Informe Final Proyecto CCDA

Informe Diseño de
Redes
Integrantes: José Cid

Álvaro Silva
Juan Urene
Profesor: Alfonso Barahona
Asignatura: Diseño de redes
Sigla/sección: DDR7501-001D
Resumen
Hoy en día, el área de informática y telecomunicaciones, es uno de los departamentos más

importantes dentro de una empresa, ya sea pequeña, mediana o grande, por la inevitable
responsabilidad que tiene, debido a que en este depto. se manejan y/o administran los
equipos y dispositivos que permiten a los trabajadores realizar sus labores diarias, generando
los recursos a la empresa. Es aquí donde se debe tener un énfasis en particular, porque
tener un buen diseño, equipamiento, seguridad y tecnología de gran nivel, brinda status y
confianza de los clientes hacia la empresa, generando un crecimiento de sus activos.
Por razones como las mencionadas, la empresa DDR S.A siente la necesidad de renovar su
equipamiento TI (tecnología de la información), en busca de mejorar las velocidades,
seguridad y modernidad de estos, además de ordenar su red, ya que la empresa al crecer
tan drásticamente, genero desorden dentro de las sucursales con las que cuenta, una en
Santiago y otra en Valparaíso, siendo la primera la sucursal con más usuarios y equipos.
Es por esto que, mediante un análisis de las topologías actuales, se han rediseñado con el
fin de mejorar las redes, a través del uso de un modelo de red jerárquico, el cual simplifica la
integración de equipos a futuro y de manera ordenada, sin afectar a los dispositivos
participantes de la red, además de la centralización de los servicios porque, como se
mencionó están desordenados. También se integran nuevas tecnologías, que son más
confiables a las vigentes, como por ejemplo el cambio de la telefonía con tecnología RDSI a
telefonía IP, o la implementación de equipos de switching y routing mejores a los actuales,
con mayor capacidad de procesamiento y configuración de medidas de seguridad más
avanzadas. En relación a la seguridad, pero física y no lógica, es esencial señalar la
incorporación de un plan de control en la sala de servidores, ya sea ante ingreso de personal
no autorizado o por cortes en la energía eléctrica, entre otras.
En cuanto a la tecnología inalámbrica que cuenta la empresa, se mejoró la seguridad, ya que
sus configuraciones eran muy básicas, a pesar de que los router inalámbricos poseen la
tecnología adecuada para incrementarla. Y por último, cabe señalar que los tipos de
conexiones que utiliza la empresa, no son las óptimas para surgir a través del tiempo, dado
esto, se recomienda cambiar el medio de transmisión de los enlaces hacia los proveedores
de servicios (ISP), por medios más categóricos, como lo es la fibra óptica, ya que los equipos
cotizados para mejorar los servicios dentro de las sucursales, soportan este tipo de medio,
lo que incrementaría aún más el status de la organización, sus velocidades de transmisión y
el uso de equipos más veloces, en relación a su tecnología TI.
Índice
Resumen............................................................................................................................................................... 2
Índice .................................................................................................................................................................... 3
Introducción ......................................................................................................................................................... 5
Requerimientos del Diseño de Red ..................................................................................................................... 6
Infraestructura de Red Existente......................................................................................................................... 7
Topología de Red Actual ................................................................................................................................... 7
Auditoria de Red ............................................................................................................................................... 9
Aplicaciones Usadas en la Red ....................................................................................................................... 10
Análisis del Estado de la Red .......................................................................................................................... 11
Recomendaciones y Cambios a la Red Existente ........................................................................................... 13
Evaluación del Proyecto .................................................................................................................................... 16
Cotización de Equipamiento ........................................................................................................................... 17
Carta Gantt del Proyecto ................................................................................................................................ 20
Diseño de Red .................................................................................................................................................... 20
Resumen del Diseño Propuesto ..................................................................................................................... 21
Topología de Red Propuesta .......................................................................................................................... 22
Diseño de Direccionamiento IPv4/IPv6 .......................................................................................................... 24
Implementación Protocolo de Enrutamiento................................................................................................. 26
Diseño de Seguridad de Red ........................................................................................................................... 26
Servicios .......................................................................................................................................................... 33
Conectividad Inalámbrica ............................................................................................................................... 33
Telefonía IP ..................................................................................................................................................... 33
Conectividad del Proyecto ................................................................................................................................. 34
Evaluación de Conectividad WAN .................................................................................................................. 34
Implementación de BGP ................................................................................................................................. 35
Implementación de VPN ................................................................................................................................. 35
Implementación del Proyecto ........................................................................................................................... 36
Implementación del Proyecto por Etapas ...................................................................................................... 36
Resultados ...................................................................................................................................................... 44
Conclusión .......................................................................................................................................................... 46
Referencia Bibliográficas ................................................................................................................................... 47
Apéndices ........................................................................................................................................................... 48
Listado de los Equipos de Red Existentes y a Utilizar ..................................................................................... 48
Configuración de Equipos de Red................................................................................................................... 49
Seguridad por capa.………….…………………………………………………………………………………………….…………………………92
Acrónimos .......................................................................................................................................................... 99
Introducción
La empresa DDR S.A., perteneciente al rubro comercial, ha tenido un gran éxito de ventas y
negocios, lo que permitió una gran expansión, creando 2 sucursales, una en Santiago y otra
en Valparaíso. Sin embargo, su red de datos, no ha sido un gran éxito, es por esto que, la
empresa busca renovar su equipamiento TI, ordenar su red y evolucionar a un status TI
según la vanguardia de la tecnología.
En base a lo anteriormente mencionado, se analizarán las topologías actuales de ambas
sucursales, realizando un rediseño de estas, con el fin de mejorarlas, brindando un diseño
de red jerárquico, capaz de soportar todos los servicios que se integrarán a la red, además
permite una mejor administración y recuperación de los dispositivos en caso de fallas.
También se centralizarán sus servicios, ya que actualmente los mantienen separados,
impidiendo una mejor calidad de la red; se mejorará significativamente su equipamiento,
integrando equipos que están a la vanguardia en tecnología y seguridad.
En cuanto a la red existente, tecnologías y equipos utilizados, serán analizados o auditados,
con el fin de conocer las falencias que contienen en la red, si es conveniente su reemplazo
u su reutilización, considerando sus respectivas recomendaciones.
Todos los equipos que se requieran para mejorar la red existente, serán incorporados en una
cotización, brindando conocimiento de las marcas, modelos, precios y unidades que se
necesiten para este proyecto.
En síntesis, la organización busca mejorar a gran escala, principalmente mejorando su
tecnología TI, en esta incluye: diseño de red, cableado, servicios, seguridad tanto física como
lógica, tecnologías y equipos utilizados, entre otras.
Requerimientos del Diseño de Red
Los requerimientos que la empresa DDR S.A ha solicitado para aspirar a un status TI elevado
y conforme a la vanguardia de las tecnologías son los siguientes:
 Diseño y mejora de red actual

 Mejorar cableado sucursales
 Centralizar los servicios de red
 Mejorar la administración de routing y switching
 Implementación de seguridad de capa 2 y capa 3
 Implementación y administración de firewall
 Implementación y administración de telefonía IP
 Implementación y administración de conectividad inalámbrica
 Cotización y costo del proyecto
 Plazos y duración del proyecto
 Documentación del proyecto
Infraestructura de Red Existente
Topologías de Red Actual
 Valparaíso
En esta imagen, se observa la topología actual de la sucursal de Valparaíso, con la

distribución de sus equipos.
 Santiago
En esta imagen, se observa la topología actual de la sucursal de Santiago, con la distribución

de los equipos de capa 2 y capa 3.
Auditoria de Red
 Auditoria Física
Cableado Tipo Sucursal

Horizontal UTP Categoría 6 Valparaíso
Vertical Fibra Óptica monomodo Valparaíso
Horizontal UTP Categoría 5e Santiago
Vertical Fibra Óptica monomodo Santiago
 Auditoria Lógica
 Valparaíso
Cantidad Equipo Modelo Versión IOS
1 Router Cisco 1841 12.3(84)T8

4 Switch capa 2 Cisco 2950 12.1(22)EA4
1 Switch capa 3 Cisco 3560 12.2(37) SE1
1 Router Inalámbrico TP-Link Firmware 3.15.2 Build
TL-MR3220 130423 Rel.61823n
1 Central Telefónica Meridian ----
 Santiago
Cantidad Equipo Modelo Versión IOS
2 Router Cisco 1841 12.3(84)T8
4 Switch capa 2 Cisco 2950 12.1(22)EA4
2 Switch capa 3 Cisco 3560 12.2(37) SE1
1 Router Inalámbrico TP-Link TL-MR3220 Firmware 3.15.2

Build 130423
Rel.61823n
Aplicaciones Usadas en la Red
Los servicios usados en la sucursal de Valparaíso son WEB y almacenamiento. Estos

servidores son los encargados de brindar acceso a los usuarios de esta sucursal a la página
WEB, además de ser el servidor de almacenamiento específico para esta sucursal.
En tanto, a la sucursal de Santiago cuenta con servicios de almacenamiento de archivos para
los usuarios de esta sucursal, como también la integración del servidor de correo o WEBMAIL
corporativo para ambas sucursales.
Análisis del Estado de la Red
 Análisis sucursal Valparaíso

Actualmente esta sucursal cuenta con un diseño de red poco escalable y óptimo, que impide
a la administración tener un soporte y mantenimiento constante de los equipos que la
componen, además de no contar con ningún tipo de redundancia y/o alta disponibilidad para
facilitar la detección de fallas y solucionarlas de manera eficiente y efectiva, también se
observa el uso de equipos poco modernos, que impiden tener servicios más fiables y veloces,
ya que las tecnologías que utiliza esta sucursal son paupérrimas.
Es por esto que se ha realizado un análisis exhaustivo de la red de Valparaíso, encontrando
falencias las cuales de desglosan a continuación:
Tecnología inalámbrica: El cifrado utilizado es WEP de 128 bits, tecnología posiblemente
hackeable, ya que, si el administrador de red mantiene una clave estática, o sea sin cambios
frecuentemente, permitiría a cualquier usuario que ingrese en la red, con un simple software,
conocer la clave, acceder a archivos privados y realizar cambios sin consentimiento de la
empresa. Además, el router inalámbrico permite la conexión simultánea de 50 host, siendo
que solo se utiliza en la vlan 200 la que abarca 20 host.
Conexión WAN single-homed: Es una conexión ADSL de 40 Mbps, la cual produce

congestión de la red en varios momentos del día. ADSL es una tecnología que permite la
conexión a Internet mediante el uso de la línea telefónica tradicional, lo que indica que tiene
un ancho de banda limitado (30 MB) y depende de factores externos, ya sea distancia con
ISP, clima e interferencias, los cuales influyen directamente en la velocidad real que se
recibe, lo que para una conexión de una empresa es poco óptimo y seguro. Otro punto, no
menor es la ausencia de backup o enlace de respaldo hacia el Proveedor de Servicio, ya que
de perderse la conexión, configuración o comunicación con algún router borde, se dejaría a
toda la red sin servicio, que para una empresa es una pérdida de activos monetarios
importantes.
Tecnología RDSI: En la actualidad, la empresa utiliza una central telefónica Meridian en

base a la tecnología RDSI, la cual está casi obsoleta en estos días y quizás es la razón por
la cual no pueden contactarse con la sucursal de Santiago, porque allí utilizan tecnología IP
basada en Elastix.
Sala de equipos: La oficina de servidores ubicada en el cuarto piso del edificio, se encuentra
sin ninguna medida de seguridad para el ingreso a esta, siendo que aquí están los servidores
de la empresa, en los cuales pasan gran cantidad de activos de información. Tampoco se
observa ningún sistema de alimentación ante posibles cortes repentinos de energía eléctrica
o sobre voltajes, con el fin de seguir dando energía a los dispositivos y protegerlos.
Página web: No posee ningún administrador o encargado de mantener la seguridad de la

página web o simplemente actualizar la información.
Seguridad en capa 2: Los conmutadores o switches cuentan con configuraciones básicas,

como troncales por defecto y seguridad de puerto dinámica, posibilitando la ocurrencia de
problemas, ataques de terceros o usuarios curiosos que se encuentren en la red. Este punto
es relevante, debido a que esta capa es la más cercana al usuario final, condicionándola a
ser el primer punto de encuentro con equipos de comunicación esenciales para la formación
de las redes LAN, por esta razón se debe poner más énfasis en este sentido.
Router con firewall: El uso de un equipo que debe enrutar la red hacia sus ISP y además
debe filtrar paquetes y/o tráfico dentro de la red, podría generar problemas si el hardware del
equipo no es suficiente en relación a la cantidad de tráfico que abunda en la red.
 Análisis sucursal Santiago

