TRABAJO DE FIN DE CARRERA

Transcripción

1 TRABAJO DE FIN DE CARRERA TÍTULO DEL TFC: Diseño y planificación de la red de voz y datos de un colegio con capacidad de 867 personas y 3059,29 m2 edificados TITULACIÓN: Ingeniería Técnica de Telecomunicaciones, especialidad Telemática AUTOR: Verónica Domínguez Sagra DIRECTOR: Jordi Mataix FECHA: Marzo de 2011

2 Título: Diseño y planificación de la red de voz y datos de un colegio con capacidad de 867 personas y 3059,29 m2 edificados Autor: Verónica Domínguez Sagra Director: Jordi Mataix Fecha: Marzo de 2011 Resumen El objetivo principal de este proyecto es realizar el diseño de de la red de voz y datos del colegio CEIP. Plaça dels Països Catalans., ubicado en Lleida. Inicialmente se han especificado los requisitos principales que se deben tener en cuenta, muchos de ellos incluidos en el documento realizado por el departamento de Educación de Cataluña resultante del proyecto Heura y vigente para todos los colegios e institutos de la comunidad. Seguidamente se detalla el diseño de la red tanto a nivel físico como a nivel lógico. En el primero se incluye todo el cableado estructurado, la redundancia de enlaces y un mapa físico de la red y en el segundo se incluye el diseño de las VLANs y el direccionamiento lógico de toda la electrónica de red, servidores y equipos a nivel de usuario. También se detalla el diseño de red inalámbrica: topología, redes wifi existentes y direccionamiento. Siendo una red convergente también hay servicio de voz, implementado mediante telefonía VoIP en todas las aulas y sala de profesores. Se explica el funcionamiento mediante una centralita (servidor) y los teléfonos IP. También se incluye una descripción de los servidores que habrá en el centro y de su instalación y configuración para ponerlos en funcionamiento. Una vez resuelto el diseño se plantea la seguridad en la red, tanto en la LAN como de la WLAN. Se crean medidas a implementar tanto a nivel de software como de hardware, de control de acceso y métodos de autenticación y encriptación para las redes inalámbricas. El resto del proyecto está dedicado a la implementación de del diseño, seleccionando los dispositivos a utilizar i el ISP. Además se presentan dos presupuesto, de gama alta y económica y un plan de mantenimiento y operativa de la red. Se finaliza con la presentación de un prototipo en el cual se ha implementado el diseño realizado.

3 Title: Diseño y planificación de la red de voz y datos de un colegio con capacidad de 867 personas y 3059,29 m2 edificados Author Verónica Domínguez Sagra Director: Jordi Mataix Date: March, 2011 Overview The main objective of this project is to design the voice and data network of the school CEIP. Plaça dels Països Catalans, located in Lleida. Initially you have specified the main requirements that must be taken into account, many of them included in the document prepared by the Department of Education of Catalonia resulting from the Heura project and is applicable to all schools and colleges in the community. Then details the design of the network both physical and logical level. The first includes all cabling, redundancy of links and a physical map of the network and the second included the design of VLANs and the logical addressing of the entire electronic network, servers and user-level. It also details the design of wireless network: topology, existing wireless networks and addressing. As a converged voice service is also available, implemented using VoIP in every classroom and staff room. Explains the operation by a unit (server) and IP phones. Also included is a description of the servers will be in the center and its installation and configuration to operate them. After solving the design arises in the network security, both in the LAN and the WLAN. Measures are created to implement software and hardware, access control and authentication methods and encryption for wireless networks. The rest of the project is dedicated to the implementation of the design, selecting the devices to use i the ISP. You have two budget, high-end economic and maintenance and operational plan of the network. It ends with the presentation of a prototype which has implemented the design done.

4 Dedicado a mis padres, hermanos, amigos y a mi novio. Gracias por su apoyo, por su ayuda y por escucharme cuando lo he necesitado. Dedicado también a mi tutor por toda su ayuda. Mil gracias

5 ÍNDICE CAPÍTULO 1. INTRODUCCIÓN... 2 CAPÍTULO 2. DESCRIPCIÓN GENERAL DEL DISEÑO DE LA RED Descripción del edificio del colegio Objetivos fundamentales en el diseño de la red Identificación de los requisitos del colegio... 4 CAPÍTULO 3. DISEÑO FÍSICO DE LA RED Estudio básico Topología adecuada Cableado Estructurado Esquema general del cableado Área de trabajo Cableado horizontal (de distribución) Cableado vertical (Backbone) Cuarto de Telecomunicaciones Elementos a utilizar para el cableado estructurado Enlaces redundantes Implementación de redundancia Spanning Tree Protocol Certificación del cableado Mapa físico de la red CAPÍTULO 4. DISEÑO LÓGICO DE LA RED Diseño de VLAN Direccionamiento Rango de direcciones IP Implementación NAT Mapa lógico de la red Fig.4.4 Esquema lógico de la red del centro CAPÍTULO 5. CONEXIÓN INALÁMBRICA Estándar Topología Redes inalámbricas Educat Docent y Eduroam... 31

6 5.4 Direccionamiento CAPÍTULO 6. SERVICIO DE VOZ Implementación Telefonía IP Componentes del diseño Fig.6.1 Esquema de conexión para implantar el servicio de voz Centralita telefónica Diseño Configuración Telefonía Convencional Calidad de Servicio (QoS) CAPÍTULO 7. SERVIDORES Servidor Asterisk Equipo a instalar Software necesario Servidor DNS, datos e impresión Equipo a instalar Software necesario Servidor de correo Equipo a instalar Software necesario Servidor Radius Equipo a instalar Software necesario Direccionamiento CAPÍTULO 8. SEGURIDAD EN LA RED En la LAN Elementos y aplicaciones Firewall Proxy Listas de acceso (ACL) En la WLAN Cambiar configuraciones predeterminadas Habilitar autenticación... 46

7 Potocolo de Autenticación Extensible (EAP) Claves pre compartidas (PSK) Encriptación ELECCIÓN DE LOS DISPOSITIVOS Dispositivos de red Tipo de dispositivo y características mínimas requeridas Switch principal Switch secundario Router Patch Panel Sistema de alimentación Ininterrumpida (SAI) Selección de dispositivos Dispositivos de alta gama Dispositivos de gama económica Electrónica común Servidores CAPÍTULO 10. CONTRATACIÓN DEL PROVEEDOR DE SERVICIOS Contratación del proveedor de servicios Contrato SLA ADSL Centralita telefónica CAPÍTULO 11. PLAN DE TRABAJO Y PREVISIÓN DE OPERATIVA Y MANTENIMIENTO Mantenimiento de la infraestructura Mantenimiento preventivo Mantenimiento correctivo Otros CAPÍTULO 12. PRESUPUESTO Presupuesto de alta gama y de gama económica CAPÍTULO 13. PROTOTIPO DE LA RED Simulación de la red Configuraciones técnicas Configuración de los dispositivos Tráfico de la red Fig.13.3 Captura de la PDU de STP en el R1SS Fig.13.4 Tráfico capturado en una solicitud web (HTTP) al servidor de datos y la PDU generada Fig.13.5 Captura de paquetes en la red para verificar las ACLs configuradas... 65

8 Origen Estado Destino Protocolo Mapa de puertos CONCLUSIONES BIBLIOGRAFÍA... 69

9 2 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 1. INTRODUCCIÓN El objetivo principal que se quiere obtener con este proyecto es realizar el diseño tanto de voz como de datos de la red del colegio CEIP Plaça dels Països Catalans. La construcción del centro se inició en el año 2008 y recientemente se ha finalizado con una superficie edificada de 3059 m 2 y una capacidad para 867 personas. A parte de los requisitos indicados en el proyecto heura y de las necesidades que nos ha indicado el personal del centro también se quiere conseguir una red escalable, que sea fácil de administrar y que sea segura. Además va a ser importante optimizar costes y plantear una solución eficaz y que esté dentro de un presupuesto razonable. El proyecto se ha dividido en varios capítulos, en los cuales se recoge todo el diseño, realización y mantenimiento de la red. La parte que correspondería al diseño es la que engloba más capítulos. Incluye todo el diseño físico de la red, en el que se puede encontrar la solución adoptada para el cableado estructurado así como la inclusión de redundancia en los enlaces principales y la topología física resultante. En la parte de diseño lógico se detallan las VLANs que se han creado así como el direccionamiento de toda la electrónica de red (router, SAI, switches, APs, servidores, ordenadores, teléfonos IP y VLANs) así como la topología lógica resultante. De la tecnología inalámbrica se incluye el direccionamiento según la red inalámbrica que se configure en el access point y la topología en el diseño, así como las técnicas utilizadas para implementar seguridad, lo cual se detalla de forma más extensa en otro capítulo. Dado que se trata una red convergente, se ha llevado a cabo la implementación del servicio de voz a través de VoIP, del cual se indica todo el funcionamiento mediante un servidor que hace de centralita y los diferentes teléfonos IP instalados en todo el centro. También se puede encontrar la configuración y funcionamiento de los distintos servidores de los que se disponen para ponerlos en marcha y para que lleven a cabo una función determinada. Para llevar a cabo el diseño se debe tener en cuenta que hoy en día la seguridad en la red es básica, dado los ataques masivos a los que cada día se enfrenta. Por este motivo se dedica un capítulo a estudiar e implementar técnicas de seguridad tanto a nivel de software como de hardware para la LAN y para la WLAN. Un capítulo del proyecto se ha dedicado a la selección de los dispositivos de red partiendo de los requisitos mínimos que deben tener y seleccionándolos según la calidad y el precio. También se ha hecho un pequeño estudio entre diferentes operadores para contratar el ISP que proporcione el acceso a Internet y las llamadas. Con todo lo necesario se han realizado dos presupuestos, uno de alta gama y otro de gama económica. Para realizar el mantenimiento de la red se ha creado un plan de tareas que se han de realizar de forma sistemática según se haya marcado. Finalmente para poder implementar y verificar el correcto funcionamiento del diseño se ha hecho una simulación de modo que se puedan estudiar posibles deficiencias que puedan surgir antes de llevarlo a cabo y controlar además la carga de tráfico de la red.

10

11 Capítulo 2. Descripción general del diseño de la red 3 CAPÍTULO 2. DESCRIPCIÓN GENERAL DEL DISEÑO DE LA RED 2.1. Descripción del edificio del colegio El edificio del colegio CEIP Plaça dels Països Catalans se está construyendo en la calle Nou s/n, en el municipio de Lleida (Segrià). Éste tiene 3059,29 m 2 edificados, de los cuales 2383,66 m 2 son de superficie útil y el resto son pasillos, escaleras y compartimentos. El edificio principal consta de tres plantas, distribuidas en la planta baja para el área infantil y la primera y segunda planta para el área de primaria. La planta baja, de 734,51 m 2, está distribuida en 6 aulas para educación infantil, un aula para grupos pequeños, un aula de psicomotricidad, otra de tutoría y varios lavabos. La primera planta tiene 4 aulas para educación primaria, 3 aulas para grupos pequeños y 3 aulas de tutoría. Además también se encuentra la sala de profesores, la zona de conserjería, secretaría y limpieza, el departamento del jefe de estudios, dirección y un porche. Finalmente, la segunda planta con 8 aulas para educación primaria, el aula de plástica, de informática y de música, un aula para grupos pequeños, una para el técnico informático y la zona de servicios y limpieza. Además existen tres edificios colindantes, uno donde se ubicará el comedor y la biblioteca, otro donde se encontrará el gimnasio y otro en el que estarán los vestuarios. En el edificio comedor-biblioteca, de 344,89 m 2, se puede encontrar el AMPA, la biblioteca, el comedor, la cocina y un lavabo. En el del gimnasio, de 258,37 m 2, se encuentra el gimnasio y un entarimado. Finalmente, el edificio más pequeño, de 84,14 m 2, está distribuido en 2 vestuarios y tres lavabos. En todos los edificios, en la mayoría de sus dependencias, se ha colocado un falso techo, por donde descorrerá todo el cableado.

12 4 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 2.2 Objetivos fundamentales en el diseño de la red En la actualidad, las computadoras y la red son esenciales para lograr el éxito en empresas o centros tanto grandes como pequeños. Éstas conectan a las personas, admiten aplicaciones y servicios y proporcionan acceso a los recursos que mantienen el funcionamiento de las empresas y centros. Es importante que la red esté disponible casi el 100% del tiempo, incluso en caso de falla, así como que sea capaz de protegerse automáticamente de los incidentes de seguridad imprevistos y de transportar la información de forma confiable. Además, también debe de ser capaz de adaptarse a las cargas de tráfico cambiante para mantener tiempos de respuestas constantes en las aplicaciones. También es importante que sea sencillo modificarla para adaptarse a los cambios de crecimiento y a los cambios del colegio. Todos estos requisitos se pueden resumir en cinco objetivos fundamentales en el diseño de la red: - Escalabilidad: el diseño de una red escalable puede crecer para incluir nuevos grupos de usuarios y sitios remotos, y pueden soportar nuevas aplicaciones sin impactar en el nivel de servicio que se da a los usuarios actuales. - Disponibilidad: Una red diseñada para estar disponible es aquella que ofrece un rendimiento consistente y confiable las 24 horas del día, los 7 días de la semana. Además, la falla de un solo enlace o una parte del equipo no debe impactar significativamente en el rendimiento de toda la red. - Seguridad: La seguridad es una característica que se debe diseñar en la red y no agregarse una vez que la red se termina. La planificación de la ubicación de dispositivos de seguridad, filtros y funciones de firewall es fundamental para proteger los recursos de la red. - Facilidad de administración: El personal de redes disponible en el colegio debe ser capaz de administrar, mantener y respaldar la red. Una red demasiado compleja o difícil de mantener no puede funcionar de forma eficaz y eficiente. - Coste: es importante realizar el diseño de la red de tal forma que se tenga en cuenta que el presupuesto para realizar el proyecto no alcance cifras desorbitadas. La red del colegio se va a realizar de tal forma que se abaraten costes tanto ahora como en futuros cambios. Además al realizar el presupuesto se va a presentar con dispositivos de alta y de gama económica, para que los responsables del colegio puedan elegir según sus necesidades, prioridades y nivel económico Identificación de los requisitos del colegio Además de los objetivos fundamentales en el diseño de la red, para el diseño de una red de voz y de datos es importante conocer las necesidades y

13 Capítulo 2. Descripción general del diseño de la red 5 requisitos para las personas y el lugar donde se va a implantar. Para ello se nos ha facilitado una serie de documentación del centro para poder conocer las necesidades y requisitos principales que va a requerir la infraestructura del centro. Además, existe el Proyecto Heura, el cual lleva a cabo el Departamento de Educación de Cataluña para dotar de infraestructuras de cableado de red de área local i wifi para dar acceso a la Banda Ancha a los centros educativos de Cataluña. Este documento dicta los requisitos técnicos principales que se deben implantar en el diseño de una red por cable e inalámbrica de un colegio o instituto. A continuación se listas estos requisitos: - El cableado ha de ser de categoría 6 con certificación mínima de clase E. - En espacios denominados de alta densidad, tales como el aula de informática, la biblioteca, dirección o secretaría, se valorará la instalación de tantos puntos de datos como equipos requieran la conexión a la red del centro. Por lo general, se instalará un punto de datos simple (1 RJ-45) y 2 enchufes. En espacios denominados de baja densidad, como las aulas docentes, se instalará un punto de datos simple (1 RJ-45) y dos enchufes en la zona del profesor/a y un punto de datos doble (2 RJ-45) y 4 enchufes en la zona de alumnos. - El armario rack principal incluirá tanto la infraestructura de cableado como la inalámbrica, así como un sistema de alimentación ininterrumpida (SAI). Se ubicará, siempre que sea posible, en un espacio exclusivo fuera de las zonas de trabajo. - La red educativa del centro quedará dividida en 6 subredes (vlan1, 2, 3, 4, 5 y 10). - Las VLAN 2,3 y 4 se han de poder ver entre ellas y el router principal ha de verlas todas. - La electrónica de red constará principalmente de un conmutador principal con capacidad de encaminamiento (capa 3) y un conmutador secundario que desarrollará funciones de conmutación secundaria (capa 2) en el centro. - La red inalámbrica funcionará con el protocolo IEEE g - La cobertura inalámbrica, disponible en todos los espacios del centro, será de 36 Mbps a 54 Mbps para cada usuario. - Los Access Point estarán en dos subredes diferentes y dos VLANs distintas vía dos SSID, con lo que se configurará el uso de dos redes inalámbricas diferenciadas. - La asignación de los rangos de direcciones IPs se llevará a cabo según los propuestos en el proyecto Heura.

