Diseño e Implementación en una institución financiera de una red

ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA ELÉCTRICA Y
ELECTRÓNICA
DISEÑO E IMPLEMENTACIÓN EN UNA INSTITUCIÓN FINANCIERA
DE UNA RED INALÁMBRICA WLAN ADMINISTRABLE,
ESCALABLE, CON CALIDAD DE SERVICIO (QoS), ALTA
DISPONIBILIDAD (HA) Y QUE CUMPLA CON EL ESTÁNDAR
802.11n
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
ELECTRÓNICA Y REDES DE INFORMACIÓN
ANDREA MAGALY RODRÍGUEZ FIERRO
[email protected]
DIRECTOR: ING. FABIO GONZÁLEZ GONZÁLEZ
[email protected]
Quito, Marzo 2015
I
DECLARACIÓN
Yo Andrea Magaly Rodríguez Fierro, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún grado
o calificación profesional; y, que he consultado las referencias bibliográficas que se
incluyen en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Andrea Magaly Rodríguez Fierro
II
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Andrea Magaly Rodríguez
Fierro bajo mi supervisión.
Ing. Fabio González G.
DIRECTOR DEL PROYECTO
III
AGRADECIMIENTOS
A mi flaco querido (Dios), por mostrarme a lo largo del camino tus bendiciones.
A los que representan mi razón de seguir día con día, a mi esencia, mi familia.
A mi madre, la fuerza y responsabilidad en persona.
A mi padre por ser incondicional y la perseverancia en persona.
A mi hermana, mi compañera, mi cómplice, mi alegría y ejemplo de ver las cosas
desde la perspectiva positiva.
A todos mis familiares por constituir cada uno un pilar de mi vida, en especial a
Marco, Adri, Patricio y Miriam por siempre confiar en mí y en mis habilidades.
A la hermana que la vida me otorgó, mi querida Dany, mi confidente y mi todo, por
siempre estar a mi lado, apoyándome en toda esta trayectoria conocida como vida,
mi mejor amiga por siempre.
A mis amigas Cris, Marit, mis hermanas del alma JP por acompañarme por más de
una década en los momentos difíciles, con sus palabras de aliento y brindarme su
hombro para llorar o sostenerme antes de la caída, así como también mis
momentos alegres compartiendo risas, locuras y aventuras compartidas en todo
nuestro camino de formación académica, espiritual y de vida misma.
A mis compañeros y amigos de la temible politécnica: Pepe, Eduardo, Antonio,
Dave que junto a mí compartieron momentos agradables así como también de
lucha incansable, donde vimos que no es una competencia por llegar primeros sino
un aprendizaje de resistencia y acumulación de habilidades para desempeñarnos
IV
mejor en el ámbito laboral, en función de nuestra inteligencia y perseverancia, de
los cuales he aprendido mucho y de su mano ha sido posible culminar esta etapa.
A cada uno de mis profesores que dedicaron tiempo valioso de sus días, en cada
clase impartida, en especial al Ing. Fabio González; por guiarme en la culminación
de esta carrera con el desarrollo de este proyecto, y a la Ing. Soraya Sinche por ser
más que una profesora una de las pocas personas que incentiva a vivir la carrera,
aprovecharla y a disfrutar cada paso aprovechando el tiempo en esta tierra, para
beneficio propio y de los demás.
A mis compañeros de trabajo y en especial al “Master Sensei” Ing. Víctor
Barrionuevo por depositar su confianza y apoyo para desarrollar este proyecto
además de compartir sus valiosos conocimientos tanto profesionales como
humanos, a quien agradezco infinitamente su guía profesional y estima.
A todos aquellos que formaron parte de una u otra manera de este camino, que sin
saber, impulsaron cada paso para lógralo mis más sinceros agradecimientos.
Andrea Magaly Rodríguez Fierro
V
DEDICATORIA
El tiempo me ha enseñado que la vida no es una lucha constante, sino un conjunto
de buenas elecciones ante oportunidades que se presentan en el camino, que
dependiendo de cómo se lo vea, puede ser muy placentera o dificultosa. Si alguien
me ha mostrado con su ejemplo de vida, de lucha, esfuerzo, superación, y alegría
constante ante la vida dura, de quien he aprendido mucho y me muestra su amor
con su sonrisa, su abrazo y su bendición; a quién es como mi madre y desde mis
primeros días de vida me guío por mis primeros pasos en este mundo, mi Mamá
Ana a quién con mucho orgullo y amor dedico este trabajo, fruto de mi sacrificio y
dedicatoria constante.
Andrea M. Rodríguez Fierro
VI
CONTENIDO
DECLARACIÓN ...................................................................................................... I
CERTIFICACIÓN ................................................................................................... II
AGRADECIMIENTOS ............................................................................................III
DEDICATORIA ...................................................................................................... V
CONTENIDO ......................................................................................................... VI
ÍNDICE DE FIGURAS ........................................................................................... XI
ÍNDICE DE TABLAS .......................................................................................... XVII
RESUMEN ........................................................................................................... XX
PRESENTACIÓN ............................................................................................... XXII
CAPÍTULO 1 .......................................................................................................... 1
FUNDAMENTOS TEÓRICOS ................................................................................ 1
1.1
INTRODUCCIÓN ...................................................................................... 1
1.2
RED DE ÁREA LOCAL INALÁMBRICA .................................................... 2
1.3
INFRAESTRUCTURA DE UNA RED INALÁMBRICA ............................... 3
1.3.1
PUNTOS DE ACCESO ........................................................................ 3
1.3.2
CONTROLADORAS INALÁMBRICAS ................................................ 7
1.3.3
ANTENAS .......................................................................................... 10
1.4
ESTÁNDARES,
CERTIFICADOS
Y
ENTIDADES
REGULADORAS
WIRELESS ........................................................................................................22
1.4.1
IEEE WIRELESS ESTÁNDAR........................................................... 22
1.4.2
Wi-Fi ALLIANCE ................................................................................ 23
1.4.3
PROTOCOLO ORIGINAL 802.11 ...................................................... 23
1.4.4
PROTOCOLO DE IEEE 802.11e ....................................................... 34
1.5
FORMATO DE TRAMA Y VELOCIDADES ..............................................45
1.6
SEGURIDAD EN REDES INALÁMBRICAS .............................................50
VII
1.6.1
AUTENTICACIÓN Y ENCRIPTACIÓN .............................................. 50
CAPÍTULO 2 .........................................................................................................61
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ENTIDAD FINANCIERA Y
DETERMINACIÓN DE REQUERIMIENTOS.........................................................61
2.1
ANTECEDENTES ....................................................................................61
2.2
DISTRIBUCIÓN DE PERSONAL EN EL EDIFICIO DE QUITO ...............64
2.3
INFRAESTRUCTURA DE LA RED ..........................................................65
2.3.1
PARTE PASIVA DE LA RED ............................................................. 66
2.3.2
PARTE ACtiva DE LA RED ............................................................... 67
2.4
SERVIDORES Y SERVICIOS QUE ESTÁN DISPONIBLES ...................73
2.4.1
SERVIDORES SPARC ...................................................................... 73
2.4.2
SERVIDORES X86 ............................................................................ 80
2.4.3
SISTEMAS OPERATIVOS EN SERVIDORES .................................. 85
2.5
SERVICIOS DISPONIBLES AL ACCEDER A LA RED ............................86
2.5.1
SERVICIO DE ACCESO A INTERNET ............................................. 86
2.5.2
SERVICIO DE ANTIVIRUS CORPORATIVO .................................... 86
2.5.3
SERVICIO DE VIDEO CONFERENCIA ............................................ 87
2.5.4
SERVICIO DE CORREO ELECTRÓNICO ........................................ 88
2.5.5
SERVICIO DE IMPRESIÓN Y ESCANEO ......................................... 91
2.5.6
SERVICIO DE INTRANET ................................................................. 91
2.5.7
SERVICIO DE ARCHIVO .................................................................. 91
2.5.8
SISTEMAS DE BASE DE DATOS ..................................................... 91
2.6
SERVICIO
DE
NOMBRES
DE
DOMINIO
Y
ASIGNACIÓN
DE
DIRECCIONES IP ..............................................................................................92
2.7
EQUIPOS TERMINALES .........................................................................94
2.8
ADMINISTRACIÓN DE RED ....................................................................94
2.9
MANEJO DE LA IDENTIFICACIÓN Y AUTENTICACIÓN........................96
VIII
2.9.1
Novell e-Directory (Servidores UIO41, UIO42) .................................. 96
2.9.2
Novell Identity Manager – IDM (Servidores UIO81, UIO65) .............. 96
2.10
ACUERDO DE NIVEL DE SERVICIO ...................................................97
2.11
ANÁLISIS DE TRÁFICO .....................................................................101
2.11.1 ENLACE WAN QUITO –GUAYAQUIL ............................................. 103
2.11.2 TRÁFICO GENERADO EN LA LAN DE QUITO .............................. 104
2.11.3 PROTOCOLOS MÁS UTILIZADOS................................................. 107
2.12
REQUERIMIENTOS Y JUSTIFICACIÓN DE LA RED INALÁMBRICA ....
............................................................................................................107
CAPÍTULO 3 .......................................................................................................109
DISEÑO E IMPLEMENTACION DE LA SOLUCIÓN PROPUESTA ...................109
3.1
ANTECEDENTES ..................................................................................109
3.2
CONSIDERACIONES PARA EL DISEÑO .............................................111
3.2.1
DETERMINACIÓN DE USUARIOS BENEFICIARIOS DE ESTE
SERVICIO..................................................................................................... 111
3.2.2
APLICACIONES
QUE
VAN
A
CIRCULAR
POR
LA
RED
INALÁMBRICA ............................................................................................. 113
3.2.3
ANCHO DE BANDA REQUERIDO .................................................. 113
3.2.4
ÁREAS DE COBERTURA ............................................................... 118
3.2.5
SITE SURVEY ................................................................................. 121
3.3
CONEXIÓN DE LA RED WLAN CON LA CABLEADA...........................129
3.3.1
EQUIPAMIENTO NECESARIO ....................................................... 129
3.3.2
IDENTIFICADORES SSID ............................................................... 136
3.3.3
PLAN DE DIRECCIONAMIENTO IP................................................ 138
3.3.4
SEGURIDADES............................................................................... 138
3.4
ADMINISTRACIÓN DE LA RED ............................................................141
3.4.1
PUNTOS DE ACCESO .................................................................... 141
IX
3.4.2
3.5
CONTROLADORAS INALÁMBRICAS ............................................ 143
CONFIGURACIONES PARA LA IMPLEMENTACIÓN ...........................145
3.5.1
INSTALACIÓN DEL MÓDULO WISM2 ........................................... 145
3.5.2
ROAMING ....................................................................................... 163
3.5.3
CONFIGURACÓN SNMP ................................................................ 164
3.5.4
CONFIGURACION QoS .................................................................. 165
3.5.5
CONFIGURACIÓN DE LISTAS DE ACCESO ................................. 170
CAPÍTULO 4 .......................................................................................................173
PRUEBAS, RESULTADOS Y COSTOS .............................................................173
4.1
ANTECEDENTES ..................................................................................173
4.2
EQUIPOS DISPONIBLES EN EL MERCADO .......................................173
4.2.1
PUNTOS DE ACCESO .................................................................... 173
4.2.2
ANTENAS ........................................................................................ 175
4.2.3
CONTROLADORAS ........................................................................ 177
4.3
ANÁLISIS DE COSTOS .........................................................................179
4.3.1
4.4
ESTIMACIÓN DEL PRESUPUESTO REFERENCIAL .................... 179
PRUEBAS Y RESULTADOS .................................................................181
4.4.1
RESULTADOS OBTENIDOS .......................................................... 181
4.4.2
PRUEBAS DE RENDIMIENTO........................................................ 183
CAPÍTULO 5 .......................................................................................................188
CONCLUSIONES Y RECOMENDACIONES ......................................................188
5.1
CONCLUSIONES...................................................................................188
5.2
RECOMENDACIONES ..........................................................................190
REFERENCIAS BIBLIOGRÁFICAS ...................................................................192
ANEXOS .............................................................................................................194
ANEXO A ............................................................................................................... A
APLICACIONES QUITO-GUAYAQUIL PERIODO SEPTIEMBRE ......................... A
X
ANEXO B ............................................................................................................... B
APLICACIONES QUITO-GUAYQUIL PERIODO OCTUBRE ................................. B
ANEXO C ............................................................................................................... C
APLICACIONES QUITO-GUAYQUIL PERIODO NOVIEMBRE ............................. C
ANEXO D ............................................................................................................... D
UTILIZACIÓN ANCHO DE BANDA CANAL UIO-GYE PERIODO ENE-MAR 2013
......................................................................................................................... D
ANEXO E ............................................................................................................... E
UTILIZACIÓN ANDO DE BANDA CANAL UIO-GYE PERIODO ABR-JUN 2013....
......................................................................................................................... E
ANEXO F ............................................................................................................... F
APLICACIONES Y PROTOCOLOS RED INTERNA UIO ....................................... F
ANEXO G ............................................................................................................... G
PROTOCOLOS LAN UIO PERIODO ENE-JUN 2013 ............................................ G
ANEXO H ............................................................................................................... H
OFERTA ECONÓMICA MEGASUPPLY SOLUCIÓN WIRELESS ........................ H
ANEXO I.................................................................................................................. I
OFERTA ECONÓMICA ANDEAN TRADE SOLUCIÓN WIRELESS ....................... I
ANEXO J................................................................................................................ J
OFERTA ECONÓMICA TOTALTEK SOLUCIÓN WIRELESS ................................ J
ANEXO K ............................................................................................................... K
MANUAL INSTALACIÓN CISCO Wism 2 .............................................................. K
XI
ÍNDICE DE FIGURAS
CAPÍTULO 1 .......................................................................................................... 1
Figura 1-1 Topología de Red Inalámbrica ............................................................. 4
Figura 1-2 Dispositivos y Topología Inalámbrica ................................................... 6
Figura 1-3 Principios de Radio Frecuencia ..........................................................11
Figura 1-4 Antenas y Patrones de Radiación .......................................................19
Figura 1-5 Identificación de la WiFi Alliance .........................................................23
Figura 1-6 Frecuencias y Canales 802.11 ............................................................24
Figura 1-7 Velocidades del Estándar 802.11b ......................................................24
Figura 1-8 802.11a Canales y Velocidades .........................................................26
Figura 1-9 802.11 Requiere Confirmación por cada Trama ...............................28
Figura 1-10 802.11n usa Bloque De Confirmación para Tramas Constituidas ...28
Figura 1-11 Transmisión Beamforming ................................................................30
Figura 1-12 Multiplexación Espacial .....................................................................31
Figura 1-13 Máximo Radio Combinado ................................................................32
Figura 1-14 Beneficios de MIMO ..........................................................................34
Figura 1-15 Ejemplo de la aplicación de QoS ......................................................36
Figura 1-16 Flujos de Subida y Bajada con QoS ..................................................37
Figura 1-17 IFS-Espacio entre Tramas ................................................................39
Figura 1-18 Funcionamiento de DCF ...................................................................40
Figura 1-19 Formato de Trama WMM ...................................................................41
Figura 1-20 Colas WMM .......................................................................................42
Figura 1-21 Categoría de Acceso (AC) Temporización ........................................42
Figura 1-22 Mecanismo EDCF .............................................................................43
XII
Figura 1-23 Formato de Trama 802.11 ................................................................45
Figura 1-24 Flujo de Autenticación ........................................................................51
Figura 1-25 Encriptación .......................................................................................52
Figura 1-26 Encriptación Simétrica .......................................................................53
Figura 1-27 Encriptación Asimétrica ......................................................................53
Figura 1-28 Autenticación Abierta .........................................................................55
Figura 1-29 Autenticación WEP ...........................................................................56
Figura 1-30 Funcionamiento WEP .......................................................................58
CAPÍTULO 2 .........................................................................................................61
Figura 2-1 Estructura Organizacional ....................................................................63
Figura 2-2 Esquema de Infraestructura de Red Soportada ...................................66
Figura 2-3 Diagrama de Red LAN .........................................................................68
Figura 2-4 Esquema VSS de Core .......................................................................68
Figura 2-5 Nivel de Procesamiento del Core .........................................................69
Figura 2-6 Esquema Lógico de la red LAN............................................................72
Figura 2-7 Diagrama de BDD ................................................................................73
Figura 2-8 Clúster de Virtualización ......................................................................74
Figura 2-9 Ambiente de Réplica ............................................................................75
Figura 2-10 Esquema del Uso del Servidor UIOSRV02 ........................................76
Figura 2-11 Esquema del Uso del Servidor UIOSRV03 ........................................77
Figura 2-12 Esquema del Uso del Servidor UIOSRV04 ........................................78
Figura 2-13 Esquema del Uso del Servidor UIOSRV05 ........................................79
Figura 2-14 Esquema del Chasis Blade UIO .........................................................81
Figura 2-15 Esquema del Chasis Blade GYE........................................................81
Figura 2-16 Uso de Recursos Servidor UIO41 (Novell eDirectory) .......................82
Figura 2-17 Uso de Recursos Servidor UIO42 (Novell eDirectory) .......................83
XIII
Figura 2-18 Uso de Recursos Servidor de Correo (Lotus Domino) .......................84
Figura 2-19 Distribución de Servidores por SO .....................................................85
Figura 2-20 Esquema de Videoconferencia ..........................................................87
Figura 2-21 Esquema Lógico de la Plataforma IPAM ............................................93
Figura 2-22 Esquema de IDM ...............................................................................97
Figura 2-23 Esquema de SLA ...............................................................................98
Figura 2-24 Enlaces WAN ...................................................................................102
Figura 2-25 Análisis de Tráfico del Switch de Core_ Nodo1 ..............................105
Figura 2-26 Análisis de tráfico del Switch de Core_Nodo2 .................................106
CAPÍTULO 3 .......................................................................................................109
Figura 3-1 Diseño de Red WLAN ........................................................................109
Figura 3-2 Proyección Crecimiento del Personal ................................................113
Figura 3-3 Ancho de Banda e-mail año 2013 ......................................................114
Figura 3-4 Ancho de Banda e-mail año 2014 ......................................................115
Figura 3-5 Historial de Consumo de e-mail .........................................................115
Figura 3-6 Plano Piso 10 .....................................................................................121
Figura 3-7 Solución Inalámbrica Piso 10 .............................................................122
Figura 3-8 Site Survey Piso 10 (2.4 GHz) ...........................................................122
Figura 3-9 Site Survey Piso 10 (5.8 GHz) ...........................................................123
Figura 3-10 Plano Piso 16 ...................................................................................124
Figura 3-11 Solución Inalámbrica Piso 16 ...........................................................124
Figura 3-12 Site Survey Piso 16 (2.4 GHz) .........................................................125
Figura 3-13 Site Survey Piso 16 (5.8 GHz) .........................................................125
Figura 3-14 Plano Piso 20 ...................................................................................126
Figura 3-15 Solución Inalámbrica Piso 20 ...........................................................126
Figura 3-16 Site Survey Piso 20 (2.4 GHz) .........................................................127
XIV
Figura 3-17 Site Survey Piso 20 (5.8 GHz) .........................................................128
Figura 3-18 Arquitectura RADIUS .......................................................................140
Figura 3-19 Tarjeta CISCO Wism2 .....................................................................145
Figura 3-20 Plataforma DHCP para Equipos Inalámbricos ................................147
Figura 3-21 Verificación de Instalación de Wism2...............................................148
Figura 3-22 Verificación de la Instalación de Wism2 ...........................................148
Figura 3-23 Configuración Wism2 .......................................................................149
Figura 3-24 Acceso Web de la WLC ...................................................................150
Figura 3-25 Interfaces de WLC ...........................................................................150
Figura 3-26 Configuración SSIDs ........................................................................151
Figura 3-27 Diagrama Físico – Autenticación de Usuarios y Dispositivos Finales
......................................................................................................................152
Figura 3-28 Diagrama Lógico – Autenticación de Usuarios y Dispositivos Finales ..
………… ..............................................................................................................153
Figura 3-29 Configuración RADIUS ....................................................................154
Figura 3-30 Configuración ACS-WLC .................................................................154
Figura 3-31 Configuración ACS – eDirectory ......................................................154
Figura 3-32 Asociación LDAP .............................................................................155
Figura 3-33 Configuración Portal Cautivo ...........................................................155
Figura 3-34 Configuración Clean Air en 802.11a ................................................156
Figura 3-35 Configuración Clean Air para 802.11b .............................................157
Figura 3-36 Actualización de Software WLC .......................................................158
Figura 3-37 Puntos de Acceso Registrados ........................................................158
Figura 3-38 Configuración AP General ...............................................................159
Figura 3-39 Configuración de Interfaz del AP......................................................159
Figura 3-40 Asociación HA del AP ......................................................................160
Figura 3-41 Datos de AP .....................................................................................160
XV
Figura 3-42 Asociación al Grupo de AP ..............................................................161
Figura 3-43 Configuración AP Autoridades .........................................................161
Figura 3-44 Asociación de Interfaz del AP ..........................................................162
Figura 3-45 Configuración de HA de AP .............................................................162
Figura 3-47 Configuración de Grupo AP Privilegiado ..........................................163
Figura 3-48 Configuración Roaming....................................................................163
Figura 3-49 Configuración SNMP........................................................................164
Figura 3-50 Configuración SNMP V3 ..................................................................164
Figura 3-51 Configuración SNMP v2 ...................................................................164
Figura 3-52 Asociación Colector de Traps SNMP ...............................................165
Figura.3-53 Esquema de QoS .............................................................................165
Figura 3-54 Nivel Platino de QoS ........................................................................166
Figura 3-55 Nivel Oro de QoS .............................................................................167
Figura 3-56 Nivel Plata de QoS ...........................................................................168
Figura 3-57 Nivel Bronce de QoS........................................................................169
Figura 3-58 Inventario de WLC ...........................................................................169
Figura 3-59 Lista de Acceso SSID Invitados .......................................................170
Figura 3-60 Lista de Acceso SSID Móviles .........................................................172
Figura 3-61 Lista de Acceso SSID PDAs ............................................................172
CAPÍTULO 4 .......................................................................................................173
Figura 4-1 Ratificación de Buen Funcionamiento de APs ...................................184
Figura 4-2 Ratificación de Uso de Memoria y Asociación de Clientes ................184
Figura 4-3 Revisión de Configuración AP ...........................................................185
Figura 4-4 Revisión de Configuración de Interfaces de AP .................................185
Figura 4-5 Revisión de HA en AP........................................................................186
Figura 4-6 Revisión de Asociación de Grupo en AP ...........................................186
XVI
Figura 4-7 Reporte de Air Quality en 802.11a/n ..................................................186
Figura 4-8 Reporte de Air Quality en 802.11b/g/n ...............................................187
Figura 4-9 Reporte del peor escenario ................................................................187
Figura 4-10 Licencias Utilizadas..........................................................................187
XVII
ÍNDICE DE TABLAS
CAPÍTULO 1 .......................................................................................................... 1
Tabla 1-2 Frecuencias y Canales del Protocolo 802.11 .......................................23
Tabla 1-3 Parámetros QoS ...................................................................................37
Tabla 1-4 Clasificación WMM y 802.1P ................................................................41
Tabla 1-5 Parámetros de WMM en Acces Point ...................................................44
Tabla 1-6 Parámetros de WMM para clientes ......................................................44
Tabla 1-7 Tipos de Tramas ..................................................................................47
CAPÍTULO 2 .........................................................................................................61
Tabla 2-1 Número de Empleados de la Entidad ....................................................62
Tabla 2-2 Distribución de Personal en el Edificio de Quito ....................................65
Tabla 2-3 Características Switches de Core ........................................................70
Tabla 2-4 Características Switches de Acceso ....................................................72
Tabla 2-5 Resumen uso del Servidor UIOSRV02 ................................................76
Tabla 2-6 Resumen del uso del servidor UIOSRV03 ............................................77
Tabla 2-7 Resumen uso del servidor UIOSRV04 ..................................................79
Tabla 2-8 Resumen uso del servidor UIOSRV05 ..................................................80
Tabla 2-9 Resumen del uso del servidor UIO41 ....................................................82
Tabla 2-10 Resumen uso del servidor UIO42 .......................................................83
Tabla 2-11 Resumen uso del servidor Lotus Domino ............................................84
Tabla 2-12 Servidores por Sistema Operativo.......................................................85
Tabla 2-13 Equipos de IPAM.................................................................................93
Tabla 2-14 Distribución actual del direccionamiento IP .........................................95
Tabla 2-15 Distribución Direccionamiento IP Sucursales ......................................95
Tabla 2-16 Funcionalidades de la Herramienta de Monitoreo .............................100
XVIII
Tabla 2-17 Niveles de Servicio y Categorización de Incidentes ..........................101
Tabla 2-18 Resumen de estadísticas del Switch de Core_Nodo1 .......................105
Tabla 2-19 Resumen de estadísticas del Switch de Core_Nodo2 .......................106
CAPÍTULO 3 .......................................................................................................109
Tabla 3-1 Criterios de Diseño Generales ............................................................110
Tabla 3-2 Requerimientos de Equipos Mínimos Necesarios ...............................111
Tabla 3-3 Períodos de Crecimiento del Personal ...............................................112
Tabla 3-4 Tamaños Promedio de un Correo Electrónico ....................................114
Tabla 3-5 Tabla de Atenuación por Obstáculos .................................................120
Tabla 3-6 Análisis del Site Survey .......................................................................129
Tabla 3-7 Características para Seleccionar AP ...................................................131
Tabla 3-8 Consideraciones para la selección de los AP y WLC ..........................136
Tabla 3-9 Taba de Direccionamiento IP por SSID ...............................................138
Tabla 3-10 Tabla de Seguridades por SSID ........................................................139
Tabla 3-11 Tabla de Distribución de Puntos de Acceso en Quito ......................142
Tabla 3-12 Tabla de Distribución de Puntos de Acceso en Guayaquil ................142
Tabla 3-13 WLC Quito ........................................................................................144
Tabla 3-14 WLC Guayaquil .................................................................................145
Tabla 3-15 Ranuras para Wism2 ........................................................................146
Tabla 3-16 Segmentos de Red para Administración de la WLC .........................146
Tabla 3-17 Segmentos de Red para Administración de APs ..............................147
Tabla 3-18 Requerimientos de Autenticación ......................................................152
CAPÍTULO 4 .......................................................................................................173
Tabla 4-1 Puntos de Acceso Disponibles en el Mercado ...................................175
Tabla 4-2 Tipos De Antenas Para 2.4 Y 5 GHz ..................................................176
XIX
Tabla 4-3 Controladoras Disponibles En El Mercado ........................................179
Tabla 4-4 Tabla de Evaluación de Ofertas ..........................................................180
Tabla 4-5 Pruebas de Instalación ........................................................................182
Tabla 4-6 Pruebas de Funcionamiento ...............................................................183
Tabla 4-7 Pruebas de Rendimiento .....................................................................183
XX
RESUMEN
Hoy en día las redes inalámbricas cada vez son más necesarias en el mundo
tecnológico, social y empresarial. Debido a la característica principal que es brindar
la movilidad sin perder conexión brindando los servicios de la red cableada.
El presente proyecto comprende el diseño de la red inalámbrica de acuerdo a las
necesidades y características físicas y arquitectónicas que tiene la institución
financiera, para satisfacer las necesidades presentadas y acoplarse al desarrollo
tecnológico alcanzado con los dispositivos móviles para las comunicaciones
unificadas mejorando así a través de la temprana toma de decisiones la
productividad de la institución.
En el Primer Capítulo se realiza una descripción específica de las versiones de
802.11 para resaltar la ventaja que establece el estándar 802.11n. Además, se
enuncian los elementos que se deben considerar para el diseño de una WLAN de
acuerdo a la tecnología actual. También se verá las opciones de seguridad, como
parte de la administración de este tipo de red.
En el Segundo Capítulo se identifican los requerimientos de la institución
financiera sujeta de estudio. Se realiza un análisis de sus servicios y de su
infraestructura complementaria. A partir del levantamiento de esta información, se
establece el diseño de la red a satisfacción del cliente y sus requerimientos.
El Tercer Capítulo plantea en detalle el diseño de la red inalámbrica que permite
su funcionamiento. En esta sección se incluye el diseño de la red inalámbrica
determinando el número de usuarios, áreas de cobertura, análisis de ancho de
banda y crecimiento para la integración de la infraestructura de la red de área local
cableada e inalámbrica. Además se detalla las configuraciones realizadas para la
implementación.
XXI
El Cuarto Capítulo expone la propuesta técnica en funcionamiento. Además de
presentar el presupuesto referencial en base al costo del equipamiento existente
en el mercado conforme a las especificaciones expuestas en el diseño del capítulo
tres, la cual sirve como parámetro inicial de inversión para la solución completa.
Finalmente, en el Quinto Capítulo se exponen las principales conclusiones y
recomendaciones sobre el trabajo realizado, que deberán tomarse en cuenta en el
desarrollo de futuros trabajos.
Se incluye una sección de anexos sobre los datos de uso, protocolos, utilización
del ancho de banda generados con las herramientas utilizadas y manuales de uso
e instalación de la controladora.
XXII
PRESENTACIÓN
Actualmente la movilidad por la constante necesidad humana de interacción y el
desarrollo de la tecnología han hecho que los servicios prestados para dispositivos
móviles tengan una acogida bastante amplia, por eso la transmisión de texto, audio,
imagen, animación o video han constituido uno de los principales elementos
distribuidos mediante servicios de red, prioritariamente nos centraremos en las
redes inalámbricas para su transmisión.
Ante una demanda creciente de este tipo de solución por parte de los sectores
públicos y privados, se han marcado tendencias que han propulsado el crecimiento
del mercado: el avance tecnológico sostenido y las nuevas formas de compartición
de contenido.
La primera, ha permitido incrementar el mercado de las comunicaciones de datos
y ha convertido a las redes en un entorno ideal para la distribución de contenidos
siendo la red inalámbrica un complemento de las redes de área local y área
extendida un complemento necesario. La segunda en cambio, mediante la
interoperabilidad, gestión de contenidos, compartición, toma de decisiones
agilizada, administración centralizada, garantía de seguridad, confianza a lo largo
de toda la cadena de comunicación, interactividad, operatividad, compatibilidad en
todo tipo de terminales, ha generado un mercado basado en las ventajas y
compatibilidad de dispositivos y aplicaciones para la compartición de información y
contenidos.
Pero no todas las instituciones, ni las soluciones son ideales para todos ya que las
necesidades para cada uno son diferentes por lo tanto, son necesarios desarrollos
tecnológicos para trasladar y adaptar el atractivo de los beneficios que se tiene al
tener una red inalámbrica para poder potenciar las aplicaciones orientada a la
compartición de contenidos a las expectativas de los usuarios y funcionalidad de
cada entidad orientada a sus respectivos objetivos de productividad, es por esta
XXIII
razón la importancia de generar un estudio que permita conocer componentes que
son primordiales en la institución y buscar la integración de todas las etapas
necesarias como son administración, distribución y almacenamiento, los
lineamientos para esta solución tiene como ventaja principal la integración de
componentes externos en la red inalámbrica que está diseñadas para el envío y
recepción de tráfico de video, archivos, imágenes, voz, considerando un esquema
de recuperación frente a fallas, alta disponibilidad y redundancia.
1
CAPÍTULO 1
1. FUNDAMENTOS TEÓRICOS
Las redes inalámbricas se han venido desarrollando a través del tiempo, pero hoy
el uso de dispositivos inalámbricos es mucho más frecuente, por lo que se ha
creado una necesidad de poseerlas como una de las plataformas base dentro de
una arquitectura de negocio, permitiendo así la integración de elementos
inalámbricos a la red de comunicaciones, como son: terminales móviles, teléfonos
inteligentes, proyectores, laptops, tablets, etc.
1.1 INTRODUCCIÓN
Evolución de las Redes Inalámbricas
2500
2000
1500
1000
500
0
900 Mhz
IEEE
802,11
Drafting
Begins
802,11
Ratified
802,1 a,b
Ratified
802,11 g
Ratified
802,11 n
Draft 2,0
802,11n
Ratified
2,4 Ghz
2,4 Ghz
5 Ghz
5 Ghz
5 Ghz
5 Ghz
Propietario Propietario Propietario Basado en Basado en Basado en Basado en
Estándar Estándar Estándar Estándar
800 Kb/s
1Mbps
2Mbps
1Mbps
2Mbps
11 Mbps
54 Mbps 300 Mbps 300 Mbps
Tabla 1-1 Evolución de las Redes Inalámbricas [1]
año
2
La comunicación inalámbrica significa transmitir información usando ondas de
radio. La IEEE1, es una organización que es responsable del desarrollo de
protocolos que definieron el primer estándar IEEE 802.11, el cual describe cómo
una señal puede ser enviada utilizando una de las bandas ISM2 para cargar
información digital desde un dispositivo electrónico a otro. La mayoría de estos
protocolos definidos entre 1997 y 2003 son usados hoy en día para las redes
inalámbricas. La Tabla 1-1 describe la evolución de los estándares para las redes
inalámbricas.
Para poder organizar en grupos las tecnologías inalámbricas, se clasifican las
comunicaciones de diferentes formas dentro del espectro radioeléctrico,
dependiendo de las distancias de la conexión, el número de dispositivos a conectar
y la cantidad de información a transmitir.
1.2 RED DE ÁREA LOCAL INALÁMBRICA
Las redes de área local inalámbricas o WLANs proveen una red con conectividad
robusta sobre una distancia aproximada de 100 metros, entre el punto de acceso y
los clientes asociados.
El objetivo no es conectar un dispositivo a otro, sino conectar muchos dispositivos
a una red sin la necesidad de cables. Hoy en día están basadas en el estándar
IEEE 802.11, la primera comercialización satisfactoria de esta tecnología fue
lograda por la IEEE con el estándar 802.11b, el cual opera en la banda de los 2.4
GHz alcanzando una velocidad de 11 Mbps.
Para implementar un método de transmisión distinto, el nivel de datos fue
incrementado a 54 Mbps en el año 2003 con el estándar IEEE 802.11g, en la misma
banda que su predecesor, y el estándar IEEE 802.11a en la banda de los 5 GHz.
Actualmente, los puntos de acceso inalámbrico trabajan con las dos bandas y así
también las tarjetas de red de los clientes soportan estas combinaciones de
802.11a, b, g y n.
Las redes inalámbricas son complejas porque muchos usuarios esperan conectarse
al mismo tiempo, lo que genera interferencias al competir por el espectro de
1
2
Instituto de Ingenieros Eléctricos y Electrónicos
Del inglés: Industrie, Scientific and Medical
3
frecuencia dentro del canal de comunicación. Para el administrador, controlar todos
los accesos simultáneos a la red no es una tarea productiva. Se puede ofrecer un
mejor servicio al número óptimo de usuarios que se registren en cualquier
momento, mediante la automatización de la tecnología utilizando una controladora.
Una de las características que le permitió a las WLAN tener acogida es no ser
licenciadas, esto implica que los usuarios no necesitan pagar por el uso de canales
en este rango de frecuencia, lo que ha impulsado el desarrollo creciente de
dispositivos para este tipo de uso. [1]
1.3 INFRAESTRUCTURA DE UNA RED INALÁMBRICA
1.3.1 PUNTOS DE ACCESO
La infraestructura de una red inalámbrica se crea instalando un dispositivo dedicado
a la centralización de la comunicación entre los clientes. Este dispositivo central
define la frecuencia y los valores del grupo de trabajo inalámbrico, así como los
dispositivos que deseen unirse al canal con otros del grupo. Este dispositivo central
es llamado Punto de Acceso (AP) cuya función principal es traducir la comunicación
del estándar IEEE 802.3 de la red cableada (Ethernet) a un medio inalámbrico
mediante el estándar IEEE 802.11.
Un AP puede conectar a una máquina u otra en el mismo espacio inalámbrico o a
la red cableada, una capacidad fundamental que se destaca de las WLAN.
Un AP puede manejar y direccionar el tráfico inalámbrico. Manejan como los
switches una tabla dinámica de direcciones MAC3 que redirigen los paquetes a los
puertos correspondientes donde se encuentra la MAC insertada en el paquete. El
encabezado de una trama IEEE 802.11 típicamente tiene tres direcciones MAC
pero puede llegar a tener hasta cuatro en ciertas ocasiones. Como sabemos las
redes Ethernet usan solo dos direcciones MAC, la de destino y la de origen, pero,
IEEE 802.11 al manejar una trama entre el AP y dos estaciones, también usa el
concepto de transmisión salto a salto, por lo que se almacena la MAC del siguiente
salto, y el nombre del grupo en un AP también es una dirección MAC.
3 MAC: Hace referencia a la dirección de hardware de capa 2 según el modelo OSI con la que
constan los equipos electrónicos.
4
El AP usa un esquema de direcciones de capa 2 para las tramas inalámbricas, para
enviar a las capas superiores la información a través del backbone4 y devolverlas
al espacio inalámbrico.
Un AP ofrece un BSS5 pero no un IBSS6, porque un AP es un dispositivo dedicado.
El radio de cobertura del AP es llamado BSA7 o celda. Puesto que las estaciones
de clientes se encuentran conectadas al dispositivo central, este tipo de red se
denomina de infraestructura.
Figura 1-1 Topología de Red Inalámbrica [1]
4
Traducido al español como columna vertebral, hace referencia al cableado estructurado vertical
que puede ser de cobre o fibra.
5 Del inglés Basic Service Set (BSS): Es un conjunto de servicios básicos. Se refiere al servicio que
un access point proporciona.
6 Del inglés Independent BSS (IBSS): Es un conjunto de servicios básicos que provee una red
wireless punto a punto.
7 Del inglés: Basic Service Area (BSA): Es la llamada celda para la conexión inalámbrica.
5
Desde la perspectiva de la red inalámbrica se denomina Sistema de Distribución
(DS) al lado de la sección de la red cableada que se puede alcanzar a través del
AP. Los sistemas de distribución reciben los paquetes que los clientes de la red
inalámbrica entregan y distribuyen todos estos paquetes donde quiera que se
necesite recibir, incluso si se tratase de otro AP (Ver Figura 1-1).
Cuando el sistema de distribución tiene enlaces con dos puntos de acceso, o dos
celdas, el grupo se llama Extended Service Set (ESS).
Este escenario es el más común dentro de las redes inalámbricas porque permite
a las estaciones estar en diferentes áreas y no perder conectividad de la red, pero
para esto se necesita realizar un proceso conocido como roaming descrito más
adelante. [1]
1.3.1.1 Identificador de Conjunto de Servicios (SSID)
Un SSID, es el nombre que los administradores de redes inalámbricas utilizan para
identificar las conexiones inalámbricas. Es una cadena de caracteres que actúa
como una contraseña para identificarse en el BSS. EL SSID diferencia una WLAN
de otra, por lo que todos los dispositivos que intentan acceder a una WLAN
específica deben utilizar el mismo SSID para permitir la movilidad. Cuando los
dispositivos no cuentan con un punto de acceso que interactúe con ellos, se conoce
como BSSID (Basic Service Set Identifier); mientras que en las redes de
infraestructura que poseen un punto de acceso se utiliza el ESSID (Extended
Service Set Identifier).
1.3.1.2 Roaming
El roaming ocurre cuando una estación se mueve dejando el área de cobertura del
AP al que estaba conectada originalmente, y llega a la BSA de otro AP, se dice que
la estación deambula entre las celdas. Las celdas vecinas están por lo general en
diferentes canales para evitar interferencias. Las redes inalámbricas están
diseñadas para realizar la detección de celdas vecinas y realizar el roaming con
total trasparencia desde el punto de vista de la estación. Ver la descripción gráfica
en la Figura 1-2.
6
Figura 1-2 Dispositivos y Topología Inalámbrica [1]
Se permite realizar el roaming entre los APs asociados a la misma controladora y
entre los APs asociados con diferentes controladoras.
El roaming puede ocurrir tanto en capa 2 como en capa 3.
En capa 2 la subred del cliente no cambia.
En capa 3 un cliente se mueve de un SSID de un AP que está asociado a una VLAN
y la IP respectiva de la subred, al mismo SSID en diferente AP que está asociado
con una VLAN e IP de subred diferente.
Para que el roaming ocurra entre diferentes controladoras, estas necesitan estar en
el mismo dominio de movilidad para que puedan comunicarse. Las controladoras
con un grupo de movilidad deben poseer las siguientes características:
ü Nombre de grupo de movilidad
ü Igual versión de la controladora, a pesar de que entre diferentes versiones
es posible mantener la movilidad, es una mejor práctica que sean iguales.
7
ü El protocolo de comunicación del punto de acceso con la controladora debe
ser (Lightweight Access Point Protocol [LWAPP] o Control and Provisionning
of Wireless Access Points [CAPWAP])
ü Mantener las mismas listas de control de Acceso (ACLs)
ü Poseer los mismos SSIDs
Estos requerimientos deben cumplirse para que el roaming sea transparente hacia
el cliente y funcione correctamente. Sin estos, un cliente deberá volver a asociarse
y autenticarse a la red. [1]
1.3.2 CONTROLADORAS INALÁMBRICAS
Una controladora inalámbrica (WLC) tiene como función integrar capacidades de
gestión avanzadas en las redes empresariales existentes y lograr un rendimiento
mejorado. Estas se comunican con los puntos de acceso ya sea por capa 2
(Ethernet) o capa 3 (IP) y son responsables de la gestión de las funciones del
sistema, lo cual simplifica la administración de la red inalámbrica.
1.3.2.1 Beneficios
1.3.2.1.1 Operaciones Simplificadas
Reducen los gastos operativos mediante la simplificación de despliegue de red,
operación y gestión, permitiendo una administración centralizada para poder
realizar la configuración inalámbrica y dar seguridad a la plataforma a través de la
misma interfaz.
1.3.2.1.2 Control Centralizado
Optimiza el rendimiento de la red inalámbrica. Implementa controles inalámbricos
para ayudar a gestionar la infraestructura, asegura y configura los puntos de acceso
en toda la organización.
8
1.3.2.1.3 Opciones de Implementación
La institución, al contar con una infraestructura marca CISCO, manifestó que la
solución debe ser de igual marca,
por lo tanto, en esta investigación se
seleccionará el mejor controlador ofertado por CISCO, que se adapte a sus
equipos.
Por parte de CISCO existe una solución llamada Unified Wireless Network (UWN)
que fue desarrollada pensando en el cambio constante de los ambientes en los
cuales se pone en funcionamiento una red inalámbrica y sus afectaciones, por
ejemplo de forma tradicional se configuraban los equipos manualmente e
individualmente, reproduciendo las configuraciones de un AP a otro, configurando
el canal, la potencia de transmisión de cada AP y viendo que no interfieran entre
ellos; pero esto en empresas medianas o grandes requiere de mucho esfuerzo,
reduce la fiabilidad y representa varios puntos de falla en una solución a un
problema.
Esta solución provee una administración inteligente de radio frecuencia y con la
habilidad de cambiar el canal y la potencia de acuerdo con la necesidad, CISCO
provee una alta capacidad, disponibilidad y menor costo en la implementación de
la red inalámbrica. La arquitectura de esta solución incluye dos tipos de APs:
Autónomo: Significa que puede ser configurado uno por uno y ofrece las
funcionalidades por ellos mismos, lo cual aplica para redes pequeñas.
