implementación de vyatta en la unq
TRANSCRIPT
![Page 1: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/1.jpg)
TICAR 2013 UNC Implementación de Vyatta en la
Universidad Nacional de Quilmes(UNQ) Cesar Luis Zaccagnini
Jefe de Departamento de Infraestructura Tecnológica y Telecomunicaciones
Alejandro Del BroccoDirector de Servicios Informático
Esta obra está licenciada bajo Atribución-NoComercial-CompartirDerivadasIgual 2.5 Argentina de Creative Commons
![Page 2: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/2.jpg)
Implementación de Vyatta en la UNQ
Exposición
Explicaremos el proceso que determinó la exitosa implementación del Router/Firewall basada en Software Libre.
Las características de esta distribución que llevo a su elección.
![Page 3: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/3.jpg)
Implementación de Vyatta en la UNQ
Exposición
● Identificación de la necesidad.
● Contexto de la Universidad
● Evaluación de alternativas
● Características del Vyatta
● Implementación Actual
● Implementaciones Futuras
● Ventajas y Desventajas
![Page 4: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/4.jpg)
Identificación de la necesidad
La Universidad contaba con un router encargado de brindar la conectividad interna y dar acceso a Internet a dichas redes.
Funciones asignadas
● NAT ● Vlan 802.1q● ACL (Access List)● Enlace RIU
Implementación de Vyatta en la UNQ
![Page 5: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/5.jpg)
Identificación de la necesidad
● El Router era un Cisco 3620 adquirido en 1999, este en su momento remplazo al 2501 que originalmente vino con el enlace de la RIU.
● En el 2005 se intento contratar los servicios de mantenimiento y soporte de cisco, pero la mayoría de los equipos que poseíamos se encontraban fuera de la linea de vida para Cisco, y no era admitido por el servicio de mantenimiento que cisco ofrece.
● Esto nos ponía en una situación delicada, en caso de que el router falle nos dejaba sin conectividad Interna/Externa.
Implementación de Vyatta en la UNQ
![Page 6: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/6.jpg)
Identificación de la necesidad
● Con el incremento de nuestra red interna empezó a quedar chico el equipo para las funcionalidades asignadas. Comenzamos a tener problemas con el procesamiento del equipo (CPU 100%).
● Todo su hardware y software estaba discontinuado y sin soporte quedando fuera de línea para la empresa fabricante y representantes oficiales.
Implementación de Vyatta en la UNQ
![Page 7: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/7.jpg)
Contexto de la Universidad
● Crecimiento de puestos de trabajo
● Segmentación en redes mas pequeñas.
Implementación de Vyatta en la UNQ
![Page 8: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/8.jpg)
Implementación de Asterisk en la UNQ
Evaluación de alternativas
● Actualizar un router Cisco o comparable
● Implementar el router con un equipo x86 y GNU/Linux
● Utilizar una distribución de GNU/Linux con este objetivo
![Page 9: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/9.jpg)
Implementación de Asterisk en la UNQ
Evaluación de alternativasActualizar un router Cisco o comparable
-Costosa
-En un tiempo estaríamos nuevamente fuera de la linea de vida del producto (con hardware sin soporte)
-Cada elemento adicional es propietario y costoso (ETH, Memoria)
![Page 10: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/10.jpg)
Implementación de Asterisk en la UNQ
Evaluación de alternativasImplementar el router con un equipo x86 y GNU/Linux o BSD
-Se puede utilizar hardware estándar
-Existen multiples aplicaciones para implementarlo (Squid, Snort, OpenVPN, IPSec y de ruteo XORP, Zebra, Quagga, Iptables, y mas..)
