DISÑO DE UNA RED COMUNITARIA

Informe Técnico

Autores:

José Eduardo Hernández Paredes A – 53

Andy del Rey Heredia A – 53

Maikel Álvarez Díaz A – 53

Mario Sergio Rodríguez Rodríguez A – 53

Alejandro González Carreño A – 53

Darién Ramos Hernández A – 53

Universidad Tecnológica de La Habana “José Antonio

Echeverría”

Facultad de Ingeniería Automática y Biomédica

Departamento de Automática y Computación

La Habana, 25 de diciembre de 2019

1
INTRODUCCIÓN

En la sociedad actual la informática y las comunicaciones juegan un papel fundamental, impulsado por el
enorme desarrollo que han experimentado las tecnologías de esta rama, y la creciente demanda.

Con la realización y puesta en práctica del presente trabajo se busca implementar una red comunitaria en
una zona residencial compuesta por edificios públicos y viviendas en Alta Habana. La red contará con
variados servicios disponibles, como correo, DNS, páginas web, etc. A continuación, se listan los
requerimientos:

Metas del negocio (a partir de los requerimientos del cliente):

1. Interconectar todos los servicios de la comunidad (tienda, banco, policlínico, vigilancia, acceso a internet,
entre otros).
2. Cada vivienda tendrá una conexión propia a la red comunitaria (de datos y de telefonía).
3. El nodo central de la red concentrará las conexiones de los edificios de vivienda y de los servicios públicos
de la comunidad. Además, ofrecerá servicios de acceso a Internet.
4. El parque de la comunidad tendrá acceso Wifi a esta red.
5. Se desplegará un servicio de vigilancia, a través de cámaras IP, que será controlado en un local de la
edificación de servicios públicos y estará conectado a la red.
6. Debe diseñarse el nodo central de la red con los servicios de interconexión mencionados, además de alojar
los servicios públicos de la comunidad (tienda, policlínico, vigilancia y otros), excepto el banco, que tiene
su propio centro de datos.
7. El nodo central se ubicará en la edificación del resto de los servicios públicos.

Metas Técnicas:

• Escalabilidad
➢ Puede incrementarse el número de servicios públicos y de viviendas.
• Disponibilidad
➢ El cliente desea que los servicios ofrecidos por la red tengan buena disponibilidad.
• Seguridad
➢ Los requerimientos de seguridad son regulares, pues no se intercambiará información sensible.
• Gestionabilidad
➢ Lograr una eficiente gestión de configuración, desempeño, fallos y seguridad, de acuerdo a los
servicios que se ofrecen.

2
 Policlínico
Banco

Edificio
apartamentos

Viviendas

Parque
Viviendas

Ilustración 1. Mapa de la comunidad.

3
DISEÑO DE LA RED

Servicios de la comunidad DMZ

Correo DNS Internet
Web
Base de datos Cámaras de seguridad
Web

Firewall
SW Servidores Firewall SW DMZ
(S1) (S2)
Core
layer
Router Internet
(R1)

Correo DNS DHCP

Router 1 Router 2
(R2) (R3)

Distribution layer

AP del parque
(W1)
SW Centro
SW Banco SW Hospital SW Residencias
Access layer Comercial
(S4) (S5) (S6)
(Edge switches) (S3)
SW Edificio SW
(S7) Viviendas
(S8)

End user equipment

Centro comercial Banco Policlínico Zona
Edificio apartamentos residencial

Ilustración 2. Diseño de la red.

4
El diseño de la red se realizó basado en el modelo top-down, que consiste en diseñar el sistema como un
todo, profundizando en los detalles de cada una de sus partes, hasta llegar a las más pequeñas. La topología
de la red es en malla para asegurar alta disponibilidad. Se ha tomado en consideración lo siguiente:

