Grupo C, Subgrupo C1 · Parte 2: Supuesto Práctico · 17 de junio de 2023
Cada pregunta vale 1 punto. Tiempo estimado de escritura: ~12 min/pregunta
| Comando | Función |
|---|---|
pwd |
Print Working Directory. Muestra la ruta absoluta del directorio de trabajo actual. |
sudo |
Superuser Do. Permite ejecutar un comando con privilegios de superusuario (root) sin cambiar de sesión. |
touch |
Crea un fichero vacío si no existe, o actualiza la fecha de modificación/acceso de un fichero existente. |
chmod |
Change Mode. Modifica los permisos de acceso (lectura, escritura, ejecución) de archivos y directorios, tanto en notación octal (ej. chmod 755) como simbólica (ej. chmod u+x). |
kill |
Envía una señal a un proceso identificado por su PID. Por defecto envía SIGTERM (terminación ordenada); con -9 envía SIGKILL (terminación inmediata e irrecuperable). |
La autenticación multifactor combina dos o más factores de distinta categoría: algo que se sabe (contraseña), algo que se tiene (dispositivo/token) y algo que se es (biometría). El objetivo es que el robo de un solo factor no comprometa la cuenta.
Concepto: El usuario debe introducir, además de su contraseña habitual, una segunda contraseña fija adicional.
Valoración: Este enfoque no es correcto como MFA real. Ambas credenciales pertenecen a la misma categoría (conocimiento). Si el primer factor es comprometido por phishing, fuerza bruta o filtración, el segundo factor estático es igualmente vulnerable por los mismos métodos.
Concepto: Un algoritmo (RFC 6238) genera un código numérico de corta duración (típicamente 6 dígitos, válido 30 segundos) calculado a partir de un secreto compartido y la hora actual. El usuario lo obtiene de una aplicación (Google Authenticator, Microsoft Authenticator, etc.).
Valoración: Este enfoque es correcto y constituye MFA real. Combina el factor "saber" (contraseña) con el factor "tener" (dispositivo que genera el TOTP).
Concepto: Se elimina la contraseña y se sustituye por autenticación biométrica (huella) exclusivamente desde dispositivos autorizados (portátiles corporativos).
Valoración: El planteamiento presenta problemas conceptuales importantes. Aunque la biometría ("algo que se es") combinada con un dispositivo registrado ("algo que se tiene") puede formar MFA, suprimir la contraseña no es una mejora de seguridad en todos los contextos.
Wake-on-LAN es una funcionalidad de red estándar que permite encender remotamente un equipo apagado (en estado S4/S5 o hibernación) enviándole una trama especial a través de la red local. Requiere que la tarjeta de red (NIC) mantenga alimentación auxiliar incluso con el equipo apagado y que esté habilitada en la BIOS/UEFI.
Funcionamiento: La NIC permanece en escucha pasiva consumiendo mínima energía. Al recibir el magic packet, la tarjeta activa la señal de encendido de la placa base.
Magic Packet: Es una trama de broadcast definida por el estándar AMD/Hewlett-Packard. Su estructura es:
1. 6 bytes de FF (FF:FF:FF:FF:FF:FF) — cabecera de sincronización.
2. La dirección MAC del equipo destino repetida 16 veces consecutivas (96 bytes).
El paquete puede enviarse como trama Ethernet directa, o encapsulado en UDP (habitualmente puerto 7 o 9) para facilitar el envío a través de routers con soporte de directed broadcast. La dirección MAC del destino identifica unívocamente el equipo a despertar.
1. Configurar la BIOS/UEFI:
- Acceder a la BIOS/UEFI al arrancar (habitualmente F2, DEL o F10).
- Buscar opciones como "Wake-on-LAN", "Resume by PCI-E Device" o "Power On by Network" y habilitarlas.
- Guardar y salir.
2. Configurar el adaptador de red en Windows 10:
- Abrir Administrador de dispositivos → Adaptadores de red.
- Clic derecho sobre el adaptador Ethernet → Propiedades → pestaña Administración de energía.
- Marcar: "Permitir que este dispositivo reactive el equipo" y "Solo permitir que un paquete mágico reactive el equipo".
- En la pestaña Opciones avanzadas, verificar que esté habilitado "Wake on Magic Packet".
