UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Nombre del proyecto: ACTUALIZACIÓN DEL SISTEMA DE COMUNICACIÓN WIRELESS Empresa: GRUPO DICE, S.A. DE C.V. Memoria que como parte de los requisitos para obtener el título de: INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN Presenta: GUERRERO AVILA ALONSO. Asesor de la UTEQ Asesor de la Organización Ing. Adriana Yazmín Contreras Álvarez. Ing. Pedro Luis Gómez Salinas. Santiago de Querétaro, Qro. mayo del 2014

2 Resumen El proyecto Actualización del sistema de comunicación Wireless tiene como objetivo principal implementar un nuevo sistema de comunicación y administración inalámbrica de voz y datos dentro de la empresa GRUPO DICE para mejorar la comunicación, el servicio de correo electrónico e internet entre la sucursal Querétaro y el Corporativo, con la tecnología de administración en la nube de CISCO Meraki. El proyecto consistió en cambiar los access point CISCO Aironet, los cuales en la sucursal local y corporativo son administrados de forma autónoma. Los equipos nuevos que se configuraron e instalaron son un appliance de seguridad, los puntos de acceso Meraki, y las licencias para cada uno los equipos. Los dispositivos fueron montados y conectados en el rack de comunicaciones como cualquier otro equipo de red. En el apliance de seguridad es donde se realizan las configuraciones de filtrado de contenido, denegación de servicios, políticas de seguridad, reglas de firewall y anchos de banda. La configuración y administración se realiza remotamente, solo con una conexión a internet. El hardware utilizado en el desarrollo del proyecto es una mezcla de Cisco tradicional y Cisco Meraki, algunos de los elementos ya estaban instalados en la empresa y el resto se adquirieron para migrar la red inalámbrica. Las configuraciones de firewall se realizaron en el dashboard en la página de Meraki. Igual en esta misma página se configuraron las reglas de seguridad de capa 3 y capa 7. Las reglas de seguridad permitieron y denegaron especificaciones de Listas de Control de Acceso, que determinaron qué trafico pasa de la LAN hacia internet y viceversa. Los resultados fueron que logró implementar la nueva 2

3 tecnología Wireless de Cisco Meraki basada en la administración en la nube, cubriendo así con mejorar la calidad en el servicio de internet y voz. Se optimizó la comunicación entre el corporativo y la sucursal, agilizando los procesos internos de la empresa, con fiabilidad de que los datos viajan de forma segura a través de internet, y que cuando la información llega o sale de cualquier host, ésta es analizada de manera detallada para evitar ataques, spam y detección de intrusos. (Palabras clave: access point, nube, seguridad, configuración, appliance) 3

4 Summary I finished my internship in GRUPO DICE S.A. DE C.V. which is a wholesale company that is dedicated to the sale of telecommunications equipment, number 1 in Latin America. I worked as a Networking Support and CISCO brand purchases at the branch office in the sales department with five other employees. I was responsible for the appropriate operation of the network. Also, I helped the sellers in the quotes and I analyzed the track of the projects. Here, I learned about the characteristics of the different brands and equipment used according to the customer needs. I worked under the supervision of Pedro Luis Gómez Salinas, manager of the branch office in Querétaro; who is always willing to help employees to improve. GRUPO DICE offers a good work environment and I enjoyed working there since people are friendly and supportive. 4

5 Dedicatorias A mi mamá, por ser el pilar de nuestra pequeña familia y demostrarme que con trabajo todo se logra, que no importa de dónde vengas, ni las condiciones en las que vivas. Porque me enseñó a no quejarme nunca del trabajo, ser siempre optimista, a levantarme cada mañana y ver hacia adelante. A mi hermana, por ser una de las personas que me inspiran a luchar cada día, porque me visualiza como su ejemplo y porque yo quiero serlo, que no ve a nadie más que a mí como la persona a la que ella quiera llegar a ser. Porque me exige, porque yo quiero tener siempre una respuesta para ella y me asegura que confía en mí siempre. A mí, porque este camino llega a un fin temporal, porque me siento orgulloso de haberme codeado con personas de alto nivel intelectual a lo largo de toda la carrera y haber sobresalido. Porque una de mis misiones en la vida está cumplida tal como yo quería, en el momento adecuado y rodeado de las personas que más amo y estimo. 5

6 Agradecimientos A mi familia completa, a mi mamá por el esfuerzo que hizo al mostrarme que en esta vida ningún logro se disfruta sin muchos sacrificios. A mis abuelos que me han permitido vivir en su casa por más de 22 años y la felicidad que muestran cuando me ven llegar. A mis tíos porque sé que aunque no me lo dicen me apoyan a su manera, con un palmada o deseándome que me valla bien cada fin de semana. A mis primos y amigos por estar en los momentos en los que los necesite y siempre mostrarme que la vida se vive cada momento, no importando el lugar y con las personas que te rodean. A las personas que me tendieron la mano y me dieron trabajo a lo largo de estos 4 años que llegue a vivir a la cuidad. Por la mano dura, regaños y llamadas de atención que me ayudaron a madurar y a enfrentarme al mundo laboral. Porque me enseñaron que el compromiso es con uno mismo, con la empresa, con la sociedad y con un país. 6

7 Índice Resumen. 2 Summary. 4 Dedicatorias 5 Agradecimientos. 6 Índice 7 I. INTRODUCCIÓN 8 II. ANTECEDENTES.. 9 III. JUSTIFICACIÓN. 10 IV. OBJETIVOS 11 V. ALCANCE 12 VI. ANÁLISIS DE RIESGOS VII. FUNDAMENTACIÓN TEÓRICA.. 27 VIII. PLAN DE ACTIVIDADES.. 32 IX. RECURSOS MATERIALES Y HUMANOS 36 X. DESARROLLO DEL PROYECTO XI. RESULTADOS OBTENIDOS XII. CONCLUSIONES Y RECOMENDACIONES. 64 XIII. ANEXOS XIV. BIBLIOGRAFÍA 7

8 I. INTRODUCCIÓN El siguiente proyecto muestra cómo implementar una nueva comunicación inalámbrica que es capaz de mejorar el servicio de internet y comunicación entre la matriz y las sucursales en la empresa GRUPO DICE. Empresa 100% Mexicana. Fundada en 1988, es líder en la distribución de productos y soluciones competitivas e innovadoras a medida de las necesidades del negocio de sus clientes en el ámbito de equipo para Redes de Telecomunicaciones del más alto nivel. El proyecto integra propuestas reales y modernas que son capaces de operar en cualquier entorno relacionado con tecnología Wireless y la administración en la nube. El proyecto contempla mejorar el hardware actual con el que cuenta la empresa y la administración de la red. La memoria técnica de este proyecto es requisito fundamental para obtener el título de: Ingeniero en Tecnologías de la Información y Comunicación. El proyecto tiene como objetivo implementar un nuevo sistema de comunicación y administración inalámbrica de voz y datos dentro de la empresa para mejorar la comunicación entre la sucursal local y el corporativo con la tecnología de administración de red y dispositivos inalámbricos a través de la nube. 8

