Proyecto WAN II

advertisement
REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD RAFAEL BELLOSO CHACIN
FACULTAD DE INGENIERÍA
ESCUELA DE INFORMÁTICA
PROYECTO FINAL
REDES Y TELEPROCESO II
SECUREWARE, S.A.
PRESENTADO POR:
Abner Nuñez
Leandra Laguna
PROFESOR:
Ing. Luis G. Molero MSc.
Maracaibo, Julio 2008
2
INTRODUCCIÓN
El propósito principal de este proyecto es presentar un diseño de la red wan
para la empresa Secureware, S.A, con sede principal en la ciudad de Caracas,
que le permita conectarse con las localidades: Maracaibo, Barquisimeto,
Cabimas y Buenos Aires (Argentina). Entre los servicios que tendrán acceso
con este diseño se ofrecen: Acceso a Internet, Seguridad lógica y física,
Servicios Web (Intranet/Extranet), Correo electrónico interno y externo, servicio
de FPT, sistemas de VoIP, Videoconferencia, servicios de directorio activo,
Gestión en todas las sedes.
En la presente propuesta se seleccionaron las tecnologías de enlaces de
Frame Relay para Caracas – Buenos Aires, Caracas – Barquisimeto, E1 para
Caracas – Maracaibo, Maracaibo – Cabimas y enlace óptico inalámbrico (FSO)
para conectar Maracaibo-Delicias con Maracaibo San Francisco.
También se definen el hardware/software, especificaciones técnicas,
configuraciones, implementaciones, proveedores seleccionados para cada
servicio ofrecido.
Se presenta presupuesto total de inversión en hardware y software, así
como también los costos mensuales que deben pagar para mantener activo
este diseño.
3
CASO DE ESTUDIO
EMPRESA: SECUREWARE, S.A.
SEDE PRINCIPAL: CARACAS
Secureware S.A, es una empresa de software que desarrolla aplicaciones de
seguridad basándose en tecnologías de reconocimiento visual, por voz y por
detección de movimiento. Secureware S.A, ha creado un departamento de
investigación a nivel de Latinoamérica para potenciar este tipo de tecnologías
combinándolas con programas de inteligencia artificial.
Clientes habituales de esta empresa son gestores de transporte público, como
aeropuertos y líneas de metros y ferrocarriles, agencias de seguridad privada y
pública de diferentes países y compañías con altos niveles de exigencia en
cuanto a seguridad.
Como hecho relevante, el éxito de un algoritmo de aceleración en los procesos
de reconocimiento visual aplicando técnicas de difracción
a las imágenes
podría suponer una importante expansión de la empresa.
En este sentido y debido a la envergadura de Secureware, S.A, se hace
necesario el diseño completo de una red de tipo WAN que permita conectar las
siguientes locaciones
País
Capital
Argentina
Buenos Aires
Venezuela Caracas
Venezuela Maracaibo
Venezuela Barquisimeto
4
Habilitando para ello, los siguientes servicios comerciales.
1. Proveer Acceso a Internet controlado.
2. Seguridad lógica y física en todos los niveles de la organización.
3. Brindar el servicio Web para la publicación en Internet.
4. Brindar el servicio de correo electrónico para el uso interno y externo.
5. Proveer del servicio FTP.
6. Sistemas de VoIP y/ó esquemas de voz provistos por terceros.
7. Videoconferencia.
8. Servicios de directorio activo.
9. Gestión
10. Presupuesto.
5
DETALLE DE PROPUESTA DE DISEÑO DE RED WAN
CASO DE ESTUDIO: SECUREWARE, S.A
1. CLASES DE TRAFICO
Calculo de Ancho de Banda y Tipos de tráfico
A continuación se especifican el tráfico que se estará manejándose entre
sucursales:
Tráfico
Latencia
SMTP Correo
Electrónico
http Navegación
Internet
TCP/UDP
Videconferencia
Active Directory
Replication
VOIP/Gatekeeper H323
tiempo=35ms TTL=126
Ancho de banda
tiempo=10ms TTL=123
128 Kbps (1024 Kbps.
DPL)
128Kbps (1024Kbps
Fr768Kbps CIRC)
256 Kbps E1
(2048Kbps)
64 Kbps
tiempo=25ms TTL=123
128Kbps
FTP
tiempo=30ms TTL=123
128Kbps
HTTPS/http
Extranet/Intranet
tiempo=120ms
TTL=123
64Kbps.
