• Author / Uploaded
• Osvaldo Riquelme Flores

Citation preview

Proyecto red inalámbrica Integrantes: Francisco Escobar Osvaldo Riquelme Cristian Rojas

Implementación colegio con sistemas Mikrotik

Tabla de contenidos Resumen del proyecto..................................................................................... 2 Diagrama Lógico............................................................................................. 3 Diagrama Físico............................................................................................... 4 Equipos y Materiales........................................................................................ 4 Software de administración WinBox.................................................................6 Configuraciones equipos Mikrotik....................................................................7 Configuración GW1...................................................................................... 7 Reset por defecto e identificación del equipo...................................................7 Interfaces a configurar................................................................................. 7 Creación de DHCP Cliente...........................................................................9 Asignación IP........................................................................................... 10 Configuración DNS.................................................................................... 11 Servidores DHCP...................................................................................... 11 Servicio HotSpot....................................................................................... 12 Activación de NAT..................................................................................... 13 Configurar Seguridad................................................................................. 16 Configuración APs...................................................................................... 17 Reset por defecto e identificación del equipo.................................................17 Configuración interfaces.............................................................................18 Configuración WLAN.................................................................................19 Información técnica del proyecto....................................................................23 Direccionamiento IP.................................................................................... 23 Servidores DHCP........................................................................................ 23 VLANs....................................................................................................... 23 Información HotSpot................................................................................... 23 Información SSID........................................................................................ 24 Observaciones finales................................................................................... 25

1

Resumen del proyecto Comprende la implementación de la red inalámbrica en el establecimiento, mediante el uso de tecnología Mikrotik y Ubiquiti, las cuales permiten separar cada comunidad de usuarios (Alumnos, Administrativos y Docentes) protegiendo la integridad de los datos que se transmiten en la red y permitiendo una mejor gestión en lo que respecta a las páginas que acceden los usuarios y las velocidad de navegación. Según el estudio en terreno y cálculos de radioenlaces, se requerirán el uso de múltiples AP en modo roaming. Esta característica soluciona las desconexiones que se producen por el cambio de ubicación del equipo cliente y permite un balanceo en la carga de trabajo de los equipos. Junto a esto, los equipos contarán con soporte de banda doble y tecnología MIMO, optimizando la cobertura y velocidad de navegación. Debido a la distribución de las salas y espacios en el establecimiento, se requerirá de un enlace inalámbrico WDS para interconectar uno de los puntos más alejados. Esta es la mejor solución costo/rendimiento según los estudios realizados, ya que permite el envío de datos con el mínimo de intervención en la estructura Finalmente, en lo que respecta a la administración de red, se contara con el uso de tecnología tipo HotSpot para el ingreso de las redes de alumnos, controles de velocidad y limitaciones de velocidad para evitar un uso abusivo de la red.

2

Diagrama Lógico

3

Diagrama Físico

4

Equipos y Materiales Vaciar

RB3011UIAS-RM. 1 MIKROTIK 10-1000 1-SFP 1-USB LCD L5 1,4GHz-Dual 1GB 1U-Rack 10-30VDC Sin Stock.

$ 187.0 $-31.7 (17,0

RBCAP-2N. 3 MIKROTIK 2.4GHZ L4 2DBI CAPSMAN 1-100-POE/1256V 17DBM 50MW AR9331 100+ Unid.

$ 50.5 $-8.5 (17,0

PBE-M5-300. UBIQUITI 22DBI 5GHZ 300MM POWERBEAM NANOBRIDGE NB-5G22

$ 80.2 $-15.2 (19,0

5

1

100+ Unid.

RK06-4LD. LINKMADE RACK DESARMADO 45CM-FONDO 6U PARED INC-2U

1

10 Unid.

PP624B. 1 BRANDREX 1U UTP PATCHPANEL 24-RJ45 CAT6 CIRCIMPRESO C6CPNLU24012M 35+ Unid. CP6B-15L 10 LINKMADE 1,5MT CAT6 NARANJO LSZH CABLE PATCH INYECTADO MULTIFILAR 100+ Unid. TC-PRO. UBIQUITI F/UTP CABLE CAT5E 305MT 24AWG PEEXTERIOR UB-AM. UBIQUITI SOPORTE 50cm P/MURO EXTERIOR ABATIBLE

1

50+ Unid. 2

Sin Stock.

Observaciones: Valores más IVA. Forma de pago, transferencia bancaria. Se incluyen equipos para enlaces de equipos, y elemento para armado de rack de telecomunicaciones. Además de soporte para antenas y cableado diseñado para instalación de equipos en exterior Herramientas especiales necesarias: crimpeadora RJ45, ponchadora RJ45, deschaquetador de cable, atornilladores correspondientes y materiales ferretería.

