Title | Dise o de red CCDA para el sistema y todo lo que hay que hacer |
---|---|
Author | Anonymous User |
Course | Redes Inalámbricas |
Institution | Duoc UC |
Pages | 66 |
File Size | 2.9 MB |
File Type | |
Total Downloads | 340 |
Total Views | 814 |
Profesor Patrice GarroDiseño de Redes CCDA, Sección 002DDiseño RedClínica Los OlmosFranco BrevisBastian MartinezMorryson CorreaBastián Martínez Morryson CorreaBastián MartínezBastián Martínez Morryson Correa Introducción Índice Medida Medida Medida Medida Glosario HSRP VPN (Virtual Private Network) ...
Profesor Patrice Garro Diseño de Redes CCDA, Sección 002D
Diseño Red Clínica Los Olmos
Franco Brevis Bastian Martinez Morryson Correa
Franco Brevis Bastián Martínez Morryson Correa
Índice Introducción
5
Medida 1
7
Medida 2
7
Medida 3
7
Medida 4
8
Glosario
9
HSRP
9
VPN (Virtual Private Network)
9
IPsec (abreviatura de Internet Protocol security)
9
VPN Site-to-site
9
GLBP
10
AnyConnect
10
Balanceo de Carga
10
Firewall
11
Zonas de seguridad
11
SSH
12
NAT
12
Granjas de servidores
12
Etherchannel
12
Cross-Stack
13
Detalles puntos de red
14
DetaSheet de equipos Nuevos
15
Diseño de la red WAN
19
Ancho de banda
20
Tecnología MPLS
21
Velocidad de transferencia
22
Disponibilidad de servicio
22
Direccionamiento
24
DHCP
24
DHCP Snooping
24
Servidor de DHCPv6 con estado
25
Tabla de direccionamiento
25
Enrutamiento
27 1
Franco Brevis Bastián Martínez Morryson Correa
Switch Virtual Interface (SVI):
27
OSPF
28
Area 0
28
Area 1, Area 2 y Area 3
28
Area 4, Area 5 y Area 6
28
EL DR.
28
ABR y ASBR
29
BGP
29
¿Cómo Funciona el BGP?
29
iBGP y eBGP
30
Telefonía IP
30
¿Qué es la telefonía IP?
30
Las ventajas de la telefonía IP
31
Reducción de costos
31
Más aplicaciones y posibilidades
31
Portabilidad
31
Modelo de teléfono IP
32
Requerimientos y equipamiento
34
Sistema Operativo
34
Lista de Anexos
34
Sistema de teleconferencia
36
Wireless Network
37
CSMA / CA
37
CSMA / CD
37
Site Survey
38
Servidor Radius
39
Puesta en funcionamiento de un servidor Radius
39
Wi-Fi 802.11
39
Modos de funcionamiento Portal cautivo (Hotspot) El portal cautivo y su importancia
39 40 40
Monitor y controlador Wireless
41
Cantidad de AP
42
Planos de ubicaciones de AP
43 2
Franco Brevis Bastián Martínez Morryson Correa
Sistemas de Gestión la Seguridad de la Información
48
Ejes de seguridad informática
48
ISO 27001
48
ISO 9001
48
Malwarebytes Healthcare
49
Malware
49
Ransomware
49
Ataques de botnets
49
Negligencias de los empleados
49
Ataques a dispositivos
49
Exploits
50
Políticas de seguridad de la información usuarios
51
Plan de contingencia
52
Seguridad Lógica
52
Políticas de seguridad de la información Data Center
53
Seguridad Física
53
Seguridad física en equipos Seguridad Lógica Ciclo de Software
53 53 54
Desarrollo
54
Pruebas
54
Producción
54
3
Franco Brevis Bastián Martínez Morryson Correa
Ilustraciones Ilustración 1: Modelo actual de la red.....................................................................................4 Ilustración 2: Modelo de tres capas CISCO............................................................................5 Ilustración 3: Zonas de seguridad en una red.........................................................................6 Ilustración 4: Propuesta para caso 2......................................................................................7 Ilustración 5: Implementación de GLBP.................................................................................9 Ilustración 6: Detalles de zonas de seguridad......................................................................10 Ilustración 7: Implementación de EtherChannel Cross-Stack...............................................12 Ilustración 8: Topología Caso 3............................................................................................17 Ilustración 9: Nodo Actual hacía internet..............................................................................18 Ilustración 10: Tecnología MPLS a implementar...................................................................20 Ilustración 11: Topología a grandes rasgos..........................................................................22 Ilustración 12: Asignación automática IP..............................................................................23 Ilustración 13: Seguridad de puerto......................................................................................23 Ilustración 14: Asignación IPv6.............................................................................................24 Ilustración 15: Configuración sobre SVI...............................................................................26 Ilustración 16: Router designado OSPF...............................................................................27 Ilustración 17: iBGP y eBGP.................................................................................................29 Ilustración 18: Teléfono IP gama alta....................................................................................31 Ilustración 19: Teléfono IP media gama................................................................................32 Ilustración 20: Teléfono IP gama baja...................................................................................32 Ilustración 21: SO a implementar para comunicaciones.......................................................33 Ilustración 22: Sistema de teleconferencias.........................................................................35
4
Franco Brevis Bastián Martínez Morryson Correa
Introducción Se deberán realizar análisis respecto a la calidad de servicio de la red de la clínica Los Olmos, la cual cuenta con 15 edificios más cinco clínicas remotas pequeñas. Se propondrán mejoras respecto de las configuraciones además del equipamiento de acuerdo a los requerimientos de la clínica, de ser necesario, si la clínica lo requiere se realizarán reuniones para validar las configuraciones propuestas, además se generará un informe de red cuyo formato y contenido deberá ser validado por la clínica que contenga propuestas de cambios, las justificaciones para cada caso y los resultados de las reuniones. Se han considerado una serie de medidas a implementar para mejorar la actual infraestructura de la red. A continuación, estarán identificadas y explicadas para una clara comprensión de las mejoras a implementar, para solucionar una serie de peticiones por parte de Clínica Los Olmos. Existe una moda a nivel nacional y de empresas a no tener cuidados con la red, considerándola como un simple camino de tuberías, a pensar que todo lo que se debe tener en cuenta es el tamaño de los tubos o las velocidades y la alimentación de las conexiones, con lo cual al resto no se le da la menor importancia.
