Planificación de una Red - Web Informática y Telecomunicaciones

Anuncio
RED
Planificación de una Red, Tolerancia a fallas,
Acceso remoto y Monitoreo de Red.
01/12/2006
INDICE
Contenido
INDICE ....................................................................................................................................... 2
PLANIFICACION DE UNA RED .............................................................................................. 4
PLANIFICACION DE UNA RED .............................................................................................. 5
Evaluar las necesidades de la Red. ........................................................................................... 5
Desarrollar un Diseño .............................................................................................................. 5
Seleccionar la topología y el medio de transmisión mas adecuado............................................ 6
Estimar los costos de interconexión. ........................................................................................ 6
Planificación Centralizada. ...................................................................................................... 6
Segmentación de la Red ........................................................................................................... 7
Gestión de Cuentas .................................................................................................................. 7
Establecer las directivas de las Cuentas ................................................................................ 7
Convenciones en el nombramiento de las cuentas ................................................................ 7
Establecer directivas de cuentas en Microsoft Windows NT Server...................................... 8
Crear Directorios locales ...................................................................................................... 8
Establecer directivas de Grupo ............................................................................................. 9
Inspección de la actividad de cuentas ................................................................................... 9
Planificar la seguridad de la Red ............................................................................................ 10
Establecer Contraseñas. ..................................................................................................... 10
Administrar los privilegios de Acceso. ............................................................................... 10
Encriptar los datos. ............................................................................................................ 11
Crear Cortafuegos. ............................................................................................................. 11
Protección contra virus ...................................................................................................... 12
TECNICAS DE TOLERANCIA A FALLAS Tolerancia a Fallas .............................................. 13
Tolerancia a Fallas ..................................................................................................................... 14
Falla de Componentes ............................................................................................................... 14
Tolerancia a Fallas ..................................................................................................................... 15
Tolerancia a fallas .................................................................................................................. 16
Sistema de Almacenamiento tolerante a fallas............................................................................ 16
Copia de Disco: ................................................................................................................. 16
Duplicación del Disco: ....................................................................................................... 16
RAID: ................................................................................................................................ 16
Distribuir: .......................................................................................................................... 17
Niveles RAID principales: ................................................................................................. 17
Tolerancia a fallas del Servidor.................................................................................................. 18
Capacidad de reparar en forma directa el disco duro........................................................... 18
Seguimiento de Operaciones. ............................................................................................. 18
Duplicación de Directorios................................................................................................. 18
Duplicación de seguridad y cuentas de usuario................................................................... 19
Proteger el sistema operativo. ............................................................................................ 19
Bloquear los archivos y los registros. ................................................................................. 19
Página 2 de 37
Utilizar un sistema de alimentación ininterrumpida. ............................................................... 19
Desarrollar un plan de seguridad. ........................................................................................... 19
ACCESO REMOTO A REDES .............................................................................................. 21
BREVE HISTORIA DEL ACCESO REMOTO......................................................................... 22
MODEM. .................................................................................................................................. 22
Líneas Telefónicas Públicas y Privadas. ................................................................................. 23
Clases de Módems. ................................................................................................................ 24
Conectar módems a una Red. ................................................................................................. 25
PROTOCOLOS DE ACCESO REMOTO. ................................................................................ 26
PROTOCOLOS DE ACCESO REMOTO. ................................................................................ 27
Servicios de Acceso Remoto de Microsoft ................................................................................. 28
Crea un servidor RAS. ........................................................................................................... 28
Instalar servicios de acceso remoto en la estación de trabajo. ................................................. 28
Instalar la configuración de acceso telefónico. ....................................................................... 28
MONITOREO DE LA RED ...................................................................................................... 29
Introducción al monitoreo de la Red. ......................................................................................... 30
Trafico en la Red. ...................................................................................................................... 30
Protocolo simple de Gestión de Red (SNMP). ........................................................................... 31
Utilizar SNMP para monitorear la Red................................................................................... 31
Base de información de gestión (MIB) ................................................................................... 31
SNMPv2. ............................................................................................................................... 32
Dispositivos para monitorear la Red. ......................................................................................... 32
Dispositivos básicos de monitoreo. ........................................................................................ 33
Monitoreo de la longitud del cableado. .................................................................................. 33
Comprobador de Transceptores.............................................................................................. 33
Reflectómetro de dominio temporal (TDR). ........................................................................... 34
Analizador de Protocolos. ...................................................................................................... 34
Monitoreo de la Red de forma Remota....................................................................................... 34
Herramientas de monitoreo de Microsoft. .................................................................................. 35
Agente de monitoreo de Red. ................................................................................................. 35
BIBLIOGRAFIA ....................................................................................................................... 37
Página 3 de 37
PLANIFICACION DE UNA RED
Página 4 de 37
PLANIFICACION DE UNA RED
Planear una red supone aplicar los conocimientos adquiridos sobre computadoras,
topologías, medios de comunicación, protocolos y dispositivos de red a las necesidades
de trabajo de las empresas que los solicitan.
Evaluar las necesidades de la Red.
Para evaluar una red se debe de considerar lo siguiente:
•
Tamaño y objetivo de la organización que necesita la red.
•
El crecimiento de la organización, términos de personal y servicios.
•
Aplicaciones criticas de la red.
•
Relación de recursos de la red con los objetivos de la organización.
•
La seguridad.
•
Presupuesto para la Red y las computadoras.
La planificación y la organización deben de tomar en cuenta la fiabilidad, seguridad y
tolerancia a fallas en la redes de datos y comunicaciones de la organización en donde
se implantará.
Los recursos informáticos ha implantar permitirán proporcionar mejor servicio al cliente
interno como al externo y la entrega de mejores productos a un menor tiempo.
Dentro de las necesidades a considerar también se debe mencionar las copias de
seguridad de los datos, prevenir fallas de las computadoras y contar con planes para
restablecer un desastre.
Desarrollar un Diseño
Parte importante de la documentación de los recursos es la realización de un diagrama
de la red actual para visualizarla y poder hacer mejoras posteriores, adicional a esto se
debe incluir:
•
El número y el tipo de estaciones de trabajo.
•
El número y el tipo de computadoras host y servidores
•
La topología de la red.
•
El medir de la comunicación de la red.