6

$ 59.0 $-10.0 (17,0

$ 89.0 $-13.3 (15,0

$ 1.9 $-323 (17,0

$ 153.0 $-26.0 (17,0

$ 7.5 $-1.2 (17,0

Software de administración WinBox Es la principal herramienta de gestión de configuraciones en sistema RouterOS La podemos encontrar gratuitamente ingresando a la página oficial de mikrotik

Ejemplo de software Winbox

Permite ingresar mediante la dirección IP, en caso de tener configurada una o mediante la MAC en caso de estar el equipo sin IP configurada 7

Configuraciones equipos Mikrotik Configuración GW1 Reset por defecto e identificación del equipo El técnico debe cerciorarse de comenzar reseteando el equipo, para evitar cualquier configuración antigua que puede afectar el normal funcionamiento. Una vez concretado, debe identificar el equipo mediante un nombre, utilizando la opción IDENTITY ubicado en el menú SYSTEM Interfaces a configurar

Pantalla final de interfaces configuradas

Acorde a la topología expuesta con anterioridad, el equipo utilizado (951G) posee 5 puertos físicos, los cuales serán designados como siguen: N° Puerto Físico 1 2 3

Nombre asignado ether1_WAN ether2 ether3_PTP_WDS

4 5

ether4_AP1 ether5_AP2

8

Función Conexión a Internet SIN USO Conexión a AP WDS para enlace PTP Conexión a AP Multi SSID Conexión a AP Multi SSID

Adicional a esto, es necesario la creación de un bridge, el cual nos permitirá agrupar las interfaces comunes, a modo de switch, pero con funciones avanzadas. Al aparecer como una interfaz virtual, podemos asignarle VLANs, las cuales serán accesible desde cualquier interfaz que se encuentre agregada en el bridge.

Bridge creado (bridge_LAN) y puertos requeridos asociados

Finalmente, el técnico deberá crear las correspondientes VLANS, asignando como interfaz maestra “bridge_LAN”. De esta manera nos evitamos crear la misma VLAN repetidas veces por cada interfaz que maneje múltiples redes (Alumnos, Administración y Docentes)

VLAN ALUMNOS

VLAN ADMINISTRATIVOS

9

VLAN DOCENTES Creación de DHCP Cliente Con el fin de tener acceso a internet, el técnico deberá crear un DHCP Cliente para obtener la dirección IP. Esta se asignará a la interfaz WAN, quedando de la siguiente manera:

DHCP Cliente creado, la dirección IP mostrada es la otorgada al momento de crear este manual

10

Asignación IP El técnico deberá configurar las direcciones IP de la manera mostrada a continuación, tomando en cuenta las interfaces correspondientes

Direcciones IP. La letra “D” al comienzo, indica que la IP fue obtenida de manera automática

11

Configuración DNS Con el fin de poder resolver los nombres de páginas y servicios en internet a direcciones IP, es necesario habilitar la función de DNS en el router (Allow Remote Request) al mismo tiempo que se deberá indicar los servidores a los cuales se le enviará la consulta DNS. En este caso, utilizaremos los servidores de Google, los cuales son de libre acceso y alta estabilidad.

Servidores DHCP El técnico deberá crear 3 servidores DHCP, los cuales otorgarán IP de manera automática a las redes de Alumnos, Administrativos y Docentes. Cada servidor estará asignado a cada VLAN creada con anterioridad. Este diseño, nos permite separar los rangos de IP y el tráfico de cada una de estas redes pero manteniendo centralizadas las concesiones IP, creando una red escalable y de fácil administración. Los servidores serán creados mediante la opción “DHCP Setup”, utilizando los valores por defectos que entrega el router

12

Servicio HotSpot Debido a la necesidad de entregar un acceso controlado a los alumnos, se deberá implementar acceso mediante portal cautivo. De esta forma podemos controlar el ingreso mediante usuarios únicos, estableciendo límites de velocidad y tiempo de conexión. La configuración se realizará mediante la opción “Hotspot Setup” utilizando los valores por defectos entregados e indicando la interfaz VLAN correspondiente a la red de alumnos.

Luego de crear el hotspot, agregaremos un perfil de usuario nuevo tal como se detalla en la imagen. Le asignaremos sesiones máximas de 45min y límite de velocidad de 2mbit bajada / 256kbits subida

13

Debido a que actualmente no manejamos el listado total de usuarios a tener acceso o si se integrará con servidor RADIUS, crearemos un usuario de prueba para comprobar la función del perfil creado.

Activación de NAT

14

Finalmente el técnico deberá crear una regla en el Firewall, para enmascarar el tráfico de salía a internet desde nuestra red LAN. Esto es debido a que en las redes de internet no tienen conocimiento de la existencia de nuestra red interna, esto es al no estar comunicando nuestras redes mediante algún protocolo de enrutamiento. Para crear la regla se debe ir a IP > Firewall pestaña NAT y agregar regla (botón +)+ Es importante que al seleccionar la interfaz de salida, sea la que nos entrega la conexión a internet

15

16

Configurar Seguridad Con el fin de proteger el acceso a usuarios no autorizados en la red, se deberá cambiar la contraseña por defecto del sistema Mikrotik Para ello, la opción se ubica bajo el menú System > Password. La contraseña por defecto es admin y debe ser ingresada en la casilla “Old Password”

17

Configuración APs Motivos del diseño centralizado, las configuraciones de cada AP son similares ya que la única función de estos equipos es desencapsular las correspondientes VLANs y enlazarlas con cada SSID emitido.