14 6 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 3. DISEÑO FÍSICO DE LA RED 3.1 Estudio básico Para empezar a realizar el diseño físico de la red se debe hacer un estudio físico de cada uno de los edificios del colegio y de sus zonas, para conocer así la superficie y la ocupación prevista de éstas. A efectos de determinar la ocupación total del edificio se ha tenido en cuenta el posible uso alternativo y la posible no ocupación de diferentes zonas. La densidad utilizada en el cálculo de la ocupación basándose en la superficie total de cada zona, ha sido la siguiente: - Aulas Infantiles 1 persona / 2,0 m 2 - Aulas de Dibujo y Gimnasio 1 persona / 5,0 m 2 - Comedor 1 persona / 1,5 m 2 - Zonas destinadas a uso administrativo 1 persona / 10,0 m 2 - Zonas de almacén 1 persona / 40,0 m 2 - Zonas de servicio 1 persona / 20,0 m 2 En función de estos valores se presenta la ocupación de cada zona del colegio: Tabla 3.1. Densidad de ocupación y ocupación total de cada zona del colegio Área Infantil-Planta Baja Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Aula 1 53,8 0,5 27 Aula 2 53,6 0,5 27 Aula 3 56,75 0,5 28 Aula 4 55,92 0,5 28 Aula 5 55,92 0,5 28 Aula 6 55,92 0,5 28 Lavabo 1-2 8,05 Alternativa 0 Lavabo 3-4 8,89 Alternativa 0 Lavabo 5-6 8,05 Alternativa 0 Almacén 28,43 0,025 1 Pasillo 185,49 Alternativa 0 Escalera 8,8 Alternativa 0 Lavabo Profesores 7,30 Alternativa 0 Compartimento 1 45,93 Sin ocupación 0 Aula pequeños grupos 23,76 0,5 12 Tutoría 11,37 0,1 1 Psicomotricidad 66,53 0,2 13 TOTAL Planta Baja 734,51 193

15 Capítulo 4. Diseño físico de la red 7 Área de Primaria-Primera Planta Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Aula 1 51,18 0,5 26 Aula 2 51,18 0,5 26 Aula 3 51,36 0,5 26 Aula 4 50,02 0,5 25 Aula pequeños grupos 1 26,59 0,5 13 Aula pequeños grupos 2 25,03 0,5 13 Aula pequeños grupos 3 25,11 0,5 13 Aula Complementaria 50,55 0,5 25 Sala de profesores 60,83 0,1 6 Vestíbulo-Pasillo 191,87 Alternativa 0 Servicios + Limpieza 37,25 Alternativa 0 Compartimento 4,38 Sin ocupación 0 Tutoría 1 10,08 0,1 1 Tutoría 2 10,02 0,1 1 Tutoría 3 10,02 0,1 1 Conserjería 14,88 0,1 1 Jefe de estudios 10,02 0,1 1 Secretaría 20,17 0,1 2 Dirección 15,05 0,1 2 Compartimento Almacén 5,24 Sin ocupación 0 Escalera 1 6,39 Alternativa 0 Escalera 2 10,22 Alternativa 0 Distribuidor 19,24 Alternativa 0 Porche 54,80 Exterior 0 TOTAL Primera Planta 812, Área de Primaria-Segunda Planta Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Aula 5 50,82 0,5 25 Aula 6 50,00 0,5 25 Aula 7 51,02 0,5 26 Aula 8 51,37 0,5 26 Aula 9 51,37 0,5 26 Aula 10 51,18 0,5 26 Aula 11 55,59 0,5 28 Aula 12 51,07 0,5 26 Aula Plástica 51,18 0,2 10 Aula Informática 51,18 0,5 26 Aula Música 59,67 0,2 12 Aula pequeños grupos 4 25,00 0,5 13 Aula técnico informático 10,01 0,1 1 Servicio + Limpieza 41,26 Alternativa 0 Pasillo 152,40 Alternativa 0 Escalera 2 6,57 Alternativa 0

16 8 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Área de Primaria-Segunda Planta Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Escalera 3 15,18 Alternativa 0 TOTAL Segunda Planta 824, Edificio Comedor-Biblioteca Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total AMPA 12,50 0,1 1 Lavabo AMPA 4,25 Alternativa 0 Biblioteca 62,87 0,5 31 Comedor 152,65 0, Cocina 68,32 0,1 7 Comp. Instalaciones 26,01 Sin ocupación 0 Almacén 18,29 0,025 0 TOTAL Comedor-Biblioteca 344, Edificio Gimnasio Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Gimnasio 205,17 0,2 41 Entarimado 30,81 0,2 6 Compartimento 1 11,22 Sin ocupación 0 Compartimento 2 11,17 Sin ocupación 0 TOTAL Gimnasio 258,37 47 Edificio Vestuarios Zona Superficie Densidad Ocupación Total (m 2 ) ocupación Total Vestuario 1 28,98 0,66 19 Vestuario 2 28,98 0,66 19 Lavabo 9,84 Alternativa 0 Lavabo 9,84 Alternativa 0 Lavabo barreras 6,50 Alternativa 0 TOTAL Vestuarios 84,14 38 En los planos adjuntados en el anexo VI se puede ver la distribución de cada edificio y aula. 3.2 Topología adecuada Para desarrollar una topología lógica (incluida en el siguiente capítulo) se necesita comprender la relación que existe entre los dispositivos y la red, independientemente de la distribución física del cableado. Para el diseño de la red del colegio se va a utilizar la topología en estrella, donde cada dispositivo (o nodo) se va a conectar a través de una única conexión a un punto central.

17 Capítulo 4. Diseño físico de la red 9 Todas las transiciones pasarán a través del nodo central, el cual es el encargado de gestionar y controlar todas las comunicaciones entre los equipos. En el caso que nos ocupa el punto central va a ser un switch de capa 3 ubicado en el MDF, en la planta baja del edificio principal, al cual se conectarán los IDFs distribuidos entre las otras dos plantas y edificios. PRIMERA PLANTA COMEDOR-BIBLIOTECA IDF IDF PLANTA BAJA MDF SEGUNDA PLANTA VESTUARIOS IDF IDF GIMNASIO IDF Fig.3.1 Esquema topología estrella de la red Al implementar la topología en estrella se obtienen distintas ventajas listadas a continuación: -El fallo de un dispositivo no causa problemas al resto de la red -La detección y localización de problemas es sencilla -Facilidad para agregar dispositivos -El mantenimiento resulta económico y sencillo Debido a que todo va a depender de un nodo central se deben asumir unas ciertas desventajas que se detallan a continuación: -Una avería en el nodo central supone la inutilización de la red, motivo por el cual en este punto se va a aplicar redundancia para que pueda responder en caso de la caída del enlace principal. -Para dispositivos alejados del nodo central se requieren grandes longitudes de cable, ya que deben estar unidos directamente al nodo central.

18 10 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados -Existen limitaciones en cuanto a la expansión (número total de nodos), pues cada canal requiere una línea y una interfaz al nodo principal. -La carga puede llegar a ser muy elevada en el nodo central -No soporta cargas de tráfico excesivamente elevadas por sobrecarga en el nodo central. 3.3 Cableado Estructurado La implementación del cableado estructurado se va a llevar a cabo mediante el estándar EIA/TIA 568B, que define la configuración de la conexión de los de pines o el orden de las conexiones de cable en el extremo de éste. Fig. 3.2 Esquema de pines 568B Este esquema se debe de llevar a cabo a lo largo de todo el cableado del colegio Esquema general del cableado El cableado estructurado sigue una estructura bien definida formada por cuatro áreas físicas: área de trabajo, cableado horizontal (de distribución), cableado vertical (backbone) y sala de telecomunicaciones Área de trabajo Los componentes del área de trabajo abarcan desde la terminación del cableado horizontal en la salida de la información hasta el equipo de la estación de trabajo donde se esté llevando a cabo una aplicación, ya sea de datos, voz o vídeo. El cableado del área de trabajo se ha diseñado de manera que sea sencilla la interconexión y que los cambios, aumentos de equipos y movimientos se lleven a cabo de forma cómoda.

19 Capítulo 4. Diseño físico de la red 11 Fig.3.3 Longitud máxima latiguillo área de trabajo En la planificación del cableado del colegio el del área de trabajo (patch cord o latiguillo) se va a realizar con cable de cobre UTP, dado que es un tipo de cable económico y fácil de instalar. Dos conectores (RJ-45) ubicados en los extremos del cable finalizan en enlace, la longitud máxima del cual no puede superar los 3 metros. En el caso que nos ocupa el diseño viene definido por el proyecto heura, el cual destaca dos tipos de áreas: de alta densidad y de baja densidad. - Área de alta densidad: aulas donde se hace un alto uso de la informática y zonas de dirección y administración - Áreas de baja densidad: básicamente son las aulas docentes El número se rosetas a instalar variará según la zona, pues en las de alta densidad (aula de informática, dirección, biblioteca, secretaría ) se instalarán tantas rosetas (normalmente 1 RJ enchufes) como dispositivos tengan la necesidad de conexión en el colegio. Concretamente el aula de informática se dotará de 13 rosetas dobles para dar conexión a todos los ordenadores y una simple para la zona del profesor. En las aulas docentes, de baja densidad, se instalará un punto de datos (1 RJ enchufes) en la zona del profesor/a y un punto de datos doble (2 RJ enchufes) en la zona de alumnos. Si se trata de una ubicación en la cual se vaya a instalar un teléfono IP, entonces se deberá añadir una roseta más a la previsión. A continuación se detallan el número de rosetas de dat (sin tener en cuenta las de telefonía convencional) a instalar en cada dependencia por planta o edificio:

20 12 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Tabla 3.2. Cálculo del número de rosetas en cada dependencia Edificio o Planta Recinto #Rosetas Datos Voz Pequeños Grupos Tutoría Psicomotricidad Aula PLANTA BAJA Aula Aula Aula Aula Aula TOTAL Aula Aula Aula Aula Aula Pequeños grupos Aula Pequeños grupos Aula Pequeños grupos Aula complementaria PRIMERA Sala de profesores PLANTA Tutoría Tutoría Tutoría Conserjería Jefe de estudios Secretaría Dirección TOTAL SEGUNDA PLANTA Aula Aula Aula Aula Aula Aula Aula Aula Aula Plástica Aula Informática Aula Música Aula Pequeños grupos Aula técnico informático TOTAL

21 Capítulo 4. Diseño físico de la red 13 Edificio o Planta Recinto #Rosetas Datos Voz AMPA Biblioteca COMEDOR- Comedor BIBLIOTECA Cocina TOTAL GIMNASIO Gimnasio TOTAL Vestuario VESTUARIOS Vestuario TOTAL TOTAL Cableado horizontal (de distribución) El cableado horizontal es el conjunto de cables y conectores que se extienden desde el rack hasta la salida de información en el área de trabajo, cableado que en el colegio se va a pasar a través del falso techo disponible en todas las dependencias. Se va a componer básicamente de las salidas (conectores) de telecomunicaciones en el área de trabajo, las interconexiones de cables y conectores instalados entre la salida del área de trabajo y el armario rack. Fig.3.4 Esquema cableado horizontal Para el cableado horizontal se debe utilizar una topología estrella, topología que va a caracterizar a todo el diseño de la red del colegio, que va a otorgar la flexibilidad necesaria para implementar diferentes servicios a través de conexiones cruzadas en el armario rack. Para el diseño del cableado horizontal se debe tener en cuenta una serie normas, las cuales se especifican punto 3.2 del anexo I.

22 14 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Uno de los parámetros más importantes a tener en cuenta es la máxima longitud horizontal permitida, que son de 90 metros, la cual se mide desde la salida de telecomunicaciones en el área de trabajo (roseta) hasta las conexiones de distribución horizontal en el armario rack. El diseño que nos ocupa cumple sobradamente las longitudes máximas, dado que, después de la planificación del cableado, el cable horizontal más largo va a medir aproximadamente 60 metros. A esta longitud hay que añadirle la longitud adicional (aproximadamente un 10%) que se va a dejar para dar holgura al cableado en ambos lados del cable para facilitar así la terminación del mismo en los conectores y permitir cambios en la ubicación. En el extremo del armario rack se van a dejar alrededor de 2 metros y en el del área de trabajo unos 30 centímetros. Dado que en ningún caso se supera la longitud máxima se va a utilizar cable UTP de categoría 6 para todo el cableado horizontal. En el punto 1 del anexo VI se adjuntan los planos de cada planta y edificio donde se puede ver por dónde va a pasar el cableado horizontal desde cada roseta, access point y teléfono IP hasta el rack Cableado vertical (Backbone) El cableado vertical es el que va a conectar, siguiendo la topología en estrella, el rack principal (MDF) con los distintos armarios racks secundarios (IDF) ubicados en las distintas plantas y edificios del colegio. Es el que va a unir todos los subsistemas horizontales por lo que va a requerir medios de transmisión de señal con un ancho de banda elevado y de protección elevada. Para el cableado vertical del colegio se va a utilizar cable fibra óptica multimodo para unir el rack principal con el resto de racks secundarios. El uso de la fibra multimodo frente a la monomodo es preferible porque es menos costosa y es para distancias menores que la monomodo. La máxima longitud permitida para el cableado vertical de 1 Km para fibra multimodo. Para el diseño del cableado vertical también se deben de tener en cuenta una serie de normas que se especifican en el punto 3.3 del ANEXO I.

23 Capítulo 4. Diseño físico de la red 15 IDF Rak secundario de la segunda planta Cableado vertical IDF MDF IDF IDF Rack secundario de la primera planta Rack principal (planta baja) Rak secundario del edificio vestuarios Rack secundario del edificio biblioteca <= 1 Km IDF Rak secundario del edificio biblioreca-comedor Fig.3.5 Esquema conexión cableado vertical Cuarto de Telecomunicaciones Un cuarto de telecomunicaciones es el área en un edificio utilizada para el uso exclusivo de equipo asociado con el sistema de cableado de telecomunicaciones. Esta instalación mantiene el equipo de telecomunicaciones y de red, las terminaciones del cableado vertical y horizontal y los cables de la conexión cruzada. Se puede distinguir entre recinto de telecomunicaciones y cuarto de equipo. Ambos se consideran distintos entre ellos debido a la naturaleza, costo, tamaño y/o complejidad del tipo de equipo que cada uno alberga. Varias o todas las funciones de un recinto de telecomunicaciones pueden ser proporcionadas por un cuarto de equipo. En el diseño del cableado estructurado del colegio se ha definido un cuarto de equipo, el rack principal, ubicado en la planta baja del edificio principal y un recinto de telecomunicaciones para cada planta restante, primera y segunda planta, y uno para el edificio de la biblioteca-comedor y otro ubicado en el gimnasio que dará servicio tanto a este edificio como al de los vestuarios. Los cuartos de telecomunicaciones se han diseñado según la norma TIA/EIA 569, adjunta en el anexo. - Cuarto de equipo: es el rack principal y se va a situar en el almacén con una superficie de 22,08 m 2 ubicado en la planta baja. También se le puede denominar MDF (Instalación de distribución principal) que es donde se van a

24 16 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados ubicar los equipamientos comunes a todo el colegio, como por ejemplo los servidores, el proxy, el router para permitir la conexión a internet o la SAI, además de contener el switch principal de la red y el patch panel al cual se van a conectar los racks secundarios de las diferentes plantas y edificios. El rack que se va a instalar es un armario de 19 con bastidores donde se colocará un tablero con enchufes tipo schuko y se dejará espacio para colocar toda la electrónica de la red y servidores Fig.3.6 Armario rack principal - Recinto de Telecomunicaciones: son los armarios racks secundarios que se van a instalar en la primera y segunda planta del edificio principal y en el edificio de el gimnasio (que dará servicio a este edificio y a los vestuarios) y de la biblioteca-comedor. Conocidos también como IDF (servicio de distribución intermedia), son más pequeños que la MDF y se van a conectan a ésta a través de fibra con una topología en estrella. En los racks secundarios se van a ubicar los dispositivos de la capa de acceso para permitir el acceso a equipos e impresoras compartidas a nivel local, como switches y AP s.

25 Capítulo 4. Diseño físico de la red 17 Fig.3.7 Esquema conexión entre IDFs y MDF El acceso al cuarto de equipo y a los recintos de telecomunicaciones se mantendrá cerrado con llave, limitando el acceso al personal autorizado. Además todos estarán correctamente ventilados a través de un aparato de aire acondicionado Elementos a utilizar para el cableado estructurado Para llevar a cabo todo el cableado estructurado se necesitan una serie de elementos para la terminación de los cables, para pasar el cableado por el falso techo o para la distribución de éste. La terminación de los cables UTP se va a realizar con un conector RJ-45 engarzado en cada uno de los extremos del cable. Para todas las terminaciones se va a seguir el estándar EIA/TIA 568-B, explicado en el capítulo 3. Los latiguillos de fibra para enlazar un switch con el patch panel han de ser los MTRJ para el switch principal y los SPF para el resto, ya que por tema de costes, el switch principal con puertos de fibra será del tipo MTRJ, dado que los de SPF tienen un alto coste, tanto el dispositivo como los transceptores de fibra que se han de poner en cada puerto. Las bandejas metálicas porta cables se van a utilizar para todo cableado horizontal del colegio y para el cableado vertical, pues la sala equipo y las de telecomunicaciones del edificio principal no están alineados verticalmente.

26 18 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Se van a utilizar canaletas de plástico para pasar por la pared el tendido de cable vertical de una planta a otra del edificio principal y del subterráneo a cada uno de los edificios colindantes al principal. Para ubicar las terminaciones del cableado horizontal de cada dependencia (roseta) se va utilizar una caja (jack RJ-45) pudiendo albergar uno o dos conectores por caja según el diseño que se planificado (sea roseta doble o simple). Estas cajas se van a ubicar en lugares accesibles, tanto para el profesor como para los alumnos. Cada uno de estos elementos están debidamente detallados en el anexo (ANEXO I, punto 1.5) Añadir que para el área de trabajo se utilizará UTP 100-BaseT y para la salida de tráfico de cada switch se utilizará fibra, dado que no se prevé un tráfico muy alto entre los usuarios, pero si lo puede ser la salida del tráfico. Además es importante dado que si se rompe uno de esos enlaces una de las plantas o edificio se queda sin servicio. 3.4 Enlaces redundantes Implementación de redundancia La falla de un único enlace de la red, un único dispositivo o un puerto crítico de un switch causa un período de inactividad de la red. Por ese motivo se va a implementar redundancia en los enlaces más críticos de la red del colegio, característica que va a ser clave para el diseño a fin de mantener un alto grado de confiabilidad y eliminar cualquier punto de error exclusivo. Dado que proporcionar redundancia completa a todos los enlaces y dispositivos de la red puede resultar muy costoso, solo se van a crear enlaces duplicados para el cableado vertical, para los enlaces de los servidores y en los enlaces que van al router. El segundo enlace irá por otro sitio distinto al principal para evitar así si van por el mismo camino se dañen ambos cables. Además los enlaces redundantes van a permitir reducir la congestión y mejorar la alta disponibilidad y el balance de carga Spanning Tree Protocol Para evitar los problemas que pueden ocasionar los enlaces duplicados entre switches, como la creación de bucles causada por las tramas broadcast, se va a configurar el protocolo Spanning Tree (STP). Este protocolo proporciona un mecanismo de desactivación de enlaces en una red conmutada creando la redundancia requerida para brindar fiabilidad sin crear bucles de conmutación.

27 Capítulo 4. Diseño físico de la red 19 El STP es relativamente autosuficiente y requiere poca configuración. La primera vez que se encienden los switches con STP activado, buscan bucles en la red de conmutación. Los switches que detecten un posible bucle bloquean algunos de los puertos de conexión, y dejan otros activos para enviar tramas. En el apartado del capítulo 13 se puede ver cómo configurar el STP. 3.5 Certificación del cableado Va a ser importante realizar la certificación del cableado, con lo que se va a obtener una red confiable, fácil de administrar, segura y además estética. A pesar de que aumenta presupuesto, vale la pena porque va a proporcionar la garantía de que todo funcione correctamente. Las normas de certificación que se deben seguir son: - Cada enlace deberá ser testeado de acuerdo con las especificaciones definidas en el estándar TIA Categoría 6 (ANSI/TIA/EIA 568 B) - Lo enlaces se deberán de testear desde cada armario rack hasta la caja de la pared en el área de trabajo y deberán cumplir con la especificaciones definidas en el estándar TIA Categoría 6. - El 100% de los enlaces deberán ser testeados y superar el paso 2. Cualquier enlace que se detecte defectuoso se deberá corregir y volver a testear. - La certificación del cableado la debe de llevar a cabo personal autorizado y con la correspondiente certificación. - El tester, adaptadores y terminadores deben cumplir con los requerimientos del estándar TIA Categoría 6. - El tester debe cumplir con los periodos de calibración establecidos por su fabricante para asegurar que su precisión sea la que especifique su fabricante. - Los cables y adaptadores deben ser de alta calidad y no deben presentar ninguna señal de desgaste y/o deterioro. - Se dará por exitosa la certificación de una enlace siempre y cuando todas las pruebas individuales sobre dicho enlace se hayan realizado con éxito.