3. Configurar la administración de energía de Windows:
- Ir a Panel de control → Opciones de energía → Cambiar la configuración del plan → Cambiar la configuración avanzada de energía.
- En "Configuración del adaptador inalámbrico" y opciones de suspensión, asegurarse de que el apagado no desconecte completamente la NIC.
- Alternativamente, deshabilitar el "Fast Startup" (inicio rápido) ya que puede interferir con WoL: Configuración → Sistema → Inicio/Apagado → Elegir el comportamiento... → desmarcar inicio rápido.
4. Obtener y anotar la dirección MAC del equipo:
- Ejecutar ipconfig /all en cmd y anotar la dirección física del adaptador Ethernet.
5. Enviar el magic packet para despertar el equipo:
- Desde otro equipo de la misma LAN (o mediante broadcast dirigido si hay soporte de router): usar herramientas como WakeMeOnLan (NirSoft), wolcmd, o comandos PowerShell específicos.
- Si se necesita acceso desde fuera de la red local, configurar port forwarding UDP al broadcast de la subred en el router.
Consideraciones adicionales:
- El equipo debe estar conectado por cable Ethernet (WoL no funciona por Wi-Fi en la mayoría de casos).
- El switch de red debe mantener la entrada ARP del equipo apagado, o hay que enviar el broadcast de subred.
| Característica | Switch | Router |
|---|---|---|
| Capa OSI | Capa 2 (Enlace de Datos) | Capa 3 (Red) |
| Unidad que maneja | Tramas Ethernet (MAC) | Paquetes IP |
| Función principal | Interconectar dispositivos en la misma red local (LAN) | Interconectar redes distintas y encaminar tráfico entre ellas |
| Tabla que mantiene | Tabla MAC (aprende qué MAC está en cada puerto) | Tabla de enrutamiento (rutas a redes destino) |
| Ámbito de trabajo | Dentro de una misma subred | Entre subredes y hacia Internet |
| Broadcast | Reenvía broadcast a todos los puertos del mismo dominio | Limita dominios de broadcast; no reenvía broadcast entre interfaces |
| Dirección IP | No necesaria para la función básica (los gestionables sí la tienen para administración) | Necesaria en cada interfaz de red |
Un switch PoE es un switch que, además de transmitir datos, suministra energía eléctrica a través del propio cable de red (par trenzado Cat5e o superior), eliminando la necesidad de una toma de corriente independiente en el dispositivo alimentado.
Dispositivos típicamente alimentados: teléfonos IP, puntos de acceso Wi-Fi, cámaras IP, sensores IoT, intercomunicadores.
| Estándar | Nombre | Año | Potencia máx. por puerto | Pares utilizados |
|---|---|---|---|---|
| IEEE 802.3af | PoE | 2003 | 15,4 W (disponible ~12,95 W) | 2 pares |
| IEEE 802.3at | PoE+ | 2009 | 30 W (disponible ~25,5 W) | 2 pares |
| IEEE 802.3bt Tipo 3 | PoE++ / 4PPoE | 2018 | 60 W (disponible ~51 W) | 4 pares |
| IEEE 802.3bt Tipo 4 | PoE++ / 4PPoE | 2018 | 100 W (disponible ~71 W) | 4 pares |
| PoE passivo | No estándar | — | Variable (sin negociación) | Variable |
Características distintivas:
- 802.3af: Suficiente para teléfonos IP y cámaras básicas. El switch detecta si el dispositivo es compatible antes de aplicar energía (mediante resistencia de detección).
- 802.3at: Necesario para puntos de acceso Wi-Fi modernos y cámaras con calefacción. Compatible hacia atrás con 802.3af.
- 802.3bt: Permite alimentar equipos de alto consumo (pantallas, equipos de videoconferencia, portátiles delgados). Usa los 4 pares del cable. Compatible hacia atrás.
- PoE pasivo: Sin protocolo de negociación; entrega energía siempre. Puede dañar dispositivos no compatibles. Usado en equipos Ubiquiti y similares fuera de estándar.
El presupuesto de potencia total del switch PoE es otro factor clave: aunque cada puerto pueda dar 30 W, el total de puertos activos no puede superar la capacidad de la fuente del switch.
Una VPN (Virtual Private Network) es una tecnología que crea un túnel cifrado sobre una red pública (normalmente Internet) que simula el comportamiento de un enlace privado dedicado. Permite que dispositivos o redes remotas se comuniquen de forma segura como si estuvieran físicamente conectadas a la misma red privada.
