TFG Palomar Sánchez-Casas

Agradecimientos
En primer lugar, agradecer a mis padres la

posibilidad de haber estudiado y animado a
finalizar esta carrera junto con mi querido
Isaac, sin ellos no hubiera sido posible.
A mis amigos y mis compañeros de clase y

de trabajo.
A mis tutores en este TFG José Antonio

Ballesteros y Juan José de Dios, por toda su
dedicación y ayuda.
RESUMEN
Este proyecto consiste en la configuración lógica de la red del Instituto de
Tecnologías, Edificación y Telecomunicaciones.
Para llevar a cabo esta configuración, se ha utilizado el software Packet Tracer,

propietario de Cisco, que ha permitido simular todos los dispositivos hardware
necesarios para la implementación de la red.
Este TFG tiene como base el proyecto Diseño de la red cableada, inalámbrica y de VoIP
para el “Instituto de la Edificación en el campus universitario de Cuenca”, realizado por
Francisco Miguel Martínez Alarcón. Del diseño establecido en dicho documento, se
han realizado algunas modificaciones con el fin de cubrir y mejorar las demandas de la
red a diseñar.
La LAN de este instituto, es una red convergente multiacceso, en la que se va a

transmitir tráfico de voz y datos simultáneamente. Para ello, es necesario crear
diferentes VLANS o redes de área local virtuales, permitiendo dividir el tráfico de la red
según su funcionalidad: tráfico de datos propio de la red, VoIP, servicios comunes,
administración y WLANs de personal e invitados.
Lógicamente, la configuración permitirá conexión inalámbrica, además de red

cableada, adaptándose a las grandes tendencias actuales, como son las políticas BYOD
(Bring Your Own Device) y el IoT (Internet of Things).
La red contará con direccionamiento estático y dinámico (mediante la configuración

del router como servidor DHCP), asignados según el tipo de dispositivo. Por otro lado,
con el fin de evitar el uso innecesario de direcciones IP públicas, se ha configurado
NAT.
Por último, con el fin de garantizar la confidencialidad, integridad y disponibilidad de

los datos transmitidos, se ha dotado a la red con los siguientes mecanismos de
seguridad: zona DMZ (Desmilitarized Zone), firewall implementado mediante software,
protocolo AAA, mecanismos de seguridad WPA y WPA2 para las redes inalámbricas y
contraseñas de acceso encriptadas en los dispositivos hardware intermedios.
ABSTRACT
This project is based on logic configuration network of the Institute of
Technologies, Building and Telecommunications, located in Cuenca.
To carry out these configurations it has been used Packet Tracer software (property of
Cisco) that has allowed simulate all hardware devices necessaries for network
implementation.
This TFG is based on the project Diseño de la red cableada, inalámbrica y de VoIP
project of “Instituto de la Edificación en el campus Universitario de Cuenca”, performed
by, Francisco Miguel Martínez Alarcón. It has performed some modifications to cover
new demands of the previous network design.
The LAN network of this building is a multiaccess and convergent configuration. In this
network is going to transmit voice and data traffic simultaneously. For this, it is
necessary create different VLANs or virtual local area networks, allowing separate
traffic network according their functionality: data traffic network, VoIP, common
services, administration and personal guest WLANs.
Logically, network configuration will allow wireless connection in addition cable

network adjusting to current trends like BYOD (Bring Your Own Device) politics and IoT
(Internet of Things).
The network will have static and dynamic addressing (by configuring the router as a
DHCP server), assigned according to the type of device. On the other hand, NAT has
been configured in order to avoid the unnecessary use of public IP addresses.
Finally, in order to guarantee the confidentiality, integrity and availability of the

transmitted data, the network has been equipped with the following security
mechanisms: DMZ zone (Demilitarized Zone), firewall configured by software, AAA
protocol, security mechanisms WPA and WPA2 for wireless networks and encrypted
access passwords in intermediate hardware devices.
INDICE GENERAL
INDICE DE FIGURAS .............................................................................................................. 10
INDICE DE TABLAS ................................................................................................................ 12
I. MEMORIA ..................................................................................................................... 14
CAPÍTULO 1: INTRODUCCIÓN AL TFG ....15
1. MOTIVACIÓN ............................................................................................................... 16
2. OBJETIVOS ................................................................................................................... 16
3. ESTRUCTURA DE LA MEMORIA ................................................................................... 18
CAPÍTULO 2: BASE TEÓRICA .....................................................19
1. INTRODUCCIÓN A LAS REDES DE COMUNICACIONES ................................................. 20
2. ELEMENTOS PRINCIPALES DE UN SISTEMA DE COMUNICACIONES ............................ 21
3. TCP/IP Y OSI ................................................................................................................. 22
3.1. Modelo de Protocolo TCP/IP ............................................................................... 22
3.2. Modelo de Referencia OSI................................................................................... 23
3.3. Encapsulación y Segmentación ........................................................................... 24
4. CAPA DE ACCESO A LA RED ......................................................................................... 26
4.1. Capa Física ........................................................................................................... 26
4.2. Capa de Enlace de Datos ..................................................................................... 26
4.2.1. Ethernet – IEEE 802.3 .................................................................................. 28
4.2.2. Direcciones MAC ......................................................................................... 29
4.2.3. WLAN – IEEE 802.11 .................................................................................... 31
4.2.3.1. Componentes y arquitectura WLAN ....................................................... 33
4.2.3.2. Proceso WLAN ......................................................................................... 35
4.2.3.3. Seguridad WLAN...................................................................................... 36
4.2.3.4. Comparación entre tecnologías WLAN y Ethernet ................................. 37
4.2.4. VLAN (Virtual LAN Access Network) ............................................................ 39
4.2.5. Tráfico intra-VLAN ....................................................................................... 39
4.3. Protocolo ARP...................................................................................................... 40
5. CAPA DE RED ............................................................................................................... 41
5.1. Direccionamiento IP ............................................................................................ 42
5.1.1. Protocolo de Internet Versión 4 (IPv4)........................................................ 43
5.1.2. Direccionamiento Estático y Dinámico........................................................ 45
5.1.3. Protocolo DHCP (Dynamic Host Configuration Protocol) ............................ 47
5.1.4. Evolución de IPv4 ........................................................................................ 48
5.1.5. Protocolo de Internet Versión 6 (IPv6)........................................................ 49
5.1.6. Protocolo ICMP (Internet Control Message Protocol) ................................ 50
5.2. Enrutamiento ...................................................................................................... 50
5.3. Router-on-a-stick................................................................................................. 52
5.4. VoIP (Voice over Internet Protocol) ..................................................................... 52
6. CAPA DE TRANSPORTE ................................................................................................ 53
6.1. Protocolo de Control de Transmisión (TCP) ........................................................ 54
6.2. Protocolo de Datagramas de Usuario (UDP) ....................................................... 57
7. CAPA DE APLICACIÓN .................................................................................................. 58
7.1. Protocolos Principales de la Capa de Aplicación ................................................. 59
7.1.1. Protocolo HTTP (Hypertext Transfer Protocol) ........................................... 59
7.1.2. Protocolos del Servicio de Correo Electrónico ............................................ 60
7.1.3. Protocolo DNS (Domain Name System) ...................................................... 61
7.1.4. Protocolos FTP (File Transfer Protocol) y TFTP (Trivial File Transfer Protocol)
63
7.1.5. Protocolo TELNET (Telecommunication Network) Y SSH (Secure Shell) ..... 63
8. MECANISMOS DE SEGURIDAD EN REDES DE COMUNICACIÓN .................................. 64
8.1. Protocolo AAA ..................................................................................................... 65
8.2. Firewall ................................................................................................................ 66
CAPÍTULO 3: DISTRIBUCIÓN FÍSICA DE LA RED LAN .68
1. DISTRIBUCIÓN DEL EDIFICIO Y DIMENSIONAMIENTO DE LA RED ............................... 69
2. RED CABLEADA. ARQUITECTURA DE RED Y SUBSISTEMAS ......................................... 82
3. WLAN........................................................................................................................... 83
CAPÍTULO 4: CONFIGURACIÓN LÓGICA DE LA RED LAN ....85
1. DIRECCIONAMIENTO DE LA RED ................................................................................. 86
1.1. Tamaño de la red y Dispositivos Totales ............................................................. 86
1.2. División en subredes ........................................................................................... 88
1.3. Esquema de Direccionamiento ........................................................................... 92
1.4. Diagrama de la Topología .................................................................................... 93
1.5. Tabla de Direccionamiento ................................................................................. 97
2. CONECTIVIDAD FÍSICA ................................................................................................. 99
3. CONFIGURACIÓN INICIAL DE DISPOSITIVOS ............................................................. 104
3.1. Configuración inicial de Routers........................................................................ 105
3.2. Configuración inicial de Switches ...................................................................... 106
3.3. Configuración inicial de Servidores ................................................................... 107
4. CONFIGURACIÓN DE VLANS ...................................................................................... 110
4.1. VLANs implementadas en la red LAN. ............................................................... 111
4.2. Tráfico IntraVLAN .............................................................................................. 113
5. CONFIGURACIÓN DE ENRUTAMIENTO. .................................................................... 113
5.1. Router-on-a-stick............................................................................................... 113
5.2. Enrutamiento estático y dinámico. ................................................................... 114
5.2.1. Ruta estática resumida .............................................................................. 114
5.2.2. Ruta estática predeterminada................................................................... 115
6. Configuración del protocolo DHCP............................................................................ 116
6.1.1. Conficuración del servicio DHCP en el router ........................................... 118
7. CONFIGURACIÓN VOIP. ............................................................................................. 119
8. Configuración NAT. ................................................................................................... 125
9. WLAN......................................................................................................................... 128
10. PROTOCOLO AAA .................................................................................................. 140
11. CONFIGURACIÓN DEL FIREWALL ........................................................................... 143
CAPÍTULO 5: CONCLUSIONES Y LÍNEAS FUTURAS 155
1. CONCLUSIONES ......................................................................................................... 156
2. LÍNEAS FUTURAS ....................................................................................................... 158
BIBLIOGRAFÍA ..................................................................................................................... 159
II. PLANOS ....................................................................................................................... 160
III. PLIEGO DE CONDICIONES ........................................................................................... 177
1. Realización del TFG: .................................................................................................. 178
2. Equipamiento del instituto:....................................................................................... 182
IV. PRESUPUESTO ............................................................................................................. 205
ANEXO................................................................................................................................ 208
INDICE DE FIGURAS
Figura 1. 1 Disposición de protocolos en capas según el modelo TCP/IP. Fuente: Libro Seguridad por Niveles.
......................................................................................................................................................................... 22
Figura 1. 2 Comparación de los modelos OSI y TCP/IP. Fuente: Cisco Networking Academy. ......................... 23
Figura 1. 3 Procesos de Encapsulación y Segmentación. Fuente: Cisco Networking Academy. ...................... 25
Figura 1. 4 Subcapas de la capa de enlace de datos. Fuente: Cisco Networking Academy. ............................ 26
Figura 1. 5 Estructura capas Ethernet. Fuente: Cisco Networking Academy. .................................................. 29
Figura 1. 6 Estructura de la dirección MAC Ethernet. Fuente: Cisco Networking Academy. ........................... 30
Figura 1. 7 Mecanismo CSMA/CA en redes WLAN. Fuente: Cisco Networking Academy. ............................... 32
Figura 1. 8 Resumen del conjunto de servicios extendidos. Fuente: Cisco Networking Academy. .................. 33
Figura 1. 9 Ejemplo de Clúster de AP en WLAN. Fuente: Cisco Networking Academy. ................................... 34
Figura 1. 10 Generación de paquetes IP. Fuente: Cisco Networking Academy. .............................................. 42
Figura 1. 11 Dirección IPv4, Dirección de Red y Máscara Subred. ................................................................... 43
Figura 1. 12 Proceso DHCP. Fuente: Cisco Networking Academy. ................................................................... 47
Figura 1. 13 Protocolo de enlace de tres vías. Fuente: Cisco Networking Academy. ....................................... 55
Figura 1. 14 Servicios de red. Fuente: Cisco Networking Academy. ................................................................ 59
Figura 1. 15 Proceso de envío y recepción de correo electrónico. Fuente: Cisco Networking Academy. ......... 60
Figura 1. 16 Jerarquía de servidores DNS. Fuente: Cisco Networking Academy. ............................................. 62
Figura 2. 1 Ubicación y plano general del edificio. Fuente: TFG Diseño de la red cableada, inalámbrica y de
VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”. ........................................... 69
Figura 2. 2 Distribución de la planta principal y sótano del edificio. Fuente: TFG Diseño de la red cableada,
inalámbrica y de VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”. ................ 70
Figura 2. 3 Distribución APs Zona 1: LACAE, calidad en la edificación. ........................................................... 71
Figura 2. 4 Distribución de APs Zona 2: RECURSOS DE RED ZONA 2: seminarios, descanso y trabajo común. 73
Figura 2. 5 Distribución de APs Zona 3: Laboratorio de la construcción. ........................................................ 75
Figura 2. 6 Distribución APs Zona 4: Accesos. ................................................................................................. 76
Figura 2. 7 Distribución de APs Zona 5: ZONA 5: LAMARE, medidas acústicas. .............................................. 78
Figura 2. 8 Distribución de APs Zona 6: Radiofrecuencia, sala de arquitectura y domótica. .......................... 80
Figura 2. 9 Distribución del Edificio. ................................................................................................................ 81
Figura 2. 10 Mapa de calor red de cobertura inalámbrica. Fuente: Diseño de la red cableada, inalámbrica y
de VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”. ...................................... 84
Figura 3. 1 Topología de la red LAN. ............................................................................................................... 94

Figura 3. 2 Topología del subsistema de cableado troncal del edificio. ......................................................... 95
Figura 3. 3 Topología del subsistema de cableado de planta. Repartidor ESTE. ............................................ 96
Figura 3. 4 Topología del subsistema de cableado de planta. Repartidor OESTE. .......................................... 96
Figura 3. 5 Conexión con ISP. Red ISP. ............................................................................................................. 97
Figura 3. 6 Configuración servicios servidor web. ......................................................................................... 108
Figura 3. 7 Aspecto página web de la red del instituto. ............................................................................... 108
Figura 3. 8 Configuración de servicios en el servidor FTP. ............................................................................ 109
Figura 3. 9 Configuración de servicios en el servidor de correo electrónico. ................................................ 109
Figura 3. 10 Configuración de servicios en el servidor DNS. ......................................................................... 110
Figura 3. 11 Conexión mediante enlace serial al ISP. ................................................................................... 115
Figura 3. 12 Métodos de configuración DHCP. .............................................................................................. 117
Figura 3. 13 Ejemplo de configuración del servidor DHCP. ........................................................................... 117
10
Figura 3. 14 Teléfono IP con servidor DHCP externo. No obtiene dirección IP. ............................................. 118
Figura 3. 15 Estructura física y lógica VoIP. ................................................................................................... 120
Figura 3. 16 Teléfono IP Cisco. Switch integrado de tres puertos. Fuente: Cisco Networking Academy. ..... 120
Figura 3. 17 Teléfono IP con dirección IP asignada mediante DHCP. ........................................................... 123
Figura 3. 18 Ejemplo funcionamiento teléfonos IP (1). ................................................................................. 123
Figura 3. 19 Ejemplo funcionamiento teléfonos IP (2). ................................................................................. 124
Figura 3. 20 Envío de mensajes ping entre PC2_ESTE y PC2_OESTE. ............................................................ 124
Figura 3. 21 Ejemplo de funcionamiento NAT en la red (1). ......................................................................... 126
Figura 3. 22 Ejemplo WLAN con WLC. .......................................................................................................... 129
Figura 3. 23 Acceso a la configuración WLC. ................................................................................................ 130
Figura 3. 24 Configuración general WLC. ..................................................................................................... 130
Figura 3. 25 Configuración de la red inalámbrica de empleados en el servidor WLC. .................................. 131
Figura 3. 26 Configuración de red inalámbrica de invitados mediante WLC. .............................................. 131
Figura 3. 27 WLAN con routers inalámbricos (ESTE). ................................................................................... 132
Figura 3. 28 WLAN con APS (ESTE). .............................................................................................................. 133
Figura 3. 29 Configuración interface internet del router inalámbrico de la red de invitados (ESTE). ........... 134
Figura 3. 30 Configuración interface LAN de routers inalámbricos. ............................................................. 134
Figura 3. 31 Mecanismo de seguridad red de invitados. .............................................................................. 136
Figura 3. 32 Mecanismo de seguridad red de personal (1)........................................................................... 136
Figura 3. 33 Mecanismo de seguridad red de personal (2)........................................................................... 136
Figura 3. 34 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (I). .................................... 137
Figura 3. 35 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (II). ................................... 137
Figura 3. 36 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (III). .................................. 137
Figura 3. 37 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (I)................................... 138
Figura 3. 38 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (II).................................. 138
Figura 3. 39 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (III)................................. 139
Figura 3. 40 Wireless MAC filter. .................................................................................................................. 139
Figura 3. 41 Configuración servidor RADIUS (1). .......................................................................................... 140
Figura 3. 42 Configuración servidor RADIUS (2). .......................................................................................... 141
Figura 3. 43 Listado de clientes servidor RADIUS.......................................................................................... 141
Figura 3. 44 Usuarios y contraseñas registrados en el servidor RADIUS. ..................................................... 142
Figura 3. 45 Ejemplo de acceso a un dispositivo router con el protocolo AAA configurado. ........................ 143
Figura 3. 46 Esquema modelo firewall de tres vías. ..................................................................................... 144
Figura 3. 47 Zona DMZ. ................................................................................................................................ 144
Figura 3. 48 Ejemplo de pruebas de conexión entre VLANs con firewall (I). ................................................. 153
Figura 3. 49 Ejemplo de pruebas de conexión entre VLANs con firewall (II). ................................................ 154
Figura 3. 50 Ejemplo de pruebas de conexión entre VLANs con firewall (III). ............................................... 154
Figura 4. 1 Thinkpad X1 Carbon (5ª GENERACIÓN). ...................................................................................... 178

Figura 4. 2 Packet Tracer, Cisco Networking Academy (version 7.1.1). ......................................................... 181
Figura 4. 3 Cisco 4431 Integrated Services Router. ....................................................................................... 182
Figura 4. 4 Cisco Catalyst 3650-48FQM-S Switch. ......................................................................................... 185
Figura 4. 5 Cisco Catalyst 2960X-48FPD-L Switch. ......................................................................................... 189
Figura 4. 6 Cisco Catalyst 2960X-24PD-L Switch............................................................................................ 190
Figura 4. 7 Cisco ASA 5508-X w/ FirePOWER Services. .................................................................................. 191
Figura 4. 8 Cisco 3504 Wireless Controller. ................................................................................................... 195
Figura 4. 9 AIR-AP2802I-x-K9: Dual-band, controller-based 802.11a/g/n/ac. .............................................. 197
Figura 4. 10 Cisco IP Phone 8865. .................................................................................................................. 203
Figura 4. 11 Cisco UCS C240 M4 Rack Server. ............................................................................................... 204
11
INDICE DE TABLAS
Tabla 1. 1 Mecanismos de Seguridad WLAN. .................................................................................................. 37
Tabla 1. 2 Comparativa tecnologías WLAN y Ethernet.................................................................................... 38
Tabla 1. 3 Rango de direcciones IPv4 privadas. ............................................................................................... 45
Tabla 1. 4 Comparación de direccionamiento estático y dinámico. ................................................................ 46
Tabla 2. 1 Recursos de red Zona 1: LACAE, calidad en la edificación.............................................................. 72

Tabla 2. 2 Recursos de red Zona 2: seminarios, descanso y trabajo común. ................................................... 74
Tabla 2. 3 Recursos de red Zona 3: Laboratorio de la construcción. ............................................................... 75
Tabla 2. 4 Recursos de red Zona 4: Accesos. ................................................................................................... 77
Tabla 2. 5 Recursos de red zona 5: LAMARE, medidas acústicas. ................................................................... 78
Tabla 2. 6 Recursos de red Zona 6: Radiofrecuencia, sala de arquitectura y domótica. ................................. 80
Tabla 2. 7 Recursos de red totales. .................................................................................................................. 81
Tabla 3. 1 Cálculo del número de direcciones que debe albergar la red LAN. Dimensionamiento de la red. .. 87
Tabla 3. 2 Definición de las diferentes VLANs de la red. .................................................................................. 89
Tabla 3. 3 Tomas repartidores ESTE y OESTE según VLANs. ............................................................................ 90
Tabla 3. 4 Direccionamiento de la red con VLANs. .......................................................................................... 91
Tabla 3. 5 Direccionamiento final de la red. .................................................................................................... 98
Tabla 3. 6 Tabla de direccionamiento inicial básico. ..................................................................................... 103
Tabla 3. 7 Servidores y servicios. ................................................................................................................... 107
Tabla 3. 8 Direcciones IP de servidores. ......................................................................................................... 107
Tabla 3. 9 Subinterfaces del router, dirección IP y VLAN. .............................................................................. 114
Tabla 3. 10 Ejemplo de funcionamiento NAT en la red (2). ........................................................................... 127
Tabla 3. 11 Direcciones públicas de los servidores de la DMZ. ...................................................................... 128
Tabla 3. 12 Rango de direcciones asignadas a dispositivos inalámbricos. .................................................... 135
Tabla 3. 13 Reglas de tráfico entre las zonas outside, inside y DMZ. ............................................................ 145
Tabla 3. 14 Reglas de tráfico entre VLAN10 y el resto de VLANS. ................................................................. 148
12
13
I. MEMORIA
14
CAPÍTULO 1:
INTRODUCCIÓN
AL TFG
15
1. MOTIVACIÓN
La sociedad actual está sufriendo cambios sociopolíticos que nos están
aproximando a la era de la Digitalización. Esto está provocando que los sistemas TIC de
comunicación estén evolucionando continuamente, permitiendo tiempos de acceso y
respuesta instantáneos.
Con la eminente llegada de la digitalización, se hace imposible pensar en cualquier

empresa o institución pública que no cuente con una red de comunicaciones.
Por otro lado, el haber cursado a lo largo del grado de Tecnologías de Telecomunicación
asignaturas como Redes de Comunicaciones I, Redes de Comunicaciones II y Seguridad
en las comunicaciones, así como el haber realizado el curso de Experto en Redes de
Comunicaciones CCNAv5, el curso de Sistemas de Cableado de Telecomunicaciones R&M
y disfrutado de la beca de formación concedida por la UCLM en esta última empresa, me
ha permitido afianzar la suficiente base teórico-práctica para poder realizar el Trabajo Fin
de Grado sobre la configuración lógica de una red, en este caso, una LAN perteneciente al
Instituto de Tecnologías, Edificación y Telecomunicaciones.
2. OBJETIVOS
El objetivo de este Trabajo Fin de Grado es dotar al Instituto de Tecnologías,
Edificación y Telecomunicaciones, de una red que satisfaga las necesidades de los
usuarios, manteniendo siempre una visión de crecimiento futuro.
Para ello, se ha diseñado una red convergente y multiacceso, que permita transmitir
diferentes tipos de tráfico por la misma red, así como dotar a la red de conexión cableada
e inalámbrica, permitiendo la movilidad de dispositivos inalámbricos.
Nuestra red presentará una alta flexibilidad, disponibilidad, confiabilidad, escalabilidad y

compatibilidad, garantizando siempre la seguridad de la información.
16
Para satisfacer todo lo mencionado anteriormente, se han considerado los siguientes
objetivos secundarios:
- VLANs (Virtual Local Area Network), que nos permitirán dividir la red en subredes
según su funcionalidad, disminuyendo de este modo los dominios de difusión y
mejorando el rendimiento de la red.
- DHCP (Dynamic Host Configuration Protocol), que permitirá la asignación de
direcciones IP de manera dinámica, disminuyendo la carga administrativa.
- NAT (Network Address Translation), que permitirá la optimización de direcciones
IPv4. Para la comunicación entre los dispositivos dentro de la red LAN, se utilizarán
direcciones IP privadas. El uso de direcciones IP públicas solo será necesario para
permitir la conexión a internet.
- Enrutamiento estático, para establecer la ruta hacia el resto red de la UCLM y una
ruta estática predeterminada, que se utilizará para simular la conexión con
internet.
Por último, para garantizar que nuestra red cuente con las condiciones de seguridad
necesarias, se ha configurado:
- Zona DMZ (Desmilitarized Zone), que nos permitirá implementar diferentes niveles
de seguridad dentro de la red del edificio: se aplicarán políticas más restrictivas a
todos los dispositivos ubicados dentro la red interna o zona inside, y unas políticas
menos restrictivas en los dispositivos que requieren ser accesibles desde el
exterior, ubicados en la zona DMZ.
- Firewall implementado mediante software. Para ello se ha utilizado ACL (Access
Control List). De este modo se definirán una serie de reglas o políticas, que
denegarán o permitirán el tráfico entrante o saliente de la red, con el fin de
aumentar la seguridad de los dispositivos y datos transmitidos en esta.
- Protocolo AAA (Authentication, Authorization and Accounting). Para
implementarlo se ha utilizado un servidor dedicado RADIUS (Remote
Authentication Dial-In User Service). De este modo conseguiremos autenticar a los
clientes y usuarios que se conectarán a través de la red WLAN de personal y, por
otro lado, estableceremos un usuario y contraseña que podrá acceder al router,
así como el nivel de autorización de este.
17
- Protocolos WPA2 Enterprise y WPA2 Personal para las redes inalámbricas de
personal e invitados, respectivamente. De este modo, conseguiremos restringir el
acceso a las redes WLAN solo a personal autorizado.
- Por último, hemos creado contraseñas de acceso encriptadas en los dispositivos
hardware intermedios, para evitar que puedan ser robadas e interpretadas por
usuarios malintencionados, y consigan acceder a la configuración de estos
dispositivos.
Por último, a modo personal, este TFG me ha ayudado a afianzar los conocimientos
adquiridos a lo largo de la carrera sobre redes y seguridad informática, así como lo
aprendido en los cursos CCNAv5 y Sistemas de Cableado de Telecomunicaciones R&M,
adentrándome en uno de los campos de telecomunicaciones que considero más
interesantes.
3. ESTRUCTURA DE LA MEMORIA
Para comenzar la memoria, en el capítulo 2, se incluye un resumen sobre la base teórica
en la que está basado este TFG. Seguidamente, en el capítulo 3, tendrá lugar una
explicación de las características y requerimientos particulares de la red LAN que vamos a
configurar. El capítulo 4, recogerá el análisis detallado de los pasos seguidos para la
configuración lógica y de seguridad de la red LAN en la que se centra este trabajo. Por
último, se incluirán las conclusiones obtenidas tras la realización de este TFG, así como las
posibles líneas futuras, en el capítulo 5.
18
CAPÍTULO 2:
BASE TEÓRICA
19
1. INTRODUCCIÓN A LAS REDES DE
COMUNICACIONES
La primera red de comunicaciones, denominada ARPAnet, fue diseñada en 1969 por el
departamento de defensa de EEUU, utilizándose en laboratorios y universidades de
investigación durante la Guerra Fría. Esta red consistía en un grupo de PCs conectados
mediante un cable telefónico.
Con el paso de los años ARPAnet fue quedándose obsoleta, lo que impulsó que en 1983
se creara el protocolo TCP/IP, el cual se sigue adoptando en la actualidad como un
estándar dentro de las redes informáticas.
En 1991 se creó la primera World Wide Web, de la mano de Tim Berners-Lee. Este fue un
paso fundamental para el crecimiento de las redes. Dos años después, en 1993, Marc
Andreessen desarrollaba el primer Explorador Web.
La continua evolución de las redes TCP/IP hizo que el protocolo de direccionamiento IPv4
pronto se quedara corto en cuanto al número de direcciones IPv4 ofrecidas, por lo que en
1999 se creó el protocolo IPv6.
En cuanto a las últimas décadas, se puede decir que las redes de comunicaciones se han
visto caracterizadas por una tendencia a las redes convergentes, es decir, redes que
puedan transmitir datos, voz y video de manera conjunta, por una misma red. A esto
habría que sumar la tendencia Bring Your Own Device (BYOD).
Por último, la tendencia actual de cara a los próximos años es el Internet of Things (IoT) o
dicho de otra manera, cualquier dispositivo de uso doméstico estaría conectado a
Internet. De este modo dispositivos como automóviles, electrodomésticos o dispositivos
biomédicos estarían interconectados, surgiendo la necesidad del direccionamiento IPv6.
20
2. ELEMENTOS PRINCIPALES DE UN SISTEMA
DE COMUNICACIONES
Cualquier red de comunicación está formada por tres elementos principales: emisor,
receptor y canal de comunicaciones. El primer elemento, el emisor, es el origen de los
datos. El receptor, es el dispositivo que recibe los datos emitidos por el emisor. Como
tercer elemento se encuentra el canal, es decir, el medio físico por el cual viajan los datos
desde el emisor al receptor.
Como emisores y receptores de cada comunicación se encuentran los dispositivos finales

de nuestra red, los cuales estarán conectados físicamente gracias a los dispositivos
intermediarios y los medios. Sin embargo, esta configuración física no es suficiente. Para
que exista comunicación debe existir un conjunto de reglas y protocolos que establezcan
cómo comunicarse los dispositivos. Esto es lo que se denomina configuración lógica.
Los protocolos deben estar interrelacionados para que la comunicación se lleve a cabo. Al
conjunto de protocolos que trabaja de manera conjunta se le denomina Suite de
Protocolos. Dentro de una suite de protocolos, estos se disponen en capas, de modo que
cada servicio de nivel o capa superior depende de la funcionalidad definida por los
protocolos de niveles inferiores. Esta disposición en capas constituye el denominado
Stack de Protocolos. Como ejemplos de protocolos en cada una de las capas tenemos:
o Protocolo HTTP, en la capa de Aplicación.
o Protocolo TCP, en la capa de Transporte.
o Protocolo IP, en la capa de Red.
o Protocolo Ethernet, en la capa de Acceso a la Red.
Existen compañías dedicadas a la estandarización de protocolos para establecer unas

reglas comunes, asegurando que productos de diferentes fabricantes puedan interoperar
correctamente. Como fuente de información acerca de los protocolos de comunicaciones
se encuentran las Normas RFC.
21
3. TCP/IP Y OSI
Existen modelos que recogen la manera de comunicarse de las diferentes capas del stack
de protocolos, así como los diferentes protocolos y servicios existentes en cada capa. Los
principales modelos, comúnmente conocidos, son: Modelo de Protocolo TCP/IP y Modelo
de Referencia OSI.
3.1. Modelo de Protocolo TCP/IP

Por un lado, el modelo TCP/IP describe los protocolos dentro de una suite TCP/IP. Este,
se centra en los protocolos que van de la de capa de red a la capa de aplicación, dejando
los protocolos de capas inferiores sin especificar. Por este motivo, los protocolos de capas
inferiores, responsables de reenviar el paquete IP por el medio físico, son desarrollados
por otros mecanismos de estandarización, como IEEE.
TCP/IP define 4 categorías o capas en las que se divide un proceso de comunicación:

1. Acceso a la Red
2. Internet
3. Transporte
4. Aplicación
Figura 1. 1 Disposición de protocolos en capas según el modelo TCP/IP. Fuente: Libro Seguridad por Niveles.
22
3.2. Modelo de Referencia OSI
Por otro lado, el modelo de referencia OSI recoge las funciones y servicios de cada capa y
la manera en la que interacciona cada capa con las superiores. Para ello, hace la división
de dichos servicios y funciones en 7 capas o niveles. Si las enumeramos desde la capa de
nivel inferior, a la capa de nivel superior serían:
1. Capa Física
2. Capa de Enlace de Datos
3. Capa de Red
4. Capa de Transporte
5. Capa de Sesión
6. Capa de Presentación
7. Capa de Aplicación
Figura 1. 2 Comparación de los modelos OSI y TCP/IP. Fuente: Cisco Networking Academy.
En la Figura 1.2, se pueden apreciar las diferencias entre ambos modelos. Si empezamos
por las capas más altas, la primera diferencia la encontramos en la capa de aplicación.
El modelo OSI divide dicha capa del modelo TCP/IP en tres: capa de aplicación (7), capa de
presentación (6) y capa de sesión (5).
23
La siguiente diferencia la encontramos la capa de acceso a la red. TCP/IP no especifica
qué protocolos utilizar cuando se transmite por un medio físico; por el contrario, OSI
cuenta con las capas física (1) y de enlace de datos (2), las cuales especifican los
procedimientos para acceder a los medios y las maneras físicas de enviar datos a través
de una red.
Como similitud nos encontramos las capas centrales, es decir, la capa 4 o capa de
transporte, y la capa 5 o capa de red/Internet.
Las funcionalidades de cada una de las capas del modelo TCP/IP las veremos en apartados
posteriores.
3.3. Encapsulación y Segmentación

Como se mencionó anteriormente, el stack de protocolos opera de las capas superiores
hacia las inferiores. A medida que se desciende por dicho stack, en una comunicación de
cliente a receptor, se produce el proceso de Encapsulación. En dicho proceso, se va
agregando un encapsulado de protocolo (encabezado) a medida que se pasa de una capa
a otra inferior.
Cuando el receptor recibe el paquete, se produce el proceso contrario: Desencapsulación.