9 II. ANTECEDENTES A GRUPO DICE sus 25 años de experiencia en el mercado, le han aportado un alto conocimiento del sector y desarrollo de negocio a sus integradores y le han permitido llevar a cabo un fuerte crecimiento en ventas y capital humano. Es por esta razón que la empresa se exige estar a la vanguardia de las nuevas tecnologías y de los nuevos estándares de comunicación que abarcan una mayor velocidad en la transmisión de datos. La empresa cuenta con un cuarto de comunicaciones que conecta a los host y periféricos de manera alámbrica e inalámbrica a la LAN y al corporativo. Un 60% de los empleados se conectan a la red inalámbrica, que está conformada en varios puntos de acceso CISCO AIRONET para interiores y administrados de forma autónoma, es decir, que para configurar cada punto de acceso es necesario conectarse a él por un cable de consola o un explorador web a través de su dirección IP. Los puntos de acceso CISCO AIRONET cuentan con una amplia cobertura, soportan varias aplicaciones y escasas opciones de seguridad avanzada y basada en estándares. Por otro lado, existen una gran cantidad de aplicaciones que de las cuales aún no se tiene control de administración sobre ellas y la seguridad basada en estándares ya no cubre por completo el denegar o permitir los servicios de dichas aplicaciones. 9

10 III. JUSTIFICACIÓN Los dispositivos CISCO MERAKI administrados a través de la nube traen simplicidad a las redes de clase empresarial. Con puntos de acceso de red inalámbrica, switches y dispositivos de seguridad gestionados de forma centralizada desde la nube, MERAKI ofrece a los administradores de red visibilidad y control, sin el costo y la complejidad de las arquitecturas de redes tradicionales. Además la administración de los puntos de acceso a través de la nube permite que las aplicaciones y servicios sean administrados de una manera más minuciosa, siendo capaz, al contario de los puntos de acceso CISCO AIRONET, de denegar servicios por cada módulo de cada aplicación, administrar el ancho de banda por usuario y por aplicación, el filtrado de contenido en todo momento, denegar el acceso a los usuarios aunque ya hayan estado registrados antes, y adicional a estas características, la tecnología de MERAKI permite detectar problemas de conexión, desde un error en la autenticación hasta saber si el patch cord está dañado o desconectado. 10

11 IV. OBJETIVOS Implementar un nuevo sistema de comunicación y administración inalámbrica de voz y datos dentro de la empresa GRUPO DICE para mejorar la comunicación, el servicio de correo electrónico e internet entre la sucursal Querétaro y el Corporativo, con la tecnología de administración de red y dispositivos inalámbricos a través de la nube de CISCO MERAKI y usando las aplicaciones del servidor de dominio de correo electrónico. Objetivos específicos: Conectar el servicio de internet inalámbrico de una forma segura y rápida dentro de la empresa. Administrar, permitir o denegar, los accesos a la LAN empresarial y al servicio de internet. Mejorar la comunicación de voz y datos entre el corporativo y sucursal Querétaro. Realizar llamadas desde la interfaz de correo electrónico entre los usuarios de la sucursal Querétaro. 11

12 V. ALCANCE El proyecto de actualización del sistema de comunicación Wireless se desarrollará en un periodo de 4 meses, comenzando el mes de enero y concluyendo a principios del mes de abril. El proyecto consta de las siguientes partes: Cambio de hardware de comunicación inalámbrica CISCO AIRONET por CISCO MERAKI. Configuración dominio de correo electrónico empresarial e instalación de hardware de voz. En la primera parte se cambiarán los Access Point autónomos CISCO Aironet, por la administración Cloud de CISCO MERAKI. Los puntos de acceso de CISCO en la sucursal local y corporativa son administrados de forma autónoma, es decir, cada uno cuenta con su propia configuración. Para cambiar los Aironet a MERAKI, primeramente es necesario adquirir los equipos. Los equipos necesarios son un Appliance, los puntos de acceso MERAKI y las Licencias para todos los equipos. La configuración y administración de los puntos de acceso se lleva a cabo en la nube, ahí se configuran los anchos de banda, la banda de frecuencia, se controlan los accesos y se permiten o deniegan los servicios. Los puntos de acceso se auto instalan para buscar su IOS y cargar su configuración. Una vez conectados los puntos de acceso a la nube para su administración, estos fungen como puentes, donde su trabajo es reenviar la información y el que realiza el trabajo de seguridad y comunicación es el Appliance. El Appliance siempre está conectado a la nube, por lo que su administración puede hacerse remotamente, 12

13 solo con una conexión a internet. Esta parte contempla documentar la configuración del Appliance y de los puntos de acceso, así como el segmento de la red que se utilizará. La instalación de los puntos de acceso se llevará a cabo solo en la matriz de la empresa y en la sucursal de Querétaro, el dispositivo de administración será colocado en el área de sistemas de la empresa. Esta parte del proyecto se estima en realizarse 8 semanas. En la segunda parte se configurará e instalar el software y hardware necesario para que los miembros de la empresa puedan realizar llamadas desde la interfaz de correo electrónico, sin la necesidad de descolgar el un teléfono. Primeramente se instalará el software del servidor de correo electrónico para realizar llamadas. Después se configurará y conectará el hardware de telefonía. El proyecto contempla como primera fase la comunicación de la sucursal local a través del dominio empresarial. Posteriormente se hará la configuración de hardware para que puedan realizarse llamadas a otros dominios empresariales de correo electrónico y teléfonos fijos. Esta parte contempla documentar la configuración de las aplicaciones y directorios de llamadas. La configuración del correo electrónico para realizar llamadas será solo en la sucursal de Querétaro. Esta parte del proyecto se estima en realizarse 4 semanas. 13

14 VI. ANÁLISIS DE RIESGOS Este módulo del presente documento contienen la información necesaria para la gestión de los riesgos que puedan presentarse antes y durante el desarrollo del proyecto de actualización del sistema de comunicación Wireless, de tal manera que se pueda conocer la severidad de los mismos y proponer acciones de tratamiento para cada uno de los riesgos identificados. La tabla 6.1 muestra la metodología que se utiliza para la gestión de riesgos. 14

15 Proceso de gestión de Descripción Herramientas Fuentes de información riesgos 1) Identificación Se realiza un análisis Formato de La información se de los riesgos minucioso por cada análisis de obtiene de parte de una de las fases del riesgos. las personas proyecto para involucradas en el identificar qué riesgos pueden afectar el proyecto y documentar proyecto y los procesos que se realizan. sus características. 2) Planificación Se define una Formato de La información se de respuesta a respuesta concreta a registro de obtiene de los los riesgos riesgos y la forma en riesgos. resultados del que se lleva a cabo su análisis de riesgos. ejecución. 3) Comunicación Se presentan los Medios de La información se de los riesgos riesgos a las personas comunicación obtiene del formato involucradas en el acordados con de registro de proyecto por los las personas riesgos. medios apropiados involucradas en con el objetivo de el proyecto. 15

