Manual de Configuraciones de Redes y telecomunicaciones

Transcripción

Manual de Configuraciones de Redes y telecomunicaciones
MINISTERIO DE EDUCACIÓN PÚBLICA
10805
MANUAL DE CONFIGURACIONES DE REDES Y
TELECOMUNICACIONES
CÓDIGO:
Mayo, 2012
MANUAL DE CONFIGURACIONES DE REDES Y TELECOMUNICACIONES
MINISTERIO DE EDUCACION PÚBLICA
TABLA DE CONTENIDO
1.
INTRODUCCIÓN ............................................................................................... 3
2.
DESCRIPCIÓN ................................................................................................... 4
3.
OBJETIVO GENERAL ......................................................................................... 4
4.
ALCANCE ......................................................................................................... 5
5.
DEFINICIONES Y ABREVIATURAs ...................................................................... 5
6.
AUTOR(ES) ...................................................................................................... 6
7.
ACTUALIZADO POR: ......................................................................................... 6
8.
REVISADO POR: ............................................................................................... 7
9.
DIRECTRICES .................................................................................................... 7
10.
TIPOS DE EQUIPOS QUE CONFORMAN LA RED MINISTERIAL ............................. 7
11.
INVENTARIO DE EQUIPOS QUE COMPONEN LA RED ......................................... 7
12.
POLÍTICAS Y ROLES DE RED ............................................................................ 12
13.
EQUIPOS DE COMUNICACIONES (ROUTER Y FIREWALL) .................................. 14
14.
PROCESOS DE ACTUALIZACIÓN DE ANTIVIRUS................................................ 18
Versión: 4
Página 2 de 19
08/03/2012
1. INTRODUCCIÓN
Basados en la necesidad de brindar mayor y mejores soluciones de
conectividad, así como el tratar de garantizar la continuidad del servicio, se
desarrolla un manual de procesos con el cual se pretende crear estándares de
configuraciones y servicios, abarcando todos los posibles escenarios
tecnológicos que se encuentran en los edificios centrales y oficinas
descentralizadas del Ministerio de Educación, permitiendo orientar al personal
de la Dirección de Informática de Gestión, en los protocolos y pasos
recomendados a seguir para configurar un equipo de acceso a la red.
El objetivo del manual es brindar un conocimiento básico de la estructura de
las redes existentes, y operar como una guía para la implementación de
soluciones en corto tiempo, con la garantía de que éstas serán compatibles y
funcionales con los procesos y aplicaciones que se ejecutan en el Ministerio.
Este marco de referencia garantiza que las configuraciones de los equipos
serán homogéneas, por lo que cualquier funcionario con los privilegios y
conocimientos necesarios, sin importar su ubicación física, o conocimiento de
la plataforma, podrá atender solicitudes de los usuarios, y realizarlas con la
menor cantidad de inconvenientes posibles.
2. DESCRIPCIÓN
La estructura del documento detalla la forma básica en la que se deben realizar
las configuraciones de los diferentes equipos en la red ministerial, detallando
desde una conexión LAN, hasta una conexión WAN, además muestra algunas
implementaciones adicionales en la red que podrían ser requeridas para
brindar conectividad a los usuarios finales.
Describe la estructura de conectividad detallada por edificio, sobre el tipo de
conexión con el que se cuenta y sus usos, para que en caso de ser necesario
se pueda usar como referencia para dar el soporte requerido, además para
tener un panorama más claro de la red a nivel de conectividad entre edificios.
Se muestra un breve inventario de los equipos distribuidos por edificios, los
cuales en su mayoría son para el acceso de usuarios y pocos de ellos en el
CORE o conexión de núcleo de red.
La estructura de conectividad en las direcciones regionales muestra un mismo
esquema de manera global, los cambios importantes son en el
direccionamiento propio de cada dirección regional.
3. OBJETIVO GENERAL
Desarrollar un estándar aplicado a la configuración de los diferentes equipos de
comunicación con los que cuenta el ministerio, definiendo los pasos básicos
para poner en operación un servicio en el menor tiempo posible y garantizar su
continuidad, manteniendo a la vez el balance entre la seguridad de la red y el
acceso a la información por esencial para el desarrollo de las actividades y
procesos cotidianos de los usuarios.