En este proceso se eliminan los encapsulados en el orden inverso al que se agregaron.
24
Figura 1. 3 Procesos de Encapsulación y Segmentación. Fuente: Cisco Networking Academy.
Se denomina PDU (Unidad de Datos de Protocolo) a la forma que adopta la trama de

datos en cada capa. Como se puede observar en la Figura 1.3, la PDU inicial de la que
parte la comunicación en la capa de Aplicación son los denominados datos. Al bajar un
nivel en el stack de protocolos, se añade un encabezado a dichos datos, dando lugar a la
PDU de la capa de Transporte denominada segmento. Seguidamente en la capa de Red se
crea el paquete, el cual, a medida que desciende por las capas, pasará a ser una trama en
la capa de Enlace y finalmente dará lugar a los bits de la capa física, los cuales están listos
para transmitirse por los medios. En la Figura 1.3 también se puede observar como en el
nodo destino se realiza el proceso de Desencapsulación, a medida que se asciende por el
stack de protocolos hacia la aplicación de usuario final.
De manera simultánea a estos procesos se produce la Segmentación, proceso en el cual

se dividen los stream de datos en partes más pequeñas y manejables para enviarlas por la
red.
25
4. CAPA DE ACCESO A LA RED
La capa de acceso a la red del modelo TCP/IP, queda dividida en dos subcapas en el
modelo OSI: capa física y de enlace de datos.
4.1. Capa Física

La Capa Física proporciona los medios necesarios para la transmisión de señales. Estos
medios pueden ser cables físicos, como es el caso de cables de par de cobre, fibra óptica
o cable coaxial; o bien, pueden ser conexiones inalámbricas como voltajes, pulsos de luz o
frecuencia de radio.
En dichos medios de comunicación tiene lugar el proceso de Codificación: el emisor

codifica los datos y los transforma en dígitos (grupos de bits). Una vez que llegan al
receptor, este los decodifica transformándolos de nuevo en datos.
4.2. Capa de Enlace de Datos

La Capa de Enlace de Datos prepara los datos para su transmisión y recepción en los
medios de comunicación, es decir, es la responsable del intercambio de tramas entre
nodos a través de un medio de red. Dicha capa da formato a los paquetes procedentes de
la capa de red para su correcta transmisión a través de los diferentes medios de
comunicación.
Figura 1. 4 Subcapas de la capa de enlace de datos. Fuente: Cisco Networking Academy.
26
Como se puede observar en la Figura 1.4, la Capa de Enlace de Datos se divide en dos
subcapas:
o Subcapa LLC (Logical Link Control)

Esta subcapa proporciona comunicación con las capas superiores. En ella, se agrega
información de control a los datos IP, permitiendo entregar el paquete a los nodos
destino, es decir, permitiendo transmitir los datos por la subcapa MAC y la capa
Física, de niveles inferiores. Por lo general, se implementa mediante software.
o Subcapa MAC (Media Access Control)

Esta subcapa define los procesos mediante los cuales los dispositivos de red pueden
acceder a los medios de red y transmitir tramas. Se implementa mediante el
hardware.
Una de las funciones principales de la subcapa MAC es la encapsulación de datos.

Mediante este proceso, se crea la trama de datos. Para ello se agrega un encabezado y un
tráiler a la PDU de la capa física, que añadirán información complementaria necesaria,
como es: delimitación de tramas (grupo de bits al que pertenece cada trama y
sincronización entre nodos emisores y receptores), direccionamiento físico y detección de
errores (mediante el método CRC).
Otra función clave de la subcapa MAC es el método de Control de Acceso al medio,

mediante el cual se definen los procedimientos que permitirán a los dispositivos acceder
a los medios y transmitir tramas en distintos entornos de red.
El método de Control de Acceso al medio depende de la topología (tanto física, como
lógica) y del uso compartido de medios.
A continuación, profundizaremos en dos de los estándares más utilizados de la capa de

enlace de datos. En concreto nos centraremos en los relacionados con tecnologías de
área de red local: Ethernet (IEEE 802.3) y WLAN (IEEE 802.11).
27
4.2.1. Ethernet – IEEE 802.3
Ethernet es la tecnología LAN predominante, cuya creación tuvo lugar en 1973 de la mano
del DR. Robert Metcalf.
Ethernet ha evolucionado rápidamente. Las primeras versiones eran lentas y solo

alcanzaban anchos de banda de 10 Mbps. En la actualidad, se consiguen alcanzar
velocidades de hasta 100 Gbps para esta tecnología LAN.
Ethernet queda completamente definido a partir de los estándares IEEE 802.3 e IEEE
802.2. El estándar IEEE 802.2 se centra en la subcapa MAC, mientras que IEEE 802.3 trata
sobre la subcapa MAC y la capa física.
La topología lógica subyacente de Ethernet es bus multiacceso, en la que todos los nodos
bajo un mismo segmento de red comparten el medio (método de acceso al medio por
contienda). Para evitar posibles colisiones de datos, Ethernet proporciona un mecanismo
para controlar la forma en que los nodos comparten el acceso al medio: tecnología de
Acceso Múltiple por Detección de Portadora con Detección de Colisiones o Carrier Sense
Multiple Access with Collision Detection (CSMA/CD). Con CSMA/CD, cuando un dispositivo
intenta transmitir, si el medio está libre, el dispositivo final transmite los datos. Si luego
detecta señales de que el medio estaba ocupado, es decir, otro dispositivo estaba
transmitiendo, todos los dispositivos dejan de enviar. Más tarde, transcurrido un periodo
de tiempo establecido, volverán a intentar transmitir.
Otras características importantes de Ethernet son su servicio no orientado a conexión y la

tecnología full-duplex en la que se basa en la actualidad, la cual permite la transmisión y
recepción de manera simultánea en un mismo canal de comunicación.
28
Figura 1. 5 Estructura capas Ethernet. Fuente: Cisco Networking Academy.
En la Figura 1.5 se puede observar la estructura típica de comunicación entre las subcapas
Ethernet de la capa de Enlace de Datos y el resto de capas de otros niveles.
4.2.2. Direcciones MAC

Las direcciones MAC identifican de manera única los nodos de origen y destino reales
dentro de una red Ethernet. Se asignan a cualquier dispositivo que debe originar y recibir
datos en la red, como es el caso de estaciones de trabajo, impresoras, teléfonos IP,
servidores, switches, routers, ...
El direccionamiento MAC se agrega en la PDU de nivel de capa 2. Que haya un

direccionamiento de capa 2 evita que los dispositivos receptores tengan que
desencapsular la trama para obtener la dirección IP y poder conocer así el destinatario de
datos (direccionamiento de capa 3), lo cual supondría una gran sobrecarga.
29
Figura 1. 6 Estructura de la dirección MAC Ethernet. Fuente: Cisco Networking Academy.
Las direcciones MAC son un valor binario de 48 bits, expresado en formato hexadecimal
(12 dígitos hexadecimales) como se puede observar en la Figura 1.6.
El hecho de que las direcciones MAC sean únicas en el mundo se consigue mediante el
siguiente proceso:
1- Todos los proveedores de dispositivos están obligados a registrarse en el

IEEE. Este asigna a cada proveedor un código de 3 bytes (24bits)
denominado OUI (Identificador Único de Organización).
2- Finalmente, los proveedores le asignan un valor exclusivo, denominado
código de fabricante o número de serie, en los últimos 3 bytes.
Es importante saber distinguir entre los diferentes tipos de direcciones MAC:
o UNICAST: dirección MAC exclusiva que identifica el host destino cuando se envía
la trama desde un dispositivo de origen, a un único destino.
o BROADCAST: dirección MAC que se utiliza cuando se desea enviar un paquete
de datos a todos los hosts de la red local. La dirección MAC broadcast es
FF-FF-FF-FF-FF.
30
o MULTICAST: esta dirección MAC se utiliza cuando el dispositivo origen desea
enviar un paquete de datos a un grupo de hosts destino determinado. La
dirección MAC multicast comienza por 01-00-5E. La porción de dirección
MAC restante se crea con la conversión de los 23 bits inferiores de la
dirección IP del grupo multicast en 6 caracteres hexadecimales.
4.2.3. WLAN – IEEE 802.11
Las tecnologías inalámbricas pueden ir desde redes de área personal inalámbrica (WPAN),
como es el caso de tecnologías Bluetooth; a redes de área extensa inalámbrica (WWAN),
como son WiMax o datos móviles 4G; pasando por tecnologías LAN inalámbricas (WLAN),
como son las redes WiFi de hogar, oficina, campus, ...
La tecnología Wireless LAN (WLAN) queda recogida en el estándar IEEE 802.11. La

principal diferencia entre esta tecnología y el resto de tecnologías LAN es el medio de
comunicación que utilizan para la transmisión de datos. En WLAN no existen medios
físicos, sino que los datos se propagan por medio de señales de radio frecuencia, lo que
implica que no hay una conectividad física entre dispositivos emisores y receptores.
La tendencia BYOD ha hecho de la tecnología WLAN un indispensable para las redes de

comunicación actuales, permitiendo que varios dispositivos como PCs, portátiles, tablets,
smarthphones, ... puedan conectarse a las redes de datos a la vez que les concede la
capacidad de moverse y seguir conectados. "La tecnología WLAN permite a las personas
conectarse a redes en cualquier momento y desde cualquier lugar", es decir, la
conectividad ya no estará restringida a una ubicación fija o a un periodo de tiempo
definido. Esto implica un aumento de movilidad, flexibilidad, productividad, reducción de
costos y capacidad de crecer y adaptarse a requisitos cambiantes en las redes de
comunicaciones.
Con todo esto, no se hace raro pensar que en la actualidad no se entiendan redes
empresariales, dedicadas a la educación o incluso redes SOHO (Small Office Home Office)
sin capacidad WLAN.
Los rangos de frecuencia utilizados por las tecnologías WLAN son las bandas UHF (Ultra
High Frequency) de 2.4GHz y la banda SHF (Super High Frequency) de 5GHz.
31
La tecnología WLAN se basa en sistemas de medios compartidos half-duplex, en los que la
transmisión y recepción se lleva a cabo por el mismo canal de radio. Como consecuencia
pueden darse colisiones de datos. Para evitar dichas colisiones, el mecanismo de acceso al
medio que utiliza la tecnología WLAN es el método por contienda CSMA/CA (Carrier Sense
Multiple Access and Colision Avoidance o Acceso Múltiple con Detección de Portadora y
Prevención de Colisiones).
Figura 1. 7 Mecanismo CSMA/CA en redes WLAN. Fuente: Cisco Networking Academy.
Gracias a CSMA/CA, los clientes y Access Points usan tramas de control RTS y CTS para
facilitar la transferencia de datos. Cuando un cliente quiere enviar datos, primero evalúa
los medios para detectar la presencia de una señal de datos. Si el medio está libre, el
dispositivo que desea transmitir envía una trama RTS al AP, en la cual solicita acceso
dedicado al medio durante un periodo de tiempo específico. El AP recibe la trama y, si
está disponible, otorga al cliente el medio mediante el envío de una trama CTS. Todos los
demás dispositivos inalámbricos, que observan la trama CTS, ceden el medio al nodo
transmisor, cesando durante ese periodo su transmisión de datos. Una vez que el
dispositivo transmite la trama de datos y esta llega al AP sin errores, el AP envía un acuse
de recibo para confirmar que la trama se recibió correctamente. Si la estación
transmisora no detecta la trama de reconocimiento, se retransmite la trama. En la Figura
1.7 se puede observar el flujo de datos correspondiente con el proceso que acabamos de
explicar.
32
4.2.3.1. Componentes y arquitectura WLAN
Todas las implementaciones inalámbricas deberán contar, como elementos básicos, con
dispositivos terminales con NIC inalámbricas y con dispositivos de infraestructura que
permitan la interconexión de clientes inalámbricos, como es el caso de routers
inalámbricos o APs.
En cuanto a la arquitectura de la red LAN, primero analizaremos el modo infraestructura,

el cual puede observarse en la Figura 1.8.
Figura 1. 8 Resumen del conjunto de servicios extendidos. Fuente: Cisco Networking Academy.
Como vemos en la imagen, en modo infraestructura la arquitectura se divide en dos

subsistemas principales:
o Conjunto de servicios básicos (BSS): consta de un único AP que interconecta a

todos los clientes inalámbricos asociados. El área de cobertura dentro de un BSS
se denomina Área de Servicios Básicos (BSA). La dirección MAC de Capa 2 del AP
se usa para identificar de forma exclusiva cada BSS y se denomina Identificador
del Conjunto de Servicios Básicos (BSSID).
o Conjunto de servicios extendidos (ESS): cuando un BSS proporciona cobertura
insuficiente, se pueden unir dos o más BSS a través de un sistema de distribución
para formar un ESS. Ambos BSS estarían conectados por cable mediante un
Distribution System (DS). De este modo los clientes inalámbricos de una BSA se
pueden comunicar con otros clientes inalámbricos fuera de esa BSA, pero dentro
33
del ESS. El área de cobertura dentro de un ESS se denomina Área de Servicio
Extendida (ESA).
Una arquitectura alternativa al modo infraestructura, en cuanto a topología inalámbrica,

es el modo ad hoc. En este, dos dispositivos terminales se conectan de manera
inalámbrica sin la necesidad de un dispositivo de infraestructura.
El router inalámbrico o AP anuncia sus servicios mediante el envío de señales que

contienen su Identificador de Conjunto de Servicios Compartidos (SSID). Los dispositivos
terminales detectan de manera inalámbrica el SSID e intentan asociarse y autenticarse
con él para acceder a Internet.
Para redes que requieran más de un AP, existe la posibilidad de agrupación de APs en
clústeres, sin necesidad del uso de controladores. El clúster proporciona un punto único
de administración y permite que el administrador vea la implementación de los AP como
una única red inalámbrica, en lugar de una serie de dispositivos inalámbricos separados.
Esto puede observarse en la Figura 1.9.
Figura 1. 9 Ejemplo de Clúster de AP en WLAN. Fuente: Cisco Networking Academy.
34
4.2.3.2. Proceso WLAN
En las tecnologías WLAN, para que la conexión entre un cliente inalámbrico y un Access
Point (AP) o router inalámbrico tenga lugar, se deben dar las 3 etapas siguientes:
1- EXPLORACIÓN O DETECCIÓN DE AP O ROUTER INALÁMBRICO
En esta fase los clientes descubren las redes WLAN disponibles. Las redes WLAN
se anuncian por medio de identificadores únicos de red denominados SSID, o
comúnmente conocidos como el nombre de la red.
Para ello los clientes deben realizar un sondeo, el cual puede llevarse a cabo en
modo pasivo (el AP es el encargado de enviar periódicamente tramas de señal de
difusión o Beacons, que contienen el SSID) o bien, en modo activo (el cliente envía
una trama solicitud por difusión, en la que incluye el SSID, y el AP con ese SSID
responde con una trama de respuesta de sondeo). Otra opción para descubrir
redes WLAN cercanas es que un cliente envíe una solicitud de sondeo sin ningún
nombre SSID y los AP configurados para transmitir tramas de señal por difusión,
responderían al cliente con una respuesta de sondeo en la que proporcionarían su
nombre SSID.
2- AUTENTICACIÓN
Para asociarse, el cliente y el AP deben negociar una serie de parámetros

específicos: SSID, password, modo de red, seguridad, canales, ...
Por un lado, puede darse la autenticación de sistema abierto, en la que la

autenticación entre un cliente y un AP es nula, por lo que proporciona
conectividad a cualquier dispositivo inalámbrico. Este es un método inseguro,
utilizado en lugares públicos como hoteles, aeropuertos, cafeterías, ...
En contraposición, existen mecanismos de autenticación como, por ejemplo, el

mecanismo de autenticación por clave precompartida o el mecanismo PSK, en los
que los clientes y APs intercambian claves precompartidas, junto con mecanismos
de encriptación.
35
3- ASOCIACIÓN
Este proceso es el que le dará acceso a la red al cliente. Sólo puede ser llevado a
cabo una vez autenticado el cliente por parte del AP.
Los pasos seguidos son:

I. El cliente envía una trama de asociación en la que incluye su dirección MAC.
II. El AP responde con una respuesta de asociación que incluye el BSSID del AP.
III. El AP asigna un puerto lógico, conocido como identificador de asociación
(AID), al cliente.
4.2.3.3. Seguridad WLAN

Como hemos mencionado anteriormente, las redes WLAN no poseen medios físicos para
la transmisión de datos. Por este motivo, se necesitan mecanismos de seguridad
adicionales que impidan que estos datos sean accesibles para todo el mundo y garanticen
privacidad de los datos transmitidos.
En la Tabla 1.1 se muestra un resumen de los diferentes mecanismos de seguridad

disponibles.
Como puede observarse en la tabla, tanto WPA como WPA2, admiten 2 tipos de
autenticación. Por un lado, estaría el modo Personal que utiliza autenticación PSK, en la
que los usuarios se autentican mediante una clave previamente compartida. Este
mecanismo no requiere del uso de ningún servidor especial, por lo que es utilizado en
redes domésticas o de oficinas pequeñas.
Por otro lado, estaría el modo Enterprise, el cual requiere del uso de un servidor dedicado
Este será un servidor de servicio de autenticación remota telefónica de usuario (RADIUS) o
un servidor TACACS+ (Terminal Access Controller Access Control System), propietario de
Cisco. Este modo supone una configuración más complicada, así como una seguridad
adicional. El servidor RADIUS debe autenticar el dispositivo y, a continuación, se deben
autenticar los usuarios mediante el estándar 802.1X, que usa el protocolo de
autenticación extensible (EAP). Mediante este, se puede configurar en la red el protocolo
de Autenticación, Autorización y Contabilidad (AAA). Este modo es usado en redes
empresariales.
36
- Privacidad equivalente a redes cableadas.
- Proporciona un nivel de seguridad bajo. Este mecanismo de autenticación está

obsoleto en la actualidad, ya que es un mecanismo fácilmente comprometido.
WEP - Autenticación por clave pre-compartida.
- Usa el cifrado RC4, con clave estática. La clave nunca cambia, por lo que es fácil de
descifrar.
- Usa CRC-32 para integridad del mensaje.
- Acceso protegido WiFi.
- Seguridad aceptable.
- Autenticación PSK o EAP.

WPA
- Cifrado TKIP (Temporal Key Integrity Protocol). Cambia la clave para cada paquete,
por lo que es más difícil de descifrar.
- Usa MIC (Message Integrity Check) para integridad del mensaje.
- Método más seguro.
- Autenticación PSK o EAP.

WPA2
- Cifrado AES (Advanced Encryption Standard).
- Integridad del mensaje CCMP.
Tabla 1. 1 Mecanismos de Seguridad WLAN.
4.2.3.4. Comparación entre tecnologías WLAN y Ethernet

La tecnología WLAN únicamente presenta diferencias con el resto de tecnologías LAN en
la subcapa MAC y la capa Física, siendo la subcapa LLC y el direccionamiento de red igual
al de las demás LAN.
37
En la Tabla 1.2 se realiza un resumen comparativo de los estándares LAN Ethernet y
WLAN.
WLAN ETHERNET
Conectan dispositivos móviles mediante

APs o routers inalámbricos. Estos
Conectan dispositivos mediante routers y
dispositivos inalámbricos, posteriormente
switches cableados.
irán conectados a routers o switches
cableados.
En la Capa Física, la transmisión de datos se Utiliza un medio de transmisión cableado:

realiza mediante Radio Frecuencia (RF). cobre, coaxial o fibra óptica.
Mayores inconvenientes de privacidad ya

que las tramas de datos están accesibles Solo pueden recibir los datos los
para todos aquellos dispositivos que dispositivos conectados a los extremos del
puedan recibir RF. Por tanto, requieren cable, es decir, emisor y receptor.
mecanismos de seguridad adicionales.
Mayor Movilidad. Menor movilidad, debida al cableado.
Prevención de Colisiones (CSMA/CA). Detección de Colisiones (CSMA/CD).
Sensible a interferencias. Protección de señales exteriores mediante

la envoltura del cable.
Al alejarnos del origen, la señal se debilita,

disminuye el rendimiento según la
Utilizando el cableado adecuado, se
distancia a la que se encuentre del AP y de
consiguen largas distancias de transmisión
la cantidad de dispositivos conectados al
sin atenuación de la señal.
AP (dispositivos que están compartiendo el
medio).
Tabla 1. 2 Comparativa tecnologías WLAN y Ethernet.
38
4.2.4. VLAN (Virtual LAN Access Network)
Las VLANs se basan en conexiones lógicas, que permiten dividir las redes en segmentos
según factores como la función, el equipo del proyecto o la aplicación, sin tener en cuenta
la ubicación física del usuario o dispositivo.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos de LAN
físicos. Los dispositivos dentro de una VLAN funcionan como si estuvieran dentro de una
red independiente, aunque compartan infraestructura física con otras VLANs. Los
paquetes se reenvían y saturan solo las estaciones terminales dentro de la VLAN donde se
originan los paquetes. Los paquetes destinados a las estaciones que no pertenecen a la
VLAN se deben enviar a través de un dispositivo que admita el routing.
Cada VLAN en una red conmutada corresponde a una red IP, por lo tanto, al diseñar una
VLAN se debe tener en cuenta la implementación de un esquema de direccionamiento de
red jerárquico, aplicando las direcciones IP correspondientes a cada VLAN de manera
ordenada.
Como principales ventajas de la implementación de VLANs estarían:
- Permiten reducir el tamaño de los dominios de difusión, lo que contribuye a

mejorar el rendimiento de la red.
- Habilitan la implementación de las políticas de acceso y de seguridad según
grupos específicos de usuarios, permitiendo separar los grupos de datos sensibles
y confidenciales del resto del tráfico.
- Eficacia administrativa, permitiendo diferenciar la función de los dispositivos
dentro de la VLAN, mediante el nombre de VLAN.
4.2.5. Tráfico intra-VLAN

Por un lado, los switches cuentan con puertos que aceptan tráfico de una única VLAN.
Estos son los puertos configurados en modo acceso (switchport mode access).
Por otro lado, tenemos puertos de enlace troncal (switchport mode trunk). Estos, son los
enlaces entre switches que admiten la trasmisión de tráfico asociado a más de una VLAN.
39
Para especificar la VLAN a la que pertenece el tráfico de datos, se le añade una etiqueta
de 4 bytes en el encabezado de la trama Ethernet.
Los Enlaces troncales se encuentran en dispositivos cuya NIC cuente con capacidad
802.1Q, como es el caso de switches o routers. Estos enlaces permiten que se propague el
tráfico intraVLAN, de modo que los dispositivos que están en la misma VLAN, pero
conectados a distintos switches, se puedan comunicar sin la intervención de un router.
El puerto de enlace troncal 802.1Q coloca el trafico sin etiquetar en la VLAN nativa. Si no
hay dispositivos asociados a la VLAN nativa y no existen otros puertos de enlace troncal,
se descarta la trama. Al configurar un puerto de enlace troncal 802.1Q se asigna el valor
de ID de VLAN nativa a la ID de VLAN de puerto (PVID). Como en este caso, la VLAN Nativa
es la 99, el PVID sería igual a 99. Todo el tráfico sin etiquetar entrante y saliente del
puerto 802.1Q se reenvía según el valor de PVID.
4.3. Protocolo ARP

La dirección MAC de un host no cambia, es siempre la misma, independientemente de la
red en la que se encuentre. La dirección MAC también se denomina dirección física.
Por otro lado, la dirección IP indica la ubicación del host en la red. La dirección IP se
denomina Dirección de Red o Dirección Lógica.
El Protocolo de Resolución de Direcciones (ARP), relaciona direcciones de capa 3

(direcciones IP) con direcciones de red local o de capa 2 (direcciones Ethernet). El mapeo
de direcciones Internet de 32 bits a direcciones Ethernet de 48 bits, se denomina
resolución de direcciones IPv4 a direcciones MAC.
El dispositivo origen determina la dirección IP del destino a partir de un servidor DNS (en
webs que usen nombres de dominio, en el resto de casos, este paso se obviaría), que
traduce los nombres de dominio a direcciones IP. Los routers examinan las direcciones IP
para determinar el mejor camino hacia la red de destino. Sin embargo, el paquete IP se
encapsula en una trama Ethernet de la capa de enlace. Los dispositivos finales de redes
Ethernet no aceptan ni procesan tramas según su dirección IP, sino que lo hacen a partir
40
de su dirección MAC. El host procesa la trama que recibe solo si la dirección MAC de
destino de la trama coincide con su dirección MAC.
Cuando se envía un paquete a la capa de enlace de datos para que se encapsule en una
trama, el nodo consulta una tabla que tiene asignada en su memoria RAM. Esta tabla se
denomina tabla ARP o caché ARP. En esta tabla, puede encontrar entradas con
direcciones de la capa de enlace de datos asociadas a una dirección IP de destino.
Si la dirección IP por la que se hace la consulta se encuentra en la tabla, se consigue la
dirección MAC asociada y se continúa con el proceso.
Por el contrario, si no se encuentra registrada dicha dirección en la tabla ARP, enviará

solicitud ARP. Esta solicitud ARP es un mensaje broadcast de capa 2 (dirección MAC FF-FF-
FF-FF-FF-FF), que se transmite a todos los dispositivos de la LAN Ethernet, que contiene la
dirección IP del host de destino. Todos los nodos de la LAN reciben la solicitud. El nodo
cuya dirección IP coincide con la dirección IP de destino de la solicitud, responde con una
respuesta ARP. Esta trama de respuesta es unicast, por lo que se envía solo al nodo que
envió la solicitud. Con esta respuesta el nodo crea una entrada en su tabla ARP.
5. CAPA DE RED
La capa de red proporciona el direccionamiento y los procesos que permiten empaquetar
y transportar los datos de la capa de transporte.
En primer lugar, la capa de red se encarga del direccionamiento de dispositivos finales

con una dirección única de Capa 3. Los dispositivos finales con una dirección IP
configurada se denominan host.
Al tener una dirección IP configurada, los datos pueden viajar a un host destino ubicado
en otra red. Este proceso se denomina enrutamiento, y tiene lugar en los routers, los
cuales buscan las mejores rutas y dirigen los paquetes por estas hacia el host destino.
41
Cuando el paquete llega a la capa de red del host destino, el host revisa el encabezado IP
del paquete. Si la dirección destino del paquete coincide con la suya, se elimina el
encabezado IP del paquete mediante el proceso de desencapsulación. De este modo, se
obtiene la PDU de capa 4 la cual se transfiere al servicio correspondiente en la capa de
transporte.
En la Figura 1.10 puede verse la estructura de un paquete IP. En este, se distinguen dos
partes bien diferenciadas: el encabezado IP (donde se incluyen características como la
prioridad del paquete, prioridad, protocolo, versión, dirección de origen y destino y
checksum) y el contenido (donde se recoge la PDU de la capa, donde van incluidos los
datos).
Figura 1. 10 Generación de paquetes IP. Fuente: Cisco Networking Academy.
5.1. Direccionamiento IP
El protocolo IP es un protocolo no orientado a conexión y no confiable. Esto implica que
no se establece conexión entre el host origen y destino antes de iniciar la transmisión de
datos, no se hace un seguimiento de los paquetes a través de la red, no tiene entrega de
paquetes garantizada y no tiene mecanismos de recuperación de errores. De todas estas
funciones se encargan los protocolos de capas superiores que veremos en los siguientes
puntos.
Otra característica del protocolo IP es que es independiente de los medios por los que se
transmite, únicamente tiene en cuenta el tamaño máximo y mínimo del paquete según el
medio, para lo que cuenta con el mecanismo de fragmentación.
El diseño, la implementación y la administración de un plan de direccionamiento IP eficaz,

asegura que las redes puedan operar de manera eficiente.
42
5.1.1. Protocolo de Internet Versión 4 (IPv4)
Una dirección IPv4 es una dirección de 32 bits, agrupados en 4 octetos, o lo que es lo
mismo, 4 bytes. Esta dirección se expresa en formato decimal, por lo que es necesaria la
conversión binario-decimal.
Toda dirección IP está formada por una porción de red (idéntica para todos los
dispositivos dentro de la misma red) y una porción de host (única, para identificar un host
dentro de una red).
Ambas porciones se determinan a partir de la Máscara de Subred. Esta, es una dirección

de 32 bits, en la que todos sus bits '1' representarán la porción de red de una
determinada dirección IP, y todos sus bits '0' representarán la porción de host de una red.
Esta relación se puede entender mejor en la Figura 1.11. Como se puede ver, dada una
dirección IP, se puede determinar la dirección de red a la que pertenece, al realizar un
AND lógico entre la dirección IP y la máscara subred.
Figura 1. 11 Dirección IPv4, Dirección de Red y Máscara Subred.
Otra forma de expresar la máscara subred es mediante la duración de prefijo, que nos
indica la cantidad de bits establecidos en '1' de la máscara subred (/x).
43
Dentro del rango de direcciones IPv4 de una red, la primera dirección se reserva para la
dirección de red. Esta tiene un '0' para cada bit de la porción de host. En el lado contrario,
la dirección broadcast será la dirección más alta del rango, correspondiéndose con la
dirección IPv4 en la que todos los bits de la poción de host son ‘1’. En el ejemplo de la
imagen anterior, la dirección broadcast sería 192.168.10.255. Por último, las direcciones
de host, se corresponden con el rango de valores comprendidos entre la dirección de red
y la dirección broadcast.
A continuación, se listan los principales tipos de direcciones IPv4:
o UNICAST: dirección dirigida a un único host dentro de la red local.
o BROADCAST: existen dos tipos de direcciones broadcast. Por un lado, tendríamos

broadcast dirigido, en el que el paquete se envía a todos los hosts de una red de local
desde un host que no pertenece a esa red local. Por otro lado, tendríamos el
broadcast limitado, en el que el host emisor debe pertenecer a dicha red local para
enviar el mensaje a todos los dispositivos de dicha red. La dirección de broadcast
limitado es 255.255.255.255.
o MULTICAST: el paquete se envía desde un host emisor a un grupo de dispositivos

determinado de una red local. Se emplean en transmisiones de vídeo y audio,
intercambio de información de enrutamiento o en juegos remotos. El rango de
direcciones multicast está comprendido desde la dirección 224.0.0.0 a la 224.0.0.255.
o LOOPBACK: dirección especial que los hosts utilizan para dirigir tráfico hacia ellos
mismos. Se encuentran dentro de la red 127.0.0.0/8.
o LINK-LOCAL: el sistema operativo de un host puede asignarle esta dirección en

entornos donde no se dispone de una configuración IP. Se puede utilizar en una red
punto a punto o para un host que no pudo obtener una dirección de un servidor
DHCP. Solo puede comunicarse dentro de la LAN local. EL rango de direcciones Link-
local se encuentra comprendido entre la dirección 169.254.0.0 a la 169.254.255.255
(169.254.0.0/16).
44
Por otro lado, las direcciones IPv4 pueden clasificarse en direcciones privadas o públicas.
Las direcciones privadas sirven para el direccionamiento dentro la red local, por lo que
son útiles para los hosts que no requieren acceso a Internet. Las direcciones IP privadas
están comprendidas en los siguientes rangos:
De 172.16.0.0 a 172.31.255.255 172.16.0.0/12

