Post on 22-Oct-2018
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 1
3.3 PLIEGO DE CONDICIONES: DISEÑO, SUMINISTRO
E INSTALACIÓN DE UNA NUEVA RED INALÁMBRICA
(WIFI)
1. OBJETIVOS ............................................................................................................................. 2 2. IMPLEMENTACIÓN ............................................................................................................... 5
2.1 COBERTURA INALÁMBRICA ....................................................................................... 5 2.1.1 ZONA DE AULAS ..................................................................................................... 5 2.1.2 SALÓN DE ACTOS ................................................................................................... 6
2.2 PUNTOS DE ACCESO ...................................................................................................... 7 2.3 CONTROLADOR INALÁMBRICO ................................................................................. 8 2.4 EQUIPO DE GESTIÓN ................................................................................................... 10 2.5 ALIMENTACIÓN MEDIANTE CABLE ETHERNET DE DATOS (POE) ................... 10
3. SEGURIDAD .......................................................................................................................... 11 3.1 INTRODUCCIÓN ............................................................................................................ 11 3.2 CONSIDERACIONES GENERALES ............................................................................. 12 3.3 VLANS ............................................................................................................................. 12
3.3.1 RED CORPORATIVA .............................................................................................. 13 3.3.2 RED DE ALUMNOS ................................................................................................ 15 3.3.3 RED DE INVITADOS .............................................................................................. 15 3.3.4 RED DE ACCESO A ESCRITORIOS REMOTOS (VDI) ....................................... 16
4. LISTADO DE EQUIPAMIENTO INSTALADO .................................................................. 16 5. CONFIGURACIÓN DE LOS COMPONENTES .................................................................. 17
5.1 CONTROLADOR INALÁMBRICO ............................................................................... 17 5.2 PUNTOS DE ACCESO .................................................................................................... 18
6. DIAGRAMA DE RED ........................................................................................................... 18 7. PLANOS DE POSICIONAMIENTO ..................................................................................... 19 8. PLANOS DE COBERTURA .................................................................................................. 20
8.1 PLANTA BAJA ................................................................................................................ 20 8.2 PLANTA PRIMERA ........................................................................................................ 21
9. CONCLUSIONES DEL DISEÑO .......................................................................................... 21
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 2
1. OBJETIVOS
Los principales requisitos definidos por los responsables del organismo en el que se desarrolla
el presente pliego se detallan a continuación:
La red wifi debe permitir el acceso inalámbrico de los usuarios a aplicaciones y
servicios con las máximas prestaciones de seguridad, disponibilidad y rendimiento.
La topología de la red propuesta debe constar de un controlador central inalámbrico
conectado al núcleo de la red, junto con una serie de puntos de acceso controlados por
dicho controlador inalámbrico, que se conectarán a las tres ubicaciones de red
disponibles: Centro de Procesamiento de Datos, Aulas y Secretaría.
El diseño de la red se deberá orientar a los usuarios, dispositivos y servicios que se van
a necesitar. El objetivo final es que la red esté al servicio de los usuarios y se adapte a
sus necesidades, y no sean los usuarios los que se adapten al diseño de la red.
Facilidad de la gestión: el sistema debe facilitar la gestión de las cuentas de los usuarios,
disponer de interfaces simples e intuitivos y con capacidad de crear/borrar masivamente
las cuentas.
Alta capacidad: se considera fundamental para el correcto funcionamiento de la red que
la capacidad de la misma no tenga de cuellos de botella y que el flujo de datos sea lo
más rápido y flexible posible.
Escalabilidad de la solución: todos los elementos de la solución deberán permitir
ampliar sus funcionalidades mediante el agregado de nuevos dispositivos o módulos
modificaciones a realizar en la solución ya existente.
Flexibilidad: Las plataformas ofertadas deberán estar preparadas para soportar nuevas
tecnologías y servicios de cara al futuro.
El sistema debe ser abierto, de manera que facilite la incorporación de módulos
adicionales de comunicaciones con otras aplicaciones y la integración con otros
sistemas. Por tanto, deberá seguir estándares que permitan su interoperatividad con
otros fabricantes y otras tecnologías.
El sistema debe estar dimensionado para soportar una media de más de 400 conexiones
simultáneas.
Se deberá proporcionar cobertura en todo el edificio.
Se reforzará la cobertura en las Zonas de las Aulas de Formación ya que se tratará de
los puntos de mayor concurrencia de usuarios, teniendo en cuenta que las aulas son
panelables.
El número mínimo de puntos de acceso ofertados será de 30.