Página 5 de 37
•
Las clases de dispositivos de la red.
•
Los servicios de telecomunicaciones.
•
Estadística del rendimiento de la red actual.
•
El documento de información de la solicitud o RFI (Request For Information) y la
propuesta de solicitud o RFP (Request For Proposal).
El RFI, documento que define los términos generales de lo que se necesita
El RFP especifica los servicios y productos que se quieren adquirir.
Seleccionar la topología y el medio de transmisión mas adecuado.
•
En la mayoría de las circunstancias conviene utilizar topología Ethernet, en
estrella.
•
Instalar cable categoría 5e.
•
Instalar cable de fibra óptica en las redes troncales y entre los edificios, para
proporcionar mayor ancho de banda.
•
Comprobar las emisiones RFI y RFO.
•
Siempre instalar más cable de lo necesario.
•
Seguir las especificaciones IEEE y de la EIA/TIA para el cableado de
telecomunicaciones.
Estimar los costos de interconexión.
Los costos se deben calcular según el costo de los componentes y el costo del recurso
humano, la solución barata resulta ser, utilizar una red con topología estrella, cableado
UTP Categoría 5 y Switches.
Si se utilizan equipos de red más complejos, los costos de red se incrementan.
Planificación Centralizada.
Planificar una red que utiliza un diseño basado en un switch y una topología en estrella
hace posible que la administración de la red sea centralizada.
Ubicar en una sola habitación una estación dedicada a la administración de la red, los
servidores para realizar las copias de seguridad y actualización de software, y poner
Página 6 de 37
los armarios de cableado para compartir el suministro de energía, el aire acondicionado,
mejoran la administración de una red.
Tener todo esto centralizado hace que sea mas fácil el mantenimiento del equipo base,
facilita localizar problemas y es mas seguro para la empresa.
Segmentación de la Red
En la planificación de la red deberá tenerse en cuenta el tráfico de la red para que los
equipos de red como los puentes, enrutadores, switches y conmutadores ATM puedan
controlar el tráfico. Una forma de segmentar una red es utilizar un Puente.
Un Puente es un Dispositivo que enlaza Segmentos de redes diferentes para formar
una sola red lógica; el puente filtra los paquetes que tengan ciertas direcciones y que no
entren en alguna zona de la red donde no van a ser recibidos por ningún nodo.
Gestión de Cuentas
Crear las cuentas de usuario en un servidor centralizado facilita la administración.
La administración de cuentas de Microsoft Windows NT Server son ejemplo de
administración de cuentas en el Servidor, mediante los métodos de:
•
Políticas de cuentas
•
Directorios locales de los usuarios
•
Políticas de grupos
•
Auditoria de cuentas
Establecer las directivas de las Cuentas
Parte del planteamiento para el mantenimiento de la red es el establecimiento de
políticas para las cuentas, en lo que se refiera a la manera o forma de acceso a los
recursos de la red, impresoras, servidores, directorios y porciones de disco duro, que
debe de hacerse por medio de privilegios de escritura, lectura y ejecución sobre las
cuentas a crear, esto con el hecho de garantizar seguridad al acceso de los datos al
servidor central.
Convenciones en el nombramiento de las cuentas
Los administradores de Redes, establecen los nombres de las cuentas, basándose en
la función que ocupan los usuarios, en los nombres descriptivos de la función que
Página 7 de 37
desempeñan. La ventaja de utilizar la función para designar las cuentas es que no hay
que borrar la cuenta cuando el titular de la cuenta deje o cambie de trabajo. El
administrador de la Red únicamente cambiara la contraseña de la cuenta y dársela a la
nueva persona que ocupe ese puesto.
Otra forma de establecer los nombres de las cuentas de usuarios es basándose en los
nombres reales de los usuarios; esto facilita el seguimiento por parte de auditores de
sistemas de saber quien ha realizado cambios de datos en el sistema.
Establecer directivas de cuentas en Microsoft Windows NT Server
La herramienta de Administración de usuarios para dominios (user manager for
domains), de Windows NT, se utiliza para establecer las directivas sobre las cuentas,
las directivas de cuentas se aplican de forma automática a cada una de las cuentas
nuevas que se crean.
Las directivas de cuentas que pueden establecerse son:
•
Caducidad de la contraseña.
Se utiliza para cambiar la contraseña cada cierto tiempo.
•
Longitud de la contraseña.
La contraseña debe de ser de longitud de 5 o mas caracteres para dificultar su
adivinación.
•
Historia de la contraseña.
Algunos SO mantienen un archivo con las contraseñas utilizadas recientemente,
para asegurar que pasa un tiempo antes de que una contraseña se pueda volver
a utilizar.
•
Bloqueo de la cuenta.
El bloqueo de cuenta es un mecanismo que previene el acceso a una cuenta
después de un cierto numero de intentos de conexión fallidos. El acceso puede
denegarse por un periodo especifico o incluso hasta que el administrador de la
red desbloquee la cuenta.
Crear Directorios locales
La creación de directorios locales en el Servidor de Archivos, es una forma de
administrar el lugar donde se sitúan los archivos de los usuarios.
Página 8 de 37
Un directorio local es el lugar donde el propietario de la cuenta puede almacenar sus
archivos.
La creación de directorios locales de los usuarios en el servidor facilita la
administración, y el respaldo de información pero deben de realizarse tareas
adicionales sobre verificación de espacio en disco del servidor para evitar que éste se
llene.
Establecer directivas de Grupo
Windows NT define dos tipos de grupos: Locales y Globales.
Un grupo local está formado por cuentas de usuarios, recursos de red (servidores,
estaciones de trabajo, impresoras) e inclusive grupos globales.
Un grupo local se utiliza para definir los derechos y los privilegios en un único Dominio
de Microsoft.
Los grupos globales se utilizan para proporcionar derechos de acceso a través de los
dominios de Microsoft, tal como proporcionar acceso, desde el campus principal a los
otros dos campus anexos.
Utilizando los grupos locales y globales de forma combinada, una red empresarial
(situada en distintas zonas geográficas) puede configurarse de modo que un único
administrador de redes pueda manejar los recursos del servidor o servidores, las
estaciones de trabajo y las impresoras desde una computadora con Windows NT
Server. Los miembros de los grupos y las directrices pueden establecerse mediante la
utilidad Administrador de usuarios para tareas (User manager for domains) de Windows
NT.
