UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

FACULTAD DE INGENIERA

INGENIERA EN COMPUTACIN
INFORME DE ACTIVIDADES

DISEO E IMPLEMENTACIN DE UNA RED INALMBRICA UNIFICADA

CON TECNOLOGA CISCO

IVN ALEXANDER AVILS DOMNGUEZ

CIUDAD UNIVERSITARIA JUNIO 2011

1

NDICE

Introduccin

Objetivo

1. Cisco Systems
1.1
1.2

Productos y Servicios

Organigrama

12

2.

Experiencia Profesional

13

3.

Proyecto de Red Inalmbrica

19

3.1

Metodologa Cisco Ciclo de Vida

19

3.1.1 Preparacin

19

3.1.2 Planeacin

19

3.1.3 Diseo

20

3.1.4 Implementacin

20

3.1.5 Operacin

21

3.1.6 Optimizacin

21

3.2

Situacin y Problemtica antes del Proyecto

22

3.3

Metodologa aplicada al Proyecto

23

3.3.1 Preparacin del Proyecto

23

3.3.2 Planeacin del proyecto

23

3.3.3 Diseo de la Red

30

3.3.4 Implementacin de la Solucin

37

3.3.5 Configuracin de Access Point

51

3.3.6 Configuracin de Servidores de Seguridad (ACS)

55

3.3.7 Wireless Control System WCS

65

4.

Resultados del Proyecto

69

4.1

Operacin del Proyecto

71

4.2

Optimizacin del Proyecto

76

Introduccin
Como consultor de redes Cisco he tenido la oportunidad de participar en la gestacin
de diferentes proyectos, tanto en el ramo privado como gubernamental. El proyecto inicia
desde que el cliente expone sus necesidades, enseguida se debe conocer su
infraestructura de red (topologa, tipos de aplicaciones que utilizan, cantidad de usuarios,
polticas de seguridad, etc.) para poder ofrecerle una solucin a su medida. El ingeniero
debe estar altamente capacitado con los conocimientos tcnicos y especificaciones de los
equipos que conformarn la solucin, la cual puede incluir servicios LAN, WLAN, WAN,
Voz o Seguridad.
.
Cada uno de los proyectos tiene caractersticas distintas que ofrecen la oportunidad
de intervenir de una manera total o solo complementar soluciones existentes. En algunas
ocasiones el objetivo es slo sustituir una red actual por una nueva que incluya algunos
servicios extra sin aprovechar las nuevas funcionalidades que la tecnologa posee, en este
tipo de proyectos el cliente toma el control de gran parte del proyecto. Sin embargo, cuando
se trata de ofrecer una solucin completa, es decir en una nueva implementacin es donde
se tiene la oportunidad de participar en el diseo de cada uno de los elementos que
formarn parte del proyecto.

Mi formacin en la Facultad de Ingeniera ha sido una base solida para analizar

diversos escenarios en diseo e implementacin de soluciones de redes, la capacidad de
poder liderar proyectos desde el inicio hasta llegar finalmente a la documentacin de cada
una de las caractersticas que conformaron la solucin para que la red tenga el
mantenimiento adecuado y pueda ofrecer servicios de calidad.

En el mbito de las redes inalmbricas (muchos de los cuales son los mismos que
para redes cableadas), algunos de los puntos importantes para disear una solucin son
los siguientes:

Tipo de trfico utilizado

Cantidad de usuarios

Crecimientos a corto y mediano plazo

Polticas de seguridad

Caractersticas fsicas del inmueble

Direccionamiento IP

Cobertura

Infraestructura actual

A grandes rasgos estos son algunos de los requerimientos ms importantes para

disear una red inalmbrica, los cuales se tocarn ms a fondo en los captulos siguientes.

Una vez que se tienen todos los requerimientos del cliente se debe tomar la decisin
sobre el hardware (el equipamiento que se le ofrecer). Los equipos dependern si la red
inalmbrica es interior o exterior, autnoma o unificada, si se instalar en espacios abiertos
o cerrados y dems caractersticas que mencionar ms adelante.

Una vez implementada la solucin se debern realizar protocolos de pruebas para

validar el correcto funcionamiento de acuerdo al diseo inicial.

Finalmente se instala la solucin y se realizan pruebas con usuarios finales para

comprobar su desempeo.

Una vez entregado el proyecto se entra en la fase de operacin donde debe

mantenerse monitoreada la red para actuar de manera oportuna en caso de falla.

La ltima fase del proyecto es la optimizacin del mismo, aqu es donde se afinan
situaciones que puedan surgir repentinamente, como cambios en la configuracin, nuevas
caractersticas para mejorar el comportamiento de la red.

En la metodologa abordar cada uno de los puntos del Ciclo de vida de Cisco
(PPDIOO) y su utilizacin en la solucin de una red inalmbrica para el sector
gubernamental.

Objetivo

El objetivo de este informe es explicar de manera detallada el diseo e

implementacin de un proyecto de red inalmbrica unificada capaz de ofrecer servicios de
datos con equipo de ltima tecnologa. El documento pretende ofrecer una visin real
acerca del desarrollo de un proyecto de redes basado en la metodologa del Ciclo de Vida
de Cisco, que incluye todos los elementos involucrados para el xito de una
implementacin.

1. Cisco Systems

Cisco es una empresa internacional que disea y vende soluciones de tecnologa de

la informacin como redes de datos y voz, seguridad en redes, as como servicios
profesionales de consultora y soporte. Sus oficinas principales se encuentran en San Jos
California y tiene ms de 70, 000 empleados alrededor del mundo. Cisco report cerca de
40 billones de dlares de ingresos en 2010, tambin est ubicada en el nmero 16 en la
lista de las empresas de tecnologa ms grandes del mundo.

1.1

Productos y Servicios

Actualmente el portafolio de productos y servicios de Cisco est enfocado a tres

segmentos de mercado:

Empresas y Proveedores de Servicios

Pequeas Empresas

Hogar

A continuacin se describe de manera general las soluciones ofrecidas por Cisco.

Empresas y Proveedores de Servicios

Borderless Networks: Sistemas de seguridad, aceleracin de aplicaciones en redes WAN
y sistemas de administracin de redes.

Colaboracin: Video IP y telfonos, Tele presencia, Comunicaciones Unificadas, Servicios

de Call Center y aplicaciones mviles.

Centros de datos y Virtualizacin: Computo Unificado, Switches para Centros de Datos y

Almacenamiento.
6

IP NGN (IP NGN (Next Generation Networks): Redes Ruteadas y Switcheadas para
Proveedores de Servicio Mvil, Servicios de Televisin contribuidos.

Pequeas y Medianas Empresas

WAN y LAN:Routers y Switches.

Seguridad y Vigilancia: Cmaras IP, soluciones de seguridad en redes de datos.

Soluciones de Voz y Conferencia: Telfonos IP, Gateways, WebEx, Servicios de Video

Conferencia.

Redes Inalmbricas: WiFi Access Point, Controladores y Antenas.

Sistemas de Almacenamiento

Hogar (Usuarios Finales)

Productos de la lnea Access Point Linksys
Productos de la lnea Switches y Cable Modems Linksys
Cable mdems de Banda Ancha
Cisco mi para Video Conferencia

A continuacin se listan los dispositivos y el software ofrecidos por Cisco.

Hardware
Flip cmara de bolsillo
Cisco IP Phones (7945, 7965, 7942, 8900 series, 9900 series, 6900 series)
Cisco LocalDirector: load-balancing appliance.
Routers: 837, 1000 Series, 2500 Series, 7600, 12000, 3600 Series, ASR Series y
CRS-1 and CRS-3
Cisco Security Manager

Security appliances: ASA 5500, PIX 500 series

Unified Computing: Cisco Unified Computing System (UCS) Plataforma de

Servidores Virtuales: con sistemas VMWare corriendo en hardware Cisco.

Catalyst switches: Cisco Catalyst 2900 Series, Cisco Catalyst 3000 Series, Catalyst
4500, Cisco Catalyst 6500 Series

Sistemas de Colabracion: Cisco TelePresence, Cisco adquiri Tandberg, lder

mundial en sistemas de Telepresencia.

VOIP: Wireless IP Phone 7920
CLEO: Low Earth Orbit router
Cisco Wireless LAN
Cisco Cius: Tablet de colaboracin basado en Android.
Cisco Wide Area Application Services (WAAS)

Software

Internetwork Operating System

NX-OS

Cisco Active Network Abstraction

Cisco Fabric Manager

Cisco AnyConnect Secure Mobility Client

Cisco Systems VPN Client

CiscoView

CiscoWorks Network Management software

Clean Access Agent, Cisco NAC Appliance

Cisco Eos

Packet Tracer, simulador didctico de redes

Cisco Network Magic Pro

Cisco Unified Communications Manager

Cisco IP Communicator

Cisco Quad

Cisco Security Manager

Herramientas de Colaboracin WebEx

Servicios de Voz
Cisco se convirti en el mayor proveedor de Voz sobre IP para empresas y ahora
est expandindose hacia el Mercado de usuario final con la adquisicin de Scientific
Atlanta y Linksys. Scientific Atlanta ofrece equipamiento para empresas proveedoras de
servicios de cable, como Time Warner, Cablevisin, UPC y otras. Linksys se ha asociado
con compaas como Yahoo para integrar servicio de Voz sobre IP con telfonos
inalmbricos.

Certificaciones como Carrera

Cisco Systems tambin patrocina una lnea de Certificaciones Profesionales para las
soluciones de sus productos. Existen cinco niveles de certificacin: Principiantes,
Asociados, Profesionales, Expertos y recientemente Arquitecto, tambin ocho diferentes
planes en sus diferentes tecnologas: Routing y Switching, Diseo, Seguridad de Redes,
Proveedor de Servicios y recientemente introdujo Operaciones de Proveedor de Servicio,
Almacenamiento, Voz y Wireless.

10

1.2

Organigrama

A continuacin se muestra de manera general el organigrama de Cisco, con la lnea de

reporte en la que me encuentro.
Tabla 1.2.1 Organigrama

11

2.

Experiencia Profesional

A lo largo de mi trayectoria profesional he tenido la oportunidad de laborar en

diferentes empresas tanto en Mxico como en el extranjero, a continuacin ofrezco una
breve resea de las compaas y las actividades que he desarrollado.

Mi primera opcin de trabajo lleg despus de asistir a una feria laboral en la

Universidad. Existan algunas opciones interesantes pero poco viables por el hecho de
requerir experiencia o simplemente porque no eran del ramo al cual quera dedicarme.
MIGESA contaba con una mesa de informacin que solo ofreca folletos donde solicitaban
a gente recin egresada para laborar en las diferentes reas de la empresa, estas eran
Ingeniero de Servicio para soporte en diferentes cuentas o Ingenieros de Soporte en sitio.

Despus de tres entrevistas logr ser parte de la empresa y comenc como

Ingeniero de Servicio, las actividades que el puesto requera eran sencillas y no ofrecan
rea de crecimiento o motivacin profesional ya que solo era reemplazar hardware daado
en diferentes puntos de la ciudad, donde el cliente GE Capital ofreca sus servicios.
Actividades como remplazos de impresoras, cambiar un regulador de energa o una
unidad de CD daadas eran las labores cotidianas.

Afortunadamente despus de un par de semanas fui requerido para moverme a la

cuenta de Fedex Kinkos donde solicitaban un Ingeniero de Soporte para cubrir las cinco
sucursales. Aqu es donde realmente inici mi desarrollo profesional al poner en prctica
mis habilidades adquiridas en mi formacin en la Facultad de Ingeniera. Las actividades
que tuve en ese periodo de 1 ao fueron diversas, por ejemplo, soporte de los sistemas
operativos Windows XP, Windows 2000 Server y Mac OS. Soporte a usuarios en sitio y de
forma remota, soporte a impresoras y plotters de gran escala as como la instalacin y
soporte de diversas aplicaciones requeridas para los usuarios. Estuve a cargo de la
administracin del correo electrnico corporativo (Exchange 2000), la consola de antivirus
(Symantec) y el Directorio Activo.
12

Uno de los proyectos donde particip fue la migracin de las computadoras al

Dominio corporativo, la generacin y aplicacin de polticas de usuario.
En el mbito de las redes, FedexKinkos contaba con cableado estructurado y se
utilizaba equipo Cisco, bsicamente una topologa Hub and Spoke donde cada sucursal
tena un Router corriendo servicios de voz (Call Manager Express), firewall PIX para los
servicios de VPN, y Swtiches Catalyst para la conexin de los usuarios de voz y datos,
adems de telfonos IP de diferentes modelos. Aqu tuve mi primer acercamiento con la
tecnologa Cisco, fui conociendo de manera muy general y pude realizar modificaciones
muy sencillas en los diferentes equipos activos para la resolucin de problemas y control
de cambios.

Despus de unos meses de actividad fui asignado para coordinar ciertas actividades
con el cliente que requeran a un grupo personas para realizar mantenimientos preventivos
a PC y equipo activo. Asimismo particip en la generacin y verificacin del cumplimiento
de los niveles de servicio (SLA) firmados con el cliente. Trabaj en la generacin de
manuales de procedimientos de algunas soluciones como Antivirus y Directorio Activo. Al
final de mi periodo en esta rea me fueron asignados un par de ingenieros en el equipo de
trabajo, a los cuales tena que capacitar y despus coordinar. Aqu es donde se presenta
la oportunidad de tener ms contacto con el cliente, tomar decisiones sobre los recursos,
planear nuevos proyectos y mediar, cuando fue necesario, los derechos y obligaciones
que existen en una relacin cliente-proveedor.

Surgi la opcin de crecimiento dentro de la empresa para ser parte del rea de
Networking, ya que la empresa era Gold Partner de Cisco, y pude de manera definitiva
entrar a este mundo de Redes de computadoras.

Al ser este un mundo muy distinto al del soporte y de las labores que vena
realizando anteriormente, el rea de redes Cisco requera un trabajo ms especializado,
por lo tanto inici con el autoestudio para conseguir la primera de mis certificaciones de
Cisco (CCNA). Esto me ayud bastante para poder ser asignado a diferentes proyectos.

13

Uno de mis primeros proyectos fue la realizacin de un anlisis de red para Deloitte
y con la finalidad de ofrecerles servicios de soporte y mantenimiento a toda la red a nivel
nacional. La empresa me envi a un curso de redes inalmbricas para poder cumplir un
perfil de especializacin requerido por Cisco y mantener el Gold Partner, es este tiempo
obtuve mi segunda certificacin en diseo de redes Cisco (CCDA). A partir de aqu me
encargu de prcticamente todos los proyectos de redes inalmbricas en la empresa, es
decir diseo, implementacin y soporte para diversos clientes. Uno de los proyectos ms
importantes que realic fue en TV Azteca; dise e instal la red inalmbrica para un
nuevo edifico que alojara a los directivos de Grupo Salinas. Dicho proyecto fue parte de
una solucin general de redes Cisco que se implement en el campus de TV Azteca el
cual incluy Switching y Telefona IP.

Con el xito de esta instalacin y el plan de renovar la red LAN se inicia un proyecto
para migrar la red inalmbrica autnoma existente a una red unificada; nuevamente fui
designado para estar al frente. Inicialmente se realiz una revisin para conocer el estado
actual de la red para iniciar con la propuesta formal, dicha red estaba constituida por
aproximadamente 100 equipos inalmbricos Cisco. Estos Access Point se controlaran por
un par de equipos centralizados que fueros parte de dos Switches 6509, equipos alojados
en la granja de servidores, (renovacin de la red LAN) proyecto que estara iniciando
prcticamente al mismo tiempo.

La renovacin de la red actual a una red robusta con tecnologa Cisco fue ltimo
proyecto donde particip como proveedor de servicios de red para TV Azteca. La parte
ms importante fue el diseo del Core y la granja de Servidores, aqu use utiliz uno de los
modelos de Switch capa 3 ms robustos en la familia Catalyst (6509).
Para la capa de acceso se ocuparon varios modelos como 3750G y 4948 en
algunos casos. Este proyecto requiri la participacin de diversos grupos de trabajo por
parte de TV Azteca, MIGESA y CISCO debido a la magnitud y criticidad del mismo; gente
del rea de Servidores, Aplicaciones, Soporte, Telecom, Project Managers y rea
comercial estuvieron involucrados. Por el lado de la empresa donde laboraba estuvimos
involucrados cerca de 10 ingenieros en diferentes momentos del proyecto.
14

Cuando la migracin de un proyecto de este tamao inicia hay que tener un plan de
accin para realizarla (Plan de Implementacin) y plan de regreso al estado actual
(Backout) en caso de que el primero falle, estos dos planes deber ser creados para cada
migracin. Algunas de las caractersticas que se modificaron fueron: cableado
estructurado, uplinks 10 GB, movimiento de todos los nodos de red a los nuevos equipos,
nuevo direccionamiento, segmentacin de la red, servicios de DHCP autenticado,
seguridad en cada uno de los puertos con diferentes caractersticas (IP Arp Inspection,
DCHP snooping), etc. Despus de varios meses de migracin finalmente se pas a la fase
de operacin, aqu se entregaron memorias tcnicas y manuales de atencin de incidentes
para el personal de soporte que se encargara de administrar la red migrada.

Finalizando este exitoso proyecto me ofrecen una posicin en TV Azteca para

administrar la red LAN y Wireless recin migrada. Trabajando como ingeniero Senior en el
rea de telecom de Azteca Servicios. Ya como empleado de TV Azteca particip en
proyectos internos como la renovacin de la red del AVID y la red de Azteca Novelas,
algunas de mis actividades cotidianas eran la atencin de incidentes (ltimo nivel de
escalacin) relacionados con la red del Campus Ajusco. Aqu es cuando obtuve mi tercera
certificacin, sta vez en la tecnologa inalmbrica para tomar ventaja de toda la
experiencia que haba adquirido en mi trayectoria como consultor.

