snmp
TRANSCRIPT
-
1
ADMINISTRACION DE REDES UTILIZANDO PROTOCOLO SNMP
(SIMPLE NETWORK MANAGEMENT PROTOCOL)
INFORME DE PRCTICA EMPRESARIAL
ANALISTA DE INFRAESTRUCTURA
POR
JHON EDUARSON VELASQUEZ HERNANDEZ
ASESOR
GERMAN ZAPATA
FACULTAD DE MINAS
INGENIERIA ELECTRICA
UNIVERSIDAD NACAIONAL DE COLOMBIA
SEDE MEDELLIN
2009
-
2
A mi familia,
quienes me formaron como persona
y me apoyo para ser el profesional
que soy hoy da.
-
3
PREAMBULO
El siguiente informe hace referencia a la labor realizar en el proyecto de practica
empresarial, la cual se puede definir como una experiencia de vida; en esta
prctica empresarial se llevaron a la practica la gran cantidad de conocimientos
adquiridos en mis estudios de Universidad y en la gran cantidad de conocimientos
adquiridos en el transcurso de este proceso.
Los estudios de redes y las cualidades adquiridas fueron el respaldo ms grande
en el momento de enfrentar todos los problemas que se presentaron en este
proyecto.
Las redes de comunicacin, el internet y la transmisin de informacin son puntos
crticos en las compaas actuales; la expansin y el nivel de seguridad son temas
crticos al momento de almacenar informacin, as como la comunicacin con
clientes, empleados y el resto del mundo; hoy da se implementan solucin
tecnolgicas que superan las expectativas de las personas pero es esta misma
tecnologa la que requiere un control total para poder administrar la informacin.
Los sistemas tecnolgicos nos muestran nuevas formas de confrontar las
necesidades de las compaas, Cisco, IBM, DELL, PANDA y otra gran cantidad
de marcas nos ensean muchas soluciones; servicios como la telefona y la
comunican son servicios que crecen de forma desmesurada haciendo de las
maquinas de las empresas obsoletas sin posibilidad de evolucionar e incapaces
de enfrentarse al mercado.
-
4
CONTENIDO
INTORDUCCION 6
LA GESTION DE REDES 7
ESTRUCTURA DE LA GESTION DE LA RED 8
GESTION DE FALLOS 9
GESTION DE LA CONFIGURACIN 9
GESTION DE RENDIMIENTO 10
GESTION DE LA TARIFICACIN 10
GESTIONDE LA SEGURIDAD 10
LA GESTION INTEGRAL 10
SOLUCIONES ACTUALES 14
EL MODELO DE GESTION OSI 15
EL MODELO DE GESTION SNMP 15
DISEO DE LA RED TOYOTA 18
CONECTIVIDAD IP 18
ACCESSO A INTERNET 18
CANAL DEDICADO DE INTERNET 19
SOLUCION DEL DATA CENTER 20
DISEO DEL CANAL 21
CONDICIONES ELECTRICAS MINIMAS 22
TEMPERATURA AMBIENTE 23
EQUIPOS DE ALMACENAMIENTO 23
EQUIPOS DE DATA CENTER 24
MAQUINAS DE TRABAJO APLICATIVOS 25
CHASIS DE SERVIDORES 25
SELECCIN DE SISTEMA OPERATIVO 27
-
5
SERVIDORES TOYOTA 30
SERVIDOR SRVASC 30
FIREWALL 30
SQUID 31
DHCP 32
DNS 33
VPN 34
SERVIDOR DE CORREO 35
CORREO WEBMAIL 35
EXTRANET 36
PORTAL TOYOTA 36
SERVIDOR EXTRANET 37
CHAT INTERNO 37
SERVIDOR RADIUS 38
ANEXO
ARCHIVOS DE CONFIGURACION DE IPTABLES (FIREWALL)
ARCHIVOS DE CONFIGURACION DE SQUID (PROXY)
ARCHIVOS DE CONFIGURACION DE DHCP (ADMINISTRADOR DE DOMINIO)
ARCHIVOS DE CONFIGURACION DE DNS (RESOLUCIN DE NOMBRE)
DISEO DE RED LOGICA EN LAS OFICINAS TOYOTA
-
6
INTRODUCCION
Con el fin de crear una empresa con sistemas confiables, que cumpla con las
expectativas de los empleados y de los usuarios, se dispuso de sistemas
tecnolgicos de alta calidad, de diseos eficientes y confiables que se han
amigables con la compaa y lo ms importante que estn en la capacidad de
seguir la filosofa de la compaa.
Nuestro diseo de infraestructura refleja una red segura, eficiente y que contiene
elemento de gran desarrollo tecnolgico; las aplicaciones instaladas en su mayora
son implementaciones que hacen amigables las labores.
Esta compaa (TOYOTA) debe tener la capacidad de darle a sus empleado la
conectividad a los servicios tales como importacin, pedidos de vehculos, pedido
de repuesto, ventas y una base de datos solida, que refleje el resultado del arduo
trabajo realizado.
-
7
LA GESTIN DE REDES
Las redes corporativas, hoy en da, manejan cualquier tipo de informacin, sea
voz, texto o imgenes, al tender las aplicaciones a ser multimedia, y se extienden
para cubrir todos los entornos donde la empresa se desenvuelve: local, nacional e
internacional, proporcionando la va de comunicacin interna, y a travs de
pasarelas, externa, necesaria para el desarrollo de su actividad.
Cualquier red, de manera muy simple, se constituye con nodos de conmutacin, a
los que se conectan los usuarios, y enlaces de transmisin que sirven para
interconectarlos, bien sean privados o a travs de redes pblicas. El correcto
funcionamiento de la red, de cara a los usuarios, vendr determinado por la
disponibilidad del servicio conforme a lo planificado, lo que implica que cada uno
de los elementos que intervienen en la comunicacin ha de estar operativo y
configurado de una determinada manera; cualquier cambio no esperado puede dar
lugar a errores en la transmisin si no se detecta y corrigen sus efectos a tiempo,
para lo que resulta esencial disponer de un sistema de gestin de red, adecuado a
los requerimientos que demandan los usuarios.
La gestin de redes es una de las reas ms importantes en el mercado de
comunicaciones de hoy en da. Los clientes saben perfectamente los enormes
beneficios que se logran adoptando una estrategia de gestin coherente y slida y
dos factores son los que se destacan como los ms importantes para ellos cuando
especifican sus requerimientos de gestin: Un nico punto de entrada de datos y
la facilidad de uso por los supervisores de la red.