Las características mínimas que deberá cumplir el controlador inalámbrico serán las
siguientes:
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 3
Los estándares que debe cumplir el controlador son los siguientes:
IEEE 802.3 10BASE-T
IEEE 802.3u 100BASE-TX
1000BASE T, 1000 BASE-SX, 1000 BASE-LH
IEEE 802.1Q Vtagging
IEEE 802.1A Link Aggregation
IEEE 802.11a, 802.11b, 802.11b, WMM/802.11e, 802.11h, 802.11n
DHCP
BOOTP
SNMP v1,v2,v3
Telnet
RMON
Syslog
http
CAPWAP
Los puntos de acceso han de tener las capacidades técnicas mínimas para cumplir con la
instrucción 1/2006 de 15 de Mayo de la Junta de Andalucía. Además, deberá cumplir con las
siguientes especificaciones y estándares:
Características Valor
Duales (802.11ª/n y 802.11g/n) simultáneos SI
Características Valor
Número mínimo de puntos de acceso soportados 50
Capacidad de ampliación por licencia software Hasta 500
Soporte de equipos 802.11 a/g/n SI
Autoconfiguración automática y centralizada de los puntos de acceso SI
Asignación automática de canales 802.11 para evitar interferencia cocanal SI
Balanceo de carga SI
Detección y corrección de huecos en la cobertura SI
Control dinámico de potencia SI
802.11i (WPA2), WPA y WEP SI
Protocolo 802.11x con soporte para EAP-TLS, EAP-TTLS, PEAP, EAP-FAST SI
Detección de puntos de acceso no autorizados SI
Capacidades de IDS/IPS SI
Listas de control de acceso SI
Integración en entorno RADIUS AAA SI
Roaming mejorado SI
Soporte para VLAN y calidad de servicio (QoS) SI
Soporte CAPWAP SI
Capacidad de portal cautivo SI
Validación de usuario y clave contra base de datos interna, LDAP o Radius SI
Varios interfaces para Uplink Gigabit (10/100/1000 BASE T, 100 BASE SX) SI
Interfaz de gestión web (http, https) SI
Posibilidad de varios SSID SI
Posibilidad de varias VLAN SI
Tabla 1. Características mínimas del controlador inalámbrico
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 4
Compatibilidad 802.11n Draft 2.0 SI
Tasa de datos de hasta 300 Mbit/s SI
Software CAPWAP SI
Antenas duales integradas SI
Encriptación AES por hardware (sin pérdida de rendimiento) SI
Certificados WPA y WPA2 compatibles con 802.11i SI
Diseño estético SI
Soporte de alimentación por cable de red (PoE) SI
Interfaz 10/100/1000 BASE-T SI Tabla 2. Especificaciones para los puntos de acceso
El software de gestión de usuarios deberá tener las siguientes características:
Interfaz de usuario independiente para la gestión de usuarios (altas/bajas)
Fácil creación de usuarios mediante entorno gráfico amigable
Capacidad para la creación masiva de usuarios
Capacidad de autogeneración de contraseñas
Comunicación automatizada de las credenciales al usuario, mediante correo
electrónico ó mensaje de texto (SMS)
Soporte de múltiples servidores de autenticación externos, incluyendo la base de
datos de usuarios locales, Active Directory, LDAP, RADIUS y Proxy
Generación de mensajes de registro (Syslog) para la autorización y autenticación,
permitiendo cumplir con la directiva europea en base a protección de datos
Gestión de la interfaz de usuario para usuarios wifi (portal cautivo)
Creación de usuarios mediante plantillas
Capacidad de funcionar en modo de autorregistro y como sistema centralizado de
gestión de usuarios
Creación de planes personalizados de uso: ilimitados, de una determinada duración,
con limitación de uso por tiempo o por volumen de descargas
Personalización del entorno de gestión de usuarios, mostrando sólo las opciones
deseadas
Módulo de generación de informes y consultas: por usuario, globales en el sistema,
globales en un período de tiempo, etc.
Funcionamiento como servidor de autenticación 802.1X: soporte PEAP, TLS,
TTLS
Posibilidad de modificación de la interfaz y funcionalidades de la aplicación a
criterio del organismo
Integración con plataformas existentes de gestión mediante API abierta
El software deberá permitir su instalación en una máquina virtual
Elementos adicionales: se deberán presentar así mismo los siguiente elementos
adicionales:
GBIC de conexión del controlador al núcleo de la red (CORE)
Latiguillos fibra/cobre
Tirada de cableado nuevo completo hacia puntos de acceso
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 5
2. IMPLEMENTACIÓN
2.1 Cobertura inalámbrica
Para satisfacer las necesidades de cobertura y capacidad contempladas en los requisitos, se han
instalado 32 puntos de acceso en las ubicaciones indicadas por los estudios de cobertura
preliminares realizados para este proyecto, y corregidas tras una visita a las instalaciones.
El desglose de equipos propuestos por cada una de las ubicaciones es el siguiente:
Planta Número de puntos de acceso
Baja 16
Primera 16
Total 32
Tabla 3. Distribución de los puntos de acceso por zonas
A la hora de decidir la ubicación de los puntos de acceso, se ha tenido en cuenta, por un lado los
materiales de fabricación del edificio y por el otro, los requisitos en cuanto a las zonas de
cobertura especificados. Además en el diseño de la red se ha tenido en cuenta la contribución a
la cobertura inalámbrica que ofrecen los puntos de acceso a las plantas inmediatamente inferior
y superior a la que están colocados.
También se ha tenido en cuenta la opinión del propio personal del edificio, que ha preferido
primar la cobertura en las zonas deseadas (aulas, salas de reuniones, zonas de concentración de
usuarios), en lugar de buscar una distribución más uniforme.
Por tanto, en zonas donde la densidad de usuarios va a ser muy grande, como por ejemplo, en
las aulas, es posible que con un único punto de acceso se habría podido dar cobertura a toda la
zona (dado que suelen ser zonas diáfanas), pero en cuanto se conectaran más de 25 personas, ya
no se podría prestar servicio adecuadamente en esa zona. Por eso, tal y como se podrá observar
en los gráficos a continuación, se ha optado por poner un número adicional de puntos de acceso
en dichas zonas para que la red pueda funcionar incluso con un elevado número de usuarios
conectados.
A continuación se ofrecerá información detallada de las zonas donde se ha añadido un mayor
número de puntos de acceso de los inicialmente necesarios, con el fin de asegurar el correcto
funcionamiento de la red en caso de saturación por uso.
2.1.1 Zona de aulas
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 6
Ilustración 1. Distribución de los puntos de acceso en la Planta baja
Se puede observar como en la zona de las aulas, se configura un punto de acceso por aula, pero
al mismo tiempo se dedica un elevado número de puntos de acceso a zonas adyacentes a dichas
aulas, de modo que contribuyan no tanto a dotar de cobertura al aula (puesto que esto ya se
consigue con un único punto), si no a prestar servicio a usuarios de las aulas que no puedan
conectarse al punto de acceso principal de las aulas por encontrarse este saturado.
En resumen, en todas las aulas existe al menos la contribución de:
Un punto de acceso en el aula
Un punto de acceso de algún aula cercana/pasillo en el mismo piso
Un punto de acceso de aulas que estén en pisos inferiores y/o superiores
Además, cada punto de acceso cuenta con doble radio, con lo que cada uno de ellos puede dar
soporte a 25 usuarios en 802.11b/g, y otros 25 en 802.11a/n. De este modo se pueden garantizar
altas tasas de uso de la red inalámbrica en zonas como esta donde puede darse un elevado
número de usuarios simultáneos.
