Un ejemplo de un diseño de red del campus
23
Click here to load reader
-
Upload
gusalez-ubieta -
Category
Documents
-
view
60 -
download
5
Transcript of Un ejemplo de un diseño de red del campus
Un ejemplo de un diseño de red del campus
El objetivo de esta sección es presentar un diseño de red del campus que fue desarrollado usando el diseño metodología en este libro. El ejemplo se basa en un diseño de red real. Algunos de los hechos se han modificado para preservar la privacidad del cliente el diseño, para proteger la seguridad de la red del cliente, y para que sea posible presentar un ejemplo simple y fácil de entender.
Información básica para el proyecto Campus de Diseño de Redes
Indagando sobre Valley Community College (WVCC) es una pequeña universidad en el oeste de los Estados Unidos, que participarán alrededor de 600 estudiantes a tiempo completo y parcial. Los estudiantes no viven en el campus.
Aproximadamente 50 profesores imparten cursos en el campus de las artes y las humanidades, negocios, ciencias sociales, matemáticas, ciencias de la computación, las ciencias físicas y ciencias de la salud. Muchos de los profesores también tienen otros puestos de trabajo en la comunidad empresarial, y sólo la mitad de ellos tienen una oficina en el campus. Aproximadamente 25 del personal de administración manejan las admisiones, los registros de los estudiantes, y otras funciones operativas.
La inscripción en WVCC se ha duplicado en los últimos años. El personal docente y administrativo también se duplicó en tamaño, con la excepción del departamento IT, que es todavía muy pequeño. El departamento IT está formado por un gerente, un administrador del servidor, dos administradores de la red, y dos de tiempo parcial, alumnos ayudantes.
Debido al aumento en la matrícula y otros factores cubiertos en los próximos tres secciones, la actual red tiene problemas de rendimiento y fiabilidad. La administración ha declarado al departamento IT quejas de los estudiantes y profesores acerca de la red en aumento. Los miembros de la Facultad afirman que no pueden enviar de manera eficiente a tal grado de no mantener contacto con sus colegas de las otras universidades, o mantenerse al día con la investigación debido a problemas de red. Los estudiantes dicen que han tenido que entregar la tarea tarde debido a problemas en la red y que sus calificaciones se ven afectadas. A pesar de las quejas sobre la red, el personal y los estudiantes han duplicado el uso de la red duplicado en los últimos años.
El acceso inalámbrico se ha convertido en un punto de contención entre el departamento IT y otros departamentos. Los estudiantes suelen colocar puntos de acceso inalámbrico en el Centro de computación y el edificio de Matemáticas y Ciencias sin el permiso del departamento IT. El directo del departamento IT se preocupa de la seguridad de la red y se ha asignado a los estudiantes un tiempo parcial a vagar por la red en busca de puntos de acceso no autorizado y luego sacarlos de la red si se encuentran. Los estudiantes de tiempo parcial odian esta tarea ya que con sus amigos ya que son sus amigos, en muchos casos es que van a instalar los puntos de
acceso. Además, piensan que el acceso inalámbrico se debe permitir. Muchos de los estudiantes, profesores y miembros del personal están de acuerdo.
Metas de Negocio
La universidad todavía quiere atraer y retener a más estudiantes. La Junta directiva considera que la mejor manera de seguir siendo fiscalmente, es seguir aumentando la matrícula y reducir la deserción.
La administración de la universidad y la junta directiva a identificados los objetivos de negocio:
Aumentar la matrícula de 600 a 1000 estudiantes en los próximos 3 años. Reducir la tasa de deserción de 30 a 15 por ciento en los próximos 3 años. Mejorar la eficiencia docente y permitir a los docentes a participar en proyectos de
investigación con más colegas de otras universidades. Mejorar la eficiencia de los estudiantes y eliminar los problemas con la presentación de
tareas. Permitir a los estudiantes acceder a la red del campus e Internet con sus computadoras
portátiles. Permitir a los visitantes del campus para acceder a Internet a través de sus computadoras
portátiles. Proteger la red de los intrusos. Aprovechar la subvención emitida por el gobierno estatal para la mejora de la red del
campus. El dinero debe ser invertido por ser el final del año fiscal.