16 informar el estado y las acciones a tomar. Tabla 6.1 Metodología de riegos El diagrama 6.2 muestra la categorización de los riesgos según el ambiente empresarial y las diferentes áreas de negocio involucradas en el desarrollo del proyecto. La tabla 6.3 muestra la categorización de los riesgos según el nivel de riesgo. ACTUALIZACIÓN DEL SISTEMA DE COMUNICACIÓN WIRELESS Técnico Externo Tecnología Complejidad Desempeño Calidad Normatividad Proveedores Organizacional Dirección Dependencias Recursos Priorización Planificación Comunicación Diagrama 6.2 Categorización de los riesgos Nivel de Descripción 16

17 riesgo En esta categoría se encuentran aquellos riesgos que hayan obtenido una Bajo calificación entre 0% y 35% resultante de la evaluación riesgos. En esta categoría se encuentran aquellos riesgos que hayan obtenido una Medio calificación mayor al 35% y evaluación riesgos. menor o igual a 75% resultante de la En esta categoría se encuentran aquellos riesgos que hayan obtenido una Alto calificación mayor al 75% y menor o igual a 100% resultante de la evaluación riesgos. Tabla 6.3 Categorización de los riesgos La tabla 6.4 define la probabilidad e impacto de los riesgos, y la tabla 6.5 la respuesta al riego y el tipo de tratamiento que se va a da aplicar. Probabilidad Impacto N/A: (0%) El evento no puede ocurrir bajo ninguna N/A: (0%) El riego no tiene ningún impacto en el proyecto. circunstancia. Baja: (15%): El evento de riesgo puede ocurrir en algún momento bajo determinadas circunstancia. Bajo: (15%): Inconveniencia menor, pequeñas pérdidas de tiempo y financieras, el proyecto se ve poco afectado. 17

18 Media: (35%): El evento de riesgo Medio: (35%): Moderadas pérdidas ocurrirá en algún momento financieras y la interrupción del proyecto tomando en cuenta que ya se por corto tiempo. presentó una vez. Alta: (50%): El evento de riesgo se espera que ocurra en repetidas ocasiones. Alto: (50%): Excesivos daños, altas pérdidas financieras y la interrupción prolongada o total del proyecto. Tabla 6.4 Probabilidad e impacto Tipo de tratamiento Descripción Mitigar Implementar controles que reduzcan lo más posible el riesgo. Transferir Se transfiere el riesgo a las personas responsables (Otras empresas y/o proveedores). Aceptar Se asume la responsabilidad de las consecuencias que pueda generar el riesgo. Evitar Se deberá cesar la actividad que origina el riesgo. Tabla 6.5 Respuesta al riesgo 18

19 Análisis de riesgos Etapa del Descripción del riesgo Probabilidad Impacto Riesgo Ambiente/Área proyecto Planeación Cambios en la propuesta de proyecto a desarrollar. Media Bajo Bajo Dirección Cambios en las fechas de las actividades y reuniones. Media Medio Medio Organizacional Incompatibilidad entre las tecnologías, herramientas definidas y hardware seleccionado. Alta Medio Medio Técnico Análisis No definir las mejores tecnologías y hardware. Baja Medio Medio Organizacional La infraestructura no soporta la nueva Media Medio Medio Técnico 19

20 tecnología a implementar. Errores en el análisis de ambiente Site Baja Baja Baja Técnico Survey. Diseño Error en la configuración del equipo demo, direccionamiento de la red y topología diseñada. Baja Medio Medio Técnico Definir incorrectamente las políticas de seguridad. Media Alto Medio Técnico Implementación El software no se puede instalar en algunos equipos. Media Medio Bajo Técnico No existe conexión entre el hardware instalado. Baja Medio Medio Técnico Los equipos conectados no tienen Baja Medio Bajo Externo 20

21 acceso a internet Las pruebas de seguridad y políticas no Media Alto Medio Técnico son exitosas. Cierre No se documenta completa la Baja Bajo Bajo Organizacional configuración e instalación de los equipos. El proyecto no se entrega a tiempo y Medio Alto Medio Organizacional forma establecidos. 6.6 Formato de análisis de riegos Registro de riegos Evento del riesgo Respuesta Plan de contingencia Desencadenante Responsable Cambios en la Aceptar Realizar los cambios en Atraso en la etapa de Practicante 21

22 propuesta de proyecto a desarrollar. la propuesta de proyecto. planeación y del proyecto. Cambios en las fechas Mitigar Agendar las fechas de Atraso en la etapa de Involucrados del de las actividades y reuniones y actividades planeación y del proyecto reuniones. lo más pronto posible. proyecto. Incompatibilidad entre Mitigar Solicita a los proveedores Aumento en el Analista(s) del las tecnologías, su colaboración para presupuesto del proyecto herramientas definidas revisar la forma en que proyecto y falta de y hardware seleccionado. interactúan las tecnologías y adquirir conocimiento sobre el nuevo equipo adquirido. Proveedor hardware adicional. No definir las mejores Evitar Solicitar equipo demo de El hardware puede no Analista(s) del tecnologías y otros fabricantes. funcionar bien y la proyecto hardware. tecnología puede ser 22

23 obsoleta. Practicante La infraestructura no Evitar Realizar pruebas de La tecnología Analista(s) del soporta la nueva conexión y tráfico de implementada puede proyecto tecnología a datos en la red funcionar parcialmente implementar. empresarial. o no funcionar. Errores en el análisis Evitar Realizar el análisis Site Los usuarios más Analista(s) del de ambiente Site Survey un par de veces alejados al equipo de proyecto Survey. más y en diferentes comunicación pueden climas. tener débil. comunicación Practicante Error en la Mitigar Revisar la configuración y Retraso en la Practicante configuración del topología y pedir implementación del equipo demo, asesoría al equipo de proyecto. direccionamiento de la ingeniería y proveedor. red y topología 23

24 diseñada. Definir incorrectamente Mitigar Revisar la configuración y Retraso en la Practicante las políticas de topología y pedir implementación del seguridad. asesoría al equipo de proyecto. ingeniería y proveedor. El software no se Mitigar Actualizar el sistema Los equipos que no Analista(s) del puede instalar en operativo y hardware soporten la tecnología proyecto algunos equipos. no podrán comunicarse con los demás. No existe conexión Evitar Revisar la configuración No hay comunicación ni Involucrados del entre el hardware de los equipos y la servicio de internet proyecto instalado conexión entre ellos. entre los equipos conectados a la nueva tecnología. 24