3.1.
Objetivos específicos
o Identificar los tipos de equipo de red con los que cuenta el Ministerio en
sus distintas oficinas.
o Determinar las políticas de seguridad que deben prevalecer en toda
labor de configuración de la red con el propósito de asegurar el tráfico de
información y la integridad de los datos.
o Establecer los lineamientos técnicos y de configuración que se deben
seguir para la correcta implementación y configuración de los servicios
de red.
o Detallar los procedimientos especiales para la implementación de
configuraciones alternativas o de contingencia en caso de ser requeridas
para satisfacer una necesidad especifica.
o Promover a todo el equipo de trabajo de la Sección de Redes y
Telecomunicaciones el uso de este manual.
Versión: 1
Página 4 de 19
fecha de vigencia
o Implementar las estandarizaciones establecidas en este manual a todos
los equipos del Ministerio de Educación Púbica.
o Ampliar la cantidad de personas capaces de poder brindar una
respuesta o un diagnostico de un servicio en corto tiempo sin depender
de los administradores de la red, mejorando la imagen de la dirección y
ampliando la gama de servicios.
4. ALCANCE
El manual brindará la capacidad y el soporte para configurar e implementar un
equipo activo en la red mediante una ejecución básica y oportuna, capaz de
operar, ya sea por requerimiento de una nueva instalación o bien como
contingencia caso de fallas del equipo actual; permitiendo un mejoramiento en
la continuidad de los servicios brindados por la sección.
5. DEFINICIONES Y ABREVIATURAS
5.1.
Abreviaturas
Término
Descripción
IPS
VPN
AP
ISP
ICE
RACSA
ADSL
Sistema de prevención de intrusos (por sus siglas en ingles)
Redes Privadas Virtuales (por sus siglas en ingles)
Punto de acceso Inalámbrico (por sus siglas en ingles)
Proveedor de Servicios de Internet (ICE / RACSA)
Instituto Costarricense de Electricidad
Radiográfica Costarricense. S.A.
Línea de Suscripción Digital Asimétrica (por sus siglas en ingles)
Dynamic Host Configuration Protocol (Protocolo Configuración
Dinámica de Anfitrión por sus siglas en ingles)
Sistema de Dominio de Nombres (Domain Name System)
DHCP
DNS
TABLA 1: ABREVIATURAS
Versión: 1
Página 5 de 19
fecha de vigencia
5.2.
Definiciones
Switch: equipo de comunicación que permite la interconexión entre las
computadoras de usuario final y los servidores de aplicaciones, enlaces de
comunicación y acceso a internet; este equipo cuenta con la capacidad se
realizar una segmentación del tráfico para mejorar el rendimiento de las
aplicaciones.
Routers: dispositivos que se encargan de interconectar y dar acceso a los
equipos que conforma la red interna hacia los diferentes edificios, además de
ser los encargados de redirigir el trafico entrante y saliente de las aplicaciones
y del acceso a internet
Firewalls: conocidos como muros de fuego, son dispositivos encargados de la
seguridad estos realizan un cierre de puertos para evitar posibles ataques
externos hacia la red interna, los firewalls se pueden encontrar tanto a nivel de
hardware como de software, estos últimos son los que se instalan en los
equipos de los usuarios finales para mejorar la seguridad
IPS: Son equipos con la capacidad de los firewall pero cuentan con la
capacidad integrada de realizar análisis del trafico entrante y saliente para
bloquear los posibles ataques o infecciones a los equipos que integran la red,
además cuentan con una capacidad de realizar un filtro de páginas web para
asegurar el uso adecuado de los recursos.
Concentrador de VPN: son equipos que soportan las conexiones entrantes de
otros dispositivos levantando canales seguros y directos para la transmisión de
la información, los cuales manejan mecanismos de encripción y seguridad que
brindan una alta confiabilidad.
Access Point: son dispositivos que se encargan de realizar conexiones de tipo
inalámbrico entre las computadoras y la red ministerial realizando filtros de
conectividad entre los usuarios admitidos y los externos que no deben tener
acceso a la red.