Objetivos técnicos
El departamento IT ha desarrollado la siguiente lista de objetivos técnicos, con base en la investigación sobre las causas de los problemas de red, que se cubre con más detalle en la sección "La red actual en WVCC":
Rediseñar el esquema de direccionamiento IP. Aumentar el ancho de banda de la conexión a Internet para soportar nuevas aplicaciones y
ampliar el uso de las aplicaciones actuales. Proporcionar una red segura, inalámbrica privada para los estudiantes para acceder a la
red del campus y a Internet. Proporcionar una red inalámbrica abierta para que los visitantes del campus para acceder
a Internet. Proporcionar una red que ofrece un tiempo de respuesta de aproximadamente 1/10th de
un segundo o menos para aplicaciones interactivas. Proporcionar una red de campus que está disponible aproximadamente el 99,90 por
ciento del tiempo y ofrecer un MTBF de 3.000 horas (alrededor de 4 meses) y un tiempo medio de reparación de 3 horas (con un bajo nivel de desviación de estas cifras promedio).
Proporcionar seguridad para proteger la conexión a Internet y red interna de intrusos.
Utilización de herramientas de gestión de red que pueden aumentar la eficiencia y la efectividad del departamento IT.
Proporcionar una red que puede escalar para soportar el uso futuro de aplicaciones multimedia.
Aplicaciones de red
Los estudiantes, profesores y personal utilizaran la red WVCC para los siguientes fines:
Aplicación 1, los deberes. Los estudiantes usan la red para escribir artículos y otros documentos. Ellos guardaran su trabajo en los servidores de archivos en el Centro de Computación e imprimirán su trabajo en las impresoras, en el Centro de Computación y otros edificios.
Aplicación 2, e-mail. Los estudiantes, profesores y personal administrativo hacen un amplio uso del correo electrónico.
Aplicación 3, investigación de la web. Los estudiantes, profesores y personal administrativo utiliza Mozilla o Microsoft Internet Explorer para acceder a la información, participar en salas de chat, juegos, y utilizar otros servicios web típicas.
Aplicación 4, Catalogo de las tarjetas de bibliotecas. Los estudiantes y la facultad tendrán acceso a la tarjeta de catálogo en línea.
Aplicación 5, el modelado del tiempo. Estudiantes Meteorología y profesores participan en proyectos para los patrones del clima en relación con el modelo de otros colegios y universidades en el estado.
Aplicación 6, Monitoreo a través de telescopios. Estudiantes de astronomía y sus facultades podrán descargar las imágenes gráficas de un telescopio situado en la universidad estatal.
Aplicación 7, Subir Gráficos. La subida de archivos de arte grafico de gran tamaño a una tienda del campus de impresión pueda imprimir imágenes de gran escala en una impresora láser de alta velocidad. La imprenta imprime obras de arte que es el archivo a transferir a la tienda a través de Internet.
Aplicación 8, el aprendizaje a distancia. El departamento de Ciencias de la Computación participa en un de aprendizaje a distancia con el proyecto de la universidad estatal. La universidad estatal permite a los estudiantes WVCC inscribirse para recibir streaming de vídeo de un curso de informática conferencia de la ciencia que se ofrece la Universidad del Estado. Los estudiantes también pueden participar en tiempo real "chat" mientras asistía a la clase.
Aplicación 9, el sistema de gestión de la universidad. El personal de la administración de la universidad utilizan el sistema de gestión de la universidad para realizar un seguimiento de los registros de clase y registros de los estudiantes.
Comunidades de Usuarios
Tabla 10-7 muestra las comunidades de usuarios en WVCC. El crecimiento esperado de las comunidades también incluido. El crecimiento se espera por dos razones:
Las nuevas PCs y Macintosh se pueden comprar. Acceso inalámbrico permitirá que más estudiantes y visitantes puedan acceder a la red
con su computadoras personales portátiles.