-Es Libre
-Pero... Cada aplicación posee una configuración individual que lo hace complejo de mantener y propenso a errores humanos
![Page 11: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/11.jpg)
Implementación de Asterisk en la UNQ
Evaluación de alternativasUtilizar una distribución de GNU/Linux con este objetivo
-Se evaluaron varias distribuciones desde el IPCOP al Zeroshell pasando por monowall y sus derivados, pero no nos resultaron para lo que queríamos (Remplazar el Router Cisco)
-Dentro de estas pruebas le toco el turno a Vyatta que cumplió con nuestros requerimientos y mas
![Page 12: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/12.jpg)
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas por cual se eligió
-Es GPL
-Resuelve todas las necesidades que teníamos
-La configuración del mismo se guarda en un único archivo
-Posee una comunidad activa y tiene actualizaciones periódicas (2 por año)
![Page 13: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/13.jpg)
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas: Protocolos de Ruteo y IP
● IPv4 y Ipv6
● Rutas Estáticas
● RIPv2
● OSPFv2
● BGPv4
![Page 14: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/14.jpg)
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas: Administración de direccionamiento IP
● Estático
● DHCP: Relay / Server / Client
● DNS: Forwarding / Dynamic DNS
![Page 15: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/15.jpg)
● HDLC
● PPPoE
● GRE
● IP in IP
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas: Encapsulamiento
● HDLC
● PPPoE
● GRE
● IP in IP
● Ethernet
● Frame Relay
● 802.1Q VLANs
● PPP
● MLPPP
![Page 16: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/16.jpg)
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas: Performance y Optimización
● Balanceo de carga de WAN
● Qos Priorizar y clasificar de trafico
● Ethernet Bonding
● Control de Ancho de Banda
● Web Cache y filtrado de URL por categoría
![Page 17: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/17.jpg)
Implementación de Asterisk en la UNQ
Características del VyattaCaracterísticas: Logging, Monitoreo y Seguridad
● Syslog
● SNMPv2c
● Stateful Inspection Firewall
● Network Address Translation
● SSL-based OpenVPN
● Site to Site VPN (IPSec)
● Remote VPN (PPTP, L2TP, IPSec)
● Intrusion Prevention
![Page 18: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/18.jpg)
La implementaciónImplementación de Vyatta en la UNQ
Hardware Remplazado
CPU 80 Mhz IDT RISC R4700Memoria 8 MB DRAMMemoria Flash 4MB
Conectividad1 Ethernet1001 Ethernet102 Serial
![Page 19: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/19.jpg)
La implementaciónImplementación de Vyatta en la UNQ
Hardware utilizado
CPUIntel(R) Xeon(TM) CPU 2.80GHz 2 nucleos
Memoria2Gb DDR ECC
Conectividad2 Intel e1001 Intel e1000
![Page 20: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/20.jpg)
La implementaciónImplementación de Vyatta en la UNQ
Vyatta 6.2 Core EditionInstalación basada en imagenFirewall por zonasNat 802.1QProxy transparenteSquidGuard IDS
![Page 21: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/21.jpg)
La implementaciónImplementación de Vyatta en la UNQ
![Page 22: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/22.jpg)
Implementación de Asterisk en la UNQ
Implementaciones Futuras
● Implementación de HA
– Wan Balanceo de carga
– Routers redundantes● Control de AB
● Virtualizacion de los routers redundantes
![Page 23: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/23.jpg)
Ventajas- Posibilidad de instalar aplicaciones por ser un Linux (ej. NTOP)
- Proyecto muy activo (2 versiones por año)
- Comunidad importante, y muchos sitios con información
Implementación de Vyatta en la UNQ
![Page 24: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/24.jpg)
Desventajas-Funcionalidades que venían el la versión Core ahora solo esta en la SE
Implementación de Vyatta en la UNQ
![Page 25: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/25.jpg)
Ejemplo de instalación VyattaImplementación de Vyatta en la UNQ
Objetivo:
-Instalar un router/Firewall VYATTA
Topología simple de 4 redes ● Internet
● DMZ
● 2 redes Internas.
![Page 26: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/26.jpg)
Implementación de Vyatta en la UNQ
Esquema lógico de la red
![Page 27: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/27.jpg)
Implementación de Vyatta en la UNQ
Instalación-Inicio de Live CD, ISO de x86 o virtualizadas
-Opciones del modo de instalación Imagen/system
![Page 28: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/28.jpg)
Implementación de Vyatta en la UNQ
![Page 29: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/29.jpg)
Implementación de Vyatta en la UNQ
![Page 30: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/30.jpg)
Implementación de Vyatta en la UNQ
Modos de configuración-Acceso CLI y GUI (a partir de v6.3 SE)
-Modo Operacional
-Modo Configuración
-Se configura y luego se aplica (commit)
![Page 31: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/31.jpg)
Implementación de Vyatta en la UNQ
Lógica de funcionamiento
![Page 32: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/32.jpg)
Implementación de Vyatta en la UNQ
set system host-name FW-Bernalset system gateway-address 10.253.253.253set system name-server 8.8.8.8set system ntp server 170.210.73.14set system time-zone America/Argentina/Buenos_Airesset interfaces ethernet eth0 address 10.253.253.200/24
![Page 33: Implementación de Vyatta en la UNQ](https://reader031.vdocuments.net/reader031/viewer/2022020314/589044a21a28ab800e8bb5e6/html5/thumbnails/33.jpg)
Muchas Gracias
FIN
Cesar Luis Zaccagnini
Jefe de Departamento de Infraestructura Tecnológica y Telecomunicaciones