AP de peso ligero: Pertenecen a una controladora de red inalámbrica central la cual
controla la configuración de cada punto de acceso así como sus actualizaciones se
realizan dinámicamente a través de la red, y si las condiciones cambian, estas se
reajustan.
Los APs son controlados y monitoreados a través de la controladora. Los clientes
y los APs envían información crítica en segundo plano hacia la WLC acerca de la
cobertura, interferencias y los datos del cliente. La comunicación entre los APs y la
WLC es provista por el protocolo CAPWAP (Control and Provisioning of Wireless
Access Points).
CAPWAP es usado para enviar la información de control entre el AP y la WLC sobre
un túnel cifrado. La información del cliente es encapsulada con una cabecera
9
CAPWAP de 6 bytes que contiene la información acerca del cliente como RSSI8,
SNR9 y la envía al WLC, el cual reenvía la información tanto como sea necesario,
este mecanismo mejora el control de seguridad sobre las condiciones de tráfico; así
mismo, el resultado de esta trama rebosa la capacidad del MTU10 de Ethernet al
que el AP se conecta. El MTU en el espacio inalámbrico es usualmente de 2346
bytes, donde se usa para Ethernet segmentos de 1500 bytes. En este caso, la trama
para 802.11 es fragmentada y el campo del fragmento de la cabecera CAPWAP
cuenta los segmentos.
El AP y la WLC constituyen un túnel seguro DTLS11. Donde cualquier AP puede ser
detectado si no tiene capacidad CAPWAP y la red puede ser configurada para
forzar a que los APs tengan esta característica haciendo que se autentiquen antes
de ser capaz de descargar cualquier información de la WLC, mitigando así la
posibilidad de un AP intruso.
Una controladora puede manejar entre 6 a 250 APs. Sin embargo, la capacidad
puede ser incrementada con una WLC adicional.
La controladora es capaz de analizar en tiempo real las características de Radio
Frecuencia (RF) para la administración eficiente de los canales asignados, lo que
incluye lo siguiente:
8
·
Energía recibida por el AP
·
Ruido
·
Interferencia 802.11
·
Utilización
·
Carga del cliente
Received Signal Strength Indicator: es una escala de referencia (en relación a 1 mW) para medir
el nivel de potencia de las señales recibidas por un dispositivo móvil en las redes inalámbricas.
9 Signal-to-Noise Ratio: se define como la relación existente entre la potencia de la señal que se
transmite y la potencia del ruido que la corrompe. Este margen es medido en decibelios.
10 Unidad Máxima de Transferencia: En términos de redes se refiere al tamaño máximo de datos
que se puede enviar en la trama de un protocolo.
11 Datagram Transport Layer Security: es un protocolo que proporciona privacidad en las
comunicaciones para protocolos de datagramas. Este protocolo permite a las aplicaciones
cliente/servidor comunicarse de manera que se eviten las escuchas no deseadas, accesos no
permitidos, o modificación de mensajes.
10
En función de algoritmos la controladora toma decisiones sistematizadas, dando un
resultado óptimo para la configuración del canal, haciendo que se transmita la
energía requerida por el AP, si una falla se detecta en un AP, la energía se
distribuye automáticamente entre los AP vecinos para rellenar el vacío que este
deja y no perder cobertura.
Una controladora puede soportar un máximo de 512 VLANs. Sin embargo,
solamente unas pocas son realmente necesarias, por ejemplo para separar los
datos de la VoIP, el acceso de invitados y la administración como tal. La WLC puede
asignar hasta 16 WLANs por cada AP, cada una separada por un identificador,
llevarán sus propios SSID y se pueden aplicar políticas de seguridad y calidad de
servicio. Todos los clientes compartirán el mismo espacio, pero se utiliza una red
diferente por cada SSID al que se asocien, cada uno con sus respectivas políticas.
1.3.3 ANTENAS [2, 3]
Las redes inalámbricas utilizan ondas de radio para enviar información. Por lo tanto,
se debe conocer los principios básicos de la propagación de ondas de radio para
las redes inalámbricas.
Una onda de radio es un campo eléctrico y un campo magnético utilizado para
transportar la información. Las ondas de radio suelen utilizar frecuencias que el ser
humano no puede detectar.
Diferentes ondas tienen diferentes tamaños que se expresan en metros. Otra
unidad de medida, Hertz (Hz), expresa con qué frecuencia se produce una onda, o
se repite, por segundo. Una onda que se produce cada segundo se dice que tiene
una frecuencia de 1 Hz. La onda que se produce mil millones de veces por segundo
tiene una frecuencia de un Gigahercio (GHz).
Señales de baja frecuencia se ven menos afectadas por las señales de alta
frecuencia en el aire y pueden viajar más lejos. Las redes inalámbricas utilizan la
banda de 2,4 GHz y la banda de 5 GHz. La banda de 5 GHz tiene levemente menos
cobertura que la banda de 2.4 GHz.
Las ondas de radio repiten su patrón de movimiento en el tiempo (en un punto
determinado del espacio), pero así mismo distribuido en el espacio. La distancia
física desde un punto del ciclo hasta el mismo punto del siguiente ciclo se llama
11
longitud de onda, que por lo general se representa por el símbolo griego λ (lambda).
La longitud de onda es la distancia física cubierta por la onda en un ciclo. Otro
parámetro importante de la onda es su fuerza, o la amplitud.
Cuando una onda de radio golpea un obstáculo, parte de la energía de la onda es
absorbida por el material del obstáculo. Este fenómeno reduce la amplitud de la
onda. Si queda un poco de energía, una onda más débil (de menor amplitud, pero
la misma frecuencia y longitud de onda) continúa en el otro lado del obstáculo.
Si la onda de radio golpea el obstáculo en un ángulo bajo, la onda (toda la onda, o
parte de ella) podría rebotar en el obstáculo. Este fenómeno se llama reflexión (Ver
Figura 1-3). El ángulo de reflexión es el mismo que el ángulo original. Un obstáculo
dado puede no ser una fuente de reflexión para una señal en una frecuencia, pero
podría ser una fuente de alta reflexión para la misma señal enviada a otra
frecuencia.
Figura 1-3 Principios de Radio Frecuencia [1]
La reflexión depende del material del obstáculo, de la frecuencia de la onda de
radio, y del ángulo en que se alcanza el obstáculo.
La reflexión causa un fenómeno llamado trayecto múltiple, que es una preocupación
importante en los ambientes interiores. Una señal enviada a una estación viaja en
una línea recta y alcanza el destino. A pocos microsegundos después, copias de la
12
misma señal reflejadas en las paredes, techo y obstáculos también llegan a su
destino.
Todas estas copias pueden tener un efecto destructivo si están fuera de fase. Si se
recibe una señal dos veces exactamente en el mismo tiempo, la onda secundaria
agrega su energía a la onda primaria, por lo que el receptor recibe el doble de la
energía positiva (cresta positiva) en el mismo instante, luego dos veces la energía
negativa (cresta negativa) en el mismo instante. El resultado es que las ondas se
suman a dos veces la amplitud (energía) de una sola onda, y las dos señales se
dice que están en fase (ambas señales se dice que tienen un ángulo de 0 grados).
Esta rara condición se llama de subida. Por el contrario, si la energía negativa de
la señal (cresta negativa) llega al receptor, justo cuando la primera señal de energía
positiva (cresta positiva) también llega al receptor, ambas señales se anulan entre
sí, dando lugar a ninguna señal en absoluto (este es el principio utilizado en
auriculares de cancelación de ruido). Las señales se dice que tienen un ángulo de
180º.
En la mayoría de redes inalámbricas, más de dos señales están llegando al
receptor, y sus respectivos ángulos son por lo general entre 0° y 180°. Debido a
que la reflexión se produce en diversos puntos en el espacio, un receptor puede ser
gravemente afectado por reflexiones en una posición dada, y no se ve afectado del
todo a tan solo unos pocos centímetros de distancia.
Para luchar contra los efectos de trayectoria múltiple, muchos sistemas
inalámbricos tienen dos antenas vinculadas al mismo circuito de radio. Esto se
conoce como diversidad.
Cuando se detecta una trama, el sistema pone a prueba la señal de cada antena y
utiliza la antena que ofrece la mejor señal. El sistema luego responde a través de
la misma antena que se utilizó para recibir. Esta decisión es tomada por la antena
para cada trama recibida.
El sistema utilizará una antena o la otra, pero nunca las dos al mismo tiempo. El
algoritmo utilizado por el sistema, compara las señales escuchadas de ambas
antenas. Las antenas deben estar en la misma zona física, y ambas antenas deben
ser del mismo tipo (de modo que su señal se pueda comparar).
13
La reflexión también se produce en el propio aire, rebotando en polvo o micro gotas
de agua (humedad). Estas reflexiones múltiples se describen como dispersión. Una
señal dispersa es más débil (debido a que parte de ella se refleja en otras
direcciones a lo largo del camino) y más difusa (debido a que muchas de estas
micro reflexiones podría golpear al receptor). El efecto de la dispersión depende
también de la frecuencia de la onda de radio.
Otro fenómeno, menos común en las redes inalámbricas de interior, es la
refracción. La refracción se produce cuando una onda cambia de dirección. Este
cambio en la dirección generalmente sucede cuando una onda pasa de un medio a
otro (por ejemplo: del aire al agua).
Incluso sin obstáculos, una onda de radio se hace más débil conforme se aleja de
la fuente de emisión debido a que la energía de la onda se propaga en una forma
de cono para una antena direccional, o en un círculo similar a ondas en el agua
para las antenas omnidireccionales. La misma cantidad de energía debe cubrir un
espacio más grande, lo que reduce la cantidad de energía disponible en cualquier
punto dado. Esta atenuación de la señal relacionada con la distancia del emisor se
llama pérdida de espacio libre.
La pérdida de espacio libre se toma en cuenta para determinar cuánta energía debe
ser enviada desde el emisor para alcanzar al receptor en buenas condiciones. A
este cálculo se lo conoce como el presupuesto del enlace.
La señal de RF debe ser capaz de viajar directamente desde el emisor hacia el
receptor para que dicha transmisión tenga efecto. Los ingenieros de RF se refieren
a ésta conexión directa como RF en línea de vista.
Para los enlaces de radio de largo alcance, la curvatura de la tierra impide la línea
de vista de RF tan pronto como la distancia supera los 7 a 10 kilómetros. A
continuación, se deberá elevar las antenas para mantener la línea de vista.
Una exitosa señal, realmente requiere más que una simple línea de vista. Densos
obstáculos cercanos a la línea de vista toman mucha de la energía de la onda (o la
reflectan, ocasionando problemas de múltiples rutas) del receptor para interpretar
correctamente la señal recibida.
El físico del siglo diecinueve, Agustín-Jean Fresnel, calculó zonas alrededor de la
línea de vista, donde las señales reflectadas destruirían (zonas impares) o
14
reincorporarían (incluso las zonas) la señal principal. Teóricamente existe un infinito
de zonas, pero el área principal de interés es la primera zona.
Alguna obstrucción puede ser aceptable, pero al menos el 60% de ésta primera
zona, debe ser liberada de cualquier obstáculo, para permitir que la señal tenga una
calidad aceptable.
Debido a que la onda de RF se vio afectada por los obstáculos en el camino, es
importante determinar qué cantidad de señal es recibida por el otro extremo. El
valor que indica la cantidad de poder recibido es llamado Indicador de Poder de
Señal Recibida (RSSI). Es un valor negativo medido en dBm. Un valor más alto
(cercano a 0) es mejor y muestra una señal más alta. El cálculo del RSSI es difícil
debido a que el receptor no conoce la cantidad de poder que fue originalmente
enviada. Por lo tanto, el RSSI es simplemente un valor que determina la capacidad
que tiene la tarjeta receptora para convertir la señal recibida en datos, y no existe
escala alguna para el RSSI.
Dos tarjetas de diferentes fabricantes, en el mismo punto del espacio, pueden
indicar diferentes RSSIs de la misma señal recibida. La capacidad que tiene la
tarjeta inalámbrica de convertir la señal recibida en datos, se ve también afectada
por otras ondas de radio que llegan al receptor, junto con la señal principal. Estas
señales recibidas, no utilizadas, que se encuentran a la misma frecuencia que la
señal principal, son llamadas ruido, y es un valor negativo medido en decibeles
(dB). Un valor bajo de ruido (-100 es menor que -10) es señal de un silencioso y
mejor ambiente. La diferencia de la fuerza entre la señal principal y el ruido de fondo
es llamada Proporción Señal a Ruido (SNR). Para recibir una señal en buenas
condiciones, la estación necesita especificar el valor mínimo de RSSI, pero a la vez,
especificar la mínima SNR, estas especificaciones, ayudan a la estación para que
pueda entender la señal recibida.
1.3.3.1 dB y dBm
RSSI se expresa en dBm debido a que las señales inalámbricas son campos
eléctricos. Dentro de una estación o de un punto de acceso, el transmisor genera
una corriente eléctrica que es desviada hacia a la antena y radiada. La fuerza de
esta corriente eléctrica se la expresa en watts (de hecho, en milésimas de watts o
15
en mili watts). La comparación de señales expresadas en mili watts se la puede
hacer directamente (la señal X es Y mili watts más fuerte que la señal Z) o utilizando
la escala del decibel. La escala del decibel fue inventada por los Laboratorios Bell
para comparar la fuerza de una señal de sonido en los primeros días de telefonía
analógica. Ésta escala fue generalizada para muchos otros campos, ya que se es
simple comparar potencias en una escala logarítmica. La unidad a utilizar para
comparar dichas medidas, se la hace simplemente añadiendo el dB para expresar
que se está comparando potencias relativas. (dBm para comparar la potencia
relativa [dB] de dos señales expresadas en mili watts, dBHz para comparar hertzios,
etc.).
La escala de los dB es ampliamente utilizada en las redes inalámbricas ya que
permite comparar potencias relativas, mas no potencias absolutas. Por ejemplo, si
la señal A es 1 mW y la señal B es 4mW, una comparación directa indica que B es
3 mili watts más fuerte que A. Si la señal C es 25 mW y la señal D es 100mW, una
comparación directa indica que D es 75 mW más fuerte que C. Cuando se hace la
comparación de todas estas señales juntas, una comparación directa le da la
alternativa a pensar que existe mayor diferencia entre C y D (75mW) que entre A y
B (3mW). Esto es cierto pero malentendido. La escala de los dB indica que B es 4
veces más fuerte que A y D y también 4 veces más fuerte que C. C es mucho más
fuerte que A, pero la diferencia relativa entre D y C y entre B y A es la misma (D y
B son 4 veces más fuertes que C y A respectivamente).
Esto tiene sentido cuando se las asocia con otras reglas. Por ejemplo, para las
redes inalámbricas, una señal 4 veces más fuerte duplicará la distancia utilizable
en donde la señal puede ser recibida. La escala directa indica que C es más larga
que A, pero la escala de los dB facilita determinar que la distancia entre A y B
también se duplica entre C y D.
La escala de decibelios es logarítmica, la que es un poco difícil de calcular
mentalmente. Para simplificar la tarea, hay que recordar tres valores simples:
■ 0 dB: Una medición de 0 dB es el valor de referencia (señal A es 0 dBm más
fuerte o más débil que la otra señal de 1 mW).
■ 0 dB: Cuando la potencia es de 10 dB, la fuente que se está examinado es diez
veces más potente que el valor de referencia. Esto también funciona a la inversa:
16
si el poder es de -10 dB, la fuente que se está examinado es diez veces menos
potente que el valor de referencia.
■ 3 dB: Si la potencia es 3 dB, la fuente que se examina es el doble de potente que
el valor de referencia. Con la misma lógica, si el objeto que se evalúa es la mitad
de poderoso que el valor de referencia, se escribirá -3 dB.
1.3.3.2 dBi y dBd
La escala de decibelios se utiliza también para comparar la potencia relativa
(llamada ganancia) de las antenas. La referencia ahora ya no es 1 mW, porque no
se transmite electricidad por el aire realmente, y también porque el objetivo no es
medir los valores de potencias eléctricas relativas, sino comparar la capacidad de
una antena para enfocar una señal de RF. Para permitir la comparación más simple,
una antena de referencia teórica fue imaginada para ser utilizada como un punto
de referencia contra el cual se compararán todas las antenas. Esta antena
imaginaria se denomina isotrópica y es imaginada como un punto ancho y que
irradia su señal perfectamente por igual en todas las direcciones.
Dicha antena no existe, por supuesto (una antena no puede ser "un punto"
pequeño, y el hardware de la antena no permitiría irradiar perfectamente de la
misma manera en todas las direcciones), pero esto no importa. Esta antena
imaginaria proporciona un punto de referencia, y encontrará ganancias de antena
(o potencia) expresada en dBi (son dB con respecto a la antena isotrópica teórica).
Se puede a continuación, comparar antenas entre sí. Con la escala de dB, usted
sabe que una antena de 6 dBi tiene el doble de la ganancia de antena de 3 dBi y
cuatro veces más ganancia que la antena isotrópica teórica.
dBi es la escala más común para expresar la ganancia de una antena, pero algunos
profesionales prefieren utilizar una antena existente como referencia.
La antena elegida es la más simple posible, llamada antena dipolo. Esta
comparación se expresa en dBd. Esta escala es menos común, pero la conversión
de un lado a otro es fácil. Una antena básica dipolo tiene una ganancia de 2,14 dBi.
También es 0 dBd (como la ganancia de la antena básica dipolo es exactamente la
17
ganancia de la antena dipolo, ni más ni menos). Una antena de 6 dBi también puede
decirse que es una antena de 3,86 dBd (6-2,14).
Es decir:
■ dBi = dBd + 2,14
■ dBd = dBi - 2.14
1.3.3.3 Principios de Antenas
1.3.3.3.1 Polarización
Diferentes antenas tienen diferentes maneras de enfocar la energía recibida desde
el transmisor. Todos ellos emiten un campo eléctrico, el cual es la onda de radio.
Un campo magnético está asociado a un campo eléctrico. Este campo magnético
se dice que está en el lado izquierdo de la onda, es una convención decir que
cuando la onda se mueve hacia arriba, hay un campo magnético positivo en el lado
izquierdo de la onda (luego a la derecha cuando la onda se mueve hacia abajo).
Esta onda de radio puede subir y bajar, entonces se dice que la antena es de
polarización vertical.
La antena también puede ser diseñada para permitir que la onda viaje en un
movimiento de izquierda a derecha (la antena esta polarizada horizontalmente, y el
campo magnético está por encima y por debajo). Patrones más complejos son
posibles (por ejemplo, la polarización circular, donde los círculos de la onda se
mueven hacia adelante). La mayoría de las redes inalámbricas utilizan la
polarización vertical. La polarización en realidad no importa (la posición relativa de
la tierra con respecto a la onda no cambia), pero el emisor y el receptor deben
utilizar la misma polarización. Esto no es crítico en interiores, donde múltiples
caminos asegurarán de que todos los tipos de señales polarizadas lleguen al
receptor, pero es muy importante al aire libre, sobre todo para enlaces de largo
alcance. Un desajuste de polarización podría hacer que la señal recibida sea hasta
20 dB más débil de lo que sería si fuera polarizada adecuadamente.
18
1.3.3.4 Patrones de Radiación
Cada antena tiene un valor de ganancia, pero no se debe pensar que la actividad
de la antena amplifica la señal recibida desde el transmisor.
La ganancia, compara la señal enviada por la antena como si esta hubiera sido
enviada por una antena isotrópica. La antena isotrópica radia toda la energía de la
señal hacia una esfera perfecta. Si la antena radia en una única dirección, se
recibirá más energía en dicha dirección que la que podría ser recibida en el mismo
punto del espacio si la antena hubiera sido isotrópica. La cantidad global de energía
es la misma, solo que está mejor enfocada. La ganancia simplemente reafirma
cuanta más energía va a ser recibida en esa dirección.
Vendedores de antenas utilizan gráficos de patrones de radiación para describir la
señal enviada por una antena. Esta tabla proporciona una vista desde arriba de la
antena (el plano horizontal [plano-H] o gráfico azimut) y una vista desde un lado (el
plano de elevación [plano-E] gráfico o elevación).
El plano-H muestra cómo la señal se extiende por delante, por detrás, por la
derecha y por la izquierda, pero no de arriba, abajo, y proporciona una vista
horizontal. El plano-E muestra cómo la señal se extiende por delante, por detrás,
en la parte superior y la parte inferior, pero no a la derecha y la izquierda, pero no
proporciona una vista de arriba hacia abajo de la forma de la señal.
Con esto, los vendedores toman un punto en el espacio donde la señal más fuerte
es recibida y lo utilizan como referencia. En la Figura 1-4 está representada por el
círculo de afuera, la línea representa cuan poca energía se recibirá mientras se
camina en círculos alrededor de la antena. Esto es muy confuso. Se debe mover
circularmente mientras se permanezca a la misma distancia de la antena. La línea
entrecortada muestra cuán poca energía es recibida mientras se va alejando del
punto principal de la energía radiada.
Para determinar el área donde mayor parte de la energía está siendo radiada
(llamada el ancho de haz), vendedores han tomado puntos donde la señal se
degrada a 3 dB (mitad de la potencia). En la figura, este punto se encuentra
posicionado aproximadamente a 30 grados de cada lado de la dirección principal
19
de radiación, y el ancho de haz de la antena se dice que está a 60 grados (30
grados de cada lado).
Figura 1-4 Antenas y Patrones de Radiación [1]
1.3.3.5 Tipos de Antenas [3] [4]
Hay dos tipos principales de antenas: omnidireccionales y direccionales. Antenas
omnidireccionales irradian igualmente en todas las direcciones del plano-H. Por lo
general, no irradian igualmente en todas las direcciones en el plano-E. Su patrón
de radiación a menudo se dice que se parece más a un donut que a una esfera
pura. Esta forma es común para muchas antenas omnidireccionales de interior, la
diferencia es el espesor de la rosquilla. La antena dipolo básica tiene una ganancia
de 2,14 dBi y su patrón de radiación se ve como una gruesa donut.
La elección de la antena dependerá del tipo de área que necesita cubrir. Un tipo
especial de antena omnidireccional, es la antena doble omnidireccional, se
compone de dos antenas direccionales espalda con espalda. Se utiliza para dar
cobertura a una sala, con un pilar en el medio para fijar las antenas. Aunque ambas
antenas son un par direccional, el resultado todavía se llama omnidireccional.
20
Una antena de parche es un tipo de antena direccional. Una antena direccional está
diseñada para cubrir una dirección específica, tanto en el plano-E como en el planoH. El ancho del haz en ambos planos se estrecha, el rango y la ganancia aumentan.
La antena de parche es una antena direccional común, con un rango de 8 a10 dBi
de ganancia en función de los modelos. Es comúnmente usada en las paredes para
cubrir un salón o una sala de reuniones.
La antena Yagi (o Yagi-Ude, por el nombre de sus inventores) se ve similar a un
tubo donde la antena tipo peinilla (parecida a una antena analógica de TV) es
insertada. Cada diente de la peinilla amplifica la señal del diente contiguo. La
mayoría de antenas Yagi, tienen este pequeño campo radiado a sus espaldas, lo
cual es llamado “el efecto mariposa”. El proceso de elaboración también crea
lóbulos laterales, una delgada área de cobertura al costado del campo principal.
Una antena Yagi, comúnmente tiene una ganancia de 13 dBi y es usada, por
ejemplo, para dar cobertura a pasillos largos
Al final del espectro, el platillo parabólico tiene un haz muy estrecho. Se parece
mucho al plato de un satélite parabólico y es usado para enlaces punto a punto de
larga distancia puertas afuera. Dependiendo del modelo, el rango de ganancia
puede ir de 21 dBi a 28 dBi.
1.3.3.6 Antenas y Accesorios
Las WLANs operan en las bandas de RF de licencia libre, por lo que no tiene que
pagar una cuota para utilizar cualquier equipo en estas bandas. El espectro de radio
frecuencia es regulado, lo que significa que las autoridades de regulación de cada
país determinan la cantidad de la señal y qué tipo de señal se puede enviar en estas
frecuencias. Si se utiliza un punto de acceso y una antena hecha por el mismo
fabricante, puede utilizar un sistema de certificación y estará dentro de los límites
de los niveles de potencia permitidos. Pero si se fuera a utilizar un punto de acceso,
en el cual la potencia de transmisión está lista para ser enviada a una antena
omnidireccional, y si se va a conectar un disco parabólico diseñado inicialmente
para un AP con un transmisor débil, es posible que se emita una señal más fuerte
que el nivel máximo permitido en el país.
21
Para evitar esta situación, la mayoría de países tienen entidades reguladoras que
requieren que cada fabricante utilice un conector específico para conectar sus
antenas a los APs. Aún se puede encontrar adaptadores de conectores para la
mayoría de los sistemas. Las regulaciones existen para evitar errores involuntarios,
por no decir que la ruptura de la ley es imposible.
Los AP de CISCO comúnmente utilizan un conector rosca llamado de polaridad
inversa Neill- Concelman (RP -TNC), y otro llamado conector N (para puntos de
acceso al aire libre).
Otros conectores que comúnmente se pueden encontrar en dispositivos de otros
fabricantes son los Versión sub A (SMA) y sus variantes, el SMA de polaridad
inversa (RP- SMA). Algunos fabricantes utilizan el controlador multipunto (MC) o el
conector de intercambio de comunicaciones multimedios (MMCX). Hay un buen
número de otros, pero estas son las principales familias.
Si la antena no está conectada directamente al AP, puede ser vinculada al AP
mediante un cable. El cable absorbe parte de la energía transmitida, lo que da como
resultado una pérdida en la potencia de señal (amplitud) en el extremo del cable.
Todos los proveedores de cable especifican el valor de la pérdida (en dB por pie o
por metro de cable). En algunos casos, es posible que se desee utilizar un cable
con una alta pérdida, por ejemplo, al conectar un transmisor potente a una antena
de alta ganancia, a fin de no sobrepasar los valores máximos permitidos
localmente.
Si la señal recibida desde el transmisor a la antena es demasiado débil, se puede
aumentar con un amplificador (un dispositivo electrónico conectado a una fuente de
alimentación que aumenta la amplitud de la señal). Por otro lado, si la señal recibida
es demasiado fuerte, puede reducirla mediante la inserción de un atenuador (un
dispositivo pasivo simple que esta graduado para absorber un número específico
de dBs en la señal).
22
1.3.3.7 Potencia Isotrópica Radiada
Hay múltiples combinaciones posibles del nivel de energía transmitida por un AP,
por cables y por la antena; es necesario determinar la cantidad de energía que en
realidad está siendo radiada desde la antena hacia el haz principal. Esta medida se
denomina potencia isotrópica radiada (PIRE).
En términos simples, la PIRE, expresada en dBm, es la cantidad de potencia
emitida por el transmisor más la ganancia (en dBi) de la antena (y cualquier
amplificador en el camino).
También debe restar el poder perdido en el cable o atenuadores:
PIRE = Potencia Tx (dBm) + Ganancia de la antena (dBi) - pérdida de cable (dB)
La PIRE es muy importante. La mayoría de los países permiten una máxima
potencia de transmisión del transmisor y un valor máximo final de PIRE.
1.4 ESTÁNDARES,
CERTIFICADOS
Y
ENTIDADES
REGULADORAS WIRELESS
1.4.1 IEEE WIRELESS ESTÁNDAR
Las redes inalámbricas usan la banda ISM, habilitada para usar este rango de
frecuencias pero no de manera arbitraria, ya que no hay como utilizarla de la forma
que uno quiere sino siguiendo determinados parámetros. Elementos importantes
como la técnica de modulación que usa, la codificación empleada en la trama, tipo
de cabeceras que van en la trama, el mecanismo físico de transmisión, se deben
definir para comunicarse efectivamente.
Muchos fabricantes propietarios empezaron a usar las frecuencias para usar datos
en sus soluciones, pero sin ninguna técnica. En 1990, un comité de la IEEE, llamado
802.11, fue el encargado de analizar las aplicaciones y el medio ambiente en el cual
la red inalámbrica será usada. Sin embargo, en 1997 fue el comité el que publicó el
primer protocolo, el cual definió como los dispositivos inalámbricos deberían
transmitir en la banda ISM.
23
1.4.2 WI-FI ALLIANCE
Cuando los fabricantes crean un dispositivo inalámbrico, ellos se apegan a las
especificaciones que rige el estándar 802.11; pero aun siguiéndolas no hay una
garantía de que estos dispositivos sean compatibles unos con otros en el mercado.
Algunos de los fabricantes escogieron implementar una parte del protocolo con
capacidades extra que no se mencionan en el estándar 802.11.
La Wi-Fi Alliance fue creada para resolver estas incompatibilidades desarrollando
pruebas y se creó la certificación Wi-Fi para los dispositivos inalámbricos que se
implementen. Además de cumplir con el estándar 802.11 de la IEEE, si un producto
es totalmente compatible con otros dispositivos del mercado, este recibe la
certificación, el cual debe ser visible en la parte de atrás del dispositivo WLAN.
Figura 1-5 Identificación de la WiFi Alliance [1]
1.4.3 PROTOCOLO ORIGINAL 802.11
El protocolo original 802.11, ratificado en 1997, define FHSS 12 y DSS13 como
posibles métodos de modulación. Pero el máximo ancho de banda que se podía
conseguir con estas técnicas era 2 Mb/s.
Las redes Ethernet en ese tiempo estaban teniendo un rendimiento de hasta 10
Mb/s. Por lo que una velocidad de 2Mb/s no se veía como una buena característica
2
3
4
5
6
7
8
9
10
11
12
13
14
2422
2427
2432
2437
2441
2447
2452
2457
2462
2467
2472
2484
(MHz)
2417
Frecuencia
1
Canal
2412
para las redes inalámbricas.
Tabla 1-2 Frecuencias y Canales del Protocolo 802.11 [1]
12
13
Del Inglés: Frecuency Hopping Spread Spectrum
Del Inglés: Direct Sequence Spread Spectrum
24
El comité se puso a trabajar en la forma de superar este inconveniente, por lo que
en 1999 se publicó el 802.11b a 2.4 GHz y 802.11g con acceso a 14 canales (ver
Tabla 1-2) que eran definidos por su frecuencia central. Las entidades reguladoras
de cada país restringían como estos canales podían ser usados; por ejemplo, la
FCC14 permitía el uso de canales desde el 1 hasta el 11, pero no del 12 hasta 14.
(Ver Figura 1-6). El canal 14 era factible usar solo en Japón y solo para 802.11b
(no con OFDM15 y 802.11g). [1]
Figura 1-6 Frecuencias y Canales 802.11 [1]
802.11 es una rica familia de protocolos aunque no es el objetivo relatar la historia
de ellos, se debe conocer los fundamentos de los componentes más importantes
de la norma IEEE 802.11.
1 Mbp/s
5.5
Mb/s
2 Mb/s
11 Mb/s
Figura 1-7 Velocidades del Estándar 802.11b [1]
14
15
Del Inglés: Federal communications commission
Del Inglés: Orthogonal Frequency Division Multiplexing
25
1.4.3.1 Protocolo IEEE 802.11b
802.11 se modificó casi tan pronto como fue creado para permitir mayores anchos
de banda. IEEE 802.11b fue publicado en 1999 y permitió una conexión con una
tasa de datos de 5,5 Mbps y 11 Mbps, la descripción gráfica de el rango de las tasas
de datos se puede observar en la Figura 1-7 a continuación.
1.4.3.2 Protocolo 802.11g
Se publicó en 2003 con la introducción de OFDM para la banda de 2,4 GHz, y
efectivamente permite anchos de banda de hasta 54 Mbps.
El protocolo 802.11g define varios mecanismos compatibles con 802.11b. En el
primer modo, un cliente 802.11g debe ser capaz de convertirse en un 802.11b.
Incluso si el dispositivo envía y recibe anchos de banda de 802.11g, ellos pueden
detectar y entender una señal que es enviada como 802.11b en compatibilidad.
Si un cliente es incapaz de tener 12 Mb/s en 802.11g, entonces este puede tratar
de usar 802.11b a 11Mb/s en vez de caer a 6 Mb/s. La meta es tratar de mejorar lo
más posible el ancho de banda. [1]
1.4.3.2.1 Desventajas
Cuando tenemos dos dispositivos en la misma área física con los dos protocolos,
estos deben ser capaces de coexistir en la misma celda conectada al AP. Sin
embargo, los dispositivos 802.11b no pueden entender OFDM, por lo que tampoco
detectan a un cliente 802.11g, esté envía en segundo plano una modulación DSSS
la cual será usada. Estos dispositivos simplemente perciben el ruido y creen que
un canal está libre. Y al realizar mecanismos de protección la velocidad en la celda
baja dramáticamente.
1.4.3.3 Protocolo 802.11a
Este protocolo fue ratificado en septiembre de 1999. La banda de los 5 GHz en el
cual opera este protocolo está dividida en varias secciones. Los canales están
espaciados por intervalos de 20 MHz para prevenir interferencias.
26
9 Mb/s
12 Mb/s
18 Mb/s
24 Mb/s
36 Mb/s
48 Mb/s
54
Mb/
s
Figura 1-8 802.11a Canales y Velocidades [1]
Los equipos 802.11a pueden realizar el cambio de canal mientras el usuario se
mueve con la ventaja de que mantiene los datos y le permite operar a 54Mb/s y
poder cambiar desde 48, 36, 24, 18,12 y 9 Mb/s y seguir comunicado con el anillo
de afuera a 6Mb/s como muestra la Figura 1-8.
Este cambio de velocidad sucede sin pérdida de conexión alguna, para el usuario
este proceso es transparente. Para esto el AP debe soportar múltiples clientes y
múltiples velocidades, dependiendo del lugar donde se encuentre cada cliente. [1]
1.4.3.3.1 Desventaja
Adoptar 802.11a implicaba reemplazar todos los APs y todos los clientes, lo que
hizo que 802.11a no tenga una fuerte acogida. 802.11a es mucho más frecuente
en las redes empresariales (donde se encuentran AP habitualmente de doble banda
de 2,4 GHz y 5 GHz) que en redes de consumidores.
1.4.3.4 Protocolo 802.11n
Este estándar fue publicado en 2009, especificado como una tecnología de tipo
MIMO16 y tiene como objetivo aumentar la velocidad por encima de 54 Mbps
16 Del inglés: Multiple - Input Multiple – Output traducido al español como Multiple Entrada Multiple
Salida
27
llegando a los cientos de megabits por segundo en la banda de los 2.4 y 5 GHz.
802.11n describe tres conjuntos de técnicas, la mayoría de las cuales se pueden
implementar para mejorar 802.11g, 802.11a.
1.4.3.4.1 Agregación de Canales
A diferencia de 802.11g y 802.11, este protocolo usa dos portadoras para duplicar
la velocidad. 802.11n usa los canales de 20 MHz y 40 MHz; al canal de 40 MHz lo
ve como dos de 20 MHz adyacentes que trabajan juntos.
Cuando se usa el canal de 40 MHz, 802.11n toma una ventaja de cada canal de 20
MHz y reserva una pequeña parte superior e inferior para reducir la interferencia en
los canales adyacentes. Cuando usa el canal de 40 MHz, el tope del canal más bajo
y el del canal más alto no necesitan ser reservados para evitar la interferencia.
Estas pequeñas partes del canal pueden ahora ser usadas para llevar información.
Usando los canales de 20 MHz de esta manera, 802.11n gana ligeramente más
que el doble de velocidad cuando se mueve de canales de 20 a 40 MHz. Agregando
canales se pierde la compatibilidad con dispositivos 802.11g y 802.11a 17 como
contraparte.
802.11n continúa usando OFDM como 802.11a y 802.11g. Sin embargo, 802.11n
incrementa el número de subportadoras en cada canal de 20 MHz de 42 a 52. Esto
incrementa la velocidad al máximo, cerca de 60 Mb/s en un solo radio simple de
transmisión. [1]
1.4.3.4.2 Mecanismos de Eficiencia MAC
Para que el protocolo MAC de 802.11 opere confiablemente, un receptor debe
reconocer inmediatamente una trama unicast (en otras palabras esta debe
transmitirse hacia una dirección individual, no de forma broadcast).(Ver Figura 1-9).
802.11n puede soportar este tipo de paquetes de confirmación (ACK 18), pero
también puede utilizar agregación, en el que se envía varias tramas en fila. Este
17
Se utiliza canales de 40 MHz solamente en el espectro de los 5 GHz
Del inglés Acknowledgement traducido al español como acuse de recibo.- En el proceso de
conexión entiéndase como un mensaje de confirmación y validación que envía el destino al receptor.
18
28
tipo de acuse de recibo, que se llama bloque de acuse de recibo, es similar al
sistema de reconocimiento que utiliza TCP19. [1]
802.11n
Header
Packet
802.11n
ACK
Figura 1-9 802.11 Requiere Confirmación por cada Trama [1]
El bloque de confirmación compila en una trama todos los acuses de recibo de las
tramas que la agregación produce. El receptor devuelve esta trama al remitente
(Ver Figura 1-10).
802.11n
Header
Packet
802.11n
Header
Packet
802.11n
Header
Packet
802.11n
ACK
Figura 1-10 802.11n usa Bloque De Confirmación para Tramas Constituidas [1]
Este enfoque es un mecanismo compacto y rápido que implementa retransmisión
selectiva de sólo aquellas tramas constituyentes que no son reconocidas. En
ambientes con altas tasas de error, este mecanismo de retransmisión selectiva
puede mejorar el rendimiento eficaz de una WLAN. Mucho menos datos son
retransmitidos cuando un error afectó algún componente de la trama, en
comparación con el uso de tramas individuales.
19 Del inglés Transmission Control Protocol.- Es un protocolo de comunicación orientado a conexión
confiable a nivel de capa 4 según el modelo OSI. Consta en el estándar RFC 793
29
Cuando la agregación de tramas es imposible, IEEE 802.11 provee otro mecanismo
para reducir el tamaño del encabezamiento que está involucrado al trasmitir un flujo
de tramas a diferentes destinos. En un ambiente típico de 802.11a/b/g, cada
estación que desee transmitir debe esperar un tiempo, después que ha enviado una
trama, para enviar la próxima. Esta espera es llamada (DCF20); el espacio generado
entre las tramas se lo conoce como (DIFS21). 802.11n mejora este mecanismo, para
reducir la sobrecarga en el encabezado, entre las tramas se especifica un pequeño
espacio: (RIFS22). Si una estación tiene muchas tramas para enviar y no puede
agregarlas, la estación puede continuar enviando tramas una por una, pero
separadamente con RIFS en vez de DIFS. RIFS reduce aún más el tiempo muerto
entre las tramas, incrementando la cantidad de tiempo en la ventana de transmisión
que ocupa el envío de tramas. El único aspecto desafortunado de utilizar RIFS es
que nos limita a utilizar solamente en entornos recién instalados, es decir, aquellos
en los que no hay dispositivos heredados de 802.11b/g que estén en la zona. [1]
1.4.3.5 MIMO
Es el mecanismo más recomendado ya que estaciones 802.11n hacen uso de
varias antenas y radios, combinado con un proceso avanzado de los métodos de
señalización en el mismo canal. Esta técnica mejora notablemente la fiabilidad de
la conexión inalámbrica y por lo tanto reduce la probabilidad de que se descarten o
pierdan paquetes.
Por lo que se obtienen las siguientes mejoras:
·
El transmisor puede enviar la misma señal por varias antenas. Al coordinar
cuidadosamente estas señales, según la retroalimentación transmitida por la
estación receptora 802.11n, el transmisor tiene como objetivo hacer que
estas señales se reciban en fase, por lo tanto, deberá aumentar el nivel de
potencia de la señal en la estación receptora, lo que permite un mayor
20 Del inglés: Distributed Coordination Function traducida al español como Función de Coordinación
Distribuida
21 Del inglés: DCF Interframe Space traducida al español como Espaciado entre Tramas DCF
22 Del inglés: Reduced Interframe Space traducida al español como Espacio entre Tramas Reducido
30
alcance o mayor rendimiento. Este proceso es llamado Transmit
Beamforming (TXBF).
·
El transmisor también puede enviar diferentes señales simultáneas de
diferentes radios. El receptor 802.11n recibirá estas señales en todos sus
radios. Cada radio receptor independientemente debe decodificar las
señales. Entonces, cada señal recibida se combina con las señales de los
otros radios. Esto da como resultado un rendimiento adicional. Este proceso
se llama multiplexación espacial.
·
Al tener múltiples rutas, una señal viaja por diferentes caminos antes de
llegar al receptor. Con una técnica llamada Multi Ratio Combinning (MRC),
el receptor puede combinar las señales recibidas en cada antena y cadena
de radio, lo que resulta en una fuerte señal recibida, de nuevo incrementando
la amplitud o velocidad. [1]
1.4.3.5.1 Transmisión Beamforming
Es una técnica que es usada cuando hay más de una antena transmisora. La señal
que se envía desde cada antena puede ser coordinada, entonces la señal en el
receptor es mucho mejor, incluso si la antena está lejos del emisor (Ver Figura
1-11).
Esta técnica es generalmente usada cuando el receptor tiene una sola antena y
cuando las fuentes de reflexión son estables en el espacio (un receptor inmóvil, un
ambiente cerrado).
Figura 1-11 Transmisión Beamforming [1]
31
Un transmisor habilitado con 802.11n mejora con esta técnica, ya que permite que
el transmisor ajuste la fase de la señal que es transmitida en cada antena para que
las señales reflectadas lleguen en fase a una sola antena en recepción. [1]
1.4.3.5.2 Multiplexación Espacial
Maneja un transmisor 802.11n y un receptor 802.11n. Se requiere un mínimo de
dos receptores y un solo transmisor por banda, mientras que soporta hasta cuatro
transmisores y cuatro receptores por banda; permite a los procesos de señalización
avanzados de 802.11n utilizar efectivamente las mismas señales reflejadas que
perjudican a los protocolos existentes.
La reducción en la pérdida de paquetes mejora la fiabilidad del enlace, lo que resulta
en un menor número de retransmisiones. El resultado es un rendimiento más
consistente, lo que ayuda a garantizar la cobertura predecible en toda la instalación.
Bajo multiplexación espacial, un flujo de señales se divide en varias corrientes
individuales, cada una de las cuales se transmiten desde una antena diferente,
usando su propio transmisor. Porque no hay espacio entre cada antena, cada señal
sigue un camino diferente al receptor. Este fenómeno se conoce como diversidad
espacial. Cada radio puede enviar un flujo de datos diferente de las otras radios, y
todas las radios pueden enviar al mismo tiempo, utilizando un algoritmo complejo
que se basa en la retroalimentación desde el receptor.
Figura 1-12 Multiplexación Espacial [1]
32
El receptor también tiene múltiples antenas, cada una tiene su propio radio. Cada
radio receptor (Rx) independientemente decodifica las señales que llegan. Luego,
cada señal Rx es combinada con las señales desde los otros radios.
