PROYECTO DE RED LOCAL
CON SALIDA A INTERNET
USANDO UN SERVIDOR PROXY
Este blog apunta a un concepto básico de un diseño de red local con un servidor proxy para salida a Internet, son ideas básicas, sencillas y fácil de llevar a cabo. Incluye una breve explicación para el uso del programa Free Proxy que fuese usado en el diseño. Espero que la idea de ésta publicación sea de ayuda a quien busca algo similar. Las disculpas del caso si las imágenes subidas no guardan buena nitidez.
------------------------------------------------------------------------------------------
PROYECTO DE RED LAN CON SALIDA A
INTERNET
Objetivo:
Se
desea proyectar una red LAN con salida para Internet, para una empresa cuya
casa central consta de un edificio de tres pisos, donde tendrán instalados 50
equipos de computación en total.
La distribución de los mismos será:
En el primer piso 20 equipos.
En el segundo piso 15 equipos.
En el tercer piso 15 equipos.
También contará con red inalámbrica para
equipos portátiles que puedan conectarse por este medio.
Se conformará una red LAN y que todos tengan salida WAN (Internet).
Se conformará una red LAN y que todos tengan salida WAN (Internet).
Descripción :
El armado de dicha red constará de un servidor proxy con
conexión a modem de ADSL, para salida a
Internet. Uno de los puntos de la red será el switch que conectado a dicho servidor proxy nos permitirá interconectar
nuestra LAN con Internet y de l mismo partirán las conexiones hacia los otros dos switches
que unirán los ordenadores de los demás
pisos, como también los puntos de acceso para los equipos portátiles.
Una
forma de mantener el orden con el cableado será conectando las pc’s a las
patcheras que se usarán que mediante el patch cord, conectarán a los switches
que unirán las maquinas para la red local como
para la conexión a Internet.
Tanto
servidor proxy como los switches y patcheras se ubicarán
en un rack, instalado en la
segunda planta, elegida ésta considerando la extensión del cableado UTP, para hacerlo lo mas uniforme posible en
relación a los metrajes.
Los
Access point de cada piso también se conectara con una conexión RJ45 a los
switches, y se anexarà un Access point
para uso público en la planta inferior del local (considerando que la empresa
pueda atender público), independiente de la red local.
A
continuación se detallarán los elementos que se usarán para conformar el trabajo.
DESCRIPCIÓN DE LOS
ELEMENTOS
RACK
Para
dicho rack se usará un modelo con cerradura,
con capacidad suficiente como
para contener al servidor proxy, los
switches y las patcheras. También deberá contar con
la ventilación suficiente de manera que
dicho armario mantenga la temperatura adecuada para el normal trabajo de los
componentes que contenga dicho rack. Con
tomas e instalación eléctrica con un polo a tierra incorporada.
SERVIDOR
PROXY
HARDWARE Y CONFIGURACIÓN
Como
servidor proxy, se usará un ordenador con un procesador Core 2 Quad, memoria
RAM de 8 Gb, disco duro de 500 Gb. Una buena fuente de alimentación, ya que dicho ordenador pasará prendido muchas horas.
Un servidor proxy funciona como tal con un programa
de software que se instala en ese único ordenador de la red local, y que
permite que varios ordenadores conectados a una misma red local puedan
compartir un mismo acceso a Internet o conexión a Internet de manera simultánea.
Un
proxy es a su vez un servidor de cache. La función de la caché es almacenar las
páginas web a las que se accede más asiduamente en una memoria. Así cuando un
usuario quiere acceder a Internet, accede a través del proxy, que mirará en la
caché a ver si tiene la página a la cual quiere acceder el usuario. Si es así
le devolverá la página de la caché y si no, será el proxy el que accede a
Internet, obtenga la página y la envíe al usuario. Tanto la configuración de la caché como el acceso a páginas web podrá
ser modificados desde el mismo programa proxy (WinProxy, FreeProxy, etc, según
el elegido). Dentro de las configuraciones a hacer, debe incluirse las dos
direcciónes IP, tanto la que conecta a Internet, como la que conecta a la red
LAN; testear que el servidor proxy es capaz de iniciar una
conexión a Internet; configurar el firewall; la cache, como dijimos; las
páginas web, tanto para ser permitidas como para ser bloqueadas; el proxy
deberá ser también configurada desde cada una de las terminales de la red,
desde su navegador diciéndole que accede a Internet a través de un proxy
(deberá indicar la dirección IP del proxy y el puerto por el que accede).