Inspección de la actividad de cuentas
Windows NT Server tiene una opción que se llama Auditar, y sirve para poder seguir la
pista de la actividad de las cuentas. Los documentos que se pueden guardar son los
siguientes:
•
Actividad de conexión y desconexión de cuentas.
•
Accesos exitosos e infructuosos a archivos y carpetas.
•
Cambios significativos en una cuenta, como añadirla a un grupo.
Página 9 de 37
La opción de Auditar se utiliza para identificar el acceso de intrusos, intentos de acceso
fallidos; también ayuda a determinar si los permisos de cierta cuenta están bien
definidos.
Planificar la seguridad de la Red
Una plan de seguridad en la red protege los datos y minimiza el tiempo de inactividad
cuando se producen errores humanos o por azar. Todos los usuarios dependen de la
información y de los recursos que tienen las redes.
El plan de seguridad debe de tratar las áreas siguientes:
Establecer Contraseñas.
Las contraseñas son una defensa importante contra intrusos.
Las cuentas de la red deberán contener:
•
Una contraseña que se cambie de forma regular, cada 30 o 60 días.
•
Debe contener caracteres combinados.
•
Debe de deshabilitarse la cuenta de Invitado generada por Windows NT.
•
Establecer permisos a las carpetas y archivos
Administrar los privilegios de Acceso.
La seguridad en un servidor se puede establecer utilizando la seguridad del sistema de
archivos NT.
Este sistema de seguridad comprende permisos de
•
Escritura
•
Lectura
•
Modificación
•
Control Total
Se aconseja también cumplir las normas siguientes:
•
Proteger la carpeta winnt (carpeta del sistema operativo) y sus subcarpetas.
•
Eliminar el grupo Todos o everyone de las carpetas confidenciales.
•
Proporcionar a los usuarios el control total de sus propios directorios locales.
Página 10 de 37
Encriptar los datos.
Las técnicas de encriptación de datos cada vez son más importantes y tienen como
objetivo evitar la intercepción de los datos importantes en las redes.
La encriptación de los datos supone transformar los datos en una secuencia ininteligible
de caracteres. Para volver a transformar los datos alterados en la información original,
se utiliza un código o clave.
Un método de encriptación de datos necesita una o varias claves. La clave de
encriptación es un código digital o contraseña que deben conocer los nodos que
realizan el envió de la información y el nodo que la recibe.
Existe un método de encriptación de clave pública llamado DES Data Encryption
Standard, Estándar de Cifrado de Datos, utiliza claves compuestas por 56 o por 112
bits. La mitad de la clave se utiliza para encriptar la información y el resto de la clave se
utiliza para desencriptar los datos recibidos.
IIS es compatible con DES cuando funciona como servidor Web.
Crear Cortafuegos.
Los cortafuegos (firewall) protegen las redes de intrusos y disminuyen el tráfico
indeseado.
Un cortafuegos esta compuesto por hardware y software que protegen las partes
de una red de dos formas. (1) Una de ellas es asegurando que los intrusos
exteriores no accedan a los datos y a los recursos de la red y la (2) segunda es
impidiendo que una fuente interior pueda sacar datos.
Un firewall dedicado tiene opciones de seguridad, interpretación de direcciones de red,
conexión, FTP, Proxy de protocolo simple de transferencia de correo SMTP Simple Mail
Transfer Protocol y Proxy de protocolo de transferencia de hipertexto HTTP y
encriptación.
Los Firewall disponen del sistema DES y de otros métodos de encriptación de datos
para las comunicaciones.
Un Proxy es un servidor que centraliza el tráfico entre Internet y una red privada.,
contiene mecanismos de seguridad que impiden el acceso no autorizado.
Página 11 de 37
Protección contra virus
Al implantar una red hay que desarrollar un plan para detectar y prevenir la aparición de
virus.
Un virus de computadora es un software que puede propagarse a través de una
computadora provocando errores en los archivos, las tablas de localización de los
archivos y en algunos otros componentes de software.
Para proteger una red de los virus es necesario practicar lo siguiente:
•
Adquirir un antivirus corporativo, para el servidor y las estaciones de trabajo.
•
Que el antivirus reside en cada estación de trabajo y que cuente con
actualización automática.
•
Adquirir la consola de actualización y monitoreo de ataques de virus.
•
Establecer búsquedas periódicas diarias o cada cierto tiempo en las estaciones
de trabajo y el servidor.
Página 12 de 37
TECNICAS DE TOLERANCIA A FALLAS
Página 13 de 37
Tolerancia a Fallas
Los problemas más corrientes para un administrador de red son las fallas y las
fluctuaciones de la corriente eléctrica y otros problemas que pueden surgir en una red.
Las consecuencias de las fallas imprevistas se pueden reducir dependiendo de cómo
se implante y diseñe la red. Las formas de controlar las fallas imprevistas son la
implantación de sistemas de protección contra los problemas eléctricos y el desarrollo
de copias de seguridad de los datos haciendo duplicados en otras unidades de disco.
Falla de Componentes
Los componentes del hardware pueden y de hecho fallan.
Componentes que pueden fallar:
•
Estaciones de trabajo.
•
Servidores.
•
Conmutadores.
•
Repetidores.
•
Puentes (bridges).
•
Enrutadores (routers).
•
Concentradores (hubs).
•
Conectores.
•
Resistencia de carga.
Los componentes que fallan a menudo son los que tienen partes móviles, como las
unidades de disco y de cinta.
Discos Duros:
En los discos, el movimiento mecánico de la parada de un disco provoca un desgaste
extra del mecanismo de la cabeza de lectura. Los cortes de suministro eléctricos, los
repentinos aumentos de tensión y los cortes esporádicos de electricidad son
especialmente malos para las unidades de disco, producen un movimiento extra de las
cabezas de lectura según se apaga y se encienda el disco.
Fragmentar un disco: es un proceso normal y paulatino en el que los archivos se van
esparciendo por el disco y surgen espacios vacíos entre los archivos.
Página 14 de 37
Los discos que están llenos o fragmentados provocan que la cabeza de lectura se
mueva más por el disco que cuando éstos tienen un mantenimiento regular.
