221 - GT M 02

M
M
A
A
N
N
U
U
A
A
L
L
D
D
E
E
O
O
P
P
E
E
R
R
A
A
C
C
I
I
O
O
N
N
E
E
S
S

D
D
E
E
R
R
E
E
D
D
E
E
S
S
Y
Y

C
C
O
O
M
M
U
U
N
N
I
I
C
C
A
A
C
C
I
I
O
O
N
N
E
E
S
S

G
G
E
E
S
S
T
T
I
I
N
N
T
T
E
E
C
C
N
N
O
O
L
L
G
G
I
I
C
C
A
A

PROCESO GESTIN TECNOLGICA
MANUAL DE OPERACINES DE REDES Y COMUNICACIONES
GT-M-02 Ver 1

Elaborado por: Profesional III GT Revisado por: Profesional II GC Aprobado por: Gerente de Tecnologa e
Informacin
SISTEMA DE GESTIN DE CALIDAD Aprobado en Enero de 2012 2

CONTENIDO
Pg.

INTRODUCCIN 6
1. OBJETIVOS 7
2. ALCANCE 8
3. INFRAESTRUCTURA FISICA 9
3.1 DIVISION 9
3.2 CABLEADO ESTRUCTURADO 9
3.3 CENTROS DE CABLEADO 10
3.4 EQUIPOS ACTIVOS 10
3.4.1 LAN 10
3.4.2 WAN 11
3.5 CENTRO DE DATOS 12
4. CONFIGURACION LOGICA 13
4.1 LAN 13
4.1.1 DESCRIPCION GENERAL 13
4.1.2 DESCRIPCION CONFIGURACION EQUIPOS ACTIVOS DE RED 13
4.2 WAN 26
4.2.1 DESCRIPCION GENERAL 26
4.2.2 TOPOLOGIA 26
5. SEGURIDAD 29
5.1 DESCRIPCION GENERAL 29
5.2 SEGURIDAD FISICA 29
5.3 SEGURIDAD LOGICA 30
5.3.1 ACLs 31
5.3.2 BACKUP 31
6. HERRAMIENTAS DE GESTION 32
6.1 GESTIN LAN 32
6.2 GESTIN WAN 35
6.2.1 MONITOREO DE CANALES DEDICADOS (mpls) 35
6.2.2 MONITOREO UNE 35

GT-M-02 Ver 1

Informacin

6.2.3 MONITOREO TELEFNICA 36
7. RECOMENDACIONES 38
BIBLIOGRAFIA 39

GT-M-02 Ver 1

Informacin

LISTA DE CUADROS
Pg.

Cuadro 1. Centros de cableado 10
Cuadro 2. Inventario Networking 11
Cuadro 3. Listado de VLANS 17
Cuadro 4. Direccionamiento reservado 22

GT-M-02 Ver 1

Informacin

LISTA DE FIGURAS
Pg.

Figura 1. Sw de borde capa dos 13
Figura 2. Sw de core capa tres. 14
Figura 3. Mdulo SFP 15
Figura 4. Pruebas de conectividad 25
Figura 5. Topologa 28
Figura 6. Vistas 32
Figura 7. Network Topology View 33
Figura 8. Grafico HEALT CNA 34
Figura 9. Monitoreo UNE 35
Figura 10. Monitoreo telefnica 36

GT-M-02 Ver 1

Informacin

INTRODUCCIN

Para cumplir con el propsito empresarial de Asmet Salud se hace necesario el
manejo de informacin, para lo cual el proceso de Gestin de tecnolgica provee
los recursos, medios e infraestructura tecnolgica necesarios para el manejo y
almacenamiento de los datos.

La red de datos, se convierte en la espina dorsal de los sistemas informticos de las
empresas, conscientes de ello y de la unificacin de tecnologa, el proceso Gestin
Tecnolgica ha encaminado esfuerzos en la actualizacin y mejoramiento de la
misma.

Jhon Fredy Rendn
Profesional III GT

GT-M-02 Ver 1

Informacin

1. OBJETIVOS

El objeto del presente documento es proveer una fuente de informacin confiable
referente a la documentacin actualizada de la infraestructura, configuracin y
mantenimiento de la red de datos corporativa de ASMET SALUD.