tiempo=150ms
TTL=135
tiempo=10ms TTL=123
2. TOPOLOGÍA DE LA RED
Diseño Lógico
Los esquema de configuración de Red LAN y WAN propuesto para
Secureware, se pueden apreciar en los Anexos detallados a continucación:
•
Esquema Configuración Red Secureware Caracas
•
Esquema Configuración Servidores Secureware Caracas
•
Esquema Configuración WAN Áreas Regionales
•
Esquema Configuración Servidores Áreas Regionales
6
3. ESTIMACIÓN DE ANCHO DE BANDA
Tabla de estimación
Tráfico
Caracas - Buenos
Aires
Caracas – Barquisimeto
Caracas - Maracaibo
Caracas – Internet
Maracaibo - Cabimas
Maracaibo – San
Francisco
Ancho de banda real
1024 Kbps CIRC
768Kbps
384 Kbps CIRC
256Kbps
2048 Kbps
1024 Kbps CIRC
768KBps
2048 Kbps
1.25 Gbps
Ancho de banda
estimado
896 Kbps
512 Kbps
17292 Kbps (McboCabimas)
512 Kbps
896 Kbps
896 Kbps
4. TECNOLOGÍA DE ENLACE
Esquemas de conexión WAN ( Frame-Relay, E1, FSO)
Especificaciones técnicas:
Se utilizarán enlaces Frame Relay entre el área internacional con Caracas y
enlaces de tipo E1 para la conexión de voz y datos entre las sucursales
regionales a excepción de Barquisimeto – Caracas, la cual se estará usando
enlace Frame-Relay.
Caracas – Buenos Aires Argentina
Frame relay 1024 Kbps
CIRC 768
Kbps
Maracaibo - Caracas
E1
2048Kbps
Maracaibo – Cabimas
E1
2048kbps
Barquisimeto – Caracas
Frame relay 384 Kbps CIRC 256Kbps
Maracaibo Delicias – San Francisco
FSO
Caracas – Internet
Frame-relay 1024 kbps.
1.25Gbps
7
Se colocarán 5 Torres a lo largo de la Circunvalación 2, a fin de repetir la señal
cada 2.5 Kmts.
Tecnología
Velocidad máxima
Detalles
de
implementación
.- Ultima Milla con pares
de cobres desde CANTV
hasta el FX-Base del
Edificio.
.- Instalación de DTU
MainStreet 2801.
.- Conectorizacion tipo
V35 desde DTU hasta el
router Cisco 3640 con
CABLE DTE al puerto
serial 0/0.
.- Configuración de E1
Controller
en el router
cisco, definiendo un canal
común de 20 canales, 10
entrantes y 10 salientes
con señalización de tipo
DTMF.
.- Configuración de los
Dial peer Pots con los
prefijos de marcado y
enrutamiento de paquetes
de voz.
.Implementación
de
políticas de QoS sobre el
segmento de red de VoIP,
aplicando técnicas de
MAP-CLASS.
CIRC I.- Instalación de ultima
por parte de IMPSAT
usando
enlace
Microondas
entre
Telecolor y azotea del
edificio.
.- Instalación de Mástil y
RADIO-PAD BOSH.
.Instalación
y
configuración
de
Multiplexor ACT Networks
9400 SDM.
.- Configuración de PVC
E1
2048Kbps
FRAME-RELAY
1024Kbps
768Kbps
8
FSO Conexión 1000
de voz y datos.
. -Asignación de prioridad
en canales de tipo E&M.
.- Instalación y montaje de
la
plataforma
y
el
hardware.