28 20 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 3.6 Mapa físico de la red A continuación se presenta el mapa físico que muestra el diseño de la red de colegio.

29 Capítulo 4. Diseño físico de la red 21 Servidor RADIUS Servidor proxy Firewall ADSL ISP INTERNET Servidor DNS, datos e impresoras Servidor De Correo PATCH PANNEL 1 CONTROLADOR SAI PATCH PANNEL 2 PATCH PANNEL 3 PATCH PANNEL 4 R0SS1 R1SS1 R2SS1 R2SS2 R1SS2 PLANTA BAJA PRIMERA PLANTA SEGUNDA PLANTA PATCH PANNEL 5 PATCH PANNEL 6 R4SS1 R3SS1 COMEDOR-BIBLIOTECA GIMNASIO Y VESTUARIOS Fig. 3.8 Esquema de la red del centro

30 22 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 4. DISEÑO LÓGICO DE LA RED 4.1 Diseño de VLAN Una VLAN (virtual LAN red de área local virtual ) es un método para crear redes lógicamente independientes dentro de una misma red física que puede abarcar varios segmentos de la red. Cada VLAN funciona como una LAN individual y varias VLAN pueden coexistir en uno o varios switches físicos. Con la implementación de las VLANs se van a obtener numerosos beneficios: - Contención del tráfico broadcast y multicast - Más ancho de banda, ya que se reduce el tráfico innecesario y éste solo se envía a las estaciones interesadas - Agrupar las estaciones de trabajo por función lógica, por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de éstas. - Mejores prestaciones y rendimiento de la red - Proporciona seguridad Según el proyecto Heura la red educativa del colegio quedará estructurada en 7 VLAN diferentes: - VLAN 2 - Educativa cable docente - VLAN 3 - Educativa inalámbrica docente - VLAN 4 - Gestión de los switches y puntos de acceso - VLAN 5 - Invitados red inalámbrica eduroam - VLAN 6 - Futura vídeo-telefonía IP - VLAN 7- Educativa inalámbrica Educat - VLAN 10 Gestión/Administración De forma predeterminada la VLAN 1(VLAN nativa) es la de administración la cual va a poder utilizar el administrador para configurar el switch de forma remota. Además también se utiliza para intercambiar el tráfico del protocolo de enlace troncal de la VLAN (VTP) con otros dispositivos de red. SWITCH SEGUNDA PLANTA SWITCH PRIMERA PLANTA SWITCH PLANTA BAJA SWITCH BIBLIOTECA-COMEDOR SWITCH GIMNASIO/VESTUARIOS SWITCH VESTUARIOS VLAN 2 VLAN 3 VLAN 4 VLAN 5 VLAN 6 VLAN 7 VLAN 10 Fig.4.1 Esquema de las VLANs existentes

31 Capítulo 4. Diseño lógico de la red 23 Se deberán asignar las VLAN en los diferentes switches para que queden bien definidas y con las visualizaciones adecuadas entre ellas según establece el proyecto heura. Tabla 4.1. Visibilidad entre las VLANs Visibilidad entre las VLANs VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 VLAN7 VLAN10 Router VLAN 2 SÍ SÍ NO NO NO NO NO SÍ VLAN 3 SÍ SÍ NO SÍ NO NO NO SÍ VLAN 4 NO NO SÍ NO NO NO NO SÍ VLAN 5 NO SÍ NO SÍ NO NO NO SÍ VLAN 6 NO NO NO NO SÍ NO NO SÍ VLAN 7 NO NO NO NO NO SÍ SÍ SÍ VLAN 10 NO NO SI NO NO NO SÍ SÍ El protocolo de etiquetado de las VLAN es el Q, el cual va a permitir a las VLAN comunicarse entre sí utilizando un conmutador de capa 3 sin problemas de interferencia entre ellas (Trunking). El término trunk ( troncal ), en el contexto de VLAN, designa un enlace de la red por el cual viajan más de una VLAN identificadas por etiquetas (tag) insertadas en sus paquetes. En la red del centro las asignaciones en una VLAN se van a crear mediante la asignación manual (estática) de los puertos del switch a dicha VLAN. Es una forma sencilla y rápida de configurar con el hándicap de tener que cambiar manualmente la asignación a la VLAN si se cambia un puerto de conexión de entrada en el switch. 4.2 Direccionamiento Rango de direcciones IP El direccionamiento del colegio se va a llevar a cabo mediante direcciones privadas, ya que va a aportar los siguientes beneficios: - Reducir el costo asociado con la compra de direcciones públicas. - Permite que muchos usuarios con direcciones privadas usen algunas direcciones públicas para salir a Internet a través de NAT. - Proporciona seguridad, ya que usuarios de otras redes locales ni de redes externas pueden ver las máquinas configuradas con direcciones internas. El rango de IPs que se van a configurar en los dispositivos de la red del colegio son los propuestos por el proyecto heura. Las VLANs se van a configurar como una subred diferente cada una según se especifica en la tabla 4.2:

32 24 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Tabla 4.2. Rango de IPs de cada VLAN Rango de IPs para cada VLAN VLAN 2 Educativa cable docente VLAN 3 Educativa inalámbrica docent VLAN 4 Gestión de los switches y puntos de acceso VLAN 5 Invitados red inalámbrica eduroam VLAN 6 Futura vídeo - telefonía IP VLAN 7 Educativa inalámbrica Educat VLAN 10 Gestión / Administración Los gateways de cada subred o VLAN son: - VLAN 2: VLAN 3: VLAN 4: VLAN 4: VLAN 6: VLAN 6: VLAN 10: La máscara de subred que se va a configurar en todas las VLANs va a ser la Fig.4.2 Esquema genérico con las VLANs activadas

33 Capítulo 4. Diseño lógico de la red 25 El router principal que va a dar conexión a Internet se va a configurar en la VLAN 2 con la IP La electrónica principal se va a basar en un switch de capa 3, ubicado en el rack principa, con puertos para cableado UTP y otro switch de capa 3 con puertos para fibra. Ambos dispositivos se van a estacar para que trabajen como un solo dispositivo y con una sola IP de gestión. En el switch principal de capa 3 se deben abrir tantos puertos virtuales como rango de IPs a los que se deba dar servicio. En la red del colegio hay 7 vlans, cada una con un rango de IPs distinto, por tanto en el switch principal hay que configurar 7 puertos con el siguiente direccionamiento: Tabla 4.3. Rango de IPs de cada VLAN en el switch principal Rango de direcciones IPs del switch principal VLAN VLAN VLAN VLAN VLAN VLAN VLAN Para la gestión de la electrónica del colegio, tanto el switch principal, los secundarios, los puntos de acceso o los servidores los rangos de IPs configurables son los siguientes: Tabla 4.4. Rango de direcciones configurables para cada dispositivo o equipo Equipamiento Rango de IP utilizable Switch principal Switch secundario Access point Docent y Eduroam Servidor proxy-cache Servidor Radius Servidor Asterisk Servidor DNS, datos e impresoras Servidor de correo

34 26 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Se utilizará un controlador wifi para controlar el perfil de todos los Access Point de educat, dado que hay un número muy elevado de dispositivos. Este dispositivo se configurará con la dirección IP y controlará los Access point configurados dentro del rango También se va a utilizar un servidor proxy-cache para mejorar el tiempo de respuesta y reducir los recursos que han de utilizar los servidores; además de proporcionar seguridad. El proxy se conectará a internet a través de las líneas Educat, siendo un punto donde el router realizará NAT. Para la conexión inalámbrica a la red docent se asignará una IP fija a cada access point dentro del rango x. La asignación de direcciones para los puntos de acceso de la red de educat también será fija, utilizando el rango Finalmente para la red inalámbrica de invitados eduroam a los Access point se les configurará la IP mediante un servidor DHCP con el pool de direcciones Para la telefonía IP se va a utilizar el rango de IPs configurándola en la VLAN 6. Para los equipos de gestión/administración se va a utilizar el rango de IPs configurados en la VLAN 10. A continuación se muestra el direccionamiento a configurar para cada switch secundario para la gestión de la red del colegio: Tabla 4.5. Direcciones IPs Y nombres a configurar en los switches secundarios Planta-Edificio Nombre del dispositivo IP Planta baja R0SS Primera planta R1SS R1SS Segunda planta R2SS R2SS Biblioteca-Comedor R3SS Gimnasio/vestuarios R4SS En las dependencias del colegio en las que hay equipos fijos que requieren conexión por cable a internet se va a configurar una dirección IP fija según a la subred o VLAN a la que pertenecen. Éstos se listan a continuación:

35 Capítulo 4. Diseño lógico de la red 27 Tabla 4.6. Direcciones IPs a configurar en los PC s e impresoras Recinto Ubicación VLAN Equipo Rango de IPs Conserjería Primera Ordenador planta Impresora Jefe de estudios Primera Ordenador planta Impresora Dirección Primera Ordenador planta Impresora Secretaría Primera Ordenador planta Impresora Informática Segunda a 2 Ordenador planta Aula técnico Segunda informático planta 2 Ordenador Biblioteca Biblioteca- Ordenador Comedor Impresora En todos los armarios racks se instalará una SAI, sistema de alimentación ininterrumpida, a la que se le va a configurar una IP dentro del rango Implementación NAT La electrónica y equipos del colegio se van a configurar con rangos de IPs privados, con lo cual se debe habilitar en el router la traducción de direcciones de red (NAT) para permitir que las redes privadas se enruten a través de Internet. Las principales ventajas que proporciona el uso de NAT son: - Las direcciones IP se pueden volver a utilizar - Muchos equipos en una misma red pueden compartir direcciones IP únicas - Funciona con transparencia y va a ayudar a proteger a los usuarios de la red (privada) del colegio del acceso desde el dominio público. - Impide que usuarios externos a la red del centro accedan a dispositivos o equipos del colegio. También se deben de tener en cuenta las desventajas que conlleva su uso: - Se necesitan configuraciones adicionales para permitir el acceso de usuarios externos legítimos.

36 28 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados - Disminución del rendimiento de la red ocasionado por un incremento en el procesamiento del router debido a la carga ocasionada por la traducción de direcciones. Se va a implementar la NAT dinámica en la que una dirección privada se mapea a una dirección pública basándose en una tabla de direcciones IP públicas registradas. El router mantendrá esta tabla y cuando una IP privada (inside) requiera acceso a internet (outside), el router le asignará una dirección IP de la tabla que no esté siendo usada por otra IP privada. Fig. 4.3 Esquema funcionamiento NAT 4.3 Mapa lógico de la red A continuación se presenta la disposición lógica de la red del colegio Fig.4.4 Esquema lógico de la red del centro

37 Capítulo 5. Conexión inalámbrica Estándar CAPÍTULO 5. CONEXIÓN INALÁMBRICA El estándar que se va a seguir para el diseño es el g, que especificado por la IEEE se rige por una serie de características. - Ofrece un elevado ancho de banda, con un rendimiento máximo de 54 Mbps - El radio de cobertura a máximo rendimiento es de 27 metros en ambientes cerrados y de 75 metros en exteriores. - Hasta un máximo de 50 usuarios pueden conectarse de forma simultánea a un mismo punto de acceso. - Trabaja en el rango de frecuencia de 2,4 GHz. Otra organización, conocida como Wi-Fi Alliance, es responsable de probar los dispositivos LAN inalámbricos de distintos fabricantes. El logotipo Wi-Fi en un dispositivo significa que ese equipo cumple los estándares y debe interoperar con otros dispositivos del mismo estándar. La frecuencia libre que comprende la banda de 2,4 GHz está subdividida en 14 canales separados por 5 MHz entre ellos. Dado que con 802.1g una antena emplea 22 MHz para transmitir datos los canales adyacentes se superponen y se interfieren entre sí. Por este motivo para la planificación de la red inalámbrica del colegio se van a utilizar los canales 1,7 y 13 que no se solapan entre ellos y no provoca interferencias. Fig.5.1 Esquema de los canales a utilizar para g Se va a utilizar el método de acceso múltiple por detección de portadora con prevención de colisiones (CSMA/CA) con el cual se crea una reserva en el canal para que sea utilizado por una conversación específica. Cuando un canal

38 30 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados está reservado ningún otro dispositivo podrá transmitir por éste, por lo que se van a evitar posibles conexiones. 5.2 Topología La topología de la red inalámbrica que se va a implementar es el modo infraestructura, con la que cada dispositivo debe comunicarse con el punto de acceso para obtener un permiso de de éste para conectarse a la red. El access point controla todas las comunicaciones y garantiza que todos los equipos tengan iguala acceso al medio. Las celdas de los access point con las redes docent y eduroam configuradas se van a conectar mediante un sistema de distribución para ampliar así el área de cobertura. Para permitir el movimiento de los usuarios sin que se pierda la señal, las celdas se van a superponer entre ellas un 10 % aproximadamente, lo que va a permitir que un cliente se conecte a un segundo access point antes de desconectarse del primero. Fig.5.2 Topología modo infraestructura de la red inalámbrica 5.3 Redes inalámbricas En la red del colegio existen tres redes inalámbricas distintas para un usuario en particular cada una, que son la red Educat, Docent y Eduroam Educat A la red Educat se van a conectar los alumnos y profesores desde las distintas aulas docentes para acceder a los libros digitales Dado que el número de conexiones simultáneas va a ser grande y que los usuarios van a requerir un buen rendimiento en cada access point se va a colocar un access point en cada aula limitando el número de usuarios a 30 en cada uno. En las dependencias en las que no se imparten clases a un grupo de alumnos, por ejemplo tutoría, jefe de estudios, secretaría, etc., se instalará un punto de

39 Capítulo 5. Conexión inalámbrica 31 acceso para varias dependencias, ya que el uso va a ser escaso y el área de cobertura del access point cubre sobradamente las necesidades. En los planos adjuntos en el anexo (PLN del 2.1 al 2.6) se puede ver la ubicación de todos los access point. A continuación se presenta una estimación de las tomas destinadas a la conexión de access point por planta o edificio, en la cual se va a prever la instalación de un par de tomas más en cada planta o edificio por si fuera necesario en algún momento instalar algún access point más: Tabla 5.1. Tomas necesarias para la red inalámbrica Educat Tomas para Access Point Dependencia Número de tomas Planta Baja 8 Primea planta 12 Segunda Planta 12 Biblioteca - Comedor 4 Gimnasio 1 Vestuarios 0 TOTAL 37 Los access point se conectarán contra una SSID llamada educat restringida a las VLAN 7.Esta red estará basada en WPA2 Enterprise con validación 802.1x, con encapsulamiento EAP-PEAP/MSCHAPv2 y cifrado TKIP, con un servidor RADIUS del Departamento de Educación. LA identificación debe comprobar la autentificación en LDAP. Los datos de configuración de los puntos de acceso para hacer la validación a educat serán: - IP del servidor RADIUS: Puerto: Contraseña: wificentros La configuración de los access point será directamente gestionada por un controlador wifi, en el cual se va a crear un perfil con las características de esta red (VLAN, encriptación, número máximo de usuarios, etc.), que se aplicará a todos los access point de esta red Docent y Eduroam Las redes docent y eduroam van a permitir la conexión wifi en todo el centro a todos los usuarios del centro, ya sean trabajadores y alumnos o personas ajenas al centro. Se van a instalar access point para tener cobertura en todo el colegio. En los planos adjuntos en el anexo (PLN del 2.1 al 2.6) se puede ver la

40 32 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados ubicación de los access point que se deben instalar en cada planta o edificio para tener cubertura en todo el centro. En la estimación de tomas de las 3 plantas se va a prever la instalación de un par de tomas más en cada planta o edificio por si fuera necesario en algún momento instalar algún access point más. A continuación se presenta una estimación de las tomas destinadas a la conexión de access point por planta o edificio: Tabla 5.2. Tomas necesarias para la red inalámbrica Docente y Eduroam Tomas para Access Point Dependencia Número de tomas Planta Baja 4 Primea planta 4 Segunda Planta 4 Biblioteca - Comedor 1 Gimnasio 1 Vestuarios 1 TOTAL 15 En los puntos de acceso se van a configurar dos redes en dos VLAN distintas mediante dos SSID. Una red propia del centro con SSID docent y otra para invitados con SSID eduroam. La red docent se va a encriptar con WPA/PSK y la red eduroam hará la validación Radius del Departamento de Educación. La identificación debe ser con un usuario y contraseña y el servidor RADIUS comprobará la autentificación en LDAP. Los datos de configuración de los access point para validarse en eduroam serán: - IP del servidor RADIUS: Puerto: Contraseña: wificentros 5.4 Direccionamiento Como ya se ha comentado en el capítulo anterior cada red inalámbrica se va a configurar en una VLAN y con un rango de IPs diferente. Los Access point de la red educat, configurada en la VLAN 7, van a ser configurados con una IP fija dentro del rango

41 Capítulo 5. Conexión inalámbrica 33 Los de la red docent, configurada en la VLAN 3, también van a ser asignadas mediante una IP fija dentro del rango x. Finalmente, a los puntos de acceso de la red inalámbrica de invitados eduroam, configurada en la VLAN 5, se les asignará la IP mediante un servidor DHCP con el pool de direcciones Se debe seguir un orden correlativo en la asignación de las direcciones IPs en cada punto de acceso, para facilitar así posibles cambios de configuración en el futuro. También se propone asignar un nombre lógico a cada access point para facilitar su localización en caso de cambios o averías, por ejemplo un nombre donde se refleje la planta o edificio y el número de aula donde esté ubicado (PB-A01).

42 34 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 6.1 Implementación CAPÍTULO 6. SERVICIO DE VOZ El servicio de telefonía del colegio se va a desarrollar de dos formas distintas: - En las aulas docentes y en la sala de profesores se va a implementar telefonía IP, instalando un teléfono en cada aula. - En las dependencias más críticas, como dirección o secretaría, se van a instalar tomas de voz de telefonía convencional, ya que en caso de una caída del sistema de red éstas no se verían afectadas. 6.2 Telefonía IP Con la implementación te la telefonía IP se va a conseguir una red convergente por la cual se va a poder transmitir datos, voz y vídeo. La telefonía IP reemplaza los teléfonos tradicionales con los teléfonos IP y permite interactuar con una amplia gama de servicios, como por ejemplo clima, información de material y de contactos, noticias del colegio o agenda Componentes del diseño Para que el sistema funcione se van a necesitar una serie de elementos y protocolos, los cuales se detallan continuación: La señalización se va a realizar mediante el protocolo SIP, pues es un protocolo simple y consistente. Va a permitir determinar el estado de una llamada (libre u ocupada) cuando un usuario realiza una y para establecer, modificar y finalizar la llamada. La transmisión de los datos se hará mediante el protocolo RTP, pues al utilizar UDP no realiza retransmisiones, ni control de flujo ni hay confirmación de los paquetes y así se evitan los retardos que éstos producen y que empeorarían la transmisión en tiempo real.