-
8
Las tendencias apuntan a que los sistemas de gestin de red pasarn, en los
prximos tres a cinco aos, de ser unos meros complementos en la oferta de
elementos de red a constituirse en una parte esencial de ellos, siendo en algunos
casos el elemento decisorio en la compra ya que, con la distribucin de procesos y
datos, los entornos distribuidos son ms potentes y ms flexibles, pero tambin
ms crticos, lo que hace que su gestin sea una pieza clave para garantizar la
disponibilidad y grado de servicio requerido a la red.
ESTRUCTURA DE LA GESTIN DE RED
El objetivo genrico de un sistema de gestin de red es proporcionar una
plataforma de gestin distribuida para todo tipo de entornos de red con las
siguientes caractersticas:
Monitorear el estado actual de la red y su funcionamiento y responder a
los comandos del computador que controla la red.
Proporcionar un filtrado inteligente de las alarmas, que ayude a
minimizar el tiempo requerido para localizar fallos.
Aislar errores, de una manera automtica, tanto de hardware como de
software.
Generar trfico para simular condiciones reales en la red y realizar
pruebas de funcionamiento.
Adoptar acciones correctoras que ayuden al personal encargado de la
red a solucionar problemas.
Presentar informacin de la configuracin, dando as una perspectiva
ms amplia de la red.
Recoger y analizar datos de gestin muy valiosos, que permitan hacer
una planificacin de la red a corto y largo plazo.
-
9
Almacenar estadsticas sobre el funcionamiento de la red.
Formular aquellas recomendaciones tiles para el usuario.
La gestin de red se lleva a cabo mediante una aplicacin software residente en el
computador designado como Gestor de la red que, mediante una interface de
operador, permite la gestin, y otras residentes en cada uno de los elementos que
conforman la estructura de la red, es decir nodos y medios de transmisin. El
software de gestin responde a los comandos del operador de red, enviando
informacin a los elementos de la red y/o recibiendo informacin de ellos.
En la gestin de red se identifican cinco reas funcionales que son:
Gestin de fallos, para facilitar la deteccin, aislamiento y correccin de las
incidencias que se produzcan en la red, controlando cualquier funcionamiento
que se salga de los mrgenes de tolerancia fijados por el administrador de ella.
Lo normal es que al producirse un fallo se genere una alarma que indique la
causa y el lugar del mismo, alertando al personal encargado de la gestin, que
actuar en consecuencia.
Gestin de la configuracin, para realizar las labores rutinarias de cambios
en los parmetros de funcionamiento de los elementos que configuran la red,
mantener el inventario de todos los elementos que conforman la red, realizar
altas y bajas de usuarios y asegurar que el trfico se mantiene conforme a lo
planificado. As, en caso de cada de algn enlace, se puede establecer un
camino alternativo en tanto en cuanto se restablecen las condiciones iniciales.
-
10
Gestin del rendimiento, que incluye todas las funciones necesarias para
evaluar el comportamiento de los objetos gestionados y de la red en su
conjunto, incluidos los medios de transmisin. En base al resultado se
determina la carga real de trfico (throughput) , la disponibilidad y el tiempo de
respuesta, y se puede prever la congestin de determinados nodos o rutas,
adelantndose a llegue a suceder y que la demanda de los usuarios se vea
insatisfecha.
Gestin de la tarificacin, que engloba las funciones relativas a la
administracin de los recursos de la red y el cargo que por su uso hay que
hacer a los usuarios. Permite distribuir los costos, generando las facturas para
los distintos departamentos de la empresa.
Gestin de la seguridad, uno de los aspectos ms crticos en la gestin de
una red corporativa, esencial para mantener la integridad y confidencialidad de
los datos, protegiendo frente a la intrusin por terceros. Con la adopcin de
Internet como medio de comunicacin global y la implantacin de su tecnologa
en las empresas para la creacin de Intranets, el aislamiento entre el entorno
corporativo y el mundo exterior se ha de conseguir a base de establecer
cortafuegos y claves de acceso, que han de estar integrados en el sistema de
gestin de red.
LA GESTIN INTEGRADA
Conforme las redes aumentan en tamao y complejidad y soportan aplicaciones
diversas, toman ms valor e importancia, con lo que su gestin es un aspecto
-
11
fundamental para garantizar el flujo de informacin y una gestin de red integrada
y eficiente que lo asegure se vuelve imprescindible.
Tradicionalmente, los productos de red han venido con un sistema de gestin
stand-alone (independiente), lo que implicaba que los clientes tenan que emplear
una serie de herramientas diferentes para gestionar sus redes, con los
inconvenientes que ello supone: Demasiadas consolas que tienen que ser
supervisadas y distintos interfaces de usuario que tienen que aprenderse.
El alto costos de ello y su baja eficiencia es evidente; no se desea hacer
inversiones adicionales en sistemas propietarios, y prefieren en cambio soluciones
abiertas basadas en estndares del mercado y tecnologa de uso corriente. Esta
tendencia es muy fuerte en el rea de gestin de datos y ahora los usuarios
tambin demandan la disponibilidad de soluciones de gestin de voz bajo las
mismas premisas.
Una gestin integrada de la red gana as una amplia aceptacin por parte del
mercado. El uso de plataformas abiertas trae consigo muchas ventajas, entre ellas
tpicamente el dar soporte a los propios productos del fabricante y el proporcionar
un marco de trabajo para terceros que desarrollan aplicaciones; esto es, una
interfaz de usuario comn con un mapa grfico de la red y un sistema de mens,
con sus protocolos de comunicacin y de acceso de datos. OpenView de HP es
uno de los lderes del mercado en este aspecto, siendo soportado por un gran
nmero de suministradores.
-
12
La gestin de una red corporativa se puede realizar de una manera bsica o
avanzada, dependiendo de lo crtico y complejos que sean todos y cada uno de
los elementos que la conforman, individualmente y en conjunto.
Las funciones de gestin bsica, integradas en el sistema operativo de cada nodo,
pueden ser accedidas desde un terminal asncrono (por ejemplo, un PC dotado de
un programa de comunicaciones) conectado a una puerta del procesador de uno
de los nodos, donde el software de gestin resida en el propio sistema operativo.