6. AUTOR(ES)
MT. César Morera Madrigal, Jefe
Telecomunicaciones, marzo, 2009.
de
la
Sección
de
Redes
y
7. ACTUALIZADO POR:
Licda. Delia Calderón Quirós, Departamento de Soporte Técnico a oficinas
Centrales y edificios descentralizados, febrero 2012.
MSc. Pablo Ariel Mora Segura, Sección de Redes y Telecomunicaciones, Mayo
2012.
Versión: 1
Página 6 de 19
fecha de vigencia
8. REVISADO POR:
Departamento de Innovación y Control Informático, Ministerio de Educación
pública, marzo 2012.
9. DIRECTRICES
Todo equipo de red que sea instalado en las oficinas del Ministerio de
Educación, debe ser configurado con base en los lineamientos establecidos en
este manual, para asegurar que cualquier funcionario de la sección pueda
interpretar la configuración del equipo.
10.
TIPOS DE EQUIPOS QUE CONFORMAN LA
RED MINISTERIAL
La red del ministerio se encuentra conformada por una serie de dispositivos de
telecomunicaciones (equipos activos de red) que se encargan de realizar la
conectividad, tanto entre los diferentes edificios arrendados como también, el
servicio que le brinda la conexión al usuario final que usa los servicios.
Entre la lista de equipos podemos encontrar:
•
•
•
•
•
•
•
Switches.
Router (enrutadores).
Firewalls (muros de fuego).
Concentradores de VPN.
Servidores.
IPS (Sistemas de prevención de intrusos).
Access Point (equipo de acceso inalámbrico).
Todos con la finalidad de dar un servicio ágil y seguro a los empleados del
ministerio; a continuación se definen algunos conceptos de los equipos más
importantes que se administran en el MEP, y que conforman la plataforma de
telecomunicaciones.
11.
INVENTARIO DE EQUIPOS QUE COMPONEN
LA RED
Versión: 1
Página 7 de 19
fecha de vigencia
A continuación se detalla el inventario de equipos de telecomunicaciones
existente por sitio:
11.1.
Antigua Embajada Americana
En este edificio se concentran la mayor parte de los servicios, en cuanto a la
estructura de telecomunicaciones de la red ministerial por la arquitectura de
este edificio.
La red en este edificio está compuesta por:
Tipo de
equipo
Marca
Modelo
Cantidad
Descripción
Switch
Cisco
3750
9
Funcionan como equipos de acceso y distribución de la
red.
Switch
Cisco
3750
5
Conforman el CORE de la red recibiendo las conexiones
entrantes de los equipos de acceso así como de los
servidores que se encuentran en el sitio.
IPS
3com
X506
2
Se encargan de la gestión e interconexión de los VPN con
las direcciones regionales en un enlace de 10 Mbps con el
ICE
IPS
3com
X506
1
Se encarga de brindar la conexión a internet manejando el
filtrado de contenidos web y los bloqueos de posibles
ataques en la red.
Router
3com
5009
2
Se utilizan para los enlaces de Internet de los que hace uso
el sitio WEB.
Router
H3C
MSR5040
2
Soportan los enlaces entre los edificios Rofas, Raventós,
Antiguo CENADI, Antiguo CENIFE, Ebblar y Porfirio Brenes
estos servicios en velocidades de 2mbps, 4mbps y
10mbps.
Servidor
SUN
SunFire
E2900
1
Servidor
HP
ML570
G2
2
Uno destinado al controlador de dominio y otro para el
concurso interno
Servidor
HP
DL380
3
le pertenecen a PROMECE
Enclousure
HP
C7000
1
Se encarga de la administración de los servidores tipo
blade.
Administra las Bases de Datos de planillas
BLADES
HP
BL460c
8
Servidores que 4 de ellos se utilizan para la virtualización
de servidores, 1 es el que hospeda el Sitio Web del MEP, 2
de bases de datos y 1 se utiliza para correr la aplicación
TCTE de la Dirección Financiera y Programas de Equidad.
BLADES
HP
BL680
2
Los dos servidores son utilizados para hospedar todo el
ambiente de producción del proyecto MEP-DIGITAL.
Versión: 1
Página 8 de 19
fecha de vigencia
11.2.
