Manual para la Administración de la Red ESPOLTEL
Anuncio
Manual para la Administración de la Red ESPOLTEL ENRUTAMIENTO ESPOLTEL mantiene comunicados sus nodos principales mediante enrutamiento OSPF, a través de la aplicación Quagga, que se encarga de mantener las tablas de ruteo a través de 2 procesos: zebra y ospfd, cada uno de ellos con una configuración, terminal virtual y tareas diferentes. El proceso zebra se encarga de mantener la tabla de rutas local, controlar servicios mediante ACL's y de la configuración de interfaces, se puede acceder a la consola virtual de administración a través del puerto 2601, sólo será posible realizar dicha conexión dentro del mismo servidor en donde se está ejecutando Quagga. El proceso ospfd publica constantemente las rutas definidas en su tabla local a los equipos adyacentes o vecinos dentro de un área determinada, de igual forma la información publicada por estos últimos es recogida con la finalidad de actualizar la tabla local de rutas. La consola virtual de ospfd, igual que en el caso anterior, es accesible mientras la conexión se realice desde el mismo servidor hacia el puerto 2604. El área o vecindario para el proceso OSPF se ha definido sobre la red 200.49.246.0/29. Las nuevas rutas se añaden en la configuración de zebra al igual que se lo hiciera en la consola virtual de un router Cisco, mientras el proceso ospfd se encargará de propagarla de inmediato a sus vecinos. Para verificar la configuración de cualquiera de los servicios, se necesita ingresar mediante una conexión telnet a los puertos indicados y una vez adentro de la consola, se ejecuta el comando show run. Los terminales o consolas virtuales son bastante intuitivos, en el caso de no recordar alguna orden o comando especifico podemos utilizar el carácter (?), de inmediato se nos mostrará una lista con los comandos a los que podemos accesar y una breve descripción de los mismos. CONTROL DE TRAFICO Y REDIRECCIONAMIENTO El control de tráfico sobre los usuarios y el nivel de compresión en los servicios otorgados se realiza en el equipo 200.49.246.1, mediante la aplicación PF (Packet Filter), utilidad nativa de sistemas BSD, incluida en el kernel con la finalidad de filtrar el tráfico a través del equipo, es capaz incluso de realizar NAT, redireccionamiento y definir disciplinas de encolamiento para el manejo eficiente del flujo de datos basado en los servicios a ser utilizados (QoS). Para la definición de nuevas disciplinas y la modificación de las existentes se edita el archivo de configuración /etc/pf.conf bajo la sección “Queueing: rule-based bandwidth control”, aquí se define el ancho de banda para cada una de las disciplinas y sus subclases, para finalizar, en la sección de filtros se dirige el tráfico hacia cada una de las colas o disciplinas anteriormente definidas. Se ha especificado en el equipo un par de archivos alternos que le permiten al operador redirigir por completo el tráfico hacia uno de los proveedores en el caso de que el segundo no tenga disponibilidad de servicio. Luego de cualquier cambio realizado en el archivo principal o si se quiere utilizar un archivo alterno se hará uso de la utilidad pfctl -f nombre_del_archivo. Además, como elemento de contingencia se han adicionado líneas en el archivo principal de configuración que permiten el redireccionamiento de los requerimientos DNS al servidor local, cambio necesario si llegase a existir algún tipo de problema con el transporte hacia nuestro nodo en Prosperina. En cuanto a las seguridades incorporadas en la red de ESPOLTEL, la mayoría se encuentra en los equipos de frontera, en el caso del router 2621 que mantiene el enlace con Access Ram se han definido ACL's y en el servidor HP que constituye nuestra comunicación con Andinadatos se han elaborado reglas sobre iptables. Aún así puede utilizarse la aplicación PF con la finalidad de denegar el servicio hacia o desde determinados sitios. NAT El proceso de NAT sobre las direcciones privadas de los clientes en Pedro Carbo se realiza sobre el equipo 200.49.246.2, que a su vez cumplía la función de proxy transparente. El archivo a ejecutarse se encuentra en /etc/custom/svnat, es simplemente un script que ejecuta varias líneas de ipfw, una utilidad bastante parecida a los iptables en linux. Las líneas que definen los procesos de NAT y sus identificadores se mantienen comentadas, sólo en caso de reiniciar el servidor será necesario habilitarlas. Actualmente el equipo en cuestión no funciona como proxy debido a que el router Cisco 2621 que realiza la redirección del tráfico web mediante WCCP no tiene los recursos de memoria suficientes para soportar los procesos que se originan. En el nodo de Prosperina, el equipo que lleva los procesos de NAT sobre los usuarios de la red 172.30.70.0/24 es el 200.49.240.3, el sistema instalado es CentOS y la traslación se realiza mediante iptables. MONITOREO En cada uno de los servidores que funcionan como enrutadores se encuentra instalada la aplicación jnettop que le permite al operador verificar el tráfico de un o varios hosts e incluso de redes enteras o el tráfico generado por un servicio especifico. Por otro lado, se ha instalado recientemente el software Cacti sobre el servidor de correo de ESPOLTEL, el cual se encarga de realizar requerimientos SNMP hacia los equipos habilitados en las instalaciones de los clientes corporativos o Pymes y gracias a la información obtenida la aplicación grafica los valores en relación al tiempo del análisis realizado.