2.1.2 Salón de actos
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 7
Ilustración 2. Distribución de puntos de acceso en el Salón de Actos
De igual modo, otra zona que comúnmente tiene un elevado número de usuarios conectados es
el Salón de Actos, donde pueden realizarse eventos, actos, cursos, etc. que requieran de
conectividad inalámbrica.
Para evitar un posible escenario de saturación de puntos de acceso por un excesivo número de
usuarios, se han desplegado dos puntos de acceso en el Salón de Actos, junto con uno en el
pasillo anexo. Además, se ha tenido en cuenta que justo en la planta superior existen otros
puntos de acceso a los que podrían conectarse eventualmente usuarios del Salón de Actos.
2.2 Puntos de acceso
Para el presente proyecto se han adquirido un total de 32 puntos de acceso Cisco de la serie
1042N (AIR-LAP1042N-A-K9), a lo que se debe añadir un controlador de acceso de la gama
WLC modelo 5508 para gestionarlos, del cual se hablará en el correspondiente apartado.
Con esta configuración, y teniendo en cuenta que cada punto puede soportar hasta 50 usuarios
simultáneos (unos 25 por cada una de las dos radios instaladas, en 2.4 GHz y en 5 GHz), se
permitiría dar servicio a un total de 1600 usuarios simultáneos. A esto se le sumarán las
capacidades de balanceo de carga de las que dispone el controlador.
La serie 1042 de Cisco soporta el nuevo estándar 802.11n.
Entre el controlador y el punto de acceso gestionado, la comunicación se realiza mediante el
protocolo de última generación CAPWAP (Control and Provisioning of Wireless Access
Point) propuesto por la IETF, encriptado con DTLS. Debido a la seguridad DTLS, junto con la
configuración vía web, los parámetros confidenciales de configuración no aparecen expuestos ni
en el aire ni en la red ethernet. Además, la configuración no se guarda en el punto de acceso
gestionado, lo que reduce el riesgo de que una configuración sea capturada si se produce el robo
de uno de ellos.
Soportar el protocolo CAPWAP permitirá a los puntos de acceso operar en el entorno propuesto
con controladores inalámbricos de las series 2100 y 5500 de Cisco.
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 8
Los puntos de acceso disponen de las siguientes características:
Duales: Trabajan simultáneamente en 802.11b/g/n (2,4 GHz) y 802.11a/n (5GHz)
Compatibilidad con 802.11n
Soporta 24 ó 10 canales no solapables (21 en 11a/n y 3 en 11g/n a 20 MHz; 9 en 11a/n y
1 en 11g/n a 40 MHz)
Velocidades de hasta 300 Mbits/s
Software CAPWAP (mencionado anteriormente)
Control de potencia de transmisión
Antenas duales integradas
Encriptación AES por hardware (sin pérdida de rendimiento)
Certificados WPA y WPA2. Compatible con 802.11i
Diseño estético
Soporte de alimentación mediante cable de red (PoE, Power over Ethernet)
Soporte servidor RADIUS
802.1x: Cisco LEAP, EAP-FAST, PEAP, EAP-TLS, EAP-TTLS y EAP-SIM.
Claves dinámicas por usuario y por sesión (WPA y WPA2)
Encriptación TKIP (WPA) y AES-CCM (WPA2)
Gestión: BootP, SSH, HTTPS, TFTP, FTP, Telnet, Consola, SNMP, RME, SWIM,
Campus Manager, CiscoView y WLSE.
En la siguiente imagen se puede comprobar el aspecto de este modelo.
Ilustración 3. Punto de acceso Cisco de la serie 1042N
Los puntos de acceso funcionan en modo centralizado, por lo que sin conexión con el
controlador central (Cisco WLC) no levantarán las radios ni emitirán identificadores (SSID)
alguno. Sin embargo, sí que responden a los pings, y se les ha habilitado el interfaz de línea de
comandos (CLI: Telnet/SSH) a todos ellos para tareas de gestión.
2.3 Controlador inalámbrico
La principal función del controlador inalámbrico es la de proporcionar inteligencia a la red, así
como actuar como elemento de configuración y gestión centralizada, permitiendo implementar
de manera eficiente y flexible las ventajas propias de redes inalámbricas desplegadas mediante
switches wifi, tales como la gestión y configuración de radiofrecuencias automática, roaming
avanzado, seguridad centralizada, etc.
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 9
Ilustración 4. Controlador inalámbrico AIR-CT5508-50-K9
Se ha instalado concretamente el modelo AIR-CT5508-50-K9, con capacidad para soportar
hasta 50 puntos de acceso, y que tiene las siguientes características:
• 8 puertos SFP (Small Form Factor Pluggable) con soporte Gigabit. Éstos permitirán conectar
un transmisor y un receptor simultáneamente al mismo puerto.
Ilustración 5. Puerto SFP
• Licencias para dar soporte hasta a 25 equipos (pero con capacidad de ampliación mediante
licencias de software a 500 puntos de acceso soportados).
• Autoconfiguración automática y centralizada de los puntos de acceso
• Gestión inteligente de los recursos de radiofrecuencia
Asignación automática de canales 802.11 para evitar interferencias cocanales
Detección y evasión de interferencias
Balanceo de carga
Detección y corrección de huecos en la cobertura
Control dinámico de potencia
Seguridad mejorada
802.11i (WPA2), WPA y WEP
Protocolo 802.1x con soporte para EAP-TLS, EAP-TTLS, PEAP, EAP-FAST
Detección de puntos de acceso “piratas”
Listas de control de acceso
Integración en entornos RADIUS AAA
• Roaming mejorado
• Redundancia
• Soporte para VLAN y calidad de servicio (QoS)
En el apartado 4 del presente pliego se encuentran los diagramas detallados del despliegue de la
red en el edificio, y en el apartado 5 se hablará sobre la configuración del dispositivo. Para
acceder a la configuración del equipo, es necesario acceder mediante interfaz http seguro
(https).
