ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA DISEÑO E IMPLEMENTACIÓN EN UNA INSTITUCIÓN FINANCIERA DE UNA RED INALÁMBRICA WLAN ADMINISTRABLE, ESCALABLE, CON CALIDAD DE SERVICIO (QoS), ALTA DISPONIBILIDAD (HA) Y QUE CUMPLA CON EL ESTÁNDAR 802.11n PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y REDES DE INFORMACIÓN ANDREA MAGALY RODRÍGUEZ FIERRO [email protected] DIRECTOR: ING. FABIO GONZÁLEZ GONZÁLEZ [email protected] Quito, Marzo 2015 I DECLARACIÓN Yo Andrea Magaly Rodríguez Fierro, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Andrea Magaly Rodríguez Fierro II CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Andrea Magaly Rodríguez Fierro bajo mi supervisión. Ing. Fabio González G. DIRECTOR DEL PROYECTO III AGRADECIMIENTOS A mi flaco querido (Dios), por mostrarme a lo largo del camino tus bendiciones. A los que representan mi razón de seguir día con día, a mi esencia, mi familia. A mi madre, la fuerza y responsabilidad en persona. A mi padre por ser incondicional y la perseverancia en persona. A mi hermana, mi compañera, mi cómplice, mi alegría y ejemplo de ver las cosas desde la perspectiva positiva. A todos mis familiares por constituir cada uno un pilar de mi vida, en especial a Marco, Adri, Patricio y Miriam por siempre confiar en mí y en mis habilidades. A la hermana que la vida me otorgó, mi querida Dany, mi confidente y mi todo, por siempre estar a mi lado, apoyándome en toda esta trayectoria conocida como vida, mi mejor amiga por siempre. A mis amigas Cris, Marit, mis hermanas del alma JP por acompañarme por más de una década en los momentos difíciles, con sus palabras de aliento y brindarme su hombro para llorar o sostenerme antes de la caída, así como también mis momentos alegres compartiendo risas, locuras y aventuras compartidas en todo nuestro camino de formación académica, espiritual y de vida misma. A mis compañeros y amigos de la temible politécnica: Pepe, Eduardo, Antonio, Dave que junto a mí compartieron momentos agradables así como también de lucha incansable, donde vimos que no es una competencia por llegar primeros sino un aprendizaje de resistencia y acumulación de habilidades para desempeñarnos IV mejor en el ámbito laboral, en función de nuestra inteligencia y perseverancia, de los cuales he aprendido mucho y de su mano ha sido posible culminar esta etapa. A cada uno de mis profesores que dedicaron tiempo valioso de sus días, en cada clase impartida, en especial al Ing. Fabio González; por guiarme en la culminación de esta carrera con el desarrollo de este proyecto, y a la Ing. Soraya Sinche por ser más que una profesora una de las pocas personas que incentiva a vivir la carrera, aprovecharla y a disfrutar cada paso aprovechando el tiempo en esta tierra, para beneficio propio y de los demás. A mis compañeros de trabajo y en especial al “Master Sensei” Ing. Víctor Barrionuevo por depositar su confianza y apoyo para desarrollar este proyecto además de compartir sus valiosos conocimientos tanto profesionales como humanos, a quien agradezco infinitamente su guía profesional y estima. A todos aquellos que formaron parte de una u otra manera de este camino, que sin saber, impulsaron cada paso para lógralo mis más sinceros agradecimientos. Andrea Magaly Rodríguez Fierro V DEDICATORIA El tiempo me ha enseñado que la vida no es una lucha constante, sino un conjunto de buenas elecciones ante oportunidades que se presentan en el camino, que dependiendo de cómo se lo vea, puede ser muy placentera o dificultosa. Si alguien me ha mostrado con su ejemplo de vida, de lucha, esfuerzo, superación, y alegría constante ante la vida dura, de quien he aprendido mucho y me muestra su amor con su sonrisa, su abrazo y su bendición; a quién es como mi madre y desde mis primeros días de vida me guío por mis primeros pasos en este mundo, mi Mamá Ana a quién con mucho orgullo y amor dedico este trabajo, fruto de mi sacrificio y dedicatoria constante. Andrea M. Rodríguez Fierro VI CONTENIDO DECLARACIÓN ...................................................................................................... I CERTIFICACIÓN ................................................................................................... II AGRADECIMIENTOS ............................................................................................III DEDICATORIA ...................................................................................................... V CONTENIDO ......................................................................................................... VI ÍNDICE DE FIGURAS ........................................................................................... XI ÍNDICE DE TABLAS .......................................................................................... XVII RESUMEN ........................................................................................................... XX PRESENTACIÓN ............................................................................................... XXII CAPÍTULO 1 .......................................................................................................... 1 FUNDAMENTOS TEÓRICOS ................................................................................ 1 1.1 INTRODUCCIÓN ...................................................................................... 1 1.2 RED DE ÁREA LOCAL INALÁMBRICA .................................................... 2 1.3 INFRAESTRUCTURA DE UNA RED INALÁMBRICA ............................... 3 1.3.1 PUNTOS DE ACCESO ........................................................................ 3 1.3.2 CONTROLADORAS INALÁMBRICAS ................................................ 7 1.3.3 ANTENAS .......................................................................................... 10 1.4 ESTÁNDARES, CERTIFICADOS Y ENTIDADES REGULADORAS WIRELESS ........................................................................................................22 1.4.1 IEEE WIRELESS ESTÁNDAR........................................................... 22 1.4.2 Wi-Fi ALLIANCE ................................................................................ 23 1.4.3 PROTOCOLO ORIGINAL 802.11 ...................................................... 23 1.4.4 PROTOCOLO DE IEEE 802.11e ....................................................... 34 1.5 FORMATO DE TRAMA Y VELOCIDADES ..............................................45 1.6 SEGURIDAD EN REDES INALÁMBRICAS .............................................50 VII 1.6.1 AUTENTICACIÓN Y ENCRIPTACIÓN .............................................. 50 CAPÍTULO 2 .........................................................................................................61 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ENTIDAD FINANCIERA Y DETERMINACIÓN DE REQUERIMIENTOS.........................................................61 2.1 ANTECEDENTES ....................................................................................61 2.2 DISTRIBUCIÓN DE PERSONAL EN EL EDIFICIO DE QUITO ...............64 2.3 INFRAESTRUCTURA DE LA RED ..........................................................65 2.3.1 PARTE PASIVA DE LA RED ............................................................. 66 2.3.2 PARTE ACtiva DE LA RED ............................................................... 67 2.4 SERVIDORES Y SERVICIOS QUE ESTÁN DISPONIBLES ...................73 2.4.1 SERVIDORES SPARC ...................................................................... 73 2.4.2 SERVIDORES X86 ............................................................................ 80 2.4.3 SISTEMAS OPERATIVOS EN SERVIDORES .................................. 85 2.5 SERVICIOS DISPONIBLES AL ACCEDER A LA RED ............................86 2.5.1 SERVICIO DE ACCESO A INTERNET ............................................. 86 2.5.2 SERVICIO DE ANTIVIRUS CORPORATIVO .................................... 86 2.5.3 SERVICIO DE VIDEO CONFERENCIA ............................................ 87 2.5.4 SERVICIO DE CORREO ELECTRÓNICO ........................................ 88 2.5.5 SERVICIO DE IMPRESIÓN Y ESCANEO ......................................... 91 2.5.6 SERVICIO DE INTRANET ................................................................. 91 2.5.7 SERVICIO DE ARCHIVO .................................................................. 91 2.5.8 SISTEMAS DE BASE DE DATOS ..................................................... 91 2.6 SERVICIO DE NOMBRES DE DOMINIO Y ASIGNACIÓN DE DIRECCIONES IP ..............................................................................................92 2.7 EQUIPOS TERMINALES .........................................................................94 2.8 ADMINISTRACIÓN DE RED ....................................................................94 2.9 MANEJO DE LA IDENTIFICACIÓN Y AUTENTICACIÓN........................96 VIII 2.9.1 Novell e-Directory (Servidores UIO41, UIO42) .................................. 96 2.9.2 Novell Identity Manager – IDM (Servidores UIO81, UIO65) .............. 96 2.10 ACUERDO DE NIVEL DE SERVICIO ...................................................97 2.11 ANÁLISIS DE TRÁFICO .....................................................................101 2.11.1 ENLACE WAN QUITO –GUAYAQUIL ............................................. 103 2.11.2 TRÁFICO GENERADO EN LA LAN DE QUITO .............................. 104 2.11.3 PROTOCOLOS MÁS UTILIZADOS................................................. 107 2.12 REQUERIMIENTOS Y JUSTIFICACIÓN DE LA RED INALÁMBRICA .... ............................................................................................................107 CAPÍTULO 3 .......................................................................................................109 DISEÑO E IMPLEMENTACION DE LA SOLUCIÓN PROPUESTA ...................109 3.1 ANTECEDENTES ..................................................................................109 3.2 CONSIDERACIONES PARA EL DISEÑO .............................................111 3.2.1 DETERMINACIÓN DE USUARIOS BENEFICIARIOS DE ESTE SERVICIO..................................................................................................... 111 3.2.2 APLICACIONES QUE VAN A CIRCULAR POR LA RED INALÁMBRICA ............................................................................................. 113 3.2.3 ANCHO DE BANDA REQUERIDO .................................................. 113 3.2.4 ÁREAS DE COBERTURA ............................................................... 118 3.2.5 SITE SURVEY ................................................................................. 121 3.3 CONEXIÓN DE LA RED WLAN CON LA CABLEADA...........................129 3.3.1 EQUIPAMIENTO NECESARIO ....................................................... 129 3.3.2 IDENTIFICADORES SSID ............................................................... 136 3.3.3 PLAN DE DIRECCIONAMIENTO IP................................................ 138 3.3.4 SEGURIDADES............................................................................... 138 3.4 ADMINISTRACIÓN DE LA RED ............................................................141 3.4.1 PUNTOS DE ACCESO .................................................................... 141 IX 3.4.2 3.5 CONTROLADORAS INALÁMBRICAS ............................................ 143 CONFIGURACIONES PARA LA IMPLEMENTACIÓN ...........................145 3.5.1 INSTALACIÓN DEL MÓDULO WISM2 ........................................... 145 3.5.2 ROAMING ....................................................................................... 163 3.5.3 CONFIGURACÓN SNMP ................................................................ 164 3.5.4 CONFIGURACION QoS .................................................................. 165 3.5.5 CONFIGURACIÓN DE LISTAS DE ACCESO ................................. 170 CAPÍTULO 4 .......................................................................................................173 PRUEBAS, RESULTADOS Y COSTOS .............................................................173 4.1 ANTECEDENTES ..................................................................................173 4.2 EQUIPOS DISPONIBLES EN EL MERCADO .......................................173 4.2.1 PUNTOS DE ACCESO .................................................................... 173 4.2.2 ANTENAS ........................................................................................ 175 4.2.3 CONTROLADORAS ........................................................................ 177 4.3 ANÁLISIS DE COSTOS .........................................................................179 4.3.1 4.4 ESTIMACIÓN DEL PRESUPUESTO REFERENCIAL .................... 179 PRUEBAS Y RESULTADOS .................................................................181 4.4.1 RESULTADOS OBTENIDOS .......................................................... 181 4.4.2 PRUEBAS DE RENDIMIENTO........................................................ 183 CAPÍTULO 5 .......................................................................................................188 CONCLUSIONES Y RECOMENDACIONES ......................................................188 5.1 CONCLUSIONES...................................................................................188 5.2 RECOMENDACIONES ..........................................................................190 REFERENCIAS BIBLIOGRÁFICAS ...................................................................192 ANEXOS .............................................................................................................194 ANEXO A ............................................................................................................... A APLICACIONES QUITO-GUAYAQUIL PERIODO SEPTIEMBRE ......................... A X ANEXO B ............................................................................................................... B APLICACIONES QUITO-GUAYQUIL PERIODO OCTUBRE ................................. B ANEXO C ............................................................................................................... C APLICACIONES QUITO-GUAYQUIL PERIODO NOVIEMBRE ............................. C ANEXO D ............................................................................................................... D UTILIZACIÓN ANCHO DE BANDA CANAL UIO-GYE PERIODO ENE-MAR 2013 ......................................................................................................................... D ANEXO E ............................................................................................................... E UTILIZACIÓN ANDO DE BANDA CANAL UIO-GYE PERIODO ABR-JUN 2013.... ......................................................................................................................... E ANEXO F ............................................................................................................... F APLICACIONES Y PROTOCOLOS RED INTERNA UIO ....................................... F ANEXO G ............................................................................................................... G PROTOCOLOS LAN UIO PERIODO ENE-JUN 2013 ............................................ G ANEXO H ............................................................................................................... H OFERTA ECONÓMICA MEGASUPPLY SOLUCIÓN WIRELESS ........................ H ANEXO I.................................................................................................................. I OFERTA ECONÓMICA ANDEAN TRADE SOLUCIÓN WIRELESS ....................... I ANEXO J................................................................................................................ J OFERTA ECONÓMICA TOTALTEK SOLUCIÓN WIRELESS ................................ J ANEXO K ............................................................................................................... K MANUAL INSTALACIÓN CISCO Wism 2 .............................................................. K XI ÍNDICE DE FIGURAS CAPÍTULO 1 .......................................................................................................... 1 Figura 1-1 Topología de Red Inalámbrica ............................................................. 4 Figura 1-2 Dispositivos y Topología Inalámbrica ................................................... 6 Figura 1-3 Principios de Radio Frecuencia ..........................................................11 Figura 1-4 Antenas y Patrones de Radiación .......................................................19 Figura 1-5 Identificación de la WiFi Alliance .........................................................23 Figura 1-6 Frecuencias y Canales 802.11 ............................................................24 Figura 1-7 Velocidades del Estándar 802.11b ......................................................24 Figura 1-8 802.11a Canales y Velocidades .........................................................26 Figura 1-9 802.11 Requiere Confirmación por cada Trama ...............................28 Figura 1-10 802.11n usa Bloque De Confirmación para Tramas Constituidas ...28 Figura 1-11 Transmisión Beamforming ................................................................30 Figura 1-12 Multiplexación Espacial .....................................................................31 Figura 1-13 Máximo Radio Combinado ................................................................32 Figura 1-14 Beneficios de MIMO ..........................................................................34 Figura 1-15 Ejemplo de la aplicación de QoS ......................................................36 Figura 1-16 Flujos de Subida y Bajada con QoS ..................................................37 Figura 1-17 IFS-Espacio entre Tramas ................................................................39 Figura 1-18 Funcionamiento de DCF ...................................................................40 Figura 1-19 Formato de Trama WMM ...................................................................41 Figura 1-20 Colas WMM .......................................................................................42 Figura 1-21 Categoría de Acceso (AC) Temporización ........................................42 Figura 1-22 Mecanismo EDCF .............................................................................43 XII Figura 1-23 Formato de Trama 802.11 ................................................................45 Figura 1-24 Flujo de Autenticación ........................................................................51 Figura 1-25 Encriptación .......................................................................................52 Figura 1-26 Encriptación Simétrica .......................................................................53 Figura 1-27 Encriptación Asimétrica ......................................................................53 Figura 1-28 Autenticación Abierta .........................................................................55 Figura 1-29 Autenticación WEP ...........................................................................56 Figura 1-30 Funcionamiento WEP .......................................................................58 CAPÍTULO 2 .........................................................................................................61 Figura 2-1 Estructura Organizacional ....................................................................63 Figura 2-2 Esquema de Infraestructura de Red Soportada ...................................66 Figura 2-3 Diagrama de Red LAN .........................................................................68 Figura 2-4 Esquema VSS de Core .......................................................................68 Figura 2-5 Nivel de Procesamiento del Core .........................................................69 Figura 2-6 Esquema Lógico de la red LAN............................................................72 Figura 2-7 Diagrama de BDD ................................................................................73 Figura 2-8 Clúster de Virtualización ......................................................................74 Figura 2-9 Ambiente de Réplica ............................................................................75 Figura 2-10 Esquema del Uso del Servidor UIOSRV02 ........................................76 Figura 2-11 Esquema del Uso del Servidor UIOSRV03 ........................................77 Figura 2-12 Esquema del Uso del Servidor UIOSRV04 ........................................78 Figura 2-13 Esquema del Uso del Servidor UIOSRV05 ........................................79 Figura 2-14 Esquema del Chasis Blade UIO .........................................................81 Figura 2-15 Esquema del Chasis Blade GYE........................................................81 Figura 2-16 Uso de Recursos Servidor UIO41 (Novell eDirectory) .......................82 Figura 2-17 Uso de Recursos Servidor UIO42 (Novell eDirectory) .......................83 XIII Figura 2-18 Uso de Recursos Servidor de Correo (Lotus Domino) .......................84 Figura 2-19 Distribución de Servidores por SO .....................................................85 Figura 2-20 Esquema de Videoconferencia ..........................................................87 Figura 2-21 Esquema Lógico de la Plataforma IPAM ............................................93 Figura 2-22 Esquema de IDM ...............................................................................97 Figura 2-23 Esquema de SLA ...............................................................................98 Figura 2-24 Enlaces WAN ...................................................................................102 Figura 2-25 Análisis de Tráfico del Switch de Core_ Nodo1 ..............................105 Figura 2-26 Análisis de tráfico del Switch de Core_Nodo2 .................................106 CAPÍTULO 3 .......................................................................................................109 Figura 3-1 Diseño de Red WLAN ........................................................................109 Figura 3-2 Proyección Crecimiento del Personal ................................................113 Figura 3-3 Ancho de Banda e-mail año 2013 ......................................................114 Figura 3-4 Ancho de Banda e-mail año 2014 ......................................................115 Figura 3-5 Historial de Consumo de e-mail .........................................................115 Figura 3-6 Plano Piso 10 .....................................................................................121 Figura 3-7 Solución Inalámbrica Piso 10 .............................................................122 Figura 3-8 Site Survey Piso 10 (2.4 GHz) ...........................................................122 Figura 3-9 Site Survey Piso 10 (5.8 GHz) ...........................................................123 Figura 3-10 Plano Piso 16 ...................................................................................124 Figura 3-11 Solución Inalámbrica Piso 16 ...........................................................124 Figura 3-12 Site Survey Piso 16 (2.4 GHz) .........................................................125 Figura 3-13 Site Survey Piso 16 (5.8 GHz) .........................................................125 Figura 3-14 Plano Piso 20 ...................................................................................126 Figura 3-15 Solución Inalámbrica Piso 20 ...........................................................126 Figura 3-16 Site Survey Piso 20 (2.4 GHz) .........................................................127 XIV Figura 3-17 Site Survey Piso 20 (5.8 GHz) .........................................................128 Figura 3-18 Arquitectura RADIUS .......................................................................140 Figura 3-19 Tarjeta CISCO Wism2 .....................................................................145 Figura 3-20 Plataforma DHCP para Equipos Inalámbricos ................................147 Figura 3-21 Verificación de Instalación de Wism2...............................................148 Figura 3-22 Verificación de la Instalación de Wism2 ...........................................148 Figura 3-23 Configuración Wism2 .......................................................................149 Figura 3-24 Acceso Web de la WLC ...................................................................150 Figura 3-25 Interfaces de WLC ...........................................................................150 Figura 3-26 Configuración SSIDs ........................................................................151 Figura 3-27 Diagrama Físico – Autenticación de Usuarios y Dispositivos Finales ......................................................................................................................152 Figura 3-28 Diagrama Lógico – Autenticación de Usuarios y Dispositivos Finales .. ………… ..............................................................................................................153 Figura 3-29 Configuración RADIUS ....................................................................154 Figura 3-30 Configuración ACS-WLC .................................................................154 Figura 3-31 Configuración ACS – eDirectory ......................................................154 Figura 3-32 Asociación LDAP .............................................................................155 Figura 3-33 Configuración Portal Cautivo ...........................................................155 Figura 3-34 Configuración Clean Air en 802.11a ................................................156 Figura 3-35 Configuración Clean Air para 802.11b .............................................157 Figura 3-36 Actualización de Software WLC .......................................................158 Figura 3-37 Puntos de Acceso Registrados ........................................................158 Figura 3-38 Configuración AP General ...............................................................159 Figura 3-39 Configuración de Interfaz del AP......................................................159 Figura 3-40 Asociación HA del AP ......................................................................160 Figura 3-41 Datos de AP .....................................................................................160 XV Figura 3-42 Asociación al Grupo de AP ..............................................................161 Figura 3-43 Configuración AP Autoridades .........................................................161 Figura 3-44 Asociación de Interfaz del AP ..........................................................162 Figura 3-45 Configuración de HA de AP .............................................................162 Figura 3-47 Configuración de Grupo AP Privilegiado ..........................................163 Figura 3-48 Configuración Roaming....................................................................163 Figura 3-49 Configuración SNMP........................................................................164 Figura 3-50 Configuración SNMP V3 ..................................................................164 Figura 3-51 Configuración SNMP v2 ...................................................................164 Figura 3-52 Asociación Colector de Traps SNMP ...............................................165 Figura.3-53 Esquema de QoS .............................................................................165 Figura 3-54 Nivel Platino de QoS ........................................................................166 Figura 3-55 Nivel Oro de QoS .............................................................................167 Figura 3-56 Nivel Plata de QoS ...........................................................................168 Figura 3-57 Nivel Bronce de QoS........................................................................169 Figura 3-58 Inventario de WLC ...........................................................................169 Figura 3-59 Lista de Acceso SSID Invitados .......................................................170 Figura 3-60 Lista de Acceso SSID Móviles .........................................................172 Figura 3-61 Lista de Acceso SSID PDAs ............................................................172 CAPÍTULO 4 .......................................................................................................173 Figura 4-1 Ratificación de Buen Funcionamiento de APs ...................................184 Figura 4-2 Ratificación de Uso de Memoria y Asociación de Clientes ................184 Figura 4-3 Revisión de Configuración AP ...........................................................185 Figura 4-4 Revisión de Configuración de Interfaces de AP .................................185 Figura 4-5 Revisión de HA en AP........................................................................186 Figura 4-6 Revisión de Asociación de Grupo en AP ...........................................186 XVI Figura 4-7 Reporte de Air Quality en 802.11a/n ..................................................186 Figura 4-8 Reporte de Air Quality en 802.11b/g/n ...............................................187 Figura 4-9 Reporte del peor escenario ................................................................187 Figura 4-10 Licencias Utilizadas..........................................................................187 XVII ÍNDICE DE TABLAS CAPÍTULO 1 .......................................................................................................... 1 Tabla 1-2 Frecuencias y Canales del Protocolo 802.11 .......................................23 Tabla 1-3 Parámetros QoS ...................................................................................37 Tabla 1-4 Clasificación WMM y 802.1P ................................................................41 Tabla 1-5 Parámetros de WMM en Acces Point ...................................................44 Tabla 1-6 Parámetros de WMM para clientes ......................................................44 Tabla 1-7 Tipos de Tramas ..................................................................................47 CAPÍTULO 2 .........................................................................................................61 Tabla 2-1 Número de Empleados de la Entidad ....................................................62 Tabla 2-2 Distribución de Personal en el Edificio de Quito ....................................65 Tabla 2-3 Características Switches de Core ........................................................70 Tabla 2-4 Características Switches de Acceso ....................................................72 Tabla 2-5 Resumen uso del Servidor UIOSRV02 ................................................76 Tabla 2-6 Resumen del uso del servidor UIOSRV03 ............................................77 Tabla 2-7 Resumen uso del servidor UIOSRV04 ..................................................79 Tabla 2-8 Resumen uso del servidor UIOSRV05 ..................................................80 Tabla 2-9 Resumen del uso del servidor UIO41 ....................................................82 Tabla 2-10 Resumen uso del servidor UIO42 .......................................................83 Tabla 2-11 Resumen uso del servidor Lotus Domino ............................................84 Tabla 2-12 Servidores por Sistema Operativo.......................................................85 Tabla 2-13 Equipos de IPAM.................................................................................93 Tabla 2-14 Distribución actual del direccionamiento IP .........................................95 Tabla 2-15 Distribución Direccionamiento IP Sucursales ......................................95 Tabla 2-16 Funcionalidades de la Herramienta de Monitoreo .............................100 XVIII Tabla 2-17 Niveles de Servicio y Categorización de Incidentes ..........................101 Tabla 2-18 Resumen de estadísticas del Switch de Core_Nodo1 .......................105 Tabla 2-19 Resumen de estadísticas del Switch de Core_Nodo2 .......................106 CAPÍTULO 3 .......................................................................................................109 Tabla 3-1 Criterios de Diseño Generales ............................................................110 Tabla 3-2 Requerimientos de Equipos Mínimos Necesarios ...............................111 Tabla 3-3 Períodos de Crecimiento del Personal ...............................................112 Tabla 3-4 Tamaños Promedio de un Correo Electrónico ....................................114 Tabla 3-5 Tabla de Atenuación por Obstáculos .................................................120 Tabla 3-6 Análisis del Site Survey .......................................................................129 Tabla 3-7 Características para Seleccionar AP ...................................................131 Tabla 3-8 Consideraciones para la selección de los AP y WLC ..........................136 Tabla 3-9 Taba de Direccionamiento IP por SSID ...............................................138 Tabla 3-10 Tabla de Seguridades por SSID ........................................................139 Tabla 3-11 Tabla de Distribución de Puntos de Acceso en Quito ......................142 Tabla 3-12 Tabla de Distribución de Puntos de Acceso en Guayaquil ................142 Tabla 3-13 WLC Quito ........................................................................................144 Tabla 3-14 WLC Guayaquil .................................................................................145 Tabla 3-15 Ranuras para Wism2 ........................................................................146 Tabla 3-16 Segmentos de Red para Administración de la WLC .........................146 Tabla 3-17 Segmentos de Red para Administración de APs ..............................147 Tabla 3-18 Requerimientos de Autenticación ......................................................152 CAPÍTULO 4 .......................................................................................................173 Tabla 4-1 Puntos de Acceso Disponibles en el Mercado ...................................175 Tabla 4-2 Tipos De Antenas Para 2.4 Y 5 GHz ..................................................176 XIX Tabla 4-3 Controladoras Disponibles En El Mercado ........................................179 Tabla 4-4 Tabla de Evaluación de Ofertas ..........................................................180 Tabla 4-5 Pruebas de Instalación ........................................................................182 Tabla 4-6 Pruebas de Funcionamiento ...............................................................183 Tabla 4-7 Pruebas de Rendimiento .....................................................................183 XX RESUMEN Hoy en día las redes inalámbricas cada vez son más necesarias en el mundo tecnológico, social y empresarial. Debido a la característica principal que es brindar la movilidad sin perder conexión brindando los servicios de la red cableada. El presente proyecto comprende el diseño de la red inalámbrica de acuerdo a las necesidades y características físicas y arquitectónicas que tiene la institución financiera, para satisfacer las necesidades presentadas y acoplarse al desarrollo tecnológico alcanzado con los dispositivos móviles para las comunicaciones unificadas mejorando así a través de la temprana toma de decisiones la productividad de la institución. En el Primer Capítulo se realiza una descripción específica de las versiones de 802.11 para resaltar la ventaja que establece el estándar 802.11n. Además, se enuncian los elementos que se deben considerar para el diseño de una WLAN de acuerdo a la tecnología actual. También se verá las opciones de seguridad, como parte de la administración de este tipo de red. En el Segundo Capítulo se identifican los requerimientos de la institución financiera sujeta de estudio. Se realiza un análisis de sus servicios y de su infraestructura complementaria. A partir del levantamiento de esta información, se establece el diseño de la red a satisfacción del cliente y sus requerimientos. El Tercer Capítulo plantea en detalle el diseño de la red inalámbrica que permite su funcionamiento. En esta sección se incluye el diseño de la red inalámbrica determinando el número de usuarios, áreas de cobertura, análisis de ancho de banda y crecimiento para la integración de la infraestructura de la red de área local cableada e inalámbrica. Además se detalla las configuraciones realizadas para la implementación. XXI El Cuarto Capítulo expone la propuesta técnica en funcionamiento. Además de presentar el presupuesto referencial en base al costo del equipamiento existente en el mercado conforme a las especificaciones expuestas en el diseño del capítulo tres, la cual sirve como parámetro inicial de inversión para la solución completa. Finalmente, en el Quinto Capítulo se exponen las principales conclusiones y recomendaciones sobre el trabajo realizado, que deberán tomarse en cuenta en el desarrollo de futuros trabajos. Se incluye una sección de anexos sobre los datos de uso, protocolos, utilización del ancho de banda generados con las herramientas utilizadas y manuales de uso e instalación de la controladora. XXII PRESENTACIÓN Actualmente la movilidad por la constante necesidad humana de interacción y el desarrollo de la tecnología han hecho que los servicios prestados para dispositivos móviles tengan una acogida bastante amplia, por eso la transmisión de texto, audio, imagen, animación o video han constituido uno de los principales elementos distribuidos mediante servicios de red, prioritariamente nos centraremos en las redes inalámbricas para su transmisión. Ante una demanda creciente de este tipo de solución por parte de los sectores públicos y privados, se han marcado tendencias que han propulsado el crecimiento del mercado: el avance tecnológico sostenido y las nuevas formas de compartición de contenido. La primera, ha permitido incrementar el mercado de las comunicaciones de datos y ha convertido a las redes en un entorno ideal para la distribución de contenidos siendo la red inalámbrica un complemento de las redes de área local y área extendida un complemento necesario. La segunda en cambio, mediante la interoperabilidad, gestión de contenidos, compartición, toma de decisiones agilizada, administración centralizada, garantía de seguridad, confianza a lo largo de toda la cadena de comunicación, interactividad, operatividad, compatibilidad en todo tipo de terminales, ha generado un mercado basado en las ventajas y compatibilidad de dispositivos y aplicaciones para la compartición de información y contenidos. Pero no todas las instituciones, ni las soluciones son ideales para todos ya que las necesidades para cada uno son diferentes por lo tanto, son necesarios desarrollos tecnológicos para trasladar y adaptar el atractivo de los beneficios que se tiene al tener una red inalámbrica para poder potenciar las aplicaciones orientada a la compartición de contenidos a las expectativas de los usuarios y funcionalidad de cada entidad orientada a sus respectivos objetivos de productividad, es por esta XXIII razón la importancia de generar un estudio que permita conocer componentes que son primordiales en la institución y buscar la integración de todas las etapas necesarias como son administración, distribución y almacenamiento, los lineamientos para esta solución tiene como ventaja principal la integración de componentes externos en la red inalámbrica que está diseñadas para el envío y recepción de tráfico de video, archivos, imágenes, voz, considerando un esquema de recuperación frente a fallas, alta disponibilidad y redundancia. 