Werwer

Escuela de Informática y Telecomunicaciones
Examen transversal
diseño de red (CCDA)
DDR7501.
“Diseño y mejora de infraestructura de red para la empresa DDR.SA”
Alumnos: Joséé AÁ vila; Raué l Cardoza; Solangé Charpéntiér.; Jorgé Rojas.

COMPAÑÑ ÍÁA: DDR S.A | JEFE DE PROYECTO: JORGE ROJAS.
PROFESOR: GUÍLLERMO MUÑÑ OZ.
ASÍGÑATURA: DÍSEÑÑ O DE REDES (CCDA-DDR7501)
SECCÍOÁ Ñ: 001D
FECHA: 4 - JULÍO - 2019
INDICE
Índice........……………………………………………………………………….….……2
Introducción……………………………………………………………….……….……3
Desarrollo……………………………………………………………………………..…4-59
Acrónimos…………………………………………………………………………….…60-64
Conclusión……………………………………………………….........................65
Bibliografía………………………………………………………………………………66
1
Introducción
Este proyecto contempla la mejora de una infraestructura de red no

completamente eficaz. Implementaremos lo que será necesario para dar
soluciones y mejoras en la red para que sea eficiente y sobre todo segura para
clientes y trabajadores entre las sucursales de Santiago y Valparaíso.
Se llevarán a cabo unas normas vigentes de dicha instalación en la cual

contamos con una serie de materiales para desarrollar el proyecto donde
implementaremos soluciones para suplir las necesidades tanto en ámbitos de
redes, disponibilidad, telefonía IP y seguridad de esta red.
Se realizará una instalación con equipos acorde a los requerimientos de la

empresa, también se contará con una cotización previa de materiales e
implementos para desarrollar el trabajo en cuestión.
2
DESARROLLO
Requerimientos del Diseño de Red:
Sucursal Valparaíso:
- Tendidos horizontales: utilizarán un cableado del tipo UTP CAT6.
- Tendidos horizontales: utilizan fibra óptica multimodo.
- Direccionamiento a través de VLSM.
- Cableado físico: seguirá la norma TIA/EIA-568-A.
- Utilizar micro segmentación mediante switchs.
- Segmentación por medio de VLAN, las VLAN serán las siguientes:

- VLAN 100 para el Área de Recepción, ubicado en el primer piso se podrá
utilizar para conectar cualquier equipo nuevo.
- VLAN 200 para el Área de Ventas, ubicado en el segundo piso.
- VLAN 300 para el Área de Desarrollo, ubicado en el tercer piso.
- La conexión en el segundo piso en la VLAN de ventas se deberá realizar

mediante tecnología inalámbrica con las siguientes características:
- Standard 802.11g de 54Mbps.
- Compatible con 802.11bgn.
- Formar un BSS usando cifrado WEP 128 bit.
- El SSID oculto.
- Solo permitir equipos con direcciones MAC previamente registradas 3.
- La conexión WAN single-homed es una conexión ADSL 40 Mbps.
- La telefonía utiliza tecnología RDS mediante central Meridian, se
encuentra detrás de recepción con dos números telefónicos.
- Oficina pequeña, ubicada en el cuarto piso se encuentran servidores
para uso de storage y página web que acceden hacia dicho sitio
www.ddr.cl.
3
Sucursal Santiago:
Tendidos horizontales: utilizarán un cableado del tipo UTP CAT6.
Tendidos verticales: utilizan fibra óptica multimodo.
- Direccionamiento a través de VLSM.

- Cableado físico seguirá la norma TIA/EIA-568-A.
- Utilizar micro segmentación mediante switchs.
Segmentación por medio de VLAN, las VLAN serán las siguientes:
- VLAN10 para el Área de Visitas, ubicada en el primer piso.

- VLAN20 para el Área de Recepción, ubicado en el primer piso.
- VLAN30 para el Área de Administración, ubicado en el segundo piso.
- VLAN40 para el Área de Gerencia, ubicado en el segundo piso.
- VLAN50 para el Área de Ingeniería, ubicado en el tercer piso.
- VLAN60 para el Área de Soporte, ubicado en el tercer piso.
- VLAN70 para el Área de Servidores, ubicado en el cuarto piso.
- VLAN80 para el Área de Voz ubicada desde el primer al cuarto piso.
- La conexión WAN single-homed es una conexión ADSL 40 Mbps.

- La telefonía utiliza tecnología RDS mediante central Meridian, se
encuentra detrás de recepción con dos números telefónicos.
- Oficina pequeña, ubicada en el cuarto piso se encuentran servidores
para uso de storage y página web que accede hacia dicho sitio
www.ddr.cl.
- En los Switchs debe existir un VTP server y los demás deben ser clientes.
- Aplicar Seguridad y asignación de respectivas VLANS en las interfaces de
equipos finales. Topología conmutada redundante.
- Habilitar en los Switchs protocolo EtherChannel.
4
La conexión en el primer piso en la VLAN de visitas se deberá realizar
mediante tecnología inalámbrica con las siguientes características:
- Standard 802.11g de 54Mbps.