Ilustración 1: Modelo actual de la red
5
Franco Brevis Bastián Martínez Morryson Correa
El primer paso es organizar la actual red de Clínica los Olmos a un modelo de capas que es estándar definido por Cisco, este desglose del diseño en capas permite a cada una implementar funciones específicas, lo que simplifica el diseño de red y, por lo tanto, la implementación y administración de la red. Un diseño de red LAN jerárquico incluye las siguientes tres capas: • Capa de acceso: ofrece a los terminales y usuarios acceso directo a la red. • Capa de distribución: une las capas de acceso y ofrece conectividad a los servicios. • Capa central: ofrece conectividad entre las capas de distribución para entornos de LAN grandes.
Ilustración 2: Modelo de tres capas CISCO
Por ende este modelo de infraestructura se considera fundamental para facilitar la escalabilidad de Clínica Los Olmos.
NOTA: A continuación se redactarán cada una de las soluciones a las problemáticas planteadas.
6
Franco Brevis Bastián Martínez Morryson Correa
Medida 1 Requerimiento: El personal necesita acceso a Internet para la compra de suministros y la revisión de documentos de investigación y nuevos productos médicos. Implementación: Un enlace de internet a un proveedor de servicios no es suficiente, por ende, un segundo proveedor será contratado y se mantendrá una segunda línea de respaldo, en caso de que falle la primera, la segunda ocupará su lugar. Esto se puede conseguir implementando HSRP, que trabaja de la manera señalada anteriormente.
Medida 2 Requerimiento: Ha habido una cierta discusión acerca de permitir a los empleados trabajar a distancia. Implementación: La configuración de un túnel VPN será crucial para solucionar de buena manera éste problema, porque una VPN permite a cualquier usuario desde cualquier lugar (incluyendo las oficinas remotas), conectarse a la red de Clínica Los Olmos. Ésto facilitará observar documentos, radiografías, etc. implementando Cisco AnyConnect en el pc del usuario.
Medida 3 Requerimiento: “Clínica Los Olmos” tiene un servidor web para una comunicación del paciente y el servicio de relaciones comunitarias denominadas “Texto en una enfermera.”; Esto para la tarifa de servicio permite a un paciente para enviar un mensaje de texto al hospital, solicitar asistencia médica.
Implementación: Lo redactado en el documento anterior sobre la reubicación de la Granja de servidores al séptimo piso de la TORRE_P1 es solo una parte de la restructuración, ya que también se debe acondicionar según estándares de Data Center. Pero para brindar una seguridad al acceso al sitio web, se definirán tres zonas, INSIDE, OUTSIDE y DMZ, según estándar de Cisco. Ésta distribución aplicará un nivel de seguridad para la plataforma de servidores, al personal que trabaja dentro de la organización y finalmente al usuario. Cada zona será definida en el firewall ubicado en el Edge Enterprise. Ilustración 3: Zonas de seguridad en una red
7
Franco Brevis Bastián Martínez Morryson Correa
Medida 4 Las siguientes infraestructuras o servicios de red serán aplicaciones inmediatas al diseño de red: Servicio de Seguridad: Los servicios de seguridad serán una parte fundamental del inicio de nuestra nueva topología, ya que la anterior carecía totalmente de ésta, por ende los datos y casos de los pacientes estaban expuestos a posibles ataques informáticos. Gestión de la red: Para la gestión correcta de la red se levantara el protocolo SSH en todos los equipos cisco (Switch layer 3, Switch series 5500, Router ISP, Router Enterprise y Firewall). Esto facilitará las labores de gestión en toda la red de Campus y Remota. Alta disponibilidad: La redundancia, la disposición permanente de la red y sus enlaces asegura una alta tolerancia a fallos, es por ello que se utilizarán los protocolos HSRP y GLBP de capa 3 para la red.