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 10
Es importante destacar que se ha configurado una conexión con el núcleo de la red que soporta
alta disponibilidad a nivel de enlace físico, a través del protocolo de agregación de enlaces
(LAG). De este modo, los dos puertos conectados del controlador se unen a dos puertos del
Cisco 4500 que hace las labores de núcleo de la red cableada del edificio. Concretamente se
unen los puertos 1 y 2 del controlador con los puertos 1 y 3 del módulo 9 del 4500.
2.4 Equipo de gestión
En el sistema existe una funcionalidad añadida que permitirá monitorizar y gestionar la red de
los puntos de acceso instalados, de modo que se puedan detectar en un breve período de tiempo
averías en el sistema, ó se pueda conocer en todo momento el número de usuarios conectado a la
red, por ejemplo. Esta funcionalidad añadida reside en un software de control de Cisco
denominado WCS (Wireless Control System), que se conecta al controlador inalámbrico y
mediante el intercambio de paquetes SNMP permite conocer en todo momento el estado de la
red, y proporciona un punto único de configuración para la misma.
Este sistema permite al gestor de la red diseñar, controlar y monitorizar todos los recursos de la
red inalámbrica en una única ubicación centralizada, simplificando las operaciones y reduciendo
los costes de operación. Se ha incluido una licencia de 50 puntos de acceso (WCS-APBASE-
50), siendo el sistema ampliable mediante la instalación de nuevas licencias.
El sistema de control de Cisco (WCS) proporciona los siguientes servicios:
Gestión centralizada
Monitorización de la red
Resolución de problemas
Protección y seguridad de la red
Generación de informes
Este software ha sido desplegado en un servidor virtual dentro de la infraestructura VMWare
vSphere 4 de que dispone el organismo que trabaja en el edificio. La máquina ha sido
dimensionada con 2 Gigabits de RAM, un único núcleo, y 100 Gigabits de disco duro. La
versión del software instalada es la 7.0.98, y corre bajo un sistema operativo Windows Server
2003.
El acceso al sistema de gestión WCS se realiza mediante acceso web seguro http (https).
2.5 Alimentación mediante cable ethernet de datos (poe)
Los puntos de acceso soportan PoE, es decir, permiten ser alimentados de forma remota
mediante el propio cable Ethernet de datos, con lo cual se elimina la necesidad de tener
alimentación cerca de la ubicación definitiva de los equipos.
Dado que los switches desplegados en el segmento cableado disponen de tal capacidad, los
puntos de acceso sólo reciben un único cable Ethernet, con alimentación y datos
simultáneamente.
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 11
3. SEGURIDAD
3.1 Introducción
En este proyecto se ha contemplado el despliegue de cuatro tipos de redes inalámbricas,
diferenciadas según su propósito y características. Los cuatro tipos considerados son:
Red inalámbrica para alumnos. Es la red inalámbrica que ofrece el organismo a sus
usuarios (que generalmente serán alumnos que asisten a cursos que allí se imparten)
para salir a Internet (o a los recursos internos que consideren necesarios). Esta red no
usa cifrado y tiene un acceso restringido mediante un portal cautivo incorporado en el
propio controlador inalámbrico. La presencia de este equipo obliga a que todo aquel que
desee usar la red debe disponer de un usuario y una contraseña otorgada por el
organismo. El controlador inalámbrico realiza las tareas de asignación dinámica de
direcciones (DHCP), mientras que las labores de filtrado de paquetes y traducción de
direcciones (NAT) las realiza la infraestructura de cortafuegos de la que dispone la red.
Red inalámbrica de invitados. Se trata de una red inalámbrica de idénticas
características a la anterior (sin cifrar, y con acceso restringido por un portal cautivo),
pero que se diferencia en la naturaleza de sus usuarios. Esta red la utilizarán invitados,
personal de paso, y en definitiva, usuarios que no se consideran parte del alumnado,
pero a los cuales se desea proporcionar un acceso restringido a Internet.
Red corporativa. También se ha implementado una extensión de la red corporativa del
organismo al segmento inalámbrico. Esta red cuenta con cifrado y control de acceso,
utilizando como elementos auxiliares servidores de dominio de la propia infraestructura
informática del organismo. En esta red serán los servidores internos los que otorguen
direcciones a los equipos clientes autenticados, mientras que las tareas de traducción de
direcciones (NAT) y registro de los accesos las llevarán a cabo la infraestructura de
cortafuegos de la que dispone la red.
Red de acceso a escritorios remotos. Por último, se ha configurado una red inalámbrica
específica para el acceso de ciertos dispositivos móviles a máquinas virtuales que
residen en el sistema de virtualización por software (VMWare) del que dispone el
organismo. Concretamente, se trata de un acceso inalámbrico a los escritorios remotos
de estas máquinas, desde dispositivos móviles que cuentan con capacidades
inalámbricas. La existencia de una red separada para estos dispositivos obedece a dos
motivos:
Cuentan con una configuración de seguridad diferente a las tres redes anteriores (se utilizará un
cifrado WPA-PSK).
Sus valores de calidad de servicio (QoS) serán diferentes, dado que se trata de una red con un
mayor nivel de prioridad, con el fin de lograr que el acceso a los escritorios remotos pueda
permitir un visionado correcto de vídeos al mismo tiempo que se descarga (streaming).
Se ha escogido un cifrado WPA-PSK con el fin de reducir los tiempos de autenticación en el
sistema, dado que se trata de una red donde las temporizaciones son críticas (por uso de
aplicaciones de streaming). Se utilizará una clave PSK segura de 20 caracteres alfanuméricos
aleatorios, para evitar ataques de fuerza bruta y/o diccionario.
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 12
3.2 Consideraciones generales
El sistema de seguridad implantado se basa en 3 principios básicos:
Separación entre las redes mediante VLANs, de manera que se impidan (o limiten en
algunas circunstancias) los accesos entre ellas y cada una cuente con diferentes perfiles
de seguridad. De este modo, se impide que un usuario con unos privilegios
determinados pueda acceder a zonas de la red donde no tiene permiso de acceso, usando
sus credenciales.