De 10.0.0.0 a 10.255.255.255 10.0.0.0/8
De 192.168.0.0 a 192.168.255.255 192.168.0.0/16
Tabla 1. 3 Rango de direcciones IPv4 privadas.
En cuanto a las direcciones públicas, permiten el acceso a Internet a los hosts, es decir,
permiten la comunicación del host con redes externas. Estas direcciones son todas
aquellas que no se encuentran dentro del rango de direcciones IP privadas.
5.1.2. Direccionamiento Estático y Dinámico
La mayor porción de direcciones de una red se asigna a dispositivos finales (smartphones,

PC, tablets, impresoras, teléfonos IP, …). Estas direcciones se pueden asignar de manera
estática o dinámica.
En el direccionamiento estático, el administrador debe configurar de manera manual y

permanente las direcciones IP.
En cuanto al direccionamiento dinámico, las direcciones IP son asignadas de manera

dinámica. Para ello, es necesario que esté activo el Protocolo de Configuración Dinámica
de Host (DHCP).
45
En la Tabla 1.4 se muestra una comparación de las ventajas e inconvenientes de ambos
procesos.
DIRECCIONAMIENTO ESTÁTICO DIRECCIONAMIENTO DINÁMICO
El administrador debe configurar de Reduce la carga de trabajo del personal
manera manual la dirección IP. de configuración de red y prácticamente

elimina los errores.
Las direcciones IP no se asignan

permanentemente. Cuando un host se
Las direcciones IP se asignan de manera
apaga o desconecta de la red, la
permanente.
dirección regresa al pool para volver a
utilizarse.
Útil para dispositivos que no suelen

cambiar su ubicación y deben ser Permite una mayor movilidad, por lo que
accesibles para los clientes de la red, es muy útil para usuarios móviles.
como es el caso de impresoras o
servidores.
Mayor seguridad de red. El

Cualquier host que se conecte
direccionamiento estático puede
físicamente a la red obtendrá una
proporcionar mayor control de los
dirección IP y a partir de aquí navegará
recursos de red, pero su principal
con total libertad por la red LAN. Lo cual
desventaja es que lleva mucho tiempo
supone una menor seguridad de la red.
incluirla a cada host de la red.
Tabla 1. 4 Comparación de direccionamiento estático y dinámico.
46
5.1.3. Protocolo DHCP (Dynamic Host
Configuration Protocol)
El Protocolo de Configuración Dinámica de Host (DHCP) permite la asignación automática

de direcciones IP. Este asigna direcciones IP pertenecientes a un bloque de direcciones
denominado pool de direcciones, junto con su máscara de subred, gateway
predeterminado y otra información de configuración.
En la Figura 1.12 puede observarse un esquema del proceso DCHP. En este se da un
intercambio de mensajes entre cliente y servidor en el que se solicitan y conceden
direcciones IP respectivamente.
Figura 1. 12 Proceso DHCP. Fuente: Cisco Networking Academy.
La primera fase del proceso DHCP o fase de Inicialización, el cliente genera un mensaje
DHCP DISCOVER (mediante una trama broadcast) para poder localizar cualquier servidor
DHCP disponible en la red y poder obtener una dirección IP.
Cuando un servidor recibe la trama de descubrimiento DHCP, responde con una trama
denominada DHCP OFFER, concediendo una dirección al cliente. En ésta, se incluye una
dirección IP dentro del rango, la máscara de subred, gateway predeterminado y servidor
DNS. Esta trama también es broadcast ya que el host aún no tiene dirección IP. El cliente
recibe respuesta del servidor DHCP y si existe más de un servidor DHCP en su red local el
cliente puede recibir varias ofertas. Este proceso englobaría la segunda fase o fase de
Selección.
47
En la tercera fase o fase de Solicitud, el cliente elige al servidor DHCP, que generalmente
es el que antes le envíe la respuesta, y envía al servidor seleccionado un mensaje de
solicitud DHCP REQUEST (de nuevo, mediante una trama broadcast), en el que identifica
el servidor explícito y la oferta de concesión que acepta.
Seguidamente tiene lugar la cuarta fase o fase de Enlace, en la que, si la dirección

ofertada por el servidor sigue aún disponible, el servidor envía una trama DHCP ACK
(trama broadcast), donde incluye los parámetros necesarios de TCP/IP, además del
tiempo de vida de esa dirección. Si la dirección concedida ya no está valida, el servidor
envía un DHCPNAK y el proceso de concesión debe comenzar de nuevo.
Un cliente DHCP renegocia su dirección IP antes de que esta expire (en la mitad de la
duración del tiempo de vida), es decir, antes de que termine su tiempo de vida, dando
lugar a la fase de Renegociación. Esta puede ocurrir bien porque el tiempo de vida va a
expirar, o bien porque el host fue apagado.
5.1.4. Evolución de IPv4
En las primeras versiones de IPv4 se hacía uso del direccionamiento con clase, a partir del
cual las direcciones de red quedaban agrupadas en rangos o clases establecidas, según la
máscara de red y por consiguiente, el tamaño de red.
El problema de direcciones con clase es que no todas las organizaciones contaban con
requisitos que se ajustaran a una de estas 3 clases, por lo que se daba un desperdicio de
direcciones. Por esto, en 1993 el IETF implantó el direccionamiento sin clase que permitía
el Enrutamiento Entre Dominios Sin Clase (CIDR).
El CIDR administra el espacio de direcciones IPv4, permitiendo asignar redes con cualquier
dirección de prefijo, y reduce el tamaño de las tablas de routing mediante la sumarización
de ruta (agregación de prefijos) y creación de superredes.
48
La existencia de Direcciones Privadas con CIDR, junto con la Traducción de Direcciones de
Red (NAT) (permite que varios dispositivos utilicen la misma dirección IPv4 pública,
quedando ocultada la dirección de host IPv4 privada interna) fue un factor determinante
para retardar el agotamiento del espacio de direcciones IPv4.
Estas soluciones solo tenían carácter temporal, siendo necesaria la aparición de un nuevo
protocolo IP para poner solución al crecimiento de usuarios de Internet. En 1994 el IETF
comenzó a trabajar en IPv6.
En la actualidad, IPv4 e IPv6 coexisten. Para ello existen técnicas como Dual-Stack, que
permite que direcciones IPv6 e IPv4 coexistan en la misma red. Los dispositivos Dual-Stack
ejecutan stacks de protocolos IPv4 e IPv6 de manera simultánea. Otra técnica sería
Tunneling, método para transportar paquetes IPv6 a través de redes IPv4. El paquete IPv6
se encapsula en paquetes IPv4. Por último, la Traducción de Direcciones de Red 64
(NAT64), permite que los dispositivos con IPv6 habilitado se comuniquen con dispositivos
con IPv4 habilitado.
5.1.5. Protocolo de Internet Versión 6 (IPv6)
La principal ventaja de IPv6 respecto a IPv4 es que ofrece un mayor espacio de

direcciones. IPv6 cuenta con direcciones de 128 bits, proporcionando de este modo 340
sextillones de direcciones. Además, IPv6 presenta mejoras respecto al manejo de
paquetes, ya que se simplificó el encabezado y proporciona una alta velocidad de reenvío
de paquetes. Otra mejora de IPv6 es que elimina la necesidad de NAT.
Las direcciones IPv6 se representan mediante valores hexadecimales: 4 bits se

representan mediante un dígito hexadecimal, con un total de 32 valores hexadecimales.
IPv6 utiliza la duración de prefijo (/x) para indicar la porción de red de una dirección IPv6.
La dirección de prefijo típica de LAN y demás tipos de redes es /64.
IPv6 cuenta con direcciones unicast, multicast y anycast. A diferencia de IPv4, IPv6 no
tiene una dirección de broadcast, sino que cuenta con una dirección multicast de todos
los nodos que brinda prácticamente el mismo resultado.
49
5.1.6. Protocolo ICMP (Internet Control Message
Protocol)
El protocolo ICMP se encarga de la supervisión y control de la red. Cuando un datagrama
viaja entre routers a través de la red hasta alcanzar su destino, ICMP permite detectar si
ocurre algún error y controlar este camino. ICMP no especifica las acciones a tomar,
solamente detecta los problemas.
En cuanto a los principales mensajes que se intercambian en el protocolo ICMP, se

encuentran:
o Mensaje de confirmación de host: a partir del cual detecta la continuidad del
recorrido de un datagrama a lo largo de la red, el número de saltos y el tiempo
empleado.
o Mensaje de destino o servicio inaccesible: estos mensajes detectan destinos
inalcanzables debido, por ejemplo, a problemas como dirección IP de destino no
encontrada o problemas con el tamaño de fragmentación, que impedirán que el
datagrama sea entregado a la red de destino.
o Mensaje de tiempo de vida superado: los routers utilizan este mensaje para indicar
que el paquete no pudo entregarse debido a que el campo TTL (Time To Live) llegó a
0.
5.2. Enrutamiento
Cuando un dispositivo envía un paquete a un host remoto, necesita la ayuda de routers.
El enrutamiento es el proceso mediante el cual se identifica el mejor camino hacia un
destino.
El router conectado al segmento de red local se denomina gateway predeterminado, y es

el dispositivo que enruta el tráfico desde la red local a redes remotas. Este tiene una tabla
de enrutamiento, que consiste en un archivo de datos que se encuentra almacenado en la
RAM y que se utiliza para guardar información de la ruta sobre la red conectada
directamente, así como las entradas de redes remotas descubiertas por el dispositivo.
50
Esta información le permite determinar cuál es el mejor camino para llegar a esos
destinos.
La tabla de enrutamiento almacena:

o Rutas conectadas directamente.
o Rutas remotas de redes remotas conectadas a otros routers.
Si hay dos rutas hacia el mismo destino, se utiliza la métrica para decidir qué ruta aparece
en la tabla de enrutamiento y, por tanto, que ruta se utilizará para el envío del paquete al
host destino.
Para llevar a cabo el enrutamiento, se pueden emplear mecanismos estáticos o

mecanismos dinámicos, dependiendo del tamaño y requisitos de la red.
El enrutamiento estático requiere una configuración inicial y un mantenimiento

prolongados, lo que implica una mayor sobrecarga administrativa. Como ventaja se
encuentra el proporcionar una mayor seguridad ya que las rutas no se anuncian a través
de la red. El enrutamiento estático es útil en redes pequeñas.
Un protocolo de enrutamiento dinámico es un conjunto de proceso, algoritmos y

mensajes que se usan para intercambiar información de enrutamiento y completar la
tabla de enrutamiento con la elección de los mejores caminos. Teniendo como propósito
descubrir redes remotas, escoger el mejor camino y mantener la información de
enrutamiento actualizada. El enrutamiento dinámico se emplea en redes grandes. Este
ofrece una menor carga administrativa, pero como contrapunto se encuentra la
necesidad de dedicar parte de los recursos de la red a la operación del router, lo que se
traduce en un costo de tiempo de CPU y de ancho de banda. Además, los protocolos de
enrutamiento dinámico son menos seguros que el enrutamiento estático. Algunos
ejemplos de protocolos de enrutamiento dinámico son:
- BGP (Border Gateway Protocol), como protocolo de gateway exterior.

- OSPF (Open Shortest Path First), protocolo de gateway interior con algoritmo de
estado de enlace.
- Por último, protocolos de Gateway interior con algoritmo de vector distancia
serían IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior
Gateway Routing Protocol) y RIP (Routing Information Protocol).
51
5.3. Router-on-a-stick
Debido a que las VLANs segmentan la red en subdominios de capa 2, es necesario un
proceso de capa 3 (capa de red) que permita que el tráfico de las diferentes VLANS pase
de un segmento de red a otro. Es decir, de este modo conseguiremos enrutar el tráfico
proveniente de las diferentes VLANs de nuestra red.
Para ello será necesario un dispositivo capaz de operar a nivel de capa 3, como es el caso
de switches o routers. Las implementaciones actuales contienen software que permiten
configurar una interface del router como enlace troncal, por lo que solo es necesaria una
interface física en el router para enrutar paquetes entre varias VLANs. Esta configuración
se denomina Router-on-a-stick.
Mediante esta configuración, el router acepta, en la interface troncal, el tráfico con

etiquetas VLAN proveniente del switch adyacente y luego lo enruta de forma interna
entre las VLANs, mediante subinterfaces. El router reenvía el trafico enrutado con
etiquetas de VLAN para la VLAN destino a través de la misma interface física que utiliza
para recibir el tráfico.
Las subinterfaces, son interfaces virtuales basadas en software, asociadas con una única
interface física. Cada subinterface se configura de manera independiente con una
dirección IP y una asignación de VLAN. Se configuran en subredes diferentes que se
correspondan con una asignación de VLAN para facilitar el routing lógico. Esto permite
que una interface física forme parte de varias redes lógicas de manera simultánea. De
esta manera, el router puede mantener separado el tráfico de cada subinterface a medida
que atraviesa el enlace troncal hacia el switch.
5.4. VoIP (Voice over Internet Protocol)

La tecnología VoIP permite que la señal de voz viaje a través de las redes de
comunicaciones. De este modo se pueden realizar y recibir llamadas telefónicas a través
de Internet.
52
Existen diferentes modelos mediante los cuales puede llevarse a cabo VoIP:
1. Mediante el uso de teléfonos IP convencionales a los que se les añade un

adaptador, denominado ATA (Analog Telephone Adaptor), que convertirá la señal
telefónica analógica en datos digitales, que pueden ser transmitidos a través de
Internet.
2. Mediante el uso de teléfonos IP, los cuales cuentan con el software y hardware
necesario para la transmisión de VoIP a través de internet como, por ejemplo,
entradas de conectores RJ-45 para permitir la conexión con un router o switch de
la red.
3. Por último, la VoIP puede implementarse en ordenadores, mediante la instalación

de software específico permitiendo la recepción y realización de llamadas
telefónicas a través de estos dispositivos.
A la hora de utilizar la tecnología de VoIP habrá que tener en cuenta el ancho de banda
necesario y el retardo sufrido entre las transmisiones de usuarios, ya que esto afectaría a
la calidad de la señal de voz transmitida, provocando, por ejemplo, cortes en las llamadas
o déficit de señal que dificultarían la comunicación. Para evitarlo, se debe priorizar el
tráfico de voz frente al resto de tráfico transmitido en la red, además de contar con
control de calidad de servicio (QoS).
Por último, entre los protocolos utilizados para la transmisión de VoIP estarían el
conjunto de estándares de ITU-T, denominado H.323 y el protocolo SIP (Session Initiation
Protocol), los cuales permiten el control, configuración y administración de llamadas de
audio y video a través de IP.
6. CAPA DE TRANSPORTE
La capa de transporte acepta los datos de la capa de aplicación y los prepara para el
direccionamiento en la capa de red. Para ello, lleva a cabo procesos como la
segmentación de datos, el control de rearmado de segmentos y mecanismos de manejo
de errores.
53
Además, la capa de transporte es responsable de establecer una sesión de comunicación
temporal entre dos aplicaciones y de transmitir datos entre ellas, permitiendo que varias
aplicaciones se puedan comunicar a través de la red al mismo tiempo en un único
dispositivo.
A continuación, se listan las funciones principales de la capa de transporte:
1. División de datos en segmentos (streams de datos), para adaptarlos a su

transmisión en los distintos medios, y reunificación de los datos segmentados en el
destino. Estos procesos se denominan, respectivamente, segmentación y rearmado.
2. Multiplexación de Conversaciones. La segmentación de datos permite que
transmitan varias comunicaciones de distintos usuarios, al mismo tiempo y en la
misma red.
3. Administrar los requisitos de confiabilidad de las conversaciones, realizando para
ello el seguimiento de estas de origen a destino.
4. Identificación de la aplicación o servicio correspondiente para cada stream de
datos, permitiendo enviar los datos a las aplicaciones adecuadas. Para lograr esto,
asigna un identificador a cada aplicación denominado número de puerto. A todos
los procesos de software que requieran acceder a la red se les asigna un número de
puerto exclusivo.
6.1. Protocolo de Control de Transmisión (TCP)

TCP es un protocolo de la capa de transporte confiable y con estado. Para garantizar la
confiabilidad, TCP realiza un seguimiento de los datos transmitidos, envía un acuse de
recibo para indicar que los datos han llegado al receptor correctamente y retransmite
cualquier dato del que no ha obtenido el acuse de recibo.
TCP establece conversaciones orientadas a conexión mediante el establecimiento de

sesiones. Para ello, negocia y establece una sesión permanente entre dispositivos de
origen y destino antes de reenviar tráfico y no termina la sesión hasta que no se completa
toda la comunicación.
54
Figura 1. 13 Protocolo de enlace de tres vías. Fuente: Cisco Networking Academy.
El establecimiento y finalización de sesión TCP entre dos hosts se muestra en la Figura

1.13. Los pasos seguidos son:
1. El host origen o cliente, solicita una sesión al receptor (servidor). Para ello envía una
solicitud de sincronización (SYN).
2. El servidor acusa el recibo de la sesión de comunicación cliente a servidor, mediante

el envío de una respuesta ACK, y solicita una sesión de comunicación servidor a
cliente, mediante el envío de una solicitud SYN.
3. El cliente origen envía un acuse de recibo (ACK) para informar al destino que ambos
lados están de acuerdo en que se estableció conexión.
4. Una vez establecida la conexión entre cliente y servidor, se comienza a intercambiar

segmentos de datos con la información del mensaje. Estos segmentos tendrán
establecido el señalizador ACK, siendo necesaria la confirmación de que el paquete
se ha recibido correctamente. Si el emisor no recibe una trama ACK después de un
periodo de tiempo establecido, confirmando la recepción del mensaje, volverá a
retrasmitir la trama de datos.
5. Cuando el cliente no tiene más datos para enviar en el stream, envía un segmento
con el indicador FIN establecido.
6. El servidor envía un ACK para acusar el recibo del FIN y terminar la sesión cliente
servidor.
7. El servidor envía un FIN al cliente para terminar la sesión de servidor a cliente.

55
8. El cliente responde con un ACK para dar acuse de recibo del FIN desde el servidor.
Por otro lado, TCP realiza la reconstrucción de datos ordenada al numerar y secuenciar
los segmentos. Para ello, establece un número de secuencia inicial (ISN), que representa
el valor inicial de los bytes para esta sesión que se transmiten a la aplicación receptora. A
medida que se transmiten datos durante la sesión, el número de secuencia (SEQ) se
incrementa en el número de bytes que se han transmitido.
Para garantizar la entrega confiable de cada stream de datos, asegurando que este llegue
al destino, TCP utiliza de manera conjunta el número de secuencia (SEQ) y el acuse de
recibo (ACK) que envía el origen llegue al destino. Cuando no se recibe un ACK después de
una cantidad de tiempo determinada, el dispositivo origen retrasmite los datos dañados o
perdidos. Para ello, vuelve al último número de ACK que ha recibido y retransmite los
datos a partir del último SEQ recibido.
Por último, TCP proporciona mecanismos de control del flujo, utilizando para ello el
campo denominado tamaño de la ventana, en el cual se indica la cantidad de bytes que el
dispositivo de destino puede aceptar y procesar al mismo tiempo. El tamaño inicial de la
ventana se acuerda durante el inicio de sesión entre el origen y el destino, por medio del
protocolo de enlace de tres vías. Una forma de controlar el flujo de datos es utilizar
tamaños de ventana dinámicos, de modo que cuando los recursos de la red sean
limitados, es decir, en periodos de congestión, se debe reducir el tamaño de la ventana,
reduciendo de este modo la velocidad de trasmisión ya que el origen espera a recibir el
acuse de recibo con más frecuencia. El caso contrario sería redes altamente eficaces,
después de un periodo de tiempo de transmisión sin perdidas de datos, ni recursos
limitados. En este caso el receptor comienza a aumentar el tamaño de la ventana,
reduciendo la sobrecarga en la red.
El principal inconveniente de todos los procesos de TCP mencionados anteriormente es

que generan demoras en la transmisión.
56
El protocolo TCP se usa en aplicaciones donde los segmentos deben llegar en una
secuencia específica para que puedan ser procesados correctamente y donde todos los
datos perdidos pueden corromper una comunicación y dejarla incompleta o ilegible.
Algunos ejemplos típicos de aplicaciones que utilizan TCP son: FTP (Protocolo de
Transferencia de Archivos), HTTP (Protocolo de Transferencia de Hipertexto), bases de
datos, exploradores web y clientes de correo electrónico.
6.2. Protocolo de Datagramas de Usuario (UDP)

El protocolo de transporte UDP es un protocolo no confiable. Este cuenta con las
funciones básicas para entregar los segmentos de datos a las aplicaciones adecuadas, con
muy poca sobrecarga y revisión de datos. UDP no proporciona mecanismos de
retransmisión, secuenciación y control de flujo que ofrecen confiabilidad.
UDP es un protocolo sin estado, en el que no existe conexión entre hosts (cliente y
servidor) antes de enviar y recibir datos. UDP no hace un seguimiento de la sesión de
comunicación, de modo que no hay una reconstrucción ordenada de datos y no realiza la
retransmisión de datos perdidos.
Se puede decir que UDP es un protocolo de transporte de máximo esfuerzo, existiendo

una relación de compensación entre el nivel de confiabilidad y la carga que implica esta
para los recursos de red.
El protocolo UDP se usa en aplicaciones que puedan tolerar cierta pérdida de datos, pero
no admitan retrasos en la transmisión. Algunos ejemplos típicos son: TFTP (Protocolo
Trivial de Transferencia de Archivos), streaming de audio y vídeo, VoIP (Telefonía IP o Voz
sobre IP), DNS (Sistema de Nombres de Dominio), SNMP (Protocolo Simple de
Administración de Red), DHCP (Protocolo de Configuración Dinámica de Host), RIP
(Protocolo de Información de Enrutamiento) y juegos en línea.
57
7. CAPA DE APLICACIÓN
En este punto es necesario aclarar los siguientes conceptos:
o APLICACIONES: Programas informáticos con los que el usuario interactúa y que

inician el proceso de transferencia de datos a solicitud del usuario.
o SERVICIOS: Programas en segundo plano que proporcionan conexión entre la capa
de aplicación y las capas inferiores del modelo de red.
o PROTOCOLOS: Proporcionan una estructura de reglas y procesos acordados que
garantizan que los servicios que se ejecutan en un dispositivo particular puedan
enviar y recibir datos de una variedad de dispositivos de red diferentes.
La capa de aplicación es la más cercana al usuario final. Esta capa actúa de interface entre
las aplicaciones y la red subyacente por la que se transmiten los mensajes.
Basándonos en el modelo OSI, la capa de aplicación, queda dividida en tres subcapas:

Aplicación, Presentación y Sesión; ordenadas de manera descendente, según su cercanía
con el usuario final. La capa de presentación se encarga de dar formato a los datos del
dispositivo origen de modo que sean compatibles con el dispositivo de destino. En esta se
llevan a cabo procesos como la compresión y descompresión de datos o la encriptación y
descifrado de datos. Por último, la capa de sesión se encarga del inicio de los diálogos
entre las aplicaciones, mantenerlos activos o reiniciar sesiones que se interrumpieron o
que estuvieron inactivas durante periodo prolongado de tiempo.
58
7.1. Protocolos Principales de la Capa de
Aplicación
Figura 1. 14 Servicios de red. Fuente: Cisco Networking Academy.
7.1.1. Protocolo HTTP (Hypertext Transfer

Protocol)
HTTP se encarga de la transferencia de archivos que conforman las páginas Web. Para
ello, cuenta con un conjunto de reglas que regulan el intercambio de texto, imágenes,
sonido, vídeos y otros archivos multimedia.
HTTP no es un protocolo seguro. Los mensajes de solicitud y respuesta se envían en texto

sin formato, por lo que pueden ser interceptados y leídos. Para una comunicación segura
se utiliza HTTPS (Hypertext Transport Protocol Secure), el cual utiliza autenticación y
encriptación. Las principales desventajas de HTTPS son la carga y tiempo adicionales.
59
7.1.2. Protocolos del Servicio de Correo
Electrónico
Figura 1. 15 Proceso de envío y recepción de correo electrónico. Fuente: Cisco Networking Academy.
En la Figura 1.15 se muestra el proceso de envío y recepción de un correo electrónico, así

como los protocolos que intervienen.
Los mensajes de correo electrónico se guardan en bases de datos, en los servidores de

correo que mantienen los ISP. Los clientes de correo electrónico envían mensajes a un
servidor de correo electrónico determinado. Cuando el servidor recibe el mensaje,
verifica si el dominio receptor se encuentra en su base de datos local. De no ser así, envía
una solicitud DNS para determinar la dirección IP del servidor de correo electrónico de
destino. A continuación, el correo electrónico se reenvía al servidor correspondiente. Más
adelante, el destino, cuando descargue correos recibidos almacenados en su servidor
correspondiente, recibirá el correo.
60
Intervienen tres protocolos:
o SMTP (Simple Mail Transfer Protocol): Este protocolo permite a los usuarios el envío
del correo electrónico. Cuando un cliente envía un correo, el proceso SMTP del
cliente se conecta a un proceso SMTP del servidor, a través del puerto TCP 25. Una
vez que se ha establecido conexión, el cliente intenta enviar el correo al servidor,
cuando el servidor recibe el mensaje lo ubica en una cuenta local (si el destinatario
es local) o lo reenvía a otro servidor mediante el mismo proceso de conexión SMTP.
o POP (Post Office Protocol): El protocolo POP lo utilizan los clientes de correo
electrónico para recuperar el correo electrónico de un servidor remoto, es decir,
permite a los usuarios recibir correo electrónico. El servidor escucha de manera
pasiva en el puerto TCP 110 y cuando un cliente desea utilizar el servicio, envía una
solicitud para establecer una conexión TCP con un servidor. En POP los correos
electrónicos se descargan del servidor remoto al escritorio cliente y se eliminan del
servidor, lo que significa que no existe una ubicación centralizada.
o IMAP (Internet Message Access Protocol): El protocolo IMAP permite que los
clientes accedan a los correos electrónicos almacenados en un servidor de correo.
La principal diferencia respecto a POP es que IMAP mantiene el correo electrónico
en el servidor, ya que se descargan copias de los mensajes a la aplicación del
cliente, permitiendo recuperar el correo electrónico.
7.1.3. Protocolo DNS (Domain Name System)

DNS resuelve nombres de Internet en direcciones IP, traduciendo los nombres fáciles de
recordar de las páginas web en direcciones IP numéricas.
En la Figura 1.16 se puede observar que DNS utiliza un sistema de jerarquía escalable,
similar a un árbol invertido.
61
Figura 1. 16 Jerarquía de servidores DNS. Fuente: Cisco Networking Academy.
La resolución de nombres de host se distribuye entre varios servidores clasificados en

niveles:
1. Nombres/Servidores de dominio de primer nivel. Representan el tipo de

organización y el país. Por ejemplo:
 [.au] Australia
 [.co] Colombia
 [.com] Empresa o Industria.
 [.org] Organización sin fines de lucro.
2. Nombres/Servidores de dominio de segundo nivel.
3. Nombres de dominio de niveles inferiores.
Cuando el cliente realiza una consulta DNS, el proceso BIND (Berkeley Internet Name
Domain) del servidor observa primero sus propios registros para resolver el nombre. Si no
puede resolverlo con los registros almacenados, contacta con otros servidores de niveles
superiores. La solicitud puede pasar a lo largo de la cadena de servidores (cuanto mayor
sea el número de servidores por los que pasa, mayor será el tiempo de respuesta y el
ancho de banda consumido). Cuando se encuentra una coincidencia, se devuelve al
servidor solicitante original y este la almacena temporalmente en la memoria cache.
62
7.1.4. Protocolos FTP (File Transfer Protocol) y
TFTP (Trivial File Transfer Protocol)
El protocolo FTP permite la transferencia de archivos interactiva entre sistemas cliente y
servidor, en ambas direcciones, es decir, el cliente puede descargar datos del servidor o
subir datos a él. Es un protocolo confiable, orientado a conexión y con confirmación.
La primera sesión establecida entre cliente y servidor está destina para el tráfico de
control, constituida por comandos del cliente y respuestas del servidor. La segunda
sesión, establecida por el cliente, está destina a la transferencia de archivos propiamente
dicha.
Como alternativa, se encontraría TFTP, el cual es un protocolo de máximo esfuerzo, que

permite la transferencia de archivos activa sin conexión y sin confirmación. La principal
ventaja que ofrece frente a FTP es que proporciona una menor sobrecarga de los recursos
de red.
7.1.5. Protocolo TELNET (Telecommunication