Edificio Rofas
En la estructura de conexión de este edificio el cual concentra los servicios más
importantes en la atención del público se cuenta con una forma de
interconexión basada en líneas principales y de respaldo en la siguiente
estructura:
Tipo de
equipo
Marca
Modelo
Cantidad
Descripción
Switch
3Com
5500G
35
Switches de acceso que son los que brindan el soporte de
conexión a los usuarios finales.
Se encargan de realizar la comunicación entre los pisos del
edificio soportando la carga de tráfico que es obtenida de
los 35 Switches de acceso.
Switch
3Com
IPS
3com
5500G
X506
10
Los switches de CORE se encargan adicionalmente de dar
la interconexión a los servidores que se encuentran el piso
6 del edificio operando a velocidades de 1 Gbps entre el
servidor y el equipo de acceso al usuario final.
Se encarga de soportar la carga del trafico de internet,
realizando filtro de contenidos web así como tareas de
enrutamiento al edificio de la antigua embajada, dado que
los otros equipos que cuentan con esta capacidad ya se
encuentran saturados, este equipo soporta un enlace en
fibra de 10mbps hacia internet para todo el edificio.
1
Se encargan de realizar el enrutamiento entre los edificios.
Router
Servidor
H3C
Virtual
11.3.
MSR2040
Virtual
Soportan conexiones de tipo V.35 para el enlace de 2mpbs
con el ICE, los dos enlaces de 4mbps con RACSA y
ambos hacia la antigua embajada americana donde se
concentran los servicios de la red, un enlace MPLS del ICE
en Fibra óptica en 10 Mbps contra la antigua Embajada y
un enlace a Internet en Fibra a 10 Mbps.
2
Servidor Proxy el cual se encarga de administrar los
tiempos (roles) de acceso a internet además de realizar
tareas de firewall a nivel de software para los equipos que
se encuentran a lo interno de la red, este equipo ofrece la
funcionalidad de crear reportes de tráfico por usuario lo que
brinda una estadística más exacta del uso adecuado del
servicio así como un indicador de saturación del servicio y
necesidad de crecimiento.
1
Edificio CENADI
La plataforma de comunicaciones del edificio del antiguo CENADI se encuentra
distribuida la siguiente manera:
Versión: 1
Página 9 de 19
fecha de vigencia
Tipo de
equipo
Marca
Modelo
Cantidad
Descripción
Switch
HP
4210a
28
distribuidos entre el RACK principal y los edificios, para dar
conexiones a los usuarios así como una conectividad a
internet
Switch
3Com
5500G
4
Con funcionalidad en capa 3 (modelo OSI) como CORE de
la red LAN
Router
H3C
MSR2040
1
Realiza el enrutamiento en el enlace MPLS del ICE en
Fibra óptica en 10 Mbps contra la antigua Embajada, 10
Mbps para internet.
IPS
3com
X506
1
Soportar el tráfico entrante y saliente para internet siempre
sobre el servicio de 10 Mbps,
IPS
3com
X506
1
Se encarga de administrar la DMZ del portal de educatico.
Nota: Se cuenta con un enlace de 4 Mbps en HDSL para los servicios de video
conferencia del Instituto Uladislao Gámez.
11.4.
Edificio Raventós
En el edificio Raventós se encuentra la siguiente distribución de equipos:
Tipo de
equipo
Marca
Modelo
Cantidad
Switch
3Com
5500G
53
Distribuidos entre los 7 pisos para el acceso de usuarios.
Router
H3C
MSR2040
2
Soportan conexiones de tipo V.35 para el enlace de 2 Mbps
con el ICE, un enlace MPLS del ICE en Fibra óptica en 10
Mbps contra la Antigua Embajada y un enlace a Internet en
Fibra a 10 Mbps.
Router
Cisco
2901
1
Soporta dos líneas: una en 128 kbps y otra a 2 Mbps contra
el Ministerio de Hacienda para el servicio del SIGAF.
IPS
3com
X506
1
Para el acceso a internet, se cuenta con enlace de 10
Mbps en fibra con el ICE y un ADSL de 4 Mbps (para
respaldo.
11.5.
Descripción
Antigua Escuela Porfirio Brenes.
La red de la Antigua Escuela Porfirio Brenes tiene una estructura sencilla
donde se encuentran:
Versión: 1
Página 10 de 19
fecha de vigencia
Tipo de
equipo
Marca
Modelo
Cantidad
Switch
HP
4210a
14
Dan conexión de acceso a los usuarios.
