UNIVERSIDAD POLITÉCNICA SALESIANA

SEDE QUITO

CARRERA: INGENIERÍA ELECTRÓNICA

Trabajo de titulación previo a la obtención del título de: INGENIEROS

ELECTRÓNICOS

TEMA:
ANÁLISIS Y DISEÑO DE BRING YOUR OWN DEVICE SOBRE LA RED
INALÁMBRICA DE LA UNIVERSIDAD POLITÉCNICA SALESIANA
CAMPUS SUR

AUTORES:
ANDREA ESTEFANIA DÍAZ SUBIA
LINO DANILO LAMAR TENELEMA

DIRECTOR:
JOSÉ LUIS AGUAYO MORALES

Quito, marzo del 2015

 DECLARATORIA DE RESPONSABILIDAD Y AUTORIZACIÓN DE USO
DEL TRABAJO DE TITULACIÓN

Nosotros, autorizamos a la Universidad Politécnica Salesiana la publicación total o

parcial de este trabajo de titulación y su reproducción sin fines de lucro.

Además declaramos que los conceptos y análisis desarrollados y las conclusiones del
presente trabajo son de exclusiva responsabilidad de los autores.

Quito, marzo del 2015

________________________ ________________________

Andrea Estefania Díaz Subia Lino Danilo Lamar Tenelema

CC: 1721881892 CC: 1716332372

 DEDICATORIA

Dedico este proyecto de titulación a Dios y a mis padres que son mi apoyo para
seguir adelante, que con su confianza y comprensión me han ayudado a cumplir mis
metas y han hecho de mí una mejor persona con su ejemplo de lucha y superación.

También dedico a todas aquellas personas que con su apoyo incondicional han
formado parte te este sueño.

Andrea Estefania Díaz Subia

Dedicado a Dios, por concederme la salud y el tiempo para alcanzar una de las metas
propuestas. A mis padres y hermanas por su amor, ejemplo y compresión para
protegerme, guiarme por este sendero, estando en las buenas y malas conmigo,
apoyándome en todas las decisiones de mi vida. A mis familiares y amigos a todos
aquellos que influenciaron mis pasos y acciones; por sus consejos, ayuda, compañía
y sobre todo por el tiempo compartido con ellos. A mis catedráticos por haber
contribuido a mi formación personal y profesional. A la universidad por bridarme la
oportunidad de haber estudiado en sus aulas.

Todo lo que soy es gracias a ustedes.

Lino Danilo Lamar Tenelema

 AGRADECIMIENTO

A la Universidad Politécnica Salesiana Campus Sur por habernos abierto sus puertas
para que nos podamos formar como profesionales y personas de bien para la
sociedad, además de pertenecer a tan selecto grupo de profesionales. Buscaremos
siempre mantener en alto su nombre donde sea que nos encontremos.

A sus docentes quienes nos impartieron sus experiencias y conocimientos a lo largo

de nuestra vida universitaria.
 ÍNDICE

INTRODUCCIÓN ..................................................................................................... 1
CAPÍTULO 1.............................................................................................................. 2
ANTECEDENTES ..................................................................................................... 2
1.1 Descripción del problema ...................................................................................... 2
1.2 Planteamiento del problema ................................................................................... 2
1.3 Justificación ........................................................................................................... 3
1.4 Objetivos ................................................................................................................ 3
1.4.1 Objetivo general .................................................................................................. 3
1.4.2 Objetivos específicos .......................................................................................... 3
1.5 Alcance y limitaciones ........................................................................................... 3
1.6 Metodología de la investigación ............................................................................ 4
CAPÍTULO 2.............................................................................................................. 6
MARCO TEÓRICO .................................................................................................. 6
2.1 Redes inalámbricas ................................................................................................ 6
2.1.1 Clasificación de las redes inalámbricas .............................................................. 6
2.2 Red de área local inalámbrica (Wireless Local Area Network WLAN) ................ 6
2.2.1 Estándar IEEE 802.11 y sus principales variantes para WLAN ......................... 6
2.3 Seguridad en redes inalámbricas ............................................................................ 7
2.3.1 Métodos de seguridad en redes inalámbricas ...................................................... 7
2.3.1.1 Identificador de conjunto de servicios (Service Set Identifier, SSID) ............. 7
2.3.1.2 Control de acceso al medio (Media Access Control, MAC)............................ 7
2.3.1.3 Privacidad equivalente al cableado (Wired Equivalent Protocol, WEP) ......... 8
2.3.1.4 Estándar IEEE 802.1X ..................................................................................... 8
2.3.1.5 Acceso Wi-Fi protegido (Wi-Fi Protected Access, WPA) .............................. 8
2.3.1.6 Estándar IEEE 802.11i ..................................................................................... 8
2.3.1.7 Red privada virtual (Virtual Private Network, VPN) ...................................... 9
2.4 Traiga su propio dispositivo (Bring Your Own Device, BYOD) .......................... 9
2.4.1 BYOD y administración.................................................................................... 10
2.4.1.1 Perfil del dispositivo ...................................................................................... 11
2.4.1.2 Postura del dispositivo ................................................................................... 11
2.4.1.3 Una política, una administración y una red ................................................... 12
2.4.1.4 Control y gestión eficiente ............................................................................. 12
2.4.2 BYOD y políticas .............................................................................................. 12
2.4.2.1 Componentes de una política unificada ......................................................... 13
2.4.2.2 Gestión centralizada ....................................................................................... 14
2.4.3 BYOD y seguridad ............................................................................................ 14
2.4.3.1 Riesgos en los dispositivos ............................................................................ 14
2.4.3.2 Seguridad en los dispositivos ......................................................................... 15
2.4.3.3 Acceso seguro a la red ................................................................................... 17
2.4.4 BYOD y servidores ........................................................................................... 18
2.4.5 BYOD y administración de dispositivos móviles (Mobile Device Management,
MDM) ........................................................................................................................ 19
2.4.6 BYOD y virtualización ..................................................................................... 20
2.4.7 BYOD e infraestructura .................................................................................... 21
CAPÍTULO 3............................................................................................................ 23
ESTUDIO DE LA SITUACIÓN ACTUAL DE LA RED INALÁMBRICA DE
LA UNIVERSIDAD POLITÉCNICA SALESIANA PARA DISEÑAR BYOD 23
3.1 Levantamiento de información ............................................................................ 23
3.1.1 Ubicación .......................................................................................................... 23
3.1.2 Diagrama físico de red ...................................................................................... 24
3.1.2.1 Infraestructura del cableado estructurado ...................................................... 25
3.1.2.2 Capa núcleo .................................................................................................... 26
3.1.2.3 Capa distribución ........................................................................................... 28
3.1.2.4 Capa acceso .................................................................................................... 28
3.1.2.5 Servidores....................................................................................................... 32
3.1.2.6 Clasificación de usuarios según TI ................................................................ 33
3.1.2.7 Modo de acceso de usuarios........................................................................... 34
3.1.2.8 Seguridad en la red ......................................................................................... 34
3.1.2.9 Administración de la red ................................................................................ 35
3.1.3 Diagrama lógico de red ..................................................................................... 35
3.1.3.1 Direccionamiento lógico ................................................................................ 36
3.1.4 Otros parámetros ............................................................................................... 36
3.1.4.1 TIER del Data Center UPS ............................................................................ 37
3.1.4.2 Cuarto de Telecomunicaciones ...................................................................... 37
3.1.4.3 Internet y Proveedores ................................................................................... 38
3.2 Soluciones de BYOD ........................................................................................... 39
CAPÍTULO 4............................................................................................................ 40
DISEÑO Y SIMULACIÓN DE LA RED INALÁMBRICA CON BYOD ......... 40
4.1 Introducción a la propuesta de diseño .................................................................. 40
4.1.1 Densidad de usuarios ........................................................................................ 40
4.1.2 Dispositivos por usuarios .................................................................................. 41
4.1.3 Accesibilidad a los recursos de red ................................................................... 41
4.1.4 Manejo centralizado .......................................................................................... 42
4.2 Selección de la tecnología .................................................................................... 42
4.2.1 Equipos de red actual ........................................................................................ 42
4.2.2 Departamento de TI del Campus Sur ................................................................ 42
4.2.3 BYOD y la implicación para la institución ....................................................... 43
4.3 Dimensionamiento ............................................................................................... 43
4.3.1 Requerimientos de los componentes básicos para soporte de BYOD .............. 44
4.3.2 Equipos a utilizarse en la red ............................................................................ 46
4.3.3 Justificación de equipos para el diseño ............................................................. 46
4.4 Infraestructura de cableado .................................................................................. 50
4.5 Diseño lógico ....................................................................................................... 50
4.5.1 Direccionamiento .............................................................................................. 51
4.6 Diseño físico ........................................................................................................ 51
4.7 Integración de los equipos.................................................................................... 52
4.7.1 Integración ISE y Active Directory .................................................................. 53
4.7.1.1 Grupos de identidad de Active Directory ...................................................... 53
4.7.1.2 Pasos para la configuración de Active Directory ........................................... 54
4.7.1.3 Pasos para la configuración de ISE ................................................................ 54
4.7.2 Integración ISE y Wireless LAN Controller (WLC) ........................................ 55
4.7.2.1 Pasos para integrar WLC a ISE...................................................................... 55
4.7.2.2 Pasos para integrar ISE a WLC ...................................................................... 56
4.7.2.3 Pasos para configurar ISE para autenticación inalámbrica ............................ 56
4.7.2.4 Creación de interfaz dinámica en el WLC ..................................................... 56
4.7.2.5 Añadir IEEE 802.1X en el WLC ................................................................... 56
4.7.2.6 Estado de postura ........................................................................................... 57
4.7.2.7 Configuración global en el WLC ................................................................... 57
4.7.3 Integración ISE y Adaptive Security Appliance (ASA) ................................... 58
4.7.3.1 Registro de ASA con ISE............................................................................... 58
4.7.3.2 Creación de un grupo de seguridad en ISE .................................................... 58
4.7.4 Integración ISE y Cisco Catalyst 6506-E/3750G/2960S Series Switch ........... 59
4.8 Políticas ................................................................................................................ 60
4.9 Enrolamiento y aprovisionamiento ...................................................................... 61
4.10 Flujo de conectividad ......................................................................................... 62
4.10.1 Acceso a la red ................................................................................................ 63
4.11 Funciones de ISE ............................................................................................... 64
4.12 Funciones de ASA ............................................................................................. 65
4.13 Red piloto con BYOD ........................................................................................ 65
4.13.1 Diseño de la red piloto .................................................................................... 66
4.13.2 Proveedores ..................................................................................................... 67
4.13.3 Equipos para la red piloto ............................................................................... 67
4.13.4 Similitudes y diferencias de la red piloto a implementarse ............................ 69
4.13.5 Conexiones del equipo Cisco Meraki Z1 ........................................................ 70
4.13.6 Creación de la cuenta en Cisco Meraki ........................................................... 70
4.13.7 Registro de Cisco Meraki Z1 .......................................................................... 71
4.13.8 Direccionamiento de la red piloto ................................................................... 73
4.13.9 Seguridades en la red piloto ............................................................................ 73
4.13.10 Ventajas y desventajas de Cisco Meraki ....................................................... 73
CAPÍTULO 5............................................................................................................ 74
ANÁLISIS DE PRUEBAS Y OBTENCIÓN DE RESULTADOS ...................... 74
5.1 Pruebas y resultados ............................................................................................. 74
5.2 Análisis de factibilidad técnica ............................................................................ 86
5.3 Análisis de costos ................................................................................................. 88
5.4 Aspectos esenciales del impacto de la propuesta ................................................. 90
CONCLUSIONES.................................................................................................... 92
RECOMENDACIONES.......................................................................................... 94
LISTA DE REFERENCIA ...................................................................................... 95
ANEXOS ................................................................................................................. 100
 ÍNDICE DE TABLAS

Tabla 1. Principales variantes del estándar IEEE 802.11............................................. 7

Tabla 2. Aspectos que involucran BYOD. ................................................................. 10
Tabla 3. Parámetros de BYOD en política. ................................................................ 13
Tabla 4. Componentes. ............................................................................................... 13
Tabla 5. Servicios en BYOD. ..................................................................................... 18
Tabla 6. Funciones del MDM. ................................................................................... 20
Tabla 7. Aspectos involucrados en virtualización...................................................... 21
Tabla 8. Características principales del equipo Cisco 7604. ...................................... 26
Tabla 9. Características principales del equipo Cisco 2851. ...................................... 27
Tabla 10. Características principales del equipo Cisco 2504. .................................... 28
Tabla 11. Características principales del equipo Cisco 6506-E. ................................ 28
Tabla 12. Características principales del equipo Cisco 3750G– 48P......................... 29
Tabla 13. Características principales del equipo Cisco 2960S– 48P. ........................ 29
Tabla 14. Características principales del equipo Cisco 1131AG. .............................. 30
Tabla 15. Características principales del equipo Cisco 1310. .................................... 31
Tabla 16. Características principales del equipo Cisco 1252. .................................... 31
Tabla 17. Características principales de los equipos IBM. ........................................ 32
Tabla 18. Servicios en la UPS Campus Sur. .............................................................. 33
Tabla 19. Direccionamiento de la red inalámbrica. ................................................... 36
Tabla 20. Tipo de TIER Data Center. ........................................................................ 37
Tabla 21. Soluciones de proveedores. ........................................................................ 39
Tabla 22. Dimensionamiento de la red. ..................................................................... 44
Tabla 23. Requerimientos de compatibilidad............................................................. 45
Tabla 24. Equipos para el diseño. .............................................................................. 46
Tabla 25. Capacidades de los equipos........................................................................ 47
Tabla 26. Equipos y su interés. .................................................................................. 48
Tabla 27. Requerimientos del servidor IBM. ............................................................. 49
Tabla 28. Requisitos de CA para la interoperabilidad con ISE.................................. 49
Tabla 29. Direccionamiento de los equipos y las redes inalámbricas. ....................... 51
Tabla 30. Ejemplo de políticas en AD. ...................................................................... 54
Tabla 31. Ejemplo de políticas en ISE. ...................................................................... 61
Tabla 32. Factores para la elección de equipos para la red piloto.............................. 65
Tabla 33. Representación de equipos. ........................................................................ 66
Tabla 34. Equipos de red............................................................................................ 67
Tabla 35. Equipos para pruebas. ................................................................................ 68
Tabla 36. MDM de Meraki. ....................................................................................... 68
Tabla 37. Cisco Meraki Z1......................................................................................... 68
Tabla 38. Similitudes y diferencias de la red inalámbrica U.P.S con la red piloto. ... 70
Tabla 39. Hardware y software. ................................................................................. 86
Tabla 40. Cableado de red. ......................................................................................... 87
Tabla 41. Experiencia técnica. ................................................................................... 87
Tabla 42. Detalle del costo de equipos de la propuesta de diseño. ............................ 88
Tabla 43. Costo de licencias y garantías. ................................................................... 88
Tabla 44. Detalle del costo de instalación y configuración. ...................................... 89
Tabla 45. Detalle del costo total del proyecto. ........................................................... 89
Tabla 46. Costo total de equipos de red nuevos. ........................................................ 90
 ÍNDICE DE FIGURAS

Figura 1. Clasificación de las redes inalámbricas. ....................................................... 6

Figura 2. Datos para generar perfiles. ........................................................................ 11
Figura 3. Características de NAC. ............................................................................. 11
Figura 4. Unificación. ................................................................................................ 12
Figura 5. Acceso seguro. ............................................................................................ 12
Figura 6. Ejemplo de política ..................................................................................... 13
Figura 7. Servidor de políticas y MDM. .................................................................... 14
Figura 8. Componentes del MDM ............................................................................. 19
Figura 9. Infraestructuras convergentes. .................................................................... 22
Figura 10. Localización UPS Campus Sur................................................................. 23
Figura 11. Distribución de bloques de la UPS Campus Sur. .................................... 24
Figura 12. Diagrama físico de la red de la UPS Campus Sur. ................................... 25
Figura 13. Router Cisco 7604. ................................................................................... 26
Figura 14. Router Cisco 2851. ................................................................................... 26
Figura 15. Switch Cisco 6506-E. ............................................................................... 27
Figura 16. Wireless LAN Controller Cisco 2504. ..................................................... 27
Figura 17. Catalyst 3750G– 48P. ............................................................................... 29
Figura 18. Catalyst 2960S – 48P. ............................................................................... 29
Figura 19. Cisco Aironet 1131AG. ............................................................................ 30
Figura 20. Cisco Aironet 1310. .................................................................................. 30
Figura 21. Cisco Aironet 1252. .................................................................................. 31
Figura 22. Esquema lógico de red. ............................................................................. 35
Figura 23. Tipos de armarios racks ............................................................................ 38
Figura 24. Incremento de internet. ............................................................................. 38
Figura 25. Número de usuarios conectados a la red inalámbrica. .............................. 40
Figura 26. Porcentaje de dispositivos por usuario. .................................................... 41
Figura 27. Equipos presentes en la red actual y en la propuesta. ............................... 48
Figura 28. Topología de la solución. .......................................................................... 50
Figura 29. Topología física de la solución. ................................................................ 52
Figura 30. Integración ISE y Active Directory. ......................................................... 53
Figura 31. Integración ISE y Wireless LAN Controller. ........................................... 55
Figura 32. Integración ISE y Adaptive Security Appliance. ...................................... 58
Figura 33. Integración ISE y Cisco Catalyst 6506-E/3750G/2960S Series Switch. .. 59
Figura 34. Etapas de BYOD....................................................................................... 61
Figura 35. Ejemplo de aprovisionamiento. ................................................................ 62
Figura 36. Flujo de conectividad. ............................................................................... 63
Figura 37. Autenticación y autorización. ................................................................... 63
Figura 38. Red piloto. ................................................................................................ 66
Figura 39. Conexiones del equipo. ............................................................................. 70
Figura 40. Creación de la cuenta para la administración del equipo. ........................ 71
Figura 41. Bienvenida de la cuenta de Meraki. .......................................................... 71
Figura 42. Registro del equipo. .................................................................................. 71
Figura 43. Verificación de la licencia. ....................................................................... 72
Figura 44. Creación de la RED BYOD. ..................................................................... 72
Figura 45. Creación de la red MDM BYOD. ............................................................. 72
Figura 46. Visión general de la red. ........................................................................... 74
Figura 47. Estado del equipo...................................................................................... 74
Figura 48. Clientes RED BYOD. ............................................................................... 75
Figura 49. Captura de paquetes. ................................................................................. 75
Figura 50. Log de eventos. ......................................................................................... 75
Figura 51. Lista de clientes en el MDM BYOD. ....................................................... 76
Figura 52. Ubicación geográfica de los clientes. ....................................................... 76
Figura 53. Log de eventos en MDM BYOD. ............................................................. 77
Figura 54. Inventario de software. ............................................................................. 77
Figura 55. Línea de comandos. .................................................................................. 78
Figura 56. Resumen de la red MDM BYOD. ............................................................ 78
Figura 57. Revisión de un cliente específico en windows. ........................................ 79
Figura 58. Revisión de un cliente específico en android. .......................................... 80
Figura 59. Instalación de agente en computador o laptop para MDM BYOD. ......... 81
Figura 60. Instalación de app en teléfono móvil para MDM BYOD. ........................ 81
Figura 61. Pruebas en la red administrativa. .............................................................. 82
Figura 62. Pruebas en la red docentes. ....................................................................... 82
Figura 63. Pruebas en la red estudiantes. ................................................................... 83
Figura 64. Gráfica de los resultados. .......................................................................... 84
 ÍNDICE DE ANEXOS

