pliego de condiciones: lanbibing.us.es/proyectos/abreproy/12013/fichero/3.+pliego...la estructura...

PLIEGO DE CONDICIONES: LAN Enero de 2012

PFC. Marina Peinado Mengibar Página 1

3.2 PLIEGO DE CONDICIONES: DISEÑO, SUMINISTRO E

INSTALACIÓN DE UNA NUEVA RED DE ÁREA LOCAL (LAN)

1. OBJETIVOS Y ALCANCE ...................................................................................................... 2

2. EQUIPAMIENTO..................................................................................................................... 4

2.1 NÚCLEO DE LA RED (CORE) ........................................................................................ 4

2.2 ZONA DE AULAS ............................................................................................................. 8

2.3 SECRETARÍA .................................................................................................................... 9

2.4 VERSIONES DE SOFTWARE ........................................................................................ 10

3. CONFIGURACIÓN POR NIVELES ..................................................................................... 10

3.1 NIVEL 1 (FÍSICO) ........................................................................................................... 10

3.1.1 INTERCONEXIÓN DE LA ELECTRÓNICA ......................................................... 11

3.1.2 INTERCONEXIÓN DE LAS PILAS ........................................................................ 12

3.2.3 SUMINISTRO POE A EQUIPOS ............................................................................ 13

3.1.4 CONEXIONES DE EQUIPOS IMPORTANTES..................................................... 16

3.2 NIVEL DE ENLACE (NIVEL 2) ..................................................................................... 20

3.2.1 VLAN (REDES DE AREA LOCAL VIRTUALES) ................................................ 20

3.2.2 PUERTOS TRONCALES (TRUNK) ....................................................................... 21

3.2.4 PUERTOS AGREGADOS (ETHERCHANNEL) .................................................... 23

3.2.5 SPANNING TREE PROTOCOL (STP) ................................................................... 25

3.3 NIVEL DE RED (NIVEL 3) ............................................................................................. 29

3.3.1 DIRECCIONAMIENTO ........................................................................................... 29

3.3.2 ENRUTAMIENTO ................................................................................................... 32

3.3.3 ASIGNACIÓN DE DIRECCIONAMIENTO DINÁMICO (DHCP) ....................... 33

3.4 SERVICIOS ADICIONALES .......................................................................................... 34

3.4.1 SEGURIDAD ............................................................................................................ 34

3.4.2 SNMP ........................................................................................................................ 36

3.4.3 HORA (NTP) ............................................................................................................. 36

3.4.4 SYSLOG.................................................................................................................... 37

3.4.5 PROTOCOLO CDP .................................................................................................. 38

3.4.6 RSPAN ...................................................................................................................... 39

4. SOLUCIÓN DE ESCRITORIOS REMOTOS VDI ............................................................... 41

5. CONCLUSIONES DE DISEÑO ............................................................................................ 45



1. OBJETIVOS Y ALCANCE

La intención del presente pliego es la de diseñar una nueva red de área local (LAN) y la

selección de nuevo equipamiento que permita el diseño deseado.

A continuación se muestran los puntos más importantes de la situación de partida y que son

candidatos a ser mejorados:

La estructura topológica de la red se basa en Switch Procurve 2500 con 24 puertos.

Viendo el número de estos switches y el uso de los mismos se recomienda la sustitución

de éstos, al menos en la zona del Centro de Procesamiento de Datos (CPD), por un

switch de gama alta con fuentes redundantes, doble procesadora y funciones de nivel 3.

Esta mejora aumentará la capacidad de la red gracias a los puertos de fibra, puertos de

cobre 10/100/1000, etc.

Se recomienda centralizar la administración de la red mediante el uso de un solo equipo

CORE y dos switches de agregación con los que se centralizará y facilitará la gestión y

administración de toda la electrónica de red.

No se observan VLAN configuradas en la LAN aunque sí hay varias zonas claramente

diferenciadas. Es por eso que se recomienda la segmentación de la red, así se reduce el

dominio de difusión (o broadcast) de la LAN. Esto implica que tanto las colisiones en la

red como las retransmisiones serán menores y por tanto la velocidad de las

comunicaciones entre equipos en la LAN mejorará. Por otra parte, segmentar ofrece

ventajas como aislamiento de equipos con virus, detección más rápida de problemas de

red, localización de problemas de nivel 2 a una VLan, etc.

Se observa que la topología de la red de las aulas no es óptima al no tener ningún tipo

de redundancia en la misma. Como se puede observar, los equipos están en cascada y

cualquier caída en un equipo intermedio dejaría sin servicio al resto de equipos que

cuelgan de él.



Switch 2824 AULA-1

010.010.013.022

Switch 2824 AULA-6

010.010.013.027

Switch 2824 AULA-5

010.010.013.026

010.010.138.100

Switch 2824 AULA-Fibra

010.010.013.030

Switch 2824 AULA-5 1:24


VLAN 1



VLAN 1



VLAN 1Switch 2824 AULA-Fibra 1:24


VLAN 1


:34

VLAN 1



VLAN 1


:34

Switch 2824 AULA-Fibra 1:24


VLAN 1

Ilustración 1. Topología de la red de las aulas

Se recomienda redundar los caminos en las 3 partes de la LAN, es decir Centro de

Procesamiento de Datos, Secretaría y Aulas para no depender solo del switch central de

fibra el cual no dispone de ningún tipo de redundancia. La redundancia consistirá en

añadir nuevos enlaces de fibra, modificando la topología física, usando doble

procesadora en el CORE, dando la posibilidad de doble enlace en los servidores, etc.

Así se ofrece redundancia a la red ante posibles fallos.

Se detectan terminales con un dominio configurado único en la red, entendemos que son

dispositivos de personal externo que se conectan a la red temporalmente.

La sede no dispone de ningún gestor SNMP para la gestión de la electrónica de red por

lo que se recomienda instalar uno para mantener el control sobre la red y tener así el

máximo conocimiento de la red, tráfico, errores, etc... que ayude a ser eficaz en la

resolución de los problemas y proactivo ante la aparición de los mismos. Se propone la

implementación del gestor de red CACTI particularizado para la red de la sede de

trabajo.

Con respecto al cortafuegos no se han encontrado errores en los interfaces conectados a

él y los tiempos de latencia al atravesarlo son los normales.

Se recomienda la separación LAN/WAN. Mediante el uso de routing en el switch de

CORE a añadir, se separa el routing LAN del routing WAN de forma que la caída del

cluster Fortigate no suponga un problema para las comunicaciones internas a la LAN.

Por otro lado, los cortafuegos dejan de estar en el mismo segmento de red que los

usuarios lo que supone una mejora desde el punto de vista de la seguridad.



2. EQUIPAMIENTO

En base a los requisitos establecidos para el diseño de la nueva red explicados en la Memoria, se

decide implementar la nueva infraestructura con equipos Cisco.

Cisco Systems, Inc. es el líder mundial en equipamiento para diseño de redes. Cisco ha estado

en el centro de muchos de los cambios históricos ocurridos en la tecnología, y así continúa

sucediendo actualmente. Ahora, cuando la industria de la tecnología está atravesando un período

de evoluciones dramáticas, Cisco es el líder del mercado en diversas áreas, tales como

encaminamiento y conmutación, comunicaciones unificadas, soluciones inalámbricas y

seguridad. La compañía ayudó a catalizar el movimiento de la industria hacia IP y ahora que la

transición está completamente encaminada, la empresa se ubica en el centro de cambios

fundamentales en la manera en que el mundo se comunica.

En la siguiente tabla se especifica una relación sobre los productos suministrados. Equipos que

se detallarán más adelante:

2.1 Núcleo de la Red (CORE)

El núcleo (o CORE) de la red está compuesto por un equipo C4510R+E, en el cual se han

insertado dos tarjetas supervisoras de alta capacidad (X45-SUP7-E)y un conjunto de tarjetas de

distintas prestaciones y anchos de banda, para dar servicio tanto a los servidores instalados en el

CPD como a una gran cantidad de usuarios situados en la planta alta (WS-X4648-RJ45-E=,

WS-X4648-RJ45V+E= , WS-X4748-RJ45V+E).

A continuación se muestra el detalle de cada una de ellas:

Identificador del producto

Chasis C4510 WS-C4510RE-S7+96V+

PWR-C45-2800ACV

PWR-C45-2800ACV/2

WS-X45-SUP7-E

WS-X45-SUP7-E/2

WS-X4648-RJ45-E=

WS-X4648-RJ45-E=

WS-X4648-RJ45V+E=

WS-X4748-RJ45V+E

WS-X4748-RJ45V+E

Identificador del producto

Equipos de planta WS-C2960S-48LPD-L

WS-C2960S-48LPD-L

WS-C2960S-48LPD-L

WS-C2960S-48LPD-L

WS-C2960S-48TS-L

WS-C2960S-48TS-L

WS-C2960S-48TS-L

WS-C2960S-48TS-L

Tabla 1. Equipamiento suministrado

.



X45-SUP7-E:

Dos controladoras de altas prestaciones (WS-

X45- SUP7-E con 848 Gbit/s y soporte de 4

puertas 10Gb sin sobresuscripción) , estando

la primera de ellas en modo activo y la

segunda en modo dormido monitorizando el

funcionamiento de la primera y a la espera de

un fallo de ésta para entrar en

funcionamiento.