25 Los equipos Transferir Reportar la falta de No hay servicio de Proveedor conectados no tienen conexión a internet con el internet entre los acceso a internet proveedor del servicio. equipos de la empresa. Las pruebas de Mitigar Revisar la configuración No se tiene control Practicante seguridad y políticas de los equipos y las sobre los accesos y no son exitosas políticas en el firewall. sobre las aplicaciones empresariales y de entretenimiento en internet. No se documenta Evitar Solicitar prórroga para Inconformidad por parte Practicante completa la entregar la de la empresa e configuración e documentación completa. institución educativa. instalación de los equipos. 25

26 El proyecto no se Evitar Solicitar prórroga para Inconformidad por parte Practicante entrega a tiempo y entregar la de la empresa e forma establecidos. documentación completa. institución educativa. 6.7 Formato de análisis de riesgo 26

27 VII. FUNDAMENTACIÓN TEÓRICA Cloud computing De acuerdo a la definición de la empresa IBM, cloud computing consiste en la posibilidad de ofrecer servicios a través de Internet. La computación en nube es una tecnología nueva que busca tener todos nuestros archivos e información en Internet y sin depender de poseer la capacidad suficiente para almacenar información. Toda la información, procesos, datos, etc. se localizan dentro de la red de internet, como en una nube, así todo el mundo puede acceder a la información completa, sin poseer una gran infraestructura. LAN y WAN LAN significa Red de área local. Es un conjunto de equipos que pertenecen a la misma organización y están conectados dentro de un área geográfica pequeña mediante una red, generalmente con la misma tecnología. Una red de área local es una red en su versión más simple. La velocidad de transferencia de datos en una red de área local puede alcanzar hasta 10 Mbps. Una red de área local puede contener 100, o incluso 1000, usuarios. Una WAN significa Red de área extensa. Conecta múltiples LAN entre sí a través de grandes distancias geográficas. La velocidad disponible en una WAN varía según el costo de las conexiones y puede ser baja. Las WAN funcionan con routers, que pueden "elegir" la ruta más apropiada para que los datos lleguen a un nodo de la red. La WAN más conocida es Internet. Tecnología Wi-Fi 27

28 Wi-Fi (Wireless Fidelity) es la tecnología utilizada en una red o conexión inalámbrica, para la comunicación de datos entre equipos situados dentro de una misma área de cobertura. Conceptualmente, no existe ninguna diferencia entre una red con cables y una inalámbrica. La diferencia está en que las redes inalámbricas transmiten y reciben datos a través de ondas electromagnéticas, lo que supone la eliminación del uso de cables y, por tanto, una total flexibilidad en las comunicaciones. Plano de control fuera de banda El estudio de Meraki ejemplifica el plano de control fuera de banda como modelo de administración que separa los datos de gestión de la red de los datos de usuario. Los datos de gestión pasan de los dispositivos hasta la nube a través de una conexión a Internet segura. Los datos de usuario no atraviesan la nube, sino que van directamente a su destino a través de la LAN o WAN. Radio dedicado para el control Según la tecnología de Meraki es un tercer radio dedicado a la vigilancia continua y automática del entorno para maximizar el rendimiento Wi-Fi. Mediante la medición de la utilización del canal, intensidad de la señal, el rendimiento, las señales de otros puntos de acceso de diferente fabricante, y la interferencia no Wi- Fi. Políticas basadas en la identidad Las políticas basadas en la identidad se adaptan a grupos específicos en donde se utiliza Active Directory, proporcionando un medio para excluir a ciertos 28

29 usuarios y sitios web de todo el filtrado. Cuando un dispositivo intenta acceder a una página web, la dirección se compara con una base de datos de URL. Las direcciones van a través de una serie de pasos que coinciden con el patrón de manera que, por ejemplo, el acceso a una URL específica en una página web se puede permitir, junto con otras excluidas. Seguridad y calidad de servicio aplicado a Wireless El estudio de la IEEE asegura que es un proceso donde un dispositivo wireless conectado a internet se construye con los recursos de procesamiento de paquetes para asegurar y controlar su tráfico de clientes, sin necesidad de un controlador de LAN inalámbrica. Los dispositivos wireless están construidos con una unidad central de procesamiento de alto rendimiento, la encriptación acelerada por hardware, y los recursos de memoria extendida de implementar políticas stateful firewall, voz y optimización de vídeo, e incluso la capa 7 de clasificación de tráfico y QoS. Firewall Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las interfaces de red para la red protegida (red interna) y para la red externa. QoS 29

30 QoS es la sigla de Quality of Service (Calidad de servicio) que podemos definir como el conjunto de tecnologías que garantiza la transmisión de cierta cantidad de información en un tiempo determinado a uno o varios dispositivos. Es decir, con QoS activado se encarga de distribuir el ancho de banda disponible en función del escenario de uso y de manera automática. Optimización de RF automática basada en la nube Según la tecnología de Meraki la inteligente optimización de RF automatizada significa que no se necesita hardware dedicado o los conocimientos de RF generalmente necesarios para configurar una red inalámbrica. Los datos de análisis de RF de espectro completo en tiempo real que ofrece el tercer radio dedicado se transmiten continuamente a la nube. La nube adapta automáticamente la selección de canales del dispositivo, la potencia de transmisión y los ajustes de conexión de los clientes para lograr un rendimiento óptimo en las condiciones de RF más adversas. Al ser el único protocolo de 5 GHz con tamaños de canal mayores, ac aumentará sustancialmente la actividad y el ruido en el espectro de 5 GHz, por lo que se necesitarán unos análisis de RF sofisticados y automatizados para garantizar el máximo rendimiento de la LAN inalámbrica. Autenticación WPA WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la 30

31 autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. 31

32 VIII. PLAN DE ACTIVIDADES Wireless Tabla 8.1 Actividades de actualización del sistema de comunicación ID Actividad Duración Predecesora 1) Actualización del sistema de comunicación 59 Wireless. 2) Planeación 9 3) Revisar propuesta de proyecto a implementar 4 y evaluarla. 4) Definir el esquema de trabajo e involucrados 2 3 de proyecto. 5) Definir las herramientas, material y 3 3 tecnologías para el desarrollo del proyecto. 6) Planear las actividades, jornadas de trabajo y 2 4,5 reuniones. 7) Análisis 6 2 8) Analizar la tecnología a utilizar, hardware y 4 10 proveedor de servicio de internet. 9) Analizar las superficies ambientales y realizar

33 levantamiento de campo Site Survey. 10) Analizar la infraestructura de red actual, 2 6 estándares y normas. 11) Diseño ) Diseñar el prototipo de la solución inalámbrica 4 8 y tecnologías. 13) Diseñar prototipo de expansión de la 6 8 infraestructura de red. 14) Configurar equipo demo y herramientas en 4 12,13 línea para administración. 15) Realizar direccionamiento de la red y 3 14 topología de red inalámbrica. 16) Definir políticas de seguridad y accesos de 2 15 usuarios y grupos. 17) Implementación ) Montar e instalar los equipos en el Site de 3 16 comunicaciones y superficies. 19) Interconectar los dispositivos entre si y a la red 2 18 empresarial. 33