43 Capítulo 6. Servicio de voz 35 Para la gestión de llamadas y distribución de éstas se va a utilizar un servidor en entorno Linux donde se va a configurar una centralita mediante el software libre Asterix. Este programa va a permitir crear nuevas funcionalidades escribiendo y ejecutando un script. Se precisa más información en el siguiente apartado. El terminal IP que se va a instalar en cada aula es un Cisco SPA501G, las características del cual se detallan en el anexo (ANEXO II, punto 1.3.1). En la figura 6.1 se puede observar cómo se va a realizar la implementación del servicio de voz y la relación entre los dispositivos que intervienen. Fig.6.1 Esquema de conexión para implantar el servicio de voz Centralita telefónica Diseño La centralita se va a diseñar con un servidor en entorno Linux en el cual se debe instalar el software libre Asterix (versión ). Los requisitos mínimos que ha de tener el ordenador son los siguientes: - Procesador a 500MHz (Pentium3) MB en RAM - 2GB en disco duro como mínimo. Los requisitos recomendados son: - Procesador a 1.5 GHz (Pentium 4) MB en RAM - 10 GB en disco duro Configuración La centralita va a permitir configurar una serie de parámetros, como las extensiones o los nombres de los teléfonos IP, habilitar las llamadas externas o

44 36 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados servicios como fax y buzón de voz, si fuera necesario. En el anexo (ANEXO II, punto 1) se adjunta el manual para la instalación del software y cómo configurar distintos parámetros y servicios. El servidor va a estar configurado en la VLAN 6 con la IP fija y la máscara de subred La puerta de enlace configurada en el router será la con la misma máscara que el servidor. Cada teléfono IP se va a configurar con una extensión y con un nombre, el cual va a identificar el aula donde está ubicado. A continuación se muestra una tabla donde se representa de cada teléfono IP que se va a instalar la IP, la extensión y el nombre que se le asignará: Tabla 6.1. Relación de teléfonos IP a instalar y configurar Ubicación Aula Extensión Nombre IP Aula PB-A Aula PB-A Aula PB-A Planta Baja Aula PB-A Aula PB-A Aula PB-A Pequeños Grupos 1006 PB-PG Psicomotricidad 1007 PB-PSICOM Aula P1-A Aula P1-A Aula P1-A Aula P1-A Primera Pequeños Grupos P1-PG Planta Pequeños Grupos P1-PG Pequeños Grupos P1-PG Complementaria 1013 P1-COMPLEM Sala de profesores 1014 P1- S. PROFES Conserjería 1015 P1 CONSERJ Segunda Planta Aula P2-A Aula P2 A Aula P2 A Aula P2 A Aula P2 A Aula P2 A Aula P2 A Aula P2 A Plástica 1024 P2 PLASTICA Informática 1025 P2 -INFORM Música 1026 P2 MUSICA Pequeños Grupos P2 PG

45 Capítulo 6. Servicio de voz 37 Los teléfonos del aula complementaria y de la sala de profesores serán los únicos desde los cuales se van a poder realizar llamadas externas. Para ello será necesario instalar una tarjeta OpenVox A400M en el servidor con un módulo FXO-100. De este modo se permite conectar la centralita Asterix a la red telefónica PSTN (telefonía analógica) mediante la interfaz FXO del módulo. El resto de teléfonos de las aulas docentes tendrán las llamadas restringidas solo para uso interno. 6.3 Telefonía Convencional Para los lugares más críticos, como dirección, secretaría o conserjería, se van a instalar tomas de telefonía analógica para evitar que en caso de la caída de la red el servicio de telefonía no se vea afectado. A continuación se presenta una tabla con las tomas de voz que se van a instalar: Tabla 6.2. Relación de teléfonos digitales a instalar Planta/Edificio Dependencia #Tomas Dirección 1 Primera Planta Secretaría 1 Jefe de estudios 1 Conserjería 1 Segunda Planta Aula del informático 1 Comedor-Biblioteca Cocina 1 TOTAL 6 El terminal que se va a instalar es un teléfono digital Aastra 6753 que oscila entre los 97, la características del cual se pueden encontrar en el anexo (ANEXO II, punto 1.3.2) 6.4 Calidad de Servicio (QoS) Para evitar una calidad de transmisión inferior, la telefonía IP va a requerir la aplicación de mecanismos de QoS. Los paquetes de voz no deben tener un retardo de una vía mayor que 150 ms. En la implementación de la telefonía IP es esencial que los paquetes de voz tengan una latencia y fluctuación baja en cada salto a lo largo de una ruta determinada La red del colegio es una red convergente donde se transmite tráfico de voz constante y los flujos de datos irregulares de las actualizaciones de los servidores y las transferencias de archivos

46 38 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Dado que el tráfico de voz es vulnerable a retardos, debe tener prioridad sobre el tráfico de datos. Por este motivo se va a administrar el tráfico con colas personalizadas (CQ), que es un método con el cual se puede realizar un reparto del ancho de banda para evitar que el tráfico de voz lo ocupe todo. Se van a configurar las colas con las siguientes proporciones: VoIP 40%, FTP 20%, y HTTP 20%, dejando el 20% restante para los otros protocolos. La configuración de QoS se puede ver el capítulo 13.

47 Capítulo 7. Servidores Servidor Asterisk CAPÍTULO 7. SERVIDORES Este equipo se va a montar para desarrollar la función de centralita para gestionar los teléfonos IPs que se instalarán el colegio. Para su desarrollo se debe instalar con el sistema operativo Linux, en este caso se hará con distribución Debian Equipo a instalar Los requisitos mínimos que ha de tener el servidor para instalar el programa Asterisk son los siguientes: - Procesador a 500MHz (Pentium3) MB en RAM - 2GB en disco duro como mínimo. Los requisitos recomendados son: - Procesador a 1.5 GHz (Pentium 4) MB en RAM - 10 GB en disco duro. El servidor se va a montar en el armario rack principal ubicado en la planta baja. En el punto 2 del anexo V se presenta el modelo de equipo que se va a montar Software necesario En el servidor, diseñado en entorno Linux, se debe instalar el software libre Asterisk (versión ). La versión en ISO de Asterisk@Home se encuentra disponible en la página bajarla, crear un CD a partir de esa imagen (ISO) e instalarla posteriormente. En el anexo (punto II, punto 1) se encuentra de forma detallada cómo instalar el software, los archivos de Asterisk que se deben modificar y las distintas configuraciones que se deben realizar. 7.2 Servidor DNS, datos e impresión Se va a montar un equipo que va a servir para las siguientes funciones: - Servidor DNS - Servidor de datos

48 40 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados - Servidor de impresoras Se estima que no es necesario un servidor para cada función de las escritas anteriormente, dado que el número de usuarios es relativamente pequeño y en consecuencia no se prevé una gran carga de datos Equipo a instalar Los requisitos mínimos que ha de tener el ordenador para poder gestionar el servidor son los siguientes: - 4 GB RAM GB (1 TB) disco duro - 2 procesadores de 4 núcleos de 2,13 GB. El servidor se va a montar en el armario rack principal ubicado en la planta baja. En el punto 2 del anexo V se especifica el modelo a instalar Software necesario En el PC se va instalar el sistema operativo XP, dado que en un principio es el más fiable y el que está más contrastado con las distintas aplicaciones y programas. El software que se debe instalar en este equipo es el Windows Server Este programa va a permitir manejar las funciones de servidor que van a ser necesarias y que se han detallado en el anterior punto. Por otro lado, Active Directory va a permitir crear el nombre de dominio en el que se van a meter todos los PCs del centro. En este caso se va a crear un dominio con el nombre CEIP_PCatalans. Además también va a permitir crear grupos de trabajo con una serie de permisos y privilegios, además de nombres de usuarios para cada persona. En este caso cada profesor, alumno o trabajador del centro tendrá un nombre de usuario que, en un principio, se creará con la primera inicial del nombre y todo seguido el apellido. Por ejemplo, para una usuaria que se llame Ana García se le creará el nombre de usuario agarcia. También se crearán carpetas para un colectivo en concreto, con la cual se podrán compartir ficheros, leerlos y modificarlos. Es importante destacar que, por temas de seguridad, el perfil de cada usuario no deberá permitir la instalación de ningún programa ni la actualización de ninguno. El administrador/a es el responsable de realizar estas acciones. En el anexo III, en el punto 1.1 se hace una breve explicación de cómo instalar el Windows Server 2008 y de cómo crear usuarios y carpetas y cómo dar una serie de permisos.

49 Capítulo 7. Servidores 41 Dado que también se va a diseñar como un servidor de impresoras, es necesario instalar en este equipo los controladores de las impresoras que haya en el centro. De este modo, a cada PC se le configurará la impresora que sea necesaria y además se evitará que se pueda imprimir desde un PC que no esté dentro del dominio CEIP_PCatalans. 7.3 Servidor de correo Este servidor va a controlar todas las cuentas de correo tanto del personal del centro como de los alumnos. Además es donde se va almacenar todos los correos de los distintos usuarios, lo cual además va a permitir realizar copias de seguridad y recuperar mensajes que se hayan podido perder a causa de alguna mala gestión del usuario. El formato aproximado de las cuentas de correo será inicial_nombre.apellido@xtec.cat, realizando alguna variación en casi de que se produzca una repetición. El dominio es el de la Xarxa Telemàtica Educativa de Catalunya Equipo a instalar El equipo ha de tener unos los siguientes requisitos mínimos para un funcionamiento óptimo: - Procesador a 1.5 GHz - 32 GB en RAM en disco duro. En punto 2 del anexo V se especifica el modelo de servidor que se va a montar Software necesario En el servidor de correo se debe instalar el Windows server 2008, bajo el sistema operativo XP. Es necesario poner este PC dentro del dominio anteriormente creado, CEIP_PCatalans. Por otro lado se debe instalar el Microsoft Exchange Server 2007, a través del cual se van a gestionar los correos. En el anexo III, punto 1.1 se detalla la instalación. 7.4 Servidor Radius Este servidor va a servir para controlar el acceso de clientes inalámbricos tanto a la red educat como a la eduroam, restringiendo el acceso mediante la

50 42 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados utilización de un usuario/clave por autenticación EAP con PEAP. Esta información se almacenará en una base de datos de autenticación en servidor bajo el protocolo RADIUS. También se va a lograr que la información viaje de forma segura a través de la encriptación de datos mediante WEP. La contraseña con la que se tendrán que validar los clientes inalámbricos será wificentro. Si es necesario, se podrá cambiar la contraseña de la red inalámbrica, siempre y cuando el administrador de la red lo actualice en la documentación Equipo a instalar Los requisitos que, aproximadamente, ha de tener el equipo para montar un servidor Radius, montado sobre Debian GNU/Linux, son los siguientes: - Procesador a 1.5 GHz (Pentium 4) MB en RAM - 10 GB en disco duro. Por otro lado también es necesario configurar los access point, ingresando un nombre en el access point (el cual se detalla en el capítulo de redes inalámbricas como debe ser), seleccionar el canal (por defecto ésta en el 6), seleccionar el método de autenticación WPA e ingresar los datos del servidor Radius. Esta información se especifica en el punto 2 del anexo III. En el punto 2 del anexo V se especifica el modelo de servidor que se va a montar y en el punto 1.2 del anexo V los Access point que se van a utilizar Software necesario En el equipo, que se ha de montar con Debian GNU/Linux, se ha de instalar el programa de código abierto FreeRadius, versión 1.1.2, configurándolo para regular el acceso a la red inalámbrica. En el anexo III, en el apartado 2, se detalla el proceso de instalación de FreeRadius, así como de los access point y del cliente (portátil). 7.5 Direccionamiento Los servidores se van a configurar con una dirección IP fija, ya que atienden a consultas de forma constante. Todos se van a configurar con una IP privada, por temas de seguridad, salvo el servidor Radius,que se le va a asignar una pública proporcionada por el proveedor de servicios, ya que atiende al ingreso de usuarios externos a la red inalámbrica. En el punto 4.2 de este documento se especifican las direcciones IP que se deben configurar en cada servidor.

51 Capítulo 8. Seguridad en la red En la LAN CAPÍTULO 8. SEGURIDAD EN LA RED Es importante implementar sistemas de seguridad ya que si una persona ajena a la red y con intenciones de atacarla obtiene acceso, pueden surgir una serie de amenazas como robo de información e identidad, pérdida i/o manipulación de datos o la interrupción del servicio durante un periodo de tiempo. No se prevé un gran flujo de tráfico en la red colegio, aunque no por ello se debe descuidar la seguridad, ya que a través de ésta puede circular información importante Elementos y aplicaciones Para la protección de la red va a ser importante implementar ciertas herramientas y aplicaciones tales como parches y actualizaciones, antivirus o firewalls. En todos los equipos del centro se deberían de mantengan las aplicaciones de software actualizadas con los últimos parches y actualizaciones de seguridad a fin d evitar posibles amenazas. También es muy importante que todos los equipos que estén conectados a la LAN del centro tengan instalado un antivirus para poder detectar y eliminar posibles virus. Algunas de las funciones que pueden incluirse en los programas antivirus son: la verificación de correo electrónico, el escaneo dinámico de residentes, la programación de escaneos o las actualizaciones automáticas. En los equipos del colegio se va a instalar el software antivirus McAffe También se debe proteger el acceso no autorizado a la electrónica de la red, como switches o router. Para ello se controlará el acceso vía telnet mediante un usuario y una contraseña, que solo debería conocer el personal autorizado. A parte de proteger las computadoras y servidores individuales conectados a la red, es importante controlar el tráfico de entrada y de salida de la red. Para ello se va a utilizar un firewall, información que se amplía en el siguiente punto Firewall Para proteger los equipos de la red local contra amenazas externas se va a utilizar un firewall basado en hardware. Éste se debe conectar al switch principal de capa 3, entre la red interna y la externa y va a controlar el tráfico de entrada y de salida.

52 44 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Se va a configurar para evitar accesos del exterior que puedan poner en riesgo los equipos y datos de la red local. Los paquetes que entran a la red deberán ser respuestas legítimas de los equipos internos de la red. Los paquetes no solicitados serán bloqueados, a menos que se permitan específicamente en alguna regla del firewall. Además el firewall va a permitir reconocer y filtrar ataques Dos (Denegación de servicio), que pueden provocar la interrupción del servicio durante un tiempo Proxy Dado que la red inalámbrica Educat es la que van a utilizar los alumnos para conectarse a la plataforma educativa del centro y llevar a cabo ciertas clases es importante evitar que ésta se sobrecargue. Por ello se va a utilizar un servidor proxy para restringir la conexión a ciertas páginas webs. El proxy, que va a utilizar el software Squid, bajo licencia GPL, va a servir como servidor proxy además de tener una memoria cache que va a acelerar en gran medida la velocidad de carga en internet. A continuación se muestra una tabla con los sitios webs a los que se deberá denegar el acceso. Si se cree necesario restringir más accesos es posible, siempre y cuando quede reflejado en la documentación de la red. Tabla 8.1. Páginas webs a las que se debe restringir el acceso Sitio Web En punto 1 del anexo IV se puede consultar cómo configurar el servidor proxy y los requisitos necesarios Listas de acceso (ACL) Se van a configurar una serie de ACL en el switch principal para controlar el tráfico que se envía o se bloquea. Para configurar la visibilidad entre las VLANs se van a configurar las siguientes sentencias:

53 Capítulo 8. Seguridad en la red 45 access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 permit ip any any access-list 102 deny ip access-list 102 deny ip access-list 102 deny ip access-list 102 deny ip access-list 102 permit ip any any access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 permit ip any any access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 permit ip any any access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 permit ip any any access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 permit ip any any access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 permit ip any any Recordar incluir al final de las sentencias la ACL para que se permita el resto de conexiones, pues de forma implícita se deniegan el resto de conexiones. Por tanto se debe incluir como última sentencia: Access-list permit ip any any

54 46 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados En función de las necesidades e inconvenientes que puedan surgir se podrán ir añadiendo ACLs debidamente documentadas. 8.2 En la WLAN Cambiar configuraciones predeterminadas Es importante cambiar las configuraciones de los access point que vienen por defecto, ya que éstos vienen pre configurados con SSID, contraseña y direcciones IP. Estos valores pueden facilitar la identificación y la infiltración en la red de algún atacante. La información por defecto se debe cambiar por otra más segura y exclusiva y además desactivar el broadcast de SSID Habilitar autenticación Potocolo de Autenticación Extensible (EAP) Las redes inalámbricas Educat y Eduroam harán la validación mediante el protocolo de autenticación extensible (EAP), el cual proporciona autenticación de dos vías a través del servidor Radius. Este servidor back-end funciona independientemente del AP y mantiene la base de datos de usuarios válidos que pueden tener acceso a la red. Cuando se utiliza el EAP, el usuario (no sólo el host) debe proporcionar un nombre de usuario y una contraseña, que se comparan con la base de datos de RADIUS, para obtener la validación. Si son válidos, el usuario obtiene la autenticación. En la figura 8.1 se puede ver el funcionamiento. Fig.8.1 Funcionamiento del protocolo de autenticación EAP Claves pre compartidas (PSK) La red inalámbrica docente realiza autenticación con clave compartida, PSK. Tanto el AP como el cliente inalámbrico deben configurarse con la misma clave o palabra secreta. La PSK realiza una autenticación de una vía, es decir, el cliente inalámbrico, que acepta la cadena de bytes aleatoria que le envía el AP, la encripta según la clave y la envía nuevamente al AP, se autentica ante el AP,

55 Capítulo 8. Seguridad en la red 47 que recibe la cadena encriptada y usa la clave para descifrarla. Si la cadena descifrada recibida del cliente coincide con la cadena original enviada al cliente, éste puede conectarse a la red inalámbrica docent. Fig.8.2 Funcionamiento autenticación PSK Encriptación La red docent se va a encriptar mediante WPA i la eduroam y educat con WPA2. El WPA genera claves de encriptación dinámicas de 64 a 256 bits cada vez que un cliente establece una conexión con el AP. La diferencia entre WPA i la WPA2 es que esta última cambia la clave cada pocos minutos, aunque sea la misma conexión.