El resultado es una señal mucho mejor que una que pudo ser enviada con una sola
antena o con Tx beamforming. El uso de múltiples flujos permite que dispositivos
802.11n al enviar información redundante mejore la fiabilidad, que a mayor volumen
de información se mejora el rendimiento, o la combinación de las dos. [1]
1.4.3.5.3 Máximo Radio Combinado (MRC)
La multiplexación espacial y transmisión por haz de luz son usadas cuando hay
múltiples transmisores. MRC es la contraparte y toma lugar en el lado del receptor,
usualmente en el AP, independientemente de si el remitente es compatible con
802.11n. El receptor debe tener múltiples antenas para usar esta característica; los
APs 802.11n las tienen usualmente. El algoritmo MRC determina como optimizar la
energía combinada que es recibida de cada antena, entonces cada señal que se
transmite al AP es añadida a los otros en una acción coordinada. En otras palabras,
el receptor analiza la señal que recibe desde las antenas y envía las señales en el
transcodificador para que ellas estén en fase, añadiéndole fuerza de cada señal a
las otras como muestra la Figura 1-13.
Figura 1-13 Máximo Radio Combinado [1]
33
Nótese que esta característica no es para trayectorias múltiples. La característica
de trayectoria múltiple viene del hecho que una antena reciba señales reflectadas
fuera de fase. El resultado de este desfase, es destructivo para la calidad de la
señal, que es transmitida al AP. MRC usa la señal que viene de dos o tres antenas
físicamente distintas y la combina oportunamente; entonces cada señal que es
recibida en cada antena se coloca en fase y luego se añade a las otras. La
acumulación en fase resulta de estas señales que son recibidas en cada antena de
transmisión del AP, mejorando así la calidad de la señal.
Debido a la característica de multi trayectoria, cada antena puede recibir una señal
reflejada fuera de fase y puede transmitir al AP sólo lo que recibe. La principal
ventaja de MRC en este caso es que, a causa de que cada antena es físicamente
separada de las otras, la señal recibida en cada antena puede ser diversamente
afectada por cuestiones de trayectoria múltiple. Cuando se añade todas las señales
juntas, el resultado puede cerrar la onda que se envía por el transmisor, y el impacto
relativo de la trayectoria múltiple en cada antena será menos prominente. [1]
1.4.3.5.4 Beneficios
Cuando MIMO es utilizado solamente en APs, la tecnología aumenta
significativamente sus mejoras en el rendimiento (un máximo de 30 por ciento sobre
el desempeño convencional de redes 802.11 a/b/g).
Finalmente, las redes 802.11 incorporan las dos MIMO que son habilitadas tanto
del lado del AP como del cliente, aumentando la ganancia, confiabilidad y
rendimiento de los datos.
En resumen, la ganancia de rendimiento total es el resultado de la tecnología de
antena inteligente MIMO, que permite a los APs recibir señales más confiables (y
permite a los clientes operar con velocidades más altas) sobre grandes distancias
que con diversas antenas estandarizadas (Ver Figura 1-14). Por ejemplo, a una
distancia del AP en la cual hay un cliente 802.11a o 802.11g comunicándose con
un AP convencional, el ancho de banda puede reducirse desde 54 a 48 o 36 Mb/s;
el mismo cliente comunicándose con un AP con MIMO habilitado puede operar a
54 Mb/s.
34
Figura 1-14 Beneficios de MIMO [1]
Cuando se considera MIMO hay que recordar estos tres beneficios:
·
MIMO provee mejor sensibilidad en Rx para un cliente estacionario, usando
beamforming.
·
MIMO provee mejor sensibilidad en Rx para el AP, usando MRC.
·
Mejorar la sensibilidad en Rx significa una alta velocidad de los datos
(considerando que se encuentra a una distancia apropiada del AP). [1]
1.4.4 PROTOCOLO DE IEEE 802.11E
Para hablar de Calidad de Servicio (QoS) hay que conocer acerca del estándar
IEEE 802.11e, mismo que regula este servicio, el cual está basado en la capacidad
de realizar una discriminación en el tráfico que círcula a través de la red y
categorizarlo dando prioridad según las necesidades que se tenga del cliente para
el diseño.
QoS se refiere a la capacidad de diferenciar el tráfico que circula dentro de la red
permitiendo obtener algunos beneficios:
·
Proporcionar bloques de red para los servicios multimedia y aplicaciones de
voz que se utilizan dentro de la empresa.
35
·
Permitir que los administradores de red establezcan acuerdos de nivel de
servicio (SLA) para los clientes.
·
Pemite administrar los recursos de red que deben ser transmitidos
eficientemente y agilizar la transmisión de las solicitudes de las aplicaciones
críticas.
·
Administrar las aplicaciones multimedia y de voz sensibles al tiempo,
asegurando que en el tráfico de estas aplicaciones reciban una prioridad más
alta, ocupen mayor ancho de banda y tengan menos retraso en
comparacóon con el tráfico de datos que es del tipo de mejor esfuerzo.
Con QoS, el ancho de banda puede ser administrado mas eficientemente en redes
LAN, WLAN y WAN. Brindando los siguientes beneficios:
·
Soporta ancho de banda dedicado para usuarios y aplicaciones criticos.
·
Control del Jitter y la latencia factores requeridos para tráfico en tiempo real.
·
Administrar y minimizar la congestion del tráfico.
·
Modelar el tráfico de red para mejorar los flujos de tráfico.
·
Colocar prioridades de tráfico de red.
1.4.4.1 Esquemas de Implementación de QoS en Redes Inalámbricas
En la actualidad al verse las redes inalámbricas como el medio para transmitir
aplicaciones de banda ancha conjuntamente con datos y voz, al tener por el mismo
canal aplicaciones sensibles al tiempo como las que toleran los retrasos es
necesario brindar calidad de servicio.
Varios fabricantes entre estos CISCO, han apoyado los regímenes de calidad de
servicio inalambricos patentados principalmente por aplicaciones de voz. Para
acelerar el ritmo de aceptacion de QoS y para soportar aplicaciones sensibles al
tiempo de multiples proveedores fue necesario unificar el enfoque de QoS de los
fabricantes para lo cual el grupo de trabajo IEEE 802.11e en el comité de
estándares IEEE 802.11 ha completado la definicion estandar.
36
Al igual que sucedió con 802.11 en el grupo de seguridad 802.11i, grupos de la
industria como Alianza Wi-Fi y líderes de la industria como CISCO definen las
claves para los requerimientos para QoS en WLAN a través
de sus Wi-Fi
Multimedia (WMM) y programas de extensiones CISCO compatibles, asegurando
la entrega de características importantes e interoperacion a través de sus
programas de certificacion.
Los productos de CISCO Unified Wireless son compatibles con WMM, un sistema
de QoS basado en IEEE 802.11e que han sido publicadas por la Alianza Wi-Fi y
WMM Power Save, asi como el control de admisión.
Como ejemplo de implementacion de QoS en redes inalámbricas basadas en las
caracteristicas de CISCO Unified Wirelesss technology se muestra en la Figura
1-15.
Figura 1-15 Ejemplo de la aplicación de QoS [5]
1.4.4.2 Parámetros de QoS
QoS esta definido como la medida de rendimiento para un sistema de transmision
que refleja calidad y disponibilidad del servicio. La disponibilidad del servicio es un
elemento crucial de la calidad de servicio. Antes de aplicar QoS con éxito, la
infraestructura de red debe tener alta disponibilidad. La calidad de la transmision
de la red es determinada por la latencia, el jitter, y la perdida de paquetes, tal como
muestra la Tabla 1-3.
37
Calidad
Descripcion
Latencia Latencia o retardo es la cantidad de tiempo que le toma al paquete para
ser enviado y recivido despues de haber sifo transmitido. Este periodo
es llamado retardo del extremo a extremo que puede ser dividido en dos
areas:
-Retardo de red fijo.- Incluye el tiempo de codificación y decodificacion
(para voz y video), y la cantidad de tiempo finita requerido para que los
pulsos electricos u opticos para atravesar los medios de transmision
hacia la ruta del destino.
-Retardo de red variable.- Generalmente se refiere a condiciones de red,
tales como encolamiento y congestion, esto puede afectar el tiempo total
de transmision.
Jitter
Jitter (o retardo de la varianza) es la diferencia en la latencia de extremo
a extremo entre paquetes. Por ejemplo, si uno de los paquetes requiere
100 ms para atravezar la red desde el origen al destino extremo a
extremo, y el siguiente paquete requiere 125 ms para el mismo viaje, el
jitter es calculado como 25 ms.
Pérdida
La pérdida (de paquetes ) es una medida comparativa de los paquetes
transmitidos y recibidos con el número total de paquetes transmitidos
con éxito. La perdida de paquetes se expresa como el porcentaje de
paquetes que fueron descartados.
Tabla 1-3 Parámetros QoS [1, 2]
La Figura 1-16 muesta la definicion del radio del flujo de subida y bajada con QoS.
Figura 1-16 Flujos de Subida y Bajada con QoS [5]
Se puede observar lo siguiente:
·
Radio del flujo de bajada QoS.- Tráfico abandonando el AP y viajando a los
clientes WLAN. La radio del flujo de bajada QoS es el despliegue más
38
comun. El cliente del radio del flujo de subida QoS depende de la puesta en
práctica del cliente.
·
Radio del flujo de subida QoS.- Tráfico abandonando a los clientes de la
WLAN y viajando hacia el AP. Wi-Fi Multimedia (WMM) provee enlaces de
subida con QoS para clientes WLAN soportando WMM.
·
Flujo de bajada a la red.- Tráfico abandonando el WLC que viaja al AP. QoS
puede ser aplicado en este punto para priorizar y delimitar el tráfico hacia el
AP.
·
Flujo de subida a la red.- Tráfico abandonando el AP, viajando hacia la WLC.
El AP clasifica el tráfico desde el AP de subida hacia la red según las reglas
de clasificacion de tráfico del AP.
1.4.4.3 802.11 DCF (Distributed Coordination Function)
Las tramas de Datos en 802.11 son enviados usando
DCF 23, el cual está
compuesto por los siguientes componentes:
·
Espacio entre tramas (SIFS24, PIFS25, y DIFS26)
·
Retardo aleatorio (ventana de contención) DCF es usado en redes 802.11
para manejar el acceso al medio de RF.
1.4.4.3.1 Espacio entre Tramas
802.11 actualmente define tres espacios entre tramas (IFS), tal como se muestra
en la Figura 1-17.
23
Del inglés Distributed Coordination Function traducido al español como Función de Coordinación
Distribuida
24 Del inglés Short Interframe Space
25 Del inglés PCF Interframe Space
26 Del inglés DCF Interframe Space
39
Figura 1-17 IFS-Espacio entre Tramas [5]
·
SIFS.- Short Interframe Space __ 10µs
·
PIFS.-PCF Interframe Space __ SIFS + 1 x espacio de tiempo = 30µs
·
DIFS.-DCF Interframe Space__ SIFS + 2 x espacio de tiempo = 50µs
Los espacios entre tramas (SIFS, PIFS y DIFS) permite a 802.11 controlar que
tráfico consigue el primer acceso al canal después de que el senso de la portadora
declara que el canal se encuentra libre. Generalmente, 802.11 administra las
tramas y tramas sin contencion ( una trama que es parte de una secuencia de
tramas) usan SIFS, y tramas de datos que usan DIFS.
1.4.4.3.2 Retardo Aleatorio
Cuando una trama de datos usa DCF, está lista para ser enviada, el proceso que
sigue es el siguiente:
a) Se genera un número aleatorio entre 0 y una ventana mínima de contención
(CWmin)
b) Espera hasta que el canas este libre por un intervalo DIF.
c) Si el canal continua libre, empieza el decremento del número aleatorio, para
cada espacio de tiempo (20 µs) hasta que el canal este libre.
d) Si el canal se encuentra ocupado, tal como las otras estaciones empieza de
0 antes que su estación, el decremento para y los pasos 2 y 4 son repetidos.
e) Si el canal permanece libre hasta que el número de retardo aleatorio alcance
el 0, la trama no puede ser enviada.
40
Figura 1-18 Funcionamiento de DCF [5]
En la Figura 1-18 anterior se muestra un ejemplo simplificado de como es el
funcionamiento de la Función de Coordinación Distribuida (DCF). En este proceso
simplificado, ocurre sin mostrar acuses de recibo y fragmentaciones.
1.4.4.3.3 Acceso WMM
WMM es una certificación de Wi-Fi Alliance de soporte para un conjunto de
características para el esbozo de 802.11e. Esta certificación es para ambos,
clientes y APs, y certifica la operación de WMM. WMM es principalmente la puesta
en práctica del componente EDCF (Enhanced Distributed Coordination Function)27
de 802.11e. Certificaciones adicionales Wi-Fi son planificadas para dirigir otros
componentes del 802.11e.
1.4.4.3.4 Clasificación WMM
WMM usas el 802.1P el esquema de clasificación desarrollado por el IEEE. Este
esquema de clasificación tiene ocho prioridades, que WMM traza un mapa de
cuatro categorías de acceso, las cuales se muestran a continuación en la Tabla
1-4.
Priority
Lowest
27
802.1P
Priority
1
802.1P
Designation
BK
Access
Category (AC)
AC_BK
Traducido al español como función de Coordinación Realzada Distribuida
WMM
Designation
Background
41
Highest
2
0
3
4
5
6
7
BE
EE
CL
VI
VO
NC
AC_BE
Best Effort
AC_VI
Video
AC_VO
Voice
Tabla 1-4 Clasificación WMM y 802.1P [5]
En la Figura 1-19 se muestra el formato de la trama de datos WMM. Hay que tener
en cuenta que a pesar de que se trace un mapa de las ocho categorías de 802.1P
las clasificaciones a cuatro categorías de acceso, la clasificación 802.11 son
enviadas en la trama.
Figura 1-19 Formato de Trama WMM [5]
Las recomendaciones de la WMM y
la IEEE 802.11e son diferentes de las
clasificaciones recomendadas y usadas en la red de CISCO, que está basada de
recomendaciones IETF. La primera diferencia en la clasificación es el cambio de
tráfico de voz y de vídeo a 5 y 4, respectivamente. Esto permite las 6 clasificaciones
para ser usado para la Capa 3 control de red. Para ser dócil con ambas normas, la
solución de CISCO Unified Wireless realiza una conversión entre varias normas de
clasificación cuando el tráfico cruza el límite inalámbrico -alámbrico.
42
1.4.4.3.5 Colas de WMM
Figura 1-20 Colas WMM [5]
La Figura 1-20 muestra las colas que realiza un cliente de WMM o AP. Hay cuatro
colas separadas, una para cada una de las categorías de acceso. Cada una de
estas colas compite por el canal inalámbrico en una manera similar al mecanismo
DCF descrito anteriormente en la sección 1.4.4.3; en cada una de estas colas usan
diferentes espacio entre tramas, valores CWmin y CWmax.
Si más de una trama de diferentes categoria de acceso colisiona internamiente, la
trama con la prioridad más alta es enviada, y la trama con prioridad más baja se
ajusta a los parámetros de retardo aleatorio como si hubiera chocado con una trama
externa para el mecanismo de encolamiento. Este sustema es llamado enhanced
distributed coordination function (EDCF).
Figura 1-21 Categoría de Acceso (AC) Temporización [5]
En la Figura 1-21 Categoría de Acceso (AC) TemporizaciónFigura 1-21 se muestra
el principio detrás de EDCF donde espacios entre tramas, los valores de CWmin y
CWMax diferentes son aplicados para clasificar el tráfico. Diferentes tipos de tráfico
43
pueden esperar diferentes espacios de interfaz antes del conteo de retardo
aleatorio, y el valor de CW suele generar el número de retardo aleatorio que tambien
depende de la clasificación del tráfico.
Figura 1-22 Mecanismo EDCF [5]
El proceso de EDCF se muestra en la Figura 1-22 usando los datos de la Figura
1-21.
La secuencia del proceso de EDCF sigue los siguientes pasos:
a) Mientras la estación X está transmitiendo su trama, otras tres estaciones
determina que ella debe enviar una trama. Cada estación difiere porque su
trama esta todavía siendo transmitida, y cada estación genera un tiempo de
retardo aleatorio.
b) Debido a que la estación de voz tiene una clasificación del tráfico de voz,
tiene un espacio entre tramas arbitrario (AIFS) de 2, y utiliza un CWmin inicial
de 3, y por lo tanto debe aplazar la cuenta atrás de su tiempo de retardo
aleatorio para 2 veces de ranura, y tiene un corto valor de retardo aleatorio.
c) Mejor esfuerzo tiene una AIFS de 3 y un tiempo de retroceso más largo al
azar, porque su valor es 5 CWmin.
d) Voz tiene el menor tiempo de retardo de envío al azar, por lo que comienza
a transmitir en primer lugar. Cuando voz empieza a transmitir, todas las
demás estaciones esperan.
e) Después que la estación Voz termina de transmitir, todas las estaciones
esperan su AIFS y luego comienzan a disminuir los contadores de retardo
aleatorio de nuevo.
44
f) El mejor-esfuerzo luego que completa su disminución del contador de
retardo aleatorio y comienza la transmisión. Todas las demás estaciones
esperan. Esto puede ocurrir a pesar de que pudiera haber una estación de
voz en espera para transmitir. Esto demuestra que el tráfico de mejor
esfuerzo no se ve despojada por el tráfico de voz, porque el proceso de
retardo aleatorio finalmente trae el retroceso de mejor esfuerzo hasta
tamaños similares de tráfico como de alta prioridad, y que el proceso
aleatorio puede, en ocasiones, generar un pequeño número de retardo
aleatorio para el tráfico de mejor esfuerzo.
g) El proceso continúa hasta que otro tráfico entra en el sistema. Los ajustes
de la categoría de acceso (AC) que se muestran en la Tabla 1-5 y Tabla 1-6
son, por defecto, el mismo para una radio 802.11a, y se basan en fórmulas
definidas en WMM.
AC
CWmin
CWmax
AIFSN
AC_BK
AC_BE
aCWmin
aCWmin
7
3
AC_VI
(aCWmin+1)/21
(aCWmin+1)/41
aCWmax
4*(aCQmin+1)1
aCWmin
TXOP
TXOP
Limit
Limit
(802.11b (802.11a/g)
0
0
0
0
1
6.016 ms
3.008 ms
(aCWmin+1)/21
1
3.264 ms
1.504 ms
AC_VO
Tabla 1-5 Parámetros de WMM en Acces Point [5]
Access
Category
CWmin
CWmax
AIFSN
AC_BK
AC_BE
aCWmin
aCWmin
7
3
AC_VI
(aCWmin+1)/21
(aCWmin+1)/41
aCWmax
4*(aCQmin+1)1
aCWmin
TXOP
TXOP
Limit
Limit
(802.11b (802.11a/g)
0
0
0
0
2
6.016 ms
3.008 ms
(aCWmin+1)/21
2
3.264 ms
1.504 ms
AC_VO
Tabla 1-6 Parámetros de WMM para clientes [5]
45
1.5 FORMATO DE TRAMA Y VELOCIDADES
Toda trama 802.11 tiene una estructura similar. La cabecera 802.11 es más larga
que la de Ethernet. Esta empieza con un preámbulo (72 o 144 bits de longitud),
seguido por los siguientes campos (Ver Figura 1-23).
-
El campo control de trama (2 bytes de longitud o 16 bits)
-
Un campo de duración, expresa por cuanto tiempo el medio está reservado
(2 bytes o 16 bits)
-
Tres de cuatro posibles direcciones MAC (18 bytes totales)
-
Un campo de control de secuencia (2 bytes de longitud o 16 bits)
-
Un campo opcional para la cuarta dirección MAC (6 bytes o 48 bits)
-
El cuerpo de trama (2304 bytes u octetos)
-
Un campo de control de secuencia de trama (4 bytes o 32 bits)
-
El total de la trama tiene por omisión, 2346 bytes máximo.
Figura 1-23 Formato de Trama 802.11 [1]
El campo de secuencia de control es usado para mostrar cuando la trama es
fragmentada o completa.
Muchas direcciones MAC aparecen en la trama. Esto es probable que ocurra en
una modalidad de infraestructura, en la que el AP es el distribuidor entre el remitente
y el receptor de la transmisión. Este receptor puede estar en la parte inalámbrica o
46
cableada de la red. El dispositivo que envía la trama puede ser el remitente o el
distribuidor.
Las siguientes cuatro direcciones MAC se muestra en la Figura 1-23 previa:
-
Receiver Address (RA): la dirección del receptor es la MAC de la estación
de la cual está recibiendo la trama.
-
Transmitter Address (TA): la dirección de transmisión es la dirección MAC
de la estación que emite la trama.
-
Destination Address (DA): la dirección destino es la dirección MAC del
receptor final de la trama, o del actual destino.
-
Source Address (SA): la dirección origen es la dirección MAC del
transmisor original de la trama.
Dependiendo de cómo la trama sea capturada y en qué contexto, dos de cuatro
direcciones son usadas.
Estos son posibles escenarios:
a. La trama es enviada de estación a estación en una red ad hoc:
·
Dirección 1 es la de dirección destino. (Destino y Receptor son los
mismos).
·
Dirección 2 es el origen. (Transmisor u origen son equivalentes).
b. La trama es enviada de una estación a un AP:
·
Dirección 1 es la del receptor o Basic Service Set Identifier (BSSID), la
cual es la misma que la dirección del receptor y es la dirección MAC del
AP.
·
Dirección 2 es la del transmisor o dirección origen.
·
Dirección 3 es la del destino.
·
Dirección 4 no es usada.
c. La trama es enviada de vuelta del AP a la estación:
·
Dirección 1 es la del destino o dirección del receptor
·
Dirección 2 es la del transmisor o BSSID
47
·
Dirección 3 es la dirección origen
·
Dirección 4 no es usada
d. La trama está en un enlace entre dos APs, en un contexto de repetidor:
Este escenario es el único caso en el cual todas las direcciones son utilizadas.
·
Dirección 1 es la dirección del receptor.
·
Dirección 2 es la dirección del transmisor.
·
Dirección 3 es la dirección destino.
·
Dirección 4 es la dirección origen.
Estas direcciones son direcciones MAC; son de capa 2. El cuerpo de la trama, el
cual contiene más capas, menciona una dirección IP origen y otra dirección IP
destino, exactamente como una sección de capa 3 normal.
El control de trama ayuda a definir el propósito de la trama y hacia donde es
enviada. El primer subcampo contiene información acerca de la versión del
protocolo. El segundo subcampo contiene información acerca del tipo (2 bytes) e
indica que tipo de trama es, si una de control o una de administración, o una de
datos. El subcampo final contiene información acerca del subtipo (4 bytes).
La siguiente parte del campo control del trama es de 1 byte e indica cual trama está
por venir o ir al sistema de distribución. Para cualquier cliente en la celda, el sistema
de distribución es representado por el AP, donde la trama es supuestamente
enviada al cable o al backbone que conecta el área de la red inalámbrica. [1]
Administración
Datos
Control
Beacon
Datos Simples
RTS
Solicitud de Pedido
Función Nula
CTS
Solicitud de Respuesta
ACK
PS-Poll
Tabla 1-7 Tipos de Tramas [1]
48
La IEEE 802.11 distingue tres tipos de tramas como muestra la Tabla 1-7:
·
Administración: Como el mismo nombre lo indica, el objetivo de estas tramas
es mantener la conexión. El campo de control de trama indica la
administración y el subtipo determina qué tipo de trama de gestión será
enviada. Dependiendo del subtipo, la parte del cuerpo contiene piezas
especiales de información acerca del área de servicio básico (BSA) o los
parámetros de comunicación. Dependiendo del tipo de trama de
administración, puede haber menos de cuatro campos de dirección.
·
Control: El propósito de estas tramas es ayudar a la comunicación. Las
tramas ACK son un ejemplo de trama de control.
·
Datos: este tipo de trama transporta información. La cabecera a veces tiene
que ser precisa si el AP tiene que autorizar la trama.
Este tipo de tramas tienen el mismo tipo de encabezado, pero con diferentes
indicadores. La principal diferencia está en el cuerpo de cada trama. La trama
puede contener información específica, tal como las velocidades permitidas en la
trama beacon, la cual es un tipo de trama de administración. Así como puede no
contener nada, como es el caso de la trama ACK. En este caso el cuerpo de la
trama es vacío y toda la información que es necesaria está en la cabecera.
Antes de enviar una señal, cada estación trata de determinar la velocidad óptima.
Esta velocidad depende del indicador de intensidad de señal recibida (RSSI) y la
tasa de pérdida, o relación señal a ruido (SNR). La SNR puede determinarse a partir
de los paquetes anteriores que se intercambian con el receptor, que suele ser el AP
en el modo de infraestructura.
El protocolo también debe asegurarse de que las estaciones entiendan lo que está
sucediendo. Estas estaciones pueden estar demasiado lejos de comprender la
velocidad que algunos de los remitentes usan. Para hacer el problema aún más
complejo, el transmisor y el receptor pueden verse unos a otros de manera diferente
y decidir utilizar una velocidad diferente para transmitir.
49
Para ayudar a organizar las diferentes velocidades, el punto de acceso envía las
tasas apoyados en sus delimitadores. Los delimitadores pueden ser obligatorios,
soportados o desactivados.
Como ejemplo, supongamos que el AP tiene estas tasas de velocidad:
·
6 Mb/s: Desactivado
·
9 Mb/s: Obligatorio
·
12 Mb/s: Soportado
·
24 Mb/s: Obligatorio
·
36 Mb/s: Soportado
·
48 Mb/s: Soportado
·
54 Mb/s: Soportado
Al conectarse al AP, una estación debe ser capaz de enviar tramas a 9 y 24 Mb/s.
El AP siempre envía las tramas de administración a la menor velocidad obligatoria
(9 Mb/s), el cual viene a ser la menor velocidad en común.
Para enviar una trama de datos, un cliente escoge la mejor velocidad, dependiendo
de cómo se vea al destinatario.
El receptor reconoce el uso de la velocidad obligatoria que es justo por debajo de
la velocidad que el remitente utiliza. Por ejemplo, si la trama fue enviada en 48
Mb/s, entonces la primera velocidad obligatoria que es menor sería 24 Mb/s. Si la
trama se envió a 12Mb/s, la del ACK regresaría a 9Mb/s.
La situación es más compleja para la trama de datos. Parte de ella, por lo general
la cabecera, se envía a la velocidad más baja obligatoria, para asegurarse de que
todos los miembros de la celda escuchen el campo “Duración”. El resto de la trama
se envía a una velocidad óptima. Dependiendo del protocolo que se utiliza
(802.11a/b/g), esta regla varía ligeramente, pero el principio general sigue siendo
válido.
Teniendo en cuenta que partes de la misma trama pueden ser enviadas a
velocidades diferentes, ¿cómo evitar la colisión? si la onda es enviada a la
velocidad de la luz, que es la velocidad de la transmisión física. Dentro de la onda,
la velocidad de datos es la densidad de la información. El comienzo de la
50
transmisión tiene menos información por unidad de tiempo, lo que permite más
posibilidades para que parte de la señal se pierda sin ocultar la información que
está contenida. La señal puede viajar muy lejos, ser debilitada o ser alterada por
los reflejos y otras fuentes de degradación, y seguir siendo legible.
Cada estación sabrá para quién es el mensaje y por cuánto tiempo la estación va a
reservar el medio. La parte de datos de la trama tiene la densidad más alta posible
de los datos por unidad de tiempo, basándose en la calidad del enlace entre el
remitente y el receptor. No importa si las otras estaciones no pueden leer el
mensaje.
Toda esta comunicación se produce en el entorno HDX. Todas las tramas deben
ser acreditadas. Si un ACK no se recibe, entonces el remitente asume que la
colisión ocurrió y trata de volver a enviar. [1] [6]
1.6 SEGURIDAD EN REDES INALÁMBRICAS
La seguridad en las redes inalámbricas es importante ya que es más vulnerable
que una red LAN, un atacante fuera de la institución puede ser capaz de hacerse
pasar por un cliente legítimo y asociarse a un punto de acceso asociado a la
empresa.
1.6.1 AUTENTICACIÓN Y ENCRIPTACIÓN
1.6.1.1 Autenticación
Es el procedimiento de encontrar un usuario tal y como es. En una red inalámbrica
la autenticación es usada para probar la identidad del usuario o dispositivo que está
intentando obtener acceso a ella.
Probar una identidad es difícil ya que no podemos controlar la identidad física de
quien está tratando de conectarse. Estos métodos son usados:
-
Algo que se conoce: este tipo de autenticación es el más común para los
usuarios. Deben recordar un parámetro conocido como por ejemplo, una
contraseña. Este método lamentablemente es vulnerable ya que para
51
recordarlo lo escriben y dejan a la vista del público dejando inseguro este
filtro.
-
Algo que se tenga: este método no tiene riesgo de olvidar la información,
ya que los usuarios tienen una clave física con una tarjeta inteligente, y sin
este dispositivo no pueden ser autenticados. Pero no está libre de ser robado
o perdido y cualquiera que lo posea puede ingresar a la red.
-
Algo que se es: este método está basado en algo que es específico de una
persona para ser identificado, como por ejemplo, una huella digital.
Desafortunadamente los sensores biométricos implican contacto físico, el
cual no es un método razonable para una red inalámbrica sino para una red
cableada. Pero si puede ser implementado.
En ambientes seguros, autenticar los dispositivos para que tengan acceso a la red
es el método más común. Este tipo de autenticación es usado para prevenir que
usuarios válidos, al acceder a la red la infecten de virus.
Una máquina puede ser autenticada mediante una firma, basada en hardware de
la máquina; la limitación de este tipo de autenticación es que una persona no
deseada puede conectarse con tan solo acceder a la máquina.
Figura 1-24 Flujo de Autenticación [1]
Cuando se requiere autenticar a un usuario en la infraestructura ya sea por máquina
o por usuario (Ver Figura 1-24), el proceso debe ocurrir tan pronto como se intente
conectar a la red, empezando por el switch o el AP en la capa 2 del modelo OSI.
52
De ahí la autenticación puede ocurrir después en la red, en la capa 3 cuando la IP
es usada para comunicar entre el dispositivo final y el mecanismo de autenticación.
[1]
1.6.1.2 Encriptación
Las redes inalámbricas necesitan tener la certeza del nivel de privacidad que
manejan para determinar la manera correcta de permitir el flujo de información.
Privacidad significa que toda la información que deba ser recibida como una señal
física, no pueda ser leída o entendida por una persona no autorizada.
Figura 1-25 Encriptación
La encriptación puede definirse como el proceso usado para que la información se
transforme usando un método específico para producir un resultado legible
solamente para aquellos que deban tener este conocimiento, usualmente mediante
una llave (Ver Figura 1-25). Crear un método de encriptación implica escoger un
algoritmo y definir esta llave. [1]
La encriptación puede ser simétrica o asimétrica:
1.6.1.2.1 Simétrico
El mismo proceso que es usado para encriptar los datos es reversado para
desencriptar los datos. Utilizan la misma clave para encriptar y desencriptar.
53
Figura 1-26 Encriptación Simétrica
1.6.1.2.2 Asimétrico
El proceso que es usado para la encriptación, llamado cifrado es diferente al
proceso de desencriptación, llamado llave. Tanto el cifrado como la llave tienen sus
características matemáticas que hace que se comuniquen el uno con el otro. El
cifrado puede encriptar pero no desencriptar. La llave puede desencriptar pero no
encriptar.
Los métodos simétricos son usualmente más rápidos que los asimétricos. Además
son más fáciles de romper, precisamente porque utilizan la misma clave. El método
simétrico es usado cuando el tiempo es crucial como en un paquete de tiempo real.
El método asimétrico es usado cuando la seguridad es más importante que el
tiempo (Ver Figura 1-27).
Figura 1-27 Encriptación Asimétrica
54
1.6.1.3 Manejo de Claves
Cuando las claves son usadas para autenticar usuarios o encriptar datos, estos son
los valores secretos que maneja la red inalámbrica.
1.6.1.3.1 Llaves Comunes
Una llave puede ser comúnmente usada por muchos usuarios. Para las redes
inalámbricas, la llave puede ser almacenada por el AP y compartida con todos sus
clientes.
Una llave comúnmente se usa de tres formas:
·
Solo para autenticación: solo usuarios con clave pueden acceder a la red,
pero su comunicación subsecuente es enviada sin encriptar.
·
Solo para encriptación: cualquier usuario puede asociar a la WLAN, pero
solo usuarios que tengan una clave válida pueden enviar y recibir tráfico de
otros usuarios de ese AP.
·
Para autenticación y encriptación: la llave es usada para las dos formas
anteriores.
La desventaja es que un hacker solo necesita interrumpir el tráfico de una sola
máquina para ser capaz de leer lo de los demás clientes de la celda. [1]
1.6.1.3.2 Llaves Individuales
Provee mayor seguridad que una llave individual definida para cada usuario. Esto
mejora la seguridad en las siguientes dos formas:
·
La llave es individual desde el principio, este método implica que la
infraestructura debe almacenar y administrar claves individuales por usuario,
típicamente usando un servidor central de autenticación.
·
La llave es común al inicio, pero es usada para crear una segunda clave que
es única para cada usuario. Este sistema tiene muchas ventajas. Una llave
común es almacenada en el AP, la llave individual se crea en tiempo real y
es válida solo mientras dure la sesión.
Las llaves individuales no pueden ser usadas para encriptar mensajes broadcast y
multicast, enviados a muchos destinatarios, ya que si el receptor tiene una clave
55
diferente entonces el mensaje no podrá ser decodificado ya que no usa la misma
clave individual.
Entonces las redes inalámbricas usan una clave común para mensajes que no sean
broadcast y multicast mientras que manejan otra clave individual para los unicast.
El protocolo 802.11 definido por la IEEE estableció dos posibilidades para
administrar una red inalámbrica en cuanto a seguridad:
·
Una red abierta y una red que provee un nivel de privacidad que sea
equivalente al de una red cableada. Estos métodos son usados solos o en
combinación con otros mecanismos. Entenderlos y emplearlos proporciona
beneficios y limita el acceso a la red, lo que proporciona seguridad. [1]
1.6.1.4 Autenticación Abierta
Figura 1-28 Autenticación Abierta [1]
56
Este método permite la asociación y autoriza con o sin una llave WEP (Wired
Equivalent Privacy) y es usado para cifrado de datos exclusivamente. Este método
es típico en una red de uso público, el procedimiento de asociación se describe en
la Figura 1-28.
Cuando una llave WEP es usada, el cliente lanza la autenticación normal y el
proceso de asociación, pero después de que el cliente es asociado, la transmisión
de datos empieza, si las claves WEP en el AP no coinciden con el cliente, entonces
el AP no desencripta la información.
Cuando este método es utilizado la cabecera de la trama no está encriptada,
solamente los datos.
1.6.1.5 Autenticación WEP
Los primeros tres pasos para la autenticación WEP son idénticos a los de la
autenticación abierta. Después que el cliente envía una petición de autenticación al
AP, el proceso cambia.
Figura 1-29 Autenticación WEP [1]
57
El AP envía una respuesta de autenticación. Esta respuesta contiene el texto de la
llave, el cual es a menudo una cadena aleatoria de caracteres. Este paquete no es
encriptado.
El cliente encripta el texto llave y retorna el resultado encriptado al AP.
El AP compara la llave con el texto de encriptación. Si el texto es el mismo, entonces
el AP concluye que si es la misma llave WEP y permite al cliente conectarse a la
WLAN. Si no coinciden el AP envía al cliente una petición de autenticación con un
estado de error como muestra la Figura 1-29.
Después que el cliente es autenticado, este recibe el identificador de asociación
(AID) el cual es su número en la celda. Y puede empezar a recibir y enviar
información. La autenticación PSK28 es considerada menos segura que la
autenticación abierta porque la competencia es por el paquete. Porque este
paquete es enviado sin encriptar y retorna encriptado, un atacante podría ser capaz
de capturar ambos paquetes y determinar la cadena de caracteres de clave.
Las llaves aleatorias son un elemento clave de cifrado. Si el mismo paquete (por
ejemplo, un ping) es enviado muchas veces, los paquetes cifrados resultantes
deben ser lo suficientemente diferentes el uno del otro para que un atacante no
pueda adivinar que se está enviando el mismo contenido. Si los paquetes son los
mismos, entonces la llave puede derivarse más fácilmente si se tiene varios
ejemplos de los mismos resultados encriptados; entonces, para el atacante no sería
difícil adivinarla.
Por cada nueva trama que es enviada, WEP añade un elemento extra de
aleatoriedad un valor de 24 bits de longitud variable, llamado el vector de
inicialización, para la llave WEP. Este resultado es llamado una cadena de
seguridad WEP. La cadena de seguridad es usada para encriptar la trama. Ya que
el vector cambia para cada trama, un mejor nivel de aleatorización es alcanzado.
[1].
La llave WEP puede ser de 40 o 104 bits. La adición de un vector de inicialización
de 24 bits da un resultado de 64 a 128 bits como longitud. Aunque algunos de los
28Del inglés: Pre-Shared Key: es una clave secreta compartida con anterioridad entre las dos partes
usando algún canal seguro,
58
fabricantes se refieren a una llave de 40 bits y otros a una de 64 bits, las llaves son
las mismas. Muchos de los fabricantes como referencia utilizan una llave de 128
bits que en realidad es una de 104 bits. Por ejemplo Microsoft Windows utiliza la
llave de 128 bits, la cual se refiere a una llave de 104 bits con los 24 bits del vector
de inicialización añadido.
El vector de inicialización y la llave son procesados por el algoritmo RC4. El
resultado de la cadena de seguridad es obtenido mediante la función XOR aplicada
a los datos para crear el cifrado. Cuando la trama es creada el vector de
inicialización y la llave son incluidos en la cabecera de 802.11. Como resultado, la
estación receptora puede usar la llave propietaria y el vector de inicialización para
desencriptar los datos, lo cual se convierte en una importante desventaja de este
método.
Figura 1-30 Funcionamiento WEP [1]
1.6.1.5.1 Desventajas
·
No se realiza un chequeo de integridad por paquete de autenticación.
·
Los atacantes pueden fácilmente obtener la cadena de encriptación
craqueando la llave WEP o desencriptando correctamente los paquetes
capturados con un sniffer. Herramientas actuales permiten a una llave de
104 bits ser craqueada en pocos minutos.
·
Proporciona solamente cifrado débil de los datos.
59
·
La repetición del vector de inicialización puede ayudar para craquear la llave
WEP.
·
Cada cliente y AP deben estar configurados con la misma llave WEP.
·
Administrar las llaves puede resultar difícil en una WLAN empresarial.
·
WEP es menos segura que usar una asociación abierta de capa 2 y luego
aplicar la autenticación de usuario con un método de encriptación dinámico
·
WEP no autentica la infraestructura con el cliente. Solamente el cliente es
autenticado.
1.6.1.6 Filtrado de MAC
Una forma de dar seguridad a través de la red inalámbrica es con el filtrado por
MAC; cuando esta es configurada de esta forma, solamente los dispositivos
registrados pueden acceder a la red. Existen dos métodos para permitir el tráfico
basado en MAC:
1.6.1.6.1 Entrada Local
Las direcciones MAC son configuradas en la controladora. El máximo número de
direcciones configurables es 2048, el cual es el predeterminado y puede reducirse
si es necesario.
1.6.1.6.2 Servidor RADIUS
Cuando se configura este acceso la controladora primero busca en su base para
relacionar el usuario con la lista local. Si no se encuentra la entrada, entonces la
controladora solicita al servidor RADIUS su registro.
El filtrado por MAC es parte de la seguridad de capa 2. Puede ser usado como parte
de un conjunto de una estrategia de seguridad.
Una red con 802.1x comprende tres partes: el cliente, el autenticador y el servidor
RADIUS.
60
El autenticador puede ser por ejemplo un switch en una red cableada o un AP en
una red inalámbrica. En el último caso, conectarse al autenticador representa un
proceso de autenticación abierta de cuatro pasos.
a) El cliente envía una solicitud de autenticación y recibe una respuesta
de autenticación con un estado “satisfactorio”. Por esta razón, las
redes inalámbricas que usan 802.1x son a menudo atacadas por
escáneres inalámbricos usando autenticación abierta.
b) El cliente envía la solicitud de asociación y recibe una respuesta con
un identificador de asociación (AID).
Incluso después que se ha realizado la asociación, el puerto lógico es bloqueado.
El cliente inalámbrico no puede acceder a la red si no se ha autenticado
inicialmente. El cliente puede empezar este proceso, o el autenticador toma la
iniciativa de preguntar por sus credenciales. Si este fuera el caso, el cliente envía
las credenciales de autenticación al servidor de autenticación.
c) El AP encapsula cualquier tráfico 802.1X que es enviado al servidor
de autenticación. Todo el otro tráfico de la red y los intentos por
acceder a esta son bloqueados.
d) Después de recibir el tráfico del cliente del RADIUS, el AP lo
encapsula y envía la información al cliente. Sin embargo el servidor
autentica al cliente como un usuario de red válido. Éste proceso
permite al cliente también ser validado en el servidor; así, lo que
garantiza es que un cliente no lícito no sea admitido dentro de la celda
del AP ni la red.
61
CAPÍTULO 2
2. ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ENTIDAD
FINANCIERA
Y
DETERMINACIÓN
DE
REQUERIMIENTOS
2.1 ANTECEDENTES
La institución financiera es de carácter público, su sede principal es en la ciudad de
Quito y la matriz actualmente funciona en la ciudad de Guayaquil, sus sucursales
están ubicadas en las ciudades de Riobamba, Cuenca, Loja, Latacunga, Ambato,
Ibarra, Esmeraldas, Manta, Machala y Salinas.
Su misión es de a través de la provisión de productos financieros y no financieros
alineados al Plan Nacional del Buen Vivir, servir a los sectores productivos del país.
Su visión es ser la banca múltiple de desarrollo, moderna y eficiente, con énfasis
en aquellos sectores desatendidos, apoyando así al desarrollo económico y social
del Ecuador.
El edificio donde se encuentra ubicada la entidad financiera data de la década de
los 80 es de una estructura de acero reforzado, vidrio oscuro y concreto. Las
funciones financieras se desarrollan desde el año de 1982. Este edificio cuenta de
23 plantas, 21 pisos altos y 2 subsuelos, actualmente la institución se encuentra
ocupando los pisos 20, 19, 18, 17, 16, 11, 10 y la Planta Baja para las diferentes
áreas manejadas dentro de la misma.
El Data Center o Centro de Datos es el espacio destinado para la ubicación de
racks de distribución central (datos), servidores de base de datos, servidor de
aplicaciones, servidores SUN, servidores BLADE, proxy, correo electrónico,
protección antivirus y anti spam, firewall, switches de la capa de Core, ruteadores,
aires acondicionados, respaldo de baterías de energía (UPS), Circuito Cerrado de
Televisión (CCTV), etc. Además cuenta con las restricciones de acceso del
62
personal necesarias para que en conjunto se mantenga un funcionamiento continuo
y estable del mismo.
El personal de la institución se encuentra concentrado en su mayoría en Quito y
Guayaquil, mientras en las sucursales se mantiene un promedio de 15 funcionarios
como se detalla en la Tabla 2-1.
En vista de la favorable aceptación que ha venido teniendo en los últimos años se
ha visto un crecimiento importante en sus funciones y empleados donde la
continuidad del negocio es lo más importante. Por razones laborales hay
funcionarios que deben realizar actividades fuera de las instalaciones y con
traslados constantes; entre ellos los más comunes son el cuerpo del directorio,
gerentes de división, personal de supervisión, personal de coactivas y crédito de
primer piso que forman parte de la estructura organizacional de la empresa como
muestra la Figura 2-1.