TARJETA
DE RED
Tarjeta
de red para el área local del proxy: Para dicha tarjeta la elección recayó en
un modelo TG-3468 10/100/1000 PCI e de TP LINK.
TG-3468 10/100/1000Mbps. Gigabit PCIe adapatador de red es una altamente integrada y rentable de 32 bits PCIe Gigabit Ethernet Adapter que es totalmente compatible con IEEE 802.3, IEEE802.3u y las especificaciones IEEE 802.3ab
El adaptador de red Gigabit PCIe TG-3468 es un adaptador de alto rendimiento diseñado para la alta velocidad de la arquitectura de bus PCI EXpress. Diseñado para soportar la velocidad de red 10/100/1000Mbps, Auto-Negación, control de flujo 802.3x y la tecnología Wake-on-LAN.
SWITCH
Los
switches, ( tres en total), serán todos de igual modelo: Switch Gigabit 24
puertos + 2 G Rackmount TP.LINK TL-SL 1226: ofrece 24 puertos 10/100M RJ45 + 2 puertos 10/100/1000M RJ45; apoya
dirección MAC auto-aprendizaje y auto MDI/MDIX; soporte puerto N-Way
Auto-Negación, Store-and-Forward; 100% de tasa de datos de filtrado elimina
todos los paquetes de error. Soporte IEEE 802.3x control de flujo para el modo
full dúplex y contrapresión de la mitad de modo dúplex. Carcasa de acero estándar
rack-montable de 19 pulgadas.
PATCHERA
La patchera
es un elemento pasivo que se sitúa en el armario de cableado. El cable que va
desde los switches termina en la parte de atrás de la patchera. Y por delante,
con un patch cord (cable UTP corto) se conecta a los equipos que integran la
red. Se usa porque de esa forma con solo cambiar el cable de la parte de
delante de bocas se puede cambiar donde se conecta la PC de forma simple y
sencilla. La patchera se ubica dentro del rack.
PUNTO DE ACCESO y CONFIGURACIÓN
Para los puntos de acceso wifi, el
modelo de la línea TP-LINK TL-WA901ND, 300Mbps wireless N Access point.
Velocidad inalámbrica N de hasta 300Mbps ideal para el consumo de ancho de
banda. Soporta también múltiples modos operativos. Fácil configurar un cifrado
Wep conexión segura con solo pulsar el botón QSS. Hasta 30 metro de despliegue flexible con alimentación
incluida a través de Ethernet inyector. WPA/WPA2 cifrado proporciona a la red
con la defensa activa contra las amenazas de seguridad. Compatible con
802.11b/g. El Wireless TP-LINK N Access Point TL-WA901ND está
diseñado para establecer o ampliar una solución escalable de alta velocidad
inalámbrico N de la red o para conectar múltiples dispositivos Ethernet
habilitados.
La adopción de IEEE
802.11n avanzada MIMO (múltiple entrada múltiple salida) la tecnología, al
mismo tiempo trabaja a través de tres antenas de Tx y Rx para superar la
interferencia y degradación de la señal al viajar largas distancias a través de
obstáculos físicos en una oficina pequeña , lo que resulta en una increíble
mejora en el rendimiento inalámbrico, incluso en un edificio de acero y
hormigón.
Como la función de DHCP en el AP está
desactivado por defecto, tenemos que asignar manualmente una dirección IP como192.168.1.x al computadora para que
coincida con la dirección IP (192.168.1.254) del repetidor.
Conectar el
equipo a la AP con un cable Ethernet. Procedemos a configurar nuestro Access
point como tal.