La fragmentación surge como resultado de borrar y añadir archivos al disco.
Defragmentar un disco es un proceso que reagrupa los datos que hay en el disco, con
el objeto de que la información esté agrupada y sea mas fácil de localizar.
Cuando se produce una falla en la unidad de disco, es que una cabeza de lectura toca
físicamente al disco, esto provoca el daño al disco.
Las unidades de cinta están sujetas a posibles fallas, también tienen partes móviles,
pero su índice de fallas es menor que las unidades de disco.
Las fuentes de poder o alimentación de corriente eléctrica y la tarjeta madre o
motherboard también pueden fallar.
La fuente de alimentación es el componente eléctrico y se encarga de transformar la
tensión eléctrica que hay en un enchufe en otra que se adapte a las necesidades del
dispositivo en el que se encuentra.
La tarjeta de conexiones es importante en una computadora modular, realiza las
conexiones entre las tarjetas modulares y les proporciona la tensión eléctrica necesaria
para poder funcionar.
Otros componentes que pueden fallar son la CPU, las memorias RAM, debido a las
subidas y bajadas bruscas en la corriente eléctrica.
Tolerancia a Fallas
La tolerancia a fallas consiste en diseñar un hardware o un software que proporcione
redundancia ante posibles eventos negativos.
Características de tolerancia a fallas:
•
Unidades de disco redundantes.
•
Tolerancia a falla del servidor.
•
Redundancia en el medio de comunicación y en los dispositivos de la red.
•
Seguimiento de las transacciones.
•
Copias de seguridad de los datos.
•
Opciones de reconstruir la situación ante desastres.
Página 15 de 37
Tolerancia a fallas significa utilizar software y hardware para protegerse ante fallas
de los equipos, interrupciones en el funcionamiento de las computadoras y pérdida de
datos.
Sistema de Almacenamiento tolerante a fallas.
Como las unidades de disco son propensas a fallas, una medida para asegurar los
datos es la redundancia en los discos de los servidores.
Copia de Disco:
Con la copia del disco, hay dos unidades independientes para cada disco de datos.
La unidad principal maneja la petición de los usuarios de acceso o escritura de datos, la
segunda unidad es un disco imagen que contiene una copia de los datos de la primera
unidad. Las actualizaciones y eliminaciones de datos se realizan en la unidad principal y
duplican en la segunda.
Si la unidad principal falla, la unidad duplicada contiene los datos, en el disco imagen
ambas unidades se conectan al mismo controlador de disco o adaptador SCSI (Small
Conmuter System Interface).
Este tipo de tolerancia a fallas presente un inconveniente y es que si el controlador o el
adaptador falla, los datos que hay en el disco imagen o disco copia no serán accesibles.
Duplicación del Disco:
Este método de tolerancia a falla, consiste en poner un adaptador o un controlador por
cada uno de los discos duros. Si el disco principal, el controlador o el adaptador fallan,
los usuarios pueden continuar su trabajo con el dispositivo redundante o segundo disco
duro.
Otro método para la redundancia de discos es utilizar un sistema RAID (RAID Redundat
Array of Inexpensive Disks).
RAID:
Es un conjunto de estándares para alargar la vida del disco duro y prevenir la perdida
de los datos por una falla en el disco duro.
Página 16 de 37
Distribuir:
Es un método para almacenar los datos, que distribuyen los archivos de datos por todos
los discos para minimizar el desgaste de una sola unidad de disco.
Niveles RAID principales:
RAID nivel 0
Consiste en distribuir los datos sin ninguna otra característica de redundancia. Si el
disco principal falla, se pierden los datos de las otras unidades.
RAID nivel 1
Utiliza un único disco imagen y un disco de duplicación. El disco imagen y el disco
duplicado proporcionan la mejor garantía de que los datos se recuperaran cuando se
produzca una falla del disco principal.
RAID nivel 2
Este nivel utiliza un banco (array) de discos para que los datos se dividan por todos los
discos del banco. En este nivel, los discos se desgastan menos y los datos se pueden
reconstruir si un disco falla.
RAID nivel 5
Este nivel incluye la distribución de datos por todos los discos, la corrección de errores
y la verificación de checksum. Éste nivel necesita que el banco de discos tenga, por lo
menos, 3 discos. Una característica del nivel 5 es que un administrador de red puede
reemplazar un disco sin tener que apagar el resto de las unidades.
En un servidor Windows NT, los discos imagen o las unidades RAID se configuran
utilizando la herramienta para administrar el disco del servidor, llamada Administrador
de Disco (Disk Administrador).
Página 17 de 37
Tolerancia a fallas del Servidor.
Seleccionar el sistema operativo Windows NT para instalar una red, es una forma de
obtener seguridad en los recursos de la red. Posee las características de crear discos
imagen, duplicados de discos, RAID.
Capacidad de reparar en forma directa el disco duro.
El sistema de archivos Windows NT, realiza recuperación directa en dos formas:
Reservar Sectores y Remapear Clusters.
Reservar Sectores, solo se realiza en unidades conectadas a adaptadores SCSI. En la
reserva de sectores el sistema operativo designa ciertos sectores como reservados,
para que se utilicen cuando se produzcan problemas durante la escritura. (Configure
con el Administrador de Discos).
En unidades que no son SCSI, Windows NT utiliza la técnica llamada Remapear
Clusters. Cuando se descubre una zona defectuosa, el sistema operativo marca el
cluster del disco como defectuoso; posteriormente busca un cluster que no esté dañado
para poder escribir en él la información.
Seguimiento de Operaciones.
El seguimiento de operaciones, también llamado anotación de operaciones, es un
método de tolerancia a fallas en el que se mantienen las anotaciones de todas las
operaciones recientes antes de que se escriban en el disco. Si fallase un disco duro o
un sistema, las operaciones que no se hayan escrito se recuperaran desde el diario.
Duplicación de Directorios.
Los servidores Microsoft NT incorporan este método de tolerancia a fallas a través de
los servicios de duplicación de directorios de Microsoft. El servicio encargado de la
duplicación copia las carpetas y los archivos desde un servidor a otro, o desde un
servidor a una estación de trabajo. Se pueden copiar los archivos de comandos de
inicio de sesión desde el servidor principal al servidor secundario, así los usuarios
pueden acceder a las bases de datos y a toda la data a través del servidor secundario,
aunque le servidor principal este fuera de servicio.