56 48 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 9. ELECCIÓN DE LOS DISPOSITIVOS 9.1 Dispositivos de red La elección de los dispositivos se va a realizar según las necesidades y los requisitos mínimos que se requieran para completar el diseño de la red. También se va a tener en cuenta la posibilidad de elegir productos modulares y ampliables para reducir costos en futuras ampliaciones. En el anexo (ANEXO VI, punto 1.1) se muestra la previsión de las tomas necesarias y el cálculo de puertos y backplane de cada dispositivo. Se deberá de tener en cuenta que los enlaces a los servidores y al router deberán ser de gigabit y trabajando en fullduplex. En cada rack hay una serie de puertos libres por si fuera necesario instalar más Access point o rosetas. En caso de que llegue un momento en que no haya puertos libres se podrá añadir otro switch estacado a unos de los existentes para que siga funcionando como uno solo Tipo de dispositivo y características mínimas requeridas Switch principal El switch principal debe tener las siguientes características mínimas: - Capacidad de encaminamiento. - Capacidad de un mínimo de 7 puertos tipo 100 Base-T i 1000 Bse-T por lo que respecta al switch para UTP y un mínimo de 9 puertos para el switch de fibra. - Disponibilidad de un mínimo de 3 ranuras SPF para conexiones de fibra óptica. - Alimentación mediante el cable de Ethernet (PoE). - Configuración de calidad de servicio (QoS). - Soporte de VLANs. A la hora de configurarlo se debe establecer el siguiente usuario y contraseña: Usuario: admin Contraseña: 2K7heura Switch secundario Cada switch secundario deberán de tener las siguientes características mínimas:

57 Capítulo 9. Elección de dispositivos 49 - Capacidad de un mínimo de 24 o 48 puertos tipo 100 Base-T i 1000 Bse-T según la planta/edificio en el que vaya a dar servicio. - Soporte de VLANs - Soporte de Spanning Tree Protocol - Disponibilidad de al menos 1 ranura SPF para conexiones de fibra óptica. - Soporte de servicio de voz A la hora de configurarlo se debe establecer el siguiente usuario y contraseña: Usuario: admin Contraseña: 2K7heura Controlador wifi El controlador wifi apenas va requerir características específicas, pues ni siquiera se necesitan muchos puertos, ya que según la previsión no se van a conectar access point directamente al controlador. Los requisitos a tener en cuenta son que el controlador ha de admitir como mínimo 65 access point para controlar y que permita la encriptación WPA y WPA2. Al controlador wifi se le deberá de configurar loa siguientes parámetros de acceso: Usuario: admin Contraseña: 3DucaTh3urA Access Point El punto de acceso a utilizar debe tener las siguientes características: - Banda de frecuencia 2,4 GHz - Permita ser controlado mediante un controlador wifi. - Permita la alimentación por Ethernet (PoE) - Velocidad de transferencia de 54 Mbps. - Permita encriptación WPA-PSK y WPA2

58 50 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Router Las características que debería tener son: - Sea un dispositivo modular, para futuras ampliaciones y/o cambios en la red. - Disponga de un mínimo de 4 puertos de 100 Base-T i 1000 Base-T - Admita servicios de voz y NAT - Tenga seguridad integrada, como cifrado y firewall El usuario y contraseña que se debe configurar es: Usuario: admin Contraseña: PaïsosCatalans Patch Panel Los únicos requisitos son que el patch panel del rack principal tenga mínimo 9 puertos y que todos admitan la conexión de fibra óptica Sistema de alimentación Ininterrumpida (SAI) El único requisito que ha de tener el sistema de alimentación ininterrumpida es que ha de ser tipo on-line, ya que al no tener tiempo de conmutación en caso de fallo o anomalía los dispositivos no se ven afectados. Se debe proteger el acceso con el siguiente usuario y contraseña: Usuario: admin Contraseña: SAIheura Selección de dispositivos A continuación se presentan los dispositivos seleccionados que se van a montar para el desarrollo del diseño de la red. Se han realizado dos selecciones distintas, dispositivos de alta y de gama económica, donde difieren los dispositivos principales de la red Dispositivos de alta gama En la siguiente tabla se presentan los dispositivos seleccionados dentro de los de alta gama. La electrónica principal de la red, como el router, el switch principal, tanto el de UTP como el de fibra y el controlador wifi van a ser de

59 Capítulo 9. Elección de dispositivos 51 Cisco mientras que el resto serán de otros fabricantes más asequibles para abaratar costes. Tabla 9.1. Dispositivos a implantar para el presupuesto de gama alta Dispositivos Marca Modelo Router Cisco Cisco 1861 Switch principal Ethernet Cisco Catalyst 3750G-24PS Switch principal Fibra Cisco Catalyst FS Switch secundario- 10p D-Link DGS-1210 Switch secundario- 24p D-Link DGS Switch secundario- 48p D-Link DGS Acess point Cisco Aironet 1130AG/ Controlador wifi Cisco Cisco Dispositivos de gama económica En la siguiente tabla se presentan los dispositivos de red incluidos dentro de los de gama económica, donde todos son D-link, salvo el router que será un 3- com. Tabla 9.2. Dispositivos a implantar para el presupuesto de gama económica Dispositivos Marca Modelo Router 3com 5012 Switch principal Ethernet D-Link DGS-3627 Switch principal Fibra D-Link D-Link xstack DXS-3326GSR Switch secundario- 10p D-Link DGS-1210 Switch secundario- 24p D-Link DGS Switch secundario- 48p D-Link DGS Acess poit D-Link DAP-1160 Controlador wifi D-Link DWS-3024L Electrónica común Electrónica como el SAI, el patch panel o el firewall van a ser los mismos en ambos presupuestos. Se presentan a continuación: Tabla 9.3. Dispositivos a implantar en ambos presupuestos Dispositivos Marca Modelo SAI Voltronic Galleon UP61 Patch Pannel D-link Patch panel 12p-SC Firewall Cisco Small Business Pro SA 520

60 52 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 9.2 Servidores Se van a utilizar los mismos servidores en los dos presupuestos que se van a presentar, dado que se han elegido unos equipos con una buena relación calidad-precio para no encarecer excesivamente el presupuesto pero que garanticen un buen servicio. En el capítulo 7 se detallan los requisitos de cada equipo para los distintos servidores. A continuación se presentan los modelos que se van a utilizar. En el punto 2 del anexo V se pueden ver las especificaciones técnicas de cada equipo. Tabla 9.4. Equipos a utilizar para los distintos servidores Servidor Marca Modelo Servidor de correo HP HP ML110 G6 X3450 NHP SATA EU Svr Servidor DNS, de datos e impresoras HP HP ML110 G6 X3450 NHP SATA EU Svr Servidor Asterix Intel PENTIUM E5700 Servidor Proxy Intel PENTIUM E5700 Servidor Radius Intel PENTIUM E5700

61 Capítulo 10. Contratación del proveedor de servicios 53 CAPÍTULO 10. CONTRATACIÓN DEL PROVEEDOR DE SERVICIOS 10.1 Contratación del proveedor de servicios Se han consultado varios operadores para comparar el precio y los servicios básicos que ofrecen y escoger el que más convenga. A continuación se muestra una tabla comparativa con varios operadores: Tabla Comparativa de servicios y precio de varios ISP Operador Operador 1 Operador 2 Operador 3 ADSL- Conexión 30Mbps de bajada i 1Mbps de subida 30Mbps de bajada i 1Mbps de subida 20 Mbps de bajada i 6 Mbps de subida Línea telefónica 1 línea gestionable 1 línea gestionable 8 líneas gestionables Llamadas Llamadas provinciales y nacionales gratuitas (máximo 120 min). 500 minutos gratis a móviles los fines de semana. Llamadas provinciales y nacionales gratuitas (máximo 60 min) Llamadas provinciales y nacionales gratuitas (máximo 60 min) Extras Cuota Mensual Centralita 59,87 Centralita + terminales 285,78-124,95 El proveedor de servicios que se va a contratar es el operador 1 ya que para los servicios que se requieren, en relación a la calidad y el precio, sale más económico que le resto de operadores. A pesar de que el operador 2 incluye los terminales telefónicos, hay que pagar una cuota mensual por ellos, por lo que a la larga saldría más caro. Se van a contratar varios servicios: el ADSL, una línea telefónica y se va a alquilar una centralita telefónica para poder gestionar las llamadas de las 6 líneas analógicas que habrá en el colegio.

62 54 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados El precio total a pagar será 89,77 al mes (ADSL 45,90 /mes + línea 13,97 /mes + centralita 29,90 /mes) Contrato SLA ADSL Las condiciones del contrato con el proveedor de servicio son las siguientes: - El ADSL contratado por el operador 1 ofrece una conexión permanente a Internet a 30 Mbps de subida y 1 Mbps de bajada con tarifa plana las 24 horas y sin restricciones de descargas. - Al contratar la línea telefónica, todas las llamadas de ámbito metropolitano, provincial y nacional serán gratuitas, con una durada máxima de 120 cada llamada. - Se disponen de 500 minutos al mes en llamadas gratuitas a móviles tanto de Movistar, como de otros operadores. Sin establecimiento de la comunicación. Estas llamadas gratuitas se podrán realizar los fines de semana en el siguiente horario: desde las 00:00:00 del sábado hasta las 23:59:59 del domingo. - No están incluidas las llamadas al 090 (Servicio Datafono) o a numeraciones 90X. - La modalidad de contratación del ADSL incluye la instalación, que la realiza un técnico especializado. - Llamadas gratuitas al Centro de Atención Técnica. - El router ADSL no será propiedad del cliente, pues sólo se comercializa en régimen de alquiler. Será necesario realizar su devolución en caso de solicitar la baja del servicio ADSL. - La cuota mensual del ADSL 30 Mb + llamadas no incluye la cuota mensual de la línea telefónica. - Limitado a un ADSL por cliente (NIF/CIF). - Además también ofrece los siguientes servicios: 100 GB de disco duro virtual Terabox. Portal de contenidos educativos Aula 365. Terabox es un servicio nuevo que ofrece este operador de forma gratuita que consiste en almacenamiento de datos, a modo de disco duro virtual, con un límite de 5 Gb.

63 Capítulo 10. Contratación del proveedor de servicios 55 Aula 365 está orientada a estudiantes de entre 6 y 16 años y les permite complementar y reforzar sus actividades y estudios escolares con la supervisión de sus padres y en un entorno controlado y moderado, lo que evita la publicación de datos personales o contenidos inadecuados en ninguno de los apartados del portal Centralita telefónica Mediante la cuota mensual, se va a poder disponer de una centralita en alquiler, con todo el equipamiento necesario para una óptima atención telefónica, y de los principales fabricantes: Panasonic, Opera, Siemens El servicio de alquiler de centralitas se compone de: - Centralita, con las extensiones necesarias a líneas analógicas y digitales. - Teléfono de operadora, que gestiona las llamadas entrantes desde la central, el cual se instalará en conserjería. - Enlace móvil para ahorrar en llamadas de fijo a móvil. - Instalación de la centralita de alquiler en menos de 48 horas. - Configuración personalizada y formación e instrucciones para el correcto uso de la centralita. - Mantenimiento de la centralita incluido en la cuota de alquiler. - Tras el pago de la cuota de alquiler durante los cuatro primeros años, la centralita pasa a ser de propiedad.

64 56 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 11. PLAN DE TRABAJO Y PREVISIÓN DE OPERATIVA Y MANTENIMIENTO 11.1 Mantenimiento de la infraestructura Mantenimiento preventivo El técnico responsable del mantenimiento de la red del colegio deberá de llevar a cabo una serie de tareas de forma periódica. Esto va a permitir prevenir y minimizar posibles fallos o problemas antes de que ocurran. A continuación se muestra un plan de trabajo y operativa mensual que el técnico de la empresa contratada Aliernet deberá de cumplir, realizando asistencias regulares para labores de control, actualizaciones y supervisión de procesos para lograr la correcta funcionabilidad de los equipos. Las copias de seguridad tanto de los servidores como de los equipos las realizará la empresa contratada y las guardarán en sus servidores. Esta práctica también es una forma de contingencia en caso de que ocurra algún suceso en el centro que provoque la pérdida de algún equipo y los correspondientes datos.

65 Capítulo 11. Plan de trabajo y previsión de operativa y mantenimiento Mantenimiento correctivo Aliernet, la empresa que se va a encargar del mantenimiento, ofrece la opción de solucionar incidencias de forma remota, siempre que sea posible. Esto es ventajoso porque se reducen costes operativos y de ésta manera se puede ofrecer un precio menor por el servicio que presta. Las incidencias que surjan tanto en la electrónica de la red como en los equipos o el cableado se deben derivar al técnico de mantenimiento, que él u otro técnico deberán de solucionar Otros Cada año se deberá realizar un inventario de todos los equipos y electrónica que se encuentren en las áreas formativas y administrativas del centro. Es importante que cada inventario e identificación de errores se registren y se guarden para futuras fallas o para justificar ciertos reemplazos de equipos o ampliaciones de las capacidades operativas de algunos equipos.

66 58 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 12. PRESUPUESTO 12.1Presupuesto de alta gama y de gama económica A continuación se presenta el presupuesto. Los cálculos aproximados sobre las bobinas de cable UTP y fibra necesarios, el número de cajas para las rosetas o la longitud aproximada de las bandejas metálicas y canaletas de plástico se pueden consultar en el anexo VII. Se van a presentar dos presupuestos, uno de alta gama y otro de gama económica, la diferencia entre los cuales recae básicamente en la electrónica principal de la red. Tabla Presupuesto de alta gama Elemento Cantidad/ Precio Longitud Unidad Precio Total Bobinas UTP cat.6 (305m) , ,56 Bobina fibra multimodo (300m) 1 231,67 231,67 Latiguillos fibra MTRJ-SC 28 50, ,68 Conector Cisco SFP , ,56 Conector SC 38 2,16 82,08 Conector RJ , Caja RJ-45 / Doble 77 6,75 519,75 Caja RJ-45 / Simple 9 5,95 53,55 Bandejas metálicas 713 m 10,27 /m 7322,51 Canaletas de plástico 73,35 m 5,71 /m 418,83 Router Cisco , ,58 Switch Principal UTP Cisco , ,19 Switch Principal Fibra Cisco , ,68 Switch secundario 8p D-Link 1 243,53 243,53 Switch secundario 24p D-Link 2 941, ,64 Switch secundario 48p D-Link , ,84 Controlador wifi Cisco Access point Cisco , ,28 Firewall SAI 1 456,63 456,63 Patch pannel 6 61, Servidor Asterix Servidor DNS, datos, impresoras , ,14 Disco duro 1TB Servidor Radius Servidor Proxy Servidor correo , ,14 Proveedor de Servicios 1 89,77 89,77 Teléfono IP 30 96, ,6 Teléfono digital 6 96,95 581,7 Mano de obra y certificación TOTAL 87743,91

67 Capítulo 12. Presupuesto 59 Tabla Presupuesto de gama económica Elemento Cantidad/ Precio Longitud Unidad Precio Total Bobinas UTP cat , ,56 Bobina fibra multimodo 1 231,67 231,67 Latiguillos SC-SC 28 24,16 676,48 Conector D-Link SFP Conector SC 48 2,16 103,68 Conector RJ , Caja RJ-45 / Doble 77 6,75 519,75 Caja RJ-45 / Simple 9 5,95 53,55 Bandejas de metálicas 713 m 10,27 /m 7322,51 Canaletas de plástico 73,35 m 5,71 /m 418,83 Router 3-com Switch Principal UTP D-Link , ,32 Switch Principal Fibra D-Link , ,36 Switch secundario 8p D-Link 1 243,53 243,53 Switch secundario 24p D-Link 2 941, ,64 Switch secundario 48p D-Link , ,84 Controlador wifi D-Link , ,02 Access point D-Link 52 51, ,88 Firewall SAI 1 456,63 456,63 Patch pannel 6 61, Servidor Asterix Servidor DNS, datos, impresoras , ,14 Disco duro 1TB Servidor Radius Servidor Proxy Servidor correo , ,14 Proveedor de servicios 1 89,77 89,77 Teléfono IP 30 96, ,6 Teléfono digital 6 96,95 581,7 Mano de obra y certificación TOTAL 60609,60

68 60 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CAPÍTULO 13. PROTOTIPO DE LA RED 13.1 Simulación de la red Para verificar el correcto funcionamiento de la red según el diseño realizado se ha realizado un prototipo con las distintas configuraciones propuestas con el programa de simulación de Cisco Packet Tracer. Fig.13.1 Prototipo de la red Tal y como se puede observar en la figura, la simulación se ha hecho con uno de los switches secundarios de cada planta o edificio, con el switch principal de nivel 3, el router y los servidores, así como los dispositivos para que el usuario final pueda hacer uso de la red (ordenadores, access points y teléfonos IP). Para los dispositivos como el controlador wifi o el firewall el programa no permite su simulación.