Sucursal
Número De Empleados
Guayaquil
557
Quito
495
Riobamba
27
Ambato
22
Latacunga
3
Ibarra
20
Esmeraldas
20
Cuenca
20
Loja
15
Salinas
7
Machala
19
Manta
24
Total
1229
Tabla 2-1 Número de Empleados de la Entidad
63
Figura 2-1 Estructura Organizacional
64
2.2 DISTRIBUCIÓN DE PERSONAL EN EL EDIFICIO DE QUITO
De acuerdo a la estructura organizacional de la Figura 2-1 anterior, se han
distribuido las diferentes áreas dentro del edificio de Quito, para lo cual se ha hecho
un relevamiento del personal en cada una de ellas como muestra la Tabla 2-2 , para
dimensionar los usuarios que podrán acceder a los servicios de la red inalámbrica.
Áreas
Número De
Empleados
Administrativo
15
Administración de Bienes
14
Archivo
8
Auditoria
8
Coactiva
6
Contabilidad y Pagaduría
15
Control de Gestión
10
Organismos de control
4
Custodia
4
Informática
102
Legal
21
Mercadeo
6
Oficinas y Ventanillas
6
Planeación
10
Directorio
5
Presupuesto
5
Prevención de Lavado de Activos
6
Relaciones Publicas
5
Riesgos
10
Recursos Humanos y Desarrollo
Organizacional
20
Secretaria General
6
Seguridad Informática
5
Servicios Generales
18
65
Administración de Crédito
5
Administración de Recursos
5
Atención al Cliente
6
Cartera
15
Comercio Exterior
3
Concesión de crédito
2
Crédito Primer Piso
30
Crédito Segundo Piso
10
Cuentas de deposito
5
Fiducia
17
Finanzas
5
Finanzas y Administración de Crédito
5
Fomento y Producción
20
Fomento y Crédito
5
Fondo de Garantía
5
Investigación y Desarrollo
5
Supervisión
28
Tesorería
5
Transporte
10
Total
495
Tabla 2-2 Distribución de Personal en el Edificio de Quito
Debido a la importancia de la oficina de Quito y la matriz Guayaquil se ha visto la
necesidad de realizar la implementación de la red inalámbrica en estas dos
ciudades de manera inmediata y luego se tomará esta infraestructura como
referencia para extender a las sucursales.
2.3 INFRAESTRUCTURA DE LA RED
Al ser un edificio antiguo la tecnología no ha sido la de punta, por esto se han venido
haciendo cambios para poder tener una infraestructura moderna y acorde a las
aplicaciones que se soportan, en la actualidad no brinda la oportunidad de
66
conectarse a la red de datos de manera inalámbrica, y viendo el surgimiento de
tantos dispositivos finales que emplean esta tecnología se ha visto la necesidad de
implementarla, para brindar el acceso tanto a directivos como a funcionarios y
Usuarios
Relat ivas
al core
Software
Core
Internas
Otras
Aplicaciones
BDD Core
Middleware
BDD Ot ras
Atención a Usuarios
Servicios
Producción y Control
Implementación de Sistemas
personal externo a la institución que brindan capacitaciones, charlas, etc.
Componentes
Sistemas Operat ivos
Hardware
Servidores
SPARC
Servidores
x86
Virtualización
Almacenamiento
y Respaldos
Servidores y Almacenamiento
Seguridades
- Sistema eléctrico
- Aire acondicionado
- UPS
Switches y
Periféricos
Centro de Cómputo
- Seguridad
Perimet ral
- Identificac
y Autenticac
- Contol de
Accesos
- Monit oreo
Cableado Esctructurado
y Enlaces
Infraestructura de TI
Software Base
Wireless
Redes y Comunicaciones
Figura 2-2 Esquema de Infraestructura de Red Soportada
Para ello debemos hacer un análisis de la parte pasiva y activa de la red.
2.3.1 PARTE PASIVA DE LA RED
La parte pasiva de una red constituyen aquellos elementos que a pesar del tiempo
no van a cambiar o rara vez se los cambiará para actualizaciones o reparaciones,
67
esto incluye la parte del cableado estructurado del edificio, racks, canaletas,
patchpanels, patchcords, etc.
2.3.1.1 CABLEADO ESTRUCTURADO
Actualmente se está llevando a cabo una mejora para poder soportar aplicaciones
de acuerdo a la nueva tecnología de voz, datos y video, ya que la red era de carácter
plano, ahora se ha estructurado una red segmentada en VLANs con un backbone
de fibra óptica OM3 multimodo redundante que soporta hasta 10 Gbps, uniendo
todos los armarios de distribución ubicados en los pisos de la institución (Secondary
Distribution Frames (SDFs)), con el armario central de distribución (Main
Distribution Frame (MDF)), ubicado en el data center que se encuentra en el piso
10.
El cableado horizontal en su totalidad es de cable UTP categoría 6 TIA/EIA 568-B21 de 4 pares, comprende las redes locales de cada uno de los pisos que se
conectan a través del backbone principal de fibra óptica al DataCenter y así poder
acceder a los servicios que presta la red de datos de la institución. Este une a través
de los equipos de interconexión (parte activa de la red) cada uno de los puntos de
conexión de cada cliente (funcionario o dispositivo final) que se encuentra en su
lugar de trabajo; con el backbone principal y en consecuencia a la red de datos,
servicios y aplicaciones manejados dentro de la institución.
2.3.2 PARTE ACTIVA DE LA RED
La parte activa de la red está conformada por todos aquellos elementos que se
pueden cambiar, modificar o actualizar como son los ruteadores, switches,
servidores, impresoras, estaciones de trabajo, dispositivos finales.
2.3.2.1 CISCO 6509-E
La institución cuenta con dos switches de Core de marca CISCO modelo 6509 los
cuales mediante la facilidad del VSS (Virtual Switching System) se ven como uno
solo facilitando su administración, además de proporcionar escalabilidad y soporte
para redes con manejo de IPv6.
68
Figura 2-3 Diagrama de Red LAN
Figura 2-4 Esquema VSS de Core [7]
69
Figura 2-5 Nivel de Procesamiento del Core
En la Figura 2-5 se puede observar que los niveles para los switches a nivel del
consumo de CPU y Memoria son normales, por lo tanto la capacidad del núcleo de
la red no requiere un incremento para el desarrollo del proyecto.
Equipo
Características técnicas principales
Chasis C6509E con 9 slots para tarjetas
2 fuentes de poder redundante
Catalyst 6509E (Core)
1 Tarjeta controladora con las siguientes
características:
2 puertos 10 Gbps
70
3 Puertos de 1 Gbps
2 Gb de memoria interna
1 Tarjeta de 48 puertos 10/100/1000 Gbps
2 Tarjetas de 16 puertos 10 Gbps
Tabla 2-3 Características Switches de Core [8]
2.3.2.2 CISCO 3750
La institución en sus pisos cuenta con switches CISCO 3750 que constituyen la
capa de acceso, permitiendo una administración más amplia de la red, haciendo
uso de la factibilidad de colocarlos en Stack, se amplió la capacidad de cobertura
de los mismos, esta serie de CISCO es multicapa Fast Ethernet y Gigabit Ethernet
permitiendo una conmutación unificada y resistente. Estos switches proporcionan
alta disponibilidad, seguridad, eficiencia energética y facilidad de uso. Tiene fuentes
redundantes y controla las funciones de los medios de seguridad, además permiten
a las aplicaciones como telefonía IP, redes inalámbricas y de video, un desarrollo
unificado.
Entre sus características más importantes están:
-
Cuatro módulos opcionales para la conexión ascendente con Gigabit
Ethernet o puertos 10 Gigabit Ethernet.
-
Power Over Ethernet integrada.
-
Doble redundancia en fuentes de alimentación y ventiladores modulares.
-
Encriptación para seguridad MAC (MACsec) basada en hardware.
-
NetFlow flexible y encriptación switch a switch basada en hardware.
-
Protocolo OSPF (Open Shortest Path First) para acceso enrutado.
-
Enrutamiento IPv4 e IPv6, enrutamiento multicast, calidad de servicio
avanzada (QoS), y características de seguridad en hardware.
-
Puertos USB Tipo A y Tipo B para el almacenamiento y la consola
respectivamente y un puerto de administración Ethernet.
71
Los beneficios que representa para la red son:
-
Seguridad.- La seguridad de la red es lograda a través de un amplio rango
de métodos de autenticación, tecnologías de encriptación, control de
admisión basado en usuarios, puertos y direcciones MAC.
-
Disponibilidad.- Basados en el estándar 802.1s soporta tolerancia a fallas,
balanceo de carga, y rápida convergencia (proporciona convergencia por
debajo de 100 ms; PSVT+ (Per VLAN Spanning Tree Plus)) incrementa el
ancho de banda disponible permitiendo el tráfico en vínculos redundantes.
-
Capa 3.- Protocolos de ruteo avanzados tales como OSFP, EIGRP, BGP,
PBR y ruteo estático.
-
PIM (Protocol Independent Multicast).- maximiza los recursos de la red.
-
VRF-Lite (Virtual Route Forwarding Lite).- asegura el tráfico.
-
IPv6.- Simplifica el direccionamiento de la red a la vez que incrementa la
seguridad.
-
PoE (375W PoE).- simplifica la distribución de teléfonos IP, cámaras IP,
wireless, etc.
-
QoS (Trafic Shaping, shaped Round Robin, Scavenger Queuing).-garantizan
el ancho de banda y que no se descarten paquetes en el tráfico de alta
prioridad
-
Administración: (Cisco SmartPorts) facilita la rápida configuración de las
capacidades del switch.
-
Wireless: Posee un controlador de redes inlámbricas integrado, proporciona
la administración centralizada de políticas de seguridad, intrusión, gestión de
RF, QoS, y Layer-3 Fast Roaming. [8]
Equipo
Características técnicas principales
48 Puertos Ethernet RJ 45 10/100/1000 Mbps
Catalyst 3750X (Acceso)
PoE a 15 W por puerto
4 Puertos a Ten Giga Ethernet (10 Gbps)
2 Fuentes de poder
VLAN_BASES_DE_DATOS:41
VLAN_USUARIOS_PISO_PB:62
VLAN_USUARIOS_PISO_1:63
VLAN_USUARIOS_PISO_10:64
VLAN_ADMIN_VIRTUAL:3
VLAN_SAN_ISCSI:21
VLAN_SERVIDORES:22
VLAN_SERVIDORES_COBIS:23
VLAN_PERIFERICOS:121
Figura 2-6 Esquema Lógico de la red LAN
Hacia Internet,
Extranet, WAN y DMZ
VLAN_INALAMBRICOS:182
VLAN_FIREWALLS_EXTERNOS: 181
VLAN 2
VLAN 3
Hacia
Infraestructura
actual
VLAN 76
Switches Core
VLAN 181
VLAN 161
VLAN 41
VLAN 24
VLAN 23
VLAN 22
VLAN 21
Administración
Ambiente virtual
TOTAL VLANs = 24
VLAN_VOZ:141
Administración
Infraestructura TI
VLAN_MIGRACION_TEMPORAL:76
VLAN_USUARIOS_COBISCORP:75
VLAN_USUARIOS_EXTERNOS:74
VLAN_USUARIOS_PISO_20:73
VLAN_SEGURIDAD:161
VLAN_USUARIOS_PISO_19:72
VLAN_USUARIOS_PISO_18:71
VLAN_USUARIOS_PISO_17:70
VLAN_USUARIOS_PISO_16:69
VLAN_USUARIOS_PISO_11:65
SEGMENTACIÓN DE LA RED LAN - QUITO
DIAGRAMA ESQUEMATICO – VLAN´S
VLAN_SERVIDORES_COBISCORP:24
VLAN_ADMIN:2
VLAN 2,62,74,75,121
VLAN 2,63,75,121
VLAN 2,64,75,121
VLAN 2,65,121
VLAN 2,69,75,121
VLAN 2,70,121
VLAN 2,71,121
VLAN 2,72,121
VLAN 2,73,121,182
Switch Piso PB
Switch Piso 1
Switch Piso 10
Switch Piso 11
Switch Piso 13
Switch Piso 14
Switch Piso 15
Switch Piso 16
Switch Piso 17
Switch Piso 18
Switch Piso 19
Switch Piso 20
72
Puertos de Stack
256 MB memoria Ram
32 Memoria Flash
160 Gbps de velocidad de conmutación
Tabla 2-4 Características Switches de Acceso [8]
73
2.4 SERVIDORES Y SERVICIOS QUE ESTÁN DISPONIBLES
La información es un recurso que, como el resto de los importantes activos, tiene
valor para la entidad financiera y por consiguiente debe ser debidamente protegida.
La seguridad de la información protege ésta de una amplia gama de amenazas, a
fin de garantizar la continuidad de los servicios, minimizar el daño que se puedan
generar producto de estas amenazas, para esto la institución cuenta con la
plataforma de servidores, considerados como el escenario de hardware o software
que permiten la funcionalidad de un sistema, cuenta con dos tipos principales de
servidores, los primeros de arquitectura SPARC que soportan el Core del negocio
y los segundos de arquitectura x86 para las aplicaciones relacionadas al Core y de
apoyo.
2.4.1 SERVIDORES SPARC
Se dispone de servidores Oracle SPARC T4 para soportar el ambiente de Core
COBIS. En estos servidores se ejecuta el motor de base de datos principal y el
middleware del Core. Se emplean otros servidores Oracle para ambientes de
desarrollo y pruebas de ambientes COBIS.
BDD Producción
ón
, Nodo
o1
UIOSRV02
02
Clúster
BDD Producción
ció, nNodo
ción
o2
UIOSRV03
03
29
Figura 2-7 Diagrama de BDD
29
Siglas que se utilizan como estándar dentro de la entidad para referirse a la localidad donde se
encuentra ubicado en este caso específico UIO es de Quito; así mismo se clasifica el dispositivo,
SRV para referirse a un Servidor y los números de acuerdo a la secuencia como fueron creados.
74
La Base de datos principal Sybase ASE, corre en dos servidores tipo rack Oracle
SPARC T4-2 en modo de alta disponibilidad, el sistema operativo en estos
servidores tiene habilitado las funciones de clúster con Solaris Clúster.
El Middleware IBM WAS, corre en dos servidores tipo blade Oracle T4-1B en un
modo de alta disponibilidad y utilizando virtualización con OVM (Oracle Virtual
Machine). Otros ambientes de desarrollo y pruebas se ejecutan en otros dos
servidores tipo blade Oracle T4-1B mediante virtualización OVM.
Los ambientes de Base de datos y Middleware se encuentran replicados al sitio
alterno en Guayaquil en dos servidores tipo blade Oracle T4-1B.
Las principales características de los servidores de Base de datos son:
·
servidores Oracle SPARC T4-2 (clúster)
·
2 x Eight Core T4 processor @ 2.85 GHz
·
Total 128 virtual CPUs
·
SPECfp = 1,275 [255 (SPARC T3-2) x5]
·
256 GB RAM
·
2 x 300 GB HDD + SAN
·
Conectividad SAN 8 Gbps
·
Conectividad LAN 10 Gbps
Figura 2-8 Clúster de Virtualización
75
Figura 2-9 Ambiente de Réplica
Las principales características de los servidores del Middleware son:
·
servidores Oracle SPARC T4-1B (clúster)
·
1 x Eight Core T4 processor @ 2.85 GHz
·
Total 64 CPUs virtuales
·
SPECfp = 1,275 [255 (SPARC T3-2) x5]
·
128 GB RAM
·
2 x 300 GB HDD + SAN
·
Conectividad SAN 8 Gbps
·
Conectividad LAN 10 Gbps
A continuación se detalla el estado de uso de recursos de los principales servidores;
primero del clúster de base de datos para el ambiente de producción (servidores
UIOSRV02 en la Figura 2-10 y UIOSRV03 en la Figura 2-11 ):
76
Figura 2-10 Esquema del Uso del Servidor UIOSRV02
Variable
Observación
Espacio en Disco
El espacio físico utilizado para el almacenamiento se
encuentra en un nivel bajo de consumo.
Uso de Memoria
El consumo de la memoria tanto física como virtual es bajo
no llega al 5% de su capacidad total
Nivel de
El nivel de procesamiento del servidor es bastante bajo y se
procesamiento
puede observar que a través del tiempo es contante.
Tabla 2-5 Resumen uso del Servidor UIOSRV02
77
Figura 2-11 Esquema del Uso del Servidor UIOSRV03
Variable
Observación
Espacio en
El espacio físico utilizado para el almacenamiento se encuentra
Disco
en un nivel aún bajo de consumo.
Uso de
El consumo de la memoria tanto física como virtual es bajo no
Memoria
llega al 50% de su capacidad total.
Nivel de
El nivel de procesamiento del servidor es bajo y se puede
procesamiento
observar que a través del tiempo es hay picos q alcanzan el
60% pero de corta duración.
Tabla 2-6 Resumen del uso del servidor UIOSRV03
78
De lo anteriormente expuesto, se puede concluir que el segundo nodo del clúster
(UIOSRV03) tiene mayor actividad debido a que se encuentra como nodo activo,
sin embargo, el uso de recursos de ambos servidores es muy por debajo de su
capacidad total.
A continuación podemos comparar el estado de los servidores de middleware (El
servidor UIOSRV04 mediante la Figura 2-12 y el del servidor UIOSRV05 mediante
la Figura 2-13):
Figura 2-12 Esquema del Uso del Servidor UIOSRV04
Variable
Observación
Espacio en Disco
El espacio físico utilizado para el almacenamiento se
encuentra en un nivel muy bajo de consumo.
79
Uso de Memoria
El consumo de la memoria tanto física como virtual es el
parámetro que se destaca sobre los demás.
Nivel de
El nivel de procesamiento del servidor es bastante bajo y se
procesamiento
puede observar que a través del tiempo es contante.
Tabla 2-7 Resumen uso del servidor UIOSRV04
Figura 2-13 Esquema del Uso del Servidor UIOSRV05
Variable
Observación
Espacio en Disco
El espacio físico utilizado para el almacenamiento se
encuentra en un nivel bajo de consumo.
Uso de Memoria
El consumo de la memoria tanto física como virtual es el
parámetro que se destaca sobre los demás.
80
Nivel de
El nivel de procesamiento del servidor es bastante bajo y
procesamiento
se puede observar que a través del tiempo es contante.
Tabla 2-8 Resumen uso del servidor UIOSRV05
Para estos servidores, el principal recurso en uso es la memoria RAM,
considerando que se encuentran implementados los servidores virtuales que
conforman el middleware; el resto de recursos se encuentran con muy poco uso.
2.4.2 SERVIDORES X86
La entidad dispone de servidores tipo Blade marca HP de arquitectura Intel x86
instalados en chasis HP c7000 que cuentan con dispositivos redundantes para
conectividad LAN y SAN; en estos equipos se tienen instalados los siguientes
servicios:
2.4.2.1 Quito
•
Once servidores para VMware vSphere
•
Tres servidores para Novell eDirectory / ZenWorks
•
Dos servidores para Microsoft Active Directory
•
Dos servidores para Lotus Domino
•
Un servidor para Qlikiew
•
Un servidor para IBM SiteProtector
2.4.2.2 Guayaquil
•
Cuatro servidores para VMware vSphere
•
Dos servidores para Novell eDirectory / ZenWorks
•
Dos servidores para Microsoft Active Directory
•
Dos servidores para Lotus Domino
Las principales características de los servidores tipo blade x86, se detallan a
continuación
81
•
Marca / Modelo: HP BL460 G1, G6, G7 y Gen8
•
Procesadores Intel Xeon
•
Memoria: 6 GB RAM > 64 GB RAM
•
Disco: 2 x 300 GB HDD + SAN
•
Conectividad SAN 8 Gbps
•
Conectividad LAN 10 Gbps
Los equipos detallados se encuentran distribuidos en los chasis blade Quito de
acuerdo al esquema de la Figura 2-14:
Chasis de servidores blade: HP c7000
VMware vSphere
Novell eDirectory / ZenWorks
Microsoft Active Directory
IBM Lotus Domino
QlikView
IBM SiteProtector
Figura 2-14 Esquema del Chasis Blade UIO
Los equipos servidores tipo blade de Guayaquil se encuentran distribuidos en el
chasis de acuerdo al esquema de la Figura 2-15:
Chasis de servidores blade: HP c7000
VMware vSphere
Novell eDirectory / ZenWorks
Microsoft Active Directory
IBM Lotus Domino
Figura 2-15 Esquema del Chasis Blade GYE
82
Se presenta a continuación diagramas del uso de recursos de los principales
servidores (sin contar los de virtualización); esto es, Novell eDirectory mediante la
Figura 2-16 y Figura 2-17, para el Lotus Domino mediante la Figura 2-18.
Figura 2-16 Uso de Recursos Servidor UIO41 (Novell eDirectory)
Variable
Observación
Uso de Memoria
El consumo de la memoria tanto física como virtual es alto y
constante llegando casi a su totalidad.
Nivel de
El nivel de procesamiento del servidor es bastante bajo y se
procesamiento
puede observar que a través del tiempo no es contante.
Tabla 2-9 Resumen del uso del servidor UIO41
83
Figura 2-17 Uso de Recursos Servidor UIO42 (Novell eDirectory)
Variable
Observación
Uso de Memoria
El consumo de la memoria tanto física como virtual es alto y
constante llegando casi a su totalidad.
Nivel de
El nivel de procesamiento del servidor es no es contante a
procesamiento
través del tiempo.
Tabla 2-10 Resumen uso del servidor UIO42
Se puede concluir que los servidores se encuentran en un status “Normal” pues los
recursos están en un nivel de uso razonable.
84
Figura 2-18 Uso de Recursos Servidor de Correo (Lotus Domino)
Variable
Observación
Uso de Memoria
El consumo de la memoria tanto física como virtual es
contante y va en aumento llegando al 50% de su capacidad.
Nivel
de El nivel de procesamiento del servidor es bastante alto y se
procesamiento
puede observar que a través del tiempo hay picos de
crecimiento llegando a un promedio del 60%.
Tabla 2-11 Resumen uso del servidor Lotus Domino
85
2.4.3 SISTEMAS OPERATIVOS EN SERVIDORES
Los sistemas operativos utilizados en la institución son variados; sin embargo,
existe una estandarización en cuanto a su uso de acuerdo al siguiente detalle:
·
Servidores en arquitectura SPARC: Solaris (Actualmente Oracle Solaris 10
8/11)
·
Servidores en arquitectura x86: Microsoft Windows y SuSE Linux Enterprise
Server (las versiones pueden variar de acuerdo a las recomendaciones de
los proveedores de las soluciones a implementarse en los servidores,
actualmente se cuentan con versiones de Windows Server 2003, 2008 y
2012, Standard y Enterprise; y, SuSE Linux Enterprise Server 10 y 11).
·
Servidores para virtualización: VMware ESX (actualmente versión VMware
ESXi 5.1)
Se presenta la distribución de los servidores por sistema operativo a nivel nacional:
SO
UIO
GYE
Windows
125
20
Solaris
32
8
Linux
31
5
ESX
13
4
Tabla 2-12 Servidores por Sistema Operativo
Distribución de servidores
por SO
200
0
Windows
Solaris
UIO
Linux
ESX
GYE
Figura 2-19 Distribución de Servidores por SO
86
2.5 SERVICIOS DISPONIBLES AL ACCEDER A LA RED
Al estar a cargo de la Subgerencia de Tecnología de la Información la configuración,
instalación, supervisión, operación y administración del hardware como el software
que se maneja dentro de la institución para brindar los servicios ofertados al interior
de la misma, dando soporte al área administrativa, riesgo, de apoyo y en especial
a las áreas de cartera, supervisión y finanzas.
Los servicios a los que los usuarios podrán acceder a través de la red son:
SERVICIO DE ACCESO A INTERNET
SERVICIO DE ANTIVIRUS CORPORATIVO
SERVICIO DE VIDEO CONFERENCIA
SERVICIO DE CORREO ELECTRÓNICO
SERVICIO DE IMPRESIÓN Y ESCANEO
SERVICIO DE INTRANET
SERVICIO DE ARCHIVO
SISTEMAS DE BASE DE DATOS
SERVICIO
DE
NOMBRES
DE
DOMINIO
Y
ASIGNACIÓN
DE
DIRECCIONES IP
2.5.1 SERVICIO DE ACCESO A INTERNET
Por políticas de seguridad todo funcionario tiene acceso a la web a través de un
Servidor Proxy que controla a través de políticas comunes para el uso del Internet,
de este se exceptúan a las autoridades. Para esto se registran nombres de usuario
y contraseña en un directorio activo, para poder acceder a los aplicativos permitidos
mediante la web.
2.5.2 SERVICIO DE ANTIVIRUS CORPORATIVO
La protección antivirus, anti-spam es gestionado a nivel corporativo se encuentra
instalado en un servidor Windows server 2008 y en cada una de los dispositivos a
través de un cliente. Las actualizaciones de la base de datos del antivirus se
realizan diariamente en el servidor y en los usuarios se lanzan automáticamente al
momento de iniciar sesión en la red.
87
2.5.3 SERVICIO DE VIDEO CONFERENCIA
Figura 2-20 Esquema de Videoconferencia
Es uno de los servicios más demandantes ya que transporta audio, video y
contenido HD. Las autoridades, gerentes y subgerentes a nivel nacional necesitan
estar comunicados constantemente, por lo que se realizan este tipo de reuniones a
88
diario. Para proceder con este servicio se posee una sala de 2048 kbps, dos salas
para más de 12 conexiones al mismo tiempo de 1024 Kbps, dos salas de 512 Kbps
que soporta hasta 8 conexiones al mismo tiempo y dos salas más de 384 Kbps que
soportan hasta 3 conexiones al mismo tiempo con dispositivos Polycom punto a
punto y multipunto según sea el caso.
El canal que se utiliza es el mismo de datos por lo que se vio la necesidad de ampliar
el ancho de banda con Guayaquil a 20 Mbps para evitar el retardo y la pérdida de
paquetes que se venía observando sobre todo en la réplica de las bases de datos
para contingencia.
2.5.4 SERVICIO DE CORREO ELECTRÓNICO
La administración y operación del servidor de correo electrónico está directamente
administrado por personal de la Subgerencia Nacional de Tecnologías de la
Información, todo usuario al ser registrado como funcionario o de apoyo dispone de
una dirección de correo electrónico este tiene como limitante el tamaño de buzón
de 200 Mb y de envió hasta 8 Mb.
El servicio de correo es perteneciente a IBM llamado Lotus Notes el cual corre en
un servidor físico provisto en el Data Center. Cada funcionario accede a través del
cliente instalado como aplicativo (en la intranet del edificio) o desde cualquier sitio
que tenga acceso a Internet (desde el exterior del edificio) de preferencia a través
del navegador Internet Explorer en el portal webmail.
También pueden acceder al correo y agenda a través de sus dispositivos
inalámbricos como celulares o tablets a través de un aplicativo llamado Lotus
Traveler.
El producto que se utiliza para el lado del servidor es IBM Lotus Domino y para el
lado cliente es IBM Lotus Notes.
2.5.4.1 Plataforma de Colaboración y Mensajería en la Entidad con Lotus
Con la finalidad de entender de mejor manera el alcance que tiene la
implementación de la plataforma de colaboración y mensajería en la entidad, se
exponen a continuación las funciones y características disponibles en la versión
actual y que son usadas por la Institución.
89
Correo electrónico. Este apartado hace referencia a la funcionalidad básica de
envío y recepción de mensajes de correo electrónico, manejo de agenda,
calendario y tareas.
Acceso web. El acceso al correo a través de un navegador de Internet se encuentra
habilitado en Domino y los usuarios que requieran trabajar de forma remota pueden
hacerlo gracias a este servicio.
Acceso remoto. En la actualidad, el uso de dispositivos móviles como celulares
inteligentes y tablets es muy común; para la integración de estos dispositivos con
la plataforma de colaboración y mensajería se utiliza la solución Lotus Traveler. Con
esta característica, la disponibilidad de los usuarios aumenta, permitiéndoles dar
respuesta más oportuna a los requerimientos de clientes tanto internos como
externos.
Multiplataforma. Desde la versión 8 de Lotus, la solución cuenta con clientes
nativos que soportan además de Windows, OS X, RedHat, SUSE y Ubuntu.
Además cuenta con algunas instalaciones sobre los computadores marca Apple
(OS X) de la Presidencia y del área de Mercadeo.
Uso de aplicaciones. Se utiliza aplicaciones desarrolladas en el entorno de Lotus
para asistir a los usuarios en sus funciones de negocio. Las aplicaciones a destacar
son:
·
Costeo ABC, a cargo del área de Subgerencia Nacional de
Presupuesto y Control; es usada por todos los funcionarios de la
empresa para la medición de esfuerzos en actividades institucionales.
·
Presupuesto, a cargo del área de Subgerencia Nacional de
Presupuesto y Control; es usada por dicha área y por los principales
encargados de las diferentes áreas de la Institución para el manejo y
control presupuestario de la empresa.
90
·
Cuentas de usuarios, a cargo de la Jefatura Nacional de Seguridad
Informática, usada por el área en cuestión para el control de las
cuentas de usuarios de la Institución.
·
Auditoría, a cargo del área de Auditoría Interna en uso de dicha área
para el manejo de órdenes de trabajo de la misma.
·
Mensajería. Para la comunicación interna a través de una solución de
‘chat’ colaborativo en línea, se utiliza la función de Lotus Sametime;
con ello se habilita la interacción entre los usuarios de la solución de
manera directa (cuando los usuarios están disponibles) permitiendo
una comunicación más fluida y dinámica.
Además de los temas expuestos sobre la funcionalidad de la solución de
colaboración y mensajería Lotus, es importante considerar otros factores que
complementan la solución instalada.
Arquitectura. La entidad cuenta con un esquema de contingencia para la
plataforma de colaboración y mensajería, al contar con esquemas de replicación
propios de la plataforma entre los dos servidores Lotus Domino, ubicados en las
oficinas principales de Quito y de Guayaquil. La configuración implementada
permite que, en caso de una contingencia, los usuarios de una oficina se conecten
al servidor de la otra oficina y viceversa; esto permite un trabajo ininterrumpido de
los usuarios en caso de un contingente mayor.
Integración. La solución del lado del servidor Lotus Domino está integrada con la
plataforma de aprovisionamiento y control de usuarios Novel IDM, que cuenta con
conectores propios desarrollados para su integración con Domino. Esta integración
permite mantener un alto nivel de seguridad para el cliente final al integrar sus
contraseñas de red con aquellas del correo.
Experiencia. El personal, tanto a nivel de usuario final como técnico, cuentan con
un alto nivel de experiencia sobre las herramientas Lotus; situación que ha facilitado
el adecuado uso de las mismas y la oportuna atención a requerimientos de soporte
técnico.
91
2.5.5 SERVICIO DE IMPRESIÓN Y ESCANEO
En el interior de la institución se tiene como política la instalación de una impresora
por área o departamento. Solamente en casos que no exista disponibilidad de
compartir una impresora entre varios funcionarios por actividades determinadas de
un funcionario como facturas, pagos, etc. se instalarán de manera personal.
Las
impresoras
de
red
son
instaladas
como
equipos
completamente
independientes, con dirección IP reservada en el servidor DHCP, y que incluso
cuentan con un segmento de red diferente al de los funcionarios, llamada
VLAN_PERIFERICOS, en algunos de los casos las mismas impresoras al ser
multifunción dan el servicio de escaneo de red por lo que se procede de igual forma
con estos dispositivos y se aplican a la misma política.
2.5.6 SERVICIO DE INTRANET
A través de la intranet se realizan algunas funciones, entre ellas la principal es el
registro de inconvenientes para soporte técnico y de red, así como la reserva de
salas de reuniones, equipos de video conferencia, dispositivos audiovisuales como
proyectores a través de la herramienta de mesa de servicio llamada HP Service
Manager, que corre sobre un servidor Windows Server 2008, para poder acceder
los permisos y claves de usuario son asignados mediante el departamento de
seguridad informática.
2.5.7 SERVICIO DE ARCHIVO
Al manejarse archivos comunes entre áreas, o formularios para el personal, se
maneja una unidad de red con varias carpetas pertenecientes a un área específica
con derechos de lectura y escritura acorde a los funcionarios que podrán hacer uso
de dicha información, estas son establecidas con una cuota y con permisos de
seguridad por grupos de usuarios.
2.5.8 SISTEMAS DE BASE DE DATOS
La gestión y almacenamiento de la información crítica de la institución se realiza
con servidores Oracle, SUN, e IBM, así como se realizan replicaciones hacia la
92
ciudad principal de Guayaquil, y existe distribución de paquetes a las demás
sucursales de los diferentes ambientes de producción cada que hay una
actualización.
2.6 SERVICIO DE NOMBRES DE DOMINIO Y ASIGNACIÓN DE
DIRECCIONES IP
Estos servicios se tiene una plataforma IPAM (IP Adress Managment) constituida
por varios equipos descritos más adelante en la Tabla 2-13, que proporciona el
mecanismo para la administración conjunta de direcciones IP, así como la
transformación de los nombres de host en direcciones IP y viceversa. Evitando la
duplicidad de direcciones, además proporciona una administración de los
dispositivos a través de sus MAC-Address y sus direcciones IP, permitiendo llevar
una base de datos con sus características, funcionalidad, marca, modelo y
localización a través del registro de los mismos, o detección al registrar el uso de
una dirección IP del segmento de red designado, indicando la duración de la sesión
del mismo.
Dentro de la institución se manejan varios bloques de segmentos de red:
·
Bloque interno
·
Bloque Temporal:(segmento anterior que se ha ido deshaciendo con la
implementación de VLANs)
·
Bloque de la DMZ
·
Bloque de Oficinas Regionales
La funcionalidad de esta plataforma, es la de proveer el servicio de asignación
dinámica de direccionamiento IP DHCP (Dynamic Host Configuration Protocol), a
los equipos de cómputo (servidores, estaciones de trabajo, impresoras, equipos de
video conferencia, lectores biométricos, entre otros).
Adicionalmente, esta plataforma provee también el servicio de resolución de
nombres DNS (Domain Name System), el cual sirve para resolver nombres en las
redes, es decir, permite el uso de nombres en vez de la dirección IP para el acceso
93
a los servidores, aplicativos web internos y
portales web que se dispone vía
Internet.
Equipo
BlueCat
Ubicación
Networks 1 Quito
Networks 2 Quito
Appliance: Servicios de DNS y DHCP
2 Guayaquil
Adonis 800
BlueCat
Appliance: Servicio de administración
y control del IPAM
Proteus 3300
BlueCat
Detalle
Networks 1 Quito
Appliance, Servicio de DNS externo
(Hidden Master)
Adonis XMB2
Tabla 2-13 Equipos de IPAM
La plataforma de IPAM (IP Address Management), que dispone la entidad está
compuesta de dos capas cuyo diagrama lógico se puede observar en la Figura 2-21:
a) la capa de administración y control, y
b) la capa de servicios, las cuales deben estar operando de manera adecuada para
garantizar un apropiado nivel del servicio de esta herramienta.
Figura 2-21 Esquema Lógico de la Plataforma IPAM
94
2.7 EQUIPOS TERMINALES
En las oficinas se tienen equipos terminales en su mayoría PC de escritorio,
seguidas por las laptops institucionales, dispositivos PDA’s, impresoras y
escáneres.
Las computadoras asignadas a los funcionarios son de uso personal y tareas de
oficina así como destinadas a utilizar los recursos de red consumiendo servicios de
los servidores disponibles; están distribuidas entre 495 PC de escritorio y 140
laptops asignadas, con arquitectura Intel, a la red se conectan a través de sus
tarjetas de red o NIC (Network Interface Card) de las máquinas más antiguas a
10/100 Mbps y de las más nuevas a 10/100/1000 Mbps. Cuentan con un sistema
operativo en su mayoría XP service pack 3, y las máquinas laptop recientemente
entregadas con Windows 8. Las impresoras son compartidas dentro del área, entre
todas ellas hacen un total de 150, en su mayoría son de marca HP al igual que los
escáneres que son apenas 30.
2.8 ADMINISTRACIÓN DE RED
El área correspondiente a la subgerencia de infraestructura de TI es la responsable
de la gestión de las aplicaciones, servidores y dispositivos de red. La red se
encuentra constantemente monitoreada y supervisada para garantizar el
funcionamiento, confiabilidad y disponibilidad.
Para esto se utiliza la herramienta de CA Spectrum, la cual permite modelar los
equipos de la red activos mediante configuración SNMP, lo cual mantiene un
registro de eventos en cada uno de ellos, categorizados desde alarmas menores
hasta críticas, permitiendo así la solución de problemas a tiempo.
La misma herramienta permite tener un monitoreo del tráfico generado en la red, o
en una interfaz de un equipo en específico. Por lo que se utiliza esta herramienta
para el monitoreo del ancho de banda, no solo correspondiente a la LAN, sino
prioritariamente con la Matriz y Sucursales a nivel del enlace WAN para ver que no
se afecte el funcionamiento normal de los demás aplicativos.
Para la conectividad con la WAN o enrutamiento, la red corporativa contiene un
esquema de enrutamiento estático descrito en la Tabla 2-14.
95
Localidad
Clase de red
Detalle
Quito
10.20.0.0/24
Se encuentra configurado una red por
cada VLAN, con asignación dinámica
Guayaquil
10.30.0.0/24
Se encuentra configurado una red por
cada VLAN, con asignación dinámica
Oficinas regionales
192.168.x.x/24
Con asignación manual
Direccionamiento
público
DMZ-Quito
DMZ-Guayaquil
186.46.120.0/25 Dividido en 128 host para Quito y 128
host para Guayaquil, con asignación
manual
172.16.1.0/27
32 host
172.16.2.0/27
32 host
Tabla 2-14 Distribución actual del direccionamiento IP
Sucursal
Subred
Mascara
Gateway
Esmeraldas
192.168.6.0
255.255.255.0
192.168.6.254
Ibarra
192.168.5.0
255.255.255.0
192.168.5.254
Latacunga
192.168.9.0
255.255.255.0
192.168.9.254
Ambato
192.168.0.0
255.255.255.0
192.168.0.254
Riobamba
192.168.7.0
255.255.255.0
192.168.7.254
Loja
192.168.4.0
255.255.255.0
192.168.4.254
Cuenca
192.168.2.0
255.255.255.0
192.168.2.254
Machala
192.168.8.0
255.255.255.0
192.168.8.254
Salinas
192.168.12.0 255.255.255.0 192.168.12.254
Manta
192.168.3.0
255.255.255.0
192.168.3.254
Tabla 2-15 Distribución Direccionamiento IP Sucursales
Las rutas definen el curso del paquete y se encuentran configuradas por los
proveedores de servicios, según el direccionamiento IP acordado con un esquema
de alta disponibilidad.
96
Actualmente se ha migrado el direccionamiento IP, en la mayoría de los equipos,
quedando pendiente tan solo algunos servidores considerados como críticos, de
los cuales se tiene previsto su migración en el mediano plazo.
El direccionamiento IP en la institución es de tipo privado, las redes asignadas a
cada una de las oficinas regionales se describen anteriormente en la Tabla 2-15.
2.9 MANEJO DE LA IDENTIFICACIÓN Y AUTENTICACIÓN
2.9.1 NOVELL E-DIRECTORY (SERVIDORES UIO41, UIO42)
El directorio de red corporativa es eDirectory – Novell, el cual soporta el protocolo
estándar de acceso a directorios LDAP. En base a este directorio se realiza la
autenticación de usuarios para el uso autorizado de los diferentes servicios y
aplicaciones disponibles en la red de datos, los principales servicios habilitados son:
·
Autenticación a la red corporativa
·
File System: carpetas-archivos compartidos
·
Autoservicio de contraseñas, Single Sign-On
2.9.2 NOVELL IDENTITY MANAGER – IDM (SERVIDORES UIO81, UIO65)
La administración de seguridades lógicas en la mayoría de aplicaciones de la
entidad se la realiza en forma centralizada, mediante el manejo seguro de
identidades con la aplicación Novell Identity Manager – IDM.
El sistema IDM está basado en web e implementado en un repositorio central de
identidades (LDAP) como muestra la Figura 2-22.
Figura 2-22Mediante un motor de sincronización, cada directorio y base de datos
que requiere integrarse se conecta al repositorio central utilizando un conector
apropiado y se establecen unas reglas de negocio que serán aplicadas por la
conexión, permitiendo que la información ingresada sobre los usuarios en el
eDirectory se propague automáticamente a los demás sistemas garantizando la
consistencia de la información.
97
Complementariamente, el sistema IDM permite entre otros: reducir la carga de
trabajo manual, mejorar el modelo de aprovisionamiento (reducción de tiempos y
riesgos), implementar la automatización de las reglas del negocio para administrar
el ciclo de vida de la identidad en ambientes informáticos heterogéneos, simplificar
el acceso de los usuarios a las distintas aplicaciones y recursos de red, por medio
de un acceso único.
Novell Identity Manager
Usuario
Interno en
Directorio
Corporativo
Directorio LDAP
Repositorio IDM
(Metadirectorio)
Directorio Activo
(Corporativo)
Novell OES
COBIS
PCIE’s
Lotus Domino
Intranet
Sis. Op.
(Windows-Unix)
Control
Minder
Momenclatura
Aprovisionamiento .
SSL VPN
HP Service
Manager
Detectart
Identity Guard
Administración
De Bienes
Riesgo
Operativo
Sincronización de contraseña .
Autenticación de usuarios .
Fortinet
Figura 2-22 Esquema de IDM
2.10 ACUERDO DE NIVEL DE SERVICIO
Acuerdos de nivel de servicio o SLA, son los contratos donde se estipulan los
niveles a los que un servicio en función de objetivos y parámetros son establecidos
por mutuo acuerdo entre el ISP y el cliente, reflejando contractualmente el nivel
98
operativo de funcionamiento, dando por sentado penalizaciones y sanciones por la
falta de servicio, la calidad de servicio se mide en tiempo de respuesta,
disponibilidad horaria, documentación disponible, personal de servicio técnico
asignado, etc.
Con estos se logra definir objetivos (generalmente anuales) para mejorar la eficacia,
reducir costos. Dando como resultado una planificación adecuada que optimice los
procesos para tener un punto de referencia para mejorar continuamente el negocio
y mejorar los índices de calidad.
Para una mejor apreciación de los incidentes que pueden obtenerse y dar solución
se estiman categorías en base a la urgencia y de acuerdo a esta el tiempo de
respuesta.
En base a los lineamientos definidos en las “mejores prácticas” de la industria se
ha previsto la gestión de los servicios de TI, para lo cual en primer lugar es
fundamental disponer de la gestión y monitoreo de los componentes de
infraestructura físicos y de software base.
Una vez establecidos los componentes el esquema de monitoreo, estos deben ser
asociados a los servicios a los cuales brindan soporte, para de esta manera
establecer una capa para gestión de servicios de TI, a los cuales se les pueda
asociar “Acuerdos de Nivel de Servicio” (SLA).
Figura 2-23 Esquema de SLA
99
En la Figura 2-23 anterior se incluye un esquema de gestión, el mismo que ha sido
implementado en la entidad financiera.
La entidad se apoya en soluciones de software de CA (Spectrum), para el monitoreo
de los servicios informáticos y de su infraestructura base. Este software fue
adquirido por la Institución en el año 2011. El software en mención permite la
administración proactiva de la infraestructura de redes, enlaces de comunicaciones,
servidores y bases de datos de las oficinas en Quito y Guayaquil; logrando la
visualización de la disponibilidad de los servicios de TI y ayudando a la pronta
detección y corrección de errores gracias a la emisión de alertas en tiempo real.