Se desea mantener la operacin de los sistemas de red con base en una granja de
servidores a por lo menos 1Gbps con posibilidad de ampliarlo a 10Gbps, Stack
Performance, y estaciones mnimo a 100 Mbps con cableados que lo soporten.
Adems de una red segmentada.

A continuacin se describen los principales cambios realizados, los planes a futuro y
la actualidad de la red.

GT-M-02 Ver 1

Informacin

2. ALCANCE

Aplica para el personal Profesional de GT de ASMET SALUD que forma parte del
proceso de GT tanto en proceso de Infraestructura y seguridad Informtica. As
mismo como informacin para el personal de otros procesos que realicen
operaciones de administracin de equipos que hacen parte de la red de datos.

GT-M-02 Ver 1

Informacin

3. INFRAESTRUCTURA FISICA
3.1 DIVISION

Con el fin de tener una estructura en el desarrollo de la presente gua, en adelante
se realiza una divisin en su topologa, para el anlisis de la red de datos en 2
clases:

RED LAN: Comprende la conexin de rea local para la sede principal a travs de
enlaces de UTP, as mismo incluye la conexin al CORE y la granja de servidores.

RED WAN: Comprende la conexin de las localidades o sedes remotas que se
interconectan a la red LAN por diversos medios. (Antenas Canopy, conexin
Satelital, canales Lan to Lan y VPNs).

3.2 CABLEADO ESTRUCTURADO

El cableado estructurado de la organizacin as como su diseo e instalacin debe
cumplir con normas que den servicio a cualquier tipo de red de datos, voz y otros
sistemas de comunicaciones, sin la necesidad de recurrir a un nico proveedor.

De tal manera que los sistemas de cableado estructurado se instalan de acuerdo a
la norma para cableado para telecomunicaciones, EIA/TIA/568-A, emitida en
Estados Unidos por la Asociacin de la Industria de Telecomunicaciones, junto con
la Asociacin de la Industria Electrnica.

Para el caso especifico de ASMET SALUD, en todos los proyectos de cableado, es
deseable seguir los siguientes lineamientos.

Integrar tanto a los servicios de voz, datos y vdeo, como los sistemas de control
y automatizacin bajo una plataforma estandarizada y abierta.

GT-M-02 Ver 1

Informacin

Cableado horizontal con categora 6A o superior.

Cableado de Backbone en Cobre.

Cuartos de Telecomunicaciones seguros considerando adems de voz y datos,
la incorporacin de otros sistemas de informacin.

Uso de proveedores reconocidos en la industria y materiales con garanta
extendida.

3.3 CENTROS DE CABLEADO

En la sede principal se cuenta con 4 centros de cableado principales, distribuidos en
el edificio de la ASMET SALUD. Ver Cuadro 1.

Cuadro 1. Centros de cableado

ITEM ID UBICACIN
1 CC_01 Piso 1.
2 CC_02 Piso 2.
3 CC_03 Piso 3.
4 CC_04 Piso 4.

3.4 EQUIPOS ACTIVOS

3.4.1 LAN

Asmet Salud en el edificio principal cuenta con 6 Switches de capa tres
Administrables y 2 de capa dos. Ver Cuadro 2.

GT-M-02 Ver 1

Informacin

Cuadro 2. Inventario Networking
ITEM No PARTE DESCRIPCION SERIE UBICACIN
1
WS-C3750X-48T-S SW de core en stack

CC_03
2
WS-C3750X-48T-S SW de core en stack

CC_03
3
WS-C2960S-24TD-L (24
Puertos)
Switch Conexin de
usuarios.

CC_03
4
WS-C2960S-48TS-L (48
Puertos)
Switch Conexin de
usuarios.

CC_03
5
WS-C2960S-48TD-L (48
Puertos)
Switch Conexin de
usuarios.

CC_04
6
WS-C2960S-48TS-L (48
Puertos)
Switch Conexin de
usuarios.

CC_04
7
WS-C2960S-48TD-L (48
Puertos)
Switch Conexin de
usuarios.