69 Capítulo 13. Prototipo de la red Configuraciones técnicas Configuración de los dispositivos A continuación se muestra cómo realizar las principales configuraciones de los dispositivos de la red. Las configuraciones completas de los dispositivos se pueden encontrar en el anexo VII. - Configuración de las VLANs en los switches secundarios Ejemplo de configuración de las 7 VLAN existentes en el switch R0SS1 (planta baja) R0SS1(config)#vlan 2 R0SS1(config)#name vlan docente R0SS1(config)#vlan 3 R0SS1(config)#name vlan wifi_docente R0SS1(config)#vlan 4 R0SS1(config)#name vlan gestion R0SS1(config)#vlan 5 R0SS1(config)#name vlan eduroam R0SS1(config)#vlan 6 R0SS1(config)#name vlan telefonia_ip R0SS1(config)#vlan 7 R0SS1(config)#name vlan educat R0SS1(config)#vlan 10 R0SS1(config)#name vlan Administracion - Configuración de las IPs de las VLANs en el switch principal switch_principal(config)#interface Vlan2 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan3 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan4 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan5 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan6 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan7 switch_principal(config-if)#ip address switch_principal(config)#interface Vlan10 switch_principal(config-if)#ip address

70 62 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados - Configuración del Spanning Tree Protocol switch_principal(config)#spanning-tree vlan 2 priority 4096 switch_principal(config)#spanning-tree vlan 3 priority 4096 switch_principal(config)#spanning-tree vlan 4 priority 4096 switch_principal(config)#spanning-tree vlan 5 priority 4096 switch_principal(config)#spanning-tree vlan 6 priority 4096 switch_principal(config)#spanning-tree vlan 7 priority 4096 switch_principal(config)#spanning-tree vlan 10 priority 4096 En la configuración anterior se está configurando STP dándole una prioridad menor para que el switch principal sea el dispositivo raíz. R0SS1(config)#spanning-tree vlan 2 priority R0SS1(config)#spanning-tree vlan 3 priority R0SS1(config)#spanning-tree vlan 4 priority R0SS1(config)#spanning-tree vlan 5 priority R0SS1(config)#spanning-tree vlan 6 priority R0SS1(config)#spanning-tree vlan 7 priority R0SS1(config)#spanning-tree vlan 10 priority En la configuración anterior se está configurando STP, dándole una prioridad mayor respecto al switch principal para que no sea el dispositivo raíz. - Configuración de QoS: colas de prioridad Router(config)#access-list 114 permit tcp any any eq 1720 Router(config)#access-list 114 permit udp any any range Router(config)#queue-list 1 protocol ip 1 list 114 La cola 1 está destinada al tráfico VoIP, que al utilizar el protocolo TCP con puerto destino 1720 para la señalización y el UDP con rangos de puertos destinos del al para conversación se ha realizado la configuración anterior. Router(config)#queue-list 1 protocol ip 2 tcp 21 Router(config)#queue-list 1 protocol ip 3 tcp 80 Router(config)#queue-list 1 default 4 Con los comandos anteriores se configuran el resto de colas de prioridad, siendo la 2 para tráfico TFP (puerto 21), la 3 para tráfico HTTP (puerto 80) y la 4 para el resto de tráfico. Router(config)#queue-list 1 queue 1 byte-count 3000 Router(config)#queue-list 1 queue 2 byte-count 1500 Router(config)#queue-list 1 queue 3 byte-count 1500 Router(config)#queue-list 1 queue 4 byte-count 1500

71 Capítulo 13. Prototipo de la red 63 Partiendo de un quanto por defecto de 1500 bytes y haciéndolo coincidir con el 20 % del ancho de banda, para el tráfico VoIP el quanto tendrá que ser de 3000 bytes (pues supone el 40%). Se debe hacer el reparto proporcional según los porcentajes especificados. Router(config-if)# custom-queue-list 1 Router(config-if)# custom-queue-list 1 Finalmente se aplica a las interfaces del router. - Configuración de QoS: interfaces de telefonía IP Para cada interfaz de los switches secundarios configuradas con la VLAN 6 para la telefonía IP se debe introducir la siguiente configuración para aplicar calidad de servicio e indicar al teléfono con que VLAN debe transportar el tráfico. R0SS1(config-if)#switchport voice vlan 6 R0SS1(config-if)#mls qos trust cos R0SS1(config-if)#mls qos trust device cisco-phone - ACL que se deben configurar en en switch principal para gestionar la visibilidad entre las VLANs access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 deny ip access-list 101 permit ip any any access-list 102 deny ip access-list 102 deny ip access-list 102 deny ip access-list 102 deny ip access-list 102 permit ip any any access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 deny ip access-list 103 permit ip any any access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 deny ip access-list 104 permit ip any any access-list 105 deny ip access-list 105 deny ip

72 64 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 deny ip access-list 105 permit ip any any access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 deny ip access-list 106 permit ip any any access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 deny ip access-list 107 permit ip any any Tráfico de la red Se han realizado capturas de paquetes con el analizador de tráfico y capturas de PDU del programa Packet Tracer con el cual se ha estudiado el tráfico, las configuraciones realizadas y las políticas de acceso que se han configurado, verificando así el correcto funcionamiento. Fig.13.2 Captura del tráfico STP

73 Capítulo 13. Prototipo de la red 65 Fig.13.3 Captura de la PDU de STP en el R1SS1 Fig.13.4 Tráfico capturado en una solicitud web (HTTP) al servidor de datos y la PDU generada Fig.13.5 Captura de paquetes en la red para verificar las ACLs configuradas

74 66 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados En la tabla 13.1 se muestran los resultados de la captura de la figura 13.5, donde se puede ver si las políticas de acceso que se ha configurado se están ejecutando correctamente. Tabla Resultados de las capturas de paquetes Origen Estado Destino Protocolo Éxito ICMP Éxito ICMP Fallo ICMP Éxito TCP Fallo ICMP Fallo ICMP Éxito ICMP Fallo ICMP Mapa de puertos En el presente apartado se muestra un mapa de puertos de cada dispositivo de la red para seguir un orden en las conexiones de cada puerto. En caso de agregar dispositivos o realizar algún cambio se deberá actualizar el mapa de puertos del dispositivo en concreto. SWITCH PRINCIPAL R0SS1 R1SS1

75 Capítulo 13. Prototipo de la red 67 R1SS2 R2SS1 R2SS2 R3SS1 R4SS1 CONTROLADOR WIFI

76 68 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados CONCLUSIONES Una vez finalizado el proyecto puedo decir que se han alcanzado los objetivos previstos para el diseño de la red del colegio CEIP Plaça dels Països Catalans, del cual se finalizó su construcción a finales del Además de plasmar los conocimientos que tenía inicialmente he podido aprender y ampliar otros. Pienso que el resultado que se ha obtenido perfectamente se podría implementar en el colegio, pensado especialmente para impartir las clases a los niños sustituyendo los libros por portátiles y un acceso a los libros vía web. Es el inicio de una nueva forma de aprender y de enseñar.

77 Bibliografía 69 BIBLIOGRAFÍA Libros [1] Ariganello, E, Redes Cisco. Guía de estudio para la certificación CCNA , Ra-ma Editorial, Madrid (2009). Páginas Web [1] (Cableado estructurado) [2] (Cableado estructurado) [3] (Cableado estructurado) [4] (Cableado estructurado) [5] (Servidor Asterisk) [6] Ubuntu (Servidor Radius) [7] (Selección de dispositivos) [8] (Selección de dispositivos) [9] (Selección de dispositivos) [10] (Selección de dispositivos)

78 ANEXOS TÍTULO DEL TFC/PFC: Diseño y planificación de la red de voz y datos de un colegio con capacidad de 867 personas y 3059,29 m2 edificados TITULACIÓN: Ingeniería Técnica de Telecomunicaciones, especialidad en Telemática AUTOR: Verónica Domínguez Sagra DIRECTOR: Jordi Mataix FECHA: Marzo de 2011

79 ÍNDICE ANEXO I. CABLEADO ESTRUCTURADO Definición y características Normativa Esquema general del cableado Área de trabajo Cableado horizontal (de distribución) Cableado vertical (Backbone)... 7 Fig.1.5 Esquema de conexión del cableado estructurado Cuarto de Telecomunicaciones Tipo de cable UTP Fibra óptica Elementos básicos para el cableado estructurado Conector RJ Bandejas metálicas horizontales Canaletas Caja (jack RJ-45) Optimización del cableado ANEXO II. TELEFONÍA IP La centralita telefónica Instalación de Asterisk Configuraciones Configurar una extensión Configurar un enlace troncal Configurar llamadas salientes Configurar llamadas entrantes Terminales Teléfono IP Teléfono digital (línea analógica) ANEXO III. INSTALACIÓN Y CONFIGURACIÓN DE SERVIDORES Servidor de DNS, datos e impresión Instalación de Windows Server Crear usuarios Crear grupos Crear carpeta compartida Servidor Radius Instalación y Configuración de FreeRADIUS Users Clients.conf Eap.conf Radius.conf Arrancar FreeRADIUS Configuración Access Point Configuración Cliente Servidor de correo Instalación Microsoft Exchange Crear un buzón de correo ANEXO IV. SEGURIDAD... 72

80 1. Servidor Proxy Instalación y configuración del Squid Configuración de las ACLs ANEXO V. DISPOSITIVOS Dispositivos de red Cálculo de los puertos necesarios y backplane Selección de dispositivos Alta Gama Gama económica Electrónica común Servidores Fig.5.21 Equipo a utilizar para el servidor de correo y el de datos, DNS e impresión ANEXO VI. CÁLCULOS PARA EL PRESUPUESTO Cableado horizontal. UTP Categoría Cableado vertical. Fibra óptica Fibra óptica Conectores RJ Fibra óptica Bandejas metálicas Canaletas de plástico Mano de obra y certificación de punto de datos CAPÍTULO VII. CONFIGURACIONES DE LOS DISPOSITIVOS DE RED Configuraciones de la electrónica de la red Switch principal Switches secundarios Router ANEXO VIII. PLANOS DEL CENTRO Cableado estructurado Ubicación Access Point

81 4 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados ANEXO I. CABLEADO ESTRUCTURADO 1. Definición y características Un sistema de cableado estructurado es una infraestructura de cables que soporta varios tipos de servicios, tales como voz, datos o imágenes, independientemente del fabricante de éstos, lo cual permite adaptarse a las necesidades de la empresa o entidad. Hasta el año de la publicación de la primera normativa americana las instalaciones de voz (telefonía), datos (red) e imágenes (TV) iban por separado y actualmente se integran en un mismo sistema. El cableado estructurado está diseñado con una jerarquía lógica que adapta todo el cableado existente y el futuro en un único sistema, de forma que, correctamente diseñado e instalado, cubre todas las necesidades de conectividad de los usuarios durante un largo periodo de tiempo. El sistema de cableado estructurado es un sistema abierto y evolutivo aplicable a cualquier necesidad de comunicaciones actuales o futuras. Entre las características generales destacan las siguientes: - Flexibilidad: La posibilidad de ubicar servicios futuros y configurar nuevas estaciones de trabajo sin alterar el resto, ya que solo se configuran las conexiones de un enlace particular Para lograr esto es necesario: Prever un sobredimensionamiento en los puntos de trabajo para la actividad planificada Prever la utilización indistinta de los puntos de trabajo: Puedo conectarme en cualquier punto de la estructura del cableado estructurado para llevar a cabo el mismo trabajo Diseñar la estructura de forma que pueda soportar fácilmente nuevas tecnologías. - Modularidad: realizar un diseño jerárquico de la red para realizar un diseño independiente de la naturaleza y tecnología de los sistemas que se quieren conectar así como de la topología utilizada. - Coste: no instalar cableado estructurado hace que los costes aumenten constantemente en el momento de hacer actualizaciones: Ampliación de cableado para soportar nuevos servicios Cambios en la estructura existente La localización y corrección de averías se simplifica con el cableado estructurado dado que los problemas se detectan de manera centralizada Tiempo y recursos humanos utilizados

82 Anexo I. Cableado Estructurado 5 2. Normativa Para dar respuesta a la necesidad de crear una norma con la cual se diera servicio a cualquier tipo de red local de datos, voz y otros sistemas de comunicaciones con una estructura común se crearon estándares de cableado. Éstos son un conjunto de especificaciones para la instalación y evaluación de los cables que especifican los tipos de cables que deben utilizarse en entornos específicos, diagrama de pines, tamaños y longitudes de los cables, tipos de conectores y límites de rendimiento. Dos asociaciones empresariales, la EIA y la TIA dieron a conocer una serie de estándares o normas donde se establecen las pautas a seguir para la ejecución del cableado estructurado. La norma EIA/TIA 568, cableado de Telecomunicaciones en Edificios Comerciales, presenta dos esquemas que definen la configuración de la conexión de los de pines o el orden de las conexiones de cable en el extremo de éste. Fig.1.1 Diagrama de pines de la normativa 568A y 568B Ambos esquemas son similares, excepto en que el orden de terminación de dos de los cuatro pares está invertido. En el esquema anterior se muestra la codificación de color y la forma en que se invierten los dos pares. Para realizar la instalación del colegio se va a seleccionar el esquema T568B, el cual se debe seguir a lo largo de toda la instalación. La norma EIA/TIA 569 *, normas de recorridos y espacios de telecomunicaciones en edificios comerciales, define las rutas y espacios donde hay que instalar los cables. Permite generar un diseño en el que las rutas sean

83 6 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados óptimas para cada subsistema del cableado estructurado (cableado horizontal, vertical, área de trabajo y sala de telecomunicaciones) por medio de la especificación de materiales, ductos y prácticas de instalación. 3. Esquema general del cableado El cableado estructurado sigue una estructura bien definida formada por cuatro áreas físicas: área de trabajo, cableado horizontal (de distribución), cableado vertical (backbone) y sala de telecomunicaciones. 3.1 Área de trabajo Los componentes del área de trabajo abarcan desde la terminación del cableado horizontal en la salida de la información hasta el equipo de la estación de trabajo donde se esté llevando a cabo una aplicación, ya sea de datos, voz o vídeo. El cableado del área de trabajo se ha diseñado de manera que sea sencilla la interconexión y que los cambios, aumentos de equipos y movimientos se lleven a cabo de forma cómoda. 3.2 Cableado horizontal (de distribución) El cableado horizontal es el conjunto de cables y conectores que se extienden desde el rack hasta la salida de información en el área de trabajo, cableado que en el colegio se va a pasar a través del falso techo disponible en todas las dependencias. Se va a componer básicamente de las salidas (conectores) de telecomunicaciones en el área de trabajo, las interconexiones de cables y conectores instalados entre la salida del área de trabajo y el armario rack así como de los patch pannels de empate utilizados para la configuración de las conexiones del cableado horizontal en el cuarto de telecomunicaciones. Fig.1.2 Esquema del cableado horizontal

84 Anexo I. Cableado Estructurado 7 Para el cableado horizontal se debe utilizar una topología estrella, topología que va a caracterizar a todo el diseño de la red del colegio, que va a otorgar la flexibilidad necesaria para implementar diferentes servicios a través de conexiones cruzadas en el armario rack. El cableado horizontal no puede contener más de un punto de transición, a aparte de evitar las derivaciones, empalmes y puentes a lo largo de todo el trayecto del cableado. Además se debe considerar su proximidad con el cableado eléctrico, el cual genera altos niveles de interferencia electromagnética y cuyas limitaciones se encuentran en el estándar ANSI/AIA/TIA 569. Para el diseño del cableado de la red del colegio se ha intentado en la medida de lo posible evitar cableado eléctrico; en caso contrario el cableado de voz y datos se va a separar físicamente del eléctrico además de estar cubierto por protector para evitar interferencias. Para el diseño del cableado horizontal se debe tener en cuenta una serie normas en cuanto a las longitudes de los cables: - La máxima longitud horizontal permitida es de 90 metros, la cual se mide desde la salida de telecomunicaciones en el área de trabajo (roseta) hasta las conexiones de distribución horizontal en el armario rack. - En caso de tener la necesidad de una conexión cruzada y puenteo para interconectar el cableado horizontal con el vertical en el armario rack se debe tener en cuenta que la distancia máxima es de 6m y que solo se permite hasta 2 cables o puentes en el armario. - El área horizontal puede ser atendida de forma eficaz por un armario rack que esté dentro de una radio de unos 60 metros alrededor del mismo. Fig.1.3 Distancias máximas para el cableado horizontal 3.3 Cableado vertical (Backbone) El cableado vertical es el que va a conectar, siguiendo la topología en estrella, el rack principal (MDF) con los distintos armarios racks secundarios (IDF) ubicados en las distintas plantas y edificios. Es el que va a unir todos los

85 8 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados subsistemas horizontales por lo que va a requerir medios de transmisión de señal con un ancho de banda elevado y de protección elevada. Pudiendo utilizar distintos tipos de cable, como UTP, STP o fibra óptica, para el cableado vertical del colegio se va a utilizar cable UTP para el interior del edificio y fibra óptica multimodo para unir el edificio principal con el resto de edificios (vestuarios, gimnasio y biblioteca-comedor). Para el diseño del cableado vertical también se deben de tener en cuenta unas serie normas, las cuales se presentan a continuación: - La máxima longitud permitida del cable dentro del edificio es de 90 metros - La máxima longitud permitida del cable entre edificios es de 800 metros para el UTP y de 2 Km para fibra. - No debe haber más de dos niveles jerárquicos de interconexión del cableado vertical, para limitar así la degradación de la señal debido a los sistemas pasivos y para simplificar el cableado para los posibles movimientos, aumentos o cambios de la red. - La conexión entre dos armarios racks pasará a través de tres o menos interconexiones. Fig.1.4 Interconexión entre un rack principal y uno secundario Según la planificación realizada del cableado, para el diseño que nos ocupa bastará con una única conexión principal para unir el rack principal con cada uno de los secundarios, dado que en ningún caso supera la distancia máxima permitida.

86 Anexo I. Cableado Estructurado 9 Fig.1.5 Esquema de conexión del cableado estructurado 3.4 Cuarto de Telecomunicaciones Un cuarto de telecomunicaciones es el área en un edificio utilizada para el uso exclusivo de equipo asociado con el sistema de cableado de telecomunicaciones. Esta instalación mantiene el equipo de telecomunicaciones y de red, las terminaciones del cableado vertical y horizontal y los cables de la conexión cruzada. Se puede distinguir entre sala de telecomunicaciones y cuarto de equipo. Ambos se consideran distintos entre ellos debido a la naturaleza, costo, tamaño y/o complejidad del tipo de equipo que cada uno alberga. Varias o todas las funciones de una sala de telecomunicaciones pueden ser proporcionadas por un cuarto de equipo. 4. Tipo de cable Para llevar a cabo el cableado del colegio se van a utilizar dos tipos de cables: UTP (par trenzado) de categoría 6 y fibra óptica tipo multimodo. El UTP se va a utilizar para todo el cableado del interior del edificio, ya sea el del área de trabajo, el cableado horizontal o el vertical. La fibra se va a utilizar únicamente para el cableado vertical entre edificios. 4.1 UTP Este tipo de cable, que utiliza pulsos eléctricos para transmitir los datos, es uno de los más utilizados para el tendido de cables. Está formado por 4 pares de cobre aislados, cada uno identificado por un código de color específico, trenzados entre sí y cubiertos de una funda protectora.