Al igual que su homónima de Valparaíso, esta sucursal cuenta con un diseño de topología
ineficiente e ineficaz, con un modelo de red en forma de “cascada”, la que, ante una posible
falla de la red, en cualquier switch participante de la topología, afectaría directamente a los
demás, porque están conectados entre sí.
La sucursal cuenta con un enlace redundante para conectarse a sus ISP, pero no se
menciona ningún protocolo que pueda abarcar la característica de redundancia. También, la
sucursal está dotada de enlaces lentos y poco estables, los que impiden una mejor
comunicación entre ambas sucursales.
A continuación, se mencionan algunos defectos encontrados en esta sucursal:
Cableado horizontal: El tendido horizontal con la que la empresa consta actualmente es

categoría 5e, la que actualmente se usa cada vez menos, aparte trabaja en frecuencias más
bajas y velocidades menores a lo que se puede llegar a encontrar en el mercado actual.
Tecnología ADSL: Esta sucursal cuenta con enlaces ADSL para conectarse a sus
Proveedores de Servicio, los cuales son limitados y solo permiten conexiones entre 40 y 100
Mbps.
Seguridad capa 2: Las configuraciones aplicadas en este aspecto, son insuficientes para
proteger de buena manera la red, ya que están los troncales por defecto y la seguridad de
puerto dinámica, a pesar de existir mecanismos de seguridad más sofisticados que
mejorarían en gran parte la seguridad de la red.
Tecnología inalámbrica: Utiliza cifrado WPA con TKIP.
Recomendaciones y Cambios a la Red Existente

En base a todas las falencias o fallas encontradas en la red actual, se han realizado las
siguientes recomendaciones, que serán los futuros cambios para el nuevo diseño de red:
 Sucursal Valparaíso
Seguridad inalámbrica: Utilizar cifrado WPA2 o superior, porque brinda una mayor seguridad
en relación a WEP, ya que WPA2 emplea el cifrado de clave dinámico, lo que significa que
la clave está cambiando constantemente y hace más difícil que algún usuario
malintencionado logre ingresar sin autorización a la red, además WPA2 utiliza Estándar
avanzado de cifrado (AES), que es mucho más seguro y confiable que TKIP, usado en WEP.
Administrar de mejor manera el router inalámbrico permitiendo un máximo de hasta 30
personas y no 50 como en la actualidad, así no se colapsa la red inalámbrica.
Conexión WAN single-homed: Cambiar de tecnología ADSL a fibra óptica, dado que esta
última posee un ancho de banda muy superior, llegando incluso a enlaces de 1Gb,
obviamente a un costo mayor que ADSL, pero sin problemas ante las interferencias,
distancias, clima, entre otras. Es por esto que el uso de fibra óptica ha tomado tanta fuerza
en los últimos años, dado a los grandes beneficios que otorga este medio de transmisión.
También se recomienda que en vez de usar una conexión WAN single-homed, se mejore a
WAN dual-homed, tipo de conexión más fuerte y segura. Además, integrar algún protocolo
de redundancia en routers, como HSRP o VRRP, los cuales permiten tener un Backup ante
posibles caídas de la red, permitiendo mantener la red estable y siempre activa.
Tecnología RDSI: Utilizar la misma tecnología que se encuentra en la sucursal de Santiago,

que es tecnología IP basada en Elastix, así se evitan problemas de compatibilidad de
equipos.
Sala servidores: Implementar medidas de seguridad para acceder a la sala de servidores,

por ejemplo, control con credencial solo para personas autorizadas o sistema de acceso con
control biométrico, de esta manera se tiene un control de los equipos y las persona que
ingresan aquí, igualmente se debe mantener una temperatura dentro de estas salas para
mantener los equipos a una temperatura idónea.
Ante posibles cortes eléctricos, se recomienda el uso de una UPS, que es una fuente de
suministro eléctrico que cuenta con una batería la que brinda energía eléctrica por varios
minutos si se generan cortes eléctricos y los protege se sobre voltajes.
Seguridad en capa 2: Incrementar la seguridad de los switches mediante configuraciones
más sofisticadas, como reemplazar la seguridad de puerto dinámica la que es inconsistente,
ya que si el conmutador se reinicia esta configuración se pierde, en cambio la seguridad de
puerto por aprendizaje es mejor porque es permanente si se guarda al momento de su
configuración y se pueden incrementar su seguridad asignando valores como, direcciones
MAC máximas permitidas y si estas superan el numero permitido, se puede dejar el puerto
inhabilitado. Otra recomendación es definir manualmente los puertos que quedaran
troncales, y solo habilitar las puertas utilizadas, en tanto a los no usadas, asignarlas a una
Vlan que solo cumpla la función de contener estas interfaces y mantenerlas
apagadas/desactivadas. Por último, y como gran medida de seguridad de capa 2, se
recomienda el uso de listas de acceso o ACL, para restringir el paso libre de equipos
pertenecientes a otras vlan, por ejemplo, un equipo que se encuentre en la vlan 100
recepción, no tenga posibilidades de hacer un simple ping o traceroute a equipos de una vlan
diferente, así se evita que cualquier intruso que se conecte a un puerto “x” logre ingresar a
la red.
 Sucursal Santiago:
Cableado horizontal: Se recomienda el uso de una categoría superior a la 5e, ya sea cat.6,
6a, 7, por el motivo que estas operan con frecuencias superiores a los 250 MHz en cada par
y proveen transferencias desde 1 Gbps en el caso de la categoría 6, permitiendo a la empresa
manejar tecnologías de datos, voz y video, y/o VoIP sin inconvenientes por posible lentitud
de la transmisión por el medio.
Tecnología ADSL: Cambiar de ADSL a medio de transmisión de fibra óptica, por la razón que
esta puede transmitir datos superiores a 1Gbps. Además de integrar algún protocolo de
redundancia en routers, como por ejemplo HSRP o VRRP.
Sala de servidores: Mantener un control más profundo de esta sala, mediante mecanismos
de seguridad avanzados, ya sea con lector biométrico o acceso con credencial solo para
personal autorizado, además de mantener las condiciones mínimas para una sala de
servidores, temperatura, humedad entre otras. Considerar la identificación de los cables que
se encuentren aquí, así se mantiene un orden del cableado.
minutos si se generan cortes eléctricos.
Seguridad inalámbrica: Utilizar WPA2 con Estándar de cifrado avanzado (AES), porque
permite una clave de seguridad dinámica y casi imposible de descifrar.
Seguridad capa 2: Se recomienda realizar las mismas técnicas de seguridad ya mencionadas

para la sucursal de Valparaíso.
Y por último mencionar, que, en la sucursal de Valparaíso y Santiago, no se posee ningún

plan de mantenimiento y soporte, por lo que se recomienda integrar alguno con el fin de
mitigar las interrupciones al mínimo posible y mantener un nivel de servicio aceptable. Esto
permite una reacción rápida ante fallas que se produzcan en la red.
Evaluación del Proyecto

Cotización de Equipamiento
 Cotización Valparaíso
 Cotización Santiago
 Presupuesto general
Carta Gantt del Proyecto
Diseño de Red
Resumen del Diseño Propuesto
Se propone un modelo de red jerárquico de 3 capas, donde se tiene una capa de núcleo o
core, distribución y acceso. Cada capa de este modelo posee características diferentes a las
otras, por ejemplo, la capa de acceso es la encargada de proporcionar un medio de conexión
a los dispositivos finales en la red, aquí comúnmente se encuentran switch y/o AP. En cuanto
a la capa de distribución, se caracteriza por controlar el flujo de tráfico de la red mediante el
uso de políticas y realizar enrutamiento entre vlan, y por último la capa de núcleo es el
backbone de alta velocidad de la red, es por eso que debe ser sumamente redundante y
disponible, además de ser la capa en la cual se dirige el trafico al servicio requerido y es la
última capa antes de llegar a Internet.
Mencionadas estas características, y analizando el tipo de topologías que tiene actualmente
la empresa, se sugiere el modelo de red jerárquico, el cual simplifica el mantenimiento de la
red, permitiendo detectar falencias fácilmente, ya que como divide la red en 3 niveles, se
aísla el problema en la capa especifica permitiendo identificarlo más rápido, también, otorga
escalabilidad brindando a la organización integrar nuevos equipos sin afectar en gran parte
su red, además es gran medida de integración de enlaces redundantes, asegurando la
disponibilidad de la ruta e incrementa la seguridad de la red, ya sea en la capa de distribución
con políticas de seguridad o en capa de acceso realizando seguridad de puerto, entre otras
medidas.
Además, se incorporan equipos de seguridad potentes, como los son lo firewall, quienes se
encargarán de filtrar el tráfico de la red, ya sea de entrada, salida y/o la DMZ (Zona
Desmilitarizada) en donde se alojarán los servidores de la red.
Topología de Red Propuesta
En la siguiente imagen se observa el rediseño de la topología para la sucursal Santiago.

 En la siguiente imagen se ve reflejada el rediseño de la topología para la
sucursal Valparaíso.
Diseño de Direccionamiento IPv4/IPv6
 Sucursal Santiago
IPv4
159 IP disponibles
rango de direccionamiento 192.168.1.1 - 192.168.1.254 /24

Número de vlan Nombre Vlan Direccionamiento IPv4 Mascara de Subred
10 VENTA 192.168.10.0 255.255.255.0
20 RECEPCION 192.168.20.0 255.255.255.0
30 ADMINISTRACION 192.168.30.0 255.255.255.0
40 GERENCIA 192.168.40.0 255.255.255.0
50 INGENIERIA 192.168.50.0 255.255.255.0
60 SOPORTE 192.168.60.0 255.255.255.0
70 SERVIDORES 192.168.70.0 255.255.255.0
80 VOZ 192.168.80.0 255.255.255.0
90 NATIVA
IPv6
256 IP disponibles
2001:a1b2:3c4d::/128
Número de vlan Nombre Vlan Direccionamiento IPv6 Prefijo
10 VISITAS 2001:a1b2:3c4d::10 64
20 RECEPCION 2001:a1b2:3c4d::20 64
30 ADMINISTRACION 2001:a1b2:3c4d::30 64
40 GERENCIA 2001:a1b2:3c4d::40 64
50 INGENIERIA 2001:a1b2:3c4d::50 64
60 SOPORTE 2001:a1b2:3c4d::60 64
70 SERVIDORES 2001:a1b2:3c4d::70 64
80 VOZ - -
90 NATIVA - -
IPv4
70 IP disponibles
Rango de direccionamiento 192.168.100.1 - 192.168.2.126 /24
Número de vlan Nombre Vlan Direccionamiento Mascara de Subred

IPv4
100 RECEPCION 192.168.100.0 255.255.255.0
200 VENTAS 192.168.200.0 255.255.255.0
300 DESARROLLO 192.168.150.0 255.255.255.0
400 SERVIDORES 192.168.240.0 255.255.255.0
60 ADMINISTRATIVA 192.168.250.0 255.255.255.0
80 VOZ 192.168.80.0 255.255.255.0
90 NATIVA
IPv6
128 redes rango de direccionamiento 2001:a1b2:3c4d:::/128
Ipv6
Número de Nombre Vlan Direccionamiento IPv6 Prefijo

vlan
100 RECEPCION 2001:a1b2:3c4d:100 64
200 VENTAS 2001:a1b2:3c4d:200 64
300 DESARROLLO 2001:a1b2:3c4d:300 64
50 SERVIDORES 2001:a1b2:c3d4:50 64
60 ADMINISTRATIVA 2001:a1b2:c3d4:60 64
80 VOZ
90 NATIVA
Implementación Protocolo de Enrutamiento
El éxito que ha tenido la empresa les permitió expandirse en todos los ámbitos incluyendo el
de las redes, pero estas sin mucho éxito ya que crecieron de manera desordenada y sin un
orden definido, por esto motivo se implementara un protocolo de enrutamiento estado de
enlace, el mismo para ambas sucursales tanto a nivel de IPV4 y IPV6 para así poder
establecer un orden a las redes de las sucursales. Este protocolo será OSPF (Open Short
Path First versión 2 y versión 3 respectivamente).
La elección de este beneficiara a la empresa, puesto que tendrá un mejor control de las
redes, ya que, al ser un protocolo por estado de enlace, entre sus características esta
conocer toda la red. Como OSPF es un protocolo de enrutamiento open source no necesita
que todos los equipos de capa 2 y 3 sean de la marca Cisco como lo es EIGRP, permitiendo
en el futuro al personal de TI, insertar un equipo de otra marca a la red sin inconvenientes,
solo tendrá que actualizar su base datos. Este protocolo además, beneficiara a los tiempos
de respuesta, puesto que converge rápidamente, soporta diseño jerárquico, lo que lo hace
muy escalable por si a futuro siguen creciendo como empresa y como medida de seguridad,
este protocolo soporta autenticación, tanto para las interfaces como a nivel de área, la que
se implementará.
Diseño de Seguridad de Red
Para generar el diseño de seguridad de red nos dimos cuenta que ambas sucursales poseían
falencias muy importantes en cuanto a seguridad lógica y física, el poseer una red sin
administración remota hoy por hoy es un problema grave, ya que no es posible monitorear
sucesos en la red, otro gravísimo problema encontrado fue que en la sala de servidores
estaba abierta al público en general sin ningún tipo de restricciones, otra falencia fue darse
cuenta que la topología de red no se encontraba bien diseñada provocando los
inconvenientes que presentaban sus trabajadores lo cual se encontraba con diseños poco
óptimos para el uso que generaban.
Políticas de Gobierno.
1. Cualquier persona que tenga acceso a las instalaciones la empresa DDR S.A, deberá
registrarse en el Sistema de Ingreso, para así tener identificado al personal, ya sea
interno de la empresa o externo y tener un registro por si ocurre alguna violación de
política de seguridad y sea más fácil ubicar a posibles responsables.
2. Educación y capacitación constante al personal de la empresa sobre las políticas de