Network) Y SSH (Secure Shell)
El Protocolo Telnet permite el acceso a terminales remotas. Telnet utiliza TCP como
protocolo de capa de transporte, es decir que primero se establece una sesión TCP y
luego la conexión TELNET. Es en esta última fase en la que se introduce usuario y
contraseña, transmitiéndose todo en texto plano, lo que lo convierte en un protocolo
inseguro.
Como alternativa, para el acceso a terminales remotas de forma segura tenemos el

protocolo SSH. En este protocolo la conexión es segura desde la fase de Autenticación
hasta el Cierre de sesión, utilizando para ello un algoritmo de cifrado asimétrico
denominado Diffie-Hellman.
63
En SSH también se utiliza TCP como protocolo de capa de trasporte, pero en este caso,
una vez se ha establecido el enlace de 3 vías entre cliente y servidor, se crea una clave o
secreto compartido, utilizando para ello Diffie-Helman, que permitirá cifrar los datos
compartidos (usuario, contraseña y toda la información transmitida) hasta que se cierre la
sesión.
8. MECANISMOS DE SEGURIDAD EN REDES DE

COMUNICACIÓN
Los mecanismos de seguridad garantizan el buen funcionamiento de la red, previniendo
fallos y posibles ataques de usuarios malintencionados, así como que los recursos de red
e información trasmitida a través de esta, sean únicamente accesibles y modificados por
personal autorizado.
Se pueden diferenciar dos tipos de seguridad en redes de comunicaciones. Por un lado,

estaría la seguridad física, aplicada en instalaciones y equipamiento, asegurando que no
es posible su manipulación. Por otro lado, estaría la seguridad lógica, donde se
encontraría la seguridad de la información (implantada mediante criptografía o
protocolos específicos), el control de acceso (con técnicas de autenticación y autorización
y la seguridad de sistemas (mediante contraseñas robustas, bloqueo de puertos, …)
Los mecanismos de seguridad lógica, tienen como finalidad asegurar la confidencialidad,

integridad y disponibilidad de la información que se transmite a través de la red, así como
el no repudio y autenticación de usuarios.
A continuación, se detallarán dos de las técnicas de seguridad aplicadas en el capítulo 4,

para la simulación de la configuración lógica de la red.
64
8.1. Protocolo AAA
AAA (Authentication, Authorization and Accountig) es un protocolo de seguridad de redes
que va a llevar a cabo las siguientes funciones:
o Autenticación: método de identificación de usuarios, mediante el cual se solicita
un nombre de usuario y contraseña, antes de permitir el acceso a la red y a los
recursos de esta.
o Autorización: conjunto de atributos que describen los recursos de red a los que el
usuario está habilitado a usar o acceder. Puede ser por línea (por usuario) o por
servicio (IP, IPX o VPDN).
o Contabilización: método que permite el seguimiento de los usuarios que tienen
acceso a los servicios, así como la cantidad de servicios que están consumiendo. La
información recopilada (nombres de usuario, tiempo de inicio y final, comandos
ejecutados, cantidad de paquetes enviados y nº de bytes) se envía al servidor AAA,
donde se almacena, permitiendo la auditoría de la red.
El protocolo AAA provee un incremento de la flexibilidad y el control de configuración de

acceso, así como una mayor escalabilidad de la red.
La implementación de AAA puede llevarse a cabo mediante servidores TACACS+ (Terminal

Access Control Access Control Server) o RADIUS (Remote Authentication Dial-In User
Service). La principal diferencia entre ambos protocolos se encuentra en el cifrado. El
protocolo TACACS+ cifra todo el paquete compartido entre el servidor y el router antes de
enviarlo a la red, desde que se solicita la comprobación de usuario, hasta que termina.
Por el contrario, RADIUS solo cifra la contraseña.
Para la configuración de nuestra red se considera que la utilización de un servidor RADIUS

será suficiente.
65
8.2. Firewall
Un Firewall o cortafuegos es un dispositivo de seguridad que proporciona la principal
clave para la seguridad perimetral. El principal objetivo de un firewall de red es denegar
(deny) o permitir (permit) el tráfico entrante o saliente de la red. Para ello se basará en
políticas y reglas explícitas preconfiguradas.
Los firewall tienen la capacidad de escuchar todo el tráfico entrante y saliente de la red
LAN. Estos desarman los encabezados de cada protocolo, pudiendo analizarlos y
verificando su uso correcto mediante patrones estandarizados.
Mediante el firewall se puede realizar un filtrado estático de paquetes, basado en la capa

3. Para ello, el firewall cuenta con reglas aplicadas a una o más interfaces con el propósito
de permitir o denegar tráfico específico. Estas reglas básicas, denominadas ACL (Access
Control List), están configuradas mediante software. El firewall recorrerá trama a trama el
tráfico de datos entrante (in) o saliente (out) de una de interface con ACL configurada, se
comparará el paquete con la lista de ACL configurada en orden descendente. Cuando se
de una coincidencia, parará de procesar el resto de la lista de la ACL y aplicará una acción
contra el paquete (lo permitirá o lo denegará).
Algunos de los criterios de coincidencia utilizados en las listas de ACL, son: dirección IP de
origen, dirección IP de destino, puerto origen, puerto destino, protocolos utilizados
(telnet, tcp, icmp, …).
De este modo existen diferentes tipos de reglas a aplicar:
- Reglas basadas en el control de tipo de servicios.

- Reglas basadas en el control de la dirección origen/destino utilizada.
- Reglas basadas en el control de usuarios, las cuales determinan que usuario es y
que está autorizado a hacer. Estas se pueden implementar mediante el protocolo
AAA.
La principal desventaja del filtrado estático de paquetes, es que el administrador debe

conocer exactamente que paquetes permitir o denegar, lo cual se complica al tener
diferentes perfiles de usuarios que acceden a diferentes servidores.
66
Por último, para completar la definición de firewall, quedaría por decir que son
dispositivos con capacidad de enrutamiento. Estos, establecen sesiones con estado,
mediante el protocolo TCP.
67
CAPÍTULO 3:
DISTRIBUCIÓN FÍSICA
DE LA RED LAN
68
1. DISTRIBUCIÓN DEL EDIFICIO Y
DIMENSIONAMIENTO DE LA RED
A la hora de establecer los recursos de red necesarios, así como su distribución, se han
tomado como base los criterios de funcionalidad de las diferentes zonas del edificio,
establecidos en el TFG Diseño de la red cableada, inalámbrica y de VoIP para el “Instituto
de la Edificación en el campus universitario de Cuenca”.
El Instituto Tecnologías, Edificación y Telecomunicaciones, cuenta con una superficie útil

de 3237,98 metros cuadrados, distribuidos en dos plantas.
Figura 2. 1 Ubicación y plano general del edificio. Fuente: TFG Diseño de la red cableada, inalámbrica y de
VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”.
La Planta Baja será la planta principal del edifico y sobre la que se desplegarán los
recursos de red. Esta, cuenta con un total de 3040,03 metros cuadrados, distribuidos en
las siguientes zonas:
69
Figura 2. 2 Distribución de la planta principal y sótano del edificio. Fuente: TFG Diseño de la red cableada,
inalámbrica y de VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”.
ZONA 1: LACAE, LABORATORIO DE CALIDAD EN LA EDIFICACIÓN

En esta primera zona habrá 1076,09 metros cuadrados, distribuidos en 15 salas:
o Sala de Morteros
o Cámara húmeda
o Sala de hormigones, ensayos de acero y probetas
o Almacén 2
o Sala de máquinas de ensayo
o Aseo M
o Aseo F
o Despacho técnico
o Despacho profesor
o Almacén 1
o Sala de ruidos
o Sala de áridos
o Sala de cerámicos
o Sala de ensayos químicos
o Archivo
70
Esta zona estará destinada en su mayoría a laboratorios, en los que se hará un
mayor uso de la cobertura inalámbrica, por lo que se le dará prioridad, siendo los
recursos de red cableada mínimos. Por ello, contará con los siguientes recursos de
red:
o Un total de 36 tomas de red que conformarán la cobertura cableada de la

red en esta zona.
o Dos puntos de Acceso inalámbricos, distribuidos de forma que doten de
cobertura inalámbrica a toda la zona.
o 3 Teléfonos IP.
Figura 2. 3 Distribución APs Zona 1: LACAE, calidad en la edificación.
71
Nº Tomas Red
SALA Nº de APs Nº Teléfonos IP
Cableada
Sala de morteros 4 0 0
Cámara húmeda 0 0 0
Sala de hormigones, ensayos de 4 1 0
acero y probetas
Almacén 2 0 0 0
Sala de máquinas de ensayo 4 0 0
Aseo M 0 0 0
Aseo F 0 0 0
Despacho técnico 4 0 1
Despacho profesor 4 0 1
Almacén 1 0 0 0
Sala de Ruidos 2 0 0
Sala de áridos 4 0 0
Sala de cerámicos 4 1 0
Sala de ensayos químicos 4 0 1
Archivo 2 0 0
TOTAL 36 2 3
Tabla 2. 1 Recursos de red Zona 1: LACAE, calidad en la edificación.
ZONA 2: SEMINARIOS, DESCANSO, TRABAJO COMÚN

Esta segunda zona contará con 448,12 metros cuadrados repartidos entre las 5
salas siguientes:
o Área de trabajo común
o Sala de descanso
o Seminario
o Sala de proyectos arquitectónicos
o Almacén
Exceptuando la sala de descanso y el almacén, el resto de salas de esta zona

deberán tener las suficientes tomas de red cableadas para poder dotar de
conexión los puestos informáticos existentes. Contará con los siguientes recursos
de red:
72
o 70 Tomas de red Cableada.
o 1 Punto de Acceso Inalámbrico, distribuido de forma que dote de cobertura
inalámbrica a toda la zona.
o 4 Teléfonos IP.
Figura 2. 4 Distribución de APs Zona 2: RECURSOS DE RED ZONA 2: seminarios, descanso y trabajo común.
73
Nº Tomas Red
Cableada
Área de trabajo común 30 0 2
Sala de descanso 4 0 0
Seminario 16 0 1
Sala de proyectos
arquitectónicos 20 0 1
Almacén 0 0 0
Pasillo 0 1 0
TOTAL 70 1 4
Tabla 2. 2 Recursos de red Zona 2: seminarios, descanso y trabajo común.
ZONA 3: LABORATORIO DE LA CONSTRUCCIÓN

En esta zona habrá un total de 281.18 metros cuadrados repartidos en 3 Salas:
o Almacén
o Despacho proyectos
o Sala de trabajo a escala 1:1 y de ensayos a pequeña escala
Exceptuando el almacén, el resto de zonas de esta sala se dotará con un número

de tomas de red cableada suficiente, que permita realización de sesiones prácticas
de construcción y proyectos. Por otro lado se dotará de cobertura inalámbrica a
toda la zona. Los recursos de red distribuidos en esta zona serán:
o 12 tomas de red Cableada.

o 1 Punto de Acceso Inalámbrico, distribuido de forma que dote de cobertura
o 2 Teléfonos IP.
74
Figura 2. 5 Distribución de APs Zona 3: Laboratorio de la construcción.
Nº Tomas Red
Cableada
Almacén 0 0 0
Despacho proyectos 8 0 1
Sala de trabajo a escala 1:1 y
4 1 1
de ensayos a pequeña escala
TOTAL 12 1 2
Tabla 2. 3 Recursos de red Zona 3: Laboratorio de la construcción.
ZONA 4: ACCESOS
Esta zona contará con un total de 353,37 metros cuadrados, distribuidos a lo largo
de 6 Salas:
o Baños M
o Baños F
o Zona de espera
o Sala de reuniones
o Cortavientos
o Conserjería
75
Los recursos de red cableados desplegados en esta zona se concentrarán en la sala de
reuniones y conserjería. En el resto de zonas, puestos que son zonas de accesos
comunes, primará la conexión por red inalámbrica:
o 20 tomas de Red Cableada.
o 2 Puntos de Acceso Inalámbricos, distribuidos de forma que doten de
cobertura inalámbrica a toda la zona.
o 2 Teléfonos IP.
Figura 2. 6 Distribución APs Zona 4: Accesos.
76
Nº Tomas Red
SALA Nº APs Nº Teléfonos IP
Cableada
Baños M 0 0 0
Baños F 0 0 0
Zona de Espera 4 0 0
Sala de reuniones 12 0 1
Cortavientos 0 0 0
Conserjería 4 0 1
Distribuidor/Acceso a 0 1 0
salas/Pasillo
TOTAL 20 1 2
Tabla 2. 4 Recursos de red Zona 4: Accesos.
ZONA 5: LAMARE, LABORATORIO DE MEDIDAS ACÚSTICAS

Esta zona cuenta con 427,6 metros cuadrados, distribuidos a lo largo de las 8 salas
siguientes:
o Sala de impacto ambiental, acústica y ruido laboral
o Sala de medidas radioeléctricas y radiocomunicaciones
o Cámaras
o Sala reverberante
o Sala de impedancia acústica de materiales
o Sala de despachos
o Sala de descarga
En esta zona se dotará de los recursos de red cableada mínimos a cada sala (2
tomas de red dobles), puesto que se considera innecesario para la realización de la
funcionalidad de estas salas, a excepción de la zona de despachos, donde la
conexión cableada cobra mayor importancia. Por otro lado, toda la roza estará
dotada de conexión inalámbrica. Los recursos de red necesarios en esta zona
serán:
o 28 tomas de red cableada..
o 1 punto de acceso inalámbrico, distribuido de forma que dote de cobertura
o 4 teléfonos IP.
77
Figura 2. 7 Distribución de APs Zona 5: ZONA 5: LAMARE, medidas acústicas.
Nº Tomas Red
Cableada
Sala de impacto ambiental,
4 0 1
acústica y ruido laboral
Sala de medidas
radioeléctricas y 4 0 0
radiocomunicaciones
Cámaras 4 0 1
Sala reverberante 4 0 0
Sala de impedancia acústica
4 0 1
de materiales
Sala de despachos 8 0 1
Sala de descarga 0 1 0
TOTAL 28 1 4
Tabla 2. 5 Recursos de red zona 5: LAMARE, medidas acústicas.
78
ZONA 6: RADIOFRECUENCIA, SALA DE ARQUITECTURA Y DOMÓTICA
Esta zona cuenta con 271,96 metros cuadrados, distribuidos a lo largo de las
siguientes salas:
o Área de trabajo común
o Proyectos B
o Proyectos C
o Productos químicos
o Sala de máquina
o Laboratorio de radiofrecuencia y sala de implementación de prototipos
En esta zona, se dotará de un mayor número de tomas de red cableada a las salas
de trabajo común y proyectos, ya que se considera que puede ser necesario para
la funcionalidad de estas. El resto de salas se dotará con los recursos de red
cableada mínimos. Los recursos de red implementados en esta zona son:
o 40 tomas de red cableada.

o 1 Punto de acceso inalámbrico, distribuido de forma que dote de cobertura
o 4 Teléfonos IP.
79
Figura 2. 8 Distribución de APs Zona 6: Radiofrecuencia, sala de arquitectura y domótica.
Nº Tomas Red
Cableada
Área de trabajo común 16 0 1
Proyectos B 8 0 1
Proyectos C 8 0 1
Productos químicos 2 0 0
Sala de máquinas 2 0 0
Laboratorio de radiofrecuencia y sala
4 0 1
de implementación de prototipos
Distribuidor/Pasillo 0 1 0
TOTAL 40 1 4
Tabla 2. 6 Recursos de red Zona 6: Radiofrecuencia, sala de arquitectura y domótica.
Por último, en otra planta, se encontrará el sótano. Este contará con un total de 197,95
metros cuadrados. Esta planta estará destina a los cuartos de instalaciones (instalación de
entrada y cuarto de equipos principal), necesarios para la implantación de la red LAN en
el instituto y el despliegue del cableado estructurado.
80
Figura 2. 9 Distribución del Edificio.
En la Figura 2.9 se muestra un resumen más visual de la distribución de las salas del
edificio y los recursos de red.
Si hacemos un conteo general de los recursos de red necesarios obtendremos:
TOMAS RED CABLEADA

206
FINALES
AP 7
TELÉFONOS IP 19
Tabla 2. 7 Recursos de red totales.
81
2. RED CABLEADA. ARQUITECTURA DE RED Y
SUBSISTEMAS
La arquitectura de la red LAN será en forma de árbol y contará con 2 niveles o
subsistemas:
I. Subsistema de Cableado Troncal de Edificio.

Este subsistema contendrá el repartidor de edificio, el cual estará situado en la Zona 7
(Sótano), en el cuarto de instalaciones.
En esta planta se instalará el cuarto de telecomunicaciones principal, donde se situará

la acometida principal del edificio.
II. Subsistema de Cableado de Planta.

Teniendo en cuenta la distribución y dimensiones del edificio, así como los recursos
de red necesarios, se ha establecido que este subsistema estará formado por 3
switches repartidores de planta:
o Switch repartidor OESTE, el cual estará ubicado en la sala de Despacho Técnico
(Zona 1: LACAE).
Este switch será el encargado de dar servicio a la Zona 1 (LACAE, Calidad en la
Edificación), Zona 2 (Seminarios, descanso, trabajo común) y Zona 3
(Laboratorio de la construcción), contando con un total de 127 tomas finales.
o Switch Repartidor ESTE, situado en la sala de Despachos (Zona 5).
Este, dará servicio a la Zona 4 (Accesos), Zona 5 (LAMARE, Medidas Acústicas) y
Zona 6 (Radiofrecuencia, Sala de Arquitectura y Domótica), contando con un
total de 98 tomas finales.
o Switch DMZ, destinado a dar servicio a todos los hosts finales que se ubiquen en
la zona desmilitarizada, como es el caso de servidores a los que se debe acceder
desde internet. Éste se ubicará en el cuarto de telecomunicaciones principal,
junto con el resto de dispositivos de la red (Zona 7: Cuartos de Instalaciones).
82
3. WLAN
La red LAN de tecnología inalámbrica estará basada en el Estándar IEEE 802.11.
Esta será una red de infraestructura, en la que los host inalámbricos finales se conectarán
de manera inalámbrica a los APs o routers inalámbricos. A su vez, los APs o routers
inalámbricos, estarán conectados a la red LAN cableada, a partir del cableado ubicado en
un falso techo. Los dispositivos inalámbricos soportarán la alimentación por Ethernet
(PoE, Power over Ethernet).
El diseño de la red WiFi se ha realizado atendiendo al estándar 802.11n. Esta red

inalámbrica deberá soportar datos, vídeo, VoIP y aplicaciones corporativas.
A la hora de establecer el dimensionamiento de la WLAN se ha tenido en cuenta las

políticas BYOD, por lo que se ha tendido a un sobredimensionamiento, para que la red
sea capaz de soportar picos de conexiones en momentos puntuales.
La WLAN tendrá un diseño basado en la capacidad, por lo que se contará con una alta
densidad de APs o routers inalámbricos, ajustando la potencia de estos (en torno al 25-
60%), para evitar que sus áreas de cobertura se solapen.
En la Figura 2.10 puede observarse el mapa de calor simulado mediante el software

Virtual RF Plan. En la figura, se refleja la cobertura de red inalámbrica a lo largo de todo el
edificio, con la distribución de APs propuesta. Como puede observarse, con la distribución
diseñada, quedarán dotadas de conexión inalámbrica las diferentes salas del edificio.
83
Figura 2. 10 Mapa de calor red de cobertura inalámbrica. Fuente: Diseño de la red cableada, inalámbrica y
de VoIP para el “Instituto de la Edificación en el campus universitario de Cuenca”.
Se contará con un total de 7 Puntos de Acceso, los cuales, según su ubicación, proximidad
a los switches repartidores y teniendo en cuenta un reparto de recursos de red
homogéneos (en la medida de lo posible), se encontrarán repartidos del siguiente modo:
 4 APs irán conectados al Switch Repartidor OESTE

 3 APs irán conectados al Switch Repartidor ESTE
Tras los cálculos realizados en el proyecto de cableado estructurado anterior, se

estableció que:
"La Capacidad máxima de cada AP es de 450 Mbps brutos, que resultan
217Mbps si eliminamos cabeceras de radio y la señalización. Suponiendo que
proporcionamos un Ancho de Banda de 10Mbps a cada usuario (...) y en el caso de
usuarios repartidos equitativamente entre los APs"
Por tanto, tras realizar el cálculo que se muestra a continuación, el número de usuarios
máximo a los que podrá dar uso la WLAN será 152 usuarios aproximadamente:
217𝑀𝑏𝑝𝑠⁄
1𝐴𝑃 ∙ 7𝐴𝑃
= 151,9 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 ≅ 152 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
10𝑀𝑏𝑝𝑠⁄
𝑢𝑠𝑢𝑎𝑟𝑖𝑜
84
CAPÍTULO 4:
CONFIGURACIÓN LÓGICA
DE LA RED LAN
85
1. DIRECCIONAMIENTO DE LA RED
El primer paso para la configuración lógica es el direccionamiento de la Red. Se
comenzará con un conteo de los dispositivos totales a los que debe dar servicio de
direccionamiento IP la red LAN a configurar. Seguidamente, a partir del número total de
dispositivos, se calculará la dirección de red. Por último, se establecerá el esquema de
direccionamiento, así como los criterios seguidos para la creación de este.
1.1. Tamaño de la red y Dispositivos Totales

Los elementos de una red se pueden dividir en dispositivos finales y dispositivos
intermediarios.
Como hemos visto en capítulos anteriores, la red LAN del instituto deberá estar
preparada para dotar de conexión al siguiente número de dispositivos finales:
- La red cableada deberá dar servicio a 206 hosts. Además, deberá contar con 19
tomas destinadas a teléfonos IP.
- Por otro lado, la red inalámbrica deberá albergar un total de 152 host.
Además de host destinados a usuarios directos, nuestra red LAN deberá contar con los
siguientes elementos finales pertenecientes a los servicios comunes de la red:
o Servidores: servidor web, servidor de correo electrónico, servidor DNS,

servidor corporativo, servidor DHCP, servidor RADIUS.
o Impresoras, las cuales estarán ubicadas en lo que denominaremos
despacho multifunción.
Por otro lado, la red LAN contará con dispositivos intermediarios, a los cuales también se
les deberá asignar direcciones IP:
o Router. Deberemos reservar una dirección IP de nuestra red para cada una de las
subinterfaces que conectarán al router con la correspondiente VLAN y actuando
de este modo como gateway predeterminado.
86
o Switches: switch principal distribuidor del edificio, switch repartidor de planta
OESTE, switch repartidor de planta ESTE, switch DMZ. Los switches listados
necesitarán direcciones IP para permitir el direccionamiento entre VLANs y para
configurar su interface virtual de administración (VLAN 88).
En total, y sobredimensionando las necesidades de nuestra red LAN, el cálculo de

direcciones IP que debe albergar será:
Nº DE
DIRECCIONES
IP
DATOS 118
REPARTIDOR OESTE
TELEFONÍA IP 9
DISPOSITIVOS FINALES RED LAN
DATOS 88
REPARTIDOR ESTE
TELEFONÍA IP 10
SERVICIOS COMUNES SERVIDORES, IMPRESORAS, FIREWALL
50
EQUIPOS DE ADMINISTRACIÓN ROUTERS, SWITCHES
REPARTIDOR OESTE 4 AP 87
DISPOSITIVOS FINALES RED WLAN
REPARTIDOR ESTE 3 AP 65
TOTAL 427
Tabla 3. 1 Cálculo del número de direcciones que debe albergar la red LAN. Dimensionamiento de la red.
Una vez tenemos el número total de direcciones IP necesarias en la red, podremos

calcular su tamaño.
Cuando hablamos del tamaño de una red, hacemos referencia al número de hosts que
podrá albergar esta. El tamaño vendrá determinado por la máscara de subred.
Para calcularla debemos hacer uso de la siguiente fórmula:
𝑁º𝑑𝑒 ℎ𝑜𝑠𝑡𝑠 = 2𝑛 − 2
(𝑑𝑜𝑛𝑑𝑒 𝑛 𝑒𝑠 𝑒𝑙 𝑛º 𝑑𝑒 𝑏𝑖𝑡𝑠 𝑑𝑒 𝑙𝑎 𝑝𝑜𝑟𝑐𝑖ó𝑛 𝑑𝑒 ℎ𝑜𝑠𝑡 𝑑𝑒 𝑙𝑎 𝑚á𝑠𝑐𝑎𝑟𝑎 𝑑𝑒 𝑟𝑒𝑑)
En la fórmula, se resta el valor 2 en referencia a las siguientes direcciones:
- Dirección de Red: esta es la primera dirección del rango, que contiene todos los
bits de host puestos a '0'.
- Dirección de Broadcast: última dirección del rango, que contiene todos los bits de
host puestos a '1'.
87
Como sabemos que el número de host al que debe dar servicio nuestra red debe ser
mayor o igual a 400. Podemos calcular n.
𝑛 = 9 ; 𝑁º 𝑑𝑒 ℎ𝑜𝑠𝑡𝑠 = 29 − 2 = 512 − 2 = 510
Por tanto, sabiendo que la porción de host de la máscara subred se corresponde con los
bits puestos a cero, la máscara de subred sería:
11111111.11111111.11111110.00000000 ≡ 255.255.254.0 ≡ /23
Este podría parecer el tamaño de subred definitivo, pero a continuación, al dividir la red
LAN en diferentes subredes teniendo en cuenta las VLANs, veremos la máscara de red va
a ser modificada.
1.2. División en subredes

La red LAN quedará dividida en diferentes subredes, correspondientes con las VLANs. Por
tanto, se contará con tantas subredes como VLANs tenga nuestra red.
Cada VLAN en una red conmutada corresponde a una subred IP, por lo que, al diseñar una
VLAN se debe tener en cuenta la implementación de un esquema de direccionamiento de
red jerárquico.
En el capítulo 4, sección 4 (Configuración de VLANs), se detallará la función específica de

cada VLAN, ahora únicamente nos limitaremos a citar diferentes tipos y el número
máximo de host que van a albergar:
88
NOMBRE VLAN Nº VLAN Nº HOSTS
Datos (red VLAN VLAN 10 206 hosts

cableada) INVESTIGACIÓN
VoIP VLAN VOIP VLAN 20 19 hosts
Red inalámbrica del VLAN PERSONAL VLAN 30 152

personal
Red inalámbrica de VLAN INVITADOS VLAN 40 152

invitados
Servicios comunes VLAN SERVICIOS VLAN 50 10

COMUNES
Administración VLAN VLAN 88

ADMINISTRACIÓN
Nativa VLAN NATIVA VLAN 99
Tabla 3. 2 Definición de las diferentes VLANs de la red.
El número de host al que debe dar servicio cada VLAN estará distribuido entre el
repartidor ESTE y el repartidor OESTE, del siguiente modo:
89
VLAN TOMAS REPARTIDOR TOMAS TOMAS /HOST
OESTE REPARTIDOR ESTE TOTALES
VLAN INVESTIGACIÓN 118 88 206
VLAN VOIP 9 10 19
VLAN PERSONAL 87 65 152
VLAN INVITADOS 87 65 152
VLAN SERVICIOS COMUNES 10 10
Tabla 3. 3 Tomas repartidores ESTE y OESTE según VLANs.
Como vemos la red LAN quedaría dividida en 7 subredes. De estas, la subred que
necesitará albergar el máximo número de host es la VLAN de Investigación. A partir de
este número máximo de host, obtendremos la máscara de subred o tamaño de subred.
Como sabemos que el número de host al que debe dar servicio la subred, debe ser mayor
o igual a 206, podemos calcular n.
𝑛 = 8; 28 − 2 = 256 − 2 = 254
Esto significaría que el tamaño de nuestras subredes albergaría un máximo de 254 host
por subred. Por tanto, la máscara de subred sería:
11111111.11111111.11111111.00000000 ≡ 255.255.255.0 ≡/24
Ahora calcularemos la dirección de red. Para ello, primero vamos a aplicar la siguiente
fórmula:
𝑁º 𝑠𝑢𝑏𝑟𝑒𝑑𝑒𝑠 = 2𝑛
(𝑑𝑜𝑛𝑑𝑒 𝑛 = 𝑛º 𝑑𝑒 𝑏𝑖𝑡𝑠 𝑞𝑢𝑒 𝑠𝑒 𝑡𝑜𝑚𝑎𝑛 𝑝𝑟𝑒𝑠𝑡𝑎𝑑𝑜𝑠 𝑑𝑒 𝑙𝑎 𝑝𝑜𝑟𝑐𝑖ó𝑛 𝑑𝑒 ℎ𝑜𝑠𝑡 𝑑𝑒 𝑙𝑎 𝑑𝑖𝑟𝑒𝑐𝑐𝑖ó𝑛 𝑑𝑒 𝑟𝑒𝑑)
Como sabemos que mínimo vamos a necesitar 7 subredes, el número de bits mínimo que
necesitamos tomar prestado de la dirección de red será:
7 = 2𝑛 ; 𝑛 = 3 ; 𝑁º𝑠𝑢𝑏𝑟𝑒𝑑𝑒𝑠 = 23 = 8
90
De aquí obtenemos que la máscara de red de nuestra dirección de red debe ser como
máximo una /21. Esto es así ya que, si nuestras subredes hemos calculado que deben ser
/24, y teniendo en cuenta que hemos calculado que de la dirección de red habría que
tomar 3 bits prestados, tendremos:
/24 − 3𝑏𝑖𝑡𝑠 =/21(𝑚á𝑠𝑐𝑎𝑟𝑎 𝑠𝑢𝑏𝑟𝑒𝑑 𝑚á𝑥𝑖𝑚𝑎 𝑑𝑒 𝑙𝑎 𝑟𝑒𝑑)
Sin embargo, otorgándole un sobredimensionamiento a nuestra red, que le permita

crecimiento futuro y también por una facilidad de memorización de nomenclatura vamos
a utilizar las siguientes direcciones de red y subredes:
DIRECCIÓN DE RED 192.168.0.0 /16

VLAN INVESTIGACIÓN VLAN 10 192.168.10.0 /24
VLAN VOIP VLAN 20 192.168.20.0 /24
VLAN PERSONAL VLAN 30 192.168.30.0 /24
DIRECCIÓN DE SUBRED VLAN INVITADOS VLAN 40 192.168.40.0 /24
VLAN SERVICIOS COMUNES VLAN 50 192.168.50.0 /24
VLAN ADMINISTRACIÓN VLAN 88 192.168.88.0 /24
VLAN NATIVA VLAN 99 192.168.99.0 /24
Tabla 3. 4 Direccionamiento de la red con VLANs.
Teniendo en cuenta que estas direcciones se tratan de direcciones IP privadas, que

únicamente deben ser únicas a nivel de LAN interna, y que en apartados posteriores se
configurará NAT para la traducción de direcciones IP privadas a direcciones IP públicas, se
hace innecesaria la utilización de máscaras subred variables, ya que el desperdicio de
direcciones IP privadas no supondría un problema y el tener todas las subredes del mismo
tamaño nos ayuda a conseguir un esquema de red más claro y fácil administrar. Por otro
lado, esto será útil de cara al crecimiento futuro de nuestra red.
91
1.3. Esquema de Direccionamiento
El diseño, la implementación y la administración de un plan de direccionamiento IP eficaz
asegura que las redes puedan operar de manera eficaz y eficiente.
Para crear el esquema de direccionamiento de la red LAN del Instituto de Tecnologías,

Edificación y Telecomunicaciones, hemos considerado bloques lógicos de direcciones en
función del tipo de dispositivo:
- Dispositivos finales para usuarios.