1 CAPÍTULO 1 1. FUNDAMENTOS TEÓRICOS Las redes inalámbricas se han venido desarrollando a través del tiempo, pero hoy el uso de dispositivos inalámbricos es mucho más frecuente, por lo que se ha creado una necesidad de poseerlas como una de las plataformas base dentro de una arquitectura de negocio, permitiendo así la integración de elementos inalámbricos a la red de comunicaciones, como son: terminales móviles, teléfonos inteligentes, proyectores, laptops, tablets, etc. 1.1 INTRODUCCIÓN Evolución de las Redes Inalámbricas 2500 2000 1500 1000 500 0 900 Mhz IEEE 802,11 Drafting Begins 802,11 Ratified 802,1 a,b Ratified 802,11 g Ratified 802,11 n Draft 2,0 802,11n Ratified 2,4 Ghz 2,4 Ghz 5 Ghz 5 Ghz 5 Ghz 5 Ghz Propietario Propietario Propietario Basado en Basado en Basado en Basado en Estándar Estándar Estándar Estándar 800 Kb/s 1Mbps 2Mbps 1Mbps 2Mbps 11 Mbps 54 Mbps 300 Mbps 300 Mbps Tabla 1-1 Evolución de las Redes Inalámbricas [1] año 2 La comunicación inalámbrica significa transmitir información usando ondas de radio. La IEEE1, es una organización que es responsable del desarrollo de protocolos que definieron el primer estándar IEEE 802.11, el cual describe cómo una señal puede ser enviada utilizando una de las bandas ISM2 para cargar información digital desde un dispositivo electrónico a otro. La mayoría de estos protocolos definidos entre 1997 y 2003 son usados hoy en día para las redes inalámbricas. La Tabla 1-1 describe la evolución de los estándares para las redes inalámbricas. Para poder organizar en grupos las tecnologías inalámbricas, se clasifican las comunicaciones de diferentes formas dentro del espectro radioeléctrico, dependiendo de las distancias de la conexión, el número de dispositivos a conectar y la cantidad de información a transmitir. 1.2 RED DE ÁREA LOCAL INALÁMBRICA Las redes de área local inalámbricas o WLANs proveen una red con conectividad robusta sobre una distancia aproximada de 100 metros, entre el punto de acceso y los clientes asociados. El objetivo no es conectar un dispositivo a otro, sino conectar muchos dispositivos a una red sin la necesidad de cables. Hoy en día están basadas en el estándar IEEE 802.11, la primera comercialización satisfactoria de esta tecnología fue lograda por la IEEE con el estándar 802.11b, el cual opera en la banda de los 2.4 GHz alcanzando una velocidad de 11 Mbps. Para implementar un método de transmisión distinto, el nivel de datos fue incrementado a 54 Mbps en el año 2003 con el estándar IEEE 802.11g, en la misma banda que su predecesor, y el estándar IEEE 802.11a en la banda de los 5 GHz. Actualmente, los puntos de acceso inalámbrico trabajan con las dos bandas y así también las tarjetas de red de los clientes soportan estas combinaciones de 802.11a, b, g y n. Las redes inalámbricas son complejas porque muchos usuarios esperan conectarse al mismo tiempo, lo que genera interferencias al competir por el espectro de 1 2 Instituto de Ingenieros Eléctricos y Electrónicos Del inglés: Industrie, Scientific and Medical 3 frecuencia dentro del canal de comunicación. Para el administrador, controlar todos los accesos simultáneos a la red no es una tarea productiva. Se puede ofrecer un mejor servicio al número óptimo de usuarios que se registren en cualquier momento, mediante la automatización de la tecnología utilizando una controladora. Una de las características que le permitió a las WLAN tener acogida es no ser licenciadas, esto implica que los usuarios no necesitan pagar por el uso de canales en este rango de frecuencia, lo que ha impulsado el desarrollo creciente de dispositivos para este tipo de uso. [1] 1.3 INFRAESTRUCTURA DE UNA RED INALÁMBRICA 1.3.1 PUNTOS DE ACCESO La infraestructura de una red inalámbrica se crea instalando un dispositivo dedicado a la centralización de la comunicación entre los clientes. Este dispositivo central define la frecuencia y los valores del grupo de trabajo inalámbrico, así como los dispositivos que deseen unirse al canal con otros del grupo. Este dispositivo central es llamado Punto de Acceso (AP) cuya función principal es traducir la comunicación del estándar IEEE 802.3 de la red cableada (Ethernet) a un medio inalámbrico mediante el estándar IEEE 802.11. Un AP puede conectar a una máquina u otra en el mismo espacio inalámbrico o a la red cableada, una capacidad fundamental que se destaca de las WLAN. Un AP puede manejar y direccionar el tráfico inalámbrico. Manejan como los switches una tabla dinámica de direcciones MAC3 que redirigen los paquetes a los puertos correspondientes donde se encuentra la MAC insertada en el paquete. El encabezado de una trama IEEE 802.11 típicamente tiene tres direcciones MAC pero puede llegar a tener hasta cuatro en ciertas ocasiones. Como sabemos las redes Ethernet usan solo dos direcciones MAC, la de destino y la de origen, pero, IEEE 802.11 al manejar una trama entre el AP y dos estaciones, también usa el concepto de transmisión salto a salto, por lo que se almacena la MAC del siguiente salto, y el nombre del grupo en un AP también es una dirección MAC. 3 MAC: Hace referencia a la dirección de hardware de capa 2 según el modelo OSI con la que constan los equipos electrónicos. 4 El AP usa un esquema de direcciones de capa 2 para las tramas inalámbricas, para enviar a las capas superiores la información a través del backbone4 y devolverlas al espacio inalámbrico. Un AP ofrece un BSS5 pero no un IBSS6, porque un AP es un dispositivo dedicado. El radio de cobertura del AP es llamado BSA7 o celda. Puesto que las estaciones de clientes se encuentran conectadas al dispositivo central, este tipo de red se denomina de infraestructura. Figura 1-1 Topología de Red Inalámbrica [1] 4 Traducido al español como columna vertebral, hace referencia al cableado estructurado vertical que puede ser de cobre o fibra. 5 Del inglés Basic Service Set (BSS): Es un conjunto de servicios básicos. Se refiere al servicio que un access point proporciona. 6 Del inglés Independent BSS (IBSS): Es un conjunto de servicios básicos que provee una red wireless punto a punto. 7 Del inglés: Basic Service Area (BSA): Es la llamada celda para la conexión inalámbrica. 5 Desde la perspectiva de la red inalámbrica se denomina Sistema de Distribución (DS) al lado de la sección de la red cableada que se puede alcanzar a través del AP. Los sistemas de distribución reciben los paquetes que los clientes de la red inalámbrica entregan y distribuyen todos estos paquetes donde quiera que se necesite recibir, incluso si se tratase de otro AP (Ver Figura 1-1). Cuando el sistema de distribución tiene enlaces con dos puntos de acceso, o dos celdas, el grupo se llama Extended Service Set (ESS). Este escenario es el más común dentro de las redes inalámbricas porque permite a las estaciones estar en diferentes áreas y no perder conectividad de la red, pero para esto se necesita realizar un proceso conocido como roaming descrito más adelante. [1] 1.3.1.1 Identificador de Conjunto de Servicios (SSID) Un SSID, es el nombre que los administradores de redes inalámbricas utilizan para identificar las conexiones inalámbricas. Es una cadena de caracteres que actúa como una contraseña para identificarse en el BSS. EL SSID diferencia una WLAN de otra, por lo que todos los dispositivos que intentan acceder a una WLAN específica deben utilizar el mismo SSID para permitir la movilidad. Cuando los dispositivos no cuentan con un punto de acceso que interactúe con ellos, se conoce como BSSID (Basic Service Set Identifier); mientras que en las redes de infraestructura que poseen un punto de acceso se utiliza el ESSID (Extended Service Set Identifier). 1.3.1.2 Roaming El roaming ocurre cuando una estación se mueve dejando el área de cobertura del AP al que estaba conectada originalmente, y llega a la BSA de otro AP, se dice que la estación deambula entre las celdas. Las celdas vecinas están por lo general en diferentes canales para evitar interferencias. Las redes inalámbricas están diseñadas para realizar la detección de celdas vecinas y realizar el roaming con total trasparencia desde el punto de vista de la estación. Ver la descripción gráfica en la Figura 1-2. 6 Figura 1-2 Dispositivos y Topología Inalámbrica [1] Se permite realizar el roaming entre los APs asociados a la misma controladora y entre los APs asociados con diferentes controladoras. El roaming puede ocurrir tanto en capa 2 como en capa 3. En capa 2 la subred del cliente no cambia. En capa 3 un cliente se mueve de un SSID de un AP que está asociado a una VLAN y la IP respectiva de la subred, al mismo SSID en diferente AP que está asociado con una VLAN e IP de subred diferente. Para que el roaming ocurra entre diferentes controladoras, estas necesitan estar en el mismo dominio de movilidad para que puedan comunicarse. Las controladoras con un grupo de movilidad deben poseer las siguientes características: ü Nombre de grupo de movilidad ü Igual versión de la controladora, a pesar de que entre diferentes versiones es posible mantener la movilidad, es una mejor práctica que sean iguales. 7 ü El protocolo de comunicación del punto de acceso con la controladora debe ser (Lightweight Access Point Protocol [LWAPP] o Control and Provisionning of Wireless Access Points [CAPWAP]) ü Mantener las mismas listas de control de Acceso (ACLs) ü Poseer los mismos SSIDs Estos requerimientos deben cumplirse para que el roaming sea transparente hacia el cliente y funcione correctamente. Sin estos, un cliente deberá volver a asociarse y autenticarse a la red. [1] 1.3.2 CONTROLADORAS INALÁMBRICAS Una controladora inalámbrica (WLC) tiene como función integrar capacidades de gestión avanzadas en las redes empresariales existentes y lograr un rendimiento mejorado. Estas se comunican con los puntos de acceso ya sea por capa 2 (Ethernet) o capa 3 (IP) y son responsables de la gestión de las funciones del sistema, lo cual simplifica la administración de la red inalámbrica. 1.3.2.1 Beneficios 1.3.2.1.1 Operaciones Simplificadas Reducen los gastos operativos mediante la simplificación de despliegue de red, operación y gestión, permitiendo una administración centralizada para poder realizar la configuración inalámbrica y dar seguridad a la plataforma a través de la misma interfaz. 1.3.2.1.2 Control Centralizado Optimiza el rendimiento de la red inalámbrica. Implementa controles inalámbricos para ayudar a gestionar la infraestructura, asegura y configura los puntos de acceso en toda la organización. 8 1.3.2.1.3 Opciones de Implementación La institución, al contar con una infraestructura marca CISCO, manifestó que la solución debe ser de igual marca, por lo tanto, en esta investigación se seleccionará el mejor controlador ofertado por CISCO, que se adapte a sus equipos. Por parte de CISCO existe una solución llamada Unified Wireless Network (UWN) que fue desarrollada pensando en el cambio constante de los ambientes en los cuales se pone en funcionamiento una red inalámbrica y sus afectaciones, por ejemplo de forma tradicional se configuraban los equipos manualmente e individualmente, reproduciendo las configuraciones de un AP a otro, configurando el canal, la potencia de transmisión de cada AP y viendo que no interfieran entre ellos; pero esto en empresas medianas o grandes requiere de mucho esfuerzo, reduce la fiabilidad y representa varios puntos de falla en una solución a un problema. Esta solución provee una administración inteligente de radio frecuencia y con la habilidad de cambiar el canal y la potencia de acuerdo con la necesidad, CISCO provee una alta capacidad, disponibilidad y menor costo en la implementación de la red inalámbrica. La arquitectura de esta solución incluye dos tipos de APs: Autónomo: Significa que puede ser configurado uno por uno y ofrece las funcionalidades por ellos mismos, lo cual aplica para redes pequeñas. AP de peso ligero: Pertenecen a una controladora de red inalámbrica central la cual controla la configuración de cada punto de acceso así como sus actualizaciones se realizan dinámicamente a través de la red, y si las condiciones cambian, estas se reajustan. Los APs son controlados y monitoreados a través de la controladora. Los clientes y los APs envían información crítica en segundo plano hacia la WLC acerca de la cobertura, interferencias y los datos del cliente. La comunicación entre los APs y la WLC es provista por el protocolo CAPWAP (Control and Provisioning of Wireless Access Points). CAPWAP es usado para enviar la información de control entre el AP y la WLC sobre un túnel cifrado. La información del cliente es encapsulada con una cabecera 9 CAPWAP de 6 bytes que contiene la información acerca del cliente como RSSI8, SNR9 y la envía al WLC, el cual reenvía la información tanto como sea necesario, este mecanismo mejora el control de seguridad sobre las condiciones de tráfico; así mismo, el resultado de esta trama rebosa la capacidad del MTU10 de Ethernet al que el AP se conecta. El MTU en el espacio inalámbrico es usualmente de 2346 bytes, donde se usa para Ethernet segmentos de 1500 bytes. En este caso, la trama para 802.11 es fragmentada y el campo del fragmento de la cabecera CAPWAP cuenta los segmentos. El AP y la WLC constituyen un túnel seguro DTLS11. Donde cualquier AP puede ser detectado si no tiene capacidad CAPWAP y la red puede ser configurada para forzar a que los APs tengan esta característica haciendo que se autentiquen antes de ser capaz de descargar cualquier información de la WLC, mitigando así la posibilidad de un AP intruso. Una controladora puede manejar entre 6 a 250 APs. Sin embargo, la capacidad puede ser incrementada con una WLC adicional. La controladora es capaz de analizar en tiempo real las características de Radio Frecuencia (RF) para la administración eficiente de los canales asignados, lo que incluye lo siguiente: 8 · Energía recibida por el AP · Ruido · Interferencia 802.11 · Utilización · Carga del cliente Received Signal Strength Indicator: es una escala de referencia (en relación a 1 mW) para medir el nivel de potencia de las señales recibidas por un dispositivo móvil en las redes inalámbricas. 9 Signal-to-Noise Ratio: se define como la relación existente entre la potencia de la señal que se transmite y la potencia del ruido que la corrompe. Este margen es medido en decibelios. 10 Unidad Máxima de Transferencia: En términos de redes se refiere al tamaño máximo de datos que se puede enviar en la trama de un protocolo. 11 Datagram Transport Layer Security: es un protocolo que proporciona privacidad en las comunicaciones para protocolos de datagramas. Este protocolo permite a las aplicaciones cliente/servidor comunicarse de manera que se eviten las escuchas no deseadas, accesos no permitidos, o modificación de mensajes. 10 En función de algoritmos la controladora toma decisiones sistematizadas, dando un resultado óptimo para la configuración del canal, haciendo que se transmita la energía requerida por el AP, si una falla se detecta en un AP, la energía se distribuye automáticamente entre los AP vecinos para rellenar el vacío que este deja y no perder cobertura. Una controladora puede soportar un máximo de 512 VLANs. Sin embargo, solamente unas pocas son realmente necesarias, por ejemplo para separar los datos de la VoIP, el acceso de invitados y la administración como tal. La WLC puede asignar hasta 16 WLANs por cada AP, cada una separada por un identificador, llevarán sus propios SSID y se pueden aplicar políticas de seguridad y calidad de servicio. Todos los clientes compartirán el mismo espacio, pero se utiliza una red diferente por cada SSID al que se asocien, cada uno con sus respectivas políticas. 1.3.3 ANTENAS [2, 3] Las redes inalámbricas utilizan ondas de radio para enviar información. Por lo tanto, se debe conocer los principios básicos de la propagación de ondas de radio para las redes inalámbricas. Una onda de radio es un campo eléctrico y un campo magnético utilizado para transportar la información. Las ondas de radio suelen utilizar frecuencias que el ser humano no puede detectar. Diferentes ondas tienen diferentes tamaños que se expresan en metros. Otra unidad de medida, Hertz (Hz), expresa con qué frecuencia se produce una onda, o se repite, por segundo. Una onda que se produce cada segundo se dice que tiene una frecuencia de 1 Hz. La onda que se produce mil millones de veces por segundo tiene una frecuencia de un Gigahercio (GHz). Señales de baja frecuencia se ven menos afectadas por las señales de alta frecuencia en el aire y pueden viajar más lejos. Las redes inalámbricas utilizan la banda de 2,4 GHz y la banda de 5 GHz. La banda de 5 GHz tiene levemente menos cobertura que la banda de 2.4 GHz. Las ondas de radio repiten su patrón de movimiento en el tiempo (en un punto determinado del espacio), pero así mismo distribuido en el espacio. La distancia física desde un punto del ciclo hasta el mismo punto del siguiente ciclo se llama 11 longitud de onda, que por lo general se representa por el símbolo griego λ (lambda). La longitud de onda es la distancia física cubierta por la onda en un ciclo. Otro parámetro importante de la onda es su fuerza, o la amplitud. Cuando una onda de radio golpea un obstáculo, parte de la energía de la onda es absorbida por el material del obstáculo. Este fenómeno reduce la amplitud de la onda. Si queda un poco de energía, una onda más débil (de menor amplitud, pero la misma frecuencia y longitud de onda) continúa en el otro lado del obstáculo. Si la onda de radio golpea el obstáculo en un ángulo bajo, la onda (toda la onda, o parte de ella) podría rebotar en el obstáculo. Este fenómeno se llama reflexión (Ver Figura 1-3). El ángulo de reflexión es el mismo que el ángulo original. Un obstáculo dado puede no ser una fuente de reflexión para una señal en una frecuencia, pero podría ser una fuente de alta reflexión para la misma señal enviada a otra frecuencia. Figura 1-3 Principios de Radio Frecuencia [1] La reflexión depende del material del obstáculo, de la frecuencia de la onda de radio, y del ángulo en que se alcanza el obstáculo. La reflexión causa un fenómeno llamado trayecto múltiple, que es una preocupación importante en los ambientes interiores. Una señal enviada a una estación viaja en una línea recta y alcanza el destino. A pocos microsegundos después, copias de la 12 misma señal reflejadas en las paredes, techo y obstáculos también llegan a su destino. Todas estas copias pueden tener un efecto destructivo si están fuera de fase. Si se recibe una señal dos veces exactamente en el mismo tiempo, la onda secundaria agrega su energía a la onda primaria, por lo que el receptor recibe el doble de la energía positiva (cresta positiva) en el mismo instante, luego dos veces la energía negativa (cresta negativa) en el mismo instante. El resultado es que las ondas se suman a dos veces la amplitud (energía) de una sola onda, y las dos señales se dice que están en fase (ambas señales se dice que tienen un ángulo de 0 grados). Esta rara condición se llama de subida. Por el contrario, si la energía negativa de la señal (cresta negativa) llega al receptor, justo cuando la primera señal de energía positiva (cresta positiva) también llega al receptor, ambas señales se anulan entre sí, dando lugar a ninguna señal en absoluto (este es el principio utilizado en auriculares de cancelación de ruido). Las señales se dice que tienen un ángulo de 180º. En la mayoría de redes inalámbricas, más de dos señales están llegando al receptor, y sus respectivos ángulos son por lo general entre 0° y 180°. Debido a que la reflexión se produce en diversos puntos en el espacio, un receptor puede ser gravemente afectado por reflexiones en una posición dada, y no se ve afectado del todo a tan solo unos pocos centímetros de distancia. Para luchar contra los efectos de trayectoria múltiple, muchos sistemas inalámbricos tienen dos antenas vinculadas al mismo circuito de radio. Esto se conoce como diversidad. Cuando se detecta una trama, el sistema pone a prueba la señal de cada antena y utiliza la antena que ofrece la mejor señal. El sistema luego responde a través de la misma antena que se utilizó para recibir. Esta decisión es tomada por la antena para cada trama recibida. El sistema utilizará una antena o la otra, pero nunca las dos al mismo tiempo. El algoritmo utilizado por el sistema, compara las señales escuchadas de ambas antenas. Las antenas deben estar en la misma zona física, y ambas antenas deben ser del mismo tipo (de modo que su señal se pueda comparar). 13 La reflexión también se produce en el propio aire, rebotando en polvo o micro gotas de agua (humedad). Estas reflexiones múltiples se describen como dispersión. Una señal dispersa es más débil (debido a que parte de ella se refleja en otras direcciones a lo largo del camino) y más difusa (debido a que muchas de estas micro reflexiones podría golpear al receptor). El efecto de la dispersión depende también de la frecuencia de la onda de radio. Otro fenómeno, menos común en las redes inalámbricas de interior, es la refracción. La refracción se produce cuando una onda cambia de dirección. Este cambio en la dirección generalmente sucede cuando una onda pasa de un medio a otro (por ejemplo: del aire al agua). Incluso sin obstáculos, una onda de radio se hace más débil conforme se aleja de la fuente de emisión debido a que la energía de la onda se propaga en una forma de cono para una antena direccional, o en un círculo similar a ondas en el agua para las antenas omnidireccionales. La misma cantidad de energía debe cubrir un espacio más grande, lo que reduce la cantidad de energía disponible en cualquier punto dado. Esta atenuación de la señal relacionada con la distancia del emisor se llama pérdida de espacio libre. La pérdida de espacio libre se toma en cuenta para determinar cuánta energía debe ser enviada desde el emisor para alcanzar al receptor en buenas condiciones. A este cálculo se lo conoce como el presupuesto del enlace. La señal de RF debe ser capaz de viajar directamente desde el emisor hacia el receptor para que dicha transmisión tenga efecto. Los ingenieros de RF se refieren a ésta conexión directa como RF en línea de vista. Para los enlaces de radio de largo alcance, la curvatura de la tierra impide la línea de vista de RF tan pronto como la distancia supera los 7 a 10 kilómetros. A continuación, se deberá elevar las antenas para mantener la línea de vista. Una exitosa señal, realmente requiere más que una simple línea de vista. Densos obstáculos cercanos a la línea de vista toman mucha de la energía de la onda (o la reflectan, ocasionando problemas de múltiples rutas) del receptor para interpretar correctamente la señal recibida. El físico del siglo diecinueve, Agustín-Jean Fresnel, calculó zonas alrededor de la línea de vista, donde las señales reflectadas destruirían (zonas impares) o 14 reincorporarían (incluso las zonas) la señal principal. Teóricamente existe un infinito de zonas, pero el área principal de interés es la primera zona. Alguna obstrucción puede ser aceptable, pero al menos el 60% de ésta primera zona, debe ser liberada de cualquier obstáculo, para permitir que la señal tenga una calidad aceptable. Debido a que la onda de RF se vio afectada por los obstáculos en el camino, es importante determinar qué cantidad de señal es recibida por el otro extremo. El valor que indica la cantidad de poder recibido es llamado Indicador de Poder de Señal Recibida (RSSI). Es un valor negativo medido en dBm. Un valor más alto (cercano a 0) es mejor y muestra una señal más alta. El cálculo del RSSI es difícil debido a que el receptor no conoce la cantidad de poder que fue originalmente enviada. Por lo tanto, el RSSI es simplemente un valor que determina la capacidad que tiene la tarjeta receptora para convertir la señal recibida en datos, y no existe escala alguna para el RSSI. Dos tarjetas de diferentes fabricantes, en el mismo punto del espacio, pueden indicar diferentes RSSIs de la misma señal recibida. La capacidad que tiene la tarjeta inalámbrica de convertir la señal recibida en datos, se ve también afectada por otras ondas de radio que llegan al receptor, junto con la señal principal. Estas señales recibidas, no utilizadas, que se encuentran a la misma frecuencia que la señal principal, son llamadas ruido, y es un valor negativo medido en decibeles (dB). Un valor bajo de ruido (-100 es menor que -10) es señal de un silencioso y mejor ambiente. La diferencia de la fuerza entre la señal principal y el ruido de fondo es llamada Proporción Señal a Ruido (SNR). Para recibir una señal en buenas condiciones, la estación necesita especificar el valor mínimo de RSSI, pero a la vez, especificar la mínima SNR, estas especificaciones, ayudan a la estación para que pueda entender la señal recibida. 1.3.3.1 dB y dBm RSSI se expresa en dBm debido a que las señales inalámbricas son campos eléctricos. Dentro de una estación o de un punto de acceso, el transmisor genera una corriente eléctrica que es desviada hacia a la antena y radiada. La fuerza de esta corriente eléctrica se la expresa en watts (de hecho, en milésimas de watts o 15 en mili watts). La comparación de señales expresadas en mili watts se la puede hacer directamente (la señal X es Y mili watts más fuerte que la señal Z) o utilizando la escala del decibel. La escala del decibel fue inventada por los Laboratorios Bell para comparar la fuerza de una señal de sonido en los primeros días de telefonía analógica. Ésta escala fue generalizada para muchos otros campos, ya que se es simple comparar potencias en una escala logarítmica. La unidad a utilizar para comparar dichas medidas, se la hace simplemente añadiendo el dB para expresar que se está comparando potencias relativas. (dBm para comparar la potencia relativa [dB] de dos señales expresadas en mili watts, dBHz para comparar hertzios, etc.). La escala de los dB es ampliamente utilizada en las redes inalámbricas ya que permite comparar potencias relativas, mas no potencias absolutas. Por ejemplo, si la señal A es 1 mW y la señal B es 4mW, una comparación directa indica que B es 3 mili watts más fuerte que A. Si la señal C es 25 mW y la señal D es 100mW, una comparación directa indica que D es 75 mW más fuerte que C. Cuando se hace la comparación de todas estas señales juntas, una comparación directa le da la alternativa a pensar que existe mayor diferencia entre C y D (75mW) que entre A y B (3mW). Esto es cierto pero malentendido. La escala de los dB indica que B es 4 veces más fuerte que A y D y también 4 veces más fuerte que C. C es mucho más fuerte que A, pero la diferencia relativa entre D y C y entre B y A es la misma (D y B son 4 veces más fuertes que C y A respectivamente). Esto tiene sentido cuando se las asocia con otras reglas. Por ejemplo, para las redes inalámbricas, una señal 4 veces más fuerte duplicará la distancia utilizable en donde la señal puede ser recibida. La escala directa indica que C es más larga que A, pero la escala de los dB facilita determinar que la distancia entre A y B también se duplica entre C y D. La escala de decibelios es logarítmica, la que es un poco difícil de calcular mentalmente. Para simplificar la tarea, hay que recordar tres valores simples: ■ 0 dB: Una medición de 0 dB es el valor de referencia (señal A es 0 dBm más fuerte o más débil que la otra señal de 1 mW). ■ 0 dB: Cuando la potencia es de 10 dB, la fuente que se está examinado es diez veces más potente que el valor de referencia. Esto también funciona a la inversa: 16 si el poder es de -10 dB, la fuente que se está examinado es diez veces menos potente que el valor de referencia. ■ 3 dB: Si la potencia es 3 dB, la fuente que se examina es el doble de potente que el valor de referencia. Con la misma lógica, si el objeto que se evalúa es la mitad de poderoso que el valor de referencia, se escribirá -3 dB. 1.3.3.2 dBi y dBd La escala de decibelios se utiliza también para comparar la potencia relativa (llamada ganancia) de las antenas. La referencia ahora ya no es 1 mW, porque no se transmite electricidad por el aire realmente, y también porque el objetivo no es medir los valores de potencias eléctricas relativas, sino comparar la capacidad de una antena para enfocar una señal de RF. Para permitir la comparación más simple, una antena de referencia teórica fue imaginada para ser utilizada como un punto de referencia contra el cual se compararán todas las antenas. Esta antena imaginaria se denomina isotrópica y es imaginada como un punto ancho y que irradia su señal perfectamente por igual en todas las direcciones. Dicha antena no existe, por supuesto (una antena no puede ser "un punto" pequeño, y el hardware de la antena no permitiría irradiar perfectamente de la misma manera en todas las direcciones), pero esto no importa. Esta antena imaginaria proporciona un punto de referencia, y encontrará ganancias de antena (o potencia) expresada en dBi (son dB con respecto a la antena isotrópica teórica). Se puede a continuación, comparar antenas entre sí. Con la escala de dB, usted sabe que una antena de 6 dBi tiene el doble de la ganancia de antena de 3 dBi y cuatro veces más ganancia que la antena isotrópica teórica. dBi es la escala más común para expresar la ganancia de una antena, pero algunos profesionales prefieren utilizar una antena existente como referencia. La antena elegida es la más simple posible, llamada antena dipolo. Esta comparación se expresa en dBd. Esta escala es menos común, pero la conversión de un lado a otro es fácil. Una antena básica dipolo tiene una ganancia de 2,14 dBi. También es 0 dBd (como la ganancia de la antena básica dipolo es exactamente la 17 ganancia de la antena dipolo, ni más ni menos). Una antena de 6 dBi también puede decirse que es una antena de 3,86 dBd (6-2,14). Es decir: ■ dBi = dBd + 2,14 ■ dBd = dBi - 2.14 1.3.3.3 Principios de Antenas 1.3.3.3.1 Polarización Diferentes antenas tienen diferentes maneras de enfocar la energía recibida desde el transmisor. Todos ellos emiten un campo eléctrico, el cual es la onda de radio. Un campo magnético está asociado a un campo eléctrico. Este campo magnético se dice que está en el lado izquierdo de la onda, es una convención decir que cuando la onda se mueve hacia arriba, hay un campo magnético positivo en el lado izquierdo de la onda (luego a la derecha cuando la onda se mueve hacia abajo). Esta onda de radio puede subir y bajar, entonces se dice que la antena es de polarización vertical. La antena también puede ser diseñada para permitir que la onda viaje en un movimiento de izquierda a derecha (la antena esta polarizada horizontalmente, y el campo magnético está por encima y por debajo). Patrones más complejos son posibles (por ejemplo, la polarización circular, donde los círculos de la onda se mueven hacia adelante). La mayoría de las redes inalámbricas utilizan la polarización vertical. La polarización en realidad no importa (la posición relativa de la tierra con respecto a la onda no cambia), pero el emisor y el receptor deben utilizar la misma polarización. Esto no es crítico en interiores, donde múltiples caminos asegurarán de que todos los tipos de señales polarizadas lleguen al receptor, pero es muy importante al aire libre, sobre todo para enlaces de largo alcance. Un desajuste de polarización podría hacer que la señal recibida sea hasta 20 dB más débil de lo que sería si fuera polarizada adecuadamente. 18 1.3.3.4 Patrones de Radiación Cada antena tiene un valor de ganancia, pero no se debe pensar que la actividad de la antena amplifica la señal recibida desde el transmisor. La ganancia, compara la señal enviada por la antena como si esta hubiera sido enviada por una antena isotrópica. La antena isotrópica radia toda la energía de la señal hacia una esfera perfecta. Si la antena radia en una única dirección, se recibirá más energía en dicha dirección que la que podría ser recibida en el mismo punto del espacio si la antena hubiera sido isotrópica. La cantidad global de energía es la misma, solo que está mejor enfocada. La ganancia simplemente reafirma cuanta más energía va a ser recibida en esa dirección. Vendedores de antenas utilizan gráficos de patrones de radiación para describir la señal enviada por una antena. Esta tabla proporciona una vista desde arriba de la antena (el plano horizontal [plano-H] o gráfico azimut) y una vista desde un lado (el plano de elevación [plano-E] gráfico o elevación). El plano-H muestra cómo la señal se extiende por delante, por detrás, por la derecha y por la izquierda, pero no de arriba, abajo, y proporciona una vista horizontal. El plano-E muestra cómo la señal se extiende por delante, por detrás, en la parte superior y la parte inferior, pero no a la derecha y la izquierda, pero no proporciona una vista de arriba hacia abajo de la forma de la señal. Con esto, los vendedores toman un punto en el espacio donde la señal más fuerte es recibida y lo utilizan como referencia. En la Figura 1-4 está representada por el círculo de afuera, la línea representa cuan poca energía se recibirá mientras se camina en círculos alrededor de la antena. Esto es muy confuso. Se debe mover circularmente mientras se permanezca a la misma distancia de la antena. La línea entrecortada muestra cuán poca energía es recibida mientras se va alejando del punto principal de la energía radiada. Para determinar el área donde mayor parte de la energía está siendo radiada (llamada el ancho de haz), vendedores han tomado puntos donde la señal se degrada a 3 dB (mitad de la potencia). En la figura, este punto se encuentra posicionado aproximadamente a 30 grados de cada lado de la dirección principal 19 de radiación, y el ancho de haz de la antena se dice que está a 60 grados (30 grados de cada lado). Figura 1-4 Antenas y Patrones de Radiación [1] 1.3.3.5 Tipos de Antenas [3] [4] Hay dos tipos principales de antenas: omnidireccionales y direccionales. Antenas omnidireccionales irradian igualmente en todas las direcciones del plano-H. Por lo general, no irradian igualmente en todas las direcciones en el plano-E. Su patrón de radiación a menudo se dice que se parece más a un donut que a una esfera pura. Esta forma es común para muchas antenas omnidireccionales de interior, la diferencia es el espesor de la rosquilla. La antena dipolo básica tiene una ganancia de 2,14 dBi y su patrón de radiación se ve como una gruesa donut. La elección de la antena dependerá del tipo de área que necesita cubrir. Un tipo especial de antena omnidireccional, es la antena doble omnidireccional, se compone de dos antenas direccionales espalda con espalda. Se utiliza para dar cobertura a una sala, con un pilar en el medio para fijar las antenas. Aunque ambas antenas son un par direccional, el resultado todavía se llama omnidireccional. 20 Una antena de parche es un tipo de antena direccional. Una antena direccional está diseñada para cubrir una dirección específica, tanto en el plano-E como en el planoH. El ancho del haz en ambos planos se estrecha, el rango y la ganancia aumentan. La antena de parche es una antena direccional común, con un rango de 8 a10 dBi de ganancia en función de los modelos. Es comúnmente usada en las paredes para cubrir un salón o una sala de reuniones. La antena Yagi (o Yagi-Ude, por el nombre de sus inventores) se ve similar a un tubo donde la antena tipo peinilla (parecida a una antena analógica de TV) es insertada. Cada diente de la peinilla amplifica la señal del diente contiguo. La mayoría de antenas Yagi, tienen este pequeño campo radiado a sus espaldas, lo cual es llamado “el efecto mariposa”. El proceso de elaboración también crea lóbulos laterales, una delgada área de cobertura al costado del campo principal. Una antena Yagi, comúnmente tiene una ganancia de 13 dBi y es usada, por ejemplo, para dar cobertura a pasillos largos Al final del espectro, el platillo parabólico tiene un haz muy estrecho. Se parece mucho al plato de un satélite parabólico y es usado para enlaces punto a punto de larga distancia puertas afuera. Dependiendo del modelo, el rango de ganancia puede ir de 21 dBi a 28 dBi. 1.3.3.6 Antenas y Accesorios Las WLANs operan en las bandas de RF de licencia libre, por lo que no tiene que pagar una cuota para utilizar cualquier equipo en estas bandas. El espectro de radio frecuencia es regulado, lo que significa que las autoridades de regulación de cada país determinan la cantidad de la señal y qué tipo de señal se puede enviar en estas frecuencias. Si se utiliza un punto de acceso y una antena hecha por el mismo fabricante, puede utilizar un sistema de certificación y estará dentro de los límites de los niveles de potencia permitidos. Pero si se fuera a utilizar un punto de acceso, en el cual la potencia de transmisión está lista para ser enviada a una antena omnidireccional, y si se va a conectar un disco parabólico diseñado inicialmente para un AP con un transmisor débil, es posible que se emita una señal más fuerte que el nivel máximo permitido en el país. 21 Para evitar esta situación, la mayoría de países tienen entidades reguladoras que requieren que cada fabricante utilice un conector específico para conectar sus antenas a los APs. Aún se puede encontrar adaptadores de conectores para la mayoría de los sistemas. Las regulaciones existen para evitar errores involuntarios, por no decir que la ruptura de la ley es imposible. Los AP de CISCO comúnmente utilizan un conector rosca llamado de polaridad inversa Neill- Concelman (RP -TNC), y otro llamado conector N (para puntos de acceso al aire libre). Otros conectores que comúnmente se pueden encontrar en dispositivos de otros fabricantes son los Versión sub A (SMA) y sus variantes, el SMA de polaridad inversa (RP- SMA). Algunos fabricantes utilizan el controlador multipunto (MC) o el conector de intercambio de comunicaciones multimedios (MMCX). Hay un buen número de otros, pero estas son las principales familias. Si la antena no está conectada directamente al AP, puede ser vinculada al AP mediante un cable. El cable absorbe parte de la energía transmitida, lo que da como resultado una pérdida en la potencia de señal (amplitud) en el extremo del cable. Todos los proveedores de cable especifican el valor de la pérdida (en dB por pie o por metro de cable). En algunos casos, es posible que se desee utilizar un cable con una alta pérdida, por ejemplo, al conectar un transmisor potente a una antena de alta ganancia, a fin de no sobrepasar los valores máximos permitidos localmente. Si la señal recibida desde el transmisor a la antena es demasiado débil, se puede aumentar con un amplificador (un dispositivo electrónico conectado a una fuente de alimentación que aumenta la amplitud de la señal). Por otro lado, si la señal recibida es demasiado fuerte, puede reducirla mediante la inserción de un atenuador (un dispositivo pasivo simple que esta graduado para absorber un número específico de dBs en la señal). 