Table 10-7. WVCC User Communities
nombre de la Comunidad de Usuarios
Tamaño de la comunidad (Número de usuarios)
Localización (s) decomunidades
Aplicación (s)usado porcomunidad
Los usuarios de PC enCentro de Computación
30, crecerá a 60 Sótano de biblioteca Las tareas, correo electrónico,Investigación de la Web, una bibliotecaficha de catálogo
Los usuarios de Mac en el Centro de computación
15, crecerá a 30 Sótano debiblioteca
Las tareas, correo electrónico,Investigación de la Web, una bibliotecaficha de catálogo
Usuarios de la biblioteca 15,
crecerá a 30 Pisos 1-3 debiblioteca
E-mail, red de investigación,Catálogo de tarjetas de la Biblioteca
Negocios / SocialCiencias de los usuarios de PC
15, crecerá a 30 Negocios yCiencias Socialesedificio
Las tareas, correo electrónico,Investigación de la Web, una bibliotecaficha de catálogo
Arte y HumanidadesLos usuarios de Mac
15, crecerá a 25 las Artes y lashumanidadesedificio
Las tareas, correo electrónico,Investigación de la Web, una bibliotecaficha de catálogo,gráficos de carga
Artes / Humanidades PCusuarios
25, crecerá a 50 las Artes y lashumanidadesedificio
Las tareas, correo electrónico,Investigación de la Web, una bibliotecaficha de catálogo,gráficos de carga
Matemáticas / Ciencias PCusuarios
25, crecerá a 50 Matemáticas y Cienciasedificio
Las tareas, correo electrónico,Investigación de la Web, una bibliotecacatálogo de tarjetas, el tiempomodelos, el telescopioseguimiento, la distancia
aprendizajePC de Administración 25, crecerá a 50 administración
edificioE-mail, red de investigación,Catálogo de la Biblioteca de tarjetas,gestión universitariasistema
Los visitantes a lacampus
10, crecerá a 25 Todos los destinos Web de la investigación, la bibliotecacatálogo de tarjetas, e-mail
Usuarios de afuera Muchos Internet Navegar por el sitio web de la WVCC
Almacenes de datos (servidores)
Tabla 10-8 muestra los almacenes de datos principales (servidores) que han sido identificados en WVCC.
Table 10-8. WVCC Data Stores
Almacenamiento de datos
Ubicación Aplicación Utilizado por la comunidad de usuarios(o comunidades)
Tarjeta de biblioteca, catalogo en el servidor de Windows
Centro de computación sitio del servidores
Catalogo de tarjetas de biblioteca
Todo
AppleShare IParchivo / servidor de impresión
Centro informático sitio del servidor
Tarea Los usuarios de Mac en el Centro de Computación Artes y Humanidades del edificio
Servidor de Archivos impresión de Windows
Centro Computacional Sitio del servidor
Tarea Los usuarios de pc en todos los edificios
Servidor Web de Windows
Centro Informático sitio del servidor
Sede del sitio web de la WVCC
Todo
Seridor de correo de Windows
Centro informático sitio del servidor
Correo Todos los usuarios excepto los visitantes(que utilizan sus propiosservidores)
Sistema del servidor novel en el colegio
Centro de computación sitio de servidores
Sistema de gestión del Colegio
Administración
Servidor DHCP de Windows
Centro de computación sitio de servidores
Direcciones Todo
Servidor de gestión de Windows
Centro de computación sitio de servidores
Administración Administración
Servidor DNS UNIX Estado de Comunidad Red del sistema del
Nombrar Todo
Colegio
La red actual en WVCC
Hace unos años, los edificios universitarios no estaban vinculados entre sí, incluso. Acceso a Internet no era centralizado, y cada departamento maneja su propia red y administración de servidores. Mucho progreso se ha hecho desde entonces, hoy en día los switchs de Capa 2 dan lugar al diseño de redes jerárquicas. Un único Router también actúa como un firewall proporciona acceso a Internet.
La topología lógica del backbone de la red del campus actual en WVCC consiste en una estructura jerárquica, arquitectura de malla con enlaces redundantes entre los edificios. Figura 10-5 muestra la topología lógica del backbone del campus.