CC_02
8
WS-C2960S-48TD-L (48
Puertos)
Switch Conexin de
usuarios.

CC_01

3.4.2 WAN

Canales Propios

Infraestructura administrada por el proceso de Gestin Tecnolgica de ASMET
SALUD.

Canales Tercerizados

GT-M-02 Ver 1

Informacin

Infraestructura administrada por la empresa UNE y canales de contingencia con la
empresa Telefnica, mediante el contrato de conectividad vigente.
3.5 CENTRO DE DATOS

El centro de datos central est ubicado en el Tercer piso de la sede principal de
ASMET SALUD en Popayn, en donde se encuentra el Core de la Red, el cuarto
principal de equipos activos de Telecomunicaciones y la granja de Servidores.

GT-M-02 Ver 1

Informacin

4. CONFIGURACION LOGICA
4.1 LAN

4.1.1 DESCRIPCION GENERAL

ASMET SALUD cuenta con una red de datos robusta con centro de operacin en la
sede principal, que permite a cada uno de los empleados acceder a los aplicativos y
recursos necesarios para su da a da independiente de su ubicacin geogrfica en
cualquier localidad de ASMET SALUD.

La red LAN principal est ubicada en la sede en Popayn en donde se tiene la
granja de servidores y el Core de Red. A esta red principal se interconectan todas
las localidades y dos redes WAN, la principal con el dominio 172.16.0.0 mascara
255.255.255.0 y una secundaria que cubre la mayora de los municipios, que
responde al dominio 172.17.0.0 mascara 255.255.255.192, es de aclarar que ambas
redes conviven en una sola solucin de infraestructura.

4.1.2 DESCRIPCION CONFIGURACION EQUIPOS ACTIVOS DE RED

La Red local se soporta bajo estndares TCP/IP con conexin de estrella extendida,
mediante equipos activos de red, tal y como se muestra en las Figuras 1 y 2, y con
la siguiente configuracin:

Figura 1. Sw de borde capa dos

Switch 2960S

GT-M-02 Ver 1

Informacin

Figura 2. Sw de core capa tres.

Switch 3750X

4.1.2.1 Configuracin de puertos.

Los puertos son definidos usando el siguiente esquema:

Interface FastEthernet o Gigabit
Numero de Unidad / Numero de Slot / Numero de Puerto
El numero de Unidad corresponde al ID del Switche en el Stack
El numero de Slot ser 0 si son puertos frontales y 1 para puertos posteriores
EJ: interface GigaEthernet1/0/10
El modo de configuracin en la administracin de los SW se accede con el
comando: System-view.

Caractersticas:

Puertos Ethernet (Elctricos) y Gigabit Ethernet(Elctricos y pticos)
10/100/1000 Mbps
MDI/MDI-X Auto Sensing
Half Duplex, Full Duplex y Auto negociacin
Speed Auto

GT-M-02 Ver 1

Informacin

4.1.2.2 Modulos SFP

Los mdulos SFP son los transeivers que se emplean para la conexin fsica de la
fibra ptica a la interfaz GigaEthernet del Switch. Ver Figura 3.

Figura 3. Mdulo SFP

1000Base-SX SFP. Para conexin Fibra Multimodo.
1000Base-LX SFP. Para conexin Fibra Monomodo.
1000Base-T. Para conexin puertos de cobre.
1000Base-LH70 SFP. Para conexin Fibra Monomodo > 10 KM.

4.1.2.3 Broadcast Storm

Una Tormenta de Broadcast (Broadcast Storm) es una condicin donde los
dispositivos en una red estn generando principalmente trfico Broadcast (los
cuales a su vez pueden causar que se genere ms trfico) tal que dicho trfico
cause que el rendimiento de la red se degrade drsticamente, llegando en
ocasiones a la prdida total de la operatividad de la red, debido a la magnitud de la
Tormenta de Broadcast. Para evitar este problema, se habilita el control de
broadcast en las interfaces acceso de los Switches de la LAN.