WS-X4748-RJ45V+E

Cisco Catalyst de la serie 4500E, 48 puertos

802.3af PoE y 802.3at PoEP 10/100/1000 (RJ-45)

• 48 puertos sin bloqueo

• 10/100/1000 módulos RJ-45

• Cisco IOS XE Release 3.1.0SG ó

posterior

• IEEE 802.3af/at y Cisco

prestandard PoE, IEEE 802.3x

control de flujo.

• IEEE 802.1AE y Cisco TrustSec

con capacidad de hardware.

• Soporte L2-4 Jumbo Frame

(hasta 9216 bytes)

• Capacidad de hasta 30W de

potencia de entrada por Puerto en

todos los puertos de manera

simultánea.

• Diseñado para alimentar a la

siguiente generación de teléfonos

IP, estaciones base inalámbricas,

videocámaras y otros servicios

Power Over Ethernet (PoE).

• Diseñado para hacer copias de

seguridad de la red y largas

transferencias de archivos.



WS-X4648-RJ45V+E


802.3af PoE y 802.3at PoEP 10/100/1000 (RJ-45)

• Capacidad de 24 gigabits por slot.

• 48 puertos

• Módulo 10/100/1000 (RJ-45)

• Cisco IOS Software Release 12.2(40)

SG ó posterior

• IEEE 802.3af/at y Cisco prestandard

PoE, IEEE 802.3x control de flujo.

• IEEE 802.1AE y Cisco TrustSec con

capacidad de hardware.

• Soporte L2-4 Jumbo Frame (hasta

9216 bytes)

• Capacidad de hasta 30W de potencia

de entrada por Puerto en todos los

puertos de manera simultánea.

• Diseñado para alimentar a la

siguiente generación de teléfonos IP,

estaciones base inalámbricas,

videocámaras y otros servicios Power

Over Ethernet (PoE).



transferencias de archivos.

WS-X4648-RJ45-E


solamente para datos 10/100/1000 (RJ-45)

• Capacidad de 24 gigabits por slot

• 48 puertosMódulo 10/100/1000

(RJ-45)

• Cisco IOS Software Release 12.2

(50) SG o posterior •El ancho de

banda se localiza en 8 grupos de 6

puertos. Cada uno de ellos proveerá

de 3 Gbit/s por cada grupo de

puertos 2:1

• Soporte L2-4 Jumbo Frame (hasta

9216 bytes)



transferencias de archivos

• Cuenta con puertos agregadas

GE/100M para DSLAM y PON



Además, a nivel de alimentación eléctrica, se ha redundado el sistema mediante la incorporación

de dos fuentes de alimentación de 2800W.

Tabla 2. Fuente de alimentación de 2800W

A continuación y gracias a la tabla y la ilustración, se detalla la situación de cada una de las

tarjetas mencionadas anteriormente.

Ilustración 2. Situación de las tarjetas

El orden de instalación de las tarjetas no es caprichoso. Se han creado dos zonas diferenciadas.

La primera de ellas está ubicada en la parte superior del chasis (de las supervisoras hacia arriba)

y está destinada a dar servicio a los usuarios. Está compuesta por tarjetas que se alimentan a

través del cable de alimentación (Power Over Ethernet o PoE) y no POE, por lo que podría

atender a necesidades futuras de voz sobre IP (VoIP).

El segundo bloque está formado por dos tarjetas de altas prestaciones y está destinado a

conectar con los servidores, los puntos de acceso y otros dispositivos especiales, como puede

ser el cortafuegos.

SLOT Identificador del producto

Chasis WS-C4510RE-S7+96V+

PS1 PWR-C45-2800ACV

PS2 PWR-C45-2800ACV

FAN WS-X4582+E

1 WS-X4648-RJ45-E=

2 WS-X4648-RJ45-E=

4 WS-X4648-RJ45V+E=

5 WS-X45-SUP7-E

5.1 SFP-10Gbase-LRM

5.2 1000BaseSX

6 WS-X45-SUP7-E

6.1 SFP-10Gbase-LRM

6.2 1000BaseSX

9 WS-X4748-RJ45V+E

10 WS-X4748-RJ45V+E



Ilustración 3. Zonas del chasis

En base a que las siguientes zonas donde se centra el Sistema de Cableado Estructurado (SCE)

del edificio y en base al número de usuarios a los que hay que proporcionar acceso a la red, se

decidió que tanto en la zona de Aulas (Planta Baja) como en la Secretaría (Primera Planta) se

situarían switches Cisco 2960 Series apilados conectados de la siguiente manera:

Ilustración 4. Pila de switches

Esta topología hace que los cuatro equipos funciones como uno solo.

2.2 Zona de Aulas

La solución implantada en la planta baja o pila de aulas es la siguiente:

Pila Aulas

Modelo Descripción Equipos

Equipamiento

WS-C2960S-48LPD-L Catalyst 2960S 48 10/100/1000T + 2 x 10 GB SFP + IPB Image

370W· Poe

2

WS-C2960S-48TS Catalyst 2960S 48 10/100/1000T + 4 SFP + IPB Image 2



Se adjunta la relación de elementos instalados:

Orden pila Identificador del Producto

Equipos de planta 1 WS-C2960S-48LPD-L

2 WS-C2960S-48TS-L

3 WS-C2960S-48TS-L

4 WS-C2960S-48LPD-L

Tabla 4. Elementos instalados en la pila de Aulas

Según las directrices de Cisco respecto a la elección del equipo que actuará como MASTER de

la pila, se ha optado por seleccionar al equipo número 2 de ésta. La numeración de los

elementos dentro de las pila se ha realizado de arriba hacia abajo, siendo el número 1, el situado

más arriba, y el número 4 el situado en la parte más inferior de la pila.

Se especifica en la siguiente tabla, la prioridad en la que serán establecidos como master los

equipos que forman la pila.

Orden pila Equipo Prioridad

1 WS-C2960S-48LPD-L 8

2 WS-C2960S-48TS-L 14

3 WS-C2960S-48TS-L 12

4 WS-C2960S-48LPD-L 10

Tabla 5. Prioridades de los equipos de la pila

2.3 Secretaría

La solución implantada en la planta alta o pila de secretaría es la siguiente:

C2960S-STACK Module Stack + cable 2960S 4

Ópticas

SFP-10G-LMR Catalyst SFP 10GBase LRM (Largo alcance. 220m en fibra

62.5)

1

1000BaseSX SFP 1000BaseSX SFP 2

Tabla 3. Solución implantada en las Aulas

Pila Aulas

Modelo Descripción Equipos

Equipamiento

WS-C2960S-48LPD-L Catalyst 2960S 48 10/100/1000T + 2 x 10 GB SFP + IPB

Image 370W· Poe

2

WS-C2960S-48TS Catalyst 2960S 48 10/100/1000T + 4 SFP + IPB Image 2

C2960S-STACK Module Stack + cable 2960S 4

Ópticas



Se adjunta la relación de elementos instalados así como la prioridad en la que serán establecidos

como máster los equipos que forman la pila.

Orden pila Equipo Prioridad

1 WS-C2960S-48LPD-L 8

2 WS-C2960S-48TS-L 14

3 WS-C2960S-48TS-L 12

4 WS-C2960S-48LPD-L 10

Tabla 7. Prioridades de los equipos de la pila

2.4 Versiones de software

Cisco IOS (originalmente Internetwork Operating System) es el software utilizado en la gran

mayoría de enrutadores y conmutadores de Cisco Systems (algunos conmutadores obsoletos

ejecutaban CatOS). IOS es un paquete de funciones de enrutamiento, conmutación, trabajo de

internet y telecomunicaciones que se integra estrechamente con un sistema operativo multitarea.

A continuación se indican las versiones del sistema operativo de Cisco instaladas en cada

equipo, indicando que son las últimas disponibles en el momento de ejecutar la implantación.

Orden pila Equipo

Core 4500 Cisco IOS Software, IOS-XE Software,

Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSALK9-M),

Version 03.01.01.SG RELEASE SOFTWARE (fc1)

Pilas Cisco IOS Software,

C2960S Software (C2960S-UNIVERSALK9-M),

Version 12.2(58)SE, RELEASE SOFTWARE (fc1)

c2960s-universalk9-mz.122-58.SE.bin

Tabla 8. Versiones del sistema operativo de Cisco instaladas en cada equipo

3. CONFIGURACIÓN POR NIVELES

El siguiente apartado de configuración de la electrónica mencionada anteriormente está

organizado por niveles del modelo de referencia OSI para mayor claridad.

3.1 Nivel 1 (Físico)

Veamos cómo se ha realizado la conexión física de los equipos.

SFP-10G-LMR Catalyst SFP 10GBase LRM (Largo alcance. 220m en

fibra 62.5)

1

1000BaseSX SFP 1000BaseSX SFP 2

Tabla 6. Elementos instalados en la pila de Secretaría

http://es.wikipedia.org/w/index.php?title=CatOS&action=edit&redlink=1



3.1.1 INTERCONEXIÓN DE LA ELECTRÓNICA

El edificio muestra una distribución de tomas articuladas en torno a 3 armarios de reparto,

coincidiendo uno de ellos en el CPD. Entre ellos existen tiradas de fibra óptica de 8 núcleos

OM3, lo que permite hacer un diseño en triángulo cerrado para redundancias.