Despus de un ao de laborar en esta empresa se me presenta una oportunidad de

regresar a la consultora con otro partner de Cisco, DESCA, partner con gran presencia en
Latinoamrica.
En esta empresa trabaj para diferentes clientes en soluciones de Switching,
Wireless, Seguridad y Voz. Algunos de los clientes son KPMG, Baker Huges, Banamex,
Pemex, Infotec, Auditoria Superior de la Federacin, IMPI y Secretara de Salud.
Los procesos de esta empresa se basaban en ITIL y estndares ISO, lo cual
requera la generacin de diferentes documentos durante el perodo de vida de un
proyecto, algunos de los documentos eran Detalle de Ingeniera, Plan de Implementacin,
Protocolo de Pruebas y Memoria Tcnica. Cada uno de estos documentos era realizado
por los ingenieros del rea de Implementacin de la cual era parte.
15

Uno de los proyectos ms grandes e importantes donde he trabajado fue la

implementacin de la red inalmbrica para la Secretaria de Salud en cada una de sus
sedes en la Ciudad de Mxico.

Esta instalacin fue parte del proyecto de renovacin de red de la Secretara, que
incluy diseo e implementacin de la red Wireless, LAN, WAN, Seguridad y Voz.
Alrededor de 4000 usuarios conectados a la red de datos, 3000 usuarios de voz y 300
Access Point. Justo este proyecto de la red inalmbrica es el que se aborda en este
trabajo. Al ser DESCA una empresa con presencia en Latinoamrica tuve la oportunidad
de viajar a Nicaragua para atender un problema urgente relacionado con el enlace WAN
de Bimbo en su central de reparto de Managua. Adems fui enviado a Bogot donde se
capacit a un grupo de ingenieros de diversos lugares de Amrica en una solucin de
Catching para servicios de video en Internet y Protocolos PSP ofrecida por la empresa
Israel PeerApp, la cual recin se haba unido al grupo de partners de DESCA.

Finalmente

se

presenta

la

oportunidad

de

trabajar

en

Estados

Unidos

representando a CISCO por medio de la empresa ComputerNet en Carolina del Norte,

empresa en la que laboro hasta la fecha. Obtuve mi primera certificacin a nivel
profesional de Cisco (CCVP) misma que avala tus conocimientos en soluciones unificadas
de voz. He trabajado con BB&T, uno de los bancos ms importantes en la zona Este del
pas donde realic soporte y ingeniera para la red de voz que est conformada por cerca
de 10 mil telfonos alojados en 5 Clusters divididos en 2 Centros de Datos (Wilson y
Charlotte). El trabajo realizado con este cliente fue probar cada una de las nuevas
soluciones requeridas en un laboratorio de redes, ya que no debera existir impacto alguno
al momento de implementar la solucin en produccin.

Debido a la criticidad de su operacin, deban crearse documentos para justificar

cada una de las modificaciones a realizarse, las cuales era avaladas por el grupo de
ingeniera de BB&T antes de su implementacin.

16

Actualmente me encuentro trabajando en un proyecto con otro banco (Wells FargoWachovia), el objetivo es renovar la red de voz actual. Este proyecto est contemplado
para finalizarse en 2 aos. Se deben consolidar cerca de 20 Cluster que corren Call
Manager Version 4.x en plataforma Windows y versin 6.x en plataforma Linux en 5 sper
Clusters con equipos MCS 7845 con versin 7.1 que corre sobre Linux.

Se implement un rea de configuracin en las oficinas del cliente donde se simula

la red actual y la red nueva, aqu se lleva a cabo el proceso y las migraciones de cada uno
de los sitios. Para dicha simulacin se instalaron servidores virtuales, utilizando VmWare
VSphere 4, donde se replica de manera exacta la red actual del cliente. Se utilizan
diferentes herramientas de voz para obtener la Base de Datos actual (SQL) y se manipula
para poder instalarla en los nuevos equipos que utilizan Informix. Se realiza una
depuracin de la informacin obsoleta, como Extensiones, Calling Search Spaces,
Particiones, Traslaciones, Interfaces analgicas y digitales, etc. Tambin trabajo en la
creacin de templates de configuracin de los Gateways (MGCP, H.323) de voz para su
registro en los nuevos servidores y participo en la migraciones que tenemos los jueves y
viernes donde se mueven en promedio 2000 usuarios en una red de voz que tiene cerca
de 30 mil extensiones en todo el pas.

En este proyecto estamos involucrados aproximadamente 20 personas que

representamos a Cisco y otros 20 del lado de Wells Fargo. Hasta la fecha este ha sido el
proyecto ms interesante

en el que he participado. Afortunadamente he tenido

oportunidad de trabajar con diferentes clientes y en diferentes lugares, lo cual genera una
visn mucha ms amplia y me siento orgulloso de seguir aportando mis habilidades y
conocimientos adquiridos en la Facultad de Ingeniera as como la experiencia y la
continua auto capacitacin.

17

3.

Proyecto de red inalmbrica

3.1

Metodologa Cisco Ciclo de Vida

Todos los proyectos en que he trabajado en mi experiencia como Consultor de Redes

son basados en el Ciclo de Vida de Cisco, llamado PPDIOO, Preparacin, Planeacin,
Diseo, Implementacin, Operacin y Optimizacin, el cual ofrece una serie de
recomendaciones que deben ser aplicadas en todo proyecto para este resulte exitoso.

A continuacin se citan de manera general cada uno de los puntos que conforman el
Ciclo de Vida.

3.1.1 Preparacin
El xito de un proyecto inicia con la preparacin; una visin amplia, los requerimientos
y tecnologas necesarias para soportar una solucin que sea competitiva. En la fase de
preparacin una compaa determina un caso de negocio partiendo de las necesidades y
del Retorno de Inversin (ROI) al adoptar una nueva tecnologa. Se debe tener especial
cuidado en las necesidades futuras y en el desarrollo de una estrategia tecnolgica y una
arquitectura de alto nivel que cubra todas las necesidades de negocio.

3.1.2 Planeacin
Una implementacin exitosa depende de una evaluacin precisa de la red actual, la
disposicin general de los involucrados en apoyar la solucin. En la fase de planeacin, una
empresa comprueba si tiene recursos suficientes para gestionar un proyecto de
implementacin de la tecnologa desde el inicio hasta el hasta fin. Para evaluar y mejorar la
seguridad de la red, una compaa realiza pruebas de su red para que est preparada para
problemas como deteccin de intrusos y la vulnerabilidad a las redes externas.

18

La empresa desarrolla un plan detallado del proyecto para identificar los recursos, las
posibles dificultades, las responsabilidades individuales y las tareas crticas necesarias para
entregar el proyecto final a tiempo y dentro del presupuesto acordado.

3.1.3 Diseo
El desarrollo de un diseo detallado es fundamental para reducir los riesgos, retrasos
y el costo total de instalacin. Utilizar un diseo de acuerdo con los objetivos de negocio y
los requisitos tcnicos puede mejorar el rendimiento de la red, mientras se garantiza la alta
disponibilidad, confiabilidad, seguridad y escalabilidad. Las operaciones del da a da y los
procesos de gestin de red deben ser anticipados, y cuando sea necesario, se crean
aplicaciones personalizadas para integrar nuevos sistemas en la infraestructura existente.
La fase de diseo tambin puede guiar y acelerar la ejecucin exitosa con un plan de
configuracin, protocolos de pruebas y validacin de servicios.

3.1.4 Implementacin
Una red es esencial para cualquier organizacin exitosa, esta debe prestar servicios
esenciales sin interrupcin. En la fase de implementacin, una empresa trabaja para
integrar los dispositivos y las nuevas capacidades de acuerdo al diseo sin comprometer la
disponibilidad de la red o el rendimiento. Despus de identificar y resolver problemas
potenciales, la empresa intenta acelerar el retorno de inversin con una migracin eficiente
esto incluye la instalacin, configuracin, integracin, pruebas y la puesta en marcha de la
solucin. Una vez que la operacin es validada, una organizacin puede empezar a
expandir y mejorar las habilidades al personal de TI para aumentar an ms la
productividad y reducir el tiempo de inactividad del sistema.

19

3.1.5 Operacin
El funcionamiento de la red representa una porcin significativa del presupuesto de
TI, as que es importante poder reducir los gastos operativos y al mismo tiempo mejorar el
rendimiento. A lo largo de la fase de operacin, una compaa monitorea de forma proactiva
la salud de la red para mejorar la calidad del servicio, mitigar las interrupciones y mantener
una alta disponibilidad, confiabilidad y seguridad.
Proporcionar un marco eficiente y herramientas operativas para responder a los
problemas, una empresa puede evitar el costoso tiempo improductivo y la interrupcin del
negocio. La participacin de personal experto permite a una organizacin dar cabida a las
actualizaciones, adiciones y cambios de manera confiable.

3.1.6 Optimizacin
Un buen negocio no deja de buscar una ventaja competitiva. Esa es la razn por la
mejora continua es uno de los pilares del ciclo de vida de la red. En la fase de optimizacin,
una empresa est continuamente buscando maneras de alcanzar la excelencia operativa a
travs de un mejor desempeo, ampliacin de los servicios y las evaluaciones peridicas
de la red. Toda organizacin busca optimizar su red y se prepara para adaptarse a las
nuevas necesidades de negocio, es aqu donde el Ciclo de Vida comienza de nuevo en
busca de una mejora continua.

20

3.2

Situacin y Problemtica antes del Proyecto

Las necesidades de actuales del cliente requeran no slo contar con el equipo de
trabajo y las diversas aplicaciones, sino tambin con una infraestructura robusta que
coadyuvara al mejoramiento continuo de sus procesos a fin de cumplir los objetivos que
como unidad de negocio se han trazado.

Una de las necesidades ms importantes fue poder contar con una infraestructura de
red que les permita ingresar a los distintos servicios y recursos de red con la capacidad de
ofrecer movilidad y comunicacin integral sin importar el sitio o edifico donde se encuentren
fsicamente, todo esto sin comprometer la seguridad de la informacin.

Actualmente el cliente no cuenta con una red inalmbrica que le ofrezca tales
caractersticas, por lo tanto se disear una solucin que cumpla con las necesidades
principales, as como la posibilidad de poder ser escalable, redundante y segura con el afn
de que el cliente dirija sus esfuerzos en mejorar sus necesidades principales de negocio
con la total confianza de que cuenta con una solucin de red robusta acorde a sus
requerimientos.

Se requiere conectar 17 sitios en el D.F. y rea metropolitana con una red unificada
que sea capaz de ofrecer redundancia de al menos 25% de los Access Point (AP) y que
tenga la capacidad de ofrecer Roaming y Movilidad sin importar el sitio donde el usuario se
mueva. Asimismo ofrecer encripcin y autenticacin centralizada para los usuarios de la
empresa y acceso a Internet a Invitados bajo demanda. Finalmente tener una herramienta
de administracin con la capacidad de configurar, resolver los problemas y visualizar el
comportamiento de toda la red inalmbrica instalada.

21

3.3

Metodologa aplicada al Proyecto

3.3.1 Preparacin del Proyecto

La solucin adecuada para los requerimientos del cliente fue una red unificada capaz
de centralizar la administracin y operacin. La red minimiza la cantidad de miembros del
departamento de soporte y sobretodo la capacidad de responder a cualquier problemtica
del usuario, considerando que se implementaron 17 sitios.
Es aqu donde el Retorno de Inversin fue determinante al compararse contra el costo
de una red autnoma que necesitara varias personas que soportaran y operaran la red de
todos los sitios. La solucin unificada requiri de un solo recurso de soporte capacitado
ubicado fsicamente donde se instalaron los Controladores y que se apoyara en personal
de soporte de sistemas locales en caso de ser necesaria una intervencin fsica en algn
Access Point.
En la preparacin del proyecto trabaj de manera conjunta con el staff de redes del
cliente, debido a que la red contara con diversos sitios, los cuales seran centralizados en
cuanto al control pero no respecto al diseo lgico, fue necesario establecer los
lineamientos y as conocer la factibilidad y alcance del proyecto con miras al xito del
mismo.

3.3.2 Planeacin del proyecto

El paso nmero uno, el cual es vital para la buena implementacin de cualquier
solucin inalmbrica es la realizacin de un estudio/anlisis de los sitios (Site Survey) el
cual nos ofrece los resultados de los que surgir el diseo de la solucin. Este estudio
arroja la cantidad de Access Point utilizada, ubicacin exacta de los mismos y el tipo de
antenas requeridas.

22

El equipo necesario para realizar un Site Survey es el siguiente:

Equipo Laptop

Cisco Aironet Site Survey Utility: Este software determina la cantidad de SSID
en el ambiente RF y las interferencias existentes

Cisco Aironet Wireless Adapter a/b/g: Tarjeta inalmbrica necesaria para ejecutar
la herramienta anterior.

Mapas fsicos y electrnicos: Fsicos para marcar la ubicacin de AP y

electrnicos para ser usados por la herramienta de Site Survey.

InterpretAir WLAN Site Survey (o algn otro software similar)

Los objetivos de un Site Survey son los siguientes:

Determinar las caractersticas de propagacin de la seal RF

Medicin de la perdida de la seal en sitio

Conocer las areas que se debe cubrir

Requerimientos de potencia de la seal en ndice Seal a Ruido (SNR)

Fuentes de interferencia

El proceso es recorrer cada espacio donde el cliente requiere cobertura e ir

capturando datos con las herramientas con el afn de obtener las posiciones ms
adecuadas de los equipos, se toma lectura de las interferencias internas y externas
existentes en cada inmueble, es decir otros Access Point de terceros y equipos que
funcionan en la banda 2.4GHz como hornos de microondas y telfonos inalmbricos.

23

La realizacin correcta de este estudio es esencial para un diseo de acuerdo a las

necesidades y condiciones fsicas de los inmuebles, no se debe olvidar que las ondas de
RF son susceptibles a diferentes efectos que degradan y/o absorben la seal y debe
tenerse especial cuidado en la posicin de los Access Point, en gran parte de esto depende
la estabilidad de la red.

Una mala prctica es colocar los equipos al tanteo o incluso en el mismo lugar donde
estaban los anteriores AP (en caso que existan AP en alguno de los sitios). Por lo tanto es
importante hacer los recorridos de manera correcta y poder interpretar los resultados para
plasmarlos en el diseo.

A continuacin de indica de manera detallada el procedimiento completo que se debe

llevar a cabo para la realizacin del recorrido.

1. Se debe instalar el software Cisco Site Survey Utility

2. Se debe configurar la tarjeta Cisco a/b/g con los drivers correctos

3. Se configura un Access Point (en este caso el AP estar en modo autnomo, el

cual tiene un comportamiento en cuanto al servicio ofrecido igual a un AP LWAPP,
el cual necesita el Controlador para realizar este estudio) con un SSID cualquiera,
sin autenticacin (no tiene acceso a recurso alguno), tambin se requiere un DCHP
pool en el AP para la laptop que se usar en el recorrido.

4. Se instala la aplicacin InterpreterAir o alguna similar, aqu se carga el mapa

electrnico. Para configurar los parmetros solicitados del mapa se debe contar
con la mediada (en metros) de la oficina, tambin es posible elegir si la oficina
cuenta con cubculos, puertas, cristales y materiales que puedan obstruir la seal.

24

Este punto es importante porque los valores plasmados en el mapa deben ser los
ms cercanos a la realidad lo cual garantizar resultados verdicos.
5. Una vez que el mapa est completamente configurado se debe conectar la laptop
al SSID configurado en el AP, una vez garantizada la comunicacin y observando
en estado de la conexin en la herramienta de Cisco se procede a iniciar el
recorrido.

5. Una buena prctica es iniciar en un esquina de la oficina, se elige una zona

abierta donde colocar el AP en el techo con las antenas perpendiculares al mismo;
como se muestra en la figura.

Imagen 3.3.2.1 Posicin correcta en techo

6. Se realiza el recorrido en sentido opuesto al AP hasta que la seal recibida nos

indique -75 dB, este parmetro es recomendado por Cisco como el limite donde
puede ser garantizada una buena cobertura y por lo tanto una correcta transmisin
de los datos. Una vez determinado este punto se realiza un recorrido en circular
para delimitar la zona donde se colocar el siguiente AP. Justo este lmite se
coloca el siguiente Access Point y se procede a una lectura idntica a la inicial, de
tal manera que puedan irse cubriendo todos los espacios del lugar.

25

A continuacin se muestra un mapa de cobertura de uno de los pisos donde existan

dos Access Point los cuales fueron sustituidos y donde se realizaron modificaciones con la
nueva la implementacin, en el se pueden ver anotaciones, pero lo ms importante es
darse cuenta de la distancia cubierta la cual est basada en ciertos parmetros ya
establecidos (algo como un cdigo de colores) el cual nos indica el nivel se la seal en
decibles dBm. A su vez la herramienta arroja datos con valores en cada punto (dB, ndice
de Seal-Ruido, etc.).

Imagen 3.3.2.2 Mapa de Cobertura

26

Como resultado de este Site Survey se obtuvo la cantidad de Access Point requeridos
para la solucin, es decir el total de equipos que cubren correctamente las zonas de todos
los inmuebles de inters. Hay que sealar que normalmente se considera un porcentaje del
3 al 5 % de Access Point en caso de adiciones que el cliente solicita de manera inmediata.

NOTA: Los Access Point que se usan para el Site Survey deben ser exactamente
iguales a los que se implementarn, incluso las antenas. Esto porque cada AP tiene
caractersticas distintas y las antenas diferentes patrones de radiacin.