22 1.3.3.7 Potencia Isotrópica Radiada Hay múltiples combinaciones posibles del nivel de energía transmitida por un AP, por cables y por la antena; es necesario determinar la cantidad de energía que en realidad está siendo radiada desde la antena hacia el haz principal. Esta medida se denomina potencia isotrópica radiada (PIRE). En términos simples, la PIRE, expresada en dBm, es la cantidad de potencia emitida por el transmisor más la ganancia (en dBi) de la antena (y cualquier amplificador en el camino). También debe restar el poder perdido en el cable o atenuadores: PIRE = Potencia Tx (dBm) + Ganancia de la antena (dBi) - pérdida de cable (dB) La PIRE es muy importante. La mayoría de los países permiten una máxima potencia de transmisión del transmisor y un valor máximo final de PIRE. 1.4 ESTÁNDARES, CERTIFICADOS Y ENTIDADES REGULADORAS WIRELESS 1.4.1 IEEE WIRELESS ESTÁNDAR Las redes inalámbricas usan la banda ISM, habilitada para usar este rango de frecuencias pero no de manera arbitraria, ya que no hay como utilizarla de la forma que uno quiere sino siguiendo determinados parámetros. Elementos importantes como la técnica de modulación que usa, la codificación empleada en la trama, tipo de cabeceras que van en la trama, el mecanismo físico de transmisión, se deben definir para comunicarse efectivamente. Muchos fabricantes propietarios empezaron a usar las frecuencias para usar datos en sus soluciones, pero sin ninguna técnica. En 1990, un comité de la IEEE, llamado 802.11, fue el encargado de analizar las aplicaciones y el medio ambiente en el cual la red inalámbrica será usada. Sin embargo, en 1997 fue el comité el que publicó el primer protocolo, el cual definió como los dispositivos inalámbricos deberían transmitir en la banda ISM. 23 1.4.2 WI-FI ALLIANCE Cuando los fabricantes crean un dispositivo inalámbrico, ellos se apegan a las especificaciones que rige el estándar 802.11; pero aun siguiéndolas no hay una garantía de que estos dispositivos sean compatibles unos con otros en el mercado. Algunos de los fabricantes escogieron implementar una parte del protocolo con capacidades extra que no se mencionan en el estándar 802.11. La Wi-Fi Alliance fue creada para resolver estas incompatibilidades desarrollando pruebas y se creó la certificación Wi-Fi para los dispositivos inalámbricos que se implementen. Además de cumplir con el estándar 802.11 de la IEEE, si un producto es totalmente compatible con otros dispositivos del mercado, este recibe la certificación, el cual debe ser visible en la parte de atrás del dispositivo WLAN. Figura 1-5 Identificación de la WiFi Alliance [1] 1.4.3 PROTOCOLO ORIGINAL 802.11 El protocolo original 802.11, ratificado en 1997, define FHSS 12 y DSS13 como posibles métodos de modulación. Pero el máximo ancho de banda que se podía conseguir con estas técnicas era 2 Mb/s. Las redes Ethernet en ese tiempo estaban teniendo un rendimiento de hasta 10 Mb/s. Por lo que una velocidad de 2Mb/s no se veía como una buena característica 2 3 4 5 6 7 8 9 10 11 12 13 14 2422 2427 2432 2437 2441 2447 2452 2457 2462 2467 2472 2484 (MHz) 2417 Frecuencia 1 Canal 2412 para las redes inalámbricas. Tabla 1-2 Frecuencias y Canales del Protocolo 802.11 [1] 12 13 Del Inglés: Frecuency Hopping Spread Spectrum Del Inglés: Direct Sequence Spread Spectrum 24 El comité se puso a trabajar en la forma de superar este inconveniente, por lo que en 1999 se publicó el 802.11b a 2.4 GHz y 802.11g con acceso a 14 canales (ver Tabla 1-2) que eran definidos por su frecuencia central. Las entidades reguladoras de cada país restringían como estos canales podían ser usados; por ejemplo, la FCC14 permitía el uso de canales desde el 1 hasta el 11, pero no del 12 hasta 14. (Ver Figura 1-6). El canal 14 era factible usar solo en Japón y solo para 802.11b (no con OFDM15 y 802.11g). [1] Figura 1-6 Frecuencias y Canales 802.11 [1] 802.11 es una rica familia de protocolos aunque no es el objetivo relatar la historia de ellos, se debe conocer los fundamentos de los componentes más importantes de la norma IEEE 802.11. 1 Mbp/s 5.5 Mb/s 2 Mb/s 11 Mb/s Figura 1-7 Velocidades del Estándar 802.11b [1] 14 15 Del Inglés: Federal communications commission Del Inglés: Orthogonal Frequency Division Multiplexing 25 1.4.3.1 Protocolo IEEE 802.11b 802.11 se modificó casi tan pronto como fue creado para permitir mayores anchos de banda. IEEE 802.11b fue publicado en 1999 y permitió una conexión con una tasa de datos de 5,5 Mbps y 11 Mbps, la descripción gráfica de el rango de las tasas de datos se puede observar en la Figura 1-7 a continuación. 1.4.3.2 Protocolo 802.11g Se publicó en 2003 con la introducción de OFDM para la banda de 2,4 GHz, y efectivamente permite anchos de banda de hasta 54 Mbps. El protocolo 802.11g define varios mecanismos compatibles con 802.11b. En el primer modo, un cliente 802.11g debe ser capaz de convertirse en un 802.11b. Incluso si el dispositivo envía y recibe anchos de banda de 802.11g, ellos pueden detectar y entender una señal que es enviada como 802.11b en compatibilidad. Si un cliente es incapaz de tener 12 Mb/s en 802.11g, entonces este puede tratar de usar 802.11b a 11Mb/s en vez de caer a 6 Mb/s. La meta es tratar de mejorar lo más posible el ancho de banda. [1] 1.4.3.2.1 Desventajas Cuando tenemos dos dispositivos en la misma área física con los dos protocolos, estos deben ser capaces de coexistir en la misma celda conectada al AP. Sin embargo, los dispositivos 802.11b no pueden entender OFDM, por lo que tampoco detectan a un cliente 802.11g, esté envía en segundo plano una modulación DSSS la cual será usada. Estos dispositivos simplemente perciben el ruido y creen que un canal está libre. Y al realizar mecanismos de protección la velocidad en la celda baja dramáticamente. 1.4.3.3 Protocolo 802.11a Este protocolo fue ratificado en septiembre de 1999. La banda de los 5 GHz en el cual opera este protocolo está dividida en varias secciones. Los canales están espaciados por intervalos de 20 MHz para prevenir interferencias. 26 9 Mb/s 12 Mb/s 18 Mb/s 24 Mb/s 36 Mb/s 48 Mb/s 54 Mb/ s Figura 1-8 802.11a Canales y Velocidades [1] Los equipos 802.11a pueden realizar el cambio de canal mientras el usuario se mueve con la ventaja de que mantiene los datos y le permite operar a 54Mb/s y poder cambiar desde 48, 36, 24, 18,12 y 9 Mb/s y seguir comunicado con el anillo de afuera a 6Mb/s como muestra la Figura 1-8. Este cambio de velocidad sucede sin pérdida de conexión alguna, para el usuario este proceso es transparente. Para esto el AP debe soportar múltiples clientes y múltiples velocidades, dependiendo del lugar donde se encuentre cada cliente. [1] 1.4.3.3.1 Desventaja Adoptar 802.11a implicaba reemplazar todos los APs y todos los clientes, lo que hizo que 802.11a no tenga una fuerte acogida. 802.11a es mucho más frecuente en las redes empresariales (donde se encuentran AP habitualmente de doble banda de 2,4 GHz y 5 GHz) que en redes de consumidores. 1.4.3.4 Protocolo 802.11n Este estándar fue publicado en 2009, especificado como una tecnología de tipo MIMO16 y tiene como objetivo aumentar la velocidad por encima de 54 Mbps 16 Del inglés: Multiple - Input Multiple – Output traducido al español como Multiple Entrada Multiple Salida 27 llegando a los cientos de megabits por segundo en la banda de los 2.4 y 5 GHz. 802.11n describe tres conjuntos de técnicas, la mayoría de las cuales se pueden implementar para mejorar 802.11g, 802.11a. 1.4.3.4.1 Agregación de Canales A diferencia de 802.11g y 802.11, este protocolo usa dos portadoras para duplicar la velocidad. 802.11n usa los canales de 20 MHz y 40 MHz; al canal de 40 MHz lo ve como dos de 20 MHz adyacentes que trabajan juntos. Cuando se usa el canal de 40 MHz, 802.11n toma una ventaja de cada canal de 20 MHz y reserva una pequeña parte superior e inferior para reducir la interferencia en los canales adyacentes. Cuando usa el canal de 40 MHz, el tope del canal más bajo y el del canal más alto no necesitan ser reservados para evitar la interferencia. Estas pequeñas partes del canal pueden ahora ser usadas para llevar información. Usando los canales de 20 MHz de esta manera, 802.11n gana ligeramente más que el doble de velocidad cuando se mueve de canales de 20 a 40 MHz. Agregando canales se pierde la compatibilidad con dispositivos 802.11g y 802.11a 17 como contraparte. 802.11n continúa usando OFDM como 802.11a y 802.11g. Sin embargo, 802.11n incrementa el número de subportadoras en cada canal de 20 MHz de 42 a 52. Esto incrementa la velocidad al máximo, cerca de 60 Mb/s en un solo radio simple de transmisión. [1] 1.4.3.4.2 Mecanismos de Eficiencia MAC Para que el protocolo MAC de 802.11 opere confiablemente, un receptor debe reconocer inmediatamente una trama unicast (en otras palabras esta debe transmitirse hacia una dirección individual, no de forma broadcast).(Ver Figura 1-9). 802.11n puede soportar este tipo de paquetes de confirmación (ACK 18), pero también puede utilizar agregación, en el que se envía varias tramas en fila. Este 17 Se utiliza canales de 40 MHz solamente en el espectro de los 5 GHz Del inglés Acknowledgement traducido al español como acuse de recibo.- En el proceso de conexión entiéndase como un mensaje de confirmación y validación que envía el destino al receptor. 18 28 tipo de acuse de recibo, que se llama bloque de acuse de recibo, es similar al sistema de reconocimiento que utiliza TCP19. [1] 802.11n Header Packet 802.11n ACK Figura 1-9 802.11 Requiere Confirmación por cada Trama [1] El bloque de confirmación compila en una trama todos los acuses de recibo de las tramas que la agregación produce. El receptor devuelve esta trama al remitente (Ver Figura 1-10). 802.11n Header Packet 802.11n Header Packet 802.11n Header Packet 802.11n ACK Figura 1-10 802.11n usa Bloque De Confirmación para Tramas Constituidas [1] Este enfoque es un mecanismo compacto y rápido que implementa retransmisión selectiva de sólo aquellas tramas constituyentes que no son reconocidas. En ambientes con altas tasas de error, este mecanismo de retransmisión selectiva puede mejorar el rendimiento eficaz de una WLAN. Mucho menos datos son retransmitidos cuando un error afectó algún componente de la trama, en comparación con el uso de tramas individuales. 19 Del inglés Transmission Control Protocol.- Es un protocolo de comunicación orientado a conexión confiable a nivel de capa 4 según el modelo OSI. Consta en el estándar RFC 793 29 Cuando la agregación de tramas es imposible, IEEE 802.11 provee otro mecanismo para reducir el tamaño del encabezamiento que está involucrado al trasmitir un flujo de tramas a diferentes destinos. En un ambiente típico de 802.11a/b/g, cada estación que desee transmitir debe esperar un tiempo, después que ha enviado una trama, para enviar la próxima. Esta espera es llamada (DCF20); el espacio generado entre las tramas se lo conoce como (DIFS21). 802.11n mejora este mecanismo, para reducir la sobrecarga en el encabezado, entre las tramas se especifica un pequeño espacio: (RIFS22). Si una estación tiene muchas tramas para enviar y no puede agregarlas, la estación puede continuar enviando tramas una por una, pero separadamente con RIFS en vez de DIFS. RIFS reduce aún más el tiempo muerto entre las tramas, incrementando la cantidad de tiempo en la ventana de transmisión que ocupa el envío de tramas. El único aspecto desafortunado de utilizar RIFS es que nos limita a utilizar solamente en entornos recién instalados, es decir, aquellos en los que no hay dispositivos heredados de 802.11b/g que estén en la zona. [1] 1.4.3.5 MIMO Es el mecanismo más recomendado ya que estaciones 802.11n hacen uso de varias antenas y radios, combinado con un proceso avanzado de los métodos de señalización en el mismo canal. Esta técnica mejora notablemente la fiabilidad de la conexión inalámbrica y por lo tanto reduce la probabilidad de que se descarten o pierdan paquetes. Por lo que se obtienen las siguientes mejoras: · El transmisor puede enviar la misma señal por varias antenas. Al coordinar cuidadosamente estas señales, según la retroalimentación transmitida por la estación receptora 802.11n, el transmisor tiene como objetivo hacer que estas señales se reciban en fase, por lo tanto, deberá aumentar el nivel de potencia de la señal en la estación receptora, lo que permite un mayor 20 Del inglés: Distributed Coordination Function traducida al español como Función de Coordinación Distribuida 21 Del inglés: DCF Interframe Space traducida al español como Espaciado entre Tramas DCF 22 Del inglés: Reduced Interframe Space traducida al español como Espacio entre Tramas Reducido 30 alcance o mayor rendimiento. Este proceso es llamado Transmit Beamforming (TXBF). · El transmisor también puede enviar diferentes señales simultáneas de diferentes radios. El receptor 802.11n recibirá estas señales en todos sus radios. Cada radio receptor independientemente debe decodificar las señales. Entonces, cada señal recibida se combina con las señales de los otros radios. Esto da como resultado un rendimiento adicional. Este proceso se llama multiplexación espacial. · Al tener múltiples rutas, una señal viaja por diferentes caminos antes de llegar al receptor. Con una técnica llamada Multi Ratio Combinning (MRC), el receptor puede combinar las señales recibidas en cada antena y cadena de radio, lo que resulta en una fuerte señal recibida, de nuevo incrementando la amplitud o velocidad. [1] 1.4.3.5.1 Transmisión Beamforming Es una técnica que es usada cuando hay más de una antena transmisora. La señal que se envía desde cada antena puede ser coordinada, entonces la señal en el receptor es mucho mejor, incluso si la antena está lejos del emisor (Ver Figura 1-11). Esta técnica es generalmente usada cuando el receptor tiene una sola antena y cuando las fuentes de reflexión son estables en el espacio (un receptor inmóvil, un ambiente cerrado). Figura 1-11 Transmisión Beamforming [1] 31 Un transmisor habilitado con 802.11n mejora con esta técnica, ya que permite que el transmisor ajuste la fase de la señal que es transmitida en cada antena para que las señales reflectadas lleguen en fase a una sola antena en recepción. [1] 1.4.3.5.2 Multiplexación Espacial Maneja un transmisor 802.11n y un receptor 802.11n. Se requiere un mínimo de dos receptores y un solo transmisor por banda, mientras que soporta hasta cuatro transmisores y cuatro receptores por banda; permite a los procesos de señalización avanzados de 802.11n utilizar efectivamente las mismas señales reflejadas que perjudican a los protocolos existentes. La reducción en la pérdida de paquetes mejora la fiabilidad del enlace, lo que resulta en un menor número de retransmisiones. El resultado es un rendimiento más consistente, lo que ayuda a garantizar la cobertura predecible en toda la instalación. Bajo multiplexación espacial, un flujo de señales se divide en varias corrientes individuales, cada una de las cuales se transmiten desde una antena diferente, usando su propio transmisor. Porque no hay espacio entre cada antena, cada señal sigue un camino diferente al receptor. Este fenómeno se conoce como diversidad espacial. Cada radio puede enviar un flujo de datos diferente de las otras radios, y todas las radios pueden enviar al mismo tiempo, utilizando un algoritmo complejo que se basa en la retroalimentación desde el receptor. Figura 1-12 Multiplexación Espacial [1] 32 El receptor también tiene múltiples antenas, cada una tiene su propio radio. Cada radio receptor (Rx) independientemente decodifica las señales que llegan. Luego, cada señal Rx es combinada con las señales desde los otros radios. El resultado es una señal mucho mejor que una que pudo ser enviada con una sola antena o con Tx beamforming. El uso de múltiples flujos permite que dispositivos 802.11n al enviar información redundante mejore la fiabilidad, que a mayor volumen de información se mejora el rendimiento, o la combinación de las dos. [1] 1.4.3.5.3 Máximo Radio Combinado (MRC) La multiplexación espacial y transmisión por haz de luz son usadas cuando hay múltiples transmisores. MRC es la contraparte y toma lugar en el lado del receptor, usualmente en el AP, independientemente de si el remitente es compatible con 802.11n. El receptor debe tener múltiples antenas para usar esta característica; los APs 802.11n las tienen usualmente. El algoritmo MRC determina como optimizar la energía combinada que es recibida de cada antena, entonces cada señal que se transmite al AP es añadida a los otros en una acción coordinada. En otras palabras, el receptor analiza la señal que recibe desde las antenas y envía las señales en el transcodificador para que ellas estén en fase, añadiéndole fuerza de cada señal a las otras como muestra la Figura 1-13. Figura 1-13 Máximo Radio Combinado [1] 33 Nótese que esta característica no es para trayectorias múltiples. La característica de trayectoria múltiple viene del hecho que una antena reciba señales reflectadas fuera de fase. El resultado de este desfase, es destructivo para la calidad de la señal, que es transmitida al AP. MRC usa la señal que viene de dos o tres antenas físicamente distintas y la combina oportunamente; entonces cada señal que es recibida en cada antena se coloca en fase y luego se añade a las otras. La acumulación en fase resulta de estas señales que son recibidas en cada antena de transmisión del AP, mejorando así la calidad de la señal. Debido a la característica de multi trayectoria, cada antena puede recibir una señal reflejada fuera de fase y puede transmitir al AP sólo lo que recibe. La principal ventaja de MRC en este caso es que, a causa de que cada antena es físicamente separada de las otras, la señal recibida en cada antena puede ser diversamente afectada por cuestiones de trayectoria múltiple. Cuando se añade todas las señales juntas, el resultado puede cerrar la onda que se envía por el transmisor, y el impacto relativo de la trayectoria múltiple en cada antena será menos prominente. [1] 1.4.3.5.4 Beneficios Cuando MIMO es utilizado solamente en APs, la tecnología aumenta significativamente sus mejoras en el rendimiento (un máximo de 30 por ciento sobre el desempeño convencional de redes 802.11 a/b/g). Finalmente, las redes 802.11 incorporan las dos MIMO que son habilitadas tanto del lado del AP como del cliente, aumentando la ganancia, confiabilidad y rendimiento de los datos. En resumen, la ganancia de rendimiento total es el resultado de la tecnología de antena inteligente MIMO, que permite a los APs recibir señales más confiables (y permite a los clientes operar con velocidades más altas) sobre grandes distancias que con diversas antenas estandarizadas (Ver Figura 1-14). Por ejemplo, a una distancia del AP en la cual hay un cliente 802.11a o 802.11g comunicándose con un AP convencional, el ancho de banda puede reducirse desde 54 a 48 o 36 Mb/s; el mismo cliente comunicándose con un AP con MIMO habilitado puede operar a 54 Mb/s. 34 Figura 1-14 Beneficios de MIMO [1] Cuando se considera MIMO hay que recordar estos tres beneficios: · MIMO provee mejor sensibilidad en Rx para un cliente estacionario, usando beamforming. · MIMO provee mejor sensibilidad en Rx para el AP, usando MRC. · Mejorar la sensibilidad en Rx significa una alta velocidad de los datos (considerando que se encuentra a una distancia apropiada del AP). [1] 1.4.4 PROTOCOLO DE IEEE 802.11E Para hablar de Calidad de Servicio (QoS) hay que conocer acerca del estándar IEEE 802.11e, mismo que regula este servicio, el cual está basado en la capacidad de realizar una discriminación en el tráfico que círcula a través de la red y categorizarlo dando prioridad según las necesidades que se tenga del cliente para el diseño. QoS se refiere a la capacidad de diferenciar el tráfico que circula dentro de la red permitiendo obtener algunos beneficios: · Proporcionar bloques de red para los servicios multimedia y aplicaciones de voz que se utilizan dentro de la empresa. 35 · Permitir que los administradores de red establezcan acuerdos de nivel de servicio (SLA) para los clientes. · Pemite administrar los recursos de red que deben ser transmitidos eficientemente y agilizar la transmisión de las solicitudes de las aplicaciones críticas. · Administrar las aplicaciones multimedia y de voz sensibles al tiempo, asegurando que en el tráfico de estas aplicaciones reciban una prioridad más alta, ocupen mayor ancho de banda y tengan menos retraso en comparacóon con el tráfico de datos que es del tipo de mejor esfuerzo. Con QoS, el ancho de banda puede ser administrado mas eficientemente en redes LAN, WLAN y WAN. Brindando los siguientes beneficios: · Soporta ancho de banda dedicado para usuarios y aplicaciones criticos. · Control del Jitter y la latencia factores requeridos para tráfico en tiempo real. · Administrar y minimizar la congestion del tráfico. · Modelar el tráfico de red para mejorar los flujos de tráfico. · Colocar prioridades de tráfico de red. 1.4.4.1 Esquemas de Implementación de QoS en Redes Inalámbricas En la actualidad al verse las redes inalámbricas como el medio para transmitir aplicaciones de banda ancha conjuntamente con datos y voz, al tener por el mismo canal aplicaciones sensibles al tiempo como las que toleran los retrasos es necesario brindar calidad de servicio. Varios fabricantes entre estos CISCO, han apoyado los regímenes de calidad de servicio inalambricos patentados principalmente por aplicaciones de voz. Para acelerar el ritmo de aceptacion de QoS y para soportar aplicaciones sensibles al tiempo de multiples proveedores fue necesario unificar el enfoque de QoS de los fabricantes para lo cual el grupo de trabajo IEEE 802.11e en el comité de estándares IEEE 802.11 ha completado la definicion estandar. 36 Al igual que sucedió con 802.11 en el grupo de seguridad 802.11i, grupos de la industria como Alianza Wi-Fi y líderes de la industria como CISCO definen las claves para los requerimientos para QoS en WLAN a través de sus Wi-Fi Multimedia (WMM) y programas de extensiones CISCO compatibles, asegurando la entrega de características importantes e interoperacion a través de sus programas de certificacion. Los productos de CISCO Unified Wireless son compatibles con WMM, un sistema de QoS basado en IEEE 802.11e que han sido publicadas por la Alianza Wi-Fi y WMM Power Save, asi como el control de admisión. Como ejemplo de implementacion de QoS en redes inalámbricas basadas en las caracteristicas de CISCO Unified Wirelesss technology se muestra en la Figura 1-15. Figura 1-15 Ejemplo de la aplicación de QoS [5] 1.4.4.2 Parámetros de QoS QoS esta definido como la medida de rendimiento para un sistema de transmision que refleja calidad y disponibilidad del servicio. La disponibilidad del servicio es un elemento crucial de la calidad de servicio. Antes de aplicar QoS con éxito, la infraestructura de red debe tener alta disponibilidad. La calidad de la transmision de la red es determinada por la latencia, el jitter, y la perdida de paquetes, tal como muestra la Tabla 1-3. 37 Calidad Descripcion Latencia Latencia o retardo es la cantidad de tiempo que le toma al paquete para ser enviado y recivido despues de haber sifo transmitido. Este periodo es llamado retardo del extremo a extremo que puede ser dividido en dos areas: -Retardo de red fijo.- Incluye el tiempo de codificación y decodificacion (para voz y video), y la cantidad de tiempo finita requerido para que los pulsos electricos u opticos para atravesar los medios de transmision hacia la ruta del destino. -Retardo de red variable.- Generalmente se refiere a condiciones de red, tales como encolamiento y congestion, esto puede afectar el tiempo total de transmision. Jitter Jitter (o retardo de la varianza) es la diferencia en la latencia de extremo a extremo entre paquetes. Por ejemplo, si uno de los paquetes requiere 100 ms para atravezar la red desde el origen al destino extremo a extremo, y el siguiente paquete requiere 125 ms para el mismo viaje, el jitter es calculado como 25 ms. Pérdida La pérdida (de paquetes ) es una medida comparativa de los paquetes transmitidos y recibidos con el número total de paquetes transmitidos con éxito. La perdida de paquetes se expresa como el porcentaje de paquetes que fueron descartados. Tabla 1-3 Parámetros QoS [1, 2] La Figura 1-16 muesta la definicion del radio del flujo de subida y bajada con QoS. Figura 1-16 Flujos de Subida y Bajada con QoS [5] Se puede observar lo siguiente: · Radio del flujo de bajada QoS.- Tráfico abandonando el AP y viajando a los clientes WLAN. La radio del flujo de bajada QoS es el despliegue más 38 comun. El cliente del radio del flujo de subida QoS depende de la puesta en práctica del cliente. · Radio del flujo de subida QoS.- Tráfico abandonando a los clientes de la WLAN y viajando hacia el AP. Wi-Fi Multimedia (WMM) provee enlaces de subida con QoS para clientes WLAN soportando WMM. · Flujo de bajada a la red.- Tráfico abandonando el WLC que viaja al AP. QoS puede ser aplicado en este punto para priorizar y delimitar el tráfico hacia el AP. · Flujo de subida a la red.- Tráfico abandonando el AP, viajando hacia la WLC. El AP clasifica el tráfico desde el AP de subida hacia la red según las reglas de clasificacion de tráfico del AP. 1.4.4.3 802.11 DCF (Distributed Coordination Function) Las tramas de Datos en 802.11 son enviados usando DCF 23, el cual está compuesto por los siguientes componentes: · Espacio entre tramas (SIFS24, PIFS25, y DIFS26) · Retardo aleatorio (ventana de contención) DCF es usado en redes 802.11 para manejar el acceso al medio de RF. 1.4.4.3.1 Espacio entre Tramas 802.11 actualmente define tres espacios entre tramas (IFS), tal como se muestra en la Figura 1-17. 23 Del inglés Distributed Coordination Function traducido al español como Función de Coordinación Distribuida 24 Del inglés Short Interframe Space 25 Del inglés PCF Interframe Space 26 Del inglés DCF Interframe Space 39 Figura 1-17 IFS-Espacio entre Tramas [5] · SIFS.- Short Interframe Space __ 10µs · PIFS.-PCF Interframe Space __ SIFS + 1 x espacio de tiempo = 30µs · DIFS.-DCF Interframe Space__ SIFS + 2 x espacio de tiempo = 50µs Los espacios entre tramas (SIFS, PIFS y DIFS) permite a 802.11 controlar que tráfico consigue el primer acceso al canal después de que el senso de la portadora declara que el canal se encuentra libre. Generalmente, 802.11 administra las tramas y tramas sin contencion ( una trama que es parte de una secuencia de tramas) usan SIFS, y tramas de datos que usan DIFS. 1.4.4.3.2 Retardo Aleatorio Cuando una trama de datos usa DCF, está lista para ser enviada, el proceso que sigue es el siguiente: a) Se genera un número aleatorio entre 0 y una ventana mínima de contención (CWmin) b) Espera hasta que el canas este libre por un intervalo DIF. c) Si el canal continua libre, empieza el decremento del número aleatorio, para cada espacio de tiempo (20 µs) hasta que el canal este libre. d) Si el canal se encuentra ocupado, tal como las otras estaciones empieza de 0 antes que su estación, el decremento para y los pasos 2 y 4 son repetidos. e) Si el canal permanece libre hasta que el número de retardo aleatorio alcance el 0, la trama no puede ser enviada. 40 Figura 1-18 Funcionamiento de DCF [5] En la Figura 1-18 anterior se muestra un ejemplo simplificado de como es el funcionamiento de la Función de Coordinación Distribuida (DCF). En este proceso simplificado, ocurre sin mostrar acuses de recibo y fragmentaciones. 1.4.4.3.3 Acceso WMM WMM es una certificación de Wi-Fi Alliance de soporte para un conjunto de características para el esbozo de 802.11e. Esta certificación es para ambos, clientes y APs, y certifica la operación de WMM. WMM es principalmente la puesta en práctica del componente EDCF (Enhanced Distributed Coordination Function)27 de 802.11e. Certificaciones adicionales Wi-Fi son planificadas para dirigir otros componentes del 802.11e. 1.4.4.3.4 Clasificación WMM WMM usas el 802.1P el esquema de clasificación desarrollado por el IEEE. Este esquema de clasificación tiene ocho prioridades, que WMM traza un mapa de cuatro categorías de acceso, las cuales se muestran a continuación en la Tabla 1-4. Priority Lowest 27 802.1P Priority 1 802.1P Designation BK Access Category (AC) AC_BK Traducido al español como función de Coordinación Realzada Distribuida WMM Designation Background 41 Highest 2 0 3 4 5 6 7 BE EE CL VI VO NC AC_BE Best Effort AC_VI Video AC_VO Voice Tabla 1-4 Clasificación WMM y 802.1P [5] En la Figura 1-19 se muestra el formato de la trama de datos WMM. Hay que tener en cuenta que a pesar de que se trace un mapa de las ocho categorías de 802.1P las clasificaciones a cuatro categorías de acceso, la clasificación 802.11 son enviadas en la trama. Figura 1-19 Formato de Trama WMM [5] Las recomendaciones de la WMM y la IEEE 802.11e son diferentes de las clasificaciones recomendadas y usadas en la red de CISCO, que está basada de recomendaciones IETF. La primera diferencia en la clasificación es el cambio de tráfico de voz y de vídeo a 5 y 4, respectivamente. Esto permite las 6 clasificaciones para ser usado para la Capa 3 control de red. Para ser dócil con ambas normas, la solución de CISCO Unified Wireless realiza una conversión entre varias normas de clasificación cuando el tráfico cruza el límite inalámbrico -alámbrico. 42 1.4.4.3.5 Colas de WMM Figura 1-20 Colas WMM [5] La Figura 1-20 muestra las colas que realiza un cliente de WMM o AP. Hay cuatro colas separadas, una para cada una de las categorías de acceso. Cada una de estas colas compite por el canal inalámbrico en una manera similar al mecanismo DCF descrito anteriormente en la sección 1.4.4.3; en cada una de estas colas usan diferentes espacio entre tramas, valores CWmin y CWmax. Si más de una trama de diferentes categoria de acceso colisiona internamiente, la trama con la prioridad más alta es enviada, y la trama con prioridad más baja se ajusta a los parámetros de retardo aleatorio como si hubiera chocado con una trama externa para el mecanismo de encolamiento. Este sustema es llamado enhanced distributed coordination function (EDCF). Figura 1-21 Categoría de Acceso (AC) Temporización [5] En la Figura 1-21 Categoría de Acceso (AC) TemporizaciónFigura 1-21 se muestra el principio detrás de EDCF donde espacios entre tramas, los valores de CWmin y CWMax diferentes son aplicados para clasificar el tráfico. Diferentes tipos de tráfico 43 pueden esperar diferentes espacios de interfaz antes del conteo de retardo aleatorio, y el valor de CW suele generar el número de retardo aleatorio que tambien depende de la clasificación del tráfico. Figura 1-22 Mecanismo EDCF [5] El proceso de EDCF se muestra en la Figura 1-22 usando los datos de la Figura 1-21. La secuencia del proceso de EDCF sigue los siguientes pasos: a) Mientras la estación X está transmitiendo su trama, otras tres estaciones determina que ella debe enviar una trama. Cada estación difiere porque su trama esta todavía siendo transmitida, y cada estación genera un tiempo de retardo aleatorio. b) Debido a que la estación de voz tiene una clasificación del tráfico de voz, tiene un espacio entre tramas arbitrario (AIFS) de 2, y utiliza un CWmin inicial de 3, y por lo tanto debe aplazar la cuenta atrás de su tiempo de retardo aleatorio para 2 veces de ranura, y tiene un corto valor de retardo aleatorio. c) Mejor esfuerzo tiene una AIFS de 3 y un tiempo de retroceso más largo al azar, porque su valor es 5 CWmin. d) Voz tiene el menor tiempo de retardo de envío al azar, por lo que comienza a transmitir en primer lugar. Cuando voz empieza a transmitir, todas las demás estaciones esperan. e) Después que la estación Voz termina de transmitir, todas las estaciones esperan su AIFS y luego comienzan a disminuir los contadores de retardo aleatorio de nuevo. 44 f) El mejor-esfuerzo luego que completa su disminución del contador de retardo aleatorio y comienza la transmisión. Todas las demás estaciones esperan. Esto puede ocurrir a pesar de que pudiera haber una estación de voz en espera para transmitir. Esto demuestra que el tráfico de mejor esfuerzo no se ve despojada por el tráfico de voz, porque el proceso de retardo aleatorio finalmente trae el retroceso de mejor esfuerzo hasta tamaños similares de tráfico como de alta prioridad, y que el proceso aleatorio puede, en ocasiones, generar un pequeño número de retardo aleatorio para el tráfico de mejor esfuerzo. g) El proceso continúa hasta que otro tráfico entra en el sistema. Los ajustes de la categoría de acceso (AC) que se muestran en la Tabla 1-5 y Tabla 1-6 son, por defecto, el mismo para una radio 802.11a, y se basan en fórmulas definidas en WMM. AC CWmin CWmax AIFSN AC_BK AC_BE aCWmin aCWmin 7 3 AC_VI (aCWmin+1)/21 (aCWmin+1)/41 aCWmax 4*(aCQmin+1)1 aCWmin TXOP TXOP Limit Limit (802.11b (802.11a/g) 0 0 0 0 1 6.016 ms 3.008 ms (aCWmin+1)/21 1 3.264 ms 1.504 ms AC_VO Tabla 1-5 Parámetros de WMM en Acces Point [5] Access Category CWmin CWmax AIFSN AC_BK AC_BE aCWmin aCWmin 7 3 AC_VI (aCWmin+1)/21 (aCWmin+1)/41 aCWmax 4*(aCQmin+1)1 aCWmin TXOP TXOP Limit Limit (802.11b (802.11a/g) 0 0 0 0 2 6.016 ms 3.008 ms (aCWmin+1)/21 2 3.264 ms 1.504 ms AC_VO Tabla 1-6 Parámetros de WMM para clientes [5] 45 1.5 FORMATO DE TRAMA Y VELOCIDADES Toda trama 802.11 tiene una estructura similar. La cabecera 802.11 es más larga que la de Ethernet. Esta empieza con un preámbulo (72 o 144 bits de longitud), seguido por los siguientes campos (Ver Figura 1-23). - El campo control de trama (2 bytes de longitud o 16 bits) - Un campo de duración, expresa por cuanto tiempo el medio está reservado (2 bytes o 16 bits) - Tres de cuatro posibles direcciones MAC (18 bytes totales) - Un campo de control de secuencia (2 bytes de longitud o 16 bits) - Un campo opcional para la cuarta dirección MAC (6 bytes o 48 bits) - El cuerpo de trama (2304 bytes u octetos) - Un campo de control de secuencia de trama (4 bytes o 32 bits) - El total de la trama tiene por omisión, 2346 bytes máximo. Figura 1-23 Formato de Trama 802.11 [1] El campo de secuencia de control es usado para mostrar cuando la trama es fragmentada o completa. Muchas direcciones MAC aparecen en la trama. Esto es probable que ocurra en una modalidad de infraestructura, en la que el AP es el distribuidor entre el remitente y el receptor de la transmisión. Este receptor puede estar en la parte inalámbrica o 46 cableada de la red. El dispositivo que envía la trama puede ser el remitente o el distribuidor. Las siguientes cuatro direcciones MAC se muestra en la Figura 1-23 previa: - Receiver Address (RA): la dirección del receptor es la MAC de la estación de la cual está recibiendo la trama. - Transmitter Address (TA): la dirección de transmisión es la dirección MAC de la estación que emite la trama. - Destination Address (DA): la dirección destino es la dirección MAC del receptor final de la trama, o del actual destino. - Source Address (SA): la dirección origen es la dirección MAC del transmisor original de la trama. Dependiendo de cómo la trama sea capturada y en qué contexto, dos de cuatro direcciones son usadas. Estos son posibles escenarios: a. La trama es enviada de estación a estación en una red ad hoc: · Dirección 1 es la de dirección destino. (Destino y Receptor son los mismos). · Dirección 2 es el origen. (Transmisor u origen son equivalentes). b. La trama es enviada de una estación a un AP: · Dirección 1 es la del receptor o Basic Service Set Identifier (BSSID), la cual es la misma que la dirección del receptor y es la dirección MAC del AP. · Dirección 2 es la del transmisor o dirección origen. · Dirección 3 es la del destino. · Dirección 4 no es usada. c. La trama es enviada de vuelta del AP a la estación: · Dirección 1 es la del destino o dirección del receptor · Dirección 2 es la del transmisor o BSSID 47 · Dirección 3 es la dirección origen · Dirección 4 no es usada d. La trama está en un enlace entre dos APs, en un contexto de repetidor: Este escenario es el único caso en el cual todas las direcciones son utilizadas. · Dirección 1 es la dirección del receptor. · Dirección 2 es la dirección del transmisor. · Dirección 3 es la dirección destino. · Dirección 4 es la dirección origen. Estas direcciones son direcciones MAC; son de capa 2. El cuerpo de la trama, el cual contiene más capas, menciona una dirección IP origen y otra dirección IP destino, exactamente como una sección de capa 3 normal. El control de trama ayuda a definir el propósito de la trama y hacia donde es enviada. El primer subcampo contiene información acerca de la versión del protocolo. El segundo subcampo contiene información acerca del tipo (2 bytes) e indica que tipo de trama es, si una de control o una de administración, o una de datos. El subcampo final contiene información acerca del subtipo (4 bytes). La siguiente parte del campo control del trama es de 1 byte e indica cual trama está por venir o ir al sistema de distribución. Para cualquier cliente en la celda, el sistema de distribución es representado por el AP, donde la trama es supuestamente enviada al cable o al backbone que conecta el área de la red inalámbrica. [1] Administración Datos Control Beacon Datos Simples RTS Solicitud de Pedido Función Nula CTS Solicitud de Respuesta ACK PS-Poll Tabla 1-7 Tipos de Tramas [1] 48 La IEEE 802.11 distingue tres tipos de tramas como muestra la Tabla 1-7: · Administración: Como el mismo nombre lo indica, el objetivo de estas tramas es mantener la conexión. El campo de control de trama indica la administración y el subtipo determina qué tipo de trama de gestión será enviada. Dependiendo del subtipo, la parte del cuerpo contiene piezas especiales de información acerca del área de servicio básico (BSA) o los parámetros de comunicación. Dependiendo del tipo de trama de administración, puede haber menos de cuatro campos de dirección. · Control: El propósito de estas tramas es ayudar a la comunicación. Las tramas ACK son un ejemplo de trama de control. · Datos: este tipo de trama transporta información. La cabecera a veces tiene que ser precisa si el AP tiene que autorizar la trama. Este tipo de tramas tienen el mismo tipo de encabezado, pero con diferentes indicadores. La principal diferencia está en el cuerpo de cada trama. La trama puede contener información específica, tal como las velocidades permitidas en la trama beacon, la cual es un tipo de trama de administración. Así como puede no contener nada, como es el caso de la trama ACK. En este caso el cuerpo de la trama es vacío y toda la información que es necesaria está en la cabecera. Antes de enviar una señal, cada estación trata de determinar la velocidad óptima. Esta velocidad depende del indicador de intensidad de señal recibida (RSSI) y la tasa de pérdida, o relación señal a ruido (SNR). La SNR puede determinarse a partir de los paquetes anteriores que se intercambian con el receptor, que suele ser el AP en el modo de infraestructura. El protocolo también debe asegurarse de que las estaciones entiendan lo que está sucediendo. Estas estaciones pueden estar demasiado lejos de comprender la velocidad que algunos de los remitentes usan. Para hacer el problema aún más complejo, el transmisor y el receptor pueden verse unos a otros de manera diferente y decidir utilizar una velocidad diferente para transmitir. 