.- Montaje del FSO y
conexión de cables.
.- Sistema de Alineación.
.- Verificar las conexiones
y los alineamientos.
1,25Gbps
Equipamiento de Enrutamiento
Especificaciones técnicas:
(1) Cisco 3640 (E1 Controller, 2 Wan Serial 2 Fast Ethernet, NVRAM
4048Kbyte, IOS 13.6. VERSION
(4) Cisco 2620 (E1 Controller, 2 Wan Serial 2 fast Ethernet, NVRAM
4048Kbyte, IOS 12.4. VERSION
(1) Cisco 2502 (2 Wan Serial 1
Ethernet, NVRAM 2048Kbyte, IOS 12.4.
VERSION
5. SERVICIO DE INTERNET
Proveedores del servicio
CANTV Frame Relay
Set de Direccionamiento Publico
Dirección de red 200.44.56.137/27
Esquema de ancho banda
Ancho de banda. 1024Kbps CIRC 768Kbps.
Implementaciones de Software/Hardware
Software:
Implementación de Servidor Proxy Squid 2.0 (Sistema Operativo DEBIAN)
9
Cache limit Size : 20Gb (red Interna 172.28.36.11) Externa (200.44.56.139/24)
Servicio de Filtrado de contenido Web.
Aplicación Web Sense 3.0
Hardware:
Hp Proliant DL-380 G4
Especificaciones Técnicas
RAID 5, 4 HD 36 Gb, 2 Gb de Memoria RAM, Interfases Fast- ethernet
10/100Mbps
6. SEGURIDAD LÓGICA Y FÍSICA
Firewall y Configuración
FirewallCheckpoint NG 56 VPN-PRO
Autenticación VPN Ipsec y MD5 Encriptación
Definición de Reglas NAT:
1.- NAT INSIDE correo Registro MX CANTV
2.- NAT OUTSIDE Navegación Internet
Servicio asociados a la navegación :
(HHTP, HTTPS,DNS,FTP, ICMP,POP,SMTP)
Configuraciones Definición de reglas de trafico.
Validación de estaciones de administración.
Administración de logs de seguridad y control de eventos.
Implementación
Segmentación física del área DMZ, a través de la utilización de un Switch Capa
2 y 3, para el manejo del rango publico definido.
10
200.44.56.136/27 Dirección red Frame Relay
200.44.56.136 Network Address
200.44.56.137 Fast Ethernet Cisco 2520.
200.44.56.138 Dirección Externa FW Checkpoint
200.44.56.139 Registro MX Secureware.com
200.44.56.140 NAT-OUTSIDE Proxy Squid 2.0
200.44.56.141 Extranet Secureware.
200.44.56.142 Videoconferencia INTERNET.
200.44.56.143 Broadcast Address
7. HOSPEDAJE WEB
Implementaciones Indoor
Equipamiento:
Hp Proliant DL360 G5 RAID 5 36 Gb DD, 2 Gb RAM
.- Microsoft Windows 2003
.- Internet information Server 5.0
.- .Net FrameWork.
Configuraciones:
Definición de 3 instancias de administración y servicios.
1.- Instancia de Intranet usuarios SecureWare
.- Acceso OWA Outlook Web Access.
.- Administración y control de solicitudes de servicios internos
.- Área de Publicación y Actualización intranet
2.- Área de Extranet
11
Definición de Acceso DMZ en conexión con FW Checkpoint.
Aplicaciones publicas y conexión a la base de datos de producción.
Generación de peticiones de servicios Clientes Externos.
Agenda de Videoconferencia.
8.- CORREO ELECTRÓNICO
Implementaciones Indoor
(2) Servidores Microsoft Exchange 2003. (Caracas y Buenos Aires)
(1) Barracuda SPAM FIREWALL 300
Hosting de Registro MX CANTV.NET
Servicios de IMAP, MAPI, POP3, WEBMAIL http:
Equipamiento:
Compaq Proliant DL380 G4 RAID 5 DE 172GB
Configuraciones:
Creación del Dominio de Correo
Definición de la Organización Exchange SECUREWARE
Creación de Site Exchange
Creación y definición de plantillas de buzones
Definición de conectores X-400
Definición de Virtual SMTP Server. (Salida o conexión NAT Internet)
Configuración del Exchange Mailbox Store
Creación de Buzones de Correo con Active Directory
Definición de políticas para la convención de Nombres tipo DC-OU
Búsqueda de nombres y objetos usando LDAP protocolo.