Anexo 1. Características del equipo Cisco 3415 (Identity Services Engine ISE). ... 100
Anexo 2. Características del equipo Cisco 5508 (Wireless LAN Controller WLC).
.................................................................................................................................. 101
Anexo 3. Características del equipo Cisco 5515-X (Adaptive Security Appliance
ASA). ....................................................................................................................... 102
Anexo 4. Características del equipo IBM SYSTEM X3650 M3. ............................ 103
Anexo 5. Características del equipo Cisco Catalyst 6506-E Series Switch. ........... 104
Anexo 6. Características del equipo Cisco Catalyst 3750G Series Switch. ............. 105
Anexo 7. Características del equipo Cisco Catalyst 2960S Series Switch. ............. 106
Anexo 8. Características del equipo Cisco Access Point 3702P. ............................. 107
Anexo 9. Encuesta 1 Conexión a la red inalámbrica de la UPS. ............................. 108
Anexo 10. Direccionamiento y VLAN. ................................................................... 109
Anexo 11. Opciones Inalámbricas. .......................................................................... 110
Anexo 12. DHCP. .................................................................................................... 111
Anexo 13. Política Administrativos. ........................................................................ 112
Anexo 14. Política Docentes. ................................................................................... 115
Anexo 15. Política Estudiantes. ............................................................................... 118
Anexo 16. Política Navegacion_segura. .................................................................. 121
Anexo 17. Control de Acceso VLAN Administrativos. .......................................... 122
Anexo 18. Control de Acceso VLAN Docentes. ..................................................... 123
Anexo 19. Control de Acceso VLAN Estudiantes. .................................................. 124
Anexo 20. Control de Acceso VLAN Invitados. ..................................................... 125
Anexo 21. Página de Bienvenida VLAN Administrativos. ..................................... 126
Anexo 22. Página de Bienvenida VLAN Docentes. ................................................ 127
Anexo 23. Página de Bienvenida VLAN Estudiantes. ............................................. 128
Anexo 24. Usuarios. ................................................................................................. 129
Anexo 25. Aplicaciones. .......................................................................................... 130
Anexo 26. Administración de perfiles móviles. ....................................................... 131
Anexo 27. Configuraciones. ..................................................................................... 132
Anexo 28. Añadir dispositivos. ................................................................................ 133
Anexo 29. Propietarios. ............................................................................................ 134
Anexo 30. Política de seguridad............................................................................... 135
Anexo 31. Geo ubicación. ........................................................................................ 136
Anexo 32. Alertas..................................................................................................... 137
Anexo 33. Instalador de software............................................................................. 138
Anexo 34. Encuesta 2 Conexión a la red piloto BYOD de la UPS. ......................... 139
Anexo 35. Resumen de resultados de la encuesta 2. ................................................ 141
Anexo 36. Lista de Procesos. ................................................................................... 142
Anexo 37. Línea de Comandos. ............................................................................... 143
Anexo 38. Reportes de Red. ..................................................................................... 144
Anexo 39. Captura de Pantalla. ................................................................................ 145
Anexo 40. Escritorio Remoto................................................................................... 146
Anexo 41. Control de Encendido. ............................................................................ 147
Anexo 42. Envió de Notificaciones. ........................................................................ 148
Anexo 43. Seguridad Móvil. .................................................................................... 149
Anexo 44. Envió de Notificaciones. ........................................................................ 150
Anexo 45. Localización de dispositivo. ................................................................... 151
Anexo 46. Cotización Propuesta. ............................................................................. 152
Anexo 47. Cotización equipamiento completo. ....................................................... 153
 RESUMEN

La tendencia en las redes de ordenadores es gestionar tanto las normas de seguridad

inalámbrica como sus equipos de red, con el fin de obtener la granularidad en la
misma, proporcionando una mejor gestión por el departamento de Tecnología de la
Información (TI) mediante la mejora de las políticas actuales o mediante la
implementación de nuevas reglas.

Traiga su propio dispositivo (BYOD), es una tendencia de diseño de redes de

infraestructura basada en Cisco que apunta a través de la red inalámbrica de la
Universidad Politécnica Salesiana, Campus Sur, dando una respuesta al aumento de
los dispositivos, proporcionando una calidad de servicio y seguridad en toda la red
inalámbrica, mediante la creación de políticas o en los usuarios o en los dispositivos.
El análisis y el diseño de la infraestructura de la red piloto se basa en la solución de
Cisco Meraki usando gestión de dispositivos móviles (MDM) y el sistema de gestión
de Meraki Z1, que están alojados en la nube.

Las pruebas se llevaron a cabo con diferentes dispositivos de usuario conectados a la

red piloto y gestionados por Cisco Meraki, tanto para la navegación y aplicaciones en
tiempo real, mostrando: facilidad de conexión, QoS, la flexibilidad, la seguridad en
toda la red, la configuración de las políticas y mejor ancho de banda para cada
conjunto de dispositivos que pertenecen una red inalámbrica.
 ABSTRACT

The trend in computer networks is manage both the wireless security rules as their
network equipments, in order to gain granularity in the networking by providing a
better management by Information Technology department (IT) management by
improving current policies or by implementing new rules.

Bring your Own device (BYOD), is a networking trend design by infrastructure

based on Cisco that aims to over the wireless network of Universidad Politécnica
Salesiana, South Campus, giving a response to increased of devices, providing
quality of service and security in the whole wireless network, by creating policies or
in users or in devices . The analysis and design of the pilot network infrastructure is
based on Cisco Meraki's solution using: Mobile Device Management (MDM) and
Meraki Z1 management system, which are housed in the cloud.

Tests were conducted with different user devices connected to the pilot network and
managed by Cisco Meraki, both for navigation and real time applications, showing:
ease of connection, QoS, flexibility, security in whole network, policies shaping and
better bandwidth for each set of devices that belong at wireless network.
 INTRODUCCIÓN

A raíz del gran crecimiento que experimentan los usuarios de dispositivos móviles,
se puede observar como ellos aprovechan su portabilidad y las facilidades de
conexión para utilizarlos como una herramienta de trabajo o estudio, esto se debe al
auge de las tecnologías de la información. Muestra de estos son el ejecutivo que ha
adquirido un dispositivo móvil, para mejorar su productividad personal, hasta el
profesor universitario que ha adaptado el diseño de su curso para aprovechar las
ventajas de las nuevas aplicaciones educativas basadas en tablet.

Hoy en día muchas universidades y empresas a nivel mundial están cambiando su

enfoque al uso de dispositivos móviles en el campus, para abrazar Bring Your Own
Device (BYOD) como una ayuda tecnológica que puede mejorar la enseñanza y el
aprendizaje, mejorar el rendimiento del estudiante, contribuir con la eficiencia
operativa, aumentar la productividad del personal, ampliar la colaboración e
incrementar las capacidades de las infraestructuras tecnológicas existentes.

Este proyecto consiste en realizar un análisis y diseño de la red inalámbrica de la

Universidad Politécnica Salesiana, para que soporte BYOD. El cual está divido en
cinco capítulos.

En el capítulo uno, se dará una idea del porqué de la realización de este proyectó, con
la descripción del problema, su planteamiento, además de justificación, junto con sus
objetivos, el alcance y la metodología de investigación a seguir.

El capítulo dos, trata acerca del marco teórico que se involucra en este proyecto.

El capítulo tres, contiene toda la recopilación de la información sobre la

infraestructura actual de la red inalámbrica.

En el capítulo cuatro, se realizará el diseño y simulación de la red inalámbrica con

BYOD.

En el capítulo cinco, se realizará el análisis de pruebas obtenidos de los resultados,

junto con el análisis de costos, para de esta manera llegar finalmente a las
conclusiones y recomendaciones, producto de la realización de este proyecto.

1
 CAPÍTULO 1
ANTECEDENTES

1.1 Descripción del problema.

Cada vez son más las personas que desean utilizar sus propios ordenadores portátiles,
tablets, smartphones y otros dispositivos móviles en el sector educativo, empresarial,
entre otros. Esto hace que los gestores de tecnologías de la información tengan que
rediseñar su infraestructura de red en función de las necesidades de los usuarios, es
por esto que aparece esta tendencia conocida como Bring Your Own Device
(BYOD), que en español es “Traiga su propio dispositivo”, la cual se está
propagando a nivel mundial, debido al gran incremento que sufre la tecnología móvil
y en la cual la Universidad Politécnica Salesiana también es un escenario propicio
para que se de este fenómeno, el cual afectará a la red inalámbrica, por lo que el
presente proyecto busca analizar y diseñar una red inalámbrica para que soporte
BYOD en dicha institución.

1.2 Planteamiento del problema.

En la actualidad, con el incremento de la población estudiantil en la Universidad

Politécnica Salesiana en el Campus Sur, aumenta también el número de dispositivos
móviles, según el departamento de Tecnologías de la Información en los últimos
cinco años se registra una tendencia al incremento de dispositivos móviles
conectados a la red inalámbrica de la Universidad Politécnica Salesiana Campus Sur.

Por otro lado, los recursos de la red son aprovechados por las personas que habitan
en lugares aledaños a la institución, quienes se conectan a esta red sin tener ningún
tipo de vinculación con la universidad prueba de ello es el aumento del consumo de
los recursos que se tiene en la noche, y no se puede saber quién se conecta a la red
sin tener los permisos, ante esta problemática este proyecto pretende contribuir al
control de la red.

2
1.3 Justificación.

Debido a la masificación de los dispositivos móviles personales por parte de la

comunidad Salesiana, surge la necesidad de conocer qué equipos están conectados a
la red de la institución, así como tener el control con una mejor conexión y que esta
sea segura, ante la exigencia de que la red inalámbrica esté apta para recibir tal
incremento en las conexiones. En este proyecto pretende con Bring Your Own
Device, satisfacer las conexiones a la red institucional, aplicando mejores políticas en
el uso de los recursos de red, simplificando de esta manera la administración por
parte del departamento de Tecnologías de la Información de la Universidad, en la red
inalámbrica de la UPS Campus Sur.

1.4 Objetivos.

1.4.1 Objetivo general.

Analizar y diseñar Bring Your Own Device sobre la red inalámbrica de la

Universidad Politécnica Salesiana Campus Sur.

1.4.2 Objetivos específicos.

 Levantar la información de la red inalámbrica de la UPS.

 Analizar la infraestructura de la red actual que tiene la UPS.
 Aplicar políticas sobre la red inalámbrica de la UPS para cumplir BYOD de
manera en que los administradores del departamento de Tecnologías de la
Información pueden administrar la red.
 Diseñar y simular una infraestructura de red basada en BYOD con los
requerimientos de la universidad sobre una red piloto.
 Realizar las pruebas de funcionamiento de BYOD y su análisis de resultados.
 Proponer recomendaciones al departamento de Tecnologías de la Información
de la Universidad Politécnica Salesiana campus Sur para cumplir BYOD.

1.5 Alcance y limitaciones.

El análisis y diseño de BYOD sobre la red inalámbrica de la Universidad Politécnica

Salesiana Campus Sur, se limita a dicho centro educativo, y en el cual se realizará:

3
  El estudio de la infraestructura de red.
 El diseño de la red inalámbrica para que soporte BYOD.
 Se simulará sobre una red piloto una topología física y lógica de acuerdo a los
requerimientos anteriormente determinados, luego se generarán las políticas
necesarias para el correcto funcionamiento de BYOD junto con las pruebas
respectivas.
 Se realizará la factibilidad tanto técnica como económica del proyecto en
base a toda la información obtenida y a los requerimientos de la universidad
para una arquitectura de red basada en BYOD. Finalmente, de los datos
obtenidos, se generarán una serie de recomendaciones para cumplir con
BOYD.

Este proyecto no realizará lo siguiente:

 Implementación de BYOD sobre la red inalámbrica de la Universidad

Politécnica Salesiana Campus Sur, ni en hardware ni en software.
 Cambios sobre las políticas actuales de la red inalámbrica de la UPS Campus
Sur.

1.6 Metodología de la investigación.

Todo este proceso investigativo utilizará varias técnicas de recolección de datos

como: la observación, entrevistas, encuestas, etc. Cada una de las cuales se aplicarán
en el proyecto dependiendo de la información a adquirirse. A continuación se
describen de manera general las actividades a realizar:

Para realizar este proyecto se empezará con una previa recolección de fuentes
bibliográficas y tecnológicas, en las cuales se revisarán las características de las
comunicaciones inalámbricas, además de los factores que exige BYOD.

Se realizará la recopilación de información a través de una investigación de campo

acerca de la infraestructura de red, para poder determinar el perfil del funcionamiento
actual de la red inalámbrica que posee la Universidad en el Campus Sur, los cuales
permitirán realizar el diseño de red para que soporte BYOD, luego con los aspectos
relevantes se podrán aplicar BYOD sobre la red piloto, a la cual se le realizarán

4
pruebas para ver su comportamiento y con esto obtener los resultados, conclusiones y
de esta manera se finalizará con la documentación del proyecto.

5
 CAPÍTULO 2
MARCO TEÓRICO

2.1 Redes inalámbricas.

Las redes inalámbricas utilizan ondas electromagnéticas para enviar y recibir datos,
usan el aire como medio de transmisión, tienen varios tipos de cobertura facilitando
el acceso a lugares donde es imposible utilizar cables (Telcommunity, 2014).

2.1.1 Clasificación de las redes inalámbricas.

En la figura 1 se observa la clasificación de estas de redes según el área de cobertura.

Clasificación de las redes inalámbricas.

Figura 1. Clasificación de las redes inalámbricas. Fuente: Kioskea.net.

2.2 Red de área local inalámbrica (Wireless Local Area Network WLAN).

WLAN es una clasificación de la redes inalámbricas, ofrecen frente a la red cableada

movilidad, flexibilidad para realizar cambios en la red de forma sencilla y rápida,
reduce el costo de recursos para implementar este tipo de red. Se la utiliza en
hogares, oficinas, campus, etc. (Stallings, 2005, pág. 406 ).

2.2.1 Estándar IEEE 802.11 y sus principales variantes para WLAN.

El estándar IEEE 802.11 define como se utiliza radiofrecuencia en la capa física y la

capa de enlace de datos. Hay algunas variantes del estándar 802.11 que se las puede
ver en la tabla 1.

6
Tabla 1.
Principales variantes del estándar IEEE 802.11.

Estándar Velocidad Frecuencia Compatibilidad Observaciones

802.11 2 Mbps 2.4 GHz -------------------- Estándar original
802.11a 54 Mbps 5 GHz -------------------- Poco utilizado
802.11b 11 Mbps 2.4 GHz -------------------- Interferencia
802.11g 54 Mbps 2.4 GHz 802.11b Interferencia
802.11n 600 Mbps 2.4 GHz y 5 GHz 802.11a/b/g Utiliza MIMO
802.11ac 1.3 Gbps 5 GHz 802.11a/n Beamforming
802.11ad 7 Gbps 2.4 GHz, 5 GHz y 60 GHz 802.11a/b/g/n/ac “WiGig”

Nota. Variantes del estándar IEEE 802.11.

Elaborado por: Andrea Díaz y Danilo Lamar.

2.3 Seguridad en redes inalámbricas.

En redes inalámbricas, se corre el riesgo de que se vulnere la seguridad, ya que la

información se percibe en cualquier equipo que esté dentro del área de cobertura.
Algunas amenazas son: acceso no autorizado, intercepción de datos, interferencia,
ataques de denegación de servicio, etc. (Creative Commons, 2007, págs. 158 - 161).

2.3.1 Métodos de seguridad en redes inalámbricas.

Existen varios métodos para proteger una red inalámbrica, los cuales se pueden usar
en conjunto o por separado. A continuación se revisan los más conocidos.

2.3.1.1 Identificador de conjunto de servicios (Service Set Identifier, SSID)

El SSID es un identificador de red, que se difunde a través de un punto de acceso

(Lewis & Davis, 2004, pág. 191).

2.3.1.2 Control de acceso al medio (Media Access Control, MAC)

El filtrado MAC permite especificar una lista de las direcciones físicas de los
adaptadores de red que pueden acceder a la red inalámbrica a través de un punto de
acceso (Lewis & Davis, 2004, págs. 191 - 193).

7
2.3.1.3 Privacidad equivalente al cableado (Wired Equivalent Protocol, WEP).

WEP fue diseñado para proteger los datos en las redes inalámbricas, usando
mecanismos de encriptación y autenticación por medio de clave, estas pueden ser de
64 bits, 128 bits y 256 bits, deben estar en el punto de acceso y ser compartidas con
los diferentes clientes móviles (Tortosa, 2005, págs. 11 - 13).

2.3.1.4 Estándar IEEE 802.1X.

Se encarga del control de acceso y autenticación a la red, estableciendo una conexión

punto a punto para transportar la información de identificación del usuario. La
arquitectura IEEE 802.1X está formada por tres entes (Geier, 2008, págs. 33 - 40):

 El suplicante que se une a la red (cliente).

 El autenticador que hace el control de acceso (punto de acceso).
 El servidor de autenticación toma las decisiones de autorización (RADIUS).

2.3.1.5 Acceso protegido Wi-Fi (Wi-Fi Protected Access, WPA).

WPA es una versión del protocolo 802.11i y del algoritmo TKIP (Temporal Key
Integrity Protocol), provee una encriptación fuerte y utiliza una clave privada
compartida, la cual cambia cada cierto tiempo. Los datos del usuario se chequean
usando el protocolo 802.1X, en un servidor de autenticación como RADIUS
(Stallings, 2005, pág. 453).

2.3.1.6 Estándar IEEE 802.11i.

El estándar IEEE 802.11i (WPA2), se basa en el cifrado TKIP, también admite AES
(Advanced Encryption Standard) considerado como una técnica de encriptación de
alta seguridad debido a que su algoritmo es complejo al tener claves robustas, utiliza
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code
Protocol), que surgió para remplazar a TKIP, y el cual es obligatorio en el estándar
802.11i (Lehembre, 2006, págs. 17 - 22). WPA2 define dos modos de trabajo:

 WPA-Personal: utiliza una clave compartida, llamada PSK (Pre-Shared

Key) que está tanto en el punto de acceso como en el dispositivo del usuario.