Ilustración 5. Conexión física de los equipos

Sobre este diseño de fibra procedemos a realizar la interconexión de la electrónica instalada. Se

han realizado las siguientes conexiones:

Un enlace de 10 Gbit/s entre cada pila y el equipo de CORE (enlace principal)

Un enlace de 1 Gbit/s como servicio de respaldo entre cada nodo de la red.

La elección de las puertos se ha realizado atendiendo a un criterio de redundancia (la caída de

una supervisora no deja sin servicio a una planta) y de simplicidad de configuración en los

armarios de las pilas (configuraciones iguales en las dos pilas).

Velocidad Armario Puerto Armario Puerto

10 GB C4510 Ten5/1 Secretaría Te1/0/1

10 GB C4510 Ten6/1 Aulas Te1/0/1

1 GB C4510 Ten5/2 Aulas Gi4/0/50

1 GB C4510 Ten6/2 Secretaría Gi4/0/50

1 GB Aulas Gi3/0/52 Secretaría Gi3/0/52

Tabla 9. Asignación de puertos



WS-X4648-RJ45V+E“E”

SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T

POWER OVER ETHERNET 13 14 15 16 17 18 19 20 21 22 23

MULTI-SPEED

GIGABIT ETHERNET

SWITCHING MODULE24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT

WS-X45-Sup6-E SUPERVISOR ENGINE 6-E

STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X

WS-X4648-RJ45V-E“E”

SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

MULTI-SPEEDGIGABIT ETHERNET

SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SWITCHED SHOULD BE IN THE OFF ‘O’ POSITION TO INSTALL /

REMOVE POWER SUPPLIES. FASTENERS MUST BE FULLY ENGAGED

PRIOR TO OPERATING POWER SUPPLY

100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

Te1/0/1Catalyst 2960-S Series

49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X

Catalyst 2960-S Series PoE+ 10G

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X

POWER OVER ETHERNET 740W1 2SFP+

Catalyst 2960-S Series

49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Gi4/0/50

Gi3/0/52


49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Te1/0/1

Gi4/0/50

Gi3/0/52

AULAS

SECRETARIA

CPD

Ten5/1

Te6/2Ten6/1

Te5/2

Ilustración 6. Conexión de puertos entre equipos

3.1.2 Interconexión de las pilas

La interconexión interna de los 4 elementos que conforman las pilas se ha realizado mediante la

inclusión de un módulo de pila (o stack).

Los enlaces se han realizado mediante una distribución en tresbolillo que permite separar los

dispositivos unos centímetros más que la típica de anillo.

Ilustración 7. Módulo de stack en la pila de switches



Ilustración 8. Opciones de conexión entre pilas

3.2.3 Suministro PoE a equipos

La alimentación local y autónoma de un dispositivo resulta a menudo problemática cuando

dicho elemento se pretende instalar en lugares poco accesibles o desprovistos de alimentación

eléctrica. Esta problemática se resuelve gracias a la tecnología Power over Ethernet (PoE),

diseñada para entregar a los dispositivos de red la alimentación que necesitan a través del propio

cable de red.

En la propuesta instalada hay una gran cantidad de puertos con dicha capacidad.

Veamos en cada armario los puertos PoE del que disponemos y como se están usando:

Equipo Ubicación Puertos

C4510 SLOT 4 48

C4510 SLOT 9 48

C4510 SLOT 10 48

Secretaría Switch 1 48

Secretaría Switch 4 48

Aulas Switch 1 48



Aulas Switch 4 48

Total 336

Tabla 10. Puertos PoE en cada armario


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

4 Soporte POE

9 Soporte POE

10 Soporte POE

CPD


49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Secretaria

Sw4 Soporte POE

Sw1 Soporte POE


49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Aulas

Sw4 Soporte POE

Sw1 Soporte POE

Ilustración 9. Puertos PoE en cada armario

Un switch puede ofrecer corriente a un dispositivo sólo si éste está diseñado para recibirla.

IEEE 802.3af es un protocolo estándar que suministra un pequeño voltaje a través de los pares

de transmisión y recepción para medir la resistencia y ver si el dispositivo conectado altera el

voltaje suministrado. Si se mide una resistencia de 25K ohm entonces un dispositivo PoE está

conectado.

El switch puede aplicar varios voltajes predefinidos dentro de los 5 que especifica el estándar

IEEE 802.3af, que son las siguientes:

Clase Potencia máxima Nota

0 15,4W Clase por defecto

1 4,0W Clase opcional



4 hasta 50W Clase opcional (802.3at)

Tabla 11. Voltajes ofrecidos por el switch

En la actualidad sólo se está alimentando a puntos de acceso inalámbrico, no habiendo ningún

otro dispositivo PoE.

Para consultar el número de equipos conectados a un switch que están haciendo uso del PoE

usamos el comando “sh power inline” de Cisco. Éste nos ofrecerá la potencia máxima que el

switch puede ofrecer, además de la que ya se está usando y la que queda libre.

4500cpd#sh power inline | i on

Interface Admin Oper Power(Watts) Device Class

From PS To Device

--------- ------ ---------- ---------- ---------- ------------------- -----



Gi9/3 auto on 16.2 15.4 AIR-LAP1042N-E-K9 3














Totals: 14 on 227.0 215.6

pilaAula#sh power inline | i on

Interface Admin Oper Power Device Class Max

(Watts)

--------- ------ ---------- ------- ------------------- ----- ----

Gi1/0/1 auto on 15.4 AIR-LAP1042N-E-K9 3 30.0










pilaSecretaría# sh power inline | i on

Interface Admin Oper Power Device Class Max

(Watts)

--------- ------ ---------- ------- ------------------- ----- ----











3.1.4 Conexiones de equipos importantes

3.1.4.1 Servidores Blade

Son una simplificación de un armario de servidores, con la característica de que cada uno de los

servidores (ó tarjetas) blade no es directamente autónomo, ya que no dispone ni de fuente de

alimentación, ni tarjetas de red, ni de ventiladores para que funcionen. Éstas tarjetas se insertan

en el bus compartido del chasis dentro de un chasis que a su vez integra y permite compartir los

elementos comunes como son la ventilación, los switches de red, la alimentación, etc.

Reduciendo el consumo eléctrico, cables, sistemas de enfriamiento, etc. Los blades son

insertados en slots y enlazados entre si gracias a un bus de alta velocidad dentro del chasis.

La finalidad principal de esta arquitectura de servidores es la de reducir el coste, dado que al

compartir las mismas fuentes de alimentación redundantes y simplificar el cableado necesario

para comunicarse (ya que lo provee el propio armario), es mucho menos costosa la ampliación y

mantenimiento del sistema, y ocupan menos espacio.

Ilustración 10. Servidor Blade

En nuestro escenario se encuentra la siguiente asignación de puertos:

BLADE

Equipo Puertos

SCOBRE1

Gi9/15 Srv-EXT SCOBRE1 ag


Gi9/31 SCOBRE1 Srv-BD Srv

Gi9/32 SCOBRE1 IMPRE-BACK

Gi9/40 Lan SCOBRE1 ag



SCOBRE2




Gi10/41 SCOBRE2 IMPRE-BACK






La arquitectura de iLO (Integrated Lights-Out) consiste en un sistema operativo y un procesador

independiente que reside en la placa base del servidor. El procesador de gestión utiliza una

fuente de energía auxiliar y funciona independientemente del procesador del servidor y su

sistema operativo.

Como la iLO es totalmente independiente del host:

Se mantiene totalmente funcional durante el apagado y encendido del servidor.

No depende del procesador del servidor para funcionar y, por tanto, no impacta en su

rendimiento.

No se ve afectada por los problemas que afecten al servidor.

Permite gestionar el servidor sin la asistencia del sistema operativo instalado en él.

En cuanto a su firmware, es capaz de ofrecer dos niveles de funcionalidad:

Estándar (disponible por defecto) que incluye las funciones básicas de gestión de los

sistemas: encender y apagar remotamente el servidor, acceder a su estado, a la consola

del servidor, a las alertas generadas…

Avanzada (requiere licencia), que ofrece funcionalidades avanzadas de gestión y

sofisticadas características de seguridad.

3.1.4.2 Red inalámbrica (Wifi)

Como se comenta en el apartado del Pliego de condiciones dedicado a la red inalámbrica la

cobertura la proporcionarán 32 puntos de acceso (AP por sus siglas en inglés: Wireless Access

Point) distribuidos entre las 3 zonas principales: Centro de Procesamiento de Datos, Secretaría y

Aulas. Todos ellos están controlados a su vez por un controlador situado en la primera zona

antes mencionada.