Figura 10-5. Backbone de la Red
El diseño de la red del campus tiene las siguientes características:
La red utiliza switch Ethernet. Un switch de alta gama en cada edificio es redundante conectado a dos conmutadores de gama alta en el Centro de Computación. La figura 10.5 muestra estos switch.
Dentro de cada edificio se encuentra un switch Ethernet de 24 o 48 puertos en cada planta se conecta el usuario final del sistema. La Figura 10-6 muestra la arquitectura de red del edificio.
Figure 10-6. The Building Network Design for WVCC
Los switch ejecutan el protocolo IEEE 802.1D Spanning Tree Protocol. Los switches soportan SNMP y RMON. Una red basada en Windows del software de
gestión de paquetes de seguimiento de los switch. El software se ejecuta en un modulo del servidor del diseño de la red.
Todos los dispositivos son parte del mismo dominio de broadcast. Todos los dispositivos (con excepción de dos servidores públicos) son parte de la subred 192.168.1.0 con una máscara de subred 255.255.255.0.
Las direcciones de PC de los usuarios finales y Macintosh se llevan a cabo con DHCP. Un servidor de Windows ubicado en un modulo del centro de computación de servidores que actúa como el servidor DHCP.
El e-mail y el servidor web utiliza direcciones públicas a la comunidad estatal de universidades asignó a la universidad. El sistema también proporciona un servidor DNS que utiliza la universidad.
El Router actúa como un servidor de seguridad mediante el filtrado de paquetes. El router también implementa NAT. La Router tiene una ruta predeterminada a Internet y no se ejecuta un protocolo de enrutamiento. El enlace WAN a Internet es un enlace T1 de 1,544 Mbps.
El diseño físico de la red actual tiene las siguientes características:
Los edificios se conectan a través de dúplex completo 100BASE-FX Ethernet. Dentro de los edificios, se utilizan de switches Ethernet de 10 Mbps.
Cada edificio cuenta con un cableado estructura de categoría 5e en las oficinas, aulas de clase y laboratorios
El router en el Centro de Informática es compatible con dos 100BASE-TX y un puerto con T1 con una unidad integrada CSU / DSU. El router tiene una fuente de alimentación redundante.
Una topología física centralizada(estrella) es usada en el cableado del compus. Cables subterráneos en conductos tienen cableado de fibra óptica multimodo. El cableado está fuera de la plataforma de cableado que se compone de 30 hilos de fibra con un núcleo 62,5 micrones y el revestimiento 125-micra, protegido por una funda de plástico adecuado para uso al aire libre de uso normal.
Figura 10-7 muestra el diseño de cableado del campus.
Figure 10-7. The Campus Cabling Design for WVCC
Características del tráfico de aplicaciones de red
Los estudiantes asistentes en el departamento IT conducen un análisis de trafico de las características de aplicaciones. Los métodos de análisis incluyen la captura de las sesiones de aplicación típica con un protocolo analizador, entrevistar a los usuarios acerca de sus usos actuales y previstos de las aplicaciones, y la estimación de el tamaño de los objetos de red transferidos en la red utilizando la Tabla 4.5, "Tamaño aproximado de la Objetos que las aplicaciones de transferencia de las redes. "Los estudiantes también se utiliza la Tabla 4.6," Tráfico de techo para varios protocolos, "para estimar el ancho de banda adicional requerido por los jefes de protocolo.
Los estudiantes determinaron que la tarea, e-mail, red de investigación, catálogo de tarjeta de la biblioteca, y aplicaciones de sistemas de gestión de la universidad tienen requisitos de ancho de
banda nominal y no son sensibles el retraso . Las otras aplicaciones, sin embargo, utiliza una cantidad significativa de ancho de banda, en particular un alto porcentaje del ancho de banda WAN a Internet. La aplicación de aprendizaje a distancia es también sensible a los retrasos.
Los usuarios de las aplicaciones de modelado el clima y el telescopio de vigilancia, quieren ampliar su uso de estas aplicaciones, pero actualmente se ve obstaculizada por la cantidad de ancho de banda disponible para el Internet. Los usuarios de aplicación de subida de gráficos también se impidió el envío de archivos de gran tamaño oportunamente por la escasez de ancho de banda a Internet.