1. Establecimiento del túnel:
El cliente VPN y el servidor VPN realizan un handshake para autenticar ambos extremos (mediante certificados digitales, usuario/contraseña, PSK u otros métodos) y negociar los algoritmos de cifrado y parámetros de la sesión.
2. Encapsulación:
Los paquetes IP privados del origen se encapsulan dentro de otro paquete. El paquete original (con IP privada) se convierte en la carga útil del paquete exterior, que lleva la IP pública del servidor VPN como destino.
3. Cifrado:
El contenido del túnel se cifra (ej. AES-256) garantizando confidencialidad. Se añaden mecanismos de integridad (HMAC-SHA2) para detectar manipulaciones.
4. Transmisión:
El paquete encapsulado y cifrado viaja por Internet como tráfico normal hasta el servidor VPN.
5. Desencapsulación y descifrado:
El servidor VPN descifra, extrae el paquete original y lo enruta dentro de la red privada como si el cliente estuviera conectado localmente.
Protocolos VPN más habituales:
| Protocolo | Características |
|---|---|
| IPSec/IKEv2 | Estándar robusto; muy usado en VPN site-to-site y acceso remoto corporativo. |
| OpenVPN | Open source; muy configurable; usa TLS/SSL; ampliamente compatible. |
| WireGuard | Moderno, ligero, alto rendimiento, código auditado. |
| SSL/TLS VPN | Acceso via navegador o cliente ligero; solo necesita puerto 443 (HTTPS). |
| L2TP/IPSec | Combinación común; L2TP crea el túnel, IPSec cifra. |
El cortafuegos es de inspección de paquetes con estado (stateful packet inspection). Las reglas se aplican secuencialmente (orden importa). La DMZ es una clase C (máscara /24 = 255.255.255.0).
Estructura de regla: Acción | IP origen / máscara | IP destino / máscara | Protocolo | Puerto origen | Puerto destino
Convención: IP 0.0.0.0/0.0.0.0 = cualquier IP (ANY). Puerto * = cualquier puerto.
Las conexiones vienen de Internet (cualquier IP) hacia el servidor web de la DMZ.
| Acción | IP origen / Máscara | IP destino / Máscara | Protocolo | Puerto origen | Puerto destino |
|---|---|---|---|---|---|
| ACEPTAR | 0.0.0.0 / 0.0.0.0 | 139.44.55.23 / 255.255.255.255 | TCP | * | 80 |
| ACEPTAR | 0.0.0.0 / 0.0.0.0 | 139.44.55.23 / 255.255.255.255 | TCP | * | 443 |
Nota: Al ser un firewall con estado, el tráfico de retorno de las conexiones establecidas se permite automáticamente sin necesidad de reglas adicionales.
El servicio DNS puede usar tanto UDP como TCP (TCP para transferencias de zona y respuestas grandes).
| Acción | IP origen / Máscara | IP destino / Máscara | Protocolo | Puerto origen | Puerto destino |
|---|---|---|---|---|---|
| ACEPTAR | 0.0.0.0 / 0.0.0.0 | 139.55.44.39 / 255.255.255.255 | UDP | * | 53 |
| ACEPTAR | 0.0.0.0 / 0.0.0.0 | 139.55.44.39 / 255.255.255.255 | TCP | * | 53 |
Dado que las reglas son secuenciales, primero se coloca la regla de excepción (permitir desde el servidor DNS de la DMZ) y después la regla de denegación general. La DMZ es clase C: la red es 139.55.44.0 con máscara 255.255.255.0.
| Acción | IP origen / Máscara | IP destino / Máscara | Protocolo | Puerto origen | Puerto destino |
|---|---|---|---|---|---|
| ACEPTAR | 139.55.44.39 / 255.255.255.255 | 8.8.8.8 / 255.255.255.255 | UDP | * | 53 |
| ACEPTAR | 139.55.44.39 / 255.255.255.255 | 8.8.8.8 / 255.255.255.255 | TCP | * | 53 |
| DENEGAR | 139.55.44.0 / 255.255.255.0 | 8.8.8.8 / 255.255.255.255 | UDP | * | 53 |
| DENEGAR | 139.55.44.0 / 255.255.255.0 | 8.8.8.8 / 255.255.255.255 | TCP | * | 53 |
El orden garantiza que el servidor 139.55.44.39 sea aceptado antes de llegar a las reglas de denegación para el resto de la DMZ.