La asignación de los puertos correspondientes se detalla en la siguiente tabla:

iLo Gi9/37 iLo

Tabla 12. Asignación de puertos en el servidor blade

Red Inalámbrica

CPD Secretaría Aulas

Equipo Puertos Descripción Puertos Descripción Puertos Descripción

Controlador Gi9/1 Controlador

5508

Gi10/1 Controlador

5508

LAP-

1042N

Gi9/3 AP-1-

Armario1 Gi1/0/1

AP-4-

Armario2 Gi1/0/1

AP-3-

Armario3

Gi9/4 AP-2-

Armario1 Gi1/0/2

AP-2-

Armario2 Gi1/0/2

AP-5-

Armario3

Gi9/5 AP-3-

Armario1 Gi1/0/3

AP-1-

Armario2 Gi1/0/3

AP-4-

Armario3

Gi9/6 AP-4-

Armario1 Gi1/0/4

AP-3-

Armario2 Gi1/0/5

AP-2-

Armario3

Gi9/7 AP-5- Gi4/0/1 AP-8- Gi1/0/6 AP-1-



3.1.4.3 Cortafuegos

Los cortafuegos (o firewall en inglés) pueden ser implementados en hardware o software, o una

combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios

de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente

intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos,

que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad

especificados.

En nuestro escenario hay dos cortafuegos (Albaicin y Sacromonte) situados en el Centro de

Procesamiento de Datos (CPD) y la asignación de puertos en el C4500 es la siguiente:

Armario1 Armario2 Armario3

Gi9/8 AP-6-

Armario1 Gi4/0/2

AP-7-

Armario2 Gi4/0/1

AP-9-

Armario3

Gi9/9 AP-7-

Armario1 Gi4/0/3

AP-5-

Armario2 Gi4/0/2

AP-7-

Armario3

Gi10/3 AP-8-

Armario1 Gi4/0/4

AP-6-

Armario2 Gi4/0/3

AP-6-

Armario3

Gi10/4 AP-9-

Armario1 Gi4/0/6

AP-10-

Armario3

Gi10/5 AP-10-

Armario1 Gi4/0/8

AP-8-

Armario3

Gi10/6 AP-11-

Armario1

Gi10/8 AP-13-

Armario1

Gi10/9 AP-14-

Armario1

Gi10/10 AP-12-

Armario1

Tabla 13. Asignación de puertos para la red inalámbrica




SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

RCJA

ONO

10.110.128.2 10.110.128.3

10.110.128.1

10.110.128.12VLAN 14

62.82.80.96/27VLAN13

10.110.128.0/24

Gi9/27Gi9/28

Gi10/27

Port10

Port10

Gi10/28

Sacromonte

Gi9/25

F0/0

Gi9/26

Gi10/25

62.82.80.97

62.82.80.100

SacromontePort9

Port9

Albaicin

Ilustración 11. Asignación de puertos para los cortafuegos

3.1.4.4 Otros dispositivos

En este apartado se hace referencia a 3 routers, uno perteneciente a una Operadora Y y otros dos

(principal y respaldo) de la Operadora X que dan acceso a Internet.

Además, se recoge también la asignación de puertos para un switch adicional.

Cortafuegos

Equipo Puertos Descripción

Cortafuegos Albaicin

Gi9/14 Srv-EXT FW

Gi9/26 Operadora Y FW Albaicin po

Gi9/28 FW

Gi9/35 WIFI Invitados-FW

Gi9/36 WIFI FW 30,97

Gi9/38 Lan FW

Gi9/45 FW Srv-BD Srv-DES


Cortafuegos Sacromonte Gi10/13 Srv-EXT FW

Gi10/25 Operadora Y FW Sacromonte

Gi10/27 FW

Gi10/35 WIFI Invitados-FW

Gi10/36 WIFI FW 30,97

Gi10/37 Lan FW



Tabla 14. Asignación de puertos para los cortafuegos



3.2 NIVEL DE ENLACE (NIVEL 2)

3.2.1 VLAN (REDES DE AREA LOCAL VIRTUALES)

Una de las ventajas de crear redes virtuales, es que los mensajes de difusión se limitan al

segmento asignado previamente, así se evita que se propaguen por toda la red y que todos los

sistemas deban procesarlos, lo que en ocasiones consume gran ancho de banda. Además

proporcionan seguridad, al segregar servicios que potencialmente serían vulnerables frente a

ataques o intrusos.

Las VLAN (Virutal Lan Area Network), básicamente se resuelven asociando unos puertos a

otros, para hacer el efecto de establecer una conexión directa entre los equipos conectados a

´éstos. Son un grupo de sistemas de una red conmutada que funcionan como una subred virtual

y que pueden comunicarse con otras VLAN a través de un router.

En nuestro caso se han creado una serie de VLAN para contener o aislar el tráfico que en ellas

se produce. Podemos clasificarlas en tres clases, en función del tipo de nodos de red que a ellas

se conecten:

GE

NE

RA

LE

S

VLA

N-ID

VLAN-Nombre Componentes Cor

e

Aula

s

Secretar

ía

1 defecto 1 1 1

11 Srv-INT Servidores de aplicación

internos

11

12 Srv-EXT Servidores de aplicación

externos

12

13 Ext-Internet Equipos Comunicación 13

14 Operadora Y Equipos Comunicación 14

15 Srv-BD Servidores BB.DD. 15

16 Srv-DES Servidores desarrollo 16

17 Blades Servidores alojados en

blades

17

95 Impresoras Impresoras 95 95 95

96 Respaldo Servidores, dispositivos de

cintas.

96 96 96

97 Wifi tunelizado WLC y AP 97 97 97

98 Voz Teléfonos IP, controladores 98 98 98

99 Management 99 99 99

999 RSPAN Remote-SPAN 999 999 999

Cortafuegos

Equipo Puertos Descripción

Routers

Gi9/27 Router Operadora X

Gi10/28 Router Operadora X

Gi9/25 Router Operadora Y

Switches Gi10/38 Switch Auxiliar

Tabla 15. Asignación de puertos para otros dispositivos



LA

N I

NT

ER

NA

20 UserSinMigrar Usuarios Temporales 20 20 20

21 user-1 Usuarios genéricos (wifi) 21 21 21

22 User-2 Usuarios genéricos

(Secretaría)

22 22 22

23 User-3 Usuarios genéricos

(Alumnos)

23 23 23

24 Área de Gestión Usarios área gestión 24 24 24

25 Secretaría Usuarios secretaría 25 25 25

26 Cadime Usuarios CADIME 26 26 26

27 MktPub Usuarios marketing &

publicidad

27 27 27

28 Biblioteca Usuarios biblioteca 28 28 28

29 Sistemas de

Información

Administradores SS.II. 29 29 29

39 Escritorios VDI Escritorios VDI 39 39 39

40 Registro de Cáncer Usuarios Registro del

Cáncer

40 40 40

AL

UM

NO

S /

INV

ITA

DO

S

30 Invitados Acceso de cortesía 30 30 30

31 Alumnos Red de alumnos 31 31 31

32 Alumnos2 32 32 32

Tabla 16. VLANs

3.2.2 Puertos Troncales (Trunk)

Los puertos troncales (ó trunk) son aquellos que permiten la transmisión de los datos originados

en distintas VLANs, empleando la encapsulación definida por el estándar IEEE 802.1q.

En el contexto de las VLANs, el término trunk („troncal‟) designa una conexión de red que

transporta múltiples VLANs identificadas por etiquetas (o tags) insertadas en sus paquetes.

Dichos trunks deben operar entre puertos etiquetados (tagged ports) de dispositivos con soporte

de VLANs.

Puerto VLANs transportadas Descripción

Te5/1 1,20-29,31-32,39,95,97-99 Enlace 10G a Administración

Te5/2 1,20-29,31-32,39,95,97-99 Enlace 1G a Alumnos (Respaldo)

Te6/1 1,20-29,31-32,39,95,97-99 Enlace 10G a Alumnos

Te6/2 1,20-29,31-32,39,95,97-99 Enlace 1G a Administration (

Respaldo )

Gi9/32 95-96 SCOBRE1: Respaldos e Impresión

Gi9/35 1,21-22,24,30-32,39,97 FW: Conexión Cortafuegos

Gi10/36 1,21-22,24,30-32,39,97 FW: Conexión Cortafuegos

Gi10/41 95-96 SCOBRE2: Respaldos e Impresión



El estándar de señalización es 802.1Q y siempre es forzado. Mediante el comando “show

interface trunk” podemos verificar el estado de un puerto troncal.

4500cpd# sh interfaces trunk

Port Mode Encapsulation Status

Te5/1 on 802.1q trunking




Gi9/32 on 802.1q trunking




Po1 on 802.1q trunking







pilaAULAS# sh interfaces trunk


Te1/0/1 on 802.1q trunking

Gi3/0/52 on 802.1q trunking


pilaSecretaría#sh interfaces trunk


Te1/0/1 on 802.1q trunking



Po1 1,21-22,24,30-32,39,97 Controlador Wifi

Po15 11,15-16 SCOBRE1 Srv-BD Srv-DES Srv-INT

Po17 todas SCOBRE1: Lan

Po42 todas SCOBRE2: Lan

Po44 11,15-16 SCOBRE2 Srv-BD Srv-DES Srv-INT

Po45 11,15-16 FW Srv-BD Srv-DES Srv-INT

Po46 11,15-16 FW Srv-BD Srv-DES Srv-INT



3.2.4 Puertos agregados (EtherChannel)

Se han creado una serie de puertos agregados para aumentar el ancho de banda de ciertos

servicios. Cisco ofrece un método de escalar el ancho de banda agregando enlaces paralelos, lo

que se llama EtherChannels. El tener varios enlaces entre switches crea la posibilidad de

producir bucles pero EtherChannel evita esa situación agregando los enlaces en un solo enlace

lógico que puede actuar en modo acceso o trunk.