- Compatible con 802.11bgn.
- Formar un BSS usando cifrado WPA con cifrado TKIP.
- El SSID visible.
- Solo permitir equipos con direcciones MAC previamente registradas 3.
El direccionamiento IP de la red LAN:
- Distribución de rango de direcciones por medio de VLSM.

- Asignación de IP en forma Dinámica para toda la red, excepto para los equipos
de comunicación y para los servidores.
- El servicio DHCP deberá asignar de forma automática; dirección IP, máscara de
subred. -Puerta de enlace DNS.
- Para cada pool de DHCP de cada VLAN se deberá excluir las primeras 3 IP
asignables.
El direccionamiento IP hacia internet:
- Utilizar dos pools de 5 direcciones IP públicas alquiladas a los ISP.

- Se deben realizar traducciones estáticas (NAT) para la VLAN 70 de servidores y
VLAN 80 de telefonía.
- Se deben realizar traducciones de sobrecarga PAT para el resto de VLANS de la
empresa.
- La conversión NAT y PAT será realizada en el router ISP1 e ISP2.
- Redundancia a nivel de capa 3 configurando el protocolo HSRP.
5
Topologías previas a la implementación y mejoras
6
Análisis del estado de red
Realizamos un análisis de seguridad para comprobar el estado actual de los

puertos de red que utilizan los routers y switch cisco, encontramos varias
deficiencias, como la falta de seguridad de puerto en los switch, no había
encapsulación de VLAN y no había STP ni etherchannel para hacer redundancia
de puerto. Además de contar con 1 solo ISP la sucursal de Valparaíso.
Fortalezas:
Valparaíso: Fast-ethernet, ether-channel, uso de WLAN.
Santiago: Implementación de VLAN para segmentar uso de WLAN.
Uso de 2 ISP por si un enlace se pierde.
Debilidades:
Valparaíso: Solo un ISP, computadores y servidores en la misma VLAN.
Santiago: Cambiar red inalámbrica por cableado estructurado y segmentar
VLAN por pisos.
7
Mejoras Recomendadas
(Sucursal Valparaíso) UTP CAT.6, Cambios de switch, port-security,
Implementación de U.T.M(Unified Threat Management que contempla:
Balanceo de carga, NAT, Anti-Spam, VPN, IDS, IPS, VPN, Mac-Filter y Firewall),
UPS, QoS. Contratar otro ISP para tener redundancia.
(Sucursal Santiago) UTP CAT.6, Implementación de un U.T.M, BACKUP SWITCH,
UPS, Implementar etherchannel, QoS, Mejorar la seguridad Wireless,
Implementar port-security en los switch, Filtrado MAC, implementar un
W.A.F(Web Aplication Firewall).
Mejoras en ambas sucursales

● Mejoramos lo que es el ancho de banda de los ISP a 100 Mbps y 200
Mbps ya que los antiguos planes eran de 40 Mbps y eso hacía que se
produjeran errores de conexión, además al aumentar el ancho de banda
se aumenta la disponibilidad de la red.
● Incorporamos un U.T.M Fortinet para lograr mayor seguridad al ingreso
de nuestra red, el U.T.M contempla un balanceador de carga para
optimizar la red y posee 2 entradas WAN para aumentar la redundancia
en caso de una perdida de algún enlace.
● Configuramos etherchannel para agrupar varios enlaces en un solo
troncal para lograr una mejor conexión y escalabilidad. Cada una VLAN
segmentadas por piso y cada switch configurados seguridad de puertos
Con el objetivo de incrementar la seguridad. También instalamos U.P.S
para tener electricidad ininterrumpida en caso de problemas eléctricos y
para evitar posibles daños a los equipos.
8
Mejoras en ambas sucursales
Cambiamos el cableado estructurado a Cat6 (ya que presentaba Cat5.) ya que

tiene mayor tasa de datos, mejor aislación y mayor distancia máxima a la
máxima velocidad de transferencia.
9
Carta Gant
10
Conectividad inalámbrica.
Implementamos AP Cisco más modernos compatibles

con estándares 802.11a, 802.11n, 802.11ac (5Ghz) ya que solamente
tenia
compatibilidad con estándar 802.11g. (2.4Ghz)
Como se observa en el siguiente grafico las ventajas del 5ghz es que

tiene menor interferencia y mayor ancho de banda.
11
Cotización de dispositivos e insumos
En la topología actual, encontramos varias deficiencias que nos permiten

averiguar por qué tiene problemas con sus conexiones de red. Por lo cual,
como grupo, tuvimos que rediseñar las redes actuales que se encuentran tanto
en Valparaíso como en Santiago.
Valparaíso: Router inalámbrico.

Cableado cat 6 y otros.
Servidor HP server proliant ML110 G9 8GB 2TB P/N 840668-001
X3.
TELÉFONOS cp 8800.
1 ups por piso (4 piso).
3 rack de pared por piso.
Piso 4 >(RACK).
1 UTM Fortinet con 2 entradas wan.
Santiago: 7 teléfonos cp 88000.