Virus:
- Qué es: Código malicioso que se adjunta a un archivo o programa legítimo y necesita ser ejecutado por el usuario para activarse.
- Propagación: Mediante el intercambio de ficheros infectados (USB, correo electrónico, descargas).
- Daño: Corrupción o eliminación de ficheros, consumo de recursos, puerta trasera para otros ataques.
Gusano (Worm):
- Qué es: Malware autónomo que no necesita adjuntarse a otro fichero ni intervención del usuario para propagarse.
- Propagación: Explota vulnerabilidades de red de forma automática, propagándose de equipo en equipo a gran velocidad (ej. WannaCry, Conficker).
- Daño: Congestión de red, instalación de payloads adicionales (backdoors, ransomware), consumo de recursos.
Troyano (Trojan):
- Qué es: Programa que aparenta ser legítimo (utilidad, juego, actualización) pero ejecuta código malicioso oculto. No se replica por sí mismo.
- Propagación: Ingeniería social: el usuario lo instala voluntariamente creyendo que es un software legítimo.
- Daño: Acceso remoto no autorizado (RAT), robo de credenciales, descarga de malware adicional, espionaje (keylogger).
Ransomware:
- Qué es: Malware que cifra los archivos del sistema o los bloquea, exigiendo un rescate económico (generalmente en criptomonedas) para proporcionar la clave de descifrado.
- Propagación: Correos de phishing con adjuntos maliciosos, exploits de vulnerabilidades, acceso RDP comprometido, gusanos de red.
- Daño: Inaccesibilidad total o parcial a los datos de la organización, paralización de operaciones, pérdidas económicas cuantiosas.
El escenario descrito corresponde con total certeza a un ransomware: archivos bloqueados + exigencia de pago para desbloquearlos.
Pasos de remediación:
Gestión de parches y actualizaciones: Mantener el software (SO, aplicaciones, navegadores) actualizado de forma sistemática y urgente. La mayoría de los ransomware explotan vulnerabilidades ya conocidas y parcheadas.
Copias de seguridad según la regla 3-2-1: Mantener al menos 3 copias, en 2 tipos de medios diferentes, con 1 copia offline o en ubicación geográfica separada. Las copias deben probarse periódicamente. Esto garantiza la recuperación sin pagar rescate.
Concienciación y formación de usuarios: La mayoría de infecciones entran por phishing. Formar a los empleados para identificar correos sospechosos, no abrir adjuntos inesperados, verificar la identidad del remitente y no hacer clic en enlaces no solicitados es la defensa más eficaz frente al vector humano.
Un NAS es un dispositivo de almacenamiento dedicado conectado directamente a la red local (LAN) que proporciona servicios de almacenamiento de ficheros a múltiples usuarios y equipos de forma centralizada.
A diferencia de un servidor de ficheros convencional, el NAS es un dispositivo especializado con sistema operativo propio optimizado para esa función, de bajo consumo y diseñado para funcionar de forma continua (24/7). Generalmente incorpora múltiples bahías para discos duros configurables en RAID.
El acceso se realiza mediante protocolos de red estándar: SMB/CIFS (Windows), NFS (Unix/Linux) o AFP (macOS). Muchos NAS también ofrecen servicios adicionales como servidor FTP, servidor multimedia, servidor de backup, acceso web remoto o sincronización de ficheros tipo nube privada.
| Tipo | Qué guarda | Tiempo backup | Espacio | Tiempo restauración | Base necesaria |
|---|---|---|---|---|---|
| Completa | Todos los datos, siempre | Largo | Mucho | Corto (solo 1 copia) | Ninguna |
| Diferencial | Todo lo cambiado desde la última copia completa | Medio (crece con el tiempo) | Medio | Corto (completa + última diferencial) | Última completa |
| Incremental | Solo lo cambiado desde la última copia (completa o incremental) | Corto | Poco | Largo (completa + todas las incrementales en orden) | Completa + cadena incrementales |
Ventajas y desventajas:
- Completa: Máxima simplicidad en la restauración, pero consume más tiempo y espacio de almacenamiento. Ideal como base periódica (semanal/mensual).