También ofrece redundancia agrupando varios enlaces físicos, si uno de los enlaces falla, el

tráfico de dicho enlace se mueve a otro enlace correcto y cuando se recupera la carga de tráfico

se vuelve a repartir entre los enlaces activos.

LACP es un estándar de IEEE definido en 802.3ad. Los paquetes LACP se intercambian entre

switches sobre puertos que soporten EtherChannel. Los vecinos son identificados y aprenden las

capacidades de los grupos de puertos y se comparan con las capacidades locales (al igual que en

PAgP). Como distinción LACP asigna roles a los puntos finales de los EtherChannels.

El switch con la prioridad de sistema más baja toma las decisiones sobre qué puertos participan

activamente en el EtherChannel en un momento dado.

Los puertos se ponen activos de acuerdo a su prioridad de puerto (port priority) donde el valor

más bajo es la prioridad más alta. Se pueden definir hasta un conjunto de 16 enlaces por cada

EtherChannel aunque solo son seleccionados hasta 8 con las prioridades más altas (valores más

bajos) como puertos activos del EtherChannel. El resto de puertos se ponen a la espera

(standby) y se activarán si alguno de los puertos activos pierde el enlace (se pone down).

Para verificar el estado de los EtherChannels del switch podemos usar el comando “sh

etherchannel summary” que nos lista el estado de cada uno de los EtherChannels y los puertos

asociados a cada uno de ellos.

4500cpd#sh etherchannel summary

Flags: D - down P - bundled in port-channel

I - stand-alone s - suspended

R - Layer3 S - Layer2

U - in use f - failed to allocate aggregator

M - not in use, minimum links not met

u - unsuitable for bundling

w - waiting to be aggregated

d - default port

Number of channel-groups in use: 9

Number of aggregators: 9

Group Port-channel Protocol Ports

------+-------------+-----------+--------------------------------------

1 Po1(SU) - Gi9/1(P) Gi9/2(D) Gi10/1(P)

Tabla 17. Asignación de VLANs y puertos



Gi10/2(D)

15 Po15(SU) LACP Gi9/31(P) Gi10/31(P)

17 Po17(SU) LACP Gi9/40(P) Gi10/40(P)

18 Po18(SU) LACP Gi9/15(P) Gi9/16(P)

42 Po42(SU) LACP Gi9/42(P) Gi10/42(P)

43 Po43(SU) LACP Gi9/43(P) Gi10/43(P)

44 Po44(SU) LACP Gi9/44(P) Gi10/44(P)

45 Po45(SU) LACP Gi9/45(P) Gi10/45(P)

46 Po46(SU) LACP Gi9/46(P) Gi10/46(P)

Veamos la configuración de la puerto de conexión del controlador:

4500cpd#sh run int gi9/1

interface GigabitEthernet9/1

description Controlador WIFI

switchport trunk allowed vlan 1,21,22,24,30-32,39,97

switchport mode trunk

switchport nonegotiate

no vtp

channel-group 1 mode on

spanning-tree portfast

spanning-tree bpduguard enable

end

Veamos ahora la configuración de una puerto en modo LACP:

4500cpd#sh run int gi9/31

!


description SCOBRE1 Srv-BD Srv-DES Srv-INT

switchport trunk allowed vlan 11,15,16


switchport nonegotiate

channel-protocol lacp

channel-group 15 mode active

end

Debido a los requisitos que presentan los AP en cuestiones de autenticación contra el

controlador, el método de balanceo de carga empleado es el basado en dirección IP de origen y

dirección IP de destino.

4500cpd#sh run all | i load-balance

port-channel load-balance src-dst-ip

Veamos la asignación realizada:

Aquí podemos ver resumidas las agregaciones realizadas:



3.2.5 Spanning Tree Protocol (STP)

El Spanning Tree Protocol es un estándar utilizado en la administración de redes para describir

cómo los puentes y conmutadores se comunican para evitar bucles en la red.

El protocolo STP automatiza la administración de la topología de la red con enlaces redundantes

y su función principal es permitir caminos redundados a nivel físico sin considerar los efectos

de latencia de los bucles en la red.

Al crear redes tolerantes a fallos, debe existir una ruta libre de bucle entre cualquiera de los

nodos de la red. El algoritmo de spanning tree se utiliza precisamente para calcular una ruta

libre de bucles.

Las tramas del spanning tree, denominadas unidades de datos del protocolo puente (BPDU), son

enviadas y recibidas por todos los switches de la red a intervalos regulares y se utilizan para

determinar la topología del spanning tree.

3.2.5.1 Bucles

En nuestro diseño existen una serie de enlaces redundados que introducen una serie de

bucles que es preciso deshacer. Para ello habilitaremos el protocolo STP en todos los

switches que componen la solución.

En el siguiente gráfico se aprecia cómo se forma un bucle entre:

La doble conexión del CPD con pila de Aulas

La doble conexión del CPD con pila de Secretaría

Puertos agregadas en el CORE

Grupo Protocolo Puertos Reservas Descripción

1 ON Gi9/1 Gi10/1 Gi9/2 Gi10/2 Controlador WIFI

VLAN:1,21,22,24,30-32,39,97

15 LACP Gi9/31 Gi10/31 SCOBRE1 Srv-BD Srv-DES Srv-INT

VLAN: 11,15,16

17 LACP Gi9/40 Gi10/40 SCOBRE1: Lan

VLAN: ALL

18 LACP Gi9/15 Gi9/16 SCOBRE1: Srv-EXT

VLAN: 12

42 LACP Gi9/42 Gi10/42 SCOBRE2: Lan

VLAN: TODAS

43 LACP Gi9/43 Gi10/43 SCOBRE2: Srv-EXT

VLAN: 12

44 LACP Gi9/44 Gi10/44 SCOBRE2 Srv-BD Srv-DES Srv-INT

VLAN: 11,15,16

45 LACP Gi9/45 Gi10/45 FW Srv-BD Srv-DES Srv-INT

VLAN: 11,15,16

46 LACP Gi9/46 Gi10/46 FW Srv-BD Srv-DES Srv-INT

VLAN: 11,15,16

Tabla 18. Puertos agregados en el CORE



Las tres conexión de respaldo de los 3 equipos

La conexión de respaldo de las pilas, con el enlace principal de Aulas

La conexión de respaldo de las pilas, con el enlace principal de Secretaría


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

Te1/0/1Catalyst 2960-S Series

49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Gi4/0/50

Gi3/0/52


49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Te1/0/1

Gi4/0/50

Gi3/0/52

AULAS

SECRETARIA

CPD

Ten5/1

Te6/2Ten6/1

Te5/2

Bucle

Bucle

Bucle

Bucle

Ilustración 12. Bucle generado entre los elementos de la red

3.2.4.2 Versión del STP

Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el IEEE (IEEE 802.1D),

que no son compatibles entre sí. En la actualidad, se recomienda utilizar la versión

estandarizada por el IEEE.

Rapid Spanning Tree Protocol (RSTP) está especificado en IEEE 802.1w y es una evolución del

Spanning tree Protocol (STP) que reduce significativamente el tiempo de convergencia de la

topología de la red cuando ocurre un cambio en ésta. Además su configuración no es compleja y

es fácil de administrar.

Se opta por dicha versión del protocolo en este proyecto:

spanning-tree mode rapid-pvst

spanning-tree extend system-id

Prioridades:

STP establece identificadores por puente y elige el que tiene la prioridad más alta (el

número más bajo de prioridad numérica), como el puente raíz. Este puente raíz establecerá

el camino de menor coste para todas las redes.



Después, entre todos los caminos que conectan un segmento de red, se elige un camino

designado, el de menor coste (en caso de que dos caminos tengan el mismo coste, se elige el

que tenga el menor identificador "dirección MAC"), para transmitir las tramas hacia la raíz.

En nuestro caso la asignación de las prioridades a cada “switch” de la red, la realizaremos

de forma que el C4510 sea la “raíz del árbol”, seguido de la pila de secretaría y por último

de la pila de aulas.

4500cpd#spanning-tree vlan 1,10-16,20-32,39-40,95-99 priority 8192

pilaSecretaría#spanning-tree vlan 1,20-32,39,95-99 priority 20480

pilaAULAS#spanning-tree vlan 1,20-32,39,95-99 priority 24576

Puertos acelerados:

Para disminuir el tiempo de activación de los puertos de los usuarios, servidores y routers,

habilitaremos de forma global en los equipos la funcionalidad “portfast”. El puerto se configura

como tal cuando se sabe que nunca será conectado hacia otro switch de manera que pasa

inmediatamente al estado de direccionamiento sin esperar los pasos intermedios del algoritmo –

etapas de escucha y aprendizaje- los cuales consumen tiempo.