GT-M-02 Ver 1

Informacin

Storm Control usa umbrales para bloquear y restaurar el reenvo de paquetes
broadcast, unicast o multicast. En nuestro caso usamos el umbral en 45 por ciento y
accin de shutdown cuando este evento ocurra.
#
interface Ethernet1/0/10
stp edged-port enable
storm-control broadcast level 45
storm-control action shutdown
#

Evitar bucles asegura que el trfico broadcast no se vuelva una tormenta. Adems
se hace el filtrado de paquetes en capa 2:

De esta manera se minimiza el riesgo de un ataque DoS cuando se genera un
broadcast excesivo que podra llegar a bloquear el equipo.

4.1.2.4 Segmentacin

El proceso de segmentacin permite la divisin de una red fsica en varias redes
lgicas, esto para mejorar diversos factores de seguridad, rendimiento y
administracin.

El antecedente que se tiene previo al proyecto de segmentacin, es de una red de
datos robusta y de gran tamao, con un nico dominio de difusin, basado en un
direccionamiento de red clase B 172.16.0.0 /24 . Este tipo de diseo tiene un
Backbone colapsado y direcciones IP insuficientes; segn los informes entregados
por el personal de TI se estaban conviviendo con problemas de colisiones, paquetes
descartados y altas latencias en tiempos de respuesta.

Una VLAN (acrnimo de Virtual LAN, Red de rea Local Virtual) es un mtodo de
creacin de redes lgicamente independientes dentro de una misma red fsica. Son

GT-M-02 Ver 1

Informacin

tiles para reducir el tamao del dominio de difusin y ayudan en la administracin
de la red separando segmentos lgicos de una red de rea local.

El nuevo esquema de red basado en Vlans busca optimizar la plataforma en general
acorde con el crecimiento y necesidades de la empresa. Para ello se tuvo en cuenta
los siguientes requerimientos:

Mejorar el rendimiento general de la red.
Alta disponibilidad de una red Switcheada con base en equipos Cisco.
Dejar metodologa clara para el manejo de la gestin de equipos de red, para un
sencillo proceso de monitoreo y mantenimiento proactivo.
Plantear el manejo de la voz dentro de la red de datos.

Para este efecto, se realizo el diseo con base en los lineamientos impartidos del
departamento de TI, buscando independizar los distintos servicios y usuarios de red
de forma tal que exista siempre un control en el flujo del trfico, logrando optimizar
los recursos.

Para la divisin de la nueva red, se independizaron a travs de Vlan las diferentes
reas de operacin:

Dando como resultado 25 Vlans (RFC 1059) con Backbone distribuido, switching de
nivel 3 (802.11Q) y enrutamiento esttico. Este tipo de esquemas, aunque dan
mayor control de la red, exige una mayor dosis de administracin y requiere equipos
de Networking robustos.

4.1.2.5 Definicin de VLANS

Cuadro 3. Listado de VLANS
VLAN ID Dependen. Interface Mascara
Admon 3 Red6 172.16.6.1 255.255.255.0

GT-M-02 Ver 1

Informacin

VLAN ID Dependen. Interface Mascara
Contabilida
d
4 Red25 172.16.25.1 255.255.255.0
Archivo 5 MPLSUNE 172.16.100.2 255.255.255.25
2
Gerencia 6 Gestion_old 172.16.50.1 255.255.255.0
Gercom 10 Servidores 172.16.0.129 255.255.255.0
Riesgos 17 MPLSTEL 172.17.0.62 255.255.255.19
2
Auditoria 20 Impresoras 172.18.20.1 255.255.255.0
TI 30 Gestion_Tecnologica 172.18.30.1 255.255.255.0
Seguridad 31 Gestion_Financiera 172.18.31.1 255.255.255.0
Tesoreria 32 Gestion_Juridica 172.18.32.1 255.255.255.0
TalHum 33 Gerencia 172.18.33.1 255.255.255.0
Planeacion 34 Servicio_al_asociado 172.18.34.1 255.255.255.0
Calidad 35 Servicio_al_afiliado 172.18.35.1 255.255.255.0
Mercadeo 36 Gestion_Calidad 172.18.36.1 255.255.255.0
Proyectos 37 Gestion_Riesgo 172.18.37.1 255.255.255.0
Gestion 38 Red_Servicio_de_Salu
d
172.18.38.1 255.255.255.0
Wan1 39 GRGTH 172.18.39.1 255.255.255.0
Wan2 40 VoIP 172.18.40.1 255.255.255.0
Wan3 50 Gestion 172.18.50.25
4
255.255.255.0
WLGuest 60 Video_Cerrado 172.18.60.1 255.255.255.0
Wlinter 70 Wireless_Invitados 172.18.70.1 255.255.255.0
servidores 80 Wireless_Usuarios - -
Inside 90 Vlantrunk - -
Conrem1 200 stdbyVlan - -