Switch
3Com
5500G
2
CORE de la red LAN del edificio.
Router
H3C
MSR2040
1
Soporta las conexiones de tipo V.35 para el enlace de
2mpbs con el ICE, un enlace MPLS del ICE en Fibra óptica
en 10 Mbps contra la Antigua Embajada.
IPS
3com
X506
1
Soporta un servicio de ADSL en 4 Mbps.
Servidor
Fujitsu
SCENIC
P300
1
Proxy, para dar la salida a Internet y monitoreo de accesos
Servidor
HP
XW6400
WORKS
TATION
1
Controlador de Dominio (AD)
Servidor
HP
DC7700
1
WSUS, para las actualizaciones de los sistemas operativos
y demás paquetes microsoft.
Servidor
HP
DC5750
1
Repositorio, maneja las actualizaciones de antivirus.
Descripción
Nota: Como línea de respaldo se cuenta con una conexión inalámbrica de 11
Mbps con la antigua embajada donde el paso de una línea a otra debe ser
manual por cualquiera de los compañeros de informática que puedan realizar
esta función.
11.6.
Edificio Ebbalar
Su infraestructura de telecomunicaciones está compuesta por:
Tipo de
equipo
Marca
Modelo
Cantidad
Switch
3Com
3300XM
6
Descripción
Dan conexión de acceso a los usuarios.
Nota: Al igual que en otros edificios esta red tiene conexión entre los diferentes
pisos arrendados por el MEP, los cuales tienen una conexión de 4 Mbps contra
la Antigua Embajada para aplicaciones internas y para acceso a correo, cabe
destacar que este edificio no cuenta con servidores para realizar todos los
servicios por lo que la configuración de la red se maneja como una extensión
de la LAN de la antigua embajada utilizando los servicios de correo, DNS,
DHCP y servidor proxy.
Versión: 1
Página 11 de 19
fecha de vigencia
Como línea de respaldo se cuenta con una conexión inalámbrica de 11 Mbps
con la antigua embajada donde el paso de una línea a otra debe ser manual
por cualquiera de los compañeros de informática que puedan realizar esta
función.
11.7.
Direcciones Regionales
Para cada Dirección regional se ha implementado
estandarizada compuesta por los siguientes elementos:
Tipo de
equipo
Marca
Switch
3Com
Access
Point
Cisco
Access
Point
3Com
IPS
UPS
3com
Modelo
3300XM
4400
Aeronet
1240G
X5
una
plataforma
Cantidad
Descripción
2
Dan conexión de acceso a los usuarios, según la cantidad
de estos por regional.
1
Ofrecen mayor movilidad y aumentar la cobertura
en cada sitio.
1
Ofrecen mayor movilidad y aumentar la cobertura
en cada sitio.
1
1
Se encarga de la seguridad perimetral además
de realizar un filtrado de contenido web para la
protección de los usuarios, así como de
establecer el VPN entre la dirección regional y
las oficinas centrales (Antigua Embajada).
Respaldado eléctrico para garantizar la
continuidad del servicio y así como la protección
adecuada de los equipos.
Nota: Estas cuentan actualmente con enlaces de ADSL, en velocidades
promedio de 4 Mbps exceptuando las regionales de Coto, Desamparados,
Guápiles y Sarapiquí las cuales la velocidad promedio es de 1Mbps dado que
la infraestructura de cobre del ICE no puede brindar mayor ancho de banda.
12.
Versión: 1
POLÍTICAS Y ROLES DE RED
Página 12 de 19
fecha de vigencia
Se procede a describir las políticas existentes para la red institucional, así
como los roles que desempeñan los principales equipos en esta.
12.1.
Seguridad
Existen niveles de seguridad tanto físicos como lógicos.
•
La seguridad física se refiere al acceso al lugar donde se encuentran los
principales servidores de dominio de la institución, así como de los equipos
de telecomunicaciones (Routers, firewall, Switches, entre otros). Este lugar
es el centro de cómputo ubicado en el Edificio de la Antigua Embajada
Americana.
•
La seguridad lógica se refiere a los niveles de acceso por software a los
equipos y a los funcionarios que están autorizados ingresar a los mismos.