La suite CA Spectrum dispone de las funcionalidades a continuación descritas en
la Tabla 2-16 y la categorización de los eventos que informa según su criticidad se
describen en la Tabla 2-17:
Componente
Funcionalidad
CA Infrastructure
Gestión de la configuración, capacidad, monitoreo,
Management
disponibilidad e incidentes para la infraestructura de TI
(Spectrum, eHealth y
(switches, sistemas de almacenamiento, dispositivos
NetQos
de red, dispositivos de seguridad)
ReportAnalyzer)
CA Virtual Assurance
Gestión de la configuración, capacidad, monitoreo,
for Infrastructure
disponibilidad e incidentes para la infraestructura Blade
Managers
y virtualizada (HP Blade C7000, VMWare)
CA Database
Gestión de la configuración, capacidad, monitoreo, de
Performance for
bases de datos
Infrastructure
Managers
CA System
Gestión de la configuración, capacidad, monitoreo,
Performance
disponibilidad e incidentes para la infraestructura de
Infrastructure
servidores (Solaris, Linux, Windows)
Managers
100
CA
Application Gestión del rendimiento de aplicación .Net
Performance
Manager
CA Service Manager
Gestión de servicios de TI
Tabla 2-16 Funcionalidades de la Herramienta de Monitoreo
Urgencia Categorización
Definición
Niveles
de
Servicio
Critica
Sistema
Cuando
el
Cliente
reporte Tiempo
vulnerable
encontrarse bajo una situación máximo
de
de ataque informático y/o bajo respuesta 15
una violación de seguridad que minutos
ponga en peligro el entorno
productivo.
Cuando
todo
el
Entorno
Productivo presente fallas o deje
de funcionar.
Cuando todos los dispositivos de
red no puedan operar.
Cuando
una
red
pierda
totalmente conectividad con otra
como por ejemplo el Internet o
enlace WAN.
Alta
Sistema
Cuando funciones importantes Tiempo
Degradado
en
el
entorno
productivo máximo
funcionen de manera inestable respuesta
pero existan otras funciones que hora
lo hagan normalmente.
Cuando un grupo acotado de
usuarios no pueda utilizar una
función del entorno productivo.
de
1
101
Cuando
una
red
pierda
parcialmente su conectividad con
otra red, pero tenga conectividad
con el entorno productivo.
Media
Sistema
Cuando ocurran fallas en el Tiempo
degradado
funcionamiento
aleatoriamente
productivo de forma aleatoria e respuesta
del
entorno máximo
inconstante.
de
2
horas
Cuando existan problemas de
performance
en
el
entorno
productivo que aun permitan la
utilización de las funciones del
mismo.
Cuando este afectado el servicio
a un porcentaje igual o menor al
10 % de la totalidad de usuarios.
Baja
Sistema
degradado
no Cuando el funcionamiento pleno Tiempo
del entorno productivo requiera máximo
de la finalización de una solicitud respuesta
de
4
de pedido, pero sus funciones horas
pueden ser utilizadas por todos
los usuarios.
Cuando existan problemas que
podrían estar relacionados con
los servicios contratados pero no
afecta el entorno de producción.
Tabla 2-17 Niveles de Servicio y Categorización de Incidentes
2.11 ANÁLISIS DE TRÁFICO
Para el análisis del tráfico basado en la utilización del ancho de banda de los
enlaces, se hace uso de la herramienta CA Spectrum que sirve para monitorizar en
tiempo real el consumo del ancho de banda de los enlaces WAN, interfaces de los
102
equipos como ruteadores, switches y servidores accesibles a través del protocolo
SNMP además de otros datos proporcionados por esta herramienta con su módulo
del NQ Analizer para ejecución de reportes.
Los enlaces WAN monitorizados son los comprendidos entre Quito y Guayaquil.
Así como cada sucursal hacia la matriz y la sucursal mayor respectivamente. Cada
uno de estos tiene redundancia en sus enlaces comprendidos con un enlace
principal proporcionado por CNT y el de Backup por Level 3.
Para el acceso a Internet se realiza a través de otro ruteador uno para Quito y otro
para Guayaquil. Las sucursales salen a través de sus ruteadores independientes.
Figura 2-24 Enlaces WAN
103
2.11.1 ENLACE WAN QUITO –GUAYAQUIL
Se realiza el estudio en este canal de comunicaciones sobre niveles de consumo
del ancho de banda, servicios que circulan por este canal, aplicaciones que lo
utilizan, ya que es de carácter fundamental para la red de la entidad financiera por
todo el tráfico que atraviesa con la información de sucursales, así como el de las
transacciones de bases de datos y los aplicativos que se distribuyen entre los
equipos principales de la ciudad de Quito y sus respectivos backups en la ciudad
de Guayaquil, este enlace posee una capacidad de 20 Mbps con característica
redundante.
Refiérase a los Anexos A, B, C, D y E: Muestra las aplicaciones del enlace Quito –
Guayaquil del período de Septiembre-Noviembre del 2013, como muestra previa
para determinar cuál es el componente que más usa el canal para aplicar técnicas
de calidad de servicio y priorización de paquetes para las aplicaciones sensibles
como lo es la videoconferencia, la cual es uno de los aplicativos que sirvió de motivo
para el desarrollo del proyecto.
En dichas gráficas podemos apreciar el volumen de entrada y salida de datos
durante el periodo analizado y las aplicaciones que más se utilizan a través del
enlace, dando como resultado que en el transcurso del día el canal es
suficientemente capaz de soportar las aplicaciones y el tráfico que circula por él.
Las réplicas de bases de datos se programan para ser realizadas durante el periodo
no laboral para liberar el espacio ya que ocupa un total de 10 a 12 Gb del canal
durante un lapso de 6 horas, así mismo se puede concluir, que el servicio de
consulta a las bases de datos consume recursos y un importante porcentaje del
canal.
Si realizamos un análisis más profundo, vemos que lo más utilizado es el correo
electrónico, evidenciando el uso de éste, tanto en los resúmenes mensuales como
semestrales, esta utilización es a nivel WAN como LAN independientemente de la
ciudad, por lo que se concluye que es uno de los recursos más utilizados.
Los servicios de acceso a la red, autenticación y control que corren en segundo
plano tienen un consumo racional pero importante a nivel de autenticación, ya que
este proceso se realiza automáticamente cada dos horas para monitorear la red y
poder acceder a las unidades respectivas dispuestas para cada área.
104
Para esta solución podemos evidenciar que la facilidad de tener el correo
electrónico y la videoconferencia disponible en dispositivos móviles, facilitaría
enormemente el trabajo de la gente ya que agiliza el tiempo de respuesta y acción
sobre estos aplicativos independientemente de donde se encuentre. Otro de los
servicios que más se utiliza es el del acceso a Internet por lo que a nivel de
dispositivos móviles este tiene que ser controlado, como se lo hace a nivel de la red
cableada, para lo cual es necesario tener en cuenta la planificación de listas de
control de acceso, autenticación MAC, y otras formas de seguridad para la red
inalámbrica ya que puede ser uno de los puntos más sensibles para la institución si
no se lo controla a tiempo.
2.11.2 TRÁFICO GENERADO EN LA LAN DE QUITO
Se analiza el tráfico generado en la red LAN a través de los puertos del switch de
core para establecer el consumo del ancho de banda generado y revisar si el nivel
de procesamiento de los equipos están dentro de los parámetros razonables para
soportar la carga extra que generaría el servicio inalámbrico.
Si realizamos el análisis comparativo que arrojan los gráficos de la Figura 2-25 y de
la Figura 2-26;
se puede observar que aunque el primero tiene un nivel de
procesamiento más alto, los dos tienen un consumo bajo para la capacidad total de
los mismos, así mismo su capacidad conjunta hace que no sea necesario realizar
una potenciación del mismo a nivel de hardware o software, ya que cumplirá a
cabalidad el número de transacciones y solicitudes que se pueden generar en un
tiempo de respuesta adecuado.
105
Figura 2-25 Análisis de Tráfico del Switch de Core_ Nodo1
Tabla 2-18 Resumen de estadísticas del Switch de Core_Nodo1
106
Figura 2-26 Análisis de tráfico del Switch de Core_Nodo2
Tabla 2-19 Resumen de estadísticas del Switch de Core_Nodo2
107
2.11.3 PROTOCOLOS MÁS UTILIZADOS
De acuerdo a los datos del semestre analizado que se puede observar en los
Anexos F y G, los recursos que más consumo tienen son los procesos de acceso
vía NCP (NetWare Core Protocol) el cual es usado para una variedad de tareas
tales como: acceso a servidores, recursos como sincronización, así también la
compartición de archivos dentro de la red. Seguido del protocolo que permite la
comunicación con las bases de datos y la transferencia de datos en la intranet, LAN,
WAN e incluso el Internet. En seguida estaría el consumo por parte al acceso de
VPN’s que se tiene hacia otras instituciones financieras, desde la LAN de la
institución. El Correo electrónico, la navegación, la transferencia de datos mediante
FTP (File Transfer Protocol), serían los que siguen. En base a estos resultados, se
confirma lo expuesto anteriormente sobre los servicios y las aplicaciones brindadas
a través de la red interna a los funcionarios de la entidad.
2.12 REQUERIMIENTOS
Y
JUSTIFICACIÓN
DE
LA
RED
INALÁMBRICA
El alcance del presente proyecto es proporcionar el servicio de red inalámbrica en
la oficina principal Quito, para solventar el inconveniente de conexión a la red. Como
antecedente se tiene que siendo un edificio antiguo y no haber contado con un
diseño de cableado estructurado con un análisis de crecimiento apropiado para el
desarrollo de la institución, el tener acceso a la red a venido siendo últimamente
uno de los más grandes y costosos inconvenientes, ya que la institución no cuenta
con personal para realizar labores de este tipo.
Se ha constatado que los requerimientos con respecto al cableado, debido al
cambio de áreas, ingreso de personal nuevo, reestructuración arquitectónica, ha
venido a ser uno de los más demandantes, mismo que al tener que esperar porque
se realice mediante contrataciones externas, se tarda entre uno y dos días
laborables en reparar o generar nuevos puntos de red, siempre y cuando este el
contrato vigente. Así mismo, si este no es el caso, el tiempo mínimo de espera
asciende a un mes, lo que implica una pérdida de tiempo de producción efectivo
bastante alta; ya que la reubicación y habilitación de un nuevo punto de red de
108
acuerdo con el pedido de cada área siempre es emergente al ser prioritario para el
usuario final, generando así malestar.
Por lo tanto, mediante este proyecto el inconveniente se puede solventar brindando
al usuario una segunda opción de acceso a la red con las mismas credenciales y
seguridades que brinda la red cableada.
Adicionalmente, las salas de reuniones, salas de juntas, salas de videoconferencia
y auditorios tienen la necesidad de contar con este servicio, ya que al no disponer
en muchos de los casos tan solo un par de puntos de red en ellas, se evitaría la
puesta en cascada de switches de 8 puertos temporales y/o routers de acceso
inalámbrico, sin ninguna seguridad para la institución que actualmente brindan este
servicio temporalmente en eventos públicos.
Cabe indicar que por parte de los organismos de control a los que es sometida la
institución, una de las observaciones obligatorias a ser cumplidas fue precisamente
la correcta adecuación de equipos inalámbricos y de la estructura de acceso que
posee la institución para brindar el acceso a la red con mayor seguridad, control y
administración de la misma.
Por otro lado, se puede rescatar como otra de las ventajas de llevar a cabo el
proyecto, el poder incorporar de acuerdo con las nuevas tendencias los dispositivos
inalámbricos personales, así como los institucionales.
Para cumplir con los requerimientos inicialmente se había diseñado un esquema
de solución redundante de manera local, pero durante el proyecto y de ver la ventaja
que proporciona, la alta gerencia realizó el pedido de expandir esta solución a la
matriz, donde las autoridades pasan la mayoría del tiempo, teniendo como base el
mismo presupuesto; por lo que se optó por brindar el servicio en función de la alta
disponibilidad y redundancia a nivel geográfico.
Este cambio en la topología convirtió en puntos clave a los switches de Core de las
oficinas mencionadas, así como también al enlace WAN establecido entre ellas, por
lo cual es necesario instalar tarjetas controladoras inalámbricas que permiten
centralizar la gestión y configuración de los puntos de acceso, para así proporcionar
el acceso del personal, invitados, clientes, asesores y las mismas autoridades;
desde cualquier ubicación que se encuentre, dentro del área de cobertura de interés
para la institución, donde se mejore su productividad brindando una solución
económica e idónea para la implementación de la red inalámbrica.
109
CAPÍTULO 3
3. DISEÑO E IMPLEMENTACION DE LA SOLUCIÓN
PROPUESTA
3.1 ANTECEDENTES
La institución financiera en su aspiración de buscar la integración de las
comunicaciones, garantizando características de seguridad informática sin perder
la de movilidad. Así como también gestionar y controlar los usuarios inalámbricos
vinculados a la institución, los usuarios externos o invitados, con sus debidas
restricciones. Ha dado paso al proyecto de la red inalámbrica planteado de acuerdo
a los requerimientos y dimensionamientos realizados en el capítulo anterior.
WRLSCORPIN
WRLSCORPUS
WRLSCORPPR
WRLSCORPPD
WRLSCORPAU
PISO 20
QUITO
eDirectory
PISO 16
ACS RADIUS
WRLSCORPIN
WRLSCORPUS
WRLSCORPPR
WRLSCORPPD
10.20.22.27
PISO 10
WLC – WiSM2
VSS
10.20.2.50
RED WAN
PISO 3
WLC – WiSM2
VSS
10.30.2.17
WRLSCORPIN
WRLSCORPUS
WRLSCORPPR
WRLSCORPPD
WRLSCORPAU
PISO 2
GUAYAQUIL
PISO 1
Figura 3-1 Diseño de Red WLAN
WRLSCORPIN
WRLSCORPUS
WRLSCORPPR
WRLSCORPPD
110
Se puede apreciar la definición de la arquitectura lógica y física de la solución
resumidamente en la Figura 3-1 y el detalle de los equipos necesarios en la Tabla
3-2; donde se puede observar la distribución de los puntos de acceso entre los pisos
brindando una cobertura superior e inferior a ellos, pero de prioridad en el piso
donde se encuentran.
Al tener una distribución geográfica se puede apreciar que la sincronización y la
alta disponibilidad de las controladoras inalámbricas que formaran parte de los
swiches de core de la institución, dependerá de la disponibilidad del enlace WAN
entre la ciudad de Quito y Guayaquil. Además, se aprecia que como un método de
autenticación para la seguridad de la red se enlazará un Radius al directorio
(eDirectory) de la institución. Esté cambio en el diseño permite abaratar los costos
y mantener operativa la red, dando así cumplimiento a la solicitud de las autoridades
de mantener la movilidad de sus equipos tanto en Quito como Guayaquil. Un
resumen de los beneficios que otorga el diseño se detalla en la Tabla 3-1.
Características del Diseño
Alta
Se proporciona a la infraestructura el funcionamiento sin
Disponibilidad
interrupción, ya sea a nivel de red, almacenamiento y
compartición de información.
Redundancia
Se proporciona a la infraestructura la tolerancia a fallas, por lo
que se deben considerar equipos en esquema de backup y
clúster a nivel de servicios.
Escalabilidad
Se proporciona a la infraestructura la capacidad de adaptación
al crecimiento continuo a nivel particular y regional.
Integridad
Se presenta como garantía de que el contenido viaje sin
alteración, perdida o interrupciones entre el emisor y el
receptor.
Tabla 3-1 Criterios de Diseño Generales
111
Para evitar errores en los cálculos de ancho de banda30 y cantidad de equipos a
usar, se realizó previamente un site survey pasivo y activo, ya que proveen
información de lo que ocurre con el espacio de radio frecuencia alrededor de las
instalaciones, y con estos datos se da una mejor ubicación y configuración de los
puntos de acceso inalámbrico.
Así mismo, se planteó como alcance para una siguiente etapa la conexión con las
sucursales, por lo que los requerimientos de la infraestructura se dimensionaron
para solventar los cambios necesarios en esta etapa futura ya que deben ser de
bajo costo e impacto.
Equipos mínimos necesarios
Controladoras
para
Cantidad y Justificación
adaptación
al 2 para poder cumplir con la alta
switch de Core CISCO 6509
disponibilidad y redundancia.
Puntos de Acceso para interiores con Al menos dos por piso para asegurar
cobertura, que debe confirmarse con
soporte 802.11n y posteriores
site survey.
Antenas para los AP
Deben manejar las dos bandas de
frecuencia soportadas por el estándar
2.4 GHz y 5 GHz
Tabla 3-2 Requerimientos de Equipos Mínimos Necesarios
3.2 CONSIDERACIONES PARA EL DISEÑO
3.2.1 DETERMINACIÓN DE USUARIOS BENEFICIARIOS DE ESTE SERVICIO
La cantidad de usuarios que van a utilizar los servicios prestados por la WLAN es
de
30
carácter
considerable,
estos
en
realidad
Entiéndase para el efecto como capacidad de canal
no
son
estáticos
varían
112
constantemente, por lo que se debe realizar una aproximación y basarnos en el
crecimiento del personal en base a datos proporcionados por la institución, este
detalle se observa en la Tabla 3-3.
Como base para este dimensionamiento se tomó el análisis de la red actual
alámbrica.
En los últimos meses debido a varios cambios en el edificio se han tenido que
reacomodar espacios, incrementado el número de personas por piso, por lo que, el
número de puntos de red ha venido variando constantemente.
Primero determinaremos el incremento de personal en los últimos años para el perfil
de crecimiento, en proyección a los futuros 5 años.
CANTIDAD DE EMPLEADOS EN LOS DIFERENTES PERIODOS DE LA
INSTITUCIÓN
AÑO
UIO
GYE
SUC
TOTAL
Datos
entregados
por la
institución.
Datos
Actuales
Datos
Proyectados
2009
306
300
122
728
2010
322
300
125
747
2011
355
302
85
742
2012
350
352
67
769
2013
495
340
125
960
2014
635
557
177
1369
2015
670
588
187
1444
2016
707
620
197
1523
2017
745
654
208
1607
2018
786
690
219
1695
2019
830
728
231
1788
2020
875
768
244
1887
Tabla 3-3 Períodos de Crecimiento del Personal
ଵ
ܲ‫ ݁ݐ݊݁ݏ݁ݎ‬ቀ௡ቁ
‫ ݋ݐ݊݁݅݉݅ܿ݁ݎܿܽݏܽݐ‬ൌ ൬
൰ െͳ
ܲܽ‫݋݀ܽݏ‬
‫ ݈ܽݑ݊ܽ݋݅݀݁݉݋ݎ݌݋ݐ݊݁݅݉݅ܿ݁ݎܿܽݏܽݐ‬ൌ
ܶܽ‫݋ݐ݊݁݅݉݅ܿ݁ݎܥ݁݀ܽݏ‬
݊‫ݏ݋݀݋݅ݎ݁݌‬
113
Proyección Estimada De Crecimiento de
Personal
2000,0
1800,0
1600,0
1400,0
1200,0
1000,0
SUC
800,0
GYE
600,0
UIO
400,0
200,0
0,0
Figura 3-2 Proyección Crecimiento del Personal
3.2.2 APLICACIONES QUE VAN A CIRCULAR POR LA RED INALÁMBRICA
La red inalámbrica tiene como objetivo brindar los mismos beneficios que brinda la
red LAN cableada por lo que los servicios detallados en el capítulo anterior estarán
disponibles en esta red. Según los datos arrojados en el análisis de tráfico las
aplicaciones que se utilizarían más son correo electrónico, salida de acceso a
Internet con proxy, control remoto y video conferencia.
3.2.3 ANCHO DE BANDA REQUERIDO
3.2.3.1 Correo Electrónico
Para dimensionar el consumo del AB para el correo electrónico, basándome en que
por medio de este servicio está permitido enviar texto plano, archivos en formato
PDF, OFFICE, imágenes, etc. limitados a los 8 MB.
Ya que todos los usuarios tienen instalados los mismos aplicativos estandarizando
versiones, esto nos ayuda a sacar un promedio de archivo enviado por correo
114
electrónico para lo cual me baso en mi casilla personal de correo institucional
adquiriendo información que se encuentra detallada en la Tabla 3-4, sobre el
tamaño de archivos PDF de escaneo, de memorandos, informes técnicos,
contratos, que son los documentos que más circulan.
Además, en el histórico del correo sacamos unas estadísticas para calcular cuánto
nos consume por mes en los diferentes períodos del año por lo que podemos
apreciar en la Figura 3-5 el compendio de los meses entre el año 2013 y 2014 en
donde se evidencia el crecimiento del uso de este servicio lo cual se especifica en
la Figura 3-3 correspondiente al análisis del año 2013 y en la Figura 3-4 el análisis
respectivo del año 2014.
Documento
Min
Max
117 KB
3853 KB
Word
55 KB
90 KB
Excel
1008 KB
1400 KB
Power Point
541 KB
4511 KB
Project
77 KB
956 KB
PDF
291 KB
716 KB
Imagen
3 KB
17 KB
Mail de respuesta
2092 KB 11543 KB
Total
298,85 KB 1649 KB
Promedio
973,925 KB
Promedio total
Tabla 3-4 Tamaños Promedio de un Correo Electrónico
Figura 3-3 Ancho de Banda e-mail año 2013
115
2013
184,3176471
AGOSTO
Total
JULIO
86,30232558
JUNIO
241,6470588
MAYO
167,9302326
ABRIL
152,9130435
MARZO
96,78787879
ENERO
192
67,74074074
DICIEMBRE
FEBRERO
50,83333333
NOVIEMBRE
OCTUBRE
JULIO
84
231,4
KBYTES
HISTORIAL DE CONSUMO DE CORREO
ELECTRÓNICO
1022,026316
Figura 3-4 Ancho de Banda e-mail año 2014
ANCHO DE BANDA
2014
Figura 3-5 Historial de Consumo de e-mail
Como podemos apreciar el consumo de ancho de banda por parte del correo
electrónico empresarial es considerable debido al uso en crecimiento que se ha
venido dando en la Figura 3-5, Figura 3-3 y Figura 3-4 se evidencia este consumo
basado en la casilla de correo electrónico personal donde además de demostrar
116
que no es periódico el crecimiento es evidente y se mantiene al alza debido a las
facilidades que se ofrece para compartir información a través de este servicio.
Para el cálculo del tamaño del correo a través de la red, se debe considerar el
encapsulamiento de las capas que atraviesa. [1]
Tamaño =Aplicación+TCP+IP+Subcapa MAC
Consideraremos el peor caso, enviar varios archivos de las diferentes
características.
ܶܽ݉ܽÓ‫ ݋‬ൌ ͻ͹͵ͻʹͷܾ‫ ͳ͵ݏ݁ݐݕ‬൅ ͶͲܾ‫ ݏ݁ݐݕ‬൅ ʹͲܾ‫ ݏ݁ݐݕ‬൅ ͵Ͷܾ‫ ݏ݁ݐݕ‬ൌ ͻ͹ͶͲͳͻܾ‫ݏ݁ݐݕ‬
‫ ܤܣ‬ൌ ‫ܽ݉ܽݐ‬Ó‫ ݋‬ൈ
ͳ݄
ͺܾ݅‫ݏ݋݁ݎݎ݋ܿ݊ ݏ݁ݐ‬
ൈ
ൈ
ͳ݄‫ܽݎ݋‬
͵͸ͲͲ‫ݏ‬
ͳܾ‫݁ݐݕ‬
Basándome en el buzón de correo he recibido un total de 10 correos que ocupan el
canal en una hora.
‫ ܤܣ‬ൌ ͻ͹ͶǡͲʹ‫ ݏ݁ݐݕܾܭ‬ൈ
ͺܾ݅‫ݏ݋݁ݎݎ݋ܿͲͳ ݏݐ‬
ͳ݄
ൈ
ൈ
ൌ ʹͳǤ͸Ͷ‫ݏ݌ܾܭ‬
ͳܾ‫݁ݐݕ‬
ͳ݄‫ܽݎ݋‬
͵͸ͲͲ‫ݏ‬
Considerando que en el edificio existen 140 laptops asignadas y considerando el
peor escenario, ya que todos poseen un correo electrónico que se crea al momento
del ingreso como miembro de la entidad financiera, el total del consumo de AB será:
‫ܤܣ‬ெ௔௜௟ି௉஼ ൌ ʹͳǤ͸Ͷ‫ ݏ݌ܾܭ‬ൈ ͳͶͲ ൌ ͵ǤͲͻ‫ݏ݌ܾܯ‬
Considerando que en el edificio existen 107 usuarios autorizados a usar equipos
móviles y considerando el peor escenario ya que todos poseen un correo
electrónico que se crea al momento del ingreso como miembro de la entidad
financiera, el total del consumo de AB será:
31
Valor tomado del promedio total de un correo electrónico, basado en la casilla personal.
117
‫ܤܣ‬ெ௔௜௟ିெ௏ ൌ ʹͳǤ͸Ͷ‫ ݏ݌ܾܭ‬ൈ ͳͲ͹ ൌ ʹǤ͵ͳ‫ݏ݌ܾܯ‬
‫ܤܣ‬ெ௔௜௟ ൌ ‫ܤܣ‬ெ௔௜௟ି௉஼ ൅ ‫ܤܣ‬ெ௔௜௟ିெ௏
‫ܤܣ‬ெ௔௜௟ ൌ ͵ǤͲͻ‫ ݏ݌ܾܯ‬൅ ʹǤ͵ͳ‫ ݏ݌ܾܯ‬ൌ ͷǤͶ‫ݏ݌ܾܯ‬
3.2.3.2 Internet
La navegación para todo funcionario excepto autoridades es a través de un proxy
que controla la navegación con políticas de acceso las cuales limitan la navegación
a varios sitios web.
Para análisis del tráfico de este consumo, en la red inalámbrica se ha establecido
que se deben aplicar las mismas políticas para los usuarios que no sean asignados
a la red de autoridades que será la única que maneje un esquema abierto hacia el
Internet.
Las páginas visitadas con frecuencia se toman del firewall de la empresa el tamaño
promedio es de 576.258 Kbps con un tiempo de descarga promedio de 20
segundos.
‫ܤܣ‬௪௘௕ ൌ
ͳ‫ ݃ž݌‬ͺܾ݅‫ݏݐ‬
ͷ͹͸Ǥʹͷͺ
‫ ݏ݌ܾܭ‬ൈ
ൈ
ൈ ͳͶͲ ൌ ͵ʹǤʹ͹Ͳ‫ݏ݌ܾܯ‬
ʹͲ‫݁ݐݕܤͳ ݃݁ݏ‬
ͳ‫݃ž݌‬
Según las aplicaciones que están permitidas para consumo como Skype se sabe
que consume de 24 a 128 Kbps en una llamada [9].
Si promediamos este consumo, en el peor de los casos serían 140 llamadas al
mismo tiempo.
‫ܤܣ‬ௌ௞௬௣௘ ൌ ͳʹͺ‫ ݏ݌ܾܭ‬ൈ ͳͶͲ ൌ ͳ͹ǤͻʹͲ‫ݏ݌ܾܯ‬
3.2.3.3 Video Conferencia
De las 140 Laptops existentes en la empresa, 50 son utilizadas para video
conferencia y disponen del cliente Polycom Real Presence Desktop for Windows.
Las especificaciones del producto indican que para audio utiliza los siguientes
códec: G711U, G711A, G719, G722.1, G722.1C; para video: H.264, H264 SVC,
118
H264 High Profile, H261/H.263+ además de trabajar con una calidad de hasta 720p
/ 30fps para codificación y decodificación de video. [10]
Polycom es utilizado no solo como solución de video conferencia sino como parte
de la solución de colaboración (compartición de contenido) motivo por el cual se
necesita que el cliente Real Presence sea configurado a su máxima calidad de
video, dicha calidad de video (720p/30fps) utiliza un ancho de banda de hasta 921
Kbps incluido cabeceras.32
Suponiendo que las 50 personas que cuentan con el aplicativo se conecten al
mismo tiempo utilizando recursos de voz, video y colaboración nos dará el ancho
de banda máximo de consumo.
‫ܤܣ‬௏௜ௗ௘௢ ൌ ͻʹͳ‫ ݏ݌ܾܭ‬ൈ ͷͲ ൌ Ͷ͸ǤͲͷͲ‫ݏ݌ܾܯ‬
3.2.3.4 Base de Datos
Se ha considerado que las bases de datos que tienen más uso son la
correspondiente a PCIE’s y el sistema Cobis, las cuales transportan mayormente
texto encriptado, el tamaño promedio de consulta es de 160 Kbps con un tiempo de
30 segundos.
‫ܤܣ‬஻஽஽ ൌ ͳͶͲ ‫ כ‬
ͳ͸Ͳ‫ ݊×݅ܿܿܽݏ݊ܽݎݐͳ ݏ݁ݐݕܤܭ‬ͺ‫ݏݐܾ݅ܭ‬
‫כ‬
‫כ‬
ൌ ͷǤͻ͹͵‫ݏ݌ܾܯ‬
ͳ‫ܦܦܤ‬
͵Ͳ‫݃݁ݏ‬
ͳ‫݁ݐݕܾܭ‬
‫ ்ܤܣ‬ൌ ‫ܤܣ‬௘ି௠௔௜௟ ൅ ‫ܤܣ‬௪௘௕ ൅ ‫ܤܣ‬௏௜ௗ௘௢ ൅ ‫ܤܣ‬௦௞௬௣௘ ൅ ‫ܤܣ‬஻஽஽
‫ ்ܤܣ‬ൌ ͷǤͶ‫ ݏ݌ܾܯ‬൅ ͵ʹǤʹ͹‫ ݏ݌ܾܯ‬൅ Ͷ͸ǤͷͲ‫ ݏ݌ܾܯ‬൅ ͳ͹Ǥͻʹ‫ ݏ݌ܾܯ‬൅ ͷǤͻ͹͵„’•
ൌ ͳͲͺǤͲ͸͵‫ݏ݌ܾܯ‬
3.2.4 ÁREAS DE COBERTURA
Uno de los requerimientos iniciales y primordiales era tener la movilidad adecuada
dentro de sus oficinas, y tener la mejor calidad de señal para las comunicaciones.
32
http://community.polycom.com/t5/Video-Endpoints/H-264-High-Profile-Bandwidth-Calculator/tdp/27410
119
Por lo que se considera la atenuación de la señal debido al tipo de obstáculos que
se tienen en el medio ya que esto afecta la cobertura.
El debilitamiento de la señal se debe en gran parte a las propiedades del medio que
atraviesa la onda.
La tabla siguiente muestra los niveles de atenuación para diferentes materiales: [11]
Objeto entre la señal
dB
Cuerpo Humano
3
Cubículos
3a5
Ventana, Pared de bloque o ladrillo
2
Pared de ladrillo junto a puerta de metal
3
Ventana de cristal no revestido
2
Ventana de cristal claro
2
Ventana de oficina
3
Pared de placas de yeso
3
Mármol
5
Pared de vidrio con marco metálico
6
Pared de metal incrustado en construcción
6
Ventana de vidrio oscuro
8
Pared de bloque
4
Pared divisora de madera
5
Pared divisor de metal
6
Pared de oficina
6
120
Pared de ladrillo
2a8
Pared de concreto
10 a 15
Puerta de madera
3
Puerta de metal
6
Puerta de metal en pared divisora
6
Puerta metálica revestida como de ascensor 12 a 13
Tabla 3-5 Tabla de Atenuación por Obstáculos
La infraestructura previa que posee la institución con equipos de la familia 6500 que
conforman el Core de sus comunicaciones tanto en Quito como en Guayaquil, dio
las facilidades para la instalación de dos controladoras de equipos inalámbricos,
mismas que permiten centralizar la gestión y configuración de los puntos de acceso.
Cada una de las controladoras permite la administración de hasta 100 dispositivos,
y se configuran en cada ciudad de manera independiente, pero con los mismos
parámetros que permitan la movilidad de los usuarios.
Se distribuyeron trece puntos de acceso de la siguiente manera: ocho equipos para
la ciudad de Quito, teniendo tres instalados en el piso 20 para la gerencia, dos se
instalaron en el piso 16 para las áreas de Cartera y Supervisión, y finalmente tres
equipos en el piso 10, en el área de Informática.
En Guayaquil, se instaló tres equipos para Gerencia e Informática en el piso 2, un
equipo en Cartera y Supervisión en el piso 1, y un equipo en la sala de reuniones
del piso 3; teniendo un total de cinco en esta ciudad.
Se configuraron cinco redes de acceso inalámbricos de acuerdo al tipo de usuarios
de la red, es decir una red para “Autoridades”, una red para “Usuarios Internos”,
una conexión para los dispositivos “PDAS” utilizados por supervisión y cartera, una
red para usuarios “Invitados”, y una red para “Proyectos”.
121
3.2.5 SITE SURVEY
En base a los planos arquitectónicos de las plantas del edificio y de un programa33
apropiado para realizar un site survey se evaluó el lugar dónde deben ubicarse los
AP dentro del edificio.
Se realizó la prueba de cobertura, en los mapas que se muestran a continuación se
puede observar la intensidad de la señal, los puntos de mejor colocación y las áreas
que cubren en cada uno de los pisos de acuerdo a su estructura y diseño interior
respectivamente.
3.2.5.1 Piso 10
Como muestra la Figura 3-6 el piso 10 contiene el Data Center el cual dificulta la
cobertura en el lado norte del edificio por su estructura sólida y ubicación; en este
piso existen 75 usuarios. Y hay una sala de reuniones en el lado sur con una
capacidad para 10 personas.
En la Figura 3-7 correspondiente al site survey inicial con la herramienta de CISCO
WCS (Wireless Control System) del piso 10 del edificio, podemos ver que será
necesario tres puntos de acceso para dar cobertura en sus áreas. Los colores a
medida que se obscurecen indican que la señal se va debilitando y los campos en
blanco son los huecos donde no hay cobertura de la señal.
Figura 3-6 Plano Piso 10
33
Se utilizó para el site survey pasivo el programa de CISCO Wireless Control System y para el site
survey activo la herramienta Ekahau HeatMapper
122
Figura 3-7 Solución Inalámbrica Piso 10
En la Figura 3-8 podemos ver el mapa para el site survey activo en la banda de los
2.4 GHz y en la Figura 3-9 para la banda de los 5.8 GHz. Estos mapas muestran la
cobertura de los APs colocados según el site survey pasivo previo, en el lado
izquierdo nos muestra las redes inalámbricas que se encuentran alrededor y nos
coloca en verde la zona de cobertura más fuerte a medida que baja la intensidad
del color tornándose desde un verde más claro hasta un amarillo que indica que la
señal es débil.
De acuerdo a lo señalado por el gráfico en las dos bandas tenemos una buena
cobertura.
Figura 3-8 Site Survey Piso 10 (2.4 GHz)
123
Figura 3-9 Site Survey Piso 10 (5.8 GHz)
3.2.5.2 Piso 16
Tiene como ventaja que presenta menos obstáculos para la cobertura ya que sus
cubículos son de MDF34 y se encuentran divididos a media altura, lo cual facilita el
diseño de la red al no tener mayor dificultad en atenuación de la señal. En este piso
hay 50 usuarios de los cuales los que requieren cobertura total se ubican en el lado
centro-norte del edificio donde se encuentra ubicada el área de trabajo que cuenta
con los PDA’s35 asignados para sus labores de supervisión.
En la Figura 3-11 el site survey inicial del piso 16 del edificio, indicó que con tan
solo dos puntos de acceso se puede dar cobertura a todo el piso. Los colores a
medida que se obscurecen indican que la señal se va debilitando y los campos en
blanco son los huecos donde no hay cobertura de la señal y como se aprecia en el
gráfico estos corresponden a los lugares que no son de interés y no importaría que
queden sin cobertura ya que es el área de las gradas y de los ascensores.
34 MDF sigla en inglés de Medium Density Fibreboard, es un producto hecho en base a fibras de
madera pero de una densidad más baja por lo que la atenuación es menor que en la madera.
35 PDA del inglés personal digital assistant, asistente digital personal, computadora de bolsillo,
organizador personal o agenda electrónica de bolsillo
124
Figura 3-10 Plano Piso 16
Figura 3-11 Solución Inalámbrica Piso 16
Una vez colocados los AP se realiza el site survey activo tanto en la banda de los
2.4 GHz como muestra la Figura 3-12 y para la banda de los 5.8 GHz la Figura
3-13. Como se puede apreciar en los gráficos la intensidad de la señal para los dos
casos es bastante buena por lo que en este piso se deja colocado los dos APs y
los servicios del personal de supervisión se desarrollan eficazmente.
125
Figura 3-12 Site Survey Piso 16 (2.4 GHz)
Figura 3-13 Site Survey Piso 16 (5.8 GHz)
3.2.5.3 Piso 20
El requerimiento para el piso 20 es que debe tener total cobertura ya que se tienen
las salas de reuniones para la Presidencia, Directorio y Gerencia General las
cuales requieren una conectividad inmediata y continua en sus comunicaciones
mediante videoconferencia con las sucursales, así mismo con los dispositivos
portátiles que se conectan a través de la red inalámbrica que al momento no es de
126
carácter empresarial sino doméstico; allí se tienen 15 usuarios permanentes y las
salas de reuniones pueden llegar a estar usadas hasta por 25 personas, incluyendo
reuniones frecuentes con asesores, autoridades ministeriales, etc. Sus entre salas
y oficinas son de bloque dándonos una atenuación considerable.
Figura 3-14 Plano Piso 20
Figura 3-15 Solución Inalámbrica Piso 20
El site survey pasivo desarrollado para este piso se muestra en la Figura 3-15, como
se puede observar para dar cobertura al piso es necesario tan solo dos access
point. Pero se colocaron tres debido a que si alguno llegase a fallar el servicio se
vería afectado y al ser un piso donde la prioridad de brindar el mismo es crítico ya
127
que prefieren trabajar por la red inalámbrica antes que por la cableada por la
facilidad de movimiento de las autoridades, por esta razón se garantiza el servicio
aumentando uno más.
Figura 3-16 Site Survey Piso 20 (2.4 GHz)
La figura Figura 3-16 muestra el site survey activo para la banda de los 2.4 GHz
mientras que la Figura 3-17 es sobre la banda de los 5.8 GHz, como se puede
observar existe una cobertura e intensidad de la señal bastante fuerte garantizando
el servicio a lo largo del piso, ninguna de las áreas se queda sin cobertura
permitiendo asi la conexión rápida a cualquier aplicativo. En la banda de los 2.4
GHz existe más interferencias debido a las redes inalámbricas aledañas y a los
mismos equipos acces point de este piso que son de carácter domestico y no
empresarial los cuales serán reemplazados por esta solución. En la banda de los
5.8 GHz se tienen menos interferencias y la estabilidad de la señal es mas regular
por lo que las ondas del servicio se esparcen de mejor manera a lo largo del piso y
de cada área destinandose un AP para el centro, sur y norte del piso
respectivamente.
128
Figura 3-17 Site Survey Piso 20 (5.8 GHz)
Para la realización del site survey definitivo se utilizó la herramienta Ekahau Heat
Mapper que es sencilla de utilizar y proporciona una señalización completa en el
mapa del edificio, de la cobertura que se tiene con las redes Wi-Fi, lo que nos
permite saber la intensidad de la señal en cada zona. A pesar de ser una
herramienta de libre acceso es de una calidad excelente que nos brinda con
seguridad los datos puntuales de reconocimiento de una red inalámbrica como son
cobertura de la señal sobre el mapa, localiza todos los AP, detecta configuraciones
de seguridad de redes abiertas, soporta protocolo 802.11n tanto como 802.11a/b/g.
El estudio se realizó en una computadora portátil y se ejecuta en tiempo real
mientras se recorre el piso del edificio donde se colocaron los AP.
Como muestran las figuras (Figura 3-8, Figura 3-9, Figura 3-12, Figura 3-13, Figura
3-16 y Figura 3-17) anteriores en la banda de los 2.4 GHz se presentan demasiadas
interferencias lo que degrada el servicio en esta frecuencia, debido a que los
equipos inalámbricos como teléfonos de base móvil, hornos microondas, celulares,
laptops, micrófonos inalámbricos, redes de los edificios y oficinas aledañas impiden
tener una señal de calidad en esta banda de frecuencia sobre todo para los
servicios demandantes como la videoconferencia.
Por otro lado en la banda de los 5.8 GHz este tipo de interferencias se ven
solventados y la red trabaja en óptimas condiciones, cumpliendo con los
129
requerimientos y la calidad de servicio esperada cubriendo las zonas deseadas a
totalidad. Por lo que es recomendable configurar los equipos a nivel de tarjeta de
red para que trabaje en la banda de 5.8 GHz preferiblemente. Con estas
configuraciones se procedió a validar las comunicaciones de video, teniendo
excelente calidad y movilidad. A modo de resumen se muestra la Tabla 3-6.
Elemento de
análisis
Cantidad de APs
Velocidad de
Conexión
Rango de
Frecuencias
Antenas
Observación
Se necesitan en total 8 para la ciudad de Quito de
acuerdo a la necesidad de cada piso de cobertura.
Se debe garantizar la conexión a una velocidad mínima
de 512 Mbps para una videoconferencia de calidad
aceptable.
En la banda de los 2.4 GHz existe mucha interrupción
por lo que se recomienda priorizar el uso de los 5.8
GHz
Deberán ser dipolo y capaz de ser orientadas según la
necesidad de cobertura.
Tabla 3-6 Análisis del Site Survey
3.3 CONEXIÓN DE LA RED WLAN CON LA CABLEADA
La conexión hacia la red cableada se realiza a través de los switches de acceso en
los diferentes pisos de marca CISCO modelo 3750.
Los AP se conectan a los switches que entre sus características proporcionan
alimentación PoE (Power Over Ethernet) aparte cuentan con alimentación eléctrica
independiente. Por seguridad ya que algunos de ellos están a más de 100 m del
switch lo que degrada el servicio de alimentación por el cable UTP, por lo cual se
coloca los inyectores de poder para prever esto, además de cumplir los estándares
de cableado estructurado, y a través de los enlaces de fibra que poseen los
switches de acceso hacia el Core donde la controladora los administra.
3.3.1 EQUIPAMIENTO NECESARIO
3.3.1.1 Puntos de Acceso
Cada AP deberá ser de interiores, poseer cuatro (4) antenas externas por cada
dispositivo que soporten 2.4 GHz y 5 GHz simultáneamente.
130
Deberán ser modulares, de manera que soporte futuros estándares en redes
inalámbricas, con capacidad de ser administrados por la controladora inalámbrica
incluida.
Estos deben proveer información histórica y en tiempo real sobre la interferencia de
radio frecuencia que impacta la red.
Deberán soportar los siguientes protocolos de interconexión de datos:
·
IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.1x, IEEE 802.11i,
IEEE 802.11h, con capacidad de soportar 802.11ac.
Los equipos deberán contar con al menos 3 canales no sobrelapados en 2.4 GHz
y 21 canales no sobrelapados en 5 GHz para 802.11n en 20 MHz.
Deberán soportar los estándares de seguridad:
·
802.11i, Wi-Fi Protected Access 2 (WPA2), WPA, 802.1X
Deberán soportar estándares de cifrado avanzado:
·
Advanced Encryption Estándar (AES), Temporal Key Integrity Protocol
(TKIP).