Teniendo identificada nuestra conexión de red procedemos a
darle la IP asignada a cada equipo. Luego configuramos el Access point, debemos
abrir una ventana en Internet explorer ingresamos a la dirección de IP del
Access point, una vez habilitada la pantalla de configuración procedemos a
ingresar la dirección IP asignada, como
también un nombre de identificación si se desea, como especificar el tipo de
conexión que manejará. La puerta de enlace, también.
El canal de
transmisión del cual se recomienda sea el 11 el cual tiene menos ruido.
En relación
al rubro seguridad, podrá ser activada o no la misma, según la política de la
empresa. En caso de habilitar la misma, procedemos a utilizar el modo WEP (po
ejemplo) y seleccionar el tipo de encriptación, hay dos maneras de crear la
llave una es que uno la ingrese u otra que se genere; para cuando se va a
generar en el rubro de Passphrase se
coloca la palabra a encriptar y se le da clic al botón Generate, una vez echo
lo anterior generará las 4 llaves y se seleccionará aquella que vaya a ser
utilizada.
Como habrá
un Access point para uso público en primera planta, aunque estará configurada
para otra red, se desea que los Access point que integrarán la red posean
usuario y contraseña para acceder a Internet. No así el equipo librado a
publico en general.
TOPOLOGÍA y CABLEADO
Cableado desde el rack
Salida del cableado desde las patcheras.
Se montará la troncal que unirá los
switches de todas las plantas. El cable de red que una los switches será de un
color diferente así será mas sencillo distinguir el cableado de la troncal que
une los switches del cableado que forma la red de los puestos de trabajo.
Debido al entorno donde se implementará la
solución y al nivel de seguridad requerido, se optará por una red LAN de clase
C con topología en estrella, cuya ventaja es la ausencia de colisiones en la
transmisión y diálogo directo de cada estación con el servidor. La caída de una
estación no anula la red.
La conexión de toda la red LAN se
realizará mediante cableado horizontal en cada piso. El tendido comienza en las
cajas de servicio de cada estación y finaliza en el switch que se encuentra
dentro del rack, el cableado es sobre UTP categoría 5e norma 568B, es el que
mejor se corresponde con el tipo de instalación a realizar, lo que para evitar
daños físicos a los conductores, se colocaran dentro de unos conductos o
canaletas que serán, de material conductor debidamente aterrizado evitando así
la posibilidad de interferencias electromagnéticas, este tendido va ubicado
suspendidos en la parte superior del local para estar lo mas lejos posible del
tendido eléctrico que se puede encontrar empotrado en la pared, favoreciendo el
ordenamiento del local.
Para instalar los cables en los
conectores correspondientes debemos seguir el estándar establecido para lograr
el correcto funcionamiento de nuestra red; el cable UTP categoría 5e posee 4
pares bien trenzados. Los dos extremos del cable llevaran un conector RJ45 con
los colores en el orden indicado en la figura:
DOCUMENTACION DE LA RED
Es
importante dejar bien documentada la instalación para recordar en un futuro el
trabajo realizado. Esto va a facilitar las tareas de mantenimiento al
administrador actual y a los futuros administradores que puedan sustituirnos.
Consiste fundamentalmente en la
señalización de los componentes físicos y en la elaboración de unos documentos
donde se recoja el trabajo realizado. Se han de tener en cuenta las siguientes
consideraciones:
Se debe establecer una nomenclatura de
documentación para los distintos componentes a señalizar.
Todos los cables, paneles y salidas
deben de estar etiquetados tanto a simple vista como en su interior. Irán
identificados con un número y en el proceso de control y verificación se
asignará el número de cable que se conectará al ordenador.
Deben de realizarse esquemas lógicos
claros de las instalaciones con todas las indicaciones de los distintos
componentes.
Se confeccionarán planos de los
edificios donde se han instalado con indicación de los recorridos, situación de
las cajas y armario de distribución y todo lo que pueda tener influencia sobre
el funcionamiento de la red.
Sería interesante que toda esta
información estuviera realizada de la forma más clara posible y que estuviera
disponible tanto en papel como en formato electrónico.