Cifrado del enlace inalámbrico entre los usuarios y los puntos de acceso en la red
corporativa, asegurando la privacidad e inviolabilidad del canal radio ellos en las redes
que se han considerado de seguridad crítica (red corporativa).
Uso de mecanismos de autenticación “fuertes”, basados en el estándar 802.1X y en un
certificado autofirmado por el servidor, junto con el protocolo PEAP para los usuarios,
también en el caso de la red corporativa.
3.3 VLANs
El propósito de las redes de área local virtuales (Virtual Local Area Networks: VLANs) es
ofrecer la posibilidad de tener diferentes redes de área local, cada una de ellas con su
correspondiente identificador y perfil de seguridad, aprovechando la misma infraestructura
hardware, y con un perfecto aislamiento entre redes con vistas a mejorar los niveles de
seguridad.
El primer elemento en la cadena que conforma la VLAN es el punto de acceso (AP). En la
implementación llevada a cabo es el controlador inalámbrico quien posee la “inteligencia” de la
red siendo los puntos de acceso simples antenas con una lógica de control y configuración
reducida. Toda la información que circula entre un punto de acceso y el controlador en el que
está registrado utiliza el protocolo CAPWAP (Control And Provisioning of Wireless Access
Point) y es transmitida canalizada a través de una VLAN de gestión (VLAN 97).
Es a partir del controlador inalámbrico donde se realiza una diferenciación de la información
transmitida en función del perfil de usuario conectado, siendo dicho controlador el que se
encarga de marcar la pertenencia de los paquetes de una u otra red mediante etiquetas (tags)
usando la norma 802.1q, que permite a los paquetes de diferentes VLANs compartir un mismo
canal físico. Esos paquetes etiquetados son interpretados por los switches que limitan la difusión
de los paquetes a únicamente los puertos incluidos en la VLAN correspondiente y pudiéndose,
por tanto, acceder únicamente a los servicios definidos en dicha VLAN. Con ello se consigue
separar y aislar las redes completamente, logrando un mayor nivel de seguridad.
Las VLANs definidas en el controlador inalámbrico son las siguientes:
VLAN 21 – Red Corporativa
VLAN 30 – Red Abierta y con portal cautivo para usuarios (alumnos)
VLAN 31 – Red Abierta y con portal cautivo para invitados
VLAN 32 – Red cifrada con WPA-PSK para el acceso a escritorios remotos
VLAN 97 – Gestión e interconexión con los puntos de acceso.
Es muy importante comprobar siempre que las asociaciones entre redes inalámbricas y
subinterfaces del controlador inalámbrico estén correctamente configuradas ya que si esto no
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 13
fuera así los usuarios de una red sin cifrar podrían entrar en la red corporativa, con el riesgo de
seguridad que ello conllevaría.
3.3.1 Red corporativa
Los equipos inalámbricos del personal del organismo deben usar esta red 802.11a/b/g/n para
tener acceso a todos los recursos y equipos de la red interna, tales como servidores de dominio,
impresoras, servidores de antivirus, etc. El identificador SSID utilizado por esta red es
“prueba1” y como medida de seguridad y en cumplimiento de las políticas de seguridad
definidas se ha deshabilitado temporalmente la difusión del mismo. Este SSID se difundirá
sobre el VLAN 21 de la red corporativa, de modo que todos los elementos de la red corporativa
serán visibles para los usuarios inalámbricos de esta red segura.
3.3.1.1 Cifrado y seguridad del enlace inalámbrico
El primer nivel de seguridad lo proporcionan los mecanismos de cifrado y autenticación
presentes en el enlace inalámbrico, mediante los cuales se pretende impedir que personas no
deseadas se conecten a la red.
Tanto la autenticación como el cifrado utilizan el estándar WPA/WPA2-Corporativo con TKIP /
AES. Este algoritmo permite la generación de claves dinámicas por sesión y por usuario y hace
imposible la interceptación de datos por parte de terceros. Para las labores de autenticación del
usuario, se usa el protocolo PEAP-TLS (integrado en los sistemas operativos Windows), y una
acreditación del usuario mediante nombre y clave, verificadas contra un servidor de
autenticación de Internet, (en adelante IAS), que se ha desplegado en la infraestructura de
servidores de la red del organismo tal y como se comentará en el apartado correspondiente.
La comprobación de las credenciales, en este caso el usuario y contraseña usados para la
autenticación PEAP-TLS, la realiza el controlador inalámbrico (WLC), que mantiene en espera
al usuario hasta comprobar la autenticidad de las credenciales consultando a un servidor de
autenticación RADIUS, que comprueba los datos presentados. Si son válidos permite el acceso
del usuario a la red. El servidor de autenticación se detallará a continuación.
Por tanto, los equipos inalámbricos que deseen conectarse a la red inalámbrica corporativa
deben contar con el hardware y el software necesario:
Hardware. Tarjeta inalámbrica que cumpla con las especificaciones 802.11a/b/g/n para
operación en la banda de 2,4 ó 5 GHz.
Software. Sistema operativo con suplicante 802.1X. Actualmente, todos los sistemas
operativos modernos (Windows XP/Vista, Mac OS X y Linux) cuentan con suplicantes
802.1X integrados y de uso gratuito.
3.3.1.4 Servidor de autenticación
Como elemento repositorio de credenciales de autenticación se ha considerado en este proyecto
el despliegue de un servidor de autenticación bajo Windows 2003 Server, que utilice los datos
existentes en el Directorio Activo del organismo. De este modo, los usuarios no necesitan
disponer de nuevas credenciales con el fin de acceder a la red inalámbrica, si no que se
utilizarán las mismas credenciales que utiliza el usuario para unirse a su dominio (característica
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 14
denominada Single Sign On, SSO). No será necesaria la instalación de ningún software
adicional en el caso de clientes inalámbricos con Sistema Operativo Windows, ya que estos
incluyen el cliente necesario PEAP de manera nativa. Además, el proceso de introducción de
credenciales se hace en el inicio de sesión, credenciales que de modo transparente el S.O. pasa
al cliente inalámbrico para que se produzca la validación del enlace inalámbrico. Todo esto se
realizaría de manera totalmente transparente al usuario, que introduciendo sus credenciales
habituales ya se autenticaría tanto frente al dominio de la red, como frente al servidor RADIUS.