8
  WPA-Enterprise: requiere de una arquitectura de autenticación 802.1X.

2.3.1.7 Red privada virtual (Virtual Private Network, VPN).

Es una red de privada construida dentro de una infraestructura de red pública, usando
distintos protocolos se crea un canal seguro (Universidad Iberoamericana, 2014).

2.4 Traiga su propio dispositivo (Bring Your Own Device, BYOD).

BYOD es una tendencia tecnológica que permite a los usuarios aprovechar los
recursos de la red mediante el uso de sus dispositivos móviles, la red puede ajustarse
de forma dinámica y segura en tiempo real al crecimiento exponencial de
dispositivos y aplicaciones, que demandan conectividad inmediata y segura, en una
red de acceso unificado. Los usuarios se ubican en la red por: su identidad, la postura
del dispositivo u otros factores. El acceso se da sobre la base del control de acceso IP
o por MAC, contando con una reserva de recursos y confiabilidad en la red. La
seguridad combina la autenticación, autorización y contabilidad (AAA). El objetivo
de BYOD es unificar, simplificar la creación y gestión de políticas con flexibilidad y
escalabilidad. El departamento de TI debe habilitar BYOD haciendo que la red sea
más inteligente y segura. Algunos de los aspectos necesarios para BYOD, según
(Cisco Systems, 2014), son:

Gestión unificada de políticas: permite identificar y administrar todos los

dispositivos móviles y usuarios que acceden a la red, con esta gestión se protegen los
datos, aplicaciones y los sistemas.

Protección del acceso y los servicios de la red: el departamento de TI debe ofrecer

un nivel idóneo de acceso a la red teniendo en cuenta el dispositivo y el perfil del
usuario.

Protección de dispositivos: proteger la información de dispositivos extraviados o

robados, mediante la gestión de los dispositivos.

Transmisión segura de datos: los datos pueden estar a disposición de los usuarios
independientemente del dispositivo o la ubicación, esto con la seguridad y el cifrado
entre el dispositivo y la infraestructura de red.

9
Colaboración móvil con independencia del dispositivo: las herramientas de
colaboración permiten tener una sola interfaz para varias cuentas de un mismo
usuario con cualquier dispositivo.

Intercambio de escritorios y vídeo móvil: con las herramientas basadas en nube se

tendrá mayor colaboración y movilidad dentro de toda la red.

Sólida infraestructura de red: la red debe ser unificada y convergente, capaz de

asumir, el aumento del ancho de banda, el incremento de dispositivos móviles y
garantizando que los usuarios accedan a la red.

Virtualización de escritorios, compatibilidad entre dispositivos: con la

virtualización se soluciona la compatibilidad, ya que aplicaciones y datos se
transmiten desde el Data Center, gestionando las aplicaciones, como los datos de
manera eficiente y segura.

2.4.1 BYOD y administración.

La administración de la red es una consideración primordial para BYOD, mediante

una gestión unificada se proporcionará una visibilidad centralizada y control sobre
toda la red, optimizando el rendimiento, la disponibilidad, productividad y
satisfacción del usuario (HP, 2013, pág. 4). BYOD toma varios aspectos basado en la
identidad y el control de acceso, algunos de estos se resumen en la tabla 2.

Tabla 2.
Aspectos que involucran BYOD.

¿Quién? ¿Qué? ¿Dónde? ¿Cuándo? ¿Cómo? ¿Otros?

Usuario Dispositivo Ubicación Inicio/Fin de Acceso cableado, Atributos del
conocido o su perfil y geográfica. acceso, fecha inalámbrico o usuario, equipo y
desconocido postura. y hora. VPN. Apps, etc.

Nota. Aspectos involucrados en BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

La mejor gestión de BYOD según HP debe incluir la gestión de la infraestructura e

implementación simplificada, identificación de dispositivos para desarrollar y aplicar
las mejores políticas, políticas definidas por dispositivo y usuario, control de la red
de núcleo a extremo, capacidad de gestión y planificación de los recursos, visibilidad

10
en tiempo real del consumo de ancho de banda, auditoría de comportamiento en
línea, cumplimiento de la política de seguridad y monitoreo de tráfico de red (HP
Networking, 2013).

2.4.1.1 Perfil del dispositivo.

En BYOD se debe ser capaz de colectar datos a través del tráfico que genera el
dispositivo, estos se utilizarán para identificarlos y crear perfiles. Se pueden asignar
privilegios de acceso de red basado en el perfil del dispositivo (Isaacson, 2013, pág.
40). El perfil se basa en los datos mostrados en la figura 2.

Datos para generar perfiles.

DNS
NMAP
HTTP
SNMP
NetFlow
LLDP
DHCP
RADIUS
CDP

Figura 2. Datos para generar perfiles.

Elaborado por: Andrea Díaz y Danilo Lamar.

2.4.1.2 Postura del dispositivo.

En BYOD es necesario verificar la postura del dispositivo que se conecta a la red, se

realiza para que esté acorde a las políticas de seguridad. Se evalúa: parches del
sistema operativo, antivirus, antispyware, certificados digitales, actualizaciones, etc.
Para ver el estado se usa Network Access Control (NAC) (Woland & Heary, 2013).

Características de NAC.

Autenticación del usuario y del dispositivo a la red.

Postura y remediación del dispositivo para el

cumplimiento de las políticas.

Acceso diferenciado basado en control de acceso

por roles.

Reportes y auditoria de lo que sucede en la red.

Figura 3. Características de NAC.

Elaborado por: Andrea Díaz y Danilo Lamar.

11
2.4.1.3 Una política, una administración y una red.

Al unir la política, la administración y la red en una sola infraestructura se puede

proporcionar una gestión completa del acceso, la conectividad y el rendimiento de
toda la red para de esta forma satisfacer las necesidades del usuario o de la
institución. Esto ofrece una solución de BYOD completa.

Unificación.

Cualquier Usuario Cualquier Dispositivo Cualquier Red

Figura 4. Unificación. Fuente: Aruba Networks.

2.4.1.4 Control y gestión eficiente.

BYOD ofrece una eficiencia operativa tanto en seguridad, políticas y control en la

red tanto para el usuario como para el departamento de TI.

Acceso seguro.

Autenticación Perfil Política

Autorización Postura segura en
Contabilidad Aprovisionamiento BYOD

Figura 5. Acceso seguro. Fuente: Cisco.

2.4.2 BYOD y políticas.

Las políticas son fundamentales para hacer cumplir BYOD exitosamente, ya que
mejora la infraestructura de seguridad de la red y el control de acceso de los usuarios,
con la capacidad de aplicar una política a través de redes cableadas, inalámbricas y
VPN, gestionando toda la red desde una única plataforma de seguridad. La
generación de políticas proporciona acceso a la red, la postura, el acceso de
invitados, empleados, servicios de aprovisionamiento y de perfiles. Dependiendo de
varios parámetros como la autenticación, el medio de acceso, la localización y el tipo
de dispositivo se puede generar una política de acceso como se muestra en la tabla 3.

12
Tabla 3.
Parámetros de BYOD en política.

Usuario Dispositivo Acceso Localización Política

 Empleado  Apple  Cableado  Sitio de trabajo  Acceso completo
jornada  Iphone  Inalámbrico  Departamento limitado
completa /  Android  VPN  Ubicación  Solo Internet
temporal  Windows geografica  Denegar Acceso
 Invitados  Impresora  Cuarentena

Nota. Parámetros para una política en BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 6 se puede observar un ejemplo de política en BYOD.

Ejemplo de política.

Autenticación Tipo de dispositivo

Identidad de extremo Autorización
MAB Apple IOS
Miembro AD Acceso total
Usuario/Contraseña Android
Listas estáticas Acceso parcial
Certificados de Windows
Certificados Sólo Internet
usuario iPhone
Atributos MDM Denegar el acceso
Ubicación Printer

Figura 6. Ejemplo de política.

Elaborado por: Andrea Díaz y Danilo Lamar.

2.4.2.1 Componentes de una política unificada.

La unificación de las políticas en toda la infraestructura de red, permite al

departamento de TI consolidar una única plataforma, lo cual garantiza una mayor
consistencia en la gestión de las políticas. En la tabla 4 se puede observar los
componentes para una política unificada.

Tabla 4.
Componentes.

Criterio Software o Hardware

Gestión de política Infraestructura de perfiles y posturas, MDM, etc.
Información de las política AD, NAC, Infraestructura de perfiles y posturas, RADIUS, etc.
Aplicación de las política Switches, Routers, Firewalls, Wireless Controllers
Contexto de la política Identidad de usuario, dispositivos, activos institucionales, etc.

Nota. Componentes para una política unificada.

Elaborado por: Andrea Díaz y Danilo Lamar.

13
2.4.2.2 Gestión centralizada.

El departamento de TI define y gestiona normativas desde una ubicación central.

Esto incluye los servicios de un servidor de políticas en conjunto con un Mobile
Device Management (MDM) (Kaminski, 2013) y se lo puede observar en la figura 7.

Servidor de políticas y MDM.

Servidor de Políticas + MDM

Control de Red Gestión completa de movilidad
(Servidor de Políticas) (MDM)
Distribución de Software
Cumplimiento
Empresarial
de conformidad
Administración
Perfil/Clasificación Registro (Copia de seguridad, limpieza, etc.)
Detección de
Acceso seguro a la red Certificado +
cumplimiento de políticas
(Cableada, Inalámbrica, VPN) aprovisionamiento
(Jailbreak, Pin Lock, etc.)
Suplicante
Móvil + PC Contenedores de datos seguros

Control de acceso Gestión del

(Roles, localización, etc.) inventario
Dispositivos Gestionado por usuarios Co-gestion de dispositivos por usuarios /TI
Control de red basado en TI Control de red y dispositivos basado en TI

Figura 7. Servidor de políticas y MDM. Fuente: DHSES.

2.4.3 BYOD y seguridad.

En BYOD las políticas de seguridad para los diversos tipos de usuarios o dispositivos
en cualquier lugar y momento, se complementan con la gestión de redes. Mejora la
experiencia del usuario y de TI, sin poner en riesgo la seguridad, la visibilidad y el
control. Según (Cisco Systems, Inc, 2012) BYOD ofrece una experiencia para
cualquier usuario y dispositivo, con la posibilidad de colaborar desde cualquier lugar,
seguridad unificada, una sola política, que abarca la gestión y el acceso a la red tanto
de los usuarios como de los dispositivos, operación y administración simplificada
para agilizar la resolución de problemas y reducir los costos operativos.

2.4.3.1 Riesgos en los dispositivos.

Los principales riegos de seguridad según Kaspersky se plantean a continuación.

Riesgo en el hogar del usuario: otro riesgo es la sincronización y copia de

seguridad, es probable que el usuario sincronice su dispositivo con su PC en casa y
este haya sido infectado comprometiendo la seguridad del dispositivo (Kaspersky,
2013).

14
Complementando la encriptación a nivel del dispositivo: es conveniente elegir
una solución de seguridad móvil, que puede aplicar una capa adicional de cifrado,
incluida la encriptación propia del dispositivo (Kaspersky, 2013).

Robo de datos a través de las vulnerabilidades: vulnerabilidades debido a parches

presentes en los sistemas operativos y aplicaciones de uso común (Kaspersky, 2013).

La pérdida de un dispositivo móvil: debido al reducido tamaño y peso son muy

fáciles que se pierdan o se los roben. (Kaspersky, 2013)

2.4.3.2 Seguridad en los dispositivos.

El departamento de TI debe administrar la seguridad en todos los dispositivos ya que

pueden acceder a la red de distinta manera.

Las soluciones de seguridad deben ser simples, rentables, fáciles de implementar y

administrar. A continuación se describen aspectos a tomar en cuenta.

 Anti-malware: ofrece una defensa en tiempo real frente a virus informáticos,

spyware, troyanos, gusanos, etc.
 Anti-spam: se utiliza para prevenir el correo basura.
 Anti-phishing: evita que los cibercriminales tengan acceso a los datos.
 Protección basada en firmas: se basa en las firmas de malware que se
añaden a un fichero de identificadores de malware, de manera automática y
transparente para el usuario.
 Protección basada en investigaciones de nuevas amenazas: analizar las
acciones maliciosas llevadas a cabo por un nuevo malware que aún no tiene
una firma publicada.
 Protección asistida usando Cloud: la nube puede agregar otra capa de la
seguridad anti-malware protegiendo contra amenazas en cuestión de minutos.

Separación de los datos personales y corporativos tanto a nivel personal como

corporativo es esencial que los datos y las aplicaciones estén separados. Existen
varias maneras como:

 Virtualización Smartphone/Tablet: logra que un dispositivo sea tratado

como dos, el uno original y el otro virtual.

15
  Contenedores: se puede crear y configurar contenedores corporativos. Los
datos pueden ser compartidos a través de las aplicaciones de contenedores,
pero los datos no se comunican a los programas sin contenedores.
 Interfaces separadas: implica el uso de dos interfaces diferentes para el
dispositivo, una para los datos corporativos y otra para los datos personales.

Control de aplicaciones para BYOD, es esencial reconocer que algunos usuarios

tendrán una o más aplicaciones personales en sus dispositivos móviles. Es importante
elegir una solución de seguridad que controle las aplicaciones. A menudo se da una
selección de las políticas como:

 Denegar por defecto: esto bloquea todas las aplicaciones de funcionamiento

con la excepción de las aplicaciones que están en listas blancas.
 Permitir por defecto: esto permite que cualquier aplicación se ejecute en el
dispositivo a excepción de las que han sido incluidas en listas negras.

Control de acceso a internet, con el control de acceso a la web se evita la fuga de

datos corporativos o la transferencia del malware a la red corporativa.

Manejo de dispositivos móviles perdidos o robados con un acceso remoto al equipo

móvil, se puede ayudar a la seguridad, algunas de estas características son:

 Bloquear el dispositivo: impide el acceso a la red y al uso del dispositivo.

 Encontrar el dispositivo: muestra la ubicación aproximada del dispositivo.

Borrado de datos con el acceso remoto se pueden eliminar los datos del equipo, es
aconsejable seleccionar una solución de seguridad que ofrezca opciones como:

 Selectivo: Esto ayuda a los administradores eliminar los datos corporativos,

sin afectar a los datos personales del usuario.
 Limpieza total y restablecimiento del dispositivo: se utiliza para eliminar
toda la información corporativa y personal en el dispositivo y para devolver
el dispositivo a su configuración de fábrica.
 Características adicionales antirrobo: estas funciones adicionales, incluyen
la capacidad de mostrar un mensaje en la pantalla del dispositivo para indicar
a la persona que lo está usando a que lo devuelva.

16
Administrador de dispositivos móviles (Mobile Device Management, MDM):
soluciones totalmente integradas que combinan las funciones de administración y
tecnología de seguridad móvil con las cuales se pueden instalar y desinstalar
software, crear y gestionar las políticas, normas de acceso a la red corporativa,
administrar la configuración de la protección anti-malware, habilitar el cifrado de
datos y proteger los datos corporativos en el caso de pérdida o robo.

2.4.3.3 Acceso seguro a la red.

BYOD genera normas basadas en la función de un usuario, el lugar desde el que se

conecta y el modo en que lo hace, así como el dispositivo que utiliza. Para poner en
práctica este nivel de diferenciación del acceso en un entorno BYOD, la solución
ideal debe incluir las siguientes funciones:

 Provisión y gestión dinámica de dispositivos: BYOD ofrece la

incorporación dinámica de dispositivos para automatizar el registro de
usuarios y la asignación de credenciales, al mismo tiempo que permite a TI
revocar de forma automática y sencilla los privilegios y certificados de
dispositivos. Los certificados digitales y la autenticación son dos factores que
proporcionan un método más seguro para tener acceso a la red.
 Creación de perfiles de dispositivos: Una solución BYOD debe ser capaz de
identificar cada dispositivo, reconocer dónde se conecta a la red y determinar
quién lo está usando. Al mismo tiempo, el departamento de TI debe ser capaz
de crear normativas de acceso exclusivas tanto para dispositivos de la
empresa como para los dispositivos del usuario.

Dada la variedad de dispositivos disponibles y la velocidad a la que cambian, la

creación de perfiles de dispositivos dinámica proporciona la visibilidad necesaria
para determinar si un dispositivo es nuevo o la versión de un sistema operativo está
causando problemas. Al organizar el tráfico e implantar parámetros de seguridad
adaptados a los dispositivos, una empresa disfruta de mayor control sobre la red. Del
mismo modo, la capacidad de crear perfiles de dispositivos de forma instantánea
resulta de gran ayuda al departamento de TI para saber qué equipo accede a la red.

17
La autenticación: usa un navegador que redirige a un portal web el cual contiene
una página de inicio de sesión donde solicita las credenciales para acceder a la red.

La autorización: después de una autenticación exitosa, el usuario tendrá la

autorización de acceso a la red o será redirigido a otro sitio web.

Inscripción de certificados y aprovisionamiento del dispositivo móvil: para

implementar certificados digitales en los dispositivos móviles se necesita una
infraestructura de red que proporcione seguridad y flexibilidad en la aplicación de
diferentes políticas sin importar el lugar donde se origine la conexión, garantizando
una inscripción de certificados y aprovisionamiento según la política que le
corresponda. Cuando el usuario realiza el proceso de autenticación desde su
dispositivo móvil, y esta autenticación es correcta se inicia la inscripción de
certificados y el perfil de aprovisionamiento el cual adquiere información sobre el
dispositivo móvil (Cisco Bring Your Own Device (BYOD) CVD, 2013).

Clave y almacenamiento de certificados: los dispositivos deben ser capaces de

almacenar certificados digitales y las claves asociadas de forma segura. El
almacenamiento depende del sistema operativo o de los medios de comunicación.

2.4.4 BYOD y servidores.

BYOD, debe proveer una solución unificada y completa para cumplir con los retos
que trae (Arbor networks, 2012, pág. 3). En la tabla 5 se muestran algunos de los
componentes que son necesarios para proporcionar una solución completa.

Tabla 5.
Servicios en BYOD.