ASIGNACIÓN DE DIRECCIONES IP PARA LA RED
Para la
comunicación de todas las estaciones y la conexión a Internet el protocolo
TCP/IP es un protocolo utilizado por todos los ordenadores conectados a
Internet, hay que tener en cuenta que en Internet se pueden encontrar conectados ordenadores de clases
muy diferentes y con hardware y software incompatibles en muchos casos, además
de todos los medios y formas posibles de conexión; aquí se encuentra una de las
grandes ventajas del TCP/IP, pues este protocolo se encargará de que la
comunicación entre todos sea posible.
Debido al
entorno donde se implementará la solución y al nivel de seguridad requerido, la
red LAN será de clase C con las siguiente direcciones TCP/IP:
CONFIGURACION
DE DIRECCIONES:
ETHE 0
|
IP DINÁMICA
|
|
ETHE 1 (RED LAN)
|
IP
192.168.2.1
|
|
PC’s PRIMER PISO
|
RANGO DE IP’s 192.168.2.5
AL 24
MÁSCARA 255.255.255.0
PUERTA ENLACE 192.168.2.1
DNS
192.168.2.1
|
|
ACCESS POINT PRIMER PISO
|
IP
192.168.2.2
PUERTA ENLACE 192.168.2.1
|
|
PC’s SEGUNDO PISO
|
RANGO DE IP’s 192.168.2.25
AL 39
MASCARA
255.255.255.0
PUERTA ENLACE 192.168.2.1.
DNS
192.168.2.1.
|
|
ACCESS POINT SEGUNDO PISO
|
IP 192.168.2.3
PUERTA ENLACE 192.168.2.1
|
|
PC’s TERCER PISO
|
RANGO DE IP’s 192.168.2.40
AL 54
MASCARA
255.255.255.0
PUERTA DE ENLACE
192.168.2.1.
DNS 192.168.2.1
|
|
ACCESS POINT TERCER PISO
|
IP 192.168.2.4
PUERTA ENLACE 192.168.2.1
|
|
ACCESS POINT PRIMER PISO IP 192.168.1.1
PARA PUBLICO GENERAL PUERTA ENLACE 192.168.2.1
PARA PUBLICO GENERAL PUERTA ENLACE 192.168.2.1
-------------------------------------------------------------------------------------------------
DIAGRAMA DE LA RED LAN CON SALIDA A INTERNET
La salida a Internet se hará a través de
una sola dirección IP dinámica facilitada por el proveedor del servicio de
Internet (en éste caso Antel ADSL)
En
resumen:
1)
IP asignada para el servidor
proxy 192.168.2.1
2)
Para las PC’s se distribuyen
las IP’s desde 192.168.2.5….54 con máscara de subred 255.255.255.0 y puerta de enlace 192.168.2.1
en todos los equipos de trabajo
3)
Para los Access point se
distribuyen las IP’s desde 192.168.2.2/3/4 con puerta de enlace 192.168.2.1
4)
Habrá un Access point para
público en general, sin acceso a la red Lan de la empresa. Pero con salida por
el servidor proxy, a través de otra red.
Después se
le asigna el mismo nombre de grupo de trabajo a cada PC y les asigna nombre a
todos los equipos.
Finalmente,
entramos al MS-DOS y editamos ipconfig para verificar la configuración actual
del servidor; luego ingresamos el comando ping que nos permite verificar la
conectividad que hay en cada PC.
LOS INSUMOS A UTILIZAR
SON:
CANTIDAD
|
DETALLE
|
4
|
ACCESS POINT
|
3
|
SWITCHES
|
1
|
GABINETE METÁLICO O RACK
|
3
|
PATCHERAS
|
214
|
CONECTORES RJ45
|
CANALETAS (SEGÚN METRAJE DE INSTALACIÓN)
|
|
CODOS PARA CANALETAS (SEGÚN INSTALACIÓN)
|
|
50
|
ORDENADORES DE LA RED: CPU PENTIUM CELERON G 440; MEMORIA RAM
2Gb; DISCO DURO 300 Gb.
|
1
|
BOBINA DE CABLE UTP CATEGORIA 5e
|
1
|
ORDENADOR CON PROXY CPU CORE 2 QUAD;MEMORIA RAM 8 Gb; DISCO DURO
500 Gb.
|
----------------------------------------------------------------------------------------------------
USANDO EL PROGRAMA "FREE PROXY"
CONFIGURACIONES:
http://youtu.be/LDkHshluk6Q
Este enlace en youtube, muestra en cuatro videos la configuración del programa Free Proxy para quien desee aprender el manejo del mismo. De todas formas incluyo una descripción acotada del uso del mismo.
