MONOGRÁFICO :Diseño de la red del centro - Separando la red con VLANes |
Monográficos - Monográficos | ||||||||
Escrit per Alberto Ruiz | ||||||||
dilluns, 30 d'abril de 2007 12:08 | ||||||||
Pàgina 6 de 6
Separando la red con VLANesCableado estructuradoMuchos centros educativos ya disponen de cableado estructurado donde las rosetas de las distintas aulas y despachos van directas hacia el panel de parcheo en un armario situado en el cuarto de telecomunicaciones. Este tipo de infraestructura es idónea ya que facilita la reconfiguración de las redes y la localización de averías. Lo ideal es que todos los centros educativos dispongan de cableado estructurado. Los nuevos edificios ya lo incorporan pero hacer el tendido en un edificio viejo, tiene un coste elevado, que ronda los 300 euros por roseta, es decir, para un centro un poco grande donde sea necesario instalar 100 rosetas, el coste rondaría los 30.000 euros. Al armario de telecomunicaciones, también llamado rack, llegan los cables provenientes de todas las rosetas y dispuestos en el denominado panel de parcheo. Desde el panel de parcheo salen latiguillos de red hacia las bocas de los switches. En la siguiente figura podemos observar el panel de parcheo en la parte superior y cómo salen de él un gran mazo de latiguillos hacia las bocas de los switches en la parte central.
Separación física de las redesSi nuestro centro educativo tiene un único edificio y disponemos de cableado estructurado, tendremos todas las rosetas centralizadas en un armario de telecomunicaciones similar al de la figura anterior. Separar las redes en este caso es muy sencillo, porque bastaría con adquirir tres switches y utilizar un switch para cada red, así tendríamos:
Si para alguna de las redes no fuera suficiente con un switch, deberíamos adquirir e interconectar entre sí todos los switches que fueran necesarios. El problema surge cuando el centro tiene varios edificios, cosa bastante habitual ya que las ampliaciones de los centros suelen acometerse construyendo nuevos edificios dentro del recinto. En este caso, cada edificio tendrá su armario de telecomunicaciones y dentro de cada armario tendremos que tener diferentes switches, uno para cada red. Además tendremos que interconectar los switches de cada red de los diferentes edificios entre sí. Ejemplo, si en un centro educativo disponemos de tres edificios, la interconexión podría ser de la siguiente forma:
Ejemplo real: Separación de la red con VLANesLos switches de gama media-alta permiten la creación de VLANes. Las VLANes son redes virtuales que se forman dentro de un switch y permiten dividir un switch como si fueran varios switches independientes. También permiten unir varios switches entre sí, formando un gran switch, para luego separar dicho gran switch a nuestro antojo, configurando las bocas en las VLANes que necesitemos.
Veámoslo con un ejemplo real: Supongamos un centro que está compuesto por cuatro edificios, uno principal y tres edificios más pequeños separados algunos metros. Se dispone de cableado estructurado con un único rack en cada edificio. En total hay 118 PCs:
La situación de partida es una única red en la que están mezclados los PCs de administración con los PCs de profesores y los PCs de alumnos, aunque con rangos de IPs diferentes. Esto representa un peligro ya que desde los PCs de alumnos se podrían originar ataques hacia la red de profesores y la red de administración. El objetivo es separar físicamente la red en tres redes independientes:
La electrónica de red está formada por siete switches modelo 'HP Procurve 2524/J4813A' de 24 bocas con dos slots de doble fibra para interconexión a alta velocidad (1 Gbps) con otros switches. Estos switches admiten la creación de VLANes. La distribución de los switches por los edificios es:
Existe interconexión entre el rack del edificio principal y los racks de los otros tres edificios. Desde el edificio 1 hacia el edificio 2, salen 2 cables de par trenzado categoría 5e. Desde el edificio 1 hacia los edificios 3 y 4, salen dos fibras ópticas, una para recepción y otra para transmisión. La interconectividad entre edificios se aprecia en la siguiente figura:
Configuración de la IP de los switchesOriginalmente, los switches vienen con los parámetros de fábrica. Al estar interconectados, forman una única red a nivel 2 ó nivel de enlace (ethernet) aunque actualmente las redes están separadas a nivel 3 ó nivel de red(IP) con diferente direccionamiento IP. Esta situación es insegura ya que si un alumno configurara en su PC una IP libre de la red de profesores, podría comunicarse con los PCs de los profesores. Igualmente podría hacerlo con la red administrativa.