Mediante las funciones bsicas de gestin se posibilita el establecimiento de
sesiones de comandos y recepcin de alarmas hacia/desde cualquier nodo de la
red siendo posible realizar remotamente en los nodos su configuracin y tambin
monitorizar el estado, tasa de errores (BERT) y rendimiento de los enlaces entre
ellos.
Para la gestin avanzada, en la que exista un amplio conjunto de elementos a ser
gestionados (terminales, routers, mdems, PBXs, etc.), dentro de un entorno LAN-
WAN, se requiere un terminal ms sofisticado que un simple PC (por ejemplo, una
estacin de trabajo con sistema operativo UNIX y formato de presentacin X-
Windows). En el caso de que varios usuarios necesiten acceder simultneamente
al sistema de gestin de red, la interconexin mediante una LAN TCP/IP ofrece
esa posibilidad y, si se necesita disponer de la funcin de gestin en cualquier
punto de la red la plataforma SUN, por ejemplo, permite remotizar terminales
grficos ("terminales X" siguiendo los estndares X-Windows y OSF/Motif, o bien
emulaciones de "terminales X" sobre PC).
-
13
En ambos casos los objetivos que se tratan de alcanzar a la hora de hacer una
gestin integral (es decir, planificada y que busca el mximo rendimiento) de las
redes corporativas de una empresa son bsicamente los siguientes:
Prevenir fallos en transmisiones crticas.
Evitar interrupciones en las transmisiones de datos/voz.
Reducir los gastos en el mantenimiento y desarrollo de la red.
Optimizar la planificacin de la gestin en ambientes heterogneos.
Incrementar el volumen y la calidad del trfico de las informaciones.
Solucionar problemas para conexiones remotas.
El mayor mercado de los sistemas de gestin de red son empresas con redes
integradas de voz y datos. stas, casi con toda seguridad, dispondrn de un
sistema de gestin de red basado en el estndar SNMP para sus equipos de datos
pero carecern de una solucin para los elementos de voz, de forma que estos se
puedan integrar en su sistema ya existente y as cubrir las siguientes necesidades:
Reducir el nmero de sistemas diferentes, mtodos y personal
involucrado en la gestin de la red.
Asegurar que los recursos de red se emplean de la forma ms eficaz
posible.
Incrementar la calidad de servicio que se proporciona a los usuarios
finales.
Proporcionar un alto nivel de facilidad de uso para los gestores de red,
con independencia de su nivel de preparacin.
Tambin, es importante mantener las caractersticas de trabajo que han sido
propias de soluciones pasadas, como pueden ser las facilidades de drag and drop
-
14
(arrastrar y pegar), una presentacin de los datos en forma de rbol y un look and
feel (apariencia) similar de las distintas aplicaciones.
SOLUCIONES ACTUALES
Las aplicaciones de gestin software se deben desarrollar teniendo un amplio
conocimiento de las necesidades de los clientes y estar basadas en un conjunto
comn de reglas de diseo. As, se han desarrollado aplicaciones que, basadas en
plataformas abiertas, permiten la gestin, control y administracin de los recursos
de red. Es algo mucho ms amplio que un simple sistema de recogida de alarmas
de red y actuacin remota sobre diferentes elementos de ella, ya que comprende
otras funciones tales como gestin de direcciones, gestin de facilidades de las
lneas y de las prestaciones de los elementos de red.
Las aplicaciones de gestin pueden incluirse en un nico PC o distribuirse a lo
largo de un nmero de ellos, empleando un mdulo que proporcione funciones de
servidor de datos para las dems aplicaciones, y que en definitiva se configura
mediante su co-instalacin con una base de datos, por ejemplo la "SQL Server" de
Microsoft.
Es posible construir una gran red de gestores mediante el uso de varios servidores
de datos, en la que cada uno de estos atienda un subconjunto concreto de nodos.
Al iniciar una aplicacin que acte como cliente, elegir uno de los gestores al que
conectarse y entonces, dependiendo del nivel de autoridad, administrar los nodos
asociados. Esta arquitectura distribuida permite optimizar el trfico y los tiempos
de respuesta, lo que es especialmente importante en las grandes redes
internacionales.
-
15
Para realizar una exploracin automtica y crear submapas particulares para cada
nodo, existen aplicaciones que presentan, mediante iconos, los diferentes
elementos. Los submapas pueden reunirse para tener una jerarqua de mapas que
permiten ir desde el nivel global hasta cada nodo particular. Tan pronto como
ocurren, todas las alarmas se transmiten hacia los niveles superiores de la
topologa y estudiando el registro de alarmas a nivel de nodos, se pueden
determinar las causas de los diferentes sucesos notificados.
El modelo de gestin OSI
Este protocolo, definido por ISO a nivel 7, CMIP (Common Management
Information Protocol) sirve para el intercambio de informacin de gestin entre las
aplicaciones y los agentes, que acceden al servicio mediante el interface estndar
CMIS (Common Management Information Service), que, en el caso de utilizar el
protocolo TCP/IP recibe el nombre de CMOT.
Este modelo, debido a su gran complejidad, no est teniendo aceptacin para la
gestin de redes corporativas y es el SNMP, dada su sencillez, el que se est
imponiendo.
El modelo de gestin SNMP
Dado que en la industria existen otros estndares de factores para redes, tal como
es el caso del TCP/IP, una gran mayora de fabricantes soportan un conjunto de
estndares de gestin denominado SNMP (Simple Network Management
Protocol), que incluye un protocolo, una especificacin de estructura de base de
-
16
datos y un conjunto de definiciones de objetos de datos. La versin ms
avanzada, SNMPv2, es compatible tanto para redes TCP/IP como para aquellas
basadas en OSI.
SNMP, en sus distintas versiones, es un conjunto de aplicaciones de gestin de
red que emplea los servicios ofrecidos por TCP/IP y que ha llegado a convertirse
en un estndar. Surge a raz del inters por encontrar un protocolo de gestin que
fuese vlido para la red Internet, dada la necesidad del mismo a causa de la gran
dimensin que estaba tomando. Para el protocolo SNMP la red constituye un
conjunto de elementos bsicos: Administradores o Gestores (Network
Management Stations) ubicados en el/los equipo/s de gestin de red y Agentes
(elementos pasivos ubicados en los host, routers, multiplexores, mdems, etc. a
ser gestionados), siendo los segundos los que envan informacin a los primeros,
relativa a los elementos gestionados, bien al ser interrogados o de manera
secuencial.