Finalizando con el punto anterior, Cisco recomienda cierto modelo de Access Point y
tipo de Atenas para diferentes implementaciones, interior, exterior, almacenes, oficinas,
espacios abiertos, etc. sin embargo el conocimiento de la teora y la experiencia ayudan a
realizar una mejor eleccin.

*Para este proyecto se consideraron 300 Access Point.

NOTA: En algunos casos la cantidad de Access Point no solo la determina el nivel de

cobertura requerida, tambin la cantidad de usuarios promedio que estarn conectados a la
red inalmbrica (considerar un mximo de 25 por AP, si solo transmiten datos). En este
proyecto la cantidad de usuarios no era considerable debido a que la red inalmbrica seria
nueva y no se tendran demasiados usuarios conectados.

Despus se elige el modelo de Controlador a usar, gran parte de la decisin es con

base en el nmero de Access Point; otros puntos a considerar seran la escalabilidad
prevista, si se cuenta con algn Controlador actualmente, si se requiere redundancia, etc.

Para este proyecto se utiliz un modelo de Controlador Appliance 4400 en su modelo

ms robusto, el modelo instalado es AIR-WLC4404-100-K9, donde 04 significa que tiene
cuatro puertos de distribucin (Fibra ptica) para comunicarse a la infraestructura donde se
conectaran los AP, esta infraestructura son los Switches.

27

A su vez se debe elegir un licencia que puede soportar hasta 100 AP, en este caso se
propusieron 4 Controladores con licencias de 100 cada uno, es decir un soporte de hasta
400, lo cual nos deja una holgura de 100 AP (un Controlador completo) el cual actuar
como BackUp de cualquier de los 300 AP existentes, lo cual cumple con el requerimiento
inicial del cliente el cual fue ofrecer al menos 25% de redundancia.

Como parte de la planeacin de proyecto se debe poner especial cuidado en la

seguridad requerida por el cliente, esta es basada en polticas bien establecidas que se
deben seguir al pie de la letra por toda la unidad de negocio.

Se defini en conjunto con el personal involucrado del rea de seguridad informtica

del cliente, se revis la infraestructura con la que contaban, por ejemplo un Directorio Activo
de Microsoft, Entidad Certificadora, herramientas de control de acceso, etc.

Otro punto que se consider fueron los sistemas operativos y sobre todo las
versiones y modelos de las tarjetas que se conectan a la red inalmbrica, esto es de suma
importancia, porque el hecho de no definirlo correctamente puede dejar fuera de conexin a
bastantes equipos, lo cual no es conveniente para ninguna de las partes involucradas.

Es este caso se configuraron WPA y WPA2 con PSK, que son slo mtodos de
encripcin, no de autenticacin, ya que el cliente no cuenta con la para soportar est
solucin (Directorio Activo, Entidad Certificadora, etc.), sin embargo est opcin est
planeada para una segunda fase. Este tipo de encripcin no es tan fcilmente vulnerable
como WEP, adems se sugiri la utilizacin de autenticacin fsica de Mac Address, para
esta opcin se utiliza el equipo mencionado en los conceptos generales llamado Cisco
Secure Access Control Server (ACS) donde residen todas las Mac Address de las tarjetas
inalmbricas que los equipos que requieren acceso.
Finalmente se recomend agregar una herramienta de Administracin, Resolucin de
problemas (troubleshooting) y configuracin que integre el control de los Controladores,
valga la redundancia.

28

En la realizacin del Site Survey, el cual es medular en la fase de planeacin del

proyecto trabaj de maneras diversas debido a la magnitud del proyecto. En los sitios
marcados por el cliente como crticos fui quien realiz el estudio de manera ntegra.
Algunos otros sitios de regular magnitud fui apoyado por ingenieros compaeros de la
empresa, resultados que al final tuve que validar.
Finalmente se tom ventaja de ciertos sitios que ya contaban con estudios previos por
compaeros del rea de preventa quienes hicieron algunos estudios previos para cumplir
con los requerimientos del RFP (Request For Proposal). De esta manera se logro completar
esta fase y contar con toda la informacin para disear la solucin.

3.3.3 Diseo de la Red

Como se mencion en la Planeacin, con el Site Survey se define completamente la
cantidad de AP necesarios, as como el modelo basado en las Best Practices de Cisco y los
conocimientos tericos del ingeniero. Los 300 AP ubican fsicamente en cada unos de los
puntos indicados en los mapas del Site Survey, los cuales tambin definieron la cantidad de
AP por sitio (esos resultados no se incluyen). Para esta solucin se eligieron equipos AIRLAP1242AG. LAP indica que son modo Lightweight (LWAPP) los cuales permiten dividir las
funciones del Access Point entre procesos locales en los AP y el Controlador, haciendo a
travs de un tnel UDP encriptado entre AP y Controlador.

Debido a las nuevas caracterstica de la red switcheada se definirn segmentos de

red (VLANs) y la opcin viable para el funcionamiento de los Controladores es hacerlo en
Capa 3 del modelo OSI.

Se defini de qu manera se conectara los Controladores a la red Cableada, el cual

ser el punto de conexin hacia todos los servicios de red corporativos.

Se parti de la primicia donde el cliente contaba con un Centro de Datos donde

residen los equipos que son el Core de la red (Datos, Voz y Seguridad)

29

Este sitio central conecta a cada una de la oficinas remotas a travs de enlaces
dedicados L2L (LAN-to-LAN) haca los SW de Core, equipos robustos que ofrecen
redundancia, ruteo, calidad de servicio, alto procesamiento de informacin, etc. Es aqu
donde se coloc el Controlador 1 con 100% de utilizacin (cantidad de AP).

El Controlador 2 se colocar en este mismo sitio pero sin utilizacin real, es decir ser
el respaldo (BackUp) para poder aceptar hasta 100 AP de cualquiera de las ubicaciones
esto en caso de que falle uno de los tres Controladores restantes.

Por cuestiones de criticidad en uno de los sitios, lugar donde labora el responsable de
la dependencia, se decide colocar el Controlador 3, para tener un equipo local que enve la
menos informacin posible a travs de su enlace L2L y evitar problemas de congestin e
incluso que la infraestructura siga funcionado an si el enlace esta cado. Por esta razn se
coloca un Controlador en este sitio.

El Site Survey arroj resultados donde un sitio debera tener 45 AP para poder cubrir
todas sus zonas del inmueble, por tal razn en este sitio se propuso instalar el Controlador
4, ya que tendra utilizacin de casi 50% con AP locales.

La conexin de los Controladores con los SW de Core se realiz a travs de fibra

ptica multimodo, los conectores necesarios para son LC-LC esto porque los Controladores
soportan solo interfaces SFP (Small Form-Factor Pluggable).

Cada puerto de distribucin es capaz de soportar 25 Access Point por lo tanto se

deben utilizar los 4 puertos, se consider el numero de SFPs y fibras para la conexin.

30

A continuacin se muestran las imgenes de los elementos mencionados:

Imagen 3.3.3.1 Controlador 4404

Imagen 3.3.3.2 SFP

Imagen 3.3.3.3 Jumper de Fibra

31

En el diseo se debe considerar cuntos SIDD se configuran para cumplir con las
necesidades del cliente.

Al ser una red que solo soportara datos y requera poder conectarse con el mismo
perfil configurado en las laptops dondequiera que el usuario estuviera, es decir que los
usuarios pudieran moverse de un edifico a otro por alguna junta, entrenamiento o
reubicacin y deberan poder seguir utilizando los servicios de red sin modificacin o
configuracin extra.

Se decidi configurar tres diferentes SSID, uno para las reas gerenciales, otro para
los usuarios internos por debajo de un nivel gerencial y un tercero para invitados (llmense
consultores, proveedores o clientes).

El segmento de red (VLAN) gerencial se configur con una calidad de servicio (QoS
Silver) que garantizar la transmisin aun cuando existiera una saturacin en la red.
El acceso a los usuarios por debajo del nivel gerencial (les llam Usuarios
Generales), no tendran configurada calidad de servicio en su VLAN.

Los usuarios Invitados serian capaces de conectarse a Internet, sin poder ingresar a
ningn servicio de red corporativo, esto se limit con listas de acceso (ACLs).

Como resultado de las charlas con el cliente y de la revisin de los Sistemas

Operativos y la infraestructura se decidi configurar seguridad WPA y WPA2 con TKIP o
AES. Tambin se configur autenticacin fsica de las Mac Address de las tarjetas
inalmbricas, tal autenticacin se hizo en los Servidores de Cisco Secure Access Control
Server (ACS). Este diseo incluye a los dos SSIDs corporativos.

32

Los Servidores ACS se implementaron de manera redundante, es decir que replican

su Base de Datos del primario al secundario. Para el acceso a la red de Invitados se
realizar una autenticacin va Web donde el usuario necesita ingresar usuario y
contrasea correctos, datos que son generados por el administrador de la red. Estos
accesos tambin son verificados contra en Servidor ACS.

Los Servidores ACS son modelo CSACSE-1113-K9, los cuales se conectarn directo
a los equipos de Core, los Switches ms robustos de la solucin que residen en el centro
de datos, as que la redundancia en comunicacin est garantizada y tambin el servicio
de autenticacin de usuarios inalmbricos con los dos ACS.

Una herramienta importante para el mantenimiento y la resolucin de problemas de la

red inalmbrica es una aplicacin llamada Wireless Control System (WCS), la cual se
encarga de centralizar a los Controladores en un solo punto de configuracin,
administracin y control de la red. Se propone un Servidor IBM para montar la aplicacin y
las licencias necesarias para soportar los 300 APs.

El siguiente paso es disear la topologa de red para definir la interconexin con la

red cableada, punto vital e importante para un buen funcionamiento de la red. La figura
muestra la topologa de la solucin.

33

Imagen 3.3.3.4 Diagrama de la Solucin Inalmbrica

Se tienen los siguientes elementos:

Switches de Core: Son los encargados de ofrecer redundancia, alto rendimiento y

procesamiento de datos, as como y el ruteo de toda la red. Se conectaron a travs de un
puerto llamado EtherChannel que ofrece mayor ancho de banda para el intercambio y
comparten una IP virtual para la alta disponibilidad con el protocolo HSRP.

ACS: Los encargados de la seguridad de la red conectados a los equipos de Core

configurados para replicar la Base de Datos de un equipo al otro.

Wireless LAN Controller WLC: Conectados por fibra ptica a los equipos de Core,
en el caso de los Controlador 1 y 2. Controlador 3 y 4 se conectar n tambin va fibra en el
Core del sito remoto.

34

Access Point: Los Access Point estarn conectados a los Switches de acceso a
travs de un puerto TRUNK, el cual dejar pasar todas las redes configuradas para los
SSIDs.

Wireless Control System (WCS): Se conectar en los equipos de Core del sitio
central.

Las conexiones entre cada sitio remoto hacia el sitio central se harn mediante un
enlace dedicado L2L (LAN-to-LAN) de entre 6 y 8 Mbps.

El diseo de la red fue relativamente sencillo, esto debido a que la red de datos sera
tambin implementada por la misma empresa, el diseo inalmbrico fue realizado 100% por
m. Las consideraciones que se tomaron fue el direccionamiento utilizado, las polticas de
seguridad aplicadas en el firewall, el sistema operativo de las computadoras que se
conectan a la red inalmbrica y los parmetros de calidad de servicio requeridos por la red .

El diseo de la solucin se bas en la criticidad de los sitios, la cantidad de usuarios

que se conectaran y los requerimientos de equipo del cliente. Al ser una implementacin
en un organismo gubernamental cabe sealar que la cantidad de equipo destinado por sitio,
algunas veces, se mide con base en el presupuesto de cada rea en ms que en el
presupuesto de toda la dependencia.

35

3.3.4 Implementacin de la Solucin

En la implementacin se deben tomar en cuenta y configurar todos los puntos
incluidos en la Planeacin y el Diseo. La lgica de configuracin es la siguiente:

Controladores

Access Point

ACS

WCS

Conexin de todos los elementos

Revisin de la solucin

Protocolos de pruebas

Para los Controladores se configuran los puntos siguientes:

Nombre, IP Management, IP AP Manager y accesos para su administracin

Interfaces

SSIDs (redes para la conexin de los usuarios)

Seguridad (Encripcin y Autenticacin)

Puertos de distribucin para la conexin a los switches

Redundancia

Cuando el Controlador es instalado por primera vez o despus de un Reset Factory

Default (borrado de toda la configuracin existente), se inicia con un Startup Wizard (un
asistente de configuracin) para poder comenzar con la misma.

36

Los pasos son los siguientes:

1. Asegurarse que el nombre del Controlador no sea mayor a 32 caracteres.

2. Agregar el usuario y contrasea del Administrador, cada uno de mximo 24

caracteres.

3. Configurar la interface del Service Port (la cual se utiliza cuando la red se ha cado
y no es posible administrarla a travs la interface de Management). Se tiene la
opcin de DHCP o esttico, se recomienda que sea esttico.

4. Enseguida se debe configurar la IP de Management, con mscara y default

Gateway, de manera opcional se puede configurar la VLAN a la cual esta
asignada.

5. Se debe configurar el numero de Puertos de Distribucin, es esta instalacin se

utilizaron los 4 para poder soportar la carga mxima de Access Point.

6. De manera opcional se puede configurar el DCHP Pool, es decir el grupo de

direcciones IP que usaran los clientes que se conecten a la red. En este caso la
configuracin de DHCP se hizo en los Switches.

7. Configurar si el Controlador trabajara en Capa 2 o 3 del modelo OSI, en este caso

se configur como Capa 3.

8. Se debe configurar un IP virtual que ser usada de manera interna por los
Controladores para fines de seguridad y movilidad, en este caso se configur la IP
1.1.1.1.

37

9. Configurar el Cisco WLAN Solution Mobility Group (RF group), este nombre el
comn a todos los Controladores y es usado para negociar los parmetros de
movilidad y ambiente RF con los dems Controladores involucrados.

10. Configurar el primero SSID que se usar para la red, en este caso se configur el
perfil VIP para las reas gerenciales y direcciones.

11. Configurar si lo clientes al conectarse a la red inalmbrica soportarn direcciones

IP estticas o solo dinmicas, se recomienda que solo sean dinmicas (DCHP),
opcin configurada en esta solucin.

12. Finalmente, de manera opcional, se configura el Servidor Radius para la

autenticacin. Esta configuracin se hizo va Web, ya que presenta todas las
opciones requeridas.

13. El siguiente paso es habilitar los radios que sern usados en la red, es decir
802.11a, b y/o g. En este caso se configuraron b y g.

14. Finalmente se configura la opcin de Radio Resource Management,RRM (auto

RF). Esta opcin ayuda a que el Controlador coordine y negocie en ambiente RF
(canales y potencias) dentro de la red instalada.

38

Una vez que se tienen estos parmetros se debe realizar la conexin de los Puertos
de Distribucin hacia los Switches para lograr la comunicacin:

La configuracin es la siguiente:

interface GigabitEthernet1/15
description MXLIE01S01WLC01
switchport trunk native vlan 220
switchport mode trunk
channel-group 1 mode on

A continuacin se explica el efecto de cada comando:

interface GigabitEthernet1/15
(puerto fsico donde se conecta uno de los Puertos de Distribucin)

description MXLIE01S01WLC01
(se usa como etiqueta para identificar el equipo conectado)

switchport trunk native vlan 220

(se indica a qu VLAN pertenece la IP de management)

switchport mode trunk

(se configura el puerto del Switch para que acepte el paso de todas las VLAN -SSIDs)

channel-group 1 mode on
(se agrega el puerto a una interface Virtual)

39

De esta manera se configuraron los cuatro puertos en cada Switch para soportar LAG
(Link Aggregation).

A partir de este punto es posible conectar una computadora a la red e ingresar va

WEB al Controlador y continuar con la configuracin como se muestra en la siguiente
imagen.
Imagen 3.3.4.1 Pgina principal de Controlador

40

En esta imagen se muestran parmetros generales de la configuracin, algunos de

los ms importantes a resaltar son:

Versin de Software: 4.2.205.0

Modo LWAPP: Layer 3 (capa 3)
Modelo de Controlador: AIR-WLC4004-100-K9
Utilizacin: Porcentaje actual de utilizacin de los recursos del Controlador

El siguiente paso es la configuracin de los SSIDs (WLAN). Continuando con la

configuracin va Web (la cual es ms amigable y directa que la configuracin por CLI
(Command Line Interface).

La configuracin de los SSID involucra interfaces que deben ser creadas en los
Switches y que sern mapeadas (relacionadas) con los SSID (WLAN).

Se debe configurar un SSID por cada WLAN, en este caso se configuraron 3 WLANs.

A continuacin se muestra una imagen de la configuracin de las WLAN:

En la imagen puede verse el nombre de las interfaces, la VLAN a la cual pertenecen,

la direccin IP. Esta interfaces deben ser alcanzadas en la red LAN, es decir debe de
haber conectividad garantizada desde la red cableada para que asegurar que la res
inalmbrica funcionara de manera correcta al mapear el SSID (WLAN) a la interface
(VLAN).

41

A continuacin se muestra la manera de configurar una VLAN en capa 2 y Capa 3 en

un Switch L3.

config terminal
vlan 223
name INVITADOS
exit

config terminal
Interface VLAN 223
ip address 10.1.223.1 mask 255.255.255.0
no shut
exit

42

Los pasos de configuracin de la interfaces son los siguientes:

1.

Agregar una interface

2.

Escribir el nombre de la interface (normalmente se recomienda usar el mismo

que se le asignara a la WLAN)

3.

Escribir el identificador de la VLAN (VLAN ID), es el mismo ID con el cual se

configura la VLAN en el Switch

4.

Se escribe la direccin IP, Mascara y Default Gateway

Una vez creadas tantas interfaces como sean necesarias se procede a configurar las
WLAN en el Controlador; en este proyecto se configuraron tres WLANs lo cual implica tres
VLAN en los Switches para cada uno de los Sitios donde se conect el Controlador.