Para poder implementar estas funciones, se ha desplegado un paquete adicional en el
controlador principal denominado IAS (Internet Authenticacion Server). Este paquete se
encarga de recibir las peticiones de conexión de los usuarios que envía el controlador, consulta
esas credenciales que aporta el usuario en el directorio activo, y en función del resultado,
permite al usuario la entrada o no a la red.
Un elemento muy importante de este funcionamiento es la capacidad de separar la autenticación
de máquinas y la autenticación de usuarios, creándose dos grupos dentro del controlador de
dominio:
Wifi_usuarios. Aquí dentro habría que incluir los usuarios del dominio que van a tener
permisos para poder usar la red inalámbrica.
Wifi_equipos. Aquí se deberían incluir los equipos del dominio que van a poder
utilizarse para poder acceder de manera inalámbrica.
Ambos equipos tienen permitidas las conexiones desde la red inalámbrica, cosa que no ocurre
con el resto de equipos y usuarios del dominio, por eso deben incluirse tanto usuarios como
equipos dentro de estos grupos para poder utilizar la red inalámbrica.
En base a esta doble autenticación, tanto de usuarios como equipos, podemos barajar los
siguientes escenarios:
Ordenador dentro del grupo wifi_equipos, junto con usuario dentro de wifi_usuarios. En
este caso, el equipo autenticado envía sus credenciales al IAS, se valida, y carga las
correspondientes políticas GPO. Una vez validado el equipo, se le presenta al usuario su
pantalla de autenticación para que se valide. En función de las credenciales aportadas, y
dado que ya se han cargado las GPO, el usuario estará perfectamente registrado en el
dominio, con red inalámbrica, y todas las opciones que se incluyen por políticas de
usuarios: mapeo de unidades, etc.
Ordenador dentro del grupo wifi_equipos, pero usuario fuera del grupo de
wifi_usuarios. En este caso, el usuario entrará al PC, pero éste no dispondrá de enlace
inalámbrico.
Ordenador fuera del grupo wifi_equipos, y usuario dentro del grupo wifi_usuarios. En
este caso, el usuario podrá entrar al equipo, y gozará de enlace inalámbrico, pero no se
le habrán cargado automáticamente las políticas de dominio definidas para él.
Ordenador y usuario fuera de los grupos wifi. En este caso, el usuario podrá entrar a la
máquina, pero no tendrá acceso a la red inalámbrica.
Por ello, para que el usuario pueda acceder a la red, previamente se ha debido solicitar un
usuario autorizado a los responsables de la red, de modo que pueda ser reconocido por el
servidor IAS como autorizado a utilizar la red inalámbrica corporativa y éste pueda asignarle el
perfil de uso correspondiente. Todo este proceso de gestión de usuarios (creación y gestión de
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 15
usuarios con sus correspondientes certificados, nombres de usuario y palabras de paso) es
realizado por el personal del organismo.
3.3.2 Red de alumnos
Esta red inalámbrica es la que será utilizada por los alumnos que realicen cursos en este edificio
para acceder a los contenidos disponibles tanto internamente como en Internet. Será una red en
abierto (sin mecanismos de cifrado para la protección del enlace inalámbrico), pero con un
control de usuarios que será gestionado por el personal del organismo.
Este control de usuarios se realiza mediante un portal cautivo que proporciona el controlador
inalámbrico, cuya gestión de usuarios se realizará mediante la herramienta WiFiAdmin instalada
en el servidor de autenticación.
Los usuarios de la red de alumnos (siempre dentro de la VLAN 31) se comunicarán con la red
interna a través del interfaz con que cuenta el controlador dentro de dicha VLAN 31. El
controlador hará también las tareas de gestión de peticiones de direcciones de manera dinámica
(DHCP) por parte de los usuarios de la red inalámbrica y será por tanto el encargado de ofrecer
direcciones de su rango de direcciones disponible.
La página que sirve de repositorio externo para el portal cautivo que presenta el controlador
también se mantendrá en la máquina anteriormente descrita, aunque se plantea también la
opción de alojar dicha página en el propio controlador inalámbrico, con el fin de hacer más
eficiente el uso del portal cautivo.
Resaltar que se mantienen en todo momento los principios de separación de redes, de modo que
los usuarios de esta red en ningún momento podrán acceder a recursos internos de la red
corporativa gracias a la presencia de un firewall intermedio entre este segmento de red y la red
interna.
3.3.3 Red de invitados
Esta red inalámbrica es la que será utilizada por el personal nómada y de paso que esté en el
edificio, tales como consultores, invitados, etc. Será una red en abierto (sin mecanismos de
cifrado para la protección del enlace inalámbrico), pero con un control de usuarios que será
gestionado por el personal del organismo.
Este control de usuarios se realiza mediante un portal cautivo que proporciona el controlador
inalámbrico, que será configurado según la identidad corporativa del organismo, y cuya gestión
de usuarios se realizará mediante la herramienta WiFiAdmin. Se tratará de un portal diferente al
de alumnos, dado que el WLC permite la opción de presentar diferentes portales cautivos según
los diferentes SSID.
Tal y como ocurría en la solución anterior, los usuarios de la red de invitados (siempre dentro de
la VLAN 30) se comunicarán con la red interna a través del interfaz con que cuenta el
controlador dentro de dicha VLAN 30. El controlador hará también las tareas de gestión de
peticiones de asignación dinámica de direcciones (DHCP) por parte de los clientes de la red
inalámbrica y será por tanto el encargado de ofrecer direcciones de su rango de direcciones
disponibles.