La aplicación de aprendizaje a distancia es una asimétrica (solo ida) streaming-video de la aplicación. La Universidad del Estado utiliza equipos de vídeo digital para grabar las conferencias de clase en tiempo real y enviar la transmisión de vídeo a través de Internet, utilizando el Real-Time Streaming Protocol (RTSP) y el tiempo real- Protocolo (RTP). Los estudiantes a distancia no envían datos de audio o video, sino que simplemente tienen la posibilidad de enviar preguntas de texto, mientras que la clase que está ocurriendo, utilizando una página web sala de chat.
Un usuario se suscribe a la clase de aprendizaje a distancia mediante el acceso a un servidor web en la universidad estatal, entrar en un nombre de usuario y contraseña, y especificar cuánto ancho de banda que el usuario tiene disponible. La página web en la actualidad no permite que un usuario especifique más de 56 Kbps de ancho de banda disponible.
En este momento, el servicio de aprendizaje a distancia es un sistema de punto a punto. Cada usuario recibe un único flujo de 56 Kbps de vídeo del sistema de vídeo en la universidad estatal. Por esta razón, WVCC limita el número de usuarios que pueden acceder al sistema de educación a distancia a los 10 estudiantes que se encuentran en el edificio de Matemáticas y Ciencias.
En el futuro, el sistema de educación a distancia apoyará tecnologías de multidifusión IP. En el entretanto, Sin embargo, los estudiantes y el personal del departamento IT están de acuerdo en que se debe encontrar una solución para permitir que más de 10 estudiantes puedan utilizar el sistema de educación a distancia en un tiempo.
Un resumen de los flujos de tráfico
Los estudiantes asistentes utilizaron su investigación con respecto a las comunidades de usuarios, almacenes de datos y características de la aplicación de tráfico para analizar los flujos de tráfico. Ellos representaban la cross-conexión del campus a través de la grafica del flujo de tráfico de la fig. 10-8.
Figure 10-8. Cross-Campus Traffic Flows on the WVCC Campus Network
Además de los flujos de tráfico del campus transversal, los estudiantes documentado los flujos de tráfico dentro de la biblioteca y Centro de Informática y los flujos de tráfico hacia y desde Internet. Dentro de la biblioteca y Centro de Computación, el tráfico viaja desde y hacia los distintos servidores en alrededor de los siguientes tipos:
Total 2300 Kbps
Características de rendimiento de la red actual
A partir del análisis realizado por los alumnos ayudantes y de los registros de switch, router y el servidor, el departamento IT determinó que el ancho de banda de la red del campus Ethernet es poco utilizado. Sin embargo, tres problemas principales son probablemente la causa de las dificultades que están experimentando los usuarios:
El esquema de direccionamiento IP soporta una sola subred IP con una máscara de subred 255.255.255.0. En otras palabras, sólo se permiten 254 direcciones. Hace unos años, el departamento de IT supone que sólo un pequeño subconjunto de los estudiantes y profesores que utilizan la red al mismo tiempo. Esto ya no es el caso. Como el uso de la red crece y los estudiantes colocar los ordenadores portátiles inalámbricos en la red, el número de direcciones se ha convertido en insuficiente. Los usuarios que se unen a la red de media mañana después de muchos otros usuarios se han unido a menudo no recibe una dirección IP desde el servidor DHCP.
La conexión de 1.544 Mbps a Internet está sobrecargado. Utilización de la red media de la enlace serie WAN, medido 95 por ciento en una ventana de 10-minutos. El router cae alrededor del 5 por ciento de los paquetes debido a los picos de utilización del 100 por ciento.
El propio router está sobrecargado. Los estudiantes asistentes, escribieron un script periódicamente colecta la salida de comandos de la CPU. Los asistentes descubrieron que 5 minutos de utilización de la CPU se eleva en un 90% y la utilización de la CPU de 5 segundos se obtienen los picos del 99%, con una gran porción de la energía de la CPU consumida por las interrupciones de la CPU. Usando un laboratorio de la red, la simulación de los asistentes de tráfico de la red real de pasar por un enrutador similares con y sin habilitar listas de acceso y NAT. Los asistentes determinaron que la Internet CPU del router está sobre utilizado, no sólo por la gran cantidad de tráfico, pero también debido a las listas de acceso y las tareas de NAT.