Adicionalmente, para evitar que la instalación de un nuevo switch en cualquier punto de la red

“tumbe” la implantación realizada, se habilitará el filtrado de tramas BPDU en esos puertos:

spanning-tree portfast default

spanning-tree portfast bpduguard default

…y lo deshabilitamos en los puertos que no son necesarias:

interface Port-channel42

description Lan SCOBRE2 ag

switchport


no vtp

spanning-tree portfast disable

spanning-tree bpduguard disable

!

En el siguiente ejemplo vemos como el puerto Po42 no está en “portfast” mientras que los

demás puertos de usuario (en este caso los Puntos de Acceso Wifi) sí:

VLAN0097

Spanning tree enabled protocol rstp

Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- ------------------------------

Te5/1 Desg FWD 2000 128.257 P2p



Te5/2 Desg FWD 20000 128.258 P2p

Te6/1 Desg FWD 2000 128.321 P2p

Te6/2 Desg FWD 20000 128.322 P2p

Gi9/3 Desg FWD 200000 128.515 P2p Edge



! contenido eliminado para simplificar la salida



Po1 Desg FWD 10000 128.641 P2p

Po17 Desg FWD 10000 128.657 P2p

Po42 Desg FWD 10000 128.682 P2p

Deshaciendo los bucles:

Con esta configuración los puertos de respaldo quedan “bloqueados” a la espera de que

caiga uno de los enlaces principales.

4500cpd#

VLAN0099


Root ID Priority 8291

This bridge is the root

Bridge ID Priority 8291 (priority 8192 sys-id-ext 99)


------------------- ---- --- --------- -------- -----------------------------

Te5/1 Desg FWD 2000 128.257 P2p

Te5/2 Desg FWD 20000 128.258 P2p

Te6/1 Desg FWD 2000 128.321 P2p

Te6/2 Desg FWD 20000 128.322 P2p

pilaSecretaría#

VLAN0099



Cost 2000

Port 51 (TenGigabitEthernet1/0/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec



------------------- ---- --- --------- -------- ------------------------------

Te1/0/1 Root FWD 2000 128.51 P2p

Gi3/0/52 Desg FWD 20000 128.164 P2p

Gi4/0/50 Altn BLK 20000 128.218 P2p



pilaAULAS#

VLAN0099



Address 503d.e506.be00

Cost 2000

Port 51 (TenGigabitEthernet1/0/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec



------------------- ---- --- --------- -------- -----------------------------

Te1/0/1 Root FWD 2000 128.51 P2p

Gi3/0/52 Altn BLK 20000 128.164 P2p

Gi4/0/50 Altn BLK 20000 128.218 P2p

En el esquema podemos ver la situación de los puertos afectados.


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48


49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



49 50 51 52

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Aulas

Secretaría

CPD

priority

8192priority

20480

priority

24576

Te6/2

FWDDESG

Gi4/0/50

BLKAltn

Te1/0/1

FWDRoot

Te5/2

FWDDESG

Ten5/1

FWDDESG

Ten6/1

FWDDESG

Te1/0/1

FWDRoot

Gi4/0/50

BLKAltn

Gi3/0/52

BLKAltn

Gi3/0/52

FWDDESG

Ilustración 13. Bloqueo de puertos de respaldo

3.3 NIVEL DE RED (NIVEL 3)

3.3.1 Direccionamiento

Inicialmente el direccionamiento IP existente en la sede era plano y estaba articulado en

torno a una subred IP con direccionamiento privado 10.22.0.0/16 que se traducía a ciertas

direcciones “publicas” (NATing) ; 10.220.128.0/24. Además la asignación de direcciones a

los usuarios e impresoras se hacía de forma manual y estática.



Este tipo de direccionamiento no permite explotar las ventajas que nos están ofreciendo las

VLANs que han sido creadas, por lo que es preciso cambiar de forma radical dicho

direccionamiento y forma de asignación de las direcciones.

Los servicios que son prestados por la red del organismo giran en torno a tres grandes

“bloques”:

Red Interna de usuarios / alumnos

Red de servidores

Acceso al exterior: Internet y Operadora Y

Conforme a esos “bloques” de servicios se han establecido los siguientes rangos:

Dicho direccionamiento IP se ha organizado en VLANs únicas, de forma que existe

prácticamente coincidencia entre los dominios de difusión de Nivel 2 y los de Nivel 3.

Veamos ese detalle de asignación de VLANs y direccionamiento IP y que dispositivo hace de

“puerto de acceso” al exterior.

Servicios Direccionamiento Descripción

Red Interna 10.22.x.0/24 Distintas redes de usuarios o gestión

10.22.0.0 /16 Direccionamiento anterior que se sigue

manteniendo en ciertos servicios críticos

por consideraciones de continuidad del

servicio. (por ejemplo direccionamiento de

gestión de los blade, ciertos usuarios de

sistemas de información)

Servidores de proyectos 192.168.x.0/24 Distintos tipos de servidores agrupados por

accesibilidad remota.

Externas 10.220.128.0/24 Red de Operadora Y

62.82.80.96 /28 Red de Operadora X (en vía de

desaparecer)

Tabla 19. Direccionamiento asignado a los diferentes servicios

Servicios Direccionamiento VLAN Descripción Router

Red Interna 10.22.x.0/24 Distintas redes de usuarios o gestión internas a la sede

10.22.20.0/24 20 Usuarios Temporales C4510

10.22.21.0/24 21 Usuarios genéricos (WIFI) Cortafuegos

10.22.22.0/24 22 Usuarios genéricos (Secretaría) C4510

10.22.23.0/24 23 Usuarios genéricos (Alumnos) C4510

10.22.24.0/24 24 Usuarios área gestión C4510

10.22.25.0/24 25 Usuarios secretaría C4510

10.22.26.0/24 26 Usuarios CADIME C4510

10.22.27.0/24 27 Usuarios marketing & publicidad C4510



10.22.28.0/24 28 Usuarios biblioteca C4510

10.22.29.0/24 29 Administradores SS.II. C4510

10.22.30.0/24 30 Invitados Cortafuegos

10.22.58.0/23 31 Red de alumnos Cortafuegos

10.22.95.0/24 95 Red de impresión C4510

10.22.96.0/24 96 Red de copias de seguridad C4510

10.22.97.0/24 97 Red inalámbrica tunelizada C4510

10.22.0.0 /16 1 Direccionamiento anterior que se sigue

manteniendo en ciertos servicios

críticos por consideraciones de

continuidad del servicio. (por ejemplo

direccionamiento de gestión de los

blade, ciertos usuarios de sistemas de

información)

C4510

Servidores públicos 192.168.x.0/24 Distintos tipos de servidores agrupados por accesibilidad

remota.

192.168.2.0/24 12 Srv.-EXT. Servidores de aplicación

externos

Cortafuegos

192.168.3.0/24 15 Srv-BD. Servidores BBDD Cortafuegos

192.168.4.0/24 16 Srv-DES. Servidores de desarrollo. Cortafuegos

192.168.5.0/24 11 Srv-INT. Servidores de aplicación

internos

Cortafuegos

Externas 10.220.128.0/24 14 Red de Operadora Y Cortafuegos

62.82.80.100/28 13 Red de Operadora X (en vía de

desaparecer)

Cortafuegos

Tabla 20. Asignación de VLANs, direccionamiento IP y dispositivos que hacen de puerto

de acceso al exterior



3.3.2 Enrutamiento

En el siguiente esquema vemos qué dispositivo hace de “router” para cada subred IP.

Ilustración 14. Routers para cada subred IP

Vemos a continuación como se ha implementado la función de Enrutamiento en el C4510:

interface Vlan1

ip address 10.22.10.1 255.255.0.0

interface Vlan20

ip address 10.22.20.1 255.255.255.0

interface Vlan22

ip address 10.22.22.1 255.255.255.0

interface Vlan23

ip address 10.22.23.1 255.255.255.0

interface Vlan24

ip address 10.22.24.1 255.255.255.0

interface Vlan25

ip address 10.22.25.1 255.255.255.0

Op2 Op1

LAN



interface Vlan26

ip address 10.22.26.1 255.255.255.0

interface Vlan27

ip address 10.22.27.1 255.255.255.0

interface Vlan28

ip address 10.22.28.1 255.255.255.0

interface Vlan29

ip address 10.22.29.1 255.255.255.0

interface Vlan95

ip address 10.22.95.1 255.255.255.0

interface Vlan96

ip address 10.22.96.1 255.255.255.0

interface Vlan97

ip address 10.22.97.2 255.255.255.0

Es preciso indicar al C4510 que todas las subredes IP no definidas en él las busque en el

cortafuegos, no sólo las de Internet, sino también las de los servidores o las de los usuarios Wifi.

ip route 0.0.0.0 0.0.0.0 10.22.10.2

3.3.3 Asignación de direccionamiento dinámico (DHCP)

El direccionamiento IP de los usuarios ha cambiado de estático a gestionado por DHCP. DHCP

significa Protocolo de configuración de host dinámico (Dinamic Host Configuration Protocol).

Permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su

configuración de red) en forma dinámica (es decir, sin intervención del usuario). Sólo tiene que

especificársele al equipo, mediante DHCP, que encuentre una dirección IP de manera

independiente. El objetivo principal es simplificar la administración de la red.