Página 18 de 37
Duplicación de seguridad y cuentas de usuario.
Dos estrategias para proteger los datos son: la duplicación regular de los datos en otro
de los servidores (backup domain controller) de la red y la copia de seguridad de forma
regular de los datos en una cinta. En Windows NT Server la información se almacena
en la base de datos de administración de cuentas de seguridad SAM (security accounts
manager), que forma parte de un sistema de archivos y bases de datos llamados
Registro. La SAM almacena información de las cuentas de los usuarios, los grupos y los
privilegios de accesos en un servidor NT.
El REGISTRO es una base de datos que se utiliza para almacenar información sobre
configuración, instalación de programas, dispositivos, unidades y otros datos
importantes para la configuración de una computadora que funciona con Windows NT.
Proteger el sistema operativo.
Windows NT Server funciona en modo protegido para protegerse de los problemas que
origina el mal funcionamiento de un programa. El modo protegido de windows nt es
una zona de memoria protegida en la que funciona el SO. El acceso directo a la
memoria o al hardware de la computadora solamente se puede hacer desde este modo.
Los programas de aplicación que necesitan acceder a la memoria y al hardware
realizan una petición a un servicio del SO en lugar de enviar directamente las
instrucciones al hardware o a la memoria.
Bloquear los archivos y los registros.
El bloqueo es un proceso del sistema operativo que impide poder actualizar un archivo
o un registro de un archivo a más de un usuario al mismo tiempo.
Utilizar un sistema de alimentación ininterrumpida.
Un sistema de alimentación ininterrumpida (SAI) es un dispositivo que proporciona la
energía almacenada en sus baterías a los equipos electrónicos de la red en caso de
que se produjese una falla de la tensión eléctrica o un apagón.
Desarrollar un plan de seguridad.
Los servidores Windows NT por lo general utilizan cintas de cartucho de cuarto de
pulgada (QIC, almacena de 2 a 9 GB, 4mm), cintas de audio digital (DAT, almacenan
Página 19 de 37
de 4 a 25 GB, 8mm) o cintas lineales digitales (DLT, almacenan de 10 a 40 GB, 8mm),
para hacer las copias de seguridad. Las DLT’s son mas resistentes que las cintas QIC y
DAT y escriben la información tres veces mas rápido que los sistemas DAT. Hay varios
tipos de copias de seguridad entre los que elegir.
Copia de Seguridad Completa se encarga de hacer una copia de seguridad de todos
los directorios y de todos los archivos. Este tipo de copia de seguridad debe usar el
formato de guardar archivo por archivo, de este forma, se podrán restaurar
determinados archivos o directorios seleccionados, según las necesidades.
La copia de seguridad completa es una copia de seguridad de todo el sistema,
incluyendo todos los archivos de sistema, programas y archivos de datos.
Copia de seguridad Incremental. Este método realiza la copia de seguridad de
aquellos archivos que son nuevos o han sido modificados desde la anterior copia de
seguridad. Un ejemplo de restauración de las copias de seguridad anterior, es que, si
un disco falla el miércoles, el procedimiento será primero restaurar la copia de
seguridad completa que se ha realizado durante el ultimo fin de semana, y luego
restaurar las copias incrementales del lunes y del martes.
Windows NT Server dispone de 5 tipos de copias de seguridad:
•
Seguridad Normal – seguridad archivo por archivo.
•
Copia de seguridad de archivos seleccionados.
•
Copia de seguridad incremental que realiza copia de seguridad de los archivos
que tiene el atributo de archivo.
•
Copia de seguridad Diferencial, es la misma que la incremental, excepto que no
elimina el atributo de archivo.
•
Copia de seguridad diaria realiza una copia de seguridad de los archivos que
hayan sido cambiados o actualizados en ese día.
La previsión de las cintas es un método de planificación para reconstrucción de
desastres.
Página 20 de 37
ACCESO REMOTO A REDES
Página 21 de 37
BREVE HISTORIA DEL ACCESO REMOTO
Hace unos cuantos años, la forma mas común de acceder a una red de forma remota
era llamando a una estación de trabajo de la red que tuviese un software de acceso
remoto. Esta estación de trabajo, la mayoría de las veces, sólo dejaba trabajar a un
único usuario que llamaba desde la computadora de su casa.
En los años 90 Novell mejoró la tecnología introduciendo el servidor de acceso Netware
(NAS Netware Acces Server). El objetivo de NAS fue realizar un nodo que estuviese
conectado a la red y que hiciese la función de varias estaciones de trabajo.
5 PC’s ---5 MODEM----- 5 línea telefónica ----- 5 MODEM--- 1 Server NAS.
Windows NT Server funciona como un servidor de acceso remoto, hay que instalar los
servicios de acceso remoto RAS (remote Access Services) y es capaz de manejar
cientos de conexiones simultáneas. Windows NT funciona como servidor normal pero
también como servidor de RAS.
Los RAS son servicios software que permiten a las estaciones de trabajo que no
pertenecen a la red poder acceder al servidor Windows NT a través de una línea
telefónica analógica o RDSI.
MODEM.
Los módems son la pieza por medio de las cuales se puede acceder de forma remota a
una red.
La palabra Módem está compuesta por la contracción de modulador/demodulador. Un
módem es un dispositivo que convierte la señal digital de una computadora en señales
analógicas, para que se puedan transmitir por la línea telefónica. Además, las señales
analógicas que se reciben por la línea telefónica las convierte en señales digitales para
que la computadora sea capaz de trabajar con ellas. Existen módems internos y
externos, ambos se conectan a la línea telefónica a través de un cable telefónico que
tenga conectores RJ-11 en sus extremos.
Página 22 de 37
La velocidad de transferencia de los datos en un MODEM se mide de dos formas
similares pero no idénticas:
1:
La velocidad en Bauds es la medida de la velocidad que se utilizaba en los primeros
módems e indica el número de señales transmitidas en un segundo. Los primeros
módems de 300 bauds podían hacer como máximo 300 cambios por segundo en la
señal, con lo que se enviaban 300 bits por segundo.
