Proyecto red

Integrantes:
Francisco Escobar
Osvaldo Riquelme

inalmbrica
Cristian Rojas

Implementacin colegio con

sistemas Mikrotik
 Tabla de contenidos

Resumen del proyecto..................................................................................... 2

Diagrama Lgico............................................................................................. 3
Diagrama Fsico............................................................................................... 4
Equipos y Materiales........................................................................................ 4
Software de administracin WinBox.................................................................6
Configuraciones equipos Mikrotik....................................................................7
Configuracin GW1...................................................................................... 7
Reset por defecto e identificacin del equipo...................................................7
Interfaces a configurar................................................................................. 7
Creacin de DHCP Cliente...........................................................................9
Asignacin IP........................................................................................... 10
Configuracin DNS.................................................................................... 11
Servidores DHCP...................................................................................... 11
Servicio HotSpot....................................................................................... 12
Activacin de NAT..................................................................................... 13
Configurar Seguridad................................................................................. 16
Configuracin APs...................................................................................... 17
Reset por defecto e identificacin del equipo.................................................17
Configuracin interfaces.............................................................................18
Configuracin WLAN.................................................................................19
Informacin tcnica del proyecto....................................................................23
Direccionamiento IP.................................................................................... 23
Servidores DHCP........................................................................................ 23
VLANs....................................................................................................... 23
Informacin HotSpot................................................................................... 23
Informacin SSID........................................................................................ 24
Observaciones finales................................................................................... 25

1
 Resumen del proyecto

Comprende la implementacin de la red inalmbrica en el establecimiento,

mediante el uso de tecnologa Mikrotik y Ubiquiti, las cuales permiten separar
cada comunidad de usuarios (Alumnos, Administrativos y Docentes)
protegiendo la integridad de los datos que se transmiten en la red y permitiendo
una mejor gestin en lo que respecta a las pginas que acceden los usuarios y
las velocidad de navegacin.
Segn el estudio en terreno y clculos de radioenlaces, se requerirn el uso de
mltiples AP en modo roaming. Esta caracterstica soluciona las desconexiones
que se producen por el cambio de ubicacin del equipo cliente y permite un
balanceo en la carga de trabajo de los equipos. Junto a esto, los equipos
contarn con soporte de banda doble y tecnologa MIMO, optimizando la
cobertura y velocidad de navegacin.
Debido a la distribucin de las salas y espacios en el establecimiento, se
requerir de un enlace inalmbrico WDS para interconectar uno de los puntos
ms alejados. Esta es la mejor solucin costo/rendimiento segn los estudios
realizados, ya que permite el envo de datos con el mnimo de intervencin en
la estructura
Finalmente, en lo que respecta a la administracin de red, se contara con el
uso de tecnologa tipo HotSpot para el ingreso de las redes de alumnos,
controles de velocidad y limitaciones de velocidad para evitar un uso abusivo
de la red.

2
Diagrama Lgico

3
Diagrama Fsico

4
 Equipos y Materiales
Vaciar

RB3011UIAS-RM. 1 $ 187.0
MIKROTIK 10-1000 1-SFP 1-USB LCD L5 1,4GHz-Dual $-31.7
1GB 1U-Rack 10-30VDC Sin Stock. (17,0

RBCAP-2N. 3 $ 50.5
MIKROTIK 2.4GHZ L4 2DBI CAPSMAN 1-100-POE/12- $-8.5
56V 17DBM 50MW AR9331 100+ Unid. (17,0

PBE-M5-300. 1 $ 80.2
UBIQUITI 22DBI 5GHZ 300MM POWERBEAM $-15.2
NANOBRIDGE NB-5G22 100+ Unid. (19,0

5
 RK06-4LD. 1 $ 59.0
LINKMADE RACK DESARMADO 45CM-FONDO 6U $-10.0
PARED INC-2U 10 Unid. (17,0

PP624B. 1 $ 89.0
BRANDREX 1U UTP PATCHPANEL 24-RJ45 CAT6 CIRC- $-13.3
IMPRESO C6CPNLU24012M 35+ Unid. (15,0

CP6B-15L 10
$ 1.9
LINKMADE 1,5MT CAT6 NARANJO LSZH CABLE PATCH
$-323 (17,0
INYECTADO MULTIFILAR 100+ Unid.