Tipos de EAP:
Protocolo de autenticación extensible-Transport Layer Security (EAP-TLS), EAPTLS tunelizado (TTLS) o desafío mutuo de Microsoft Authentication Protocol versión
2 (MSCHAPv2), EAP protegido (PEAP) v0 o EAP-MSCHAPv2, Protocolo de
autenticación extensible-Flexible de autenticación a través de Secure Tunneling
(EAP-FAST), PEAPv1 o EAP-Tarjeta de testigo genérico (GTC), EAP-Subscriber
Identity Module (SIM).
Características que deben cumplir los APs
Frecuencias Manejadas
2.4 GHz y 5.8 GHz
Simultáneamente
Estándares a soportar
Inferiores y posteriores a 802.11n
Interfaces que debe poseer
1 interfaz de red 10/100/1000 BASE-T
autosensing (RJ45)
1 puerto de consola (RJ45)
131
4 interfaces de tipo N para las antenas
Alimentación de energía
PoE y alimentación AC.
SSID
Soportar varios SSID por VLAN
Modo de trabajo
Monitoreo,
Administrable,
Sniffer,
Bridge, capacidad autónoma.
Protocolos mínimos
IEEE 802.11n preparado para soportar
soportados
802.11ac
802.11i, Wi-Fi, WPA2, 802.1x, AES,
MD5, TKIP
EAP,EAP-TLS, MSCHAPV2,PEAP
Tabla 3-7 Características para Seleccionar AP
3.3.1.2 Para las Antenas
Características generales:
-
Tipo de antena: Dual-band dipolo
-
Rango de Frecuencia: 2400 a 2500 MHz y 5150 a 5850 MHz
-
Impedancia nominal de entrada: 50 Ohm
-
VSWR36: menos de 2:1
-
Ganancia para 2.4 GHz: >= 2 dBi
-
Ganancia para 5 GHz: >= 4 dBi
-
Conector proporcionado: RP-TNC conector
-
Temperatura de operación: -20°C a 60°C
-
Operación en sitios cubiertos
-
Las antenas deberán ser compatibles con el modelo de AP seleccionado
36 Voltage Standing Wave Ratio: se entiende como la medida de la energía enviada por el transmisor
que es reflejada por el sistema de transmisión y vuelve al transmisor
132
3.3.1.3 Para la Controladora Inalámbrica
Las controladoras deberán ser 100% compatible con la infraestructura actual
disponible, para integrarse completamente con los Switches de Core CISCO
Catalyst 6509 que posee la institución.
En cuanto al rendimiento debe cumplir con:
·
Throughput por controladora mayor o igual a 20 Gbps
·
Throughput de tráfico cifrado por controladora mayor o igual a 20 Gbps
·
Conexión sin bloqueos para redes 802.11n
·
Conexión al Switch de Core mayor o igual a 20 Gbps
Tener puertos para administración:
·
1 o más puertos de consola USB o mini-USB
·
1 o más puertos de consola RJ-45
·
1 o más puertos de servicio
Los Puntos de Acceso a manejar con la licencia inicial por controladora deberán ser
al menos 200.
La controladora deberá soportar al menos 1500 clientes37.
En cuanto a la Seguridad:
Deberá soportar el estándar CAWAP para control y aprovisionamiento de puntos
de acceso.
Deberá soportar el cifrado DTLS para asegurar el manejo de tráfico seguro entre el
punto de acceso y la controladora
Deberá permitir la creación de túneles SSID separados.
Deberá soportar los siguientes estándares inalámbricos:
37
•
802.11a
•
802.11b
•
802.11g
•
802.11d
•
802.11e
Al contemplar por lo menos una solución con crecimiento para 5 años se debe considerar el
mínimo de conexiones para los empleados actuales como muestra la Tabla 2-1 Número de
Empleados de la Entidad
133
•
802.11h
•
802.11n
•
802.11u
•
WMM
Deberá soportar los siguientes estándares de red:
•
IEEE 802.3 10BASE-T
•
IEEE 802.3u
•
100BASE-TX
•
1000BASE-T
•
1000BASE-SX
•
1000-BASE-LH
•
IEEE 802.1Q Vtagging
•
IEEE 802.1AX Link Aggregation
Deberá soportar Calidad de Servicio:
•
QoS por usuario
•
QoS basado en VLANs
•
Perfiles de QoS
Deberá manejar los siguientes RFC:
•
RFC 768 UDP
•
RFC 791 IP
•
RFC 2460 IPv6 (pass through Bridging mode only)
•
RFC 792 ICMP
•
RFC 793 TCP
•
RFC 826 ARP
•
RFC 1122 Requirements for Internet Hosts
•
RFC 1519 CIDR
•
RFC 1542 BOOTP
•
RFC 2131 DHCP
•
RFC 5415 CAPWAP Protocol Specification
Debe soportar los siguientes estándares de seguridad:
•
WPA
134
•
IEEE 802.11i (WPA2, RSN)
•
RFC 1321 MD5
•
RFC 2104 HMAC
•
RFC 2246 TLS Protocol Version 1.0
•
RFC 2403 HMAC-MD5-96 within ESP and AH
•
RFC 2404 HMAC-SHA-1-96 within ESP and AH
•
RFC 3280 Internet X.509 PKI Certificate and CRL Profile
•
RFC 3686 Using AES Counter Mode with IPsec ESP
•
RFC 4347 Datagram Transport Layer Security
•
RFC 4346 TLS Protocol Version 1.1
Debe soportar los siguientes estándares de cifrado:
•
WEP and TKIP-MIC: RC4 40, 104 y 128 bits (llaves estáticas y
compartidas)
•
AES: CBC, CCM, CCMP
•
DES: DES-CBC, 3DES
•
SSL y TLS: RC4 128-bit, RSA 1024- y 2048-bit
•
DTLS: AES-CBC
•
IPsec: DES-CBC, 3DES, AES-CBC
Deberá soportar los siguientes estándares de Autenticación:
•
IEEE 802.1X
•
RFC 2548 Microsoft Vendor-Specific RADIUS Attributes
•
RFC 2716 PPP EAP-TLS
•
RFC 2865 RADIUS Authentication
•
RFC 2866 RADIUS Accounting
•
RFC 2867 RADIUS Tunnel Accounting
•
RFC 3576 Dynamic Authorization Extensions to RADIUS
•
RFC 3579 RADIUS Soporte para EAP
•
RFC 3580 IEEE 802.1X RADIUS
•
RFC 3748 EAP
•
Autenticación Web
Deberá soportar los siguientes estándares de Administración:
135
•
SNMP v1, v2c, v3
•
RFC 854 Telnet
•
RFC 1156 MIB
•
RFC 1157 SNMP
•
RFC 1213 SNMP MIB II
•
RFC 1350 TFTP
•
RFC 1643 Ethernet MIB
•
RFC 2030 SNTP
•
RFC 2616 HTTP
•
RFC 2819 RMON MIB
•
RFC 2863 Interfaces Group MIB
•
RFC 3164 Syslog
•
RFC 3414 User-Based Security Model (USM) for SNMPv3
•
RFC 3418 MIB for SNMP
•
RFC 3636 Definitions of Managed Objects for IEEE 802.3 MAUs
Deberá contar con las siguientes interfaces de administración:
•
Basadas en Web: HTTP/HTTPS
•
CLI: Telnet, SSH, Puerto Serial
Debe disponer de un sistema que bloquee amenazas conocidas, tener capacidad
de ser integrado con sistemas de control de acceso, soportar autenticación local
EAP contra sistemas de bases de MIB para SNMP.
Manejo seguro:
•
HTTPS
•
DTLS
•
ACLs
Todos estos requerimientos se hacen en base a lo solicitado que sea de marca
CISCO para que se adapte sin problemas a la infraestructura con la que cuenta la
institución como se detalla en la sección de parte activa de la red. Considerando
esto se toma como base los estándares actuales y las características de última
tecnología aplicable a una red inalámbrica empresarial recomendado por CISCO.
136
Dispositivo
Consideraciones
necesario
Número de
El diseño debe tener suficientes APs que provean una buena
APs
cobertura a sus clientes, con una locación centralizada. CISCO
recomienda que por AP se conecten al menos 20 dispositivos
que transfieran los datos al mismo tiempo con 7 que ocupen
G.711 u 8 con G.729.
Colocación
Los APs deben ser colocados de manera centralizada en el
del AP
área que se espera proveer el acceso. Los APs que van en
salas de videoconferencias deben cumplir con los picos más
altos de requerimientos.
Energía de los Se pueden conectar directamente a la toma normal de
corriente, pero preferiblemente es usar PoE para su conexión
APs
mediante cableado estructurado.
Número de
El número de WLC depende del nivel de redundancia que se
Controladoras elige basado en la necesidad de la empresa. El número de
controladoras dependerá también del número de APs que
deben ser soportados para lo cual se elige el modelo
adecuado.
Colocación de Las controladoras por seguridad deben ser colocadas en los
la WLC
lugares cerrados como un cuarto de equipos. Debido a la
redundancia debería entrar en la capa de distribución de la
empresa.
Tabla 3-8 Consideraciones para la selección de los AP y WLC
3.3.2 IDENTIFICADORES SSID
En función de los usuarios que se conectarán a los diferentes SSID se definieron
cinco perfiles de acceso a la red de la institución.
137
3.3.2.1 WRLSCORPIN
Perfil para usuarios invitados, con acceso a la navegación sin proxy de red.
La seguridad de este perfil es a través de acceso web donde se le proporciona un
usuario y clave para acceder a la red y tiene un tiempo de caducidad de default de
un día.
3.3.2.2 WRLSCORPUS
Perfil para usuarios internos de la red, con acceso a la navegación usando proxy
de red.
La seguridad de este perfil tiene autenticación de usuario mediante el directorio
empresarial, para el cual se configura 802.1x, y PEAP-GTC en usuario final. Como
parte de una solución de seguridad para complementar este control de acceso la
institución cuenta con un servidor de autenticación CISCO ACS, el cual se
comunica con el LDAP de eDirectory mediante RADIUS haciendo la integración.
3.3.2.3 WRLSCORPPR
Perfil para usuarios que realizan pruebas de preproducción, con acceso a la
navegación usando proxy de red.
La seguridad de este perfil tiene autenticación web, y los usuarios son creados
localmente en el WLC con límite de tiempo.
3.3.2.4 WRLSCORPPD
Perfil para dispositivos PDAs, sin acceso a la navegación. La seguridad de este
perfil tiene clave compartida utilizando WPA2, y control de seguridad por registro
de dirección de MAC.
3.3.2.5 WRLSCORPAU
Perfil con todos los privilegios de navegación para las autoridades de la institución.
La seguridad de este perfil tiene clave compartida utilizando WPA2.
Como requerimientos la red de acceso para los gerentes, directores y asesores
tiene que encontrarse difundida en los puntos de acceso de gerencia, es decir en
el piso 20 para la ciudad de Quito, y el área de gerencias en Guayaquil. Para
conseguir este objetivo se crearon dos grupos de puntos de acceso, el primero de
GERENCIA, en el cual se tiene acceso a todos los SSID y pertenecen a este los
dispositivos del piso o área correspondiente; y, el segundo un grupo GENERAL, en
138
el cual están el resto de equipos y con acceso a todos los SSID excepto el de
gerentes.
3.3.3 PLAN DE DIRECCIONAMIENTO IP
El direccionamiento IP está segmentado de acuerdo al SSID como muestra la Tabla
3-9. Cada uno de estos asignará un segmento de direcciones IP correspondientes
a una VLAN, las mismas que tendrán diferentes permisos de acceso a la red
empresarial y hacia el internet de acuerdo a los privilegios del personal que se
conectará a través de estos.
SSID
VLAN
Nombre
Subred
IP Interfaz
WRLSCORPIN
119
Invitados
10.20.119.0
10.20.119.254/24
WRLSCORPUS
77
Usuarios
10.20.77.0
10.20.77.254/24
WRLSCORPPR
78
Proyectos
10.20.78.0
10.20.78.254/24
WRLSCORPAU
79
Autoridades
10.20.79.0
10.20.79.254/24
WRLSCORPPD
80
PDAS
10.20.80.0
10.20.80.254/24
WRLSCORPMV
180
Móviles
10.20.81.0
10.20.81.254/24
Tabla 3-9 Taba de Direccionamiento IP por SSID
3.3.4 SEGURIDADES
Uno de los objetivos planteados es el permitir el acceso a la red corporativa a
usuarios y dispositivos finales autorizados, a través de las credenciales asignadas
para el efecto. Así la probabilidad que los dispositivos que se conectan a la red se
conviertan en un riesgo para la infraestructura e información de la institución, se
minimiza. Por lo tanto todo dispositivo tendrá que ser registrado para la
permanencia en la red y así poder controlar el acceso al servicio. Los usuarios
internos tendrán que autenticarse con el servidor RADIUS o con sus credenciales
propias de red. Los tipos de seguridad para cada SSID se resumen en la Tabla
3-10.
139
SSID
VLAN
Nombre
Difundida
Seguridad
WRLSCORPIN
119
Invitados
SI
WRLSCORPUS
77
Usuarios
SI
WRLSCORPPR
78
Proyectos
NO
WRLSCORPAU
79
Autoridades
SI
WRLSCORPPD
80
PDAS
SI
WRLSCORPMV
180
Móviles
SI
Autenticación Web, ACL,
Tiempo de Conexión de
un día
WPA-2, PSK 256,
Autenticación 802.1X
Autenticación Web, ACL,
Tiempo de Conexión de
máximo 1 semana
Autenticación PSK256,WPA-2, solo piso 20
UIO y el 1 en GYE,
Autenticación PSK
Autenticación PSK-256,
WPA-2, Autenticación por
MAC.
Autenticación PSK PSK256,WPA2,ACL,Autenticación por
MAC
Tabla 3-10 Tabla de Seguridades por SSID
3.3.4.1 Acceso a la Red Corporativa por Usuarios y Dispositivos Finales
El acceso a la red corporativa de la entidad se realiza de acuerdo al gráfico descrito
en la Figura 3-18, el cual indica que los dispositivos inalámbricos tendrán acceso a
través de los diferentes Access Point colocados en los pisos. Para el acceso de los
usuarios a la red y aplicativos de la entidad financiera los usuarios deberán
autenticarse a través del CISCO Secure ACS38 (Servidor UIOSRV32).
Los usuarios exclusivamente autorizados tienen sus credenciales asignadas en el
eDirectory de la entidad mismo que envía al ACS la aceptación de las credenciales
y el ACS autoriza el ingreso a la red, esta metodología reduce el riesgo de accesos
indebidos de dispositivos a la infraestructura de TI e información de la entidad
financiera.
38 ACS: CISCO Secure Access Control Server: Servidor de autenticación y control de acceso a la
red.
140
Figura 3-18 Arquitectura RADIUS
Se basa en el uso del protocolo estándar 802.1x, integrado a la plataforma NAC 39
que dispone la empresa, RADIUS como servidor de autenticación y el directorio
activo como único repositorio de usuarios a nivel nacional.
Su implementación fortalece el cumplimiento de las resoluciones de la SBS 40 JB2005-834 y JB-2012-2148, al momento como parte de la propuesta para la
seguridad de la red está operativo con la red Wireless, para la red cableada, se han
realizado pruebas de integración con los diferentes componentes que intervienen
en su arquitectura, lo cual se implementará en el corto plazo al tener finalizada la
migración de e-Directory a active Directory donde la solución es menos compleja y
transparente para el usuario.
39
Network Access Control: plataforma de control de acceso basada en políticas de acceso de
acuerdo a las credenciales de usuario y dispositivos finales.
40 SBS: Súper Intendencia de Bancos del Ecuador, es una de los organismos de control a los que
se encuentra sometida la entidad financiera.
141
3.4 ADMINISTRACIÓN DE LA RED
3.4.1 PUNTOS DE ACCESO
La solución inicial contemplaba un esquema solo para Quito, pero por pedido de la
gerencia se debió ampliar el servicio a la ciudad de Guayaquil para que los dos ejes
sectoriales de la institución cuenten con el servicio, ya que las autoridades y
personal viajan con frecuencia entre las dos ciudades. Por lo que se colocaron en
modo de backup las controladoras para mantener una alta disponibilidad geográfica
con una en Quito y otra en Guayaquil. Así mismo se hizo un site survey para la
ciudad de Guayaquil para verificar la cobertura de los AP ya que en el edificio hay
inhibidores de señal de las otras instituciones que laboran en el mismo.
En la Tabla 3-11 y Tabla 3-12 se detalla las
configuraciones
direccionamiento y el grupo de clasificación al que pertenece cada
para el
punto de
acceso tanto para la ciudad de Quito como la de Guayaquil.
Nombre
Dirección
Dirección IP
MAC
WLC
Switch de
acceso
Grup
o
asoci
ado
Ubicación
10.20.182.6
6C:20:56:
A6:47:9E
UIO
UIONET20
Gerencia
Sala de
Reuniones
Mitad del
Mundo
10.20.182.5
6C:20:56:
B5:42:01
UIO
UIONET20
Gerencia
Asesores
UIONET57_
20_S
10.20.182.4
6C:20:56:
A6:44:AF
UIO
UIONET20
Gerencia
Sala de
Reuniones
Presidencia
y Gerencia
UIONET58_
16_N
10.20.182.7
6C:20:56:
A6:44:67
UIO
UIONET16
General
Supervisión
UIONET55_
20_N
UIONET56_
20_C
142
UIONET59_
16_C
10.20.182.8
6C:20:56:
A6:47:A2
UIO
UIONET16
General
Cartera
UIONET60_
10_N
10.20.182.10
6C:20:56:
A6:44:CD
UIO
UIONET10
General
Producción
y control
UIONET61_
10_C
10.20.182.9
2C:54:20:
60:34:F4
UIO
UIONET10
General
Secretaría
UIONET62_
10_S
10.20.182.11
6C:20:56:
A6:49:05
UIO
UIONET10
General
Control de
Calidad
Tabla 3-11 Tabla de Distribución de Puntos de Acceso en Quito
Nombre
Dirección IP Dirección
MAC
WLC
Switch
de
acceso
Grupo
Asociado
Ubicación
GYENET55_
P1_NO
10.30.182.3 6c:20:56:
a6:47:a4
GYE GYENET Gerencia
28
Directorio
UIONET56_
MZ_N
10.30.182.4 6C:20:56:
B5:42:01
GYE GYENET
27
General
Informática
GYENET57_
P1_NE
10.30.182.5 6C:20:56:
A6:44:CF
GYE GYENET Gerencia
26
Presidencia
GYENET58_
P1_SO
10.30.182.6 6c:20:56:
a6:44:A0
GYE GYENET Gerencia
26
Sala de
Reunión
Río Guayas
GYENET59_
P2_S
10.30.182.7 6C:20:56:
A6:47:91
GYE GYENET
25
Supervisión
General
Tabla 3-12 Tabla de Distribución de Puntos de Acceso en Guayaquil
143
3.4.2 CONTROLADORAS INALÁMBRICAS
El direccionamiento y el tipo de seguridad aplicado a cada vlan para realizar la
configuración de los SSID en las controladoras se detallan en la Tabla 3-13 para la
ciudad de Quito y en la Tabla 3-14 para la ciudad de Guayaquil.
WRLSCORPIN
119
10.20.119.254/24
INT_INVITADOS
Autenticación Web,
ACL,
Tiempo de Conexión
WRLSCORPUS
10.20.119.0
Seguridad
77
10.20.77.0
10.20.77. 254/24
INT_USUARIOS
Autenticación
802.1X
WRLSCORPR
INTERFAZ
78
10.20.78.0
10.20.78. 254/24
INT_PROYECTOS
Autenticación Web,
ACL,
Tiempo de Conexión
WRLSCORPAU
ID
VLAN
ID Interfaz
79
10.20.79.0
10.20.79. 254/24
INT_AUTORIDADES
PSK-256,WPA-2,
solo piso 20,
Autenticación PSK
INT_PDAS
PSK-256,WPA2,ACL,Autenticacion
por MAC,
autenticación PSK
WRLSCORPPD
SSID
80
10.20.80.0
Subred
10.20.80. 254/24
WRLSCORPMV
144
180
10.20.180.0
10.20.180.254/24
INT_MOVILES
PSK-256,WPA2,ACL,Autenticación
por MAC,
Autenticación PSK
Tabla 3-13 WLC Quito
INTERFAZ
Subred
IP Interfaz
Seguridad
10.30.119.0
10.30.119.254/24
INT_INVITADOS
77
10.30.77.0
10.30.77.254/24
INT_USUARIOS
Autenticación
802.1X
78
10.30.78.0
10.30.78. 254/24
INT_PROYECTOS
Autenticación
Web, ACL,
Tiempo de
Conexión
79
10.30.79.0
10.30.79. 254/24
INT_AUTORIDADES
PSK-256, WPA2,Autenticación
PSK
INT_PDAS
PSK-256,WPA2,ACL,Autentica
cion por MAC,
autenticación
PSK
WRLSCORPPR
WRLSCORPAU
119
Autenticación
Web, ACL,
Tiempo de
Conexión
WRLSCORPPD
WRLSCORPIN
ID
VLAN
WRLSCORPUS
SSID
80
10.30.80.0
10.30.80. 254/24
WRLSCORPMV
145
180
10.30.180.0
10.30.180.254/24
INT_MOVILES
PSK-256,WPA2,ACL,Autentica
ción por MAC,
Autenticación
PSK
Tabla 3-14 WLC Guayaquil
3.5 CONFIGURACIONES PARA LA IMPLEMENTACIÓN
3.5.1 INSTALACIÓN DEL MÓDULO WISM2
Las características que ofrece la WiSM2 son:
El WiSM2 ofrece un solo sitio de despliegue WLAN con buen rendimiento,
seguridad y escalabilidad para soportar las comunicaciones en una red inalámbrica.
Figura 3-19 Tarjeta CISCO Wism2 [8]
Ayuda a reducir los costos de hardware y ofrece opciones de configuración flexibles
que pueden reducir el costo total de las operaciones y la propiedad de las redes
inalámbricas.
Conexiones para un máximo de 1000 puntos de acceso y 15 000 clientes.
Apoyo a la densidad de clientes superior al de otros controladores de LAN
inalámbrica.
Capacidad de actualización de 500 puntos de acceso a la vez.
Servicios en capa 3 de movilidad para video, voz, invitado, ubicación, mesh, etc.
Seguridad inalámbrica avanzada, con una capa de sistema de prevención de
intrusiones inalámbricas (WIPS).
Roaming a través de amplias zonas geográficas y el rendimiento necesario para las
aplicaciones simultáneas.
Tecnología Videostream para un rendimiento optimizado de vídeo.
146
Tecnología CleanAir para una auto-curación y auto-optimización de red que evite
la interferencia de Radio Frecuencia.
Para el montaje de la tarjeta WISM2 se necesita conocer la compatibilidad con el
Switch de Core, para lo cual se tomó en cuenta las especificaciones técnicas en el
montaje de la misma como lo especifica la Tabla 3-15. [8]
Dado que el Switch es un modelo 6509, la tarjeta se montó en el módulo 7 del
Switch de Core, para lo cual se utilizó la VLAN de administración que posee la
institución para los equipos de comunicaciones; asociando la tarjeta WISM2 con el
Switch de Core cuyo direccionamiento se detalla en la Tabla 3-16 .
Slot
6503-E
1
x
x
x
x
x
2
x
x
x
x
x
3
x
x
x
x
x
x
x
x
x
x
x
x
7-8
x
x
9
x
x
4
6504-E 6506 -E 6509-V-E 6513-E
5-6
10-13
x
Tabla 3-15 Ranuras para Wism2 [8]
Ciudad
VLAN
Segmento
Descripción
Quito
2
10.20.2.0/24
Comunicación_WLC
Guayaquil
2
10.30.2.0/24
Comunicación_WLC
Tabla 3-16 Segmentos de Red para Administración de la WLC
Se utilizó una VLAN independiente para administración de los puntos de acceso y
el funcionamiento de la solución inalámbrica, la cual se comunicará entre la WLC y
los APs este detalle se indica en la Tabla 3-17.
147
Ciudad
VLAN
Segmento
Descripción
Quito
182
10.20.182.0/24
Inalámbricos
Guayaquil
182
10.30.182.0/24
Inalámbricos
Tabla 3-17 Segmentos de Red para Administración de APs
Para evitar que los AP pierdan su configuración y además mantener el registro de
las direcciones se realizó la asignación correspondiente al direccionamiento IP
dentro de la plataforma de DNS y DHCP que posee la institución como se puede
observar en la Figura 3-20 correspondiente al detalle del mismo.
Figura 3-20 Plataforma DHCP para Equipos Inalámbricos
Dentro de la WLC se realizaron las configuraciones de administración para el
ingreso a la misma (user, password), además de la configuración de la dirección IP
de comunicación con el switch de Core y la IP para el ingreso vía Web a la
controladora según el siguiente detalle:
Nombre:
UIONET54
Password:
xxxxx
IP de Interfaz WEB: 10.20.2.50
Service Interface:
10.20.4.2
148
Figura 3-21 Verificación de Instalación de Wism2
Figura 3-22 Verificación de la Instalación de Wism2
Una vez instalada físicamente la tarjeta WISM2 en el switch de Core se verificó la
instalación física de la tarjeta, este detalle se lo puede observar en la Figura 3-21
donde podemos observar el serial y el modelo de la tarjeta Wism2 instalada y en
la Figura 3-22 se verifica el módulo en el que se encuentra asociado, así como su
funcionamiento, para constatar que sea el adecuado, para estas consultas se
realizó mediante vía SSH en el switch de core donde fue realizada la instalación de
la tarjeta.
149
Una vez que se comprueba el correcto aprovisionamiento de la tarjeta se procede
a realizar las configuraciones de la tarjeta WISM2 para la integración al switch de
Core y ya se la puede implementar como la controladora de la red inalámbrica.
El resumen de la configuración se lo puede observar en la captura que muestra la
Figura 3-23, la cual indica la configuración realizada al iniciar la controladora
inalámbrica mediante consola en el momento de la instalación.
Figura 3-23 Configuración Wism2
150
Una vez realizadas las configuraciones, la creación de las VLANs y la comunicación
entre la controladora y el switch de Core se comprobó mediante el acceso vía web
a la controladora (ver Figura 3-24) usando la subred para el servicio Inalámbrico.
Figura 3-24 Acceso Web de la WLC
3.5.1.1 Configuración de Interfaces VLANs
En la Figura 3-25 se presentan las interfaces configuradas, una interfaz por cada
SSID, lo que permite independizar la administración del grupo de usuarios por
segmentos de red.
Figura 3-25 Interfaces de WLC
151
Además están otras interfaces creadas por defecto en el equipo por redundancia.
Para la propagación de los SSIDs establecidos se realizó la creación de las
interfaces que señalan la VLAN a la cual van a pertenecer y el segmento de red en
el cual se ubicarán los clientes una vez que se autentiquen.
3.5.1.2 Perfiles de la Red Inalámbrica y SSID
La controladora fue configurada para que realice el manejo centralizado de los
puntos de acceso inalámbricos instalados, así también manejar parámetros de
acceso como los identificadores de conjunto de servicio (SSID), las seguridades de
acceso y un control general sobre la implementación de red inalámbrica.
Figura 3-26 Configuración SSIDs
La creación de las WLAN que serán propagadas se relacionan con las interfaces
que fueron creadas previamente, a las WLAN se les debe registrar los tipos de
autenticación que van a utilizar para permitir el ingreso de clientes.
En la Figura 3-26 se identifican los cinco perfiles (SSID) configurados.
3.5.1.3 Configuración de Autenticación
La Tabla 3-18 indica el detalle de los tipos de autenticación establecidos:
Para la autenticación mediante las credenciales de red con 802.1x es necesario
realizar la integración del servidor RADIUS que asocia a todos los usuarios de la
152
institución a la WLC, ya que en conjunto brindarán la autenticación para el ingreso
a la red inalámbrica esto se describe gráficamente en la Figura 3-27.
SSID
IP Interfaz
Seguridad
WRLSCORPIN
INT_INVITADOS
Autenticación Web, ACL,
Tiempo de Conexión
WRLSCORPUS
INT_USUARIOS
Autenticación 802.1X
WRLSCORPR
INT_PROYECTOS
Autenticación Web, ACL,
Tiempo de Conexión
WRLSCORPAU INT_AUTORIDADES
WRLSCORPPD
INT_PDAS
WRLSCORPMV
INT_MOVILES
PSK-256,WPA-2, solo piso 20,
Autenticación PSK
PSK-256,WPA2,ACL,Autenticacion por MAC,
autenticación PSK
PSK-256,WPA2,ACL,Autenticación por MAC,
Autenticación PSK
Tabla 3-18 Requerimientos de Autenticación
Repositorio de Datos
Microsoft Active Directory
Dispositivo
periférico
Switch de Core
CISCO WS-C6509-E
CISCO Wireless Service Module
WS-SVC-WISM2-K9
Switch de Borde
CISCO WS-C3750X-48P
NAC
ForeScout CounterACT
Radius Proxy Server
CISCO Secure ACS
Radius Server
AccessPoint
CISCO AIR-CAP3602E-A-K9
Usuario de
escritorio
Usuario Móvil
Figura 3-27 Diagrama Físico – Autenticación de Usuarios y Dispositivos Finales
153
En el esquema de la Figura 3-28 se puede observar el funcionamiento conjunto
entre el LDAP y el CISCO ACS que actúa de servidor RADIUS para autenticar al
usuario en la red y permitirle el acceso a la red inalámbrica con los mismos permisos
que tiene asignados para la red cableada, así mismo se cuenta con un dispositivo
NAC de marca Forescout el cual monitoriza la actividad guardando los datos de la
MAC, la IP del dispositivo que ingresó a la red y revisa si cumple con las políticas
definidas de seguridad.
Figura 3-28 Diagrama Lógico – Autenticación de Usuarios y Dispositivos Finales
3.5.1.4 Conexión RADIUS
La Figura 3-29 muestra la configuración en la WLC del servidor RADIUS para la
integración con el directorio activo.
Las configuraciones del ACS se describen en la Figura 3-30, la cual muestra la
asociación del ACS con la WLC quienes se comunican cifradamente con un
password.
La Figura 3-31 muestra las asociaciones realizadas con los servidores para el
eDirectory quienes mantienen la base de datos del personal autorizado, finalmente
la Figura 3-32 evidencia el string de conexión hacia la base de datos del e-directory
mediante el cual el ACS conoce si la solicitud enviada será concedida o negada.
154
Figura 3-29 Configuración RADIUS
Figura 3-30 Configuración ACS-WLC
Figura 3-31 Configuración ACS – eDirectory
155
Figura 3-32 Asociación LDAP
3.5.1.5 Creación del Portal Cautivo
Para los SSID de invitados y proyectos se creó el portal cautivo como muestra la
Figura 3-33. El mismo que se evidenciará al cliente para la autenticación vía WEB,
para lo cual se ingresó el logo de la Institución y el respectivo mensaje de petición
de credenciales de autenticación.
Figura 3-33 Configuración Portal Cautivo
156
3.5.1.6 Configuración Clean Air
Una de las características de la controladora es la configuración del Clean Air que
se muestra en la Figura 3-34 y Figura 3-35, mismas que permiten la detección de
interferencias de RF, identificación de las fuentes de interferencia y optimización de
la cobertura en torno a las interferencias, este proceso la controladora lo realiza
automáticamente e indica a sus APs cuál es el canal al que debe conectarse para
evitar interferencias.
Figura 3-34 Configuración Clean Air en 802.11a
157
Figura 3-35 Configuración Clean Air para 802.11b
3.5.1.7 Registro de los Puntos de Acceso
Una vez que los puntos de acceso se comunican con la controladora inalámbrica
realizan un proceso de actualización del Sistema Operativo y descarga de las
configuraciones necesarias para su operación (ver Figura 3-36), finalizado este
proceso quedan registrados en la WLC y se los puede visualizar en el resumen del
conteo de puntos de acceso.
Los nombres de los puntos de acceso se establecieron según su ubicación física
para tener mayor facilidad al momento de la administración.
En la Figura 3-37 a continuación se puede verificar los cinco equipos de acceso
registrados en el WLC de Quito.
158
Figura 3-36 Actualización de Software WLC
Figura 3-37 Puntos de Acceso Registrados
Para establecer la ubicación del AP, así como su dirección IP, Gateway, DNS y
Dominio, se realizó la configuración del AP en opciones generales como muestra
la Figura 3-38 a continuación.
159
Figura 3-38 Configuración AP General
Figura 3-39 Configuración de Interfaz del AP
La Figura 3-39 nos indica la asociacion del AP y la interfaz al que se encuentra
asociado. Para poder dar alta disponibilidad en el servicio el AP debe estar
registrado en las dos controladoras como muestra la Figura 3-40, con lo cual se
garantiza el sevicio en caso de que la controladora principal tuviese algún
inconveniente.
160
Figura 3-40 Asociación HA del AP
Figura 3-41 Datos de AP
Los datos del AP que se ha registrado y que adicionallmente sirve para levantar el
inventario se muestra en la Figura 3-41 .
Como se habia indicado cada AP forma parte de un grupo de acuerdo a los SSID
que distribuye para realizar la asociacion de este agrupamiento es necesario
ingresar a las opciones avanzadas como muestra la Figura 3-42 y que diferencia
de la Figura 3-47 que pertenece al grupo privilegiado de las autoridades.
161
Figura 3-42 Asociación al Grupo de AP
Figura 3-43 Configuración AP Autoridades
162
Figura 3-44 Asociación de Interfaz del AP
Figura 3-45 Configuración de HA de AP
Figura 3-46 Datos de Inventario de AP
163
Figura 3-47 Configuración de Grupo AP Privilegiado
3.5.2 ROAMING
La Figura 3-48 presenta la personalización de la configuración de roaming para la
Institución, en los niveles más altos recomendados por CISCO, y se ubicaron los
equipos de tal manera de brindar una mejor cobertura; asegurando que la red
trabaje también en la banda de 5.8 GHz, la cual no tiene mayores interferencias del
análisis realizado con el site survey.
Figura 3-48 Configuración Roaming
164
3.5.3 CONFIGURACÓN SNMP
La configuración del protocolo SNMP se realiza para la versión 2c (ver Figura 3-51)
para poder registrarlo en el NAC y en la versión 3 (ver Figura 3-50) registrando una
comunidad, parámetros de autenticación y privacidad para poder enganchar a la
plataforma de monitoreo de CA Spectrum (ver Figura 3-52) , para obtener las
alarmas presentadas por el dispositivo y su conjunto. La Figura 3-49 a continuación
muestra la configuración de la gestión SNMP para el WLC.
Figura 3-49 Configuración SNMP
Figura 3-50 Configuración SNMP V3
Figura 3-51 Configuración SNMP v2
165
Figura 3-52 Asociación Colector de Traps SNMP
3.5.4 CONFIGURACION QOS
La Calidad de servicio o (QoS) por sus siglas en inglés, se refiere a la capacidad
que tiene una red para brindar un mejor servicio seleccionando el tráfico a través
de diversas tecnologías. El objetivo principal de QoS es proporcionar prioridad
incluyendo ancho de banda dedicado, controlando la fluctuación (jitter) y la latencia
(requerida por tráfico en tiempo real), y mejorar la pérdida de características. La
controladora soporta cuatro niveles de calidad de servicio como muestra la
Figura.3-53.
Figura.3-53 Esquema de QoS
3.5.4.1 Platino/Voz
Este esquema asegura una alta calidad de servicio para voz a través de la red
inalámbrica, los parametros de configuración se especifican en la Figura 3-54.
166
Figura 3-54 Nivel Platino de QoS
3.5.4.2 Oro/Video
Soporta aplicaciones de vídeo de alta calidad la cual se direcciona para los servicios
de video con los aplicativos de Polycom para laptops y telefonos móviles
autorizados los parámetros de configuración se muestra en la Figura 3-55.
167
Figura 3-55 Nivel Oro de QoS
3.5.4.3 Plata/Best Effort
La configuración por defecto soporta ancho de banda normal para los clientes por
los que tendrán que competir por el canal todas las aplicaciones y datos que se
envíen por lo que se destina este servicio para los SSID asociados solo al consumo
de internet lo cual no representa una prioridad como la voz y el video en los SSID
destinados a las autoridades y funcionarios de la institución, los parámetros de
configuración de default se encuentran descritos en la Figura 3-56.
168
Figura 3-56 Nivel Plata de QoS
3.5.4.4 Bronce/Antecedentes
Proporciona el ancho de banda más bajo para servicios del grupo invitados ya que
su uso es esporádico y durante periodos cortos, por lo que no representa un grupo
al que debamos darle prioridad en el tráfico que genere, los parámetros para este
perfil se muestra en la Figura 3-57.
169
Figura 3-57 Nivel Bronce de QoS
3.5.4.5 Inventario
La Figura 3-58 muestra los datos físicos del WLC para el inventario, como es el
número serial del equipo y nombre de producto.
Figura 3-58 Inventario de WLC
170
3.5.5 CONFIGURACIÓN DE LISTAS DE ACCESO
Dado que en los diferentes niveles de acceso se deben restringir los accesos según
las utilidades de cada red para lo cual se crean listas de acceso a nivel de la interfaz
de VLAN en el switch de Core.
Red de Invitados.- debe ser limitada únicamente al acceso a Internet y no a la red
interna.
permit udp any host 10.20.22.23 eq domain
permit udp any host 10.30.22.8 eq domain
deny ip any 10.20.0.0 0.0.255.255 (Red interna UIO)
deny ip any 10.30.0.0 0.0.255.255 (Red interna GYE)
deny ip any 192.168.0.0 0.0.255.255 (Red Sucursales)
deny ip any 172.16.1.0 0.0.0.31 (Red DMZ UIO)
deny ip any 172.16.2.0 0.0.0.255 (Red DMZ GYE)
deny ip any
permit ip any any
Figura 3-59 Lista de Acceso SSID Invitados
Red de móviles.- debe ser limitada únicamente al acceso a Internet y a ciertos
aplicativos de la red interna.
permit udp any any eq bootpc
permit udp any any eq bootps
permit udp any host 10.20.22.23 eq domain
171
permit udp any host 10.30.22.8 eq domain
permit tcp any host 172.16.1.10 eq www
permit tcp any host 172.16.1.7 eq 443
permit ip any host 172.16.1.4
permit tcp any host 10.20.201.2 eq 443
permit udp any host 10.20.201.2 eq 1719
permit tcp any host 10.20.201.2 eq 1720
permit tcp any host 10.20.201.2 eq 5222
permit tcp any host 10.20.201.2 range 16384 32764
permit udp any host 10.20.201.3 range 49152 65535
permit udp any host 10.20.201.4 range 49152 65535
permit udp any host 10.20.201.5 range 49152 65535
permit udp any host 10.20.201.6 range 49152 65535
permit ip host 10.20.76.8 any
permit ip host 10.20.76.3 any
permit ip host 10.20.81.48 any
permit ip host 10.20.81.11 any
permit ip host 10.20.81.12 any
permit ip host 10.20.81.8 any
deny ip any 10.20.0.0 0.0.255.255
deny ip any 10.30.0.0 0.0.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.1.0 0.0.0.31
deny ip any 172.16.2.0 0.0.0.255
permit ip any any
Red de PDAs.- debe limitarse únicamente al acceso al servidor y servicio de
Supervisión.
permit udp any any eq bootpc
permit udp any any eq bootps
permit udp any host 10.20.22.23 eq domain
172
permit udp any host 10.30.22.8 eq domain
permit tcp any host 172.16.1.6 eq 9000
deny ip any any
Figura 3-60 Lista de Acceso SSID Móviles
Figura 3-61 Lista de Acceso SSID PDAs
173
CAPÍTULO 4
4. PRUEBAS, RESULTADOS Y COSTOS
4.1 ANTECEDENTES
Las redes inalámbricas han tenido una acogida mucho mayor en los últimos años,
este capítulo tiene por objetivo mostrar un presupuesto referencial de acuerdo al
requerimiento de la empresa para equipos CISCO por lo que se tomaron en cuenta
entre sus modelos los más apropiados para el desarrollo de la solución y que se
apegue a la infraestructura actual tanto en capa de Core, distribución y acceso. Con
las características técnicas de los equipos necesarios para la implementación que
se analizó en el capítulo dos se establece las bases técnicas para la adquisición de
los equipos así como los accesorios y poder definir el presupuesto referencial.
4.2 EQUIPOS DISPONIBLES EN EL MERCADO
Los equipos disponibles en el mercado se toman como base para la selección de
acuerdo a las características que se necesita para satisfacer las necesidades de la
institución.
4.2.1 PUNTOS DE ACCESO
Los puntos de acceso disponibles en el mercado y de los cuales se valida las
características que deben cumplir de acuerdo a los requerimientos levantados en
el proyecto se presentan en la Tabla 4-1 a continuación:
CISCO
Aironet
802.11n G2
Series Indoor
Access Points
Product
image
600 Series
Ideal for
Remote
worker
1600 Series
Small or midsize
enterprises,
midmarket
2600
Series
3600 Series
3700 Series
Small,
midsize,
large
enterprises
Midsize or large
enterprises
Midsize or large
enterprises that
require missioncritical traffic
174
Site type
Home
Indoor office, small
warehouse
Application
performance
profile
Consumer
data
Deployment
flexibility
Enterprise-class
performance
Voice/video/multime
dia
Future-proof
modularity
-
-
and midmarket
Indoor
office,
mediumsized
warehouse
Any
Device/BY
OD
optimized
Client
scalability
RF
interference
mitigation
-
Crowded
areas
Number of
radios
-
-
Yes
Dual
(2.4GHz
and
5.0GHz)
Dual (2.4GHz and
5.0GHz)
Dual
(2.4GHz
and
5.0GHz)
Max data rate
300 Mbps
300 Mbps
450 Mbps
MIMO radio
design:
spatial
streams
Client
count/ClientLi
nk client
count
2x3:2
3x3:2
3x4:3
15
No
ClientLink
support
128/32
200/128
Autonomous
access point
option
ClientLink 2.0
-
Yes
Yes
-
Yes
Yes
Large office,
midsize or large
warehouse
Large office,
midsize, or large
warehouse
High client
density
HD Video/VDI
802.11ac*migrati
on
Comprehensive
security
High client
density HD
Video/VDI
802.11ac*migrati
on
Comprehensive
security
Yes
802.11ac
Module
or
WSM (Wireless
Security
Module)
or 3G Small Cell
Or 802.11ac
Wave 2* Module
Yes
Yes
WSM
or 3G Small
Cell
or 802.11ac
Wave 2* Module
Tri Radios
2.4GHz for
802.11g/n
5GHz for
802.11a/n
5GHz 802.11ac
Module for
802.11a/n/ac
1.3 Gbps (with
802.11ac
module)
802.11n: 4 x 4:3
802.11ac: 3 x
3:3
Dual (2.4GHz
and 5.0GHz)
802.11n:
200/128
802.11ac
Module: 50/7
(ECBF)
Yes
200/128
Yes
ECBF with
802.11ac clients
ClientLink 3.0,
adding 802.11ac
support for
enhanced
connectivity with
802.11a/g/n/ac
clients
ECBF with
802.11ac clients
ClientLink and
ECBF to 11ac
clients
concurrently
Yes
1.3 Gbps
4 x 4:3
Yes
175
CleanAir
-
CleanAir Express*
Yes
Yes
VideoStream
BandSelect
Rogue access
point
detection
Adaptive
wireless
intrusion
protection
system (wIPS)
OfficeExtend
(Integratedantenna
models only)
FlexConnect
Power
-
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes - 80 MHz
channel support
at FCS
Yes
Yes
Yes
-
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
100 to 240
VAC,
50-60 Hz
Yes
802.3af, AC adapter
Yes
802.3af, AC
adapter
Yes
802.11n:
802.3af, AC
adapter
802.11ac*:
Enhanced PoE,
802.3at or
Universal PoE
(UPOE)
Temperature
range
0 to 40°C
1600i: 0 to 40°C
1600e: -20 to 50°C
2600i: 0 to
40°C
2600e: -20
to 55°C
Antennas
Internal
1600i: Internal
1600e: External
Wi-Fi
standards
Government
certifications
Limited
lifetime
warranty
802.11a/b/g
/n
802.11a/b/g/n
2600i:
Internal
2600e:
External
802.11a/b/g
/n
3600i: 0 to 40°C
3600e: -20 to
55°C
3600p: -20 to
55°C
3600i: Internal
3600e: External
3600p: External
(US only)
802.11a/b/g/n/ac
Yes
4 x 4:3
operation:
802.3at PoE+,
Enhanced PoE,
Universal PoE
(UPOE)
3 x 3:3
operation:
802.3af PoE
3700i: 0 to 40°C
3700e: -20 to
55°C
3700p: -20 to
55°C
3700i: Internal
3700e: External
3700p: External
Yes
Yes
Yes
Yes
802.11a/b/g/n/ac
Yes
Tabla 4-1 Puntos de Acceso Disponibles en el Mercado [8]
4.2.2 ANTENAS
Las antenas disponibles en el mercado y de las cuales se valida las caracteristicas
que deben cumplir de acuerdo a los requerimientos levantados en el proyecto se
presentan en la Tabla 4-2 a continuacion:
176
CISCO Part
Number
Antenna Type
Description
Gain
AIRANT2451V-R=
Omnidirectional 4
port (2 ports for
2.4 GHz, 2 port for
5 GHz)
Ceiling Mount Omni-directional
Antenna - Designed for use
indoor, this antenna comes with
ceiling mount hardware. It has 4
plenum rated pigtail cables, 18
inches each, with 4 right angle
RP-TNC connectors.