Se propone crear un stack o pila de switches para que los siete switches se comporten como un único gran switch de 168 bocas y después, crear tres VLANes diferentes para separar a nivel 2 las tres redes. La conexión a Internet se hará mediante tres líneas ADSL independientes, aunque se podría hacer con una única línea ADSL y uniendo las redes con dos routers neutros que dispongan de cortafuegos o con un router ADSL con al menos tres interfaces en la parte LAN, como los de la serie 800 de Cisco. Lo primero que necesitamos es poner IPs a los switches, para posteriormente poder configurarles vía web. Inicialmente, los switches no tienen IP, sino que la toman por DHCP. Si disponemos un servidor DHCP, los switches tomarán automáticamente una IP, pero lo mejor es configurarles con una IP fija. Para ello utilizaremos un cable serie RS-232 con conectores DB9 hembra en ambos extremos, que nos permitirá conectar el switch con un PC. En el PC ejecutaremos la aplicación HyperTerminal. Crearemos una conexión nueva con emulación de terminal VT100 a 9600-N-8-1 sin control de flujo. Tras conectar el cable, pulsamos varias veces Enter hasta que veamos la pantalla de bienvenida y el prompt del switch. En este modelo concreto de switch, tenemos que escribir setup y pulsar Enter. Lo primero, establecemos el nombre del switch: switch1-edificio1 y ponemos una IP de nuestro rango de la red administrativa: 10.0.0.201. Luego guardamos la configuración permanentemente con el comando 'write memory' para que se grabe en la memoria flash del switch. Salimos con 'exit'. Este paso lo repetiremos en el resto de swithes de forma que todos nuestros switches tengan IP fija:
Apilando los switchesDespués abriremos un navegador de Internet e iremos a »http://10.0.0.201 para entrar en la configuración del switch. Como los swithes están interconectados entre sí, crearemos una pila de switches (switch-stack) para administrarles de forma conjunta. Entramos en el primero > Stacking y le convertimos en Maestro (Commander). Ponemos un nombre al stack, por ejemplo: red-ies. Entramos en el resto de swithes > Stacking y le convertimos en Esclavos (Members) de red-ies.
Ya disponemos de una pila de switches en la cual, el primer switch es el principal y el resto dependerán de él. Creando de las VLANesPor defecto los switches disponen de una VLAN denominada DEFAULT_VLAN e identificada como 'VLAN 1'. Dicha VLAN será la VLAN de alumnos ya que la mayoría de los PCs son PCs de alumnos.
Crearemos dos VLANes nuevas:
Para ello debemos entrar en Configuration > VLAN Configuration > Create VLAN.
Recableando los racksAnalizando el cableado en el rack, vemos que los cables están desordenados en los switches. Para simplificar la creación de VLANes, les ordenaremos. La red administrativa está compuesta por 5 PCs:
La red de profesores está compuesta por 18 PCs:
La red de alumnos está compuesta por 95 PCs:
Utilizaremos las primeras bocas de cada switch para la red de profesores, por tanto reconectaremos con los patch-coord o latiguillos cortos desde el panel de parcheo al switch de forma que las primeras bocas correspondan a los puntos de la red de profesores. La red administrativa está compuesta por 8 PCs que están todos en el primer switch. Utilizaremos las últimas bocas del switch para dicha red, por tanto reconectaremos con los patch-coord o latiguillos cortos desde el panel de parcheo al switch de forma que las últimas 8 bocas correspondan a la red administrativa. Asignando bocas a las VLANesPara asignar las bocas de los switches a las VLANes correspondientes, debemos entrar en Configuration > VLAN Configuration > Modify VLAN.
Entraremos en el primer switch y asignaremos las bocas de 1 a 8 a la VLAN 10, seleccionando las 8 primeras bocas y asignándoles la etiqueta untagged con lo cual nos aseguramos que solo estarán en la VLAN 10. Lo mismo haremos con los switches 2, 5 y 6. Después volveremos a entrar en el primer switch y asignaremos las bocas de 17 a 24 a la VLAN 20, seleccionando las 8 últimas bocas y asignándoles la etiqueta 'untagged' con lo cual nos aseguramos que solo estarán en la VLAN 20. El resto de bocas quedarán en la VLAN 1, que será la VLAN de alumnos. En la siguiente figura podemos ver un esquema de cómo quedarían las VLANes en cada switch:
Como disponemos de un servidor web en la intranet y deseamos que accedan tanto desde la red de alumnos como desde la red de profesores, a dicha boca le asignamos la VLAN 10 pero con la etiqueta 'tagged' para que siga perteneciendo a la VLAN 1. De ésta forma, si ponemos dos IPs al servidor, una de la red de alumnos y otra de la red de profesores, se podrá acceder al mismo desde ambas redes. Otra solución, quizás más segura, habría sido poner dos tarjetas de red al servidor y conectar por cada tarjeta a cada VLAN utilizando dos bocas. Ya solo nos queda poner contraseña a los switches para que nadie pueda modificar la configuración. Debemos ir a Security > Set admin user y crear el usuario administrador: usuario 'admin', password 'secreta'. Afectará a todo el stack. Para que los cambios de configuración se almacenen en la memoria flash del switch y tengan vigencia aunque les apaguemos, debemos entrar en modo consola mediante telnet y escribir el comando 'write memory'. Ya tenemos la red totalmente separada. Desde la red de alumnos no se podrá acceder a la red de profesores ni a la red administrativa. Es equivalente a tener las redes en switches separados. Existe la posibilidad de interconectar switches con VLANes y switches normales entre sí. El switch normal pertenecerá a la VLAN que pertenezca la boca por donde está interconectado al switch con VLAN |