TC-PRO. 1 $ 153.0
UBIQUITI F/UTP CABLE CAT5E 305MT 24AWG PE- $-26.0
EXTERIOR 50+ Unid. (17,0

UB-AM. 2 $ 7.5
UBIQUITI SOPORTE 50cm P/MURO EXTERIOR $-1.2
ABATIBLE Sin Stock. (17,0

Observaciones:
Valores ms IVA. Forma de pago, transferencia bancaria.
Se incluyen equipos para enlaces de equipos, y elemento para armado de rack
de telecomunicaciones. Adems de soporte para antenas y cableado diseado
para instalacin de equipos en exterior
Herramientas especiales necesarias: crimpeadora RJ45, ponchadora RJ45,
deschaquetador de cable, atornilladores correspondientes y materiales
ferretera.

6
 Software de administracin WinBox

Es la principal herramienta de gestin de configuraciones en sistema RouterOS

La podemos encontrar gratuitamente ingresando a la pgina oficial de mikrotik

Ejemplo de software Winbox

Permite ingresar mediante la direccin IP, en caso de tener configurada una o

mediante la MAC en caso de estar el equipo sin IP configurada

7
 Configuraciones equipos Mikrotik

Configuracin GW1

Reset por defecto e identificacin del equipo

El tcnico debe cerciorarse de comenzar reseteando el equipo, para evitar

cualquier configuracin antigua que puede afectar el normal funcionamiento.
Una vez concretado, debe identificar el equipo mediante un nombre, utilizando
la opcin IDENTITY ubicado en el men SYSTEM
Interfaces a configurar

Pantalla final de interfaces configuradas

Acorde a la topologa expuesta con anterioridad, el equipo utilizado (951G)

posee 5 puertos fsicos, los cuales sern designados como siguen:

N Puerto Fsico Nombre asignado Funcin

1 ether1_WAN
2 ether2
3 ether3_PTP_WDS
4 ether4_AP1
5 ether5_AP2
Conexin a Internet
SIN USO
Conexin a AP WDS para enlace
PTP
Conexin a AP Multi SSID
Conexin a AP Multi SSID

8
Adicional a esto, es necesario la creacin de un bridge, el cual nos permitir
agrupar las interfaces comunes, a modo de switch, pero con funciones
avanzadas. Al aparecer como una interfaz virtual, podemos asignarle VLANs,
las cuales sern accesible desde cualquier interfaz que se encuentre agregada
en el bridge.

Bridge creado (bridge_LAN) y puertos requeridos asociados

Finalmente, el tcnico deber crear las correspondientes VLANS, asignando

como interfaz maestra bridge_LAN. De esta manera nos evitamos crear la
misma VLAN repetidas veces por cada interfaz que maneje mltiples redes
(Alumnos, Administracin y Docentes)

VLAN ALUMNOS VLAN ADMINISTRATIVOS

9
 VLAN DOCENTES
Creacin de DHCP Cliente

Con el fin de tener acceso a internet, el tcnico deber crear un DHCP Cliente
para obtener la direccin IP. Esta se asignar a la interfaz WAN, quedando de
la siguiente manera:

DHCP Cliente creado, la direccin IP mostrada es la otorgada al momento de

crear este manual

10
Asignacin IP

El tcnico deber configurar las direcciones IP de la manera mostrada a

continuacin, tomando en cuenta las interfaces correspondientes

Direcciones IP. La letra D al comienzo, indica que la IP fue obtenida de

manera automtica

11
Configuracin DNS

Con el fin de poder resolver los nombres de pginas y servicios en internet a

direcciones IP, es necesario habilitar la funcin de DNS en el router (Allow
Remote Request) al mismo tiempo que se deber indicar los servidores a los
cuales se le enviar la consulta DNS. En este caso, utilizaremos los servidores
de Google, los cuales son de libre acceso y alta estabilidad.