49 Para ayudar a organizar las diferentes velocidades, el punto de acceso envía las tasas apoyados en sus delimitadores. Los delimitadores pueden ser obligatorios, soportados o desactivados. Como ejemplo, supongamos que el AP tiene estas tasas de velocidad: · 6 Mb/s: Desactivado · 9 Mb/s: Obligatorio · 12 Mb/s: Soportado · 24 Mb/s: Obligatorio · 36 Mb/s: Soportado · 48 Mb/s: Soportado · 54 Mb/s: Soportado Al conectarse al AP, una estación debe ser capaz de enviar tramas a 9 y 24 Mb/s. El AP siempre envía las tramas de administración a la menor velocidad obligatoria (9 Mb/s), el cual viene a ser la menor velocidad en común. Para enviar una trama de datos, un cliente escoge la mejor velocidad, dependiendo de cómo se vea al destinatario. El receptor reconoce el uso de la velocidad obligatoria que es justo por debajo de la velocidad que el remitente utiliza. Por ejemplo, si la trama fue enviada en 48 Mb/s, entonces la primera velocidad obligatoria que es menor sería 24 Mb/s. Si la trama se envió a 12Mb/s, la del ACK regresaría a 9Mb/s. La situación es más compleja para la trama de datos. Parte de ella, por lo general la cabecera, se envía a la velocidad más baja obligatoria, para asegurarse de que todos los miembros de la celda escuchen el campo “Duración”. El resto de la trama se envía a una velocidad óptima. Dependiendo del protocolo que se utiliza (802.11a/b/g), esta regla varía ligeramente, pero el principio general sigue siendo válido. Teniendo en cuenta que partes de la misma trama pueden ser enviadas a velocidades diferentes, ¿cómo evitar la colisión? si la onda es enviada a la velocidad de la luz, que es la velocidad de la transmisión física. Dentro de la onda, la velocidad de datos es la densidad de la información. El comienzo de la 50 transmisión tiene menos información por unidad de tiempo, lo que permite más posibilidades para que parte de la señal se pierda sin ocultar la información que está contenida. La señal puede viajar muy lejos, ser debilitada o ser alterada por los reflejos y otras fuentes de degradación, y seguir siendo legible. Cada estación sabrá para quién es el mensaje y por cuánto tiempo la estación va a reservar el medio. La parte de datos de la trama tiene la densidad más alta posible de los datos por unidad de tiempo, basándose en la calidad del enlace entre el remitente y el receptor. No importa si las otras estaciones no pueden leer el mensaje. Toda esta comunicación se produce en el entorno HDX. Todas las tramas deben ser acreditadas. Si un ACK no se recibe, entonces el remitente asume que la colisión ocurrió y trata de volver a enviar. [1] [6] 1.6 SEGURIDAD EN REDES INALÁMBRICAS La seguridad en las redes inalámbricas es importante ya que es más vulnerable que una red LAN, un atacante fuera de la institución puede ser capaz de hacerse pasar por un cliente legítimo y asociarse a un punto de acceso asociado a la empresa. 1.6.1 AUTENTICACIÓN Y ENCRIPTACIÓN 1.6.1.1 Autenticación Es el procedimiento de encontrar un usuario tal y como es. En una red inalámbrica la autenticación es usada para probar la identidad del usuario o dispositivo que está intentando obtener acceso a ella. Probar una identidad es difícil ya que no podemos controlar la identidad física de quien está tratando de conectarse. Estos métodos son usados: - Algo que se conoce: este tipo de autenticación es el más común para los usuarios. Deben recordar un parámetro conocido como por ejemplo, una contraseña. Este método lamentablemente es vulnerable ya que para 51 recordarlo lo escriben y dejan a la vista del público dejando inseguro este filtro. - Algo que se tenga: este método no tiene riesgo de olvidar la información, ya que los usuarios tienen una clave física con una tarjeta inteligente, y sin este dispositivo no pueden ser autenticados. Pero no está libre de ser robado o perdido y cualquiera que lo posea puede ingresar a la red. - Algo que se es: este método está basado en algo que es específico de una persona para ser identificado, como por ejemplo, una huella digital. Desafortunadamente los sensores biométricos implican contacto físico, el cual no es un método razonable para una red inalámbrica sino para una red cableada. Pero si puede ser implementado. En ambientes seguros, autenticar los dispositivos para que tengan acceso a la red es el método más común. Este tipo de autenticación es usado para prevenir que usuarios válidos, al acceder a la red la infecten de virus. Una máquina puede ser autenticada mediante una firma, basada en hardware de la máquina; la limitación de este tipo de autenticación es que una persona no deseada puede conectarse con tan solo acceder a la máquina. Figura 1-24 Flujo de Autenticación [1] Cuando se requiere autenticar a un usuario en la infraestructura ya sea por máquina o por usuario (Ver Figura 1-24), el proceso debe ocurrir tan pronto como se intente conectar a la red, empezando por el switch o el AP en la capa 2 del modelo OSI. 52 De ahí la autenticación puede ocurrir después en la red, en la capa 3 cuando la IP es usada para comunicar entre el dispositivo final y el mecanismo de autenticación. [1] 1.6.1.2 Encriptación Las redes inalámbricas necesitan tener la certeza del nivel de privacidad que manejan para determinar la manera correcta de permitir el flujo de información. Privacidad significa que toda la información que deba ser recibida como una señal física, no pueda ser leída o entendida por una persona no autorizada. Figura 1-25 Encriptación La encriptación puede definirse como el proceso usado para que la información se transforme usando un método específico para producir un resultado legible solamente para aquellos que deban tener este conocimiento, usualmente mediante una llave (Ver Figura 1-25). Crear un método de encriptación implica escoger un algoritmo y definir esta llave. [1] La encriptación puede ser simétrica o asimétrica: 1.6.1.2.1 Simétrico El mismo proceso que es usado para encriptar los datos es reversado para desencriptar los datos. Utilizan la misma clave para encriptar y desencriptar. 53 Figura 1-26 Encriptación Simétrica 1.6.1.2.2 Asimétrico El proceso que es usado para la encriptación, llamado cifrado es diferente al proceso de desencriptación, llamado llave. Tanto el cifrado como la llave tienen sus características matemáticas que hace que se comuniquen el uno con el otro. El cifrado puede encriptar pero no desencriptar. La llave puede desencriptar pero no encriptar. Los métodos simétricos son usualmente más rápidos que los asimétricos. Además son más fáciles de romper, precisamente porque utilizan la misma clave. El método simétrico es usado cuando el tiempo es crucial como en un paquete de tiempo real. El método asimétrico es usado cuando la seguridad es más importante que el tiempo (Ver Figura 1-27). Figura 1-27 Encriptación Asimétrica 54 1.6.1.3 Manejo de Claves Cuando las claves son usadas para autenticar usuarios o encriptar datos, estos son los valores secretos que maneja la red inalámbrica. 1.6.1.3.1 Llaves Comunes Una llave puede ser comúnmente usada por muchos usuarios. Para las redes inalámbricas, la llave puede ser almacenada por el AP y compartida con todos sus clientes. Una llave comúnmente se usa de tres formas: · Solo para autenticación: solo usuarios con clave pueden acceder a la red, pero su comunicación subsecuente es enviada sin encriptar. · Solo para encriptación: cualquier usuario puede asociar a la WLAN, pero solo usuarios que tengan una clave válida pueden enviar y recibir tráfico de otros usuarios de ese AP. · Para autenticación y encriptación: la llave es usada para las dos formas anteriores. La desventaja es que un hacker solo necesita interrumpir el tráfico de una sola máquina para ser capaz de leer lo de los demás clientes de la celda. [1] 1.6.1.3.2 Llaves Individuales Provee mayor seguridad que una llave individual definida para cada usuario. Esto mejora la seguridad en las siguientes dos formas: · La llave es individual desde el principio, este método implica que la infraestructura debe almacenar y administrar claves individuales por usuario, típicamente usando un servidor central de autenticación. · La llave es común al inicio, pero es usada para crear una segunda clave que es única para cada usuario. Este sistema tiene muchas ventajas. Una llave común es almacenada en el AP, la llave individual se crea en tiempo real y es válida solo mientras dure la sesión. Las llaves individuales no pueden ser usadas para encriptar mensajes broadcast y multicast, enviados a muchos destinatarios, ya que si el receptor tiene una clave 55 diferente entonces el mensaje no podrá ser decodificado ya que no usa la misma clave individual. Entonces las redes inalámbricas usan una clave común para mensajes que no sean broadcast y multicast mientras que manejan otra clave individual para los unicast. El protocolo 802.11 definido por la IEEE estableció dos posibilidades para administrar una red inalámbrica en cuanto a seguridad: · Una red abierta y una red que provee un nivel de privacidad que sea equivalente al de una red cableada. Estos métodos son usados solos o en combinación con otros mecanismos. Entenderlos y emplearlos proporciona beneficios y limita el acceso a la red, lo que proporciona seguridad. [1] 1.6.1.4 Autenticación Abierta Figura 1-28 Autenticación Abierta [1] 56 Este método permite la asociación y autoriza con o sin una llave WEP (Wired Equivalent Privacy) y es usado para cifrado de datos exclusivamente. Este método es típico en una red de uso público, el procedimiento de asociación se describe en la Figura 1-28. Cuando una llave WEP es usada, el cliente lanza la autenticación normal y el proceso de asociación, pero después de que el cliente es asociado, la transmisión de datos empieza, si las claves WEP en el AP no coinciden con el cliente, entonces el AP no desencripta la información. Cuando este método es utilizado la cabecera de la trama no está encriptada, solamente los datos. 1.6.1.5 Autenticación WEP Los primeros tres pasos para la autenticación WEP son idénticos a los de la autenticación abierta. Después que el cliente envía una petición de autenticación al AP, el proceso cambia. Figura 1-29 Autenticación WEP [1] 57 El AP envía una respuesta de autenticación. Esta respuesta contiene el texto de la llave, el cual es a menudo una cadena aleatoria de caracteres. Este paquete no es encriptado. El cliente encripta el texto llave y retorna el resultado encriptado al AP. El AP compara la llave con el texto de encriptación. Si el texto es el mismo, entonces el AP concluye que si es la misma llave WEP y permite al cliente conectarse a la WLAN. Si no coinciden el AP envía al cliente una petición de autenticación con un estado de error como muestra la Figura 1-29. Después que el cliente es autenticado, este recibe el identificador de asociación (AID) el cual es su número en la celda. Y puede empezar a recibir y enviar información. La autenticación PSK28 es considerada menos segura que la autenticación abierta porque la competencia es por el paquete. Porque este paquete es enviado sin encriptar y retorna encriptado, un atacante podría ser capaz de capturar ambos paquetes y determinar la cadena de caracteres de clave. Las llaves aleatorias son un elemento clave de cifrado. Si el mismo paquete (por ejemplo, un ping) es enviado muchas veces, los paquetes cifrados resultantes deben ser lo suficientemente diferentes el uno del otro para que un atacante no pueda adivinar que se está enviando el mismo contenido. Si los paquetes son los mismos, entonces la llave puede derivarse más fácilmente si se tiene varios ejemplos de los mismos resultados encriptados; entonces, para el atacante no sería difícil adivinarla. Por cada nueva trama que es enviada, WEP añade un elemento extra de aleatoriedad un valor de 24 bits de longitud variable, llamado el vector de inicialización, para la llave WEP. Este resultado es llamado una cadena de seguridad WEP. La cadena de seguridad es usada para encriptar la trama. Ya que el vector cambia para cada trama, un mejor nivel de aleatorización es alcanzado. [1]. La llave WEP puede ser de 40 o 104 bits. La adición de un vector de inicialización de 24 bits da un resultado de 64 a 128 bits como longitud. Aunque algunos de los 28Del inglés: Pre-Shared Key: es una clave secreta compartida con anterioridad entre las dos partes usando algún canal seguro, 58 fabricantes se refieren a una llave de 40 bits y otros a una de 64 bits, las llaves son las mismas. Muchos de los fabricantes como referencia utilizan una llave de 128 bits que en realidad es una de 104 bits. Por ejemplo Microsoft Windows utiliza la llave de 128 bits, la cual se refiere a una llave de 104 bits con los 24 bits del vector de inicialización añadido. El vector de inicialización y la llave son procesados por el algoritmo RC4. El resultado de la cadena de seguridad es obtenido mediante la función XOR aplicada a los datos para crear el cifrado. Cuando la trama es creada el vector de inicialización y la llave son incluidos en la cabecera de 802.11. Como resultado, la estación receptora puede usar la llave propietaria y el vector de inicialización para desencriptar los datos, lo cual se convierte en una importante desventaja de este método. Figura 1-30 Funcionamiento WEP [1] 1.6.1.5.1 Desventajas · No se realiza un chequeo de integridad por paquete de autenticación. · Los atacantes pueden fácilmente obtener la cadena de encriptación craqueando la llave WEP o desencriptando correctamente los paquetes capturados con un sniffer. Herramientas actuales permiten a una llave de 104 bits ser craqueada en pocos minutos. · Proporciona solamente cifrado débil de los datos. 59 · La repetición del vector de inicialización puede ayudar para craquear la llave WEP. · Cada cliente y AP deben estar configurados con la misma llave WEP. · Administrar las llaves puede resultar difícil en una WLAN empresarial. · WEP es menos segura que usar una asociación abierta de capa 2 y luego aplicar la autenticación de usuario con un método de encriptación dinámico · WEP no autentica la infraestructura con el cliente. Solamente el cliente es autenticado. 1.6.1.6 Filtrado de MAC Una forma de dar seguridad a través de la red inalámbrica es con el filtrado por MAC; cuando esta es configurada de esta forma, solamente los dispositivos registrados pueden acceder a la red. Existen dos métodos para permitir el tráfico basado en MAC: 1.6.1.6.1 Entrada Local Las direcciones MAC son configuradas en la controladora. El máximo número de direcciones configurables es 2048, el cual es el predeterminado y puede reducirse si es necesario. 1.6.1.6.2 Servidor RADIUS Cuando se configura este acceso la controladora primero busca en su base para relacionar el usuario con la lista local. Si no se encuentra la entrada, entonces la controladora solicita al servidor RADIUS su registro. El filtrado por MAC es parte de la seguridad de capa 2. Puede ser usado como parte de un conjunto de una estrategia de seguridad. Una red con 802.1x comprende tres partes: el cliente, el autenticador y el servidor RADIUS. 60 El autenticador puede ser por ejemplo un switch en una red cableada o un AP en una red inalámbrica. En el último caso, conectarse al autenticador representa un proceso de autenticación abierta de cuatro pasos. a) El cliente envía una solicitud de autenticación y recibe una respuesta de autenticación con un estado “satisfactorio”. Por esta razón, las redes inalámbricas que usan 802.1x son a menudo atacadas por escáneres inalámbricos usando autenticación abierta. b) El cliente envía la solicitud de asociación y recibe una respuesta con un identificador de asociación (AID). Incluso después que se ha realizado la asociación, el puerto lógico es bloqueado. El cliente inalámbrico no puede acceder a la red si no se ha autenticado inicialmente. El cliente puede empezar este proceso, o el autenticador toma la iniciativa de preguntar por sus credenciales. Si este fuera el caso, el cliente envía las credenciales de autenticación al servidor de autenticación. c) El AP encapsula cualquier tráfico 802.1X que es enviado al servidor de autenticación. Todo el otro tráfico de la red y los intentos por acceder a esta son bloqueados. d) Después de recibir el tráfico del cliente del RADIUS, el AP lo encapsula y envía la información al cliente. Sin embargo el servidor autentica al cliente como un usuario de red válido. Éste proceso permite al cliente también ser validado en el servidor; así, lo que garantiza es que un cliente no lícito no sea admitido dentro de la celda del AP ni la red. 61 CAPÍTULO 2 2. ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ENTIDAD FINANCIERA Y DETERMINACIÓN DE REQUERIMIENTOS 2.1 ANTECEDENTES La institución financiera es de carácter público, su sede principal es en la ciudad de Quito y la matriz actualmente funciona en la ciudad de Guayaquil, sus sucursales están ubicadas en las ciudades de Riobamba, Cuenca, Loja, Latacunga, Ambato, Ibarra, Esmeraldas, Manta, Machala y Salinas. Su misión es de a través de la provisión de productos financieros y no financieros alineados al Plan Nacional del Buen Vivir, servir a los sectores productivos del país. Su visión es ser la banca múltiple de desarrollo, moderna y eficiente, con énfasis en aquellos sectores desatendidos, apoyando así al desarrollo económico y social del Ecuador. El edificio donde se encuentra ubicada la entidad financiera data de la década de los 80 es de una estructura de acero reforzado, vidrio oscuro y concreto. Las funciones financieras se desarrollan desde el año de 1982. Este edificio cuenta de 23 plantas, 21 pisos altos y 2 subsuelos, actualmente la institución se encuentra ocupando los pisos 20, 19, 18, 17, 16, 11, 10 y la Planta Baja para las diferentes áreas manejadas dentro de la misma. El Data Center o Centro de Datos es el espacio destinado para la ubicación de racks de distribución central (datos), servidores de base de datos, servidor de aplicaciones, servidores SUN, servidores BLADE, proxy, correo electrónico, protección antivirus y anti spam, firewall, switches de la capa de Core, ruteadores, aires acondicionados, respaldo de baterías de energía (UPS), Circuito Cerrado de Televisión (CCTV), etc. Además cuenta con las restricciones de acceso del 62 personal necesarias para que en conjunto se mantenga un funcionamiento continuo y estable del mismo. El personal de la institución se encuentra concentrado en su mayoría en Quito y Guayaquil, mientras en las sucursales se mantiene un promedio de 15 funcionarios como se detalla en la Tabla 2-1. En vista de la favorable aceptación que ha venido teniendo en los últimos años se ha visto un crecimiento importante en sus funciones y empleados donde la continuidad del negocio es lo más importante. Por razones laborales hay funcionarios que deben realizar actividades fuera de las instalaciones y con traslados constantes; entre ellos los más comunes son el cuerpo del directorio, gerentes de división, personal de supervisión, personal de coactivas y crédito de primer piso que forman parte de la estructura organizacional de la empresa como muestra la Figura 2-1. Sucursal Número De Empleados Guayaquil 557 Quito 495 Riobamba 27 Ambato 22 Latacunga 3 Ibarra 20 Esmeraldas 20 Cuenca 20 Loja 15 Salinas 7 Machala 19 Manta 24 Total 1229 Tabla 2-1 Número de Empleados de la Entidad 63 Figura 2-1 Estructura Organizacional 64 2.2 DISTRIBUCIÓN DE PERSONAL EN EL EDIFICIO DE QUITO De acuerdo a la estructura organizacional de la Figura 2-1 anterior, se han distribuido las diferentes áreas dentro del edificio de Quito, para lo cual se ha hecho un relevamiento del personal en cada una de ellas como muestra la Tabla 2-2 , para dimensionar los usuarios que podrán acceder a los servicios de la red inalámbrica. Áreas Número De Empleados Administrativo 15 Administración de Bienes 14 Archivo 8 Auditoria 8 Coactiva 6 Contabilidad y Pagaduría 15 Control de Gestión 10 Organismos de control 4 Custodia 4 Informática 102 Legal 21 Mercadeo 6 Oficinas y Ventanillas 6 Planeación 10 Directorio 5 Presupuesto 5 Prevención de Lavado de Activos 6 Relaciones Publicas 5 Riesgos 10 Recursos Humanos y Desarrollo Organizacional 20 Secretaria General 6 Seguridad Informática 5 Servicios Generales 18 65 Administración de Crédito 5 Administración de Recursos 5 Atención al Cliente 6 Cartera 15 Comercio Exterior 3 Concesión de crédito 2 Crédito Primer Piso 30 Crédito Segundo Piso 10 Cuentas de deposito 5 Fiducia 17 Finanzas 5 Finanzas y Administración de Crédito 5 Fomento y Producción 20 Fomento y Crédito 5 Fondo de Garantía 5 Investigación y Desarrollo 5 Supervisión 28 Tesorería 5 Transporte 10 Total 495 Tabla 2-2 Distribución de Personal en el Edificio de Quito Debido a la importancia de la oficina de Quito y la matriz Guayaquil se ha visto la necesidad de realizar la implementación de la red inalámbrica en estas dos ciudades de manera inmediata y luego se tomará esta infraestructura como referencia para extender a las sucursales. 2.3 INFRAESTRUCTURA DE LA RED Al ser un edificio antiguo la tecnología no ha sido la de punta, por esto se han venido haciendo cambios para poder tener una infraestructura moderna y acorde a las aplicaciones que se soportan, en la actualidad no brinda la oportunidad de 66 conectarse a la red de datos de manera inalámbrica, y viendo el surgimiento de tantos dispositivos finales que emplean esta tecnología se ha visto la necesidad de implementarla, para brindar el acceso tanto a directivos como a funcionarios y Usuarios Relat ivas al core Software Core Internas Otras Aplicaciones BDD Core Middleware BDD Ot ras Atención a Usuarios Servicios Producción y Control Implementación de Sistemas personal externo a la institución que brindan capacitaciones, charlas, etc. Componentes Sistemas Operat ivos Hardware Servidores SPARC Servidores x86 Virtualización Almacenamiento y Respaldos Servidores y Almacenamiento Seguridades - Sistema eléctrico - Aire acondicionado - UPS Switches y Periféricos Centro de Cómputo - Seguridad Perimet ral - Identificac y Autenticac - Contol de Accesos - Monit oreo Cableado Esctructurado y Enlaces Infraestructura de TI Software Base Wireless Redes y Comunicaciones Figura 2-2 Esquema de Infraestructura de Red Soportada Para ello debemos hacer un análisis de la parte pasiva y activa de la red. 2.3.1 PARTE PASIVA DE LA RED La parte pasiva de una red constituyen aquellos elementos que a pesar del tiempo no van a cambiar o rara vez se los cambiará para actualizaciones o reparaciones, 67 esto incluye la parte del cableado estructurado del edificio, racks, canaletas, patchpanels, patchcords, etc. 2.3.1.1 CABLEADO ESTRUCTURADO Actualmente se está llevando a cabo una mejora para poder soportar aplicaciones de acuerdo a la nueva tecnología de voz, datos y video, ya que la red era de carácter plano, ahora se ha estructurado una red segmentada en VLANs con un backbone de fibra óptica OM3 multimodo redundante que soporta hasta 10 Gbps, uniendo todos los armarios de distribución ubicados en los pisos de la institución (Secondary Distribution Frames (SDFs)), con el armario central de distribución (Main Distribution Frame (MDF)), ubicado en el data center que se encuentra en el piso 10. El cableado horizontal en su totalidad es de cable UTP categoría 6 TIA/EIA 568-B21 de 4 pares, comprende las redes locales de cada uno de los pisos que se conectan a través del backbone principal de fibra óptica al DataCenter y así poder acceder a los servicios que presta la red de datos de la institución. Este une a través de los equipos de interconexión (parte activa de la red) cada uno de los puntos de conexión de cada cliente (funcionario o dispositivo final) que se encuentra en su lugar de trabajo; con el backbone principal y en consecuencia a la red de datos, servicios y aplicaciones manejados dentro de la institución. 2.3.2 PARTE ACTIVA DE LA RED La parte activa de la red está conformada por todos aquellos elementos que se pueden cambiar, modificar o actualizar como son los ruteadores, switches, servidores, impresoras, estaciones de trabajo, dispositivos finales. 2.3.2.1 CISCO 6509-E La institución cuenta con dos switches de Core de marca CISCO modelo 6509 los cuales mediante la facilidad del VSS (Virtual Switching System) se ven como uno solo facilitando su administración, además de proporcionar escalabilidad y soporte para redes con manejo de IPv6. 68 Figura 2-3 Diagrama de Red LAN Figura 2-4 Esquema VSS de Core [7] 69 Figura 2-5 Nivel de Procesamiento del Core En la Figura 2-5 se puede observar que los niveles para los switches a nivel del consumo de CPU y Memoria son normales, por lo tanto la capacidad del núcleo de la red no requiere un incremento para el desarrollo del proyecto. Equipo Características técnicas principales Chasis C6509E con 9 slots para tarjetas 2 fuentes de poder redundante Catalyst 6509E (Core) 1 Tarjeta controladora con las siguientes características: 2 puertos 10 Gbps 70 3 Puertos de 1 Gbps 2 Gb de memoria interna 1 Tarjeta de 48 puertos 10/100/1000 Gbps 2 Tarjetas de 16 puertos 10 Gbps Tabla 2-3 Características Switches de Core [8] 2.3.2.2 CISCO 3750 La institución en sus pisos cuenta con switches CISCO 3750 que constituyen la capa de acceso, permitiendo una administración más amplia de la red, haciendo uso de la factibilidad de colocarlos en Stack, se amplió la capacidad de cobertura de los mismos, esta serie de CISCO es multicapa Fast Ethernet y Gigabit Ethernet permitiendo una conmutación unificada y resistente. Estos switches proporcionan alta disponibilidad, seguridad, eficiencia energética y facilidad de uso. Tiene fuentes redundantes y controla las funciones de los medios de seguridad, además permiten a las aplicaciones como telefonía IP, redes inalámbricas y de video, un desarrollo unificado. Entre sus características más importantes están: - Cuatro módulos opcionales para la conexión ascendente con Gigabit Ethernet o puertos 10 Gigabit Ethernet. - Power Over Ethernet integrada. - Doble redundancia en fuentes de alimentación y ventiladores modulares. - Encriptación para seguridad MAC (MACsec) basada en hardware. - NetFlow flexible y encriptación switch a switch basada en hardware. - Protocolo OSPF (Open Shortest Path First) para acceso enrutado. - Enrutamiento IPv4 e IPv6, enrutamiento multicast, calidad de servicio avanzada (QoS), y características de seguridad en hardware. - Puertos USB Tipo A y Tipo B para el almacenamiento y la consola respectivamente y un puerto de administración Ethernet. 71 Los beneficios que representa para la red son: - Seguridad.- La seguridad de la red es lograda a través de un amplio rango de métodos de autenticación, tecnologías de encriptación, control de admisión basado en usuarios, puertos y direcciones MAC. - Disponibilidad.- Basados en el estándar 802.1s soporta tolerancia a fallas, balanceo de carga, y rápida convergencia (proporciona convergencia por debajo de 100 ms; PSVT+ (Per VLAN Spanning Tree Plus)) incrementa el ancho de banda disponible permitiendo el tráfico en vínculos redundantes. - Capa 3.- Protocolos de ruteo avanzados tales como OSFP, EIGRP, BGP, PBR y ruteo estático. - PIM (Protocol Independent Multicast).- maximiza los recursos de la red. - VRF-Lite (Virtual Route Forwarding Lite).- asegura el tráfico. - IPv6.- Simplifica el direccionamiento de la red a la vez que incrementa la seguridad. - PoE (375W PoE).- simplifica la distribución de teléfonos IP, cámaras IP, wireless, etc. - QoS (Trafic Shaping, shaped Round Robin, Scavenger Queuing).-garantizan el ancho de banda y que no se descarten paquetes en el tráfico de alta prioridad - Administración: (Cisco SmartPorts) facilita la rápida configuración de las capacidades del switch. - Wireless: Posee un controlador de redes inlámbricas integrado, proporciona la administración centralizada de políticas de seguridad, intrusión, gestión de RF, QoS, y Layer-3 Fast Roaming. [8] Equipo Características técnicas principales 48 Puertos Ethernet RJ 45 10/100/1000 Mbps Catalyst 3750X (Acceso) PoE a 15 W por puerto 4 Puertos a Ten Giga Ethernet (10 Gbps) 2 Fuentes de poder VLAN_BASES_DE_DATOS:41 VLAN_USUARIOS_PISO_PB:62 VLAN_USUARIOS_PISO_1:63 VLAN_USUARIOS_PISO_10:64 VLAN_ADMIN_VIRTUAL:3 VLAN_SAN_ISCSI:21 VLAN_SERVIDORES:22 VLAN_SERVIDORES_COBIS:23 VLAN_PERIFERICOS:121 Figura 2-6 Esquema Lógico de la red LAN Hacia Internet, Extranet, WAN y DMZ VLAN_INALAMBRICOS:182 VLAN_FIREWALLS_EXTERNOS: 181 VLAN 2 VLAN 3 Hacia Infraestructura actual VLAN 76 Switches Core VLAN 181 VLAN 161 VLAN 41 VLAN 24 VLAN 23 VLAN 22 VLAN 21 Administración Ambiente virtual TOTAL VLANs = 24 VLAN_VOZ:141 Administración Infraestructura TI VLAN_MIGRACION_TEMPORAL:76 VLAN_USUARIOS_COBISCORP:75 VLAN_USUARIOS_EXTERNOS:74 VLAN_USUARIOS_PISO_20:73 VLAN_SEGURIDAD:161 VLAN_USUARIOS_PISO_19:72 VLAN_USUARIOS_PISO_18:71 VLAN_USUARIOS_PISO_17:70 VLAN_USUARIOS_PISO_16:69 VLAN_USUARIOS_PISO_11:65 SEGMENTACIÓN DE LA RED LAN - QUITO DIAGRAMA ESQUEMATICO – VLAN´S VLAN_SERVIDORES_COBISCORP:24 VLAN_ADMIN:2 VLAN 2,62,74,75,121 VLAN 2,63,75,121 VLAN 2,64,75,121 VLAN 2,65,121 VLAN 2,69,75,121 VLAN 2,70,121 VLAN 2,71,121 VLAN 2,72,121 VLAN 2,73,121,182 Switch Piso PB Switch Piso 1 Switch Piso 10 Switch Piso 11 Switch Piso 13 Switch Piso 14 Switch Piso 15 Switch Piso 16 Switch Piso 17 Switch Piso 18 Switch Piso 19 Switch Piso 20 72 Puertos de Stack 256 MB memoria Ram 32 Memoria Flash 160 Gbps de velocidad de conmutación Tabla 2-4 Características Switches de Acceso [8] 73 2.4 SERVIDORES Y SERVICIOS QUE ESTÁN DISPONIBLES La información es un recurso que, como el resto de los importantes activos, tiene valor para la entidad financiera y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad de los servicios, minimizar el daño que se puedan generar producto de estas amenazas, para esto la institución cuenta con la plataforma de servidores, considerados como el escenario de hardware o software que permiten la funcionalidad de un sistema, cuenta con dos tipos principales de servidores, los primeros de arquitectura SPARC que soportan el Core del negocio y los segundos de arquitectura x86 para las aplicaciones relacionadas al Core y de apoyo. 2.4.1 SERVIDORES SPARC Se dispone de servidores Oracle SPARC T4 para soportar el ambiente de Core COBIS. En estos servidores se ejecuta el motor de base de datos principal y el middleware del Core. Se emplean otros servidores Oracle para ambientes de desarrollo y pruebas de ambientes COBIS. BDD Producción ón , Nodo o1 UIOSRV02 02 Clúster BDD Producción ció, nNodo ción o2 UIOSRV03 03 29 Figura 2-7 Diagrama de BDD 29 Siglas que se utilizan como estándar dentro de la entidad para referirse a la localidad donde se encuentra ubicado en este caso específico UIO es de Quito; así mismo se clasifica el dispositivo, SRV para referirse a un Servidor y los números de acuerdo a la secuencia como fueron creados. 74 La Base de datos principal Sybase ASE, corre en dos servidores tipo rack Oracle SPARC T4-2 en modo de alta disponibilidad, el sistema operativo en estos servidores tiene habilitado las funciones de clúster con Solaris Clúster. El Middleware IBM WAS, corre en dos servidores tipo blade Oracle T4-1B en un modo de alta disponibilidad y utilizando virtualización con OVM (Oracle Virtual Machine). Otros ambientes de desarrollo y pruebas se ejecutan en otros dos servidores tipo blade Oracle T4-1B mediante virtualización OVM. Los ambientes de Base de datos y Middleware se encuentran replicados al sitio alterno en Guayaquil en dos servidores tipo blade Oracle T4-1B. Las principales características de los servidores de Base de datos son: · servidores Oracle SPARC T4-2 (clúster) · 2 x Eight Core T4 processor @ 2.85 GHz · Total 128 virtual CPUs · SPECfp = 1,275 [255 (SPARC T3-2) x5] · 256 GB RAM · 2 x 300 GB HDD + SAN · Conectividad SAN 8 Gbps · Conectividad LAN 10 Gbps Figura 2-8 Clúster de Virtualización 75 Figura 2-9 Ambiente de Réplica Las principales características de los servidores del Middleware son: · servidores Oracle SPARC T4-1B (clúster) · 1 x Eight Core T4 processor @ 2.85 GHz · Total 64 CPUs virtuales · SPECfp = 1,275 [255 (SPARC T3-2) x5] · 128 GB RAM · 2 x 300 GB HDD + SAN · Conectividad SAN 8 Gbps · Conectividad LAN 10 Gbps A continuación se detalla el estado de uso de recursos de los principales servidores; primero del clúster de base de datos para el ambiente de producción (servidores UIOSRV02 en la Figura 2-10 y UIOSRV03 en la Figura 2-11 ): 76 Figura 2-10 Esquema del Uso del Servidor UIOSRV02 Variable Observación Espacio en Disco El espacio físico utilizado para el almacenamiento se encuentra en un nivel bajo de consumo. Uso de Memoria El consumo de la memoria tanto física como virtual es bajo no llega al 5% de su capacidad total Nivel de El nivel de procesamiento del servidor es bastante bajo y se procesamiento puede observar que a través del tiempo es contante. Tabla 2-5 Resumen uso del Servidor UIOSRV02 77 Figura 2-11 Esquema del Uso del Servidor UIOSRV03 Variable Observación Espacio en El espacio físico utilizado para el almacenamiento se encuentra Disco en un nivel aún bajo de consumo. Uso de El consumo de la memoria tanto física como virtual es bajo no Memoria llega al 50% de su capacidad total. Nivel de El nivel de procesamiento del servidor es bajo y se puede procesamiento observar que a través del tiempo es hay picos q alcanzan el 60% pero de corta duración. Tabla 2-6 Resumen del uso del servidor UIOSRV03 78 De lo anteriormente expuesto, se puede concluir que el segundo nodo del clúster (UIOSRV03) tiene mayor actividad debido a que se encuentra como nodo activo, sin embargo, el uso de recursos de ambos servidores es muy por debajo de su capacidad total. A continuación podemos comparar el estado de los servidores de middleware (El servidor UIOSRV04 mediante la Figura 2-12 y el del servidor UIOSRV05 mediante la Figura 2-13): Figura 2-12 Esquema del Uso del Servidor UIOSRV04 Variable Observación Espacio en Disco El espacio físico utilizado para el almacenamiento se encuentra en un nivel muy bajo de consumo. 79 Uso de Memoria El consumo de la memoria tanto física como virtual es el parámetro que se destaca sobre los demás. Nivel de El nivel de procesamiento del servidor es bastante bajo y se procesamiento puede observar que a través del tiempo es contante. Tabla 2-7 Resumen uso del servidor UIOSRV04 Figura 2-13 Esquema del Uso del Servidor UIOSRV05 Variable Observación Espacio en Disco El espacio físico utilizado para el almacenamiento se encuentra en un nivel bajo de consumo. Uso de Memoria El consumo de la memoria tanto física como virtual es el parámetro que se destaca sobre los demás. 80 Nivel de El nivel de procesamiento del servidor es bastante bajo y procesamiento se puede observar que a través del tiempo es contante. Tabla 2-8 Resumen uso del servidor UIOSRV05 Para estos servidores, el principal recurso en uso es la memoria RAM, considerando que se encuentran implementados los servidores virtuales que conforman el middleware; el resto de recursos se encuentran con muy poco uso. 2.4.2 SERVIDORES X86 La entidad dispone de servidores tipo Blade marca HP de arquitectura Intel x86 instalados en chasis HP c7000 que cuentan con dispositivos redundantes para conectividad LAN y SAN; en estos equipos se tienen instalados los siguientes servicios: 2.4.2.1 Quito • Once servidores para VMware vSphere • Tres servidores para Novell eDirectory / ZenWorks • Dos servidores para Microsoft Active Directory • Dos servidores para Lotus Domino • Un servidor para Qlikiew • Un servidor para IBM SiteProtector 2.4.2.2 Guayaquil • Cuatro servidores para VMware vSphere • Dos servidores para Novell eDirectory / ZenWorks • Dos servidores para Microsoft Active Directory • Dos servidores para Lotus Domino Las principales características de los servidores tipo blade x86, se detallan a continuación 81 • Marca / Modelo: HP BL460 G1, G6, G7 y Gen8 • Procesadores Intel Xeon • Memoria: 6 GB RAM > 64 GB RAM • Disco: 2 x 300 GB HDD + SAN • Conectividad SAN 8 Gbps • Conectividad LAN 10 Gbps Los equipos detallados se encuentran distribuidos en los chasis blade Quito de acuerdo al esquema de la Figura 2-14: Chasis de servidores blade: HP c7000 VMware vSphere Novell eDirectory / ZenWorks Microsoft Active Directory IBM Lotus Domino QlikView IBM SiteProtector Figura 2-14 Esquema del Chasis Blade UIO Los equipos servidores tipo blade de Guayaquil se encuentran distribuidos en el chasis de acuerdo al esquema de la Figura 2-15: Chasis de servidores blade: HP c7000 VMware vSphere Novell eDirectory / ZenWorks Microsoft Active Directory IBM Lotus Domino Figura 2-15 Esquema del Chasis Blade GYE 82 Se presenta a continuación diagramas del uso de recursos de los principales servidores (sin contar los de virtualización); esto es, Novell eDirectory mediante la Figura 2-16 y Figura 2-17, para el Lotus Domino mediante la Figura 2-18. Figura 2-16 Uso de Recursos Servidor UIO41 (Novell eDirectory) Variable Observación Uso de Memoria El consumo de la memoria tanto física como virtual es alto y constante llegando casi a su totalidad. Nivel de El nivel de procesamiento del servidor es bastante bajo y se procesamiento puede observar que a través del tiempo no es contante. Tabla 2-9 Resumen del uso del servidor UIO41 83 Figura 2-17 Uso de Recursos Servidor UIO42 (Novell eDirectory) Variable Observación Uso de Memoria El consumo de la memoria tanto física como virtual es alto y constante llegando casi a su totalidad. Nivel de El nivel de procesamiento del servidor es no es contante a procesamiento través del tiempo. Tabla 2-10 Resumen uso del servidor UIO42 Se puede concluir que los servidores se encuentran en un status “Normal” pues los recursos están en un nivel de uso razonable. 