87 10 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados El cable UTP es sensible a interferencias electromagnéticas (EMI) que pueden reducir la velocidad de datos que puede ofrecer el cable. El entrelazado de los cables disminuye la interferencia debido a que el área de bucle entre los cables, la cual determina el acoplamiento magnético en la señal, es reducida. En el cableado de par trenzado el largo y la cantidad de trenzados por unidad afecta la resistencia a la interferencia que tiene el cable. El cable más adecuado para la transmisión de datos, mínimo de categoría 5, tiene 3 o 4 giros por pulgada, lo que le hace más resistente a la interferencia. Fig1.6 Cable UTP Categoría 6 El cable UTP no es costoso, ofrece un amplio ancho de banda (hasta 250 MHz con UTP categoría 6) y es fácil de instalar. Este tipo de cable se va a utilizar para conectar los ordenadores y dispositivos de red dentro del mismo edificio. Las ventajas que se van a obtener con su uso son: - El diámetro pequeño del UTP no apantallado va a permitir aprovechar de forma más eficiente las canalizaciones y armarios de distribución. - Su peso ligero va a facilitar el tendido del cable. - La facilidad de curvarse y doblarse permitirá un tendido más rápido así como la conexión entre las rosetas y las regletas. - Arquitectura completamente abierta para una integración fácil en las redes existentes. - Soporta múltiples servicios, como la red de área local de Ethernet y Token Ring, telefonía analógica, telefonía digital, terminales síncronos y asíncronos y líneas de control y alarmas. También presenta una serie de desventajas, listadas a continuación las más relevantes: - Altas tasas de error a altas velocidades - Ancho de banda limitado - Baja inmunidad al ruido y a las interferencias

88 Anexo I. Cableado Estructurado 11 - Distancia limitada a 100 metros por segmento Para el cableado horizontal, el vertical y el del área de trabajo del colegio dentro del mismo edificio se va a utilizar el UTP de categoría 6 tipo plenum. Este tipo de cable está diseñado para ser utilizado en falso techo dado que posee una chaqueta que elimina la propagación del fuego y la emisión de gases tóxicos. Las características de este cable se presentan a continuación: - Calibre del conductor: 23 AWG. - Tipo de aislamiento: PVC. - Tipo de ensamble: 4 pares con cruceta central. - Tipo de cubierta: FEP con propiedades retardantes a la flama. - Separador de polietileno para asegurar alto desempeño contra diafonía. - Para conexiones y aplicaciones IP. - Conductor de cobre sólido de 0.57 mm. - Diámetro exterior 6.1 mm. - Radio de curvatura: 6 X OD (6 x 6,1mm = 36,6mm) - Desempeño probado hasta 300 Mhz. - Impedancia: 100 Ω. 4.2 Fibra óptica Los cables de fibra óptica transmiten los datos por medio de pulsos de luz. Está elaborado con vidrio o plástico, los cuales no conducen la electricidad, lo que implica que sean inmunes a las descargas eléctricas causadas por los rayos, así como a las interferencias EMI, RFI y las conexiones a tierra diferenciales. La fibra óptica presenta varias ventajas, las cuales se listan a continuación: - Inmunidad total a todas las perturbaciones de origen electromagnético, lo que implica una calidad de transmisión muy buena. - Capaz de trasmitir grandes cantidades de datos (del orden de GBps) - Ocupa poco espacio dado su peso ligero y su reducido tamaño. - Gran flexibilidad, el radio de curvatura puede ser inferior a 1 cm, lo cual facilita la instalación. - Proporciona mucha seguridad, pues la intrusión en una fibra óptica es fácilmente detectable por el debilitamiento de la energía luminosa en recepción. - No produce interferencias - Insensibilidad a los parásitos. - Resistencia al calor, al frío, a la corrosión, etc.

89 12 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados También hay que tener en cuenta las desventajas que presenta, citadas a continuación: - Coste elevado - Alta fragilidad de las fibras -Disponibilidad limitada de conectores - Dificultad para realizar un empalme entre fibras, especialmente en el campo, lo cual dificulta las reparaciones en caso de rotura del cable. - Necesidad de efectuar, en muchos casos, procesos de conversión eléctricaóptica. El cableado vertical del colegio entre el edificio principal y los tres edificios colindantes se va a realizar mediante fibra óptica, dado que al tratarse de distintos edificios el cableado va a pasar por el suelo del exterior del centro y las interferencias y distancias van a ser mayores. De las dos formas de fibra óptica (monomodo y multimodo) se va a utilizar la multimodo, dado que es la menos costosa y se pueden crear enlaces de hasta 2 Km. La fuente de luz que produce los pulsos generalmente es un LED, el cual genera múltiples rayos de luz, cada uno de los cuales trasporta datos que se transmiten por el cable simultáneamente. Cada rayo de luz toma un camino separado a través del núcleo multimodo. En la figura 1.7 se pueden ver los componentes de la fibra. Fig.1.7 Componentes de la fibra multimodo 5. Elementos básicos para el cableado estructurado Para llevar a cabo todo el cableado estructurado se necesitan una serie de elementos para la terminación de los cables, para pasar el cableado por el falso techo o para la distribución de éste.

90 Anexo I. Cableado Estructurado Conector RJ-45 La terminación de los cables UTP se va a realizar con un conector RJ-45 engarzado en cada uno de los extremos del cable. En la vista frontal del conector con los contactos metálicos hacia arriba, las ubicaciones de los pines se enumeran desde el 8, a la izquierda, hasta el 1, a la derecha. Fig.1.8 Conector RJ-45 Para la terminación de cada cable se va a exigir destrenzar únicamente una pequeña porción del cable para así minimizar el crosstalk y evitar la degradación del rendimiento general de la red. Además el técnico se debe asegurar de que los cables queden completamente introducidos en el extremo del conector y de que el conector RJ-45 esté engarzado en la funda del cable, para asegurar así un buen contacto eléctrico y proporcionar solidez a la conexión del cable. Para todas las conexiones de la red se va a seguir el estándar EIA/TIA 568-B, explicado en el capítulo Bandejas metálicas horizontales Las bandejas metálicas porta cables se van a utilizar para todo cableado horizontal del colegio y para el cableado vertical, pues la sala equipo y las de telecomunicaciones del edificio principal no están alineados verticalmente. El modelo a utilizar consiste en una estructura rígida, de chapa pre galvanizada y de sección rectangular con la base perforada y las paredes lisas. Fig.1.9 Distintas formas de las bandejas metálicas para su correcta adaptación

91 14 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Para determinar el tamaño de la bandeja adecuado a la canalización horizontal, se debe considerar lo siguiente: cantidad y tamaño de los cables, radios de curvatura de los cables y espacio de tolerancia para el crecimiento futuro de la red. Según el diseño de la red por cada bandeja va a pasar una media de 2 cables, de 6,1 mm de diámetro exterior con 33,12 metros de longitud media y un radio de curvatura de 36,6mm.Se va sobredimensionar el cableado un 10 % para permitir un crecimiento futuro. La longitud total aproximada por planta o edificio de la bandeja metálica que se va a necesitar es: - Planta Baja: 153 metros - Primera Planta: 210 metros - Segunda Planta: 211 metros - Biblioteca - Comedor: 63 metros - Gimnasio - Comedor: 36 metros - Vestuarios: 40 metros TOTAL: 713 metros 5.3 Canaletas Se van a utilizar canaletas de plástico para pasar por la pared el tendido de cable vertical de una planta a otra del edificio principal y del subterráneo a cada uno de los edificios colindantes al principal. El modelo que se va a utilizar es el CKD BL, construido de PVC rígido aislante y con una resistencia de aislamiento mayor a 1000 Ω. Tiene dos cavidades con un tabique central para poder separar el cable destinado a datos y el destinado a voz. La longitud aproximada que se va a necesitar es: - Cableado vertical entre plantas: 9 metros - Cableado vertical entre edificios: 73 metros TOTAL: 82 metros

92 Anexo I. Cableado Estructurado 15 Fig.1.10 Canaleta a utilizar 5.4 Caja (jack RJ-45) Este elemento se va a utilizar para ubicar las terminaciones del cableado horizontal de cada dependencia (roseta), pudiendo albergar uno o dos conectores por caja según el diseño que se planificado (roseta doble o simple). Estas cajas se van a ubicar en lugares accesibles, tanto para el profesor como para los alumnos. Se va a utilizar una caja con rosetas modulares de categoría 6 con conectores RJ-45 completamente cerrados. La terminaciones tienen código de color para seguir la norma de cableado 568 B. Fig.1.11 Caja doble RJ Optimización del cableado A la hora de realizar el cableado de la red se va a tener muy en cuenta que el técnico haga una optimización del cableado y cumpla con las normativas y exigencias se han seguir. A continuación se detallan los pasos (optimizaciones) que van a asegurar que la terminación de los cables sea correcta: - Es importante que el tipo de cable y los elementos utilizados en la red cumplan los estándares requeridos para la red del colegio. La red que se ha diseñado es una red convergente, pues transporta tráfico de voz, vídeo y datos sobre los mismos cables, por lo tanto los cables utilizados deben admitir todas estas aplicaciones. - Se deben cumplir siempre las restricciones de longitud máxima para cada tipo de cable según especifican los estándares.

93 16 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados - El cable UTP es vulnerable a las EMI y RFI, por eso es importante que esté lejos de fuentes de interferencias, como cables de alto voltaje o luces fluorescentes. En casos en que no sea posible, pues la iluminación del colegio está a base de fluorescentes, se instalarán los cables en conductos para protegerlos de las posibles interferencias ocasionadas. - La terminación inadecuada de cables puede degradar la capacidad d transporte de señal del cable. El técnico debe de seguir las reglas para la terminación de cables y realizar las pruebas necesarias para verificar una terminación correcta. - Se deben de realizar pruebas en todas las instalaciones de cable para asegurar la conectividad y funcionamiento adecuados. - Es importante que el técnico rotule los cables a medida que los instala y registre la ubicación de éstos en la documentación de la red.

94 Anexo II. Telefonía IP La centralita telefónica ANEXO II. TELEFONÍA IP Para montar la centralita telefónica se va a utilizar el software libre Asterisk, tal y como se comenta en la memoria. En los siguientes apartados se va a detallar el proceso de instalación de Asterisk y las distintas configuraciones que se pueden hacer según las funciones que se quieran tener activas en el servicio. Además de presentar la tarjeta que se debe añadir al servidor para permitir realizar y recibir llamadas externas desde los teléfonos que así se ha decretado. 1.1 Instalación de Asterisk La versión en ISO de Asterisk@Home se encuentra disponible en la página bajarla, crear un CD a partir de esa imagen (ISO) e instalarla posteriormente. Para instalar el servidor seguir los siguientes pasos: 1. Introducir el CD y reiniciar el ordenador (si la instalación no se ejecuta sola, vuelve a reiniciar y cambia el modo de inicio presionando SUPR, F8 o F11 (BIOS) para iniciar desde CD-ROM. Advertencia: Cada vez que se ejecuta la instalación se formatea el disco duro y se perderán todos los archivos contenidos en el mismo. 2. Una vez que se haya iniciado el CD-ROM de Asterisk@Home, aparecerá la pantalla que se muestra en la figura 2.1. Fig.2.1 Pantalla de Inicio de Asterisk 3. A continuación Presionar Enter para confirmar la instalación.

95 18 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados 4. Cuando el servidor ASTERISK se ejecute es necesario introducir el nombre de usuario y contraseña, las cuales se encuentran establecidas por defecto en el sistema y solo se tiene que teclear: LOGIN (login = root) PASSWORD (password = password). Estos datos se introducen en la pantalla que aparece en la figura 2.2. Fig.2.2 Pantalla de Asterisk para introducir el usuario y la contraseña 5. Se recomienda cambiar el password inmediatamente en la línea de comando de CenTos tecleando el comando passwd, presionar Enter, el sistema preguntará por nuevo password dos veces (si son tecleados correctamente el servidor Asterisk enviara mensaje de que los cambios han sido efectuados). Se recomienda cambiar esta contraseña (password) por una más segura ya que es con la que se inicia sesión como root en el servidor. En la figura 2.3 se muestra la pantalla con los comandos para cambiar el password.

96 Anexo II. Telefonía IP 19 Fig.2.3 Pantalla que muestra el comando para modificar el password 6. A Continuación es necesario configurar la IP del servidor tecleando en la línea de comando de CenTos lo siguiente: netconfig y presionar Enter. (Ver figura 2.4) Este comando se utiliza para darle una dirección IP exclusiva al servidor, la cual en este caso será la Fig.2.4 Comando para entrar en la pantalla de configuración de red 7. Una vez que se presiono la tecla Enter aparecerá la siguiente pantalla (Figura 2.5):

97 20 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.2.5 Pantalla de confirmación Presionar Enter en la opción YES 8. A continuación aparecerá una pantalla de configuración (Figura 2.6) y en ésta se debe de introducir la dirección de IP del servidor ( ). La IP debe estar en la misma subred del router y de todos los terminales IP que se van a instalar. Fig.2.6 Pantalla para configurar los parámetros de red

98 Anexo II. Telefonía IP Después introducir la máscara de red (Netmask), en este caso , en la pantalla de la figura A continuación introducir la dirección IP del Gateway, que es la , en la pantalla de la figura Después solicita la dirección IP del servidor de nombres (DNS SERVER), que para este caso son: DNS primario: DNS segundario: A continuación, presionar Enter en OK y se regresa a la pantalla de comando. 12. Una vez instalado el Servidor de Asterisk@Home es necesario cambiar o establecer nuevas cuentas de usuario y contraseñas del servidor Asterisk. Se empezará por establecer una cuenta de usuario y contraseña de la interfaz Web de Asterisk@Home, para hacerlo, se debe teclear en la línea de comando: htpasswd /usr/local/apache/passwd/wwwpasswd NombreNuevoUsuario (Ver figura 2.7) Ejemplo: htpasswd /usr/local/apache/passwd/wwwpasswd ITSON Es necesario teclear la contraseña para el nuevo usuario y confirmarla. Fig.2.7 Comando para establecer una cuenta de usuario y contraseña Una vez que se ha concluido, se enviara un mensaje de confirmación de nuevo usuario. Es necesario agregar el nombre de usuario que se acaba de crear al archivo httpd.conf de A@H. Para editar ese archivo se debe usar el editor nano tecleando lo siguiente en la línea de comando de CenTos: nano /etc/httpd/conf/httpd.conf (Ver figura 2.8) Fig.2.8 Comando para entrar en el editor nano

99 22 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados A continuación presionar Enter. Se mostrara la siguiente pantalla (Figura 2.9): Fig.2.9. Pantalla del editor nano para modificar el archivo httpd.conf Ahora hay que teclear simultáneamente CTRL-W para encontrar la línea que contiene "AuthUser", tal y como se puede observar en la figura A continuación presionar Enter y ya se puede proceder a la búsqueda.

100 Anexo II. Telefonía IP 23 Fig Búsqueda de AuthUser después de haber tecleado Ctrl + W A continuación aparecerá la siguiente pantalla y aparecerá a una lista de usuarios (por ejemplo: AMP User, MAINT User) y será necesario teclear lo siguiente para dar de alta al nuevo usuario que tendrá permisos para acceder a la Interfaz grafica de A@H: Para poder agregar al nuevo usuario hay que posicionarse en un espacio abierto de la línea de comando y teclear lo siguiente (Ver figura 2.11): #Password protect the Asterisk@Home Splash Page /var/www/html <Directory /var/www/html> AuthType Basic AuthName "Restricted Area" AuthUserFile /usr/local/apache/passwd/wwwpasswd Require user NuevoUsuario1 NuevoUsuario2 (En esta línea hay que teclaear los nombres de usuario que se acaban de crear) </Directory>

101 24 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.2.11 Pantalla para agregar a un nuevo usuario Ahora, para salir del editor NANO, es necesario teclear simultáneamente CTRL X Para que los cambios sean realizados es necesario reiniciar el servidor apache. Para poder hacerlo, en la línea de comando se debe de teclear lo siguiente: /etc/init.d/httpd restart A continuación, presiona ENTER. 13. Se cambiará la contraseña por defecto del FreePBX de A@H. El nombre de usuario por defecto y contraseña del PBX de A@H es: Username: maint Password: password Para cambiarlos es necesario escribir en la línea de comando de CentOs lo siguiente: Passwd-maint Una vez tecleado lo anterior se verá la pantalla de la figura 2.12.

102 Anexo II. Telefonía IP 25 Fig.2.12 Pantalla para modificar la contraseña del FreePBX de En New password teclear la nueva contraseña y presiona ENTER En Re-type new password confirmar la nueva contraseña y presiona ENTER. A continuación aparecerá la siguiente línea donde abra actualizado la nueva contraseña: Updating password for user maint. 14. Cambiar la contraseña por defecto de FOP (Flash Operator Panel), que es passw0rd Para cambiar esta contraseña, continuar en CentOs y entrar al directorio FOP tecleando lo siguiente en la línea de comando: cd /var/www/html/panel Seguidamente presionar ENTER Se usará el editor GNU Nano para cambiar la contraseña. Abrir el archivo de configuración: op_server.cfg tecleando lo siguiente en la línea de comando actual: nano op_server.cfg A continuación, presionando ENTER, se visualizará la pantalla de la figura Fig.2.13 Introducción del comando para acceder al directorio FOP

103 26 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados A continuación aparecerá la pantalla de la figura 2.14, que es el archivo op_server.cfg: Fig.2.14 Pantalla que muestra el archivo op_server.cfg Utilizar las flechas de desplazamiento del teclado y buscar la línea que dice: security code=passw0rd ( Ver figura 2.15) Reemplazar la contraseña passw0rd con la que se decida. Por ejemplo: asterisk15 security_code= asterisk15 Fig.2.15 Modificación de la contraseña del directorio FOP

104 Anexo II. Telefonía IP 27 Después teclear simultáneamente CTRL-X y después la tecla Y para guardar los cambios. A continuación reiniciar el servidor A@H tecleando en la línea de comando: amportal restart 15. Cambiar la contraseña por defecto de MeetMe Para cambiar la contraseña teclear lo siguiente en la línea de comando de CentOs: passwd-meetme Presionar ENTER y aparecerá la pantalla de la figura Fig.2.16 Pantalla para modificar la contraseña de MeetMe A continuación en new password, hay que teclear la nueva contraseña y presiona ENTER De nuevo, teclear la nueva contraseña para que sea confirmada y, presionar la tecla ENTER. 16. Cambiar la contraseña por defecto de Sugar CRM de Asterisk@Home. Se puede acceder a SugarCRM abriendo un navegador de Internet tecleando en la barra de direcciones la dirección IP estática del servidor Asterisk que anteriormente se ha configurado. En este caso: A continuación pedirá el nombre de usuario y contraseña puesto anteriormente con el comando htpasswd (Figura 2.11), para acceder al Splash Page del Servidor Asterisk@Home (Figura 2.17). Teclear el nombre de usuario y contraseña que se ha configurado.

105 28 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Aquí, teclea la dirección IP de tu Servidor Asterisk y presiona ENTER Fig.2.17 Pantalla para acceder a SugarCRM vía web Teclear el nombre de usuario y contraseña de la interfaz Web de Asterisk@Home Ejemplo: Usuario: ITSON Password: password Hacer clic en aceptar para entrar a la página del servidor Asterisk@Home. Fig.2.18 Pantalla inicial del servidor Asterisk@Home

106 Anexo II. Telefonía IP 29 Hacer clic con el Mouse sobre la opción CRM que se encuentra en la pantalla inicial, tal y como se ve en la figura A continuación aparecerá la pantalla de la figura 2.19, en la que es necesario completar los siguientes campos: nombre de usuario y contraseña. Los valores por defecto son: Login: admin Password: password A continuación hacer click en LOGIN. Fig.2.19 Pantalla para logarse en el servidor Asterisk Una vez que se ha logado en CRM, aparecerá la pantalla de la figura Desde esa pantalla, para cambiar la contraseña, hacer clic en la opción MY Account que se encuentra en la esquina superior derecha. Fig.2.20 Menú de opciones de SugarCRM

107 30 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Aparecerá la pantalla de la figura 2.21, desde la cual se debe hacer clic en la opción change password. Fig.2.21 Pantalla de opciones de MyAccount A continuación aparecerá la ventana dentro de la misma pantalla, tal y como se puede ver en la figura Aquí se tiene que teclear la nueva contraseña y confirmarla. Una vez hecho esto, hacer clic en SAVE para guardarla. Fig.2.22 Ventana para introducir la contraseña 17. Cambiar la Contraseña de ARI (Asterisk Recording Interface) Para cambiar la contraseña del administrador, en el CentOs hay que ejecutar la siguiente línea de comando: nano -w /var/www/html/recordings/includes/main.conf.php Con las teclas de dirección hay que bajar a la línea 53 y cambiar la contraseña de administrador. La línea que se encontrará es la siguiente:

108 Anexo II. Telefonía IP 31 $ari_admin_password = teclea aquí la nueva contraseña sin espacios Presionar ENTER. Ya se tiene configurado Asterisk. Se puede proceder a realizar las configuraciones necesarias. 1.2 Configuraciones Configurar una extensión Teclear en el navegador Web la dirección IP Estática del servidor Asterisk@Home (en caso de olvido se puede buscar tecleando en la línea de comando de CenTos lo siguiente: ipconfig ) Una vez tecleado en el navegador la dirección del servidor A@H se debe teclear nuevamente el nombre de usuario y contraseña que se ha configurado (Figura 2.17). Aparecerá la pantalla de inicio del servidor A@H que se muestra en la figura Se debe seleccionar la opción FreePBX Administration y loguearse con los parámetros configurados (Figura 2.12) para acceder a la pantalla principal (AMP). Fig.2.23 Pantalla inicial del servidor Asterisk@Home vía web Aparecerá la pantalla principal de Asterisk, AMP, de la figura 2.24.