Ilustración 4: Propuesta para caso 2
8
Franco Brevis Bastián Martínez Morryson Correa
Glosario
HSRP Cisco proporciona una forma donde las estaciones de trabajo IP admiten sólo un router predeterminado para mantener la comunicación en la internetwork incluso si su router predeterminado no está disponible, HSRP funciona creando un router virtual que tiene sus propias direcciones IP y MAC. Las estaciones de trabajo utilizan esta dirección IP virtual como su puerta de enlace predeterminada.
VPN (Virtual Private Network) Es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
IPsec (abreviatura de Internet Protocol security) Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado, este brinda ventajas como confidencialidad, integridad de los datos y autenticación.
VPN Site-to-site Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha.
9
Franco Brevis Bastián Martínez Morryson Correa
GLBP El tráfico de datos es protegido de un router o circuito fallido, al igual que HSRP, al mismo tiempo, permite el intercambio de carga de paquetes entre un grupo de routers redundantes.
Ilustración 5: Implementación de GLBP
AnyConnect El cliente de Cisco AnyConnect Secure Mobility para Windows proporciona acceso remoto seguro y sin problemas a la red universitaria. AnyConnect permite que cualquier aplicación instalada pueda comunicarse, tal y como si se encontrara conectado directamente a la red.
Balanceo de Carga La mayoría de los protocolos de enrutamiento IP pueden utilizar cargas a través de enlaces paralelos que tienen el mismo costo, para soportar el equilibrio de carga, se debe mantener el ancho de banda consistente para que todos los caminos tengan el mismo costo.
10
Franco Brevis Bastián Martínez Morryson Correa
Firewall Un cortafuego (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Zonas de seguridad En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) o red perimetral es una zona insegura que se ubica entre la red INSIDE de una organización y una red OUTSIDE, generalmente en Internet. La zona de seguridad DMZ tendrá un nivel de seguridad que se encuentra entre el INSIDE y el OUTSIDE. Esto significa que: ● ● ● ● ● ●
Se permite el tráfico desde el INSIDE hacia el OUTSIDE. Se permite el tráfico desde el INSIDE a DMZ. Se permite el tráfico de DMZ a OUTSIDE. Se niega el tráfico de DMZ al INSIDE. Se niega el tráfico de OUTSIDE a DMZ. Se niega el tráfico de OUTSIDE al INSIDE.
Ilustración 6: Detalles de zonas de seguridad
11
Franco Brevis Bastián Martínez Morryson Correa
SSH SSH™ (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas.
NAT NAT (del inglés Network Address Translation), es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones ip incompatibles. Consiste en convertir, en tiempo real, las direcciones ip utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones ip dentro de la conversación del protocolo.
Granjas de servidores Servidores de correo, servidor de archivo y base de datos. El acceso es rápido, fiable y controlado.
Etherchannel Permite la agrupación lógica de varios enlaces físicos Ethernet, esta agrupación es tratada como un único enlace y permite sumar la velocidad nominal de cada puerto físico Ethernet usado y así obtener un enlace troncal de alta velocidad.
12
Franco Brevis Bastián Martínez Morryson Correa
Cross-Stack EtherChannel Cross-stack. A veces puede crear un EtherChannel a través de dos switches. Por ejemplo, cuando se stackean 2 o más switches, estos mismos se convierten en una sola entidad lógica y cada switch físico actúa como un centro de proceso.
Ilustración 7: Implementación de EtherChannel Cross-Stack
13
Franco Brevis Bastián Martínez Morryson Correa
NOTA: A continuación, se redactarán una serie de detalles acerca del proyecto.
Detalles puntos de red
La cantidad de puertos de cada switch que se requiere para la capa de acceso, distribución y núcleo es la que se presenta en la tabla. Más abajo se encuentran organizadas las vlan y a continuación los correspondientes “data sheet” de cada producto cisco: Locación
Cantidad de Pisos Puerto x piso
Puertos de Total de Puertos reserva SW x piso Aproximadamente puntos (40%)
Edificio T1
75
6
450
180
630
2,19
3
Server Farm
70
1
70
28
98
2,04
3
Edificio T2
75
7
525
210
735
2,19
3
Pediatría
60
3
180
72
252
1,75
2
E Pequeño (4) 10
1
10
4
14
0,29
1
E Pequeño (6) 20
2
40
16
56
0,58
1
E Pequeño (2) 40
1
40
16
56
1,17
2
Total de puntos
1841
VLAN
N°
99 Administración – Nativa 10 Pacientes 20 Pacientes Wi-Fi 100 Emergencia 110 Consultorios 120 Información y Recepción 130 Laboratorios 140 Farmacia 150 Trabajo Social 160 Rayos X 170 Mamografía 180 Ecografía 190 Densitometría 200 Estación de enfermería 210 Comedor 240 Centro de pago
14
Franco Brevis Bastián Martínez Mo...