La página que sirve de repositorio externo para el portal cautivo que presenta el controlador
también se mantendrá en la máquina anteriormente descrita, aunque se plantea también la
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 16
opción de alojar dicha página en el propio controlador inalámbrico, con el fin de hacer más
eficiente el uso del portal cautivo.
Resaltar que se mantienen en todo momento los principios de separación de redes, de modo que
los usuarios de esta red en ningún momento podrán acceder a recursos internos de la red
corporativa gracias a la presencia de un firewall intermedio entre este segmento de red y la red
interna.
3.3.4 Red de acceso a escritorios remotos (VDI)
Esta red tiene una funcionalidad especial, dado que se va a dedicar exclusivamente al acceso a
escritorios remotos en la infraestructura de máquinas virtuales del organismo desde los
portátiles que se encuentran desplegados en las aulas.
La principal característica de esta red es su necesidad de acceder a contenidos que puedan
visualizarse en el momento de su descarga (en streaming) que se reproducirán en el escritorio de
la máquina virtual, y que por conexión inalámbrica con esos escritorios remotos deberán verse
en los portátiles de las aulas. Debido a esta necesidad de mantener una elevada transferencia de
datos y lo sensible que sería a los retardos inherentes a procesos de autenticación seguros, se ha
configurado inicialmente con un protocolo de cifrado PSK y una clave de 20 caracteres
alfanuméricos aleatorios, de modo que no tenga un retraso elevado en los procesos de
regeneración de claves (y por tanto afecte lo menos posible a las transmisiones inalámbricas
desde estos escritorios remotos).
Tal y como ocurría en la solución anterior, los usuarios de la red de escritorios remotos (siempre
dentro de la VLAN 32) se comunicarán con la red interna a través del interfaz con que cuenta el
controlador dentro de dicha VLAN 32.
El controlador hará también las tareas de gestión de peticiones de asignación dinámica de
direcciones (DHCP) por parte de los clientes de la red inalámbrica y será por tanto el encargado
de ofrecer direcciones de su pool de direcciones disponible.
4. LISTADO DE EQUIPAMIENTO INSTALADO
Se presenta a continuación una tabla con el equipamiento instalado para la
implementación de la red inalámbrica.
Fabricante Modelo Descripción Cantidad
Cisco Controlador AIR-CT5508-50-K9 Controlador inalámbrico 1
Cisco Módulo GLC-T= Módulo de cobre para el
controlador
2
Cisco Software gestión WCS-APBASE-
50=
Software para gestión
centralizada
1
Cisco AP 11n interiores AIR-
LAP1042N-E-K9
Punto de acceso red de acceso 32
Tabla 4. Equipamiento instalado
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 17
5. CONFIGURACIÓN DE LOS COMPONENTES
En los siguientes apartados se recogerán los principales parámetros de configuración del
equipamiento instalado.
5.1 Controlador inalámbrico
A continuación se muestran los parámetros básicos de configuración del controlador
inalámbrico.
Controlador AIR-CT5508-50-K9
Ubicación CPD
Marca Cisco 5508 (AIR-CT5508-50-K9)
Interfaces
Gestión
Propósito Gestión del controlador
VLAN 97
Dirección IP 10.22.97.6 / 24
Puerta de enlace 10.22.97.1
DHCP -
Corporativa
Propósito Red corporativa
VLAN 21
Dirección IP 10.22.21.6 / 24
Puerta de enlace 10.22.21.1
DHCP 10.22.97.6
SSID Prueba1
Seguridad WPA/WPA2 PEAP Corporativo
Invitados
Propósito Red para invitados
VLAN 30
Dirección IP 10.22.30.6 / 24
Puerta de enlace 10.22.30.1
DHCP 10.22.97.6
SSID Prueba2
Seguridad Red abierta con portal cautivo
Alumnos
Propósito Red para invitados
VLAN 31
Dirección IP 10.22.31.6 / 24
Puerta de enlace 10.22.31.1
DHCP 10.22.97.6
SSID Prueba3
Seguridad Red abierta con portal cautivo
Escritorios remotos
Propósito Red para acceso a escritorios remotos
VLAN 32
Dirección IP 10.22.32.6 / 24
Puerta de enlace 10.22.32.1
DHCP 10.22.97.6
SSID Prueba4
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 18
Seguridad WPA – PSK Tabla 5. Parámetros básicos de configuración del controlador inalámbrico
Como elemento a destacar en la configuración del controlador, hay que mencionar que se ha
optado por una configuración “conservadora” en la banda de 5 GHz en configuración 802.11n,
ya que aunque inicialmente se optó por el uso de canales de doble ancho de banda (40 MHz)
con el fin de maximizar la velocidad, finalmente se han optado por canales convencionales de
20 MHz con el fin de maximizar la compatibilidad de la red. Conforme vaya avanzando la
tecnología, y el uso de canales de doble ancho de banda se vaya haciendo más común, se
considerará un cambio de configuración en ese sentido.
5.2 Puntos de acceso
A la hora de reseñar la configuración de los puntos de acceso, es importante mencionar que
éstos funcionarán en configuración CAPWAP y a penas tienen parámetros de configuración, ya
que los valores más relevantes (seguridad, configuración radio, etc.) se encuentran almacenados
en el controlador inalámbrico.
Tampoco se ha hecho mención de las configuraciones radio (niveles de potencia y canales en las
bandas de 2.4 y 5 GHz) ya que se trata de valores que son gestionados por el controlador
inalámbrico en tiempo real, y por tanto, variables en el tiempo.
6. DIAGRAMA DE RED
Para poder transmitir una mejor idea sobre la disposición de todos los elementos de la red
inalámbrica mencionados hasta ahora se presenta a continuación un diagrama de la red.
El controlador se encuentra conectado al C4500 (núcleo de la red) en el Centro de
Procesamiento de Datos (CPD). Por otro lado también vemos los puntos de acceso
correspondientes conectados a las tres zonas principales donde se encuentra la totalidad de la
electrónica de red: CPD, Secretaría y Aulas (en estas últimas los puntos de acceso se encuentran
conectados a la pila de equipos Cisco 2960-S).
