38: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

38

SERVIDOR RADIUS

El servidor Radius es un servidor de autenticación que nos permitirá tener una

mayor seguridad; esto se hace con la autenticación de los usuarios a través de

sus cuentas en Toyota, de esta forma los equipos que traten de conectarse a la

red vía wifi no lo podrán hacer a menos que sea usuarios autorizados.

Page 39: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

39

ANEXO

Page 40: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

40

IPTABLES #!/bin/bash # script para 'firewall' que tenga en cuenta OpenVPN. # eth1 está conectado a Internet. # eth0 está conectado a la subred privada. # Cambie esta subred para que se corresponda con su subred # ethernet privada. 'Casa' usará 10.0.1.0/24 y la # 'Oficina' usará 10.0.0.0/24. PRIVATE=192.168.10.0/24 IPADDR=XXX.XXX.21.210 IPWEB=XXX.XXX.21.211 IPMAIL=XXX.XXX.21.212 # Direccion de 'loopback': LOOP=127.0.0.1 # Borrar reglas iptables anteriores, # y temporalmente bloquear el tráfico: iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F # Establecer las políticas por defecto: iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP # Evitar que los paquetes 'externos' usen la dirección de 'loopback': (Ojo) iptables -A INPUT -i eth1 -s $LOOP -j DROP iptables -A FORWARD -i eth1 -s $LOOP -j DROP iptables -A INPUT -i eth1 -d $LOOP -j DROP iptables -A FORWARD -i eth1 -d $LOOP -j DROP # Bloquear paquetes NetBios salientes (si tiene máquinas windows en # la subred privada). Ésto no afecta al tráfico NetBios # que circula por el túnel VPN, pero detendrá a las maquinas

Page 41: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

41

# windows locales de mandar mensajes de broadcast # a Internet. iptables -A FORWARD -p tcp --sport 137:139 -o eth1 -j DROP iptables -A FORWARD -p udp --sport 137:139 -o eth1 -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o eth1 -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o eth1 -j DROP # Comprobar la validez de la dirección origen de los paquetes salientes a Internet: iptables -A FORWARD -s ! $PRIVATE -i eth0 -j DROP iptables -A FORWARD -i eth0 -s ! $PRIVATE -j DROP # Permitir 'loopback' local: iptables -A INPUT -s $LOOP -j ACCEPT iptables -A INPUT -d $LOOP -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT # Permitir pings entrantes (pueden deshabilitarse): iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Permitir servicios tales como www y ssh, en esta máquina: iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 8080 -j ACCEPT # Permite usar el 'proxy' desde la LAN: (O.K.) iptables -A INPUT -p tcp -i eth0 -s $PRIVATE --dport 3128 -j ACCEPT # Permitir paquetes entrantes a OpenVPN # Duplicar la línea inferior por cada # túnel OpenVPN, cambiando --dport n # para que encaje con el puerto UDP de OpenVPN. # # En OpenVPN, el número de puerto se # control con la opción --port n.

Page 42: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

42

# Si pone esta opción en el fichero de configuración, # puede eliminar los caracteres iniciales '--' # # Si está usando el firewall con estado # (consulte el OpenVPN COMO), # entonces comente la línea de abajo. iptables -A INPUT -p udp --dport 1194 -j ACCEPT # Permitir paquetes del dispositivo TUN/TAP. # Cuando OpenVPN está ejecutando en modo seguro, # autenticará los paquetes previos a # su llegada en el interfaz # tun o tap. Por lo tanto, no es # necesario añadir ningun filtro aquí, # a menos que quiera restringir el # tipo de paquete que puedan circular por # el túnel. iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -A FORWARD -i eth0 -p tcp --dport 80 -j DROP iptables -A FORWARD -i eth0 -p tcp --dport 443 -j DROP # Permitir paquetes de subredes privadas: iptables -A INPUT -i eth0 -j ACCEPT #iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp -d 192.168.70.10 \ -m state --state NEW,ESTABLISHED -j ACCEPT # Mantener el estado de las conexiones locales y las subredes privadas: iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state NEW -o eth1 -j ACCEPT