Control de acceso a red (Network Permiten autenticar al dispositivo o usuario, en función de la

Access Control, NAC)
Administrador de dispositivos
móviles (Mobile Device
Management, MDM)
Directorio activo de Microsoft
(Microsoft Active Directory, AD)
Autoridad de certificación
identidad o postura. Además lo ubica en remediación hasta que
cumpla con la política de acceso a la red.
Se encarga de gestionar los dispositivos móviles, aplicaciones
y datos, para dar cumplimiento a la seguridad (Anderson,
2013, pág. 21).
Proporciona una base de datos de identidades y grupos
centralizada (Anderson, 2013, pág. 22).
Emite certificados digitales a los dispositivos para establecer la

18
(Certificate Authority, CA)
Autorizacion de cambios en
Radius (Radius Change of
Authorization , COA)
RSA SecurID
Firewall and IPS/IDS
Servidor de nombres de dominio
(Domain Name Sever, DNS)
Infraestructura de escritorios
virtuales (Virtual Desktop
Infrastructure, VDI)
Protocolo de configuración
dinámica de host (Dynamic Host
Configuration Porotocol , DHCP)
confianza cuando accede a la red (Anderson, 2013, pág. 21).
Proporciona un mecanismo para cambiar los atributos de una
sesión que tiene autenticación, autorización y contabilidad,
después de que se ha autenticado (Cisco Systems, Inc, 2012).
Proporciona dos factores (PIN secreto y código de contraseña)
de autenticación de una sola vez para una gran seguridad
cuando se conecta a través de una VPN (Anderson, 2013, pág.
21).
Se incorporan para impedir ataques a la red, dar seguimiento y
bloqueo a las solicitudes de conexión atípicos desde hosts
remotos (Arbor networks, 2012, pág. 4).
Se utiliza para controlar y bloquear las consultas DNS a los
dominios de botnets (barners, 2013).
Permite implementar arquitecturas de servicios de escritorio
remotas que ofrecen flexibilidad y mantener la seguridad del
entorno corporativo (Microsoft, 2014).
DHCP puede hacer de la integración de los dispositivos
BYOD menos caótico y más seguro, además se puede
restringir la provisión de direcciones IP sólo para los usuarios
autorizados de estos dispositivos (Kinnear, 2014).

Nota. Servicios para una solución de BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

2.4.5 BYOD y administración de dispositivos móviles (Mobile Device Management,

MDM).

MDM es una infraestructura que asegura, monitoriza y administra cualquier tipo de

dispositivo móvil, independientemente del modelo y sistema operativo. Esto se
realiza mediante la instalación de un agente en el propio dispositivo móvil, que
permite acciones como la instalación de aplicaciones a distancia, geolocalización,
sincronización de archivos, bloqueo y borrado remoto del dispositivo, etc (TRC,
2014, pág. 3). Algunos componentes del MDM se los puede observar en la figura 8.

Componentes del MDM.

Gestión de contenidos para móviles.

Gestión de aplicaciones móviles.
MDM
Seguridad móvil.
Administración de dispositivos móviles.

Figura 8. Componentes del MDM. Fuente: Mobisec.

19
MDM tiene la capacidad de trabajar con un repositorio cifrado donde se ejecuta el
correo, la navegación segura y las aplicaciones corporativas. Todo esto se puede
combinar con funcionalidades de gestión, que se las puede observar en la tabla 6.

Tabla 6.
Funciones del MDM.

Provisión Soporte
 Grupos y Roles de usuario.  Bloqueo remoto.
 Eliminar/Ocultar aplicaciones no deseadas.  Reseteo de clave remoto.
 Configuración WiFi y VPN.  Detección de pérdida de información.
 Aplicaciones y contenido de inserción.  Múltiples plataformas.
 Correo electrónico, Contactos y Calendarios.  Pérdida o robo del dispositivo.
Asegurar Monitoreo
 Hacer cumplir Contraseña.  Registros de dispositivos.
 Hacer cumplir Cifrado de datos.  Seguimiento y Elaboración de Informes de
 Actualizaciones de sistema operativo. Activos.
 Detección de un fallo de seguridad.  Geo-localización.
Aplicaciones y contenido Retiro
 Tienda de App privadas.  Borrado Selectivo.
 Aplicaciones web.  Limpieza completa.

Nota. Funciones que puede tener un MDM.

Elaborado por: Andrea Díaz y Danilo Lamar.

MDM puede interactuar con repositorios centralizados tipo SharePoint, SAP Portal y
similares para integrar las capacidades de seguridad, en especial en referencia a la
mitigación de las fugas de información (Luna & Martín, 2013, págs. 69 - 71). Para la
implementación de MDM se incluyen propuestas flexibles adaptadas a la necesidad
del departamento de TI, como son:

 On – Premise: en los servidores del cliente.

 SaaS: basado en cloud.
 ASP: servicio administrado por proveedor en cloud.

2.4.6 BYOD y virtualización.

La virtualización trata los recursos de red como un conjunto de servicios compartidos

que se combinan para aumentar la eficiencia. El objetivo de la virtualización es

20
construir una infraestructura global y escalable (Cisco, 2011, pág. 9). En la tabla 7 se
resumen algunos elementos involucrados.

Tabla 7.
Aspectos involucrados en virtualización.

Infraestructura Se puede tener una virtualización de la red o de alguno de sus componentes y

mejorar la gestión de la infraestructura (Virtualización, 2013).
Escritorio La virtualización de escritorios ofrece movilidad y flexibilidad al usuario,
mientras que para el departamento de TI se tiene una gestión centralizada
(Microsoft, 2008).
Aplicaciones Aplicaciones de clientes y colaboración tanto en los dispositivos como en la
Web (Citrix, 2013, pág. 4).
Seguridad Se garantiza el manejo de los datos y la protección, además se gestiona los
riesgos (Sullivan, 2012).
Colaboración Las personas pueden iniciar o unirse a reuniones desde cualquier lugar,
compartir archivos, mejorar la productividad, etc (Cisco, 2010, pág. 6).

Nota. Aspectos que pueden estar involucrados en virtualización.

Elaborado por: Andrea Díaz y Danilo Lamar.

2.4.7 BYOD e infraestructura.

La movilidad es fundamental en cualquier institución, esto implica que deben tener

acceso a la información corporativa mediante dispositivos móviles. BYOD obliga a
los administradores a plantearse la infraestructura de red, para dar soporte a
dispositivos como tablets, portátiles o smartphones, se debe tener en cuenta la
convivencia entre la red cableada y la red inalámbrica. Para gestionar de forma
integral la convivencia ambos tipos de redes (cableadas e inalámbricas) se deben
tomar algunas consideraciones (Martínez, 2012):

Seguridad consistente y garantizada: a través de la red cableada o Wi-Fi.

Soporte de los estándares de la industria: esto significa que las redes trabajarán
con la infraestructura de TI que se tenga y por lo tanto el impacto en el TCO (coste
total de propiedad) será menor.

Uso de interfaces comunes: se podrán sustituir todas las herramientas, por una única
plataforma de gestión que soporta protocolos consistentes a través de toda la red.

21
Mejor soporte para crecer: permitirá usar tecnologías nuevas como Cloud
Computing, virtualización y nuevos puntos de acceso.

Simplificación y mayor rapidez en los servicios de TI: a través del centro de datos
o de la infraestructura de red de la empresa.

BYOD: se dispondrá de una amplia gama de características de seguridad tales como

políticas de usuario, gestión de dispositivos y control de acceso.

La solución al momento de implementar una infraestructura de BYOD, no solo se

basa en un equipo, enfoque, proveedor, etc. Se necesitan algunos elementos para
tener una solución completa y que cumpla con las necesidades de BYOD. Esta
infraestructura involucra aspectos de equipos propios como de: virtualización, cloud,
proveedores de servicio, etc.

Infraestructuras convergentes.

Servidores Redes Gestión Seguridad Cloud

Servicios Dispositivos Datos Aplicaciones

Figura 9. Infraestructuras convergentes.

Elaborado por: Andrea Díaz y Danilo Lamar.

22
 CAPÍTULO 3
ESTUDIO DE LA SITUACIÓN ACTUAL DE LA RED INALÁMBRICA DE
LA UNIVERSIDAD POLITÉCNICA SALESIANA PARA DISEÑAR BYOD

3.1 Levantamiento de información.

Se recolectará información del estado actual de la red de la UPS Campus Sur. La

recopilación de datos incluirá algunos puntos como son: la ubicación, infraestructura
de red inalámbrica, direccionamiento lógico y otros parámetros importantes, los
cuales permitirán conocer e identificar como está constituida dicha red.

3.1.1 Ubicación.

El Campus Sur de la UPS se encuentra ubicada al sur de la ciudad de Quito, entre las
calles Rumichaca y Morán Valverde s/n, la figura 10 muestra su localización.

Localización UPS Campus Sur.

Figura 10. Localización UPS. Fuente: Gloogle Earth.

El campus Sur de la universidad cuenta con 8 bloques los cuales son:

 Bloque A: Recepción y Biblioteca (Planta baja), Cecasis (Quinto piso)

y Data center (Sexto piso).

23
  Bloque B: Secretaria.
 Bloque C: Departamento de Idiomas y Laboratorios.
 Bloque D: Auditorio y Laboratorios de Cisco.
 Bloque E: Laboratorio de Suelos.
 Bloque F: Ambiental.
 Bloque G: Nuevo Bloque.
 Bloque H: Pastoral.

La distribución de los bloques en el campus se muestra en la figura 11.

Distribución de bloques de la UPS Campus Sur.

Nomenclatura
Fibra Óptica
Cable Coaxial
BLOQUE E
BLOQUE D Red Inalámbrica
AUDITORIO
SUELOS
ANTENAS EXTERIORES

BLOQUE F
AMBIENTAL BLOQUE C
CAFETERIA
LABORATORIOS

BLOQUE B
SECRETARIA
BLOQUE A
BLOQUE H EDIFICIO PRINCIPAL
PASTORAL BLOQUE G

ANTENAS EXTERIORES

Figura 11. Distribución de bloques de la UPS Campus Sur.

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.2 Diagrama físico de red.

El modelo de diseño de red del Campus Sur de la Universidad Politécnica Salesiana

se basa en el modelo jerárquico, donde los bloques anteriormente mencionados se
conectan directamente con el bloque principal (Bloque A) en el cual está el Data
Center (Domínguez, 2014). En la figura 12 se presenta el diagrama físico de la red.

24
 Diagrama físico de la red de la UPS Campus Sur.

WAN
CNT - TELCONET
Nomenclatura
Fibra Óptica
Cable UTP
Router-Telconet Cable Coaxial
Router-CNT CISCO 7604
Cisco 2800 Series WS- SUP32- GE - 3B

T
CONSOLE
MGM
US EM E T
SYS AUX/ SYS 1 PWR
CONSOLE DISK 0
PORT 1 PORT 2 PORT 3 PORT 4 PORT 5 PORT 6 PORT 7 PORT 8
USB 2. 0
PWR PWR AIM0 CF COMPACT FLASH STAT SYST ACTIV RESE PORT 9
AUX
0

DO NOT REMOVE DURING NETWORK OPERATION

SUPERVISOR ENGINE 32 EJECT LINK LINK LINK LINK LINK LINK LINK LINK
LINK

OPTIONAL RPS INPUT

100-240V ~ 3A
50/60Hz

___
12V - - - 18A

Bloque A-SB
1.7 in.

Bloque A
Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT
DUPLX
SPEED
STACK 2 4

MODE

WLC
2X 16X 18X 32X 34X 48X

Switch de
Bloque A
Acceso
Cisco 2500 Series Wireless Controller

RESET Model 2504

Ap-Biblioteca
CONSOLE POE
1 2 3 4 PWR SYS ALM

Bloque A Ap-Sistemas
Servidor-IBM Servidor-IBM
X3650 X335 Bloque A Bloque A-PB
SYST
RPS
1X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

15X 17X
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

31X 33X
33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

47X
Catalyst 3750

1
SERIES

3
Switch de
Acceso
MASTR
STAT
DUPLX
SPEED
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Bloque A Bloque A

Bloque H-P1 Ap-Outdoor frente Ap-Administración

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT

Bloque A-P4
DUPLX
SPEED WS-X6848-SFP 48 PORT GIGABIT ETHERNET-SFP
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Switch de
1

STATUS

FAN 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
STATUS

Acceso
WS-X6148-GE-TX 1 11 1314 23 25 35 3738 47
2 12 24 26 36 48
Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

2 SYST
RPS
1X 15X 17X 31X 33X 47X 1 3

MASTR
STAT
DUPLX
10/100/1000
STATUS 48 PORT
BASE-T
SWITCHING MODULE PHONE SPEED
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Switch de
z A NT z ANTE z A NT
GH GH GH
E

E
5

5
NN

NN

NN
5

A
A

A
x

Rx-T A Rx C Rx-T B

ETHERNET STATUS RADIO

Acceso
4

z A NT z ANTE z A NT
GH GH GH
E

E
2.4

2.4
NN

NN

NN
2. 4

A
A

A
x

Rx-T B Rx C Rx-T A

Ap-Pastoral
VS-SUP2T-10G

DISK 0
SFP UPLINK 10GE UPLINK
EJECT 4 5

5 1 2 3 USB
STATUS ID SYSTEM ACTIVE PWR MGMT
RESET

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4 LINK

MANAGEMENT CONSOLE
LINK LINK LINK LINK

Ap-Outdoor detrás
6

C6506-E-FAN

Bloque E-P1
WS-C6506-E

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
Catalyst 3750 SERIES
Bloque A-P4 3CR17402
SYST 1X 15X 17X 31X 33X 47X 1 3 1 25 2 26 3 27 4 28 5 29 6 30 7 31 8 32 9 33 10 34 11 35 12 36 13 37 14 38 15 39 16 40 17 41 18 42 19 43 20 44 21 45 22 46 23 47 24 48 
RPS INPUT 1 INPUT 1 F aul t P ow er
MASTR 100-240V ~ 100-240V ~
STAT SuperStack 3 Switch 3848
DUPLX 16A 16A
SPEED 60/50 Hz 60/50 Hz
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Switch de
45 46 47 48

Switch CECASIS
Acceso
INPUT 2 INPUT 2
100-240V ~ 100-240V ~
16A 16A
60/50 Hz 60/50 Hz

Bloque F-P1 Catalyst 3750 SERIES

INST
RU
N
ALL

INPUT
OK
FAN
OK
OUTPUT
FAIL
INST
ALL

RU
N

INPUT
OK
FAN
OK
OUTPUT
FAIL

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 1 2 1 2
SYST

Bloque A-P5
1X 15X 17X 31X 33X 47X 1 3
RPS SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/ SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/
MASTR CISCO SYSTEMS, INC. REMOVE POWER SUPPLY. FASTENER MUST BE FULLY
CISCO SYSTEMS, INC. REMOVE POWER SUPPLY. FASTENER MUST BE FULLY
STAT ENGAGED PRIOR TO OPERATING POWER SUPPLY. ENGAGED PRIOR TO OPERATING POWER SUPPLY.
DUPLX
SPEED
STACK 2 4

Bloque A
MODE 2X 16X 18X 32X 34X 48X

Switch de Switch de Core SYST

RPS
MASTR
1X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

15X 17X
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

31X 33X
33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

47X
Catalyst 3750

1
SERIES

Acceso
STAT
DUPLX
SPEED
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Switch de Acceso

Bloque A-P5
3CR17402
1 25 2 26 3 27 4 28 5 29 6 30 7 31 8 32 9 33 10 34 11 35 12 36 13 37 14 38 15 39 16 40 17 41 18 42 19 43 20 44 21 45 22 46 23 47 24 48 
F aul t P ow er

SuperStack 3 Switch 3848

Ap-Ambiental Bloque D-P2 Switch CECASIS

45 46 47 48

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT

Bloque C-P1
DUPLX
SPEED
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Catalyst 3750 SERIES Switch de Bloque B-P1

Acceso
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT Catalyst 3750 SERIES
DUPLX
SPEED 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
STACK 2 4
SYST 1X 15X 17X 31X 33X 47X 1 3
MODE 2X 16X 18X 32X 34X 48X RPS
MASTR

Switch de
STAT
DUPLX
SPEED
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Acceso Switch de
GH
z A NT
E GH
z ANTE
GH
z A NT
E
Acceso
5

5
NN

NN

NN
5

A
A

A
x

Ap-Laboratorios Cisco
Rx-T A Rx C Rx-T B

ETHERNET STATUS RADIO

z A NT z ANTE z A NT
GH E GH GH E
2.4

2.4
NN

NN

NN
2. 4

A
A

A
x

Rx-T B Rx C Rx-T A

Ap-Laboratorios Electrónica Ap-Sala de profesores

Figura 12. Diagrama físico de la red de la UPS Campus Sur.

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.2.1 Infraestructura del cableado estructurado.

La infraestructura del cableado está conformada por (Departamento TI UPS, 2013):

Cableado vertical: está conformada por fibra óptica multimodo 62.5/125 um, con
longitud de onda de 1300 nm, un ancho de banda de 500 MHz/Km y una atenuación
máxima de 1.5 db/Km, además está recubierta con material de protección. Se tienen
dos enlaces, hacía cada cuarto de telecomunicaciones, para dar redundancia.

Cableado horizontal: está conformado por cables UTP categoría 6 y conectores RJ-
45 de acuerdo a la norma EIA/TIA 568-B. De forma general se utiliza escalerilla o
tubería para que pasen los cables en los diferentes bloques que conforman la
universidad. Se utilizan patch panel que cumplen con la norma TIA/EIA 568-B
categoría 6 de 24 puertos RJ-45 cada uno, las conexiones entre los diferentes patch
panel y los switches se realizan con patch cord certificados.

25
3.1.2.2 Capa núcleo.

Esta capa está compuesta por equipos pertenecientes tanto a la universidad como a
los proveedores, y se presentan a continuación.

Equipo de Telconet: proporciona los servicios de internet, datos y voz. El equipo

utilizado es un router Cisco 7604 que se conecta por fibra óptica al proveedor y se
vincula por fibra óptica al switch de core de la universidad.

Router Cisco 7604.

CISCO 7604
RSP720-3CXL-GE

DISK 0

PORT 2

CONSOLE

T
PORT 1

SE
EJECT
TUS

TEM

IVE

RE
DISK 1

MT
R
STA

ACT
SYS

PW
MG
RESET

K
LIN

LIN

LIN
RSP720 WITH INTEGRATED SWITCH FABRIC/PFC3CXL-10GE
EJECT

1.7 in.

Figura 13. Router Cisco 7604. Fuente: Cisco.

Tabla 8.
Características principales del equipo Cisco 7604.

 Diseño compacto 5 unidades de rack.

 Interfaces Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet y módulos de fibra óptica.
 Módulos de seguridad IPSec, firewall, Secure Sockets Layer.
 Sistema de detección de intrusos (IDS).
 Protección de denegación de servicio (DoS).

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Equipo de CNT: se utiliza un equipo router Cisco 2851, tiene un rendimiento de alta
velocidad por cable UTP, el cual provee servicio de datos para la Universidad, se
conecta por fibra óptica al proveedor y mediante un conversor de medios de fibra a
utp al switch de core de la universidad.

Router Cisco 2851.

Cisco 2800 Series

CONSOLE
SYS AUX/ SYS 1
PWR PWR AIM0 CF COMPACT FLASH

AUX
0

DO NOT REMOVE DURING NETWORK OPERATION

OPTIONAL RPS INPUT

100-240V ~ 3A
50/60Hz

___
12V - - - 18A

Figura 14. Router Cisco 2851. Fuente: Cisco.