5 impresoras.
1 UTM frontera (2 conexiones wan).
2 servidores.
Router inalámbrico.
Cableado cat 6 y otros.
1 ups por piso (4 piso).
Piso 4 rack.
3 Rack de pared por piso.
12
General: 8 Zapatillas eléctricas.
- Compramos servidores de bastidor (RACK) para ahorrar espacio en el

piso.
- Compramos rack de 10 u por si hay escalabilidad en la empresa y se
ahorra costo en caso de que esta crezca.
- No agregamos canaletas ya que estaban previamente instaladas en las 2
sucursales
Valparaíso
1x Access Point Cisco WAP561-A-KA
CL$192.864 + IVA
https://www.ipexpress.cl/pyme/product_info.php/access-point-cisco-wap561-k9-p-692?
osCsid=hlkk26r2ohfbf2b3b4vggnjlu5
4x Switch Cisco SF200-48P
CLP$530.208 + IVA
https://www.ipexpress.cl/pyme/product_info.php/switch-cisco-sf200-48p-p-86?
1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO
13
CLP:3.735.000 IVA Incluido
http://www.fortinet-chile.cl/tienda/otros/firewall-fortinet-fortigate-200e-hw-lic-utm-bdl-8x5-
forticare-1-year/?currency=CLP
3X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR

CLP:708.477 IVA Incluido
https://www.wei.cl/producto/5AF3354A7F
4X APC UPS 1500VA Power-Saving Back Pro

https://www.pcfactory.cl/producto/1227-ups-1500va-power-saving-back-pro-br1500gi-
14
Gabinete (RACK) Mural 12U 19” 60x60cm Armable Serie WB
CLP: 77.000 IVA Incluido
https://www.comdiel.cl/gabinete-mural-12u-19-60x60cm-armable-serie-wb-3180.html
4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección

https://www.comdiel.cl/zapatilla-electrica-con-12-modulos-domino-switch-y-proteccion.html
15
1x Crimpeadora Rj45 Metálica
https://www.pcfactory.cl/producto/1568-crimpeadora-rj45-metalica
1x CERTIFICADORA TCB 300 CLP: 714.000 IVA

Incluido
https://www.avantec.cl/index.php?pid=25&cod=CABLE%20PROWLER#
1x Rollo Cable UTP Cat6 - 305 mts

16
https://www.pcfactory.cl/producto/20109-rollo-cable-utp-cat6-305mts
1x Conector RJ45 Cat6 100 Unids.

https://www.bip.cl/conector-rj45-cat6-100-unids_11048
1x Cisco CP-8811-K9
17
https://www.ipexpress.cl/pyme/product_info.php/cisco-cp-8811-k9-spare-p-2407
Santiago:
1x Cisco CP-8811-K9
https://www.ipexpress.cl/pyme/product_info.php/cisco-cp-8811-k9-spare-p-2407
4X APC UPS 1500VA Power-Saving Back Pro
18
https://www.pcfactory.cl/producto/1227-ups-1500va-power-saving-back-pro-br1500gi-
2 X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR

https://www.wei.cl/producto/5AF3354A7F
X3 Gabinete (RACK) Mural 12U 19” 60x60cm Armable Serie WB

19
https://www.comdiel.cl/gabinete-mural-12u-19-60x60cm-armable-serie-wb-3180.html
4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección

https://www.comdiel.cl/zapatilla-electrica-con-12-modulos-domino-switch-y-proteccion.html
1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO

CLP:3.735.000 IVA Incluido
http://www.fortinet-chile.cl/tienda/otros/firewall-fortinet-fortigate-200e-hw-lic-utm-bdl-8x5-
forticare-1-year/?currency=CLP
1x Access Point Cisco WAP561-A-KA

CL$192.864 + IVA
20
https://www.ipexpress.cl/pyme/product_info.php/access-point-cisco-wap561-k9-p-692?
4x Switch Cisco SF200-48P
CLP$530.208 + IVA
https://www.ipexpress.cl/pyme/product_info.php/switch-cisco-sf200-48p-p-86?
1x Rollo Cable UTP Cat6 - 305 mts

21
https://www.pcfactory.cl/producto/20109-rollo-cable-utp-cat6-305mts
Cotización WAN y PSTN
22
Cotización enlace primario:
Precio $ 125.000 (+15 líneas)

https://www.entel.cl/empresas/plataforma-virtual/
Cotización de enlace secundario:
Enlace de fibra óptica de 200mb con un umbral de 1024Gb

Precio $22.000
https://ww2.movistar.cl/empresas/productos-y-servicios/internet-fijo/internet-empresas/
Evaluación de Conectividad WAN
23
Como especificamos en el estado de análisis de la red, la empresa tenía un
problema ya que solo contaba con 1 enlace WAN, lo cual era riesgoso ya que si
se cae ese enlace la empresa quedaba paralizada y eso generar pérdidas.
Redundancia ISP
*La ventaja de tener 2 proveedores de servicios de internet principalmente es

para tener redundancia.
*Esto actúa cuando un ISP principal cae y cambia a un ISP de respaldo para no
perder conectividad.
*Además la redundancia de ISP nos beneficia como balance de carga.
Topologías con implementación actualizada
24
25
- En el diseño de la red añadimos un UTM Fortigate (ofrece una gran