Los Puntos de Acceso inalámbrico también obtendrán su dirección IP mediante DHCP y es el

propio controlador el que las sirve.

De esta forma, ha sido necesario configurar tanto el C4510 como los Cortafuegos para que

actúen como agente (ó “relay”) de las peticiones DHCP.

interface Vlan20

ip helper-address 10.22.1.2

! La Vlan21 no se gestiona desde el 4500 sino desde el Cortafuegos

interface Vlan22


interface Vlan23




interface Vlan24


interface Vlan25


interface Vlan26


interface Vlan27


interface Vlan28


interface Vlan29


! La Vlan30 no se gestiona desde el 4500 sino desde el Cortafuegos

! La Vlan31 no se gestiona desde el 4500 sino desde el Cortafuegos!

interface Vlan95


3.4 SERVICIOS ADICIONALES

3.4.1 Seguridad

Se ha mejorado la seguridad a los equipos que componen la solución mediante protocolos

seguros como pueden ser ssh o https. También se ha limitado desde qué ubicaciones se puede

acceder a ellos.

El usuario que se ha creado para permitir la gestión es:

username XXX privilege 15 password 0 WWW

Acceso por consola remota:

ip domain-name nombre_organismo

ip ssh version 2

line vty 0 15

access-class ADMIN_SEGURA in

login local

transport input ssh



ip access-list standard ADMIN_SEGURA

permit 10.22.10.1 log # Acceso desde VPN

permit 100.100.100.2

permit 192.168.2.0 0.0.0.255 log

permit 10.22.99.0 0.0.0.255 log

permit 10.22.24.0 0.0.0.255 log

permit 10.22.128.0 0.0.0.255 log

permit 10.22.199.0 0.0.0.255 log

permit 10.22.80.0 0.0.0.255 log

deny any log

Acceso web:

no ip http server

ip http authentication local

ip http secure-server

Ilustración 15. Acceso web mediante https

En la siguiente tabla podemos ver las direcciones que podemos elegir para gestionar estos

dispositivos:

Equipo Direcciones de gestión

Switch de núcleo de red Catalyst 4510 10.22.10.1

10.22.80.200

Y todas de las que es router como:

10.22.22.1, 10.22.22.1, 10.22.23.1

Pila de aulas 10.22.80.201

Pila de secretaría 10.22.80.202

Cortafuegos 10.22.10.2



3.4.2 SNMP

Los dispositivos pueden ser gestionados remotamente vía SNMP. Sin embargo sólo se usará en

modo lectura mediante la integración con una consola de monitorización SNMP cuyo nombre es

CACTI (ver ANEXO 1)

3.4.3 HORA (NTP)

Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los

sistemas informáticos a través del transporte de paquetes en redes con latencia variable. Está

diseñado para resistir los efectos de la latencia variable. Los mensajes de NTP se intercambian

usando el puerto UDP 123.

Se ha diseñado una solución jerárquica en el que el C4510 es el nivel más alto de la red interna.

Todos los dispositivos de la red pueden sincronizar sus relojes con dicho dispositivo, ya sean

switches, PC o servidores, teniendo correspondencia a su dirección IP: 10.22.10.1

Se ha hecho sincronizar con el servidor de tiempo ntp.nuevoreloj.es (10.245.255.250).

Servidor CACTI 192.168.2.99

Tabla 21. Direcciones IP que permiten gestionar los equipos



Ilustración 16. Solución jerárquica en el que el C4510 para sincronización de relojes

Veamos su configuración:

clock timezone Madrid 1

clock summer-time Madrid recurring last Sun Mar 2:00 last Sun Oct 2:00

ntp master 3

ntp update-calendar

ntp server 10.245.255.250

¡En las pilas de aula y secretaría

ntp server 10.22.10.1

En la siguiente salida apreciamos como están sincronizados el C4510 con el servidor

ntp.nuevoreloj.es. El comando “sh ntp status” analiza el estado del reloj.

4500cpd#sh ntp status

Clock is synchronized, stratum 3, reference is 127.127.7.1

nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18

reference time is D22304CF.87EF9F28 (14:25:51.531 Madrid Tue Sep 20 2011)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 0.02 msec, peer dispersion is 0.02 msec

3.4.4 Syslog

Como hemos comentado anteriormente, en la red se ha habilitado un servidor de monitorización

SNMP (CACTI) que además de herramienta de monitorización de la red, actúa como repositorio

http://ntp.juntadeandalucia.es/



de señales (logs) de toda la red. Por ello redirigiremos dichas señales procedentes de nuestros

switches hacia ese equipo.

logging 192.168.1.79

logging trap debugging

logging source-interface Vlan1

3.4.5 Protocolo CDP

El protocolo CDP es muy útil a la hora de detectar las causas de un problema (troubleshooting).

Sin embargo su uso tiene ciertos riesgos ya que se le notifica a “desconocidos” donde está

conectado. CDP es utilizado para compartir información sobre otros equipos Cisco directamente

conectados, como por ejemplo la versión del sistema operativo o la dirección IP.

Veamos que información se puede obtener:

Device ID: pilaSecretaría.

Entry address(es):

IP address: 10.22.80.202

Platform: cisco WS-C2960S-48TS-L, Capabilities: Switch IGMP

Interface: TenGigabitEthernet6/2, Port ID (outgoing port): GigabitEthernet4/0/50

Holdtime : 175 sec

Version :

Cisco IOS Software, C2960S Software (C2960S-UNIVERSALK9-M), Version

12.2(58)SE, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2011 by Cisco Systems, Inc.

Compiled Tue 05-Apr-11 08:59 by prod_rel_team

advertisement version: 2

Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27,

value=00000000FFFFFFFF010221FF000000000000B8BEBF770080FF0000

VTP Management Domain: ''

Native VLAN: 1

Duplex: full

Management address(es):

IP address: 10.22.80.202

Unidirectional Mode: off

Una muestra de las conexiones detectadas por el CDP del C4510 puede ser:

4500cpd#sh cdp n

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,

D - Remote, C - CVTA, M - Two-port Mac Relay

Device ID Local Intrfce Holdtme Capability Platform Port ID

WLC_ Gig 9/1 124 H AIR-CT550 Gig 0/0/1



WLC_ Gig 9/1 124 H AIR-CT550 Gig 0/0/3

WLC_ Gig 9/1 124 H AIR-CT550 LAGInterface0/3/1

pilaSecretaría.

Ten 5/1 149 S I WS-C2960S Ten 1/0/1

pilaSecretaría.

Ten 6/2 149 S I WS-C2960S Gig 4/0/50

laadgrcaca Gig 9/27 122 R S I 2851 Gig 0/1

SCOBRE2 Gig 9/44 160 S I WS-CBS302 Gig 0/23



SCOBRE2 Gig 9/37 140 S I WS-CBS302 Fas 0




SCOBRE1 Gig 9/37 165 S I WS-CBS302 Fas 0

granada1 Gig 9/25 164 R S I 2811 Fas 0/0

AP-9-Armario1 Gig 10/4 151 T AIR-LAP10 Gig 0














pilaAULAS. Ten 5/2 128 S I WS-C2960S Gig 4/0/50

pilaAULAS. Ten 6/1 128 S I WS-C2960S Ten 1/0/1

Por ello se ha habilitado su uso de forma global y se ha deshabilitado en cada una de las puertos

en las que se supone que hay usuarios finales.


description Usuario20

switchport access vlan 20

switchport mode access

no cdp enable

3.4.6 RSPAN

Se ha habilitado la posibilidad de realizar capturas de tráfico entre distintos puertos de diferentes

switches. (Remote Swtched Port Analyzer).



Para ello se ha creado una VLAN nueva la 999 y se ha asignado a los puertos de interconexión

de 10 Gigabits (Te):

vlan 999

name RSPAN

remote-span

4500cpd#sh vlan id 999

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

999 RSPAN active Te5/1, Te5/2, Po17, Po42

Remote SPAN VLAN

----------------

Enabled

pilaAULAS#sh vlan id 999


---- -------------------------------- --------- -------------------------------

999 RSPAN active Te1/0/1

Remote SPAN VLAN

----------------

Enabled

pilaSecretaria#sh vlan id 999


---- -------------------------------- --------- -------------------------------

999 RSPAN active Te1/0/1

Remote SPAN VLAN

----------------

Enabled

Para habilitar la captura de tráfico remoto realizaremos:

! Esto redirecciona el trafico que genera y recibe el usuario de la Gi2/2

! hacia un sniffer ubicado en la puerto 4/24

monitor session 9 source interface Gi2/2

monitor session 9 destination interface Gi4/24

Para el caso de una captura de un equipo en un switch remoto:

! Esto redirecciona el trafico que genera y recibe el usuario de la Gi1/0/37

! hacia un sniffer ubicado en la puerto 4/24 del C4510



pilaSecretaria#

monitor session 9 source interface Gi1/0/37

monitor session 9 destination remote vlan 999

4500cpd#config

monitor session 9 destination interface Gi4/24

monitor session 9 source remote vlan 999

y para parar la monitorización:

pilaSecretaria#config

no monitor session 9

4500cpd#config

no monitor session 9

4. SOLUCIÓN DE ESCRITORIOS REMOTOS VDI

La virtualización de escritorio es un término relativamente nuevo, introducido en la década de

los 90, que describe el proceso de separación entre el escritorio, que engloba los datos y

programas que utilizan los usuarios para trabajar, de la máquina física. El escritorio

"virtualizado" es almacenado remotamente en un servidor central en lugar de en el disco duro

del ordenador personal. Esto significa que cuando los usuarios trabajan en su escritorio desde su

portátil u ordenador personal, todos sus programas, aplicaciones, procesos y datos se almacenan

y ejecutan centralmente, permitiendo a los usuarios acceder remotamente a sus escritorios desde

cualquier dispositivo capaz de conectarse remotamente al escritorio, tales como un portátil, PC

o cliente ligero.