Como configurar:
Configurar para HTTP
1) Definir el proxy: Poner un nombre
Este enlace en youtube, muestra en cuatro videos la configuración del programa Free Proxy para quien desee aprender el manejo del mismo. De todas formas incluyo una descripción acotada del uso del mismo.
Digitamos Add remove y nos aparecerá otra ventana
en donde dejamos como está el primer renglón (FULL URL OR PATH FILES) y
en el segundo (URL OR PATH) colocamos un * (asterisco), ponemos FORBIDDEN y
cliquemos DONE en la ventana de abajo también DONE y en la de mas abajo también DONE, luego cliquamos en START/STOP, aparecerá
una ventana que le daremos clic en RESTART / OK
Cada vez que hagamos una configuración
deberemos ir a ésta ventana para confirmar la configuración en el programa.
En PERMISSION también podemos escribir
la pagina web que querramos que quede habilitada o prohibida para entrar desde
la computadora de o de los usuarios. Simplemente en el lugar donde antes pusimos un asterisco escribimos la pagina web
así una a una de las que querramos poner. Recordando siempre hacer RESTART /Ok
y verificar desde la web que se cumpla.
y tildando la opción que dice USAR EL
MISMO PROXY PARA TODOS, dar aceptar.
Luego vuelvo al free proxy doy al
botón START/STOP y en la ventana que aparece doy RESTART y aceptar (actualiza
la configuración hecha) luego doy OK.
Configurado así no puedo ver ninguna
pagina web, o la que está permitida.
Una vez creado el proxy:
todo cambio que desee hacer en ESTA
CONFIGURACIÓN DEL PROXY deberé hacerlo desde la palabra PROXY del renglón
debajo de TYPE, desde ahí podre modificar o agregar lo que desee.
Reconfigurar los permisos por ejemplo.
CONFIGURAR EL CALENDARIO
Para activar el proxy en un intervalo
de tiempo o días voy a calendario en el panel debajo de la barra de
herramientas. Abrira una ventana para poner un nombre a ese calendario. En los
días de la semana pondré la o las horas que quiero esté activo el proxy.
HH:MM-HH:MM así debo configurarlo, si
en el mismo día el intervalo de horas es en dos sectores del dia, pondré de que
hora a que hora va el primer intervalo y con una coma (,) separaré al otro
intervalo de horas.
Ahora hay que aplicar el calendario al
proxy. Cliqueamos Proxy (debajo de TYPE) y en la ventana que abre voy a donde
dice calendario y clique en el nombre que le puse a dicho calendario para
seleccionarlo y voy a START/STOP doy RESTART/OK.
PROHIBIR TODO INTERNET MENOS LAS
PAGINAS QUE QUIERA
Por ejemplo: dejamos para abrir todas
las paginas de www.google.com
Voy a PROXY (Type)/PERMISSION/abre una
ventana
dejamos el primer renglón como está y en el segundo colocamos el ejemplo
escribiendo así: www.google.* , el asterisco incluirá
todas los puntos y algo luego marcamos para
habilitar y cliqueamos DONE
en ésta ventana figurará la pagina que
incluimos y las condiciones que le dimos volvemos a cliquear DONE y luego en
START/STOP RESTART/OK verificamos en internet que se cumpla.
Si tengo mas de dos renglones puesto,
siempre el renglón que lleve el * (asterisco solo) deberá ir debajo de las
demás, para eso usamos las flechitas que tiene la ventanita a la izquierda.