protección integrada y de alto rendimiento contra las dinámicas amenazas
de seguridad) que cuenta con redundancia por si se cae un enlace de un ISP,
además con su respectiva PSTN previamente cotizada.
26
Direccionamiento IP (VLANS SANTIAGO)
VLANs Nombre
10 (10 host) Visita
20 (8 host) Recepción
30 (10 host) Administración
40 (10 host) Gerencia
50 (20 host) Ingeniería
60 (14 host) Soporte
70 (10 host) Servidores
80 (50 host) Voz
Mapa VLANS implementadas Santiago
27
Direccionamiento IP (VLANS Valparaíso)
28
A VLAN ventas le agregamos más host por si contratan más personal, pero a la
VLAN de desarrollo la dejamos igual para que haya más seguridad entorno a
seguridad de la información. Agregamos la VLAN 400 para el piso 4 para que
esté mejor segmentada la red.
VLANs Nombre
100 (10 host) Recepción
200 (25 host) Ventas
300 (30 host) Desarrollo
400 (15 Host) Servidores
VLANS Valparaíso.
29
PortChannel = Orientado a la optimización del ancho de banda de los enlaces.
En Santiago y Valparaíso ocuparemos PortChannel para optimizar el ancho de banda de los

enlaces de los switch, configuraremos PAgP ya que este es propietario de Cisco.
Direccionamiento IPv4 y IPv6 Sucursales
30
Sucursal Valparaíso (IPv4):
Sucursal Santiago (IPv4):
Direccionamiento IPv4 y IPv6 Sucursales
31
Sucursal Valparaíso (IPv6):
Sucursal Santiago (IPv6):
Implementación Protocolo de Enrutamiento
32
Implementaremos el protocolo de enrutamiento OSPFv2 a nivel de IPv4 y
OSPFV3 a nivel de IPv6 ya que este no es propietario de Cisco y así podemos
ocupar dispositivos de distintas marcas, además cuenta con una alta
escalabilidad en redes de gran tamaño y un gran diseño jerárquico. no hay
limitación para el conteo de saltos y se puede usar VLSM para las asignaciones
de IP. OSPF es un protocolo de estado de enlace. Su métrica está basada en su
ancho de banda y retardo.
Configuración OSPFv2 Santiago
Router ospf 10
Router-id 1.1.1.1
Network 192.168.10.0 0.0.0.63 area 80
Network 192.168.10.64 0.0.0.31 area 50
Network 192.168.10.96 0.0.0.15 area 60
Network 192.168.10.112 0.0.0.15 area10
Network 192.168.10.128 0.0.0.15 area 30
Network 192.168.10.144 0.0.0.15 area 40
Network 192.168.10.160 0.0.0.15 area 70
33
Network 192.168.10.176 0.0.0.15 area 20
Router ospf 10
Router-id 2.2.2.2
Network 192.168.10.0 0.0.0.63 area 80
Network 192.168.10.64 0.0.0.31 area 50
Network 192.168.10.96 0.0.0.15 area 60
Network 192.168.10.112 0.0.0.15 area 10
Network 192.168.10.128 0.0.0.15 area 30
Network 192.168.10.144 0.0.0.15 area 40
Network 192.168.10.160 0.0.0.15 area 70
Network 192.168.10.176 0.0.0.15 area 20
Configuration OSPFv2 Valparaíso
Router ospf 20
Router-id 1.1.1.1
Network 192.168.0.0 0.0.0.31 area 300
Network 192.168.0.32 0.0.0.31 area 200
Network 192.168.0.64 0.0.0.31 area 500
Network 192.168.0.92 0.0.0.31 area 400
Network 192.168.0.128 0.0.0.15 area 100
Router ospf 20
Router-id 2.2.2.2
Network 192.168.0.0 0.0.0.31 area 300
Network 192.168.0.32 0.0.0.31 area 200
Network 192.168.0.64 0.0.0.31 area 500
Network 192.168.0.92 0.0.0.31 area 400
Network 192.168.0.128 0.0.0.15 area 100
Diseño de Seguridad de la red
34
Implementación VPN
VPN es una tecnología de red que se utiliza para conectar una o más
computadoras a una red privada utilizando Internet. Las empresas suelen
utilizar estas redes para que sus empleados, desde sus casas, hoteles, etc.,
puedan acceder a recursos corporativos que, de otro modo, no podrían. Sin
embargo, conectar la computadora de un empleado a los recursos corporativos
es solo una función de una VPN.
Implementaremos una Virtual Private Network(VPN) para proteger la seguridad

(confidencialidad e integridad de la información) entre las comunicaciones de
las sucursales, ya que VPN permite encriptar el trafico agregándole más
seguridad a la interconexión de las redes de estas empresas.
VPN ACCESO REMOTO

(para que cualquier persona de la empresa pueda conectarse a la red interna
empresarial desde cualquier parte del mundo)
VPN SITE TO SITE

(para establecer comunicaciones cifradas entre 2 sucursales, en este caso
Santiago y Valparaíso)
35
Configuraciones VPN IPSEC ACCESO REMOTO
36
37
38
39
VPN SITE-TO-SITE
40
41
42
Branch(Valparaíso):
43
44
45
46
Gobierno TI.
Gobierno de TI es el alineamiento de las Tecnologías de la información y la

comunicación (TI) con la estrategia del negocio. Hereda las metas y la
estrategia a todos los departamentos de la empresa, y proporciona el mejor
uso de la tecnología y de sus estructuras organizativas para alcanzarlas.
¿Por qué implementar un gobierno TI?