2:
Igual que las velocidades de la red, las velocidades de los módems se miden
actualmente en bits por segundo e indica el número de bits que se transmiten por
segundo.
Cuando una computadora personal (PC) se conecta a un módem, la velocidad de
transferencia de datos de la computadora se denomina velocidad de comunicación del
equipo terminal de datos (DTE. Data Terminal Equipment)). La velocidad de módem se
denomina velocidad de comunicaciones de equipo de comunicaciones de datos (DCE,
Data Communications Equipment). La configuración de la velocidad del puerto de la
computadora DTE deberá se la misma o superior que la velocidad DCE del
módem.
A veces los módems no se pueden comunicar porque están configurados de forma
incompatible. Así, un módem de 2400/4800 bps que cumpla la norma V.27ter no puede
establecer la comunicación con un módem de 36,600 que cumpla la norma V.42 si el
módem de 36,600 bps no esta configurado para negociar una reducción de su
velocidad. Si la línea tiene mucho ruido, algunos módems V.42bis intentan establecer la
compresión de datos MNP-5 (Micron Network Protocol). Si el otro módem no tiene la
posibilidad de realizar una compresión de datos MNP-5, tampoco podrá establecer un
enlace.
Líneas Telefónicas Públicas y Privadas.
La mayoría de las comunicaciones es por módem y utilizan todavía una línea de
telefonía pública. Una línea telefónica pública es una conexión telefónica ordinaria
que se conmuta de forma temporal durante la sesión de comunicación con la red y que
Página 23 de 37
se corta cuando la sesión del módem termina. La conexión empieza y termina con la
sesión de transmisión.
Una línea telefónica dedicada es una línea que se utiliza para la transmisión de datos
y esta conectada permanentemente entre dos lugares y esta preparada para realizar
transmisiones de datos de alta calidad, están acondicionadas para reducir el ruido y
proporcionar transmisiones fiables.
Las líneas telefónicas publicas y las dedicadas son analógicas y por tanto necesitan la
utilización de módems síncronos o asíncronos (para conectar las PC’s ) o enrutadores
para la transmisión de datos de un punto a otro.
Una línea RDSI es una línea digital para realizar transmisiones de alta calidad y con
una velocidad de datos alta, utiliza módem digital común mente llamado (TA), Terminal
Adapter para conectar a la PC con una línea digital, la velocidad de transferencia esta
entre 128kbps y 512kbps.
Clases de Módems.
.Un módem Asíncrono envía la información bit a bit, en paquetes que tienen un
tamaño de un byte. Un byte representa un carácter (una letra, por ejemplo). Para saber
dónde comienza y dónde acaba un paquete se pone un bit de comienzo al principio y
un bit de parada al final de cada paquete; los módems asíncronos transmiten a
velocidades desde 300 bps hasta 56 kbps.
Los módems síncronos (son los que se compran más baratos para establecer
conexionas a Internet) empaquetan los datos en forma de flujo. Un flujo de datos puede
contener varios bytes de datos, y cada byte del flujo es un dato distinto. Cada uno de
los flujos de datos se envía basándose en una temporización o en un intervalo
sincronizado establecido por los módems, llamado intervalo de reloj. Los flujos de datos
se envían por la línea según marca el reloj, de forma continua, para que los flujos se
envíen por un MODEM y se reciban en el otro en el intervalo sincronizado
preestablecido.
Página 24 de 37
Un módem síncrono puede enviar y recibir más datos en un tiempo dado que un
módem asíncrono, porque no hay que poner un bit de inicio y de parada, al principio y al
final de cada byte.
Los módems síncronos se utilizan para las comunicaciones remotas entre un lugar con
varios usuarios y una computadora host.
Conectar módems a una Red.
Un servidor de Comunicaciones se utiliza para conectar dispositivos a la red que
utilizan comunicaciones en serie asíncronas. El servidor contiene una tarjeta de red
para conectarse a la red, y una serie de puertos para conectar los dispositivos a la red.
Los servidores de comunicaciones, proporcionan enrutado asíncrono para protocolos IP
e IPX.
Las comunicaciones en serie son transmisiones de datos que utilizan un canal para
enviar los bits de datos de uno en uno. Los terminales y los módems
utilizan
comunicaciones serie.
Los servidores de Acceso son dispositivos modernos para conexión en serie. Conecta
dispositivos síncronos y asíncronos y proporciona una ruta para ambos tipos de
comunicación; esto permite comunicaciones X.25, T1, RDSI, y telefonía publica.
Los servidores de acceso pequeños tienen 8 o 16 puertos asíncronos y 1 o 2 puertos
síncronos, los servidores grandes son de tipo modular y tienen de 10 a 20 conectores
slots para las tarjetas de comunicación, pueden tener hasta 70 módems y fuentes de
alimentación redundantes para la tolerancia a fallas.
Página 25 de 37
PROTOCOLOS DE ACCESO REMOTO.
Página 26 de 37
PROTOCOLOS DE ACCESO REMOTO.
En las comunicaciones remotas se utilizan casi siempre dos protocolos. IP de línea
serie (SLIP) (SERIAL LINE INTERNET PROTOCOL) y el protocolo (PPP) (POINT TO
POINT PROTOCOL).
SLIP
es un protocolo de comunicaciones antiguo,
una ampliación de SLIP es el
protocolo IP de línea serie comprimido (CSLIP, compressed serial line). Este protocolo
realiza una compresión de la información de cabecera de cada paquete que envía por
el enlace, reduce la sobrecarga de una conexión SLIP porque reduce el tamaño de la
cabecera, aumentando la velocidad de comunicación, sin embargo, la cabecera debe
descomprimirse en el receptor final.
Tanto SLIP como CSLIP están limitados, porque no soportan autenticación de la
conexión para evitar que alguien intercepte una comunicación y adopte una identidad
falsa. Tampoco soportan negociación automática de la conexión de red y son
protocolos pensados para transmisiones asíncronas, tipo módem-módem.
El protocolo PPP punto a punto se utiliza para comunicaciones remotas, soporta más
protocolos de red como IPX, SPX TCP/IP; puede negociar de forma automática la
comunicación con la red y soporta autenticación de conexión.