El rediseño de la red de WVCC
El uso de un enfoque modular, los administradores de red y estudiantes asistentes designaron las siguientes mejoras de la red del campus:
Optimizacion del enrutamiento y direccionamiento para la red troncal del campus que interconecta los edificios, proporciona acceso a los sitios de servidores, y enruta el tráfico a Internet
El acceso inalámbrico en todos los edificios, tanto para los visitantes y usuarios de la red del campus privado (Estudiantes, profesores y personal administrativo)
Mejora el rendimiento y la seguridad en el borde de la red donde el tráfico se encamina hacia y a través de Internet
Optimización del Direccionamiento IP y enrutamiento de la red principal de Campus
Los administradores de red y estudiantes asistentes decidieron mantener la malla jerárquica y la topología lógica que sus predecesores tan sabiamente eligieron. Sin embargo, para solucionar los problemas de direccionamiento IP, un módulo de enrutamiento se añadió a cada uno de los extremos de los switch ubicados en los edificios, esencialmente convirtiendo los switch en routers rápidos. Con este nuevo enfoque, los administradores fueron capaces de subdividir el lógicamente la red en varias subredes. Los administradores decidieron quedarse con direcciones privadas.
Se asignó a los siguientes rangos de direcciones de la red del campus:
Sitio de servidores. 192.168.1.1-192.168.1.254 Biblioteca. 192.168.2.1-192.168.2.254 Centro de Computación . 192.168.3.1-192.168.3.254 Administración. 192.168.4.1-192.168.4.254 Ciencias Empresariales y Sociales. 192.168.5.1-192.168.5.254 Matemáticas y Ciencias. 192.168.6.1-192.168.6.254 Artes y Humanidades. 192.168.7.1-192.168.7.254 Los usuarios de la red inalámbrica segura privado. 192.168.8.1-192.168.8.254. (Esta es una
en todo el campus de subred que se extiende por todos los edificios y los jardines exteriores.)
Los usuarios de la red abierta, inalámbrica pública. 192.168.9.1-192.168.9.254. (Esta es una en todo el campus de subred que se extiende por todos los edificios y los jardines exteriores.)
El e-mail y el servidor web utiliza direcciones públicas que la comunidad de la universidad del estado de la red del sistema asignado a la universidad.
En lugar de confiar en la capa 2 Spanning Tree Protocol para evitar bucle, los diseñadores eligieron una protocolo de enrutamiento de capa 3. Eligieron Open Shortest Path First (OSPF), ya que no es propietario y se ejecuta en los routers de proveedores de muchos, converge rápidamente, apoya el intercambio de carga, y es moderadamente fácil de configurar y solucionar problemas.
La red inalámbrica
Los accesorios inalámbricos a la red representa el mayor desafío debido a los prejuicios y otra capa 8 (los temas no técnicos). El departamento de TI prefieren una solución única que se extremadamente seguro. Muchos de los estudiantes y profesores querían un acceso seguro a la red del campus y en apoyo a los visitantes que utilizan la red inalámbrica para acceder a Internet.
La solución era ofrecer dos puntos de acceso en cada edificio, con las políticas de seguridad diferentes aplicado sobre ellos. Un punto de acceso abierto en cada edificio dispone de acceso para los visitantes, mientras que un punto de acceso seguro en cada edificio proporciona un
acceso seguro para los estudiantes, profesores y empleados. La puntos de acceso abierto son en un canal diferente de los otros puntos de acceso para evitar interferencias y aumentar el rendimiento. El acceso a los puntos de apoyo IEEE 802.11b y cada uno proporciona un valor nominal de ancho de banda de 11 Mbps.
El departamento de TI eligió Cisco Aironet puntos de acceso de la serie debido a su apoyo a la seguridad características y la interoperabilidad con herramientas de Cisco para la autenticación y gestión de la red inalámbrica.