84 Figura 2-18 Uso de Recursos Servidor de Correo (Lotus Domino) Variable Observación Uso de Memoria El consumo de la memoria tanto física como virtual es contante y va en aumento llegando al 50% de su capacidad. Nivel de El nivel de procesamiento del servidor es bastante alto y se procesamiento puede observar que a través del tiempo hay picos de crecimiento llegando a un promedio del 60%. Tabla 2-11 Resumen uso del servidor Lotus Domino 85 2.4.3 SISTEMAS OPERATIVOS EN SERVIDORES Los sistemas operativos utilizados en la institución son variados; sin embargo, existe una estandarización en cuanto a su uso de acuerdo al siguiente detalle: · Servidores en arquitectura SPARC: Solaris (Actualmente Oracle Solaris 10 8/11) · Servidores en arquitectura x86: Microsoft Windows y SuSE Linux Enterprise Server (las versiones pueden variar de acuerdo a las recomendaciones de los proveedores de las soluciones a implementarse en los servidores, actualmente se cuentan con versiones de Windows Server 2003, 2008 y 2012, Standard y Enterprise; y, SuSE Linux Enterprise Server 10 y 11). · Servidores para virtualización: VMware ESX (actualmente versión VMware ESXi 5.1) Se presenta la distribución de los servidores por sistema operativo a nivel nacional: SO UIO GYE Windows 125 20 Solaris 32 8 Linux 31 5 ESX 13 4 Tabla 2-12 Servidores por Sistema Operativo Distribución de servidores por SO 200 0 Windows Solaris UIO Linux ESX GYE Figura 2-19 Distribución de Servidores por SO 86 2.5 SERVICIOS DISPONIBLES AL ACCEDER A LA RED Al estar a cargo de la Subgerencia de Tecnología de la Información la configuración, instalación, supervisión, operación y administración del hardware como el software que se maneja dentro de la institución para brindar los servicios ofertados al interior de la misma, dando soporte al área administrativa, riesgo, de apoyo y en especial a las áreas de cartera, supervisión y finanzas. Los servicios a los que los usuarios podrán acceder a través de la red son: SERVICIO DE ACCESO A INTERNET SERVICIO DE ANTIVIRUS CORPORATIVO SERVICIO DE VIDEO CONFERENCIA SERVICIO DE CORREO ELECTRÓNICO SERVICIO DE IMPRESIÓN Y ESCANEO SERVICIO DE INTRANET SERVICIO DE ARCHIVO SISTEMAS DE BASE DE DATOS SERVICIO DE NOMBRES DE DOMINIO Y ASIGNACIÓN DE DIRECCIONES IP 2.5.1 SERVICIO DE ACCESO A INTERNET Por políticas de seguridad todo funcionario tiene acceso a la web a través de un Servidor Proxy que controla a través de políticas comunes para el uso del Internet, de este se exceptúan a las autoridades. Para esto se registran nombres de usuario y contraseña en un directorio activo, para poder acceder a los aplicativos permitidos mediante la web. 2.5.2 SERVICIO DE ANTIVIRUS CORPORATIVO La protección antivirus, anti-spam es gestionado a nivel corporativo se encuentra instalado en un servidor Windows server 2008 y en cada una de los dispositivos a través de un cliente. Las actualizaciones de la base de datos del antivirus se realizan diariamente en el servidor y en los usuarios se lanzan automáticamente al momento de iniciar sesión en la red. 87 2.5.3 SERVICIO DE VIDEO CONFERENCIA Figura 2-20 Esquema de Videoconferencia Es uno de los servicios más demandantes ya que transporta audio, video y contenido HD. Las autoridades, gerentes y subgerentes a nivel nacional necesitan estar comunicados constantemente, por lo que se realizan este tipo de reuniones a 88 diario. Para proceder con este servicio se posee una sala de 2048 kbps, dos salas para más de 12 conexiones al mismo tiempo de 1024 Kbps, dos salas de 512 Kbps que soporta hasta 8 conexiones al mismo tiempo y dos salas más de 384 Kbps que soportan hasta 3 conexiones al mismo tiempo con dispositivos Polycom punto a punto y multipunto según sea el caso. El canal que se utiliza es el mismo de datos por lo que se vio la necesidad de ampliar el ancho de banda con Guayaquil a 20 Mbps para evitar el retardo y la pérdida de paquetes que se venía observando sobre todo en la réplica de las bases de datos para contingencia. 2.5.4 SERVICIO DE CORREO ELECTRÓNICO La administración y operación del servidor de correo electrónico está directamente administrado por personal de la Subgerencia Nacional de Tecnologías de la Información, todo usuario al ser registrado como funcionario o de apoyo dispone de una dirección de correo electrónico este tiene como limitante el tamaño de buzón de 200 Mb y de envió hasta 8 Mb. El servicio de correo es perteneciente a IBM llamado Lotus Notes el cual corre en un servidor físico provisto en el Data Center. Cada funcionario accede a través del cliente instalado como aplicativo (en la intranet del edificio) o desde cualquier sitio que tenga acceso a Internet (desde el exterior del edificio) de preferencia a través del navegador Internet Explorer en el portal webmail. También pueden acceder al correo y agenda a través de sus dispositivos inalámbricos como celulares o tablets a través de un aplicativo llamado Lotus Traveler. El producto que se utiliza para el lado del servidor es IBM Lotus Domino y para el lado cliente es IBM Lotus Notes. 2.5.4.1 Plataforma de Colaboración y Mensajería en la Entidad con Lotus Con la finalidad de entender de mejor manera el alcance que tiene la implementación de la plataforma de colaboración y mensajería en la entidad, se exponen a continuación las funciones y características disponibles en la versión actual y que son usadas por la Institución. 89 Correo electrónico. Este apartado hace referencia a la funcionalidad básica de envío y recepción de mensajes de correo electrónico, manejo de agenda, calendario y tareas. Acceso web. El acceso al correo a través de un navegador de Internet se encuentra habilitado en Domino y los usuarios que requieran trabajar de forma remota pueden hacerlo gracias a este servicio. Acceso remoto. En la actualidad, el uso de dispositivos móviles como celulares inteligentes y tablets es muy común; para la integración de estos dispositivos con la plataforma de colaboración y mensajería se utiliza la solución Lotus Traveler. Con esta característica, la disponibilidad de los usuarios aumenta, permitiéndoles dar respuesta más oportuna a los requerimientos de clientes tanto internos como externos. Multiplataforma. Desde la versión 8 de Lotus, la solución cuenta con clientes nativos que soportan además de Windows, OS X, RedHat, SUSE y Ubuntu. Además cuenta con algunas instalaciones sobre los computadores marca Apple (OS X) de la Presidencia y del área de Mercadeo. Uso de aplicaciones. Se utiliza aplicaciones desarrolladas en el entorno de Lotus para asistir a los usuarios en sus funciones de negocio. Las aplicaciones a destacar son: · Costeo ABC, a cargo del área de Subgerencia Nacional de Presupuesto y Control; es usada por todos los funcionarios de la empresa para la medición de esfuerzos en actividades institucionales. · Presupuesto, a cargo del área de Subgerencia Nacional de Presupuesto y Control; es usada por dicha área y por los principales encargados de las diferentes áreas de la Institución para el manejo y control presupuestario de la empresa. 90 · Cuentas de usuarios, a cargo de la Jefatura Nacional de Seguridad Informática, usada por el área en cuestión para el control de las cuentas de usuarios de la Institución. · Auditoría, a cargo del área de Auditoría Interna en uso de dicha área para el manejo de órdenes de trabajo de la misma. · Mensajería. Para la comunicación interna a través de una solución de ‘chat’ colaborativo en línea, se utiliza la función de Lotus Sametime; con ello se habilita la interacción entre los usuarios de la solución de manera directa (cuando los usuarios están disponibles) permitiendo una comunicación más fluida y dinámica. Además de los temas expuestos sobre la funcionalidad de la solución de colaboración y mensajería Lotus, es importante considerar otros factores que complementan la solución instalada. Arquitectura. La entidad cuenta con un esquema de contingencia para la plataforma de colaboración y mensajería, al contar con esquemas de replicación propios de la plataforma entre los dos servidores Lotus Domino, ubicados en las oficinas principales de Quito y de Guayaquil. La configuración implementada permite que, en caso de una contingencia, los usuarios de una oficina se conecten al servidor de la otra oficina y viceversa; esto permite un trabajo ininterrumpido de los usuarios en caso de un contingente mayor. Integración. La solución del lado del servidor Lotus Domino está integrada con la plataforma de aprovisionamiento y control de usuarios Novel IDM, que cuenta con conectores propios desarrollados para su integración con Domino. Esta integración permite mantener un alto nivel de seguridad para el cliente final al integrar sus contraseñas de red con aquellas del correo. Experiencia. El personal, tanto a nivel de usuario final como técnico, cuentan con un alto nivel de experiencia sobre las herramientas Lotus; situación que ha facilitado el adecuado uso de las mismas y la oportuna atención a requerimientos de soporte técnico. 91 2.5.5 SERVICIO DE IMPRESIÓN Y ESCANEO En el interior de la institución se tiene como política la instalación de una impresora por área o departamento. Solamente en casos que no exista disponibilidad de compartir una impresora entre varios funcionarios por actividades determinadas de un funcionario como facturas, pagos, etc. se instalarán de manera personal. Las impresoras de red son instaladas como equipos completamente independientes, con dirección IP reservada en el servidor DHCP, y que incluso cuentan con un segmento de red diferente al de los funcionarios, llamada VLAN_PERIFERICOS, en algunos de los casos las mismas impresoras al ser multifunción dan el servicio de escaneo de red por lo que se procede de igual forma con estos dispositivos y se aplican a la misma política. 2.5.6 SERVICIO DE INTRANET A través de la intranet se realizan algunas funciones, entre ellas la principal es el registro de inconvenientes para soporte técnico y de red, así como la reserva de salas de reuniones, equipos de video conferencia, dispositivos audiovisuales como proyectores a través de la herramienta de mesa de servicio llamada HP Service Manager, que corre sobre un servidor Windows Server 2008, para poder acceder los permisos y claves de usuario son asignados mediante el departamento de seguridad informática. 2.5.7 SERVICIO DE ARCHIVO Al manejarse archivos comunes entre áreas, o formularios para el personal, se maneja una unidad de red con varias carpetas pertenecientes a un área específica con derechos de lectura y escritura acorde a los funcionarios que podrán hacer uso de dicha información, estas son establecidas con una cuota y con permisos de seguridad por grupos de usuarios. 2.5.8 SISTEMAS DE BASE DE DATOS La gestión y almacenamiento de la información crítica de la institución se realiza con servidores Oracle, SUN, e IBM, así como se realizan replicaciones hacia la 92 ciudad principal de Guayaquil, y existe distribución de paquetes a las demás sucursales de los diferentes ambientes de producción cada que hay una actualización. 2.6 SERVICIO DE NOMBRES DE DOMINIO Y ASIGNACIÓN DE DIRECCIONES IP Estos servicios se tiene una plataforma IPAM (IP Adress Managment) constituida por varios equipos descritos más adelante en la Tabla 2-13, que proporciona el mecanismo para la administración conjunta de direcciones IP, así como la transformación de los nombres de host en direcciones IP y viceversa. Evitando la duplicidad de direcciones, además proporciona una administración de los dispositivos a través de sus MAC-Address y sus direcciones IP, permitiendo llevar una base de datos con sus características, funcionalidad, marca, modelo y localización a través del registro de los mismos, o detección al registrar el uso de una dirección IP del segmento de red designado, indicando la duración de la sesión del mismo. Dentro de la institución se manejan varios bloques de segmentos de red: · Bloque interno · Bloque Temporal:(segmento anterior que se ha ido deshaciendo con la implementación de VLANs) · Bloque de la DMZ · Bloque de Oficinas Regionales La funcionalidad de esta plataforma, es la de proveer el servicio de asignación dinámica de direccionamiento IP DHCP (Dynamic Host Configuration Protocol), a los equipos de cómputo (servidores, estaciones de trabajo, impresoras, equipos de video conferencia, lectores biométricos, entre otros). Adicionalmente, esta plataforma provee también el servicio de resolución de nombres DNS (Domain Name System), el cual sirve para resolver nombres en las redes, es decir, permite el uso de nombres en vez de la dirección IP para el acceso 93 a los servidores, aplicativos web internos y portales web que se dispone vía Internet. Equipo BlueCat Ubicación Networks 1 Quito Networks 2 Quito Appliance: Servicios de DNS y DHCP 2 Guayaquil Adonis 800 BlueCat Appliance: Servicio de administración y control del IPAM Proteus 3300 BlueCat Detalle Networks 1 Quito Appliance, Servicio de DNS externo (Hidden Master) Adonis XMB2 Tabla 2-13 Equipos de IPAM La plataforma de IPAM (IP Address Management), que dispone la entidad está compuesta de dos capas cuyo diagrama lógico se puede observar en la Figura 2-21: a) la capa de administración y control, y b) la capa de servicios, las cuales deben estar operando de manera adecuada para garantizar un apropiado nivel del servicio de esta herramienta. Figura 2-21 Esquema Lógico de la Plataforma IPAM 94 2.7 EQUIPOS TERMINALES En las oficinas se tienen equipos terminales en su mayoría PC de escritorio, seguidas por las laptops institucionales, dispositivos PDA’s, impresoras y escáneres. Las computadoras asignadas a los funcionarios son de uso personal y tareas de oficina así como destinadas a utilizar los recursos de red consumiendo servicios de los servidores disponibles; están distribuidas entre 495 PC de escritorio y 140 laptops asignadas, con arquitectura Intel, a la red se conectan a través de sus tarjetas de red o NIC (Network Interface Card) de las máquinas más antiguas a 10/100 Mbps y de las más nuevas a 10/100/1000 Mbps. Cuentan con un sistema operativo en su mayoría XP service pack 3, y las máquinas laptop recientemente entregadas con Windows 8. Las impresoras son compartidas dentro del área, entre todas ellas hacen un total de 150, en su mayoría son de marca HP al igual que los escáneres que son apenas 30. 2.8 ADMINISTRACIÓN DE RED El área correspondiente a la subgerencia de infraestructura de TI es la responsable de la gestión de las aplicaciones, servidores y dispositivos de red. La red se encuentra constantemente monitoreada y supervisada para garantizar el funcionamiento, confiabilidad y disponibilidad. Para esto se utiliza la herramienta de CA Spectrum, la cual permite modelar los equipos de la red activos mediante configuración SNMP, lo cual mantiene un registro de eventos en cada uno de ellos, categorizados desde alarmas menores hasta críticas, permitiendo así la solución de problemas a tiempo. La misma herramienta permite tener un monitoreo del tráfico generado en la red, o en una interfaz de un equipo en específico. Por lo que se utiliza esta herramienta para el monitoreo del ancho de banda, no solo correspondiente a la LAN, sino prioritariamente con la Matriz y Sucursales a nivel del enlace WAN para ver que no se afecte el funcionamiento normal de los demás aplicativos. Para la conectividad con la WAN o enrutamiento, la red corporativa contiene un esquema de enrutamiento estático descrito en la Tabla 2-14. 95 Localidad Clase de red Detalle Quito 10.20.0.0/24 Se encuentra configurado una red por cada VLAN, con asignación dinámica Guayaquil 10.30.0.0/24 Se encuentra configurado una red por cada VLAN, con asignación dinámica Oficinas regionales 192.168.x.x/24 Con asignación manual Direccionamiento público DMZ-Quito DMZ-Guayaquil 186.46.120.0/25 Dividido en 128 host para Quito y 128 host para Guayaquil, con asignación manual 172.16.1.0/27 32 host 172.16.2.0/27 32 host Tabla 2-14 Distribución actual del direccionamiento IP Sucursal Subred Mascara Gateway Esmeraldas 192.168.6.0 255.255.255.0 192.168.6.254 Ibarra 192.168.5.0 255.255.255.0 192.168.5.254 Latacunga 192.168.9.0 255.255.255.0 192.168.9.254 Ambato 192.168.0.0 255.255.255.0 192.168.0.254 Riobamba 192.168.7.0 255.255.255.0 192.168.7.254 Loja 192.168.4.0 255.255.255.0 192.168.4.254 Cuenca 192.168.2.0 255.255.255.0 192.168.2.254 Machala 192.168.8.0 255.255.255.0 192.168.8.254 Salinas 192.168.12.0 255.255.255.0 192.168.12.254 Manta 192.168.3.0 255.255.255.0 192.168.3.254 Tabla 2-15 Distribución Direccionamiento IP Sucursales Las rutas definen el curso del paquete y se encuentran configuradas por los proveedores de servicios, según el direccionamiento IP acordado con un esquema de alta disponibilidad. 96 Actualmente se ha migrado el direccionamiento IP, en la mayoría de los equipos, quedando pendiente tan solo algunos servidores considerados como críticos, de los cuales se tiene previsto su migración en el mediano plazo. El direccionamiento IP en la institución es de tipo privado, las redes asignadas a cada una de las oficinas regionales se describen anteriormente en la Tabla 2-15. 2.9 MANEJO DE LA IDENTIFICACIÓN Y AUTENTICACIÓN 2.9.1 NOVELL E-DIRECTORY (SERVIDORES UIO41, UIO42) El directorio de red corporativa es eDirectory – Novell, el cual soporta el protocolo estándar de acceso a directorios LDAP. En base a este directorio se realiza la autenticación de usuarios para el uso autorizado de los diferentes servicios y aplicaciones disponibles en la red de datos, los principales servicios habilitados son: · Autenticación a la red corporativa · File System: carpetas-archivos compartidos · Autoservicio de contraseñas, Single Sign-On 2.9.2 NOVELL IDENTITY MANAGER – IDM (SERVIDORES UIO81, UIO65) La administración de seguridades lógicas en la mayoría de aplicaciones de la entidad se la realiza en forma centralizada, mediante el manejo seguro de identidades con la aplicación Novell Identity Manager – IDM. El sistema IDM está basado en web e implementado en un repositorio central de identidades (LDAP) como muestra la Figura 2-22. Figura 2-22Mediante un motor de sincronización, cada directorio y base de datos que requiere integrarse se conecta al repositorio central utilizando un conector apropiado y se establecen unas reglas de negocio que serán aplicadas por la conexión, permitiendo que la información ingresada sobre los usuarios en el eDirectory se propague automáticamente a los demás sistemas garantizando la consistencia de la información. 97 Complementariamente, el sistema IDM permite entre otros: reducir la carga de trabajo manual, mejorar el modelo de aprovisionamiento (reducción de tiempos y riesgos), implementar la automatización de las reglas del negocio para administrar el ciclo de vida de la identidad en ambientes informáticos heterogéneos, simplificar el acceso de los usuarios a las distintas aplicaciones y recursos de red, por medio de un acceso único. Novell Identity Manager Usuario Interno en Directorio Corporativo Directorio LDAP Repositorio IDM (Metadirectorio) Directorio Activo (Corporativo) Novell OES COBIS PCIE’s Lotus Domino Intranet Sis. Op. (Windows-Unix) Control Minder Momenclatura Aprovisionamiento . SSL VPN HP Service Manager Detectart Identity Guard Administración De Bienes Riesgo Operativo Sincronización de contraseña . Autenticación de usuarios . Fortinet Figura 2-22 Esquema de IDM 2.10 ACUERDO DE NIVEL DE SERVICIO Acuerdos de nivel de servicio o SLA, son los contratos donde se estipulan los niveles a los que un servicio en función de objetivos y parámetros son establecidos por mutuo acuerdo entre el ISP y el cliente, reflejando contractualmente el nivel 98 operativo de funcionamiento, dando por sentado penalizaciones y sanciones por la falta de servicio, la calidad de servicio se mide en tiempo de respuesta, disponibilidad horaria, documentación disponible, personal de servicio técnico asignado, etc. Con estos se logra definir objetivos (generalmente anuales) para mejorar la eficacia, reducir costos. Dando como resultado una planificación adecuada que optimice los procesos para tener un punto de referencia para mejorar continuamente el negocio y mejorar los índices de calidad. Para una mejor apreciación de los incidentes que pueden obtenerse y dar solución se estiman categorías en base a la urgencia y de acuerdo a esta el tiempo de respuesta. En base a los lineamientos definidos en las “mejores prácticas” de la industria se ha previsto la gestión de los servicios de TI, para lo cual en primer lugar es fundamental disponer de la gestión y monitoreo de los componentes de infraestructura físicos y de software base. Una vez establecidos los componentes el esquema de monitoreo, estos deben ser asociados a los servicios a los cuales brindan soporte, para de esta manera establecer una capa para gestión de servicios de TI, a los cuales se les pueda asociar “Acuerdos de Nivel de Servicio” (SLA). Figura 2-23 Esquema de SLA 99 En la Figura 2-23 anterior se incluye un esquema de gestión, el mismo que ha sido implementado en la entidad financiera. La entidad se apoya en soluciones de software de CA (Spectrum), para el monitoreo de los servicios informáticos y de su infraestructura base. Este software fue adquirido por la Institución en el año 2011. El software en mención permite la administración proactiva de la infraestructura de redes, enlaces de comunicaciones, servidores y bases de datos de las oficinas en Quito y Guayaquil; logrando la visualización de la disponibilidad de los servicios de TI y ayudando a la pronta detección y corrección de errores gracias a la emisión de alertas en tiempo real. La suite CA Spectrum dispone de las funcionalidades a continuación descritas en la Tabla 2-16 y la categorización de los eventos que informa según su criticidad se describen en la Tabla 2-17: Componente Funcionalidad CA Infrastructure Gestión de la configuración, capacidad, monitoreo, Management disponibilidad e incidentes para la infraestructura de TI (Spectrum, eHealth y (switches, sistemas de almacenamiento, dispositivos NetQos de red, dispositivos de seguridad) ReportAnalyzer) CA Virtual Assurance Gestión de la configuración, capacidad, monitoreo, for Infrastructure disponibilidad e incidentes para la infraestructura Blade Managers y virtualizada (HP Blade C7000, VMWare) CA Database Gestión de la configuración, capacidad, monitoreo, de Performance for bases de datos Infrastructure Managers CA System Gestión de la configuración, capacidad, monitoreo, Performance disponibilidad e incidentes para la infraestructura de Infrastructure servidores (Solaris, Linux, Windows) Managers 100 CA Application Gestión del rendimiento de aplicación .Net Performance Manager CA Service Manager Gestión de servicios de TI Tabla 2-16 Funcionalidades de la Herramienta de Monitoreo Urgencia Categorización Definición Niveles de Servicio Critica Sistema Cuando el Cliente reporte Tiempo vulnerable encontrarse bajo una situación máximo de de ataque informático y/o bajo respuesta 15 una violación de seguridad que minutos ponga en peligro el entorno productivo. Cuando todo el Entorno Productivo presente fallas o deje de funcionar. Cuando todos los dispositivos de red no puedan operar. Cuando una red pierda totalmente conectividad con otra como por ejemplo el Internet o enlace WAN. Alta Sistema Cuando funciones importantes Tiempo Degradado en el entorno productivo máximo funcionen de manera inestable respuesta pero existan otras funciones que hora lo hagan normalmente. Cuando un grupo acotado de usuarios no pueda utilizar una función del entorno productivo. de 1 101 Cuando una red pierda parcialmente su conectividad con otra red, pero tenga conectividad con el entorno productivo. Media Sistema Cuando ocurran fallas en el Tiempo degradado funcionamiento aleatoriamente productivo de forma aleatoria e respuesta del entorno máximo inconstante. de 2 horas Cuando existan problemas de performance en el entorno productivo que aun permitan la utilización de las funciones del mismo. Cuando este afectado el servicio a un porcentaje igual o menor al 10 % de la totalidad de usuarios. Baja Sistema degradado no Cuando el funcionamiento pleno Tiempo del entorno productivo requiera máximo de la finalización de una solicitud respuesta de 4 de pedido, pero sus funciones horas pueden ser utilizadas por todos los usuarios. Cuando existan problemas que podrían estar relacionados con los servicios contratados pero no afecta el entorno de producción. Tabla 2-17 Niveles de Servicio y Categorización de Incidentes 2.11 ANÁLISIS DE TRÁFICO Para el análisis del tráfico basado en la utilización del ancho de banda de los enlaces, se hace uso de la herramienta CA Spectrum que sirve para monitorizar en tiempo real el consumo del ancho de banda de los enlaces WAN, interfaces de los 102 equipos como ruteadores, switches y servidores accesibles a través del protocolo SNMP además de otros datos proporcionados por esta herramienta con su módulo del NQ Analizer para ejecución de reportes. Los enlaces WAN monitorizados son los comprendidos entre Quito y Guayaquil. Así como cada sucursal hacia la matriz y la sucursal mayor respectivamente. Cada uno de estos tiene redundancia en sus enlaces comprendidos con un enlace principal proporcionado por CNT y el de Backup por Level 3. Para el acceso a Internet se realiza a través de otro ruteador uno para Quito y otro para Guayaquil. Las sucursales salen a través de sus ruteadores independientes. Figura 2-24 Enlaces WAN 103 2.11.1 ENLACE WAN QUITO –GUAYAQUIL Se realiza el estudio en este canal de comunicaciones sobre niveles de consumo del ancho de banda, servicios que circulan por este canal, aplicaciones que lo utilizan, ya que es de carácter fundamental para la red de la entidad financiera por todo el tráfico que atraviesa con la información de sucursales, así como el de las transacciones de bases de datos y los aplicativos que se distribuyen entre los equipos principales de la ciudad de Quito y sus respectivos backups en la ciudad de Guayaquil, este enlace posee una capacidad de 20 Mbps con característica redundante. Refiérase a los Anexos A, B, C, D y E: Muestra las aplicaciones del enlace Quito – Guayaquil del período de Septiembre-Noviembre del 2013, como muestra previa para determinar cuál es el componente que más usa el canal para aplicar técnicas de calidad de servicio y priorización de paquetes para las aplicaciones sensibles como lo es la videoconferencia, la cual es uno de los aplicativos que sirvió de motivo para el desarrollo del proyecto. En dichas gráficas podemos apreciar el volumen de entrada y salida de datos durante el periodo analizado y las aplicaciones que más se utilizan a través del enlace, dando como resultado que en el transcurso del día el canal es suficientemente capaz de soportar las aplicaciones y el tráfico que circula por él. Las réplicas de bases de datos se programan para ser realizadas durante el periodo no laboral para liberar el espacio ya que ocupa un total de 10 a 12 Gb del canal durante un lapso de 6 horas, así mismo se puede concluir, que el servicio de consulta a las bases de datos consume recursos y un importante porcentaje del canal. Si realizamos un análisis más profundo, vemos que lo más utilizado es el correo electrónico, evidenciando el uso de éste, tanto en los resúmenes mensuales como semestrales, esta utilización es a nivel WAN como LAN independientemente de la ciudad, por lo que se concluye que es uno de los recursos más utilizados. Los servicios de acceso a la red, autenticación y control que corren en segundo plano tienen un consumo racional pero importante a nivel de autenticación, ya que este proceso se realiza automáticamente cada dos horas para monitorear la red y poder acceder a las unidades respectivas dispuestas para cada área. 104 Para esta solución podemos evidenciar que la facilidad de tener el correo electrónico y la videoconferencia disponible en dispositivos móviles, facilitaría enormemente el trabajo de la gente ya que agiliza el tiempo de respuesta y acción sobre estos aplicativos independientemente de donde se encuentre. Otro de los servicios que más se utiliza es el del acceso a Internet por lo que a nivel de dispositivos móviles este tiene que ser controlado, como se lo hace a nivel de la red cableada, para lo cual es necesario tener en cuenta la planificación de listas de control de acceso, autenticación MAC, y otras formas de seguridad para la red inalámbrica ya que puede ser uno de los puntos más sensibles para la institución si no se lo controla a tiempo. 2.11.2 TRÁFICO GENERADO EN LA LAN DE QUITO Se analiza el tráfico generado en la red LAN a través de los puertos del switch de core para establecer el consumo del ancho de banda generado y revisar si el nivel de procesamiento de los equipos están dentro de los parámetros razonables para soportar la carga extra que generaría el servicio inalámbrico. Si realizamos el análisis comparativo que arrojan los gráficos de la Figura 2-25 y de la Figura 2-26; se puede observar que aunque el primero tiene un nivel de procesamiento más alto, los dos tienen un consumo bajo para la capacidad total de los mismos, así mismo su capacidad conjunta hace que no sea necesario realizar una potenciación del mismo a nivel de hardware o software, ya que cumplirá a cabalidad el número de transacciones y solicitudes que se pueden generar en un tiempo de respuesta adecuado. 105 Figura 2-25 Análisis de Tráfico del Switch de Core_ Nodo1 Tabla 2-18 Resumen de estadísticas del Switch de Core_Nodo1 106 Figura 2-26 Análisis de tráfico del Switch de Core_Nodo2 Tabla 2-19 Resumen de estadísticas del Switch de Core_Nodo2 107 2.11.3 PROTOCOLOS MÁS UTILIZADOS De acuerdo a los datos del semestre analizado que se puede observar en los Anexos F y G, los recursos que más consumo tienen son los procesos de acceso vía NCP (NetWare Core Protocol) el cual es usado para una variedad de tareas tales como: acceso a servidores, recursos como sincronización, así también la compartición de archivos dentro de la red. Seguido del protocolo que permite la comunicación con las bases de datos y la transferencia de datos en la intranet, LAN, WAN e incluso el Internet. En seguida estaría el consumo por parte al acceso de VPN’s que se tiene hacia otras instituciones financieras, desde la LAN de la institución. El Correo electrónico, la navegación, la transferencia de datos mediante FTP (File Transfer Protocol), serían los que siguen. En base a estos resultados, se confirma lo expuesto anteriormente sobre los servicios y las aplicaciones brindadas a través de la red interna a los funcionarios de la entidad. 2.12 REQUERIMIENTOS Y JUSTIFICACIÓN DE LA RED INALÁMBRICA El alcance del presente proyecto es proporcionar el servicio de red inalámbrica en la oficina principal Quito, para solventar el inconveniente de conexión a la red. Como antecedente se tiene que siendo un edificio antiguo y no haber contado con un diseño de cableado estructurado con un análisis de crecimiento apropiado para el desarrollo de la institución, el tener acceso a la red a venido siendo últimamente uno de los más grandes y costosos inconvenientes, ya que la institución no cuenta con personal para realizar labores de este tipo. Se ha constatado que los requerimientos con respecto al cableado, debido al cambio de áreas, ingreso de personal nuevo, reestructuración arquitectónica, ha venido a ser uno de los más demandantes, mismo que al tener que esperar porque se realice mediante contrataciones externas, se tarda entre uno y dos días laborables en reparar o generar nuevos puntos de red, siempre y cuando este el contrato vigente. Así mismo, si este no es el caso, el tiempo mínimo de espera asciende a un mes, lo que implica una pérdida de tiempo de producción efectivo bastante alta; ya que la reubicación y habilitación de un nuevo punto de red de 108 acuerdo con el pedido de cada área siempre es emergente al ser prioritario para el usuario final, generando así malestar. Por lo tanto, mediante este proyecto el inconveniente se puede solventar brindando al usuario una segunda opción de acceso a la red con las mismas credenciales y seguridades que brinda la red cableada. Adicionalmente, las salas de reuniones, salas de juntas, salas de videoconferencia y auditorios tienen la necesidad de contar con este servicio, ya que al no disponer en muchos de los casos tan solo un par de puntos de red en ellas, se evitaría la puesta en cascada de switches de 8 puertos temporales y/o routers de acceso inalámbrico, sin ninguna seguridad para la institución que actualmente brindan este servicio temporalmente en eventos públicos. Cabe indicar que por parte de los organismos de control a los que es sometida la institución, una de las observaciones obligatorias a ser cumplidas fue precisamente la correcta adecuación de equipos inalámbricos y de la estructura de acceso que posee la institución para brindar el acceso a la red con mayor seguridad, control y administración de la misma. Por otro lado, se puede rescatar como otra de las ventajas de llevar a cabo el proyecto, el poder incorporar de acuerdo con las nuevas tendencias los dispositivos inalámbricos personales, así como los institucionales. Para cumplir con los requerimientos inicialmente se había diseñado un esquema de solución redundante de manera local, pero durante el proyecto y de ver la ventaja que proporciona, la alta gerencia realizó el pedido de expandir esta solución a la matriz, donde las autoridades pasan la mayoría del tiempo, teniendo como base el mismo presupuesto; por lo que se optó por brindar el servicio en función de la alta disponibilidad y redundancia a nivel geográfico. Este cambio en la topología convirtió en puntos clave a los switches de Core de las oficinas mencionadas, así como también al enlace WAN establecido entre ellas, por lo cual es necesario instalar tarjetas controladoras inalámbricas que permiten centralizar la gestión y configuración de los puntos de acceso, para así proporcionar el acceso del personal, invitados, clientes, asesores y las mismas autoridades; desde cualquier ubicación que se encuentre, dentro del área de cobertura de interés para la institución, donde se mejore su productividad brindando una solución económica e idónea para la implementación de la red inalámbrica. 109 CAPÍTULO 3 3. DISEÑO E IMPLEMENTACION DE LA SOLUCIÓN PROPUESTA 3.1 ANTECEDENTES La institución financiera en su aspiración de buscar la integración de las comunicaciones, garantizando características de seguridad informática sin perder la de movilidad. Así como también gestionar y controlar los usuarios inalámbricos vinculados a la institución, los usuarios externos o invitados, con sus debidas restricciones. Ha dado paso al proyecto de la red inalámbrica planteado de acuerdo a los requerimientos y dimensionamientos realizados en el capítulo anterior. WRLSCORPIN WRLSCORPUS WRLSCORPPR WRLSCORPPD WRLSCORPAU PISO 20 QUITO eDirectory PISO 16 ACS RADIUS WRLSCORPIN WRLSCORPUS WRLSCORPPR WRLSCORPPD 10.20.22.27 PISO 10 WLC – WiSM2 VSS 10.20.2.50 RED WAN PISO 3 WLC – WiSM2 VSS 10.30.2.17 WRLSCORPIN WRLSCORPUS WRLSCORPPR WRLSCORPPD WRLSCORPAU PISO 2 GUAYAQUIL PISO 1 Figura 3-1 Diseño de Red WLAN WRLSCORPIN WRLSCORPUS WRLSCORPPR WRLSCORPPD 110 Se puede apreciar la definición de la arquitectura lógica y física de la solución resumidamente en la Figura 3-1 y el detalle de los equipos necesarios en la Tabla 3-2; donde se puede observar la distribución de los puntos de acceso entre los pisos brindando una cobertura superior e inferior a ellos, pero de prioridad en el piso donde se encuentran. Al tener una distribución geográfica se puede apreciar que la sincronización y la alta disponibilidad de las controladoras inalámbricas que formaran parte de los swiches de core de la institución, dependerá de la disponibilidad del enlace WAN entre la ciudad de Quito y Guayaquil. Además, se aprecia que como un método de autenticación para la seguridad de la red se enlazará un Radius al directorio (eDirectory) de la institución. Esté cambio en el diseño permite abaratar los costos y mantener operativa la red, dando así cumplimiento a la solicitud de las autoridades de mantener la movilidad de sus equipos tanto en Quito como Guayaquil. Un resumen de los beneficios que otorga el diseño se detalla en la Tabla 3-1. Características del Diseño Alta Se proporciona a la infraestructura el funcionamiento sin Disponibilidad interrupción, ya sea a nivel de red, almacenamiento y compartición de información. Redundancia Se proporciona a la infraestructura la tolerancia a fallas, por lo que se deben considerar equipos en esquema de backup y clúster a nivel de servicios. Escalabilidad Se proporciona a la infraestructura la capacidad de adaptación al crecimiento continuo a nivel particular y regional. Integridad Se presenta como garantía de que el contenido viaje sin alteración, perdida o interrupciones entre el emisor y el receptor. Tabla 3-1 Criterios de Diseño Generales 111 Para evitar errores en los cálculos de ancho de banda30 y cantidad de equipos a usar, se realizó previamente un site survey pasivo y activo, ya que proveen información de lo que ocurre con el espacio de radio frecuencia alrededor de las instalaciones, y con estos datos se da una mejor ubicación y configuración de los puntos de acceso inalámbrico. Así mismo, se planteó como alcance para una siguiente etapa la conexión con las sucursales, por lo que los requerimientos de la infraestructura se dimensionaron para solventar los cambios necesarios en esta etapa futura ya que deben ser de bajo costo e impacto. Equipos mínimos necesarios Controladoras para Cantidad y Justificación adaptación al 2 para poder cumplir con la alta switch de Core CISCO 6509 disponibilidad y redundancia. Puntos de Acceso para interiores con Al menos dos por piso para asegurar cobertura, que debe confirmarse con soporte 802.11n y posteriores site survey. Antenas para los AP Deben manejar las dos bandas de frecuencia soportadas por el estándar 2.4 GHz y 5 GHz Tabla 3-2 Requerimientos de Equipos Mínimos Necesarios 3.2 CONSIDERACIONES PARA EL DISEÑO 3.2.1 DETERMINACIÓN DE USUARIOS BENEFICIARIOS DE ESTE SERVICIO La cantidad de usuarios que van a utilizar los servicios prestados por la WLAN es de 30 carácter considerable, estos en realidad Entiéndase para el efecto como capacidad de canal no son estáticos varían 112 constantemente, por lo que se debe realizar una aproximación y basarnos en el crecimiento del personal en base a datos proporcionados por la institución, este detalle se observa en la Tabla 3-3. Como base para este dimensionamiento se tomó el análisis de la red actual alámbrica. En los últimos meses debido a varios cambios en el edificio se han tenido que reacomodar espacios, incrementado el número de personas por piso, por lo que, el número de puntos de red ha venido variando constantemente. Primero determinaremos el incremento de personal en los últimos años para el perfil de crecimiento, en proyección a los futuros 5 años. CANTIDAD DE EMPLEADOS EN LOS DIFERENTES PERIODOS DE LA INSTITUCIÓN AÑO UIO GYE SUC TOTAL Datos entregados por la institución. Datos Actuales Datos Proyectados 2009 306 300 122 728 2010 322 300 125 747 2011 355 302 85 742 2012 350 352 67 769 2013 495 340 125 960 2014 635 557 177 1369 2015 670 588 187 1444 2016 707 620 197 1523 2017 745 654 208 1607 2018 786 690 219 1695 2019 830 728 231 1788 2020 875 768 244 1887 Tabla 3-3 Períodos de Crecimiento del Personal ଵ ܲ ݁ݐ݊݁ݏ݁ݎቀቁ ݐ݊݁݅݉݅ܿ݁ݎܿܽݏܽݐൌ ൬ ൰ െͳ ܲܽ݀ܽݏ ݈ܽݑ݊ܽ݅݀݁݉ݎݐ݊݁݅݉݅ܿ݁ݎܿܽݏܽݐൌ ܶܽݐ݊݁݅݉݅ܿ݁ݎܥ݁݀ܽݏ ݊ݏ݀݅ݎ݁ 113 Proyección Estimada De Crecimiento de Personal 2000,0 1800,0 1600,0 1400,0 1200,0 1000,0 SUC 800,0 GYE 600,0 UIO 400,0 200,0 0,0 Figura 3-2 Proyección Crecimiento del Personal 3.2.2 APLICACIONES QUE VAN A CIRCULAR POR LA RED INALÁMBRICA La red inalámbrica tiene como objetivo brindar los mismos beneficios que brinda la red LAN cableada por lo que los servicios detallados en el capítulo anterior estarán disponibles en esta red. Según los datos arrojados en el análisis de tráfico las aplicaciones que se utilizarían más son correo electrónico, salida de acceso a Internet con proxy, control remoto y video conferencia. 