la empresa en términos de seguridad de la información, esta será llevada a cabo por
personal de TI que tendrá la misión de educar al personal para evitar posibles
inconvenientes por parte del personal.
3. No está permitido el uso de celular para labores ajenas al cargo del usuario, ni
cámaras fotográficas, ya sea en horario de trabajo o simplemente en la empresa, ya
que puede comprometer información confidencial de la empresa o el simple hecho de
que podría verse afectada la productividad del empleado.
4. El uso de las computadoras en el lugar de trabajo, será de manera limitada para el

personal de toda la empresa, esta será limitada en el uso de internet solo se usara en
términos de trabajo de la empresa si es necesario, será limitada en el enviar y recibir
correos electrónicos personales solo serán correos correspondiente al trabajo, esto
será acompañado por un documento que deberán firmar los empleados donde queda
estipulado que los empleadores pueden monitorear la actividad de correo electrónico
o de internet. Esto asegurara que la información confidencial se mantenga dentro de
la organización evitando posibles filtraciones.
5. Se establecerá un código de vestimenta que asegurara que los empleados vistan de

una manera determinada cuando estén en el trabajo, en entorno de oficina, los
trabajadores de sexo masculino tendrán que usar corbata, mientras que las mujeres
tendrán que vestirse con ropa de trabajo adecuada para promover un ambiente
profesional.
El personal de la empresa que trata con público usara un uniforme con la marca de la
empresa para promover la marca.
Se establecerá el uso de credenciales para todo el personal de la empresa, con su
respectivo nombre y área en la que trabaja.
Con esta política podremos identificar a nuestro personal ya sea por su uniforme o
credencial, identificando así a las personas externas de la empresa o posibles
intrusos.
6. El empleado no podrá trabajar para otros (competencia), por un periodo de tiempo de
6 meses, con el fin de impedir la divulgación de información confidencial. En caso de
que un empleador deje su puesto en la empresa, tendrá que firmar un acuerdo de no
competencia que le impida hacer negocios o incluso acercarse a los clientes de la
empresa durante un periodo de tiempo determinado.
7. Todo empleado es responsable de registrar y reportar las violaciones a la seguridad,

confirmadas o sospechadas.
8. Todo empleado es responsable de preservar la confidencialidad, integridad y

disponibilidad de los activos de información en cumplimiento de la presente política y
de las políticas y procedimientos inherentes al Sistema de Gestión de la Seguridad de
la Información.
9. El Jefe de Seguridad de la Información es responsable directo sobre el mantenimiento

de esta política por brindar consejo y guía para su implementación, así como también
investigar toda violación reportada por el personal.
10. Se considera que toda la información de los sistemas informáticos críticos en

producción debe ser protegida de posibles daños, por lo que debe ser respaldada con
cierta frecuencia, para asegurar el proceso de recuperación. Esta deberá considerar
soluciones de respaldo para equipos de escritorio, servidores y aplicaciones que se
consideren críticos para la empresa.
11. Se debe garantizar la disponibilidad de la infraestructura adecuada de respaldo, para

asegurar que estas estén disponibles incluso después de un desastre o la falla de un
dispositivo.
12. Para la frecuencia y tipo de respaldo, los encargados TI deberán definir los tipos de
respaldos a utilizar como estándar para la empresa. Cada estándar debe considerar
la frecuencia del respaldo, los medios de almacenamiento, tipo de contenido, tiempo
de almacenamiento y borrado de esta información. La periodicidad de los respaldos
de los computadores personales o estaciones de trabajo asignados a usuarios no
podrá ser menor a 1 respaldo anual. Mientras que la periodicidad que se realizaran
los respaldos de los sistemas informáticos y los equipos considerados críticos para la
empresa, no podrá ser menor a 1 respaldo mensual.
Políticas técnicas
1. Todo acceso a las bases de datos de la empresa deberá contar con los mecanismos
adecuados y controlados, que garanticen su seguridad, su integridad y la
confidencialidad de la información almacenada.
2. Acceder solo con credencial única a sala servidores.
3. Disponer de un plan de contingencia que contemple copias de resguardo,

autenticación de usuarios, integridad de datos, confidencialidad de la información
almacenada y control de acceso.
4. Toda modificación que se ejecute en las bases de datos, dejará las pistas adecuadas
de auditoría, para poder ejercer un control adecuado que se hagan en éstas mediante
el uso de bitácoras.
5. Realizar un respaldo de la información periódica antes de cualquier cambio en la red.
6. Establecer uso de correos y de navegación en internet.
7. Cuando un usuario se retira definitivamente de la institución o cambia de puesto, el

Jefe inmediato debe reportarlo al departamento de Informática utilizando el formulario
adecuado con 48 horas de anticipación, para que se eliminen o cambien sus niveles
de acceso y seguridad o para realizar backup de archivos.
8. El Departamento de TI será la dependencia responsable de la administración y uso

de la red interna de datos.
9. Los usuarios accederán a la red de datos por medio de un código de acceso que les
asignará el administrador de la red.
10. El código de acceso a redes que se asigne será único y exclusivo para cada usuario,
el cual será responsable por su uso.
11. El Departamento de TI establecerá los mecanismos adecuados para el control,

verificación y monitoreo de cambios en passwords, número de sesiones activas,
seguridad lógica, física de todas las actividades relacionadas con el uso de
tecnologías de información.
12. El Departamento de TI monitoreará periódicamente los accesos a la red interna

mediante herramientas de seguridad y administración.
13. No es permitido a ningún funcionario, excepto a los técnicos de redes, manipular los
componentes activos de la red (switches, routers, firewalls, dispositivos inalámbricos,
cableado, etc.).
14. Es responsabilidad del Departamento de TI valorar la necesidad de sustituir algún
equipo cuando ya éste no garantice la funcionalidad y operatividad adecuada.
15. El Departamento de TI es la responsable de la instalación de los programas de

software en cada una de las computadoras de la empresa.
16. El personal del Departamento de TI deberá mantener un inventario de software y

programas instalados en cada una de las computadoras. Este inventario deberá
revisarse y actualizarse 2 vez al año.
Políticas de seguridad usuario
1. Cada usuario es responsable del mecanismo de control de acceso que le sea

proporcionado; esto es, su usuario (userID) y contraseña (password).
2. Los trabajadores no deben proporcionar información a personas externas, de los

mecanismos de control de acceso a las instalaciones e infraestructura.
3. Con respecto a las contraseñas de los usuarios, se deben seguir las siguientes
medidas:
No deben contener números consecutivos.
Deben estar compuestos de al menos 6 caracteres y máximo 10. Estos caracteres
deben ser alfanuméricos.
Deben ser difíciles de adivinar, o sea que no deben relacionarse con el trabajo o la
vida personal del usuario.
Deben ser diferentes a las contraseñas que se hayan usado previamente.
4. El usuario tiene la obligación de proteger los CD-ROM, DVDs, memorias USB, tarjetas
de memoria, discos externos, computadoras y dispositivos portátiles que se
encuentren bajo su administración, aun cuando no se utilicen y contengan información
reservada o confidencial.
5. Los trabajadores de la empresa DDR S.A deben mantener bajo su resguardo las
tarjetas de identificación, ya que están son personales e intransferibles.
6. Mientras se operan los laptops o equipos de computación, no se deberán consumir
alimentos o ingerir líquidos, a menos que sea en botellas de plástico, además evitar
colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del
gabinete, también se debe mantener el equipo informático en un entorno limpio y sin
humedad.
7. El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de

seguridad informática deberá reportarlo al encargado de seguridad lo antes posible,
indicando claramente los datos por los cuales lo considera un incidente de seguridad
informática.
8. Será considerado como un ataque a la seguridad informática y una falta grave,

cualquier actividad no autorizada por la empresa en la cual los usuarios realicen la
exploración de los recursos informáticos en la red interna, así como de las
aplicaciones que sobre dicha red operan, con fines de detectar y mostrar una posible
vulnerabilidad.
9. El usuario debe utilizar el correo electrónico corporativo de DDR S.A, única y

exclusivamente para los recursos que tenga asignados y las labores que les hayan
sido atribuidas para el desempeño de su trabajo, cargo o comisión, quedando
prohibido cualquier otro uso distinto.
10. Para prevenir infecciones por virus, gusanos o troyanos informáticos, los usuarios de
la red, deben evitar hacer uso de cualquier clase de software que no haya sido
proporcionado y validado por el área TI.
11. El usuario debe verificar mediante el software de antivirus autorizado por la Empresa
que estén libres de virus todos los archivos de computadora, bases de datos,
documentos u hojas de cálculo, etc. que sean proporcionados por personal externo o
interno.
12. El acceso a internet provisto a los usuarios de DDR S.A es exclusivamente para las
actividades relacionadas con las necesidades del puesto y función que desempeña.
Esta estrictamente prohibido visitar páginas con contenido pornográfico.
Programa de información de seguridad
Para difundir y/o concientizar las políticas de seguridad que se deben seguir en este
proyecto, se realizaran:
-En primer lugar, una reunión con los jefes o encargados de cada departamento, junto con
el departamento de TI responsable de la realización y redacción de estas políticas, bajo la
autorización del gerente general de la compañía. Esta reunión tiene como fin entregar el
documento a los encargados y revisar en detalle cada uno de los puntos mencionados en él,
además de recalcar la importancia que tiene este documento por parte de todos los usuarios
de DDR S.A
-En segundo lugar, se efectuará una charla de inducción por parte del personal del área TI o
Informática hacia cada uno de los trabajadores de los diferentes departamentos con que
cuente la empresa, en donde se revisara el documento en general, pero con mayor énfasis
en los aspectos que a estos les conciernen, o sea las “Políticas de seguridad de usuario”.
Además, se concientizará a los usuarios en profundidad, ya que son estos uno de los factores
de mayor riesgo dentro de una empresa en relación a la seguridad informática, si los usuarios
están entrenados, conocen y respetan las normas, el nivel de seguridad dentro de la
compañía será óptimo y su grado de seguridad aumentará. Finalizada esta charla, los
participantes deben firmar un documento el que indica que se toma constancia de lo expuesto
en ella.
-En tercer lugar, se difundirá dentro de las instalaciones de la empresa, tanto en la sucursal
de Santiago y Valparaiso, afiches o posters, que contengan recordatorios de las medidas de
seguridad básicas, por ejemplo: “Recuerda cambiar tu clave semanalmente” o “No
descargues archivos de páginas desconocidas”, entre otras. Tambien, los fondos de pantalla
de los computadores de la empresa, contendrán recordatorios y en el escritorio se encontrará
el archivo completo de las políticas de seguridad, así los usuarios pueden leerlo cuando ellos
quieran.
-En cuarto lugar, en forma de medir que tan informados o concientizados se encuentran los
usuarios, se llevaran a cabo test sobre los aspectos relevantes de la seguridad de la
información, y a los trabajadores con mejores resultados se les otorgara beneficios y/o
premios para incentivar a los demás empleados.
Sanciones
El incumplimiento de las obligaciones emanadas de estas Políticas, será sancionado en los

términos de las leyes vigentes y aplicables bajo el estatuto Administrativo para los
funcionarios de DDR S.A. Cuando el incumplimiento se trate de personas que no tengan
responsabilidad administrativa o empresas externas que realicen trabajos con nosotros, se
procederá al término anticipado de contrato, por incumplimiento de obligaciones, sin prejuicio
de las responsabilidades civiles que se deriven de tales infracciones.
En el caso de que un empleado cometa una falta administrativa o comienza a tener una
conducta que no va acorde con las políticas de la empresa, el área de Recursos Humanos
le dará una carta de amonestación laboral, con copia a la inspección de trabajo y a la
dirigencia. En caso de que las faltas sean reiterativas o dependiendo de la gravedad de la
falta se procederá a la desvinculación del empleado de la empresa.
Servicios
Los servicios que disponían ambas sucursales eran correo, servicios web y telefónicos entre
los más importantes, los cuales se encontraban con poco énfasis, ya que no existe un
encargado o responsable de mantener dichos servicios, aparte de solucionar
sustancialmente los equipamientos de estos servicios se les dio un orden y seguridad.
Conectividad Inalámbrica
La configuración de la tecnología inalámbrica que poseen ambas sucursales de la empresa