- Servicios Comunes (servidores y periféricos).
- Host a los que se accede desde Internet.
- Dispositivos intermedios.
Una vez considerados los grupos, hemos creado una serie de estándares a seguir:
ESTÁNDARES/REGLAS DE DIRECCIONAMIENTO
DIRECCIONAMIENTO ESTÁTICO:
Se asignarán direcciones IP estáticas a aquellos dispositivos de la red cuyas ubicaciones

(físicas y lógicas) probablemente no cambien. Por lo general se trata de dispositivos que
proporcionan recursos de red, es decir, aquellos que proporcionan servicios a los usuarios
y dispositivos de red.
Dispositivos pertenecientes a los Servicios Comunes:

□ A los servidores se les asignará la dirección más alta del rango.
□ A las impresoras se les asignará las siguientes direcciones del rango.
□ Si hubiera algún otro tipo de dispositivo periférico, se le asignarían las siguientes
direcciones disponibles del rango.
□ En el caso de los servidores a los que se pueda acceder desde Internet, cada
uno debe tener una dirección pública asociada. El router o el firewall del
perímetro de la red debe estar configurado para traducir la dirección IP interna
privada en una dirección IP pública.
92
Dispositivos Intermedios:
□ A los routers se les asignarán las primeras direcciones de host disponibles del
rango. De este modo se le asignará la dirección IP a la interface de red que
actúa como gateway predeterminado para la red.
□ A los switches y APs se les asignará las siguientes direcciones IP disponibles del
rango. Realmente, estos dispositivos no requieren dirección IP para funcionar
como dispositivos intermediarios. Sin embargo, si es necesario acceder a estos
dispositivos como host para configurar o controlar la red, o resolver problemas
de funcionamiento (para su administración), deben tener direcciones
asignadas.
DIRECCIONAMIENTO DINÁMICO:
Se asignarán direcciones IP dinámicas resto de dispositivos finales para usuarios. Esto se

conseguirá a partir de un servidor DHCP, que enviará las direcciones IP del pool de
direcciones establecido (con subredes /24), a los hosts con DHCP habilitado. Este será el
caso de algunos PCs, teléfonos IP, tablets, … En definitiva, en dispositivos cuya ubicación
puede cambiar a lo largo del tiempo.
1.4. Diagrama de la Topología

A continuación, se mostrará el diagrama de la topología de la red LAN que se configura en
este TFG.
La red contará con sistema de cableado troncal del edificio, del cual partirán dos
subsistemas: repartidor OESTE y repartidor ESTE. Esto puede observarse en la Figura 3.1.
93
Figura 3. 1 Topología de la red LAN.
En el subsistema de cableado troncal, estará situado el router, que nos proporcionará el

acceso a internet.
También contaremos con la zona desmilitarizada. En este punto cabe decir que
finalmente, y tras decidirnos por la configuración de un firewall de 3 vías, como se
explicará en la sección 9 (configuración del firewall), la DMZ quedará situada en una
interface del router diferente a la que dará acceso a la red interna.
Por último, tendremos situado el switch distribuidor principal del edificio, el cual irá
conectado por fibra óptica al router y a cada uno de los subsistemas repartidores de
planta (ESTE y OESTE). Además, este switch, dará conexión a los hosts situados en el
despacho multifunción y a la granja de servidores internos.
Todo lo comentado respecto al sistema de distribución principal del edificio, puede

observarse en la Figura 3.2.
94
Figura 3. 2 Topología del subsistema de cableado troncal del edificio.
En el cableado de planta, se encuentran los subsistemas repartidores ESTE y OESTE. La

topología de ambos será similar, diferenciándose únicamente en el número final de host y
de APs, tal y como puede observarse en las Figuras 3.3 y 3.4. Las interfaces de estos
switches repartidores irán conectadas a host finales de la LAN cableada de datos y VoIP,
así como a los routers inalámbricos o APs, mediante cableado de cobre FastEthernet.
95
Figura 3. 3 Topología del subsistema de cableado de planta. Repartidor ESTE.
Figura 3. 4 Topología del subsistema de cableado de planta. Repartidor OESTE.
96
Por último, se agregará un enlace serial en el router (interface Se0/1/0) que irá conectado
a una red ISP. Esta red ISP estará formada por un router, un servidor (que tendrá
integrados los servicios de DNS y servidor web) y un PC. Mediante esta configuración, se
simulará la conexión a internet. Esto puede observarse en la Figura 3.5.
Figura 3. 5 Conexión con ISP. Red ISP.
1.5. Tabla de Direccionamiento

A continuación, se muestra una la tabla con el esquema de direccionamiento definitivo de
nuestra red, teniendo en cuenta las diferentes redes y subredes originadas por las VLANs,
así como por la zona DMZ. Ambos puntos (VLANs y zona DMZ) se verán con más
detenimiento en los próximos apartados.
97
DIRECCIÓN DE RED INTERNA 192.168.0.0/16
Máscara Duración de
Nombre del dispositivo Interface Dirección IP
Subred Prefijo
ROUTER PERIMETRAL Fa 1/0.10 192.168.10.1 255.255.255.0 /24
Fa 1/0.20 192.168.20.1 255.255.255.0 /24
Fa 1/0.30 192.168.30.1 255.255.255.0 /24
Fa 1/0.40 192.168.40.1 255.255.255.0 /24
Fa 1/0.50 192.168.50.1 255.255.255.0 /24
Fa 1/0.88 192.168.88.1 255.255.255.0 /24
Fa 1/0.99 192.168.99.1 255.255.255.0 /24
Se 0/1/0 209.165.200.226 255.255.254.0 /23
Fa0/0 10.10.0.1 255.255.255.0 /24
loopback 0 172.16.3.1 255.255.255.0 /24
Servidor DHCP Fa0 192.168.50.254 255.255.255.0 /24
Servidor FTP (DMZ) Fa0 10.10.0.253 255.255.255.0 /24
Servidor Web (DMZ) Fa0 10.10.0.252 255.255.255.0 /24
Servidor Correo (DMZ) Fa0 10.10.0.251 255.255.255.0 /24
Servidor DNS (DMZ) Fa0 192.168.50.250 255.255.255.0 /24
Servidor RADIUS Fa0 192.168.50.248 255.255.255.0 /24
Impresora Fa0 192.168.50.249 255.255.255.0 /24
PC1 ESTE NIC DHCP
PC2 ESTE NIC DHCP
PC1 OESTE NIC DHCP
PC2 OESTE NIC DHCP
Laptop AP ESTE Wireless0 DHCP
Laptop AP OESTE Wireless0 DHCP
Tlf IP ESTE DHCP
Tlf IP OESTE DHCP
SWITCH ESTE VLAN 88 192.168.88.3 255.255.255.0 /24
SWITCH OESTE VLAN 88 192.168.88.4 255.255.255.0 /24
SWITCH DISTRIBUIDOR
PRINCIPAL VLAN 88 192.168.88.2 255.255.255.0 /24
SWITCH DMZ VLAN 1 10.10.0.3 255.255.255.0 /24
Router Inalámbrico Employee
ESTE INTERNET 192.168.30.2 255.255.255.0 /24
LAN 192.168.0.0 255.255.255.0 /24
Router Inalámbrico Guest ESTE INTERNET 192.168.40.2 255.255.255.0 /24
LAN 192.168.0.0 255.255.255.0 /24
Router Inalámbrico Employee
OESTE INTERNET 192.168.30.3 255.255.255.0 /24
LAN 192.168.0.0 255.255.255.0 /24
Router Inalámbrico Guest
OESTE INTERNET 192.168.40.3 255.255.255.0 /24
LAN 192.168.0.0 255.255.255.0 /24
Tabla 3. 5 Direccionamiento final de la red.
98
2. CONECTIVIDAD FÍSICA
En esta primera etapa, se comprobará que verdaderamente existe conectividad física
entre los dispositivos de la red.
Una vez que tenemos realizado la topología y el direccionamiento de nuestra red, lo

implementaremos en el software Packet Tracer.
1. AÑADIR DISPOSITIVOS
El primer paso consistirá en añadir los dispositivos con los que va a contar la red:
a. Router Perimetral.
Para simular este router elegiremos un Router 2811. En este caso contiene un
módulo que proporciona conectividad de fibra óptica con velocidad FastEthernet,
suficiente para aplicaciones LAN. Otros módulos con los que debe contar será el
serial, que permite la conexión de la red LAN con internet, y un módulo que
permita la conexión con la zona DMZ mediante cableado de cobre, con
velocidades FastEthernet.
En el pliego de condiciones de este TFG, se ha seleccionado el modelo Cisco 4431

Integrated Services, como router perimetral.
b. Switch de la DMZ.
Para simular este switch elegiremos un switch genérico. Este debe contar con
módulos que permitan la conexión de cable de cobre con velocidades
FastEthernet, para la conexión por un lado con el router y por otro con los
diferentes dispositivos periféricos que se encuentren en esta zona, sumando un
total de 4 puertos como requisitos mínimos.
En el pliego de condiciones de este TFG, se ha seleccionado el modelo Cisco

Catalyst 2960X-24PD-L, como switch DMZ.
99
c. Switch Distribuidor.
Para simular este switch elegiremos un switch genérico. Este debe contar con
módulos que permitan la conectividad mediante fibra óptica, para las conexiones
con el router y los switch repartidores, es decir, debe contar con un mínimo de 3
puertos para conexión de fibra óptica. Por otro lado, deberá permitir velocidades
FastEthernet mediante cableado de cobre para las conexiones con los dispositivos
de las zonas del despacho multifunción y la granja de servidores internos, siendo
necesario un mínimo de 5 puertos de conexión de cableado de cobre
FastEthernet.

Catalyst 3650-48FQM-S, como switch distribuidor principal.
d. Switches Repartidores ESTE y OESTE.

Para simular estos switches elegiremos switches Genéricos. Estos deben contar
tanto con módulos con conexiones para fibra óptica, para la unión con el switch
distribuidor, como con módulos con conexiones para cableado de cobre y
velocidades FastEthernet, para la conexión con los diferentes dispositivos
periféricos de la red. Por tanto, será necesario por cada switch como mínimo un
puerto para la conexión de fibra óptica, 100 puertos FastEthernet para la conexión
de cableado de cobre en el caso del switch repartidor ESTE y 130 puertos
FastEthernet para la conexión de cableado de cobre en el caso del switch
repartidor OESTE, de manera aproximada (redondeando la cantidad final,
tendiendo al sobredimensionamiento).

Catalyst 2960X-48FPD-L, para los switches repartidores ESTE y OESTE.
e. Routers inalámbricos.
Se añaden routers inalámbricos para la configuración de la red inalámbrica. Para
la simulación en Packet Tracer se utilizará el WRT300N, ya que es el único router
inalámbrico con el que cuenta este software. En total, se utilizarán 4 routers
inalámbricos: red de invitados de la zona ESTE, red de personal zona ESTE, red de
invitados de la zona OESTE y red de personal zona OESTE.
100
En el pliego de condiciones de este TFG, se ha seleccionado el modelo Cisco 3504
Wireless Controller, como WLC que nos proporcionará la conectividad inalámbrica.
f. Teléfonos IP.
Para la simulación en Packet Tracer de la VoIP, se utilizarán los teléfonos IP
7960, ya que es el único modelo disponible en este software.
En el pliego de condiciones de este TFG, se ha seleccionado el modelo de teléfonos

IP Cisco IP Phone 8865.
g. Servidores.
Se partirá de un servidor genérico, en el cual se desactivarán o activarán
servicios según las necesidades del servidor que queramos crear. Los servidores a
añadir son: servidor Web, servidor de Correo, servidor DNS, servidor DHCP,
servidor FTP y servidor RADIUS.
En el pliego de condiciones de este TFG, se ha seleccionado el modelo de servidor

Cisco UCS C240 M4 Rack Server.
h. Por último, se añadirán el resto de dispositivos periféricos, como

impresoras, PCs y dispositivos inalámbricos. Es importante comprobar que
estos últimos, cuentan con una interface Wireless. Si no cuentan con ella,
se deberá cambiar la Tarjeta de Red cableada por una NIC inalámbrica.
La diferencia existente entre los dispositivos utilizados en Packet Tracer y los elegidos en
el pliego de condiciones, se debe a que el software de simulación ofrece un menor
número de modelos a elegir que los que se ofertan en el mercado actual. Por tanto, en
Packet Tracer se ha elegido la opción que cubría las necesidades de simulación de la red
dentro de las limitaciones de dispositivos que ofrece el software, y en el pliego de
condiciones se ha escogido el que se ha considerado más apropiado dentro de los que se
ofertan en el mercado actualmente, con el objetivo de mejorar las características del
primero y mejorar el funcionamiento de la red.
101
Como aclaración, es necesario indicar que, a la hora de realizar la simulación, se ha
añadido un único dispositivo por VLAN y por zona (ESTE y OESTE), ya que estos servirán
como modelo ejemplo de configuración. La configuración del resto de dispositivos no
añadidos se limitará a replicar el proceso de los dispositivos modelo simulados.
2. INTERCONECTAR DISPOSITIVOS
Una vez ya tenemos añadidos todos los dispositivos de nuestra red, el siguiente paso
consistirá en la interconexión de estos.
Utilizaremos fibra óptica para interconectar los dispositivos pertenecientes al subsistema

de cableado troncal del edifico. En concreto, se utilizará fibra óptica multimodo OM2.
Los dispositivos del subsistema repartidor de planta los interconectaremos con cableado
de cobre. En concreto, será categoría 6, clase E, U/UTP.
En las figuras 3.1, 3.2, 3.3, 3.4 y 3.5 del capítulo 4, sección 1.4 (diagrama de la topología),
pueden observarse las conexiones de fibra óptica, ilustradas con un cable rojo; y las
conexiones de cable coaxial, ilustradas con un cable negro.
3. COMPROBAR LA CONECTIVIDAD FÍSICA
Para poder comprobar la conectividad física inicial entre dispositivos, vamos a configurar
el siguiente esquema de direccionamiento en los dispositivos. Este esquema inicial de
configuración, es un esquema muy básico, que solo utiliza direccionamiento estático y no
tiene en cuenta las direcciones por DHCP, VLANS, red inalámbrica y red DMZ, pero que
servirá de punto de partida a nuestra topología.
102
Duración de Gateway
Nombre del dispositivo Interface Dirección IP Máscara Subred
Prefijo Predeterminado
ROUTER PERIMETRAL Gig 9/0 192.168.88.1 255.255.0.0 /16 N/A
loopback 127.0.0.1 255.255.255.0 /16 N/A
Servidor DHCP Fa0 192.168.50.254 255.255.0.0 /16 192.168.88.1
Servidor FTP Fa0 192.168.50.253 255.255.0.0 /16 192.168.88.1
Servidor Web Fa0 192.168.50.252 255.255.0.0 /16 192.168.88.1
Servidor Correo Fa0 192.168.50.251 255.255.0.0 /16 192.168.88.1
Servidor DNS Fa0 192.168.50.250 255.255.0.0 /16 192.168.88.1
Impresora Fa0 192.168.50.249 255.255.0.0 /16 192.168.88.1
PC1 ESTE NIC 192.168.10.1 255.255.0.0 /16 192.168.88.1
PC2 ESTE NIC 192.168.10.2 255.255.0.0 /16 198.168.88.1
PC1 OESTE NIC 192.168.10.3 255.255.0.0 /16 192.168.88.1
PC2 OESTE NIC 192.168.10.4 255.255.0.0 /16 192.168.88.1
Laptop AP ESTE Wireless0 192.168.30.1 255.255.0.0 /16 192.168.88.1
Laptop AP OESTE Wireless0 192.168.30.2 255.255.0.0 /16 192.168.88.1
Tlf IP ESTE
Tlf IP OESTE
SWITCH ESTE
SWITCH OESTE
SWITCH DISTRIBUIDOR PRINCIPAL
SWITCH DMZ
AP ESTE
AP OESTE
Tabla 3. 6 Tabla de direccionamiento inicial básico.
Este esquema no es el definitivo, y solo nos servirá para comprobar que existe
conectividad física. Para ello, una vez que hemos configurado las direcciones IP en los
dispositivos, comprobamos que aparecen en verde los indicadores de conectividad.
Además, haremos pruebas ping entre los dispositivos, para comprobar que
verdaderamente pueden escucharse.
103
3. CONFIGURACIÓN INICIAL DE DISPOSITIVOS
En la configuración inicial de dispositivos, se configurarán parámetros como contraseñas
o nombres de hosts, que servirán como una medida básica de seguridad de la red.
En cuanto a la configuración de contraseñas, a la hora de crearlas debemos asegurarnos

de que es una contraseña robusta y que proporciona un nivel de seguridad alto, ante
posibles ataques de diccionario o de fuerza bruta. Algunas consideraciones a tener en
cuenta son:
o No debe ser demasiado corta (longitud mínima 8 caracteres).
o Debe combinar mayúsculas y minúsculas. Así como contener números y caracteres
especiales (*, $, &, …).
o Debemos evitar que esa contraseña sea previsible, es decir, que haga referencia a
aspectos sobre nuestra vida, como puede ser fecha de cumpleaños, nombre de
nuestra ciudad, …
o Otra consideración a tener en cuenta, será evitar que sea una palabra que esté
registrada en el diccionario.
o No usar la misma contraseña para varios sitios.
Las contraseñas utilizadas en este TFG, son básicas y genéricas, por lo que, en el caso de
implementación real de esta simulación, deberíamos modificarlas, de modo que cumplan
las consideraciones citadas.
104
3.1. Configuración inicial de Routers
En lo referente a la seguridad de acceso a nuestro router, los parámetros a configurar
son:
Nombre del host: R1

Contraseñas:
o Contraseña en la línea de acceso a la consola (modo EXEC): Admin2017

o Contraseña en el modo EXEC Privilegiado: Elena119
o Contraseña acceso virtual (vty 0-15): virtual2017
Configuraremos que la longitud mínima de la contraseña sea de 8 caracteres

Desconexión de usuarios después de 10 min en desuso.
Encriptación de contraseñas.
Bloqueo de usuario durante 120 segundos después de 3 intentos fallidos de
acceso en 60 segundos.
Configuración de mensajes automáticos que contengan notificaciones legales
sobre el acceso permitido solo a personal autorizado.
Por otro lado, se realizará la configuración de las intefaces del router:
Revisar que solo estén activas (no shutdown) aquellas interfaces que vamos a usar, en las
que va a existir conectividad. El resto, deben estar en modo shutdown.
Asignar una dirección IP a cada interface en uso:
o La interface Fa1/0 será la que permitirá la conexión entre el router y el switch

distribuidor de nuestra red LAN. Esta, estará subdividida en diferentes
subinterfaces virtuales correspondientes con las VLANs. A cada subinterface
deberemos asignarle una dirección IP dentro del rango de la subred de VLAN
correspondiente.
o La interface Fa0/1 permitirá la conexión entre el router y la red DMZ. Le
asignaremos la primera dirección disponible dentro de la red DMZ (red
10.10.0.0/24).
105
o La interface Se0/1/0 será la que permita la conexión del router perimetral de la
red LAN con el router ISP, es decir, permitirá lo conexión con internet. Por lo
tanto, le asignaremos la dirección IP pública 209.165.200.226 /23.
o Por último, se configurará la interface loopback del router (Loopback 0) con la
dirección IP 172.16.3.1 /24. Esta subinterface nos permitirá simular la conexión
de la red LAN con el resto de la red de la UCLM, como veremos en apartados
posteriores.
Cada una de las direcciones IP configuradas en las interfaces del router, servirá como
dirección de Gateway predeterminado para los dispositivos conectados a esa
red/subred.
3.2. Configuración inicial de Switches

En lo referente a la seguridad de acceso a nuestro router, los parámetros a configurar
son:
Nombre del host:
o Switch distribuidor principal del edificio: S_DIST_PRINCIPAL

o Switch repartidor OESTE: S_REP_OESTE
o Switch repartidor ESTE: S_REP_ESTE
o Switch DMZ: S_DMZ
Contraseñas:
o Contraseña en la línea de acceso a la consola (modo EXEC): Admin2017

o Contraseña en el modo EXEC Privilegiado: Elena119
o Contraseña acceso virtual (vty 0-15): virtual2017
Se configurará que la longitud mínima de la contraseña sea de 8 caracteres
Desconexión de usuarios después de 10 min en desuso.
Encriptación de contraseñas.
106
Bloqueo de usuario durante 120 segundos después de 3 intentos fallidos de
acceso en 60 segundos.
Configuración de mensajes automáticos que contengan notificaciones legales

sobre el acceso permitido solo a personal autorizado.
3.3. Configuración inicial de Servidores

En la primera configuración de los servidores, deberemos activar los servicios que va a
ofrecer cada servidor:
SERVIDOR SERVICIOS
Servidor Web HTTP
TFTP
FTP
Servidor de Correo EMAIL (SMTP y PoP3)
Servidor DNS DNS
Servidor DHCP DHCP
Servidor FTP FTP
TFTP
Servidor RADIUS AAA
Tabla 3. 7 Servidores y servicios.
Como último paso, realizaremos la asignación de una dirección IP estática a los

servidores. Teniendo en cuenta el estándar de direccionamiento creado, las direcciones a
asignar son:
SERVIDORES DENTRO DE LA
RED LAN
Servidor DHCP Fa0 192.168.50.254 255.255.255.0 /24
Servidor DNS Fa0 192.168.50.250 255.255.255.0 /24
Servidor RADIUS Fa0 192.168.50.248 255.255.255.0 /24
SERVIDORES DENTRO DE LA
RED DMZ
Servidor de Correo Fa0 10.10.0.251 255.255.255.0 /24
Servidor de Web Fa0 10.10.0.252 255.255.255.0 /24
Servidor FTP Fa0 10.10.0.253 255.255.255.0 /24
Tabla 3. 8 Direcciones IP de servidores.
107
A continuación, se detalla la configuración de servicios en los servidores web, correo
electrónico, DNS y FTP. Por otra parte, la configuración realizada en el servidor DHCP y el
servidor RADIUS, se detallará más adelante en los puntos 6 y 10 del capítulo 4,
respectivamente.
A la hora de configurar el servidor web, se han habilitado los servicios HTTP (Hypertext
Transfer Protocol) y HTTPS (Hypertext Transfer Protocol Secure) tal y como puede
observarse en la siguiente imagen:
Figura 3. 6 Configuración servicios servidor web.
Por otro lado, se han modificado los archivos HTML, configurando, de este modo, el
aspecto de la página web del instituto.
Figura 3. 7 Aspecto página web de la red del instituto.
En cuanto al servidor FTP (File Transfer Protocol), se ha activado su servicio para permitir
la transferencia de archivos. Para completar la configuración, se han creado usuarios con
sus correspondientes contraseñas y los permisos otorgados a hora de acceder y modificar
los archivos (write, read, delete, rename, list).
108
Figura 3. 8 Configuración de servicios en el servidor FTP.
En el servidor de correo electrónico, se han activado los servicios SMTP (Simple Mail
Transfer Protocol) y POP3 (Post Office Protocol). A continuación, se ha definido el nombre
de dominio “edificación.es” junto con los usuarios y contraseñas que tendrán acceso a
este.
Figura 3. 9 Configuración de servicios en el servidor de correo electrónico.
109
Por último, en el servidor DNS se ha relacionado el nombre de la dirección web
“www.institutoedifcuenca.es” con la dirección IP 10.10.0.252, es decir, con la dirección IP
del servidor web de la red del instituto.
Figura 3. 10 Configuración de servicios en el servidor DNS.
4. CONFIGURACIÓN DE VLANS
Como se ha detallado en el capítulo 2, sección 4.2.4, las VLANs se basan en conexiones
lógicas, proporcionando una forma de agrupar dispositivos dentro de la red LAN del
Instituto de Edificación, Tecnologías y Telecomunicaciones, según la funcionalidad de
estos.
La configuración de las VLANs se va a realizar en los switches de capa 2 implementados

(switches distribuidor principal, switch repartidor ESTE y switch repartidor OESTE).
Las VLANs permitirán a la red LAN del instituto, una mayor eficacia organizativa y
administrativa. Por un lado, las VLANs proporcionarán segmentación, reduciendo así el
tamaño de los dominios de difusión. Esto significa que se eliminará el tráfico innecesario
en la red y, por tanto, se conseguirá una mejora en el rendimiento. Por otro lado, las
VLANs se van a utilizar como un mecanismo de mejora de la seguridad de nuestra red, ya
que permiten separar los grupos de datos sensibles y confidenciales del resto del tráfico.
110
Los dispositivos dentro de una VLAN funcionan como si estuvieran en una red
independiente, aunque compartan infraestructura física con dispositivos que pertenecen
a otras VLANs. Los paquetes que se envían a dispositivos que pertenecen a otras VLANs
(tráfico inter-VLAN) se deben enviar a través de un dispositivo que admita routing, bien
sea un switch de capa 3 o un router. En este caso, se utilizará un router de cara a un
crecimiento futuro de la red.
4.1. VLANs implementadas en la red LAN.

En la red LAN del Instituto de Tecnologías, Edificación y Telecomunicaciones se han
definido las siguientes VLANs:
o VLAN DE INVESTIGACIÓN (VLAN 10):
En esta VLAN viajará toda la información de datos propia de la red LAN cableada.
Transporta tráfico de datos generado por los usuarios (ni de administración, ni de voz).
o VLANS DE LA RED INALÁMBRICA:
Se separará el tráfico de la red cableada del tráfico de la red WLAN. Esto proporcionará
un mayor grado de seguridad. A su vez, la red WLAN quedará separada en dos VLAN:
 VLAN DE PERSONAL (VLAN 30):
Esta VLAN irá destinada a todo el personal propio del Instituto de investigación.
Contará con unas políticas de seguridad más estrictas, como una contraseña de
cifrado WPA2 Enterprise, mediante la cual, todos los dispositivos deben tener un
usuario y contraseña autenticados en el servidor RADIUS, para poder conectarse a
la red.
 VLAN DE INVITADOS (VLAN 40):
Esta VLAN irá destina a usuarios eventuales de la red, como puede ser invitados
que acceden al edificio de manera ocasional. Esta VLAN contará con políticas de
seguridad menos estrictas, como puede ser una red WLAN con mecanismos de
seguridad WPA2-PSK, de modo que los invitados deben introducir una contraseña,
que se les habrá proporcionado previamente, para poder conectarse a la red.
111
o VLAN DE VOIP (VLAN 20):
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). Esto es
así, ya que el tráfico de VoIP requiere: ancho de banda garantizado para asegurar la
calidad de voz, prioridad de transmisión sobre otros tipos de tráfico de red, capacidad
para ser enrutado en áreas congestionadas de red, demora inferior a 150 ms a través de
la red.
o VLAN DE SERVICIOS COMUNES (VLAN 50):
En esta VLAN estarán incluidos todos los dispositivos destinados a los servicios comunes
del edificio, como es el caso de servidores e impresoras. En esta, algunas de las funciones
principales que se llevarán a cabo son: almacenamiento de archivos, acceso a las bases de
datos de correo electrónico, navegación web...
o VLAN DE ADMINISTRACIÓN (VLAN 88):
La VLAN de administración configurada para acceder a las capacidades de administración

del switch. De manera predeterminada es la VLAN1, pero dejar la VLAN de manera
predetermina se considera riesgo de seguridad. Por lo que la VLAN de Administración de
nuestra red será la VLAN 88.
o VLAN PREDETERMINADA:
De manera predeterminada, todos los puertos del switch están asignados a esta VLAN. A
la VLAN Predeterminada no se le puede cambiar el nombre ni eliminarla.
o VLAN NATIVA (VLAN 99):
La VLAN nativa está asignada a un puerto troncal 802.1Q (IEEE 802.1Q). La VLAN Nativa es
la VLAN 1 de manera predeterminada. Al igual que en la VLAN de Administración, se
considera un riesgo de seguridad dejar la VLAN Nativa de manera predetermina, por lo
que configuraremos la VLAN 99 como VLAN Nativa en nuestra red.
112
Cada VLAN en una red conmutada se debe corresponder a una subred IP única, por lo
tanto, al diseñar una VLAN se ha tenido en cuenta la implementación de un esquema de
direccionamiento de red jerárquico, en el que el número de red IP se aplica a las VLAN de
manera ordenada. Este esquema de direccionamiento de VLANs se puede observar en la
Tabla 3.4.
4.2. Tráfico IntraVLAN

Para permitir el tráfico intraVLAN dentro de la red del Instituto de Edificación, Tecnologías
y Telecomunicaciones, tal y como se ha explicado en el capítulo 2 (sección 4.2.5), se
deberán configurar enlaces troncales 802.1Q, que admitan tráfico proveniente de varias
VLANs.
Como enlaces troncales de la red LAN del instituto, se han configurado las conexiones
entre switches y entre el switch distribuidor principal y el router. El resto de interfaces de
los switch, destinadas a hosts finales, se han configurado en modo acceso, permitiendo el
tráfico únicamente de la VLAN a la que pertenecen.
5. CONFIGURACIÓN DE ENRUTAMIENTO.
5.1. Router-on-a-stick
En el capítulo 2 (sección 5.3), se detalla el proceso de Router-on-a-stick. De este modo,
una única interface de un dispositivo de capa 3, puede enrutar tráfico proveniente de
varias VLANS, mediante subinterfaces lógicas.
La red a configurar contará con el router Cisco 4431 Integrated Services Router, como
dispositivo de capa 3. Este dispositivo estará conectado a la LAN mediante la interface
física Fa1/0. Esta, a su vez tendrá asociadas 7 subinterfaces lógicas, correspondiéndose
con las VLANs que tenemos definidas en la red:
113
Subinterface
VLANs Dirección IP Máscara Subred
Router Asociada
VLAN 10 (Investigación) Fa1/0.10 192.168.10.1 255.255.255.0
VLAN 20 (VoIP) Fa1/0.20 192.168.20.1 255.255.255.0
VLAN 30 (WLAN Personal) Fa1/0.30 192.168.30.1 255.255.255.0
VLAN 40 (WLAN Invitados) Fa1/0.40 192.168.40.1 255.255.255.0
VLAN 50 (Servicios Comunes) Fa1/0.50 192.168.50.1 255.255.255.0
VLAN 88 (Administración) Fa1/0.88 192.168.88.1 255.255.255.0
VLAN 99 (Nativa) Fa1/0.99 192.168.99.1 255.255.255.0
Tabla 3. 9 Subinterfaces del router, dirección IP y VLAN.
5.2. Enrutamiento estático y dinámico.