Las personas autorizadas son el administrador de dominio y funcionarios
del Departamento de Soporte Técnico. El usuario administrador de dominio
tiene todos los permisos de manipulación de los equipos. Se definen roles
de permisos para los funcionarios del Departamento de Soporte Técnico
según las funciones que desempeñan.
o La contraseña de administrador de dominio y la contraseña de
administrador local de los otros servidores está resguardada en la
dirección de la Dirección de Informática de Gestión. Lo mismo ocurre
con las contraseñas de los equipos de telecomunicaciones.
o En el caso de los servidores, se tiene establecido un estándar para la
asignación de las contraseñas de las cuentas de administración. La
contraseña debe ser de 12 caracteres, de los cuales 3 deben ser
numéricos y 1 debe ser un carácter especial.
•
La contraseña del servidor de Base de Datos de SyBase es del
conocimiento únicamente de los funcionarios del departamento de Bases de
Datos.
12.2.
Controladores de Dominio
Existe un controlador de dominio principal (DC por sus siglas en ingles de
Domain Controler) ubicado en el Centro de Computo del Edificio de la Antigua
Embajada y como medida de respaldo se encuentra con otro equipo en este
edificio.
En los otros edificios del centro de San José existe al menos un controlador de
dominio secundario. Los 2 principales objetivos de estos controladores de
dominio secundarios son:
Versión: 1
Página 13 de 19
fecha de vigencia
o Tener replicas de la Base de Datos de usuarios del dominio (Active
Directory), previniendo una posible falla del equipo principal, esto
permite mantener respaldos de la Base de Datos de usuarios del
dominio.
o Que los usuarios de red en cada uno de esos edificios obtengan los
servicios de red y validación a nivel local.
El servicio DHCP, está configurado en el servidor dcmepemb2. Esto permite
habilitar dinámicamente las direcciones IP a todas las estaciones de trabajo de
la red.
Las direcciones 10.10.0.X, 10.10.1.X y 10.10.2.X no se asignan dinámicamente
ya que son reservadas para los equipos principales de red:
Dirección o rango
Descripción
10.10.0.X
Son reservadas para los servidores.
10.10.1.X
Son
reservadas
para
los
equipos
comunicaciones (Routers y firewall).
10.10.2.X
Son reservadas para los Switches.
10.10.3.255 a 10.10.255.100
Son asignadas dinámicamente a las estaciones de
trabajo de la red.
10.10.255.254
Se asignó al CPE que establece la conexión de
4MB con el edificio ROFAS
de
•
Mensualmente se verifican que los servidores tengan las últimas
actualizaciones de Microsoft. Para esto se ingresa al sitio de Windows
Update de Microsoft y se realizan las actualizaciones correspondientes.
•
Diario se verifica que los servidores tengan la última actualización del
Antivirus Corporativo. Dicho chequeo se hace desde la consola
administrativa del Antivirus y si es necesario se hace una actualización
manual del antivirus, la cual consiste en ingresar al FTP de la compañía
McAfee, descargar la actualización y ejecutar el archivo.
13.
EQUIPOS DE COMUNICACIONES (ROUTER Y
FIREWALL)
Se describen los roles y configuraciones básicas de los principales equipos de
comunicaciones. Esta descripción se hará por edificio y será para los edificios
Antigua Embajada Americana, Edificio Ebbalar, Rofas, CENADI y Bodegas de
Proveeduría en la Uruca. En el resto de edificios los equipos de comunicación
son administrados por los encargados de redes, por lo que ellos tienen el
conocimiento de cómo están configurados los mismos.
Versión: 1
Página 14 de 19
fecha de vigencia
13.1.
Línea
Edificio Antigua Embajada Americana.
Tipo
BW
Descripción
Internet/
VPN
Regionales
MPLS
Fibra
10
Mbps
Este servicio se conecta al distribuidor de Fibra del ICE se utiliza para
habilitar internet a los usuarios de ese edificio. En este equipo se tiene
habilitada únicamente la dirección IP del Proxy de este edificio, por lo
que cualquier estación de trabajo que necesite conectarse a Internet
debe tener configurado la dirección del Proxy, lo que permite una
administración y control de recurso de Internet. Cualquier otra dirección
IP está bloqueada en este firewall. Adicionalmente por este servicio se
brinda la conexión por VPN para las direcciones regionales dado su
ancho de banda y su estabilidad para la transmisión de datos.