109 32 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.2.24 Pantalla principal AMP Para configurar una extensión de teléfono hay que hacer clic en Extensions del panel de opciones que aparece a la izquierda y luego Add Extension (opción que se encuentra en la esquina superior derecha). Escribir el número de extensión (Extension number) y una contraseña (extensión password) para registrarla. Luego ingresar en nombre de la persona que usará esta extensión (full name).la pantalla de configuración se muestra en la figura Fig.2.25 Pantalla para configurar una extensión

110 Anexo II. Telefonía IP 33 Para la creación de una extensión, una vez se haya terminado de introducir los datos, se debe presionar el botón Add Extension y a continuación presionar la barra roja que aparecerá en la parte superior de la pantalla. Este último paso es básico. Pues en caso de no hacerlo no se implementarán los cambios en la configuración. Cuando se configura la información básica, entonces se puede acceder a la configuración avanzada haciendo clic en la extensión apropiada de la derecha. Entonces aparecerá la pantalla de la figura 2.26: Fig.2.26 Configuración de parámetros de una extensión determinada Una de las opciones que se destaca es la opción NAT, pues por defecto está configurado en no. Se deberá modificar por yes, ya que en la red del colegio está configurado NAT Configurar un enlace troncal Para la configuración de un enlace troncal para las llamadas salientes y entrantes externas se realiza desde la pantalla de inicio AMP (Asterisk Management Portal). Se debe seleccionar la opción Trunk del panel de opciones de la izquierda y seleccionar el tipo de troncal que se desee crear.

111 34 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.2.27 Configuración de un enlace troncal En este caso tan solo hay que crear un enlace ZAP (Add ZAP Trunk), el cual va a enlazar la centralita Asterisk con la PSTN. Fig.2.28 creación de un enlace troncal ZAP

112 Anexo II. Telefonía IP Configurar llamadas salientes Para configurar las llamadas salientes, se deberá de crear una ruta saliente. Para ello se debe seleccionar la opción Outbound Routing del panel de opciones de la izquierda de la pantalla principal. Aparecerá la pantalla de la figura 2.29: Fig.2.29 Configuración de las llamadas salientes El campo Dial Patterns es para configurar la marcación para una línea de salida. En este caso configuraremos el 0 como marcación para realizar una llamada externa e irán por el único troncal que se ha configurado (ZAP) Configurar llamadas entrantes Para configurar las llamadas entrantes, primero se debe indicar donde se recibirán estas llamadas. Para ello se debe crear un grupo de llamadas, al cual se le llamará Recepción y que se va a configurar con la extensión 200. El teléfono configurado con esta extensión se ubicará en conserjería, donde se van a recibir las llamadas entrantes y desde ahí se pasará la llamada, en caso

113 36 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados que así se requiera. Para ello se debe ir a la opción Ring Groups del menú de opciones de la izquierda del menú principal, donde aparecerá pantalla de la figura 2.30: Fig.2.30 Configurar llamadas entrantes Después de guardar los cambios, hay que volver a la pantalla principal e ir a la opción Inbound Routes, donde se va a crear una regla para llamadas entrantes, tal y como se observa en la figura 2.31.

114 Anexo II. Telefonía IP 37 Fig.2.31 Configuración de una regla para las llamadas entrantes En el campo Descripción se puede poner General o lo que se crea conveniente. En las opciones de más abajo, dentro del submenú Set Destination, se deben de poner los parámetros configurados en el menú anterior. En la opción Ring Groups, se debe de poner lo configurado en el menú anterior, el Group description (Recepcion) y el Rin-Group Number (600). Finalmente guardar los cambios. 2. Terminales 2.1 Teléfono IP El terminal IP que se va a implantar en todas las aulas docentes, incluyendo la especial, y en la sala de profesores es el Cisco SPA501G, un teléfono muy completo y económico respecto a los que hay en el mercado. El precio de cada teléfono es de 78 (IVA incluido). Fig.2.32 Terminal IP a utilizar para el servicio de telefonía IP

115 38 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Las características de este terminal son las siguientes: - Hasta 8 líneas con configuración independiente y registro - Full-Duplex de altavoz del teléfono - Indicador de mensaje en espera - Switch Ethernet integrado - Audio de banda ancha - Puerto auxiliar para su uso con hasta 2 módulos de expansión - Cisco XML navegador Conectividad - 2 puertos Ethernet 10/100 Mbps af Power Over Ethernet - 2,5 mm conector de auriculares estéreo - AUX Puerto Usabilidad - 8 tricolor LED teclas de línea - Luz indicadora de mensaje en espera - 12 teclado de marcación botón - Dedicado Botones iluminados para Mute, los auriculares y altavoz - Botones dedicados para el volumen, en espera, configuración de menú y - acceda al correo de voz Los medios de comunicación - Alta calidad de audio portátil - Alta calidad - Full Duplex altavoz manos libres Calidad de Servicio - DiffServ marcado DSCP del paquete, independientemente de SIP y RTP - 802,1 q / p COS marco de etiquetado

116 Anexo II. Telefonía IP Teléfono digital (línea analógica) Para cada toma analógica se va a instalar un teléfono digital Aastra 6753 que presenta las siguientes características: - Pantalla LCD 3 líneas - Presentación del nombre y del número - 6 teclas programables - Toma de línea sin descolgar - Registro de las últimas 5 últimas llamadas - Regulador de contraste / volumen altavoz - Regulador de sonido: volumen, melodía - Escucha amplificada con señalización (led) - Archivo de fecha y hora - Llamada por nombre - Bis para el último número - Tecla mute - Tecla rellamada - Tecla repertorio - Teclado acceso local al teléfono + acceso exterior - Multilíneas - Marcación sin descolgar - Led mensaje - Montaje mural posible Fig.2.33 Teléfono digital a utilizar para las líneas analógicas

117 40 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados ANEXO III. INSTALACIÓN Y CONFIGURACIÓN DE SERVIDORES 1. Servidor de DNS, datos e impresión 1.1Instalación de Windows Server 2008 La instalación del Windows Server es muy sencilla, basta con introducir el CD y paso a paso se va instando. Una vez finalice la instalación se deben de realizar los siguientes requisitos: - Poner una contraseña para el administrador del servidor, pues no puede estar en blanco. - Asignar al servidor una IP estática. - Reiniciar servidor - Iniciar con la sesión de administrador A continuación se va a ejecutar el ActiveDirectory y se va a crear el dominio del colegio (CEIP_PCatalans). Para ello se deben seguir los siguientes pasos: - En ejecutar hay que introducir el comando dcpromo Fig.3.1 Comando para ejecutar el ActiveDirectory - Ir siguiendo la instalación hasta llegar a la pantalla de la figura 3.1 que se muestra a continuación, donde hay que seleccionar la opción Crear un dominio nuevo en un bosque nuevo

118 Anexo III. Instalación y configuración de servidores 41 Fig.3.2 Pantalla para la creación de un dominio - Seguidamente aparecerá la pantalla de la figura 3.2 donde se debe introducir el nombre del dominio: CEIP_PCatalans. Se comprobará el nombre en la NetBIOS. Fig.3.3 Introducción del nombre del dominio - A continuación se debe seleccionar el nivel funcional del dominio creado (Figura 3.4). En el caso que nos ocupa se seleccionará Windows Server 2003, por si se tuviera que llegar a trabajar con algún servidor con Windows server 2003.

119 42 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.3.4 Selección de la versión de Windows Server - En la siguiente pantalla de la figura 3.5 se seleccionará como opción adicional para el controlador de dominio creado el servidor de DNS. Fig.3.5 Selección de las opciones adicionales del controlador de dominio - A continuación se debe seleccionar la ubicación donde se guardarán la base de datos del controlador de dominio de Active Directory, los archivos de registro y SYSVOL. En un principio se dejarán las ubicaciones que aparecen por defecto tal y como se observa en la figura 3.6:

120 Anexo III. Instalación y configuración de servidores 43 Fig.3.6 Selección de la ubicación de los archivos - A continuación pedirá introducir la contraseña de administrador del modo de restauración de servicios de directorio (Figura 3.7). Esta contraseña solo la debería de conocer el técnico que se encargue de la instalación y mantenimiento. Fig.3.7 Introducción de la contraseña del modo de restauración de servicios - Al continuar la instalación saldrá un resumen de la configuración que se ha realizado y al continuar finalmente configura los servicios de Active Directory.

121 44 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.3.8 Resumen de la configuración El servidor ya está preparado para empezar a trabajar creando usuarios, grupos y/o carpetas compartidas Crear usuarios Para crear usuarios hay que seguir unos sencillos pasos: - Ir a Inicio > Herramientas administrativas > usuarios y equipos de Active Directory Fig.3.9 Acceso al registro de los usuarios y equipos de Active Directory - En la pantalla de la figura 3.10, hay que hacer clic con el botón derecho encima de la carpeta Usuario y seleccionar Nuevo > Usuario

122 Anexo III. Instalación y configuración de servidores 45 Fig.3.10 Creación de un usuario nuevo en el registro de Active Directory - En la pantalla de la figura 3.11 se introducen los datos del usuario a crear dentro del dominio CEIP_PCatalans. Fig.3.11 Introducción de los datos del nuevo usuario - Seguidamente se le asigna una contraseña. Por defecto se propone poner de contraseña el propio nombre de usuario y que luego éste la cambie.

123 46 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.3.12 Introducción de la contraseña para el nuevo usuario Crear grupos - Para crear un grupo el procedimiento es igual al de un uasuario. Desde la carpeta de usuarios y equipos de Active Directory, hacer clic con el botón derecho encima de la carpeta grupos a Nuevo > grupo, tal como se ve en la figura Fig.3.13 Creación de un grupo nuevo en el registro de Active Directory

124 Anexo III. Instalación y configuración de servidores 47 - Se escribe el nombre del grupo y se selecciona el ámbito de grupo Global Fig Introducción del nombre del grupo Crear carpeta compartida - Finalmente para crear una carpeta para compartir con un grupo específico (de los creados) se debe proceder primero a crear dicha carpeta en el server, en la unidad C. Luego con el botón derecho encima de esta carpeta seleccionamos la opción de compartir. Fig.3.15 Compartir una carpeta creada en el servidor - Finalmente seleccionamos qué grupos tendrán acceso a esta carpeta.

125 48 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.3.16 Selección de los grupos a dar acceso a la carpeta compartida 2. Servidor Radius 2.3 Instalación y Configuración de FreeRADIUS Lo primero es bajar el código fuente, descomprimir el archivo, configurar las opciones de compilación, compilar e instalar. Los pasos se ven a continuación: - Bajar el código fuente: ~$ wget ftp://ftp.freeradius.org/pub/radius/freeradius tar.gz - Descomprimir el archivo: :~$ tar xvfz freeradius tar.gz - Generar los archivos para la compilación: :~$ cd freeradius-1.1.2/ :~/freeradius-1.1.2$./configure --without-rlm_smb --without-rlm_perl --without-rlm_ldap --without-rlm_krb5 - Compilar: :~/freeradius-1.1.2$ make - Si todo termina bien, lo instalamos (como root): :~/freeradius-1.1.2$ make install Los archivos de configuración quedan instalados en /usr/local/etc/raddb/, que es la ruta por defecto para cuando se instalan las fuentes. Una vez compilado e instalado el servidor hay que dedicarse a configurarlo.

126 Anexo III. Instalación y configuración de servidores 49 A continuación se muestran las configuraciones necesarias: Users Archivo donde se especifican las credenciales de los usuarios de la red. Se usa este archivo si no existe otro backend para el almacenamiento de los usuarios. En este ejemplo se define el usuario con la clave wificentro. Estas credenciales son los que se deben ingresar cuando para conectarse a la red inalámbrica. wificentro Auth-Type := Local, User== CEIP_PC Password == wificentro Clients.conf Descripción y credenciales de los diferentes dispositivos que consultan al servidor RADIUS (en este caso access point). Access_Point { secret = contraseña_radius shortname = Nombre_AP } Por ejemplo: client { secret = wificentro shortname = PB-A01 } client { secret = wificentro shortname = GIM } client { secret = wificentro shortname = P1-CONSERG } client { secret = wificentro shortname = P2-INFORM nastype = other # localhost isn t usually a NAS... } Eap.conf Archivo de configuración de las directivas EAP a utilizar. Es un include de radiusd.conf. eap {

127 50 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no # Supported EAP-types # EAP-TLS tls { private_key_password = contraseña_radius private_key_file = ${raddbdir}/certs/servidor-prueba.key certificate_file = ${raddbdir}/certs/servidor-prueba.crt CA_file = ${raddbdir}/certs/democa/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 include_length = yes } peap { default_eap_type = mschapv2 } mschapv2 { } } Radius.conf Archivo general de configuración de FreeRADIUS y del daemon. prefix = /usr/local exec_prefix = ${prefix} sysconfdir = ${prefix}/etc localstatedir = ${prefix}/var sbindir = ${exec_prefix}/sbin logdir = ${localstatedir}/log/radius raddbdir = ${sysconfdir}/raddb radacctdir = ${logdir}/radacct # Location of config and logfiles. confdir = ${raddbdir} run_dir = ${localstatedir}/run/radiusd # log_file = ${logdir}/radius.log # libdir = ${exec_prefix}/lib # pidfile = ${run_dir}/radiusd.pid # max_request_time = 30 #

128 Anexo III. Instalación y configuración de servidores 51 delete_blocked_requests = no # cleanup_delay = 5 # max_requests = 1024 # bind_address = * # port = 0 # hostname_lookups = no # allow_core_dumps = no # regular_expressions = yes extended_expressions = yes # log_stripped_names = yes # log_auth = yes # log_auth_badpass = yes log_auth_goodpass = yes # usercollide = no # lower_user = no lower_pass = no # nospace_user = no nospace_pass = no # checkrad = ${sbindir}/checkrad # SECURITY CONFIGURATION security { max_attributes = 200 reject_delay = 1 status_server = no } # PROXY CONFIGURATION proxy_requests = no # CLIENTS CONFIGURATION $INCLUDE ${confdir}/clients.conf # SNMP CONFIGURATION

129 52 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados snmp = no # THREAD POOL CONFIGURATION thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } # MODULE CONFIGURATION modules { $INCLUDE ${confdir}/eap.conf mschap { authtype = MS-CHAP } files { usersfile = ${confdir}/users acctusersfile = ${confdir}/acct_users preproxy_usersfile = ${confdir}/preproxy_users compat = no } } # Instantiation instantiate { } # authorize { files mschap eap } # Authentication. authenticate { Auth-Type MS-CHAP { mschap } eap } # preacct { }

130 Anexo III. Instalación y configuración de servidores 53 # accounting { } # session { } # post-auth { } # pre-proxy { } # post-proxy { } 2.4 Arrancar FreeRADIUS Se deben de tener en cuenta algunas consideraciones antes de subir el servidor. FreeRADIUS trabaja en los puertos UDP/1812 y UDP/1813 por lo que hay que abrirlos en los firewalls. Para subir el servidor hay que ejecutar: :~# /usr/local/sbin/radiusd -f -X... Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests. Así se pueden ver los registros de las transacciones que ocurren en la negociación entre el cliente Access Point - FreeRADIUS. 2.5 Configuración Access Point Como muestra la figura 3.17, se debe ingresar un nombre al access point, dar un nombre a la red (SSID= educat o eduroam), seleccionar el canal (por defecto está el 6), seleccionar el método de autenticación WEP e ingresar los datos del servidor RADIUS. Recordar que la "shared secret" corresponde a la definida en el archivo clients.conf de FreeRadius) y para este cliente (en este caso (wificentros). Aplicar los cambios y el access point se reiniciara.

131 54 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados Fig.3.17 Configuración de parámetros en el access point 2.6. Configuración Cliente Una vez configurado el servidor RADIUS y el Access Point queda configurar un cliente con tarjeta inalámbrica. Para configurar la conexión inalámbrica se deben hacer los siguientes cambios en la configuración: - Abrir las propiedades de la conexión inalámbrica y seleccionar Redes Inalámbricas, tal y como se muestra en la figura 3.18 Fig.3.18 Propiedades de la conexión inalámbrica

132 Anexo III. Instalación y configuración de servidores 55 - Configurar el mecanismo y el tipo de encriptación que se requiere en la pantalla de la figura En este caso se debe configurar WPA2 con encriptación tipo TKIP. Fig.3.19 Configuración del método de autenticación y encriptación del AP - Seleccionar el tipo de autenticación EAP a utilizar. En este caso hay que seleccionar PEAP. Fig.3.20 Selección del tipo de autenticación EAP

133 56 Diseño y planificación de una red de voz y datos de un colegio con capacidad de 867 personas y 3059 m2 edificados - Deshabilitar la validación del certificado del servidor y seleccionar el método de autenticación para EAP. Fig.3.21 Seleccionar las propiedades de EAP - Deshabilitar utilizar el usuario y clave de Windows cuando aparezca la ventana de la figura Fig.3.22 Ventana de configuración de usuario y contraseña de Windows - En la pantalla de conexiones inalámbricas, en la figura 3.23, se debe seleccionar la red radius.

134 Anexo III. Instalación y configuración de servidores 57 Fig.3.23 Selección de la red inalámbrica - Windows indicará que hagamos click sobre el mensaje para ingresar los credenciales configurados. Fig.3.24 Icono para ingresar los credenciales configurados - En la pantalla de la figura 3.25 se bede introducir el User name y Password configurado en el archivo users, en el apartado Fig.3.25 Introducción parámetros del archivo users. Una vez realizados estos pasos, hay que esperar a estar conectados.