El departamento de TI solicitó a la librería de la universidad en el stock del cliente Cisco Aironet serie de LAN inalámbrica adaptadores y adaptadores compatibles para los estudiantes de la compra.
Desde el punto de vista de direccionamiento IP, dos subredes diferentes han servido, como se mencionó en el "IP Direccionamiento y enrutamiento optimizado para el backbone de campus" sección-una para el seguro, privada LAN inalámbrica (WLAN) y otro para el público y abierto de WLAN. Cada una de estas subredes es una en todo el campus de subred. Con esta solución, un usuario inalámbrico puede vagar por todo el campus y nunca requiere el contrato de arrendamiento de una nueva dirección del servidor DHCP.
En cada edificio, un puerto del switch en el conmutador de enrutamiento se conecta el punto de acceso que soporta el abrir la red. Un puerto de switch distinto conecta el punto de acceso compatible con el privado y seguro, red. Cada uno de estos puertos de conmutación está en su propia VLAN. Otro VLAN se utiliza para los puertos que conectar los interruptores con cable y los usuarios dentro del edificio.
Los puntos de acceso abiertos no están configurados para WEP o autenticación de dirección MAC, y es el SSID anunció en tramas de señalización para que los usuarios puedan asociar fácilmente con la WLAN. Para proteger el red del campus de los usuarios de la red WLAN abierta, los conmutadores de enrutamiento se configura con listas de acceso que hacia adelante sólo unos pocos protocolos. Los paquetes enviados por los usuarios de la WLAN abierta a los puertos TCP 80 (HTTP), 25 (SMTP) y 110 (POP), y los puertos UDP 53 (DNS) y 67 (DHCP) están permitidos. Todo el resto del tráfico denegado. Algunos estudiantes y profesores querían soportar más protocolos, pero el el departamento insistió en que, al menos por ahora, estos son los protocolos sólo se admiten. Esto protege al de red de los problemas de seguridad y evita a los visitantes que utilizan demasiado ancho de banda para otros aplicaciones.
Los puntos de acceso privados implementar características de seguridad mucho más. El SSID es oculta y no anunció en tramas de señalización. A pesar de un usuario determinado todavía podía descubrir el SSID, la eliminación de los paquetes de baliza oculta para el usuario casual y evita confundir a los visitantes, quienes sólo ven el SSID pública. Los estudiantes, profesores y empleados que quieren utilizar la WLAN privada deben conocer el sector privado SSID y escriba en la herramienta de configuración para los adaptadores inalámbricos.
Para proteger la privacidad de los datos que viaja a través de la WLAN privadas, las mejoras se utilizan WEP en los puntos de acceso y clientes. Por ahora, los puntos de acceso y los clientes utilizan Wi-Fi Protected Access (WPA) las mejoras requeridas por la Alianza Wi-Fi, tales como el Protocolo de Integridad de Clave Temporal (TKIP). En el futuro, después de IEEE 802.11i, ha sido ratificado, los métodos más rigurosos para el cifrado, como el Advanced Encryption Standard (AES), se puede utilizar. Véase el Capítulo 8 para obtener más información sobre opciones de seguridad inalámbrica.
Los puntos de acceso privados también están configurados para utilizar 801.1x extensible y ligero Protocolo de autenticación (LEAP). Los usuarios de la WLAN privada debe tener un ID de usuario válido y contraseña. Para llevar a cabo la autenticación del usuario, el departamento compró un acceso seguro de Cisco Servidor de Control de la solución del motor, que es un dedicado una unidad de rack (RU-un) dispositivo reforzado que opera como una autenticación remota centralizada Dial-In User Service (RADIUS) para el usuario autenticación. Ellos eligieron un aparato en vez de software para una plataforma de PC genérico para evitar la las vulnerabilidades de seguridad se encuentra en los típicos sistemas operativos estándar de la industria. Además el aparato es fiable y fácil de configurar y solucionar problemas.
El departamento de TI también optó por un dispositivo de hardware dedicado para la gestión de la red inalámbrica. El departamento de CiscoWorks Wireless coloca una LAN Solution Engine (WLSE) en el centro de informática. El motor permite a los administradores administrar de forma remota los puntos de acceso.