son básicas y poco razonables en relación al tipo de equipos que poseen. En Valparaiso, por
ejemplo, se cuenta con un cifrado WEP de 128 bits y velocidad inalámbrica basada en
tecnología 802.11g hasta 54 Mbps, sin embargo, el equipo que administra la red inalámbrica
en la sucursal permite un cifrado superior a WEP, como WPA2, el cual, mediante el uso de
claves dinámicas brindaría un grado de seguridad mayor a la red y, además, con este router
inalámbrico, de la marca TP-LINK es factible obtener enlaces superiores a los actuales,
mediante la implementación de la tecnología 802.11n concediendo una conexión teórica de
hasta 150 Mbps. Es por esto, que este equipo se mantendrá en esta sucursal, ya que según
las cantidades de hosts y velocidades en la cual trabaja, posee las cualidades para cubrir los
requerimientos de los usuarios de esta dependencia.
Con respecto a la sucursal de Santiago, la cual posee una conexión inalámbrica mediante el
mismo dispositivo TP-LINK, es factible mencionar la utilización del mismo tipo de estándar,
802.11g, como también el cifrado del tipo WEP con tecnología TKIP. En relación a estos
antecedentes, se recomienda el uso de un estándar superior al actual, con un equipo que lo
soporte, el ya mencionado 802.11n, el que genera un ancho de banda de hasta 150 Mbps
(dinámico), en este caso se mejorara el ancho de banda puesto que se utilizara un router
inalámbrico más moderno, capaz de otorgar hasta 300 Mbps a los usuarios y permite
incrementar el cifrado actual al tipo WPA2-PSK, que es más robusto en comparación con
WPA, ya que, además posee cifrado PSK, comúnmente vinculado con cifrado AES, lo último
en seguridad inalámbrica.
Telefonía IP
Un inconveniente en la empresa, son los problemas que poseen las sucursales para lograr
establecer una comunicación mediante telefonía. Esto se debe al uso de diferentes
tecnologías IP, ya que, en la sucursal de Valparaíso, mediante tecnología RDSI en una
central telefónica Meridian, la cual está casi obsoleta en estos días, se controla la telefonía
de la sucursal, en cambio en Santiago se ejecuta a través de tecnología IP, lo que indica el
uso de tecnologías inoperantes, lo que conlleva a la modificación de la central telefónica
Meridian por un servidor Elastix, el cual brindará telefonía IP a Valparaíso. De esta manera
ambas sucursales no tendrán problemas de alcanzar comunicaciones entre ellas, además
de las múltiples configuraciones adicionales que se pueden integrar a un server Elastix,
funciones como por ejemplo: IVR (Interactive Voice Response) o un Correo de Voz,
videoconferencias, por nombrar algunas, también mediante el uso de esta tecnología, las
llamadas hacia la otra sucursal, se enrutaran por la red IP, lo que disminuye el costo de las
comunicaciones, y se contara con el uso de un servidor IP en el proveedor, para que este se
encargue de contener los trunks de las llamadas y así enrutarlas al destino correspondiente.
Conectividad del Proyecto
Evaluación de Conectividad WAN
Actualmente la empresa cuenta con enlaces ADSL, los cuales fluctúan entre los 40 y 100
Mbps, si bien la velocidad no es gran problema para este caso, si lo es la variabilidad de la
conexión utilizada como ADSL, que al ser una tecnología que trabaja en base a la red
telefónica, no es confiable en relación a la señal que obtiene el cliente final, ya que está
expuesta a interferencias electromagnéticas, además de la reducción de las velocidades
según las distancias que posea con el ISP, o simplemente por el clima que exista, todos
estos factores influyen directamente con la velocidad final que se otorga al suscriptor.
En relación a lo anterior, se ha decidido cambiar el tipo de enlace de ADSL a fibra óptica, ya
que esta última es uno de los medios de transmisión más confiables y efectivo en la
actualidad, por ser insensible a la interferencia electromagnética no sufre las
contraindicaciones de ADSL, además de manejar velocidades superiores a 1 Gbps, siendo
la mejor opción para un enlace empresarial que abarca diferentes tipos de servicios.
Implementación de BGP
La implementación de protocolos de alta disponibilidad como lo es Bgp proporcionara una

conexión entre ambas sucursales.
IBGP-EBGP
STGO
Router 1
R1(config)#router bgp 100
R1(config-router)#bgp router-id 1.1.1.1
R1(config-router)#neighbor 20.20.20.1 remote-as 100
R1(config-router)#neighbor 20.20.20.1 update-source loopback 1
Router 2
R1(config)#router bgp 100
R1(config-router)#bgp router-id 2.2.2.2
R1(config-router)#neighbor 10.10.10.1 update-source loopback 2
IBGP-EBGP
VALPO
Router B
RB(config)#router bgp 200
RB(config-router)#bgp router-id 1.1.1.1
RB(config-router)#neighbor 209.10.10.1 remote-as 100
RB(config-router)#neighbor 219.20.20.1 remote-as 100
Implementación de VPN
DDR S.A implementará una conexión VPN del tipo IPsec Site-to-Site, para permitir
interconectar las redes de las dos sucursales que posee la empresa (Valparaíso y Santiago),
ya que sus redes LAN están geográficamente separadas. Esta red privada virtual será
efectuada a través de Internet, utilizando protocolos de seguridad y encriptación de datos
para mantener la confidencialidad y autenticidad de los mismos.
Este método es ideal, porque permite interconectar sucursales de una compañía que tiene
distintos ISPs para salir a internet, esto permitirá que los empleados de las dos sucursales
estén sincronizados y brindara, además, más seguridad con este túnel VPN, ya que el trafico
pasara cifrado y previniendo problemas de interceptación de datos, transacciones,
información importante, entre otras.
Esta VPN funciona bajo IPsec (un estándar de la industria), por lo cual no solo funciona con
routers Cisco, por si a futuro se integran equipos de otra marca. Uno de los componentes de
IPsec es IKE (Internet Key Exchange), este intercambia la información entre los peers
involucrados, ya sea llaves pre compartidas, tipo de algoritmo de hash y el cifrado a utilizar
(AES, DES, 3DES, MD5, SHA). Además, integra ISAKMP que se encarga de establecer el
túnel entre las dos LAN remotas. Los paquetes cifrados con IPsec pueden utilizar AH o ESP,
siendo este último el más completo, cifrando el paquete IP en su totalidad.
Por otra parte, se configurarán VPN de tipo acceso remoto en ambas sucursales, con el fin
de permitir a los usuarios o trabajadores acceder a la red interna desde ubicaciones externa
a esta, ya sea en sus hogares o en locaciones de clientes. Mediante la implementación de
este tipo de VPN, los usuarios podrán tener acceso a los recursos internos y aplicaciones
relacionadas al área de la empresa, en este caso en particular el rubro comercial, que
además genera ingresos en ventas por internet, por lo que el uso de VPN acceso remoto es
de gran importancia para DDR S.A.
Finalmente, mencionar que en ambos tipos de VPN, ya sea Site-to-Site y acceso remoto, se
realizara la configuración de un Tunel GRE, mecanismo de tunneling que utiliza IP como
protocolo transporte y pueden ser transportados protocolos de Gateway interior (IGP) a
través del túnel VPN.
Implementación del Proyecto
Implementación del Proyecto por Etapas
Etapa 2
Estructura organizacional
La empresa DDR S.A pertenece al rubro comercial, el cual tiene más de 50 años de presencia
en el país. En la sucursal de Santiago posee una topología de tipo cascada lo que propone
un riesgo, en la sucursal de Valparaíso propone una topología de tipo jerárquica pero mal
organizada.
Sucursal Valparaíso:
Actualmente esta sucursal cuenta con un diseño de red aceptable para la cantidad de
usuarios, pero el tipo de tecnologías, ya sea equipos y medidas de seguridad utilizadas son
paupérrimas, ya que son antiguas, poco modernas y deficientes, lo que impide que la
empresa evolucione a un status TI requerido en la actualidad. En cuanto a lo anterior, se han
detectado las siguientes falencias con sus respectivas recomendaciones.
Tecnología inalámbrica: El cifrado utilizado es WEP de 128 bits, la cual es una tecnología
posiblemente hackeable, ya que, si el administrador de red mantiene una clave estática, sin
cambios frecuentemente, permitiría a cualquier usuario que ingrese en la red, con un simple
software, conocer la clave, acceder a archivos privados y realizar cambios sin consentimiento
de la empresa. Además, el router inalámbrico permite la conexión simultánea de 50 host,
siendo que solo se utiliza en la vlan 200 la que abarca 20 host.
Mejora recomendada
Utilizar cifrado WPA2 o superior, porque brinda una mayor seguridad en relación a WEP, ya
que WPA2 emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando
constantemente y hace más difícil que algún usuario malintencionado logre ingresar sin
autorización a la red, además WPA2 utiliza Estándar avanzado de cifrado (AES), que es
mucho más seguro y confiable que TKIP, usado en WEP. Administrar de mejor manera el
router inalámbrico permitiendo un máximo de hasta 30 personas y no 50 como en la
actualidad, así no se colapsa la red inalámbrica
Conexión WAN single-homed: Es una conexión ADSL de 40 Mbps, la cual produce

congestión de la red en varios momentos del día. ADSL es una tecnología que permite la
conexión a Internet mediante el uso de la línea telefónica tradicional, lo que indica que tiene
un ancho de banda limitado (30 MB) y depende de factores externos, ya sea distancia con
ISP, clima e interferencias, los cuales influyen directamente en la velocidad real que se
recibe, lo que para una conexión de una empresa es poco óptimo y seguro. Otro punto, no
menor es la ausencia de backup en esta sucursal, ya que de perderse la conexión,
configuración o comunicación con algún router borde, se dejaría a toda la red sin servicio,
que para una empresa es una pérdida de activos monetarios importantes.
Mejora recomendada
Cambiar de tecnología ADSL a fibra óptica, dado que esta última posee un ancho de banda
muy superior, llegando incluso a enlaces de 1Gb, obviamente a un costo mayor que ADSL,
pero sin problemas antes las interferencias, distancias, clima, entre otras. Es por esto que el
uso de fibra óptica ha tomado tanta fuerza en los últimos años, dado a los grandes beneficios
que otorga este medio de transmisión. También se recomienda que en vez de usar una
conexión WAN single-homed, se mejore a WAN dual-homed, tipo de conexión más fuerte y
segura. Además, integrar algún protocolo de redundancia en routers, como HSRP o VRRP,
los cuales permiten tener un Backup ante posibles caídas de la red, permitiendo mantener la
red estable y siempre activa.
Tecnología RDSI: En la actualidad, la empresa utiliza una central telefónica Meridian en base
a la tecnología RDSI, la cual está casi obsoleta en estos días y quizás es la razón por la cual
no pueden contactarse con la sucursal de Santiago, porque allí utilizan tecnología IP basada
en Elastix.
Mejora recomendada
Utilizar la misma tecnología que se encuentra en la sucursal de Santiago, que es tecnología