34 20) Relacionar los equipos a su respectivo 1 19 licenciamiento. 21) Configurar e instalar el software en los 7 19 equipos que sea necesario. 22) Aplicar las políticas de seguridad y acceso en 2 21 los equipos. 23) Realizar pruebas de conexión y monitoreo de 5 21,22 las aplicaciones. 24) Cierre de proyecto ) Documentación de la configuración, políticas y 8 23 topología. 26) Entrega del proyecto Diagrama 8.2 Actividades de actualización del sistema de comunicación Wireless 34

35

36 IX. RECURSOS MATERIALES Y HUMANOS Tabla 9.1 Recursos materiales y humanos. Recurso Descripción Tipo Costo Moneda Cantidad Costo MXN MR34-HW LIC-ENT-1YR Punto de acceso gestionado en la nube Meraki MR34 Meraki MR Enterprise Cloud Controller License, 1 Year total Material $1, USD 1 $1, $18, Material $ USD 1 $ $1, MX90-HW Meraki MX90 Cloud Material $3, USD 1 $3, $51, LIC-MX90- ENT-1YR Managed Security Appliance Meraki MX90 Enterprise License and Support, 1 Year Material $2, USD 1 $2, $26, Ingeniero de Experto Seguridad lógica Humano $5, MXN 7 $35, $35, seguridad 36

37 lógica Ingeniero de tecnología Wireless Experto Wireless Cisco Meraki Humano $5, MXN 7 $35, $35, Ingeniero de Administrador del proyecto Humano $5, MXN 9 $49, $49, Data Center Ingeniero en Practicante Humano $1, MXN 10 $12, $12, TI Ingeniero Experto Cisco Humano $1, MXN 2 $2, $2, CISCO Networking Cisco1921/K9 Cisco 1921 with 2 onboard Material $1, USD 1 $1, $15, GE, 2 EHWIC slots, 256MB USB Flash (internal) 512MB DRAM, IP Base Lic 37

38 WS-C2960X- 24PD-L Catalyst 2960-X 24 GigE PoE 370W, 2 x 10G SFP+, LAN Base Material $4, USD 1 $4, $59, Patch Cord Patch Cord Panduit 10ft Material $40.00 USD 1 $40.00 $ ISP Proveedor se servicios de internet Servicio $ MXN 4 $2, $2, Total $309, * El costo total de recursos materiales y humanos esta expresado en MXN con tipo de cambio MXN al día de 09 de Febrero de Tabla 9.2 Costos indirectos. Gastos indirectos Recurso Tipo Costo Moneda Cantidad Costo total MXN Suministro Servicio $9, MXN 10 $90, $90,

39 eléctrico Material papelería de Material $40.00 MXN 10 $ $ Total $90, * El costo total de gastos indirectos esta expresado en MXN. Tabla 2.12 Costo total del proyecto. Costo total $399, del proyecto * El costo total del proyecto está expresado en MX 39

40 X. DESARROLLO DEL PROYECTO La empresa tecnológica Cisco continúa expandiéndose. Según sostuvieron en un comunicado, la empresa anunció la compra de Meraki, una start up dedicada al networking en la nube por US$ 1,2 mil millones. Desde la compañía sostienen que la adquisición de esa compañía acompaña los cambios que está sufriendo la industria IT enfocándose en el ámbito mobile y cloud. Meraki nació como forma de proyecto y fue fundada por tres estudiantes del MIT en La misma provee a empresas medianas y grandes, colegios y organizaciones de una solución networking en la nube, herramientas de seguridad para dispositivos y el software para manejar todas estas herramientas. El objetivo de la empresa es también el de adaptar a otras compañías con la infraestructura y tecnología necesaria para afrontar los nuevos usos y costumbres de los empleados a la hora de utilizar sus propios equipos en el trabajo. La empresa juntó US$ 80 millones de inversión antes de la adquisición. El proyecto integra propuestas reales y modernas que son capaces de operar en cualquier entorno relacionado con tecnología Wireless y la administración en la nube. Adicional a que esta tecnología de administración en la nube servirá para dar servicio de internet a los usuarios de la sucursal también se utilizara como equipo demo para demostraciones a clientes de la empresa e integradores interesados en adquirirla. Involucrados

41 Los involucrados del proyecto encargados de sustituir el equipo de red inalámbrica actual por la tecnología de administración en la nube son el ingeniero de seguridad lógica, el ingeniero de sistemas de la empresa, el practicante de ingeniería en tecnologías de la información y el asesor de proyecto, gerente de la sucursal Querétaro. El siguiente diagrama 10.1 muestra el rol de cada uno de los involucrados, las etapas del proyecto en las que van a participar y las herramientas y/o entregables que deben de evaluar, que depende ellos la realización, monitoreo y control. Ingeniero de seguridad lógica Planeación, análisis, diseño Seleccionar el HW Diseño de políticas de seguridad Evaluar estructura actual de red Configuar equipo demo Ingeniero de sistemas Análisis, diseño, implentación Evaluar estructura actual de red Realizar direccionamiento de la red Instalación de SW Aplicar licenciamiento Ingeniero de tecnologías de la información Planeación, análisis, diseño, implementación, cierre Definir las herraminetas y tecnologías Realizar Site Survey Diseñar prototipo Configuar equipo demo Montar y conectar los equipos Aplicar las politicas Realizar pruebas Gerente de sucursal Planeación, implementación, cierre Aprobar la propuesta de solución Definir a los involucrados Realizar pruebas Revisar documentación Diagrama 10.1 Esquema de trabajo de los involucrados del proyecto Las reuniones de trabajo se planearon por semana a partir de la etapa de diseño del proyecto. Las reuniones fueron los días jueves, a través de llamadas y conferencias telefónicas, correos electrónicos, y a través de reuniones de tele 41

42 presencia. Esto debido a que el ingeniero de seguridad lógica y el ingeniero de sistemas están ubicados en la ciudad de México. Infraestructura de red La red de la sucursal estaba compuesta, antes de implementar el proyecto, por un Site de comunicaciones que contiene dos gabinetes. El primer gabinete contiene a un appliance que administra las cámaras de seguridad, un switch de 24 Power over Ethernet que conecta a la sucursal con el corporativo y recibe el servicio de internet por medio de un router que está ubicado en el segundo gabinete. En el segundo gabinete se encuentra el router que recibe el enlace del ISP, un switch de 48 de puertos Power over Ethernet que se conecta a los paneles de parcheo, para conectar los teléfonos y pc de todo el edificio. El siguiente diagrama 10.2 muestra de forma general la red empresarial. 42