GT-M-02 Ver 1

Informacin

4.1.2.6 Configuracin de VLANS

La asignacin de usuarios a cada VLAN, es basada en el puerto de conexin del
switch, esto significa que todos los usuarios que se conectan a determinado puerto
sern miembros de la misma VLAN. Habitualmente es el administrador de la red el
que realiza las asignaciones a la VLAN. Despus de que un puerto ha sido asignado
a una VLAN, a travs de ese puerto no se puede enviar ni recibir datos desde
dispositivos incluidos en otra VLAN sin la intervencin de algn dispositivo de capa
3.

Creacin Vlan

#
configure terminal
vlan 10
name Servidores
exit
#
Creacion Interface Vlan
#
interface vlan 10
description Servidores
ip address 172.18.10.1 255.255.255.0
exit
#
Modo Acceso (HOST, PC)

#
configure terminal
interface range gigabitEthernet 2/0/47

GT-M-02 Ver 1

Informacin

spanning-tree portfast enable
exit
#

Modo Acceso
#
configure terminal
interface range gigabitEthernet 2/0/47
exit
#

Modo Troncal
#
configure terminal
interface giga 1/0/45
switchport mode trunk
switchport trunk native vlan 90
exit
#

La implementacin de una red segmentada para la ASMET SALUD, trae consigo los
siguientes beneficios:

Independizar el trfico de los diversos usuarios.
Minimizar el tamao los dominios de difusin.
Optimizar el desempeo de los servicios de red.
Los servidores no se vern impactados por el broadcast generado por
estaciones de trabajo.
Mayor facilidad a la hora de localizar y sectorizar fallos.
Proteger los equipos activos de accesos no autorizados.

GT-M-02 Ver 1

Informacin

Proporcionar QoS para trfico de voz.
La gestin de las VLANS incrementa la administracin de la red.
Distribuir el procesamiento del Core en cuanto a enrutamiento.

4.1.2.7 VTP

VTP (VLAN Trunking Protocol), define un modo para que los Switches intercambien
informacin de VLAN para registrar de forma automtica a los miembros de cada
VLAN. Despus de que se realiza algn cambio, estos son distribuidos a todos los
dems dispositivos en el dominio VTP a travs de los enlaces que permiten el
Trunk.

VTP SERVER
#
configure terminal
vtp mode server
vtp domain asmetsalud.org.co
vtp version 2
vtp password Asm3d541ud
exit
#
VTP CLIENTE
#
configure terminal
vtp mode client
vtp domain asmetsalud.org.co
vtp version 2
vtp password Asm3d541ud
exit
#

GT-M-02 Ver 1

Informacin

4.1.2.8 Direccionamiento reservado

Dentro de las buenas prcticas en la implementacin de VLANS y direccionamiento,
se recomienda reservar direcciones IP para equipos de servicio especfico como son
las impresoras. Ver Cuadro 4.
Cuadro 4. Direccionamiento reservado
ID Reservado
3 172.16.6.{1-9},{250-255}
4 172.16.25. {1-9},{250-255}
5 172.16.100.2
6 172.16.50.1
10 172.16.0.129
17 172.17.0. {1-9},{250-255}
20 172.18.20. {1-9},{250-255}
30 172.18.30. {1-9},{250-255}
31 172.18.31. {1-9},{250-255}
32 172.18.32. {1-9},{250-255}
33 172.18.33. {1-9},{250-255}
34 172.18.34. {1-9},{250-255}
35 172.18.35. {1-9},{250-255}
36 172.18.36. {1-9},{250-255}
37 172.18.37. {1-9},{250-255}
38 172.18.38. {1-9},{250-255}
39 172.18.39. {1-9},{250-255}
40 172.18.40. {1-9},{250-255}
50 172.18.50.254
60 172.18.60. {1-9},{250-255}
70 172.18.70. {1-9},{250-255}