- Diferencial: Equilibrio entre velocidad de backup y facilidad de restauración. El tamaño crece progresivamente hasta la próxima completa.
- Incremental: Mínimo espacio y tiempo de backup, pero restauración más compleja y lenta (hay que aplicar la cadena completa de copias en orden correcto).
Estrategia habitual: Combinación de completa semanal + incrementales diarias, o completa + diferencial diaria según los requisitos de RTO/RPO.
La recuperación ante desastres (DR) es el conjunto de políticas, procedimientos y herramientas diseñados para restaurar los sistemas y datos de una organización tras un evento catastrófico (incendio, inundación, ciberataque grave, fallo masivo de hardware, desastre natural).
Importancia en las estrategias de backup y almacenamiento:
- Define los objetivos RPO (Recovery Point Objective): cuánta pérdida de datos es aceptable (¿hasta qué punto en el tiempo podemos restaurar?).
- Define los objetivos RTO (Recovery Time Objective): cuánto tiempo máximo puede estar el sistema fuera de servicio.
- Exige que las copias de seguridad estén en una ubicación geográfica diferente (sitio secundario o nube) para que un desastre local no afecte también a los backups.
- Requiere la existencia de un plan de continuidad de negocio (BCP) documentado y pruebas periódicas de restauración.
La deduplicación (deduplication o dedupe) es una técnica de optimización del almacenamiento que elimina copias redundantes de datos, almacenando solo una instancia única de cada bloque o fichero idéntico y reemplazando las copias duplicadas por referencias (punteros) a esa instancia única.
Objetivo: Reducir drásticamente el espacio de almacenamiento necesario y, en consecuencia, el ancho de banda en las transferencias de backup. Es especialmente eficaz en entornos de copia de seguridad donde múltiples equipos almacenan sistemas operativos y ficheros comunes (las copias sucesivas de un fichero no cambiado solo se guardan una vez).
Tipos: puede ser a nivel de bloque (más granular y eficiente) o a nivel de fichero; puede realizarse inline (antes de escribir) o post-process (tras escribir).
NTFS define seis permisos estándar (que son combinaciones de los permisos avanzados):
| Permiso | Archivos | Directorios |
|---|---|---|
| Control total | Leer, escribir, ejecutar, modificar, cambiar permisos y tomar posesión | Ídem + crear/eliminar archivos y subdirectorios |
| Modificar | Leer, escribir, ejecutar y eliminar el archivo | Leer, escribir, ejecutar, crear y eliminar contenido |
| Leer y ejecutar | Ver el contenido y ejecutar | Listar contenido, acceder a archivos y ejecutarlos |
| Listar el contenido de la carpeta | N/A | Ver los nombres de archivos y subdirectorios |
| Leer | Ver el contenido del archivo y sus atributos | Listar el contenido y ver atributos |
| Escribir | Crear y sobrescribir archivos, modificar atributos | Crear archivos y subcarpetas, modificar atributos |
Los permisos se asignan a usuarios o grupos y pueden ser de tipo Permitir o Denegar (Denegar siempre tiene precedencia sobre Permitir cuando hay conflicto).
Permisos heredados:
Son los permisos que un objeto (archivo o carpeta) recibe automáticamente del objeto padre (carpeta superior) en la jerarquía de directorios. Por defecto, al crear un archivo o carpeta dentro de otro, hereda los permisos de este.
Ejemplo: Si la carpeta C:\Proyectos tiene permiso de Lectura para el grupo Usuarios, todos los archivos y subcarpetas creados dentro de C:\Proyectos heredarán automáticamente ese permiso sin necesidad de configurarlo individualmente.
Permisos explícitos:
Son permisos asignados directamente al objeto concreto, independientemente de los permisos de la carpeta padre. Se configuran específicamente para ese recurso.
Ejemplo: El archivo C:\Proyectos\Confidencial.docx tiene asignado explícitamente permiso de Control total solo para el usuario jefe.proyecto, independientemente de los permisos heredados de C:\Proyectos.