Servidores DHCP

El tcnico deber crear 3 servidores DHCP, los cuales otorgarn IP de manera

automtica a las redes de Alumnos, Administrativos y Docentes. Cada servidor
estar asignado a cada VLAN creada con anterioridad. Este diseo, nos
permite separar los rangos de IP y el trfico de cada una de estas redes pero
manteniendo centralizadas las concesiones IP, creando una red escalable y de
fcil administracin.
Los servidores sern creados mediante la opcin DHCP Setup, utilizando los
valores por defectos que entrega el router

12
Servicio HotSpot

Debido a la necesidad de entregar un acceso controlado a los alumnos, se

deber implementar acceso mediante portal cautivo. De esta forma podemos
controlar el ingreso mediante usuarios nicos, estableciendo lmites de
velocidad y tiempo de conexin.
La configuracin se realizar mediante la opcin Hotspot Setup utilizando los
valores por defectos entregados e indicando la interfaz VLAN correspondiente
a la red de alumnos.

Luego de crear el hotspot, agregaremos un perfil de usuario nuevo tal como se

detalla en la imagen. Le asignaremos sesiones mximas de 45min y lmite de
velocidad de 2mbit bajada / 256kbits subida

13
Debido a que actualmente no manejamos el listado total de usuarios a tener
acceso o si se integrar con servidor RADIUS, crearemos un usuario de prueba
para comprobar la funcin del perfil creado.

Activacin de NAT

14
Finalmente el tcnico deber crear una regla en el Firewall, para enmascarar el
trfico de sala a internet desde nuestra red LAN. Esto es debido a que en las
redes de internet no tienen conocimiento de la existencia de nuestra red
interna, esto es al no estar comunicando nuestras redes mediante algn
protocolo de enrutamiento.
Para crear la regla se debe ir a IP > Firewall pestaa NAT y agregar regla
(botn +)+
Es importante que al seleccionar la interfaz de salida, sea la que nos entrega la
conexin a internet

15
16
Configurar Seguridad

Con el fin de proteger el acceso a usuarios no autorizados en la red, se deber

cambiar la contrasea por defecto del sistema Mikrotik
Para ello, la opcin se ubica bajo el men System > Password. La contrasea
por defecto es admin y debe ser ingresada en la casilla Old Password

17
Configuracin APs

Motivos del diseo centralizado, las configuraciones de cada AP son similares

ya que la nica funcin de estos equipos es desencapsular las
correspondientes VLANs y enlazarlas con cada SSID emitido.

Reset por defecto e identificacin del equipo

El tcnico debe cerciorarse de comenzar reseteando el equipo, para evitar

cualquier configuracin antigua que puede afectar el normal funcionamiento.
Una vez concretado, debe identificar el equipo mediante un nombre, utilizando
la opcin IDENTITY ubicado en el men SYSTEM

18
Configuracin interfaces

El tcnico requerir de un solo puerto en cada AP, el cual tendr por fin recibir
todas las redes encapsuladas. Esta interfaz se unir mediante un bridge a
todos los Virtual AP, que entregaran el trfico ya etiquetado con su respectiva
VLAN.
bridge_wlans tendr asignado como puertos todos los VirtualAP creados,
adems del puerto ether1 en el AP

19
Configuracin WLAN

Antes de crear cada una de las redes inalmbricas planeadas, el tcnico

deber crear los diferentes perfiles de seguridad que correspondes con las
claves que ingresaran los usuarios al conectarse la red. El tipo de seguridad
elegida es WPA2- AES la cual brinda alta seguridad y hasta el da de hoy solo
puede ser corrompida mediante a taques de fuerza bruta.
Para ingresar cada uno de los perfiles, se deber ingresar a la opcin Wireless
> Security Profiles, creando un nuevo registro con clave en modo dinmico
(Dynamic Keys)