La entrega de valor a las partes interesadas de la empresa requiere de un buen
gobierno y la gestión de la información y de los activos tecnológicos (TI). Las
juntas empresariales, los ejecutivos y la gerencia tienen que adoptar a TI como
cualquier otra parte importante del negocio.
Los requerimientos externos de cumplimiento, normas legales, reglamentarias
y contractuales relacionadas con el uso de la empresa de la información y
tecnología están aumentando, amenazando la generación valor si se
incumplen.
Esto Incluye:
1.Priorizacion y justificación de las inversiones en el campo de TI.
2. incluir controles de gastos tales como presupuestos y niveles de
autorización.
3.Usar el Marco de referencia COBIT.
4.Satisfacer las necesidades de las partes interesadas.
5.Cubrir la organización de forma integral.
6.Aplicar un solo marco integrado.
7.Habilitar un enfoque Holístico.
47
Marco de trabajo COBIT.
Este marco está enfocado al managment puesto que provee a la administración

de una base de mejores prácticas con las cuales se pueden tomar decisiones de
TI e inversión.
Además, este marco incluye a los usuarios de TI debido a la seguridad que les
brinda para el control de objetivos y procesos, también se agregan los
auditores debido a que les permite identificar problemas de control de TI
dentro de la infraestructura de la organización.
48
Políticas implementadas para usuarios finales
1.Estar atento y ser capaz de identificar posibles amenazas cibernéticas
2.Conocer y entender las políticas de seguridad informática (a nivel de usuario)
3.Identificar aquella información que es considerada sensible
4.Conocer los procedimientos correctos para acceder y proteger la información
5.Identificar algún ataque de ingeniería social y/o suplantación de identidad
6.Crear una contraseña segura y entender la importancia de cambiarla

constantemente
7.Conocer el procedimiento a seguir en caso de ser víctima de algún ataque

cibernético.
49
Campaña de sensibilización para cumplimiento de políticas.
Realizar pruebas de ingeniería social mensualmente y posterior hacer charlas

educacionales a los colaboradores de la empresa sobre este tópico, ya que
educar al usuario también es parte del gobierno de la seguridad.
Implementar Fondos de pantallas con Información útil de seguridad para todos

los hosts de la compañía.
Educar a los colaboradores en temas de fuga de información.
Enseñar las mejores prácticas de seguridad en el uso de dispositivos móviles,

métodos de conexión wifi seguras, seguridad en redes sociales, navegación
web seguras y transacciones web seguras.
50
Políticas Técnicas
1. Las configuraciones de antivirus. Aquí es importante no solo el contar

con software de este tipo, sino también garantizar su efectividad a través
de la actualización de la definición de virus.
2.Las configuraciones de sistemas operativos (HARDENING), Aunque

obviamente son más importantes las de los servidores, equipos clientes
desactualizados pueden servir de plataforma para el lanzamiento de
ataques, por lo que hay que considerar ambos entornos.
3. Los ambientes empresariales exigen el uso de correo electrónico, soluciones

de comunicaciones, mensajería y el mismo acceso a la Web. Pero la
conectividad debe de ser restringida a través de un diseño efectivo de la red y
la configuración adecuada de los equipos que forman parte de la red, como
routers. firewalls, NIDS, etc.
4.La administración del acceso a las aplicaciones. Esto implica la

definición de mecanismos de acceso y autenticación efectivos de los
usuarios con la autorización para registrar, modificar y consultar datos en
una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan

ser acompañadas de prácticas que garanticen su efectividad.
6.- Pruebas de penetración (Pentesting) y/o Auditorias.
51
Seguridad Nivel Capa 2
DHCP SNOOPING Y FILTRADO MAC:

Con el DHCP SNOOPING, sólo una Lista blanca de direcciones de IP pueden acceder a
la red. La lista blanca está configurada en el switch de puertos, y el servidor DHCP
dirige el control de acceso. Sólo las direcciones de IP con direcciones MAC específicas
en puertos concretos pueden acceder la red IP.
Esta configuración se aplicaría a todas las VLAN para aumentar la seguridad y solo
pueda aprender 1 dirección MAC de forma dinámica para evitar una falsificación de
MAC.
Interface X/X
switchport port-security
switchport mode access
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
exit
ip dhcp snooping
ip dhcp snooping vlan X
interface X/X
ip dhcp snooping trust
exit
interface range X/X
ip dhcp snooping limit rate 6
exit
52
Seguridad Nivel Capa 3 - 7
Implementaremos el servicio de Cloudflare con protección contra ataques