43 Diagrama 10.2 Descripción general de red El diseño de la red con la implementación de la tecnología Meraki queda indicado en la figura El siguiente proceso muestra el modo en que se conectaron de los dispositivos. 1. La conexión WAN llega a través de un enlace dedicado que conecta el departamento de sistemas ubicado en México con la sucursal Querétaro. 2. El enlace del ISP llega al router de la empresa ubicado en el segundo gabinete. 3. Del mismo router se establece una conexión hacia el MX90 (Appliance de seguridad Meraki) que será el firewall de capa 7. 43

44 4. Del MX90 se establece una conexión al switch de 24 puertos Power over Ethernet. 5. Finalmente el punto de acceso MR34 se conecta al switch de 24 puertos designado. La administración de la red inalámbrica se realizó desde una pc portátil, a través de su navegador web, solo con la conexión a internet. Figura 10.3 Diagrama de conexión 44

45 En la expansión de red se instaló el appliance MX90, en el gabinete número 2, donde se encuentra el router. La conexión fue a través de los puertos LAN en ambos dispositivos. A su vez, el MX60 se conectó con el switch de 24 puertos, también a través de los puertos LAN. El MR34 se conectó con el switch de 24 puertos a través del puerto número 24 en este switch, al puerto de red en el punto de acceso. El diagrama 10.4 muestra la distribución de los dispositivos involucrados en la red. Diagrama 10.4 Expansión de red Implementación Se eligió Cisco Meraki por muchos motivos. Los más importantes fueron la facilidad de gestión y el rendimiento. Antes, se tenía que configurar y 45

46 gestionar los puntos de acceso uno a uno. Con Meraki, se instaló el primer punto de acceso en menos de una semana y se configuró de forma centralizada a través de la nube en un solo día. El rendimiento de Meraki es superior a los puntos de acceso Cisco Aironet, los puntos de acceso no han fallado y el número de quejas se ha visto nulo. Meraki también permitió aumentar la seguridad la empresa. Con Meraki se disfruta de completa visibilidad de los dispositivos, usuarios y su utilización. Se puede ver quién se ha conectado a la red, con qué dispositivo, la duración de la conexión y qué aplicaciones se han utilizado y descargado. Las herramientas utilizadas en el proyecto son la interfaz de administración en la nube de Cisco Meraki, para realizar a cabo las configuraciones de los equipos. Hojas de datos (Data Sheet), para revisar las características de los equipos y la forma en que se conectan entre si y a la red. Manuales de instalación de los equipos para montarlos de manera correcta y conociendo sobre que superficies se pueden colocar. Estándares para realizar las interconexiones y saber sus capacidades de transmisión, y la documentación de análisis inalámbrico, para determinar la forma y el lugar en que los equipos deben de instalarse. El estándar ANSI/TIA/EIA-568-A, se encuentra o esta aplicado en los paneles y cordones de parcheo del Site de comunicaciones y jack en cada una de las conexiones a la red en la empresa. El estándar ANSI/TIA/EIA-569 esta aplicado en los ductos y espacios de del cuarto de telecomunicaciones. El estándar ANSI/TIA/EIA-607 se encuentra 46

47 presente en los requerimientos para cuartos e instalaciones de telecomunicaciones, así como en las normas eléctricas mexicanas respecto a la puesta a tierra. Y por último y más importante, el estándar es un estándar robusto, maduro y bien establecido en la empresa. Wi-Fi es utilizado en las redes locales inalámbricas, y en la actualidad también se utiliza para acceder a internet. El material usado en el proyecto consta de cables de parcheo y dispositivos de interconexión LAN, para conectar los dispositivos al site de comunicaciones. La tecnología utilizada es Cisco Meraki, para conectar el servicio de internet inalámbrico de una forma segura y rápida dentro de la empresa, además de administrar, permitir o denegar, los accesos a la LAN empresarial y al servicio de internet y mejorando la comunicación de voz y datos entre el corporativo y sucursal Querétaro. El hardware utilizado en el desarrollo del proyecto es una mezcla de Cisco tradicional y Cisco Meraki, algunos de los elementos ya estaban instalados en la empresa y el resto se adquirieron para migrar la red inalámbrica de la empresa. Los siguientes recuadros 10.5 muestran el hardware utilizado, números de parte y características. MR34-HW Punto de acceso gestionado en la nube Meraki MR34 (Nueva 47

48 adquisición) Para poder utilizar este equipo es necesario adquirir la licencia LIC-ENT- 1YR Recuadro 10.5 A MR34-HW MX90-HW Meraki MX90 Cloud Managed Security Appliance (Nueva adquisición) Para poder utilizar este equipo es necesario adquirir la licencia LIC- MX90-ENT-1YR Recuadro 10.5 B MX90-HW Cisco1921/K9 Router Cisco1921/K9 (Propiedad de la empresa) Cisco 1921 with 2 onboard GE, 2 48

49 EHWIC slots, 256MB USB Flash (internal) 512MB DRAM, IP Base Lic Recuadro 10.5 C Cisco1921/K9 WS-C2960X-24PD-L Switch 24 puertos PoE WS-C2960X- 24PD-L (Propiedad de la empresa) Catalyst 2960-X 24 GigE PoE 370W, 2 x 10G SFP+, LAN Base Recuadro 10.5 D WS-C2960X-24PD-L Patch Cord Patch Cord Panduit 10ft (Nueva adquisición) Patch Cord Panduit 10 pies de longitud color blanco para interior Recuadro 10.5 E Patch Cord 49

50 ISP Contrato de servicios de internet con Telmex, enlace dedicado Proveedor se servicios de internet Recuadro 10.5 F ISP El proveedor de servicios es Telmex, con quien se tenía un contrato de internet de todas las sucursales, y enlaces dedicados que interconectan a estas sucursales con el departamento de sistemas. Se eligió este proveedor por su porcentaje bajo de fallas mensuales, además de que ofrece enlaces redundantes, todos con fibra óptica. La ubicación de montaje fue importante para poder obtener el mejor rendimiento del punto de acceso MR34. El dispositivo fue montado frente a las oficinas, entre el segundo y tercer piso. Donde tiene una línea de visión sin obstáculos a la mayoría de las áreas de cobertura. También se tuvo en cuenta que donde fuera que se hubiera colocado el punto de acceso el cordón de parcheo no debía exceder los 300 pies (100 m), por norma y porque transporta energía para el funcionamiento del AP (PoE). 50

51 La instalación del MR34 se realizó en dos pasos. En primer lugar, se instaló el soporte de montaje en la pared. Después se conectó el MR34 de la base de montaje y se encendió. El led de alimentación se mostró de color azul, indicando que el firmware se estaba actualizando automáticamente. Después cambió a verde cuando se completó la actualización. Para verificar la conectividad se usó un dispositivo inalámbrico, se conectó al MR34 y se verificó la conectividad utilizando el navegador web del equipo. Además se confirmó que tiene buena potencia de señal en el área de cobertura. Como el paso anterior, se puede usó el medidor de intensidad de señal en la pc portátil y dispositivo inalámbrico. La siguiente es una breve descripción de los pasos que se siguieron para agregar el punto de acceso MR34 a la red. 1) Se ingresó a Como no fue primera vez, se accedió con la cuenta que utiliza sistemas. 2) El siguiente paso fue encontrar la red a la que se iban a agregar los puntos de acceso. 3) Después se agregaron los puntos de acceso a la red. Fue necesario el número de serie de cada punto de acceso, que se encuentra en la parte inferior del equipo. También fue necesaria la clave de licencia, que se recibió por correo electrónico. 51