Regla de precedencia: Los permisos explícitos tienen precedencia sobre los heredados. Un Denegar explícito prevalece sobre cualquier Permitir heredado.
| Aspecto | Permisos NTFS | Permisos de uso compartido (Share) |
|---|---|---|
| Nivel | Sistema de ficheros (disco) | Red (acceso compartido SMB) |
| Ámbito de aplicación | Se aplican siempre, tanto en acceso local como en acceso por red | Solo se aplican cuando se accede a través de la red |
| Granularidad | Muy granulares: control sobre archivos y carpetas individuales | Menos granulares: se aplican al nivel de la carpeta compartida completa |
| Opciones disponibles | Control total, Modificar, Leer y ejecutar, Listar, Leer, Escribir | Control total, Cambiar, Leer |
| Acceso local | Sí controlan el acceso local al sistema de ficheros | No aplican en acceso local (solo en red) |
Interacción entre ambos: Cuando se accede a un recurso compartido a través de la red, se aplican ambos conjuntos de permisos simultáneamente, siendo efectivo el permiso más restrictivo de los dos. Por tanto, para calcular el acceso real efectivo de un usuario en red, hay que tomar el permiso efectivo NTFS, el permiso efectivo Share, y aplicar el más restrictivo.
Ejemplo: Un usuario tiene permiso NTFS de "Control total" sobre una carpeta, pero el permiso de compartición es "Lectura". Al acceder por red, el permiso efectivo es Lectura (el más restrictivo). Si accede localmente, el permiso efectivo es Control total (los permisos Share no aplican).
Recomendación de buenas prácticas: Asignar "Control total" en los permisos de compartición y gestionar la seguridad granularmente mediante los permisos NTFS, que son más precisos y persistentes.
Datos del escenario:
- Rack 1 (sótano, rack principal): 2 switches gestionables nivel 2, con 12 interfaces SFP28 + 4 interfaces QSFP28 c/u.
- Rack 2 (planta baja): 2 switches gestionables nivel 2, 4 interfaces uplink SFP28 c/u. Distancia al Rack 1: 50 m (fibra OM3).
- Rack 3 (planta baja): 2 switches gestionables nivel 2, 4 interfaces uplink SFP28 c/u. Distancia al Rack 1: 80 m (fibra OM3).
- Acometida exterior campus: fibra OS2, 12 hilos, 600 m.
Referencias de velocidad de interfaces:
- SFP28: 25 Gbps
- QSFP28: 100 Gbps
Para garantizar alta disponibilidad (HA) con los 2 switches de cada rack se crea redundancia de enlaces. El problema de redundancia a nivel 2 es que genera bucles de capa 2 (tormenta de broadcast). Para evitarlo se usa un protocolo de árbol de expansión.
Solución recomendada: MLAG (Multi-Chassis Link Aggregation) + RSTP/MSTP
Esquema de conexión dentro de cada rack:
- Los 2 switches se interconectan entre sí mediante al menos 2 enlaces dedicados formando un enlace de agregación (LAG / Port-Channel) para redundancia y aumento de ancho de banda.
- Los servidores y equipos de acceso se conectan a ambos switches mediante LACP (802.3ad) formando un bond activo-activo (o activo-pasivo según el caso).
Protocolo de nivel 2: RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w)
- Evolución de STP clásico con convergencia muy rápida (< 1-2 segundos frente a 30-50 s de STP).
- Detecta y elimina bucles lógicamente manteniendo las conexiones físicas redundantes en espera.
- En caso de fallo del enlace activo, RSTP converge rápidamente activando el enlace de respaldo.
Alternativa más avanzada: MSTP (Multiple Spanning Tree Protocol, 802.1s)
- Permite mapear varias VLANs a distintos árboles de expansión (instancias), distribuyendo la carga y aprovechando todos los enlaces (un árbol usa un uplink, otro árbol usa el otro uplink).
- Mayor eficiencia y redundancia que RSTP simple.
Para conexiones hacia los racks de planta se usaría igualmente LAG/LACP entre los 2 switches del rack principal y los de planta, formando un VSS o stack virtual si el fabricante lo soporta.
Número de dispositivos en la biblioteca:
- Personal: 32 personas
- Impresoras: 10
- Ordenadores alumnos: 63
- Puntos de acceso Wi-Fi: 6 (hasta 30 dispositivos c/u → potencial de 180 dispositivos inalámbricos)
¿Qué es una VLAN?
Una VLAN (Virtual Local Area Network) es una segmentación lógica de la red que permite crear dominios de broadcast independientes sobre la misma infraestructura física (switches), como si fueran redes físicamente separadas. Se configura en los switches gestionables mediante el protocolo IEEE 802.1Q (etiquetado de tramas). Permite segmentar el tráfico por función, departamento o tipo de usuario, mejorando la seguridad, el rendimiento (reducción de dominios de broadcast) y la gestión.