A travs de un MIB (Management Information Base) se tiene acceso a la
informacin para la gestin, contenida en la memoria interna del dispositivo en
cuestin. MIB es una base de datos completos y bien definidos, con una estructura
en rbol, adecuada para manejar diversos grupos de objetos, que contiene
informacin sobre variables/valores que se pueden adoptar.
En resumen, la gestin de red es una actividad compleja, en muchos casos, pero
imprescindible para controlar los recursos de red y conseguir mantener la
disponibilidad y grado de servicio que los usuarios demandan. La falta de
-
17
estndares, la existencia de protocolos propietarios, la rpida evolucin de la
tecnologa y la diversidad de entornos hace que a veces sea imposible mantener
un nico sistema y haya que mantener varios con distintos interfaces, pero la
aplicacin de inteligencia artificial, la utilizacin de interfaces amigables y la
disponibilidad de terminales grficos ayudarn en gran medida al gestor de red en
el desempeo de su trabajo.
-
18
DISEO DE LA RED TOYOTA
Para la solucin de datos y comunicaciones se plantea un diseo en el cual se
pueda contar con telefona IP y datos, todo reunido en un canal.
Conectividad IP
Se solicito un servicio integral de comunicacin de datos con tecnologa de punta
IP-MPLS, para resolver necesidades como:
Comunicacin integrada de datos, voz y video entre oficinas con el ancho de
banda necesario para soportar todos los servicios y aplicaciones del negocio.
Acceso compartido a recursos y servicios informticos centralizados, tales
como: correo electrnico, telefona IP, bases de datos, ERP, Internet, entre
otros.
Interconexin con sistemas de informacin de entidades externas como:
entidades de fiscalizacin y control, proveedores de bases de datos, entre
otros.
Acceso a Internet
Poder dar soluciones de conexin a la red mundial Internet, empleando
tecnologas acorde a los requerimientos y necesidades especficas de la
compaa.
Los servicios de acceso a Internet:
-
19
Canal Dedicado de internet
Las tecnologas de acceso y transporte de la red de Conectividad Avanzada IP
que permita enlaces permanentes, con un ancho de banda simtrico garantizado
desde el sitio requerido.
Un servicio permita resolver necesidades como:
Publicacin en web (pginas o portales transaccionales
http://www.toyotadecolombia.com.co/), por tratarse de un servicio con
direccionamiento IP Pblico y ancho de banda simtrico.
Accesos VPN a las oficinas o maquinas para realizar soportes remotos.
Navegacin centralizada para las oficinas a travs de una solucin de
Conectividad Avanzada IP, de tal manera que todos los empleados tengan
acceso a Internet desde un punto comn, facilitando la implementacin de
polticas de control de acceso y seguridad.
Adicional a esto se requiere de una solucin que nos de una mayor confiabilidad
en nuestras maquinas de misin critica; con esto se busca garantizar un constante
servicio en todas nuestras aplicaciones y servicios no solo para nuestros
empleados sino tambin para aquellos socios o personas que de una u otra forma
hace parte de esta compaa.
Para este servicio se opto por el servicio que se ofrece en los Data Center:
-
20
Soluciones de Data Center
Este servicio muestra una robusta infraestructura altos estndares, con espacio
fsico, condiciones elctricas y ambientales (temperatura y humedad relativa),
seguridad fsica y lgica, necesarios para resguardar los equipos y/o la
informacin que soportan la operacin del negocio. En muchas compaa se
cuenta con los recursos necesario para garantizar esta funcionalidad, pero en
otras tantas este servicio no es tan bsico, el data center es quizs el mejor medio
para garantizar todos estos requerimientos que garantizan el mejor trabajo.
Los servicios de Data Center nos permiten:
Tener grandes espacios y adecuacin de los mismos como Centros de
Cmputo.
Proteccin de las bases de datos e informacin general del negocio, brindando
la posibilidad de establecer planes de continuidad de negocio y recuperacin
ante desastres.
Administracin de los servidores de aplicacin y equipos de comunicacin que
soportan el negocio.
Esencialmente el Colocation nos facilitara estas necesidades adems de equipos
costosos de almacenamiento, con estndares ms grandes de seguridad
garantizando sistemas redundantes asegurando el continuo servicio.
-
21
DISEO DEL CANAL
Dado que la proyecto requiere que nuestros equipos de misin crtica se
encuentres en un Data Center y la ubicacin de las oficinas se encuentre en otra
ubicacin, ase requiri de un canal, el cual comunique las dos instalaciones y
adems nos permita una salida a internet segura y rpida.
Una vez realizado este proceso se deben cumplir con unas ciertas condiciones
para garantizar un buen servicios suministrado por cualquier entidad de
comunicacin como lo es ETB, TELEFONICA, UNE,, ETC.
- Condiciones Elctricas Mnimas
SEDE TOYOTA DE COLOMBIA
S.A.
CISCO 2821
28212821E1
e1 E1
3072 Kbps 4056 Kbps
DIAGRAMA LOGICO SOLUCION TOYOTA
DE COLOMBIA S.A.
9216 Kbps
4056 Kbps
-
22
Las condiciones elctricas garantizan la continuidad del servicio en las
instalaciones de la compaa ya que las condiciones elctricas en cualquier Data
center estas dada con las empresas proveedoras de este servicio.
El centro de cmputo cuenta con equipos de alta tecnologa y por tal razn debe
contar con sistemas elctricos de excelentes estndares.
Toma corrientes de energa regulada y con puesta a tierra AC 120 V: stos
deben proveerse como mximo a 1.20 mts., del sitio destinado para alojar los
quipos de acceso a la red (llmese mdem de fibra, Equipo SDH-NG, mdem de
radio o cualquier otro equipo de acceso).
Sistema de puesta a tierra: Se debe poseer un sistema de puesta a tierra que
garantice la proteccin de los equipos y las personas que podran estar en
contacto con los mismos; este es de tierras unificadas (potencia y datos) y como
mximo garantizar un voltaje entre tierra y neutro de 1.0 V.