26
Tabla 9.
Características principales del equipo Cisco 2851.

 Este equipo tiene una memoria por defecto de 256 MB y soporta hasta 1 GB.
 Tiene dos puertos con capacidad Ethernet, Fast Ethernet y Gigabit Ethernet.
 En seguridad este equipo soporta Secure Sockets Layer (SSL), VPN, sistema de prevención
de intrusos (IPS).
 Diseñado para 2 unidades de rack.
 Soporta MPLS.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Switch Core: el Switch de Core marca Cisco Catalyst 6506-E Series Switches, es el
dispositivo fundamental en la comunicación de toda la red y a este equipo se
conectan los dos routers de los proveedores, el grupo de servidores, los switches de
acceso y el WLAN Controller.

Switch Cisco 6506-E.

WS-X6848-SFP 48 PORT GIGABIT ETHERNET-SFP

STATUS

FAN 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
STATUS WS-X6148-GE-TX 1 11 13 23 25 35 37 47
2 12 14 24 26 36 38 48

STATUS 4 8 P O R T 10/100/1000 SWITCHING MODULE PHONE

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 B ASE - T 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

VS-SUP2T-10G

DISK 0
SFP UPLINK 10GE UPLINK
EJECT 4 5

5 1 2 3 USB
STATUS ID SYSTEM ACTIVE PWR MGMT
RESET

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4 LINK

MANAGEMENT CONSOLE
LINK LINK LINK LINK

C6506-E-FAN

WS-C6506-E

INPUT 1 INPUT 1
100-240V ~ 100-240V ~
16A 16A
60/50 Hz 60/50 Hz

INPUT 2 INPUT 2
100-240V ~ 100-240V ~
16A 16A
60/50 Hz 60/50 Hz

L L
TAL TAL
INS INS
N N
RU RU
INPUT FAN OUTPUT INPUT FAN OUTPUT
OK OK FAIL OK OK FAIL

1 2 1 2

CISCO SYSTEMS, INC. SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/ CISCO SYSTEMS, INC. SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/
REMOVE POWER SUPPLY. FASTENER MUST BE FULLY REMOVE POWER SUPPLY. FASTENER MUST BE FULLY
ENGAGED PRIOR TO OPERATING POWER SUPPLY. ENGAGED PRIOR TO OPERATING POWER SUPPLY.

Figura 15. Switch Cisco 6506-E. Fuente: Cisco.

Wireless LAN Controller: marca Cisco 2504, es el encargado de administrar la red

inalámbrica, dar calidad de servicio (QoS), confiabilidad y seguridad en la
administración los access point ubicados en el campus. Este equipo es el encargado
de administrar los access point de la universidad.

Wireless LAN Controller Cisco 2504.

Cisco 2500 Series Wireless Controller

RESET Model 2504

CONSOLE POE
1 2 3 4 PWR SYS ALM

Figura 16. Wireless LAN Controller Cisco 2504. Fuente: Cisco.

27
Tabla 10.
Características principales del equipo Cisco 2504.

 Versión de software 7.0

 Cuatro puertos Ethernet de 1 Gbps, un puerto de consola, dos puertos soportan PoE.
 Estándares inalámbricos soportados: IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE
802.11n, IEEE 802.11r, IEEE 802.11u, etc.
 Estándares de seguridad: WPA, IEEE 802.11i, etc.
 Encriptación: WEP, AES, DES, Secure Sockets Layer, etc.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.2.3 Capa distribución.

El Cisco Catalyst 6506-E Series Switches, antes mencionado cumple también la

función de switch de distribución, ya que se tiene un modelo de red colapsado entre
núcleo y distribución. A él se conectan los swicth de acceso del Campus.

Tabla 11.
Características principales del equipo Cisco 6506-E.

 Versión de software 15.1 (1) SY.

 2543 K bytes en memoria no volátil.
 2 Tbps en ancho de banda, 80 Gbps pro cada módulo, en VSS tiene 4 Tbps de capacidad.
 Puertos del tipo 10/100/1000 Gigabit Ethernet,
 Tipo de chasis modulado cual simplifica, unifica y economiza la red.
 Encriptación: WEP, AES, DES, Secure Sockets Layer, etc.
 Protocolos de red estándar entre los cuales están: IEEE 802.3, IEEE 802.1d, IEEE 802.1p,
IEEE 802.1s, IEEE 802.1w, IEEE 802.3x, IEEE 802.3ab, IEEE 802.3ad y IEEE 802.3ah.
 Módulos de interfaz de fibra basados en Ethernet del tipo 10 y 100 Mbps.
 Módulos SPF de 48 puertos 100 BASE-X E y módulos de fibra clásica 100BASE-X,
100BASE-FX y 10 BASE-FL

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.2.4 Capa acceso.

A continuación se describen los diferentes equipos de red en esta capa:

Switch de acceso: Son varios switch de modelo Cisco Catalyst 3750G 48P.

28
 Catalyst 3750G– 48P.
Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT
DUPLX
SPEED
STACK 2 4

MODE 2X 16X 18X 32X 34X 48X

Figura 17. Catalyst 3750G– 48P. Fuente: Cisco.

Tabla 12.
Características principales del equipo Cisco 3750G– 48P.

 Versión del software 12.2 (25)

 4 Puertos 1000 BASE-SX del tipo SPF.
 1 Interfaz de administración.
 48 interfaces 10/100/1000 Ethernet con PoE.
 Memoria no volátil de 64 MB.
 Memoria flash de 128 MB.
 Tecnología de apilamiento (Stackwise).
 Soporta enrutamiento dinámico IPv6.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Switch de acceso: Son varios switch de modelo Cisco Catalyst 2960S 48P.

Catalyst 2960S – 48P.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
Catalyst 2960 Plus Series PoE

SYST 1X 11X 13X 23X 25X 35X 37X 47X

RPS 1 2
STAT
DPLX
SPEED
PoE

3 4
2X 12X 14X 24X 26X 36X 38X 48X
MODE POWER OVER ETHERNET

Figura 18. Catalyst 2960S – 48P. Fuente: Cisco.

Tabla 13.
Características principales del equipo Cisco 2960S– 48P.

 Versión del software 12.2 (25)

 1 Interfaz de administración.
 48 interfaces 10/100/1000 Ethernet con PoE.
 4 puertos 1000 BASE-SX del tipo SPF.
 Memoria no volátil de 64 MB.
 Memoria flash de 128 MB.
 Tecnología de apilamiento (Stackwise).

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

29
Access Point (AP): se encuentran distribuidos de la siguiente manera, en el bloque A
(9 AP) y en los bloques B, C, D, F, H (1 AP por bloque).

Cisco Aironet 1131AG: es un punto de acceso que ofrece una conectividad

inalámbrica de alto rendimiento, está encargado de interactuar con los dispositivos
finales. Este tipo de Access Point se encuentra en el: Bloque A primer piso
(Biblioteca y Área Administrativa), Bloque D segundo piso (Auditorio).

Cisco Aironet 1131AG.

Figura 19. Cisco Aironet 1131AG. Fuente: Cisco.

Tabla 14.
Características principales del equipo Cisco 1131AG.

 Posee una memoria RAM de 32 MB.

 16 MB en memoria Flash.
 Tiene dos antenas una para 2.4 GHz y la otra para 5 GHz.
 Soporta IEEE 802.11i, IEEE 802.1X, WPA2 y WPA.
 Cisco IOS Software Release 12.3 (2) J o superior.
 Soporta los estándares IEEE 802.11 a/b/g.
 Soporta una tasa de datos de 54 Mbps.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Cisco Aironet 1310: es un modelo para exteriores, tiene antenas externas integradas
u opcionales, estas proporcionan mayor cobertura de red inalámbrica al campus. Este
modelo de Access Point se ubica en: Bloque A (tres Access Point en la parte exterior
frontal y tres en la parte exterior posterior), Bloque B (Sala de Profesores).

Cisco Aironet 1310.

Figura 20. Cisco Aironet 1310. Fuente: Cisco.

30
Tabla 15.
Características principales del equipo Cisco 1310.

 Soporta estándares IEEE 802.11 b/g.

 Banda de frecuencia de 2.4 GHz.
 Tiene tres canales sin superposición.
 Soporta Autenticación.
 Memoria flash de 8 MB.
 Puede funcionar como: modo puente, punto de acceso o grupo de trabajo modo puente.
 Contiene una interfaz para administración.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Cisco Aironet 1252: es un punto de acceso para interiores diseñado para entornos de
RF difíciles. Este AP se encuentra en el: Bloque C (Laboratorios de Electrónica) y
Bloque H (Pastoral).

Cisco Aironet 1252.

z A NT z ANTE z A NT
GH GH GH
EN

EN
5

5
NN
5
NA

NA
A
x

Rx-T A Rx C Rx-T B

ETHERNET STATUS RADIO

z A NT z ANTE z A NT
GH GH GH
EN

EN
2.4

2.4
NN
2. 4
NA

NA
A
x

Rx-T B Rx C Rx-T A

Figura 21. Cisco Aironet 1252. Fuente: Cisco.

Tabla 16.
Características principales del equipo Cisco 1252.

 Su frecuencia de trabajo es de 2.4 GHz y 5 GHz.

 Soporta una tasa de datos de 54 Mbps.
 Tolera estándares IEEE 802.11 a/b/g e inclusive IEEE 802.11n.
 Posee una memoria de 64 MB en DRAM.
 32 MB en memoria flash.
 En seguridad trabaja con WPA y WPA2.
 Soporta IEEE 802.1X

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

31
3.1.2.5 Servidores.

Físicamente la universidad posee dos servidores principales el IBM SYSTEM X335

M2 y el IBM SYSTEM X3650 M3 que son utilizados para dar servicios a la red. En
la tabla 17 se muestras algunas características que se presentan en los servidores.

Tabla 17.
Características principales de los equipos IBM.

IBM SYSTEM X335 M2 IBM SYSTEM X3650 M3

 Memoria mínima 512 MB máxima 4 GB,  Procesador 6 Core Xeon.

expandibles a 8 GB.
 3 Puertos USB, un serial, 2 puertos
10/100/1000 Ethernet.
 Intel Pentium 4.
 Máximo dos discos duros.
 Posee diskette y CD-ROM.
 8 MB de memoria de video.
 8 MB en cache.
 Memoria 8 GB, máxima 24 GB.
 Disco duro de 8 TB.
 Posee lector óptico.
 Memoria de video de 16 MB.
 Un puerto serial, USB y gigabit Ethernet.
 Soporta Microsoft y RHEL.

Nota. (IBM).
Elaborado por: Andrea Díaz y Danilo Lamar.

El Data Center de TI provee los servicios de (Domínguez, 2014):

Servidor Proxy: este servicio es utilizado como intermediario entre el explorador

web y el internet, da seguridad a la red ya que filtra contenido web y software
maligno. Está instalado en un equipo IBM SYSTEM X335 M2.

Microsoft Active Directory: administra los equipos conectados a la red, así como
maneja ciertas políticas para los usuarios y los recursos de red. Está instalado en el
equipo IBM SYSTEM X3650 M3.

Servidor de Archivos: está en el equipo IBM SYSTEM X3650 M3 y es utilizado

para tener una ubicación central de documentos, en la cual se pueden almacenar y
compartir archivos con los usuarios de la red.

Servidor F-Secure: está instalado en una máquina virtual en el equipo IBM

SYSTEM X3650 M3, se usa para bajar las actualizaciones de antivirus desde la
página principal y para después distribuirlas a los demás equipos de la red.

32
Los servidores citados anteriormente son los más relevantes, existen otros servidores,
los cuales cubren el área de investigación de la universidad. También se ofrecen
diversos tipos de servicios, los cuales son provistos por la Matriz (Cuenca) y otros a
través de nube (Domínguez, 2014). Los cuales se mencionan en la tabla 18.

Tabla 18.
Servicios en la U.P.S Campus Sur.

Servicio Usuario Proveedor Detalle del servicio

SNA Administrativos Matriz UPS Sistema nacional académico registra información y
Docentes record académico del alumno.
SIGAC Administrativos Matriz UPS Sistema contable.
SQUAD Administrativos Matriz UPS Sistema para la gestión del talento humano.
AVAC Alumnos Matriz UPS Ambientes virtuales de aprendizaje cooperativo se
Docentes basan en herramientas e-learning y multimedia.
Correo Administrativos Microsoft Correo electrónico institucional.
Alumnos
Docentes
Investigación
Página Administrativos Matriz UPS Proporciona información acerca de la universidad,
Web Alumnos permite acceso a otros servicios como AVAC, correo
Docentes institucional, Quipux gestión documetal,etc
Investigación
F-Secure Administrativos Campus Sur Servicio de antivirus para los equipos de la
Docentes universidad.
Investigación
Internet Administrativos CNT Navegación Web, entre otros servicios.
Alumnos TELCONET
Docentes
Investigación
Datos Administrativos CNT Interconexión entre campus.
Docentes

Nota. (Diego & Jonathan, 2013).

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.2.6 Clasificación de usuarios según TI.

Los tipos de usuarios a los que se debe brindar acceso tanto a los servicios
institucionales como a internet se subdividen en tres grupos los cuales son:

33
Personal Administrativo: cuenta hoy con alrededor de 70 usuarios como personal
administrativo distribuidos entre las áreas de Financiero, Secretaria, Administración,
Biblioteca, Soporte y las diversas áreas de mantenimiento.

Personal Docente: cuenta con alrededor de 185 docentes los cuales están encargados
de la docencia, tutorías, investigación, etc. Y están en varias áreas del campus como
son las aulas, laboratorios, biblioteca y sala de profesores.

Alumnado: actualmente la UPS cuenta con alrededor de 3500 alumnos en la sede

Quito Campus Sur. Ellos utilizan el internet, correo institucional y la plataforma
AVAC como servicios que la universidad les brinda.

3.1.2.7 Modo de acceso de usuarios.

El acceso brindado por la Universidad Politécnica Salesiana esta segmentado en

alámbrico e inalámbrico. Cabe mencionar que ambos tipos de acceso tienen
diferencias según sea el tipo de usuario antes mencionado y otros detalles que se
mencionaran a continuación (Domínguez, 2014):

Modo Alámbrico: diseñado para ofrecer una conectividad a zonas fijas, hace uso de
cables UTP categoría 6 y está implementado actualmente en todos los bloques de la
universidad. Es el principal medio de acceso a la red por parte del personal
administrativo y para cierta parte de docentes y alumnos.

Modo Inalámbrico: destinado para la toda la comunidad salesiana que requiera

movilidad dentro del Campus. Las conexiones inalámbricas al usuario llegan a través
de Access Point con los switches de borde para llegar al data center de manera
similar a las conexiones alámbricas.

3.1.2.8 Seguridad en la red.

La seguridad en la red se da por diferentes formas como son: a nivel de

configuración (ACL), creación de Vlan específicas, usando un servidor Proxy, un
servidor antivirus (F-SECURE), autenticación web para la red inalámbrica de
docentes, ocultar los SSID para usuarios no autorizados, filtrado MAC en la red
inalámbrica, etc (Domínguez, 2014).

34
3.1.2.9 Administración de la red.

El departamento de TI para la gestión de la red de la Universidad Politécnica

Salesiana Campus Sur cuenta con una persona encargada de monitorear la
infraestructura de red así como proveer soluciones de mantenimiento y prevención a
los problemas relacionados con los equipos de la institución. Este departamento se
encuentra ubicado en el sexto piso del bloque A, aquí también se encuentra el data
center, en el cual están los principales equipos de red como son: swicthes, routers,
servidores, etc.

3.1.3 Diagrama lógico de red.

El diseño de red lógico del Campus Sur de la Universidad Politécnica Salesiana, solo
se basará en las redes inalámbricas que se tienen, además de los equipos
intermediarios que intervienen en esta red. En la figura 22 se presenta el diagrama
lógico de la red.

Esquema lógico de red.

WAN
CNT - TELCONET
Nomenclatura
Fibra Óptica
Cable UTP
Cable Coaxial
Router-CNT Router-Telconet

WLC Bloque A-SB

Ap-Biblioteca
Ap-Sistemas
Servidor-IBM Servidor-IBM
Bloque A-PB
X3650 X335

Ap-Outdoor frente Ap-Administración

Bloque H-P1

Bloque E-P1 Bloque A-P4 Bloque A-P4

Ap-Pastoral Bloque F-P1 Switch CECASIS

Ap-Outdoor detrás

Switch de Core

Bloque A-P5
Ap-Ambiental Bloque A-P5

Bloque D-P2
Bloque C-P1 Switch CECASIS

Bloque B-P1

Ap-Sala de profesores
Ap-Laboratorios Cisco
Ap-Laboratorios Electrónica

Figura 22. Esquema lógico de red.

Elaborado por: Andrea Díaz y Danilo Lamar.

35
3.1.3.1 Direccionamiento lógico.

La topología física de la Universidad tiene forma de estrella extendida. Lo que quiere

decir que todos los switches de acceso, routers de proveedores, servidores y wlan
controller están conectados a un switch principal (Switch de Core). Este permite la
comunicación con todos los bloques del campus (Domínguez, 2014). En la tabla 19
se listan los equipos que intervienen en la red inalámbrica así como las redes
inalámbricas que se difunden y las cuales se las administra a través del WLC.

Tabla 19.
Direccionamiento de la red inalámbrica.

Equipo o SSID Direccionamiento IP Submáscara Gateway Vlan ID

Router CNT 187.10.X.X 255.255.X.X 187.10.X.X
Router TELCONET 186.10.X.X 255.255.X.X 186.10.X.X
Servidor Proxy 172.17.X.X 255.255.X.X 186.10.X.X
Active Directoy 172.17.X.X 255.255.X.X 172.17.X.X
Servidor de Archivos 172.17.X.X 255.255.X.X 172.17.X.X
Servidor F-Secure 172.17.X.X 255.255.X.X 172.17.X.X
Switch de Core 172.17.X.X 255.255.X.X 186.3.X.X
WLC 172.17.X.X 255.255.X.X 186.10.X.X
cima 172.17.X.X 255.255.X.X 172.17.X.X 19
eventos 172.17.X.X 255.255.X.X 172.17.X.X 26
fisicauios 172.17.X.X 255.255.X.X 172.17.X.X 27
gietec 172.17.X.X 255.255.X.X 172.17.X.X 29
managment 172.17.X.X 255.255.X.X 172.17.X.X 24
wlan-docentes 172.17.X.X 255.255.X.X 172.17.X.X 7
wlan-estudiantes 172.17.X.X 255.255.X.X 172.17.X.X 10
wlan-ups-adm 172.17.X.X 255.255.X.X 172.17.X.X 3
wlc-biblioteca 172.17.X.X 255.255.X.X 172.17.X.X 8

Nota. (Diego & Jonathan, 2013).

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.4 Otros parámetros.