3.2.3 ANCHO DE BANDA REQUERIDO 3.2.3.1 Correo Electrónico Para dimensionar el consumo del AB para el correo electrónico, basándome en que por medio de este servicio está permitido enviar texto plano, archivos en formato PDF, OFFICE, imágenes, etc. limitados a los 8 MB. Ya que todos los usuarios tienen instalados los mismos aplicativos estandarizando versiones, esto nos ayuda a sacar un promedio de archivo enviado por correo 114 electrónico para lo cual me baso en mi casilla personal de correo institucional adquiriendo información que se encuentra detallada en la Tabla 3-4, sobre el tamaño de archivos PDF de escaneo, de memorandos, informes técnicos, contratos, que son los documentos que más circulan. Además, en el histórico del correo sacamos unas estadísticas para calcular cuánto nos consume por mes en los diferentes períodos del año por lo que podemos apreciar en la Figura 3-5 el compendio de los meses entre el año 2013 y 2014 en donde se evidencia el crecimiento del uso de este servicio lo cual se especifica en la Figura 3-3 correspondiente al análisis del año 2013 y en la Figura 3-4 el análisis respectivo del año 2014. Documento Min Max 117 KB 3853 KB Word 55 KB 90 KB Excel 1008 KB 1400 KB Power Point 541 KB 4511 KB Project 77 KB 956 KB PDF 291 KB 716 KB Imagen 3 KB 17 KB Mail de respuesta 2092 KB 11543 KB Total 298,85 KB 1649 KB Promedio 973,925 KB Promedio total Tabla 3-4 Tamaños Promedio de un Correo Electrónico Figura 3-3 Ancho de Banda e-mail año 2013 115 2013 184,3176471 AGOSTO Total JULIO 86,30232558 JUNIO 241,6470588 MAYO 167,9302326 ABRIL 152,9130435 MARZO 96,78787879 ENERO 192 67,74074074 DICIEMBRE FEBRERO 50,83333333 NOVIEMBRE OCTUBRE JULIO 84 231,4 KBYTES HISTORIAL DE CONSUMO DE CORREO ELECTRÓNICO 1022,026316 Figura 3-4 Ancho de Banda e-mail año 2014 ANCHO DE BANDA 2014 Figura 3-5 Historial de Consumo de e-mail Como podemos apreciar el consumo de ancho de banda por parte del correo electrónico empresarial es considerable debido al uso en crecimiento que se ha venido dando en la Figura 3-5, Figura 3-3 y Figura 3-4 se evidencia este consumo basado en la casilla de correo electrónico personal donde además de demostrar 116 que no es periódico el crecimiento es evidente y se mantiene al alza debido a las facilidades que se ofrece para compartir información a través de este servicio. Para el cálculo del tamaño del correo a través de la red, se debe considerar el encapsulamiento de las capas que atraviesa. [1] Tamaño =Aplicación+TCP+IP+Subcapa MAC Consideraremos el peor caso, enviar varios archivos de las diferentes características. ܶܽ݉ܽÓ ൌ ͻ͵ͻʹͷܾ ͳ͵ݏ݁ݐݕ ͶͲܾ ݏ݁ݐݕ ʹͲܾ ݏ݁ݐݕ ͵Ͷܾ ݏ݁ݐݕൌ ͻͶͲͳͻܾݏ݁ݐݕ ܤܣൌ ܽ݉ܽݐÓ ൈ ͳ݄ ͺܾ݅ݏ݁ݎݎܿ݊ ݏ݁ݐ ൈ ൈ ͳ݄ܽݎ ͵ͲͲݏ ͳܾ݁ݐݕ Basándome en el buzón de correo he recibido un total de 10 correos que ocupan el canal en una hora. ܤܣൌ ͻͶǡͲʹ ݏ݁ݐݕܾܭൈ ͺܾ݅ݏ݁ݎݎܿͲͳ ݏݐ ͳ݄ ൈ ൈ ൌ ʹͳǤͶݏܾܭ ͳܾ݁ݐݕ ͳ݄ܽݎ ͵ͲͲݏ Considerando que en el edificio existen 140 laptops asignadas y considerando el peor escenario, ya que todos poseen un correo electrónico que se crea al momento del ingreso como miembro de la entidad financiera, el total del consumo de AB será: ܤܣெି ൌ ʹͳǤͶ ݏܾܭൈ ͳͶͲ ൌ ͵ǤͲͻݏܾܯ Considerando que en el edificio existen 107 usuarios autorizados a usar equipos móviles y considerando el peor escenario ya que todos poseen un correo electrónico que se crea al momento del ingreso como miembro de la entidad financiera, el total del consumo de AB será: 31 Valor tomado del promedio total de un correo electrónico, basado en la casilla personal. 117 ܤܣெିெ ൌ ʹͳǤͶ ݏܾܭൈ ͳͲ ൌ ʹǤ͵ͳݏܾܯ ܤܣெ ൌ ܤܣெି ܤܣெିெ ܤܣெ ൌ ͵ǤͲͻ ݏܾܯ ʹǤ͵ͳ ݏܾܯൌ ͷǤͶݏܾܯ 3.2.3.2 Internet La navegación para todo funcionario excepto autoridades es a través de un proxy que controla la navegación con políticas de acceso las cuales limitan la navegación a varios sitios web. Para análisis del tráfico de este consumo, en la red inalámbrica se ha establecido que se deben aplicar las mismas políticas para los usuarios que no sean asignados a la red de autoridades que será la única que maneje un esquema abierto hacia el Internet. Las páginas visitadas con frecuencia se toman del firewall de la empresa el tamaño promedio es de 576.258 Kbps con un tiempo de descarga promedio de 20 segundos. ܤܣ௪ ൌ ͳ ݃ͺܾ݅ݏݐ ͷǤʹͷͺ ݏܾܭൈ ൈ ൈ ͳͶͲ ൌ ͵ʹǤʹͲݏܾܯ ʹͲ݁ݐݕܤͳ ݃݁ݏ ͳ݃ Según las aplicaciones que están permitidas para consumo como Skype se sabe que consume de 24 a 128 Kbps en una llamada [9]. Si promediamos este consumo, en el peor de los casos serían 140 llamadas al mismo tiempo. ܤܣௌ௬ ൌ ͳʹͺ ݏܾܭൈ ͳͶͲ ൌ ͳǤͻʹͲݏܾܯ 3.2.3.3 Video Conferencia De las 140 Laptops existentes en la empresa, 50 son utilizadas para video conferencia y disponen del cliente Polycom Real Presence Desktop for Windows. Las especificaciones del producto indican que para audio utiliza los siguientes códec: G711U, G711A, G719, G722.1, G722.1C; para video: H.264, H264 SVC, 118 H264 High Profile, H261/H.263+ además de trabajar con una calidad de hasta 720p / 30fps para codificación y decodificación de video. [10] Polycom es utilizado no solo como solución de video conferencia sino como parte de la solución de colaboración (compartición de contenido) motivo por el cual se necesita que el cliente Real Presence sea configurado a su máxima calidad de video, dicha calidad de video (720p/30fps) utiliza un ancho de banda de hasta 921 Kbps incluido cabeceras.32 Suponiendo que las 50 personas que cuentan con el aplicativo se conecten al mismo tiempo utilizando recursos de voz, video y colaboración nos dará el ancho de banda máximo de consumo. ܤܣௗ ൌ ͻʹͳ ݏܾܭൈ ͷͲ ൌ ͶǤͲͷͲݏܾܯ 3.2.3.4 Base de Datos Se ha considerado que las bases de datos que tienen más uso son la correspondiente a PCIE’s y el sistema Cobis, las cuales transportan mayormente texto encriptado, el tamaño promedio de consulta es de 160 Kbps con un tiempo de 30 segundos. ܤܣ ൌ ͳͶͲ כ ͳͲ ݊×݅ܿܿܽݏ݊ܽݎݐͳ ݏ݁ݐݕܤܭͺݏݐܾ݅ܭ כ כ ൌ ͷǤͻ͵ݏܾܯ ͳܦܦܤ ͵Ͳ݃݁ݏ ͳ݁ݐݕܾܭ ்ܤܣൌ ܤܣି ܤܣ௪ ܤܣௗ ܤܣ௦௬ ܤܣ ்ܤܣൌ ͷǤͶ ݏܾܯ ͵ʹǤʹ ݏܾܯ ͶǤͷͲ ݏܾܯ ͳǤͻʹ ݏܾܯ ͷǤͻ͵ ൌ ͳͲͺǤͲ͵ݏܾܯ 3.2.4 ÁREAS DE COBERTURA Uno de los requerimientos iniciales y primordiales era tener la movilidad adecuada dentro de sus oficinas, y tener la mejor calidad de señal para las comunicaciones. 32 http://community.polycom.com/t5/Video-Endpoints/H-264-High-Profile-Bandwidth-Calculator/tdp/27410 119 Por lo que se considera la atenuación de la señal debido al tipo de obstáculos que se tienen en el medio ya que esto afecta la cobertura. El debilitamiento de la señal se debe en gran parte a las propiedades del medio que atraviesa la onda. La tabla siguiente muestra los niveles de atenuación para diferentes materiales: [11] Objeto entre la señal dB Cuerpo Humano 3 Cubículos 3a5 Ventana, Pared de bloque o ladrillo 2 Pared de ladrillo junto a puerta de metal 3 Ventana de cristal no revestido 2 Ventana de cristal claro 2 Ventana de oficina 3 Pared de placas de yeso 3 Mármol 5 Pared de vidrio con marco metálico 6 Pared de metal incrustado en construcción 6 Ventana de vidrio oscuro 8 Pared de bloque 4 Pared divisora de madera 5 Pared divisor de metal 6 Pared de oficina 6 120 Pared de ladrillo 2a8 Pared de concreto 10 a 15 Puerta de madera 3 Puerta de metal 6 Puerta de metal en pared divisora 6 Puerta metálica revestida como de ascensor 12 a 13 Tabla 3-5 Tabla de Atenuación por Obstáculos La infraestructura previa que posee la institución con equipos de la familia 6500 que conforman el Core de sus comunicaciones tanto en Quito como en Guayaquil, dio las facilidades para la instalación de dos controladoras de equipos inalámbricos, mismas que permiten centralizar la gestión y configuración de los puntos de acceso. Cada una de las controladoras permite la administración de hasta 100 dispositivos, y se configuran en cada ciudad de manera independiente, pero con los mismos parámetros que permitan la movilidad de los usuarios. Se distribuyeron trece puntos de acceso de la siguiente manera: ocho equipos para la ciudad de Quito, teniendo tres instalados en el piso 20 para la gerencia, dos se instalaron en el piso 16 para las áreas de Cartera y Supervisión, y finalmente tres equipos en el piso 10, en el área de Informática. En Guayaquil, se instaló tres equipos para Gerencia e Informática en el piso 2, un equipo en Cartera y Supervisión en el piso 1, y un equipo en la sala de reuniones del piso 3; teniendo un total de cinco en esta ciudad. Se configuraron cinco redes de acceso inalámbricos de acuerdo al tipo de usuarios de la red, es decir una red para “Autoridades”, una red para “Usuarios Internos”, una conexión para los dispositivos “PDAS” utilizados por supervisión y cartera, una red para usuarios “Invitados”, y una red para “Proyectos”. 121 3.2.5 SITE SURVEY En base a los planos arquitectónicos de las plantas del edificio y de un programa33 apropiado para realizar un site survey se evaluó el lugar dónde deben ubicarse los AP dentro del edificio. Se realizó la prueba de cobertura, en los mapas que se muestran a continuación se puede observar la intensidad de la señal, los puntos de mejor colocación y las áreas que cubren en cada uno de los pisos de acuerdo a su estructura y diseño interior respectivamente. 3.2.5.1 Piso 10 Como muestra la Figura 3-6 el piso 10 contiene el Data Center el cual dificulta la cobertura en el lado norte del edificio por su estructura sólida y ubicación; en este piso existen 75 usuarios. Y hay una sala de reuniones en el lado sur con una capacidad para 10 personas. En la Figura 3-7 correspondiente al site survey inicial con la herramienta de CISCO WCS (Wireless Control System) del piso 10 del edificio, podemos ver que será necesario tres puntos de acceso para dar cobertura en sus áreas. Los colores a medida que se obscurecen indican que la señal se va debilitando y los campos en blanco son los huecos donde no hay cobertura de la señal. Figura 3-6 Plano Piso 10 33 Se utilizó para el site survey pasivo el programa de CISCO Wireless Control System y para el site survey activo la herramienta Ekahau HeatMapper 122 Figura 3-7 Solución Inalámbrica Piso 10 En la Figura 3-8 podemos ver el mapa para el site survey activo en la banda de los 2.4 GHz y en la Figura 3-9 para la banda de los 5.8 GHz. Estos mapas muestran la cobertura de los APs colocados según el site survey pasivo previo, en el lado izquierdo nos muestra las redes inalámbricas que se encuentran alrededor y nos coloca en verde la zona de cobertura más fuerte a medida que baja la intensidad del color tornándose desde un verde más claro hasta un amarillo que indica que la señal es débil. De acuerdo a lo señalado por el gráfico en las dos bandas tenemos una buena cobertura. Figura 3-8 Site Survey Piso 10 (2.4 GHz) 123 Figura 3-9 Site Survey Piso 10 (5.8 GHz) 3.2.5.2 Piso 16 Tiene como ventaja que presenta menos obstáculos para la cobertura ya que sus cubículos son de MDF34 y se encuentran divididos a media altura, lo cual facilita el diseño de la red al no tener mayor dificultad en atenuación de la señal. En este piso hay 50 usuarios de los cuales los que requieren cobertura total se ubican en el lado centro-norte del edificio donde se encuentra ubicada el área de trabajo que cuenta con los PDA’s35 asignados para sus labores de supervisión. En la Figura 3-11 el site survey inicial del piso 16 del edificio, indicó que con tan solo dos puntos de acceso se puede dar cobertura a todo el piso. Los colores a medida que se obscurecen indican que la señal se va debilitando y los campos en blanco son los huecos donde no hay cobertura de la señal y como se aprecia en el gráfico estos corresponden a los lugares que no son de interés y no importaría que queden sin cobertura ya que es el área de las gradas y de los ascensores. 34 MDF sigla en inglés de Medium Density Fibreboard, es un producto hecho en base a fibras de madera pero de una densidad más baja por lo que la atenuación es menor que en la madera. 35 PDA del inglés personal digital assistant, asistente digital personal, computadora de bolsillo, organizador personal o agenda electrónica de bolsillo 124 Figura 3-10 Plano Piso 16 Figura 3-11 Solución Inalámbrica Piso 16 Una vez colocados los AP se realiza el site survey activo tanto en la banda de los 2.4 GHz como muestra la Figura 3-12 y para la banda de los 5.8 GHz la Figura 3-13. Como se puede apreciar en los gráficos la intensidad de la señal para los dos casos es bastante buena por lo que en este piso se deja colocado los dos APs y los servicios del personal de supervisión se desarrollan eficazmente. 125 Figura 3-12 Site Survey Piso 16 (2.4 GHz) Figura 3-13 Site Survey Piso 16 (5.8 GHz) 3.2.5.3 Piso 20 El requerimiento para el piso 20 es que debe tener total cobertura ya que se tienen las salas de reuniones para la Presidencia, Directorio y Gerencia General las cuales requieren una conectividad inmediata y continua en sus comunicaciones mediante videoconferencia con las sucursales, así mismo con los dispositivos portátiles que se conectan a través de la red inalámbrica que al momento no es de 126 carácter empresarial sino doméstico; allí se tienen 15 usuarios permanentes y las salas de reuniones pueden llegar a estar usadas hasta por 25 personas, incluyendo reuniones frecuentes con asesores, autoridades ministeriales, etc. Sus entre salas y oficinas son de bloque dándonos una atenuación considerable. Figura 3-14 Plano Piso 20 Figura 3-15 Solución Inalámbrica Piso 20 El site survey pasivo desarrollado para este piso se muestra en la Figura 3-15, como se puede observar para dar cobertura al piso es necesario tan solo dos access point. Pero se colocaron tres debido a que si alguno llegase a fallar el servicio se vería afectado y al ser un piso donde la prioridad de brindar el mismo es crítico ya 127 que prefieren trabajar por la red inalámbrica antes que por la cableada por la facilidad de movimiento de las autoridades, por esta razón se garantiza el servicio aumentando uno más. Figura 3-16 Site Survey Piso 20 (2.4 GHz) La figura Figura 3-16 muestra el site survey activo para la banda de los 2.4 GHz mientras que la Figura 3-17 es sobre la banda de los 5.8 GHz, como se puede observar existe una cobertura e intensidad de la señal bastante fuerte garantizando el servicio a lo largo del piso, ninguna de las áreas se queda sin cobertura permitiendo asi la conexión rápida a cualquier aplicativo. En la banda de los 2.4 GHz existe más interferencias debido a las redes inalámbricas aledañas y a los mismos equipos acces point de este piso que son de carácter domestico y no empresarial los cuales serán reemplazados por esta solución. En la banda de los 5.8 GHz se tienen menos interferencias y la estabilidad de la señal es mas regular por lo que las ondas del servicio se esparcen de mejor manera a lo largo del piso y de cada área destinandose un AP para el centro, sur y norte del piso respectivamente. 128 Figura 3-17 Site Survey Piso 20 (5.8 GHz) Para la realización del site survey definitivo se utilizó la herramienta Ekahau Heat Mapper que es sencilla de utilizar y proporciona una señalización completa en el mapa del edificio, de la cobertura que se tiene con las redes Wi-Fi, lo que nos permite saber la intensidad de la señal en cada zona. A pesar de ser una herramienta de libre acceso es de una calidad excelente que nos brinda con seguridad los datos puntuales de reconocimiento de una red inalámbrica como son cobertura de la señal sobre el mapa, localiza todos los AP, detecta configuraciones de seguridad de redes abiertas, soporta protocolo 802.11n tanto como 802.11a/b/g. El estudio se realizó en una computadora portátil y se ejecuta en tiempo real mientras se recorre el piso del edificio donde se colocaron los AP. Como muestran las figuras (Figura 3-8, Figura 3-9, Figura 3-12, Figura 3-13, Figura 3-16 y Figura 3-17) anteriores en la banda de los 2.4 GHz se presentan demasiadas interferencias lo que degrada el servicio en esta frecuencia, debido a que los equipos inalámbricos como teléfonos de base móvil, hornos microondas, celulares, laptops, micrófonos inalámbricos, redes de los edificios y oficinas aledañas impiden tener una señal de calidad en esta banda de frecuencia sobre todo para los servicios demandantes como la videoconferencia. Por otro lado en la banda de los 5.8 GHz este tipo de interferencias se ven solventados y la red trabaja en óptimas condiciones, cumpliendo con los 129 requerimientos y la calidad de servicio esperada cubriendo las zonas deseadas a totalidad. Por lo que es recomendable configurar los equipos a nivel de tarjeta de red para que trabaje en la banda de 5.8 GHz preferiblemente. Con estas configuraciones se procedió a validar las comunicaciones de video, teniendo excelente calidad y movilidad. A modo de resumen se muestra la Tabla 3-6. Elemento de análisis Cantidad de APs Velocidad de Conexión Rango de Frecuencias Antenas Observación Se necesitan en total 8 para la ciudad de Quito de acuerdo a la necesidad de cada piso de cobertura. Se debe garantizar la conexión a una velocidad mínima de 512 Mbps para una videoconferencia de calidad aceptable. En la banda de los 2.4 GHz existe mucha interrupción por lo que se recomienda priorizar el uso de los 5.8 GHz Deberán ser dipolo y capaz de ser orientadas según la necesidad de cobertura. Tabla 3-6 Análisis del Site Survey 3.3 CONEXIÓN DE LA RED WLAN CON LA CABLEADA La conexión hacia la red cableada se realiza a través de los switches de acceso en los diferentes pisos de marca CISCO modelo 3750. Los AP se conectan a los switches que entre sus características proporcionan alimentación PoE (Power Over Ethernet) aparte cuentan con alimentación eléctrica independiente. Por seguridad ya que algunos de ellos están a más de 100 m del switch lo que degrada el servicio de alimentación por el cable UTP, por lo cual se coloca los inyectores de poder para prever esto, además de cumplir los estándares de cableado estructurado, y a través de los enlaces de fibra que poseen los switches de acceso hacia el Core donde la controladora los administra. 3.3.1 EQUIPAMIENTO NECESARIO 3.3.1.1 Puntos de Acceso Cada AP deberá ser de interiores, poseer cuatro (4) antenas externas por cada dispositivo que soporten 2.4 GHz y 5 GHz simultáneamente. 130 Deberán ser modulares, de manera que soporte futuros estándares en redes inalámbricas, con capacidad de ser administrados por la controladora inalámbrica incluida. Estos deben proveer información histórica y en tiempo real sobre la interferencia de radio frecuencia que impacta la red. Deberán soportar los siguientes protocolos de interconexión de datos: · IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.1x, IEEE 802.11i, IEEE 802.11h, con capacidad de soportar 802.11ac. Los equipos deberán contar con al menos 3 canales no sobrelapados en 2.4 GHz y 21 canales no sobrelapados en 5 GHz para 802.11n en 20 MHz. Deberán soportar los estándares de seguridad: · 802.11i, Wi-Fi Protected Access 2 (WPA2), WPA, 802.1X Deberán soportar estándares de cifrado avanzado: · Advanced Encryption Estándar (AES), Temporal Key Integrity Protocol (TKIP). Tipos de EAP: Protocolo de autenticación extensible-Transport Layer Security (EAP-TLS), EAPTLS tunelizado (TTLS) o desafío mutuo de Microsoft Authentication Protocol versión 2 (MSCHAPv2), EAP protegido (PEAP) v0 o EAP-MSCHAPv2, Protocolo de autenticación extensible-Flexible de autenticación a través de Secure Tunneling (EAP-FAST), PEAPv1 o EAP-Tarjeta de testigo genérico (GTC), EAP-Subscriber Identity Module (SIM). Características que deben cumplir los APs Frecuencias Manejadas 2.4 GHz y 5.8 GHz Simultáneamente Estándares a soportar Inferiores y posteriores a 802.11n Interfaces que debe poseer 1 interfaz de red 10/100/1000 BASE-T autosensing (RJ45) 1 puerto de consola (RJ45) 131 4 interfaces de tipo N para las antenas Alimentación de energía PoE y alimentación AC. SSID Soportar varios SSID por VLAN Modo de trabajo Monitoreo, Administrable, Sniffer, Bridge, capacidad autónoma. Protocolos mínimos IEEE 802.11n preparado para soportar soportados 802.11ac 802.11i, Wi-Fi, WPA2, 802.1x, AES, MD5, TKIP EAP,EAP-TLS, MSCHAPV2,PEAP Tabla 3-7 Características para Seleccionar AP 3.3.1.2 Para las Antenas Características generales: - Tipo de antena: Dual-band dipolo - Rango de Frecuencia: 2400 a 2500 MHz y 5150 a 5850 MHz - Impedancia nominal de entrada: 50 Ohm - VSWR36: menos de 2:1 - Ganancia para 2.4 GHz: >= 2 dBi - Ganancia para 5 GHz: >= 4 dBi - Conector proporcionado: RP-TNC conector - Temperatura de operación: -20°C a 60°C - Operación en sitios cubiertos - Las antenas deberán ser compatibles con el modelo de AP seleccionado 36 Voltage Standing Wave Ratio: se entiende como la medida de la energía enviada por el transmisor que es reflejada por el sistema de transmisión y vuelve al transmisor 132 3.3.1.3 Para la Controladora Inalámbrica Las controladoras deberán ser 100% compatible con la infraestructura actual disponible, para integrarse completamente con los Switches de Core CISCO Catalyst 6509 que posee la institución. En cuanto al rendimiento debe cumplir con: · Throughput por controladora mayor o igual a 20 Gbps · Throughput de tráfico cifrado por controladora mayor o igual a 20 Gbps · Conexión sin bloqueos para redes 802.11n · Conexión al Switch de Core mayor o igual a 20 Gbps Tener puertos para administración: · 1 o más puertos de consola USB o mini-USB · 1 o más puertos de consola RJ-45 · 1 o más puertos de servicio Los Puntos de Acceso a manejar con la licencia inicial por controladora deberán ser al menos 200. La controladora deberá soportar al menos 1500 clientes37. En cuanto a la Seguridad: Deberá soportar el estándar CAWAP para control y aprovisionamiento de puntos de acceso. Deberá soportar el cifrado DTLS para asegurar el manejo de tráfico seguro entre el punto de acceso y la controladora Deberá permitir la creación de túneles SSID separados. Deberá soportar los siguientes estándares inalámbricos: 37 • 802.11a • 802.11b • 802.11g • 802.11d • 802.11e Al contemplar por lo menos una solución con crecimiento para 5 años se debe considerar el mínimo de conexiones para los empleados actuales como muestra la Tabla 2-1 Número de Empleados de la Entidad 133 • 802.11h • 802.11n • 802.11u • WMM Deberá soportar los siguientes estándares de red: • IEEE 802.3 10BASE-T • IEEE 802.3u • 100BASE-TX • 1000BASE-T • 1000BASE-SX • 1000-BASE-LH • IEEE 802.1Q Vtagging • IEEE 802.1AX Link Aggregation Deberá soportar Calidad de Servicio: • QoS por usuario • QoS basado en VLANs • Perfiles de QoS Deberá manejar los siguientes RFC: • RFC 768 UDP • RFC 791 IP • RFC 2460 IPv6 (pass through Bridging mode only) • RFC 792 ICMP • RFC 793 TCP • RFC 826 ARP • RFC 1122 Requirements for Internet Hosts • RFC 1519 CIDR • RFC 1542 BOOTP • RFC 2131 DHCP • RFC 5415 CAPWAP Protocol Specification Debe soportar los siguientes estándares de seguridad: • WPA 134 • IEEE 802.11i (WPA2, RSN) • RFC 1321 MD5 • RFC 2104 HMAC • RFC 2246 TLS Protocol Version 1.0 • RFC 2403 HMAC-MD5-96 within ESP and AH • RFC 2404 HMAC-SHA-1-96 within ESP and AH • RFC 3280 Internet X.509 PKI Certificate and CRL Profile • RFC 3686 Using AES Counter Mode with IPsec ESP • RFC 4347 Datagram Transport Layer Security • RFC 4346 TLS Protocol Version 1.1 Debe soportar los siguientes estándares de cifrado: • WEP and TKIP-MIC: RC4 40, 104 y 128 bits (llaves estáticas y compartidas) • AES: CBC, CCM, CCMP • DES: DES-CBC, 3DES • SSL y TLS: RC4 128-bit, RSA 1024- y 2048-bit • DTLS: AES-CBC • IPsec: DES-CBC, 3DES, AES-CBC Deberá soportar los siguientes estándares de Autenticación: • IEEE 802.1X • RFC 2548 Microsoft Vendor-Specific RADIUS Attributes • RFC 2716 PPP EAP-TLS • RFC 2865 RADIUS Authentication • RFC 2866 RADIUS Accounting • RFC 2867 RADIUS Tunnel Accounting • RFC 3576 Dynamic Authorization Extensions to RADIUS • RFC 3579 RADIUS Soporte para EAP • RFC 3580 IEEE 802.1X RADIUS • RFC 3748 EAP • Autenticación Web Deberá soportar los siguientes estándares de Administración: 135 • SNMP v1, v2c, v3 • RFC 854 Telnet • RFC 1156 MIB • RFC 1157 SNMP • RFC 1213 SNMP MIB II • RFC 1350 TFTP • RFC 1643 Ethernet MIB • RFC 2030 SNTP • RFC 2616 HTTP • RFC 2819 RMON MIB • RFC 2863 Interfaces Group MIB • RFC 3164 Syslog • RFC 3414 User-Based Security Model (USM) for SNMPv3 • RFC 3418 MIB for SNMP • RFC 3636 Definitions of Managed Objects for IEEE 802.3 MAUs Deberá contar con las siguientes interfaces de administración: • Basadas en Web: HTTP/HTTPS • CLI: Telnet, SSH, Puerto Serial Debe disponer de un sistema que bloquee amenazas conocidas, tener capacidad de ser integrado con sistemas de control de acceso, soportar autenticación local EAP contra sistemas de bases de MIB para SNMP. Manejo seguro: • HTTPS • DTLS • ACLs Todos estos requerimientos se hacen en base a lo solicitado que sea de marca CISCO para que se adapte sin problemas a la infraestructura con la que cuenta la institución como se detalla en la sección de parte activa de la red. Considerando esto se toma como base los estándares actuales y las características de última tecnología aplicable a una red inalámbrica empresarial recomendado por CISCO. 136 Dispositivo Consideraciones necesario Número de El diseño debe tener suficientes APs que provean una buena APs cobertura a sus clientes, con una locación centralizada. CISCO recomienda que por AP se conecten al menos 20 dispositivos que transfieran los datos al mismo tiempo con 7 que ocupen G.711 u 8 con G.729. Colocación Los APs deben ser colocados de manera centralizada en el del AP área que se espera proveer el acceso. Los APs que van en salas de videoconferencias deben cumplir con los picos más altos de requerimientos. Energía de los Se pueden conectar directamente a la toma normal de corriente, pero preferiblemente es usar PoE para su conexión APs mediante cableado estructurado. Número de El número de WLC depende del nivel de redundancia que se Controladoras elige basado en la necesidad de la empresa. El número de controladoras dependerá también del número de APs que deben ser soportados para lo cual se elige el modelo adecuado. Colocación de Las controladoras por seguridad deben ser colocadas en los la WLC lugares cerrados como un cuarto de equipos. Debido a la redundancia debería entrar en la capa de distribución de la empresa. Tabla 3-8 Consideraciones para la selección de los AP y WLC 3.3.2 IDENTIFICADORES SSID En función de los usuarios que se conectarán a los diferentes SSID se definieron cinco perfiles de acceso a la red de la institución. 137 3.3.2.1 WRLSCORPIN Perfil para usuarios invitados, con acceso a la navegación sin proxy de red. La seguridad de este perfil es a través de acceso web donde se le proporciona un usuario y clave para acceder a la red y tiene un tiempo de caducidad de default de un día. 3.3.2.2 WRLSCORPUS Perfil para usuarios internos de la red, con acceso a la navegación usando proxy de red. La seguridad de este perfil tiene autenticación de usuario mediante el directorio empresarial, para el cual se configura 802.1x, y PEAP-GTC en usuario final. Como parte de una solución de seguridad para complementar este control de acceso la institución cuenta con un servidor de autenticación CISCO ACS, el cual se comunica con el LDAP de eDirectory mediante RADIUS haciendo la integración. 3.3.2.3 WRLSCORPPR Perfil para usuarios que realizan pruebas de preproducción, con acceso a la navegación usando proxy de red. La seguridad de este perfil tiene autenticación web, y los usuarios son creados localmente en el WLC con límite de tiempo. 3.3.2.4 WRLSCORPPD Perfil para dispositivos PDAs, sin acceso a la navegación. La seguridad de este perfil tiene clave compartida utilizando WPA2, y control de seguridad por registro de dirección de MAC. 3.3.2.5 WRLSCORPAU Perfil con todos los privilegios de navegación para las autoridades de la institución. La seguridad de este perfil tiene clave compartida utilizando WPA2. Como requerimientos la red de acceso para los gerentes, directores y asesores tiene que encontrarse difundida en los puntos de acceso de gerencia, es decir en el piso 20 para la ciudad de Quito, y el área de gerencias en Guayaquil. Para conseguir este objetivo se crearon dos grupos de puntos de acceso, el primero de GERENCIA, en el cual se tiene acceso a todos los SSID y pertenecen a este los dispositivos del piso o área correspondiente; y, el segundo un grupo GENERAL, en 138 el cual están el resto de equipos y con acceso a todos los SSID excepto el de gerentes. 3.3.3 PLAN DE DIRECCIONAMIENTO IP El direccionamiento IP está segmentado de acuerdo al SSID como muestra la Tabla 3-9. Cada uno de estos asignará un segmento de direcciones IP correspondientes a una VLAN, las mismas que tendrán diferentes permisos de acceso a la red empresarial y hacia el internet de acuerdo a los privilegios del personal que se conectará a través de estos. SSID VLAN Nombre Subred IP Interfaz WRLSCORPIN 119 Invitados 10.20.119.0 10.20.119.254/24 WRLSCORPUS 77 Usuarios 10.20.77.0 10.20.77.254/24 WRLSCORPPR 78 Proyectos 10.20.78.0 10.20.78.254/24 WRLSCORPAU 79 Autoridades 10.20.79.0 10.20.79.254/24 WRLSCORPPD 80 PDAS 10.20.80.0 10.20.80.254/24 WRLSCORPMV 180 Móviles 10.20.81.0 10.20.81.254/24 Tabla 3-9 Taba de Direccionamiento IP por SSID 3.3.4 SEGURIDADES Uno de los objetivos planteados es el permitir el acceso a la red corporativa a usuarios y dispositivos finales autorizados, a través de las credenciales asignadas para el efecto. Así la probabilidad que los dispositivos que se conectan a la red se conviertan en un riesgo para la infraestructura e información de la institución, se minimiza. Por lo tanto todo dispositivo tendrá que ser registrado para la permanencia en la red y así poder controlar el acceso al servicio. Los usuarios internos tendrán que autenticarse con el servidor RADIUS o con sus credenciales propias de red. Los tipos de seguridad para cada SSID se resumen en la Tabla 3-10. 139 SSID VLAN Nombre Difundida Seguridad WRLSCORPIN 119 Invitados SI WRLSCORPUS 77 Usuarios SI WRLSCORPPR 78 Proyectos NO WRLSCORPAU 79 Autoridades SI WRLSCORPPD 80 PDAS SI WRLSCORPMV 180 Móviles SI Autenticación Web, ACL, Tiempo de Conexión de un día WPA-2, PSK 256, Autenticación 802.1X Autenticación Web, ACL, Tiempo de Conexión de máximo 1 semana Autenticación PSK256,WPA-2, solo piso 20 UIO y el 1 en GYE, Autenticación PSK Autenticación PSK-256, WPA-2, Autenticación por MAC. Autenticación PSK PSK256,WPA2,ACL,Autenticación por MAC Tabla 3-10 Tabla de Seguridades por SSID 3.3.4.1 Acceso a la Red Corporativa por Usuarios y Dispositivos Finales El acceso a la red corporativa de la entidad se realiza de acuerdo al gráfico descrito en la Figura 3-18, el cual indica que los dispositivos inalámbricos tendrán acceso a través de los diferentes Access Point colocados en los pisos. Para el acceso de los usuarios a la red y aplicativos de la entidad financiera los usuarios deberán autenticarse a través del CISCO Secure ACS38 (Servidor UIOSRV32). Los usuarios exclusivamente autorizados tienen sus credenciales asignadas en el eDirectory de la entidad mismo que envía al ACS la aceptación de las credenciales y el ACS autoriza el ingreso a la red, esta metodología reduce el riesgo de accesos indebidos de dispositivos a la infraestructura de TI e información de la entidad financiera. 38 ACS: CISCO Secure Access Control Server: Servidor de autenticación y control de acceso a la red. 140 Figura 3-18 Arquitectura RADIUS Se basa en el uso del protocolo estándar 802.1x, integrado a la plataforma NAC 39 que dispone la empresa, RADIUS como servidor de autenticación y el directorio activo como único repositorio de usuarios a nivel nacional. Su implementación fortalece el cumplimiento de las resoluciones de la SBS 40 JB2005-834 y JB-2012-2148, al momento como parte de la propuesta para la seguridad de la red está operativo con la red Wireless, para la red cableada, se han realizado pruebas de integración con los diferentes componentes que intervienen en su arquitectura, lo cual se implementará en el corto plazo al tener finalizada la migración de e-Directory a active Directory donde la solución es menos compleja y transparente para el usuario. 39 Network Access Control: plataforma de control de acceso basada en políticas de acceso de acuerdo a las credenciales de usuario y dispositivos finales. 40 SBS: Súper Intendencia de Bancos del Ecuador, es una de los organismos de control a los que se encuentra sometida la entidad financiera. 141 3.4 ADMINISTRACIÓN DE LA RED 3.4.1 PUNTOS DE ACCESO La solución inicial contemplaba un esquema solo para Quito, pero por pedido de la gerencia se debió ampliar el servicio a la ciudad de Guayaquil para que los dos ejes sectoriales de la institución cuenten con el servicio, ya que las autoridades y personal viajan con frecuencia entre las dos ciudades. Por lo que se colocaron en modo de backup las controladoras para mantener una alta disponibilidad geográfica con una en Quito y otra en Guayaquil. Así mismo se hizo un site survey para la ciudad de Guayaquil para verificar la cobertura de los AP ya que en el edificio hay inhibidores de señal de las otras instituciones que laboran en el mismo. En la Tabla 3-11 y Tabla 3-12 se detalla las configuraciones direccionamiento y el grupo de clasificación al que pertenece cada para el punto de acceso tanto para la ciudad de Quito como la de Guayaquil. Nombre Dirección Dirección IP MAC WLC Switch de acceso Grup o asoci ado Ubicación 10.20.182.6 6C:20:56: A6:47:9E UIO UIONET20 Gerencia Sala de Reuniones Mitad del Mundo 10.20.182.5 6C:20:56: B5:42:01 UIO UIONET20 Gerencia Asesores UIONET57_ 20_S 10.20.182.4 6C:20:56: A6:44:AF UIO UIONET20 Gerencia Sala de Reuniones Presidencia y Gerencia UIONET58_ 16_N 10.20.182.7 6C:20:56: A6:44:67 UIO UIONET16 General Supervisión UIONET55_ 20_N UIONET56_ 20_C 142 UIONET59_ 16_C 10.20.182.8 6C:20:56: A6:47:A2 UIO UIONET16 General Cartera UIONET60_ 10_N 10.20.182.10 6C:20:56: A6:44:CD UIO UIONET10 General Producción y control UIONET61_ 10_C 10.20.182.9 2C:54:20: 60:34:F4 UIO UIONET10 General Secretaría UIONET62_ 10_S 10.20.182.11 6C:20:56: A6:49:05 UIO UIONET10 General Control de Calidad Tabla 3-11 Tabla de Distribución de Puntos de Acceso en Quito Nombre Dirección IP Dirección MAC WLC Switch de acceso Grupo Asociado Ubicación GYENET55_ P1_NO 10.30.182.3 6c:20:56: a6:47:a4 GYE GYENET Gerencia 28 Directorio UIONET56_ MZ_N 10.30.182.4 6C:20:56: B5:42:01 GYE GYENET 27 General Informática GYENET57_ P1_NE 10.30.182.5 6C:20:56: A6:44:CF GYE GYENET Gerencia 26 Presidencia GYENET58_ P1_SO 10.30.182.6 6c:20:56: a6:44:A0 GYE GYENET Gerencia 26 Sala de Reunión Río Guayas GYENET59_ P2_S 10.30.182.7 6C:20:56: A6:47:91 GYE GYENET 25 Supervisión General Tabla 3-12 Tabla de Distribución de Puntos de Acceso en Guayaquil 143 3.4.2 CONTROLADORAS INALÁMBRICAS El direccionamiento y el tipo de seguridad aplicado a cada vlan para realizar la configuración de los SSID en las controladoras se detallan en la Tabla 3-13 para la ciudad de Quito y en la Tabla 3-14 para la ciudad de Guayaquil. WRLSCORPIN 119 10.20.119.254/24 INT_INVITADOS Autenticación Web, ACL, Tiempo de Conexión WRLSCORPUS 10.20.119.0 Seguridad 77 10.20.77.0 10.20.77. 254/24 INT_USUARIOS Autenticación 802.1X WRLSCORPR INTERFAZ 78 10.20.78.0 10.20.78. 254/24 INT_PROYECTOS Autenticación Web, ACL, Tiempo de Conexión WRLSCORPAU ID VLAN ID Interfaz 79 10.20.79.0 10.20.79. 254/24 INT_AUTORIDADES PSK-256,WPA-2, solo piso 20, Autenticación PSK INT_PDAS PSK-256,WPA2,ACL,Autenticacion por MAC, autenticación PSK WRLSCORPPD SSID 80 10.20.80.0 Subred 10.20.80. 254/24 WRLSCORPMV 144 180 10.20.180.0 10.20.180.254/24 INT_MOVILES PSK-256,WPA2,ACL,Autenticación por MAC, Autenticación PSK Tabla 3-13 WLC Quito INTERFAZ Subred IP Interfaz Seguridad 10.30.119.0 10.30.119.254/24 INT_INVITADOS 77 10.30.77.0 10.30.77.254/24 INT_USUARIOS Autenticación 802.1X 78 10.30.78.0 10.30.78. 254/24 INT_PROYECTOS Autenticación Web, ACL, Tiempo de Conexión 79 10.30.79.0 10.30.79. 254/24 INT_AUTORIDADES PSK-256, WPA2,Autenticación PSK INT_PDAS PSK-256,WPA2,ACL,Autentica cion por MAC, autenticación PSK WRLSCORPPR WRLSCORPAU 119 Autenticación Web, ACL, Tiempo de Conexión WRLSCORPPD WRLSCORPIN ID VLAN WRLSCORPUS SSID 80 10.30.80.0 10.30.80. 254/24 WRLSCORPMV 145 180 10.30.180.0 10.30.180.254/24 INT_MOVILES PSK-256,WPA2,ACL,Autentica ción por MAC, Autenticación PSK Tabla 3-14 WLC Guayaquil 3.5 CONFIGURACIONES PARA LA IMPLEMENTACIÓN 3.5.1 INSTALACIÓN DEL MÓDULO WISM2 Las características que ofrece la WiSM2 son: El WiSM2 ofrece un solo sitio de despliegue WLAN con buen rendimiento, seguridad y escalabilidad para soportar las comunicaciones en una red inalámbrica. Figura 3-19 Tarjeta CISCO Wism2 [8] Ayuda a reducir los costos de hardware y ofrece opciones de configuración flexibles que pueden reducir el costo total de las operaciones y la propiedad de las redes inalámbricas. Conexiones para un máximo de 1000 puntos de acceso y 15 000 clientes. Apoyo a la densidad de clientes superior al de otros controladores de LAN inalámbrica. Capacidad de actualización de 500 puntos de acceso a la vez. Servicios en capa 3 de movilidad para video, voz, invitado, ubicación, mesh, etc. Seguridad inalámbrica avanzada, con una capa de sistema de prevención de intrusiones inalámbricas (WIPS). Roaming a través de amplias zonas geográficas y el rendimiento necesario para las aplicaciones simultáneas. Tecnología Videostream para un rendimiento optimizado de vídeo. 146 Tecnología CleanAir para una auto-curación y auto-optimización de red que evite la interferencia de Radio Frecuencia. Para el montaje de la tarjeta WISM2 se necesita conocer la compatibilidad con el Switch de Core, para lo cual se tomó en cuenta las especificaciones técnicas en el montaje de la misma como lo especifica la Tabla 3-15. [8] Dado que el Switch es un modelo 6509, la tarjeta se montó en el módulo 7 del Switch de Core, para lo cual se utilizó la VLAN de administración que posee la institución para los equipos de comunicaciones; asociando la tarjeta WISM2 con el Switch de Core cuyo direccionamiento se detalla en la Tabla 3-16 . Slot 6503-E 1 x x x x x 2 x x x x x 3 x x x x x x x x x x x x 7-8 x x 9 x x 4 6504-E 6506 -E 6509-V-E 6513-E 5-6 10-13 x Tabla 3-15 Ranuras para Wism2 [8] Ciudad VLAN Segmento Descripción Quito 2 10.20.2.0/24 Comunicación_WLC Guayaquil 2 10.30.2.0/24 Comunicación_WLC Tabla 3-16 Segmentos de Red para Administración de la WLC Se utilizó una VLAN independiente para administración de los puntos de acceso y el funcionamiento de la solución inalámbrica, la cual se comunicará entre la WLC y los APs este detalle se indica en la Tabla 3-17. 147 Ciudad VLAN Segmento Descripción Quito 182 10.20.182.0/24 Inalámbricos Guayaquil 182 10.30.182.0/24 Inalámbricos Tabla 3-17 Segmentos de Red para Administración de APs Para evitar que los AP pierdan su configuración y además mantener el registro de las direcciones se realizó la asignación correspondiente al direccionamiento IP dentro de la plataforma de DNS y DHCP que posee la institución como se puede observar en la Figura 3-20 correspondiente al detalle del mismo. Figura 3-20 Plataforma DHCP para Equipos Inalámbricos Dentro de la WLC se realizaron las configuraciones de administración para el ingreso a la misma (user, password), además de la configuración de la dirección IP de comunicación con el switch de Core y la IP para el ingreso vía Web a la controladora según el siguiente detalle: Nombre: UIONET54 Password: xxxxx IP de Interfaz WEB: 10.20.2.50 Service Interface: 10.20.4.2 148 Figura 3-21 Verificación de Instalación de Wism2 Figura 3-22 Verificación de la Instalación de Wism2 Una vez instalada físicamente la tarjeta WISM2 en el switch de Core se verificó la instalación física de la tarjeta, este detalle se lo puede observar en la Figura 3-21 donde podemos observar el serial y el modelo de la tarjeta Wism2 instalada y en la Figura 3-22 se verifica el módulo en el que se encuentra asociado, así como su funcionamiento, para constatar que sea el adecuado, para estas consultas se realizó mediante vía SSH en el switch de core donde fue realizada la instalación de la tarjeta. 