MPLS
Edificios
Centrales
MPLS
Fibra
45
Mbps
Este servicio funciona como concentrador de todos los enlaces de
Fibra de los Edificios Rofas, Raventós, Porfirio, CENADI, y las
Bodegas de proveeduría en la Uruca, el cual opera por medio de la
tecnología MPLS para la transmisión de datos.
VPN
Regionales
ADSL
4
Mbps
(Respaldo) Se conecta directamente al CPE del ICE y se utiliza para
respaldo de los VPN´s con las direcciones regionales para conectar las
esos lugares con la red central de la Embajada.
DMZ
HDSL
4
Mbps
El Router solamente está configurado con una ruta default a Internet.
Este enlace se utiliza para brindar los servicios del sitio web ministerial.
Antigua
Embajada/
Porfirio
Brenes
RSDI
2
Mbps
(Respaldo) Utilizado para el enlace dedicado entre los edificios de la
Antigua Embajada Americana y la Porfirio Brenes. Esta conexión es
utilizada para establecer el acceso de las oficinas de Expedientes y
Carrera profesional ubicadas en la Porfirio Brenes, a las Bases de
Datos del SIGRH.
Antigua
Embajada/
Raventos
RSDI
2
Mbps
(Respaldo) Utilizado para el enlace dedicado entre los edificios de la
Antigua Embajada Americana y el Edificio RAVENTOS. Esta conexión
es utilizada para establecer el acceso a las dependencias ubicadas en
el edificio Raventós.
Antigua
Embajada/
Rofas
PTP
4
Mbps
(Respaldo) Utilizado para el enlace dedicado entre los edificios de la
Antigua Embajada Americana y el Edificio Rofas. Esta conexión es
utilizada para establecer el acceso de las oficinas de Recursos
Humanos, ubicadas en el Rofas, a las Bases de Datos del SIGRH.
Antigua
Embajada/
Rofas
PTP
4
Mbps
(Respaldo) Utilizado para el enlace dedicado entre los edificios de la
Antigua Embajada Americana y el Edificio Rofas. Esta conexión es
utilizada para el respaldo en caso de que el enlace principal de 4mbps
falle.
Respaldo
13.2.
Línea
Versión: 1
Edificio Ebbalar
Tipo
BW
Descripción
Página 15 de 19
fecha de vigencia
Ebbalar/
Antigua
Embajada
Ebbalar/
Antigua
Embajada
13.3.
Inalám
brico
PTP
PTP
10
Mbps
4
Mbps
Este equipo se tiene implementado como brigde y es el que conecta la
red del edificio con la red de la Antigua Embajada Americana. Al
funcionar como brigde se convierte en una extensión de la red de
Embajada, por lo que el direccionamiento IP es el mismo.
Este equipo se conecta directamente al CPE del ICE, y es utilizado
para el enlace dedicado entre los edificios de la Antigua Embajada
Americana y el edificio EBBALAR.
Esta conexión es utilizada para establecer el acceso de las oficinas de
auditoría, para consultas a los servidores y aplicaciones internas,
además se encuentra configurado como una extensión de la LAN
(modo brigde).
Bodegas de Proveeduría (Uruca)
Línea
Tipo
BW
Descripción
Internet
Usuarios
ADSL
4
Mbps
Servicio de Internet para la navegación de los usuarios y respaldo para
la conexión contra la Antigua Embajada.
Uruca/
Antigua
embajada
MPLS
Fibra
10
Mbps
13.4.
Línea
Porfirio
Brenes/Anti
gua
Embajada
Porfirio
Brenes/Anti
gua
Embajada
13.5.
Versión: 1
Enlace principal de datos entre la Antigua Embajada y la Uruca para el
tráfico de datos y servicios entre ambos edificios.
Edificio Porfirio Brenes
Tipo
RSDI
MPLS
Fibra.
BW
Descripción
2
Mbps
(Respaldo) Utilizado para el enlace dedicado entre los edificios de
la Porfirio Brenes y la Antigua Embajada Americana. Esta conexión
es utilizada para establecer el acceso de las oficinas de Expedientes
y Carrera profesional ubicadas en la Porfirio Brenes, a las Bases de
Datos del SIGRH.