Reset por defecto e identificación del equipo El técnico debe cerciorarse de comenzar reseteando el equipo, para evitar cualquier configuración antigua que puede afectar el normal funcionamiento. Una vez concretado, debe identificar el equipo mediante un nombre, utilizando la opción IDENTITY ubicado en el menú SYSTEM

18

Configuración interfaces El técnico requerirá de un solo puerto en cada AP, el cual tendrá por fin recibir todas las redes encapsuladas. Esta interfaz se unirá mediante un bridge a todos los Virtual AP, que entregaran el tráfico ya etiquetado con su respectiva VLAN. “bridge_wlans” tendrá asignado como puertos todos los VirtualAP creados, además del puerto ether1 en el AP

19

Configuración WLAN Antes de crear cada una de las redes inalámbricas planeadas, el técnico deberá crear los diferentes perfiles de seguridad que correspondes con las claves que ingresaran los usuarios al conectarse la red. El tipo de seguridad elegida es WPA2- AES la cual brinda alta seguridad y hasta el día de hoy solo puede ser corrompida mediante a taques de fuerza bruta. Para ingresar cada uno de los perfiles, se deberá ingresar a la opción Wireless > Security Profiles, creando un nuevo registro con clave en modo dinámico (Dynamic Keys)

20

Configuración SSID: WIFI_ALUMNOS Se indica la vlan a la cual se asignará su tráfico para la posterior administración

21

Configuración SSID: WIFI_ADMIN (administrativos) Se indica la vlan a la cual se asignará su tráfico para la posterior administración

22

Configuración SSID: WIFI_DOCENTES (docentes) Se indica la vlan a la cual se asignará su tráfico para la posterior administración

23

Información técnica del proyecto Direccionamiento IP RED ALUMNOS ADMINISTRATIVOS DOCENTES

IP GATEWAY 10.0.10.1 10.0.20.1 10.0.30.1

RANGO DHCP 10.0.10.10-10.0.10.254 10.0.20.10-10.0.20.254 10.0.30.10-10.0.30.254

Servidores DHCP RED ALUMNOS ADMINISTRATIVOS DOCENTES

INTERFAZ VLAN10_ALUMNO S VLAN20_ALUMNO S VLAN30_ALUMNO S

TIEMPO LEASE 2 HORAS 7 DIAS 7 DIAS

VLANs RED ALUMNOS ADMINISTRATIVOS DOCENTES

VLAN ID 10 20 30

NOMBRE INTERFAZ VLAN10_ALUMNOS VLAN20_ADMINISTRATIVOS VLAN30_DOCENTES

RED 10.0.10.0/24

LIMITES 256K Bajada / 2M Subida Max 45 MIN.

Información HotSpot HOTSPOT ALUMNOS

HOTSPOT ALUMNOS

USUARIO alumno

PASSWORD 1234

24

Perfil alumnos2M

Información SSID SSID RED_ALUMNOS RED_ADMIN RED_DOCENTES SSID RED_ALUMNOS RED_ADMIN RED_DOCENTE S

VLAN TAG 10 20 30

INTERFAZ MAESTRA Wlan1 Wlan1 Wlan1

TIPO DE SEGURIDAD OPEN HOTSPOT WPA2-AES WPA2-AES

25

CONTRASEÑA administrativos2016 docentes2016

Observaciones finales La red tiene un diseño de tipo estrella, siendo el punto principal el router GW1, en caso de necesidad de ampliar el número de AP, con el fin de mejorar la cobertura y cantidad de equipos conectados, se puede agregar un switch a la salida del GW1 ampliando los puertos disponibles para nuevos equipos. Mikrotik incluye la posibilidad de activar CAPsMAN, esto es un nuevo sistema centralizado para manejo de múltiples AP (decenas a cientos) de manera automática y centralizada, evitando el acceder equipo por equipo para modificar configuraciones. Debido a la complejidad de este protocolo propietario y la baja densidad del proyecto actual, no se tuvo como opción implementarlo, pero es un protocolo a tener en cuenta en otros escenarios Se puede mejorar la velocidad de acceso modificando el tipo de AP cotizado, a uno de tecnología doble banda AC. Habilitando el uso de señal en 5Ghz en la parte del cliente (disponible en equipos tope de gama tipo Samsung S7 y Iphone 6s y otros). Debido a el costo mayor (3 veces el costo por AP actualmente cotizado) no se tuvo como opción debido a la finalidad de conectar una densidad media de usuarios. Para una mejor gestión de usuarios, se recomienda complementar el sistema hotspot con un servidor RADIUS que maneje los RUT o algún dato identificador. De esta maneja se puede manejar una gran cantidad de usuarios y evitar ingresar manual mente cada uno de los usuarios. Mikrotik es altamente compatible con este sistema. Se puede encontrar mayor información directamente en la Wiki de RouterOS.

26