12
9. SERVICIOS FTP
Implementaciones Indoor
Equipamiento:
Hp Proliant DL360 G5 RAID 5 70 Gb DD 2 Gb RAM, S.O. Linux DEBIAN 4.0,
FTP Services
Configuraciones:
Implementación de acceso y seguridad se utilizará políticas de trafico y control
basado en IPTABLES.
------------------------------------------------------------------------#Realiza el flush inicial de cache ARP y RARP.
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -j LOG
#para negar paquetes icmp
iptables -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j DROP
iptables -A INPUT -p tcp --dport 6000 -j DROP
iptables -A INPUT -p udp --dport 6000 -j DROP
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p udp --dport 23 -j DROP
iptables -A INPUT -p tcp --dport 20 -j ACCEPT # ftp
13
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # ftp
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns
#iptables -A INPUT -p udp --dport 53 -j ACCEPT # dns
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # pop
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https
#iptables -A INPUT -p tcp --dport 10000 -j ACCEPT # webmin
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I FORWARD -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I POSTROUTING -o eth0 -s 10.157.10.0/24 -j MASQUERADE
iptables -I INPUT -s 10.157.10./24 -i eth1 -j ACCEPT # doy via libre a la red
interna
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Permite el acceso de las redes internas o validadas con VPn Server al
servicio FTP de Secureware.
# ftp server
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to
10.157.10.11:21
iptables -A FORWARD -p tcp -i eth0 -d 10.157.10.11 --dport 21 -j ACCEPT
14
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20 -j DNAT --to
10.157.10.11:20
iptables -A FORWARD -p tcp -i eth0 -d 10.157.10.11 --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
10.- SISTEMA VOIP
Se utilizará un servicio de H323 Gatekeeper de Cisco y la capacidad de Voip
de las centrales NEC IPS 200 las cuales trabajan de manera Hibrida, es decir,
proveen servicios de telefonía Analógica y telefonía Voz sobre IP a través de
sus tarjetas IP-PAD y IPAD1 de compresión de voz.
Equipamiento:
(1) Cisco 1760 con IOS Call Manager Express.
(4) Centrales NEC IPS 200 1 PIM por cada sede, menos Caracas, capacidad
de 3 PIM ( 200 Extensiones Máxima)
Software:
IOS ver 13.6 con capacidades de compresión y enrutamiento de paquetes IP.
Sistema Operativo NEC MatWorks 2.01
Configuraciones:
1.- En la sede Principal en Caracas, se tendrá un E1 de CANTV definido 15/15,
es decir 30 canales.
La posibilidad de recibir 200 números entrantes a través de un master, que
serán recanalizados y enrutados a las diferentes sedes.
Los esquema en el plan de numeración se reflejan como sigue :
15
Caracas
1xx
65 Usuarios
Maracaibo
2xx.
45 Usuarios
Cabimas
2xx
30 Usuarios
Barquisimeto 3xx
30 Usuarios
Argentina
25 Usuarios
4xx
A través del sistema de Voip y el Call Manager Express de Cisco, se tiene la
posibilidad de conectar Laptops, Pcs y Equipos de telefonía abierta usando el
protocolo
H323, el cual se podrá comunicar a los usuarios móviles entre
sucursales.
Los equipos que se conecten a la Pbx NEC IPS 200 tendrán la ventajas de
utilizar todos los servicios instalados sobre ella, tales como: PADLOCL, LDN,
LDI, Do not Distrub, call Back, Hunting Gorup, entre otros.