La experiencia que tendrá el usuario está orientada para que sea idéntica a la de un PC estándar,

pero desde un dispositivo de cliente ligero o similar, y desde la misma oficina o remotamente.

La virtualización de escritorios proporciona una serie de beneficios clave y entre ellos los más

importantes son los siguientes:

o Aumenta la seguridad de los escritorios y disminuye los costes de soporte: La

virtualización del escritorio posibilita centralizar los escritorios en servidores

centrales y gestionar dichos escritorios individualmente de manera remota. Esto

provee a los usuarios una experiencia de escritorio completa y permite al

personal de servicios informáticos gestionar los escritorios virtualmente en

lugar de físicamente. Disminuye radicalmente el coste de mantenimiento de los

escritorios ya que no se permite a sus usuarios modificar nada del Sistema

Operativo.

o Reduce los costes generales de Hardware: La virtualización de escritorio

implica que no se tiene que tener equipos de última tecnología porque todas las

aplicaciones del escritorio son ejecutadas centralmente en un servidor remoto.

o Mejorar la seguridad de los datos: La virtualización de escritorio hace que todos

los datos de los usuarios de los escritorios se almacenen centralmente en los

servidores, absolutamente nada se almacena a nivel local. Por lo que si el



usuario pierde o le roban el equipo desde donde esté haciendo uso del escritorio

remoto, no se pierden los datos y tampoco dichos datos pasan a manos

peligrosas.

Esta es precisamente una de las últimas cosas que se ha implementado en este proyecto: el

servicio de Escritorio Remoto VDI.

En el siguiente esquema, podemos apreciar los detalles de la solución:

SCOBRE1

VDI vlan 39

y otras


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

IMPRESION vlan 95

BACKUP vlan 96

---

VDI vlan 39

SCOBRE2

Gi0/18

Gi9/32

Gi0/18

Gi10/41

sacromonte

port14

Gi9/46

port16

Gi10/46

Po46

albaicin

port14

Gi9/45

port16

Gi10/45

Po45

Firewall

Controlador WIFI

gi0/0/1

Gi9/1

gi0/0/3

Gi10/1

Po1

Gix/yy

VDI

vlan 39

Srv-BD vlan 11

Srv-DES vlan 15

Srv-INT vlan 16

--

VDI vlan 39

Ilustración 17. Implementación de Escritorio Remoto VDI

Para ello se ha incluido la VLAN 39, que articula el servicio en distintos puertos, entre ellos los

blades (SCOBRE1 y SCOBRE2), el C4510 y el cortafuegos.

La configuración en el C4510 es la siguiente:

! Conexión al Cortafuegos

interface po45

switchport trunk allowed vlan add 39

interface po46




! Conexión con BLADES

! SCOBRE1



! SCOBRE2



! Para los equipos WIFI se agrega en el controlador

interface po1


En el blade se ha realizado:

! Conexión EN BLADES

! SCOBRE1

Vlan 36

Name VDI



! SCOBRE2

Vlan 36

Name VDI



El direccionamiento IP que se implementará es el siguiente:



10.20.39.129

a

10.20.39.251

CLIENTES

Escritorios

Virtuales10.20.39.11

a

10.20.39.126

SCOBRE1


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

1

2

3

4

Catalyst

4510R

5

6

7

FANSTATUS

8

9

10FLEX-SLOT


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


STATUS

RESET

ACTIVE

SUPERVISOR

UTILIZATION

R X1 0 G B A S F - 1 X 4

ACTIVE

X2 10GbE UPLINK

SFP 10GbE

3 4

1

R X1 0 G B A S F - 1 X 4

UPLINKS

X2 10GbE UPLINK

SFP 10GbE

5 6

2

USB

CONSOLE10/100/1000

MGT

COMPACT FLASH

EJECT1% 100%

ACTIVE

“E”

SERIES

T X T X


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK




100-240V~

12A

50/60Hz

OUTPUT FAIL

INPUT 1

OK

INPUT 2

OK

100-240V~

12A

50/60Hz

POE ENABLED

4200ACV

FAN OK


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE


SERIES

1

2

3

4

5

6

7

8

9

10

11

12

23

24

21

22

19

20

17

18

15

16

13

14

35

36

33

34

31

32

29

30

27

28

25

26

47

48

45

46

43

44

41

42

39

40

37

38POWER OVER

ETHERNET

IEEE 802.3

POE

STATUS

9 10 11 12

48-PORT

10/100/1000 BASE-T


MULTI-SPEED

GIGABIT ETHERNET


POE

MAX 15.4W/PORT

STATUS

WS-X4548-GB-RJ45V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16


SWITCHING MODULE

48-PORT10/100/1000 BASE T

IN-LINE POWER

3231

3029

2827

2625

2423

2221

2019

1817

4847

4645

4443

4241

4039

3837

3635

3433

1615

1413

1211

109

87

65

43

21

32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SCOBRE2

Firewall

Escritorios

Virtuales

10.20.39.2

SERVIDOR

Escritorios

Virtuales

10.20.39.1

ROUTER

Escritorios

Virtuales

Ilustración 18. Direccionamiento IP implementado para la solución de escritorios remotos

VDI

Por último, comentar que en el cortafuegos se ha agregado la VLAN y se ha habilitado la

funcionalidad de Relay DHCP:

Ilustración 19. Agregación de la VLAN en el cortafuegos

Y el Relay DHCP:



Ilustración 20. Configuración Relay DHCP en el cortafuegos

5. CONCLUSIONES DE DISEÑO

Tras la realización del diseño, suministro e instalación de esta nueva red de área local, en este

apartado se dispone a comentar las conclusiones más notables.

Para el desarrollo del proyecto han sido necesarios una serie de pasos que se describen

brevemente a continuación:

• Replanteo de las ubicaciones: Se visitó el edificio donde se ha llevado a cabo el proyecto y se

examinaron las características requeridas para poder desplegar la nueva red de área local

identificando los puntos de distribución principales, topología de la red existente,

direccionamiento, tráfico y seguridad, entre otras.

• Diseño de la red: Ante los resultados del replanteo se tomaron ciertas decisiones en cuanto al

diseño de la red.

Los puntos más importantes fueron la propuesta de un cambio en la topología, redundancia de

caminos y adquisición de nuevo equipamiento Cisco, entre otras.

Se ha suministrado alimentación a través del cable de red a ciertos puertos (PoE), lo cual

resuelve el problema del suministro eléctrico a equipos situados en lugares poco accesibles o

desprovistos de alimentación eléctrica.

También se ha aplicado el protocolo STP para describir cómo los puentes y conmutadores se

comunican entre sí para evitar bucles en la red.

La implementación de la herramienta de monitorización SNMP (Cacti) facilitará a los

responsables de la red tener una visión generalizada de manera gráfica, a través de una interfaz

amigable, de la red. Esta herramienta permite hacer copias de seguridad de la red (backup) y

gestionar un sistema de alarmas (syslog) en el caso de que la red presentara algún problema.

Otro punto a destacar es la segmentación en VLANS del direccionamiento, el cual ofrece las

siguientes ventajas:



Mayor flexibilidad en la administración y en los cambios de la red, ya que la

arquitectura puede cambiarse usando los parámetros de los conmutadores.

Aumento de la seguridad, ya que la información se encapsula en un nivel

adicional y se analiza.

Disminución en la transmisión de tráfico en la red, lo cual evita posibles

sobrecargas.

También se ha implementado una solución de escritorios remotos VDI. Esto centraliza la

gestión de los escritorios por parte de los responsables de la red de manera remota en lugar de

físicamente. Es una solución segura, ya que no se les permite a los usuarios que modifiquen el

contenido de los mismos, y barata, ya que reduce los costes generales de hardware haciendo

irrelevante el hecho de tener un equipo de última tecnología para poder visualizar dichos

escritorios. La existencia de un servidor remoto donde se almacenarán los datos de todos los

usuarios hace que mejore la seguridad y evitar la pérdida de información.

En base a todo esto se ha diseñado la red de área local (LAN).

• Realización del proyecto técnico: Esta es la parte que se ha recogido en el presente documento.

Con el presente proyecto técnico sería posible implementar la red de área local descrita en una

situación real, siendo solo necesario ocuparse de los detalles específicos de la instalación en

cada una de las ubicaciones descritas.

pliego de condiciones: lanbibing.us.es/proyectos/abreproy/12013/fichero/3.+pliego...la estructura...

Documents