VLANs propuestas:
| VLAN ID | Nombre | Dispositivos | Núm. hosts aprox. |
|---|---|---|---|
| VLAN 10 | Gestión | Switches, APs (gestión) | 16 (6 APs + 2 switches×3 racks + margen) |
| VLAN 20 | Personal | PCs personal (32) + impresoras (10) | ~50 |
| VLAN 30 | Alumnos (cableado) | Ordenadores alumnos cableados (63) | ~70 |
| VLAN 40 | Wi-Fi Alumnos | Dispositivos Wi-Fi alumnos (6×30=180 máx.) | ~200 |
| VLAN 50 | Servidores | Servidores locales (si los hay) | ~10 |
Cálculo de máscara de subred IPv4 para la VLAN con más hosts: VLAN 40 (Wi-Fi Alumnos, ~200 hosts)
Necesitamos acomodar al menos 200 hosts. La fórmula es: 2ⁿ − 2 ≥ 200 (n = bits de host).
Para VLAN 20 (Personal + impresoras, ~50 hosts):
- n = 6 → 2⁶ − 2 = 62 hosts → suficiente → máscara /26 (255.255.255.192)
Para VLAN 30 (Alumnos cableado, ~70 hosts):
- n = 7 → 2⁷ − 2 = 126 hosts → suficiente → máscara /25 (255.255.255.128)
Para VLANs pequeñas (Gestión, Servidores, ~10-16 hosts):
- n = 5 → 2⁵ − 2 = 30 hosts → suficiente → máscara /27 (255.255.255.224)
Los switches deben configurarse con puertos trunk (802.1Q) en los uplinks entre racks (permitiendo el paso de todas las VLANs etiquetadas) y puertos access en los dispositivos finales (solo su VLAN correspondiente, sin etiqueta).
Interfaz utilizada: SFP28 → velocidad de 25 Gbps.
El ancho de banda máximo obtenible con 1 enlace SFP28 es por tanto 25 Gbps.
Tipo de transceptor necesario:
La distancia entre Rack 1 y Rack 3 es 80 metros usando fibra OM3.
La fibra OM3 (multimodo de 50/125 µm, clasificación OM3) tiene las siguientes distancias máximas según el estándar IEEE 802.3:
| Velocidad | Estándar | Tipo fibra | Distancia máxima |
|---|---|---|---|
| 10 Gbps (10GBASE-SR) | 802.3ae | OM3 | 300 m |
| 25 Gbps (25GBASE-SR) | 802.3by | OM3 | 70 m |
| 25 Gbps (25GBASE-SR) | 802.3by | OM4 | 100 m |
Problema: A 25 Gbps, el transceptor estándar 25GBASE-SR tiene un alcance máximo de 70 m sobre OM3, pero la distancia requerida es de 80 m, lo que supera ese límite.
Conclusión:
La fibra OM3 existente NO es válida para 25 Gbps a 80 metros con transceptores estándar 25GBASE-SR.
Opciones:
1. Cambiar el tramo de fibra de 80 m por fibra OM4: El estándar 25GBASE-SR alcanza 100 m sobre OM4. Requiere reemplazar el cable de 80 m entre Rack 1 y Rack 3. El transceptor sería un SFP28 25GBASE-SR.
2. Usar transceptores de mayor alcance: Existen transceptores 25GBASE-LR (monomodo OS2, hasta 10 km) o soluciones propietarias de alcance extendido, aunque son más caros. La fibra OS2 de la acometida exterior no aplica aquí (es para los 600 m del campus).
3. Reducir la velocidad del enlace a 10 Gbps: Con un transceptor SFP+ 10GBASE-SR sobre la fibra OM3 existente se cubren hasta 300 m, más que suficiente para los 80 m. En este caso el ancho de banda máximo sería 10 Gbps, no 25 Gbps.
Recomendación: Sustituir el tramo de 80 m de OM3 por fibra OM4 y utilizar transceptores SFP28 25GBASE-SR para aprovechar los 25 Gbps del interfaz SFP28 instalado.
Fin del examen · UPM 2023 · Bloque II: Infraestructuras