El protocolo de tunelización punto a punto (PPTP point-to-point tunneling protocol) es
un complemento de PPP que permite comunicaciones a intranets por medio de Internet.
Tanto el protocolo PPP como el protocolo PPTP soportan comunicaciones
sincronas y asíncronas, permiten la comunicación mediante módems, las líneas
telefónicas de uso público, las líneas dedicadas, RDSI y X.25.
Página 27 de 37
Servicios de Acceso Remoto de Microsoft
Microsoft ofrece una forma de conectar múltiples usuarios a una red a través de RAS
(remote access services); para ello hay que realizar tres (3) pasos:
•
Hacer que un servidor Windows NT sea un servidor RAS de red.
•
Instalar RAS en las estaciones de trabajo.
•
Instalar el acceso telefónico a redes en las estaciones de trabajo.
Crea un servidor RAS.
El primer componente a instalar según el tipo de red puede ser un Servidor de
Comunicaciones o servidor de acceso modular.
Seguidamente el Software para convertir el servidor NT en un servidor RAS.
El servidor RAS a instalar debe soportar:
Módems asíncronos.
Módems sincronos.
Líneas telefónicas de acceso a redes.
Líneas dedicadas.
Líneas RDSI y módems digitales.
Líneas X.25.
Instalar servicios de acceso remoto en la estación de trabajo.
Para conectar un ordenador con Windows a un servidor RAS , hay que instalar RAS en
la estación de trabajo. Los servicios RAS soportan SLIP y PPP, pero PPP no se debe
utilizar como protocolo de acceso remoto.
Instalar la configuración de acceso telefónico.
Después de haber instalado los servicios de acceso remoto en la estación de trabajo
remota, se necesita crear una conexión de acceso telefónico para automatizar el
proceso de marcar los números para conectarse al servidor NT que funciona como
RAS.
La seguridad de devolver la llamada indica al servidor RAS que devuelve la llamada a la
estación de trabajo que intenta conectarse, para comprobar que el acceso se realiza
desde un número de teléfono autorizado.
Página 28 de 37
MONITOREO DE LA RED
Página 29 de 37
Introducción al monitoreo de la Red.
El monitoreo de una red se utiliza para prevenir problemas antes de que puedan
presentarse, y resolverlos de forma acertada, se utiliza para planificar su ampliación,
prestación de nuevos servicios y verificar el trafico de la red.
Con el monitoreo de red, se determina el rendimiento de la red, se determina la
procedencia de carga de red en horas pico, se puede determinar si esta bien
segmentada o no.
Tráfico en la Red.
Hacer pruebas comparativas sobre el rendimiento de una red es una base importante
para la toma de decisiones sobre lo que se debe hacer en la red. Si se toma como
base, datos recopilados durante situaciones problemáticas y se comparan con datos en
situaciones en las que el tráfico de la red era normal pueden diagnosticar los problemas
y ayudar a resolverlos.
Puntos de Referencia:
•
Generar estadísticas de la CPU del servidor, de su memoria, y de la entrada y
salida sin que haya usuarios en el sistema.
•
Generar estadísticas del CPU del servidor, su memoria, y de la entrada y salida
habiendo usuarios en el sistema.
Otros puntos de referencia.
•
Utilización de uso del servidor por incremento de usuarios
•
Incremento de uso de software
•
Incremento en la cantidad de tiempo que los usuarios están conectados al
sistema.
Estas comparaciones se utilizan para medir el rendimiento del servidor ante variaciones
de carga, ayudaran a mejorar el tráfico de red, ya sea, segmentando la red de una
Página 30 de 37
nueva forma, agregando componentes u equipo a la red, ampliando memoria o
tomando nueva decisiones para ayudar a tener un buen rendimiento de la red.
Protocolo simple de Gestión de Red (SNMP).
El protocolo simple de gestión de Red (SNMP), permite monitorear la actividad de la
red.
SNMP funciona de forma independiente de la red, no depende de una conexión
bidireccional a nivel de protocolo con otros nodos de red y sus funciones se realizan en
una de las estaciones o nodos de trabajo de la red y ocupa 64 KB de memoria.
Utilizar SNMP para monitorear la Red.
SNMP funciona a través de dos entidades:
•
La estación de gestión de Red (NMS Network Management Station).
Es una estación de trabajo dedicada a recopilar y almacenar los datos de
rendimiento de la red, que se obtienen desde los nodos que están ejecutando el
software de agente y que le permite recopilar toda la información y realizar las
funciones de administración de la red.
•
Agentes de red.
Es un dispositivo de red (PC, enrutador, concentrador, etc.), que está equipado
para reunir información del rendimiento de la red y enviarla al NMS.
La NMS puede construir un mapa de toda la red. El software de la NMS o estación de
gestión tiene la capacidad de detectar si un agente no esta funcionando correctamente,
puede tener alguna alarma para informar al administrador de la red lo que esta
sucediendo.
Base de información de gestión (MIB)
Cada uno de los agentes mantiene una base de datos con información sobre el numero
de paquetes que se envían, el numero de paquetes recibidos, errores en los paquetes,
el numero de conexiones, etc. La base de datos de un agente se llama Base de
Información de Gestión (MIB, Management Information Base).
Página 31 de 37
La estación de gestión (NMS) utiliza un grupo de comandos para obtener o alterar los
datos MIB; los mensajes que se transmiten entre la NMS y el agente se empaquetan en
el protocolo de datagrama de usuario (UDP user datagram protocol). La unidad
empaquetada consta de un identificador de la versión del mensaje, un nombre de
comunidad y una unidad de datos de protocolos (PDU protocolo data unit). El nombre
de la comunidad es una contraseña compartida por la NMS y el agente.
Un Nombre de Comunidad es una contraseña utilizada por los agentes de red y la
NMS para que sus comunicaciones no las intercepte una estación de red o un
dispositivo que no esté autorizado.
La base de datos MIB almacena datos en los objetos de la red, ejemplo, estaciones de
trabajo, servidores, puentes, concentradores y repetidores; el conjunto de variables
contenidas en un MIB puede contener: traducción de direcciones, grupos de protocolos,
grupos de interfaces, grupo de control, entre otros.
SNMPv2.