Imagen 3.3.4.2 Interfaces del Controlador

43

La configuracin de las WLAN debe seguir el siguiente orden:

i. Crear una nueva WLAN

ii. Escribir el nombre de la misma
iii. Escribir el nombre del SSID
iv. Elegir el tipo de seguridad que se desea, para este proyecto se decidi
configurar WPA TKIP y WPA2 AES. En este punto se configura el PSK
(PreShareKey) la llave preestablecida.

A continuacin se muestra la imagen de una interface configurada:

Imagen 3.3.4.3 Configuracin de WLANs

44

La siguiente imagen muestra los parmetros de seguridad de las WLAN:

Imagen 3.3.4.4 Configuracin de parmetros de seguridad de capa 2

En esta imagen se puede observar que la opcin de Security est siendo configurada
en Layer 2 (capa 2), de la misma manera se debe configurar cada WLAN corporativa.

En el caso del acceso para Invitados (Guest), como ya se mencion, se debe

considerar una autenticacin va Web la cual incluye requiere el ingreso de un usuario y
contrasea que sern administrados de manera local en el ACS (Access Control Server).

Una WLAN de Invitados es donde los usuarios no tienen acceso a la red corporativa
debido a que normalmente son usuarios externos, proveedores o personal con que trabajo
provisionalmente en la dependencia. La configuracin de la seguridad se debe hacer en
Layer 3 (capa 3) como se muestra en la siguiente imagen. Se puede observar que la
configuracin se hace bajo la opcin Layer 3, sin embargo en la opcin precisa de Layer 3
se elige la opcin NONE.

45

Enseguida se elije la opcin de Web Policy, para que los usuarios sean re
direccionados a una pgina web donde se ingresa Username y Password.

En las redes de Invitados, el usuario se conecta de manera automtica al SSID,

hasta este punto est asociado a la red y el usuario cuenta con una direccin IP, en ese
momento no hay comunicacin a ningn punto de la red excepto al DNS. El usuario debe
abrir un Explorer o cualquier browser donde se solicitan las credenciales de acceso. Para
evitar la comunicacin de una red de Invitados con la red corporativa se debe configurar
lista de acceso, la cuales sirven para filtrar ciertas redes (y puertos) origen hacia ciertas
redes (y puertos) destino para asegurar segmentos de la red corporativa.

Imagen 3.3.4.5 Configuracin de parmetros de seguridad de capa 3

46

A continuacin se muestran los comandos de configuracin de las listas de acceso

para la red de Invitados.

ip access-list extended INVITADOS

permit udp any any eq bootps
permit ip 10.8.223.0 0.0.0.255 host 204.153.24.1
permit ip 10.8.223.0 0.0.0.255 host 148.207.38.1
permit ip 10.8.223.0 0.0.0.255 host 207.249.5.10
deny ip 10.8.223.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 10.8.223.0 0.0.0.255 any

interface Vlan223
ip address 10.9.223.254 255.255.255.0
ip access-group INVITADOS in

La manera de configurar la lista de acceso es elegir un nombre, saber qu redes se

deben filtrar, en este caso se permiten la red de Invitados hacia los DNS y el DHCP server y
despus se niega la comunicacin a toda la red corporativa. Finalmente se aplica la lista de
acceso a la interface VLAN.

Otro de los parmetros de configuracin para la red de Invitados debe ser el Servidor
Radius (ACS) donde se configuran las credenciales la cual se mencionara de manera
detallada ms adelante. A continuacin se debe configurar una caracterstica donde los
SSID estarn disponibles de manera local cuando los Controladores estn ubicados en un
sitio remoto, mapear el SSID con la interface y despus agruparlos para poder manipularlos
en los Access Point que nos convenga (donde se desean publicar los SSID).

Esta caracterstica se llama AP Groups y se muestra la configuracin en la imagen,

bsicamente slo se elige el nombre del Grupo y cada SSID se va asociando con la
interface (VLAN) correspondiente.

47

Imagen 3.3.4.6 Configuracin de Grupos

Otro punto importante en la configuracin de una solucin inalmbrica unificada que

se conforma por ms de un Controlador es la Alta Disponibilidad.

La caractersticas ms importante es configurar idnticamente los Controladores que

participaran en la Alta Disponibilidad, esto para asegurar que todos los parmetros
utilizados para que la red inalmbrica funcione correctamente se mantengan sin importar a
que Controlador los AP estn asociados. Una vez que se tiene la certeza que la
configuracin es la misma y que se han realizado las pruebas de conexin en cada uno de
los Controladores que participarn en la Alta Disponibilidad se debe configurar de la
siguiente manera. Cada AP puede configurarse de manera independiente con hasta tres
Controladores como se muestra en la imagen. Se elige la opcin Wireless, despus el
Access Point y finalmente la opcin High Availability de inters donde escribe el nombre y
direccin IP de los Controladores en el orden deseado, hasta tres.

48

NOTA: Esta configuracin se realiza despus de haber agregado los Access Point a
algn Controlador, tal proceso se indica en el apartado Configuracin de Access Point.

Imagen 3.3.4.7 Configuracin de redundancia de controladores

El interaccin de los AP entre s requieren de algn tipo de control sobre la asignacin

de potencia de cobertura as como las asignacin de los canales, se debe recordar que solo
se permiten tres canales de no traslape, es decir que no generarn interferencia entre ellos
para que la salud de la red inalmbrica se mantendr estable. Otro punto que se garantiza
con esta configuracin es el Roaming.

49

Los parmetros que controlan estas caractersticas son Default Mobility Domain y RF
Group Name, los cuales son configuran en la opcin Controller, como se muestra en la
siguiente imagen:

Imagen 3.3.4.8 Configuracin de Mobility Domain

3.3.5 Configuracin de Access Point

Hasta este punto la configuracin se ha concentrado en los Controladores, los cuales
son la parte ms importante de la solucin, no solo porque son el Core de la red
inalmbrica si no porque despus de finalizar con este proceso la configuracin de los AP
es directa y sencilla, solo se deben considerar algunos detalles previos a la asignacin de
los AP al controlador asignado.

50

Los pasos para agregar los AP a un controlador son los siguientes:

Considerar uno de los siguientes puntos para indicarle a los AP como localizar

el Controlador. (Va DNS, Configuracin de la direccin IP del Controlador en cada AP, va

DHCP con la opcin 43 o a travs de la herramienta Upgrade Tool).
Para esta solucin, lo cual recomiendo totalmente debido a que no se depende de
alguna herramienta extra, se us la opcin 43 en el DHCP. A continuacin se muestra
la configuracin del DHCP en el Switch de Core de cada sitio donde se conectaron
los Access Point.

ip dhcp pool SALUD_ACCESS_POINT

network 10.9.218.0 255.255.255.0
default-router 10.9.218.254
option 60 ascii "VCI string of the AP"
option 43 hex f110.0a01.db01.0a01.dc01.0a02.dc01.0a18.dc01

El parmetro a resaltar en la configuracin del DHCP es el valor en hexadecimal de

los cuanto Controladores involucrados con un prefijo, los cuales sern usados por cada AP
que reciba su direccin IP de este DCHP Pool y pueda realizar peticin de Agregacin a
cualquiera de los Controladores que estn disponibles.

Una vez que el AP contacta al Controlador, se intercambia un certificado que

autentica cada uno de los AP para garantizar que ningn otro equipo no permitido pueda
agregarse como AP valido en la red inalmbrica.

En el siguiente paso el Controlador revisa la versin de los AP, en caso de ser

distinta a la del Controlador, se enva una actualizacin.

Agregados los AP aparecern con el valor REG que indica un correcto registro

al Controlador.

51

A continuacin se muestra la imagen con los AP agregados satisfactoriamente:

Imagen 3.3.5.1 Verificacin de APs asociados

A partir de aqu se personalizan con el nombre, direccin IP (en caso de

quererla cambiar o configurarla de manera esttica) y alta disponibilidad (como se

mencion anteriormente).

La opcin importante que debe ser configurada en cada AP es el Modo H-

Reap, el cual indica que el AP est conectado en sitio remoto y se comunica con el
Controlador a travs del enlace L2L. Al elegir cualquier modo de operacin del AP este
deber ser reiniciado para que el valor sea tomado en cuenta. A continuacin se muestra la
imagen donde se configura dicha opcin.

52

Imagen 3.3.5.2 Conversin a H-REAP

Despus que el AP Mode se cambia a H-Reap se debe configurar en la opcin

H-Reap el mapeo de las VLAN (SSID) que sern publicados en los AP que se conectan de
manera remota. De esta manera se asegura que cada AP pueda usar las interfaces
configuradas, a continuacin se muestra la imagen donde se configura tal opcin:

53

Imagen 3.3.5.3 Mapeo de VLANs

3.3.6 Configuracin de Servidores de Seguridad (ACS)

Como se ya se mencion en la Planeacin del Proyecto el Servidor Cisco Secure
Access Control Server (ACS) ofrece una base de datos local con usuarios y contraseas
que sern usadas para validar a los clientes que hacen uso de la red de Invitados. Para
poder dar de alta los valores necesarios en los Controladores para que sean capaces de
invocar los servicios del ACS se deben realizar la configuracin de los Servidores de
manera inicial.

Para esta solucin se consideraron dos ACS para ofrecer redundancia en caso de la
perdida de servicio del primario donde se realizan las configuraciones de los equipos y los
usuarios y el cual replica dicha configuracin al Servidor secundario.

El servidor ACS est basado en Linux y ofrece conexin va Consola para configurar
los parmetros mnimos para poder accederlo va Web y poder configurar todas las
caractersticas necesarias.
54

Los pasos para configurar dichos parmetros son los siguientes:

Conectarse va consola con un cliente como Microsoft Hyperterminal o Secure CRT

con los siguientes vvalores en el puerto Serial

Baud = 115200

Databits = 8

Parity = N

Stops = 1

Flow control = None

Una vez conectado al Servidor se debern ingresar las Credenciales por Default
que solicita el equipo:

Usuario: Administrator

Password: setup

Al ingresar las credenciales, el Servidor solicita de manera individual los siguientes

parmetros, los cuales son mandatorio para su configuracin inicial:

Nombre del equipo

DNS domain

Cuenta (usuario y contrasea) para administrar el equipo

Direccin IP (dinmica
dinmica o esttica), en este caso se configuran estticas, mascara y
default Gateway (para que estos valores sean validos se debe conectar el equipo a
la red).
Se configura horario y fecha
Finalmente se salva la configuracin y el equipo se reinicia de ma
manera automtica

55

A parir de este punto se podr ingresar al equipos va Web siguiendo el siguiente

formato:
http://ipaddress:2002
A continuacin se muestra la pgina de inicio cuando de ingresa al ACS:

Imagen 3.3.6.1 Pgina principal del ACS

56

Los primero que debe configurarse son los equipos que utilizarn los servicios de los
ACS, en este caso se configuraron los Controladores, quienes invocarn al ACS para la
validar a los usuarios que ingresen a la red.
Imagen 3.3.6.2 Configuracin de Controladores

A continuacin se deben crear grupos, los cuales incluyen usuarios mismos que se
brindaran a los clientes que requieran conectarse a la red. Los grupos sirven para llevar un
mejor control en la administracin de los usuarios, adems de configurar niveles de
privilegio en que a su vez son heredados a cada uno de los miembros del grupo.

57

En este caso se configur un grupo por cada unidad, y 5 usuarios por cada grupo,
mismos que son entregados a los responsables.
A continuacin se muestra el Default Group (Grupo) donde se podr editar el nombre
por uno que describa el sitio de la dependencia.

Imagen 3.3.6.3 Configuracin de Grupos

A partir de este punto se inicia la configuracin del equipo. Se configuran los

parmetros de replicacin para soportar Alta disponibilidad en caso de la falla del ACS
Primario, la imagen siguiente muestra las opciones que se eligieron como replicacin en
este proyecto:

58

La opcin para ingresar a esta configuracin es System Configuracion> ACS Internal

Database Replication.
Imagen 3.3.6.4 Configuracin de componentes de Replicacin

Tambin se debe configurar la manara en cmo se realizar la replicacin, se

recomienda que se programe en horarios de no operacin de la red, es decir por la
madrugada, como se configur en este proyecto. La replicacin ser del Servidor primario
al secundario todos los das a la 00:00 hrs. Tal como lo indica la siguiente imagen:

59

La opcin para ingresar a esta configuracin es System Configuration>ACS System

Backup Setup
Imagen 3.3.6.5 Configuracin de la Replicacin

El siguiente punto a configurar son las opciones de Logging, este punto es muy
importante ya que nos ofrece un detalle de las actividades registradas por el Servidor, con
las cuales se puede saber si los usuarios se autenticaron o no, la razn por la cual se
tienen intentos satisfactorios y fallidos en la conexin, poder registrar la actividad que
realiz un usuario en caso de realizar un cambio indebido, indicadores del funcionamiento
del equipo, etc.

60

La opcin para ingresar a esta configuracin es System Configuration> Logging

Imagen 3.3.6.6 Configuracin de Reportes

Una manera de tomar ventaja de la replicacin de los ACS cuando se trabaja con
ms de un Servidor es configurar totalmente el Servidor primario (lo cual implica dar de alta
el Servidor secundario y su configuracin) y el Servidor secundario solo con parmetros
bsicos (agregando al Servidor primario para aceptar las actualizaciones) y correr una
replicacin de manera manual para inyectar la configuracin del Servidor primario al
secundario. Con esto no solo se ahorra tiempo, tambin se asegura que la configuracin en
ambos Servidores sea idntica y garantice la Alta Disponibilidad cuando sea requerida.

61

A continuacin se debe realizar la configuracin de los ACS dentro de los

Controladores.

De esta manera los Controladores invocarn los servicios de los ACS

cuando se requiera autenticar a los usuarios.

La manera de configurarlo es la siguiente:

En la opcin de Security> Tacacs en los Controladores se darn de alta los ACS con
la direccin IP y un llave que debe coincidir con la llave que se configuro en los ACS
cuando se dieron de alta los Controladores (dicha llave es para realizar la encripcion y
asegurar los datos).

La siguiente imagen muestra la configuracin de un ACS:

Imagen 3.3.6.7 Configuracin de ACS Server en Controlador

62

Una vez configurados ambos ACS se deber ingresar al SSID (WLAN) para indicar el
uso de ambos equipos para la autenticacin. Aqu es donde se configura la Alta
Disponibilidad de los Servidores, la WLAN intentar contactar al Server 1 como primera
opcin, despus de un TimeOut (5 segundos) si no se obtiene respuesta intentar contactar
al Server 2. Cumpliendo as con la configuracin de seguridad necesaria para el acceso
inalmbrico.
Imagen 3.3.6.8 Configuracin de Alta Disponibilidad

63

3.3.7 Wireless Control System WCS

Como ya se ha mencionado este Servidor es utilizado para centralizar la
administracin y configuracin de los Controladores, con la ayuda de esta herramienta se
minimiza el trabajo del administrador cuando se debe agregar alguna nueva configuracin
en la red inalmbrica, tambin ayuda a eliminar la posibilidad de errores cuando se debe
configurar el mismo parmetro en cada Controlador. La herramienta es parte importante en
la optimizacin de la red, ofreciendo reportes calendarizados que indican el comportamiento
de la red. Este punto se enfatizar en la ltima parte de este informe, en la fase de
Optimizacin.

El Wireless Control System es un software que se debe instalar en un Servidor con

las siguientes caractersticas:

Microsoft Windows 2004 Server, Red Hat Linux AS/ES v4 o VMWware ESX
Server 3.0.1.

Intel CPU; 3.06 GHz, 2-GB RAM, 50-GB HDD

NOTA: Estos valores son mnimos para soportar hasta 500 Access Point en modo
LWAPP.

Adems de esto se deben adquirir las licencias para la cantidad de AP que se

requieran. En este caso tenemos 300 AP, por lo tanto se solicitaron 3 licencias de 100 AP.

Una vez instalado el Sistema Operativo (en este caso fue Windows 2003 Server), se
realiza la instalacin del software de manera muy sencilla. Una vez que el Servidor tiene
conectividad se puede ingresar a la aplicacin va web para inicia la configuracin del
mismo.

64

Se debe agregar la direccin IP de cada uno de los Controladores, teniendo

conectividad se deben poder administrar va el WCS. A continuacin se muestra la imagen.
Imagen 3.3.7.1 Men Principal Administracin WCS

Existen diversos reportes que pueden ser ejecutados para poder determinar el
comportamiento de la red. Algunos de los cuales son los siguientes:

Calidad de la seal

Riesgos de seguridad den las interfaces

Cantidad de usuarios conectados

65

Imagen 3.3.7.2 Reportes Disponibles

A continuacin se muestra la imagen donde aparecen los Controladores dados de

alta en el WCS.
Imagen 3.3.7.3 Verificacin de Controladores en WCS

66

La implementacin del proyecto se puede dividir en dos partes principales; la

configuracin de los equipos y la instalacin fsica de los mismos. Ambos puntos son
igualmente importantes. La configuracin fue realizada por m en su totalidad, para esto se
cont con los equipos en el laboratorio de la empresa, donde se prepara y prueba la
solucin previa al envo a las instalaciones del cliente. Al ser una solucin centralizada la
parte medular son los Controladores y los ACS. Una vez terminada se procede a agregar
solo algunos Access Point y realizar pruebas diversas. Existe una manera de que los
Access Point se agreguen al Controlador una vez conectados a la red del cliente
cumpliendo algunos requerimientos y configurando ciertas caractersticas de seguridad
para el DCHP y los Switches, de tal manera que la cantidad de Access Point utilizados no
deben ser configurados uno a uno, lo cual minimiza considerablemente el tiempo de
configuracin.