El WLSE también es compatible con el descubrimiento de los puntos de acceso que los estudiantes o los profesores pueden instalar sin el permiso del departamento de TI. Puntos de acceso Aironet de Cisco y el cliente compatible con dispositivos se pueden degustar cada pocos segundos en un canal por canal para tramas de señalización compatible con ad-hoc de pícaros y de radio frecuencia (RF) las firmas que indican la presencia de camuflado los pícaros. El punto de acceso local recopila datos acerca de estas muestras y lo sube a la WLSE aparato. El software CiscoWorks WLSE compara los datos de la muestra con direcciones MAC válidas para los conocidos puntos de acceso, y los informes de los posibles dispositivos no autorizados o de otro tipo (de 2,4 GHz interferencias en la red) y la localización aproximada del dispositivo (calculado por triangulación) para el personal de TI.
Mejor rendimiento y seguridad para el borde de la red
Para solucionar los problemas con la utilización de la CPU de alta en el router de Internet, los diseñadores optaron por romper además las funciones de red de seguridad y el renvío de tráfico. El router de Internet se centrará ahora en el renvío de tráfico. Los administradores de reconfigurar el router con una lista simple de los filtros de acceso que proporcionan protección inicial de los intrusos, y le quitaron la funcionalidad NAT del router.
En cambio, un Cisco PIX Security Appliance firewall se colocó en la topología entre el router y el campus de la red. El servidor de seguridad PIX proporciona seguridad y NAT. El departamento de
TI eligió un servidor de seguridad PIX, debido a su factor de forma de dispositivo, su operativo reforzado sistema, y su apoyo a OSPF, NAT, filtrado de URL y filtrado de contenidos. El departamento IT también reconoció la importancia de la certificación de la industria. El PIX Firewall tiene Común Criterios de Evaluación de Seguridad de Nivel 4 y el estado de Firewall de ICSA Labs y la certificación IPSec. El departamento debe elegir un modelo de PIX Firewall que soporta múltiples interfaces Ethernet 10/100-Mbps.
Por ahora, cuatro interfaces se utilizarán. La interfaz externa se conectará el router de Internet, dos dentro de las interfaces se conectará la red del campus, y la zona desmilitarizada (DMZ) de la interfaz se conectar el e-mail y servidor web.
Para solucionar el problema de la utilización de alta en el enlace WAN a Internet y la alta incidencia de lanzamiento de paquetes, el enlace WAN fue remplazado con un enlace de 10 Mbps Metro Ethernet. El departamento descubrió que algunos proveedores de servicios en el área estaban dispuestos a traer a un enlace Ethernet de fibra monomodo en lugar de un protocolo WAN. El departamento de IT ordenó una interfaz de 10/100BASE-FX para el router y elegir un proveedor de servicios que ofrece una razonable cuota mensual y tiene una buena reputación por su fiabilidad. Además, el proveedor hace que sea fácil para sus clientes actualizar el ancho de banda. Por ejemplo, si la universidad decide que necesita un 100 -Mbps de enlace Ethernet, la universidad puede hacer una sola llamada telefónica al proveedor y el proveedor garantiza para hacer el cambio de ese día.
El departamento de TI también tenerse en cuenta en la elección del proveedor el nivel de experiencia y el conocimiento de la instalación y el personal de apoyo. En particular, los ingenieros de la red del proveedor tenía muchas ideas prácticas para hacer frente a estos despidos para los diseños futuros de la red.
La figura 9.10 muestra el nuevo diseño de la red del campus WVCC.
Figure 10-9. The Enhanced Network for WVCC
Futuras mejoras de la Red de Campus WVCC
El trabajo de un departamento de TI no se acaba nunca. Los administradores de red y estudiantes asistentes tiene muchos planes para la actualización de red siguiente. Su principal preocupación en este momento es la disponibilidad. Aunque la red de malla jerárquica tiene cierta redundancia, hay muchos puntos únicos del fracaso. La disponibilidad de las aplicaciones puede verse afectado por cualquiera de estos puntos en quiebra. Se deja al lector para diseñar algunas soluciones a este problema.