GT-M-02 Ver 1

Informacin

4.1.2.9 Link Aggregation

El Link Agregation LA, es un modo de configuracin de los equipos de red que
permite balancear el transporte de datos sobre un conjunto de enlaces de un equipo
a otro y nos provee un mayor ancho de banda, a su vez proporciona redundancia
para minimizar el riesgo de prdida de comunicacin entre los equipos.

Para el caso de la ASMET SALUD, los equipos Cisco 3750X y 2960S soportan
Etherchannel con un nmero mximo de 8 enlaces agregados por grupo de
agregacin. Se implemento para la conexin de los diferentes centros de cableado
al Core principal, con el uso de 2 puertos Ethernet de forma redundante.

Imagen 6 Etherchannel

#
configure terminal
interface range giga 1/0/48
description Conexion_core_piso3
switchport mode trunk
switchport trunk native vlan 90
channel-group 1 mode on
exit
#

Mostrar los Etherchannel actives

Show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

GT-M-02 Ver 1

Informacin

M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

Number of channel-groups in use: 5
Number of aggregators: 5
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) - Gi1/0/45(P) Gi2/0/45(D)
2 Po2(SU) - Gi1/0/46(P) Gi2/0/46(D)
3 Po3(SU) - Gi1/0/47(P) Gi2/0/47(D)
4 Po4(SU) - Gi1/0/48(P) Gi2/0/48(D)

4.1.2.10 SNMP

El Protocolo Simple de Administracin de Red o SNMP en sus distintas versiones es
un protocolo de la capa de aplicacin que facilita el intercambio de informacin de
administracin entre dispositivos de red. Es parte de la familia de protocolos TCP/IP.
SNMP permite a los administradores supervisar el funcionamiento de la red, buscar
y resolver sus problemas, y planear su crecimiento.

Se habilita SNMP V3 en los SW de borde serie 4500 y de CORE serie 5500, con
autenticacin por clave con cifrado MD5. Y SNMP V1 por default para el resto de
dispositivo. Este permite la integracin con los software de monitoreo iMC y 3WXM.

#
Configure terminal
snmp-server community AsmSal ro
snmp-server location Col - Pop - DaCeA - Piso 3
snmp-server contact John Fredy Rendon

GT-M-02 Ver 1

Informacin

snmp-server group AsmSalgroup v3 auth
snmp-server user snmpuser AsmSalgroup v3 auth md5 p4ssw0rdAsmSal priv des
p4ssw0rdAsmSal
exit#

4.1.2.11 Pruebas de conectividad

Pruebas bsicas desde la consola de administracin de los Switches.

Figura 4. Pruebas de conectividad

4.1.2.12 Port Mirror.

Port mirroring es una funcin que tienen los switches para copiar todo el trfico de
un puerto especfico a otro puerto. Esta funcin generalmente se utiliza para atrapar

GT-M-02 Ver 1

Informacin

todo el trfico de la red y poder analizarlo (con herramientas como whireshark por
ejemplo).

#
Configure terminal
monitor session 1 source interface Gi 1/0/2 both
monitor session 1 destination interface Gi 1/0/3 both
exit
#

4.2 WAN

4.2.1 DESCRIPCION GENERAL

Red de rea extensa, con cobertura en varios departamentos de Colombia.

Soportada en parte en la infraestructura propia de ASMET SALUD y mediante
convenio con varios operadores externos.

Se interconectan varias localidades contra la sede principal de la ASMET SALUD.

La infraestructura propia de ASMET SALUD para la conexin WAN esta soportada
en enlaces, punto a punto y contingencia de internet.

4.2.2 TOPOLOGIA

Para las localidades que se conectan a travs de enlaces WAN hacen parte de una
topologa extendida de la LAN.