IP basada en Elastix, así se evitan problemas de compatibilidad de equipos.
Sala servidores: La oficina de servidores ubicada en el cuarto piso del edificio, se encuentra
sin ninguna medida de seguridad para el ingreso a esta, siendo que aquí están los servidores
de la empresa, en los cuales pasan gran cantidad de activos de información. Tampoco se
observa ningún sistema de alimentación ante posibles cortes eléctricos, con el fin de seguir
dando energía a los dispositivos.
Mejora recomendada
Implementar medidas de seguridad para acceder a la sala de servidores, por ejemplo, control
con credencial solo para personas autorizadas o sistema de acceso control biométrico, de
esta manera se tiene un control de los equipos y las personas que ingresan aquí.
minutos si se generan cortes eléctricos.
Página web: No posee ningún administrador o encargado de mantener la seguridad de la
página web o simplemente actualizar la información.
Mejora recomendada
Determinar algún administrador para la página web, con el objetivo que este sea el
encargado de mantener actualizada y segura la página web.
Seguridad en capa 2: Los conmutadores o switches cuentan con configuraciones básicas,

como troncales por defecto y seguridad de puerto dinámica.
Mejora recomendada
Incrementar la seguridad de los switches mediante configuraciones más sofisticadas, como
reemplazar la seguridad de puerto dinámica la que es inconsistente, ya que si el equipo se
reinicia esta configuración se pierde, en cambio la seguridad de puerto estática es mejor
porque es permanente si se guarda al momento de su configuración y se pueden incrementar
su seguridad asignando valores como, direcciones MAC máximas permitidas y si estas
superan el numero permitido, se puede dejar el puerto inhabilitado. Otra recomendación es
definir manualmente los puertos que quedaran troncales, y solo habilitar las puertas
utilizadas, en tanto a los no usadas, asignarlas a una Vlan que solo cumpla la función de
contener estas interfaces y mantenerlas apagadas/desactivadas. Por último, y como gran
medida de seguridad de capa 2, se recomienda el uso de listas de acceso o ACL, para
restringir el paso libre de equipos pertenecientes a otras vlan, por ejemplo, un equipo que se
encuentre en la vlan 100 recepción, no tenga posibilidades de hacer un simple ping o
traceroute a equipos de una vlan diferente, así se evita que cualquier intruso que se conecte
a un puerto “x” logre ingresar a la red.
Sucursal Santiago:
Hoy en día, la sucursal cuenta con un diseño de red ineficiente, en forma de “cascada” la que
en caso de falla cualquier switch de la red, afectaría directamente a los demás, ya que están
conectados entre sí.
Se recomienda el uso de un modelo de red jerárquico divido en capas, (acceso, distribución
y núcleo), de esta manera se pueden realizar configuraciones específicas y asignarle una
función en particular a cada capa. Este modelo ofrece beneficios tales como: mantenimiento,
seguridad, escalabilidad, redundancia y relación precio/costo.
A continuación, se mencionan las falencias encontradas con su respectiva mejora.
Cableado horizontal: El tendido horizontal con la que la empresa consta actualmente es

categoría 5e, la que actualmente se usa cada vez menos, aparte trabaja en frecuencias más
bajas y velocidades menores a lo que se puede llegar a encontrar en el mercado actual.
Mejora recomendada
Se recomienda el uso de una categoría superior a la 5e, ya sea cat.6, 6a, 7, por el motivo
que estas operan con frecuencias superiores a los 250 MHz en cada par y proveen
transferencias desde 1 Gbps en el caso de la categoría 6, permitiendo a la empresa manejar
tecnologías de datos, voz y video, y/o VoIP sin inconvenientes por posibles interferencias
producto del cable.
Tecnología ADSL: Esta sucursal cuenta con conexiones ADSL, que son limitadas y solo
permiten enlaces entre 40 y 100 Mbps.
Mejora recomendada
Cambiar de ADSL a medio de transmisión de fibra óptica, por la razón que esta puede
transmitir datos superiores a 1Gbps. Además de integrar algún protocolo de redundancia en
routers, como por ejemplo HSRP o VRRP.
Sala de servidores: Al igual que la sucursal de Valparaíso, esta sala no cuenta con ningún
método de seguridad vigente, siendo que en esta se encuentran los servidores que
almacenan archivos de la empresa, ni tampoco ningún sistema de alimentación ante posibles
cortes eléctricos.
Mejora recomendada:
Se recomienda seguir las mismas mejoras mencionadas para la sala de servidores de la
sucursal de Valparaíso.
Tecnología inalámbrica: Utiliza cifrado WPA con TKIP.
Mejora recomendada
Utilizar WPA2 con Estándar de cifrado avanzado (AES), porque permite una clave de
seguridad dinámica y casi imposible de descifrar.
Seguridad capa 2: Posee las mismas configuraciones que los switch de la sucursal de
Valparaíso, por lo tanto, se recomiendan las mismas mejoras.
Y por último mencionar, que, en la sucursal de Valparaíso y Santiago, no se posee ningún
plan de mantenimiento y soporte, por lo que se recomienda integrar alguno con el fin de
mitigar las interrupciones al mínimo posible y mantener un nivel de servicio aceptable. Esto
permite una reacción rápida ante fallas que se produzcan en la red.
Modificación de equipamiento.
La cantidad de equipos que se modificaran se basa en la necesidad del cliente en cuanto a

actualizar sus redes de datos y voz, y hemos llegado a la conclusión que su infraestructura
TI es antigua para los requerimientos que este pretende.
En cuanto a equipos de ruteo nos vemos en la obligación de cambiarlos por unos más
potentes y mejores en comparación a los que poseía, estos equipos le permitirán aplicar una
mejor performance a su trabajo dándole escalabilidad y seguridad a futuro.
En tanto a los switch el cliente se encontraba trabajando con modelos muy antiguos y que
ya no poseían soporte por parte del fabricante, lo cual era imprescindible una mejora.
Etapa 3
Resultados
Mejoras Futuras
Las mejoras que se ha propuesto para ambas sucursales permitirán un crecimiento

exponencial en cuanto a su producción ya que tanto los equipos, diseño y la seguridad de
red están más que calificados para afrontar cualquier dificultad que se le presente hoy o a
futuro.
Ambas sucursales están aptas para un crecimiento del 50% más en comparación al diseño
anterior que poseían, en cuanto a equipamiento y velocidad de enlaces LAN y WAN.
La gran mejora que se puede ver es el orden jerárquico de la red y su seguridad robusta en
cuanto a lógico y físico.
En la imagen se observa la distribución de los equipos de la sucursal de

Valparaíso dentro de sus respectivos racks, los que permiten alojar los switch, router, patch
panel, servidores, UPS, etc. Se distingue que el rack de la sala de servidores o Data Center
del cuarto piso es el más grande, específicamente de 32U, por la cantidad de equipos que
se encuentran aquí, entre ellos dos firewalls de 2U, dos switch core de 2U, un router de 2U,
dos patch panel de 2U, dos equipos servidores y una UPS, estos últimos, como son equipos
no rackeables serán colocados en bandejas de rack, con el fin de albergarlos sin problemas
dentro del armario. En cuanto a la climatización obligatoria que deben poseer los data center
o sala de servidores, será posible mediante el uso de sistemas de aire acondicionado dentro
de est sala, además de
En los pisos inferiores, por poseer menos equipos, se consideraron racks más pequeños, de
9U, para posicionar un switch de 2u y un patch panel 2u, además se considera el concepto
de escalabilidad, ya que sobra espacio para integrar equipos a futuro dentro del rack.
En la imagen se observa la distribución de los equipos de la sucursal de Santiago en los

racks, ya sea los ubicados en el Data-center o los respectivos racks de cada piso. En estos
se aprecian los equipos montados dentro de los armarios, ya sea router, switch, servidores,
entre otros.
Conclusión
El modelo de red jerárquico elegido para rediseñar la topología de la empresa, es sin lugar a
duda un punto de avance importante en comparación a su diseño anterior, el cual no cumplía
con los estándares de la industria, era propenso a cualquier cambio en la red, no contaba
con características de alta disponibilidad y redundancia, en cambio el nuevo diseño de red
implementado para ambas sucursales, cubre las características antes mencionadas y más.
La utilización de equipos poco modernos, con configuraciones básicas, pone en riesgo la
seguridad de los dispositivos; en este caso se busca incrementar la seguridad mediante el
uso de tecnologías superiores a las que se utilizaban, además se incorporaron equipos
capaces de administrar y filtrar tráfico para impedir el ingreso de trafico malintencionado
dentro de la red, los llamados firewall o cortafuegos, quienes protegerán la red y los
servidores de la DMZ.
Tomando en cuenta el tipo de cableado de las sucursales, se consideró optimo el reemplazo
del cableado en Santiago, de categoría 5e a 6, con el fin de poder obtener un servicio de
telefonía IP estable, obviamente ante el cambio de cableado es necesario nuevos equipos
de ruteo y conmutación.
En cuanto al tipo de enrutamiento que se usará, se decidió por el protocolo de enrutamiento
OSPF, estándar abierto, de alta convergencia e ideal para soportar diseños jerárquicos, esto
posibilitaría a la empresa incorporar equipos no tan solo de la marca CISCO, sino de
diferentes marcas, sin tener problemas de operatividad.
La empresa busca ser reconocida no tan solo en sus ventas, sino que también en su área
de TI, por lo tanto, el uso de equipos de alta gama, y enlaces de alta capacidad son
necesarios para cumplir con este requisito, tomando en cuenta que estos posean las
cualidades necesarias para integrar más dispositivos en un futuro y no verse afectados por
su integración dentro de la red.
En síntesis, las medidas tomadas por esta empresa son impecables, en el sentido que hoy
en día, las organizaciones, independiente de sus áreas de trabajo, invierten bastante capital
en el uso de redes modernas, que estén siempre activas, que, ante cualquier fallo, su tiempo
de recuperación sea lo más rápido posible. Estas características, son incorporadas en el
rediseño de la red de la empresa, cubriendo las necesidades requeridas.
Referencia Bibliográficas
 https://es.scribd.com/doc/36900556/Auditoria-de-Redes
 http://www.cisco.com/
 https://www.cdw.com/shop/products/Cisco-Catalyst-2960XR-48TD-I-switch-48-ports-managed-rack-
mountable/3078833.aspx
 https://www.amazon.com/Cisco-ASA-5525-X-Firewall-ASA5525-K9/dp/B007J3BW8U
 http://www.apc.com/shop/py/es/products/APC-Smart-UPS-RT-6000VA-230V/P-SURT6000XLI
 https://dono.discapnet.es/node/1402
Apéndices
Listado de los Equipos de Red Existentes y a Utilizar
Equipos existentes Modelo Reutilizar Reemplazar
1 Router Cisco 1841 no si
4 Switch Layer2 Cisco 2950 No si
1 Router inalámbrico TP-Link TL- si no
MR3220
1 Central telefónica Meridian - no si
Equipo reemplazado Equipo(s) reemplazante(s) Modelo

1 Router Router Cisco ISR 4331
4 Switch Layer2 3 Switch Layer 2 2 Cisco Catalyst 2960XR-48TD-I
1 Cisco Catalyst 2960-24PC-S
1 Switch Layer 3 2 Switch Layer 3 Cisco Catalyst 3750-X F.O L3
1 Central telefónica Meridian Servidor Proliant ML30 Gen9 Xeon
Equipos existentes Modelo Reutilizar Reemplazar
2 Router Cisco 1841 no si
1 Router inalámbrico TP-Link TL- No si
MR3220
Equipo reemplazado Equipo(s) reemplazante(s) Modelo
2 Router 2 Routers Cisco ISR 4331

4 Switch Layer2 6 Switch Layer 2 Cisco Catalyst 2960XR-48TD-I
2 Switch Layer 3 2 Switch Layer 3 Cisco Catalyst 3750-X F.O L3
1 Router inalámbrico Router inalámbrico Router N300 RT-N12/D1
Configuración de Equipos de Red
Configuración equipos de Santiago

piso 3
Switch3-l2#sh run
Building configuration...
Current configuration : 2284 bytes

!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
no ip domain-lookup
!
!
spanning-tree mode rapid-pvst
!
interface GigabitEthernet0/1
switchport mode trunk
!
!
!
switchport access vlan 60
switchport trunk allowed vlan 60,80
switchport voice vlan 80
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
spanning-tree portfast
spanning-tree bpduguard enable
!
!
switchport trunk native vlan 90
shutdown
!
interface GigaEthernet0/7
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0002.16ae.c401
ip address 192.168.400.5 255.255.255.0
!
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end
Switch(config-if-range)#
----------------------------------------------
piso 2
Switch4-l2(config-vlan)#do sh run

!
version 12.1
!
hostname Switch
!
!
!
!
!
!
!
!
interface GigaGigabitEthernet0/5
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface GigaEthernet0/12
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 00e0.b01e.1c01
ip address 192.168.400.56 255.255.255.0
!
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end
Switch(config-vlan)#
---------------------------------------
piso 1
Switch5-l2(config)#do sh run

!
version 12.1
!
hostname Switch
!
!
!
!
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface GigaGigabitEthernet0/10
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0001.c7d0.5101
ip address 192.168.400.57 255.255.255.0
!
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end
Switch(config)#
------------------------------
core 1 sw l3
swl1(config-if-range)#do sh run

!
version 12.2
!
hostname swl1
!
!
!
!
!
!
!
interface Port-channel 1
!
!
!
!
!
switchport trunk encapsulation dot1q
channel-group 1 mode auto
!
channel-group 1 mode auto
!
channel-group 2 mode on
!
!
!
!
!
shutdown
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface FastEthernet0/24
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0010.1151.2d01
ip address 192.168.400.51 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
--------------------------------
core 2 swl3
Switch#show run
Switch#show running-config

!
version 12.2
!
hostname Switch
!
!
!
!
!
!
!
!
!
!
!
channel-group 1 mode desirable
!
channel-group 1 mode desirable
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
mac-address 0000.0c12.d301
ip address 192.168.400.52 255.255.255.0
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
Switch#
-------------------------------------
sw 1 l2
sw3(config-if)#do sh run