Ilustración 6. Diagrama de red
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 19
7. PLANOS DE POSICIONAMIENTO
A continuación se presentan los planos con el posicionamiento exacto de los equipos instalados.
Ilustración 7. Distribución de puntos de acceso en la planta baja
Ilustración 8. Distribución de puntos de acceso en la planta primera
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 20
8. PLANOS DE COBERTURA
A continuación se presentan los planos con los niveles de cobertura medidos durante un
replanteo en las instalaciones del edificio.
Lo que se representa mediante estos planos es la potencia transmitida por cada uno de los
puntos de acceso que se encuentran distribuidos por el edificio donde se ha llevado a cabo este
proyecto.
Se utiliza la unidad dBm (decibelios relativos al nivel de referencia de 1 milivatio). 1 mW es
igual a 0 dBm y cada vez que se doblan los milivatios, se suma 3 a los decibelios.
La potencia radiada (potencia enviada por la antena en dirección de su máxima ganancia) puede
calcularse fácilmente (en dBm) como:
Potencia radiada [dBm]= Potencia del transmisor [dBm] – Pérdidas del cable[dB] + Ganancia
de la antena [dBi]
El limite legal para la potencia radiada (EiRP) para redes inalámbricas en Europa (excepto
Francia) es 100mW (= +20 dBm).
Una vez introducidos dichos conceptos podemos proceder a analizar los planos de cobertura que
se muestran a continuación.
8.1 Planta Baja
Ilustración 9. Plano de cobertura en la planta baja
En base a la disposición de los puntos de acceso en la planta baja, la mayor potencia (valores
cercanos a 20 dBm) se da alrededor de ellos. El radio de cobertura cubre perfectamente laz
zonas de mayor demanda de red inalámbrica (zona de Aulas, Salón de Actos y Secretaría),
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 21
además la potencia es suficiente para que los usuarios que allí se encuentren tengan un acceso
óptimo a la red.
8.2 Planta Primera
Ilustración 10. Plano de cobertura en la planta primera
Como se puede apreciar, y en base a la disposición de los puntos de acceso, la mayor potencia
se da alrededor de dichos puntos, además el radio de cobertura cubre correctamente las zonas de
mayor demanda de red inalámbrica.
9. CONCLUSIONES DEL DISEÑO
Tras la realización del diseño, suministro e instalación de esta nueva red inalámbrica, en este
apartado se dispone a comentar las conclusiones más notables.
Para el desarrollo del proyecto han sido necesarios una serie de pasos que se describen
brevemente a continuación:
• Replanteo de las ubicaciones: Se visitó el edificio donde se ha llevado a cabo el proyecto y se
examinaron las características requeridas para poder desplegar la red, identificando lugares
propicios para la instalación de los equipos inalámbricos e identificando las características
topográficas.
• Diseño de la red: Se tuvieron en cuenta los materiales de fabricación del edificio y los
requisitos en cuanto a las zonas de cobertura especificados. También se tuvo en cuenta la
contribución a la cobertura inalámbrica que ofrecen los puntos de acceso a las plantas
inmediatamente inferior y superior a la que están colocados. El personal del edificio también
3.3 PLIEGO DE CONDICIONES: WIFI Enero de 2012
PFC. Marina Peinado Mengibar Página 22
indicó las zonas de mayor densidad de usuarios inalámbricos. En base a esto se ha diseñado la
red inalámbrica, eligiendo el equipamiento adecuado que se ajustaba a los requerimientos.
La característica más destacada de la red inalámbrica implementada es la ausencia de cableado,
lo que permite movilidad dentro de la zona de cobertura correspondiente. El hecho de que los
puntos de acceso estén gestionados por un controlador posibilita su configuración de manera
centralizada. Esto evita el hecho de que haya que configurar cada equipo de manera individual
facilitando con esto la configuración de la red.
También se debe mencionar en este apartado la elección de hacer uso de un software de gestión
de usuarios. A través de una interfaz sencilla y un mecanismo de sms los responsables de la red
pueden gestionar y crear usuarios wifi con sus correspondientes certificados, nombres de
usuario y palabras de paso. Una vez más el controlador inalámbrico será quien proporcione
dicho servicio, centralizando en él la gestión de la red inalámbrica.
Otro punto a destacar como conclusión es que la segmentación en VLANS de los puntos de
acceso permitirá el acceso de los usuarios inalámbricos a distintas VLANs declaradas en los
conmutadores de red, dependiendo del nivel de acceso y del tipo de cliente conectado. Esto
tiene las siguientes ventajas:
Mayor flexibilidad en la administración y en los cambios de la red, ya que la
arquitectura puede cambiarse usando los parámetros de los conmutadores.
Aumento de la seguridad, ya que la información se encapsula en un nivel
adicional y se analiza.
Disminución en la transmisión de tráfico en la red, lo cual evita posibles
sobrecargas.
Por último, la implementación de escritorios remotos VDI permite a los usuarios remotos
conectarse a recursos de la red interna a través de la red inalámbrica mediante una conexión
cifrada, sin necesidad de configurar conexiones de red individuales. Resulta útil y eficiente ante
la llegada de un nuevo visitante a la red ya que puede acceder en tiempo real (en streaming) de
manera fácil y rápida a contenidos comunes ofrecidos por el personal del edificio.
Los servicios del escritorio remoto extienden la vida útil de los equipos ya que evita la
necesidad de renovar el hardware continuamente. Además, proporciona un modelo completo de
configuración de seguridad que permite controlar el acceso a recursos específicos de la red
interna.
• Realización del proyecto técnico: Esta es la parte que se ha recogido en el presente documento.
Con el presente proyecto técnico sería posible implementar la red inalámbrica descrita en una
situación real, siendo solo necesario ocuparse de los detalles específicos de la instalación en
cada una de las ubicaciones descritas.