Existen varios aspectos que deben tomarse en cuenta con relación a la infraestructura
de red: acceso, seguridad, usuarios, proveedores, etc. Porque intervienen en el
funcionamiento de la red de la universidad.

36
3.1.4.1 TIER del Data Center UPS.

El nivel de disponibilidad que tiene el Data Center se clasifica en TIER, creada por el
Uptime Institute, este instituto estableció cuatro niveles de TIER, desde el nivel
menor (TIER I) hasta el de mayor nivel (TIER IV). En la tabla 20 se presenta el nivel
de TIER que posee el Data Center de la universidad.

Tabla 20.
Tipo de TIER Data Center.

TIER Características técnicas y operativas que Características técnicas y operativas que

se debe cumplir.
 Infraestructura básica.
 Tiene componentes no redundantes y
un solo paso no redundante de
distribución sirviendo a los equipos.
 Una falla en cualquier componente
TIER I impactará al sistema.
 Para los trabajos de mantenimiento
deben detenerse las operaciones del
Data Center.
 El servicio puede interrumpirse por
actividades planeadas o no.
se cumplen el Data Center de la UPS.
 Posee infraestructura básica.
 Tiene planta eléctrica y un sistema de
alimentación ininterrumpida (ups).
 Tiene refrigeración.
 El Data Center debe apagarse por
completo cuando necesite
mantenimiento correctivo o predictivo.
 El Data Center es susceptible a
interrupción planeada o no.
 No tiene componentes redundantes.

Nota. Tipo de TIER que se tiene en el Data Center de la universidad.

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.4.2 Cuarto de telecomunicaciones

Existen equipos de red de la marca Cisco (en la mayoría de los bloques) y pocos
equipos de la marca 3COM. Los equipos de Cisco están conectados directamente al
Data Center. Los cuartos de telecomunicaciones están distribuidos en la universidad
de la siguiente manera: bloque A (3 cuartos de telecomunicaciones y 1 armario rack)
y bloques B, C, D, E, F, H (1 armario rack por bloque).

37
 Tipos de armarios racks.

Figura 23. Tipos de armarios racks.

Elaborado por: Andrea Díaz y Danilo Lamar.

3.1.4.3 Internet y proveedores.

Se dispone de enlace de datos para el acceso de internet contratado con las empresas
Telconet y Corporación Nacional de Telecomunicaciones. En la figura 24 se puede
ver el incremento del internet para los tres campus de la UPS en Quito
(Departamento TI UPS, 2013).

Incremento de internet.

140

120

100
KENNEDY

80 SUR

60 GIRON

40

20

0
2012 2013 2014

Figura 24. Incremento de internet. Fuente: Departamento TI UPS.

38
3.2 Soluciones de BYOD.

En la tabla 21 se presenta algunas soluciones para BYOD de diferentes proveedores

de tecnología.

Tabla 21.
Soluciones de proveedores.

Cisco BYOD HP BYOD Citrix BYOD Aruba BYOD Meraki BYOD

La solución de HP nos brinda La propuesta de Aruba se enfoca LA solución de
cisco está una solución citrix se establece en: acceso, Cisco Meraki está
compuesta de: basada en: IMC en: Citrix gestión de enfocada a dar
Cliente Cisco User Access Receiver, Citrix dispositivos, servicio a través
AnyConnect Manager (UAM), Mobile Enroll redes y seguridad. de Cloud,
Secure Mobility, IMC Endpoint (IOS solamente), Para esto emplea apoyados en un
RSA SedurID, Admision Citrix Mobile algunos módulos NAC y la función
Identity Services Defense (EAD), Connect, como son: de administración
Engine (ISE), IMC Network NetScaler Access ClearPass Policy, de dispositivos
Cisco Scansafe Traffic Analyzer Gateway, Citrix ClearPass móviles.
Cloud Web (NTA), IMC User XenMobile QuickConnect, Incluye una
Security, Cisco Behavior Auditor MDM, Citrix ClearPass gestión de red
Mobility (UBA), IMC CloudGatteway, Onboard, poco compleja,
Servicies Engine, Wireless Services Citrix GoTo ClearPass Profile, además que
MDM, Certificate Manager (WSM). Meeting con ClearPass Guest, permite clasificar
Authority, Estos HDFaces, Citrix ClearPass automáticamente
Microsoft Active componentes GoToWebinar, OnGuard. a los dispositivos
Directory (AD), cubren áreas Citrix GoTo móviles ya se han
Cisco Prime, como: acceso y Training, Citrix estos teléfonos
Prime network gestión de Podio, Citrix inteligentes,
Control System dispositivos, ShareFile, Storage tabletas,
NCS, redes, seguridad, Zones, Citrix computadores
Virtualization administración de XenApp, Citrix portátiles.
Experience dispositivos XenDesktop. Permite aplicar
Infraestructure. móviles, etc. Todos los políticas según el
Todos estos recursos antes tipo de
elementos están mencionados se dispositivo,
involucrados en ven inmersos en: protege a toda la
diferentes áreas aplicaciones red y crea
como son: acceso, virtuales, datos, informes
gestión de colaboración, automáticos
dispositivos, aplicaciones, acerca de los
redes, seguridad, administración de equipos y su uso
aplicaciones, dispositivos, en la red.
colaboración, etc. seguridad, gestión
y acceso.

Nota. (Aruba, s.f.), (Cisco, s.f.), (Citrix, s.f.), (HP, s.f.) , (Cisco System , 2014).
Elaborado por: Andrea Díaz y Danilo Lamar.

39
 CAPÍTULO 4
DISEÑO Y SIMULACIÓN DE LA RED INALÁMBRICA CON BYOD

4.1 Introducción a la propuesta de diseño.

En el presente capítulo se citarán los requerimientos que debe cumplir la solución de

BYOD para la universidad, junto a esto se detallará el diseño de la red propuesta para
la institución, además se describirán las características principales y funciones de los
principales equipos de red. Finalmente se desarrollará un piloto de la red con BYOD.

4.1.1 Densidad de usuarios.

La UPS Campus Sur cuenta con alrededor de 3800 usuarios, entre administrativos,
docentes y estudiantes. Se puede decir que la parte administrativa tiene un lugar fijo
donde realizar sus tareas diarias y cuentan con equipos apropiados para llevar a cabo
su trabajo. Otra es la situación de docentes los cuales tienen algunos espacios
asignados para sus labores diarias, al igual que el equipo que traen a la universidad
depende de sus posibilidades. Por parte de los alumnos la situación también es
diferente ya que están movilizándose por todo el campus dependiendo de las
actividades que vayan a realizar. En la figura 25 se muestra la mayor cantidad de
usuarios que se conectan a la red de la institución de manera inalámbrica en el día.

Número de usuarios conectados a la red inalámbrica.

400
350
300
Número de usuarios conectados

250
200
150
100
50
0
12:00 h 17:00 h 12:00 h 11:00 h 13:00 h 13:00 h 11:00 h 12:00 h 11:00 h 17:00 h
(Día 1) (Día 2) (Día 3) (Día 4) (Día 5) (Día 6) (Día 7) (Día 8) (Día 9) (Día 10)

Figura 25. Número de usuarios conectados a la red inalámbrica.

Elaborado por: Andrea Díaz y Danilo Lamar.

40
4.1.2 Dispositivos por usuarios.

Los dispositivos que se utilizan para acceder a la red, tienen una gran variedad como
laptops, tablets, smartphones, etc. Los cuales trabajan con varios sistemas operativos
como son: Windows, Android, iOS y Mac OS. Los estudiantes son el mayor grupo
de la institución y en el cual se presenta un cambio tecnológico notorio, por tal
motivo se les realizó una encuesta para recopilar información de la cantidad de
dispositivos que utilizan dentro de la universidad. El total de alumnos encuestados
son 300, encontrando que 154 utilizan al menos dos dispositivos, 77 utilizan tres
dispositivos y 69 tan solo un dispositivo. En la figura 26 se puede observan el
resultado de la encuesta, en la sección de anexos se puede ver el tipo de encuesta que
se realizó.

Porcentaje de dispositivos por usuario.

1 Dispositivo
3 Dispositivos 23%
26%

1 Dispositivo
2 Dispositivos 2 Dispositivos
51% 3 Dispositivos

Figura 26. Porcentaje de dispositivos por usuario.

Elaborado por: Andrea Díaz y Danilo Lamar.

De aquí se pude decir que todos los encuestados usan al menos un dispositivo para
acceder a la red, además que todos acceden a la red por lo menos una vez en el día.

4.1.3 Accesibilidad a los recursos de red.

Brindar accesibilidad a los recursos de red en el campus permite que los usuarios
respondan más rápidamente a las necesidades propias o de la institución, sin tener en
cuenta la ubicación de ellos, además de brindar una priorización a dichos recursos,
dependiendo de las políticas implantadas por el departamento de TI a los distintos
tipos de usuarios existentes en la universidad. El uso de internet en la universidad
varía en la cantidad de usuarios dependiendo de la hora en la cual se conectan a la
red. Hay un mayor uso del recurso por la mañana ya que existe mayor número de
usuarios en este horario en comparación con los usuarios de la jornada vespertina.

41
4.1.4 Manejo centralizado.

Debido a que BYOD involucra a toda la infraestructura de red, se tendrá una

administración centralizada es decir todos los equipos de networking están
conectados a un dispositivo central, de esta forma el departamento de TI puede
responder de forma efectiva y eficiente cuando se presenten problemas y fallas en la
red. Además podrán ejecutar las políticas que sean más convenientes para la red.

4.2 Selección de la tecnología.

Para definir que tecnología de red es la más favorable para implementar BYOD en la
universidad se tomaron en cuenta varios aspectos relacionados con la red actual, los
lineamientos que persigue el departamento de TI y los parámetros descritos en
anteriores capítulos de este trabajo de grado.

4.2.1 Equipos de red actual.

El equipamiento actual de la red de la Universidad Politécnica Salesiana cuenta en su

mayoría con equipos de la marca Cisco, algunos de los cuales han sido adquiridos
hace un par de años atrás (por ejemplo el Switch de Core). La red también cuenta con
servidores de la marca IBM ubicados en el Data Center y switches en la marca
3COM situados en el cuarto de telecomunicaciones del cuarto y quinto piso
respectivamente los cuales son utilizados para el departamento de CECASIS, los
switches 3COM no actúan en la red inalámbrica y tampoco intervendrán en la
propuesta de red para BYOD.

4.2.2 Departamento de TI del Campus Sur.

El departamento de TI del Campus Sur ha tenido una tendencia, en sus equipos de

networking hacia la marca Cisco. Esto se observó en la realización del capítulo
anterior en la cual se notó el uso de switches, routers, access point, etc, de la marca
antes mencionada trabajando en la red actual de la universidad. Además acotar que el
departamento de TI tiene un mayor conocimiento de estos equipos debido a que
trabajan con ellos varios años.

42
4.2.3 BYOD y la implicación para la institución.

Hoy en día la planificación de la red se debe tomar muy en cuenta ya que se presenta
un nuevo desafío donde varios dispositivos con varias aplicaciones intentan
conectarse a la red en cualquier lugar. La solución de BYOD debe permitir a la
institución proteger su inversión en tecnología mediante la construcción sobre lo que
ya tiene, manteniendo la flexibilidad para adaptarse a los nuevos servicios,
soluciones y dispositivos que van surgiendo, además con BYOD según (Cisco ,
2014) se mejora la enseñanza y el aprendizaje, se incrementa la participación de los
usuarios, se acrecienta la eficiencia operativa, aumentar la productividad del
personal, amplia la colaboración y las capacidades de infraestructuras tecnológicas
existentes. Además de tener consecuencias financieras favorables debido a BYOD.
La solución de Cisco para BYOD se puede ajustar de forma dinámica, segura y
gestionada en tiempo real a un crecimiento exponencial de dispositivos móviles y
aplicaciones, brindando a cada usuario conectividad inmediata y segura a la red.
Además facilita el despliegue de nuevas aplicaciones manteniendo un enfoque en el
rendimiento académico y las necesidades presupuestarias de la institución. Todo
esto se basa en equipos como: access point, routers, servidores, switches, firewalls,
etc. Sumado a todo esto Cisco brinda el soporte respectivo a sus equipos al igual que
se mantiene a la vanguardia para afrontar los nuevos retos que existen en el área de
las redes. Debido a los factores antes mencionados el diseño de la red se inclina a la
solución brindada por Cisco ya que cumple con las características, prestaciones y
perspectivas que involucran a BYOD y a la institución.

4.3 Dimensionamiento.

Cisco impulsa un producto basado en un servidor AAA y un NAC combinados en un

solo equipo el cual se denomina Motor de Servicios de Identidad (Identity Services
Engine, ISE). ISE trabaja con una infraestructura de red que debe ser Cisco 100%
para que tenga un funcionamiento correcto, además este equipo hace el uso de
licenciamiento. La cantidad de licencias corresponde al número de direcciones IP por
equipo a utilizarse, incluyendo tanto a dispositivos de red, dispositivos personales o
de la institución y otros equipos que ocupan una dirección IP. Y por esto se debe
dimensionar el uso de licencias. Además del equipo antes mencionado se necesitan

43
otros equipos de red para tener la solución de BYOD como son switches, routers,
access point, wireless LAN controller, etc. En la tabla 22 se describen estos datos.

Tabla 22.
Dimensionamiento de la red.

Usuarios o Equipos Actuales Diseño

Administrativos 70 140
Docentes 185 370
Concurrencia promedio red inalámbrica 260 400
Equipos de networking 52 52

Nota. Dimensionamiento de la red a diseñar.

Elaborado por: Andrea Díaz y Danilo Lamar.

La universidad cuenta con alrededor de 3800 usuarios, pero en la etapa inicial se

comenzará con un licenciamiento a 1000 dispositivos los cuales podrán tener todos
los recursos de la red según sean las políticas, si se necesitan más licencias a futuro
se podrán adquirir a Cisco. Los dispositivos que no tengan acceso a todos los
recursos de la red debido al tema de licenciamiento, si tendrán acceso a la red solo
que con limitaciones debido a las licencias.

Administrativos 140 licencias esto debido a que tienen su propio espacio de trabajo
el cual consta de equipo de computación y telefonía IP, se asegura que se han
participes de BYOD. Para los docentes se toma en cuenta el número de dispositivos
que usan en este caso dos por cada docente 370 licencias, esto asegura que los
docentes también participen en BYOD. La concurrencia a la red inalámbrica por
parte de los dispositivos móviles es de 260 en promedio y la cual se elevara a 400,
este número de licenciamiento se dará a todos los usuarios (administrativos,
docentes, estudiantes e invitados) con dispositivos móviles que se conecten a la red
inalámbrica. La parte de equipos de red se lleva 52 licencias y las restantes 38
licencias se tendrán para otros equipos o casos de uso especiales que pueden surgir
en la institución.

4.3.1 Requerimientos de los componentes básicos para soporte de BYOD

Para que la red de la universidad soporte BYOD, se debe cumplir con la

compatibilidad entre ISE y los componentes de la infraestructura que han sido

44
validados según (Cisco Systems, 2014), en la tabla 23 se observan algunos
componentes que tienen compatibilidad con ISE.

Tabla 23.
Requerimientos de compatibilidad.

Componente Versión OS recomendada Rol

Cisco Identity Services Engine 1.2 Servidor
Switches
Catalyst 2960-S y 2960-C IOS v 12.2(55)-SE3
Catalyst 2960-SF y 2960Plus IOS v 15.0.2-SE (ED) LAN
BASE
Catalyst 2960-XR y 2960P-X IOS v 15.0.2-EX3 (ED)
Catalyst 3560-C, 3560-E, IOS v 15.0.2-SE2 (ED)
ISR EtherSwitch ES3 Catalyst 3560-X
Switch de
Catalyst 3750-G IOS v12.2(55)-SE3
acceso/core
Catalyst 3750-E y 3750-X IOS v 15.0.2-SE2 (ED) IP
BASE
Catalyst 3850-E y 3650 IOS XE 3.2.2 SE
Catalyst 4500 Supervisor Engine 7-E, 7L-E IOS-XE V 3.4.0 SG (ED)
Catalyst 4500 Supervisor Engine 6-E, 6L-E IOS v 15.1.2 SG (ED)
Catalyst 6500 (Supervisor 32/Supervisor 720) IOS v 12.2 (33)-SXJ5 (MD)
Inalámbricos
Wireless LAN Controller (WLC) 2100, 4000, 7.0.116.0(ED) Controla los puntos
WiSM1 y WiSM2 Blade for 6500 de acceso de
WLC 2500, 5500, 7500 y 8500 7.3.112.0(ED), 7.4.x, 7.5 manera
WLC 5760 IOS XE 3.2.2 SE centralizada.
Routers
WLC ISR (ISR2 ISM, SRE700 y SRE900) 7.3.112.0(ED)
Enrutamiento.
ISR 88X, 89X Series, 19x, 29x, 39x Series 15.3.2T(ED)
Firewalls
Cisco ASA 5500 y 5500-X Series ASA 9.2.1 Seguridad a la red.
Access Point
Cisco Series AP 3700, 3600, 3500, 2600 ----------------------------------- Puntos de acceso.
Servidores externos
Microsoft Active Directory 2003, 2003R2, 2008, 2008R2,
Servidor.
2012 y 2012R2

Nota. (Cisco Bring Your Own Device (BYOD) CVD, 2013).

Elaborado por: Andrea Díaz y Danilo Lamar.

45
4.3.2 Equipos a utilizarse en la red.

Los equipos a utilizarse en la red propuesta son los siguientes:

Tabla 24.
Equipos para el diseño.

Equipo Versión Adquisición Observaciones

IBM X3650M3 ------------------ No adquirir No necesita licencia
Producto: SNS-3415-K9
Licencia de ISE: SW-3415-ISE-K9
ISE 3415 1.2 Comprar Garantía: L-ISE-AD5Y-1K
Licencia usuarios: L-ISE-BSE-1K
Licencia suscripciones:L-ISE-ADV-S-1K
WLC 5508 7.5 Comprar Producto: AIR-CT5508-50-K9
Producto: ASA5515-K9
ASA 5515-X 9.1.1 Comprar Licencias AVC / WSE: ASA5515-AW5Y
IPS: ASA5515-NI5Y
Switch 6506-E 15.1 No adquirir No necesita licencia
Switch 3750G 12.2(25)SEE2 No adquirir No necesita licencia
Switch 2960S 12.2(50)SE5 No adquirir No necesita licencia
AP 3702P 7.6 Comprar Producto: AIR-CAP3702P-x-K9

Nota. Equipos a utilizarse para el diseño.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.3.3 Justificación de equipos para el diseño.

Se seleccionaron estos dispositivos ya que sus capacidades son las adecuadas para su
uso en la red según (Cisco, 2014) , a continuación se describen estas capacidades:

Versión de IOS: soporte del sistema operativo del equipo.