DDoS, Cloudflare tiene una red enorme para absorber los ataques DDoS de
más de 600 Gb/s y no son un problema para su red de 30 Tbps.
https://www.cloudflare.com/es-la/ddos/
53
54
Nuestro U.T.M Fortinet contiene control de aplicaciones (Capa 7), filtrado

web(CAPA7), antivirus, vpn, firewall y WAF (CAPA 3 Y 7), filtro de url (capa7),
email filtering(capa7), IPS (NIPS CAPA 3, NBA CAPA3, HIPS CAPA7).
55
56
57
Servicios
58
ACRÓNIMOS
SSID: El SSID (Service Set Identifier) es una secuencia de 0-32 octetos incluida en todos los
paquetes de una red inalámbrica para identificarlos como parte de esa red.
WAN: Es la sigla de Wide Area Network (“Red de Área Amplia”). El concepto se utiliza para
nombrar a la red de computadoras que se extiende en una gran franja de territorio, ya sea a
través de una ciudad, un país o, incluso, a nivel mundial. Un ejemplo de red WAN es la
propia Internet.
PSTN: La red telefónica pública conmutada (PSTN, Public Switched Telephone Network) es
una red con conmutación de circuitos tradicional optimizada para comunicaciones de voz en
tiempo real.
Dirección MAC: En las redes de computadoras, la dirección MAC (siglas en inglés de Media
Access Control) es un identificador de 48 bits (6 bloques de dos caracteres hexadecimales (4
bits)) que corresponde de forma única a una tarjeta o dispositivo de red. Se la conoce
también como dirección física, y es única para cada dispositivo.
Dirección IP: La dirección IPv4 es un número que identifica, de manera lógica y jerárquica, a
una Interfaz en red (elemento de comunicación/conexión) de un dispositivo (computadora,
tableta, portátil, teléfono inteligente) que utilice el protocolo IP o (Internet Protocol), que
corresponde al nivel de red del modelo TCP/IP. La dirección IP no debe confundirse con la
dirección MAC, que es un identificador de 48 bits expresado en código hexadecimal, para
identificar de forma única la tarjeta de red y no depende del protocolo de conexión utilizado
en la red.
VLAN: Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para
crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden
coexistir en un único conmutador físico o en una única red física.
VTP: VTP (Virtual Trunking Protocol) es un protocolo que permite configurar VLANs (Virtual
LAN) de manera centralizada. Si implementamos VLANs en nuestra red LAN y NO activamos
el protocolo VTP, cada vez que creamos, modificamos o borramos una VLAN debemos de ir a
cada uno de los Switch instalados y manualmente realizar la configuración de VLAN.
59
Etherchannel: EtherChannel es una tecnología de Cisco construida de acuerdo con los

estándares 802.3 full-duplex Fast Ethernet y permite la agrupación lógica de varios enlaces
físicos Ethernet, esta agrupación es tratada como un único enlace y permite sumar la
velocidad nominal de cada puerto físico Ethernet usado y así obtener un enlace troncal de
alta velocidad.
VLSM: Las máscaras de subred de tamaño variable o VLSM (del inglés Variable Length
Subnet Mask) representan otra de las tantas soluciones que se implementaron para evitar el
agotamiento de direcciones IP en IPv4 (1987), como la división en subredes, el enrutamiento
sin clases (CIDR) (1993), NAT y las direcciones IP privadas. Otra de las funciones de VLSM es
descentralizar las redes y de esta forma conseguir redes más seguras y jerárquicas
DHCP: El protocolo de configuración dinámica de host es un protocolo de red de tipo

cliente/servidor mediante el cual un servidor DHCP asigna dinámicamente una dirección IP y
otros parámetros de configuración de red a cada dispositivo en una red para que puedan
comunicarse con otras redes IP.
DNS: El sistema de nombres de dominio es un sistema de nomenclatura jerárquico

descentralizado para dispositivos conectados a redes IP como Internet o una red privada.
Este sistema asocia información variada con nombre de dominio asignado a cada uno de los
participantes
NAT: Network address translation (traducción de direcciones de red) es el proceso de

modificación de la dirección IP de información en los encabezados de paquetes IP, mientras
que en tránsito a través de un tráfico de dispositivos de enrutamiento.
PAT: Port address traslation (traducción de puertos de red) Es una extensión a la traducción
de direcciones de red (NAT) que permite que varios dispositivos en una red de área local
(LAN) que se asignan a un solo público la dirección IP.
STP(Spanning Tree Protocol): es un protocolo de red de capa 2 del modelo OSI (capa de
enlace de datos). Su función es la de gestionar la presencia de bucles en topologías de red
debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar
la disponibilidad de las conexiones).
UTM: La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un

término de seguridad de la información que se refiere a una sola solución de seguridad y,
por lo general, a un único producto de seguridad que ofrece varias funciones de protección
en un solo punto en la red.
60
IPS: Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que
ejerce el control de acceso en una red informática para proteger a los sistemas
computacionales de ataques y abusos. La tecnología de prevención de intrusos es
considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS),
pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías
cortafuegos.
IDS: Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion

Detection System) es un programa de detección de accesos no autorizados a un computador
o a una red.
UPS: Sistemas de alimentación ininterrumpida (SAI), en inglés uninterruptible power supply