En los routers la aplicación de dialpper y Pots permitirán enrutar el trafico de
VoIP a través de las distintas sucursales, ahorrando costos y permitiendo una
comunicación segura y confiable.
Dial Peer Configuration Voice over IP Network
Dial
Destination
Voice
Peer Extension Prefix
Pattern
Type Port
Session
Target
Router CISCO 3640 Caracas
1
1001
2
10012xx
POTS 0:D
—
2
1001
3
10013xx.
POTS 0:D
—
3
1001
4
10014xx
POTS 0:D
—
10
—
—
------------
VoIP
10.157.20.21
—
10.157.30.21
10.157.40.1
16
10.157.50.1
Router CISCO 2620 Maracaibo, Cabimas, Barquisimeto,
Argentina
1
1000,
1001,
1002,
1003
—
10012xx..
POTS 0:D
—
VoIP
10.157.10.21
10013xx..
10014xx..
10
—
—
1408.......
—
11. VIDEOCONFERENCIA
Se instalarán Equipos Picturetel PT900 para cada área.
Equipamiento
(5) Polycom Picture TEL PT900
Software:
Polycom Vx900s (Software para Pcs)
Configuraciones:
Definición inicial del Gatekeper 10.157.10.175
Extensión 1001101. Multipunto de videoconferencia.
Configuración de PIP Picture and Picture.
Definición de cámaras y ajuste automático para la detección de movimiento.
Preajustes de comparticion de recursos y desktops remotos.
Colaboración y servicios de ambientes digitales.
Trabaja simultáneamente en un documento y controla los cambios desde
cualquier sala.
12. SERVICIOS DE DIRECTORIO
17
Configuraciones:
Creación inicial del Forest Primario
Creación del Primer DC Domain Controller SECUWARE.COM
Instalación y configuración del servicio DNS
Definición del Reverse LookUp Zone
Configuración del Servicio DHCP y sus respectivas zonas de Direccionamiento:
Caracas
10.157.10.0/24
Maracaibo
10.157.20.0/24
Cabimas
10.157.30.0/24
Barquisimeto
10.157.40.0/24
Buenos Aires
10.157.40.0/24
Creación de parámetros a entregar por área en DHCP:
Default Gateway 10.157.10.1 ROUTER CISCO3640 CCs, en cada area se
instalará su respectivo Router
DNS server : 10.157.10.15 Active Directory SECUWARE05
DOMAIN NAME
: secuware.com
BOOTP : NO
.- Definición de Grupos Globales, Grupos locales y usuarios por Área
.- Implementación de la OU Unidades organizaciones para la delegación de
administración por área.
.- Creación y definición de buzones de correo con Microsoft Exchange 2003.
.- Implementación de Logins Scripts y políticas iniciales para la periodicidad de
tiempos en cuentas de accesos a la red.
Software:
18
(2) Servidores Microsoft Windows 2003 Advanced Server, se instalará uno (1)
en Caracas y uno (1) en Buenos Aires.
Gestión de red
En Caracas
Hardware
(2) Swicht 3com 4400 de 24 puertos
(1) Switch 3com 4900 de 12 puertos 10/100/1000 Bps
Software:
.- Monitoreo y control de flujo con Solarwinds de Orions
.- Herramienta de monitoreo para los servicios LAN/WAN a través del protocolo
ICMP, SNMP.
En Áreas Regionales e Internacionales
Hardware:
(2) Swicth Cisco Catalyst 2960 de 24 Puertos
Configuraciones:
.- A través de puertos Gigaethernet se crearán Backbones de conexión trasera
definiendo un arreglo único de de swicht por cada área.
.- En el Swicht 3com 4900 Gigaethernet se colocarán los servidores de Active
Directory, Mensajeria, Videconferencia, FTP y Web, a fin de ofrecer un mejor
rendimiento en el acceso y uso de los datos.
El área DMZ en la que esta el Firewall Checkpoint, el sistema BARRACUDA
SMTP Antispan y los servidores WEB Y FTP, serán conectados en un
dispositivo de capa 2 diferente a la red Local.
Descargar