10
Mbps
Utilizado para el enlace dedicado entre los edificios de la Porfirio
Brenes y la Antigua Embajada Americana. Esta conexión es
utilizada para establecer el acceso de las oficinas de Expedientes y
Carrera profesional ubicadas en la Porfirio Brenes, a las Bases de
Datos del SIGRH.
Edificio Raventós
Página 16 de 19
fecha de vigencia
Línea
13.6.
Línea
13.7.
Tipo
BW
Edificio Rofas
Tipo
BW
Tipo
BW
Internet
Videoconfer
encias
HDSL
4
Mbps
CENADI/
Antigua
embajada
MPLS
Fibra
10
Mbps
MPLS
Fibra
10
Mbps
ADSL
4
Mbps
DMZ
Internet /
Técnica
13.8.
Descripción
CENADI
Línea
Internet
Descripción
Descripción
Enlace de Internet destinado para la los servicios de videoconferencia
del Instituto Uladislao Games.
Enlace principal de datos entre la CENADI y la Antigua Embajada para
el tráfico de datos y servicios entre ambos edificios.
Enlace de Internet para la publicación de servicios Web y acceso de
usuarios.
Enlace de Internet para las salas de reuniones de la Dirección de
Educación Técnica.
Direcciones Regionales
Se describe la configuración de los equipos de comunicaciones en las
direcciones regionales. Es importante resaltar que este esquema aplica
únicamente para las regionales que tienen alguno de los servicios de
conectividad (enlaces dedicados o líneas ADSL) requeridos para establecer la
conexión con la central ministerial.
La Dirección de Informática de Gestión ha hecho una serie de esfuerzos por
dotar de este tipo de servicio a todas las direcciones regionales y de esta forma
integrar las redes de cada regional a la red ministerial, para la instalación de
los servicios de comunicaciones se depende del proveedor de servicios en el
país (el ICE):
Versión: 1
Página 17 de 19
fecha de vigencia
13.8.1.IPS Regional:
Este equipo es utilizado para habilitar la conexión a Internet
a la dirección regional y de esta forma generar el VPN para
conectar la red de la regional a la red ministerial.
El IPs se encuentra configurado para establecer
conexiones de VPN entre sitios, además de realizar el
filtrado de contenidos WEB para evitar accesos a sitios no
autorizados.
13.8.2. Router Regionales:
Actualmente las direcciones regionales no cuentan con este
tipo de equipos dado que el proveedor de servicios no tenia
la cobertura necesaria para implementar los enlaces
necesario, no obstante según la nota enviada por el ICE con
fecha del 20 febrero del 2012 ya se cuenta con acceso a
esas Zonas por lo que en las proyecciones de la DIG se
tratara de brindar el servicio basados en la cobertura
brindada en el momento en que se pueda realizar el proceso
de compra.
Actualmente se cuenta con conexión en las 27 direcciones por medio de los
equipos 3com IPS X5 el cual brinda servicios de internet permite establecer la
conexión con la Antigua Embajada.
14.
PROCESOS
ANTIVIRUS.
DE
ACTUALIZACIÓN
DE
Se procede a describir las acciones para la actualización del antivirus
ministerial.
o Semanalmente se descargan las actualizaciones al servidor administrador
del Antivirus Corporativo. Dicho servidor es el repositorio de todas las
actualizaciones de antivirus que se publiquen.
o Existe una tarea programada a nivel del servidor que instala y actualiza las
estaciones de trabajo que estén conectadas al dominio del Ministerio:
Dominiomep
o Si una estación de trabajo presenta problemas con la actualización del
antivirus, un funcionario del Departamento de Soporte Técnico realiza la
actualización de forma manual, en caso de las Direcciones Regionales, los
técnicos destacados en ellas son los encargados de realizar este proceso.
Esto consiste en descargar la última actualización del sitio FTP de McAfee,
y ejecutarla en la estación de trabajo para actualizar el equipo. Luego se
Versión: 1
Página 18 de 19
fecha de vigencia
realizan las medidas correctivas para que la actualización se realice en
forma automática.
Versión: 1
Página 19 de 19
fecha de vigencia