El enrutamiento de la red LAN, permite que los dispositivos de esta puedan comunicarse
con host que se encuentran en otras redes.
En cuanto a enrutamiento, se va a considerar que la red del Instituto de Tecnologías,

Edificación y Telecomunicaciones, se comunicará con el resto de subredes pertenecientes
a la red de la de la Universidad de Cuenca utilizando enrutamiento dinámico.
Concretando un poco más, se utilizará como protocolo interior de gateway el algoritmo
dinámico OSPF (Open Shortest Path First). A su vez, la red del Campus de Cuenca se
comunicará con el resto de campus de la UCLM mediante un protocolo de gateway
exterior, como es el caso del protocolo BGP (Border Gateway Protocol).
En cuanto a la red del Instituto de Tecnologías, Edificación y Telecomunicaciones de

Cuenca, al tratarse de una red pequeña, de rutas internas y sin grandes previsiones de
crecimiento futuro, se utilizará enrutamiento estático. Definiremos una ruta estática
hacia la red de la Escuela Politécnica de Cuenca y una ruta estática predeterminada que
permitirá el acceso a Internet (ruta hacia el proveedor de servicios ISP).
5.2.1. Ruta estática resumida

La configuración de una ruta estática estándar permite la conexión a una red específica.
En el caso de nuestra red, simularemos la conexión con la red de la Escuela Politécnica de
Cuenca mediante la interface loopback del router.
114
La interface loopback es una interface lógica interna del router. Esta no se asigna a ningún
puerto físico, y por tanto no se puede conectar a un dispositivo.
Consideraremos que la dirección IP de la red de la escuela Politécnica de Cuenca es

172.16.3.0/24 (Dirección de red privada). Por tanto, a la interface loopback le
asignaremos una dirección dentro del rango de esta red, como lo es la dirección
172.16.3.1/24.
Configuraremos la red de la UCLM de Cuenca como una ruta estática resumida. Es decir,
resumiremos varias rutas estáticas (red de la EPC, vicerrectorado, biblioteca y resto de
facultades de la UCLM) es una única que englobará todas las anteriores. Para configurarla
en el router, lo haremos como una ruta estática conectada directamente, mediante el
siguiente comando:
(config)# [no] ip route <ip RED> <máscara subred> <interface salida>
5.2.2. Ruta estática predeterminada

Para simular la conexión de nuestra red con el resto de redes de internet, utilizaremos un
router ISP, que simulará el proveedor de servicios de la red. Este esquema puede verse en
la siguiente imagen:
Figura 3. 11 Conexión mediante enlace serial al ISP.
115
Para esta configuración, utilizaremos una ruta estática predeterminada o ruta del
cuádruple cero (0.0.0.0/0). Esta ruta indica que no debe coincidir ningún bit de la red con
la dirección IP de destino del paquete. Dicho de otra manera, la ruta estática
predeterminada es aquella que coincide con todos los paquetes.
Por tanto, cuando la dirección de destino de un paquete que salga de nuestra red no
coincida con ninguna otra tabla de routing, es decir, cuando no exista ninguna otra
coincidencia más específica, se enviará el paquete por la dirección predeterminada.
Para configurar la ruta estática predeterminada utilizaremos el siguiente comando:
(config)# [no] ip route 0.0.0.0 0.0.0.0 <ip siguiente salto|interface salida>
6. Configuración del protocolo DHCP.

Tal y como se ha definido en el esquema de direccionamiento, se han asignado
direcciones IP estáticas a dispositivos de red como es el caso de routers, servidores,
impresoras,… Por otro lado, para dispositivos destinados a usuarios finales que, en
general, suelen ser dispositivos móviles, se utilizará la asignación dinámica de direcciones.
De este modo, mediante el protocolo DHCP se consigue una asignación de direcciones

más eficaz y libre de errores. Además permite redes escalables y con menor carga
administrativa.
Las pasos que se siguen en el proceso DHCP pueden verse de manera más detallada en el
punto 5.1.3 del capítulo 1 (Base Teórica)
El protocolo DHCP puede implementarse de dos modos distintos dependiendo,

principalmente, del tamaño de la red:
I. La primera opción de implementación es mediante un servidor centralizado.

Esta opción se utiliza en redes medianas o grandes.
II. Un segundo método de implementación, utilizado en redes pequeñas, es
mediante la configuración de un router CISCO como un servidor DCHP.
116
Figura 3. 12 Métodos de configuración DHCP.
En el caso de la red que se está implementando en este TFG, el método de asignación de

direcciones DHCP utilizado en un primer momento fue mediante un servidor DHCP
dedicado. En este creamos un pool de direcciones correspondiente con cada subred VLAN
existente en la red, tal y como puede observarse en la siguiente imagen:
Figura 3. 13 Ejemplo de configuración del servidor DHCP.
El problema que nos encontramos con esta primera configuración fue con los teléfonos
VoIP, que no obtenían la información de direccionamiento IP. Por ello, como solución, se
ha decidido configurar el router frontera como servidor DHCP.
117
La Figura 3.14 muestra un ejemplo de teléfono IP con el servidor DHCP externo
configurado. Como se puede observar el teléfono aparece configurando dirección IP y
nunca finaliza este paso.
Figura 3. 14 Teléfono IP con servidor DHCP externo. No obtiene dirección IP.
A continuación veremos los pasos a seguir para configurar el router como servidor DHCP.
6.1.1. Conficuración del servicio DHCP en el

router
1. Primero excluiremos las direcciones IP de la red que ya han sido asignadas
estáticamente. Para ello utilizamos el siguiente comando:
(config) # ip dhcp excluded-address <IP_menor> <IP_mayor>
Las direcciones a excluir entarán comprendidas en los siguientes rangos:
o De la dirección 192.168.50.254 a la dirección 192.168.50.248. En este

rango se encuentran las direcciones asginadas a servidores e impresoras.
o Por otro lado, se excluirán además las primeras 10 direcciones del rango
de cada VLAN, quedando reservadas para asignación estática.
Actualmente la primera dirección de host disponible en cada VLAN (por
ejemplo, en la VLAN 20, la dirección 192.168.20.1) ya se encuentra
asignada estáticamente a la subinterface del router.
118
2. Seguidamente, configuramos los pools de direcciones que se deben asignar
mediante DHCP. Se asignará un pool por cada VLAN, por lo tanto tendremos
los siguientes pools de direcciones: VOICE, INVESTIGACION,
INALAMBRICA_PERSONAL, INALAMBRICA_INVITADOS, SERVICIOS_COMUNES y
ADMINISTRACION. Para ello, utilizaremos el siguiente comando:
(config)# ip dhcp pool <nombre_pool>
3. Definir el rango de direcciones a asignar para cada pool creado. Estas

direcciones deben excluir cualquier dirección estática que utilicen otros
dispositivos de la red. El comando de configuración utilizado en este caso,
será:
(dhcp-config)# network <dirección_red> <máscara_red>
4. Definir la interface del router gateway por la que se envía el servicio DHCP:
(dhcp-config)# default-router <direccion_ip_gateway>
5. Como punto opcional, se puede definir el servidor DNS, nombre del dominio,…
(dhcp-config)# dns-server <direccion_ip>
7. CONFIGURACIÓN VOIP.
En el caso de la red que vamos a configurar admitirá la tecnología de Voz por IP (VoIP).
Por ello se necesitarán routers y teléfonos IP que conviertan la voz analógica en paquetes
de datos IP digitales. Los dispositivos utilizados en simulación en Packet Tracer son los
Teléfonos IP 7960, ya que es el único modelo de telefonía IP del que dispone el software,
y el Router 2811 de CISCO, que cuenta con las interfaces necesarias para la red LAN a
implementar.
119
En la imagen que se muestra a continuación, aparece la estructura física y lógica seguida
para la conexión de los teléfonos IP:
Figura 3. 15 Estructura física y lógica VoIP.
Lo primero que observamos es que el tráfico de voz viaja en una VLAN separada (VLAN
20). Esto es así para poder asegurar la calidad de voz, dando prioridad de transmisión
sobre otros tipos de tráfico, garantizando el ancho banda y una demora inferior a 150 ms
a través de la red.
La interface del switch que conecta con el Teléfono IP está configurada para admitir
tráfico de VoIP. Esto permite al teléfono IP enviar y recibir tráfico de voz procedente de la
VLAN 20. Pero conectado a este teléfono se encuentra un PC cuyo tráfico pertenece a la
VLAN de Datos (VLAN 10). Esto es posible gracias a que el teléfono IP de CISCO contiene
un switch integrado 10/100 de tres puertos:
Figura 3. 16 Teléfono IP Cisco. Switch integrado de tres puertos. Fuente: Cisco Networking Academy.
120
El puerto 1 (P1) se conecta al switch o a otro dispositivo de VoIP. El puerto 2 (P2) es una
interface interna 10/100 que envía el tráfico de voz del teléfono IP. Por último, el puerto 3
(P3) es un puerto de acceso que irá conectado al PC, u otro dispositivo, al cual debe llegar
tráfico de datos procedente de la VLAN 10. Gracias a esto, el puerto de acceso de un
teléfono IP de Cisco se puede configurar para usar 2 VLAN separadas: una VLAN para el
tráfico de voz y otra para el tráfico de datos desde un dispositivo conectado al teléfono.
Para la configuración lógica en Packet Tracer se han seguido los siguientes pasos:
1. El puerto del switch que va conectado con el teléfono IP se configura en modo
acceso (switchport mode access). Por un lado, se configura para que admita el
tráfico de datos procedente de la VLAN10 y por otro se indica que admita y priorice
el tráfico de voz proveniente de la VLAN20. Esto se consigue mediante los
siguientes comandos:
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 10
(config-if-range)# switchport voice vlan 20
2. La interface del Switch que va conectada al router deberá estar configurada en

modo troncal:
(config-if)# switchport mode trunk
3. Una vez tenemos configurados los puertos del switch, pasamos a la configuración
del router.
Partimos de la configuración de las interfaces del router ya realizada. Además,
recordamos que para el correcto funcionamiento de los teléfonos IP, se ha
configurado el servicio DHCP en el router, en lugar de un servidor DHCP dedicado.
Esto aparece más detallado en el apartado 5.3 del Capítulo 3 (Configuración lógica).
A continuación, se muestra el código utilizado para la configuración del servicio de
telefonía IP en el Router:
121
(config)# telephony-service
(config-telephony)# max-dn 20 /* Establecemos el máximo número de líneas */
(config-telephony)# max-ephones 20 /* Máximo número de teléfonos */
(config-telephony)# ip source-address 192.168.20.1 port 2000 /*Fuente de la cual

utilizara las direcciones IP de la red */
(config-telephony)# auto assign 1 to 6 /*Se asignará del teléfono 1 al 6 */
4. El siguiente paso será la configuración de los teléfonos IP. Para inicializarlos,

debemos asegurarnos que todos están en modo “on”.
Por otro lado, para las PCs que están conectadas a los teléfonos, se seleccionará
DHCP como método para obtener una dirección IP.
Se debe asignar un número de teléfono o extensión a cada dispositivo, para
permitir la comunicación entre ellos. En el caso de la red simulada, se han asignado
las extensiones 54001 y 54002 a los teléfonos IP ESTE y OESTE, respectivamente.
Para completar la configuración, en el router escribiremos el siguiente código:
(config) # ephone-dn 1 /*entramos al teléfono 1*/
(config-ephone-dn) # %LINK-3-updown:….change state to up /* Mensaje que nos

informa que el teléfono se ha encendido */
(config-ephone-dn) # number 54001 /* Asignamos un número de teléfono

(extensiones)*/
Este proceso debería repetirse para cada uno de los teléfonos IP de la red.
5. Esperamos a que la red converja. Cuando esto haya sucedido, se les asignará
automáticamente una dirección IP a los teléfonos.
122
Figura 3. 17 Teléfono IP con dirección IP asignada mediante DHCP.
6. Realizamos prueba de llamada para comprobar que se ha configurado

correctamente.
Para ello realizaremos una llamada desde el teléfono número 1 (54001), al teléfono
número 2 (54002):
Figura 3. 18 Ejemplo funcionamiento teléfonos IP (1).
Como vemos en la imagen, en el teléfono número 1 (54001) aparece “ring out”,

que nos indica que se está realizando la llamada. Por otro lado, en el teléfono
número 2 (54002) aparece registrada la llamada entrante.
123
Si ahora contestamos a la llamada con el teléfono 2, el estado se nos cambia a
“connected”:
Figura 3. 19 Ejemplo funcionamiento teléfonos IP (2).
7. Como última prueba, comprobamos que puede establecerse comunicación entre

las PCs que se encuentran conectadas a los teléfonos (PC2_ESTE y PC2_OESTE).
Para ello, enviamos paquetes pings entre ambas y comprobamos que se reciben
correctamente.
Figura 3. 20 Envío de mensajes ping entre PC2_ESTE y PC2_OESTE.
124
8. Configuración NAT.
El uso de NAT combinado con direcciones privadas, permite la utilización más eficiente de
direcciones ipv4.
En nuestro caso, la red a implementar es una red de direcciones privadas

(192.168.0.0/16). Estas direcciones privadas se utilizarán dentro de la red del Instituto de
Tecnologías, Edificación y Telecomunicaciones, permitiendo que los dispositivos que se
encuentran dentro de la red local se comuniquen entre sí. Sin embargo, estas direcciones
no son únicas en internet (solo son únicas a nivel de red interna), por lo que no se pueden
enrutar a través de internet. Para permitir que un dispositivo acceda a los recursos y
dispositivos fuera de la red local, primero debe traducirse la dirección privada a una
dirección pública. De esto, se encarga el mecanismo NAT (Network Address Translation).
De este modo, se puede compartir una dirección iPv4 pública entre varios dispositivos,
cada uno configurado con una dirección iPv4 privada exclusiva dentro de la red.
El router de nuestra red, funcionará como un router NAT. Cuando un dispositivo dentro
de nuestra red de rutas internas desee comunicarse con un dispositivo fuera de su red, el
paquete se reenviará al router frontera. El router frontera realizará el proceso de NAT, es
decir, traduce la dirección privada a una dirección pública, externa y enrutable. De este
modo, para los dispositivos externos, todo el tráfico entrante y saliente de la red parece
tener una única dirección iPv4 pública del conjunto de direcciones proporcionado.
Más en concreto en nuestra red utilizaremos la modalidad de NAT denominada PAT (Port
Address Translation) o Traducción de la Dirección de Puerto. Utilizaremos una única
dirección IPv4 pública como hemos descrito anteriormente. Esto es posible gracias a que
la dirección privada también se rastrea con un número de puerto que permitirá identificar
la sesión exclusiva TCP/IP.
Para exponer de una manera más detallada la idea de NAT dentro de la red vamos a
analizar el siguiente esquema de comunicación:
Un dispositivo de nuestra red, por ejemplo, el PC1_ESTE se comunicará con un dispositivo

exterior, en este caso, PC1_ISP. De este modo simularemos la comunicación de la red con
internet:
125
Figura 3. 21 Ejemplo de funcionamiento NAT en la red (1).
El PC1 tendrá una dirección IPv4 privada asignada dinámicamente mediante el protocolo
DHCP. Cuando el dispositivo quiere comunicarse con el PC1_ISP (dispositivo
perteneciente a una red externa) envía un paquete al router. El router es el encargado de
traducir la dirección IPv4 interna privada en una dirección IPv4 pública. Ahora el router
será el encargado de enrutar el paquete dentro de internet, y para ello utilizará la
dirección iPv4 pública del host de destino. Cuando el paquete llega al router ISP, este
traducirá la dirección iPv4 pública a la dirección de iPv4 privada del PC1_ISP haciendo uso
de PAT. Cuando el PC1_ISP envía un paquete de respuesta al PC1_ESTE de nuestra red, el
router ISP enrutará el paquete mediante la dirección de destino iPv4 pública de nuestra
red. Cuando el router de nuestra red reciba el paquete, realizará el proceso de PAT y a
partir del puerto utilizado en la sesión TCP/IP iniciada anteriormente, deducirá la
dirección iPv4 privada de destino del host PC1_ESTE.
126
De este modo, bajo el punto de vista del router NAT de nuestra red, tendremos las
siguientes direcciones0:
Dirección Local Dirección Global Dirección Local Dirección Global

Interna Interna Externa Externa
(dirección de origen (Dirección de origen (dirección de destino (dirección de destino

vista desde el interior vista desde la red vista desde la red vista desde la red
de la red) externa. El router interna) externa)
frontera traduce la
dirección local interna a
una dirección global
interna)
192.168.10.5/24 209.165.200.226/23 209.165.201.1/23 209.165.201.1/23
Tabla 3. 10 Ejemplo de funcionamiento NAT en la red (2).
Para la simulación en Packet Tracer, se han utilizado las siguientes líneas de comandos:
ip nat pool PAT 209.165.200.226 209.165.200.226 netmask 255.255.254.0

ip nat inside source list 1 pool PAT overload
De este modo configuramos que mediante PAT se asigne una única dirección pública
(209.165.200.226) a todos los dispositivos dentro de la red LAN interna.
En adicción al proceso de traducción de direcciones privadas a públicas, NAT va a

proporcionar el beneficio de dar cierta privacidad y seguridad adicional a la red, ya que
oculta las direcciones iPv4 internas de las redes externas.
Por otro lado, los servidores de la red que deben ser accesibles desde internet, situados
en la zona DMZ, deben tener asignada una dirección pública. De este modo, el dispositivo
externo, enviará una trama de datos a la dirección pública del dispositivo y será el router
frontera con NAT habilitado, el encargado de traducir la dirección IP pública en la
dirección privada del dispositivo. Asignaremos una dirección pública a cada servidor
situado en la zona DMZ mediante NAT estática:
127
SERVIDOR DMZ DIRECCIÓN IP PRIVADA DIRECCIÓN IP PÚBLICA
Servidor Web 10.10.0.252 209.165.200.227
Servidor de Correo 10.10.0.251 209.165.200.228
Servidor FTP 10.10.0.253 209.165.200.229
Tabla 3. 11 Direcciones públicas de los servidores de la DMZ.
En la simulación en Packet Tracer, hemos asignado una dirección pública a cada servidor
de la zona DMZ mediante las siguientes líneas de comandos:
ip nat inside source static 10.10.0.252 209.168.200.227

9. WLAN.
La implementación de redes Wireless se puede llevar a cabo mediante el uso de
diferentes dispositivos: mediante APs, WLC (Wireless LAN Controller), routers
inalámbricos, … La elección de unos dispositivos u otros variará dependiendo de las
necesidades de la red inalámbrica a implementar.
En el caso de la red inalámbrica a implementar en el instituto deberá tener capacidad

para dar servicio a 152 dispositivos inalámbricos. Por otro lado, sabemos que habrá dos
perfiles de usuarios inalámbricos:
o Red inalámbrica destinada al personal perteneciente al Instituto de Tecnologías,

Edificación y Telecomunicación. Los usuarios conectamos a esta red, podrán tener
acceso y comunicación a los recursos de la red LAN cableada implementada como,
por ejemplo, podrán tener acceso a las impresoras conectadas a la red del edificio.
Por ello, esta red inalámbrica deberá contar con mecanismos de seguridad
robustos, que garanticen la integridad, confidencialidad y no repudio de la
información compartida, así como la disponibilidad de los recursos de red y la
autenticación de usuarios.
128
o Por otro lado, nos encontramos con usuarios invitados que no deben tener acceso
a la red LAN cableada, ni tampoco a la red inalámbrica del personal anterior. Esta
red permitirá la conexión a internet de los usuarios invitados, pero denegará el
acceso tanto a la red LAN cableada, como a la red inalámbrica del edificio. Contará
con mecanismos de seguridad menos robustos, permitiendo el acceso a internet
de cualquier host que conozca la contraseña de acceso a la red.
Teniendo en cuenta los requerimientos de las redes WLAN a implementar, en un primer

momento se pensó usar un dispositivo WLC. Los dispositivos WLC o controladores LAN de
tecnología inalámbrica que permiten la configuración centralizada de redes inalámbricas.
En el WLC, se realizarían todas las configuraciones de la red inalámbrica, permitiendo la
configuración de redes inalámbricas con distintas políticas de seguridad (abiertas, WEP,
WPA2, …) en el mismo controlador. Asociados al WLC estarían los puntos de acceso,
llamados Lightweight Access Point (LAPs), los cuales harían de túnel para el envío de
paquetes entre los dispositivos inalámbricos y el WLC. En la siguiente imagen puede verse
el ejemplo de la simulación realizada en un primer momento:
Figura 3. 22 Ejemplo WLAN con WLC.
129
Mediante un PC o laptop de administración, conectado al switch distribuidor, se
configurará el WLC. Para ello, en el web browser, se introduce la dirección IP de
administración del WLC (10.10.0.250):
Figura 3. 23 Acceso a la configuración WLC.
Se debe introducir un usuario y contraseña ya existente, o crear uno nuevo para poder
acceder.
El segundo paso es configurar el tiempo, la localización, y la IP de administración

(Management IP Address) del WLC:
Figura 3. 24 Configuración general WLC.
130
Seguidamente, se crearán las diferentes redes inalámbricas. Se empezará a configurar la
red inalámbrica de empleados (Employee Network), asignándole parámetros como
nombre de red, seguridad, dirección IP del servidor de autenticación, clave compartida,…
tal y como pueden observarse en la siguiente imagen:
Figura 3. 25 Configuración de la red inalámbrica de empleados en el servidor WLC.
Por último, se configurará la red de invitado (Guest Network). En este punto, el problema
que encontramos, fue que Packet Tracer no permite seleccionar la red inalámbrica de
invitado, por lo que la opción de simulación de redes inalámbricas en Packet Tracer
mediante WLC se tuvo que descartar.
Figura 3. 26 Configuración de red inalámbrica de invitados mediante WLC.
131
Como segunda opción se planteó configurar dos redes LAN inalámbricas mediante dos
routers inalámbricos, uno para la red inalámbrica de invitados y otro para la red
inalámbrica de personal. Conectados a estos, irían los 7 APs necesarios para distribuir la
red WLAN por todo el edificio. En la imagen se muestra la configuración actual:
Figura 3. 27 WLAN con routers inalámbricos (ESTE).
Conectados a los routers inalámbricos, irían los diferentes APs, tal y como podemos
observar en la siguiente imagen:
132
Figura 3. 28 WLAN con APS (ESTE).
Esta configuración iría replicada para la zona OESTE, con la diferencia de que en este caso
se utilizarían 4 APs para cada red (invitados y personal).
Los pasos seguidos para la configuración lógica en Packet Tracer, llevada a cabo para esta
implementación de redes WLAN es la siguiente:
1. Se configuran las interfaces del switch que irán conectadas a los routers
inalámbricos. Estas, deberán encontrarse en modo acceso (mode access),
permitiendo únicamente la VLAN 30 (VLAN personal inalámbrica) o la VLAN 40
(VLAN invitados) dependiendo de si se trata del router inalámbrico de la red de
invitados o de la red de personal.
2. Configuramos la interface INTERNET de los routers inalámbricos. La configuración

de la dirección IP de esta interface, se configurará de manera estática, asignándole
una de las primeras direcciones libres del rango de la VLAN 40 o la VLAN 30, según
corresponda. En la siguiente imagen, se muestra un ejemplo de configuración. En
esta, se muestra la configuración IP de la interface INTERNET del router
inalámbrico de la red de invitados de la zona ESTE.
133
Figura 3. 29 Configuración interface internet del router inalámbrico de la red de invitados (ESTE).
3. Seguidamente, se realizará la configuración de la interface LAN de los routers

inalámbricos. A esta, se le asignará automáticamente la primera dirección de la
red inalámbrica creada. En todos los casos, la dirección LAN es la misma:
Figura 3. 30 Configuración interface LAN de routers inalámbricos.
4. Por último, se configurará la interface WIRELESS. Para ello, modificaremos los

siguientes parámetros:
o SSID de la red. A la hora de configurarlo, se ha asignado un nombre distinto
a cada una de las redes:
 Employee_NETWORK_ESTE
 Employee_NETWORK_OESTE
 Employee_GUEST_ESTE
 Employee_GUEST_OESTE
134
Se han configurado cuatro SSIDs distintos, ya que, si se asignaba el mismo,
quedaban las conexiones cruzadas, puesto que en la simulación la
separación entre routers es pequeña y las ondas quedan solapadas. En la
aplicación práctica real, las SSIDs de la zona ESTE y zona OESTE serán los
mismos, existiendo para la visión de usuarios dos únicas redes
inalámbricas: Employee_NETWORK y Employee_GUEST. Esto permitirá que
el usuario pueda cambiar de zona (ESTE y OESTE) de manera transparente,
pudiéndose desplazar libremente por el edificio, sin tener problemas con la
conexión.
o La dirección de red LAN inalámbrica creada en los cuatro casos es la

misma, ya que se asigna automáticamente: 192.168.0.0 /24. Lo que si se ha
modificado es el rango de direcciones que se asignará mediante DHCP a los
dispositivos inalámbricos conectados a cada una de las redes:
Employee_NETWORK_OESTE De 192.168.0.50 a 192.168.0.99
Employee_NETWORK_ESTE De 192.168.0.100 a 192.168.0.149
Employee_GUEST_OESTE De 192.168.0.150 a 192.168.0.199
Employee_GUEST_ESTE De 192.168.0.200 a 192.168.0.249
Tabla 3. 12 Rango de direcciones asignadas a dispositivos inalámbricos.
o Por último, se realizará la configuración de los mecanismos de seguridad

de la red. Para el caso de la red de invitados, aplicaremos WPA2-PSK, con
el que los usuarios que quieran conectarse a la red deberán conocer la
contraseña establecida.
135
Figura 3. 31 Mecanismo de seguridad red de invitados.
Por el contrario, la red inalámbrica de personal, contará con el mecanismo

de cifrado WPA2, en modo Enterprise. Esta aplicará el algoritmo de
encriptación AES, junto con la autenticación de usuarios, para lo que será
necesario un servidor RADIUS (cuyo proceso de configuración se detalla en
el apartado 8 de este capítulo).
Figura 3. 32 Mecanismo de seguridad red de personal (1).
Figura 3. 33 Mecanismo de seguridad red de personal (2).
A continuación, se mostrarán ejemplos de conexión de dispositivos inalámbricos a las

redes inalámbricas de invitados y personal.
136
El primer ejemplo puede observarse en la Figura 3.34. En este caso se realizará la
conexión del Laptop_ESTE2 a la red de invitados de la zona ESTE.
Figura 3. 34 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (I).
Para realizar la conexión, se entrará en el laptop y dentro de las opciones de redes

inalámbricas se buscarán las redes disponibles. Se seleccionará la red
Guest_Network_ESTE. Seguidamente, nos mostrará la siguiente pantalla, en la que se
solicita una contraseña para poder conectarse a la red seleccionada:
Figura 3. 35 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (II).
Una vez se ha introducido la contraseña correcta, se puede observar que la conexión

entre el router inalámbrico y el host, se ha establecido correctamente:
Figura 3. 36 Ejemplo conexión dispositivo inalámbrico a la WLAN de invitados (III).
137
Como segundo ejemplo, estará la simulación de conexión del dispositivo Laptop_ESTE1 a
la WLAN de empleados (Employee_Network_ESTE). Este esquema puede observarse en la
Figura 3.37:
Figura 3. 37 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (I).
Para conseguir establecer la conexión, en este caso, el usuario del Laptop_ESTE1,

previamente habrá tenido que introducir un nombre de usuario y contraseña (registrado
en el servidor RADIUS), tal y como se muestra en la siguiente imagen:
Figura 3. 38 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (II).
138
Una vez hemos configurado la información anterior, la conexión se habrá establecido:
Figura 3. 39 Ejemplo conexión dispositivo inalámbrico a la WLAN de empleados (III).
Una solución de seguridad que podría añadirse en la red inalámbrica personal, sería
establecer una lista de direcciones MAC que pueden conectarse a la red, permitiendo que
únicamente conectarse a la red a aquellos dispositivos cuya dirección MAC esté dentro de
la lista de direcciones permitidas e impidiendo el acceso al resto de dispositivos:
Figura 3. 40 Wireless MAC filter.
139
10. PROTOCOLO AAA
En cuanto a la aplicación del Protocolo AAA en la configuración de la Red del Instituto de
Tecnologías, Edificación y Telecomunicación, se ha centrado en la autenticación de
usuarios, mediante dos modos distintos: servidor RADIUS y base local del router.
Por un lado, para la red inalámbrica personal hemos utilizado un servidor RADIUS,
ubicado dentro de la misma red. En este servidor, se registrarán todos los usuarios y
contraseñas que van a poder conectarse a la red WLAN Empresarial. De este modo, el
servidor RADIUS permitirá llevar la gestión de autorización de usuarios de manera
centralizada.
En este TFG se ha realizado la simulación de la configuración del servidor RADIUS, a pesar

de que en realidad, esta configuración no sería necesaria, ya que se podría utilizar el
servidor RADIUS de la UCLM. Para la configuración del servidor RADIUS se han seguido los
siguientes pasos:
1. El primer paso consistirá en asignarle de manera estática una dirección IPv4 y la

máscara subred al servidor, así como la dirección de Gateway predeterminado y la
dirección de servidor DNS:
Figura 3. 41 Configuración servidor RADIUS (1).
140
Figura 3. 42 Configuración servidor RADIUS (2).
2. El siguiente paso consistirá en habilitar el servicio AAA en el servidor y configurar

los diferentes clientes. En el caso de nuestra red, los clientes serán los routers
inalámbricos que dan acceso a la red WLAN Personal. Para realizar la
configuración se debe informar el nombre del cliente, la dirección IP y la clave
(secret) precompartida:
Figura 3. 43 Listado de clientes servidor RADIUS.
En el punto 9 de este capítulo (WLAN), se puede observar que en la parte del

cliente (routers inalámbricos de la red WLAN Personal) también se habrá tenido
que informar la clave o secret.
141
3. Por último, se deberán crear en el servidor RADIUS los diferentes ID de usuarios, y
sus correspondientes contraseñas, que van a poder tener acceso a la red WLAN
Personal:
Figura 3. 44 Usuarios y contraseñas registrados en el servidor RADIUS.
Por otro lado, se configurará el protocolo de Autenticación AAA en el servidor de acceso,

es decir, en el router. La configuración de este protocolo se realizará mediante la base de
datos local, sin necesidad de hacer uso un servidor externo RADIUS o TACACS+ dedicado.
Los pasos seguidos para realizar esta configuración son:
1. Definiremos un nombre de usuario y contraseña en el router:

(config) # username <nombre_usuario> password <contraseña>
2. Habilitamos la autenticación AAA en el router:

(config) # aaa new-model
3. Se configura la autenticación. Se configurará que para el acceso al modo enable

del router nos pida el usuario y contraseña creado en su base de datos local.
Además, para poder entrar en el modo EXEC Privilegiado nos pedirá la contraseña
creada:
(config) # aaa authentication login default local
(config) # aaa authentication enable default enable
Por último, en el router se configurará que para los usuarios que hayan sido previamente
autenticados, se les asigne el nivel de autorización por defecto (Autorización AAA):
(config) # aaa authorization exec default if-authenticated
142
Como ejemplos de conexión de un dispositivo, tendríamos el visto en el apartado 9
(WLAN) en el que un dispositivo se ha conectado a la red WLAN de empleados a partir de
su usuario y contraseña autenticado en el servidor RADIUS.
Por otro lado, tendríamos un ejemplo de la autenticación configurada en el router. Cada

vez que se accede a este dispositivo, nos pide un usuario y contraseña, el cual debe
coincidir con el almacenado en su base de dados local, para que la autenticación sea
válida:
Figura 3. 45 Ejemplo de acceso a un dispositivo router con el protocolo AAA configurado.
11. CONFIGURACIÓN DEL FIREWALL

Para la configuración del Firewall de la Red del Instituto de Tecnologías, Edificación y
Telecomunicación, se utilizará en modelo de 3 vías, en el que se distinguen 3 zonas sobre
las que se aplicará distintas políticas de seguridad:
o Zona Outside. Esta zona simulará la red de internet, es decir, la zona destinada a la
conexión de nuestra red LAN interna con el resto de redes públicas existentes.
o Zona Inside. Esta zona se corresponderá con la red LAN interna. En esta, será
donde se apliquen las políticas de seguridad de red más restrictivas.
o Zona DMZ. Esta zona estará destinada a alojar aquellos servidores de nuestra red
que deben ser accesibles desde internet. Este es el caso del servidor web, servidor
de correo y servidor DNS.
143
El esquema que presentará el modelo de configuración de firewall de 3 vías se muestra en
la siguiente imagen:
Figura 3. 46 Esquema modelo firewall de tres vías.
La zona DMZ irá conectada a una interface del firewall distinta a la de la LAN interna y,
por tanto, pertenecerá a una subred independiente, separada de la LAN y de Internet. En
concreto la subred de la DMZ será la dirección de red privada 10.10.0.0/24.
En la siguiente figura, se puede observar la zona DMZ configurada:
Figura 3. 47 Zona DMZ.
144
La principal ventaja del modelo de firewall de 3 vías, es que nos permite aplicar políticas
de seguridad diferentes en cada zona. Por un lado, crearemos reglas que permitan el
tráfico desde internet a la DMZ. Por el contrario, a la red interna (zona inside) no se podrá
acceder desde el exterior y tampoco desde la red DMZ. De este modo, aseguramos que si
por algún motivo, un cibercriminal vulnera las políticas de seguridad de nuestra zona DMZ
y consigue acceder a uno de los servidores situados en esta, no tendría acceso a la red
LAN corporativa. Así se aplicarían políticas de seguridad descentralizadas, siendo más
fuertes en la zona INSIDE y, por tanto, convirtiendo a nuestra red en una red más segura.
En la siguiente tabla, mostramos un esquema con las reglas de tráfico configuradas:
Origen del tráfico Destino del tráfico Política
OUTSIDE DMZ Permitido
OUTSIDE INSIDE Denegado
DMZ OUTSIDE Permitido
DMZ INSIDE Denegado
INSIDE OUTSIDE Permitido
INSIDE DMZ Permitido
Tabla 3. 13 Reglas de tráfico entre las zonas outside, inside y DMZ.
Lo idóneo sería utilizar un dispositivo firewall hardware, como sería el caso del Cisco ASA,
pero a la hora de realizar la configuración en Packet Tracer, nos hemos encontrado
limitaciones: en el dispositivo Cisco ASA no nos permitía dividir el tráfico de la zona inside
en sus diferentes VLANs. Debido a esto, finalmente, se ha decidido implementar el
firewall mediante software configurado en el router frontera.
La configuración del firewall mediante software en el router, se ha llevado a cabo creando

ACLs (Access Control List), que actúan como un filtro, permitiendo o denegando el tráfico
entrante o saliente de cada una de las interfaces del router.
145
A continuación, explicamos las ACLs utilizadas y los pasos seguidos para su configuración
en el router:
1. Como hemos podido ver en los párrafos anteriores, en la interface del router
conectada a la zona OUTSIDE (interface Serial 0/1/0) no habrá que configurar
ninguna ACL, ya que esta debe permitir todo el tráfico proveniente de la zona
INSIDE y la DMZ.
2. En cuanto a la interface del router conectada a la zona DMZ (interface Fa0/0), se
configurará una ACL saliente (out), que filtre el tráfico saliente en esta interface,
es decir, que filtre el tráfico destinado a los hosts situados en la DMZ:
- Para el tráfico cuyo origen es la zona INSIDE, se deberá permitir la entrada de

cualquier tipo de tráfico IP (incluye TCP, UDP e ICMP):
access-list 121 permit ip 192.168.0.0 0.0.255.255 host 10.10.0.253
- Para el tráfico cuyo origen es la interface loopback, es decir, para el tráfico

procedente de la red UCLM, se deberá permitir la entrada de cualquier tipo de
tráfico IP:
access-list 121 permit ip host 172.16.3.1 host 10.10.0.253
- Para el tráfico procedente de la zona OUTSIDE, la ACL creada solo debe

permitir que se acceda desde el exterior o través de los protocolos: telnet,
www (HTTP), SMTP, POP3 y a través del puerto 20 (destinado a tráfico FTP):
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq telnet
146
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq pop3
access-list 121 permit tcp any any eq 20
3. Por último, se configurarán las ACLs necesarias en la interface de la zona INSIDE.

En este caso, tenemos que tener en cuenta que la interface física Fa1/0, se
encuentra dividida en subinterfaces lógicas correspondientes con las VLANs de la
red.
En la zona INSIDE, por un lado, las ACLs permitirán el filtrado de tráfico que entra
a la red LAN proveniente de las zonas OUTSIDE y DMZ:
- Desde la zona OUTSIDE no van a poder acceder a la red interna, con ningún
tipo de protocolo. La entrada de este tráfico a la red, se negará con la
denegación implícita de la ACL de salida configurada en cada una de las
subinterfaces.
- Desde la DMZ solo van a poder acceder a la red interna mediante ICMP. El
tráfico ICMP se permite para que a la hora de la configuración en Packet
Tracer, podamos comprobar que la conexión es correcta:
access-list <nº> permit ip host 10.10.0.253 any
- Desde la interface loopback que simula la conexión con la red WAN UCLM, van
a poder acceder a la zona INSIDE mediante el protocolo IP:
access-list <nº> permit ip host 172.16.3.1 0.0.255.255 192.168.0.0 precedence

priority
Estas sentencias de ACL se configurarán en cada una de las subinterfaces lógicas

de la zona INSIDE.
147
Por otro lado, en relación al tráfico interno de la red LAN, en concreto el tráfico
interVLAN, en las subinterfaces del router de la zona INSIDE se utilizan sentencias
de ACL (además de las descritas en párrafos anteriores), para determinar qué
VLANs van a poder comunicarse entre sí, y cuáles no. Como normas generales, se
ha establecido que:
o Se deniegue el acceso a la VLAN de investigación desde cualquier VLAN.
o Desde la VLAN 40 (red inalámbrica de invitados) no se podrá acceder a ninguna
VLAN.
o A la VLAN de servicios comunes (VLAN 50), se podrá acceder desde cualquier
VLAN, con la excepción de la VLAN 40 (invitados).
o Se permita la comunicación entre las VLANs 10 y 30 (VLANS de personal y red
inalámbrica de personal, respectivamente.
o Se deniegue el acceso a la VLAN de VoIP desde las VLANs 10 y 30.
En los siguientes puntos se muestran las reglas de tráfico, de un modo más

detallado, configuradas para la comunicación interVLAN:
- En la subinterface Fa1/0.10, destinada al tráfico de la VLAN 10 o VLAN de

Investigación, se configurará la ACL extendida de salida, con número 110, con
los criterios de tráfico que se muestran en la tabla:
VLAN 20 (VoIP) VLAN 10 (INVESTIGACIÓN) Denegado
VLAN 30 (WLAN PERSONAL) VLAN 10 (INVESTIGACIÓN) Permitido
VLAN 40 (WLAN INVITADOS) VLAN 10 (INVESTIGACIÓN) Denegado
VLAN 50 (SERVICIOS COMUNES) VLAN 10 (INVESTIGACIÓN) Permitido
VLAN 88 (ADMINISTRACIÓN) VLAN 10 (INVESTIGACIÓN) Permitido
VLAN 99 (NATIVA) VLAN 10 (INVESTIGACIÓN) Permitido
Tabla 3. 14 Reglas de tráfico entre VLAN10 y el resto de VLANS.
148
Para la configuración en Packet Tracer, utilizaremos las siguientes sentencias de
ACL:
access-list 110 permit ip host 192.168.0.30 any
access-list 110 permit ip 192.168.50.0 0.0.0.255 any
- En la subinterface Fa1/0.20, destinada al tráfico de la VLAN 20 o VLAN de VoIP,

se configurará la ACL extendida de salida, con número 120, con los criterios de
tráfico que se muestran en la tabla:
VLAN 10 (INVESTIGACIÓN) VLAN 20 (VoIP) Denegado
VLAN 30 (WLAN PERSONAL) VLAN 20 (VoIP) Denegado
VLAN 40 (WLAN INVITADOS) VLAN 20 (VoIP) Denegado
VLAN 50 (SERVICIOS COMUNES) VLAN 20 (VoIP) Permitido
VLAN 88 (ADMINISTRACIÓN) VLAN 20 (VoIP) Permitido
VLAN 99 (NATIVA) VLAN 20 (VoIP) Permitido

ACL:
149
PERSONAL (WLAN), se configurará la ACL extendida de salida, con número 130,
con los criterios de tráfico que se muestran en la tabla:
VLAN 10 (INVESTIGACIÓN) VLAN 30 (WLAN PERSONAL) Permitido
VLAN 20 (VoIP) VLAN 30 (WLAN PERSONAL) Denegado
VLAN 40 (WLAN INVITADOS) VLAN 30 (WLAN PERSONAL) Denegado
VLAN 50 (SERVICIOS COMUNES) VLAN 30 (WLAN PERSONAL) Permitido
VLAN 88 (ADMINISTRACIÓN) VLAN 30 (WLAN PERSONAL) Permitido
VLAN 99 (NATIVA) VLAN 30 (WLAN PERSONAL) Permitido
Para la configuración en Packet Tracer, utilizaremos las siguientes sentencias

de ACL:

INVITADOS (WLAN), no se configurará ninguna regla de ACL, con el fin de
aplicar unas políticas de seguridad menos restrictivas, ya que se trata de la red
inalámbrica de invitados.

SERVICIOS COMUNES, se configurará la ACL extendida de salida, con número
150, con los criterios de tráfico que se muestran en la tabla:
150
VLAN 10 (INVESTIGACIÓN) VLAN 50 (SERVICIOS COMUNES) Permitido
VLAN 20 (VoIP) VLAN 50 (SERVICIOS COMUNES) Permitido
VLAN 30 (WLAN PERSONAL) VLAN 50 (SERVICIOS COMUNES) Permitido
VLAN 40 (WLAN INVITADOS) VLAN 50 (SERVICIOS COMUNES) Denegado
VLAN 88 (ADMINISTRACIÓN) VLAN 50 (SERVICIOS COMUNES) Permitido
VLAN 99 (NATIVA) VLAN 50 (SERVICIOS COMUNES) Permitido

ACL:

ADMINISTRACIÓN. A esta VLAN no se podrá acceder desde ninguna de las
otras VLANs. Únicamente llevará configurada las sentencias de ACL destinadas
a filtrar el tráfico de las zonas OUTSIDE y DMZ. De este modo, el tráfico
interVLAN entrante a esta subinterface, se negará con la denegación implícita.
Para ello se creará una ACL extendida de salida, con número 188.
151
VLAN 10 (INVESTIGACIÓN) VLAN 88 (ADMINISTRACIÓN) Denegado
VLAN 20 (VoIP) VLAN 88 (ADMINISTRACIÓN) Denegado
VLAN 30 (WLAN PERSONAL) VLAN 88 (ADMINISTRACIÓN) Denegado
VLAN 40 (WLAN INVITADOS) VLAN 88 (ADMINISTRACIÓN) Denegado
VLAN 50 (SERVICIOS COMUNES) VLAN 88 (ADMINISTRACIÓN) Denegado
VLAN 99 (NATIVA) VLAN 88 (ADMINISTRACIÓN) Denegado
- Por último, en la subinterface Fa1/0.99, destinada al tráfico de la VLAN 99 o

VLAN NATIVA, se configurará la ACL extendida de salida, con número 199. Esta
permitirá el tráfico entrante proveniente de todas las VLANs, salvo el de la
VLAN 40 (WLAN de invitados), tal y como puede observarse en la siguiente
tabla:
VLAN 10 (INVESTIGACIÓN) VLAN 99 (NATIVA) Permitido
VLAN 20 (VoIP) VLAN 99 (NATIVA) Permitido
VLAN 30 (WLAN PERSONAL) VLAN 99 (NATIVA) Permitido
VLAN 40 (WLAN INVITADOS) VLAN 99 (NATIVA) Denegado
VLAN 50 (SERVICIOS COMUNES) VLAN 99 (NATIVA) Permitido
VLAN 88 (ADMINISTRACIÓN) VLAN 99 (NATIVA) Permitido

ACL:

152
Una vez creadas todas las ACLS necesarias en nuestro firewall de software, debemos
asignarlas a las interfaces correspondientes del router. Para ello, utilizaremos los
siguientes comandos:
(config)# interface <nº_interface>
(config-if)# ip access-group <nº_ACL> out
Como hemos ido viendo, todas las ACL creadas serán de salida (out), es decir, se
configurarán para filtrar el tráfico saliente del router por dicha interface.
A continuación, mostraremos algunos ejemplos de las pruebas realizadas para comprobar

que el firewall se ha configurado correctamente. Para ello, partiremos del esquema que
se muestra en la Figura 3.48:
Figura 3. 48 Ejemplo de pruebas de conexión entre VLANs con firewall (I).
153
Primero comprobaremos que se permite el tráfico entre la VLAN 30 y la VLAN 10. Para
ello, enviaremos un mensaje ICMP (ping) entre los dispositivos Laptop_ESTE1 y PC1_ESTE.
En la Figura 3.49 vemos que la trama se envía correctamente:
Figura 3. 49 Ejemplo de pruebas de conexión entre VLANs con firewall (II).
Un ejemplo de tráfico que debería denegarse, sería el tráfico existente entre la VLAN 40 y
la VLAN 20, por lo que el mensaje ping no se enviará con éxito, tal y como puede
observarse en la Figura 3.50:
Figura 3. 50 Ejemplo de pruebas de conexión entre VLANs con firewall (III).
Estos ejemplos de pruebas, se han repetido para cada una de las VLANs, confirmando que
el firewall configurado está filtrando el tráfico de manera correcta.
154
CAPÍTULO 5:
CONCLUSIONES Y
LÍNEAS FUTURAS
155
1. CONCLUSIONES
Este Trabajo Fin de Grado se ha llevado a cabo para dotar al Instituto de Tecnologías,
Edificación y Telecomunicaciones de una red LAN.
Primeramente, se ha utilizado el TFG Diseño de la red cableada, inalámbrica y de VoIP

para el “Instituto de la Edificación en el campus universitario de Cuenca”, realizado por
Francisco Miguel Martínez Alarcón. En este, hemos encontrado la distribución de las salas
con las que contaba el edificio, el número de tomas necesarias destinadas a usuarios
finales tanto para la red cableada como para la inalámbrica, así como todo el material
pasivo necesario para llevar a cabo la implementación de la red.
A modo de completar lo establecido en el anterior TFG de nuestro compañero, este

proyecto se ha centrado en la parte de la configuración lógica, con el fin de lograr una red
convergente multiacceso, que cumpla con las condiciones de escalabilidad, confiabilidad y
seguridad necesarias.
Para ello, hemos escogido una red IPv4 de direcciones privadas (192.168.0.0 /16), la cual
se encontrará dividida en diferentes subredes /24 correspondientes con las diferentes
VLANs configuradas: investigación, personal inalámbrica, invitados inalámbrica, VoIP,
servicios comunes, administración y nativa. A la hora de establecer el direccionamiento
de red y subredes, se ha tendido al sobredimensionamiento, de cara a un posible
crecimiento futuro. Para establecer las reglas de comunicación entre VLANs, por ejemplo,
que denieguen el acceso del tráfico proveniente de la red de invitados el resto de VLANs,
se han utilizado ACLs.
En dicha red, se ha utilizado direccionamiento estático y dinámico, según las necesidades

de movilidad de los dispositivos finales. Por otro lado, para dar acceso a internet a la red,
se ha utilizado NAT, que permitía la traducción de direcciones IPv4 privadas en
direcciones públicas.
156
Teniendo en cuenta que hoy en día es imprescindible invertir en buenos mecanismos que
garanticen la seguridad del tráfico de nuestra red, se ha implementado un firewall
mediante software. Este, se ha llevado a cabo mediante un modelo de 3 vías, que permite
aplicar políticas de seguridad estrictas en el tráfico interior de la red, separándolo del
tráfico DMZ que debe permitir que desde el exterior se pueda tener acceso a
determinados servidores. Otro mecanismo de seguridad aplicado es el protocolo AAA.
Para ello, se ha configurado un servidor RADIUS que nos permita autenticar a los clientes
inalámbricos de nuestra red, aplicando WPA2 Enterprise. En el caso del router, la
autenticación se ha llevado a cabo mediante bases de datos locales.
Además, se han configurado contraseñas cifradas para restringir el acceso a dispositivos

intermedios, como es el caso de switches y routers. Es muy importante que estas
contraseñas cuenten con los parámetros de longitud y complejidad vistos y se cambien
periódicamente, para evitar de este modo ataques, como pudiera ser el ataque por
diccionario o ataque de fuerza bruta.
Para cada una de las simulaciones de configuración de software, se han realizado

pruebas, que han permitido testear errores y finalmente que el comportamiento de la red
es el esperado.
Para finalizar, puede decir que los objetivos establecidos inicialmente han sido logrados, a
pesar de las limitaciones encontradas en la simulación en Packet Tracer, para las que se
han propuesto las alternativas consideradas más apropiadas.
157
2. LÍNEAS FUTURAS
Como posibles mejoras de este proyecto, que permitan optimizar el funcionamiento de la
red LAN configurada, estarían:
- Configurar una VPN (Virtual Private Network), que permita el acceso remoto a
red, proporcionando encriptación, autenticación e integridad de datos del
tráfico de red.
- Configurar redundancia, de modo que se eliminen los puntos de error únicos,
por medio de la instalación de equipos de capa 2 duplicados. Esto, debe ir
acompañado del protocolo STP (Spanning Tree Protocol), el cual elimina los
bucles de capa 2, deshabilitando las rutas redundantes, hasta que la ruta se
vuelva necesaria.
- Para aplicar redundancia a nivel de capa 3 e impedir que la conexión con el
router estuviera sujeta a un único punto de fallo, se podrían configurar enlaces
duplicados. Un ejemplo serían los enlaces EtherChannel, los cuales permitirán
un balanceo de carga.
- Por último, una de las mejoras que se podría realizar es la utilización de
direccionamiento IPv6, el cual presenta un mayor espacio y una mejora en la
administración del tráfico, evitando la necesidad de usar la tecnología NAT.
- Aumentar las medidas de seguridad de la red, por medios de dispositivos
como Honeypots, IDS/IPS, etc.
158
BIBLIOGRAFÍA
- Experto en redes de comunicaciones CCNA v.5. 2ª Ed. California: Cisco System.

- CCNA Security 210-260. Omar Santos, John Stuppi. Cisco.
- Seguridad en Redes. Alejandro Corletti Estrada. Darfe, Learning Consulting, S.L.
- Seguridad por Niveles. Alejandro Corletti Estrada. Darfe, Learning Consulting,
S.L.
- TFG Diseño de la red cableada, inalámbrica y de VOIP para el “Instituto de la
Edificación en el campus universitario de Cuenca”. Francisco Miguel Martínez
Alarcón. Junio 2016.
- Pliego de Condiciones: www.cisco.com
159
II. PLANOS
160
1 Plano de la ubicación del Instituto de Tecnologías, Edificación y Telecomunicaciones.
2 Plano del instituto proyectado.
161
3 Plano con la distribución en zonas del Instituto y los recursos de red necesarios.
162
4 Plano distribución zona 1.
163
164
165
166
167
168
169
10 Plano de la simulación en Packet Tracer de la red LAN del Instituto de Edificación, Tecnologías y Telecomunicaciones.
11 Plano distribución en zonas de la red del instituto.
170
12 Plano del sistema de distribución principal de la red del edificio.
171
13 Plano del sistema repartidor de planta ESTE de la red del instituto.
172
14 Plano del sistema repartidor de planta OESTE de la red del instituto.
173
15 Plano de la red ISP.
174
16 Plano de la solución WLAN propuesta para la simulación en Packet Tracer (Routers inalámbricos + APs).
Zona ESTE.
17 Plano de la solución WLAN propuesta para la simulación en Packet Tracer (Routers inalámbricos + APs).
Zona OESTE.
175
18 Plano de la solución propuesta de configuración de las redes WLAN mediante WLC.
176
III. PLIEGO DE
CONDICIONES
177
1. Realización del TFG:
ORDENADOR: Thinkpad X1 Carbon (5ª GENERACIÓN)
Figura 4. 1 Thinkpad X1 Carbon (5ª GENERACIÓN).
CARACTERÍSTICAS
Procesador Procesador hasta Intel® Core™ vPro™ i7-7600U
Windows 10 Pro (64 bit) - Lenovo recomienda Windows 10 Pro.

Sistema operativo
Windows 10 Home 64
IPS WQHD (2560 x 1440) de 35,56 cm(14") y 300 disponible en

verano de 2017
Pantalla
FHD de 35,56 cm(14") (1920 x 1080) y 300 nits
Tarjeta gráfica Tarjeta gráfica integrada Intel® HD 620
HD 720p
Cámara
Cámara infrarroja (IR) opcional
Memoria Memoria LPDDR3 de hasta 16 GB a 1866 MHz
178
CARACTERÍSTICAS
SSD SATA de 128 GB
SSD Intel SATA de 180 GB
SSD Intel PCIe TLC OPAL2 de 256 GB
Almacenamiento SSD PCIe TLC OPAL2 de 256 GB
SSD Intel PCIe TLC OPAL2 de 512 GB
SSD PCIe TLC OPAL2 de 512 GB
SSD PCIe TLC OPAL2 de 1 TB
** Hasta 15,5 horas*
Batería * Basado en las pruebas MobileMark 2014. La duración de la

batería varía considerablemente en función de la configuración,
el uso y otros factores.
Audio Dolby® Audio™ Premium
dTPM 2.0
Seguridad
Lector de huellas dactilares táctil opcional
2 Intel® Thunderbolt™ 3
2 USB 3.0
HDMI
Puertos E/S
(entrada/salida)
RJ45 nativo
MicroSD
MicroSIM
179
CARACTERÍSTICAS
WWAN: Qualcomm® Snapdragon™ X7 LTE-A
WLAN: Intel® inalámbrico de dos bandas AC 8265 2 x 2 +

Bluetooth® 4.2
Conectividad
WiGig: Intel® inalámbrico de tres bandas AC 18265 (WiGig + WiFi
AC 2 x 2 + Bluetooth® 4.2)
NFC opcional
Dimensiones
323,5 mm x 217,1 mm x 15,95 mm
(An. x Pr. x Al.)
Peso Desde 1,13 kg
Colores Negro
180
SOFTWARE SIMULACIÓN REDES: Packet Tracer, Cisco Networking Academy
(version 7.1.1)
Figura 4. 2 Packet Tracer, Cisco Networking Academy (version 7.1.1).
Cisco Packet Tracer es un potente programa de simulación de redes de comunicaciones

que permite realizar el diseño de topologías, la configuración de dispositivos de red, así
como la detección y corrección de errores en sistemas de comunicaciones; sin la
necesidad de disponer de dispositivos hardware y software adicionales.
181
2. Equipamiento del instituto:
ROUTER PERIMETRAL: Cisco 4431 Integrated Services Router
Figura 4. 3 Cisco 4431 Integrated Services Router.
Features
Form factor 1 RU
Integrated WAN Ports 2 PoE GE / SFP
2 GE / SFP
Performance 500 Mbps
Upgradable to 1 Gbps
Management port 4 GE (Integrated out of Band)
Network Interface Modules (NIM) 3
Enhanced Services Modules (SM-X) N/A
Integrated Services Card (ISC) slots 1 (PVDM 4)
USB Ports (type A) 2
Default/max Flash 8 GB / 32 GB
Default/max DRAM 4 GB / 16 GB
Power supply type External: AC, PoE or DC
Redundant power supply Yes
Internal RPS
Module online insertion and removel
(OIR) Yes
Advanced Security
VRF-Aware Firewall and Network Address
Zone-based firewall and NAT services Translation (NAT)
Hardware VPN acceleration(DES,
3DES, AES) Yes
182
Advanced Security
FlexVPN, Easy VPN remote server, Enhanced Easy VPN,

Dynamic Multipoint VPN (DMVPN)
IPSEC VPN services Group Encrypted Transport VPN (GET VPN), V3PN, MPLS
VPN
SSL VPN No
Intrusion prevention Yes (Snort for Singnature Based and FirePower as nGIPS)
Anomaly Detection and
Machine Learning Cisco Self Learning Networks (SLN)
ACL, FPM, control plan protection, control plane policing
(CoPP), QoS, role-based CLI access, source-based RTBH,
Network foundation protection uRPF, SSHv2
Cisco Umbrella Branch Support Yes
Cisco Cloud Web Security Yes
Identity-based networking No
Security Group Tag Exchange Protocol (SXP), SGT over
GETVPN
Cisco TrustSec
SGT over IPSEC
SGT over DMVPN
SGT-based ZBFW
Port/Layer 3 interface/IP/subnet-to-SGT mapping
SGT export in Flexible NetFlow
Unified Communications
Local conferencing Yes
Digital signal processor support PVDM4
Cisco Unified Survivable
Remote Site Telephony
support Up to 1200
Cisco Unified Communications
Manager Express support Up to 350
Cisco Unity Express (NM, SM,
or ISM) Use Cisco Unity Connection on UCSE
Cisco Unified Border Element
(CUBE) (SIP/H.323 sessions) 3000
nano Cisco Unified Border
Element (nanoCUBE) (sessions) N/A
Digital voice and video (T1/E1
channels) Up to 720
Analog/BRI voice Up to 12 ports (FXS, FXO, E/M, BRi)
183
Routing and Multicast
IPv4 routing protocols RIP v1/v2, EIGRP, OSPF, BGP, PBR, PfR
Multicast routing protocols PIM-SM, mroute (static route), and MLD
IPv6 routing protocols EIGRP, RIP, OSPFv3, IS-IS,
BGP and PBR
Wireless LAN
Integrated 802.11 b/g/n access point N/A
Integrated 802.11 a/b/g/n access
point N/A
Unified and autonomous mode N/A
RP-TNC connectors for field-
replaceable N/A
optional high-gain antennas N/A
Diversity (dual antennas) N/A
Wireless LAN controller module Available on UCS E-Series
Wireless WAN
3G /4G LTE cellular Yes
Cat 6 LTE Advanced Yes†
GPS Support Yes
Yes (Various antenna using 2 x TNC connectors
Indoor Antenna supporting MIMO)
Outdoor antennas N/A
Integrated Switching
Maximum switched Ethernet ports 24
Maximum switched Ethernet LAN
ports with PoE 24
PoE support (wattage) 250 W
without PoE boost (with optional power supply redundancy)
PoE support (wattage) 530 W
with PoE boost
EtherSwitch Service Module type
(width) N/A
Application Services
Intelligent Path Control PfR
SD-Access Yes
Network Contention Control QoS, HQoS
Application Visibility NBAR v2
WAN Optimization ISR-WAAS
Akamai Connect Yes
Cisco Application Centric Application Policy Infrastructure Controller (APIC)
Infrastructure with Enterprise Module
184
SWITCH DISTRIBUIDOR PRINCIPAL: Cisco Catalyst 3650-48FQM-S Switch
Figura 4. 4 Cisco Catalyst 3650-48FQM-S Switch.
FEATURES
176 Gbps on 48-port models (non-

multigigabit models)
92 Gbps on 24-port models (non-multigigabit
models)
254 Gbps on 24-port Multigigabit models with
2x10G uplink
Switching capacity
4x10G uplink
4x10G uplink
8x10G uplink
2x40G uplink
Stacking bandwidth 160 Gbps
Total number of MAC addresses 32,000
Total number of IPv4 routes (ARP plus

24,000
learned routes)
185
FEATURES
48,000 flow on 48-port models

FNF entries
24,000 flows on 24-port models
DRAM 4 GB
2 GB (non-Multigigabit models) and 4GB

Flash
(Multigigabit models)
VLAN IDs 4,094
Total switched virtual interfaces

1,000
(SVIs)
Jumbo frame 9198 bytes
Total routed ports per 3650 stack 208
Wireless
Number of access points per

25
switch/stack
Number of wireless clients per

1000
switch/stack
Total number of WLANs per switch 64
Up to 40 Gbps on 48-port models

Wireless bandwidth per switch
Up to 20 Gbps on 24-port models
Supported Aironet access point