20
Configuracin SSID: WIFI_ALUMNOS Se indica la vlan a la cual se asignar su
trfico para la posterior administracin

21
Configuracin SSID: WIFI_ADMIN (administrativos) Se indica la vlan a la cual
se asignar su trfico para la posterior administracin

22
Configuracin SSID: WIFI_DOCENTES (docentes) Se indica la vlan a la cual
se asignar su trfico para la posterior administracin

23
 Informacin tcnica del proyecto

Direccionamiento IP

RED IP GATEWAY RANGO DHCP

ALUMNOS 10.0.10.1 10.0.10.10-10.0.10.254
ADMINISTRATIVOS 10.0.20.1 10.0.20.10-10.0.20.254
DOCENTES 10.0.30.1 10.0.30.10-10.0.30.254

Servidores DHCP

RED INTERFAZ TIEMPO LEASE

ALUMNOS VLAN10_ALUMNO 2 HORAS
S
ADMINISTRATIVOS VLAN20_ALUMNO 7 DIAS
S
DOCENTES VLAN30_ALUMNO 7 DIAS
S

VLANs

RED VLAN ID NOMBRE INTERFAZ

ALUMNOS 10 VLAN10_ALUMNOS
ADMINISTRATIVOS 20 VLAN20_ADMINISTRATIVOS
DOCENTES 30 VLAN30_DOCENTES

Informacin HotSpot

HOTSPOT RED LIMITES

ALUMNOS 10.0.10.0/24 256K Bajada / 2M Subida Max 45 MIN.

HOTSPOT USUARIO PASSWORD Perfil

ALUMNOS alumno 1234 alumnos2M

24
Informacin SSID

SSID VLAN TAG INTERFAZ MAESTRA

RED_ALUMNOS 10 Wlan1
RED_ADMIN 20 Wlan1
RED_DOCENTES 30 Wlan1

SSID TIPO DE SEGURIDAD CONTRASEA

RED_ALUMNOS OPEN HOTSPOT
RED_ADMIN WPA2-AES administrativos2016
RED_DOCENTE WPA2-AES docentes2016
S

25
 Observaciones finales

La red tiene un diseo de tipo estrella, siendo el punto principal el router GW1,
en caso de necesidad de ampliar el nmero de AP, con el fin de mejorar la
cobertura y cantidad de equipos conectados, se puede agregar un switch a la
salida del GW1 ampliando los puertos disponibles para nuevos equipos.
Mikrotik incluye la posibilidad de activar CAPsMAN, esto es un nuevo sistema
centralizado para manejo de mltiples AP (decenas a cientos) de manera
automtica y centralizada, evitando el acceder equipo por equipo para
modificar configuraciones. Debido a la complejidad de este protocolo
propietario y la baja densidad del proyecto actual, no se tuvo como opcin
implementarlo, pero es un protocolo a tener en cuenta en otros escenarios
Se puede mejorar la velocidad de acceso modificando el tipo de AP cotizado, a
uno de tecnologa doble banda AC. Habilitando el uso de seal en 5Ghz en la
parte del cliente (disponible en equipos tope de gama tipo Samsung S7 y
Iphone 6s y otros). Debido a el costo mayor (3 veces el costo por AP
actualmente cotizado) no se tuvo como opcin debido a la finalidad de conectar
una densidad media de usuarios.
Para una mejor gestin de usuarios, se recomienda complementar el sistema
hotspot con un servidor RADIUS que maneje los RUT o algn dato
identificador. De esta maneja se puede manejar una gran cantidad de usuarios
y evitar ingresar manual mente cada uno de los usuarios. Mikrotik es altamente
compatible con este sistema. Se puede encontrar mayor informacin
directamente en la Wiki de RouterOS.

26