Proporciona un nombre de comunidad encriptado, mejora el tratamiento de errores y el
soporte de protocolos, añade soporte IPX y appletalk, recupera información más rápida.
Dispositivos para monitorear la Red.
Los dispositivos de monitoreo de red abarcan desde simples medidores de tension
hasta complicados analizadores de protocolos.
Dispositivos para monitorear y medir parámetros de la Red:
•
Voltímetros, Polímetros y medidores de potencia óptica.
•
Escáner de cable.
•
Medidor de transceptores.
•
Analizador MAU.
•
Reflectometro de dominio temporal.
•
Analizador de protocolo.
Página 32 de 37
Dispositivos básicos de monitoreo.
Voltímetro.
Mide el voltaje del cable de red, o los niveles de tensión, de cualquier dispositivo de red;
algunos voltímetros utilizan un indicador de tipo analógico para mostrar el resultado de
la medida, los voltímetros digitales (DVMs) tienen una pantalla digital.
Ohmetro.
Es un dispositivo que mide la resistencia y la continuidad en un circuito eléctrico.
Polímetro.
Mide volts. Ohms y amperes.
Medidor de potencia Óptica.
Se encarga de medir la señal de luz transmitida a través de un cable de fibra óptica.
Monitoreo de la longitud del cableado.
Los escáneres de cable pueden medir cables de fibra óptica, cables de par trenzado y
cables coaxiales. Para medir el cable hay que conectar el escáner a uno de los
conectores del cable que se quiere medir. La información se utiliza para determinar la
longitud del cable y se muestra en una pantalla LCD. Si se interrumpe la señal, el
escáner determina si existe un circuito abierto o un corto circuito.
Un circuito abierto significa que la conexión esta cortada.
Un corto circuito significa es una conexión incompleta o dañada. El escáner notifica la
distancia al problema para que se pueda localizar y reparar. Los escáneres pueden
también identificar si un segmento de cable tiene interferencia electromagnética o de
radiofrecuencia.
Comprobador de Transceptores.
Los transceptores se utilizan para conectar los cables de las redes troncales
(backbones) a las redes y a los equipos, puentes, enruteadores, concentradores y
estaciones de trabajo. El comprobador de transceptores
detecta los problemas
relacionados con la tensión, la recepción de señal y el manejo de colisiones.
Página 33 de 37
Reflectómetro de dominio temporal (TDR).
Un Time Domain Reflectometer, es un dispositivo que mide las características del cable
de la red: circuitos abiertos, corto circuitos, interferencias electromagnéticas, longitudes
de cable y problemas en los conectores y en las resistencias de cargas, la impedancia.
Un TDR basa su funcionamiento en la emisión de una señal u onda luminosa a través
del cable y espera la llegada de la onda reflejada, de forma que observando las
características de esta onda es capaz de saber el estado del cable.
Analizador de Protocolos.
Este dispositivo se utiliza para comprobar los protocolos que se transmiten por la red,
captura el tráfico que circula por la red.
En la capa física, un analizador de protocolos puede detectar
Circuitos abiertos.
Cortos circuitos e interferencias eléctricas, se puede conectar a la red troncal o a un
segmento de la red.
En la capa de enlace informa de:
Errores en los datos, colisiones de paquetes, paquetes incompletos, congestión de red.
En la capa de Red un analizador de protocolos informa de:
Ruta de los paquetes de datos.
Algunos analizadores de protocolos pueden examinar las capas OSI de transporte, de
Sesión, de Presentación, y de Aplicación.
Cuando se compra el analizador de protocolos se debe adquirir también el software
para los protocolos con los que se desee trabajar.
Monitoreo de la Red de forma Remota.
El monitoreo de red remoto
(RMON) utiliza los nodos de la red las estaciones de
trabajo o los dispositivos de red para realizar el monitoreo de la red, también pueden
recopilar datos sobre el análisis de los protocolos de la red. Sondea y localiza las
secciones apartadas de la red.
Las sondas RMON son estaciones de trabajo, servidores y dispositivos de red
equipados con el software RMON, que se utilizan para monitorear una red y enviar la
Página 34 de 37
información a una estación de gestión de RMON. La estación de gestión es una
estación de trabajo dedicada a obtener y a informar de los datos RMON que van
obteniendo las sondas.
Las sondas al igual que los analizadores de protocolos, reúnen la información de la
actividad de la red. Las sondas se pueden poner en cualquier lugar donde se necesite
monitorear permanentemente la red. También se pueden colocar en un enlace
Telefónico, T1/T3 o RDSI, para obtener información de cada una de las regiones de una
red de área extendida (WAN).
Hay que evitar utilizar RMON en dispositivos críticos para la red, como en los
servidores, donde se puede sobrecargar la CPU y la capacidad de disco.
Herramientas de monitoreo de Microsoft.
Las herramientas de monitoreo de Microsoft son las siguientes:
•
Agente de monitoreo de red.
•
Servicio SNMP.
•
Monitor del Sistema.
•
Monitor de Red.
•
Observador de Red.
•
Monitor SNMP.
Agente de monitoreo de Red.
Es un servicio o software de red, que permite que la computadora pueda ir recopilando
datos sobre el rendimiento de red, como el número de paquetes enviados o recibidos
por una estación de trabajo en donde se encuentra instalado. La computadora que tiene
funcionando el agente de monitoreo de red obtiene los datos a través de sus tarjeta de
interfaz de red; cuando se ejecuta el agente de monitoreo de red, la tarjeta de interfaz
de red es capaz de obtener información sobre el trafico Netbeui que pasa por ella.
Página 35 de 37
El agente de monitoreo de red, permite que las tarjetas de interfaz de red de las
estaciones de trabajo o de los servidores de Microsoft obtengan
datos sobre el
rendimiento de la red.
El monitor de sistema es una de las herramientas de Microsoft para capturar y
manejar
la información de rendimiento de la computadora que está ejecutando el
software de monitoreo y sobre la red a la que está conectada dicha computadora.
El monitor de red es una herramienta de monitoreo de Microsoft que captura y maneja
la información sobre el rendimiento de la red.
Página 36 de 37
BIBLIOGRAFIA
Palmer, Michael J., Redes de Computadoras, Thomson Learning
Página 37 de 37
Descargar