La siguiente tarea es la instalacin de los Access Point en los lugares propuestos

despus del Site Survey. Estos lugares son marcados en los planos facilitados por el
cliente. Un grupo de gente se dedic a colocarlos al techo, colocar las antenas y
conectarlos a la red (previa instalacin de los nodos). Una vez instalados realic una
recorrido por los inmuebles para corroborar la colocacin correcta y la posicin de las
antenas, ya que esto es crtico para tener una buena propagacin de la seal. Los
servidores son enviados a tres de ubicaciones distintas, uno de ellos el Centro de Datos y
los restantes sitios donde se requera un servicio que no dependiera de la comunicacin a
travs del enlace entre la oficina y el Centro de Datos. Una vez all son colocados en el rack
por la gente encargada y se le indica al equipo de cableado que puertos y tipo de fibras
sern utilizadas para la conexin a la red. Una vez conectados a la red y encendidos es
posible ingresar de manera remota y verificar si los Access Point estn siendo agregados
de manera correcta.

67

4. Resultados del Proyecto

Siempre que se finaliza una implementacin es necesario validar la misma antes de
que entre en operacin. Es comn que no se realicen las pruebas adecuadas sobre cada
una de las caractersticas configuradas y esto puede generar fallas o deficiencias en el
comportamiento de la red.
El siguiente programa de pruebas es una lista de ciertas caractersticas importantes
que deben ser comprobadas. Cada prueba debe ser presenciada por el cliente y los
resultados deben ser anotados en la tabla. Si el cliente identifica pruebas adicionales que
se requieran durante la ejecucin del protocolo de pruebas, stas deben ser revisadas y
autorizadas por los Project Managers de ambas partes y generar el control de cambios
correspondiente. Los resultados de este proyecto estn basados en el xito de los
siguientes protocolos de pruebas.

Tabla 4.0.1
Prueba No.

Protocolo de Pruebas del Controlador

Descripcin de la Prueba

Resultado Pas/Fall

Wireless Lan Controller

1

Los Access Points asignados al sitio deben aparecer en el WLC

Pas

Fall

Las tres WLAN deben ser emitidas en cualquier ubicacin del

Pas

Fall

edificio, por medio de una laptop

Se recibir una IP del segmento local del sitio

Pas

Fall

Soporta Autenticacin y Encripcin para las WLANs

Pas

Fall

Soporta red de Invitados con autenticacin Radius

Pas

Fall

El Wireless Lan Cotroller aparecer en el Wireless Control

Pas

Fall

Se debe tener acceso a internet desde cualquier WLAN

Pas

Fall

Al generar un nuevo usuario de Invitados, se debe lograr la

Pas

Fall

System como Reachable

conexin satisfactoria a la red

68

El xito de estas pruebas ofrece fundamentos necesarios para que el cliente acepte el
correcto funcionamiento de la solucin y pueda llevarse a un proceso de cierre e iniciar con
la puesta en operacin.

Tabla 4.0.2

Prueba No.

Protocolo de Pruebas ACS

Descripcin de la Prueba

Resultado Pas/Fall

Cisco Secure Access Control Server (ACS)

1

El equipo es administrado va WEB

Pas

Fall

Se pueden dar de alta usuarios para la red de invitados

Pas

Fall

Pas

Fall

Pas

Fall

ACS secundario de acuerdo al horario configurado o de manera Pas

Fall

El equipo registra el log de intentos exitosos y fallidos en la red

de Invitados
Se ingresa va telnet a un SW del sitio y se debe autenticar va
Tacacs
Al crear un usuario nuevo en el ACS primario y replicar en el

manual

Se deben ver los Logs de la replicacin del ACS primario al

secundario

Pas

Fall

Una vez migrado cada sitio y con los protocolos de prueba exitosos el equipo de
soporte local del cliente se dispone a configurar las computadoras y conectarlos a la red.
Una vez asociadas y autenticadas se realizan pruebas de correo, internet, aplicaciones
locales, servicios de impresin, recursos compartidos y finalmente se verifica el Roaming
entre los diferentes Access Point.

Otro punto a considerar en los resultados del proyecto es la informacin obtenida en

el Site Survey, aunque este es parte de la planeacin, dichos resultados son vitales para la
continuacin del proyecto y por ende para el xito del mismo. Dichos resultados en el
Capitulo 3.3.2.
69

Para fines de este reporte los siguientes dos puntos 4.1 y 4.2 (Operacin y
Optimizacin) son considerados dentro de los resultados proyecto. Sin embargo en el
modelo del Ciclo de Vida del Proyecto se clasifican de manera distinta.

4.1

Operacin del Proyecto

Al inicio de la operacin de una solucin recin instalada es necesario entrenar al

personal que administrar la red. Es importante tener un control sobre los procesos de
operacin, la metodologa a seguir para la atencin de un problema, la manera de realizar
el troubleshooting (anlisis y resolucin del problema).

Se debe mantener un monitoreo constante del comportamiento de la red, realizar

reportes, analizar la frecuencia y el tipo de fallas, realizar una memoria tcnica que pueda
servir como referencia inmediata para cualquiera que este administrando los recursos de la
red con la finalidad de poder acceder a toda la informacin y actuar correctamente ante
cualquier eventualidad.

A continuacin se indican el contenido mnimo que debe incluir una memoria tcnica
la cual es primordial para la operacin de la red.

Diagramas de interconexin: Muestran la manera en cmo estn conectados

los equipos y cmo interactan con el resto de los componentes de la red. Aqu
se puede observar el flujo de los datos y ayuda a identificar en qu punto
existe un problema cuando se presenta una falla en la red.

Ubicacin de los equipos: Es importante saber donde est instalado cada uno
de los equipos que conforman la solucin, esto facilita al administrador la
resolucin de problemas como fallas de conexin, fallas elctricas, fallas de
hardware, etc. Se deber incluir el diagrama de los racks donde estn
montados los equipos.
70

Descripcin de la instalacin fsica: Aqu se debe especificar el procedimiento

para montar los equipos en un rack, tipo de tornillos, rieles, etc.

Identificacin y seriales de los equipos: Se deben especificar los nombres,

modelos y nmeros de series de cada uno de los equipos involucrados en la
solucin.

Asignacin de tarjetas y puertos: Cada puerto de la solucin inalmbrica tiene

un propsito particular y debe ser identificado detalladamente para atender
cualquier falla existente.

Configuraciones: Se deben incluir las configuraciones de todos los equipos

involucrados, en este proyecto se incluyeron las configuracin de los
Controladores, ACS y WCS. Tener las configuraciones es de suma importancia
porque que son el respaldo en caso de falla catastrfica de alguno equipo, esto
facilitar y minimizar el tiempo de respuesta a cualquier eventualidad.

Usuarios y Contraseas: Se deben incluir todos los accesos a cada unos de

los equipos. Cualquier persona autorizada a esta informacin deber contar
con toda la informacin para ingresar a los equipos.

Interfaces: Se deben incluir la interfaces todas las interfaces (VLANs en capa

3) involucradas en la solucin, esto monitorear y poder identificar una falla de
manera oportuna. En este caso se identifican los SSID existentes.

Protocolos: Se deben mencionar y detallar de manera general los protocolos

utilizados en la solucin, esto para poder obtener documentacin ms explcita
en caso de ser requerida.

71

Configuracin de DHCP: Se debe indicar la manera en que estn configurados

los Pools de DHCP en cada unos de los Switches (los cuales fueron usados
para proveer direccionamiento a la solucin inalmbrica).

Polticas de nombres y direccionamiento IP: Finalmente se deben incluir los

nombre y direcciones de cada uno de los equipos, estos valores son
necesarios para realizar un monitoreo de la red y para identificar en diagramas
fsicos y lgicos.

En este reporte no se incluye de manera detalla la memoria tcnica hecha para este
proyecto debido a que sera un documento muy extenso y estara fuera del objetivo que
este reporte tiene.

Para este proyecto se asign a un administrador de la red inalmbrica y este

ingeniero fue entrenado para poder manipular cada uno de los equipos involucrados en la
solucin y la manera de atender los problemas ms comunes que pueden presentarse.

A continuacin se presenta una lista de algunos de los problemas ms tipos en una

solucin inalmbrica y la manera de resolverlo.

Problemtica: Los usuarios no pueden conectarse a la red

Resolucin: Revisar el Controlador y los AP instalados en el rea donde se encuentra

el usuarios esta activos. Solicitar la Mac Address de la tarjeta inalmbrica y ejecutar una
bsqueda en el WLC, esto arrojar una serie de Logs que indicarn el comportamiento del
cliente. Si no aparece en los Logs, se deber verificar si est siendo correctamente
configurado el perfil inalmbrico en la computadora.

72

Problemtica: Las redes inalmbricas no son visibles en la computadora del usuario.

Resolucin: Revisar si los AP estn activos, revisar si los AP correspondientes estn

publicando los SSID. Verificar si la tarjeta inalmbrica esta activa. Buscar alertas acerca de
hoyos de cobertura dentro de las reas de inters.

Problemtica: Los usuarios invitados no pueden conectarse

Resolucin: Revisar los Logs en el ACS y verificar las alertas. Verificar que se estn
ingresando las credenciales de manera correcta.

Problemtica: Se perdi conectividad con un Controlador

Resolucin: Verificar la interface Etherchannel creada en el Switch correspondiente,

verificar las interfaces fsicas que conforman el Etherchannel (recurrir a la memoria tcnica
para identificar las conexiones). Verificar el cableado. Conectarse al controlador por consola
o por la interface Out of Band y verificar si el sistema operativo est funcionando
correctamente.

Estos son algunos de los problemas que pueden presentarse en la operacin de la

red inalmbrica y la manera de trabajar en su resolucin.

A grandes rasgos se puede definir la operacin de la red como la etapa donde se

realiza el monitoreo de la red, se obtienen reportes estadsticos que incluyen cantidad de
usuarios y periodos de conexin, ancho de banda utilizados, registro de fallas, control de
cambios, alta y baja de usuarios, etc.

Se realizan controles de cambio para cada evento con la finalidad de tener

documentada y actualizada la configuracin de la red. Finalmente se entrega un directorio
al cliente con la informacin de las personas involucradas al proyecto para que en caso de
una falla sea reportada.
73

Como parte del servicio de Soporte a la solucin del cliente se debe de entregar el
proceso de escalamiento de fallas.

A continuacin se indica el proceso correspondiente:

Todo usuario cuenta con el nmero del Help Desk donde se abrir un ticket

indicando los sntomas y el impacto de la falla.

Los ingenieros de Help Desk atendern el problema haciendo un anlisis de

inicial, sin contactar aun al administrador de la red.

Si el problema persiste se avisa al administrador acerca de la falla y se

procede a una resolucin ms exhaustiva (debido a que el administrador tiene acceso total
a los equipos).

Si el problema persiste se recurre al soporte tcnico de la empresa que instal

la solucin con la cual se tiene una pliza de mantenimiento. El ingeniero deber

involucrase de manera completa en la resolucin de problema.

Si el problema persiste despus del trabajo hecho por todos los niveles de

escalamiento anteriores, se procede a levantar un caso con el fabricando (Cisco), quien

cuenta con un centro de atencin especializada e internamente maneja diversos niveles de
escalamiento.

74

4.2

Optimizacin del Proyecto

En la fase de optimizacin es donde se busca una mejora continua de los procesos

de atencin a fallas, niveles de escalamiento, se mantiene un continuo monitoreo y
realizacin de niveles de servicio para validar el comportamiento de la red inalmbrica.

Para esto se crearon reportes calendarizados donde puede observarse el

comportamiento de la red. Gran parte de la optimizacin depender del nivel de reportes y
la interpretacin que se haga en el Wireless Control System.

A continuacin se muestra un reporte donde se indican los clientes que estn

asociados y autenticados en un edificio de la dependencia.
Imagen 4.2.1 Reporte de clientes asociados

75

Este reporte ayuda a saber qu nmero de usuarios estn intentando conectarse a la

red y no lo logran (Associated Clients), se puede determinar a travs de la Mac Address de
la tarjetas de red si los usuarios son parte de la red corporativa, de esta manera se puede
verificar de manera puntual cual que problemtica presenta el usuario. Tambin existe la
posibilidad de que sean intentos fallidos que podran ataques a la red.

A continuacin se muestra el reporte de los hoyos de cobertura que se presentan en

un edificio.
Imagen 4.2.2 Reporte de hoyos de cobertura

Aqu se puede observar que el mismo AP est presentando Hoyos de cobertura lo

cual genera que varios usuarios hayan fallado en su intento de conexin. Esto se puede
deber a que se abri un espacio nuevo en la una oficina donde no se tena contemplada la
red. Este tipo de reportes indican de manera puntual que AP est teniendo la falla y se
puede acudir directamente a esta zona para realizar una revisin exhaustiva y las pruebas
correspondientes.

76

Se pueden ejecutar reportes de inventario para saber la cantidad de AP existentes y

las versiones de sistema operativo actuales, con el fin de mantenerlos actualizados y llevan
un control de los mismos. El reporte se muestra a continuacin:

Imagen 4.2.3 Reporte de Access Point

77

Tambin parte de los reportes de Inventario ofrecen informacin de cada AP

(Nombre, MAC Address, Direccin IP, Modelo y Controlador al cual est asociado). El
reporte se muestra a continuacin:

Imagen 4.2.4 Inventario de Access Point por ubicacin

78

El WCS puede ser personalizado para poder asignar nivel de alertas a los eventos
que se presentan, esto es de mucha ayuda debido que se pueden clasificar las
caractersticas que requieren ser monitoreadas. A continuacin se muestra la imagen con
algunas de las alertas detectadas por el equipo.

Imagen 4.2.5 Alertas

79

Las alertas existentes pueden ser visibles para el administrador cuando est
conectado al WCS. Muchas de estas alertas pueden ser crticas y por lo tanto requerir una
atencin inmediata.
Imagen 4.2.6 Configuracin de Severidad

80

Esta herramienta ofrece la opcin de enviar notificaciones va correo a los

responsables de la red con el fin de atender de manera inmediata los problemas crticos
que se presenten. A continuacin se muestra la opcin donde se puede realizar tal
configuracin:
Imagen 4.2.7 Configuracin de notificaciones

Otra caracterstica importante es la optimizacin de un proyecto es mantener

actualizados los equipos, esto para gozar de nuevos features para la red y mantenerla
estable. Optimizar los recursos de los equipos (CPU y Memoria).
Tambin se deben mantener actualizados los drivers de las tarjetas de red de los
usuarios. Este punto es primordial, ya que se puede tener una excelente infraestructura de
red pero los usuarios no cumplen con los requerimientos necesarios. Esto puede generar
una mala percepcin acerca de la confiabilidad de las redes inalmbricas.

Para mantener esta actualizacin existe un programa de investigacin llevada a cabo

por Cisco donde se indica el driver y la versin que debe tener cada tipo de tarjeta
inalmbrica existente en el mercado

81

A continuacin se muestra un ejemplo de un modelo de tarjeta Atheros donde se

describe la versin y la verificacin de compatibilidad con la infraestructura Cisco.

Imagen 4.2.8 Compatibilidad con los productos Cisco

Para finalizar con el proceso de Optimizacin se entrega al cliente una serie de

recomendaciones para el mantenimiento de los equipos, estas incluyen:

Fechas y actividades para un mantenimiento preventivo de los equipos, es decir una

limpieza fsica para evitar que se daen con el polvo y dems partculas que se
acumulan en los circuitos.

Como manipular los equipos en caso de movimiento fsico o remplazo de alguna

parte daada.

Recomendaciones para la actualizacin de sistemas operativos y nuevos parches.

Realizacin de manuales de operacin para que cualquier ingeniero que asuma la

responsabilidad de la operacin tome el control total de manera rpida y eficiente.

82

Conclusin
Las redes inalmbricas han tenido un crecimiento considerable en los ltimos aos,
actualmente se estn presentando como una opcin importante para diversas unidades de
negocio debido a las ventajas que ofrecen respecto a las redes cableadas. Este auge ha
impulsado a los fabricantes y organismos internacionales involucrados a continuar con el
desarrollo de esta tecnologa.

El mbito laboral exige que los egresados ofrezcan un valor agregado a su trabajo, es
decir no solo conocimiento tcnico. Las mejores oportunidades de trabajo requieran que el
ingeniero tenga la capacidad de interactuar con grupos de profesionistas de distintas reas,
ser proactivo y anticiparse a los problemas, tener actitud positiva para mantener un
aprendizaje continuo, ser responsable y respetuoso del trabajo de los dems as como
tener la capacidad de tomar decisiones importantes. La UNAM y la Facultad de Ingeniera
en su conjunto ofrecen un perfil integral de Ingeniero, el cual adems de una tener una
excelente preparacin terica es complementada con habilidades sociales y humanas
capaz de posicionarnos como la mejor opcin en competencia laboral

En estos aos de experiencia laboral he tenido la oportunidad de trabajar en

empresas importantes donde he podido desarrollarme de manera importante e ir creciendo
tcnica y personalmente. La posibilidad de participar en diversos proyectos de redes, todos
ellos con tecnologa Cisco combinado con la empata que como Consultor se debe
mantener con el Cliente me han enriquecido como Ingeniero y como ser humano.