1. Core layer: Capa superior del diseño. En esta se ubica el enrutador de borde que comunica la red, como
sistema autónomo, a Internet. Su conexión a la red pasa por un firewall por software, que limita el
acceso solo a conexiones autorizadas para evitar intrusiones no deseadas. Este es un three-legged
firewall ya que comunica también con la DMZ, creada para aislar los servidores de correo, web y DNS
que acceden al exterior. Esta zona permite las conexiones desde dentro y fuera del sistema autónomo,
pero solo puede acceder hacia internet, permitiendo que, si un atacante accede a sus servidores, no
pueda emplearlos como punto de partida para infiltrarse en equipos de la red. Se ubica en el cuarto de
servidores del nodo central.
2. Distribution layer: consiste en 2 enrutadores que conectan a nivel 3 del modelo OSI las distintas
subredes creadas a nivel de los puntos de la comunidad (parque, centro comercial, banco, policlínico y
viviendas). Se emplea redundancia para asegurar alta disponibilidad en los servicios. El protocolo
VRRP permite esto, al unir ambos enrutadores en uno virtual que se anuncia como puerta de enlace.
También emplea el STP para evitar bucles en la red, aunque por su diseño no hay muchas
probabilidades de que ocurran ya que la topología mallada se da en esta capa para asegurar alta
disponibilidad, pero ambos conmutadores funcionan como uno virtual por lo que se obtienen resultados
similares a si se empleara red en árbol. Ambos enrutadores se encuentran en el nodo central.
3. Access layer: Es la capa más inmediata a los clientes. Consiste en el equipamiento, generalmente
conmutadores, para conectar los enrutadores de cada una de los puntos: dentro de cada vivienda,
apartamento del edificio, policlínico, banco, centro comercial y el enrutador inalámbrico del parque
donde hay Wifi. También en esta capa se encuentran, a través de firewall igualmente, los servicios
básicos brindados a la comunidad: web, correo, DHCP, base de datos y DNS. Estos servidores se
ubican en el cuarto de servidores en el centro comercial, nodo central de la red, donde se encuentra el
enrutador de la capa núcleo que da acceso al internet Pueden ser varios servidores físicos, o uno de altas
prestaciones con los servidores virtuales corriendo en él. En este caso seleccionamos un solo equipo,
para reducir costos.

De manera general se puede observar que el acceso a internet lo garantiza el enrutador de borde, que
presenta firewall para limitar accesos. Este también conecta la DMZ para aislamiento de los servidores
con los enrutadores de distribución. Los enrutadores de distribución enlazan los diferentes equipos
terminales y les proveen acceso al enrutador borde para Internet. Entre los equipos terminales se
encuentran los de usuarios finales y los servidores. Estos últimos proporcionan a la comunidad servicios
de correo, páginas web, DNS, bases de datos y DHCP (para el AP del parque Wifi). El nodo central de la
comunidad, emplazado en el centro comercial, alberga el enrutador de borde, los enrutadores de
distribución, y los servidores, en este caso el equipo central.

Una vez realizado el diseño superior de la red, se procede al direccionamiento estático de sus
componentes:

5
 Direccionamiento

Tabla 1. Direccionamiento de la red.

Subred SW Dirección Dirección de Rango Equipos Uso

de red difusión Utilizable
Servidores S1 192.168.240.0 192.168.240.63 192.168.240.1-240.62 62 DMZ:
/25 • Web: 192.168.240.2
• Correo: 192.168.240.3
• DNS: 192.168.240.4
Servidores de servicios:
• Web: 192.168.240.5
• Correo: 192.168.240.6
• DNS: 192.168.240.7
• DHCP: 192.168.240.8
• DB: 192.168.240.9
Parque - 192.168.240.64 192.168.241.127 192.168.240.65-241.126 62 Parque: 192.168.240.66-240.126
Wifi /25 • AP: 192.168.240.66
Centro S3 192.168.240.128 192.168.241.191 192.168.240.129- 62 Equipos de los departamentos del centro
comercial /25 240.190 comercial.
Banco S4 192.168.240.192 192.168.241.255 192.168.240.193-24.254 62 Equipos de los departamentos del
/25 banco.
Hospital S5 192.168.241.0 192.168.241.63 192.168.241.1-241.63 62 Equipos de los departamentos del
/25 hospital
Viviendas S6=> 192.168.248.0 192.168.255.255 192.168.248.0-255.255 2046 Viviendas (S8) y edificios (S7)
S7, /21
S8
Cámaras VLAN - - - - • Servidor: 192.168.240.1
de
vigilancia
• Parque: 192.168.240.67
• Centro comercial:
192.168.240.129
• Banco: 192.168.240.193
• Hospital: 192.168.241.1