!
version 12.2
!
hostname sw3
!
!
!
!
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
!
interface Vlan1
no ip address
shutdown
!
!
interface Vlan100
mac-address 00e0.8f52.4001
ip address 192.168.400.53 255.255.255.0
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
sw3(config-if)#
--------------------
sw 2 l2
Switch(config-if-range)#do sh run

!
version 12.2
!
hostname Switch
!
!
!
!
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
shutdown
!
!
interface Vlan100
mac-address 0004.9a0c.7101
ip address 192.168.400.54 255.255.255.0
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
Switch(config-if-range)#
--------------
sw 6 l2
Switch(config-if-range)#do sh run

!
version 12.2
!
hostname Switch
!
!
!
!
!
switchport mode access
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
!
interface Vlan1
no ip address
shutdown
!
!
interface Vlan100
mac-address 0090.214b.6901
ip address 192.168.400.58 255.255.255.0
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end
---------------------------------------------
Switch(config)#do sh vlan
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active 0/3, Gi 0/4, Gi 0/7, Gi 0/8
Gi0/9, Gi 0/10, Gi 0/11, Gi 0/12
Gi 0/13, Gi 0/14, Gi 0/15, Gi 0/16
Gi 0/17, Gi 0/18, Gi 0/19, Gi0/20
Gi 0/21, Gi 0/22, Gi Fa0/23, Gi /24
10 VENTA active
20 RECEPCION active
30 ADMINISTRACION active
40 GERENCIA active
50 INGENIERIA active
60 SOPORTE active
70 SERVIDORES active
80 VOZ active
90 NATIVA active
100 ADMIN active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
40 enet 100040 1500 - - - - - 0 0
50 enet 100050 1500 - - - - - 0 0
60 enet 100060 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
80 enet 100080 1500 - - - - - 0 0
90 enet 100090 1500 - - - - - 0 0
100 enet 100100 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
core 1
Switch#show vtp status
VTP Version :3
Configuration Revision : 23
Maximum VLANs supported locally : 1005
Number of existing VLANs : 15
VTP Operating Mode : Server
VTP Domain Name : cisco
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x20 0x7B 0x38 0x60 0xFE 0xD6 0xB1 0x60
Configuration last modified by 0.0.0.0 at 3-1-93 00:20:45
Local updater ID is 0.0.0.0 (no valid interface found)
Switch#
core 2
Switch#show vtp status

VTP Version :3
Configuration Revision : 23
Maximum VLANs supported locally : 1005
Number of existing VLANs : 15
VTP Operating Mode : Client
VTP Domain Name : cisco
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x20 0x7B 0x38 0x60 0xFE 0xD6 0xB1 0x60
Configuration last modified by 0.0.0.0 at 3-1-93 00:20:45
---------------------------
asa 1
ASA1#show run
: Saved
:
ASA Version 8.4(2)
!
hostname ASA1
domain-name www.cisco.cl
passwd 4IncP7vTjpaba2aF encrypted
names
!
!
!
!
!
Interface GigabitEthernet0/4
!
!
!
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
!
interface Vlan2
nameif outside
security-level 0
ip address 209.10.10.2 255.255.255.0
!
interface Vlan70
no forward interface Vlan1
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
!
!
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
!
!
!
object network PAT
nat (inside,outside) dynamic interface
!
aaa authentication ssh console LOCAL
!
!
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
!
telnet timeout 5
ssh timeout 5
!
dhcpd auto_config outside
!
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
!
!
!
!
ASA1#
------------------------------------------------
asa 2
ASA1#show run
: Saved
:
ASA Version 8.4(2)
!
hostname ASA2
passwd 3JmdQ8xOipaba3aG encrypted
names
!
!
!
!
!
!
!
!
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
!
interface Vlan2
nameif outside
security-level 0
ip address 219.20.20.2 255.255.255.0
!
interface Vlan70
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
!
!
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
!
!
!
object network PAT
!
!
!
inspect icmp
!
!
telnet timeout 5
ssh timeout 5
!
!
!
dhcpd enable inside
!
!
RA(config)#crypto isakmp policy 100
RA(config-isakmp)#authentication pre-share
RA(config-isakmp)#encryption 3des
RA(config-isakmp)#group 1
RA(config-isakmp)#lifetime 43200
RA(config-isakmp)#exit
RA(config)#crypto isakmp key Valpo-Santiago10 address 219.40.40.1

RA(config)#crypto ipsec transform-set set-Santiago esp-aes esp-sha-hmac
RA(config)#ip access-list extended VPN

RA(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.100.0 0.0.0.255
RA(config-ext-nacl)#exit
RA(config)#crypto map map-Santiago 10 ipsec-isakmp

RA(config-crypto-map)#match address VPN
RA(config-crypto-map)#set peer 219.40.40.1
RA(config-crypto-map)#set transform-set set-Santiago
RA(config-crypto-map)#exit
RA(config)#interface gigabitEthernet 0/0

RA(config-if)#ip address 209.10.10.1 255.255.255.0
RA(config-if)#no shutdown
RA(config-if)#crypto map map-Santiago
RA(config-if)#exit
Configuraciones equipos de Valparaíso
SW1
Switch(config)#Hostname SWITCH1
SWITCH1(config)#enable password VALPARAISO10
SWITCH1(config)#enable secret VALPARAISO10
SWITCH1(config)#line vty 0 2
SWITCH1(config-line)#password VTYVALPO
SWITCH1(config-line)#login
SWITCH1(config-line)#exit
SWITCH1(config)#vlan 100
SWITCH1(config-vlan)#name RECEPCION
SWITCH1(config-vlan)#vlan 80
SWITCH1(config-vlan)#name VOZ
SWITCH1(config-vlan)#name ADMINISTRATIVA
SWITCH1(config-vlan)#name NATIVA
SWITCH1(config-vlan)#exit
SWITCH1(config)#interface range gigabitEthernet 0/0-1

SWITCH1(config-if)#switchport mode trunk
SWITCH1(config-if)#switchport trunk allowed vlan 60,80,100
SWITCH1(config-if)#switchport trunk native vlan 90
SWITCH1(config-if)#exit
SWITCH1(config)#interface fastEthernet 0/1

SWITCH1(config-if)#switchport mode access
SWITCH1(config-if)#switchport access vlan 100
SWITCH1(config-if)#switchport voice vlan 80
SWITCH1(config-if)#switchport port-security
SWITCH1(config-if)#switchport port-security maximum 1
SWITCH1(config-if)#switchport port-security mac-address sticky
SWITCH1(config-if)#switchport port-security violation shutdown
SWITCH1(config-if)#spanning-tree portfast
SWITCH1(config-if)#spanning-tree bpdu guard enable

SWITCH1(config-if)#shutdown
--------------------------------------------------------------
--------------------------------------------------------------
SW2
SWITCH2(config-vlan)#name VENTAS



---------------------------------------------------------------
---------------------------------------------------------------
SW3
SWITCH3(config-vlan)#name DESARROLLO


SWITCH3(config-if)# storm-control broadcast level 20 10
SWITCH3(config-if)# storm-control broadcast level 2 1 shutdown

----------------------------------------------------------------
----------------------------------------------------------------
CORE-1
CORE-1(config)#enable password VALPARAISO

CORE-1(config)#enable secret VALPARAISO10
CORE-1(config)#
CORE-1(config)#line Vty 0 2
CORE-1(config-line)#password VTYVALPO
CORE-1(config-line)#login
CORE-1(config-line)#exit
CORE-1(config)#vlan 100
CORE-1(config-vlan)#name RECEPCION
CORE-1(config-vlan)#vlan 200
CORE-1(config-vlan)#name VENTAS
CORE-1(config-vlan)#name DESARROLLO
CORE-1(config-vlan)#name SERVIDORES
CORE-1(config-vlan)#name VOZ
CORE-1(config-vlan)#name NATIVA
CORE-1(config-vlan)#name ADMINISTRATIVA
CORE-1(config-vlan)#do wr
CORE-1(config-vlan)#exit
CORE-1(config)#interface range gigabitEthernet 0/4-6

CORE-1(config-if-range)#switchport mode trunk
CORE-1(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-1(config-if-range)#switchport trunk native vlan 90
CORE-1(config-if-range)#exit

CORE-1(config-if)#switchport mode trunk
CORE-1(config-if)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-1(config-if)#switchport trunk native vlan 90
CORE-1(config-if)#channel-group 3 mode desirable
CORE-1(config-if)#exit
CORE-1(config-if)#channel-group 2 mode auto
CORE-1(config)#interface port-channel 2
CORE-1(config)#interface gigabitEthernet 0/10

CORE-1(config-if)#switchport access vlan 90
CORE-1(config-if)#shutdown
CORE-1(config)#interface vlan 100

CORE-1(config-if)#ip address 192.168.100.1 255.255.255.0
CORE-1(config-if)#ipv6 address 2001:a1b2:3c:4c:100::1/64
CORE-1(config-if)#no shutdown
CORE-1(config)#router ospf 1
CORE-1(config-router)#router-id 1.1.1.1
CORE-1(config-router)#network 192.168.100.0 255.255.255.0 area 0
CORE-1(config-router)#passive-interface vlan 100
CORE-1(config-router)#exit
CORE-1(config-router)#interface port-channel 4
CORE-1(config-if)#ip ospf authentication message-digest
CORE-1(config-if)#ip ospf message-digest-key 1 md5 Valparaiso987
CORE-1 (config-router)#area 0 authentication message-digest
CORE-1(config)#ipv6 unicast-routing
CORE-1(config)#ipv6 router ospf 10
CORE-1(config-rtr)#router-id 1.1.1.1
CORE-1(config-rtr)#passive-interface vlan 100
CORE-1(config-rtr)#exit
CORE-1(config-if-range)#ipv6 ospf 10 area 0
----------------------------------------------------------------
----------------------------------------------------------------
CORE-2
CORE-1
CORE-2(config)#enable password VALPARAISO

CORE-2(config)#enable secret VALPARAISO10
CORE-2(config)#
CORE-2(config)#line Vty 0 2
CORE-2(config-line)#password VTYVALPO
CORE-2(config-line)#login
CORE-2(config-line)#exit
CORE-2(config)#vlan 100
CORE-2(config-vlan)#name RECEPCION
CORE-2(config-vlan)#name VENTAS
CORE-2(config-vlan)#name DESARROLLO
CORE-2(config-vlan)#name SERVIDORES
CORE-2(config-vlan)#name VOZ
CORE-2(config-vlan)#name NATIVA
CORE-2(config-vlan)#name ADMINISTRATIVA
CORE-2(config-vlan)#do wr
CORE-2(config-vlan)#exit

CORE-2(config-if-range)#switchport mode trunk
CORE-2(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
CORE-2(config-if-range)#switchport trunk native vlan 90

CORE-2(config-if)#channel-group 3 mode ato
CORE-2(config-if)#channel-group 4 mode desirable
CORE-2(config)#interface gigabitEthernet 0/10

CORE-2(config-if)#switchport access vlan 90
CORE-2(config-if)#shutdown

CORE-2(config-router)#router-id 2.2.2.2
CORE-2(config-router)#interface port-channel 4
CORE-2(config-if)#ip ospf authentication message-digest
CORE-2(config-if)#ip ospf message-digest-key 1 md5 Valparaiso987
CORE-2 (config-router)#area 0 authentication message-digest
CORE-2(config)#ipv6 unicast-routing
CORE-2(config)#ipv6 router ospf 10
CORE-2(config-rtr)#router-id 2.2.2.2
CORE-2(config-rtr)#exit
---------------------------------------------------------------
---------------------------------------------------------------
FIREWALL-1
FIREWALL-1(config)#vlan 100
FIREWALL-1(config-vlan)#name RECEPCION
FIREWALL-1(config-vlan)#vlan 200
FIREWALL-1(config-vlan)#name VENTAS
FIREWALL-1(config-vlan)#name DESARROLLO
FIREWALL-1(config-vlan)#name SERVIDORES
FIREWALL-1(config-vlan)#name VOZ
FIREWALL-1(config-vlan)#name NATIVA
FIREWALL-1(config-vlan)#name ADMINISTRATIVA
FIREWALL-1(config-vlan)#do wr
FIREWALL-1(config)#INterface Range GigabitEthernet 0/1-2

FIREWALL-1(config-if-range)#switchport mode trunk
FIREWALL-1(config-if-range)#switchport trunk allowed vlan 100,200,300,400,60,80
FIREWALL-1(config-if-range)#switchport trunk native vlan 90
FIREWALL-1(config-if-range)#channel-group 1 mode auto