(UPS), es un dispositivo que gracias a sus baterías u otros elementos almacenadores de
energía, durante un apagón eléctrico puede proporcionar energía eléctrica por un tiempo
limitado a todos los dispositivos que tenga conectados. Otra función que se puede añadir a
estos equipos es mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando
subidas y bajadas de tensión y eliminando armónicos de la red en caso de usar corriente
alterna.
QOS: QoS o calidad de servicio (quality of service, en inglés) es el rendimiento promedio de

una red de telefonía o de computadoras, particularmente el rendimiento visto por los
usuarios de la red. Cuantitativamente mide la calidad de los servicios que son considerados
en varios aspectos del servicio de red, tales como tasas de errores, ancho de banda,
rendimiento, retraso en la transmisión, disponibilidad, jitter, etc.
ISP: Proveedor de servicios de Internet. El proveedor de servicios de Internet, (ISP, por la

sigla en inglés de Internet service provider) es la empresa que brinda conexión a Internet a
sus clientes.
WAF:Un firewall de aplicaciones web (WAF) es un tipo de firewall que supervisa, filtra o
bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall
normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un
firewall de red protege el tráfico entre los servidores. Al inspeccionar el tráfico HTTP un WAF
protege a las aplicaciones web contra ataques como los de inyección SQL, XSS y falsificación
de petición de sitios cruzados (CSRF).
61
AP: Un punto de acceso inalámbrico (en inglés: wireless access point, conocido por las siglas
WAP o AP), en una red de computadoras, es un dispositivo de red que interconecta equipos
de comunicación inalámbricos, para formar una red inalámbrica que interconecta
dispositivos móviles o tarjetas de red inalámbricas.
OSPF: Open Shortest Path First o Primer Camino Más Corto, es un protocolo de red para
enrutamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el
algoritmo Dijkstra, para calcular la ruta más corta entre dos nodos.
VPN: Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una
tecnología de red de computadoras que permite una extensión segura de la red de área local
(LAN) sobre una red pública o no controlada como Internet.
T.I: La tecnología de la información (TI) es la aplicación de ordenadores y equipos de

telecomunicación para almacenar, recuperar, transmitir y manipular datos, con frecuencia
utilizado en el contexto de los negocios u otras empresas. El término es utilizado como
sinónimo para los computadores, y las redes de computadoras, pero también abarca otras
tecnologías de distribución de información, tales como la televisión y los teléfonos.
DDOS: En seguridad informática, un ataque de denegación de servicio, también llamado

ataque DoS (por sus siglas en inglés, Denial of Service), es un ataque a un sistema de
computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios
legítimos.
HTTPS: El Protocolo seguro de transferencia de hipertexto (en inglés: Hypertext Transfer

Protocol Secure o HTTPS), es un protocolo de aplicación basado en el protocolo HTTP,
destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de
HTTP.
SSH (o Secure Shell): es el nombre de un protocolo y del programa que lo implementa cuya
principal función es el acceso remoto a un servidor por medio de un canal seguro en el que
toda la información está cifrada. Además de la conexión a otros dispositivos, SSH permite
copiar datos de forma segura (tanto archivos sueltos como simular sesiones FTP cifradas),
gestionar claves RSA para no escribir contraseñas al conectar a los dispositivos y pasar los
datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
62
SFTP (SSH File Transfer Protocol): El protocolo SFTP permite una serie de operaciones sobre
archivos remotos. SFTP intenta ser más independiente de la plataforma que SCP, por
ejemplo, SCP soporta expansión de comodines especificados por el cliente hasta el servidor,
mientras que el diseño SFTP evita este problema. Aunque SCP se aplica con más frecuencia
en plataformas Unix, existen servidores SFTP en la mayoría de las plataformas.
IMAP: El protocolo de acceso a mensajes de Internet (en inglés Internet Message Access
Protocol o IMAP), es un protocolo de aplicación que permite el acceso a mensajes
almacenados en un servidor de Internet. Mediante IMAP se puede tener acceso al correo
electrónico desde cualquier equipo que tenga una conexión a Internet.
POP3: En informática se utiliza el Post Office Protocol (POP3, Protocolo de Oficina de Correo
o "Protocolo de Oficina Postal") en clientes locales de correo para obtener los mensajes de
correo electrónico almacenados en un servidor remoto, denominado Servidor POP. Es un
protocolo de nivel de aplicación en el Modelo OSI.
SMTP: El SMTP (Simple Mail Transfer Protocol o Protocolo para Transferencia Simple de
Correo) es un protocolo de comunicación que permite el envío de correos electrónicos en
internet. Este protocolo se asocia normalmente con otros como POP3 o IMAP, siendo SMTP
utilizado para el correo de salida y POP3 o IMAP utilizado para el correo entrante.
AD (ACTIVE DIRECTORY): Active Directory (AD) es un servicio de directorio para su uso en un

entorno Windows Server. Se trata de una estructura de base de datos distribuida y
jerárquica que comparte información de infraestructura para localizar, proteger, administrar
y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y
dispositivos de red.
63
Conclusión
El presente informe fue elaborado en base al contenido de todo el trabajo