Sistema de UPS: se posee un sistema de suministro ininterrumpido de potencia
UPS, capaz de entregar una autonoma mnima de 45 minutos para nuestros
equipos como son servidores, switch, monitores, etc. que puedan ser apagados
debidamente en caso de falla de energa (esto para evitar problemas como
perdidas de configuracin y daos en los equipos de acceso).
Adicional a esto el sistema UPS se encuentra debidamente conectado a los
sistemas de puesta a tierra.
Nuestros equipos de comunicacin se encuentras aislados a distancias no
inferiores a tres (3) de las UPS, transformador, central elctrica, entre otros; esto
se realiza para evitar interferencia magntica.
-
23
- Temperatura Ambiente de los equipos
La temperatura ambiente en operacin normal debe oscilar entre 0 y 35 C para
garantizar la buena operacin de los equipos de datos (incluye mdems,
servidores, CPs, etc).
Para garantizar estas condiciones se hace necesaria la instalacin de un sistema
de aire acondicionado, ventiladores, entre otros, que permitan mantener los
parmetros ambientales dentro de los umbrales especificados a continuacin:
Temperatura tiempo limitado de operacin: -5 C a 40 C
Humedad relativa: 5% al 95 % sin condensacin
Disipacin del calor: 700 a 970 BTUs/ hora mximo por gabinete
Equipos de almacenamiento
Los equipos de comunicacin requieren de equipos de almacenamiento como son
Racks o los gabinetes cerrados (espacios adecuados para cada equipo).
Para soluciones que involucren solamente acceso en cobre, el espacio debe
ser como mnimo 45 cm x 30 cm x de largo x 20 cm de alto.
Para equipos de fibra ptica se requiere, la instalacin de un gabinete con las
siguientes dimensiones: 1.60 mts de alto X 60 cm ancho X 1.50 mts de
profundidad (incluido espacio para la apertura de las dos puertas), este
gabinete va anclado al piso. Para la energa del equipo se requiere un circuito
elctrico independiente, con un cable tripolar y toma elctrica, con un breaker
de 15 amperios y un punto de tierra independiente desde el barraje de tierra
-
24
del tablero elctrico para aterrizar el gabinete con cable #10 12. El consumo
de potencia es menor a 50 W.
En soluciones que impliquen instalacin de routers, multiplexores, CPEs en
general, entre otros, el espacio puede variar segn las caractersticas del
diseo.
Equipos en Data Center
Dado que los equipos ubicados en Data Center son de misin critica, estos deben
estar en las mejores condiciones ambientales y fsica.
Se debe contar con sistemas elctricos regulados, sistema doble circuito, aire
acondicionado e instalados en gabinetes cerrados adecuados para estos
elementos.
-
25
MAQUINAS DE TRABAJO APLICACIONES
Para mantener la compaa como la mejor automotriz a nivel mundial, se requera
de un nivel alto de servicio y para garantizar esto se necesito de herramientas
verstiles que se amolden a las necesidades de la empresa.
CHASIS DE SERVIDORES
Se cuenta con un chasis IBM en el cual se encuentran alojados varios de los
servicios de la compaa; esta maquina es capas de tener un espacio en discos
duros de 4Tb y cada una de sus cuchillas puede tener hasta 24Gb de RAM y
adicional a esto las cuchillas cuentan con disco desde 50G a 300Gb.
-
26
Esta mquina cuenta con una consola de administracin que realiza la gestin
administrativa sobre el chasis asiendo de esta un potente sistema de tecnologa
en el cual se pueden almacenar gran cantidad de informacin e integrar todos los
servicios.
Este sistema cuenta con las siguientes caractersticas elctricas:
Consumo de 950W/1450W AC (110/220V)
Auto-switch de 110/220V
Tambin cuenta con 4 fuentes de alimentacin y 4 ventiladores para mantener la
temperatura estable del Chasis; adems internamente cuenta con sensores que
me permiten determinar niveles de electricidad, reinicios, temperatura de los
componentes, etc.
-
27
SELECCIN DE SISTEMA OPERATIVO
Debido a la necesidad de implementar aplicaciones complejas que requera de
tecnologa de calidad y fcil de manipular sin dejar de lado la seguridad de esta,
se evaluaron dos sistemas operativos para implementar en servidores el sistema
operativo Linux y el sistema operativo Windows.
Existen gran diferencias entres estos dos grande de la tecnologa pero son estas
las verdaderas razones para tomar la decisin de elegir uno de estos:
- Diferencias entre Windows y Linux
Linux a diferencia de Windows, es multitarea real, y multiusuario, posee un
esquema de seguridad basado en usuarios y permisos de lectura, escritura y
ejecucin establecidos a los archivos y directorios. Esto significa que cada usuario
es propietario de sus archivos, y otro usuario no puede acceder a estos archivos.
Esta propiedad no permite el contagio de virus entre archivos de diferentes
usuarios.
Una diferencia, quizs la ms importante de todas, con respecto a cualquier
sistema operativo comercial, es el hecho de que es software libre, que junto con el
sistema, se puede obtener el cdigo fuente de cualquier parte del mismo y
modificarlo a gusto.
Esto da varias ventajas:
1. La seguridad de saber qu hace un programa tan solo viendo el cdigo
fuente, o en su defecto, tener la seguridad que al estar el cdigo disponible,
nadie va a agregar caractersticas ocultas en los programas que
distribuye.
-
28
2. La libertad que provee la licencia GPL permite a cualquier programador
modificar y mejorar cualquier parte del sistema, sto da como resultado que
la calidad del software incluido en GNU/Linux sea muy buena.
3. El hecho de que el sistema sea mantenido por una gran comunidad de
programadores y usuarios alrededor del mundo, provee una gran velocidad
de respuesta ante errores de programas que se van descubriendo, que
ninguna compaa comercial de software puede igualar.
4. Las aplicaciones desarrollas son fcil de instalar si cumple con los
protocolos estndar.
Adems de las ventajas anteriormente enumeradas, GNU/Linux es ideal para su
utilizacin en un ambiente de trabajo, dos razones justifican sto:
1. Al ser software libre, no existe el costo de las licencias, y una copia del
sistema GNU/Linux puede instalarse en tantas computadoras como se
necesite.
2. Existen utilidades para el trabajo en oficina, que son compatibles con las
herramientas de la serie MS-Office.
3. La administracin por consola de comando se realiza con gran facilidad y
da mayor respuesta ante los problemas que se presenten.