149 Una vez que se comprueba el correcto aprovisionamiento de la tarjeta se procede a realizar las configuraciones de la tarjeta WISM2 para la integración al switch de Core y ya se la puede implementar como la controladora de la red inalámbrica. El resumen de la configuración se lo puede observar en la captura que muestra la Figura 3-23, la cual indica la configuración realizada al iniciar la controladora inalámbrica mediante consola en el momento de la instalación. Figura 3-23 Configuración Wism2 150 Una vez realizadas las configuraciones, la creación de las VLANs y la comunicación entre la controladora y el switch de Core se comprobó mediante el acceso vía web a la controladora (ver Figura 3-24) usando la subred para el servicio Inalámbrico. Figura 3-24 Acceso Web de la WLC 3.5.1.1 Configuración de Interfaces VLANs En la Figura 3-25 se presentan las interfaces configuradas, una interfaz por cada SSID, lo que permite independizar la administración del grupo de usuarios por segmentos de red. Figura 3-25 Interfaces de WLC 151 Además están otras interfaces creadas por defecto en el equipo por redundancia. Para la propagación de los SSIDs establecidos se realizó la creación de las interfaces que señalan la VLAN a la cual van a pertenecer y el segmento de red en el cual se ubicarán los clientes una vez que se autentiquen. 3.5.1.2 Perfiles de la Red Inalámbrica y SSID La controladora fue configurada para que realice el manejo centralizado de los puntos de acceso inalámbricos instalados, así también manejar parámetros de acceso como los identificadores de conjunto de servicio (SSID), las seguridades de acceso y un control general sobre la implementación de red inalámbrica. Figura 3-26 Configuración SSIDs La creación de las WLAN que serán propagadas se relacionan con las interfaces que fueron creadas previamente, a las WLAN se les debe registrar los tipos de autenticación que van a utilizar para permitir el ingreso de clientes. En la Figura 3-26 se identifican los cinco perfiles (SSID) configurados. 3.5.1.3 Configuración de Autenticación La Tabla 3-18 indica el detalle de los tipos de autenticación establecidos: Para la autenticación mediante las credenciales de red con 802.1x es necesario realizar la integración del servidor RADIUS que asocia a todos los usuarios de la 152 institución a la WLC, ya que en conjunto brindarán la autenticación para el ingreso a la red inalámbrica esto se describe gráficamente en la Figura 3-27. SSID IP Interfaz Seguridad WRLSCORPIN INT_INVITADOS Autenticación Web, ACL, Tiempo de Conexión WRLSCORPUS INT_USUARIOS Autenticación 802.1X WRLSCORPR INT_PROYECTOS Autenticación Web, ACL, Tiempo de Conexión WRLSCORPAU INT_AUTORIDADES WRLSCORPPD INT_PDAS WRLSCORPMV INT_MOVILES PSK-256,WPA-2, solo piso 20, Autenticación PSK PSK-256,WPA2,ACL,Autenticacion por MAC, autenticación PSK PSK-256,WPA2,ACL,Autenticación por MAC, Autenticación PSK Tabla 3-18 Requerimientos de Autenticación Repositorio de Datos Microsoft Active Directory Dispositivo periférico Switch de Core CISCO WS-C6509-E CISCO Wireless Service Module WS-SVC-WISM2-K9 Switch de Borde CISCO WS-C3750X-48P NAC ForeScout CounterACT Radius Proxy Server CISCO Secure ACS Radius Server AccessPoint CISCO AIR-CAP3602E-A-K9 Usuario de escritorio Usuario Móvil Figura 3-27 Diagrama Físico – Autenticación de Usuarios y Dispositivos Finales 153 En el esquema de la Figura 3-28 se puede observar el funcionamiento conjunto entre el LDAP y el CISCO ACS que actúa de servidor RADIUS para autenticar al usuario en la red y permitirle el acceso a la red inalámbrica con los mismos permisos que tiene asignados para la red cableada, así mismo se cuenta con un dispositivo NAC de marca Forescout el cual monitoriza la actividad guardando los datos de la MAC, la IP del dispositivo que ingresó a la red y revisa si cumple con las políticas definidas de seguridad. Figura 3-28 Diagrama Lógico – Autenticación de Usuarios y Dispositivos Finales 3.5.1.4 Conexión RADIUS La Figura 3-29 muestra la configuración en la WLC del servidor RADIUS para la integración con el directorio activo. Las configuraciones del ACS se describen en la Figura 3-30, la cual muestra la asociación del ACS con la WLC quienes se comunican cifradamente con un password. La Figura 3-31 muestra las asociaciones realizadas con los servidores para el eDirectory quienes mantienen la base de datos del personal autorizado, finalmente la Figura 3-32 evidencia el string de conexión hacia la base de datos del e-directory mediante el cual el ACS conoce si la solicitud enviada será concedida o negada. 154 Figura 3-29 Configuración RADIUS Figura 3-30 Configuración ACS-WLC Figura 3-31 Configuración ACS – eDirectory 155 Figura 3-32 Asociación LDAP 3.5.1.5 Creación del Portal Cautivo Para los SSID de invitados y proyectos se creó el portal cautivo como muestra la Figura 3-33. El mismo que se evidenciará al cliente para la autenticación vía WEB, para lo cual se ingresó el logo de la Institución y el respectivo mensaje de petición de credenciales de autenticación. Figura 3-33 Configuración Portal Cautivo 156 3.5.1.6 Configuración Clean Air Una de las características de la controladora es la configuración del Clean Air que se muestra en la Figura 3-34 y Figura 3-35, mismas que permiten la detección de interferencias de RF, identificación de las fuentes de interferencia y optimización de la cobertura en torno a las interferencias, este proceso la controladora lo realiza automáticamente e indica a sus APs cuál es el canal al que debe conectarse para evitar interferencias. Figura 3-34 Configuración Clean Air en 802.11a 157 Figura 3-35 Configuración Clean Air para 802.11b 3.5.1.7 Registro de los Puntos de Acceso Una vez que los puntos de acceso se comunican con la controladora inalámbrica realizan un proceso de actualización del Sistema Operativo y descarga de las configuraciones necesarias para su operación (ver Figura 3-36), finalizado este proceso quedan registrados en la WLC y se los puede visualizar en el resumen del conteo de puntos de acceso. Los nombres de los puntos de acceso se establecieron según su ubicación física para tener mayor facilidad al momento de la administración. En la Figura 3-37 a continuación se puede verificar los cinco equipos de acceso registrados en el WLC de Quito. 158 Figura 3-36 Actualización de Software WLC Figura 3-37 Puntos de Acceso Registrados Para establecer la ubicación del AP, así como su dirección IP, Gateway, DNS y Dominio, se realizó la configuración del AP en opciones generales como muestra la Figura 3-38 a continuación. 159 Figura 3-38 Configuración AP General Figura 3-39 Configuración de Interfaz del AP La Figura 3-39 nos indica la asociacion del AP y la interfaz al que se encuentra asociado. Para poder dar alta disponibilidad en el servicio el AP debe estar registrado en las dos controladoras como muestra la Figura 3-40, con lo cual se garantiza el sevicio en caso de que la controladora principal tuviese algún inconveniente. 160 Figura 3-40 Asociación HA del AP Figura 3-41 Datos de AP Los datos del AP que se ha registrado y que adicionallmente sirve para levantar el inventario se muestra en la Figura 3-41 . Como se habia indicado cada AP forma parte de un grupo de acuerdo a los SSID que distribuye para realizar la asociacion de este agrupamiento es necesario ingresar a las opciones avanzadas como muestra la Figura 3-42 y que diferencia de la Figura 3-47 que pertenece al grupo privilegiado de las autoridades. 161 Figura 3-42 Asociación al Grupo de AP Figura 3-43 Configuración AP Autoridades 162 Figura 3-44 Asociación de Interfaz del AP Figura 3-45 Configuración de HA de AP Figura 3-46 Datos de Inventario de AP 163 Figura 3-47 Configuración de Grupo AP Privilegiado 3.5.2 ROAMING La Figura 3-48 presenta la personalización de la configuración de roaming para la Institución, en los niveles más altos recomendados por CISCO, y se ubicaron los equipos de tal manera de brindar una mejor cobertura; asegurando que la red trabaje también en la banda de 5.8 GHz, la cual no tiene mayores interferencias del análisis realizado con el site survey. Figura 3-48 Configuración Roaming 164 3.5.3 CONFIGURACÓN SNMP La configuración del protocolo SNMP se realiza para la versión 2c (ver Figura 3-51) para poder registrarlo en el NAC y en la versión 3 (ver Figura 3-50) registrando una comunidad, parámetros de autenticación y privacidad para poder enganchar a la plataforma de monitoreo de CA Spectrum (ver Figura 3-52) , para obtener las alarmas presentadas por el dispositivo y su conjunto. La Figura 3-49 a continuación muestra la configuración de la gestión SNMP para el WLC. Figura 3-49 Configuración SNMP Figura 3-50 Configuración SNMP V3 Figura 3-51 Configuración SNMP v2 165 Figura 3-52 Asociación Colector de Traps SNMP 3.5.4 CONFIGURACION QOS La Calidad de servicio o (QoS) por sus siglas en inglés, se refiere a la capacidad que tiene una red para brindar un mejor servicio seleccionando el tráfico a través de diversas tecnologías. El objetivo principal de QoS es proporcionar prioridad incluyendo ancho de banda dedicado, controlando la fluctuación (jitter) y la latencia (requerida por tráfico en tiempo real), y mejorar la pérdida de características. La controladora soporta cuatro niveles de calidad de servicio como muestra la Figura.3-53. Figura.3-53 Esquema de QoS 3.5.4.1 Platino/Voz Este esquema asegura una alta calidad de servicio para voz a través de la red inalámbrica, los parametros de configuración se especifican en la Figura 3-54. 166 Figura 3-54 Nivel Platino de QoS 3.5.4.2 Oro/Video Soporta aplicaciones de vídeo de alta calidad la cual se direcciona para los servicios de video con los aplicativos de Polycom para laptops y telefonos móviles autorizados los parámetros de configuración se muestra en la Figura 3-55. 167 Figura 3-55 Nivel Oro de QoS 3.5.4.3 Plata/Best Effort La configuración por defecto soporta ancho de banda normal para los clientes por los que tendrán que competir por el canal todas las aplicaciones y datos que se envíen por lo que se destina este servicio para los SSID asociados solo al consumo de internet lo cual no representa una prioridad como la voz y el video en los SSID destinados a las autoridades y funcionarios de la institución, los parámetros de configuración de default se encuentran descritos en la Figura 3-56. 168 Figura 3-56 Nivel Plata de QoS 3.5.4.4 Bronce/Antecedentes Proporciona el ancho de banda más bajo para servicios del grupo invitados ya que su uso es esporádico y durante periodos cortos, por lo que no representa un grupo al que debamos darle prioridad en el tráfico que genere, los parámetros para este perfil se muestra en la Figura 3-57. 169 Figura 3-57 Nivel Bronce de QoS 3.5.4.5 Inventario La Figura 3-58 muestra los datos físicos del WLC para el inventario, como es el número serial del equipo y nombre de producto. Figura 3-58 Inventario de WLC 170 3.5.5 CONFIGURACIÓN DE LISTAS DE ACCESO Dado que en los diferentes niveles de acceso se deben restringir los accesos según las utilidades de cada red para lo cual se crean listas de acceso a nivel de la interfaz de VLAN en el switch de Core. Red de Invitados.- debe ser limitada únicamente al acceso a Internet y no a la red interna. permit udp any host 10.20.22.23 eq domain permit udp any host 10.30.22.8 eq domain deny ip any 10.20.0.0 0.0.255.255 (Red interna UIO) deny ip any 10.30.0.0 0.0.255.255 (Red interna GYE) deny ip any 192.168.0.0 0.0.255.255 (Red Sucursales) deny ip any 172.16.1.0 0.0.0.31 (Red DMZ UIO) deny ip any 172.16.2.0 0.0.0.255 (Red DMZ GYE) deny ip any permit ip any any Figura 3-59 Lista de Acceso SSID Invitados Red de móviles.- debe ser limitada únicamente al acceso a Internet y a ciertos aplicativos de la red interna. permit udp any any eq bootpc permit udp any any eq bootps permit udp any host 10.20.22.23 eq domain 171 permit udp any host 10.30.22.8 eq domain permit tcp any host 172.16.1.10 eq www permit tcp any host 172.16.1.7 eq 443 permit ip any host 172.16.1.4 permit tcp any host 10.20.201.2 eq 443 permit udp any host 10.20.201.2 eq 1719 permit tcp any host 10.20.201.2 eq 1720 permit tcp any host 10.20.201.2 eq 5222 permit tcp any host 10.20.201.2 range 16384 32764 permit udp any host 10.20.201.3 range 49152 65535 permit udp any host 10.20.201.4 range 49152 65535 permit udp any host 10.20.201.5 range 49152 65535 permit udp any host 10.20.201.6 range 49152 65535 permit ip host 10.20.76.8 any permit ip host 10.20.76.3 any permit ip host 10.20.81.48 any permit ip host 10.20.81.11 any permit ip host 10.20.81.12 any permit ip host 10.20.81.8 any deny ip any 10.20.0.0 0.0.255.255 deny ip any 10.30.0.0 0.0.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 172.16.1.0 0.0.0.31 deny ip any 172.16.2.0 0.0.0.255 permit ip any any Red de PDAs.- debe limitarse únicamente al acceso al servidor y servicio de Supervisión. permit udp any any eq bootpc permit udp any any eq bootps permit udp any host 10.20.22.23 eq domain 172 permit udp any host 10.30.22.8 eq domain permit tcp any host 172.16.1.6 eq 9000 deny ip any any Figura 3-60 Lista de Acceso SSID Móviles Figura 3-61 Lista de Acceso SSID PDAs 173 CAPÍTULO 4 4. PRUEBAS, RESULTADOS Y COSTOS 4.1 ANTECEDENTES Las redes inalámbricas han tenido una acogida mucho mayor en los últimos años, este capítulo tiene por objetivo mostrar un presupuesto referencial de acuerdo al requerimiento de la empresa para equipos CISCO por lo que se tomaron en cuenta entre sus modelos los más apropiados para el desarrollo de la solución y que se apegue a la infraestructura actual tanto en capa de Core, distribución y acceso. Con las características técnicas de los equipos necesarios para la implementación que se analizó en el capítulo dos se establece las bases técnicas para la adquisición de los equipos así como los accesorios y poder definir el presupuesto referencial. 4.2 EQUIPOS DISPONIBLES EN EL MERCADO Los equipos disponibles en el mercado se toman como base para la selección de acuerdo a las características que se necesita para satisfacer las necesidades de la institución. 4.2.1 PUNTOS DE ACCESO Los puntos de acceso disponibles en el mercado y de los cuales se valida las características que deben cumplir de acuerdo a los requerimientos levantados en el proyecto se presentan en la Tabla 4-1 a continuación: CISCO Aironet 802.11n G2 Series Indoor Access Points Product image 600 Series Ideal for Remote worker 1600 Series Small or midsize enterprises, midmarket 2600 Series 3600 Series 3700 Series Small, midsize, large enterprises Midsize or large enterprises Midsize or large enterprises that require missioncritical traffic 174 Site type Home Indoor office, small warehouse Application performance profile Consumer data Deployment flexibility Enterprise-class performance Voice/video/multime dia Future-proof modularity - - and midmarket Indoor office, mediumsized warehouse Any Device/BY OD optimized Client scalability RF interference mitigation - Crowded areas Number of radios - - Yes Dual (2.4GHz and 5.0GHz) Dual (2.4GHz and 5.0GHz) Dual (2.4GHz and 5.0GHz) Max data rate 300 Mbps 300 Mbps 450 Mbps MIMO radio design: spatial streams Client count/ClientLi nk client count 2x3:2 3x3:2 3x4:3 15 No ClientLink support 128/32 200/128 Autonomous access point option ClientLink 2.0 - Yes Yes - Yes Yes Large office, midsize or large warehouse Large office, midsize, or large warehouse High client density HD Video/VDI 802.11ac*migrati on Comprehensive security High client density HD Video/VDI 802.11ac*migrati on Comprehensive security Yes 802.11ac Module or WSM (Wireless Security Module) or 3G Small Cell Or 802.11ac Wave 2* Module Yes Yes WSM or 3G Small Cell or 802.11ac Wave 2* Module Tri Radios 2.4GHz for 802.11g/n 5GHz for 802.11a/n 5GHz 802.11ac Module for 802.11a/n/ac 1.3 Gbps (with 802.11ac module) 802.11n: 4 x 4:3 802.11ac: 3 x 3:3 Dual (2.4GHz and 5.0GHz) 802.11n: 200/128 802.11ac Module: 50/7 (ECBF) Yes 200/128 Yes ECBF with 802.11ac clients ClientLink 3.0, adding 802.11ac support for enhanced connectivity with 802.11a/g/n/ac clients ECBF with 802.11ac clients ClientLink and ECBF to 11ac clients concurrently Yes 1.3 Gbps 4 x 4:3 Yes 175 CleanAir - CleanAir Express* Yes Yes VideoStream BandSelect Rogue access point detection Adaptive wireless intrusion protection system (wIPS) OfficeExtend (Integratedantenna models only) FlexConnect Power - Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes - 80 MHz channel support at FCS Yes Yes Yes - Yes Yes Yes Yes Yes Yes Yes Yes Yes 100 to 240 VAC, 50-60 Hz Yes 802.3af, AC adapter Yes 802.3af, AC adapter Yes 802.11n: 802.3af, AC adapter 802.11ac*: Enhanced PoE, 802.3at or Universal PoE (UPOE) Temperature range 0 to 40°C 1600i: 0 to 40°C 1600e: -20 to 50°C 2600i: 0 to 40°C 2600e: -20 to 55°C Antennas Internal 1600i: Internal 1600e: External Wi-Fi standards Government certifications Limited lifetime warranty 802.11a/b/g /n 802.11a/b/g/n 2600i: Internal 2600e: External 802.11a/b/g /n 3600i: 0 to 40°C 3600e: -20 to 55°C 3600p: -20 to 55°C 3600i: Internal 3600e: External 3600p: External (US only) 802.11a/b/g/n/ac Yes 4 x 4:3 operation: 802.3at PoE+, Enhanced PoE, Universal PoE (UPOE) 3 x 3:3 operation: 802.3af PoE 3700i: 0 to 40°C 3700e: -20 to 55°C 3700p: -20 to 55°C 3700i: Internal 3700e: External 3700p: External Yes Yes Yes Yes 802.11a/b/g/n/ac Yes Tabla 4-1 Puntos de Acceso Disponibles en el Mercado [8] 4.2.2 ANTENAS Las antenas disponibles en el mercado y de las cuales se valida las caracteristicas que deben cumplir de acuerdo a los requerimientos levantados en el proyecto se presentan en la Tabla 4-2 a continuacion: 176 CISCO Part Number Antenna Type Description Gain AIRANT2451V-R= Omnidirectional 4 port (2 ports for 2.4 GHz, 2 port for 5 GHz) Ceiling Mount Omni-directional Antenna - Designed for use indoor, this antenna comes with ceiling mount hardware. It has 4 plenum rated pigtail cables, 18 inches each, with 4 right angle RP-TNC connectors. 2.4 GHz: 2 dBi 5 GHz: 3 dBi AIRANT2451NVR= Omnidirectional, 6 port (2 ports for 2.4 GHz, 2 port for 5 GHz) Ceiling Mount Omni-directional Antenna - Designed for use indoor, this antenna comes with ceiling mount hardware. It has 6 plenum rated pigtail cables, 18 inches each, with 6 RP-TNC connectors. 2.4 GHz: 2 dBi 5 GHz: 3 dBi AIRANT25137NPR= Patch, 6 port (2 ports for 2.4 GHz, 2 port for 5 GHz) Designed for high density wireless applications such as stadiums and arena. Wall mounted patch antenna with 6 plenum rated pigtail cables, 36 inches each and 6 RP-TNC connectors. Only certified for use with AP3502P access point. 2.4 GHz: 13 dBi 5 GHz: 7 dBi AIRANT2524V4CR= Omnidirectional 4, port (all ports dual band) Ceiling mount omnidirectional antenna - Designed for use indoor, this antenna comes with ceiling mount hardware. It has 4 plenum rated pigtail cables, 3 foot each, with four RP-TNC connectors. 2.4 GHz: 2 dBi 5 GHz: 4 dBi AIRANT2544V4MR= Omnidirectional, 4 port (all ports dual band) Indoor/outdoor wall or mast mounted dual band omnidirectional antenna with four plenum rated, 36 inch cables and RP-TNC connectors. Designed for use with access points having dual band ports such as 1600, 2600 or 3600. 2.4 GHz: 4 dBi 5 GHz: 4 dBi AIRANT2566P4MR= Patch, 4 port (all ports dual band)) Indoor/outdoor wall mounted dual band patch antenna with four plenum rated, 36 inch cables and RP-TNC connectors. Designed for use with access points having dual band ports such as 1600, 2600 or 3600. 2.4 GHz: 6 dBi 5 GHz: 6 dBi Tabla 4-2 Tipos De Antenas Para 2.4 Y 5 GHz [8] 177 4.2.3 CONTROLADORAS Las controladoras disponibles en el mercado y ofrecidas por CISCO se muestran en la Tabla 4-3 donde se valida las características de la Wism2 que es la que cumple con la característica de ser modular y compatible con el modelo del switch de core de acuerdo a los requerimientos levantados en el proyecto. Wireless Controller s Product Image 2500 Series 3650 Series 5500 Series 5760 Series 3850 Series WiSM2 Flex 7500 Series 8500 series Target deployme nts Small or midsize Small or midsized business branch Midsize to large enterpris e Midsized to large Enterpri se Small to Large Enterpris e Midsized to Large Enterpri se Form factor Desktop 1RU Switch Yes No 1RU applianc e No 1RU switch FlexConne ct (centrally switched) Central Mode (Formerly Local Mode) Mesh OfficeExte nd Min Access Points Max Access Points Max Client Support Max RF Tag Support Max Throughp ut Max Number of Access Point Groups Max Number of Flex Groups Max Access 1RU applianc e Yes No Catalyst 6500 Module Yes Large Number of Branche s 1RU applianc e Yes Large Enterpri se and Service Provider 1RU applianc e Yes Yes - Yes - - Yes - Yes Yes Yes No - Yes Yes No - No - Yes Yes No Yes Yes Yes 5 1 12 25 1 100 300 300 75 25 500 1,000 50 1,000 6,000 6,000 1,000 1,000 7,000 12,000 2,000 15,000 64,000 64,000 500 1,000 5,000 10,000 1,000 5,000 50,000 50,000 1 Gbps 8 Gbps 60 Gbps 1 Gbps 10 Gbps 500 1,000 20 Gbps and 40 Gbps 50 20 Gbps 30 20 Gbps and 40 Gbps 25 1,000 6,000 6,000 30 - 100 - - 100 2,000 2,000 25 25 25 25 25 25 100 100 178 Points per Group Max WLANs Max VLANs Interfaces or network I/O 16 64 512 512 64 512 512 512 16 4,000 512 4,000 4,000 512 4096 4096 Four 1 GE 4 * 1 Gb / 10 Gb Uplink 2 * 1 Gb / 10 Gb Uplink 4 * 1 Gb Uplink 24 and 48 * 10/100/1 000 Mbps Data/PO E+ Eight 1 GE 6 * 1/10 GE Catalyst 6500 backpla ne Two 10 GE Two 10 GE Redundan t power No Yes (option) Yes (option) Yes (option) 4*1 GE/10 GE uplink 2*1 GE/10 GE uplink 4 * 1 GE uplink 24 and 48* 10/100/1 000 Mbps data / PoE+ Yes (option) Yes Redundan t fans Max Power Consumpt ion Standard hardware warranty Standard software warranty Workgrou p bridge Link Aggregati on Group (LAG) Radio Resource Managem ent (RRM) Datagram Transfer Layer Security (DTLS) CISCO Compatibl e Extension s Call Admission Control (CAC)/WiFi Multimedi a (WMM) CISCO VideoStre am Built-in Fan 80W Yes Yes Yes Yes Yes Yes (installe d) Yes Yes (installe d) Yes 350W 125W 350W 350W 220W 675W 675W 90 days E-LLW 90 days 90 days E-LLW 90 days 90 days 90 days 90 days 90 days 90 days 90 days 90 days 90 days 90 days 90 days Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes - Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes - Yes 179 Guest services (wireless) Guest services (wired) Guest anchor Access control lists (ACLs) HA with AP SSO HA with Client SSO Integrated Wireless Policy Engine Applicatio n Visibility and Control (AVC) Bonjour Gateway Mobility QoS Bidirectional rate limiting FIPS Common Criteria DISA UCAPL Yes Yes Yes Yes Yes Yes Yes Yes - Yes Yes - Yes Yes - - Yes - Yes Yes - Yes - - Yes Yes Yes Yes Yes Yes Yes Yes No Only N+1 HA No Yes Yes Yes Yes Yes Yes Yes No Yes No No Yes Yes Yes Yes No Yes No No Yes Yes Yes Yes** Yes*** Yes** Yes*** Yes*** Yes** Yes** Yes** Yes** Yes Yes** Yes Yes Yes** Yes** Yes** L2 & L3 Yes L2 & L3 Yes L2 & L3 Yes (MQC based) No L2 Yes L2 & L3 Yes Yes L2 & L3 Yes (MQC based) No L2 & L3 Yes Yes L2 & L3 Yes (MQCbased) No Yes Yes Yes In plan In plan In plan In plan Certified Certified In plan In plan In plan In plan Certified Certified In plan In plan In plan In plan In plan In plan Certified In plan In plan Certified In plan In plan ** Denotes supported in 'Central Mode' and 'FlexConnect' ('Centrally Switched') mode of deployments ***Supports application visibility (no control) with Generation-2 access points for wireless clients only Tabla 4-3 Controladoras Disponibles En El Mercado [8] 4.3 ANÁLISIS DE COSTOS 4.3.1 ESTIMACIÓN DEL PRESUPUESTO REFERENCIAL La tabla Tabla 4-4 en base a los anexos H, I, J detalla los costos en bruto de los equipos principales que se colocarán como parte del proyecto ya que la parte de cableado estructurado se encuentra habilitada por la institución. 180 En los costos no se incluye el diseño de la red inalámbrica ya que este trabajo al ser de titulación no tiene fines de lucro. Además estos tienen una vigencia de 15 días las cotizaciones se las puede encontrar en el apartado de Anexos. Ítem Descripción Total Andean Mega Teck Trade Supply 13 20,735.00 16,678.72 20,384.00 52 2,028.00 1,631.27 1,980.16 2 59,990.00 116,480.00 116,480.00 8x5xNBD 13 1,144.00 1,118.26 1,310.40 8x5xNBD 2 10,722.26 19,217.42 22,848.00 Subtotal Prod. 82,818.00 106,783.20 138,844.16 Subtotal Serv. 11,866.26 20,335.68 24,158.40 Total 94,684.26 127,118.88 163,002.56 Puntos de 802.11n para Acceso 4 antenas Antena Indoor Antena para Cant. 2.4 y 5 GHz Controladora Soporta hasta Wireless 100 AP Wism2 Soporte Smarnet por AP Soporte Smarnet Wism2 Tabla 4-4 Tabla de Evaluación de Ofertas Después de evaluadas las proformas de los fabricantes el presupuesto estimado para el proyecto resulta en una cantidad de $129,464.29 sin incluir el valor del IVA. Con este valor se obtiene la certificación de fondos para el proyecto justificando la viabilidad del mismo. La solución planteada para Quito tiene por finalidad interconectar a nuevos usuarios a los servicios que brinda la red institucional así como también al personal externo que necesita acceder a ella para brindar soporte, así como a invitados que realizan presentaciones o proponen propuestas para el negocio. 181 Este diseño busca facilitar el acceso a la red ya que realizar nuevos puntos de red requiere de tiempo y para casos que necesitan de rapidez y de alta importancia como son las reuniones que se mantienen sobre todo en el piso 20 con las reuniones de directorio que incluyen a ministros y asesores de las autoridades por lo que la solución inalámbrica les parece de alta importancia y han solicitado se extienda a las demás sucursales de la institución lo cual constituirá otro proyecto pero se consideró esta iniciativa para el dimensionamiento para las controladoras que deberán soportar las transacciones y equipos que se vayan añadiendo a esta solución. En base a lo anteriormente expuesto este proyecto y en vista del crecimiento de la tecnología inalámbrica que cada vez se encuentra más al alcance de todos los usuarios se concluye que el análisis tienen un efecto positivo en la institución y se ha adaptado equipos de alta tecnología dando una solución de última generación integrando todas las funcionalidades y beneficios detallados en los diferentes capítulos expuestos con lo cual se justifica la inversión realizada en el presente proyecto. 4.4 PRUEBAS Y RESULTADOS A continuación se presenta las pruebas realizadas ya en la puesta en producción de la red inalámbrica. 4.4.1 RESULTADOS OBTENIDOS 4.4.1.1 Pruebas de Instalación Prueba Descripción de la Prueba Resultado # 1 INSTALACION WiSM Pasó Instalación física y lógica del módulo WiSM2 en Quito. Mediante los comandos de verificación. 2 INSTALACION PUNTOS DE ACCESO Pasó 182 Instalación física y lógica de los puntos de acceso en Quito. Mediante la interfaz de gestión del WLC se puede observar el estado de los puntos de acceso y verificar: Nombre e IP fija Switch de acceso Tabla 4-5 Pruebas de Instalación 4.4.1.2 Pruebas de Funcionamiento Prueba # 1 Descripción de la Prueba ACCESO y GESTION QUITO Resultado Pasó Verificación de parámetros básicos de funcionamiento. Se verifica a través del acceso a administración: Usuario y password de administración por CLI Usuario y password de administración GUI 2 REGISTRO DE PUNTOS DE ACCESO QUITO Pasó Verificación de configuración de los puntos de acceso y afinamientos. Se lo realiza mediante la administración web, verificado el estado y funcionamiento de los puntos de acceso instalados. Registro de AP en WLC, dirección IP, hostname, descripción, y estado. 3 SSID y SEGURIDADES QUITO Pasó Verificación de configuración y funcionamiento de WLC de acuerdo a cada SSID planificados, desde la administración WEB : Validación de datos de SSID, parámetros de seguridad configurados y acceso a cada uno. Verificación de aislamiento de SSID de autoridades. 5 PERFORMANCE y MOVILIDAD Pasó 183 Verificación de la movilidad de los usuarios. Se verifica que de acuerdo a la ubicación del usuario, el mismo se registre con el equipo más cercano, y el cambio sea dinámico, de tal manera que se trabaje con Roaming entre las frecuencias de 2,4 GHz (conexiones en estándar 802.11b–g) y 5.8 GHz (conexiones en los estándar 802.11a). Se verifica el funcionamiento de aplicaciones en tiempo real (videoconferencia Polycom) y se valida la movilidad, el Roaming y la calidad del servicio. Se garantiza que la llamada se mantenga establecida con alta calidad. Se verifica que los tiempos de respuesta y anchos de banda de las conexiones hacia la red interna (Pruebas ICMP-PING) y el Internet (a través del portal www.speedtest.net). Se obtienen tiempos de respuesta de hasta 2 ms en pruebas ICMP y acceso a Internet de hasta 7 Mbps. Tabla 4-6 Pruebas de Funcionamiento 4.4.2 PRUEBAS DE RENDIMIENTO Prueba Descripción de la Prueba Resultado Se verifican parámetros de operación de la CPU y de la Pasó # 1 memoria de los Equipos 2 Se verifican el nivel de energía de los equipos y de sus Pasó partes que lo componen para descartar cualquier tipo de anomalía en sus parámetros ambientales. Tabla 4-7 Pruebas de Rendimiento Las figuras a continuación fueron tomadas en el momento de la fase de pruebas. 184 La Figura 4-1 muestra el buen estado de los APs e indica su correcto funcionamiento. Figura 4-1 Ratificación de Buen Funcionamiento de APs La Figura 4-2 a continuación muestra el correcto estado de consumo de CPU y memoria de la controladora así como se puede observar la cantidad de clientes conectados ese instante. Figura 4-2 Ratificación de Uso de Memoria y Asociación de Clientes Las siguientes figuras (Figura 4-3, Figura 4-4, Figura 4-5 y la Figura 4-6) se refieren a la configuración presentada a modo de ejemplo por uno de los APs en ese momento con los demás AP se realizó la misma verificación, donde se evalúan que el direccionamiento IP se haya mantenido, que la alta disponibilidad se encuentre vigente y además que la asociación al grupo respectivo este de acuerdo a lo 185 establecido anteriormente. El contador de días habilitados nos demuestra que el servicio se encuentra vigente y no habido interrupciones o reinicios involuntarios por parte del AP lo que indica que su operación ha sido eficaz además de indicarnos que su alimentación energética se encuentra correcta. Figura 4-3 Revisión de Configuración AP Figura 4-4 Revisión de Configuración de Interfaces de AP 186 Figura 4-5 Revisión de HA en AP Figura 4-6 Revisión de Asociación de Grupo en AP Figura 4-7 Reporte de Air Quality en 802.11a/n 187 En la Figura 4-7 y Figura 4-8 nos muestra el reporte automático de la controladora para el espacio donde se encuentran los APs y nos indica la cantidad de interferencias o degradación en la señal que se ha sufrido lo que nos indica cual es el canal que más re asociaciones ha tenido y esta diferenciación se basa en la banda respectiva de configuración de cada canal. Figura 4-8 Reporte de Air Quality en 802.11b/g/n Finalmente se verifica el correcto desempeño ya que el reporte automático del peor escenario de la Figura 4-9 indica que de acuerdo a la escala de rendimiento se encuentran operando en condiciones normales y la licencia aplicada cumple perfectamente con lo elaborado en el proyecto como muestra la Figura 4-10. Figura 4-9 Reporte del peor escenario Figura 4-10 Licencias Utilizadas 188 CAPÍTULO 5 5. CONCLUSIONES Y RECOMENDACIONES 5.1 CONCLUSIONES I. La infraestructura de una institución es una parte fundamental que debe ser tenida en cuenta, como el cableado estructurado, ya que se observó en este proyecto de titulación un impacto muy fuerte al cambiarlo de categoría 5 a 6A dándonos mayores alcances de velocidad, mejor estabilidad de la señal; mejorando así la calidad del servicio prestado. II. Para la adecuada solución de una red inalámbrica, es muy importante realizar tanto el site survey pasivo como el activo, ya que de esta forma vaticinamos el uso de los equipos necesarios con características adecuadas para soportar el tráfico requerido de acuerdo a la adecuación del lugar. III. El esquema de failover es de carácter prioritario para una solución, por lo que se debe tomar en cuenta en el diseño, para dar una robustez a la red y al servicio como tal, asegurando que todos los perfiles de usuarios y accesos sean brindados con transparencia para el usuario en caso de darse este tipo de situaciones. IV. Luego de la colocación de los equipos se debe realizar un site survey para verificar el correcto cubrimiento de la zona deseada y el funcionamiento a cabalidad de los servicios con los estándares planteados y sobre todo garantizar la movilidad de los usuarios a través del roaming. V. Acoplar todos los servicios en una sola solución, que integre en su administración el manejo de políticas, seguridad, autenticación, entre otras; 189 para los administradores de red es de carácter importante, por lo que, se debe dar de una forma ordenada y simple al fin de identificar de forma rápida y eficaz; cualquier anomalía que afecte el negocio, para resolverla a tiempo, ayudando a cumplir con los niveles de servicio adecuados. VI. Si se tiene un entorno de infraestructura convergente esto nos da como ventaja el incremento de agilidad, escalabilidad, reducción en el consumo de memoria y procesamiento que al mismo tiempo da por resultado una mejor operatividad, por esto; en este proyecto se buscó los mejores equipos de la marca especificada y con una perspectiva de adaptabilidad y compatibilidad de aquí a 5 años tomando de referencia la tecnología de Core que posee la institución. VII. La seguridad de la información así como de la red es de vital importancia para tener una red confiable, por lo que es preferible hacer uso de la ventaja de tener una red segmentada, ya que así, de acuerdo al perfil de los usuarios que vayan acceder a través de la red podemos tener un mayor control y rastro de sus acciones; así como realizar listas de control de acceso en el Core da robustez a la red. VIII. La redundancia es la solución para lograr la disponibilidad necesaria en un negocio que tiene que permanecer continuo; por lo que, se debe tomar en consideración para el diseño de una solución, no solo de red inalámbrica sino de infraestructura en general. IX. La redundancia al brindar una gran flexibilidad en la elección de rutas para la red y permitir que los datos se transmitan independientemente de la existencia de fallas en una ruta o en un dispositivo, en las capas de distribución o núcleo. Hay que analizar todos los puntos posibles de falla y tener en cuenta antes de que se implemente de forma segura en una red jerárquica, ya que deben ser discriminados por orden de prioridad de acuerdo a los servicios que se dejaría de tener en ese momento y considerar 190 el tiempo que tomaría volverlos a poseer; dándonos así las ventanas de tiempo por servicios y plantear las soluciones efectivas para reducir así el impacto de los mismos. 5.2 I. RECOMENDACIONES Para poder realizar un correcto diseño es necesario conocer la topología de la red a la cual se van a conectar los equipos y así poder brindar una solución robusta cuya administración sea ágil y eficaz permitiendo diagnosticar problemas a tiempo. II. Realizar manuales, procedimientos e instructivos para prevenir el mal manejo de los equipos, que sirva de apoyo para el personal que lo administra para el correcto funcionamiento de la infraestructura implementada, así como evitar falla en el servicio. III. Realizar un respaldo de la configuración de las controladoras periódicamente, para en caso de falla poseer un respaldo efectivo de la configuración así como de las tablas MAC de los dispositivos registrados. IV. Como una buena práctica debe mantenerse la configuración de las IP de los equipos de manera estática, pero si se maneja como en este caso un direccionamiento dinámico, tener de igual manera reservada por MAC la dirección para evitar desacoplamientos al momento de un reinicio involuntario de la plataforma. V. Generar varios perfiles de usuario dejando inactivo el del Administrador para evitar configuraciones erradas. La parte operativa puede ser manejada con vistas de lectura o de permisos limitados para la creación de usuarios que requieren acceso temporal. 191 VI. Dar mantenimiento a los equipos tanto en hardware como en software al menos dos veces al año para asegurar el buen funcionamiento de la plataforma. VII. Simular los esquemas de failover poniendo a prueba la característica de la redundancia y alta disponibilidad del diseño para prevenir novedades en situaciones reales. 192 REFERENCIAS BIBLIOGRÁFICAS [1] CISCO, Implementing Cisco Unified Wireless Networking Essentials, San Jose, CA, 2011. [2] CISCO, «RF,» 06 05 2014. [En línea]. Available: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Netwo rks/Unified_Access/CMX/CMX_RFFund.pdf. [3] I. P. D. Bernal, Comunicaciones Inalámbricas, Quito, 2005. [4] W. Stallings, Wireless Communications and Networks, New Jersey: Pearson Prentice Hall, 2005. [5] CISCO, «CISCO-QoS,» [En línea]. Available: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Mobility/vowlan/4 1dg/vowlan41dg-book/vowlan_ch2.html#wp1045473. [Último acceso: 10 01 2015]. [6] P. I. Hidalgo, «Conmutación y Conexión Inalámbrica de LAN,» Quito, 2011. [7] Cisco Systems, Inc, «Configuring Virtual Switching Systems,» de Catalyst 6500 Release 12.2SX Software Configuration Guide, San Jose, Cisco Systems, Inc. [8] CISCO, «www.cisco.com,» 01 2013. [En línea]. Available: http://cisco.com/go/unifiedaccess. [Último acceso: 24 02 2014]. [9] skype, «https://support.skype.com/es/faq/FA1417/que-ancho-de-bandanecesita-skype,» [En línea]. Available: https://support.skype.com/es/faq/FA1417/que-ancho-de-banda-necesita-skype. [Último acceso: 06 01 2014]. [10] Polycom, «Real Presence Win,» 06 08 2014. [En línea]. Available: http://latinamerica.polycom.com/content/dam/polycom/common/documents/d ata-sheets/realpresence-desktop-windows-ds-esla.pdf. [11] Computer Aided Solutions, 02 07 2014. [En línea]. Available: http://www.dataloggerinc.com/content/resources/white_papers/332/the_basic s_of_signal_attenuation/. 193 [12] A. S. Tanenbaum, Computer Networks, New Jersey: Prentice Hall PRT, 2003. [13] Cisco Systems, «Cisco Connected Stadium Wi-Fi for Sports and Entertainment Venues,» 2011. [14] Cisco Systems, Inc., Wi-Fi Location-Based Services 4.1 Design Guide, San Jose: Cisco Systems, Inc., 2008. [15] CISCO, «www.cisco.com,» 20 11 2006. [En línea]. Available: http://www.cisco.com/c/en/us/td/docs/wireless/antenna/installation/guide/ant 5135d.html#wp43294. [Último acceso: 12 02 2013]. [16] IEEE, «www.ieee.org,» [En línea]. Available: http://www.ieee802.org/16. [Último acceso: 15 03 2013]. [17] IEEE, «www.ieee.org,» [En línea]. Available: http://www.ieee802.org/11/. [Último acceso: 27 05 2013]. [18] IEEE, «www.ieee.org,» [En línea]. Available: http://ieee802.org/15. [Último acceso: 29 03 2013]. [19] IEEE, «www.ieee.org,» 29 03 2012. [En línea]. [Último acceso: 29 05 2013]. [20] CISCO, «cisco,» [En línea]. Available: http://www.cisco.com/c/en/us/products/wireless/buyers-guide.html. [Último acceso: 10 septiembre 2013]. [21] CISCO, Implementing Cisco Unified Wireless Networking Essentials, San Jose, CA: Cisco, 2011. 