52 4) Al final se accedió a la vista en el mapa y se colocó el AP en el mapa arrastrándolo a la ubicación donde se instaló. Al MR34 se le asignó una IP local (Tabla 10.7). Esta dirección IP se le asignó de forma estática, como se describe a continuación: 1) Con la pc portátil, se conectó al AP de forma inalámbrica (mediante la asociación del SSID difundido por el AP). 2) Se accedió al navegador web en la pc, después se accedió a la función de servidor web del AP, a través de la dirección Esta dirección viene por default en el AP. 3) Después se da clic en la ficha "Configuración Uplink", y se inició una sesión, que fue el número de serie del AP. 4) Posteriormente se configuró la dirección IP estática, una máscara de red, la dirección IP de puerta de enlace y los servidores DNS que este punto de acceso utilizaría en su conexión por cable. 5) Fue necesario volver a conectar el AP a la LAN. Al MX90 también se le asignó una IP local (Tabla 10.7), como se describe a continuación: 1) Con la pc portátil, se conectó al appliance a través del puerto de administración. 52

53 2) Se accedió al navegador web en la pc, después se accedió a la función de servidor web, a través de la dirección (No fue necesario estar conectado a Internet para llegar a esta dirección). 3) Después se da clic en Uplink configuration debajo de Local status. 4) Se eligió la opción de estática para la asignación de la IP. 5) Se introdujo la dirección IP, máscara de subred, puerta de enlace predeterminada y la información del servidor DNS. La interconexión de dispositivos se realiza como en el diagrama 10.3 y 10.4, el router se conecta al MX90 a través de las interfaces Gi0/2 y Gi1 respectivamente, por medio de un patch cord que pasa del gabinete 2 al gabinete 1. El MX90 se conecta la switch de 24 puertos a través de las interfaces Gi2 y Gi0/2 respectivamente, por medio de un patch cord dentro del mismo gabinete 1. El switch de 24 puertos se conecta al punto de acceso Meraki a través de las interfaces FE0/24 y LAN respectivamente, a través del patch cord largo que sale del gabinete 1 hacia el AP a través de las estructuras de la empresa para llevar la señal de internet y fuente de alimentación. Configuración Configuraciones de firewall Las configuraciones de firewall se realizaron en el dashboard en la página de Meraki (primero se seleccionó el dispositivo), en el apartado 53

54 Configuración > Firewall. Igual en esta misma página se configuraron las reglas de seguridad de capa 3 y capa 7. Las reglas de seguridad permitieron y denegaron especificaciones de Listas de Control de Acceso, que determinaron qué trafico pasa entre las VLAN o de la LAN hacia internet. Estas ACLs están basadas en protocolos, IP de origen, IP destino y puertos en caso de los switches. Para agregar una ACL o regla de seguridad, se establecieron solo las características de dicha regla nueva. Para determinar la prioridad de las reglas solo se colocaron en orden, y se pueden eliminar dando un clic. Reglas de firewall de capa 7 Usando la tecnología de análisis de Meraki fue posible bloquear servicios web, páginas, sitios, web sin especificaciones y rangos de direcciones IP. También fue posible bloquear aplicaciones por categoría. La figura 10.6 muestra cómo se bloquearon páginas por categoría. 54

55 Figura 10.6 Reglas de capa 7 Configuración de NAT Se configuró en el MX90, apuntando a una IP local de la red. Para configurarla se accedió a Agregar 1:1 NAT mapping, para crearla fue necesario especificar, un nombre, IP publica, IP privada, uplink, dirección o direcciones del siguiente salto, protocolos y puerto o puertos. La siguiente tabla 10.7 muestra el direccionamiento y usuarios asignado y autorizado por el departamento de sistemas para la configuración y conexión de los equipos. Equipo Interfaz Dirección Gateway Usuario Password 55

56 Router Gi0/ NA Admin ***** MX90 Gi Admin ***** MX90 Gi NA Admin ***** SW 24 Gi 0/ Admin ***** SW 24 FE 0/ NA Admin ***** MR34 LAN Admin ***** Tabla 10.7 Direccionamiento Políticas En conjunto, el departamento de sistemas y directivos de la empresa determinaron las políticas de seguridad para cada usuario y grupos de trabajo, a continuación se enlistan: Políticas por usuario Bloquear Facebook Bloquear YouTube Permitir solo el dominio de correo electrónico de la empresa y dominios que el usuario use en el trabajo. Reducir el ancho de banda según el puesto del usuario 56

57 Políticas de grupo Reducir el ancho de banda para descargas Bloquear paginas para adultos Bloquear páginas de música Bloquear BitTorrent Para aplicar las políticas fue necesario accesar al dashboard de Meraki, ya registrado. Se seleccionó la red y después el dispositivo donde se aplicaron las configuraciones, el MX90. Posteriormente se eligió el usuario registrado ya en la red. A continuación se resumen y especifican las configuraciones de las políticas de seguridad establecidas anteriormente. Políticas por usuario 1. Bloquear Facebook. 1) Se accede al menú Configure > Firewall. 2) Se da clic en Add a rule. 3) Se elige la opción Denegar. 4) Selecciona el menú Social web & photo sharing. 5) Se selecciona Facebook. 2. Bloquear YouTube. 1) Estando dentro del menú Configure > Firewall. 57

58 2) Se da clic en Add a rule. 3) Se elige la opción Denegar. 4) Selecciona el menú Video & music. 5) Se selecciona YouTube. 3. Permitir solo el dominio de correo electrónico de la empresa y dominios que el usuario use en el trabajo. 1) Estando dentro del menú Configure > Firewall. 2) Se da clic en Add a rule. 3) Se eligen la opción Denegar. 4) Se selecciona el menú . 5) Se seleccionan los dominios de correo que al que el usuario no puede acceder (Hotmail, Yahoo!, etc.). 4. Reducir el ancho de banda según el puesto del usuario. 1) Estando el usuario seleccionado, al final de la interfaz se cuenta con una herramienta que consta de una barra donde se manipula para reducir el ancho de banda, mostrado en Mbps o Kbps. Políticas de grupo 58