Linux es un sistema robusto, confiable, y muy eficiente. Se ha probado en varias
ocasiones como solucin popular para los servidores de web hosting, perfecta
para nuestro portal de internet junto con las aplicaciones Tomcat (la cual se
desarrolla en genexus).
Linux utiliza PHP, en Perl, o MySQL como idiomas para agregar el acceso y
procesar datos en lnea. Linux es ideal para los Web site que brindan informacin
de exhibicin como folleto, en formato del boletn de noticias o como hojas de
datos (mediante estas aplicaciones se pueden realizar la exhibicin de los
vehculos de marca).
-
29
De hecho gracias a que es software free es que hoy da existen diversas
herramientas que nos permiten un completo aprovechamiento de los recursos
suministrados por Windows.
Son estas algunas de las razones por las cuales se decidi que Linux fuera el
sistema operativo base de las aplicaciones de la compaa.
-
30
SERVIDORES TOYOTA
Las necesidades de la compaa requieren de diferentes servicios.
SERVIDOR SRVASC
FIREWALL
Un firewall es un dispositivo que filtra el trfico entre redes. Nuestro firewall es un
hardware especfico con un sistema operativo Linux que filtra el trfico
TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se
descarta.
Es habitual tenerlos como proteccin de internet en las empresas, tambin
funciones como: controlar los accesos externos hacia dentro y tambin los
internos hacia el exterior; esto ltimo se hace con el firewall o frecuentemente con
un proxy (que tambin utilizan reglas, aunque de ms alto nivel).
Red Data Center Toyota de Colombia
-
31
En nuestro firewal contamos con Iptables que es una herramienta que nos permite
configurar las reglas del sistema de filtrado de paquetes del kernel de Linux,
proporcionando unas reglas, especificando cada una de ellas unas determinadas
caractersticas que debe cumplir un paquete. Adems, se especifica para esa
regla una accin o target. Las reglas tienen un orden, y cuando se recibe o se
enva un paquete; las reglas incluyen:
Validacin de direcciones externas.
Evitar que direcciones externas usen direccin lookback.
Bloquear paquetes Netbios salientes.
Permitir lookback local.
Permitir ping entrante.
Permitir servicios tales como www y ssh.
Permisos en VPN.
Permitir conexiones locales y subredes privadas.
Permisos de envos de correos.
Entre otras reglas de seguridad.
SQUID
El Squid es una aplicacin de Proxy que se est ejecutando en cierto host con
acceso a la red, por ejemplo, Internet y a una red privada. El squid permite a los
clientes de dicha red privada, navegar en internet de forma controlada.
En resumen, el cliente no accede realmente a internet, sino que le solicita al proxy
lo que quiere, el proxy a su vez lo busca en Internet, lo transfiere, y luego se lo da
al cliente.
Squid:
Soporta muchsimos protocolos de aplicacin (o sea, HTTP, FTP, etc)
-
32
Tiene un avanzado mecanismo de autentificacin (o sea, a quien y cuando
permitimos utilizar el proxy).
Permite actuar como 'cache' de Internet, copiando contenido en forma local
para que se lo pueda acceder ms rpido (por ejemplo, animaciones flash).
DHCP
DHCP (Dynamic Host Configuration Protocol) es un conjunto de reglas para dar
direcciones IP y opciones de configuracin a ordenadores y estaciones de trabajo
en una red. Una direccin IP es un nmero que identifica de forma nica a un
ordenador en la red, ya sea en una red corporativa o en Internet.
Este protocolo puede entregar informacin IP en una LAN o entre varias VLAN.
Esta tecnologa reduce el trabajo de un administrador, que de otra manera tendra
-
33
que visitar todos los ordenadores o estaciones de trabajo uno por uno. Para
introducir la configuracin IP consistente en IP, mscara, gateway, DNS, etc.
DNS
Es una base de datos distribuida, con informacin que se usa para traducir los
nombres de dominio, fciles de recordar y usar por las personas, en nmeros de
protocolo de Internet (IP) que es la forma en la que las mquinas pueden
encontrarse en Internet.
Hay personas en todo el mundo manteniendo una parte de la base de datos, y
esta informacin se hace accesible a todas las mquinas y usuarios de Internet.
-
34
El servicio de DNS es indispensable para que un nombre de dominio pueda ser
encontrado en Internet.
www.toyotadecolombia.com.co en vez de 110.61.11.209
VPN
Realmente una VPN no es ms que una estructura de red corporativa implantada
sobre una red de recursos de carcter pblico, pero que utiliza el mismo sistema
de gestin y las mismas polticas de acceso que se usan en las redes privadas, al
fin y al cabo no es ms que la creacin en una red pblica de un entorno de
carcter confidencial y privado que permitir trabajar al usuario como si estuviera
en su misma red local.
-
35
SERVIDOR CORREO
CORREO WEBMAIL
El servidor de correo cuenta con una base dato y con los usuarios creados a los
cuales se les fue asignado un correo corporativo con el dominio
toyotadecolombia.com.co; se han creado cuenta para todo el personal de Toyota
y tambin para los concesionarios.
En este servidor se realiza el control de los correos, administracin de cuentas;
adems se encuentras otras configuraciones las cuales permiten el mejor
funcionamiento de los recursos que nos puede ofrecer este servidor.
Contamos con un servicio TOMCAT en el cual se encuentra toda la instancia
EXTRANET configurada y nuestro portal en internet
www.toyotadecolombia.com.co
Portal de correo de Toyota online
-
36
EXTRANET
El servicio de extranet es el encargado de recibir todos los pedidos de los
concesionarios y clientes Toyota.
Esta aplicacin fue desarrollada en genexus y montada en tomcat el cual es
sistema robusto que permite manipular gran cantidad de informacin y archivos
grandes, con altos ndices de seguridad.
PORTAL DE TOYOTA
El portal de Toyota est desarrollado en el gestor de contenidos joomla.
Es una aplicacin de cdigo abierto construida mayoritariamente en PHP bajo una
licencia GPL.
-
37
Esta aplicacin es fcil de manipular y los cambios que se deseen realizar son
fciles de gestionar sin crear impactos en configuracin y diseo.
SERVIDOR INTRANET
Para nuestra comunicacin interna se desarrollo algunos servicios como un chat
interno que facilite la comunicacin entre departamentos sin necesidad de
desplazamiento; tambin se encuentra configurado un servicio de Radius que
garantiza la seguridad de la red wifi de Toyota denominada TOYOTA_DATOS.