Tambien
puedo permitir o bloquear por palabras, colocando dicha palabra elegida entre
comillas, por ejemplo: “juegos”, y todas las paginas que incluyan ese nombre
podrán ser habilitadas o prohibidas.
USUARIOS
Crear usuarios propios del programa
FREEPROXY
Si vamos a icono de USERS
abrirá una ventana y nuestra todos los usuarios y todos
los grupos de usuarios y usuarios Windows en la llave grupos y luego en otra
llave solo los usuarios (propios del programa FREEPROXY).
Si cliqueamos OPTIONS (debajo de TYPE), abre la siguiente
ventana
en donde tenemos una zona de
autentificación: solo freeproxy, solo Windows, por defecto.
Para crear al usuario proxy (usuario y
contraseña) voy a USERS (debajo de TYPE) Y AGREGAR (ABRE OTRA VENTANA), aquí
escribo el nombre del usuario, la descripción del usuario y la contraseña que
confirma también.
Tildo usuario habilitado y cliqueo
DONE y quedó creado el usuario proxy.
Tambien puedo crear grupos, cliqueando en GROUPS/ADD y agrego el o los grupos
con el nombre y la descripción del grupo /DONE.
Si deseo añadir al usuario creado al
grupo (por ejemplo el creado), doy cli al grupo que deseo añadir al usuario,
sale una ventana con todos los usuario, elijo al o los
usuarios/DONE/DONE/RESTART/OK
Ahora asignamos una regla al grupo
creado (por ejemplo): vamos a PROXY (TYPE)
/PERMISSION y doy los permisos que desee, hacemos los pasos ya conocidos
y en donde dice: FOR THIS USER GROUP elijo al usuario o grupo
Y obligo al usuario a autentificarse
tildando la opción debajo: USER MUST AUTHENTICATO TO GAIN ACCESS TO THIS
RESOURSCE?/DONE/DONE/DONE
(primero prohibo todo con el *, luego pongo lo que deseo permitir para ese
usuario o grupo).
Vamos
a OPTIONS (TYPE) y elijo ONLY FREEPROXY/FREE…/DONE/RESTART/OK verificar.
Al salir el usuario a internet pedirá
el freeproxy usuario y contraseña, salgo a internet pero me frena el proxy, si
en la barra escribo algo referente a la palabra o pagina permitida el programa
me dejará verlas.
CREAR USUARIOS DE WINDOWS 2003 SERVER
CREAR USUARIOS IMPORTÁNDOLOS DESDE EL
DOMINIO DEL WINDOWS 2003 SERVER
Vamos a crear un grupo nuevo desde el
Windows, por ejemplo: grupo del proxy y creamos usuario y contraseña (el
usuario no puede cambiar la contraseña///la contraseña no caduca, tildados), y
ponemos al usuario al grupo del proxy.
Vamos al Freeproxy y vamos a importar
al usuario, nos dirijimos a USERS(TYPE), vamos a grupos/Windows groups, le doy
a IMPORT WINDOW GROUP pongo el nombre del dominio y doy REFRESH LIST y trae a
todos los grupos de ese dominio entre ellos el grupo que voy a elegir lo tildo
y cliq DONE y aparece en la ventana del usuario. Ahora vamos a hacer una regla
para dar de alta para permitir o no lo que vaya a ver por internet. Voy a PROXY
(TYPE),/PERMISSION, agrego y elijo lo que se va a permitir o prohibir. Voy mas
abajo en esa ventana y donde dice FOR THIS GROUP, elijo al grupo que había
agregado y luego lo que voy a permitir a ese grupo como siempre la línea del *
(asterisco) va debajo de todas. Luego DONE/DONE. Voy a OPTIONS
(TYPE) la opcioón de autentificación y tildo ONLY WINDOWS
AUTHENTIFICATION/DONE/START///STOP/RESTART/OK, verifico.
HASTA AQUI UNA MUY BREVE Y CONCISA EXPLICACIÓN DEL USO DE UNO DE LOS TANTOS PROGRAMAS PROXY, EN ÉSTE CASO "FREE PROXY".