59 Para aplicar las políticas se eligieron los usuarios registrados en la red. Además se le colocó nombre al grupo de usuarios. 5. Reducir el ancho de banda para descargas. 1) Estando el grupo seleccionado, al final de la interfaz con la herramienta se reduce el ancho de banda, mostrado en Mbps o Kbps. 6. Bloquear paginas para adultos. 1) Estando dentro del menú Configure > Firewall. 2) Se da clic en Add a rule. 3) Se elige la opción Denegar. 4) Selecciona el menú Video & music. 5) Se selecciona Adult Content. 7. Bloquear páginas de música. 1) Estando dentro del menú Configure > Firewall. 2) Se da clic en Add a rule. 3) Se elige la opción Denegar. 4) Selecciona el menú Video & music. 5) Se seleccionan los dominios de páginas de música específicas (ITunes, Goear.com, etc.). 59

60 8. Bloquear BitTorrent. 1) Estando dentro del menú Configure > Firewall. 2) Se da clic en Add a rule. 3) Se elige la opción Denegar. 4) Selecciona el menú Peer-to-peer (P2P). 5) Se selecciona BitTorrent. Al final de las configuraciones se da clic en guardar cambios o aplicar las políticas en cada menú de pantalla. Este proceso donde se aplicaron las políticas puede tardar varios segundos o hasta un par de minutos. La herramienta dashboard de Meraki permitió visualizar las redes, dispositivos y usuarios. El punto de acceso MR34 está diseñado para usarse en interiores, es decir, dentro de salas de juntas, oficinas y almacenes pequeños, lugares concurrentes y protegidos de los diferentes tipos de clima. Es por estas razones de que no fue necesario realizar un estudio de superficies y site survey, ya que el punto de acceso está diseñado para ambientes de oficinas y la señal depende de la posición en que se coloque, el diseño de sus antenas internas proporciona un mayor radio de cobertura de señal de doble banda. Montado el punto de acceso en la pared, a través del dashboard, se puede ver por diferentes colores la señal que cubre, mediante un plano agregado al dasboard de las instalaciones de la empresa. Es por eso que hasta que se colocó el punto 60

61 de acceso se determinó que cubría las áreas donde se necesitaba el acceso a la red inalámbrica. La siguiente figura 10.8 muestra el uso de la herramienta dashboard para el análisis del espectro de radiofrecuencia. Figura 10.8 Espectro de radiofrecuencia en el Dashboard Pruebas Las pruebas de conexión y monitoreo se realizaron conectando las pc y dispositivos a la red, revisando que no pudieran tener acceso a las páginas y aplicaciones que se aplicaron en las políticas. Para el monitoreo se utiliza la herramienta del dashboard de Meraki que genera reportes. También se utiliza el , donde se tiene la opción de programar un informe de resumen. Para hacerlo, elige "Programar correos electrónicos" en la esquina superior derecha de la página Resumen de red (Monitor de >> información general). Se puede elegir una fecha y hora determinada para la que desea ver el resumen de la red. Para ello, se selecciona el icono del calendario en la parte superior de la página de resumen y seleccionar un mes, la semana o día. Figura

62 Figura 10.9 Herramienta de reporte 62

63 XI. RESULTADOS OBTENIDOS Se logró implementar una nueva tecnología Wireless de Cisco Meraki basada en la administración en la nube en la sucursal Querétaro, cubriendo así con mejorar la calidad en el servicio de internet, voz y correo electrónico. Se optimizó la comunicación entre el corporativo y la sucursal, agilizando los procesos internos de la empresa, con fiabilidad de que los datos viajan de forma segura a través de internet, y que cuando la información llega o sale de cualquier host, ésta es analizada de manera detallada para evitar ataques, spam y detección de intrusos. La nueva tecnología trajo consigo la ventaja de que el nuevo equipo instalado puede funcionar como equipo demo, para usarse en presentaciones con clientes, visitantes y sirviendo como ejemplo palpable de soluciones tecnológicas que la empresa ofrece. Se implementó la administración de aplicaciones, metodología de filtrado de contenido que antes no se lograba con la tecnología inalámbrica de Cisco Aironet, donde la información que recibían y enviaban los AP era totalmente transparente para ellos, y que ahora con la solución de Meraki se el control de aplicaciones es incluso por privilegios, no por usuario, por aplicación. La gestión de políticas mejoró a que los usuarios tengan acceso solo a los recursos necesarios para realizar su trabajo, estas políticas están basadas en la configuración de reglas de firewall, las cuales se pueden editar y priorizar si el resultado buscado u obtenido en control no es el deseado.

64 XII. CONCLUSIONES Y RECOMENDACIONES La seguridad en la red empresarial funciona de manera óptima, se tiene total control de los usuarios, de los accesos y de las aplicaciones que se corren dentro de la empresa. Para aprovechar la capacidad del MX90, este se moverá al Site de comunicaciones de la sucursal de México, donde será administrado por el personal del departamento de sistemas, replicando la configuración de seguridad y de los AP para usarla en otras sucursales. La misma cobertura de señal y de usuarios se logró colocando solamente 1 punto de acceso Meraki por cada 2 que existían en la empresa, logrando una reducir el consumo de energía, liberando puertos en el rack y la administración de cada dispositivo. La parte que no se logró concretar y queda pendiente para proyecto a implementarse en todas las sucursales es la realización de llamadas a través de la interfaz del correo electrónico. Que como propuesta para realizar pruebas de laboratorio en Querétaro y posteriormente con las demás sucursales. La realización de la estadía profesional en este empresa fue un gran reto, por ser GRUPO DICE una empresa dedicada a la distribución de equipos de telecomunicaciones, por ser CISCO la marca que ha marcado la pauta en el mundo de las redes y porque MERAKI es una herramienta que apuesta a mostrar la confiabilidad de usar la nube para 64

65 reducir el costo y administración de la infraestructura en la empresas. Las propuestas del asesor de estadía y personal de ingeniería de la empresa fueron muchas, y cada una debía tomarse con responsabilidad. Se eligió como proyecto de titulación implementar Meraki, para mostrar la solución Wireless que la empresa promociona y da a conocer al mercado de Querétaro y ciudades cercanas, con la confianza de que esta tecnología sea mostrada al máximo nivel ante el mercado exigente que aun desconfía de las ventajas que ofrece la nube. Caso contrario a muchos proyectos, el presupuesto no fue problema para llevar a cabo la implantación, ya que la empresa contaba con una sólida infraestructura de red. Y la adquisición de equipo nuevo fue autorizada por la dirección de la empresa sin problemas, al fundamentarse que el equipo serviría como equipo demo. El equipo instalado se va a aprovechar como equipo demo, donde los clientes de la sucursal pueden visualizar la solución tecnológica de Meraki. Para terminar de completar la solución se piensa adquirir equipos que completen esta la tecnología. Se habla de APs de mayor capacidad de transmisión y switches que completen el juego de administración completa en la nube. 65

66 XIII. ANEXOS Anexo A Firewall de capa 7 Anexo B Conectar el MX90 a la WAN 66

67 Anexo C Tabla de direccionamiento de red actual. 67

68 68 Anexo D Configuraciones de Firewall

69 69 Anexo E Servicio DHCP

70 70 Anexo F NAT

71 71 Anexo G Guías de instalación rápida

72 72