CHAT INTERNO
El chat interno es un servicio instalado para mejorar la comunicacin interna entre
reas de Toyota de Colombia; este servicio no consume recurso de canal ya que
es un servicio interno sin salida a internet.
-
38
SERVIDOR RADIUS
El servidor Radius es un servidor de autenticacin que nos permitir tener una
mayor seguridad; esto se hace con la autenticacin de los usuarios a travs de
sus cuentas en Toyota, de esta forma los equipos que traten de conectarse a la
red va wifi no lo podrn hacer a menos que sea usuarios autorizados.
-
39
ANEXO
-
40
IPTABLES #!/bin/bash # script para 'firewall' que tenga en cuenta OpenVPN. # eth1 est conectado a Internet. # eth0 est conectado a la subred privada. # Cambie esta subred para que se corresponda con su subred # ethernet privada. 'Casa' usar 10.0.1.0/24 y la # 'Oficina' usar 10.0.0.0/24. PRIVATE=192.168.10.0/24 IPADDR=XXX.XXX.21.210 IPWEB=XXX.XXX.21.211 IPMAIL=XXX.XXX.21.212 # Direccion de 'loopback': LOOP=127.0.0.1 # Borrar reglas iptables anteriores, # y temporalmente bloquear el trfico: iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F # Establecer las polticas por defecto: iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP # Evitar que los paquetes 'externos' usen la direccin de 'loopback': (Ojo) iptables -A INPUT -i eth1 -s $LOOP -j DROP iptables -A FORWARD -i eth1 -s $LOOP -j DROP iptables -A INPUT -i eth1 -d $LOOP -j DROP iptables -A FORWARD -i eth1 -d $LOOP -j DROP # Bloquear paquetes NetBios salientes (si tiene mquinas windows en # la subred privada). sto no afecta al trfico NetBios # que circula por el tnel VPN, pero detendr a las maquinas
-
41
# windows locales de mandar mensajes de broadcast # a Internet. iptables -A FORWARD -p tcp --sport 137:139 -o eth1 -j DROP iptables -A FORWARD -p udp --sport 137:139 -o eth1 -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o eth1 -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o eth1 -j DROP # Comprobar la validez de la direccin origen de los paquetes salientes a Internet: iptables -A FORWARD -s ! $PRIVATE -i eth0 -j DROP iptables -A FORWARD -i eth0 -s ! $PRIVATE -j DROP # Permitir 'loopback' local: iptables -A INPUT -s $LOOP -j ACCEPT iptables -A INPUT -d $LOOP -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT # Permitir pings entrantes (pueden deshabilitarse): iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Permitir servicios tales como www y ssh, en esta mquina: iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -p tcp --dport 8080 -j ACCEPT # Permite usar el 'proxy' desde la LAN: (O.K.) iptables -A INPUT -p tcp -i eth0 -s $PRIVATE --dport 3128 -j ACCEPT # Permitir paquetes entrantes a OpenVPN # Duplicar la lnea inferior por cada # tnel OpenVPN, cambiando --dport n # para que encaje con el puerto UDP de OpenVPN. # # En OpenVPN, el nmero de puerto se # control con la opcin --port n.
-
42
# Si pone esta opcin en el fichero de configuracin, # puede eliminar los caracteres iniciales '--' # # Si est usando el firewall con estado # (consulte el OpenVPN COMO), # entonces comente la lnea de abajo. iptables -A INPUT -p udp --dport 1194 -j ACCEPT # Permitir paquetes del dispositivo TUN/TAP. # Cuando OpenVPN est ejecutando en modo seguro, # autenticar los paquetes previos a # su llegada en el interfaz # tun o tap. Por lo tanto, no es # necesario aadir ningun filtro aqu, # a menos que quiera restringir el # tipo de paquete que puedan circular por # el tnel. iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -A FORWARD -i eth0 -p tcp --dport 80 -j DROP iptables -A FORWARD -i eth0 -p tcp --dport 443 -j DROP # Permitir paquetes de subredes privadas: iptables -A INPUT -i eth0 -j ACCEPT #iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp -d 192.168.70.10 \ -m state --state NEW,ESTABLISHED -j ACCEPT # Mantener el estado de las conexiones locales y las subredes privadas: iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state NEW -o eth1 -j ACCEPT
-
43
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Reenvos de correo y otros: iptables -t nat -A PREROUTING -p tcp -i eth1 \ -d 110.61.11.211 --dport pop3 -j DNAT \ --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 \ -d 110.61.11.211 --dport 2525 -j DNAT \ --to-destination 192.168.70.10 # Reenviar el acceso http a la direcin_virtual 211, hacia adentro: iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \ --dport 80 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \ --dport 443 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth1 -s 0/0 -d 110.61.11.211 \--dport 8080 -j DNAT --to-destination 192.168.70.10 iptables -t nat -A PREROUTING -p tcp -i eth0 -s $PRIVATE -d 110.61.11.211 \--dport 8080 -j DNAT --to-destination 192.168.70.10 # Enmascarar la subred local-privada, y el acceso desde 'afuera': iptables -t nat -A POSTROUTING -s $PRIVATE -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -d 192.168.70.101 -o eth0 -j MASQUERADE # Habilitar puerto 57 tcp y udp para permitir consultas de DNS: iptables -A INPUT -i lo -p tcp --dport 57 -j ACCEPT iptables -A INPUT -i lo -p udp --dport 57 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 57 -j ACCEPT iptables -A INPUT -i eth1 -p udp --dport 57-j ACCEPT iptables -A FORWARD -i eth0 -s $PRIVATE -p tcp --dport 57 -j ACCEPT iptables -A FORWARD -i eth0 -s $PRIVATE -p udp --dport 57 -j ACCEPT #trafico que da a internet log iptables -A FORWARD -j LOG
-
44
SQUID.CONF
Debido a que el archive de configuracin es tan extensor solo se muestra los acl y los http.