2.4 GHz: 2 dBi
5 GHz: 3 dBi
AIRANT2451NVR=
Omnidirectional, 6
port (2 ports for
2.4 GHz, 2 port for
5 GHz)
Ceiling Mount Omni-directional
Antenna - Designed for use
indoor, this antenna comes with
ceiling mount hardware. It has 6
plenum rated pigtail cables, 18
inches each, with 6 RP-TNC
connectors.
2.4 GHz: 2 dBi
5 GHz: 3 dBi
AIRANT25137NPR=
Patch, 6 port (2
ports for 2.4 GHz,
2 port for 5 GHz)
Designed for high density
wireless applications such as
stadiums and arena. Wall
mounted patch antenna with 6
plenum rated pigtail cables, 36
inches each and 6 RP-TNC
connectors. Only certified for
use with AP3502P access point.
2.4 GHz: 13 dBi
5 GHz: 7 dBi
AIRANT2524V4CR=
Omnidirectional 4,
port (all ports dual
band)
Ceiling mount omnidirectional
antenna - Designed for use
indoor, this antenna comes with
ceiling mount hardware. It has 4
plenum rated pigtail cables, 3
foot each, with four RP-TNC
connectors.
2.4 GHz: 2 dBi
5 GHz: 4 dBi
AIRANT2544V4MR=
Omnidirectional, 4
port (all ports dual
band)
Indoor/outdoor wall or mast
mounted dual band
omnidirectional antenna with
four plenum rated, 36 inch
cables and RP-TNC connectors.
Designed for use with access
points having dual band ports
such as 1600, 2600 or 3600.
2.4 GHz: 4 dBi
5 GHz: 4 dBi
AIRANT2566P4MR=
Patch, 4 port (all
ports dual band))
Indoor/outdoor wall mounted
dual band patch antenna with
four plenum rated, 36 inch
cables and RP-TNC connectors.
Designed for use with access
points having dual band ports
such as 1600, 2600 or 3600.
2.4 GHz: 6 dBi
5 GHz: 6 dBi
Tabla 4-2 Tipos De Antenas Para 2.4 Y 5 GHz [8]
177
4.2.3 CONTROLADORAS
Las controladoras disponibles en el mercado y ofrecidas por CISCO se muestran
en la Tabla 4-3 donde se valida las características de la Wism2 que es la que
cumple con la característica de ser modular y compatible con el modelo del switch
de core de acuerdo a los requerimientos levantados en el proyecto.
Wireless
Controller
s
Product
Image
2500
Series
3650
Series
5500
Series
5760
Series
3850
Series
WiSM2
Flex
7500
Series
8500
series
Target
deployme
nts
Small or
midsize
Small or
midsized
business
branch
Midsize
to large
enterpris
e
Midsized
to large
Enterpri
se
Small to
Large
Enterpris
e
Midsized
to Large
Enterpri
se
Form
factor
Desktop
1RU
Switch
Yes
No
1RU
applianc
e
No
1RU
switch
FlexConne
ct
(centrally
switched)
Central
Mode
(Formerly
Local
Mode)
Mesh
OfficeExte
nd
Min
Access
Points
Max
Access
Points
Max Client
Support
Max RF
Tag
Support
Max
Throughp
ut
Max
Number of
Access
Point
Groups
Max
Number of
Flex
Groups
Max
Access
1RU
applianc
e
Yes
No
Catalyst
6500
Module
Yes
Large
Number
of
Branche
s
1RU
applianc
e
Yes
Large
Enterpri
se and
Service
Provider
1RU
applianc
e
Yes
Yes
-
Yes
-
-
Yes
-
Yes
Yes
Yes
No
-
Yes
Yes
No
-
No
-
Yes
Yes
No
Yes
Yes
Yes
5
1
12
25
1
100
300
300
75
25
500
1,000
50
1,000
6,000
6,000
1,000
1,000
7,000
12,000
2,000
15,000
64,000
64,000
500
1,000
5,000
10,000
1,000
5,000
50,000
50,000
1 Gbps
8 Gbps
60 Gbps
1 Gbps
10 Gbps
500
1,000
20 Gbps
and 40
Gbps
50
20 Gbps
30
20 Gbps
and 40
Gbps
25
1,000
6,000
6,000
30
-
100
-
-
100
2,000
2,000
25
25
25
25
25
25
100
100
178
Points per
Group
Max
WLANs
Max
VLANs
Interfaces
or network
I/O
16
64
512
512
64
512
512
512
16
4,000
512
4,000
4,000
512
4096
4096
Four 1
GE
4 * 1 Gb /
10 Gb
Uplink
2 * 1 Gb /
10 Gb
Uplink
4 * 1 Gb
Uplink
24 and
48 *
10/100/1
000 Mbps
Data/PO
E+
Eight 1
GE
6 * 1/10
GE
Catalyst
6500
backpla
ne
Two 10
GE
Two 10
GE
Redundan
t power
No
Yes
(option)
Yes
(option)
Yes
(option)
4*1
GE/10
GE
uplink
2*1
GE/10
GE uplink
4 * 1 GE
uplink
24 and
48*
10/100/1
000 Mbps
data /
PoE+
Yes
(option)
Yes
Redundan
t fans
Max
Power
Consumpt
ion
Standard
hardware
warranty
Standard
software
warranty
Workgrou
p bridge
Link
Aggregati
on Group
(LAG)
Radio
Resource
Managem
ent (RRM)
Datagram
Transfer
Layer
Security
(DTLS)
CISCO
Compatibl
e
Extension
s Call
Admission
Control
(CAC)/WiFi
Multimedi
a (WMM)
CISCO
VideoStre
am
Built-in
Fan
80W
Yes
Yes
Yes
Yes
Yes
Yes
(installe
d)
Yes
Yes
(installe
d)
Yes
350W
125W
350W
350W
220W
675W
675W
90 days
E-LLW
90 days
90 days
E-LLW
90 days
90 days
90 days
90 days
90 days
90 days
90 days
90 days
90 days
90 days
90 days
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
-
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
-
Yes
179
Guest
services
(wireless)
Guest
services
(wired)
Guest
anchor
Access
control
lists
(ACLs)
HA with
AP SSO
HA with
Client
SSO
Integrated
Wireless
Policy
Engine
Applicatio
n Visibility
and
Control
(AVC)
Bonjour
Gateway
Mobility
QoS
Bidirectional
rate
limiting
FIPS
Common
Criteria
DISA
UCAPL
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
-
Yes
Yes
-
Yes
Yes
-
-
Yes
-
Yes
Yes
-
Yes
-
-
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
No Only
N+1 HA
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
No
Yes
No
No
Yes
Yes
Yes
Yes
No
Yes
No
No
Yes
Yes
Yes
Yes**
Yes***
Yes**
Yes***
Yes***
Yes**
Yes**
Yes**
Yes**
Yes
Yes**
Yes
Yes
Yes**
Yes**
Yes**
L2 & L3
Yes
L2 & L3
Yes
L2 & L3
Yes
(MQC
based)
No
L2
Yes
L2 & L3
Yes
Yes
L2 & L3
Yes
(MQC
based)
No
L2 & L3
Yes
Yes
L2 & L3
Yes
(MQCbased)
No
Yes
Yes
Yes
In plan
In plan
In plan
In plan
Certified
Certified
In plan
In plan
In plan
In plan
Certified
Certified
In plan
In plan
In plan
In plan
In plan
In plan
Certified
In plan
In plan
Certified
In plan
In plan
** Denotes supported in 'Central Mode' and 'FlexConnect' ('Centrally Switched') mode of deployments
***Supports application visibility (no control) with Generation-2 access points for wireless clients only
Tabla 4-3 Controladoras Disponibles En El Mercado [8]
4.3 ANÁLISIS DE COSTOS
4.3.1 ESTIMACIÓN DEL PRESUPUESTO REFERENCIAL
La tabla Tabla 4-4 en base a los anexos H, I, J detalla los costos en bruto de los
equipos principales que se colocarán como parte del proyecto ya que la parte de
cableado estructurado se encuentra habilitada por la institución.
180
En los costos no se incluye el diseño de la red inalámbrica ya que este trabajo al
ser de titulación no tiene fines de lucro. Además estos tienen una vigencia de 15
días las cotizaciones se las puede encontrar en el apartado de Anexos.
Ítem
Descripción
Total
Andean
Mega
Teck
Trade
Supply
13
20,735.00
16,678.72
20,384.00
52
2,028.00
1,631.27
1,980.16
2
59,990.00
116,480.00
116,480.00
8x5xNBD
13
1,144.00
1,118.26
1,310.40
8x5xNBD
2
10,722.26
19,217.42
22,848.00
Subtotal Prod.
82,818.00
106,783.20
138,844.16
Subtotal Serv.
11,866.26
20,335.68
24,158.40
Total
94,684.26
127,118.88
163,002.56
Puntos de
802.11n para
Acceso
4 antenas
Antena Indoor
Antena para
Cant.
2.4 y 5 GHz
Controladora
Soporta hasta
Wireless
100 AP
Wism2
Soporte
Smarnet por
AP
Soporte
Smarnet
Wism2
Tabla 4-4 Tabla de Evaluación de Ofertas
Después de evaluadas las proformas de los fabricantes el presupuesto estimado
para el proyecto resulta en una cantidad de $129,464.29 sin incluir el valor del IVA.
Con este valor se obtiene la certificación de fondos para el proyecto justificando la
viabilidad del mismo.
La solución planteada para Quito tiene por finalidad interconectar a nuevos usuarios
a los servicios que brinda la red institucional así como también al personal externo
que necesita acceder a ella para brindar soporte, así como a invitados que realizan
presentaciones o proponen propuestas para el negocio.
181
Este diseño busca facilitar el acceso a la red ya que realizar nuevos puntos de red
requiere de tiempo y para casos que necesitan de rapidez y de alta importancia
como son las reuniones que se mantienen sobre todo en el piso 20 con las
reuniones de directorio que incluyen a ministros y asesores de las autoridades por
lo que la solución inalámbrica les parece de alta importancia y han solicitado se
extienda a las demás sucursales de la institución lo cual constituirá otro proyecto
pero se consideró esta iniciativa para el dimensionamiento para las controladoras
que deberán soportar las transacciones y equipos que se vayan añadiendo a esta
solución.
En base a lo anteriormente expuesto este proyecto y en vista del crecimiento de la
tecnología inalámbrica que cada vez se encuentra más al alcance de todos los
usuarios se concluye que el análisis tienen un efecto positivo en la institución y se
ha adaptado equipos de alta tecnología dando una solución de última generación
integrando todas las funcionalidades y beneficios detallados en los diferentes
capítulos expuestos con lo cual se justifica la inversión realizada en el presente
proyecto.
4.4 PRUEBAS Y RESULTADOS
A continuación se presenta las pruebas realizadas ya en la puesta en producción
de la red inalámbrica.
4.4.1 RESULTADOS OBTENIDOS
4.4.1.1 Pruebas de Instalación
Prueba
Descripción de la Prueba
Resultado
#
1
INSTALACION WiSM
Pasó
Instalación física y lógica del módulo WiSM2 en Quito.
Mediante los comandos de verificación.
2
INSTALACION PUNTOS DE ACCESO
Pasó
182
Instalación física y lógica de los puntos de acceso en
Quito.
Mediante la interfaz de gestión del WLC se puede
observar el estado de los puntos de acceso y verificar:
Nombre e IP fija
Switch de acceso
Tabla 4-5 Pruebas de Instalación
4.4.1.2 Pruebas de Funcionamiento
Prueba
#
1
Descripción de la Prueba
ACCESO y GESTION QUITO
Resultado
Pasó
Verificación de parámetros básicos de funcionamiento.
Se verifica a través del acceso a administración:
Usuario y password de administración por CLI
Usuario y password de administración GUI
2
REGISTRO DE PUNTOS DE ACCESO QUITO
Pasó
Verificación de configuración de los puntos de acceso y
afinamientos. Se lo realiza mediante la administración
web, verificado el estado y funcionamiento de los puntos
de acceso instalados.
Registro de AP en WLC, dirección IP, hostname,
descripción, y estado.
3
SSID y SEGURIDADES QUITO
Pasó
Verificación de configuración y funcionamiento de WLC
de acuerdo a cada SSID planificados, desde la
administración WEB :
Validación de datos de SSID, parámetros de seguridad
configurados y acceso a cada uno.
Verificación de aislamiento de SSID de autoridades.
5
PERFORMANCE y MOVILIDAD
Pasó
183
Verificación de la movilidad de los usuarios.
Se verifica que de acuerdo a la ubicación del usuario, el
mismo se registre con el equipo más cercano, y el
cambio sea dinámico, de tal manera que se trabaje con
Roaming entre las frecuencias de 2,4 GHz (conexiones
en estándar 802.11b–g) y 5.8 GHz (conexiones en los
estándar 802.11a).
Se verifica el funcionamiento de aplicaciones en tiempo
real (videoconferencia Polycom) y se valida la
movilidad, el Roaming y la calidad del servicio. Se
garantiza que la llamada se mantenga establecida con
alta calidad.
Se verifica que los tiempos de respuesta y anchos de
banda de las conexiones hacia la red interna (Pruebas
ICMP-PING) y el Internet (a través del portal
www.speedtest.net).
Se obtienen tiempos de respuesta de
hasta 2 ms en pruebas ICMP y acceso a Internet de
hasta 7 Mbps.
Tabla 4-6 Pruebas de Funcionamiento
4.4.2 PRUEBAS DE RENDIMIENTO
Prueba
Descripción de la Prueba
Resultado
Se verifican parámetros de operación de la CPU y de la
Pasó
#
1
memoria de los Equipos
2
Se verifican el nivel de energía de los equipos y de sus
Pasó
partes que lo componen para descartar cualquier tipo de
anomalía en sus parámetros ambientales.
Tabla 4-7 Pruebas de Rendimiento
Las figuras a continuación fueron tomadas en el momento de la fase de pruebas.
184
La Figura 4-1 muestra el buen estado de los APs e indica su correcto
funcionamiento.
Figura 4-1 Ratificación de Buen Funcionamiento de APs
La Figura 4-2 a continuación muestra el correcto estado de consumo de CPU y
memoria de la controladora así como se puede observar la cantidad de clientes
conectados ese instante.
Figura 4-2 Ratificación de Uso de Memoria y Asociación de Clientes
Las siguientes figuras (Figura 4-3, Figura 4-4, Figura 4-5 y la Figura 4-6) se refieren
a la configuración presentada a modo de ejemplo por uno de los APs en ese
momento con los demás AP se realizó la misma verificación, donde se evalúan que
el direccionamiento IP se haya mantenido, que la alta disponibilidad se encuentre
vigente y además que la asociación al grupo respectivo este de acuerdo a lo
185
establecido anteriormente. El contador de días habilitados nos demuestra que el
servicio se encuentra vigente y no habido interrupciones o reinicios involuntarios
por parte del AP lo que indica que su operación ha sido eficaz además de indicarnos
que su alimentación energética se encuentra correcta.
Figura 4-3 Revisión de Configuración AP
Figura 4-4 Revisión de Configuración de Interfaces de AP
186
Figura 4-5 Revisión de HA en AP
Figura 4-6 Revisión de Asociación de Grupo en AP
Figura 4-7 Reporte de Air Quality en 802.11a/n
187
En la Figura 4-7 y Figura 4-8 nos muestra el reporte automático de la controladora
para el espacio donde se encuentran los APs y nos indica la cantidad de
interferencias o degradación en la señal que se ha sufrido lo que nos indica cual
es el canal que más re asociaciones ha tenido y esta diferenciación se basa en la
banda respectiva de configuración de cada canal.
Figura 4-8 Reporte de Air Quality en 802.11b/g/n
Finalmente se verifica el correcto desempeño
ya que el reporte automático del
peor escenario de la Figura 4-9 indica que de acuerdo a la escala de rendimiento
se encuentran operando en condiciones normales y la licencia aplicada cumple
perfectamente con lo elaborado en el proyecto como muestra la Figura 4-10.
Figura 4-9 Reporte del peor escenario
Figura 4-10 Licencias Utilizadas
188
CAPÍTULO 5
5. CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
I.
La infraestructura de una institución es una parte fundamental que debe ser
tenida en cuenta, como el cableado estructurado, ya que se observó en este
proyecto de titulación un impacto muy fuerte al cambiarlo de categoría 5 a
6A dándonos mayores alcances de velocidad, mejor estabilidad de la señal;
mejorando así la calidad del servicio prestado.
II.
Para la adecuada solución de una red inalámbrica, es muy importante
realizar tanto el site survey pasivo como el activo, ya que de esta forma
vaticinamos el uso de los equipos necesarios con características adecuadas
para soportar el tráfico requerido de acuerdo a la adecuación del lugar.
III.
El esquema de failover es de carácter prioritario para una solución, por lo
que se debe tomar en cuenta en el diseño, para dar una robustez a la red y
al servicio como tal, asegurando que todos los perfiles de usuarios y accesos
sean brindados con transparencia para el usuario en caso de darse este tipo
de situaciones.
IV.
Luego de la colocación de los equipos se debe realizar un site survey para
verificar el correcto cubrimiento de la zona deseada y el funcionamiento a
cabalidad de los servicios con los estándares planteados y sobre todo
garantizar la movilidad de los usuarios a través del roaming.
V.
Acoplar todos los servicios en una sola solución, que integre en su
administración el manejo de políticas, seguridad, autenticación, entre otras;
189
para los administradores de red es de carácter importante, por lo que, se
debe dar de una forma ordenada y simple al fin de identificar de forma rápida
y eficaz; cualquier anomalía que afecte el negocio, para resolverla a tiempo,
ayudando a cumplir con los niveles de servicio adecuados.
VI.
Si se tiene un entorno de infraestructura convergente esto nos da como
ventaja el incremento de agilidad, escalabilidad, reducción en el consumo de
memoria y procesamiento que al mismo tiempo da por resultado una mejor
operatividad, por esto; en este proyecto se buscó los mejores equipos de la
marca especificada y con una perspectiva de adaptabilidad y compatibilidad
de aquí a 5 años tomando de referencia la tecnología de Core que posee la
institución.
VII.
La seguridad de la información así como de la red es de vital importancia
para tener una red confiable, por lo que es preferible hacer uso de la ventaja
de tener una red segmentada, ya que así, de acuerdo al perfil de los usuarios
que vayan acceder a través de la red podemos tener un mayor control y
rastro de sus acciones; así como realizar listas de control de acceso en el
Core da robustez a la red.
VIII.
La redundancia es la solución para lograr la disponibilidad necesaria en un
negocio que tiene que permanecer continuo; por lo que, se debe tomar en
consideración para el diseño de una solución, no solo de red inalámbrica
sino de infraestructura en general.
IX.
La redundancia al brindar una gran flexibilidad en la elección de rutas para
la red y permitir que los datos se transmitan independientemente de la
existencia de fallas en una ruta o en un dispositivo, en las capas de
distribución o núcleo. Hay que analizar todos los puntos posibles de falla y
tener en cuenta antes de que se implemente de forma segura en una red
jerárquica, ya que deben ser discriminados por orden de prioridad de
acuerdo a los servicios que se dejaría de tener en ese momento y considerar
190
el tiempo que tomaría volverlos a poseer; dándonos así las ventanas de
tiempo por servicios y plantear las soluciones efectivas para reducir así el
impacto de los mismos.
5.2
I.
RECOMENDACIONES
Para poder realizar un correcto diseño es necesario conocer la topología de
la red a la cual se van a conectar los equipos y así poder brindar una solución
robusta cuya administración sea ágil y eficaz permitiendo diagnosticar
problemas a tiempo.
II.
Realizar manuales, procedimientos e instructivos para prevenir el mal
manejo de los equipos, que sirva de apoyo para el personal que lo administra
para el correcto funcionamiento de la infraestructura implementada, así
como evitar falla en el servicio.
III.
Realizar
un
respaldo
de
la
configuración
de
las
controladoras
periódicamente, para en caso de falla poseer un respaldo efectivo de la
configuración así como de las tablas MAC de los dispositivos registrados.
IV.
Como una buena práctica debe mantenerse la configuración de las IP de los
equipos de manera estática, pero si se maneja como en este caso un
direccionamiento dinámico, tener de igual manera reservada por MAC la
dirección para evitar desacoplamientos al momento de un reinicio
involuntario de la plataforma.
V.
Generar varios perfiles de usuario dejando inactivo el del Administrador para
evitar configuraciones erradas. La parte operativa puede ser manejada con
vistas de lectura o de permisos limitados para la creación de usuarios que
requieren acceso temporal.
191
VI.
Dar mantenimiento a los equipos tanto en hardware como en software al
menos dos veces al año para asegurar el buen funcionamiento de la
plataforma.
VII.
Simular los esquemas de failover poniendo a prueba la característica de la
redundancia y alta disponibilidad del diseño para prevenir novedades en
situaciones reales.
192
REFERENCIAS BIBLIOGRÁFICAS
[1] CISCO, Implementing Cisco Unified Wireless Networking Essentials, San Jose, CA,
2011.
[2] CISCO, «RF,» 06 05 2014. [En línea]. Available:
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Netwo
rks/Unified_Access/CMX/CMX_RFFund.pdf.
[3] I. P. D. Bernal, Comunicaciones Inalámbricas, Quito, 2005.
[4] W. Stallings, Wireless Communications and Networks, New Jersey: Pearson
Prentice Hall, 2005.
[5] CISCO, «CISCO-QoS,» [En línea]. Available:
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Mobility/vowlan/4
1dg/vowlan41dg-book/vowlan_ch2.html#wp1045473. [Último acceso: 10 01
2015].
[6] P. I. Hidalgo, «Conmutación y Conexión Inalámbrica de LAN,» Quito, 2011.
[7] Cisco Systems, Inc, «Configuring Virtual Switching Systems,» de Catalyst 6500
Release 12.2SX Software Configuration Guide, San Jose, Cisco Systems, Inc.
[8] CISCO, «www.cisco.com,» 01 2013. [En línea]. Available:
http://cisco.com/go/unifiedaccess. [Último acceso: 24 02 2014].
[9] skype, «https://support.skype.com/es/faq/FA1417/que-ancho-de-bandanecesita-skype,» [En línea]. Available:
https://support.skype.com/es/faq/FA1417/que-ancho-de-banda-necesita-skype.
[Último acceso: 06 01 2014].
[10] Polycom, «Real Presence Win,» 06 08 2014. [En línea]. Available:
http://latinamerica.polycom.com/content/dam/polycom/common/documents/d
ata-sheets/realpresence-desktop-windows-ds-esla.pdf.
[11] Computer Aided Solutions, 02 07 2014. [En línea]. Available:
http://www.dataloggerinc.com/content/resources/white_papers/332/the_basic
s_of_signal_attenuation/.
193
[12] A. S. Tanenbaum, Computer Networks, New Jersey: Prentice Hall PRT, 2003.
[13] Cisco Systems, «Cisco Connected Stadium Wi-Fi for Sports and Entertainment
Venues,» 2011.
[14] Cisco Systems, Inc., Wi-Fi Location-Based Services 4.1 Design Guide, San Jose:
Cisco Systems, Inc., 2008.
[15] CISCO, «www.cisco.com,» 20 11 2006. [En línea]. Available:
http://www.cisco.com/c/en/us/td/docs/wireless/antenna/installation/guide/ant
5135d.html#wp43294. [Último acceso: 12 02 2013].
[16] IEEE, «www.ieee.org,» [En línea]. Available: http://www.ieee802.org/16. [Último
acceso: 15 03 2013].
[17] IEEE, «www.ieee.org,» [En línea]. Available: http://www.ieee802.org/11/.
[Último acceso: 27 05 2013].
[18] IEEE, «www.ieee.org,» [En línea]. Available: http://ieee802.org/15. [Último
acceso: 29 03 2013].
[19] IEEE, «www.ieee.org,» 29 03 2012. [En línea]. [Último acceso: 29 05 2013].
[20] CISCO, «cisco,» [En línea]. Available:
http://www.cisco.com/c/en/us/products/wireless/buyers-guide.html. [Último
acceso: 10 septiembre 2013].
[21] CISCO, Implementing Cisco Unified Wireless Networking Essentials, San Jose, CA:
Cisco, 2011.
194
ANEXOS
ANEXO A
APLICACIONES QUITO-GUAYAQUIL
PERIODO SEPTIEMBRE
A-1
Aplicaciones Quito Guayaquil
Generated: Jan 8, 2014 5:32 PM ECT
A-2
Aplicaciones Quito Guayaquil
Sep 1, 2013 12:00 AM ECT - Sep 30, 2013 11:30 PM ECT
Application
Sourc Destinatio Destinati
e IP (U
n IP
on Port
nique (Unique (Unique
Count Count)
Count)
)
Source
By tes
(Sum)
Destinatio Total
n Bytes Bytes
(Sum)
(Sum)
Count
DataWarehousin Multiple (7) Multiple (27) 3260
g.iS
CSI
200,301,079, 3,407,915,62 203,708,994 3,795
100
1
,721
other
152,451,678, 23,682,102,3 176,133,781 1,177,258
763
09
,072
Multiple
(719)
Multiple
(528)
Multiple
(41,587)
Multimedia.Intelle Multiple
x
(15)
Multiple (33) Multiple
(3)
51,522,908,8 2,629,193,13 54,152,101, 38,310
23
2
955
Misc.LotusNotes Multiple
(32)
Multiple (80) 1352
25,718,001,8 947,924,856 26,665,926, 80,140
74
730
DataTransfer.FT Multiple (8) Multiple (6) Multiple
P
(2)
11,257,596,2 186,774,800 11,444,371, 1,692
96
096
Web.Web.Misc
Multiple (21) 80
570,342,685 2,583,429,75 3,153,772,4 397,820
5
40
Web.SecureWeb Multiple
(21)
Multiple (11) 443
110,142,894 1,528,708,07 1,638,850,9 11,050
4
68
DataTransfer.Win Multiple
do wsFileSharing (30)
Multiple (20) Multiple
(2)
1,242,401,54 63,267,350
6
InnerSystem.Flo
wgen
Multiple (21) Multiple
(1,402)
687,611,527 498,660,192 1,186,271,7 21,078
19
RemoteAccess.M Multiple
ST
(21)
erminalServices
Multiple (33) 3389
61,918,807
916,824,790 978,743,597 729
DataTransfer.Nor Multiple
ton
(22)
Ghost
Multiple
(112)
37,513,054
247,160,026 284,673,080 1,604
Misc.snmp
Multiple
(70)
Multiple (24) 161
Misc.bootpc
10.20.22.2 Multiple
3
(628)
Misc.domain
Multiple
(1,263)
Multiple
(55)
Multiple
(28)
Multiple
(2)
68
Multiple (9) 53
1,305,668,8 14,901
96
119,695,589 160,208,774 279,904,363 75,676
238,880,364 97,833
57,567,814
238,978,197 86,044
162,724,129 220,291,943 596,421
DataWarehousing Multiple
.Or acle
(33)
Multiple
(189)
Web.http(8080)
Multiple
(62)
Multiple (6) 8080
73,938,458
76,279,965
150,218,423 27,546
DataWarehousing Multiple
.Or
(20)
acleTNS.PeopleS
oft
Multiple (88) 1521
85,663,617
11,551,193
97,214,810 800
ICMP.Echo
Multiple
(876)
69,585,162
0
69,585,162 328,087
Multiple
(672)
Multiple (8) 156,731,917 19,563,171
0
176,295,088 6,279
RemoteAccess.S Multiple
SH
(15)
Multiple (30) 22
17,027,194
46,240,431
63,267,625 4,571
ICMP.Destination Multiple
-Un reachable
(800)
Multiple
(420)
45,707,472
0
45,707,472 63,611
0
A-3
Authentication.Ra Multiple
dius
(26)
Multiple
(137)
Multiple (4) 37,166,011
5,527,183
42,693,194 3,146
Misc.giop
Multiple
(21)
Multiple (88) Multiple (2) 38,259,616
2,724,832
40,984,448 1,456
Misc.ttc
Multiple
(28)
Multiple
(119)
Multiple (6) 32,556,721
4,656,723
37,213,444 2,885
Misc.tlisrv
Multiple
(24)
Multiple
(114)
Multiple (2) 32,521,047
4,640,314
37,161,361 1,574
RemoteAccess.V Multiple (5) Multiple (3) 5900
NC
3,166,425
32,552,103
35,718,528 68
Misc.bootps
Multiple (15) 67
6,197,750
18,874,532
25,072,282 5,623
DataWarehousing Multiple
.S
(19)
APGatewayServe
r
Multiple (48) 3300
13,491,462
1,109,165
14,600,627 685
Misc.ntp
Multiple (13) 123
7,204,192
6,872,680
14,076,872 33,561
DataWarehousing Multiple
.Or acleDB
(16)
Multiple (69) 1571
11,640,595
1,842,461
13,483,056 755
Misc.Nessus
Multiple (82) 1241
8,835,184
3,576,072
12,411,256 816
ICMP.Echo-Reply Multiple
(73)
Multiple
(545)
12,061,690
0
12,061,690 91,072
DataWarehousing Multiple
.Or asrv
(18)
Multiple (87) 1525
9,723,018
2,206,893
11,929,911 815
Streaming.Micros Multiple
oft
(17)
MediaServerStrea
mi ng
Multiple (70) 1755
9,989,720
1,477,533
11,467,253 758
Misc.UPnP
Multiple
(18)
Multiple (79) 1900
9,156,032
1,910,015
11,066,047 807
DataWarehousing Multiple
.M
(19)
SSQLServer
Multiple (82) 1433
9,621,889
1,405,124
11,027,013 784
P2P.Kazaa
Multiple
(102)
1214
9,428,486
1,481,513
10,909,999 820
RemoteAccess.S Multiple
unR
(21)
PC.NFS
Multiple (75) 2049
8,849,197
1,662,163
10,511,360 791
Mail.ccmail
Multiple (41) 3264
7,907,487
2,259,371
10,166,858 687
3,709,460
6,452,192
10,161,652 1,860
Multiple
(93)
Multiple
(12)
Multiple
(20)
Multiple
(23)
Multiple
(13)
0
DirectoryServices Multiple (4) Multiple (3) 636
.LD
AP
NetworkManage
ment
.FlowRecords
Multiple
(19)
Multiple (74) Multiple (4) 8,857,499
1,281,121
10,138,620 763
Chat.MSN.Misc
Multiple
(19)
Multiple (76) 1863
8,524,395
1,498,060
10,022,455 776
VoIP.H.323.CallSi Multiple
gn aling
(10)
Multiple (53) 1720
8,595,934
779,232
9,375,166
282
Web.Squid
Multiple (53) 3128
8,223,154
1,072,445
9,295,599
676
Multiple
(15)
A-4
RemoteAccess.Cit Multiple
rix
(21)
ICA
Multiple (83) 1494
8,028,257
1,230,732
9,258,989
796
SecurityProtocol.I Multiple
PS ec
(12)
Multiple (57) Multiple (2) 8,006,461
1,094,109
9,100,570
651
P2P.eDonkey200 Multiple
0
(17)
Multiple (47) 4662
7,449,692
880,892
8,330,584
675
P2P.PeerEnabler Multiple
(14)
Multiple (47) 3531
7,357,982
910,294
8,268,276
680
Web.NortonAntiVi Multiple
rus
(13)
Multiple (48) 2967
7,314,129
866,278
8,180,407
654
Misc.snmptrap
Multiple (4) Multiple (2) Multiple (2) 7,898,530
0
7,898,530
3,508
P2P.Blubster
Multiple (3) Multiple (4) 41170
567,264
812,587
1,379,851
16
1,041,879
272,129
1,314,008
1,594
Streaming.Stream 157.100.10 Multiple (2) 8000
ing
2.120
Audio
194,112
0
194,112
1,348
InnerSystem.Upd Multiple (2) Multiple (2) 45000
ate
Daemon
127,878
54,061
181,939
16
DataWarehousing Multiple (3) Multiple (2) 9080
.Co bis
117,102
666
117,768
13
NetworkManagem Multiple (2) Multiple (2) 40000
ent
.Flowproc
5,097
14,813
19,910
4
Chat.IRC
5,873
FileTransfer.NET Multiple
BI
(34)
OS
Multiple (26) 137
236
6,109
2
DataWarehousing Multiple (2) Multiple (2) Multiple (2) 1,057
.A
RCserverBackup
Multiple (2) Multiple (2) 6667
1,275
2,332
4
Misc.Kerberos
0
828
18
DataWarehousing Multiple (2) Multiple (2) 5432
.Po stgreSQL
532
190
722
2
DataTransfer.NFS 10.20.64.5 10.30.2.5
362
262
624
3
298
288
586
3
RemoteAccess.pc 157.100.10 157.100.75. 65301
an ywhere
2.132
112
252
304
556
4
RemoteAccess.Te 10.20.64.5 10.30.2.5
lnet
278
238
516
3
502
0
502
4
Multiple (2) 368
0
368
8
Chat.Yahoo
10.20.64.5 10.30.2.5
Multiple (5) 828
111
Multiple (2) Multiple (2) 5050
23
FileTransfer.DCO Multiple (2) Multiple (2) 135
M
FileTransfer.xfer
10.20.64.5 10.30.2.5
Mail.SMTP
Multiple (2) Multiple (2) 25
328
0
328
5
Misc.MITMLDevic 10.20.64.5 10.30.2.5
e
Multiple (2) 276
0
276
6
Misc.name
10.20.64.5 10.30.2.5
42
184
0
184
4
Mail.pop2
10.20.64.5 10.30.2.5
109
184
0
184
4
Misc.whois
10.20.64.5 10.30.2.5
43
184
0
184
4
DataTransfer.NNT 10.20.64.5 10.30.2.5
PN ews
119
184
0
184
4
Misc.finger
10.20.64.5 10.30.2.5
79
184
0
184
4
Misc.daytime
10.20.64.5 10.30.2.5
13
184
0
184
4
A-5
Web.http(81)
10.20.64.5 10.30.2.5
81
184
0
184
4
Misc.Syslog
10.20.64.5 10.30.2.5
514
184
0
184
4
Misc.AltaVistaFire 10.20.64.5 10.30.2.5
wa ll97
26
184
0
184
4
Misc.metagram
10.20.64.5 10.30.2.5
99
184
0
184
4
Misc.bgmp
10.20.64.5 10.30.2.5
264
184
0
184
4
Misc.dnsix
10.20.64.5 10.30.2.5
90
184
0
184
4
Misc.time
10.20.64.5 10.30.2.5
37
184
0
184
4
Misc.mfcobol
10.20.64.5 10.30.2.5
89
184
0
184
4
P2P.BitTorrent
Multiple
(2)
144
0
144
3
Misc.objcall
10.20.64.5 10.30.2.5
Multiple (2) Multiple
(2)
259
138
0
138
3
Authentication.TA 10.20.64.5 10.30.2.5
CA
CS
49
138
0
138
3
Mail.POP
10.20.64.5 10.30.2.5
110
138
0
138
3
P2P.OpenNap
Multiple
(2)
Multiple (2) 6699
98
0
98
2
Chat.Jabber
Multiple
(2)
Multiple (2) 5222
98
0
98
2
Web.Webmin
Multiple
(2)
Multiple (2) 10000
98
0
98
2
FilePrint.MDQS
10.20.64.5 10.30.2.5
666
46
46
92
2
Misc.ctf
10.20.64.5 10.30.2.5
84
92
0
92
2
Misc.discard
10.20.64.5 10.30.2.5
9
92
0
92
2
Misc.dsp
10.20.64.5 10.30.2.5
33
92
0
92
2
Misc.gopher
10.20.64.5 10.30.2.5
70
92
0
92
2
Misc.qotd
10.20.64.5 10.30.2.5
17
92
0
92
2
Streaming.RTSP. 10.20.64.5 10.30.2.5
RT
SPSessionContro
l
554
46
0
46
1
P2P.Gnutella
10.20.64.5 10.30.2.5
6346
46
0
46
1
Mail.IMAP
10.20.64.5 10.30.2.5
143
46
0
46
1
Misc.echo
10.20.64.5 10.30.2.5
7
46
0
46
1
Chat.ICQ
10.20.64.5 10.30.2.5
5190
46
0
46
1
ANEXO B
APLICACIONES QUITO-GUAYQUIL
PERIODO OCTUBRE
B-1
Aplicaciones Quito Guayaquil
Generated: Jan 10, 2014 4:08 PM ECT
B-2
Aplicaciones Quito Guayaquil
Oct 1, 2013 12:00 AM ECT - Oct 31, 2013 11:30 PM ECT
Application
Source Destinati Destinati Source By
IP (U
on IP
on Port tes (Sum)
nique
(Unique (Unique
Count)
Count)
Count)
Destinati Total Bytes
on Bytes (Sum)
(Sum)
Count
DataWarehousing Multiple
.iS
(10)
CSI
Multiple
(52)
3260
1,823,164,370, 38,033,843,1 1,861,198,213, 6,680
710
60
870
other
Multiple
(686)
Multiple
(615)
Multiple
(36,741)
155,252,305,21 25,368,111,7 180,620,416,95 1,009,0
7
34
1
27
Multimedia.Intelle Multiple
x
(19)
Multiple
(79)
Multiple (3) 94,663,060,615 5,046,365,15 99,709,425,766 19,330
1
RemoteAccess.S Multiple
SH
(25)
Multiple
(63)
22
25,325,164,020 35,310,528,3 60,635,692,392 5,404
72
Misc.LotusNotes
Multiple
(33)
Multiple
(104)
1352
31,792,218,300 1,345,113,31 33,137,331,616 74,599
6
DataTransfer.FTP Multiple
(5)
Multiple
(51)
Multiple (2) 14,500,945,777 230,550,250 14,731,496,027 2,115
DataTransfer.Win Multiple
do wsFileSharing (30)
Multiple
(63)
Multiple (2) 8,427,334,753 2,945,717,37 11,373,052,126 14,218
3
InnerSystem.Flow Multiple
gen
(31)
Multiple
(75)
Multiple
(1,349)
773,011,642
3,361,381,28 4,134,392,927 16,755
5
Web.Web.Misc
Multiple
(60)
Multiple
(555)
80
638,279,407
3,331,254,14 3,969,533,555 425,733
8
Web.SecureWeb Multiple
(41)
Multiple
(468)
443
96,319,034
1,559,998,69 1,656,317,728 39,397
4
Streaming.RTSP. Multiple
RT
(2)
SPSessionContro
l
Multiple
(50)
554