194 ANEXOS ANEXO A APLICACIONES QUITO-GUAYAQUIL PERIODO SEPTIEMBRE A-1 Aplicaciones Quito Guayaquil Generated: Jan 8, 2014 5:32 PM ECT A-2 Aplicaciones Quito Guayaquil Sep 1, 2013 12:00 AM ECT - Sep 30, 2013 11:30 PM ECT Application Sourc Destinatio Destinati e IP (U n IP on Port nique (Unique (Unique Count Count) Count) ) Source By tes (Sum) Destinatio Total n Bytes Bytes (Sum) (Sum) Count DataWarehousin Multiple (7) Multiple (27) 3260 g.iS CSI 200,301,079, 3,407,915,62 203,708,994 3,795 100 1 ,721 other 152,451,678, 23,682,102,3 176,133,781 1,177,258 763 09 ,072 Multiple (719) Multiple (528) Multiple (41,587) Multimedia.Intelle Multiple x (15) Multiple (33) Multiple (3) 51,522,908,8 2,629,193,13 54,152,101, 38,310 23 2 955 Misc.LotusNotes Multiple (32) Multiple (80) 1352 25,718,001,8 947,924,856 26,665,926, 80,140 74 730 DataTransfer.FT Multiple (8) Multiple (6) Multiple P (2) 11,257,596,2 186,774,800 11,444,371, 1,692 96 096 Web.Web.Misc Multiple (21) 80 570,342,685 2,583,429,75 3,153,772,4 397,820 5 40 Web.SecureWeb Multiple (21) Multiple (11) 443 110,142,894 1,528,708,07 1,638,850,9 11,050 4 68 DataTransfer.Win Multiple do wsFileSharing (30) Multiple (20) Multiple (2) 1,242,401,54 63,267,350 6 InnerSystem.Flo wgen Multiple (21) Multiple (1,402) 687,611,527 498,660,192 1,186,271,7 21,078 19 RemoteAccess.M Multiple ST (21) erminalServices Multiple (33) 3389 61,918,807 916,824,790 978,743,597 729 DataTransfer.Nor Multiple ton (22) Ghost Multiple (112) 37,513,054 247,160,026 284,673,080 1,604 Misc.snmp Multiple (70) Multiple (24) 161 Misc.bootpc 10.20.22.2 Multiple 3 (628) Misc.domain Multiple (1,263) Multiple (55) Multiple (28) Multiple (2) 68 Multiple (9) 53 1,305,668,8 14,901 96 119,695,589 160,208,774 279,904,363 75,676 238,880,364 97,833 57,567,814 238,978,197 86,044 162,724,129 220,291,943 596,421 DataWarehousing Multiple .Or acle (33) Multiple (189) Web.http(8080) Multiple (62) Multiple (6) 8080 73,938,458 76,279,965 150,218,423 27,546 DataWarehousing Multiple .Or (20) acleTNS.PeopleS oft Multiple (88) 1521 85,663,617 11,551,193 97,214,810 800 ICMP.Echo Multiple (876) 69,585,162 0 69,585,162 328,087 Multiple (672) Multiple (8) 156,731,917 19,563,171 0 176,295,088 6,279 RemoteAccess.S Multiple SH (15) Multiple (30) 22 17,027,194 46,240,431 63,267,625 4,571 ICMP.Destination Multiple -Un reachable (800) Multiple (420) 45,707,472 0 45,707,472 63,611 0 A-3 Authentication.Ra Multiple dius (26) Multiple (137) Multiple (4) 37,166,011 5,527,183 42,693,194 3,146 Misc.giop Multiple (21) Multiple (88) Multiple (2) 38,259,616 2,724,832 40,984,448 1,456 Misc.ttc Multiple (28) Multiple (119) Multiple (6) 32,556,721 4,656,723 37,213,444 2,885 Misc.tlisrv Multiple (24) Multiple (114) Multiple (2) 32,521,047 4,640,314 37,161,361 1,574 RemoteAccess.V Multiple (5) Multiple (3) 5900 NC 3,166,425 32,552,103 35,718,528 68 Misc.bootps Multiple (15) 67 6,197,750 18,874,532 25,072,282 5,623 DataWarehousing Multiple .S (19) APGatewayServe r Multiple (48) 3300 13,491,462 1,109,165 14,600,627 685 Misc.ntp Multiple (13) 123 7,204,192 6,872,680 14,076,872 33,561 DataWarehousing Multiple .Or acleDB (16) Multiple (69) 1571 11,640,595 1,842,461 13,483,056 755 Misc.Nessus Multiple (82) 1241 8,835,184 3,576,072 12,411,256 816 ICMP.Echo-Reply Multiple (73) Multiple (545) 12,061,690 0 12,061,690 91,072 DataWarehousing Multiple .Or asrv (18) Multiple (87) 1525 9,723,018 2,206,893 11,929,911 815 Streaming.Micros Multiple oft (17) MediaServerStrea mi ng Multiple (70) 1755 9,989,720 1,477,533 11,467,253 758 Misc.UPnP Multiple (18) Multiple (79) 1900 9,156,032 1,910,015 11,066,047 807 DataWarehousing Multiple .M (19) SSQLServer Multiple (82) 1433 9,621,889 1,405,124 11,027,013 784 P2P.Kazaa Multiple (102) 1214 9,428,486 1,481,513 10,909,999 820 RemoteAccess.S Multiple unR (21) PC.NFS Multiple (75) 2049 8,849,197 1,662,163 10,511,360 791 Mail.ccmail Multiple (41) 3264 7,907,487 2,259,371 10,166,858 687 3,709,460 6,452,192 10,161,652 1,860 Multiple (93) Multiple (12) Multiple (20) Multiple (23) Multiple (13) 0 DirectoryServices Multiple (4) Multiple (3) 636 .LD AP NetworkManage ment .FlowRecords Multiple (19) Multiple (74) Multiple (4) 8,857,499 1,281,121 10,138,620 763 Chat.MSN.Misc Multiple (19) Multiple (76) 1863 8,524,395 1,498,060 10,022,455 776 VoIP.H.323.CallSi Multiple gn aling (10) Multiple (53) 1720 8,595,934 779,232 9,375,166 282 Web.Squid Multiple (53) 3128 8,223,154 1,072,445 9,295,599 676 Multiple (15) A-4 RemoteAccess.Cit Multiple rix (21) ICA Multiple (83) 1494 8,028,257 1,230,732 9,258,989 796 SecurityProtocol.I Multiple PS ec (12) Multiple (57) Multiple (2) 8,006,461 1,094,109 9,100,570 651 P2P.eDonkey200 Multiple 0 (17) Multiple (47) 4662 7,449,692 880,892 8,330,584 675 P2P.PeerEnabler Multiple (14) Multiple (47) 3531 7,357,982 910,294 8,268,276 680 Web.NortonAntiVi Multiple rus (13) Multiple (48) 2967 7,314,129 866,278 8,180,407 654 Misc.snmptrap Multiple (4) Multiple (2) Multiple (2) 7,898,530 0 7,898,530 3,508 P2P.Blubster Multiple (3) Multiple (4) 41170 567,264 812,587 1,379,851 16 1,041,879 272,129 1,314,008 1,594 Streaming.Stream 157.100.10 Multiple (2) 8000 ing 2.120 Audio 194,112 0 194,112 1,348 InnerSystem.Upd Multiple (2) Multiple (2) 45000 ate Daemon 127,878 54,061 181,939 16 DataWarehousing Multiple (3) Multiple (2) 9080 .Co bis 117,102 666 117,768 13 NetworkManagem Multiple (2) Multiple (2) 40000 ent .Flowproc 5,097 14,813 19,910 4 Chat.IRC 5,873 FileTransfer.NET Multiple BI (34) OS Multiple (26) 137 236 6,109 2 DataWarehousing Multiple (2) Multiple (2) Multiple (2) 1,057 .A RCserverBackup Multiple (2) Multiple (2) 6667 1,275 2,332 4 Misc.Kerberos 0 828 18 DataWarehousing Multiple (2) Multiple (2) 5432 .Po stgreSQL 532 190 722 2 DataTransfer.NFS 10.20.64.5 10.30.2.5 362 262 624 3 298 288 586 3 RemoteAccess.pc 157.100.10 157.100.75. 65301 an ywhere 2.132 112 252 304 556 4 RemoteAccess.Te 10.20.64.5 10.30.2.5 lnet 278 238 516 3 502 0 502 4 Multiple (2) 368 0 368 8 Chat.Yahoo 10.20.64.5 10.30.2.5 Multiple (5) 828 111 Multiple (2) Multiple (2) 5050 23 FileTransfer.DCO Multiple (2) Multiple (2) 135 M FileTransfer.xfer 10.20.64.5 10.30.2.5 Mail.SMTP Multiple (2) Multiple (2) 25 328 0 328 5 Misc.MITMLDevic 10.20.64.5 10.30.2.5 e Multiple (2) 276 0 276 6 Misc.name 10.20.64.5 10.30.2.5 42 184 0 184 4 Mail.pop2 10.20.64.5 10.30.2.5 109 184 0 184 4 Misc.whois 10.20.64.5 10.30.2.5 43 184 0 184 4 DataTransfer.NNT 10.20.64.5 10.30.2.5 PN ews 119 184 0 184 4 Misc.finger 10.20.64.5 10.30.2.5 79 184 0 184 4 Misc.daytime 10.20.64.5 10.30.2.5 13 184 0 184 4 A-5 Web.http(81) 10.20.64.5 10.30.2.5 81 184 0 184 4 Misc.Syslog 10.20.64.5 10.30.2.5 514 184 0 184 4 Misc.AltaVistaFire 10.20.64.5 10.30.2.5 wa ll97 26 184 0 184 4 Misc.metagram 10.20.64.5 10.30.2.5 99 184 0 184 4 Misc.bgmp 10.20.64.5 10.30.2.5 264 184 0 184 4 Misc.dnsix 10.20.64.5 10.30.2.5 90 184 0 184 4 Misc.time 10.20.64.5 10.30.2.5 37 184 0 184 4 Misc.mfcobol 10.20.64.5 10.30.2.5 89 184 0 184 4 P2P.BitTorrent Multiple (2) 144 0 144 3 Misc.objcall 10.20.64.5 10.30.2.5 Multiple (2) Multiple (2) 259 138 0 138 3 Authentication.TA 10.20.64.5 10.30.2.5 CA CS 49 138 0 138 3 Mail.POP 10.20.64.5 10.30.2.5 110 138 0 138 3 P2P.OpenNap Multiple (2) Multiple (2) 6699 98 0 98 2 Chat.Jabber Multiple (2) Multiple (2) 5222 98 0 98 2 Web.Webmin Multiple (2) Multiple (2) 10000 98 0 98 2 FilePrint.MDQS 10.20.64.5 10.30.2.5 666 46 46 92 2 Misc.ctf 10.20.64.5 10.30.2.5 84 92 0 92 2 Misc.discard 10.20.64.5 10.30.2.5 9 92 0 92 2 Misc.dsp 10.20.64.5 10.30.2.5 33 92 0 92 2 Misc.gopher 10.20.64.5 10.30.2.5 70 92 0 92 2 Misc.qotd 10.20.64.5 10.30.2.5 17 92 0 92 2 Streaming.RTSP. 10.20.64.5 10.30.2.5 RT SPSessionContro l 554 46 0 46 1 P2P.Gnutella 10.20.64.5 10.30.2.5 6346 46 0 46 1 Mail.IMAP 10.20.64.5 10.30.2.5 143 46 0 46 1 Misc.echo 10.20.64.5 10.30.2.5 7 46 0 46 1 Chat.ICQ 10.20.64.5 10.30.2.5 5190 46 0 46 1 ANEXO B APLICACIONES QUITO-GUAYQUIL PERIODO OCTUBRE B-1 Aplicaciones Quito Guayaquil Generated: Jan 10, 2014 4:08 PM ECT B-2 Aplicaciones Quito Guayaquil Oct 1, 2013 12:00 AM ECT - Oct 31, 2013 11:30 PM ECT Application Source Destinati Destinati Source By IP (U on IP on Port tes (Sum) nique (Unique (Unique Count) Count) Count) Destinati Total Bytes on Bytes (Sum) (Sum) Count DataWarehousing Multiple .iS (10) CSI Multiple (52) 3260 1,823,164,370, 38,033,843,1 1,861,198,213, 6,680 710 60 870 other Multiple (686) Multiple (615) Multiple (36,741) 155,252,305,21 25,368,111,7 180,620,416,95 1,009,0 7 34 1 27 Multimedia.Intelle Multiple x (19) Multiple (79) Multiple (3) 94,663,060,615 5,046,365,15 99,709,425,766 19,330 1 RemoteAccess.S Multiple SH (25) Multiple (63) 22 25,325,164,020 35,310,528,3 60,635,692,392 5,404 72 Misc.LotusNotes Multiple (33) Multiple (104) 1352 31,792,218,300 1,345,113,31 33,137,331,616 74,599 6 DataTransfer.FTP Multiple (5) Multiple (51) Multiple (2) 14,500,945,777 230,550,250 14,731,496,027 2,115 DataTransfer.Win Multiple do wsFileSharing (30) Multiple (63) Multiple (2) 8,427,334,753 2,945,717,37 11,373,052,126 14,218 3 InnerSystem.Flow Multiple gen (31) Multiple (75) Multiple (1,349) 773,011,642 3,361,381,28 4,134,392,927 16,755 5 Web.Web.Misc Multiple (60) Multiple (555) 80 638,279,407 3,331,254,14 3,969,533,555 425,733 8 Web.SecureWeb Multiple (41) Multiple (468) 443 96,319,034 1,559,998,69 1,656,317,728 39,397 4 Streaming.RTSP. Multiple RT (2) SPSessionContro l Multiple (50) 554 14,317,480 896,313,894 910,631,374 145 Web.http(8080) Multiple (57) Multiple (47) 8080 256,991,778 212,512,981 469,504,759 42,952 DataWarehousing Multiple .Or acle (31) Multiple (203) Multiple (8) 30,410,006 392,906,281 423,316,287 3,420 RemoteAccess.M Multiple ST (26) erminalServices Multiple (62) 3389 83,659,500 328,636,061 412,295,561 598 Misc.snmp Multiple (34) Multiple (102) 161 170,081,295 208,536,808 378,618,103 590,138 Misc.tlisrv Multiple (24) Multiple (101) Multiple (2) 10,197,533 294,786,211 304,983,744 780 Misc.bootpc 10.20.22. Multiple 23 (525) 68 253,096,631 21,584 91,358 Misc.domain Multiple (1,131) Multiple (49) 53 60,425,980 167,136,744 227,562,724 521,474 RemoteAccess.V Multiple NC (12) Multiple (47) 5900 20,763,145 187,052,203 207,815,348 244 Chat.MSN.Misc Multiple (21) Multiple (85) 1863 4,747,543 164,325,664 169,073,207 424 Misc.Nessus Multiple (19) Multiple (79) 1241 20,797,420 115,734,693 136,532,113 466 Authentication.Ra Multiple dius (29) Multiple (164) Multiple (4) 11,465,027 99,170,040 1,686 253,118,215 110,635,067 B-3 ICMP.Echo Multiple (624) Multiple (1,033) 0 66,232,230 0 66,232,230 358,212 RemoteAccess.S Multiple unR (22) PC.NFS Multiple (105) 2049 60,193,379 2,317,017 62,510,396 542 Misc.ntp Multiple (21) Multiple (14) 123 24,305,864 16,906,276 41,212,140 33,807 ICMP.Destination- Multiple Un reachable (741) Multiple (388) 0 31,414,563 0 31,414,563 61,900 Misc.ttc Multiple (30) Multiple (145) Multiple (6) 15,782,198 8,355,473 24,137,671 1,434 Misc.bootps Multiple (108) Multiple (15) 67 7,095,016 15,744,498 22,839,514 5,866 RemoteAccess.Te Multiple lnet (6) Multiple (51) 23 752,080 16,019,825 16,771,905 236 Misc.snmptrap Multiple (3) Multiple (18) Multiple (2) 14,285,656 736 14,286,392 3,255 DataTransfer.Nort Multiple on (23) Ghost Multiple (105) Multiple (2) 8,282,173 4,354,310 12,636,483 877 Misc.UPnP Multiple (20) Multiple (104) 1900 2,210,288 9,352,743 11,563,031 493 Streaming.Micros Multiple oft (17) MediaServerStrea mi ng Multiple (96) 1755 9,095,764 1,471,650 10,567,414 508 FileTransfer.NET Multiple BI (32) OS Multiple (74) 137 7,424,291 544,300 7,968,591 4,647 ICMP.Echo-Reply Multiple (68) Multiple (456) 0 7,916,486 0 7,916,486 89,907 Misc.giop Multiple (22) Multiple (81) Multiple (2) 4,550,544 2,736,516 7,287,060 790 DataWarehousing Multiple .M (20) SSQLServer Multiple (117) 1433 4,736,752 1,329,303 6,066,055 531 DirectoryServices. Multiple LD (4) AP Multiple (23) 636 1,755,834 3,618,993 5,374,827 1,052 Web.Squid Multiple (15) Multiple (89) 3128 3,221,898 891,850 4,113,748 436 P2P.Kazaa Multiple (20) Multiple (86) 1214 3,127,678 845,339 3,973,017 410 DataWarehousing Multiple .S (19) APGatewayServe r Multiple (79) 3300 1,792,883 1,836,361 3,629,244 363 DataWarehousing Multiple .Or acleDB (19) Multiple (78) 1571 2,414,418 838,709 3,253,127 417 DataWarehousing Multiple .Or asrv (16) Multiple (68) 1525 1,788,695 1,462,104 3,250,799 390 Web.NortonAntiVi Multiple rus (13) Multiple (71) 2967 2,564,352 577,115 3,141,467 354 DataWarehousing Multiple .Or (25) Multiple (99) 1521 2,233,912 705,090 2,939,002 450 B-4 acleTNS.PeopleS oft P2P.PeerEnabler Multiple (16) Multiple (48) 3531 1,764,185 973,298 2,737,483 319 P2P.eDonkey200 Multiple 0 (13) Multiple (64) 4662 2,288,649 436,470 2,725,119 319 RemoteAccess.Cit Multiple rix (22) ICA Multiple (86) 1494 1,948,457 727,829 2,676,286 434 NetworkManagem Multiple ent (21) .FlowRecords Multiple (61) Multiple (3) 1,944,093 596,984 2,541,077 403 Mail.ccmail Multiple (13) Multiple (44) 3264 1,670,720 508,283 2,179,003 319 VoIP.H.323.CallSi Multiple gn aling (12) Multiple (99) 1720 1,563,238 345,281 1,908,519 335 SecurityProtocol.I Multiple PS ec (15) Multiple (61) Multiple (2) 1,007,442 334,981 1,342,423 299 Streaming.Stream Multiple ing (5) Audio Multiple (43) 8000 252,177 3,004 255,181 1,614 Web.Webmin Multiple (3) Multiple (39) 10000 40,808 168,915 209,723 184 DataWarehousing Multiple .Co bis (7) Multiple (11) 9080 130,156 35,018 165,174 54 P2P.OpenNap Multiple (3) Multiple (18) 6699 128,119 30,297 158,416 21 Misc.Kerberos Multiple (4) Multiple (54) Multiple (5) 104,951 25,578 130,529 493 P2P.Blubster Multiple (2) Multiple (2) 41170 20,732 48,361 69,093 13 Web.http(81) Multiple (2) Multiple (36) 81 48,962 1,748 50,710 145 DataWarehousing Multiple .Po stgreSQL (3) Multiple (42) 5432 37,542 2,024 39,566 125 Misc.name Multiple (2) Multiple (22) 42 35,802 920 36,722 57 Misc.dsp Multiple (2) Multiple (22) 33 26,630 736 27,366 34 DataTransfer.NFS Multiple (2) Multiple (44) 111 12,428 13,080 25,508 142 Misc.Syslog Multiple (2) Multiple (37) 514 14,773 7,896 22,669 157 Mail.IMAP Multiple (2) Multiple (39) 143 16,100 1,932 18,032 107 Misc.finger Multiple (2) Multiple (38) 79 9,972 8,050 18,022 139 FileTransfer.DCO Multiple M (3) Multiple (49) 135 11,050 4,990 16,040 169 Misc.echo Multiple (2) Multiple (39) 7 10,042 4,338 14,380 164 Mail.SMTP Multiple (3) Multiple (43) 25 7,986 4,274 12,260 116 Misc.daytime Multiple (2) Multiple (39) 13 9,250 2,162 11,412 138 B-5 Chat.ICQ Multiple (2) Multiple (38) 5190 6,616 1,748 8,364 113 Misc.ctf Multiple (2) Multiple (22) 84 6,676 1,242 7,918 53 Misc.discard Multiple (2) Multiple (40) 9 5,384 1,932 7,316 111 DataTransfer.NNT Multiple PN ews (2) Multiple (39) 119 4,752 2,070 6,822 115 Mail.POP Multiple (2) Multiple (47) 110 3,450 2,162 5,612 117 Misc.AltaVistaFire Multiple wa ll97 (2) Multiple (36) 26 3,450 1,748 5,198 111 Misc.time Multiple (2) Multiple (36) 37 3,078 1,978 5,056 106 P2P.BitTorrent Multiple (3) Multiple (34) Multiple (2) 1,032 2,116 3,148 67 Misc.MITMLDevic Multiple e (2) Multiple (34) Multiple (2) 1,046 2,024 3,070 56 FileTransfer.xfer Multiple (31) Multiple (2) 884 1,702 2,586 51 Multiple (2) DataWarehousing 10.20.22. 10.30.22.8 41524 .A 23 RCserverBackup 1,065 1,335 2,400 3 NetworkManagem 10.20.22. 10.30.22.8 40000 ent 23 .Flowproc 1,005 1,275 2,280 4 Misc.metagram Multiple (2) Multiple (33) 99 948 1,196 2,144 43 Chat.Yahoo Multiple (2) Multiple (25) 5050 1,146 966 2,112 38 Chat.IRC Multiple (3) Multiple (14) 6667 1,472 598 2,070 26 Authentication.TA Multiple CA (2) CS Multiple (28) 49 778 1,150 1,928 40 Mail.pop2 Multiple (25) 109 824 828 1,652 33 InnerSystem.Upd 10.20.22. 10.30.22.8 45000 ate 23 Daemon 670 850 1,520 2 Misc.dnsix Multiple (2) Multiple (25) 90 506 1,012 1,518 29 Chat.Jabber Multiple (3) Multiple (21) 5222 374 1,104 1,478 31 P2P.Gnutella Multiple (2) Multiple (20) 6346 552 782 1,334 27 Misc.gopher Multiple (2) Multiple (21) 70 364 966 1,330 26 Misc.bgmp Multiple (2) Multiple (17) 264 410 782 1,192 22 FilePrint.MDQS Multiple (2) Multiple (17) 666 502 690 1,192 21 Misc.objcall Multiple (2) Multiple (19) 259 322 828 1,150 24 Multiple (2) B-6 Misc.whois Multiple (2) Multiple (17) 43 594 552 1,146 22 Misc.qotd Multiple (2) Multiple (16) 17 382 690 1,072 22 Misc.mfcobol Multiple (2) Multiple (17) 89 368 644 1,012 22 252 304 556 4 RemoteAccess.pc 10.20.22. Multiple (2) 65301 an ywhere 3 ANEXO C APLICACIONES QUITO-GUAYQUIL PERIODO NOVIEMBRE C-1 Aplicaciones p Quito Guayaquil y q Generated: Jan 10, 2014 5:49 PM ECT C-2 Aplicaciones Quito Guayaquil Nov 1, 2013 12:00 AM ECT - Nov 30, 2013 11:30 PM ECT Application Source IP (U nique Count) Destinatio Destina n IP tion (Unique Port Count) (Unique Count) Source By tes (Sum) Destinati Total Bytes on Bytes (Sum) (Sum) Count DataWarehousin Multiple g.iS (10) CSI Multiple (47) 3260 1,770,852,656, 44,353,516, 1,815,206,172, 8,160 476 293 769 other Multiple (655) Multiple (595) Multiple 124,166,232,2 16,322,266, 140,488,498,6 1,558,07 (38,556) 32 410 42 6 Multimedia.Intelle Multiple x (14) Multiple (42) Multiple (3) 121,541,598,4 6,239,651,4 127,781,249,8 15,133 57 26 83 DataTransfer.FT Multiple (3) Multiple (2) Multiple P (2) 35,000,091,35 558,669,35 35,558,760,70 2,072 1 3 4 Misc.LotusNotes Multiple (26) Multiple (84) 1352 25,601,427,89 710,640,56 26,312,068,46 71,184 8 7 5 DataTransfer.Win Multiple do wsFileSharing (35) Multiple (20) Multiple (2) 1,721,578,353 4,917,292,6 6,638,871,023 7,949 70 RemoteAccess.S Multiple SH (20) Multiple (29) 22 5,855,448,545 130,280,18 5,985,728,729 4,544 4 Web.Web.Misc Multiple (51) Multiple (35) 80 345,485,147 1,057,705,9 1,403,191,090 336,866 43 RemoteAccess.M Multiple ST (19) erminalServices Multiple (24) 3389 393,362,627 442,443,38 835,806,009 2 422 Misc.snmp Multiple (36) Multiple (57) 161 267,658,266 304,384,39 572,042,661 5 1,738,63 9 InnerSystem.Flo Multiple wgen (31) Multiple (20) Multiple (1,284) 200,770,215 265,383,01 466,153,229 4 15,292 Web.http(8080) Multiple (43) Multiple (8) 8080 199,129,587 173,813,92 372,943,510 3 13,800 Misc.bootpc 10.20.22.2 Multiple 3 (609) 248,433,179 145,981 93,601 Misc.domain Multiple (878) 29,818,143 82,885,345 112,703,488 325,352 RemoteAccess.V Multiple (3) Multiple (3) 5900 NC 37,084,479 69,218,447 106,302,926 28 Misc.Nessus Multiple (22) Multiple (87) 1241 69,459,034 36,705,642 106,164,676 692 P2P.Kazaa Multiple (21) Multiple (95) 1214 93,780,901 3,918,820 434 Web.SecureWeb Multiple (20) Multiple (34) 443 10,103,842 63,132,940 73,236,782 3,451 RemoteAccess.Ci Multiple trix (17) ICA Multiple (86) 1494 55,373,232 2,114,786 57,488,018 442 ICMP.Echo Multiple (554) Multiple (946) 0 50,153,440 0 50,153,440 336,722 Misc.tlisrv Multiple (25) Multiple (124) Multiple (2) 30,640,011 12,883,349 43,523,360 887 ICMP.Destination Multiple -Un reachable (661) Multiple (388) 0 38,235,655 0 59,465 68 Multiple (3) 53 248,579,160 97,699,721 38,235,655 C-3 Misc.ntp Multiple (23) Multiple (12) 123 30,554,660 3,829,336 34,383,996 26,789 FileTransfer.NET Multiple BI (34) OS Multiple (52) 137 27,353,066 580,788 27,933,854 98,723 DataWarehousin Multiple g.Or acle (28) Multiple (192) 18,267,535 7,124,267 25,391,802 3,176 Misc.bootps Multiple (68) Multiple (18) 67 7,947,272 16,291,712 24,238,984 6,600 Misc.snmptrap 10.20.2.11 157.100.75. 162 1 112 19,095,566 0 19,095,566 1,794 Multiple (8) DataWarehousin Multiple g.S (12) APGatewayServe r Multiple (54) 3300 16,301,718 2,364,966 18,666,684 305 DataWarehousin Multiple g.Or asrv (16) Multiple (84) 1525 11,966,742 6,681,682 18,648,424 995 Authentication.Ra Multiple dius (23) Multiple (144) 7,837,977 3,965,355 11,803,332 1,540 P2P.PeerEnabler Multiple (15) Multiple (58) 3531 8,943,236 2,226,205 11,169,441 322 DataTransfer.Nor Multiple ton (21) Ghost Multiple (114) 9,143,771 1,849,895 10,993,666 860 DirectoryServices Multiple (2) 157.100.74. 636 .LD 58 AP 3,076,701 5,557,909 8,634,610 1,512 Misc.ttc Multiple (4) Multiple (2) Multiple (26) Multiple (119) Multiple (6) 6,059,105 2,472,701 8,531,806 1,347 ICMP.Echo-Reply Multiple (77) Multiple (485) 0 7,993,960 0 7,993,960 89,711 RemoteAccess.S Multiple unR (16) PC.NFS Multiple (73) 2049 3,896,016 1,315,837 5,211,853 513 Misc.giop Multiple (78) Multiple (2) 2,417,157 1,816,851 4,234,008 721 DataWarehousin Multiple g.Or (17) acleTNS.PeopleS oft Multiple (83) 1521 3,179,551 927,976 4,107,527 442 NetworkManage Multiple ment (17) .FlowRecords Multiple (75) Multiple (6) 3,172,469 894,589 4,067,058 410 Streaming.Micros Multiple oft (18) MediaServerStre ami ng Multiple (70) 1755 2,031,558 1,262,338 3,293,896 429 DataWarehousin Multiple g.Or acleDB (14) Multiple (70) 1571 2,348,190 775,955 3,124,145 372 Mail.ccmail Multiple (15) Multiple (59) 3264 1,499,793 985,231 2,485,024 306 Misc.UPnP Multiple (17) Multiple (67) 1900 1,712,952 759,656 2,472,608 414 DataWarehousin Multiple g.M (20) SSQLServer Multiple (75) 1433 1,421,604 509,429 1,931,033 382 Multiple (18) C-4 Chat.MSN.Misc Multiple (19) Multiple (73) 1863 905,796 533,122 1,438,918 354 VoIP.H.323.CallSi Multiple (8) Multiple (51) 1720 gn aling 1,153,467 238,200 1,391,667 210 Web.Squid Multiple (12) Multiple (53) 3128 813,976 470,062 1,284,038 287 Web.NortonAntiVi Multiple rus (15) Multiple (55) 2967 832,901 423,075 1,255,976 342 P2P.eDonkey200 Multiple (9) Multiple (43) 4662 0 780,186 344,860 1,125,046 249 SecurityProtocol.I Multiple (8) Multiple (44) 4500 PS ec 471,463 297,516 768,979 288 RemoteAccess.T 10.20.64.1 Multiple (2) 23 elnet 09 34,179 648,970 683,149 8 Streaming.Strea Multiple (2) Multiple (3) 8000 ming Audio 219,796 0 219,796 1,527 InnerSystem.Upd Multiple (3) Multiple (3) 45000 ate Daemon 170,701 20,574 191,275 9 P2P.Blubster 17,499 79,156 96,655 8 DataWarehousing Multiple (6) Multiple (3) 9080 .Co bis Multiple (3) Multiple (3) 41170 78,034 8,849 86,883 28 DataWarehousing Multiple (4) Multiple (4) 41524 .A RCserverBackup 34,537 35,302 69,839 19 NetworkManage Multiple (2) Multiple (2) 40000 ment .Flowproc 11,050 10,771 21,821 9 RemoteAccess.p Multiple (3) Multiple (3) 65301 can ywhere 3,838 3,280 7,118 7 DataWarehousing Multiple (2) Multiple (2) 5432 .Po stgreSQL 356 288 644 4 FileTransfer.DCO 10.20.22.3 10.30.22.8 M 152 0 152 1 135 P2P.BitTorrent 157.100.10 10.30.22.12 Multiple 3.141 (2) 104 0 104 2 Chat.Jabber 157.100.10 10.30.22.12 5222 3.141 104 0 104 2 ICMP.TimeExceeded 169.254.96 10.30.22.8 .86 56 0 56 1 P2P.Gnutella 157.100.10 10.30.22.12 6346 3.141 52 0 52 1 Chat.IRC 157.100.10 10.30.22.12 6667 3.141 52 0 52 1 Web.Webmin 157.100.10 10.30.22.12 10000 3.141 52 0 52 1 P2P.OpenNap 157.100.10 10.30.22.12 6699 3.141 52 0 52 1 0 ANEXO D UTILIZACIÓN ANCHO DE BANDA CANAL UIO-GYE PERIODO ENE-MAR 2013 D-1 eHealth Trend Report Divide by Time CFN_MATRIZ-GigabitEthernet0/1.399 BW: 1.0 Gbps 10K 100% 8K 80% 6K 60% 4K 40% 2K 20% 0 Goal0% Time Average Frame Size (bytes) Bits In /sec Bandwidth Utilization In % Average Frame Size In (bytes) Bits Out /sec Bandwidth Utilization Out % Average Frame Size Out (bytes) Availability % Bits /sec Bandwidth Utilization % Summary Statistics Standard Size of Percentile Number of Mean Deviation Maximum Minimum Range Median 99th 95th 90th Samples 99.99 0.07 100.00 99.46 0.54 100.00 100.00 100.00 100.00 90 Average Frame Size(bytes) 526.02 94.51 852.94 58.39 794.55 450.34 852.94 684.31 612.15 90 Average Frame Size In(bytes) 802.76 168.63 1.33 K 65.06 1.27 K 689.66 1.33 K 1.07 K 965.75 90 Average Frame Size Out(bytes) 220.73 91.43 490.44 51.52 438.92 158.34 490.44 329.69 289.06 90 Bandwidth Utilization% 0.07 0.07 0.23 0.00 0.23 0.04 0.23 0.19 0.16 90 Bandwidth Utilization In% 0.11 0.11 0.36 0.00 0.36 0.07 0.36 0.34 0.25 90 Bandwidth Utilization Out% 0.03 0.03 0.15 0.00 0.15 0.02 0.15 0.10 0.07 90 Bits/sec 1.35 M 1.34 M 4.61 M 198.60 4.61 M 840.11 K 4.61 M 3.83 M 3.12 M 90 Bits In/sec 1.08 M 1.09 M 3.58 M 102.88 3.58 M 682.41 K 3.58 M 3.37 M 2.54 M 90 324.84 K 1.51 M 95.71 698.83 K 90 Availability% Bits Out/sec 270.16 K 1.51 M 153.67 K 1.51 M 1.02 M ANEXO E UTILIZACIÓN ANDO DE BANDA CANAL UIO-GYE PERIODO ABR-JUN 2013 E-1 eHealth Trend Report Divide by Time CFN_MATRIZ-GigabitEthernet0/1.399 BW: 1.0 Gbps 10K 100% 8K 80% 6K 60% 4K 40% 2K 20% 0 Goal0% Time Average Frame Size (bytes)Average Frame Size In (bytes)Average Frame Size Out (bytes)Bits /sec Bits In /sec Bits Out Bandwidth Utilization % Bandwidth Utilization In %Bandwidth Utilization Out % /secAvailability % Summary Statistics Standard Mean Availability% Size of Deviation Maximum Minimum Percentile Number of Range Median 99th 95th 90th Samples 99.31 5.02 100.00 54.45 45.55 100.00 100.00 100.00 100.00 91 Average Frame Size(bytes) 497.53 68.24 825.58 0.00 825.58 478.25 825.58 615.31 579.28 91 Average Frame Size In(bytes) 769.46 100.49 1.09 K 0.00 1.09 K 737.67 1.09 K 996.71 931.58 91 Average Frame Size Out(bytes) 238.29 78.06 755.81 0.00 755.81 206.80 755.81 338.80 273.30 91 Bandwidth Utilization% 0.10 0.07 0.24 0.00 0.24 0.11 0.24 0.21 0.18 91 Bandwidth Utilization In% 0.14 0.11 0.39 0.00 0.39 0.17 0.39 0.34 0.28 91 Bandwidth Utilization Out% 0.05 0.04 0.18 0.00 0.18 0.05 0.18 0.11 0.09 91 Bits/sec 1.90 M 1.47 M 4.73 M 0.00 4.73 M 2.22 M 4.73 M 4.21 M 3.66 M 91 Bits In/sec 1.44 M 1.13 M 3.95 M 0.00 3.95 M 1.72 M 3.95 M 3.37 M 2.82 M 91 1.78 M 0.00 1.78 M 494.75 K 1.78 M 1.05 M 882.65 K 91 Bits Out/sec 467.07 K 396.94 K ANEXO F APLICACIONES Y PROTOCOLOS RED INTERNA UIO F-1 Aplicaciones p CFN Quito Guayaquil Generated: Jan 16, 2014 5:27 PM ECT Multiple (8) Multiple (1 0) NetworkM anagemen t.FlowRec ords Authentica Multiple (8) Multiple (1 tion.Radius 6) InnerSyste Multiple (5 m.Flowgen 1) 53 Multiple (3 5) Multiple (3 1) 19,599,77 0,799 3,700,728 192,672,0 23 1,201,049, 001 7,946,375, 264 327,106 368,357 Multiple (5) Multiple (4) 4,320,031 238,108 6,241,780 4,558,139 3,641 16,775,588 27,306 9,147,424, 265 1,503 Destinati on Packe ts (Sum) 74,969 Total Pa ckets (Sum) 2,881 29,106 7,991,708 80,009 94 363,798 Multiple (2) 36,000 Multiple (2) 2,699 Multiple (2) 365,237 6,522 56,412 Multiple (2) 324 Multiple (2) 15,020 14,233,488 Multiple (2) 405,949 241,781 327,200 732,155 F-2 Count Multiple (2) 22,334 Protocol (Unique Count) 26,175,891 21,090,345 47,266,236 Multiple (2) 302,348 73,466 Source Packets (Sum) 27,521,305 16,501,507 44,022,812 161,772 10,061 Multiple (1, 12,597,520 4,178,068 665) 80 8080 15,805,52 8,914 95,174 Destina Total Byt tion Byt es (Sum) es (Sum) 25,212,141 79,546,981 104,759,1 22 3,794,241, 885 3,605,554 Source Bytes (Sum) Multiple (4) Multiple (4) 192,661,9 62 Multiple (1 3) Multiple (4, Multiple (1 806) 6) Multiple (1 2,106) Web.Web. Misc Multiple (8 9) Multiple (1 1,150) Web.http(8 Multiple (9 080) 1) Multiple (4 2,538) Multiple (4 6) Multiple (3 1,333) Misc.doma in Multiple (9 0) Multiple (2 9,960) Multiple (2 08) Destinat ion Port (Unique Count) other Destina tion IP (Unique Count) Multiple (5, Multiple (7) 3128 392) Source IP Source (Unique Port (U Count) nique Count) Web.Squid Multiple (2 5) Appli cation Aplicaciones CFN Quito Guayaquil Estadísticas red interna por aplicación - AR1 Sep 1, 2013 12:00 AM ECT - Sep 30, 2013 11:30 PM ECT Multiple (2 0,326) Multiple (3 5) Multiple (6 8) Misc.Lotus Notes DataTrans fer.Windo wsFileSha ring 0 361,779,3 56 0 288 1,182 1,892 21,122 2,465,765, 794 5,426,520, 241 20,238,03 8,256 34,155,503 0 Multiple (2) 1,680,937, 020 Multiple (4) 1352 Multiple (2 4) Multiple (7) 161 Multiple (3, Multiple (2 521) 3) 0 ICMP.Dest Multiple (1 ination-Unr 7) eachable Multiple (3) Multiple (1 7,041) Misc.snmp 317,816,2 09 2,226,053, 162 Multiple (2) 162 Multiple (3) Multiple (5 8,976) Misc.snmp trap 0 924 41524 DataWare Multiple (2) Multiple (4) 10.20.2.13 housing.A RCserverB ackup 0 115,690 P2P.Gnute Multiple (3) Multiple (3) Multiple (2) 6346 lla 41170 Multiple (4) Multiple (1 1) P2P.Blubs ter 10.20.2.13 Multiple (5) Multiple (5) Multiple (4) 3300 DataWare housing.S APGatewa yServer 1,543,603 7,944,068 18 0 0 131 7,107,457, 261 22,703,80 4,050 0 1,543,554 0 6 11 24 87 157,092 3,087,157 7,944,068 24 11 24 218 icmp_ip udp_ip udp_ip 4,223,196 4,846,727 9,069,923 tcp_ip 11,520 210,984 18,686 47,309 F-3 7,395,578 Multiple (2) 5 Multiple (2) 4 Multiple (2) 11 Multiple (2) 13 13,757,709 19,260,624 33,018,333 tcp_ip 34,155,503 157,092 679,595,5 65 2,226,053, 162 1,212 1,182 1,892 136,812 Multiple (4, Multiple (9) 135 779) 10.20.2.13 Multiple (2) Multiple (4, Multiple (1 803) 4) RemoteAc cess.SSH 22 0 FileTransf er.DCOM 10.20.2.13 0 0 ICMP.Tim Multiple (2 estamp-Re 0) ply Multiple (2 7) Multiple (2) 123 0 Multiple (2) 123 Misc.ntp 0 137 Multiple (7) 1433 Multiple (4 6) Multiple (2 2) ICMP.Echo Multiple (7 3) Multiple (3 4) Multiple (1 0) DataWare housing.M SSQLServ er 137 0 Multiple (3 9) ICMP.Ech o- Multiple (5 Reply 6) FileTrans fer.NETBI OS 1,024,402 1,479,139 243,188 130,594 534,577,4 06 191,976 3,871,875 19,876 243,946 130,594 534,577,4 06 383,800 4,219,219 5,282 2,839 520,091 2,526 2,925 24,797,006 264,617 4,393,653 15,465,677 16,944,816 23,872 758 0 0 191,824 347,344 23,921,856 875,150 3,369,251 21,973 16 0 0 2,524 2,070 19,025 13,093 45,845 5,298 2,839 520,091 5,050 4,995 283,642 32,969 tcp_ip tcp_ip icmp_ip icmp_ip udp_ip tcp_ip icmp_ip udp_ip 5,316 5,271 1,610 20,367 2,586 44 32,983 11,476 F-4 Multiple (2) Multiple (3, Multiple (1 356) 0) Multiple (3 5) Multiple (3) Multiple (5, Multiple (1 151) 0) Misc.Kerb eros Web.Secu reWeb DataTrans fer.FTP 10.20.2.13 Mail.POP 10.20.2.13 10.20.2.13 Mail.IMAP Misc.finger Multiple (1, Multiple (9) 79 707) Multiple (1, Multiple (9) 143 707) 25 Multiple (1, Multiple (9) 110 707) Multiple (1, Multiple (9) 111 747) 10.20.2.13 DataTrans fer.NFS 21 443 Multiple (4, Multiple (9) 23 780) Mail.SMTP Multiple (2) Multiple (1, Multiple (1 709) 0) 112,684,1 90 160,724 217,249 564,416,0 76 92 81,558 81,558 150,567 81,558 83,766 242,282 525,689 46 46 13,503 46 46 138 352,063 45,969,031 1,530,352, 023 Multiple (2) 296,180 3389 RemoteAc 10.20.2.13 cess.Telnet Multiple (4, Multiple (2 004) 2) Multiple (3, Multiple (3 546) 2) Multiple (1 6) RemoteAc cess.MST erminalSer vices Multiple (3, Multiple (9) 5900 278) 10.20.2.13 RemoteAc cess.VNC 81,604 81,604 164,070 81,604 83,812 242,420 877,752 1,576,321, 054 513,429 677,100,2 66 160,816 1,773 1,773 2,025 1,773 1,821 5,267 10,313 599,497 4,769 1,072,061 3,494 1 1 177 1 1 3 5,033 1,189,225 1,201 1,364,886 2 1,774 1,774 2,202 1,774 1,822 5,270 15,346 1,788,722 5,970 2,436,947 3,496 tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip 1,774 1,774 1,778 1,774 1,822 5,269 5,702 5,720 3,579 3,906 3,496 F-5 13,947 SecurityPr otocol.IPS ec Multiple (2 5) Multiple (5) Multiple (8) 4,166,658 91,156 RemoteAc cess.SunR PC.NFS Multiple (4) Multiple (4) Multiple (4) 2049 310,121 Misc.UPnP Multiple (3) Multiple (3) Multiple (3) 1900 Multiple (3, Multiple (5) 9080 078) 51,925,901 48,913,073 100,838,9 74 Multiple (2 5) 2,900 79,577 94,056 389,698 838,755 DataWare housing.C obis 161,360 677,395 25,044 5,252,796 Chat.MSN. Multiple (6) Multiple (6) Multiple (5) 1863 Misc 6,468 4,502,602 331,057,5 09,575 6,043,528 24,227 8,552 18,576 750,194 322,381,5 97,437 1,876,870 10,280 4,005 Streaming. Multiple (5) Multiple (5) Multiple (3) 1755 MicrosoftM ediaServer Streaming Multiple (4) 1521 Multiple (3, Multiple (7) Multiple (2) 8,675,912, 279) 138 DataWare Multiple (5) Multiple (3 housing.Or 4) acleTNS.P eopleSoft Multimedia .Intellex DataWare Multiple (9) Multiple (1 2) housing.Or acle Multiple (3) Multiple (3) Multiple (2) 4500 4,547 DataWare Multiple (3) Multiple (4) Multiple (2) 1571 housing.Or acleDB 83 326 171,384 684 46 8,177 143,066,7 36 38,624 38 29 50 265 60,278 509 31 8,012 265,263,7 76 38,266 38 26 133 591 231,662 1,193 77 16,189 408,330,5 12 76,890 76 55 tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip 9 6 5,720 12 14 43 9,335 196 12 5 F-6 Multiple (5) Multiple (5) Multiple (4) 1494 RemoteAc cess.Citrix ICA Multiple (4) Multiple (1 5) Multiple (2) Multiple (2) Multiple (2) 3260 DataWare housing.iS CSI 98,316 RemoteAc cess.pcan ywhere Multiple (4) Multiple (4) Multiple (2) 65301 287,520 27,667 19,751 Mail.ccmail Multiple (4) Multiple (4) Multiple (2) 3264 Multiple (3) 1720 371,270 VoIP.H.32 3.CallSign aling 636 Multiple (3) Multiple (2 45) DirectoryS ervices.LD AP 157.100.1 03.141 Multiple (5) Multiple (5) Multiple (2) Multiple (2) 203,710 91,420 Misc.tlisrv DataWare Multiple (4) Multiple (6) Multiple (3) 1525 housing.Or asrv 690,373 Multiple (8) Multiple (4) 420,991 Multiple (1 0) Misc.ttc Multiple (1 1) Multiple (6) Multiple (7) Multiple (4) Multiple (2) 344,689 Misc.giop 10,463 37,965 22,372 14,847 1,257,299 45,025 56,820 98,322 2,342,514 75,803 108,779 325,485 50,039 34,598 1,628,569 248,735 148,240 788,695 2,763,505 420,492 103 245 62 247 3,209 226 172 726 1,884 1,074 78 168 49 183 3,109 172 160 518 2,382 235 181 413 111 430 6,318 398 332 1,244 4,266 1,309 tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip 7 14 12 21 331 26 19 17 45 27 F-7 Multiple (1 1) Multiple (4 73) 310,011 Multiple (6) Multiple (7) Multiple (4) 1241 Multiple (6) Multiple (7) Multiple (3) Multiple (2) 137,303 Misc.Ness us DataTrans fer.Norton Ghost 16,685 129,451 Multiple (4) Multiple (5) Multiple (3) 3531 P2P.Peer Enabler 225,831 19,264 23,062 50,715 50,249 15,238 66,830 0 160,365 360,726 179,700 31,923 292,661 19,264 197 296 178 62 936 344 10,542,389 54,861,111 65,403,500 36,397 P2P.Kazaa Multiple (5) Multiple (4) Multiple (4) 1214 Multiple (5) Multiple (7) Multiple (3) 4662 Multiple (8) 0 Multiple (2) 8000 P2P.eDon key2000 ICMP.Tim e- Multiple (2) 0 Exceed ed Streaming .Streaming Audio 136 234 148 62 158 0 41,120 333 530 326 124 1,094 344 77,517 tcp_ip tcp_ip tcp_ip tcp_ip tcp_ip icmp_ip tcp_ip 12 16 14 9 12 50 977 F-8 Multiple (5) Multiple (5) 172.16.1.4 192.168.8. 17 Multiple (2) Multiple (2) 186.46.11 2.35 10.20.64.1 71 Chat.Jabb er P2P.Open Nap P2P.BitTor rent 29471 Multiple (2 6) 186.46.11 2.35 10.20.201 .2 1,064 175,934 108,439 30,891 56 92 Multiple (2) 448 6699 5222 2967 10000 Web.Norto nAntiVirus 157.100.1 02.21 10.20.120. 11 Web.Web min Multiple (1 8) Multiple (3) Multiple (4) Multiple (2) 40000 NetworkM anagemen t.Flowproc 45000 Multiple (3) Multiple (7) 10.20.2.13 InnerSyste m.Update Daemon 0 0 326,246 15,790 146,353 3,936 442 448 1,064 502,180 124,229 177,244 3,992 534 8 19 1,555 114 307 1 2 0 0 1,561 79 330 12 9 8 19 3,116 193 637 13 11 udp_ip udp_ip tcp_ip tcp_ip tcp_ip udp_ip tcp_ip 2 2 48 11 19 4 9 F-9 ANEXO G PROTOCOLOS LAN UIO PERIODO ENE-JUN 2013 G-1 ReporterAnalyzer po yz - Custom Reporting ep ng Generated On: 1/18/2014 16:07:49 Report Type: Custom Layoutt Name: Protocolos Red LAN UIO IO Folder: Custom Reports ts stre Description: Protocolos más utilizados en un semestre Status: Complete lete Timeframe: 30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT Protocol Summary Pie Chart – In Protocol Summary Pie Chart - Out 30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT 30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT G-2 ReporterAnalyzer po yzer - Custom Reporting ep ng Generated On: 1/18/2014 16:07:49 7: snmp (*.ip.udp.161) 10.02 2GBytes es 1.24% 7.79 GBytes GBytes 0.96% Other 210.69GBytes GBytes 26.03% Total 809.28 28GBytes es 100.00 00% TCP-9080 (*.ip *.ip.tcp.9080) 9080 Protocol Summary Pie Chart - Total 30 dic 2012 23:45:00 - 30 jun 2013 23:45:00 GMT G-3 G-4 Copyright © 1999-2014 NetQoS, Inc. All rights reserved. ANEXO H OFERTA ECONÓMICA MEGASUPPLY SOLUCIÓN WIRELESS H-1 ANEXO I OFERTA ECONÓMICA ANDEAN TRADE SOLUCIÓN WIRELESS I-1 OFERTA ECONÓMICA Cliente: CFN Atención: Ing. Andrea Rodríguez File: MR Fecha: 14-ago-2013 Páginas: CODIGO DESCRIPCIÓN CANT. 2 PU TOTAL MARCA: CISCO Controladora Inalámbrica WS-SVC-WISM2-3-K9= Wireless Services Module:WiSM-2: w/ 300 AP Support License 2 S/ 44.236,60 S/ SC-SVC-WISM2-7.5 WS-SVC-WISM2-K9= LIC-WISM2-300 LIC-WISM2-BASE PI-MSE-PRMO-INSRT WiSM2 SW Rel. 7.5 Wireless Services Module: WiSM-2 300 AP License for WiSM-2 WiSM-2 Base License Insert Packout - PI-MSE 2 2 2 2 2 S/ S/ S/ S/ S/ - S/ S/ S/ S/ S/ S/ 88.473,21 - Access Point AIR-CAP3602E-A-K9 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ext Ant; A Reg Domain 13 1.282,98 S/ AIR-AP-BRACKET-1 802.11n AP Low Profile Mounting Bracket (Default) 13 S/ - S/ 16.678,72 AIR-AP-T-RAIL-R SWAP3600-RCOVRY-K9 AIR-ANT2524DB-R AIR-RM3000AC-A-K9= AIR-PWRINJ4= AIR-PWR-CORD-NA Ceiling Grid Clip for Aironet APs - Recessed Mount (Default) Cisco 3600 Series IOS WIRELESS LAN RECOVERY 2.4 GHz 2 dBi/5 GHz 4 dBi Dipole Ant. Blk RP-TNC 802.11ac Wave 1 Module for AP3600 A Reg Domain Power Injector - AP-3600 Series w/ Modules-SPARE AIR Line Cord North America 13 13 52 13 13 13 S/ S/ S/ S/ S/ S/ 31,37 402,19 119,85 - S/ S/ S/ S/ S/ S/ 1.631,27 5.228,44 1.558,07 - - Garantia de Equipos CON-SNT-WSM2300 SMARTNET 8X5XNBD Wireless Services Module:WiSM-2: w/ 300 2 S/ 9.608,71 S/ 19.217,42 CON-SNT-C362EA SMARTNET 8X5XNBD 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ex 13 S/ 86,02 S/ 1.118,26 CON-SNT-AIRRM3CA SMARTNET 8X5XNBD 802.11ac Wave 1 Module for AP3600 A Reg 13 S/ 26,88 S/ 349,46 SUB TOTAL S/ 134.254,84 Nuestros Precios no Incluyen IVA Atentamente, Mérida Rodríguez Responsable ANDEANTRADE S.A VASCO DE CONTRETAS N34-180 Y LALLEMENT PBX: (593 2) 2443868 / 2432830 QUITO-ECUADOR I-2 CONDICIONES GENERALES Cliente: CFN Atención: Ing. Andrea Rodríguez MR File Fecha: Páginas: 14-ago-2013 2 GARANTÍA - 1 año contra defectos de fabricación VALIDEZ - La cotización tiene una validez de 30 días CONDICIONES DE EQUIPAMIENTO - EQUIPO NUEVO ORIGINAL DE FÁBRICA FORMA DE PAGO - 50% Anticipo - 50% Contra Entrega TIEMPO DE ENTREGA - 60 días después del anticipo Atentamente, Mérida Rodríguez Responsable ANDEANTRADE S.A Vasco de Contreras N34-180 y Lallement PBX: (593-2) 2443-868 Fax: Ext. 119 www.andean-trade.com Casilla: 17-22-20254 Quito . Ecuador ANEXO J OFERTA ECONÓMICA TOTALTEK SOLUCIÓN WIRELESS Products Line Number Configset ID: Configset Name: Created On: Created By: Last Update On: Last Update By: Main Currency: Price List: 802.11n AP Low Profile Mounting Bracket (Default) AIR-AP-T-RAIL-F AIR-AP-T-RAIL-R AIR-CHNL-ADAPTER SWAP3600-RCOVRY-K9 AIR-ANT2524DW-R AIR-OPT60-DHCP 1.2 1.3 1.4 1.5 1.6 1.7 Wireless Services Module: WiSM-2 WS-SVC-WISM2-K9= SC-SVC-WISM2-7.5 2.1 2.2 WiSM2 SW Rel. 7.5 N/A Wireless Services Module:WiSM-2: w/ 100 AP Support License 2.0 WS-SVC-WISM2-1-K9= N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Service Duration Service Provider Option 60 for Vendor Class Identifier 2.4 GHz 2 dBi/5 GHz 4 dBi Dipole Ant. White RP-TNC Cisco 3600 Series IOS WIRELESS LAN RECOVERY T-Rail Channel Adapter for Cisco Aironet Access Points Ceiling Grid Clip for Aironet APs - Recessed Mount (Default) Ceiling Grid Clip for Aironet APs - Flush Mount 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ext Ant; A Reg Domain AIR-AP-BRACKET-1 1.1 Description 1.0 AIR-CAP3602E-A-K9 Item Name 6169529 PE-WLAN-DZ-AR-OPT1-v1.0 15 de Agosto 2013 David Zambonino 15 de Agosto 2013 David Zambonino USD Global Price List - US 14 days 14 days 14 days 14 days 14 days 14 days 14 days 14 days 14 days 14 days 14 days Lead Time No Yes No No No No No No No No No Included Item 2 2 2 13 52 13 13 13 13 13 13 Quantity 0.00 0.00 29,995.00 0.00 39.00 0.00 5.00 0.00 0.00 0.00 1,595.00 ListPrice 0.00 0.00 59,990.00 0.00 2,028.00 0.00 65.00 0.00 0.00 0.00 20,735.00 Extended ListPrice 0 0 0 0 0 0 0 0 0 0 0 Discount % J-1 0.00 0.00 59,990.00 0.00 2,028.00 0.00 65.00 0.00 0.00 0.00 20,735.00 Selling Price Services Data DTLS License SMARTNET 8X5XNBD Wireless Services Module:WiSM-2: w/ 100 LIC-WISM2-DTLS-K9 2.6 Insert Packout - PI-MSE SMARTNET 8X5XNBD 802.11n CAP w/CleanAir; 4x4:3SS; Mod; Ex PI-MSE-PRMO-INSRT 2.5 WiSM-2 Base License 2.0.1 CON-SNT-WSM2100 LIC-WISM2-BASE 2.4 100 AP License for WiSM-2 1.0.1 CON-SNT-C362EA LIC-WISM2-100 2.3 12 month(s) 12 month(s) N/A N/A N/A N/A N/A N/A 14 days 14 days 14 days 14 days No No No Yes Yes Yes 2 13 2 2 2 2 5,361.13 88.00 0.00 0.00 0.00 0.00 J-2 11,866.26 Services SubTotal 1,144.00 10,722.26 0 0 10,722.26 1,144.00 82,818.00 Products SubTotal 0.00 0.00 0.00 0.00 0 0 0 0 0.00 0.00 0.00 0.00 ANEXO K MANUAL INSTALACIÓN CISCO WISM 2 (REVISAR CD ADJUNTO)
© Copyright 2024