Page 43: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

43

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Reenvíos de correo y otros: iptables -t nat -A PREROUTING -p tcp -i eth1 \ -d 110.61.11.211 --dport pop3 -j DNAT \ --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 \ -d 110.61.11.211 --dport 2525 -j DNAT \ --to-destination 192.168.70.10 # Reenviar el acceso http a la direción_virtual 211, hacia adentro: iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \ --dport 80 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \ --dport 443 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \--dport 8080 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth0 -s $PRIVATE -d 110.61.11.211 \--dport 8080 -j DNAT --to-destination 192.168.70.10 # Enmascarar la subred local-privada, y el acceso desde 'afuera': iptables -t nat -A POSTROUTING -s $PRIVATE -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -d 192.168.70.101 -o eth0 -j MASQUERADE # Habilitar puerto 57 tcp y udp para permitir consultas de DNS: iptables -A INPUT -i lo -p tcp --dport 57 -j ACCEPT iptables -A INPUT -i lo -p udp --dport 57 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 57 -j ACCEPT iptables -A INPUT -i eth1 -p udp --dport 57-j ACCEPT iptables -A FORWARD -i eth0 -s $PRIVATE -p tcp --dport 57 -j ACCEPT iptables -A FORWARD -i eth0 -s $PRIVATE -p udp --dport 57 -j ACCEPT #trafico que da a internet log iptables -A FORWARD -j LOG

Page 44: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

44

SQUID.CONF

Debido a que el archive de configuración es tan extensor solo se muestra los acl y los http.

#acl macaddress arp 09:00:2b:23:45:67 #acl myexample dst_as 1241 #acl password proxy_auth REQUIRED #acl fileupload req_mime_type -i ^multipart/form-data$ #acl javascript rep_mime_type -i ^application/x-javascript$ # #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl local_lan src 192.168.70.0/24 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 404 442 443 444 8082 8443 acl SSL_ports port 50 51 57 264 500 2746 #acl Safe_ports port 110 #acl safe_ports port 8443 #acl safe_ports port 500 #acl safe_ports port 2746 #acl safe_ports port 264 #acl safe_ports port 51 #acl safe_ports port 50

Page 45: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

45

#acl safe_ports port 57 acl safe_ports port 2000 acl safe_ports port 200 acl CONNECT method CONNECT acl sitios dstdom_regex -i "/etc/squid/data/sitios" acl varios dstdom_regex -i "/etc/squid/data/varios" acl msnmime req_mime_type ^application/x-msn-messenger acl msngw url_regex -i gateway.dll acl multimedia urlpath_regex -i \.mp3$ \.avi$ \.wma$ \.wav$ \.ogg$ \.flag$ \.acc$ \.wma$ \.asf$ \.mpg$ \.flv$ acl deny_rep_mime_type rep_mime_type radio/ogg

# TAG: follow_x_forwarded_for # Allowing or Denying the X-Forwarded-For header to be followed to # find the original source of a request. # # Requests may pass through a chain of several other proxies # before reaching us. The X-Forwarded-For header will contain a # comma-separated list of the IP addresses in the chain, with the # rightmost address being the most recent. # # If a request reaches us from a source that is allowed by this # configuration item, then we consult the X-Forwarded-For header # to see where that host received the request from. If the # X-Forwarded-For header contains multiple addresses, and if # acl_uses_indirect_client is on, then we continue backtracking # until we reach an address for which we are not allowed to # follow the X-Forwarded-For header, or until we reach the first # address in the list. (If acl_uses_indirect_client is off, then # it's impossible to backtrack through more than one level of # X-Forwarded-For addresses.) # # The end result of this process is an IP address that we will # refer to as the indirect client address. This address may # be treated as the client address for access control, delay # pools and logging, depending on the acl_uses_indirect_client, # delay_pool_uses_indirect_client and log_uses_indirect_client # options. # # SECURITY CONSIDERATIONS: # # Any host for which we follow the X-Forwarded-For header # can place incorrect information in the header, and Squid # will use the incorrect information as if it were the

Page 46: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

46

# source address of the request. This may enable remote # hosts to bypass any access control restrictions that are # based on the client's source addresses. # # For example: # # acl localhost src 127.0.0.1 # acl my_other_proxy srcdomain .proxy.example.com # follow_x_forwarded_for allow localhost # follow_x_forwarded_for allow my_other_proxy # #Default: # follow_x_forwarded_for deny all # TAG: acl_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in acl matching. # #Default: # acl_uses_indirect_client on # TAG: delay_pool_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in delay pools. # #Default: # delay_pool_uses_indirect_client on # TAG: log_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in the access log. # #Default: # log_uses_indirect_client on # TAG: http_access # Allowing or Denying access based on defined access lists # # Access to the HTTP port: # http_access allow|deny [!]aclname ... # # NOTE on default values: # # If there are no "access" lines present, the default is to deny # the request.