La implementacin de esta red inalmbrica es uno de los proyectos ms grandes e

interesantes en los que he participado, en esta solucin tuve la posibilidad de ser el lder
tcnico desde su fase de Preparacin hasta la Optimizacin del mismo, tuve oportunidad de
poner en prctica cada una de mis habilidades y obtener los resultados esperados. La
responsabilidad de estar al frente de un proyecto de esta magnitud ha sido el premio al
esfuerzo y trabajo arduo que he realizado desde mi egreso de la Facultad.
83

Los conocimientos adicionales que he adquirido con el estudio de las certificaciones

de Cisco son cruciales para poder desarrollar un proyecto de esta magnitud. Las
certificaciones le han dado un valor muy importante a mi trabajo desde que inici como
Ingeniero de redes, sin el conocimiento adquirido en ellas sera muy complicado ser
contemplado para liderar proyectos importantes, sin embargo la formacin que tuve en la
Facultad me ha dado la habilidad de poder entender la informacin tcnica de la tecnologa
Cisco (autoestudio) y obtener las certificaciones, as como abordar y resolver cada uno de
los desafos que se presentan en la vida laboral del ingeniero.

84

Bibliografa
CCNP Cisco Certification Guide
Clare Goug
Cisco Press; 3 edition (December 12, 2003)
ISBN-10: 1587201046

CCNA Wireless Official Exam Certification Guide

Brandon James Carroll
Cisco Press; 1 edition (November 2, 2008)
ISBN-10: 1587202115

CCNA Routing & Switching Official Exam Certification Guide

Wendell Odom
Cisco Press; 2 edition (September 9, 2007)
ISBN-10: 9781587201813

Deploying Cisco 440X Series Wireless LAN Controllers

http://www.Cisco.com/en/US/docs/wireless/technology/controller/deployment/guide/dep.html
Fecha ltima de consulta: 20 Mayo 2011

Configuration Guide for Cisco Secure ACS 4.1

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.1/
configuration/guide/cfg41.html
Fecha ltima de consulta: 20 Mayo 2011

Cisco Aironet Antennas and Accessories Reference Guide

http://www.Cisco.com/en/US/prod/collateral/wireless/ps7183/ps469/product_data_sheet09186a0080
08883b.html
Fecha ltima de consulta: 20 Mayo 2011

http://en.wikipedia.org/wiki/OSI_model
Fecha ltima de consulta: 20 Mayo 2011
85

Glosario
Access Point
Es un dispositivo que permite la comunicacin de diversos dispositivos sin la
necesidad de un cable que los una lgicamente. Los Access Point se conectad a una
red cableada a travs de la cual se convierten en el punto de acceso a todos los
recursos de red, mismos que ofrecen a travs de ondas de radio frecuencia.

ACS (Access Control System)

Servidor que ofrece servicios de autenticacin, autorizacin y contabilizacin
para usuarios y equipos de red como Routers, Switches, Access Point, etc., con la
finalidad de mantener un robusto sistema de seguridad en las redes de datos. Ese
equipo es del fabricante Cisco y corre en existe en plataforma Linux y Windows
Server.

Broadcast Domain
Se entiende como una segmentacin lgica de una red de computadoras en
la cual todos los nodos son alcanzables entre s a nivel de capa 2 del modelo OSI.

CCNA
Cisco Certified Network Associate, es una certificacin de segundo nivel de
Cisco que valida la habilidad de instalar, configurar, operar y resolver problemas de
redes de datos.

CCDA
Cisco Certified Design Associate, certificacin de Cisco de segundo nivel que
valida el diseo de redes de datos.

86

CCVP
Cisco Certified Voice Professional, es una certificacin de Cisco de nivel tres
que cubre todos los aspectos de redes y aplicaciones de Telefona IP. Esta
comprendida por 5 examenes.

Collision Domain
Es un segmento de red compartido donde existen colisiones cuando ms de
un dispositivo intenta enviar un paquete en la red al mismo tiempo, un ejemplo de
esto son los Hub. Cada puerto de un Switch es conocido como Collision Domain. En
otras palabras un Switch (Capa 2) divide los Collision Domains mientras que un
Router (Capa 3) divide Broadcast Domains.

DNS
Domain Name System es un sistema jerrquico de nombres

para

computadoras, servicios o cualquier recurso de red conectado a Internet o a una red

privada, su principal funcin es transformar un nombre de una computadora o sitio
web a una direccin IP capaz de ser reconocida y ubicada en la red mundial o local.

DHCP (Dynamic Host Configuration Protocol)

Dynamic Host Configuration Protocol es un protocolo de red encargado de
asignar una direccin IP (identificador nico y necesario para que una equipo pueda
comunicarse en una red) a equipos as como otros valores necesarios para su
comunicacin. La manera de funcionar inicia cuando el cliente (equipo) enva una
peticin de Broadcast, un Servidor de DHCP (previamente configurado) recibe dicha
peticin y la responde con la informacin preconfigurada en dicho Servidor, esta
informacin es direccin IP, mascara de subred, puerta de enlace (Default Gateway)
y DNS.

87

Firewall
Barrera creada por dispositivos basada en un conjunto de reglas de seguridad
que permiten mitigar accesos no autorizados a diferentes recursos de voz y datos
con la finalidad de mitigar u ofrecer el paso al trfico de red.

Granja de Servidores
Conjunto de servidores con capacidades mas all de las computadoras
comunes que alojan informacin crtica para la empresas ofreciendo redundancia en
datos y energa los cuales estn conectados al Core de la red datos. Algunas de las
aplicaciones comunes son, Correo electrnico, DNS, DHCP, Antivirus, etc.

H-REAP
Hybrid Remote Edge Access Point, solucin de Cisco que permite que los
Access Point alojados en oficinas remotas puedan ofrecer servicios de red a travs
de una red (WAN) sin la necesidad de instalar un dispositivo controlador de manera
local.

Mobility Domain
Dominio al que pertenecen los dispositivos inalmbricos que ofrece la
capacidad de moverse de un Access Point de manera segura y sin perder
comunicacin. Esta caracterstica es ofrecida por los Controladores Inalmbricos.

RFP
Request For Proposal, es un conjunto de requerimientos solicitados en la
invitacin de una empresa con la finalidad de tomar la mejor decisin en el desarrollo
de un proyecto. Este documento estructurado ofrece el anlisis de factibilidad,
riesgos y procesos a seguir. Son utilizados en las licitaciones.

88

Roaming
Es la capacidad que tiene un dispositivo inalmbrico de poder cambiar su
asociacin de un Access Point a otro sin perder la comunicacin con la red.

SFP
Small Form-Factor Pluggable es una interface Gigabit que se conecta a un
Puerto Ethernet para unir dos dispositivos, se usa fibra ptica como medio fsico de
conexin.

Site Survey
Es una inspeccin realizada para obtener la informacin necesaria para poder
disear o estimar las tareas a seguir en una actividad. Incluye ubicacin y orientacin
precisa as como anlisis de obstculos.

Trunk
Es una conexin lgica que ofrece un acceso compartido a diversos
dispositivos pertenecientes a diferentes segmentos lgico capaces de converger en
es un punto.
Un trunk permite identificacin de la VLAN para poder comunicar a usuarios
pertenecientes al mismo Broadcast Domain pero conectados en Switches separados
a travs de un enlace. Este enlace lgico es conocido con Trunk y es capaz de
identificar el VLANID para mantener la comunicacin entre equipos.

La IEEE cre un estndar para marcar paquetes e identificar la VLAN a la que

pertenecen. El protocolo es 802.11Q y es el encargado de que un Trunk funcione, es
decir un puerto configurado como Trunk deber ser marcado con este tipo de
encapsulamiento. Los puertos configurados como Trunk son capaces de permitir el
paso de todas las VLANs configuradas en los Swtiches. Existe una caracterstica
llamada VLAN Nativa y esto simplemente se entiende como una VLAN sin marcar,
es decir no es identificada. Por default, los Switches Cisco estn configurados en la
VLAN 1 y est es la nativa.
89

VLAN (Virtual LANs)

VLAN = Broadcast Domain. Una VLAN es una divisin lgica de los puertos
en un Switch a la que se asocia un identificador ID, esto permite asignar puertos a
cierto sermento de red, los miembros de esta VLAN sern capaces de comunicarse
entre ellos mientras que para lograr la comunicacin entre puertos asignados a
diferentes VLAN deber existir un dispositivo Capa 3. Esta comunicacin existe sin
importar la ubicacin fsica de los dispositivos.

WCS
Wireless Control System, es una herramienta de red capaz de administrar,
operar Controladores Wireless, a travs de un Servidor

central que corre en

Windows Server. Dicha herramientos es capaz de generar alertan basadas en reglas

preconfiguradas con la finalidad de mantener la red inalmbrica monitoreada.

WLAN
Wireless LAN se entiende como una VLAN en el mbito inalmbrico, dicha
VLAN est asociada con el SSID que los Access Point publican el cual las tarjetas de
red inalmbricas son capaces de detectar.

WLC
Wirelees LAN Controller, equipo de red Cisco el cual es el centro de operacin
de una red unificada, es capaz de ofrecer configuracin, servicios de roaming,
anlisis de interferencias y administracin de los Access Point.

90

Anexo
Las redes inalmbricas son aquellas capaces de trasmitir informacin sin que existan
cables de por medio, la comunicacin se hace mediante ondas de radio frecuencia.
Transmisin y recepcin de datos son realizadas a travs de Access Point (AP). Algunas de
las ventajas ms importantes son la fcil y rpida instalacin sin la necesidad de usar
cableado estructurado, adems permiten que los usuarios tengan movilidad, y a diferencia
de las redes cableadas, ests tienen mucho menor costo de implementacin y
mantenimiento.

Actualmente las redes inalmbricas han tenido una gran demanda no slo en los
hogares, tambin en el sector corporativo, educativo y gubernamental donde ha surgido la
necesidad de diversificar sus servicios y aprovechar las bondades que ests redes ofrecen.
Una de las malas concepciones que an persisten en las redes inalmbricas es la
seguridad de los datos, esto debido a que la informacin est en el ambiente a travs de
ondas de radio frecuencia y los mtodos dbiles de encriptacin que las primeras
implementaciones mostraron, y que an prevalecen en diversos sitios, han generado esa
mala reputacin acerca de su confiabilidad.

Actualmente las empresas requieren de servicios de correo electrnico, archivos

compartidos, impresin, internet, voz y video donde no es posible llegar mediante cables,
ya sea falta de presupuesto o limitaciones por renta de espacios en oficinas han generado
que la tecnologa inalmbrica haya tenido un crecimiento enorme en los ltimos aos. Estas
necesidades han motivado el desarrollo de la tecnologa, uno de los ms importantes es el
cambio de paradigma inalmbrico descentralizado (Autnomo) a uno ms robusto y
confiable, redes inalmbrica Unificadas, con mejores niveles de seguridad y mayor ancho
de banda.

91

En los fundamentos necesarios para la correcta comprensin de este informe se

cubrirn los estndares de la IEEE 802.11, las bandas A, B, G y N, as como conceptos
importantes de redes como VLAN, interfaces, Trunks, SSID, encriptacin, autenticacin,
comparacin entre una solucin autnoma y una unificada y las opciones de seguridad
existentes en la actualidad, esta informacin se incluye a continuacin.

Introduccin a la Tecnologa Inalmbrica

En un nivel muy bsico podemos entender una red switcheada la que est compuesta
con cables y una red inalmbrica es aquella no los requiere, esta concepcin es muy lgica
y simple pero es la mayor de las diferencias en la capa fsica del modelo OSI (Capa 1).

Una red tradicional Ethernet est definida por el estndar IEEE 802.3. Cada conexin
debe operar bajo las ciertas condiciones establecidas, especialmente hablando de un
estado de link, es decir velocidad, modo dplex, etc. De la misma manera las redes
inalmbricas se rigen bajo ciertas condiciones, en este caso es el estndar IEEE 802.11.

Las redes Ethernet cableadas deben transmitir y recibir paquetes de acuerdo al

mtodo Carrier Sense Multiple Access/Collision Detection (CSMA/CD). En una red Ethernet
compartida con una PC comunicndose en half-duplex, la PC debe escuchar el medio
antes de mandar informacin, esto para evitar colisiones. En el caso de conexiones fulldplex se tiene comunicacin bidireccional.

Una red inalmbrica es un medio compartido, donde la informacin va en el aire y es

susceptible a colisiones, es decir que su comportamiento puede entenderse como una red
half-duplex. La razn por la cual las redes inalmbricas presentan colisiones es porque
usan la misma frecuencia (Hz) para enviar y recibir datos.
Otro punto en contra de las transmisiones RF es que las ondas son absorbidas,
refractadas o reflejadas por paredes, agua y superficies metlicas las cuales generan
degradacin de la potencia de la seal.
92

Debido a estas situaciones las redes inalmbricas se tornan un tanto inestables por
los factores ambientales y por lo tanto no deben ofrecerse como redes tan robustas con las
cableadas (no para una operacin CORE), es decir no como la conexin primaria de una
empresa. Sin embargo ofrecen grandes ventajas y cada da su comportamiento es ms
estable y seguro.
Uno de los retos ms fuertes en las redes inalmbricas es la distorsin de la seal y
esto sucede frecuentemente cuando se aumenta la potencia (ganancia) de las antenas para
cubrir un mayor espacio, lo cual no es necesariamente lo correcto. Por otro lado si se desea
transmitir a mayor ancho de banda debe hacerse en frecuencias altas, sin embargo el rea
de cobertura (distancia) decrece de manera proporcional. Por el contrario si deseamos
cubrir distancias mayores se debe hacer en bajas frecuencias lo cual generar menor
velocidad de transmisin. Este punto es importante cuando se trabaja en los requerimientos
del cliente ya que las situaciones siempre son distintas.

El estndar inalmbrico (802.11) es un conjunto de especificaciones desarrolladas por

diversas agencias y grupos para marcar la pauta en esta tecnologa, esto para generar
comunes denominadores que puedan ser utilizados por todos los fabricantes. Las agencias
ms importantes son las siguientes:

Tabla Anexo 1.0 Estndares IEEE

Agencia
Institute of Electrical and Electronic
Engineers (IEEE)
Federal Communications Commission (FCC)

Actividad
Crea y mantiene los estndares en
Operacin
Regula los dispositivos inalmbricos
en Estados Unidos

European Telecommunications Standards

Genera estndares comunes en Europa

Institute (ETSI)
Wi-Fi Alliance

Prueba y promueve la interoperabilidad de las

redes inalmbricas

93

Debido a que las redes inalmbricas se transmiten a travs de radio frecuencias estas
deben ser reguladas de la misma manera como lo hace la radio AM/FM. La FCC regula el
uso de dispositivos inalmbricos y la IEEE toma esas regulaciones para crear estndares.

La FCC tiene tres bandas no licenciadas para uso pblico: 900 MHz, 2.4 GHz y 5.7
GHz. Las bandas de 900 MHz y 2.4 GHz son conocidas como Industrial, Scientific, and
Medical (ISM) Bands y la banda de 5 GHz es conocida como Unlicensed National
Information Infrastructure (UNII).
Es decir que si se quiere realizar una implementacin fuera de estas tres bandas se
debe solicitar una licencia especfica de la FCC. Al ofrecer las bandas no licenciadas
muchas empresas se dedicaron a desarrollar productos dentro de este espectro dentro de
las cuales la que ms auge ha tenido es la banda 802.11b/g la cual opera en 2.4GHz. La
Wi-Fi Alliance se ha encargado de certificar la interoperabilidad de todos estos productos
que se encuentran en el mercado.

Estndar 802.11
802.11 es un conjunto de estndares para las redes inalmbricas (WLAN) que usan
frecuencias en las bandas 2.4 y 5 GHz los cuales fueron creados para sentar las bases de
las comunicaciones y definir protocolos. La siguiente tabla muestra los estndares
existentes en la actualidad.
Tabla Anexo 1.1 Estndar inalmbricos
IEEE 802.11

54Mbps, 5GHz standard

IEEE 802.11b

Enhancements to 802.11 to support 5.5 and 11Mbps

IEEE 802.11c

Bridge operation procedures; included in the IEEE

802.1D standard

IEEE 802.11d

International roaming extensions

IEEE 802.11e

Quality of service

IEEE 802.11F

Inter-Access Point Protocol

IEEE 802.11g

54Mbps, 2.4GHz standard (backward compatible with

802.11b)
94

IEEE 802.11h

Dynamic Frequency Selection (DFS) and Transmit Power

Control (TPC) at 5Ghz

IEEE 802.11i

Enhanced security

IEEE 802.11j

Extensions for Japan and U.S. public safety

IEEE 802.11k

Radio resource measurement enhancements

IEEE 802.11m

Maintenance of the standard; odds and ends

IEEE 802.11n

Higher throughput improvements using MIM(multiple

input, multiple output antennas)

IEEE 802.11p

Wireless Access for the Vehicular Environment (WAVE)

IEEE 802.11r

Fast roaming

IEEE 802.11s

Extended Service Set (ESS) Mesh Networking

IEEE 802.11T

Wireless Performance Prediction (WPP)

IEEE 802.11u

Internetworking with non-802 networks (cellular)

IEEE 802.11v

Wireless network management

IEEE 802.11w

Protected management frames

IEEE 802.11y

36503700 operation in the U.S.

Estndar 802.11 b (2.4GHz)

Primero de la lista 802.11 b fue el estndar ms implementado en el mercado
operando a 2.4 GHz y ofreciendo diversas velocidades de transmisin de hasta 11 Mbps.
Un punto interesante de las redes inalmbricas es que tienen la habilidad de moverse a
diferentes velocidades de transmisin, es decir una persona pueda estar conectada a 11
Mpbs e irse alejando del Access Point y pasar a 5 Mbps, despus a 2 Mbps y finalmente
seguir conectado a 1 Mpbs. Los Access Point tienen la habilidad de ofrecer diferentes
velocidades a distintos usuarios dependiendo su ubicacin.

95

El problema de 802.11b recae en la capa 2 (Data link), para resolver los problemas de
colisin en el espectro RF se cre el llamado CSMA/CA Carrier Sense Multiple Access with
Collision Avoidance o tambin llamado RTS/CTS Request To Send, Clear To Send, nombre
tomado por su manera de operar. Cada paquete enviado por el Access Point debe recibirse
un acknowledgment (paquete de recibido), es un proceso engorroso pero realmente
funciona.