GT-M-02 Ver 1

Informacin

Para las localidades que se conectan a travs del operador de interconexin, se
tiene una topologa de contingencias.

GT-M-02 Ver 1

Informacin

Figura 5. Topologa

GT-M-02 Ver 1

Informacin

5. SEGURIDAD

5.1 DESCRIPCION GENERAL

En la actualidad, las organizaciones son cada vez ms dependientes de sus redes
informticas y un problema que las afecte, por mnimo que sea, puede llegar a
comprometer la continuidad de las operaciones.

La falta de medidas de seguridad en las redes es un problema que est en
crecimiento. Cada vez es mayor el nmero de atacantes y cada vez estn ms
organizados, por lo que van adquiriendo da a da habilidades ms especializadas
que les permiten obtener mayores beneficios. Tampoco deben subestimarse las
fallas de seguridad provenientes del interior mismo de la organizacin.

Si bien el alcance del presente documento NO es el de presentar polticas y
lineamientos de seguridad informtica de la organizacin, se muestran algunas
buenas prcticas ejecutadas en la administracin de la Red de Datos ASMET
SALUD.

5.2 SEGURIDAD FISICA

Cuando hablamos de seguridad fsica nos referimos a todos aquellos mecanismos,
generalmente de prevencin y deteccin, destinados a proteger fsicamente
cualquier recurso del sistema.

Para el caso especfico de la red de datos tenemos:

GT-M-02 Ver 1

Informacin

Proteccin del Hardware

Para proteger fsicamente los equipos activos de la Red de Datos, estos son
instalados bajo los estndares de cableado estructurado, asegurados en Racks y
con controles de acceso a los centros de cableado; para prevenir manipulacin
indebida y hurto de equipos.

Acceso fsico

Todos los centros de cableado estn cerrados bajo llave y solo personal
autorizado tiene acceso a los mismos.

El acceso al centro de Datos y la granja de Servidores es mediante tarjeta de
acceso y clave nica de acceso por usuario.

Dao elctrico

La conexin elctrica de los servidores, equipos de Core y equipos activos de Red
est respaldada por energa regulada y UPS.

Temperaturas extremas

En el cuarto de Telecomunicaciones y Granja de Servidores, se dispone de control
de temperatura y sistemas detectores de incendios.

5.3 SEGURIDAD LOGICA

La Seguridad Lgica consiste en la aplicacin de barreras tecnolgicas y
procedimientos informticos que resguarden el acceso a los datos y slo se permita
acceder a ellos a las personas autorizadas para hacerlo.

GT-M-02 Ver 1

Informacin

A continuacin se describen aspectos que deben ser tenidos en cuenta en la
seguridad lgica.

5.3.1 ACLs

En los equipos activos se manejan listas de control de acceso que mediante la
clasificacin de paquetes y aplicacin de reglas permiten o deniegan trfico.

Las ACL deben ser referenciadas por nmero as:

2000-2999: Basic ACL
3000-3999: Advanced ACL
4000-4999: Layer 2 ACL

5.3.2 BACKUP

Una copia de seguridad o backup es un archivo digital con los datos considerados lo
suficientemente importantes para ser conservados.

En nuestro caso se realizan a travs de la herramienta de gestin de red de de los
archivos de configuracin de los equipos activos.(Cisco Network Assistant.

Desde el men Maintenance configuration Archive la opcin de Bakup Restore.

Los backup del firmware y de la configuracin pueden ser exportados en formato
.zip o rar respectivamente y guardados en cualquier equipo o dispositivo de
almacenamiento.

Adems, se pueden programar un plan de Backup peridicos automticamente y se
pueden restaurar desde la aplicacin en caso de requerirse.

GT-M-02 Ver 1

Informacin

6. HERRAMIENTAS DE GESTION

6.1 GESTIN LAN

Nos permite visualizar el estado general de todos los dispositivos integrados a la
plataforma, as mismo nos permite agregar o remover dispositivos de red a travs
de SNMP. A su vez permite crear grupos personalizados de recursos, para nuestro
caso 4 grupos: Core, Swiches, Routers y Servers.