Page 47: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

47

# # If none of the "access" lines cause a match, the default is the # opposite of the last line in the list. If the last line was # deny, the default is allow. Conversely, if the last line # is allow, the default will be deny. For these reasons, it is a # good idea to have an "deny all" or "allow all" entry at the end # of your access lists to avoid potential confusion. # #Default: # http_access deny all # #Recommended minimum configuration: # # Only allow cachemgr access from localhost http_access deny varios http_access deny sitios http_access deny msnmime http_access deny msngw http_reply_access deny deny_rep_mime_type http_access allow !multimedia http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # Example rule allowing access from your local networks. Adapt # to list your (internal) IP networks from where browsing should # be allowed #acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access allow our_networks # And finally deny all other access to this proxy http_access allow local_lan http_access allow localhost http_access deny all # TAG: http_access2

Page 48: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

48

# Allowing or Denying access based on defined access lists # # Identical to http_access, but runs after redirectors. If not set # then only http_access is used. #

DHCPD.CONF

ddns-update-style interim;

ignore client-updates;

subnet 192.168.71.0 netmask 255.255.255.0 {

# --- default gateway

#-- option routers 131.1.20.1;

option routers 192.168.71.1;

option subnet-mask 255.255.255.0;

#option nis-domain "domain.org";

option domain-name "toyotadecolombia.com.co";

#option netbios-name-servers 192.168.1.100;

option domain-name-servers 192.168.70.1, XXX.XXX.200.2, XXX.XXX.200.79;

option time-offset -18000; # Eastern Standard Time

# option ntp-servers 192.168.1.1;

# option netbios-name-servers 192.168.1.1;

# --- Selects point-to-point node (default is hybrid). Don't change this unless

Page 49: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

49

# -- you understand Netbios very well

# option netbios-node-type 2;

range dynamic-bootp 192.168.70.40 192.168.70.254;

default-lease-time 21600;

max-lease-time 43200;

# we want the nameserver to appear at a fixed address

# host ns {

# next-server marvin.redhat.com;

# hardware ethernet 12:34:56:78:AB:CD;

# fixed-address 207.175.42.254;

# }

}

Page 50: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

50

DNS

NAMED.CONF

//acl rumbo { // 200.68.151.16; // 200.68.151.12; // 200.68.151.20; // }; // generated by named-bootconf.pl // secret must be the same as in /etc/rndc.conf key "key" { algorithm hmac-md5; secret "eJlTiKfIvjSSDUbC3cGlbHKAoLj2gJbhAxNWaY58BuIweXjlY7dWsJdVHl5o"; // secret "iwUZq+fyWWL/dyZ/m01YNQ=="; }; // secret "iuBnRgYSAojmccU6Dq70XA=="; controls { inet 127.0.0.1 allow { any; } keys { "key"; }; }; options { pid-file "/var/run/named/named.pid"; directory "/var/named"; // recursion no; // allow-recursion { 200.2.64.3; 200.2.64.14; } ; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */

Page 51: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

51

// query-source address * port 53; }; logging { category lame-servers { null; }; }; acl trusted-servers { XXX.XXX.XXX.XXX; //ns2 XXX.XXX.XXX.XXX; //ns3 }; // // a caching only nameserver config // zone "." { type hint; file "named.ca"; }; zone "dominio.com.co" { type master; file "named.dominio"; allow-transfer { trusted-servers; }; }; zone "21.XXX.XXX.in-addr.arpa" { type master; file "toyotadecolombia.rev"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; };

Page 52: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

52

Page 53: ADMINISTRACION DE REDES UTILIZANDO · PDF filela gestion de redes 7 estructura de la gestion de la red 8 gestion de fallos 9 gestion de la configuraciÓn 9 gestion de rendimiento 10

53