FIREWALL-1(config-if-range)#channel-group 2 mode desirable
FIREWALL-1(config)#interface Port-channel 1
----------------------------------------------------------------------
----------------------------------------------------------------------
FIREWALL-2
FIREWALL-2(config)#vlan 100
FIREWALL-2(config-vlan)#name RECEPCION
FIREWALL-2(config-vlan)#name VENTAS
FIREWALL-2(config-vlan)#name DESARROLLO
FIREWALL-2(config-vlan)#name SERVIDORES
FIREWALL-2(config-vlan)#name VOZ
FIREWALL-2(config-vlan)#name NATIVA
FIREWALL-2(config-vlan)#name ADMINISTRATIVA
FIREWALL-2(config-vlan)#do wr

FIREWALL-2(config-if-range)#channel-group 1 mode auto

FIREWALL-2(config-if-range)#channel-group 4 mode desirable
--------------------------------------------------------
--------------------------------------------------------
router RB
RB(config)#enable secret Valpo10
RB(config)#interface gigabitEthernet 0/1

RB(config-if)#ip address 219.40.40.1 255.255.255.0
RB(config-if)#no shutdown
RB(config-if)#exit
RB(config-if)#ipv6 address 2001:a1b2:3c4d:15::1/64
RB(config-if-range)#ipv6 ospf 10 area 0
RB(config-if)#exit
RB(config-if)#ipv6 address 2001:a1b2:3c4d:25::1/64
RB(config-if)#exit
RB(config)#crypto isakmp policy 100
RB(config-isakmp)#authentication pre-share
RB(config-isakmp)#encryption 3des
RB(config-isakmp)#group 1
RB(config-isakmp)#lifetime 43200
RB(config-isakmp)#exit
RB(config)#crypto isakmp key Valpo-Santiago10 address 209.10.10.1

RB(config)#crypto ipsec transform-set set-Valpo esp-aes esp-sha-hmac
RB(config)#ip access-list extended VPN

RB(config-ext-nacl)#permit ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.0.255
RB(config-ext-nacl)#exit
RB(config)#crypto map map-Valpo 10 ipsec-isakmp

RB(config-crypto-map)#match address VPN
RB(config-crypto-map)#set peer 209.10.10.1
RB(config-crypto-map)#set transform-set set-Valpo
RB(config-crypto-map)#exit

RB(config-if)#crypto map map-Valpo
RB(config-if)#exit
Configuración básica en Gateway de voz
Router>enable
Router#configure terminal
Router(config)#tftp-server flash:P00307020300.bin
Router(config)#telephony-service
Router(config-telephony)#max-ephones 45 (por sucursal)
Router(config-telephony)#max-dn 500
Router(config-telephony)#no auto-reg-ephone
Router(config-telephony)#load 7960 P0030700300
Router(config-telephony)#ip source-address 192.168.16.1 (dependiendo de cada sucursal)
Router(config-telephony)#create cnf-files
Router(config-telephony)#transfer-system full-consultant
Router(config-telephony)#secondary-dialtone 9
Router(config-telephony)#end
Seguridad por capas
Capa 2
-Santiago y Valparaíso
Puertos de acceso
Se protegerá los puertos o interfaces de los switch de la capa de acceso, que conecten con equipos finales,
ya sea PC o teléfonos IP. Esta configuración será seguridad de puerto por aprendizaje, y que permita un
máximo de 1 dirección MAC por equipo y si supera este número, se deshabilitará la puerta.
Nota: Se modificarán las interfaces dependiendo del equipo.
interface fastEthernet “x”

switchport access vlan “x”
switchport port-security violation shutdown
-Equipos donde se aplicarán estas configuraciones:

Santiago: Switch3-l2, Switch4-l2 y Switch5-l2
Valparaíso: Switch1, Switch2 y Switch3
Puertos troncales
En los switch de acceso que tengan sus interfaces conectadas a switches de distribución se configuraron en
modo troncal, permitiendo el paso de solo las vlan creadas, y además dejando las interfaces que no estén en
uso en la vlan nativa previamente creada.
Nota: Se modificarán las interfaces dependiendo del equipo, y numero de VLAN según sucursal.
interface range “rango interfaces troncales”
switchport trunk allowed vlan “x”
exit
Equipos donde se aplicarán estas configuraciones:

Seguridad para Spanning Tree Protocol (STP)
BPDU Filter
BPDU Filter es la funcionalidad que nos permite filtrar el envío y la recepción de BPDUs en una interface.
Interface fastethernet “x”
Spanning-tree bpdu filter enable

BPDU-Guard
Interface “x”
Spanning-tree port-fast
Spanning-tree bpdu guard enable

Configuración Storm-control
Una tormenta de broadcast significa que la red está siendo saturada con la emisión constante de paquetes o
el tráfico de multidifusión.
Nota: Se modificarán las interfaces dependiendo del equipo

Interface “x”
storm-control broadcast level 20 10
storm-control broadcast level 2 1 shutdown

Capa 3
Dhcp snooping
El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no
confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.
Como configurarlo
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan >número<

[number] | vlan {vlan range}]
Habilita DHCP snooping en una VLAN o en un rango VLAN
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate

Configura el número de paquetes DHCP por segundo (pps) que una interface puede permitir

Santiago: Switch2-l2 y Switch1-l2
Valparaíso: CORE-1 y CORE-2
Autenticación de protocolos
Ospf
OSPF admite la autenticación de protocolos de routing mediante MD5. La autenticación MD5 se puede
habilitar globalmente para todas las interfaces o para cada interfaz deseada.
ip ospf message-digest-key key md5 password
area area-id authentication message-digest
Este método impone la autenticación en todas las interfaces con OSPF habilitado. Si una interfaz no está
configurada con el comando ip ospf message-digest-key, no podrá establecer adyacencias con otros vecinos
OSPF.
Para proporcionar más flexibilidad, configure lo siguiente:
ip ospf message-digest-key key md5 password (comando del modo de configuración de interfaz)
ip ospf authentication message-digest (comando del modo de configuración de interfaz)
Los métodos de autenticación MD5 de OSPF global y por interfaz pueden usarse en el mismo router. Sin
embargo, la configuración por interfaz reemplaza la configuración global

Santiago: Router-1 y Router-2
Valparaíso: CORE-1 y CORE-2
BGP
Autenticación de protocolo EGP.
router bgp “X”

neighbor “ip sgte salto” remote-as “X”
neighbor “ip sgte salto” password “clave”

Santiago: Router-1 y Router-2
Valparaíso: RB
Nota: Se modificarán las ip de siguiente salto, sistema autónomo y clave dependiendo del equipo.
Configuración básica
enable secret >nombre de la pass

Santiago: Todos los switch y routers
Valparaíso: Todos los switch y routers
Configuración telnet
line vty 0 1
password >nombre de la pass<
login

Santiago: Todos los switch y routers
Valparaíso: Todos los switch y routers
Configuración consola
line console 0
password >nombre de la pass
login
Se debe prestar especial atención pues por defecto viene habilitada sin restricciones, y si se tiene acceso
físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario
avanzado, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router
con una contraseña nueva.
Santiago: Todos los switch y routers.
Valparaíso: Todos los switch y routers.
VPN
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más
computadoras a una red privada utilizando Internet.
Para cifrar los datos que viajan a través de internet ocuparemos el siguiente protocolo:
IPsec (Internet Protocol Security): permite mejorar la seguridad a través de algoritmos de cifrado robustos y
un sistema de autentificación más exhaustivo soporta encriptado de 56 bit y 168 bit (triple DES).
Como configurar una vpn:
RA(config)#crypto isakmp policy 100

RA(config-isakmp)#authentication pre-share
RA(config-isakmp)#encryption 3des
RA(config-isakmp)#group 1
RA(config-isakmp)#lifetime 43200
RA(config-isakmp)#exit
RA(config)#crypto isakmp key Valpo-Santiago10 address 219.40.40.1

RA(config)#crypto ipsec transform-set set-Santiago esp-aes esp-sha-hmac
RA(config)#ip access-list extended VPN

RA(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.100.0 0.0.0.255
RA(config-ext-nacl)#exit
RA(config)#crypto map map-Santiago 10 ipsec-isakmp

RA(config-crypto-map)#match address VPN
RA(config-crypto-map)#set peer 219.40.40.1
RA(config-crypto-map)#set transform-set set-Santiago
RA(config-crypto-map)#exit

RA(config-if)#ip address 209.10.10.1 255.255.255.0
RA(config-if)#no shutdown
RA(config-if)#crypto map map-Santiago
RA(config-if)#exit
Otro tipo de vpn a utilizar es de tipo remota y las configuraciones pertinentes para la formulación o
configuración de esta es:
VPN Remota...
RA(config)# ip local VPNPOOL 192.168.2.10 192.168.2.19

RA(config)# aaa new-model
RA(config)# aaa authentication login VPN-USERS local
RA(config)# aaa authorization network VPN-GROUP local
RA(config)# username vpnusuario1 password password987
RA(config)# crypto isakmp client configuration group VPN-GROUP

RA(config-isakmp-group)# key password987
RA(config-isakmp-group)# pool VPNPOOL
RA(config-isakmp-group)#exit
RA(config)# crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
RA(config)# crypto dynamic-map VPN-DYNAMIC 10

RA(config-crypto-map)# set transform-set VPNSET
RA(config-crypto-map)# reverse-route
RA(config-crypto-map)# exit
RA(config)# crypto map VPN-STATIC client configuration address respond

RA(config)# crypto map VPN-STATIC client authentication list VPN-USERS
RA(config)# crypto map VPN-STATIC isakmp authorization list VPN-GROUP
RA(config)# crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC

RA(config-if)# crypto map VPN-STATIC
RA(config-if)# exit

Santiago: Router-1
Valparaíso: RB
Firewall ASA
Para ambas sucursales se implementó la tecnología de un firewall cisco asa 5525 con el fin de restringir o
bloquear trafico malicioso hacia el interior de nuestra red.
asa 1
ASA1#show run
: Saved
ASA Version 8.4(2)
!
hostname ASA1
passwd 4IncP7vTjpaba2aF encrypted
names
!
!
!
!
interface GigabitEthernet0/2.10
description INSIDE1
vlan 10
nameif INSIDE1
security-level 90
ip address 192.168.10.1 255.255.255.0
!
description INSIDE1
vlan 20
nameif INSIDE1
security-level 90
ip address 192.168.20.1 255.255.255.0
!
description INSIDE1
vlan 30
nameif INSIDE1
security-level 90
ip address 192.168.30.1 255.255.255.0
!
description INSIDE1
vlan 40
nameif INSIDE1
security-level 90
ip address 192.168.40.1 255.255.255.0
!
description INSIDE1
vlan 50
nameif INSIDE1
security-level 90
ip address 192.168.50.1 255.255.255.0
!
description INSIDE1
vlan 60
nameif INSIDE1
security-level 90
ip address 192.168.60.1 255.255.255.0
!
!
description INSIDE1
vlan 10
nameif INSIDE1
security-level 80
ip address 192.168.10.2 255.255.255.0
!
description INSIDE1
vlan 10
nameif INSIDE1
security-level 80
ip address 192.168.10.2 255.255.255.0
!
description INSIDE1
vlan 20
nameif INSIDE1
security-level 80
ip address 192.168.20.2 255.255.255.0
!
description INSIDE1
vlan 30
nameif INSIDE1
security-level 80
ip address 192.168.30.2 255.255.255.0
!
description INSIDE1
vlan 40
nameif INSIDE1
security-level 80
ip address 192.168.40.2 255.255.255.0
!
description INSIDE1
vlan 50
nameif INSIDE1
security-level 80
ip address 192.168.50.2 255.255.255.0
!
description INSIDE1
vlan 60
nameif INSIDE1
security-level 80
ip address 192.168.60.2 255.255.255.0
!
nameif management
security-level 50
ip address 192.168.15.2 255.255.255.0
ipv6 address 2001:A1B2:3C4D:A::2/64
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.128.0
interface Vlan2
nameif outside
security-level 0
ip address 209.10.10.2 255.255.255.0
interface Vlan70
nameif dmz
security-level 0
ip address 192.168.70.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.10.2 1
object network PAT
!
!
inspect icmp
telnet timeout 5
ssh timeout 5
dhcpd enable inside
Acrónimos
*Modelo o diseño de red jerárquico: este consiste en separar la red en 3 niveles: acceso,
distribución y núcleo para que sea más fácil diseñar, implementar, mantener y escalar la red.
*TI: Tecnología de la Información es la aplicación de ordenadores y equipos de
telecomunicaciones para almacenar, recuperar, transmitir y manipular datos.
*RDSI: es la Red Digital de Servicios Integrados, esta procede a la Red de Telefonía Básica
(RTB) o Red Telefónica Conmutada (RTC), que facilita conexiones digitales extremo a
extremo.
*Telefonía IP: es una tecnología que permite integrar en una misma red (basada en protocolo
IP) las comunicaciones de datos y voz.
*ISP: (Internet Service Provider) Es el proveedor de servicios de internet, la empresa que
brinda conexión a internet a sus clientes.
*Topología: En redes se define como el mapa físico o lógico de una red para intercambiar
datos. Es como está diseñada la red.
*Router: Es un dispositivo de hardware que permite la interconexión de ordenadores en red,
este trabaja en capa tres. Así que permite que varias redes u ordenadores se conecten entre
si y, por ejemplo, compartan una misma conexión de internet.
*Switch: Es un dispositivo con el propósito de resolver problemas de rendimiento en la red,
debido a anchos de bandas pequeños y embotellamientos.
*WEP:(Wired Equivalent Privacy o "Privacidad Equivalente a Cableado") Fue el primer
estándar para redes WI-FI es un sistema de cifrado incluido en el estándar IEEE 802.11 como
protocolo para redes Wireless que permite cifrar la información que se transmite. Este
sistema es débil y más vulnerable si se compara con otros.
*ADSL: (Asymetmetric Digital Subscriber Line o Línea de Abonado Digital Asimétrica) es una
tecnología que permite la conexión a internet mediante el uso de una línea telefónica
tradicional, transmite la información digital de modo analógico. El Problema de esta es que
no garantiza una buena velocidad constantemente.
*Backup: Esta es una palabra inglesa que en el ámbito de la tecnología y de la información,
es una copia de seguridad o el proceso de copia de copia de seguridad. en pocas palabras
sería una copia de la información de la empresa.
*Elastix: Es un software de servidor de comunicaciones unificadas que reúne PBX IP, correo
electrónico, mensajería instantánea, fax y funciones colaborativas. Cuenta con una interfaz
Web e incluye capacidades como un software de centro de llamadas con marcación
predictiva.
*LAN: (Local Area Network o Red de Área Local). una LAN es una red que conecta los
ordenadores en una área relativamente pequeña y predeterminada (como un edificio,
conjunto de edificios, o un campus).
*WAN: (Wide Area Network o Red de Area Amplia) este concepto de utiliza para nombrar a
la red de computadoras que se extiende en una gran franja de territorio, ya sea a través de
una ciudad, un país o, incluso, a nivel mundial. Un ejemplo de red WAN es la propia Internet.
*Categoría 5: El cable categoría 5 (CAT 5) es un cale de par trenzado cuya categoría es uno
de los grados de cableado UTP descritos en el estándar EIA/TIA 568B el cual se utiliza para
ejecutar CDDI y puede transmitir datos a velocidades de hasta 100 Mbps a frecuencias de
hasta 100 MHz.
Categoría 6: El Cable de categoría 6 (Cat 6) (ANSI/TIA/EIA-568-B.2-1) es un estándar de
cables para Gigabit Ethernet y otros protocolos de redes que es retro compatible con los
estándares de categoría 5/5e y categoría 3. La categoría 6 posee características y
especificaciones para evitar la diafonía y el ruido.
*WPA: (Wi-Fi Protected Access o llamado Acceso Wi-Fi protegido) es un sistema para
proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema
previo, Wired Equivalent Privacy (WEP).
*WPA2: (Wi-Fi Protected Access 2 o Acceso Protegido Wi-Fi 2) es un sistema para proteger
las redes inalámbricas (Wi-Fi) que fue creado para corregir la vulnerabilidad detectada en el
cifrado WPA.
*TKIP: (Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA,
incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos
inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye
claves en una forma diferente.
*AES: (Advanced Encryption Standard) también conocido como Rijndael, es un esquema de
cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados
Unidos.
*HSRP: (El Hot Standby Router Protocol) es un protocolo propiedad de CISCO que permite
el despliegue de routers redundantes tolerantes a fallos en una red. Este protocolo evita la
existencia de puntos de fallo únicos en la red mediante técnicas de redundancia y
comprobación del estado de los routers.
*VRRP: (Virtual Router Redundancy Protocol) es un protocolo de penetración no propietario
definido en el RFC 3768 diseñado para aumentar la disponibilidad de la puerta de enlace por
defecto dando servicio a máquinas en la misma subred.
*MAC: (Media Access Control) Una dirección MAC es el identificador único asignado por el
fabricante a una pieza de hardware de red (como una tarjeta inalámbrica o una tarjeta
Ethernet. Cada código tiene la intención de ser único para un dispositivo en particular.
*ACL: Una lista de control de acceso o ACL (del inglés, access control list) es un concepto
de seguridad informática usado para fomentar la separación de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de
ciertos aspectos del proceso que hace el pedido.
*VLAN: (Red de área local virtual o LAN virtual) es una red de área local que agrupa un
conjunto de equipos de manera lógica y no física. Efectivamente, la comunicación entre los
diferentes equipos en una red de área local está regida por la arquitectura física.
*Ping: Como programa, ping es una utilidad diagnóstica en redes de computadoras que
comprueba el estado de la comunicación del host local con uno o varios equipos remotos de
una red IP por medio del envío de paquetes ICMP de solicitud (ICMP Echo Request) y de
respuesta (ICMP Echo Reply).
*VoIP: (voice over IP) Voz sobre protocolo de internet o Voz por protocolo de internet,
también llamado voz sobre IP, es un conjunto de recursos que hacen posible que la señal de
voz viaje a través de Internet empleando el protocolo IP (Protocolo de Internet).
*UPS: (Uninterruptible Power Sistem) Sistema de alimentación ininterrumpida, es un
dispositivo que, gracias a sus baterías u otros elementos almacenadores de energía, puede
proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos
los dispositivos que tenga conectados.
*AP: (Wireless access point) punto de acceso inalámbrico, en una red de computadoras, es
un dispositivo de red que interconecta equipos de comunicación inalámbricos, para formar
una red inalámbrica que interconecta dispositivos móviles o tarjetas de red inalámbricas.
*IPv4: es la versión actual del protocolo de Internet, el sistema de identificación que utiliza
Internet para enviar información entre dispositivos.
*IPv6: es la nueva versión del protocolo de Internet y amplía el número de direcciones
disponibles a una cantidad prácticamente ilimitada de 340 sextillones de direcciones
*IP: (Internet Protocol) es un número que identifica un dispositivo en una red (un ordenador,
una impresora, un router, etc…). Estos dispositivos al formar parte de una red serán
identificados mediante un número IP único en esa red.
*OSPF: (Open Shortest Path First o Primer Camino Más Corto), es un protocolo de red para
encaminamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el
algoritmo SmoothWall Dijkstra enlace-estado (Link State Advertisement, LSA) para calcular
la ruta idónea entre dos nodos
*Claves dinámicas: La clave dinámica es una clave de seguridad complementaria a Digipass
o Digicard utilizado para máxima seguridad como. por ejemplo, en bancos.
*Hosts o anfitrión: es un ordenador que funciona como el punto de inicio y final de las
transferencias de datos. Comúnmente descrito como el lugar donde reside un sitio web. Un
anfitrión de Internet tiene una dirección de Internet única (dirección IP) y un nombre de
dominio único o nombre de anfitrión (hostname).
*WPA2-PSK: que es un protocolo de encriptación más robusto que WEP. soporta una clave
de hasta 63 caracteres alfanuméricos, y, además, a partir de la pre-shared key que le
introducimos, el sistema va generando nuevas claves
*PSK: (Pre Shared Key o clave compartida previamente), es decir, la seguridad de la red Wifi
se basa en un secreto compartido (la contraseña de la red Wifi), que conocen sus usuarios
y el punto de acceso.
*IVR: (Interactive Voice Response o la respuesta de voz interactiva), consiste en un sistema
telefónico que es capaz de recibir una llamada e interactuar con el humano a través de
grabaciones de voz y el reconocimiento de respuestas simples, como «sí», «no» u otras.
*BGP: El protocolo de Gateway fronterizo (BGP) es un ejemplo de protocolo de Gateway
exterior (EGP). BGP intercambia información de encaminamiento entre sistemas autónomos
a la vez que garantiza una elección de rutas libres de bucles. Principal función el
enrutamiento intrautónomo.
*VPN: (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o
más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar una
VPN para que sus empleados desde sus casas, hoteles, etc., puedan acceder a recursos
corporativos que, de otro modo, no podrían.
*software: Conjunto de programas y rutinas que permiten a la computadora realizar
determinadas tareas.
*hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o
un sistema informático.
*U: Una unidad rack o simplemente U es una unidad de medida usada para describir la altura
del equipamiento preparado para ser montado en un rack
*rack: Un Rack es un bastidor destinado a alojar equipamiento electrónico, informático y de
comunicaciones. Tambien conocidos como bastidores, cabinets o armarios, son simples
armazón metálico con un ancho interno normalizado de distintos tamaños y medidas para
adaptarse a las distintas necesidades.
*rackeable: Rackeable es un switch (o cualquier otro equipo), que tiene el ancho standard (o
viene con las guías correspondientes), para ser montado en un rack de informática.

Informe Final Proyecto CCDA

Cargado por

Copyright:

Formatos disponibles

Informe Final Proyecto CCDA

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final Proyecto CCDA

Cargado por

Copyright:

Formatos disponibles

Informe Diseño de

Integrantes: José Cid

Hoy en día, el área de informática y telecomunicaciones, es uno de los departamentos más

 Diseño y mejora de red actual

Topologías de Red Actual

En esta imagen, se observa la topología actual de la sucursal de Valparaíso, con la

En esta imagen, se observa la topología actual de la sucursal de Santiago, con la distribución

Cableado Tipo Sucursal

Cantidad Equipo Modelo Versión IOS

1 Router Cisco 1841 12.3(84)T8

Cantidad Equipo Modelo Versión IOS

2 Router Cisco 1841 12.3(84)T8

4 Switch capa 2 Cisco 2950 12.1(22)EA4

2 Switch capa 3 Cisco 3560 12.2(37) SE1

1 Router Inalámbrico TP-Link TL-MR3220 Firmware 3.15.2

Aplicaciones Usadas en la Red

Los servicios usados en la sucursal de Valparaíso son WEB y almacenamiento. Estos

 Análisis sucursal Valparaíso

Conexión WAN single-homed: Es una conexión ADSL de 40 Mbps, la cual produce

Tecnología RDSI: En la actualidad, la empresa utiliza una central telefónica Meridian en

Página web: No posee ningún administrador o encargado de mantener la seguridad de la

Seguridad en capa 2: Los conmutadores o switches cuentan con configuraciones básicas,

 Análisis sucursal Santiago

A continuación, se mencionan algunos defectos encontrados en esta sucursal:

Cableado horizontal: El tendido horizontal con la que la empresa consta actualmente es

Tecnología inalámbrica: Utiliza cifrado WPA con TKIP.

Recomendaciones y Cambios a la Red Existente

Tecnología RDSI: Utilizar la misma tecnología que se encuentra en la sucursal de Santiago,

Sala servidores: Implementar medidas de seguridad para acceder a la sala de servidores,

Seguridad capa 2: Se recomienda realizar las mismas técnicas de seguridad ya mencionadas

Y por último mencionar, que, en la sucursal de Valparaíso y Santiago, no se posee ningún

Evaluación del Proyecto

En la siguiente imagen se observa el rediseño de la topología para la sucursal Santiago.

rango de direccionamiento 192.168.1.1 - 192.168.1.254 /24

Rango de direccionamiento 192.168.100.1 - 192.168.2.126 /24

Número de vlan Nombre Vlan Direccionamiento Mascara de Subred

Número de Nombre Vlan Direccionamiento IPv6 Prefijo

200 VENTAS 2001:a1b2:3c4d:200 64

300 DESARROLLO 2001:a1b2:3c4d:300 64

Diseño de Seguridad de Red

2. Educación y capacitación constante al personal de la empresa sobre las políticas de

4. El uso de las computadoras en el lugar de trabajo, será de manera limitada para el

5. Se establecerá un código de vestimenta que asegurara que los empleados vistan de

7. Todo empleado es responsable de registrar y reportar las violaciones a la seguridad,

8. Todo empleado es responsable de preservar la confidencialidad, integridad y

9. El Jefe de Seguridad de la Información es responsable directo sobre el mantenimiento

10. Se considera que toda la información de los sistemas informáticos críticos en

11. Se debe garantizar la disponibilidad de la infraestructura adecuada de respaldo, para

2. Acceder solo con credencial única a sala servidores.

3. Disponer de un plan de contingencia que contemple copias de resguardo,

5. Realizar un respaldo de la información periódica antes de cualquier cambio en la red.

6. Establecer uso de correos y de navegación en internet.

7. Cuando un usuario se retira definitivamente de la institución o cambia de puesto, el

8. El Departamento de TI será la dependencia responsable de la administración y uso

11. El Departamento de TI establecerá los mecanismos adecuados para el control,

12. El Departamento de TI monitoreará periódicamente los accesos a la red interna

15. El Departamento de TI es la responsable de la instalación de los programas de

16. El personal del Departamento de TI deberá mantener un inventario de software y