14,317,480
896,313,894 910,631,374
145
Web.http(8080)
Multiple
(57)
Multiple
(47)
8080
256,991,778
212,512,981 469,504,759
42,952
DataWarehousing Multiple
.Or acle
(31)
Multiple
(203)
Multiple (8) 30,410,006
392,906,281 423,316,287
3,420
RemoteAccess.M Multiple
ST
(26)
erminalServices
Multiple
(62)
3389
83,659,500
328,636,061 412,295,561
598
Misc.snmp
Multiple
(34)
Multiple
(102)
161
170,081,295
208,536,808 378,618,103
590,138
Misc.tlisrv
Multiple
(24)
Multiple
(101)
Multiple (2) 10,197,533
294,786,211 304,983,744
780
Misc.bootpc
10.20.22. Multiple
23
(525)
68
253,096,631
21,584
91,358
Misc.domain
Multiple
(1,131)
Multiple
(49)
53
60,425,980
167,136,744 227,562,724
521,474
RemoteAccess.V Multiple
NC
(12)
Multiple
(47)
5900
20,763,145
187,052,203 207,815,348
244
Chat.MSN.Misc
Multiple
(21)
Multiple
(85)
1863
4,747,543
164,325,664 169,073,207
424
Misc.Nessus
Multiple
(19)
Multiple
(79)
1241
20,797,420
115,734,693 136,532,113
466
Authentication.Ra Multiple
dius
(29)
Multiple
(164)
Multiple (4) 11,465,027
99,170,040
1,686
253,118,215
110,635,067
B-3
ICMP.Echo
Multiple
(624)
Multiple
(1,033)
0
66,232,230
0
66,232,230
358,212
RemoteAccess.S Multiple
unR
(22)
PC.NFS
Multiple
(105)
2049
60,193,379
2,317,017
62,510,396
542
Misc.ntp
Multiple
(21)
Multiple
(14)
123
24,305,864
16,906,276
41,212,140
33,807
ICMP.Destination- Multiple
Un reachable
(741)
Multiple
(388)
0
31,414,563
0
31,414,563
61,900
Misc.ttc
Multiple
(30)
Multiple
(145)
Multiple (6) 15,782,198
8,355,473
24,137,671
1,434
Misc.bootps
Multiple
(108)
Multiple
(15)
67
7,095,016
15,744,498
22,839,514
5,866
RemoteAccess.Te Multiple
lnet
(6)
Multiple
(51)
23
752,080
16,019,825
16,771,905
236
Misc.snmptrap
Multiple
(3)
Multiple
(18)
Multiple (2) 14,285,656
736
14,286,392
3,255
DataTransfer.Nort Multiple
on
(23)
Ghost
Multiple
(105)
Multiple (2) 8,282,173
4,354,310
12,636,483
877
Misc.UPnP
Multiple
(20)
Multiple
(104)
1900
2,210,288
9,352,743
11,563,031
493
Streaming.Micros Multiple
oft
(17)
MediaServerStrea
mi ng
Multiple
(96)
1755
9,095,764
1,471,650
10,567,414
508
FileTransfer.NET Multiple
BI
(32)
OS
Multiple
(74)
137
7,424,291
544,300
7,968,591
4,647
ICMP.Echo-Reply Multiple
(68)
Multiple
(456)
0
7,916,486
0
7,916,486
89,907
Misc.giop
Multiple
(22)
Multiple
(81)
Multiple (2) 4,550,544
2,736,516
7,287,060
790
DataWarehousing Multiple
.M
(20)
SSQLServer
Multiple
(117)
1433
4,736,752
1,329,303
6,066,055
531
DirectoryServices. Multiple
LD
(4)
AP
Multiple
(23)
636
1,755,834
3,618,993
5,374,827
1,052
Web.Squid
Multiple
(15)
Multiple
(89)
3128
3,221,898
891,850
4,113,748
436
P2P.Kazaa
Multiple
(20)
Multiple
(86)
1214
3,127,678
845,339
3,973,017
410
DataWarehousing Multiple
.S
(19)
APGatewayServe
r
Multiple
(79)
3300
1,792,883
1,836,361
3,629,244
363
DataWarehousing Multiple
.Or acleDB
(19)
Multiple
(78)
1571
2,414,418
838,709
3,253,127
417
DataWarehousing Multiple
.Or asrv
(16)
Multiple
(68)
1525
1,788,695
1,462,104
3,250,799
390
Web.NortonAntiVi Multiple
rus
(13)
Multiple
(71)
2967
2,564,352
577,115
3,141,467
354
DataWarehousing Multiple
.Or
(25)
Multiple
(99)
1521
2,233,912
705,090
2,939,002
450
B-4
acleTNS.PeopleS
oft
P2P.PeerEnabler Multiple
(16)
Multiple
(48)
3531
1,764,185
973,298
2,737,483
319
P2P.eDonkey200 Multiple
0
(13)
Multiple
(64)
4662
2,288,649
436,470
2,725,119
319
RemoteAccess.Cit Multiple
rix
(22)
ICA
Multiple
(86)
1494
1,948,457
727,829
2,676,286
434
NetworkManagem Multiple
ent
(21)
.FlowRecords
Multiple
(61)
Multiple (3) 1,944,093
596,984
2,541,077
403
Mail.ccmail
Multiple
(13)
Multiple
(44)
3264
1,670,720
508,283
2,179,003
319
VoIP.H.323.CallSi Multiple
gn aling
(12)
Multiple
(99)
1720
1,563,238
345,281
1,908,519
335
SecurityProtocol.I Multiple
PS ec
(15)
Multiple
(61)
Multiple (2) 1,007,442
334,981
1,342,423
299
Streaming.Stream Multiple
ing
(5)
Audio
Multiple
(43)
8000
252,177
3,004
255,181
1,614
Web.Webmin
Multiple
(3)
Multiple
(39)
10000
40,808
168,915
209,723
184
DataWarehousing Multiple
.Co bis
(7)
Multiple
(11)
9080
130,156
35,018
165,174
54
P2P.OpenNap
Multiple
(3)
Multiple
(18)
6699
128,119
30,297
158,416
21
Misc.Kerberos
Multiple
(4)
Multiple
(54)
Multiple (5) 104,951
25,578
130,529
493
P2P.Blubster
Multiple
(2)
Multiple (2) 41170
20,732
48,361
69,093
13
Web.http(81)
Multiple
(2)
Multiple
(36)
81
48,962
1,748
50,710
145
DataWarehousing Multiple
.Po stgreSQL
(3)
Multiple
(42)
5432
37,542
2,024
39,566
125
Misc.name
Multiple
(2)
Multiple
(22)
42
35,802
920
36,722
57
Misc.dsp
Multiple
(2)
Multiple
(22)
33
26,630
736
27,366
34
DataTransfer.NFS Multiple
(2)
Multiple
(44)
111
12,428
13,080
25,508
142
Misc.Syslog
Multiple
(2)
Multiple
(37)
514
14,773
7,896
22,669
157
Mail.IMAP
Multiple
(2)
Multiple
(39)
143
16,100
1,932
18,032
107
Misc.finger
Multiple
(2)
Multiple
(38)
79
9,972
8,050
18,022
139
FileTransfer.DCO Multiple
M
(3)
Multiple
(49)
135
11,050
4,990
16,040
169
Misc.echo
Multiple
(2)
Multiple
(39)
7
10,042
4,338
14,380
164
Mail.SMTP
Multiple
(3)
Multiple
(43)
25
7,986
4,274
12,260
116
Misc.daytime
Multiple
(2)
Multiple
(39)
13
9,250
2,162
11,412
138
B-5
Chat.ICQ
Multiple
(2)
Multiple
(38)
5190
6,616
1,748
8,364
113
Misc.ctf
Multiple
(2)
Multiple
(22)
84
6,676
1,242
7,918
53
Misc.discard
Multiple
(2)
Multiple
(40)
9
5,384
1,932
7,316
111
DataTransfer.NNT Multiple
PN ews
(2)
Multiple
(39)
119
4,752
2,070
6,822
115
Mail.POP
Multiple
(2)
Multiple
(47)
110
3,450
2,162
5,612
117
Misc.AltaVistaFire Multiple
wa ll97
(2)
Multiple
(36)
26
3,450
1,748
5,198
111
Misc.time
Multiple
(2)
Multiple
(36)
37
3,078
1,978
5,056
106
P2P.BitTorrent
Multiple
(3)
Multiple
(34)
Multiple (2) 1,032
2,116
3,148
67
Misc.MITMLDevic Multiple
e
(2)
Multiple
(34)
Multiple (2) 1,046
2,024
3,070
56
FileTransfer.xfer
Multiple
(31)
Multiple (2) 884
1,702
2,586
51
Multiple
(2)
DataWarehousing 10.20.22. 10.30.22.8 41524
.A
23
RCserverBackup
1,065
1,335
2,400
3
NetworkManagem 10.20.22. 10.30.22.8 40000
ent
23
.Flowproc
1,005
1,275
2,280
4
Misc.metagram
Multiple
(2)
Multiple
(33)
99
948
1,196
2,144
43
Chat.Yahoo
Multiple
(2)
Multiple
(25)
5050
1,146
966
2,112
38
Chat.IRC
Multiple
(3)
Multiple
(14)
6667
1,472
598
2,070
26
Authentication.TA Multiple
CA
(2)
CS
Multiple
(28)
49
778
1,150
1,928
40
Mail.pop2
Multiple
(25)
109
824
828
1,652
33
InnerSystem.Upd 10.20.22. 10.30.22.8 45000
ate
23
Daemon
670
850
1,520
2
Misc.dnsix
Multiple
(2)
Multiple
(25)
90
506
1,012
1,518
29
Chat.Jabber
Multiple
(3)
Multiple
(21)
5222
374
1,104
1,478
31
P2P.Gnutella
Multiple
(2)
Multiple
(20)
6346
552
782
1,334
27
Misc.gopher
Multiple
(2)
Multiple
(21)
70
364
966
1,330
26
Misc.bgmp
Multiple
(2)
Multiple
(17)
264
410
782
1,192
22
FilePrint.MDQS
Multiple
(2)
Multiple
(17)
666
502
690
1,192
21
Misc.objcall
Multiple
(2)
Multiple
(19)
259
322
828
1,150
24
Multiple
(2)
B-6
Misc.whois
Multiple
(2)
Multiple
(17)
43
594
552
1,146
22
Misc.qotd
Multiple
(2)
Multiple
(16)
17
382
690
1,072
22
Misc.mfcobol
Multiple
(2)
Multiple
(17)
89
368
644
1,012
22
252
304
556
4
RemoteAccess.pc 10.20.22. Multiple (2) 65301
an ywhere
3
ANEXO C
APLICACIONES QUITO-GUAYQUIL
PERIODO NOVIEMBRE
C-1
Aplicaciones
p
Quito Guayaquil
y q
Generated: Jan 10, 2014 5:49 PM ECT
C-2
Aplicaciones Quito Guayaquil
Nov 1, 2013 12:00 AM ECT - Nov 30, 2013 11:30 PM ECT
Application Source
IP (U
nique
Count)
Destinatio Destina
n IP
tion
(Unique
Port
Count) (Unique
Count)
Source
By tes
(Sum)
Destinati Total Bytes
on Bytes (Sum)
(Sum)
Count
DataWarehousin Multiple
g.iS
(10)
CSI
Multiple
(47)
3260
1,770,852,656, 44,353,516, 1,815,206,172, 8,160
476
293
769
other
Multiple
(655)
Multiple
(595)
Multiple 124,166,232,2 16,322,266, 140,488,498,6 1,558,07
(38,556) 32
410
42
6
Multimedia.Intelle Multiple
x
(14)
Multiple
(42)
Multiple
(3)
121,541,598,4 6,239,651,4 127,781,249,8 15,133
57
26
83
DataTransfer.FT Multiple (3) Multiple (2) Multiple
P
(2)
35,000,091,35 558,669,35 35,558,760,70 2,072
1
3
4
Misc.LotusNotes Multiple
(26)
Multiple
(84)
1352
25,601,427,89 710,640,56 26,312,068,46 71,184
8
7
5
DataTransfer.Win Multiple
do wsFileSharing (35)
Multiple
(20)
Multiple
(2)
1,721,578,353 4,917,292,6 6,638,871,023 7,949
70
RemoteAccess.S Multiple
SH
(20)
Multiple
(29)
22
5,855,448,545 130,280,18 5,985,728,729 4,544
4
Web.Web.Misc
Multiple
(51)
Multiple
(35)
80
345,485,147
1,057,705,9 1,403,191,090 336,866
43
RemoteAccess.M Multiple
ST
(19)
erminalServices
Multiple
(24)
3389
393,362,627
442,443,38 835,806,009
2
422
Misc.snmp
Multiple
(36)
Multiple
(57)
161
267,658,266
304,384,39 572,042,661
5
1,738,63
9
InnerSystem.Flo Multiple
wgen
(31)
Multiple
(20)
Multiple
(1,284)
200,770,215
265,383,01 466,153,229
4
15,292
Web.http(8080)
Multiple
(43)
Multiple (8) 8080
199,129,587
173,813,92 372,943,510
3
13,800
Misc.bootpc
10.20.22.2 Multiple
3
(609)
248,433,179
145,981
93,601
Misc.domain
Multiple
(878)
29,818,143
82,885,345 112,703,488
325,352
RemoteAccess.V Multiple (3) Multiple (3) 5900
NC
37,084,479
69,218,447 106,302,926
28
Misc.Nessus
Multiple
(22)
Multiple (87) 1241
69,459,034
36,705,642 106,164,676
692
P2P.Kazaa
Multiple
(21)
Multiple (95) 1214
93,780,901
3,918,820
434
Web.SecureWeb Multiple
(20)
Multiple (34) 443
10,103,842
63,132,940 73,236,782
3,451
RemoteAccess.Ci Multiple
trix
(17)
ICA
Multiple (86) 1494
55,373,232
2,114,786
57,488,018
442
ICMP.Echo
Multiple
(554)
Multiple
(946)
0
50,153,440
0
50,153,440
336,722
Misc.tlisrv
Multiple
(25)
Multiple
(124)
Multiple
(2)
30,640,011
12,883,349 43,523,360
887
ICMP.Destination Multiple
-Un reachable
(661)
Multiple
(388)
0
38,235,655
0
59,465
68
Multiple (3) 53
248,579,160
97,699,721
38,235,655
C-3
Misc.ntp
Multiple
(23)
Multiple (12) 123
30,554,660
3,829,336
34,383,996
26,789
FileTransfer.NET Multiple
BI
(34)
OS
Multiple (52) 137
27,353,066
580,788
27,933,854
98,723
DataWarehousin Multiple
g.Or acle
(28)
Multiple
(192)
18,267,535
7,124,267
25,391,802
3,176
Misc.bootps
Multiple
(68)
Multiple (18) 67
7,947,272
16,291,712 24,238,984
6,600
Misc.snmptrap
10.20.2.11 157.100.75. 162
1
112
19,095,566
0
19,095,566
1,794
Multiple
(8)
DataWarehousin Multiple
g.S
(12)
APGatewayServe
r
Multiple (54) 3300
16,301,718
2,364,966
18,666,684
305
DataWarehousin Multiple
g.Or asrv
(16)
Multiple (84) 1525
11,966,742
6,681,682
18,648,424
995
Authentication.Ra Multiple
dius
(23)
Multiple
(144)
7,837,977
3,965,355
11,803,332
1,540
P2P.PeerEnabler Multiple
(15)
Multiple (58) 3531
8,943,236
2,226,205
11,169,441
322
DataTransfer.Nor Multiple
ton
(21)
Ghost
Multiple
(114)
9,143,771
1,849,895
10,993,666
860
DirectoryServices Multiple (2) 157.100.74. 636
.LD
58
AP
3,076,701
5,557,909
8,634,610
1,512
Misc.ttc
Multiple
(4)
Multiple
(2)
Multiple
(26)
Multiple
(119)
Multiple
(6)
6,059,105
2,472,701
8,531,806
1,347
ICMP.Echo-Reply Multiple
(77)
Multiple
(485)
0
7,993,960
0
7,993,960
89,711
RemoteAccess.S Multiple
unR
(16)
PC.NFS
Multiple (73) 2049
3,896,016
1,315,837
5,211,853
513
Misc.giop
Multiple (78) Multiple
(2)
2,417,157
1,816,851
4,234,008
721
DataWarehousin Multiple
g.Or
(17)
acleTNS.PeopleS
oft
Multiple (83) 1521
3,179,551
927,976
4,107,527
442
NetworkManage Multiple
ment
(17)
.FlowRecords
Multiple (75) Multiple
(6)
3,172,469
894,589
4,067,058
410
Streaming.Micros Multiple
oft
(18)
MediaServerStre
ami ng
Multiple (70) 1755
2,031,558
1,262,338
3,293,896
429
DataWarehousin Multiple
g.Or acleDB
(14)
Multiple (70) 1571
2,348,190
775,955
3,124,145
372
Mail.ccmail
Multiple
(15)
Multiple (59) 3264
1,499,793
985,231
2,485,024
306
Misc.UPnP
Multiple
(17)
Multiple (67) 1900
1,712,952
759,656
2,472,608
414
DataWarehousin Multiple
g.M
(20)
SSQLServer
Multiple (75) 1433
1,421,604
509,429
1,931,033
382
Multiple
(18)
C-4
Chat.MSN.Misc
Multiple
(19)
Multiple (73) 1863
905,796
533,122
1,438,918
354
VoIP.H.323.CallSi Multiple (8) Multiple (51) 1720
gn aling
1,153,467
238,200
1,391,667
210
Web.Squid
Multiple
(12)
Multiple (53) 3128
813,976
470,062
1,284,038
287
Web.NortonAntiVi Multiple
rus
(15)
Multiple (55) 2967
832,901
423,075
1,255,976
342
P2P.eDonkey200 Multiple (9) Multiple (43) 4662
0
780,186
344,860
1,125,046
249
SecurityProtocol.I Multiple (8) Multiple (44) 4500
PS ec
471,463
297,516
768,979
288
RemoteAccess.T 10.20.64.1 Multiple (2) 23
elnet
09
34,179
648,970
683,149
8
Streaming.Strea Multiple (2) Multiple (3) 8000
ming
Audio
219,796
0
219,796
1,527
InnerSystem.Upd Multiple (3) Multiple (3) 45000
ate
Daemon
170,701
20,574
191,275
9
P2P.Blubster
17,499
79,156
96,655
8
DataWarehousing Multiple (6) Multiple (3) 9080
.Co bis
Multiple (3) Multiple (3) 41170
78,034
8,849
86,883
28
DataWarehousing Multiple (4) Multiple (4) 41524
.A
RCserverBackup
34,537
35,302
69,839
19
NetworkManage Multiple (2) Multiple (2) 40000
ment
.Flowproc
11,050
10,771
21,821
9
RemoteAccess.p Multiple (3) Multiple (3) 65301
can ywhere
3,838
3,280
7,118
7
DataWarehousing Multiple (2) Multiple (2) 5432
.Po stgreSQL
356
288
644
4
FileTransfer.DCO 10.20.22.3 10.30.22.8
M
152
0
152
1
135
P2P.BitTorrent
157.100.10 10.30.22.12 Multiple
3.141
(2)
104
0
104
2
Chat.Jabber
157.100.10 10.30.22.12 5222
3.141
104
0
104
2
ICMP.TimeExceeded
169.254.96 10.30.22.8
.86
56
0
56
1
P2P.Gnutella
157.100.10 10.30.22.12 6346
3.141
52
0
52
1
Chat.IRC
157.100.10 10.30.22.12 6667
3.141
52
0
52
1
Web.Webmin
157.100.10 10.30.22.12 10000
3.141
52
0
52
1
P2P.OpenNap
157.100.10 10.30.22.12 6699
3.141
52
0
52
1
0
ANEXO D
UTILIZACIÓN ANCHO DE BANDA
CANAL UIO-GYE
PERIODO ENE-MAR 2013
D-1
eHealth Trend Report
Divide by Time
CFN_MATRIZ-GigabitEthernet0/1.399
BW: 1.0 Gbps
10K
100%
8K
80%
6K
60%
4K
40%
2K
20%
0
Goal0%
Time
Average Frame Size (bytes)
Bits In /sec
Bandwidth Utilization In %
Average Frame Size In (bytes)
Bits Out /sec
Bandwidth Utilization Out %
Average Frame Size Out (bytes)
Availability %
Bits /sec
Bandwidth Utilization %
Summary Statistics
Standard
Size of
Percentile
Number of
Mean
Deviation
Maximum
Minimum
Range
Median
99th
95th
90th
Samples
99.99
0.07
100.00
99.46
0.54
100.00
100.00
100.00
100.00
90
Average Frame Size(bytes)
526.02
94.51
852.94
58.39
794.55
450.34
852.94
684.31
612.15
90
Average Frame Size In(bytes)
802.76
168.63
1.33 K
65.06
1.27 K
689.66
1.33 K
1.07 K
965.75
90
Average Frame Size Out(bytes)
220.73
91.43
490.44
51.52
438.92
158.34
490.44
329.69
289.06
90
Bandwidth Utilization%
0.07
0.07
0.23
0.00
0.23
0.04
0.23
0.19
0.16
90
Bandwidth Utilization In%
0.11
0.11
0.36
0.00
0.36
0.07
0.36
0.34
0.25
90
Bandwidth Utilization Out%
0.03
0.03
0.15
0.00
0.15
0.02
0.15
0.10
0.07
90
Bits/sec
1.35 M
1.34 M
4.61 M
198.60
4.61 M
840.11 K
4.61 M
3.83 M
3.12 M
90
Bits In/sec
1.08 M
1.09 M
3.58 M
102.88
3.58 M
682.41 K
3.58 M
3.37 M
2.54 M
90
324.84 K
1.51 M
95.71
698.83 K
90
Availability%
Bits Out/sec
270.16 K
1.51 M
153.67 K
1.51 M
1.02 M
ANEXO E
UTILIZACIÓN ANDO DE BANDA
CANAL UIO-GYE
PERIODO ABR-JUN 2013
E-1
eHealth Trend Report
Divide by Time
CFN_MATRIZ-GigabitEthernet0/1.399
BW: 1.0 Gbps
10K
100%
8K
80%
6K
60%
4K
40%
2K
20%
0
Goal0%
Time
Average Frame Size (bytes)Average Frame Size In (bytes)Average Frame Size Out (bytes)Bits /sec
Bits In /sec
Bits Out
Bandwidth Utilization %
Bandwidth Utilization In %Bandwidth Utilization Out %
/secAvailability %
Summary Statistics
Standard
Mean
Availability%
Size of
Deviation
Maximum
Minimum
Percentile
Number of
Range
Median
99th
95th
90th
Samples
99.31
5.02
100.00
54.45
45.55
100.00
100.00
100.00
100.00
91
Average Frame Size(bytes)
497.53
68.24
825.58
0.00
825.58
478.25
825.58
615.31
579.28
91
Average Frame Size In(bytes)
769.46
100.49
1.09 K
0.00
1.09 K
737.67
1.09 K
996.71
931.58
91
Average Frame Size Out(bytes)
238.29
78.06
755.81
0.00
755.81
206.80
755.81
338.80
273.30
91
Bandwidth Utilization%
0.10
0.07
0.24
0.00
0.24
0.11
0.24
0.21
0.18
91
Bandwidth Utilization In%
0.14
0.11
0.39
0.00
0.39
0.17
0.39
0.34
0.28
91
Bandwidth Utilization Out%
0.05
0.04
0.18
0.00
0.18
0.05
0.18
0.11
0.09
91
Bits/sec
1.90 M
1.47 M
4.73 M
0.00
4.73 M
2.22 M
4.73 M
4.21 M
3.66 M
91
Bits In/sec
1.44 M
1.13 M
3.95 M
0.00
3.95 M
1.72 M
3.95 M
3.37 M
2.82 M
91
1.78 M 0.00
1.78 M
494.75 K
1.78 M
1.05 M
882.65 K
91
Bits Out/sec
467.07 K
396.94 K
ANEXO F
APLICACIONES Y PROTOCOLOS
RED INTERNA UIO
F-1
Aplicaciones
p
CFN Quito Guayaquil
Generated: Jan 16, 2014 5:27 PM ECT
Multiple (8) Multiple (1
0)
NetworkM
anagemen
t.FlowRec
ords
Authentica Multiple (8) Multiple (1
tion.Radius
6)
InnerSyste Multiple (5
m.Flowgen 1)
53
Multiple (3
5)
Multiple (3
1)
19,599,77
0,799
3,700,728
192,672,0
23
1,201,049,
001
7,946,375,
264
327,106
368,357
Multiple (5) Multiple (4) 4,320,031
238,108
6,241,780
4,558,139
3,641
16,775,588 27,306
9,147,424,
265
1,503
Destinati
on Packe
ts (Sum)
74,969
Total Pa
ckets
(Sum)
2,881
29,106
7,991,708
80,009
94
363,798
Multiple (2) 36,000
Multiple (2) 2,699
Multiple (2) 365,237
6,522
56,412
Multiple (2) 324
Multiple (2) 15,020
14,233,488 Multiple (2) 405,949
241,781
327,200
732,155
F-2
Count
Multiple (2) 22,334
Protocol
(Unique
Count)
26,175,891 21,090,345 47,266,236 Multiple (2) 302,348
73,466
Source
Packets
(Sum)
27,521,305 16,501,507 44,022,812 161,772
10,061
Multiple (1, 12,597,520 4,178,068
665)
80
8080
15,805,52
8,914
95,174
Destina Total Byt
tion Byt
es (Sum)
es (Sum)
25,212,141 79,546,981 104,759,1
22
3,794,241,
885
3,605,554
Source
Bytes
(Sum)
Multiple (4) Multiple (4) 192,661,9
62
Multiple (1
3)
Multiple (4, Multiple (1
806)
6)
Multiple (1
2,106)
Web.Web.
Misc
Multiple (8
9)
Multiple (1
1,150)
Web.http(8 Multiple (9
080)
1)
Multiple (4
2,538)
Multiple (4
6)
Multiple (3
1,333)
Misc.doma
in
Multiple (9
0)
Multiple (2
9,960)
Multiple (2
08)
Destinat
ion Port
(Unique
Count)
other
Destina
tion IP
(Unique
Count)
Multiple (5, Multiple (7) 3128
392)
Source IP Source
(Unique Port (U
Count)
nique
Count)
Web.Squid Multiple (2
5)
Appli
cation
Aplicaciones CFN Quito Guayaquil
Estadísticas red interna por aplicación - AR1
Sep 1, 2013 12:00 AM ECT - Sep 30, 2013 11:30 PM ECT
Multiple (2
0,326)
Multiple (3
5)
Multiple (6
8)
Misc.Lotus
Notes
DataTrans
fer.Windo
wsFileSha
ring
0
361,779,3
56
0
288
1,182
1,892
21,122
2,465,765,
794
5,426,520,
241
20,238,03
8,256
34,155,503 0
Multiple (2) 1,680,937,
020
Multiple (4) 1352
Multiple (2
4)
Multiple (7) 161
Multiple (3, Multiple (2
521)
3)
0
ICMP.Dest Multiple (1
ination-Unr 7)
eachable
Multiple (3) Multiple (1
7,041)
Misc.snmp
317,816,2
09
2,226,053,
162
Multiple (2) 162
Multiple (3) Multiple (5
8,976)
Misc.snmp
trap
0
924
41524
DataWare Multiple (2) Multiple (4) 10.20.2.13
housing.A
RCserverB
ackup
0
115,690
P2P.Gnute Multiple (3) Multiple (3) Multiple (2) 6346
lla
41170
Multiple (4) Multiple (1
1)
P2P.Blubs
ter
10.20.2.13
Multiple (5) Multiple (5) Multiple (4) 3300
DataWare
housing.S
APGatewa
yServer
1,543,603
7,944,068
18
0
0
131
7,107,457,
261
22,703,80
4,050
0
1,543,554
0
6
11
24
87
157,092
3,087,157
7,944,068
24
11
24
218
icmp_ip
udp_ip
udp_ip
4,223,196
4,846,727
9,069,923
tcp_ip
11,520
210,984
18,686
47,309
F-3
7,395,578
Multiple (2) 5
Multiple (2) 4
Multiple (2) 11
Multiple (2) 13
13,757,709 19,260,624 33,018,333 tcp_ip
34,155,503 157,092
679,595,5
65
2,226,053,
162
1,212
1,182
1,892
136,812
Multiple (4, Multiple (9) 135
779)
10.20.2.13
Multiple (2) Multiple (4, Multiple (1
803)
4)
RemoteAc
cess.SSH
22
0
FileTransf
er.DCOM
10.20.2.13
0
0
ICMP.Tim Multiple (2
estamp-Re 0)
ply
Multiple (2
7)
Multiple (2) 123
0
Multiple (2) 123
Misc.ntp
0
137
Multiple (7) 1433
Multiple (4
6)
Multiple (2
2)
ICMP.Echo Multiple (7
3)
Multiple (3
4)
Multiple (1
0)
DataWare
housing.M
SSQLServ
er
137
0
Multiple (3
9)
ICMP.Ech o- Multiple (5
Reply
6)
FileTrans
fer.NETBI
OS
1,024,402
1,479,139
243,188
130,594
534,577,4
06
191,976
3,871,875
19,876
243,946
130,594
534,577,4
06
383,800
4,219,219
5,282
2,839
520,091
2,526
2,925
24,797,006 264,617
4,393,653
15,465,677 16,944,816 23,872
758
0
0
191,824
347,344
23,921,856 875,150
3,369,251
21,973
16
0
0
2,524
2,070
19,025
13,093
45,845
5,298
2,839
520,091
5,050
4,995
283,642
32,969
tcp_ip
tcp_ip
icmp_ip
icmp_ip
udp_ip
tcp_ip
icmp_ip
udp_ip
5,316
5,271
1,610
20,367
2,586
44
32,983
11,476
F-4
Multiple (2) Multiple (3, Multiple (1
356)
0)
Multiple (3
5)
Multiple (3) Multiple (5, Multiple (1
151)
0)
Misc.Kerb
eros
Web.Secu
reWeb
DataTrans
fer.FTP
10.20.2.13
Mail.POP
10.20.2.13
10.20.2.13
Mail.IMAP
Misc.finger
Multiple (1, Multiple (9) 79
707)
Multiple (1, Multiple (9) 143
707)
25
Multiple (1, Multiple (9) 110
707)
Multiple (1, Multiple (9) 111
747)
10.20.2.13
DataTrans
fer.NFS
21
443
Multiple (4, Multiple (9) 23
780)
Mail.SMTP Multiple (2) Multiple (1, Multiple (1
709)
0)
112,684,1
90
160,724
217,249
564,416,0
76
92
81,558
81,558
150,567
81,558
83,766
242,282
525,689
46
46
13,503
46
46
138
352,063
45,969,031 1,530,352,
023
Multiple (2) 296,180
3389
RemoteAc 10.20.2.13
cess.Telnet
Multiple (4, Multiple (2
004)
2)
Multiple (3, Multiple (3
546)
2)
Multiple (1
6)
RemoteAc
cess.MST
erminalSer
vices
Multiple (3, Multiple (9) 5900
278)
10.20.2.13
RemoteAc
cess.VNC
81,604
81,604
164,070
81,604
83,812
242,420
877,752
1,576,321,
054
513,429
677,100,2
66
160,816
1,773
1,773
2,025
1,773
1,821
5,267
10,313
599,497
4,769
1,072,061
3,494
1
1
177
1
1
3
5,033
1,189,225
1,201
1,364,886
2
1,774
1,774
2,202
1,774
1,822
5,270
15,346
1,788,722
5,970
2,436,947
3,496
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
1,774
1,774
1,778
1,774
1,822
5,269
5,702
5,720
3,579
3,906
3,496
F-5
13,947
SecurityPr
otocol.IPS
ec
Multiple (2
5)
Multiple (5) Multiple (8) 4,166,658
91,156
RemoteAc
cess.SunR
PC.NFS
Multiple (4) Multiple (4) Multiple (4) 2049
310,121
Misc.UPnP Multiple (3) Multiple (3) Multiple (3) 1900
Multiple (3, Multiple (5) 9080
078)
51,925,901 48,913,073 100,838,9
74
Multiple (2
5)
2,900
79,577
94,056
389,698
838,755
DataWare
housing.C
obis
161,360
677,395
25,044
5,252,796
Chat.MSN. Multiple (6) Multiple (6) Multiple (5) 1863
Misc
6,468
4,502,602
331,057,5
09,575
6,043,528
24,227
8,552
18,576
750,194
322,381,5
97,437
1,876,870
10,280
4,005
Streaming. Multiple (5) Multiple (5) Multiple (3) 1755
MicrosoftM
ediaServer
Streaming
Multiple (4) 1521
Multiple (3, Multiple (7) Multiple (2) 8,675,912,
279)
138
DataWare Multiple (5) Multiple (3
housing.Or
4)
acleTNS.P
eopleSoft
Multimedia
.Intellex
DataWare Multiple (9) Multiple (1
2)
housing.Or
acle
Multiple (3) Multiple (3) Multiple (2) 4500
4,547
DataWare Multiple (3) Multiple (4) Multiple (2) 1571
housing.Or
acleDB
83
326
171,384
684
46
8,177
143,066,7
36
38,624
38
29
50
265
60,278
509
31
8,012
265,263,7
76
38,266
38
26
133
591
231,662
1,193
77
16,189
408,330,5
12
76,890
76
55
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
9
6
5,720
12
14
43
9,335
196
12
5
F-6
Multiple (5) Multiple (5) Multiple (4) 1494
RemoteAc
cess.Citrix
ICA
Multiple (4) Multiple (1
5)
Multiple (2) Multiple (2) Multiple (2) 3260
DataWare
housing.iS
CSI
98,316
RemoteAc
cess.pcan
ywhere
Multiple (4) Multiple (4) Multiple (2) 65301
287,520
27,667
19,751
Mail.ccmail Multiple (4) Multiple (4) Multiple (2) 3264
Multiple (3) 1720
371,270
VoIP.H.32
3.CallSign
aling
636
Multiple (3) Multiple (2
45)
DirectoryS
ervices.LD
AP
157.100.1
03.141
Multiple (5) Multiple (5) Multiple (2) Multiple (2) 203,710
91,420
Misc.tlisrv
DataWare Multiple (4) Multiple (6) Multiple (3) 1525
housing.Or
asrv
690,373
Multiple (8) Multiple (4) 420,991
Multiple (1
0)
Misc.ttc
Multiple (1
1)
Multiple (6) Multiple (7) Multiple (4) Multiple (2) 344,689
Misc.giop
10,463
37,965
22,372
14,847
1,257,299
45,025
56,820
98,322
2,342,514
75,803
108,779
325,485
50,039
34,598
1,628,569
248,735
148,240
788,695
2,763,505
420,492
103
245
62
247
3,209
226
172
726
1,884
1,074
78
168
49
183
3,109
172
160
518
2,382
235
181
413
111
430
6,318
398
332
1,244
4,266
1,309
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
7
14
12
21
331
26
19
17
45
27
F-7
Multiple (1
1)
Multiple (4
73)
310,011
Multiple (6) Multiple (7) Multiple (4) 1241
Multiple (6) Multiple (7) Multiple (3) Multiple (2) 137,303
Misc.Ness
us
DataTrans
fer.Norton
Ghost
16,685
129,451
Multiple (4) Multiple (5) Multiple (3) 3531
P2P.Peer
Enabler
225,831
19,264
23,062
50,715
50,249
15,238
66,830
0
160,365
360,726
179,700
31,923
292,661
19,264
197
296
178
62
936
344
10,542,389 54,861,111 65,403,500 36,397
P2P.Kazaa Multiple (5) Multiple (4) Multiple (4) 1214
Multiple (5) Multiple (7) Multiple (3) 4662
Multiple (8) 0
Multiple (2) 8000
P2P.eDon
key2000
ICMP.Tim e- Multiple (2) 0
Exceed ed
Streaming
.Streaming
Audio
136
234
148
62
158
0
41,120
333
530
326
124
1,094
344
77,517
tcp_ip
tcp_ip
tcp_ip
tcp_ip
tcp_ip
icmp_ip
tcp_ip
12
16
14
9
12
50
977
F-8
Multiple (5) Multiple (5) 172.16.1.4
192.168.8.
17
Multiple (2) Multiple (2) 186.46.11
2.35
10.20.64.1
71
Chat.Jabb
er
P2P.Open
Nap
P2P.BitTor
rent
29471
Multiple (2
6)
186.46.11
2.35
10.20.201
.2
1,064
175,934
108,439
30,891
56
92
Multiple (2) 448
6699
5222
2967
10000
Web.Norto
nAntiVirus
157.100.1
02.21
10.20.120.
11
Web.Web
min
Multiple (1
8)
Multiple (3) Multiple (4) Multiple (2) 40000
NetworkM
anagemen
t.Flowproc
45000
Multiple (3) Multiple (7) 10.20.2.13
InnerSyste
m.Update
Daemon
0
0
326,246
15,790
146,353
3,936
442
448
1,064
502,180
124,229
177,244
3,992
534
8
19
1,555
114
307
1
2
0
0
1,561
79
330
12
9
8
19
3,116
193
637
13
11
udp_ip
udp_ip
tcp_ip
tcp_ip
tcp_ip
udp_ip
tcp_ip
2
2
48
11
19
4
9
F-9
ANEXO G
PROTOCOLOS LAN UIO PERIODO ENE-JUN 2013
G-1
ReporterAnalyzer
po
yz - Custom Reporting
ep ng
Generated On: 1/18/2014 16:07:49
Report Type: Custom Layoutt
Name: Protocolos Red LAN UIO
IO
Folder: Custom Reports
ts
stre
Description: Protocolos más utilizados en un semestre
Status: Complete
lete
Timeframe: 30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT
Protocol Summary Pie Chart – In
Protocol Summary Pie Chart - Out
30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT
30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT
G-2
ReporterAnalyzer
po
yzer
- Custom Reporting
ep ng
Generated On: 1/18/2014 16:07:49
7:
snmp (*.ip.udp.161)
10.02
2GBytes
es
1.24%
7.79 GBytes
GBytes
0.96%
Other
210.69GBytes
GBytes
26.03%
Total
809.28
28GBytes
es
100.00
00%
TCP-9080 (*.ip
*.ip.tcp.9080)
9080
Protocol Summary Pie Chart - Total
30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT
G-3
G-4
Copyright © 1999-2014 NetQoS, Inc. All rights reserved.
ANEXO H
OFERTA ECONÓMICA MEGASUPPLY
SOLUCIÓN WIRELESS
H-1
ANEXO I
OFERTA ECONÓMICA ANDEAN TRADE
SOLUCIÓN WIRELESS
I-1
OFERTA ECONÓMICA
Cliente:
CFN
Atención:
Ing. Andrea Rodríguez
File:
MR
Fecha:
14-ago-2013
Páginas:
CODIGO
DESCRIPCIÓN
CANT.
2
PU
TOTAL
MARCA: CISCO
Controladora Inalámbrica
WS-SVC-WISM2-3-K9=
Wireless Services Module:WiSM-2: w/ 300 AP Support License
2
S/
44.236,60
S/
SC-SVC-WISM2-7.5
WS-SVC-WISM2-K9=
LIC-WISM2-300
LIC-WISM2-BASE
PI-MSE-PRMO-INSRT
WiSM2 SW Rel. 7.5
Wireless Services Module: WiSM-2
300 AP License for WiSM-2
WiSM-2 Base License
Insert Packout - PI-MSE
2
2
2
2
2
S/
S/
S/
S/
S/
-
S/
S/
S/
S/
S/
S/
88.473,21
-
Access Point
AIR-CAP3602E-A-K9
802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ext Ant; A Reg Domain
13
1.282,98
S/
AIR-AP-BRACKET-1
802.11n AP Low Profile Mounting Bracket (Default)
13
S/
-
S/
16.678,72
AIR-AP-T-RAIL-R
SWAP3600-RCOVRY-K9
AIR-ANT2524DB-R
AIR-RM3000AC-A-K9=
AIR-PWRINJ4=
AIR-PWR-CORD-NA
Ceiling Grid Clip for Aironet APs - Recessed Mount (Default)
Cisco 3600 Series IOS WIRELESS LAN RECOVERY
2.4 GHz 2 dBi/5 GHz 4 dBi Dipole Ant. Blk RP-TNC
802.11ac Wave 1 Module for AP3600 A Reg Domain
Power Injector - AP-3600 Series w/ Modules-SPARE
AIR Line Cord North America
13
13
52
13
13
13
S/
S/
S/
S/
S/
S/
31,37
402,19
119,85
-
S/
S/
S/
S/
S/
S/
1.631,27
5.228,44
1.558,07
-
-
Garantia de Equipos
CON-SNT-WSM2300
SMARTNET 8X5XNBD Wireless Services Module:WiSM-2: w/ 300
2
S/
9.608,71
S/
19.217,42
CON-SNT-C362EA
SMARTNET 8X5XNBD 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ex
13
S/
86,02
S/
1.118,26
CON-SNT-AIRRM3CA
SMARTNET 8X5XNBD 802.11ac Wave 1 Module for AP3600 A Reg
13
S/
26,88
S/
349,46
SUB TOTAL
S/
134.254,84
Nuestros Precios no Incluyen IVA
Atentamente,
Mérida Rodríguez
Responsable
ANDEANTRADE S.A
VASCO DE CONTRETAS
N34-180 Y LALLEMENT
PBX: (593 2) 2443868 / 2432830
QUITO-ECUADOR
I-2
CONDICIONES GENERALES
Cliente:
CFN
Atención:
Ing. Andrea Rodríguez
MR
File
Fecha:
Páginas:
14-ago-2013
2
GARANTÍA
-
1 año contra defectos de fabricación
VALIDEZ
-
La cotización tiene una validez de 30 días
CONDICIONES DE EQUIPAMIENTO
-
EQUIPO NUEVO ORIGINAL DE FÁBRICA
FORMA DE PAGO
- 50% Anticipo
- 50% Contra Entrega
TIEMPO DE ENTREGA
-
60 días después del anticipo
Atentamente,
Mérida Rodríguez
Responsable
ANDEANTRADE S.A
Vasco de Contreras N34-180 y Lallement
PBX: (593-2) 2443-868
Fax: Ext. 119
www.andean-trade.com
Casilla: 17-22-20254
Quito . Ecuador
ANEXO J
OFERTA ECONÓMICA TOTALTEK
SOLUCIÓN WIRELESS
Products
Line
Number
Configset ID:
Configset Name:
Created On:
Created By:
Last Update On:
Last Update By:
Main Currency:
Price List:
802.11n AP Low Profile Mounting Bracket (Default)
AIR-AP-T-RAIL-F
AIR-AP-T-RAIL-R
AIR-CHNL-ADAPTER
SWAP3600-RCOVRY-K9
AIR-ANT2524DW-R
AIR-OPT60-DHCP
1.2
1.3
1.4
1.5
1.6
1.7
Wireless Services Module: WiSM-2
WS-SVC-WISM2-K9=
SC-SVC-WISM2-7.5
2.1
2.2
WiSM2 SW Rel. 7.5
N/A
Wireless Services Module:WiSM-2: w/ 100 AP Support License
2.0 WS-SVC-WISM2-1-K9=
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Service
Duration
Service Provider Option 60 for Vendor Class Identifier
2.4 GHz 2 dBi/5 GHz 4 dBi Dipole Ant. White RP-TNC
Cisco 3600 Series IOS WIRELESS LAN RECOVERY
T-Rail Channel Adapter for Cisco Aironet Access Points
Ceiling Grid Clip for Aironet APs - Recessed Mount (Default)
Ceiling Grid Clip for Aironet APs - Flush Mount
802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ext Ant; A Reg Domain
AIR-AP-BRACKET-1
1.1
Description
1.0 AIR-CAP3602E-A-K9
Item Name
6169529
PE-WLAN-DZ-AR-OPT1-v1.0
15 de Agosto 2013
David Zambonino
15 de Agosto 2013
David Zambonino
USD
Global Price List - US
14 days
14 days
14 days
14 days
14 days
14 days
14 days
14 days
14 days
14 days
14 days
Lead
Time
No
Yes
No
No
No
No
No
No
No
No
No
Included
Item
2
2
2
13
52
13
13
13
13
13
13
Quantity
0.00
0.00
29,995.00
0.00
39.00
0.00
5.00
0.00
0.00
0.00
1,595.00
ListPrice
0.00
0.00
59,990.00
0.00
2,028.00
0.00
65.00
0.00
0.00
0.00
20,735.00
Extended
ListPrice
0
0
0
0
0
0
0
0
0
0
0
Discount
%
J-1
0.00
0.00
59,990.00
0.00
2,028.00
0.00
65.00
0.00
0.00
0.00
20,735.00
Selling
Price
Services
Data DTLS License
SMARTNET 8X5XNBD Wireless Services Module:WiSM-2: w/ 100
LIC-WISM2-DTLS-K9
2.6
Insert Packout - PI-MSE
SMARTNET 8X5XNBD 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ex
PI-MSE-PRMO-INSRT
2.5
WiSM-2 Base License
2.0.1 CON-SNT-WSM2100
LIC-WISM2-BASE
2.4
100 AP License for WiSM-2
1.0.1 CON-SNT-C362EA
LIC-WISM2-100
2.3
12 month(s)
12 month(s)
N/A
N/A
N/A
N/A
N/A
N/A
14 days
14 days
14 days
14 days
No
No
No
Yes
Yes
Yes
2
13
2
2
2
2
5,361.13
88.00
0.00
0.00
0.00
0.00
J-2
11,866.26
Services SubTotal
1,144.00
10,722.26
0
0
10,722.26
1,144.00
82,818.00
Products SubTotal
0.00
0.00
0.00
0.00
0
0
0
0
0.00
0.00
0.00
0.00
ANEXO K
MANUAL INSTALACIÓN CISCO WISM 2
(REVISAR CD ADJUNTO)