Bypass de autenticación MAC (MBA): utilizado cuando el punto final no puede

autenticarse en la red.

802.1X: estándar IEEE para comunicar las credenciales de identidad que utiliza el
protocolo de autenticación (EAP) a través de LAN.

Autenticación Web: acceso a la red a través de una página web, tiene dos modos de
implementación:

46
  Autenticación de Web central: la opción más conocida, es controlada por
ISE.
 Autenticación de Web local: realizado por el switch o el WLC, no realiza
CoA, ni modifica la VLAN o el soporte al ID de sesión.

Cambio de autorización (CoA): Atributo RADIUS que la maneja ISE.

VLAN: LAN virtual, puede ser asignado a un dispositivo entrante.

DACL: lista de control de acceso que se envía desde ISE al dispositivo de acceso
para restringir el acceso a la red.

Grupo de acceso de seguridad (SGA): construye redes seguras mediante el

establecimiento de un dominio de dispositivos de red, además puede utilizar la
identidad del dispositivo y la información del usuario adquirida durante la
autenticación para clasificar los paquetes mediante etiquetado, para controlar el
tráfico que entra a la red.

IOS Sensor: habilita la funcionalidad de perfilar, integrada en los sistemas

operativos de switches, WLC, permitiendo hacerlo de forma local, en lugar de
hacerlo en forma centralizada en un nodo de ISE. En la tabla 25 se pueden observar
si los equipos elegidos cumplen estas funciones.

Tabla 25.
Capacidades de los equipos.

V D
M C L C S IOS
Equipo Versión IOS 802.1X L A
A W W o G
A C Sensor
B A A A A
N L
Switch 6506-E 15.1 Si Si Si Si Si Si Si Si No
Switch 3750G 12.2(25) SEE2 Si Si Si Si Si Si Si Si No
Switch 2960S 12.2(50)SE5 Si Si Si Si Si Si Si No No
WLC 5508 7.5 Si Si Si Si Si Si Si Si Si
ASA 5515-X 9.1.1 --- --- --- --- Si Si Si Si No

Nota. Capacidades presentes en los equipos.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 27 se observan los equipos presentes en la red actual y en la propuesta.

47
 Equipos presentes en la red actual y en la propuesta.

Figura 27. Equipos presentes en la red actual y en la propuesta.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la tabla 26 se observar los equipos y su utilidad para el diseño de la red.

Tabla 26.
Equipos y su interés.

Equipo de red actual Equipo para el diseño Interés para el diseño

IBM SYSTEM X3650 M3: Contiene los servicios de AD,
Equipo modular, alta disponibilidad, soporta colaboración, servidor de archivos y el
virtualización, base datos, etc. antivirus.
Swicth 6506-E Posee características esenciales
Escalable, alta disponibilidad, modular, simplifica y unifica la para poder ser usado en
red, integra funciones avanzadas, alta densidad de puertos, etc. conjunto con el ISE.
Wireless LAN Controller 2504 Wireless LAN Controller 5508 WLC 5508 trabaja en conjunto
Versión de software 1.0, Escalabilidad, control de RF con ISE, tiene soporte de cisco
estándares inalámbricos IEEE inteligente, mejora la calidad en a diferencia del WLC 2504, al
802.11 a/b/g/n, soporta 25 AP. voz, video, etc. cual dejaron de darle soporte.
Swicth 3750G y 2960S Utiliza un software actual y es
Interfaces del tipo 10/100/1000 Ethernet con PoE, soporta compatible con la red para el
enrutamiento y utilizado en la guía de diseño de BYOD de Cisco. diseño de BYOD.
AP´s 1131AG, 1310 y 1252 Access Point 3702P AP de última generación
Soportan estándares IEEE Estándares IEEE 802.11 soportan IEEE 802.11
802.11 a/b/g, a/b y a/b/g e a/b/g/n/ac, MIMO , alta a/b/g/n/ac, compatible con el
incluso n respectivamente. escalabilidad, etc. WLC 5508.
No existen equipos similares en Cisco ISE 3415 Encargado de generar políticas,
la red actual. Servidor encargado de BYOD gestionar a los diferentes

48
 sobre la red en conjunto otros usuarios y dispositivos, equipo
equipos de red. principal de BYOD.
ASA 5515-X Compatible con ISE y junto a
Firewall de siguiente este brindar mayor seguridad a
generación brinda seguridad a e la red, y mencionado en la guía
incluye IPS, AVC y WSE. de diseño de BYOD de Cisco.

Nota. Equipos y el interés para el diseño.

Elaborado por: Andrea Díaz y Danilo Lamar.

En el servidor IBM se tendrán los servicios descritos en la tabla 27.

Tabla 27.
Requerimientos del servidor IBM.

Servicio Versión de software Rol

Microsoft Active Directory (AD), Microsoft Certificate
Windows 2008 Server R2 Servidor
Authority (CA), Servidor de archivos y F-Secure.

Nota. Requerimientos para el servidor.

Elaborado por: Andrea Díaz y Danilo Lamar.

Durante el uso de un servidor de CA con ISE, se debe tener en cuenta que se cumpla
con los requisitos mostrados en la tabla 28.

Tabla 28.
Requisitos de CA para la interoperabilidad con ISE.

 El tamaño de la calve debe ser de 1024, 2048 o superior. En el servidor de CA, el tamaño de
la clave se define utilizando la plantilla de certificado. Se puede definir el tamaño de la
clave de Cisco ISE utilizando el perfil suplicante.
 El uso de claves debe permitir firmas y el cifrado en extensión.
 Se recomienda utilizar RSA + SHA1.
 Se admite el protocolo de estado de certificados en línea (Online Certificate Status Protocol,
OCSP). Esto no es utilizado directamente en BYOD, pero un CA puede actuar como OCSP
se puede utilizar para la revocación de certificados.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

Todas estas capacidades están basadas sobre un equipo ISE con versión 1.2 para
mantener la compatibilidad entre los equipos. Se debe tomar en cuenta que si algún

49
equipo no cumple con los requerimientos básicos debe ser actualizado o cambiado
dependiendo de la función que cumpla en la red.

4.4 Infraestructura de cableado.

La infraestructura del cableado, que se la revisó en el capítulo anterior puede ser

utilizada para esta propuesta de red por las siguientes razones: en la parte del
cableado vertical se tiene fibra multimodo 62.5/125, además existe redundancia hacia
los cuartos de telecomunicaciones, para la parte del cableado horizontal se tiene un
cableado estructurado de categoría 6 con lo cual se tiene una velocidad de 1 Gbps. Se
mantendrá la misma infraestructura de cableado debido a que aún satisface las
necesidades de BYOD. Para nuevos enlaces se utilizara el mismo tipo de cable si es
que fuere necesario.

4.5 Diseño lógico.

La topología de la red propuesta para el Campus Sur, se la puede observar en la

figura 28 la cual muestra una topología del tipo estrella extendida.

Topología de la solución.

Router-CNT
WAN
ASA/
CNT - TELCONET
WSE/AVC

Router-Telconet ISE
WLC

Bloque A-SB
Switch de Core
Ap-Biblioteca

Bloque A-PB

Servidor AD/
Ap-Piso_1 Ap-Administración
CA/DNS

Bloque A-P4

Ap-Piso_3 Ap-Piso_2 Bloque G-SB

Ap-SB2
Bloque A-P5

Ap-Piso_5 Ap-Piso_4
Ap-SB1

Bloque B-P1 Bloque E-P1

Bloque G-PB
Ap-PB
Ap-Sala de Ap-Suelos
profesores

Bloque C-P1 Bloque F-P1 Ap-Piso_1

Ap-Laboratorios Ap-Ambiental
Electrónica Bloque G-P2
Ap-Piso_2
Bloque D-P2 Bloque H-P1

Ap-Laboratorios Ap-Pastoral Ap-Piso_3

Cisco

Figura 28. Topología de la solución.

Elaborado por: Andrea Díaz y Danilo Lamar.

50
4.5.1 Direccionamiento.

Debido a la migración de IPV4 a IPV6 se ha decidido emplear IPV6 para la creación

de las redes en este diseño.

Tabla 29.
Direccionamiento de los equipos y las redes inalámbricas.

Equipos o SSID Direccionamiento

Equipos de red 2001:1234:abc:00::/56
Cima 2001:1234:abc:0010::/60
Eventos 2001:1234:abc:0020::/60
Fisicauios 2001:1234:abc:0030::/60
Gietec 2001:1234:abc:0040::/60
Managment 2001:1234:abc:0050::/60
Wan-docentes 2001:1234:abc:0060::/60
Wlan-estudiantes 2001:1234:abc:0070::/60
Wlan-ups-adm 2001:1234:abc:0080::/60
Wlan-biblioteca 2001:1234:abc:0090::/60

Nota. Direccionamiento a utilizarse en el diseño.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.6 Diseño físico.

El diseño físico de la red muestra cuales equipos se utilizan para BYOD, además las
conexiones necesarias para este diseño formando una topología en estrella extendida,
este diseño se muestra en la figura 29.

51
 Topología física de la solución.

Figura 29. Topología física de la solución.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.7 Integración de los equipos.

En la integración de los equipos con el ISE es necesario tomar en cuenta algunos

aspectos para su correcta operatividad.

52
4.7.1 Integración ISE y Active Directory.

Integración ISE y Active Directory.

ACTIVE DIRECTORY
ISE

Figura 30. Integración ISE y Active Directory.

Elaborado por: Andrea Díaz y Danilo Lamar.

Antes de conectar ISE con el dominio de Active Directory (AD), se debe comprobar
lo siguiente: ISE y Active Directory deben estar sincronizados en tiempo, si hay un
firewall entre ISE y AD, algunos puertos deben estar abiertos para permitir la
comunicación entre los dos, si la fuente de Active Directory tiene varios dominios, se
debe garantizar la existencia de relaciones de confianza entre el dominio de ISE y los
otros dominios con recursos a los que necesite tener acceso, el servidor DNS que se
configura en el ISE debe ser capaz de resolver los nombres de dominio en el origen
de la identidad de AD, el servidor DNS que está en el servidor de AD también debe
ser configurado en el ISE, el nombre de usuario de AD que se preste mientras se
unen a un dominio deber ser definido en AD y debe tener cualquiera de los siguientes
permisos (dominio, creación o eliminación de objetos, permisos de usuarios y
grupos) y comprobar que el servidor de AD no resida detrás de un traductor de
direcciones de red y que no tiene una traducción de direcciones de red.

4.7.1.1 Grupos de identidad de Active Directory

El grupo de identidad es una lista lógica utilizada para criterios de valoración de

grupos en función de sus perfiles. Los dispositivos que pasan por el proceso de
aprovisionamiento y el registro se agregan al grupo de identidad de registro de ISE.
El grupo de identidad se utiliza en las políticas de autorización para asignar
privilegios de acceso a la red en los puntos finales o para aplicar otras reglas.
También se pueden mover a otros grupos de identidad, como la identidad de grupo
Lista Negra, que se utiliza cuando un dispositivo se pierde o ha sido robado. Se
pueden crear varios grupos en el AD. La tabla 38 destaca un ejemplo.

53
Tabla 30.
Ejemplo de políticas en AD.

Política Identidad Grupo de ad Perfil Permiso

Personal_AccesoCompleto Registrados BYOD_Admin Cualquier S.O. Completo
Personal_AccesoParcial_1 Registrados BYOD_Docentes Android Parcial
Personal_AccesoParcial_2 Registrados BYOD_Estudiantes Android Parcial
Personal_SoloInternet No registrados Invitados Cualquier S.O. Internet

Nota. Ejemplo de política con Active Directory.

Elaborado por: Andrea Díaz y Danilo Lamar.

ISE permite al administrador de red seleccionar grupos específicos y los atributos de

AD. Esto permite que los tiempos de búsqueda sean más rápidos al autenticar un
usuario. También ayuda a asegurar que, cuando el administrador crea una política
relacionada con grupos de AD, el administrador tiene que mirar a través de solo una
pequeña lista en lugar de cada grupo en Active Directory.

4.7.1.2 Pasos para la configuración de Active Directory.

A continuación se describen los pasos a seguir para la configuración del AD:

1. Iniciar Windows Active Directory en Windows Server.

2. Definir el nombre de dominio completo (Fully Qualified Domain Name,
FQDN) del AD durante la instalación por ejemplo servidor.ups.com.
3. Crear un grupo “Admin” y asociar un usuario perteneciente a este grupo y
crear otro grupo “Docentes” y asignar un usuario a este grupo. Una cuenta de
administrador (creado por defecto en AD) será usada por ISE para unirse al
dominio, donde se podrá editar, modificar, importar usuarios y grupos en AD.
4. Realizar un ping al servidor de AD ya que ISE debería ser accesible para este
servidor con el fin de que ISE pueda unirse al dominio de AD.

4.7.1.3 Pasos para la configuración de ISE.

A continuación se listan los pasos a seguir en la configuración del ISE:

1. ISE debe unirse al dominio definido en el servidor de AD.

2. En ISE el servidor DNS debe estar configurado para que apunte a la dirección
IP de AD, ya que el resolverá el nombre de dominio de AD a través de esta

54
 dirección IP. Después de esto se reiniciarán todos los procesos en el ISE en
aproximadamente 10 minutos de tiempo de inactividad de la red. Luego de
esto se confirmará el reinicio exitoso de todos los procesos de ejecución.
3. Una vez guardada la configuración se debe realizar una prueba de conexión.
En esta prueba se confirmará la accesibilidad al controlador de dominio y la
sincronización.
4. Una vez conectado el ISE al AD se deben importar los grupos del AD al ISE.
5. Definir una política de autenticación en el ISE de tal manera que cada usuario
que inicie de forma remota un dispositivo se autentique con el ISE-AD.

4.7.2 Integración ISE y Wireless LAN Controller (WLC)

Integración ISE y Wireless LAN Controller.

WIRELESS LAN
ISE CONTROLLER

Figura 31. Integración ISE y Wireless LAN Controller.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la integración de estos dos equipos se deben tener en cuenta algunos aspectos los
cuales serán descritos a continuación en cada tema.

4.7.2.1 Pasos para integrar WLC a ISE.

A continuación se describe los pasos para integrar WLC a ISE:

1. Desde ISE ingresar en Administración>Recursos de red>Dispositivos de red

y llenar los siguientes parámetros del WLC:
a. Nombre: ingresar el nombre del WLC.
b. Dirección IP: asignada al WLC.
c. Habilitar las herramientas de autenticación.
d. Habilitar protocolo: radius.
e. Contraseña: contraseña compartida cisco.
2. Una vez guardada la entrada del WLC se debe confirmar que el controlador
este en la lista de dispositivos agregados.

55
4.7.2.2 Pasos para integrar ISE a WLC.

ISE junto con el WLC deben estar configurados para permitir 802.1X y la
característica CoA para los puntos finales.

1. Ingresar en el WLC, Seguridad>Autenticación>Nuevo.

2. Ingresar los parámetros:
a. Dirección IP del servidor ISE.
b. Clave secreta compartida: cisco.
c. Soporta RFC 3576 (CoA): habilitar (por defecto).
d. Todo lo demás: por defecto.
3. Seleccionar RADIUS Accounting>añadir nuevo.

4.7.2.3 Pasos para configurar ISE para autenticación inalámbrica.

1. Desde ISE ingresar a Política > Autenticación

2. Escoger la opción Dot1X > Wired_802.1X
3. Agregar condición de adicionales ingresando a Condición Compuesto>
Wireless_802.1X.
4. Establecer la condición expresa de que OR, esta permitirá escoger una
autenticación tanto alámbrica como inalámbrica.
5. Aceptar los usuarios internos por defecto Wireless_802.1X.

4.7.2.4 Creación de interfaz dinámica en el WLC.

Se crean interfaces dinámicas para distinguir entre los tráficos de invitados y

usuarios registrados.

1. Controlador>Interfaces
a. Nombre de interfaz: empleados.
b. Vlan id: número de la vlan asignada.

4.7.2.5 Añadir IEEE 802.1X en el WLC.

Aquí se requieren los siguientes pasos:

1. Desde WLC ir a WLAN> crear nuevo.

56
 2. Ingresar nombre de perfil, SSID, ID.
3. Para la configuración de WLAN>ficha general, utilizar lo siguiente:
a. Política radio: All.
b. Grupo/ Interfaz: administración.
c. Todo lo demás: por defecto.
4. WLAN>pestaña seguridad>Layer 2, utilizar lo siguiente:
a. Seguridad Capa 2: WPA+WPA2.
b. Política WPA”/encriptar: Habilitar/AES.
c. Administración de llave de autenticación: 802.1X.
5. WLAN>seguridad>ServidorAAA> seleccionar:
a. Servidor de autenticación/Contabilidad: habilitado.
b. Dirección de servidor: dirección IP del servidor ISE.
6. WLAN>opciones avanzadas elegir:
a. Permitir AAA anular: habilitado.
b. Estado NAC: Radius NAC.
7. WLAN>General seleccionar:
a. Estado: habilitado.

4.7.2.6 Estado de postura.

El cumplimiento de estado (postura) de un punto final puede ser:

 UNKNOWN (desconocido): No hay datos que fueron recogidos con el fin de

determinar la postura, nuevo cliente.
 NONCOMPLIANT (no cumple): se realizó una evaluación de la postura y
uno o más requisitos fallo, todo trafico bloqueado.
 COMPLIANT (cumple): la estación cumple con todos los requisitos
obligatorios, se permite todo el tráfico.

4.7.2.7 Configuración global en el WLC.

Aquí se deben tomar en cuenta dos aspectos:

1. Asegúrese de que el servidor RADIUS tiene RFC3576 (CoA) activado, que

este activado por defecto.

57
 2. Desplácese hasta Listas de Control de Seguridad>Access, cree ACL en el
WLC dependiendo de los tres diferentes estados de postura del dispositivo.

4.7.3 Integración ISE y Adaptive Security Appliance (ASA).

Integración ISE y Adaptive Security Appliance.

ADAPTIVE SECURITY
APPLIANCE
ISE

Figura 32. Integración ISE y Adaptive Security Appliance.

Elaborado por: Andrea Díaz y Danilo Lamar.

Es fundamental esta integración ya que se propone tener un equipo destinado hacia la

seguridad de la red.

4.7.3.1 Registro de ASA con ISE

Para registrar ASA con ISE, se realizan los siguientes pasos:

1. Inicie sesión en el ISE.

2. Seleccione Administración>Dispositivos de red.
3. Haga clic en agregar.
4. Introduzca la dirección IP de Cisco ASA.
5. Cuando ISE se utiliza para la autenticación de usuarios, introduzca una calve
secreta compartida en el área de Configuración de autenticación. Al
configurar el servidor AAA en el ASA, proporcione la clave secreta
compartida que se crea en el ISE. El servidor AAA en el ASA utiliza esta
clave secreta compartida para comunicarse con el ISE.
6. Especifique un nombre de dispositivo, ID de dispositivo, una contraseña y un
intervalo de descarga de ASA.