del semestre, recopilando la información de todos los talleres.
Realizamos direccionamiento IPv4 y IPv6 elaborando la estructura de red.
Segmentamos las redes en VLANS distintas por temas de seguridad, además
dimos seguridad identificando puntos críticos y dando soluciones de
conectividad.
Utilizamos el protocolo de enrutamiento OSPF para mayor eficiencia en la
red y administrar la red de manera óptima.
Implementamos soluciones con previa cotización de equipos para actualizar
la red ya existente.
Analizamos la red con aplicaciones para detectar tráfico, cambiamos los
planes para mayor velocidad y mejor estabilidad y redundancia WAN.
Además de instalar VPN SITE-TO-SITE y de ACCESO REMOTO para tener
conectividad y seguridad entre sucursales y agregar una capa de seguridad
(cifrado del túnel VPN).
Implementamos soluciones de disponibilidad, redundancia e integralidad de
los datos para evitar posibles fallas dentro de la infraestructura de red
existente.
Cabe recalcar que como fuente de información ocupados manuales digitales
de la marca Fortigate y Cisco.
También incluimos información sobre los acrónimos para dejar en claro las
siglas presentadas e este informe.
64
Bibliografía
(2016). Fortinet Document Library. de Fortinet

Sitio web:
https://docs.fortinet.com/document/forticlient/5.2.0/cookbook/521733
(2010). OSPF Design Guide. de Cisco

Sitio web:
https://www.cisco.com/c/en/us/support/docs/ip/open-shortest-path-first-
ospf/7039-1.html
(2019). Protección y mitigación avanzada contra DdoS, de Cloudflare.

Sitio Web:
https://www.cloudflare.com/es-la/ddos
65

Werwer

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Werwer

Caricato da

Copyright:

Formati disponibili

Escuela de Informática y Telecomunicaciones

“Diseño y mejora de infraestructura de red para la empresa DDR.SA”

Alumnos: Joséé AÁ vila; Raué l Cardoza; Solangé Charpéntiér.; Jorgé Rojas.

Este proyecto contempla la mejora de una infraestructura de red no

Se llevarán a cabo unas normas vigentes de dicha instalación en la cual

Se realizará una instalación con equipos acorde a los requerimientos de la

Requerimientos del Diseño de Red:

- Segmentación por medio de VLAN, las VLAN serán las siguientes:

- La conexión en el segundo piso en la VLAN de ventas se deberá realizar

Tendidos horizontales: utilizarán un cableado del tipo UTP CAT6.

Tendidos verticales: utilizan fibra óptica multimodo.

- Direccionamiento a través de VLSM.

Segmentación por medio de VLAN, las VLAN serán las siguientes:

- VLAN10 para el Área de Visitas, ubicada en el primer piso.

- La conexión WAN single-homed es una conexión ADSL 40 Mbps.

- Standard 802.11g de 54Mbps.

El direccionamiento IP de la red LAN:

- Distribución de rango de direcciones por medio de VLSM.

El direccionamiento IP hacia internet:

- Utilizar dos pools de 5 direcciones IP públicas alquiladas a los ISP.

Análisis del estado de red

Realizamos un análisis de seguridad para comprobar el estado actual de los

Mejoras en ambas sucursales

Cambiamos el cableado estructurado a Cat6 (ya que presentaba Cat5.) ya que

Implementamos AP Cisco más modernos compatibles

Como se observa en el siguiente grafico las ventajas del 5ghz es que

En la topología actual, encontramos varias deficiencias que nos permiten

Valparaíso: Router inalámbrico.

Santiago: 7 teléfonos cp 88000.

- Compramos servidores de bastidor (RACK) para ahorrar espacio en el

1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO

3X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR

4X APC UPS 1500VA Power-Saving Back Pro

4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección

1x CERTIFICADORA TCB 300 CLP: 714.000 IVA

1x Rollo Cable UTP Cat6 - 305 mts

1x Conector RJ45 Cat6 100 Unids.

4X APC UPS 1500VA Power-Saving Back Pro

2 X HP - DL20 GEN9 3GHZ E3-1220 V6 290W BASTIDOR (1U) SERVIDOR

X3 Gabinete (RACK) Mural 12U 19” 60x60cm Armable Serie WB

4x Zapatilla Eléctrica 19" con 12 Módulos Dominó, Switch y Protección

1X UTM FORTINET FORTIGATE 200E HW+ LICENCIA UTM FORTICARE 1 AÑO

1x Access Point Cisco WAP561-A-KA

1x Rollo Cable UTP Cat6 - 305 mts

Cotización WAN y PSTN

Precio $ 125.000 (+15 líneas)

Cotización de enlace secundario:

Enlace de fibra óptica de 200mb con un umbral de 1024Gb

Evaluación de Conectividad WAN

*La ventaja de tener 2 proveedores de servicios de internet principalmente es

Topologías con implementación actualizada

- En el diseño de la red añadimos un UTM Fortigate (ofrece una gran

Direccionamiento IP (VLANS SANTIAGO)

10 (10 host) Visita

30 (10 host) Administración

40 (10 host) Gerencia

50 (20 host) Ingeniería

60 (14 host) Soporte

70 (10 host) Servidores

80 (50 host) Voz

Mapa VLANS implementadas Santiago

Direccionamiento IP (VLANS Valparaíso)

100 (10 host) Recepción