#acl macaddress arp 09:00:2b:23:45:67 #acl myexample dst_as 1241 #acl password proxy_auth REQUIRED #acl fileupload req_mime_type -i ^multipart/form-data$ #acl javascript rep_mime_type -i ^application/x-javascript$ # #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl local_lan src 192.168.70.0/24 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 404 442 443 444 8082 8443 acl SSL_ports port 50 51 57 264 500 2746 #acl Safe_ports port 110 #acl safe_ports port 8443 #acl safe_ports port 500 #acl safe_ports port 2746 #acl safe_ports port 264 #acl safe_ports port 51 #acl safe_ports port 50
-
45
#acl safe_ports port 57 acl safe_ports port 2000 acl safe_ports port 200 acl CONNECT method CONNECT acl sitios dstdom_regex -i "/etc/squid/data/sitios" acl varios dstdom_regex -i "/etc/squid/data/varios" acl msnmime req_mime_type ^application/x-msn-messenger acl msngw url_regex -i gateway.dll acl multimedia urlpath_regex -i \.mp3$ \.avi$ \.wma$ \.wav$ \.ogg$ \.flag$ \.acc$ \.wma$ \.asf$ \.mpg$ \.flv$ acl deny_rep_mime_type rep_mime_type radio/ogg
# TAG: follow_x_forwarded_for # Allowing or Denying the X-Forwarded-For header to be followed to # find the original source of a request. # # Requests may pass through a chain of several other proxies # before reaching us. The X-Forwarded-For header will contain a # comma-separated list of the IP addresses in the chain, with the # rightmost address being the most recent. # # If a request reaches us from a source that is allowed by this # configuration item, then we consult the X-Forwarded-For header # to see where that host received the request from. If the # X-Forwarded-For header contains multiple addresses, and if # acl_uses_indirect_client is on, then we continue backtracking # until we reach an address for which we are not allowed to # follow the X-Forwarded-For header, or until we reach the first # address in the list. (If acl_uses_indirect_client is off, then # it's impossible to backtrack through more than one level of # X-Forwarded-For addresses.) # # The end result of this process is an IP address that we will # refer to as the indirect client address. This address may # be treated as the client address for access control, delay # pools and logging, depending on the acl_uses_indirect_client, # delay_pool_uses_indirect_client and log_uses_indirect_client # options. # # SECURITY CONSIDERATIONS: # # Any host for which we follow the X-Forwarded-For header # can place incorrect information in the header, and Squid # will use the incorrect information as if it were the
-
46
# source address of the request. This may enable remote # hosts to bypass any access control restrictions that are # based on the client's source addresses. # # For example: # # acl localhost src 127.0.0.1 # acl my_other_proxy srcdomain .proxy.example.com # follow_x_forwarded_for allow localhost # follow_x_forwarded_for allow my_other_proxy # #Default: # follow_x_forwarded_for deny all # TAG: acl_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in acl matching. # #Default: # acl_uses_indirect_client on # TAG: delay_pool_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in delay pools. # #Default: # delay_pool_uses_indirect_client on # TAG: log_uses_indirect_client on|off # Controls whether the indirect client address # (see follow_x_forwarded_for) is used instead of the # direct client address in the access log. # #Default: # log_uses_indirect_client on # TAG: http_access # Allowing or Denying access based on defined access lists # # Access to the HTTP port: # http_access allow|deny [!]aclname ... # # NOTE on default values: # # If there are no "access" lines present, the default is to deny # the request.
-
47
# # If none of the "access" lines cause a match, the default is the # opposite of the last line in the list. If the last line was # deny, the default is allow. Conversely, if the last line # is allow, the default will be deny. For these reasons, it is a # good idea to have an "deny all" or "allow all" entry at the end # of your access lists to avoid potential confusion. # #Default: # http_access deny all # #Recommended minimum configuration: # # Only allow cachemgr access from localhost http_access deny varios http_access deny sitios http_access deny msnmime http_access deny msngw http_reply_access deny deny_rep_mime_type http_access allow !multimedia http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # Example rule allowing access from your local networks. Adapt # to list your (internal) IP networks from where browsing should # be allowed #acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access allow our_networks # And finally deny all other access to this proxy http_access allow local_lan http_access allow localhost http_access deny all # TAG: http_access2
-
48
# Allowing or Denying access based on defined access lists # # Identical to http_access, but runs after redirectors. If not set # then only http_access is used. #
DHCPD.CONF
ddns-update-style interim;
ignore client-updates;
subnet 192.168.71.0 netmask 255.255.255.0 {
# --- default gateway
#-- option routers 131.1.20.1;
option routers 192.168.71.1;
option subnet-mask 255.255.255.0;
#option nis-domain "domain.org";
option domain-name "toyotadecolombia.com.co";
#option netbios-name-servers 192.168.1.100;
option domain-name-servers 192.168.70.1, XXX.XXX.200.2, XXX.XXX.200.79;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.1.1;
# option netbios-name-servers 192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
-
49
# -- you understand Netbios very well
# option netbios-node-type 2;
range dynamic-bootp 192.168.70.40 192.168.70.254;
default-lease-time 21600;
max-lease-time 43200;
# we want the nameserver to appear at a fixed address
# host ns {
# next-server marvin.redhat.com;
# hardware ethernet 12:34:56:78:AB:CD;
# fixed-address 207.175.42.254;
# }
}
-
50
DNS
NAMED.CONF
//acl rumbo { // 200.68.151.16; // 200.68.151.12; // 200.68.151.20; // }; // generated by named-bootconf.pl // secret must be the same as in /etc/rndc.conf key "key" { algorithm hmac-md5; secret "eJlTiKfIvjSSDUbC3cGlbHKAoLj2gJbhAxNWaY58BuIweXjlY7dWsJdVHl5o"; // secret "iwUZq+fyWWL/dyZ/m01YNQ=="; }; // secret "iuBnRgYSAojmccU6Dq70XA=="; controls { inet 127.0.0.1 allow { any; } keys { "key"; }; }; options { pid-file "/var/run/named/named.pid"; directory "/var/named"; // recursion no; // allow-recursion { 200.2.64.3; 200.2.64.14; } ; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */
-
51
// query-source address * port 53; }; logging { category lame-servers { null; }; }; acl trusted-servers { XXX.XXX.XXX.XXX; //ns2 XXX.XXX.XXX.XXX; //ns3 }; // // a caching only nameserver config // zone "." { type hint; file "named.ca"; }; zone "dominio.com.co" { type master; file "named.dominio"; allow-transfer { trusted-servers; }; }; zone "21.XXX.XXX.in-addr.arpa" { type master; file "toyotadecolombia.rev"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; };
-
52
-
53