Estndar 802.11g (2.4GHz)

Este estndar fue ratificado en 2003 y compatible con 802.11b. 802.11g entrega
hasta 54Mbps y funciona en la misma banda que 802.11b (2.4GHz).
Tabla Anexo 1.3 Estndar 802.11g

El hecho de que 802.11b/g funcionen en la misma banda de 2.4 GHz hace que una
migracin de infraestructura entre ellas sea muy suave respecto a los clientes (tipo de
tarjetas inalmbricas). Se debe tomar en cuenta que la migracin de 802.11b hacia 802.11g
no es va software aunque trabajen en la misma frecuencia, ya que usan diferentes chips en
los radios, razn por la cual trabajan a velocidades distintas.

96

Si se tiene un Access Point en 802.11b y tienen tarjetas 802.11g, la mxima velocidad

a la que trabajarn es 11Mbps, y si se tiene un Access Point 802.11g los usuarios en
802.11g trabajarn hasta 54Mbps y los 802.1b hasta 11Mbps, sin embargo si un usuario
802.11 g no logra asociarse en su banda y lo hace en 802.11b puede impactar en el
rendimiento de la red, por lo tanto se recomienda deshabilitar el radio b si slo se tiene
clientes en g.

La diferencia de las bandas radica en la tcnica de modulacin que utilizan, 802.11b

usa Direct Sequence Spread Spectrum (DSSS) la cual no es tan robusta como la que usan
802.11 a/g Orthogonal Frequency Division Multiplexing (OFMD), los clientes que trabajan
en 802.11 a/g realmente perciben un mejor comportamiento que 802.11b.

La siguiente figura muestra los 14 diferentes canales, cada uno con 22MHz de
amplitud permitidos por la FCC para la banda de 2.4GHz. Sin embargo slo 11 canales son
configurables y tres de no traslape (es decir que no se interfieren), 1, 6 y 11. Esto limita a
usar slo estos tres canales en una misma rea sin generar interferencia.
Tabla Anexo 1.4 Canales en 2.4 GHz

97

Estndar 802.11a (5GHz)

La IEEE ratific este estndar en el ao 1999. 802.11a entrega hasta 54 Mbps con 12
canales sin traslape, lo cual parece muy interesante.
Tabla Anexo 1.5 Canales en 5 GHz

Operar en la banda 5Ghz tiene la ventaja de ser inmune a las interferencias de

dispositivos que operan en la banda de 2.4GHz como hornos de microondas, telfonos
inalmbricos y dispositivos Bluetooth. 802.11a no es compatible con 802.11b/g por trabajar
en frecuencias distintas pero tienen la posibilidad de convivir sin que se genere conflicto
alguno.

Tambin 802.11a es capaz de trabajar a distintas velocidades desde 54Mbps

movindose a 48Mbps, 36Mbps, 24Mbps, 18Mbps, 12Mbps, 9Mbps y finalmente a 6Mbps.

Tabla Anexo 1.6 Comparativa de bandas

802.11b

802.11g

802.11a

2.4GHz

2.4GHz

5GHz

La ms comn

Alto rendimiento

El mayor rendimiento

Hasta 11 Mbps

Hasta 54 Mbps

Hasta 54 Mbps

98

DSSS

DSSS/OFDM

OFDM

3 canales de no traslape

3 canales de no traslape

Distancia limitada por

Multipath

Rendimiento degradado Poca penetracin

por clientes en 802.11b
Mercado

Hasta 23 canales de no
traslape
Alrededor de 25 clientes por Alrededor de 20 clientes Alrededor de 15 clientes
clula
por clula
por clula
en

el

Estndar 802.11n (2.4GHz/5GHz)

802.11n fue creada sobre el estndar previo 802.11 agregando MIMO (Multiple-Input
Multiple-Output) le cual emplea mltiples antenas que reciben y envan para incrementar el
rendimiento. 802.11n puede manejar hasta ocho antenas, sin embargo la mayora de los
Access Point de hoy en da slo usan cuatro. Frecuentemente son llamadas antenas
inteligentes, por ejemplo si se tienen cuatro antenas, dos son usadas para transmitir y dos
para recibir de manera simultnea. Esta caracterstica ofrece mayor ancho de banda que
802.11a/b/g, aproximadamente 300 Mbps. Este estndar fue ratificado en Septiembre de
2009.
Tabla Anexo 1.7 Comparativa de cobertura

99

El Modelo OSI
El Open System Interconnection Reference Model (OSI) es una descripcin abstracta
para las comunicaciones y el diseo de los protocolos de red. Fue desarrollado por Open
Systems Interconnection (ISO). En su forma bsica divide la arquitectura de red en siete
capas las cuales son de arriba hacia abajo, Aplicacin, Presentacin, Sesin, Transporte,
Red, Datos y Fsica.
Una de las grandes funciones de OSI es asistir en la transferencia de datos entre
distintos hosts, por ejemplo es capaz de comunicar y transferir informacin entre un PC y
una Mac o un host Linux. La tres capas superiores definen como las aplicaciones entres
host se comunican de un lado al otro. Las otras cuatro capas definen como se transmiten
los datos.
Tabla Anexo 1.8 Modelo OSI

100

Aplicacin

La capa de Aplicacin es la ms cercana al usuario final, lo cual significa que el

usuario interacta directamente con el software. Algunos de los protocolos en esta capa
son HTTP, FTP, SMTP, Telnet, etc.

Presentacin

La capa de Presentacin consigue su nombre de su comportamiento, presenta los

datos a la capa de Aplicacin y es responsable de traslacin de datos y codificacin. Tareas
como compresin, descompresin, encriptacin, desencripcin se llevan a cabo en esta
capa.

Sesin

Esta capa es responsable de iniciar, administrar y finalizar las sesiones entre los
usuarios.
Tabla Anexo 1.8.1 Modelo OSI

101

Transporte

Esta capa es encargada de segmentar los datos y reensamblarlos as como del

trasporte de los mismos estableciendo una conexin lgica entre ambos nodos y correccin
de errores, un ejemplo es TCP.

Red

Esta capa administra el direccionamiento de los equipos, localiza la ubicacin de los

equipos en la red y determina la mejor ruta para comunicarlos, los Routers se ubican en
esta capa.

Datos

Esta capa ofrece transmisin fsica de datos y manejo y notificacin de errores,

topologa de la red y control de flujo. Ejemplos de esta capa son ARP, Frame Relay y PPP.
Aqu es donde se ubica el estndar 802.11.

Fsica

Esta capa es la encargada de enviar y recibir bits. Aqu se definen las

especificaciones elctricas, es decir la relacin entre el dispositivo y el medio. Incluye
voltajes, especificaciones de cables y el ms claro ejemplo son los Hubs y Repetidores.

102

Comunicacin Inalmbrica
Una PC con una tarjeta inalmbrica es encendida en cualquier lugar y requiere
conectarse a una red, naturalmente hay ciertas paquetes de negociacin que necesita
enviar y recibir antes de iniciar una comunicacin con otro dispositivo. Qu informacin
necesita?

SSID

En la terminologa de la IEEE cualquier grupo de dispositivos inalmbricos es

conocido como Service Set los dispositivos deben compartir un comn Service Set Identifier
(SSID) la cual es una cadena de texto incluida en cada paquete enviado. Si el SSID
coincide entre el transmisor y el receptor los dispositivos podrn comunicarse.

La PC como un usuario final se convierte en un cliente de la red inalmbrica, la cual

debe tener un adaptador (tarjeta de red) y un suplicante (software que interacta con los
protocolos inalmbricos).

IBSS

El estndar 802.11 permiten que dos o ms dispositivos inalmbricos se comuniquen

directamente entre ellos sin la conectividad de una red. Esto se conoce como red
inalmbrica Ad-Hoc o Independent Basic Service Set (IBSS).

BSS

Un Basic Service Set (BSS) centraliza el acceso y el control de un grupo de

dispositivos inalmbricos colocando un Access Point (AP) para lograrlo. Cualquier cliente
que intente usar esta red deber tener primero una membreca con el AP. El AP puede
requerir uno o ms de los siguientes criterios para permitir que un usuario se una a l.
103

Coincidencia del SSID

Compatibilidad inalmbrica de velocidad (802.11a/b/g)

Credenciales de autenticacin

La membreca con el AP es conocida como asociacin. El cliente debe enviar un

mensaje de peticin de asociacin, el AP es capaz de aceptarlo o rechazarlo enviando de
regreso un mensaje de respuesta. Una vez lograda tal asociacin toda la comunicacin
desde y hacia el cliente debe pasar por el AP. La diferencia con el IBBS (Ad-Hoc) es que el
BSS siempre requiere de un AP para comunicarse.

NOTA: Deben tener en cuenta que sin importar el estado de asociacin, las PCs son
capaces de escuchar y/o recibir paquetes existentes en el medio inalmbrico. Estos
paquetes viajan libremente en el ambiente esperando que alguien dentro de su rango los
reciba.

Un AP no es un dispositivo pasivo como un Hub, el AP es capaz de darse cuenta de

la existencia de los usuarios asociados y controlar el proceso de comunicacin, es capaz de
evitar colisiones mientras fluyen los datos.

104

ESS

Extended Service Set es el escenario cuando dos AP estn comunicados a travs de

una red cableada (Switch) un cliente es capaz de moverse estando asociado del AP1 al
AP2 sin perder la comunicacin (Roaming).

Tabla Anexo 1.10 Comparacin entre Service Sets

Operacin de los Access Point

La funcin principal de un Access Point es ser un puente para los datos inalmbricos
hacia una red cableada. Un AP acepta conexiones de un nmero de usuarios, los cuales se
convierten en miembros de la red WLAN de la misma manera que lo hacen los usuarios
cableados (LAN).
Un AP puede actuar como un puente entre dos redes LAN divididas por una distancia
considerable. En este caso se debe contar con una lnea de vista entre los AP los cuales
son instalados tpicamente para ofrecer conectividad entre dos edificios.
105

Cisco ha desarrollado plataforma de Access Point que pueden intercambiar trfico de

AP a AP lo cual permite que una gran rea pueda ser cubierta con slo dispositivos
inalmbricos sin la necesidad de cableado de red. Los AP forman una topologa de malla
(Mesh) muy parecida el ESS, donde los usuarios son capaces de mantener la
comunicacin pasando sus servicios de una AP a otro.
Un Access Point funge como un punto central de acceso (de ah su nombre),
controlando el acceso de los clientes a la red. Cualquier usuario que intente usar la red
inalmbrica primero debe establecer una asociacin con el AP. El AP pude permitir un
acceso abierto donde cualquier usuario podra asociarse o tambin poda limitar el ingreso
con credenciales de autenticacin o algn otro criterio configurado previamente.

La operacin de una red inalmbrica est amarrada a un comportamiento de

retroalimentacin de un dispositivo con un AP. Por ejemplo, los clientes deben negociar con
un AP antes de su asociacin para poder usar los recursos. En su nivel ms bsico esto
asegura una conexin en dos vas porque ambos dispositivos (AP y cliente) son capaces de
enviar y recibir paquetes de peticin y aceptacin. Este proceso elimina cualquier
posibilidad de comunicacin unidireccional, donde el cliente puede escuchar al AP pero el
AP no puede escuchar al cliente.

Tambin el AP puede solicitar diversos aspectos de control para su acceso en cada

SSID, por ejemplo el AP puede requerir soporte de ciertas velocidades de transmisin,
condiciones de seguridad, credenciales de asociacin, encriptacin, etc.

Un AP es capaz de mapear (relacionar) un SSID con una VLAN. La parte izquierda de

la siguiente figura se muestra que la VLAN 10 de la red cableada genera una extensin a
travs de AP conectado a un puerto de acceso del Switch. El AP mapea la VLAN 10 a una
red inalmbrica usando el SSID Ventas. Los usuarios asociados al SSID Ventas
aparecern conectados a la VLAN 10.
Este concepto puede ser extendido a mapear mltiples VLANs a mltiples SSIDs.
Para lograr esto el AP debe estar conectado a un puerto del Switch configurado como
puerto Trunk capaz de permitir el paso de las VLANs.
106

En la parte derecha de la figura VLAN 10 y VLAN 20 pasan va el Trunk del AP. El AP

usa 802.1Q para realizar el mapeo VLAN-SSID. La VLAN 10 est mapeada al SSID
Ventas y la VLAN 20 al SSID Ingeniera.

Tabla Anexo 1.11 VLAN en los Access Point

107

Clulas Inalmbricas
Un AP slo puede ofrecer servicio a usuarios que estn dentro de su rango de
cobertura. El rango de la seal del AP est definido por el patrn de radiacin de la antena.

La ubicacin del AP debe ser cuidadosamente planeada para que su rango de

cobertura coincida con el rea que nos interesa cubrir.

El diseo puede hacerse con un mapa del fsico del lugar a implementar, las redes
inalmbricas trabajan en condiciones cambiantes por lo tanto se debe poner cuidado
especial en las ubicaciones, ya que los AP se mantendrn fijos pero los clientes se estarn
moviendo frecuentemente en todos los espacios del inmueble.

El movimiento de los clientes puede ocasionar que las reas de cobertura no se

mantengan como originalmente se plane, es decir si un cliente est detrs de una pared u
objetos dentro de una oficina o cruza una puerta, etc., se puede bloquear la seal que
perciben los usuarios y no cumplir con los requerimientos mnimos de cobertura.

Para garantizar una buena ubicacin de los AP y la cobertura en cada zona de inters
se debe realizar un Site Survey. Un Site Survey es una prueba donde se coloca un AP en
un lugar deseable y se realizan recorridos con equipos inalmbricos, aqu se registran
valores de potencia y calidad de la seal as como el nivel de ruido en el ambiente. La
intencin es poder moverse en cada espacio, incluso en aquellos donde normalmente no se
encontrara un usuario, pasando por los diferentes obstculos existentes que generen
perdida de la seal Signal Loss.

108

El rea de cobertura de un AP es llamada Clula. Los clientes dentro de la Clula

pueden asociarse al AP y usar los servicios de la red inalmbrica. En la siguiente imagen
un cliente est ubicado fuera de la Clula, es decir ms all del alcance del rango de
cobertura del AP, por lo tanto no podr conectarse a la red.

Tabla Anexo 1.12 Clula Inalmbrica

Tericamente un AP en un espacio interior es capaz de cubrir hasta 30 metros de

radio, es decir los clientes podrn moverse dentro de este espacio. Para expandir el rea
de cobertura de la red inalmbrica otras Clulas deben ser colocadas alrededor unas de las
otras donde los clientes se ubican, aunado a esto se debe garantizar un pequeo
porcentaje de traslape (una clula sobre otra), como se muestra en la figura.

109

En los diseos donde existe un traslape los AP adyacentes no puede operar en la

misma frecuencia, si dos AP vecinos usan la misma frecuencia se interferirn, as que en el
diseo se debe tener cuidado correcta eleccin de los canales.

Tabla Anexo 1.13 Canales sin traslape

Como lo muestra la figura, los AP se encuentran en canales distintos y una vez que el
cliente se asocie al primer AP ser capaz de pasar a travs de todo el espacio sin perder la
conectividad. Este movimiento se llama Roaming, el cual es el paso de un cliente de un
punto a otro, experimentado asociaciones en diferentes AP sin perder la comunicacin.

Cuando un cliente se mueve de un AP a otro su asociacin debe establecerse con el

nuevo AP. Todos los datos que el cliente necesita para el Roaming son enviados del AP
original al nuevo AP, de esta manera el cliente slo est asociado a un AP a la vez. Cuando
se disea una solucin de debe tratar de utilizar la mxima rea de cobertura que ofrece el
AP (configurando este parmetro en el equipo), esto reducir la cantidad de AP as como el
costo del proyecto, sin embargo los requerimientos del cliente pueden ser distintos en cada
instalacin, es decir se debe considerar la cantidad de usuarios por rea, la demanda de
ancho de banda para tipos de trfico como voz y video y distintas aplicaciones.

110

Caractersticas de Radiofrecuencia

Las seales de radiofrecuencia atraviesan el aire en ondas electromagnticas, en

una situacin ideal una seal debera llegar al receptor exactamente como la enva el
trasmisor, en el mundo real esto no sucede. La seal es afectada por diversos factores,
objetos y materiales que se encuentran en su viaje entre el transmisor y el receptor. A
continuacin explico algunos de estas condiciones.
Reflexin
Si una seal que viaje por el aire encuentra un material denso sta podra reflejarse.
Pensemos en una luz emitida desde un bulbo y toda la luz que viaja y lo atraviesa en todas
las direcciones, algo puede ser reflejado por los objetos del lugar. La luz reflejada puede
regresar a travs del bulbo o hacia otras direcciones dentro del mismo lugar.
La siguiente figura muestra esta reflexin. En ambientes interiores se presenta este
fenmeno con gabinetes, elevadores o puertas de metal, en exteriores los cuerpos de agua,
rboles o la capa atmosfrica la generan.
Tabla Anexo 1.14 Reflexin de seal

111

Refraccin
Cuando una seal se encuentra entre dos medios de diferentes densidades puede
sufrir refraccin. Una seal refractada tendr un ngulo diferente al original y la velocidad
de la onda puede reducirse. La figura muestra este concepto.
Tabla Anexo 1.15 Refraccin de seal

Antenas

Un AP slo puede ofrecer servicio a usuarios que estn dentro de su rango de

alcance, este rango es definido por un rea de cobertura emitida por una antena. Las
antenas son diseadas para diversos ambientes, la correcta implementacin de las antenas
en la solucin mejora considerablemente la cobertura y el performance de la red. El
conocimiento en la eleccin, el montaje, tipo de conectores, patrones de radiacin, etc.,
maximizarn la zona de cobertura lo cual se reflejar en una correcta implementacin.