Vistas

Figura 6. Vistas

En la opcin de Network Topology View, permite visualizar el diagrama general de
conexin de los equipos, el esquema de direccionamiento y la topologa IP. Adems
verificar en tiempo real el estado de los enlaces fsicos.

GT-M-02 Ver 1

Informacin

Figura 7. Network Topology View

ALARMAS

Permite la verificacin de las Alarmas en tiempo real de los equipos activos, as
mismo guarda histricos en una base de datos SQL. Las alarmas son clasificadas
segn su criticidad en Critical, Mayor, Minor. Info y Warning.

REPORTES

El men reportes permite la creacin de reportes personalizados o predefinidos por
ejemplo, reportes de capacidad, cambios de topologa, histrico de alarmas,
inventario de equipos, etc.

GT-M-02 Ver 1

Informacin

MONITOREO

A travs del recurso Performance Manager, podemos realizar monitoreo de
parmetros determinados en interfaces y equipos especficos.

Por ejemplo consumos de memoria, de CPU, anchos de banda, tiempos de
respuesta, paquetes perdidos, alcanzabilidad, etc.

Figura 8. Grafico HEALT CNA

GT-M-02 Ver 1

Informacin

6.2 GESTIN WAN

6.2.1 MONITOREO DE CANALES DEDICADOS (mpls)

El monitoreo de los diferentes enlaces dedicados con los que cuentas Asmet Salud,
se requiere para mantener operativas las conexiones con los diferentes aplicativos,
el fin esencial es prevenir posibles prdidas de informacin, al detectar
oportunamente fallas en la red.

6.2.2 MONITOREO UNE
Este monitoreo es posible, gracias a una herramienta suministrada por el operador,
se realiza por medio de la plataforma:

http://estadisticas.une.net.co/clientes/graph_view.php?action=tree&tree_id=641&leaf
_id=18734&select_first=true.

Figura 9. Monitoreo UNE

GT-M-02 Ver 1

Informacin

Con esta herramienta, podemos evidenciar el real uso del canal dedicado que
tenemos entre la sede nacional y las departamentales.

6.2.3 MONITOREO TELEFNICA

Este monitoreo es posible, gracias a una herramienta suministrada por el operador,
lo hacemos por medio de la plataforma sigres:

http://sigresvista.telefonica.com.co/VPortal/proxyreport/

Figura 10. Monitoreo telefnica

Con esta herramienta, podemos mirar el porcentaje de operatividad del enlace, los
nicos que estn en color verde son los que estn al 100%. Los dems los muestra
como en rojo.

GT-M-02 Ver 1

Informacin

GT-M-02 Ver 1

Informacin

7. RECOMENDACIONES

Tener una red segmentada permite mejorar el desempeo general de la red de
datos puesto que reduce los dominios de colisin, facilita identificacin de
problemas y divide los diferentes tipos de trfico.

La implementacin de elementos y protocolos como Link Agregation, buscan
tener una red con altos niveles de disponibilidad en la operacin.

La implementacin de elementos y protocolos como ACLs y SSH buscan
mejorar los niveles de seguridad en la Red de datos.

La implementacin de protocolos de enrutamiento dinmico, ayuda a mantener
la interconexin de las diversas redes de forma oportuna ante cualquier cambio
de configuracin o topologa.

Tener herramientas de Gestin y Monitoreo a travs de SNMP, permite
estandarizar las tareas de administracin y la identificacin oportuna de fallos.

Es recomendable la elaboracin de planes de continuidad y contingencia
actualizados.

Es recomendable mantener estndares claros en cuanto a cableado
estructurado y configuracin lgica, ante el crecimiento y actualizacin de la red
de datos.

Con la nueva estructura de red, las tareas de administracin y mantenimiento
aumentan considerablemente.

GT-M-02 Ver 1

Informacin

BIBLIOGRAFIA

SACKETT, George. Manual de routers CISCO de MACGRAW, Hill. 2002.

221 - GT M 02

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

221 - GT M 02

Hochgeladen von

Copyright:

Verfügbare Formate

M

Das könnte Ihnen auch gefallen