3700, 3600, 3500, 2600, 1600, 1260, 1140, 1040
series
Forwarding Rate of Switch Models
186
FEATURES
Model Forwarding Rate
4 x 1 Gigabit Ethernet Uplink-Models
3650-24TS
41.66 Mpps
3650-24PS
3650-48TS
3650-48PS 77.37 Mpps
3650-48FS
3650-24TD
3650-24PD 68.45 Mpps
3650-24PDM
3650-48TD
3650-48PD 104.16 Mpps
3650-48FD
3650-8X24PD 172.61 Mpps
3650-12X48FD 261.90 Mpps
187
FEATURES
3650-48TQ
3650-48PQ
130.95 Mpps
3650-48FQ
3650-48FQM
3650-8X24UQ 202.38 Mpps
3650-12X48UQ 291.66 Mpps
3650-12X48UR 351.19 Mpps
2 x 40 QSFP+ Uplink-Models
188
SWITCHES REPARTIDORES DE PLANTA: Cisco Catalyst 2960X-48FPD-L Switch
Figura 4. 5 Cisco Catalyst 2960X-48FPD-L Switch.
FEATURES
128 MB for LAN Base and IP Lite SKUs, 64 MB for LAN Lite
Flash memory SKUs
DRAM 512 MB for LAN Base and 256 MB for LAN Lite
CPU APM86392 600 MHz dual core
Console ports USB (Type B), Ethernet (RJ-45)
Storage interface USB (Type A) for external flash storage
Network management
interface 10/100 Mbps Ethernet (RJ-45)
189
SWITCH DMZ: Cisco Catalyst 2960X-24PD-L Switch
Figura 4. 6 Cisco Catalyst 2960X-24PD-L Switch.
FEATURES
128 MB for LAN Base and IP Lite SKUs, 64 MB for LAN Lite
Flash memory SKUs
DRAM 512 MB for LAN Base and 256 MB for LAN Lite
CPU APM86392 600 MHz dual core
Console ports USB (Type B), Ethernet (RJ-45)
Storage interface USB (Type A) for external flash storage
Network management
interface 10/100 Mbps Ethernet (RJ-45)
190
FIREWALL: Cisco ASA 5508-X w/ FirePOWER Services
Figura 4. 7 Cisco ASA 5508-X w/ FirePOWER Services.
Cisco ASA 5508-X w/ FirePOWER

Features
Services
Throughput: Application Control (AVC) 450 Mbps
Throughput: Application Control (AVC)
250 Mbps
and IPS
Maximum concurrent sessions 100
Maximum New Connections per

10
second
Supported applications More than 3,000
URL categories 80+

Number of URLs categorized More than 280 million
Multi-device Cisco Security Manager

Centralized configuration, logging,
(CSM) and Cisco Firepower
monitoring, and reporting
Management Center
ASDM (version 7.3 or higher
On-Device Management
required)
Stateful inspection throughput

1 Gbps
(maximum1)
Stateful inspection throughput

500 Mbps
(multiprotocol2)
191
Features
Services
Triple Data Encryption

Standard/Advanced Encryption 175 Mbps
Standard (3DES/AES) VPN throughput3
Users/nodes Unlimited
IPsec site-to-site VPN peers 100
For detailed sizing guidance see
Cisco Cloud Web Security users the CWS Connector Sizing for ASA 5500
and ASA 5500-X
Cisco AnyConnect Plus/Apex VPN

1005
maximum simultaneous connections5
Virtual interfaces (VLANs) 50
Security contexts5(included;
2; 5
maximum)
High availability4 Active/Active and Active/Standby
Integrated Wireless Access Point

N/A
(See Cisco AP 702 datasheet for WiFi
technical details)
Expansion slot N/A
User-accessible Flash slot No
USB 2.0 ports USB port type ‘A’, High Speed 2.0
Integrated I/O 8 x 1GE
Expansion I/O N/A
Yes (To be shared with FirePOWER

Dedicated management port
Services), 10/100/1000
Serial ports 1 RJ-45 and Mini USB console
Solid-state drive 80 GB mSata6
Memory 8 GB
192
Features
Services
System flash 8 GB
System bus Multibus architecture
Operating Parameters
Temperature 32 to 104°F (0 to 40 °C)
Relative humidity 10 to 90 percent noncondensing
Designed and tested for 0 to 10,000 ft
Altitude
(3048 m)
41.6 A-weighted decibels (dBA) type
Acousticnoise
67.2 dBA max
Non-operating Parameters
Temperature7 -13 to 158ºF (-25 to 70ºC)
Relative humidity 10 to 90 percent noncondensing

Designed and tested for 0 to 15,000 ft
Altitude
(4572 m)
Power Input (per power supply)
External, 90 to 240 volts alternating
AC range line voltage
current (VAC)
AC normal line voltage 91 to 240 VAC
AC current 0.25AC amps
AC frequency 50/60 Hz
Dual-power supplies None
DC domestic line voltage N/A
DC international line voltage N/A
DC current N/A
Output
Steady state 12V @ 3.0A
Maximum peak 12V @ 5.0A
Maximum heat dissipation 205 Btu/hr
1 rack unit (RU), 19-in. rack-

Form factor
mountable
193
Features
Services
Dimensions 1.72 x 17.2 x 11.288 in.
(H x W x D) (4.369 x 43.688 x 28.672 cm)
Weight (with AC power supply) 8 lb (3 kg)
194
WLC (WIRELESS LAN CONTROLLER): Cisco 3504 Wireless Controller
Figura 4. 8 Cisco 3504 Wireless Controller.
Key Features
Ideal for Small or midsize business
Form factor Desktop
Deployment Mode
FlexConnect Yes
Central mode (formerly local mode) Yes
Mesh Yes
FlexConnect + Mesh Yes
OfficeExtend Yes
Scalability
Minimum access points 1
Maximum access points 150
Maximum client support 3000
Maximum RF tag support 1500
Maximum throughput 4 Gbps
Maximum access-point groups 150
Maximum FlexConnect Groups 100
Maximum access points per group 100
Maximum WLANs 512
Maximum VLANs 4094
195
Platform Details
1 x 5 Gb (1/2.5/5-G speeds supported,
restrictions on other ports while over 1G)
4 x 1 Gb (2 PoE ports)
Interfaces or network I/O
Redundant power -
Redundant fans Fanless up to 30°C; built-in fan above 30°C
Maximum power consumption 98W
Standard hardware warranty 3 years
Standard software warranty 90 days
Features and Functionality
Access control lists (ACLs) Yes
Application Visibility and Control (AVC) Yes
Bidirectional rate limiting Yes
Bonjour gateway Yes
Cisco Compatible Extensions Call Admission
Control (CAC)/Wi-Fi Multimedia (WMM) Yes
Cisco VideoStream Yes
Datagram Transfer Layer Security (DTLS) Yes
Guest anchor Yes
Guest services (wired) Yes
Guest services (wireless) Yes
High Availability with AP SSO Yes
High Availability with client SSO Yes
Integrated wireless policy engine Yes
Link Aggregation Group (LAG) Yes, multigigabit port pegged at 1-G speed
Mobility L2 and L3 (no new mobility)
QoS Yes
Radio Resource Management (RRM) Yes
Workgroup Bridge Yes
Government Certifications
FIPS In plan
Common criteria In plan
DISA Unified Capabilities Approved Product
List In plan
USGv6 In plan
196
PUNTOS DE ACCESO O AP: AIR-AP2802I-x-K9: Dual-band, controller-based
802.11a/g/n/ac
Figura 4. 9 AIR-AP2802I-x-K9: Dual-band, controller-based 802.11a/g/n/ac.
Item Specification
Cisco Aironet 2800i Access Point: Indoor environments, with internal
antennas
Part numbers ● AIR-AP2802I-x-K9: Dual-band, controller-based 802.11a/g/n/ac
● Cisco Unified Wireless Network Software Release 8.2.111.0 or later
Software ● Cisco IOS® XE Software Release 16.3
● Cisco 2500 Series Wireless Controllers, Cisco Wireless Controller
Module for ISR G2, Cisco Wireless Services Module 2 (WiSM2) for
Catalyst® 6500 Series Switches, Cisco 5500 Series Wireless Controllers,
Cisco Flex®7500 Series Wireless Controllers, Cisco 8500 Series Wireless
Controllers, Cisco Virtual Wireless Controller
Supported ● Cisco Catalyst 3850 Series Switches, Cisco Catalyst 3650 Series
wireless LAN Switches
controllers ● Cisco Mobility Express
● 4x4 MU-MIMO with three spatial streams
● MRC
● 802.11ac beamforming
● 20-, 40-, 80, 160-MHz channels
● PHY data rates up to 5.2 Gbps
● Packet aggregation: A-MPDU (Tx/Rx), A-MSDU (Tx/Rx)
802.11ac Wave ● 802.11 DFS
2 capabilities ● CSD support
197
Item Specification
Flexible radio (either 2.4 GHz or 5 GHz)
● 2.4 GHz, gain 4 dBi, internal antenna, omnidirectional in
azimuth
● 5 GHz, gain 6 dBi, internal directional antenna, elevation
plane beamwidth 90°
Dedicated 5-GHz radio
● 5 GHz, gain 5 dBi, internal antenna, omnidirectional in
Integrated antenna azimuth
● 2802e Series access points are certified for use with antenna
gains up to 6 dBi (2.4 GHz and 5 GHz)
● Cisco offers the industry's broadest selection of antennas,
External antenna delivering optimal coverage for a variety of deployment
(sold separately) scenarios
● Available on the 2802e Series access points only
● Requires the AIR-CAB002-DART-R= 2 ft smart antenna
connector to RP-TNC connectors to connect a second antenna to
the access point
● Required when running the flexible radio as either a second 5-
Smart antenna connector GHz serving radio or Wireless Security Monitoring radio
● 2802I/E
◦ 2x100/1000BASE-T autosensing (RJ-45)
● Management console port (RJ-45)
Interfaces ● USB 2.0 (enabled via future software)
● Status LED indicates boot loader status, association status,
Indicators operating status, boot loader warnings, boot loader errors
● Access point (without mounting brackets): 2802I: 8.66” x
Dimensions (W x L x H) 8.68” x 2.17”, 2802E: 8.66” x 8.77” x 2.50”
Weight 3.53 lb (1.6 kg)
● 802.3at PoE+, Cisco Universal PoE (Cisco UPOE®)
Input power requirements ● 802.3at power injector (AIR-PWRINJ6=)
● 22.5W at the PSE (20W at the PD) with all features enabled
except for the USB 2.0 port
● 26.5W at the PSE (23W at the PD) with the USB 2.0 port
Power draw enabled
● Nonoperating (storage) temperature: -22° to 158°F (-30° to
70°C)
● Nonoperating (storage) altitude test: 25˚C, 15,000 ft.
● Operating temperature: 32° to 104°F (0° to 40°C)
● Operating humidity: 10% to 90% (noncondensing)
Environmental ● Operating altitude test: 40˚C, 9843 ft.
198
Item Specification
● 1024 MB DRAM
System memory ● 256 MB flash
Warranty Limited lifetime hardware warranty
2.4 GHz 5 GHz
● 23 dBm (200 mW) ● 23 dBm (200 mW)
● 20 dBm (100 mW) ● 20 dBm (100 mW)
● 17 dBm (50 mW) ● 17 dBm (50 mW)
● 14 dBm (25 mW) ● 14 dBm (25 mW)
● 11 dBm (12.5 mW) ● 11 dBm (12.5 mW)
● 8 dBm (6.25 mW) ● 8 dBm (6.25 mW)
Available transmit power ● 5 dBm (3.13 mW) ● 5 dBm (3.13 mW)
settings ● 2 dBm (1.56 mW) ● 2 dBm (1.56 mW)
A (A regulatory I (I regulatory domain):
domain): ● 2.412 to 2.472 GHz; 13 channels
● 2.412 to 2.462 GHz; ● 5.180 to 5.320 GHz; 8 channels
11 channels K (K regulatory domain):
● 5.180 to 5.320 GHz; 8 ● 2.412 to 2.472 GHz; 13 channels
channels ● 5.180 to 5.320 GHz; 8 channels
(excludes 5.600 to N (N regulatory domain):
5.640 GHz) ● 2.412 to 2.462 GHz; 11 channels
B (B regulatory Q (Q regulatory domain):
domain): ● 2.412 to 2.472 GHz; 13 channels
11 channels ● 5.500 to 5.700 GHz; 11 channels
● 5.180 to 5.320 GHz; 8 R (R regulatory domain):
12 channels ● 5.660 to 5,805 GHz; 7 channels
● 5.745 to 5.825 GHz; 5 S (S regulatory domain):
C (C regulatory ● 5.180 to 5.320 GHz; 8 channels
domain): ● 5.500 to 5.700 GHz;, 11 channels
13 channels T (T regulatory domain):
D (D regulatory ● 5.500 to 5.700 GHz; 8 channels
domain): (excludes 5.600 to 5.640 GHz)
Frequency band and 20-MHz 11 channels Z (Z regulatory domain):
operating channels ● 5.180 to 5.320 GHz; 8 ● 2.412 to 2.462 GHz; 11 channels
199
channels (excludes 5.600 to 5.640 GHz)
E (E regulatory domain): ● 5.745 to 5.825 GHz; 5 channels
● 2.412 to 2.472 GHz;
13 channels
● 5.180 to 5.320 GHz; 8
channels
● 5.500 to 5.700 GHz; 8
channels
(excludes 5.600 to
5.640 GHz)
F (F regulatory domain):
● 2.412 to 2.472 GHz;
13 channels
● 5.745 to 5.805 GHz; 4
channels
G (G regulatory
domain):
● 2.412 to 2.472 GHz;
13 channels
● 5.745 to 5.825 GHz; 5
channels
H (H regulatory
domain):
● 2.412 to 2.472 GHz;
13 channels
● 5.150 to 5.350 GHz; 8
channels
● 5.745 to 5.825 GHz; 5
channels
5 GHz
● 802.11a:
◦ 20 MHz: 25 FCC, 16 EU
● 802.11n:
◦ 20 MHz: 25 FCC, 16 EU
2.4 GHz ◦ 40 MHz: 12 FCC, 7 EU
● 802.11b/g: ◦ 20 MHz: 25 FCC, 16 EU
◦ 20 MHz: 3 ◦ 40 MHz: 12 FCC, 7 EU
Maximum number of ● 802.11n: ◦ 80 MHz: 6 FCC, 3 EU
nonoverlapping channels ◦ 20 MHz: 3 ◦ 160 MHz 2 FCC, 1 EU
Note: This varies by regulatory domain. Refer to the product documentation for specific details for
each regulatory domain.
200
Item Specification
◦ UL 60950-1
◦ CAN/CSA-C22.2 No. 60950-1
◦ UL 2043
◦ IEC 60950-1
◦ EN 60950-1
◦ EN 50155 for 2800e (Operating temperature -20° to 50°C)
● Radio approvals:
◦ FCC Part 15.107, 15.109, 15.247, 15.407, 14-30
◦ RSS-247 (Canada)
◦ EN 300.328, EN 301.893 (Europe)
◦ ARIB-STD 66 (Japan)
◦ ARIB-STD T71 (Japan)
◦ EMI and susceptibility (Class B)
◦ ICES-003 (Canada)
◦ VCCI (Japan)
◦ EN 301.489-1 and -17 (Europe)
◦ EN 60601-1-2 EMC requirements for the Medical Directive
93/42/EEC
● IEEE standards:
◦ IEEE 802.11a/b/g, 802.11n, 802.11h, 802.11d
◦ IEEE 802.11ac
● Security:
◦ 802.11i, Wi-Fi Protected Access 2 (WPA2), WPA
◦ 802.1X
◦ Advanced Encryption Standards (AES)
● Extensible Authentication Protocol (EAP) types:
◦ EAP-Transport Layer Security (TLS)
◦ EAP-Tunneled TLS (TTLS) or Microsoft Challenge Handshake
Authentication Protocol Version 2 (MCSHAPv2)
◦ Protected EAP (PEAP) v0 or EAP-MSCHAPv2
◦ EAP-Flexible Authentication via Secure Tunneling (FAST)
◦ PEAP v1 or EAP-Generic Token Card (GTC)
◦ EAP-Subscriber Identity Module (SIM)
● Multimedia:
◦ Wi-Fi Multimedia (WMM)
● Other:
◦ FCC Bulletin OET-65C
Compliance standards ◦ RSS-102
201
Item Specification
802.11b: 1, 2, 5.5, and 11 Mbps
802.11a/g: 6, 9, 12, 18, 24, 36, 48, and 54 Mbps
802.11n HT20: 6.5 to 216.7 Mbps (MCS0 to MCS23)
802.11n HT40: 13.5 to 450 Mbps (MCS0 to MCS23)
802.11ac VHT20: 6.5 to 288.9 Mbps (MCS0 to 8 – SS 1, MCS0 to 9 –
SS 2 and 3)
802.11ac VHT40: 13.5 to 600 Mbps (MCS0 to 9 – SS 1 to 3)
802.11ac VHT80: 29.3 to 1300 Mbps (MCS0 to 9 – SS 1 to 3)
802.11ac VHT160: 58.5 to 2304 Mbps (MCS0 to 9 – SS 1 and 2,
Data rates supported MCS0 to 8 – SS 3)
202
TELÉFONOS IP: Cisco IP Phone 8865
Figura 4. 10 Cisco IP Phone 8865.
Attribute Specification
Programmable line and feature 5
keys
Video 720p HD, H.264 AVC
Display 5-inch widescreen VGA (800x480 pixel), 24-bit color
Integrated switch 10/100/1000
Headset support RJ-9 jack, USB, Bluetooth
Wireless Fidelity (Wi-Fi) Yes, 802.11a/b/g/n/ac
Personal mobile device Yes, Cisco Intelligent Proximity for Mobile Voice
integration
IP Phone 8800 Key Expansion Yes, up to 3 modules (108 additional line and
Module feature keys)
203
SERVIDORES: Cisco UCS C240 M4 Rack Server
Figura 4. 11 Cisco UCS C240 M4 Rack Server.
Item Specification
Chassis Two rack-unit (2RU) server
Processors Either 1 or 2 Intel® Xeon® processor E5-2600 v3 or v4 product family
CPUs
Chipset Intel C610 series
Memory Up to 24 double-data-rate 4 (DDR4) dual in-line memory (DIMMs) of
up to 2400 MHz speeds
PCIe slots Up to 6 PCI Express (PCIe) Generation 3 slots (four full-height and full-
length; four NCSI-capable and VIC-ready; two GPU-ready)
Hard Up to 24 small-form factor (SFF) drives or 12 large form-factor (LFF)
drives drives, plus two optional internal SATA boot drives, and NVMe drive
support
Embedded Two 1-Gbps Intel i350-based Gigabit Ethernet ports
NIC
mLOM mLOM slot can flexibly accommodate 1-Gbps, 10-Gbps, or 40-Gbps
adapters
RAID Cisco 12 Gb SAS modular RAID controller for internal drives
controller Cisco 9300-8E 12 Gb SAS HBA for external drives
Embedded software RAID (entry RAID solution) for up to four SATA
drives
204
IV. PRESUPUESTO
205
COSTE DISPOSITIVOS ACTIVOS
DESCRIPCIÓN UNIDADES PRECIO UNIDAD PRECIO
TOTAL
Cisco 4431 Integrated Services

1 6.271,02 6.271,02
Router
Cisco Catalyst 3650-48FQM-S 1 7.489,00 7.489,00

Switch
Cisco Catalyst 2960X-48FPD-L 5 2.943,76 14.718,80

Switch
Cisco Catalyst 2960X-24PD-L 1 1.643,82 1.643,82

Switch
Cisco ASA 5508-X w/ FirePOWER 1 1.628,21 1.628,21

Services
Cisco 3504 Wireless Controller 1 2.836,63 2.836,63
Cisco Aironet 2800 Series Access 7 500,86 3.506,02

Points
Cisco IP Phone 8865 19 408,59 7.763,21
Cisco UCS C240 M4 Rack Server 6 2.198,00 13.188,00
Thinkpad X1 Carbon (5ª 1 1.689,00 1.689,00

GENERACIÓN)
TOTAL (con IVA 21%) 60.733,71
206
COSTE RECURSOS HUMANOS
DESCRIPCIÓN HORAS COSTE/HORA COSTE TOTAL
Ingeniero de Telecomunicaciones 500 45 22.500,00

(Diseño)
Técnico de Telecomunicaciones 500 25 12.500,00

(Instalador)
TOTAL (sin IVA) 35.000,00
TOTAL (con IVA 21%) 42.350,00
COSTE TOTAL DEL PROYECTO

Coste dispositivos activos 60.733,71
Coste recursos humanos 42.350,00
TOTAL (con IVA 21%) 103.083,71
207
ANEXO
208
Este anexo recoge el código resumido configurado en los dispositivos utilizados para la
simulación en Packet Tracer de la red LAN del Instituto de Tecnologías, Edificación y
Telecomunicaciones.
ROUTER FRONTERA:
Current configuration : 9786 bytes

!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
security passwords min-length 8
!
hostname R1
!
login block-for 120 attempts 3 within 60
!
!
enable secret 5 $1$mERr$ra43DIsPm6RIpHznS7BHE0
!
!
ip dhcp excluded-address 192.168.50.249
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool VOICE
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
option 150 ip 192.168.20.1
dns-server 10.10.0.253
ip dhcp pool INVESTIGACION
network 192.168.10.0 255.255.255.0
ip dhcp pool INALAMBRICA_PERSONAL
209
network 192.168.30.0 255.255.255.0
ip dhcp pool INALAMBRICA_INVITADOS
network 192.168.40.0 255.255.255.0
ip dhcp pool SERVICIOS_COMUNES
network 192.168.50.0 255.255.255.0
ip dhcp pool ADMINISTRACION
network 192.168.88.0 255.255.255.0
ip dhcp pool NATIVA
network 192.168.99.0 255.255.255.0
!
!
aaa new-model
!
aaa authentication login default local
aaa authentication enable default enable
!
!
aaa authorization exec default if-authenticated
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
username AdminELE18 password 7 08004843001757474353
!
!
!
!
!
!
!
!
ip ftp username ELENA1
210
ip ftp password 12345
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface Loopback0
ip address 172.16.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.10.0.1 255.255.255.0
ip access-group 121 out
ip nat inside
duplex auto
speed auto
!
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/1/0
ip address 209.165.200.226 255.255.254.0
ip nat outside
!
no ip address
ip nat inside
!
interface FastEthernet1/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.50.254
ip nat inside
!
ip address 192.168.20.1 255.255.255.0
ip nat inside
!
211
ip address 192.168.30.1 255.255.255.0
ip nat inside
!
ip address 192.168.40.1 255.255.255.0
ip nat inside
!
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
ip address 192.168.88.1 255.255.255.0
ip nat inside
!
encapsulation dot1Q 99 native
ip address 192.168.99.1 255.255.255.0
!
interface Vlan1
no ip address
shutdown
!
ip nat pool PAT 209.165.200.226 209.165.200.226 netmask 255.255.254.0
ip nat inside source list 1 pool PAT overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/1/0
ip route 172.16.3.0 255.255.255.0 Loopback0
!
ip flow-export version 9
!
212
!
ip access-list extended sl_def_acl
deny tcp any any eq telnet
deny tcp any any eq www
deny tcp any any eq 22
permit tcp any any eq 22
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq telnet
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq pop3
access-list 121 permit tcp any any eq 20
access-list 110 permit ip host 172.16.3.1 0.0.255.255 192.168.0.0 precedence priority
213
214
!
banner motd ^C Acceso Permitido Solo a Personal Autorizado!!!! ^C
!
radius-server host 192.168.50.248 auth-port 1645
radius-server key key123
!
!
telephony-service
max-ephones 20
max-dn 20
ip source-address 192.168.20.1 port 2000
auto assign 4 to 6
auto assign 1 to 5
!
ephone-dn 1
number 54001
!
ephone-dn 2
number 54002
!
ephone 1
device-security-mode none
mac-address 00D0.BCED.BC8B
type 7960
button 1:1
!
ephone 2
device-security-mode none
mac-address 0001.C7E0.5DD3
type 7960
button 1:2
!
line con 0
password 7 0800484300175747435C
!
line aux 0
!
line vty 0 4
password 7 0837455C1D0C041B405B5D53
line vty 5 15
!
!
end
215
SWITCH DISTRIBUIDOR PRINCIPAL:

!
version 12.1
!
hostname S_DIST_PRINCIPAL
!
!
!
!
!
!
spanning-tree extend system-id
!
switchport access vlan 50
switchport mode access
!
!
!
!
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20,30,40,50,88,99
switchport mode trunk
!
!
216
!
!
!
!
interface Vlan1
no ip address
shutdown
!
interface Vlan88
mac-address 0040.0bad.9a01
ip address 192.168.88.2 255.255.255.0
!
banner motd ^CSolo Personal Autorizado!!!!^C
!
!
!
line con 0
password 7 0800484300175747435C
login
!
line vty 0 4
login
line vty 5 15
login
!
!
!
end
217
SWITCH REPARTIDO ESTE:

!
version 12.1
!
hostname S_REP_ESTE
!
!
!
!
!
!
!
!
switchport voice vlan 20
!
!
!
interface GigabitEthernet4/1
!
!
!
218
!
interface Vlan1
no ip address
shutdown
!
interface Vlan88
mac-address 0002.1693.2101
ip address 192.168.88.3 255.255.255.0
!
banner motd ^C Solo Personal Autorizado!!!!!^C
!
!
!
line con 0
password 7 0800484300175747435C
login
!
line vty 0 4
login
line vty 5 15
login
!
!
!
End
219
SWITCH REPARTIDOR OESTE:

!
version 12.1
!
hostname S_REP_OESTE
!
!
!
!
!
!
!
!
switchport voice vlan 20
!
!
!
!
!
!
220
!
interface Vlan1
no ip address
shutdown
!
interface Vlan88
mac-address 0060.2f14.1501
ip address 192.168.88.4 255.255.255.0
!
banner motd ^CSolo Personal Autorizado!!!!!^C
!
!
!
line con 0
password 7 0800484300175747435C
login
!
line vty 0 4
login
line vty 5 15
login
!
!
!
end
221
SWITCH DMZ:

!
version 12.1
!
hostname Switch
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 10.10.0.3 255.255.255.0
!
banner motd ^CSolo Personal Autorizado!!!!^C
!
!
!
line con 0
password 7 0800484300175747435C
login
!
line vty 0 4
login
line vty 5 15
222
login
!
!
!
end
223

TFG Palomar Sánchez-Casas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TFG Palomar Sánchez-Casas

Cargado por

Copyright:

Formatos disponibles

Agradecimientos

En primer lugar, agradecer a mis padres la

A mis amigos y mis compañeros de clase y

A mis tutores en este TFG José Antonio

Para llevar a cabo esta configuración, se ha utilizado el software Packet Tracer,

La LAN de este instituto, es una red convergente multiacceso, en la que se va a

Lógicamente, la configuración permitirá conexión inalámbrica, además de red

La red contará con direccionamiento estático y dinámico (mediante la configuración

Por último, con el fin de garantizar la confidencialidad, integridad y disponibilidad de

Logically, network configuration will allow wireless connection in addition cable

Finally, in order to guarantee the confidentiality, integrity and availability of the

Figura 3. 1 Topología de la red LAN. ............................................................................................................... 94

Figura 4. 1 Thinkpad X1 Carbon (5ª GENERACIÓN). ...................................................................................... 178

Tabla 2. 1 Recursos de red Zona 1: LACAE, calidad en la edificación.............................................................. 72

Con la eminente llegada de la digitalización, se hace imposible pensar en cualquier

Nuestra red presentará una alta flexibilidad, disponibilidad, confiabilidad, escalabilidad y

Como emisores y receptores de cada comunicación se encuentran los dispositivos finales

Existen compañías dedicadas a la estandarización de protocolos para establecer unas

3.1. Modelo de Protocolo TCP/IP

TCP/IP define 4 categorías o capas en las que se divide un proceso de comunicación:

3.3. Encapsulación y Segmentación

Cuando el receptor recibe el paquete, se produce el proceso contrario: Desencapsulación.

Se denomina PDU (Unidad de Datos de Protocolo) a la forma que adopta la trama de

De manera simultánea a estos procesos se produce la Segmentación, proceso en el cual

4.1. Capa Física

En dichos medios de comunicación tiene lugar el proceso de Codificación: el emisor

4.2. Capa de Enlace de Datos

Figura 1. 4 Subcapas de la capa de enlace de datos. Fuente: Cisco Networking Academy.

o Subcapa LLC (Logical Link Control)

o Subcapa MAC (Media Access Control)

Una de las funciones principales de la subcapa MAC es la encapsulación de datos.

Otra función clave de la subcapa MAC es el método de Control de Acceso al medio,

A continuación, profundizaremos en dos de los estándares más utilizados de la capa de

Ethernet ha evolucionado rápidamente. Las primeras versiones eran lentas y solo

Otras características importantes de Ethernet son su servicio no orientado a conexión y la

4.2.2. Direcciones MAC

El direccionamiento MAC se agrega en la PDU de nivel de capa 2. Que haya un

1- Todos los proveedores de dispositivos están obligados a registrarse en el

Es importante saber distinguir entre los diferentes tipos de direcciones MAC:

4.2.3. WLAN – IEEE 802.11

La tecnología Wireless LAN (WLAN) queda recogida en el estándar IEEE 802.11. La

La tendencia BYOD ha hecho de la tecnología WLAN un indispensable para las redes de

Figura 1. 7 Mecanismo CSMA/CA en redes WLAN. Fuente: Cisco Networking Academy.

En cuanto a la arquitectura de la red LAN, primero analizaremos el modo infraestructura,

Como vemos en la imagen, en modo infraestructura la arquitectura se divide en dos

o Conjunto de servicios básicos (BSS): consta de un único AP que interconecta a

Una arquitectura alternativa al modo infraestructura, en cuanto a topología inalámbrica,

El router inalámbrico o AP anuncia sus servicios mediante el envío de señales que

Figura 1. 9 Ejemplo de Clúster de AP en WLAN. Fuente: Cisco Networking Academy.

1- EXPLORACIÓN O DETECCIÓN DE AP O ROUTER INALÁMBRICO

Para asociarse, el cliente y el AP deben negociar una serie de parámetros

Por un lado, puede darse la autenticación de sistema abierto, en la que la

En contraposición, existen mecanismos de autenticación como, por ejemplo, el

Los pasos seguidos son:

4.2.3.3. Seguridad WLAN

En la Tabla 1.1 se muestra un resumen de los diferentes mecanismos de seguridad

- Proporciona un nivel de seguridad bajo. Este mecanismo de autenticación está

WEP - Autenticación por clave pre-compartida.

- Usa CRC-32 para integridad del mensaje.

- Acceso protegido WiFi.

- Autenticación PSK o EAP.

- Usa MIC (Message Integrity Check) para integridad del mensaje.

- Método más seguro.

- Autenticación PSK o EAP.