Para el direccionamiento se tuvo en cuenta la división de los sectores de la red en subredes, de manera
que se evite el broadcasting excesivo y que se manejen más eficazmente las conexiones. La red inicial
192.168.240.0 con máscara de subred 255.255.240 fue seleccionada para acoger un gran número de hosts,
dada la posibilidad de expansión de los departamentos de los edificios públicos y las viviendas, estas
últimas pueden llegar a pasar de las 1000. Se dividió pues en varias subredes de 64 direcciones:
192.168.240.0 /25 para los servidores, 192.168.240.64 /25 para el parque Wifi, 192.168.240.128 /25 para
el centro comercial, 192.168.240.192 /25 para el banco, 192.168.241.0 /25 para el hospital y la subred
192.168.248.0 /21 para albergar un gran número de viviendas, considerando que los apartamentos de los
edificios tienen conexión propia a la red.

El sistema de vigilancia consiste en varias cámaras IP enlazadas por un enrutador dentro de cada espacio
público. Estos enrutadores luego se enlazan en una VLAN de nivel 3 por direcciones de subred, ya que

6
cada uno está en subredes distintas enlazados por los enrutadores de distribución. Están ubicados en el
parque, centro comercial, banco y hospital. El servidor se encuentra dentro del cuarto del nodo y pertenece
a esta VLAN, estando conectado en la subred de lo servidores.

RESPUESTA A LAS METAS DEL DISEÑO

Puede incrementarse el número de servicios públicos y de viviendas.

La capacidad de incremento de la red, o sea su escalabilidad, se ha garantizado mediante la definición de

rangos de direcciones mucho más grandes que la cantidad de equipos iniciales en cada subred. De esta
forma, si se desea agregar más equipos, no es necesario agrandar la red, con el trabajo y las interrupciones
que llevaría.

El cliente desea que los servicios ofrecidos por la red tengan buena disponibilidad.

Mediante la topología en malla de la red de distribución, que contempla 2 enrutadores empleando el

protocolo VRRP que brinda redundancia haciendo que ambos trabajen como uno, eliminar un punto clave
en el fallo de la red completa. Estos enrutadores brindan conectividad entre todos los componentes de la
red, sufriendo por lo tanto gran estrés debido al enorme tráfico que manejan. Si fallara esta capa, se
quedaría la comunidad entera desconectada. Los clientes no tendrían acceso a los servicios fundamentales,
ni a Internet, y se quedaría inutilizada la red de vigilancia. Cualquier otro fallo sería local (hospital,
viviendas, etc.) o para un servicio específico (servidores, Internet).

Los requerimientos de seguridad son regulares, pues no se intercambiará información sensible.

El empleo de firewalls proporciona límites efectivos de acceso hacia y desde zonas clave de la red, como
la DMZ, los servidores de servicios y el enrutador de borde para Internet. En el caso del enrutador
empleado, como es de la marca Cisco, el sistema operativo que presenta, Cisco OS, brinda un firewall
software integrado que permite realizar estas funciones.

La Zona Desmilitarizada o DMZ se ha creado para añadir un paso extra de seguridad a la red, y contiene
servidores que necesitan acceder al exterior, y que son copias de los que proveen el acceso a los usuarios.
Cuando se accede a uno de los servicios desde dentro de la red, se direcciona hacia el servidor interno

7
correspondiente, este actualiza luego el de la DMZ, y este es entonces el único con acceso al Internet.
Análogamente, las conexiones desde internet a estos servicios se realizan hacia la DMZ, y periódicamente
se actualizan los servidores internos con la información en la DMZ. Esto garantiza que desde los
servidores de la DMZ nunca se pueda acceder hacia la red, previniendo que los usen como punto de salto
aplicaciones malignas y hackers.

8
PLANO DE PLANTA DEL NODO CENTRAL

Ilustración 3. Plano del centro comercial donde se señala el cuarto de servidores.

9
Ilustración 4. Plano detalle del curto de servidores.

10
PLANO DE PLANTA DE UNA VIVIENDA

Ilustración 5. Plano de un edificio de apartamentos.

Ilustración 6. Plano de un apartamento.

11
ANÁLISIS ECONÓMICO

12