Las antenas utilizadas por Cisco ofrecen bandas de 2.4- and 5-GHz:

2.4 GHz (2.4-2.4835 GHz)-IEEE 802.11b y g

5 GHz (5.15-5.35 and 5.725-5.825 GHz)- IEEE 802.11a

112

Cada rango ofrece caractersticas distintas. Las frecuencias bajas tienen mejor rango,
pero con un limitado ancho de banda. Las frecuencias altas tienen menor rango y estn
expuestas a mayores atenuaciones debido a objetos slidos.

Una antena brinda a un sistema inalmbrico (Access Point)

dos propiedades

fundamentales; ganancia y direccin. La ganancia es una medida del incremento de la

potencia. Direccin es el aspecto que tiene el patrn de transmisin.

El valor de la ganancia es medido en decibeles que es una razn entre dos valores.
Esta ganancia referenciada a una antena isotrpica, la cual es una antena terica con un
patrn de radiacin uniforme. dBi es usado para comparar el nivel de potencia de una
antena con una antena terica isotrpica. La FCC (Federal Communications Comision) usa
dBi en sus clculos. Una antena isotrpica se dice que tiene una potencia de 0 dB, es decir
cero ganancia/perdida cuando se compara consigo misma. A diferencia de las antenas
isotrpicas, la antenas dipolares son antenas reales (este tipo de antenas son estndar en
Cisco Access Point).
Las antenas dipolares tienen diferentes patrones de radiacin, 360 grados en el plano
horizontal y 75 grados en el plano vertical (asumiendo que la antena est colocada
verticalmente) y forma un patrn similar al aspecto de una dona.

Debido a que el haz est ligeramente concentrado, la antena dipolar tiene una mayor
ganancia sobre la antena isotrpica de 2.14 dB en el plano horizontal. Por lo tanto se dice
que las antenas dipolares tienen una ganancia de 2.14 dBi en comparacin con la antena
isotrpica. Por los valores de las antenas son denotadas como dBi.

113

Tipo de Antenas

La tecnologa Cisco ofrece diferentes estilos de antenas para los AP en la frecuencia

de 2.4GHz y tambin para 5 GHz. Estas antenas deber ser probadas y avaladas
previamente por la FCC. Cada antena ofrece diferentes capacidades de cobertura. En la
medida que la ganancia de la antena se incrementa tambin lo hace su cobertura. Algunas
antenas ofrecen amplias areas de cobertura en cierta direccin. Los tipos ms comunes
de antenas usadas son Omnidireccional, Yagui y Patch.

Una antena omnidireccional est diseada para ofrecer 360 grados de radiacin. Esta
antenas son usadas donde se quiere cobertura en todas las direcciones.
Tabla Anexo 1.16 Patrn de antena omni

Antenas direccionales tienen diferentes estilos y aspectos, no significa que estas

antenas agreguen la potencia a la seal si no que redireccionan la potencia ofreciendo
mayor energa en dicha direccin, debido a que la ganancia se incremente en este tipo de
antenas de la misma manera en ngulo se decrementa, lo cual ofrece mayores coberturas
a la distancia.

114

Ejemplo de estas antenas son Yagi y Patch.

Tabla Anexo 1.17 Patrn de antena patch

Tabla Anexo 1.18 Patrn de antena yagi

115

Las antenas en Sistema de Diversidad son usadas para eliminar el fenmeno

conocido como Distorsin de Mltiple trayectoria (Multipath Distortion) usando dos antenas
idnticas colocadas a cierta distancia para ofrecer mejor cobertura de un rea fsica.

La Distorsin de Mltiple Trayectoria ocurre cuando la seal de radiofrecuencia RF

tiene ms de una trayectoria entre en receptor y el transmisor. Esto ocurre en sitios donde
existen espacios metlicos amplios u otras superficies brillantes. De la misma manera que
la luz y el sonido rebota en los objetos, la seal de RF tambin, lo cual significa que hay
ms de una trayectoria entre la antena que enva y la que recibe los datos.

Esta multiplicidad de seales se combina y causan distorsin de la seal y a su vez

esto genera que los datos sean irrecuperables. El tipo y correcta posicin de las antenas
ayudan a eliminar este problema.

Una analoga a este tipo de fenmeno es cuanto detenemos el auto en un semforo y

la seal comienza a perderse, esto es justo porque en ese punto varias seales estn
convergiendo, sin embargo en la media que nos movemos hacia atrs o adelante la seal
se estabiliza nuevamente.

Tabla Anexo 1.19 Efecto Multipath Distortion

116

Red Inalmbrica Unificada

Existe un amplio rango de productos que soportan los estndares 802.11 a/b/g
incluso varios para n las cuales ofrecen diversas soluciones para ambientes de interiores
o exteriores. Estos productos incluyen Access Point, controladores inalmbricos,
adaptadores para clientes, servidores de seguridad y administracin, dispositivos de
administracin de la red y resolucin de problemas, servicios inalmbricos integrados en
Switches y Routers as como antenas y accesorios.

Las redes inalmbricas autnomas (no unificadas) requieren de una configuracin

independiente en cada equipo, as como la administracin y la resolucin de problemas de
forma individual. Esta caracterstica requiere un numeroso personal de soporte para poder
visualizar la red de manera completa as como la atencin de incidentes y la
reconfiguracin de nuevos equipos o la integracin de nuevas caractersticas en la red.
Esto no slo genera mayor inversin para las empresas sino inconsistencias en
configuraciones que se reflejan en intermitencias en el servicio hablando de soluciones que
incluyen ms de 100 equipos.

Podran pensar en una red que despus de una instalacin inicial no requiera
configuracin alguna? Es decir una vez instalada t red inalmbrica tengas la posibilidad de
conectar un AP el cual se configure de manera automtica con slo la configuracin del
Controlador. El Wireless LAN Controller es un dispositivo ofrece tal ventaja, es capaz de
revisar la potencia de la seal requerida para cubrir las necesidades del cliente (suplicante
laptop o cualquier dispositivo con tarjeta inalmbrica), percibe y evita interferencias y
canales para usar aquellos que tengan menor demanda y/o ruido en el ambiente de RF,
evitar traslapes, etc. Est caracterstica Cisco la llama Control Auto RF.

La solucin inalmbrica que comprende Controladores en su conjunto con los Access

Point tiene la base de su funcionamiento en una caracterstica llamada Split-MAC
Architecture.

117

Split Mac divide las tareas requeridas para que una red inalmbrica pueda operar de
manera correcta, esta divisin es hecho entre los Access Point y el Controlador.

Las siguientes tareas son realizadas por el Access Point:

Transmisin de beacons (anuncio de la red en el ambiente RF)

Respuesta a pruebas de conexin con los clientes

Forwardeo de notificaciones de las pruebas hacia el Controlador

Proveer informacin de la calidad de la seal en tiempo real

Monitoreo de los canales en relacin al ruido e interferencias

Monitoreo de la presencia de otros Access Point

Encriptacin y desencriptacin

El resto de las funcionalidades necesarias para la operacin son ofrecidas por el

Controlador el cual mantiene una amplia visibilidad de todos los dispositivos asociados a l,
las funciones de MAC Layer ofrecidas por el Controlador son las siguientes:

Autenticacin

Asociacin y reasociacin (movilidad)

Translacin de frames

Bsicamente se puede entender que las funcionalidades que requieren un manejo en

tiempo real pueden ser delegadas al Access Point y las que no necesitan esta caracterstica
son realizadas por el Controlador.

Protocolo LWAPP
Lightweight Access Point Protocol o LWAPP es el nombre del protocolo que puede
controlar mltiples Access Point a la vez. Esto reduce la cantidad de tiempo empleado para
configurar, monitorear y administrar grandes redes inalmbricas.
118

Un sistema centralizado es donde los Access Point se asocian al Controlador quien

es encargado de la configuracin, versin de sistema operativo y control de las
transacciones de autenticacin 802.1x. Adicionalmente el protocolo encapsula el trfico en
un tnel entre los Access Point y el Controlador.

Una vez que el Controlador es configurado en una red cableada el siguiente paso es
conectar los Access Point, estos envan inmediatamente paquetes para ser agregados al
Controlador, mismo que responde dichas peticiones permitiendo que los Access Point
inicien un proceso de agregacin. Cuando el Access Point esta unido al Controlador
descarga el software necesario para operar (si es que las versiones de ambos no
coinciden). Despus de esto el Access Point depende totalmente del Controlador desde el
cual se realizar la configuracin deseada.

El protocolo LWAPP asegura que el proceso de agregacin entre AP y Controlador

sea seguro, para esto requieren intercambiar un certificado de autenticacin (X.509),
evitando as que Access Point no permitidos (Rogue) sean parte del Controlador.

Seguridad en el medio inalmbrico

La seguridad informtica siempre ser un punto medular en la implementacin de

cualquier red de datos y voz. La gran cantidad de ataques existentes han motivado a crear
niveles de seguridad ms robustos cada da, para evitar que los datos sean interceptados,
modificados, denegados, etc. Uno de los dilemas que los clientes enfrentan cuando desean
implementar una red inalmbrica y gozar de todos los beneficios que esta ofrece, es la
exposicin de los datos, es decir el ambiente RF donde viajan los paquetes no est limitado
por espacios fsicos, cuartos de comunicaciones, conexiones a puertos fsicos de la red,
etc.
Afortunadamente el mundo inalmbrico se ha expandido y robustecido la seguridad
de sus soluciones basndose en estndares que garantizan la seguridad informtica en un
ambiente RF.

119

Acceso Abierto

Los Access Point son capaces de ofrecer un acceso abierto, sin algn nivel de
seguridad implementado que es til para cierto tipo de soluciones, estas pueden ser Hot
Spots en aeropuertos, restaurantes, universidades donde se ofrece acceso a Internet, sin
embargo en ningn caso se recomienda que en un ambiente empresarial se implemente
una red con esta caracterstica. La mayora de estos equipos no tienen seguridad
configurada por defecto, esto porque muchas veces el usuario que los adquiere no conoce
de computadoras y/o redes y solo necesita conectar el equipos para que este funcione sin
ninguna configuracin extra.

Caractersticas de Seguridad
El diseo del estndar inalmbrico 802.11 fue originalmente creado con ciertas
caractersticas como el SSID, autenticacin abierta y compartida, claves WEP (Wired
Equivalency Protocol) y autenticacin de Control de Acceso al Medio (MAC). Sin embargo
actualmente ninguno de estas caractersticas puede garantizar la seguridad de una red,
incluso ya no es recomendada para redes en el hogar.

Como ya se mencion el SSID es el nombre de la red a la cual se conectarn los

dispositivos inalmbricos, lo cual indica que si alguien no lo tiene no podra conectarse a la
red. Usar la caracterstica de ocultar el SSID para evitar asociaciones no permitidas y tratar
de asegurar de esta manera nuestra red es un riesgo inminente. Es fcil saber qu SSIDs
estn en el ambiente sin que estn publicados, este se puede hacer con herramientas de
acceso abierto en Internet o incluso con ciertas tarjetas inalmbricas que tienen tal
caracterstica y que hacen uno de los paquetes de respuesta que los clientes envan a los
Access Point para conectarse.

Hay dos tipos de autenticacin especificados por la IEEE 802.11: abierto y compartido
(open y shared-key). Autenticacin abierta aun sigue siendo un mtodo utilizado hoy en
da, sobre toda en redes de los hogares.
120

En la autenticacin compartida el Access Point enva un paquete en texto claro (clear

text) con el cliente debe encriptar con la correcta llave WEP y regresarla al Access Point, si
la llave no es correcta la autenticacin fallar y los usuarios no sern capaces de unirse al
AP. Sin embargo un intruso fcilmente puede interceptar el texto en claro y el paquete
encriptado y poder descifrarlo, por lo tanto este mtodo se considera altamente inseguro y
desde hace aos ha dejado de ser utilizado.

Con la autenticacin abierta el usuario puede asociarse a la red inalmbrica, sin

embargo no podr enviar o recibir informacin a menos que tenga la llave WEP correcta.
Dicha llave est compuesta por 40 o 128 bits, es configurada estticamente y definida por
el administrador de los Access Point. En una red Inalmbrica Unificada el Controlador
permite que la llave WEP (as como cualquier tipo de seguridad configurada para un SSID)
sea ingresada una sola vez, sin importar la cantidad de Access Point que estn publicando
dicho SSID. En el caso de una red Autnoma donde cada AP debe configurarse de manera
individual es prcticamente imposible ingresar el mismo valor tantas veces como AP se
tengan lo cual hace impensable en un red empresarial de tamao considerable en estos
das. La autenticacin va Mac Address tiene la caracterstica de permitir slo los valores
hexadecimales de las tarjetas permitidas en la red, sin embargo se puede personificar dicho
valor y ser usado por otra tarjeta ya que el valor se enva en claro (clear-text), ofreciendou
una brecha de seguridad para intrusos, en caso de tener slo este tipo de seguridad
configurada. De la misma manera poder configurar y administrar este tipo de seguridad
requiere mucho tiempo, lo cual se minimiza considerablemente en las redes Unificadas.

WPA Pre-shared Key

Este tipo de seguridad sigue siendo considerada bsica, sin embargo es mucho mejor
que las tcnicas anteriormente mencionadas. PSK (Preshared Key-Llave Precompartida)
verifica usuarios a travs de un cdigo que identificacin o password tambin llamada
passphrase tanto en el cliente como en el Access Point. El cliente solo tendr acceso a la
red si dicho password coincide con el AP.

121

WPA2 tambin hace uso de TKIP o AES para generar llaves de encripcin por cada
paquete de datos transmitido. Aunque PSK es mucho ms robusto que WEP el hecho de
estar almacenado la computadora o dispositivo inalmbrico llega a comprometer la
seguridad del mismo ya que se podra importar el perfil del usuario y exportarlo en otra
computadora para obtener acceso a la red.

WPA es un estndar desarrollado por la WiFi Alliance. WPA provee estndares de

autenticacin y encripcion.

Seguridad en una red inalmbrica unificada

Las redes unificadas de Cisco ofrecen caractersticas innovadoras que soportan

WPA y WPA2 los cuales proveen un control de acceso a los usuarios que en cada sesin
realizan una mutua autenticacin y brindan privacidad de los datos as como Calidad de
Servicio (garantizar que la informacin sea intercambiada en caso de saturacin de la red),
ofrecer movilidad a los usuarios.

Existen una variedad de protocolos que ofrecen tcnicas de mutua autenticacin los
cuales son muy robustos y son implementados con una infraestructura ms slida dedicada
especialmente a ofrecer este tipo de servicios. Un ejemplo son las variantes del protocolo
EAP (Extensible Authentication Protocol), as como servicios de RADIUS (Remote
Authentication Dial In User Service) y servidores de Autenticacin, Autorizacion y Accouting
(AAA), como el Cisco Secure Wireless Control Server (ACS).

Las redes inalmbricas utilizan muchos de los dispositivos de deteccin y prevencin

de ataques como las redes cableadas, esto para detectar acceso no permitidos, ataques
como denegacin de servicio o Man in the Middle y Rigue Access Point. Los equipos
utilizados para este tipo de vulnerabilidades son Sistemas de Prevencin de Intrusos (IPS),
NAC (Cisco Network Access Control) y servicios avanzados de ubicacin.

122

Cisco IPS permite a los administradores estar escaneando continuamente el

ambiente RF con la finalidad de detectar Access Point y eventos no autorizados,
simultneamente rastrea cientos de dispositivos y mitiga ataques. Cisco NAC tiene la
finalidad de proteger a los equipos PC, laptops, Servers y PDA en redes cableadas e
inalmbricas que intentan ingresar a los recursos de red y que no cumplen con ciertos
estndares de seguridad marcados por la empresa, algunos ejemplos son la falta de
actualizaciones del sistema operativo, antivirus, etc.

Controladores Inalmbricos

Las soluciones de Cisco cuentan con varios modelos de Controladores inalmbricos

que ofrecen diversas caractersticas, una de los diferenciadores ms importantes al
momento de decidir qu equipo adquirir est en relacin directa con la escalabilidad
requerida por el cliente. Es decir cul es la capacidad de la red y qu porcentaje de
crecimiento se tiene planeado en el corto plazo.

Uno de los equipos que ofrecen una solucin integral para 25 o 50 Access Point es el
Cisco SW3750G, el cual es un Switch que tiene integrado un Controlador. Este tipo de
equipo es ideal para pequeas empresas donde el presupuesto es bajo y se aprovechan
los puertos del Switch para conectar los Access Point o alguna PC, telfono IP o cualquier
otro dispositivo de red.
Tabla Anexo 1.20 Switch-Controlador Cisco 3750G

123

Existen equipos modulares (tarjetas) que pueden ser instalados en Swtiches o

Routers que ofrecen las mismas caractersticas inalmbricas, estas son las tarjetas WiSM
que se instala en un equipo 6500 o el Network Module para Routers ISR.

Tabla Anexo 1.21 Controlador Cisco WisM

Tabla Anexo 1.22 Modulo Controlador para Router

124

Sin embargo los ms comunes, (utilizados para la solucin de este proyecto), son los
Controladores 4400 Series. Estos controlados son capaces de soportar desde 1 hasta 100
AP dependiendo las necesidades del cliente. El total de Access Point lo determina una
licencia instalada en el mismo.
Tabla Anexo 1.23 Controladores 4402 y 4404

Los equipos cuentan con puertos de fibra (2 para el modelo 4402 y 4 para el modelo
4404) llamados Puertos de Distribucin que sern la conexin hacia la red cableada.

125