4.7.3.2 Creación de un grupo de seguridad en ISE.

Al configurar el servidor de AAA en el ASA, se debe especificar un grupo, este

grupo debe estar configurado para utilizar el protocolo RADIUS. Para crear un grupo
de seguridad en el ISE, se realiza los siguientes pasos:

58
 1. Inicie sesión en el ISE.
2. Elija Política > Política Elementos > Resultados > Seguridad Grupo de
Acceso > Grupo de seguridad.
3. Añadir un grupo de seguridad para ASA. Con esto ISE crea una entrada en
grupos de seguridad con una etiqueta.
4. En la sección Seguridad de Acceso a grupo, configurar las credenciales de
identificación de dispositivos y una contraseña para el ASA.

4.7.4 Integración ISE y Cisco Catalyst 6506-E/3750G/2960S Series Switch

Integración ISE y Cisco Catalyst 6506-E/3750G/2960S Series Switch.

SWITCH 6506-E
ISE
SWITCH 3750G/2960S

Figura 33. Integración ISE y Cisco Catalyst 6506-E/3750G/2960S Series Switch.

Elaborado por: Andrea Díaz y Danilo Lamar.

Los swicthes permiten la autenticación 802.1X para los dispositivos del cliente e
interactúan con ISE utilizando el protocolo RADIUS. Con base en los resultados del
proceso de autenticación, un usuario puede tener acceso restringido o completo a la
red mediante la asignación de VLAN y una lista de control de acceso descargable
(DACL). La configuración flexible de autenticación permite utilizar tanto 802.1X y
MAC de omisión de autenticación (MAB) como un mecanismo de reserva.

Se requieren los siguientes pasos para configurar acceso al switch para AAA:

1. Habilitar la autenticación, autorización y contabilidad (AAA).

2. Crear un método de autenticación para 802.1X (uso por defecto todos los
servidores RADIUS para la autenticación).
3. Crear un método de autorización para 802.1X (habilita RADIUS para la
aplicación de políticas).
4. Crear un método de contabilidad para 802.1X (proporciona información
adicional acerca de las sesiones con ISE).

59
Se requieren los siguientes pasos para configurar acceso al switch para RADIUS:

1. Agregar servidor ISE al grupo RADIUS.

2. Configurar en el servidor ISE un tiempo muerto (15 segundos en total, 3
reintentos de 5 segundos de tiempo de espera).
3. Configurar el switch para enviar atributos específicos del proveedor de Cisco.
4. Configurar los atributos específicos del proveedor de Cisco.
5. Configurar la dirección IP para el uso de mensajes RADIUS.

Se requieren los siguientes pasos para configurar acceso al switch para 802.1X:

1. Activar 802.1X global.

2. Habilitar el seguimiento de dispositivos IP.

Los siguientes pasos para permitir a 802.1X ser flexible en la autenticación:

1. Configure la autenticación prioritaria Dot1X sobre MAB.

2. Configure la orden de autenticación prioritaria Dot1X sobre MAB.
3. Habilitar autenticación flexible.
4. Habilitar la relación con más de una dirección MAC en el puerto físico.
5. Configure la acción de violación (en caso de fallar la autenticación).
6. Habilitar el puerto para 802.1X.
7. Habilitar el puerto para MAB.
8. Configure temporizadores para MAB.
9. Encienda la autenticación.
10. Habilitar la ACL por defecto al puerto.
11. Habilitar el servidor http y https.

4.8 Políticas.

Es necesario definir políticas de seguridad y calidad de servicio que permita que el

acceso a la red sea confiable. En la tabla 31 se puede observar un ejemplo de política
que se puede implantar en la red debido al BYOD.

60
Tabla 31.
Ejemplo de políticas en ISE.

Usuario Dispositivo Método de Lugar Tiempo Política

Acceso

Invitados Personal Inalámbrico Bloques Lunes a Vlan Invitados

Campus Sur Viernes
8:00–16:00
Estudiantes Personal Inalámbrico Bloques Lunes a Vlan Estudiantes
Campus Sur Viernes Acl Estudiantes
7:00–19:00
Docentes Personal o Inalámbrico Bloques Cualquier Vlan Docentes
institucional Campus Sur momento Acl Docentes

Administrativos Personal o Inalámbrico Bloques Cualquier Vlan Administrativos

institucional y cableado Campus Sur momento Acl Administrativos

Nota. Ejemplo de los aspectos que se involucran en una política de ISE.

Elaborado por: Andrea Díaz y Danilo Lamar.

BYOD hace posible que la comunidad salesiana del Campus Sur pueda utilizar
distintos dispositivos para acceder a la red.

Etapas de BYOD.

Figura 34. Etapas de BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.9 Enrolamiento y aprovisionamiento.

Los usuarios de la institución deben estar previamente enrolados y pertenecer a un

grupo en el AD.

61
1. El usuario debe conectarse al SSID: BYOD_Aprovisonamiento, que lo redirige a
un portal de registro, donde se realizará la autenticación.
2. Cuando se ha autenticado correctamente, empieza la inscripción de certificados y
el perfil de aprovisionamiento, el cual adquiere información sobre el dispositivo,
entonces el servidor de políticas asigna una política al usuario además, lo puede
cambiar a un segundo SSID seguro.
3. Para conexiones posteriores, el dispositivo utilizara el SSID seguro.
4. Los dispositivos de invitados que no pasen el proceso de aprovisionamiento, se
conectarán a un SSID de invitados el cual podrá estar configurado solo para
brindar acceso a internet a este grupo de usuarios.

Ejemplo de aprovisionamiento.

Figura 35. Ejemplo de aprovisionamiento.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.10 Flujo de conectividad.

ISE evalúa certificados digitales, la pertenencia a grupos de Active Directory, tipo de

dispositivo, utilizando herramientas, de esta manera el acceso se basa en credenciales
y otras condiciones. ISE puede tener diferentes niveles de acceso a la red
configurados, los cuales se pueden hacen cumplir con ACLs, SGT o Vlan.

62
 Flujo de conectividad.

Dispositivo Personal

Wireless
EAP_TLS?

Autenticación
correcta

Certificado
valido?

En Active
Grupo AD?
Directory?

Acceso denegado Acceso completo Acceso parcial Solo internet

Figura 36. Flujo de conectividad.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.10.1 Acceso a la red.

La capacidad de Cisco ISE para hacer cumplir la política de acceso a la red hace que
sea fácil para los administradores de TI proporcionar a los usuarios una experiencia
de acceso de red confiable. Cisco ISE permite realizar la autenticación de usuarios,
perfiles de dispositivo, y la evaluación de la postura en una red inalámbrica
configurada para la autenticación IEEE 802.1X. La autenticación y la autorización
para los usuarios inalámbricos se explican en la figura 37.

Autenticación y autorización.

Dispositivos
Sw. Core
AD
ISE
Ap Sw. Acceso WLC

1. Autenticación 802.1x
2. Verificación
de grupos AD.
3. Inscripción de
4. Aplicar ACL y estado de postura. certificados.
5. Consigue la solicitud HTTP.
6. URL de redireccionamiento recibido
del tipo de acceso.

7. Validación de postura iniciante NAC. 8. ACL deja al trafico llegar al servidor ISE.

9. Postura OK, re autenticación del cliente.

10. Envia EAP-START.

11. Re autenticación 802.1x.

12. Tipo de acceso (nueva ACL, Vlan o SGT).

Figura 37. Autenticación y autorización.

Elaborado por: Andrea Díaz y Danilo Lamar.

63
1. El usuario se autentica correctamente mediante 802.1X.
2. ISE valida al usuario en la base de datos de AD.
3. Una vez autenticado correctamente inicia la inscripción de certificados.
4. Acepta el acceso RADIUS que redirige a una URL con ACLs de pre-
autenticación, que provee direcciones y puertos IP o VLAN de cuarentena.
5. Cliente será redirigido a la URL dependiendo el tipo de acceso que tenga y se
pondrá en un modo de solicitud de estado postura, hasta que la validación de
postura sea completa.
6. El agente NAC en el cliente inicia la validación de la postura: el agente envía una
solicitud de descubrimiento HTTP por el puerto 80, que el controlador redirige a
una URL proporcionada por el tipo de acceso. ISE conoce que el cliente está
tratando de llegar a él y responde directamente al cliente. De esta manera el
cliente se entera de la IP de ISE y, a partir de ahora, el cliente se comunica
directamente con ISE.
7. El WLC permite este tráfico debido a la ACL configurada para permitirlo. En el
caso de anulación de VLAN, se crea un puente para que el tráfico llegue al ISE.
8. Cuando el cliente de ISE completa la evaluación, un RADIUS CoA con servicio
de re autenticación es enviado al WLC, que inicia la re autenticación del cliente
(mediante el envío de EAP- START). Cuando la re autenticación tiene éxito, ISE
envía el tipo de acceso por ejemplo (Acceso Aceptado) con una nueva ACL (si
existe) y no redirige a ninguna URL o acceso VLAN.
9. En lugar de ACL descargables, tenemos que utilizar ACL pre configuradas en el
WLC. ISE envía el nombre de ACL, que ya está configurado en el WLC.

4.11 Funciones de ISE.

ISE provee de varios servicios a la red, a continuación se menciona algunos de ellos:

RADIUS con autenticación, autorización, contabilidad, incluye 802.1X y MAC
autenticación bypass (MAB), autenticación Web (local, central y registro de
dispositivos), servicios de portal de visitantes y patrocinadores, representación de
estado de transferencia (monitoreo), registro de dispositivos y aprovisionamiento,
acceso a grupo de seguridad SGT (TrusSec), Postura (cumplimiento de punto final y
remediación) y administración de dispositivos móviles (MDM de terceros).

64
4.12 Funciones de ASA.

ASA es un firewall de siguiente generación en el cual tiene algunos servicios:

Coincidencia de aplicaciones, cortafuego basado en identidad, filtrado URL,
prevención de intrusos, solución de gestión intuitiva, control y visibilidad de
aplicaciones (AVC), servicios para restringir el uso de aplicaciones Web (WSE), y
sistema de prevención de intrusos (IPS).

4.13 Red piloto con BYOD.

La red piloto con BYOD de la Universidad Politécnica Salesiana da a conocer cómo

se lleva a cabo una administración de los dispositivos móviles en el cual se puede
observar la gestión de políticas por dispositivo o usuario, seguridad, calidad de
servicio y otros servicios adicionales que se pueden tener en un ambiente con
BYOD. Para la simulación se eligió productos de la marca Cisco Meraki en
comparación a otros proveedores como HP, Citrix y Aruba debido a varios factores
como son: costo de equipos, manejabilidad de las configuraciones, la infraestructura
de Cisco Meraki provee de servicios similares a los de la infraestructura de Cisco
propuesto en el diseño de red, exponer que BYOD se puede llevar a cabo en otras
infraestructuras de red. En la tabla 32 se puede ver los factores por lo cual se eligió
Cisco Meraki.

Tabla 32.
Factores para la elección de equipos para la red piloto.

Factores Cisco HP Citrix Aruba Meraki

Intervención de hardware y software. O O O O X
Costo de hardware o software. O O O O X
Costo de licenciamiento. + + + + X
Costo de garantías. + + + + X
Manejabilidad Configuraciones. X X X + +
Similitudes con el diseño de red propuesto. O O + + O
Adaptabilidad a los dispositivos de usuarios. O O O O O
Accesibilidad a los recursos o equipos por + + + + X
parte de proveedores.

Nota: X= bajo, O = alto y + = medio.

Elaborado por: Andrea Díaz y Danilo Lamar.

65
4.13.1 Diseño de la red piloto.

El diseño de la red piloto está enmarcado en la utilización de equipos, los cuales

puedan ser similares a los propuestos en el diseño de red. En la tabla 33 se muestra la
comparativa entre los equipos de la propuesta y los equipos de la red piloto.

Tabla 33.
Representación de equipos.

Equipos de red propuesta Equipos de red piloto

ASA/ WSE/AVC Cisco MDM en Cloud y System Manager
ASA 5555-X

ASA/WSE/AVC 5515
BOOT ALARM
ACTIVE VPN Adaptive
PS1 HD1 Security
Appliance
PS0 HD0 0

ISE ASA 5555-X Cisco ISE 3355 Series

0 2 4 Identity Services Engine

ISE 3415 Cisco ISE 3415

1 3 5
ReWritable

WLC
Cisco 5500 Series Wireless Controller

WLC 5508 RP SP USB1 USB2 EN EN 1 2 3 4 5 6 7 8 PS1 PS2

Model 5508

SYS ACT

Wireless LAN Controller 5508

IBM X3650
Swicth 6506-E
WS-X6848-SFP 48 PORT GIGABIT ETHERNET-SFP

STATUS

FAN 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
STATUS WS-X6148-GE-TX 1 11 1314 23 25 35 3738 47
2 12 24 26 36 48

STATUS 48 PORT 10/100/1000 SWITCHING MODULE PHONE

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
BASE-T 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

VS-SUP2T-10G

DISK 0
SFP UPLINK 10GE UPLINK
EJECT 4 5

5 1 2 3 USB
STATUS ID SYSTEM ACTIVE PWR MGMT
RESET

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4 LINK

MANAGEMENT CONSOLE
LINK LINK LINK LINK

C6506-E-FAN

WS-C6506-E

INPUT 1 INPUT 1
100-240V ~ 100-240V ~
16A 16A
60/50 Hz 60/50 Hz

INPUT 2 INPUT 2
100-240V ~ 100-240V ~
16A 16A
60/50 Hz 60/50 Hz

Switch de Core 6506

L L
INSTAL INSTAL
RUN RUN
INPUT FAN OUTPUT INPUT FAN OUTPUT
OK OK FAIL OK OK FAIL

1 2 1 2

CISCO SYSTEMS, INC. SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/ CISCO SYSTEMS, INC. SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/
REMOVE POWER SUPPLY. FASTENER MUST BE FULLY REMOVE POWER SUPPLY. FASTENER MUST BE FULLY
ENGAGED PRIOR TO OPERATING POWER SUPPLY. ENGAGED PRIOR TO OPERATING POWER SUPPLY.

Switch 3750G Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

SYST 1X 15X 17X 31X 33X 47X 1 3

RPS
MASTR
STAT
DUPLX
SPEED
STACK 2 4

Switch 3750 MODE 2X 16X 18X 32X 34X 48X

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Switch 2960 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
Catalyst 2960 Plus Series PoE

SYST 1X 11X 13X 23X 25X 35X 37X 47X

RPS 1 2

Meraki Z1
STAT
DPLX
SPEED
PoE

Switch 2960
3 4
2X 12X 14X 24X 26X 36X 38X 48X
MODE POWER OVER ETHERNET

Access Point 3700p

UA UA
D

L BAND L BAND

Access Point 3702P

UA UA
D

L BAND L BAND

Nota. Representación entre los equipos en el diseño de red y la red piloto.

Elaborado por: Andrea Díaz y Danilo Lamar.

La figura 38 se muestra la topología de la red piloto.

Red Piloto.

INTERNET
MDM y System
Manager de Meraki

Red UPS
Campus Sur

Meraki Z1

Clientes

Figura 38. Red piloto.

Elaborado por: Andrea Díaz y Danilo Lamar.

66
4.13.2 Proveedores.

Cisco Meraki es una plataforma de gestión en la nube para infraestructuras de red,

los servicios están organizados en centros de datos que tienen certificados tipo TIER
1, SAS70 Tipo II / SASE16, un acuerdo de nivel de servicio (LSA) del 99,99%
(Cisco Meraki, 2015). Algunas características de Cisco Meraki son: replicación de
configuraciones en tiempo real entre los centros de datos dentro de 60 segundos, la
configuración de red y las estadísticas son almacenadas en la nube, todos los datos
sensibles son encriptados y almacenados, se ocupa 1 Kb/s para los datos de
administración entre el equipo y la nube de Cisco Meraki, el espacio de
almacenamiento es ilimitado en la nube de Cisco Meraki para las configuraciones
(Dynacom, 2015).

Telconet es la empresa que presta servicios de internet y datos a las Universidad

Politécnica Salesiana, se tiene un ancho de banda de 120 Mbps, los cuales son
repartidos para todo el campus por parte del departamento de TI (Departamento TI
UPS, 2013). La prueba piloto se realizó en los laboratorios de Cisco donde se tiene 6
Mbps de velocidad tanto en subida como en bajada, esta velocidad fue utilizada en la
realización de la red piloto y administrada para cada una de las redes inalámbricas
creadas en el equipo Cisco Meraki. Para la parte de WAN la red trabaja con una
interfaz de 1 GbE, la cual tiene 6 Mbps de velocidad, en la LAN se tienen varias
velocidades según las políticas aplicadas a las VLAN creadas en la configuración.

4.13.3 Equipos para la red piloto.

En las siguientes tablas se muestran los componentes usados para la red piloto.

Tabla 34.
Equipos de red.

Componente Función
Meraki Dashboard Configuración del equipo de red vía web.
MDM de Meraki en Cloud Gestión de los equipos móviles de clientes.
Meraki Z1 Accesibilidad a configuraciones de equipo y al MDM.

Nota. Equipos utilizados para la red piloto.

Elaborado por: Andrea Díaz y Danilo Lamar.

67
Tabla 35.
Equipos para pruebas.

Dispositivos Función Versión de software

Samsung Galaxy S3 mini.
Samsung Galaxy Tab 3
Laptop Hp.
Laptop Toshiba.
Laptop Toshiba.
Dispositivo móvil.
Dispositivo móvil.
Dispositivo inalámbrico/alámbrico.
Dispositivo inalámbrico/alámbrico.
Dispositivo inalámbrico/alámbrico.
Android 4.1.2
Android 4.2.2
Microsoft Windows 7, 64 bits.
Microsoft Windows 7, 64 bits.
Microsoft Windows 8, 64 bits.

Nota. Equipos para las pruebas en la red piloto.

Elaborado por: Andrea Díaz y Danilo Lamar.

Para la red piloto los equipos e infraestructura que se ocupó presentan algunas
características. En la tabla 36 se menciona al MDM de Meraki.

Tabla 36.
MDM de Meraki.

 Gestión centralizada en la nube.

 Gestión unificada de dispositivos multiplataforma.
 Gestión de software y aplicaciones.
 Control de acceso a la red.
 Aplicación de restricciones y políticas de seguridad.
 Seguimiento de inventario y estados de dispositivos.
 Geolocalización.
 Calidad de servicio (QoS).
 Visibilidad de la red en tiempo real.
 Seguimiento de seguridad para clientes.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

En la tabla 37 se presentan las características del equipo Cisco Meraki Z1.

Tabla 37.
Cisco Meraki Z1.

Rendimiento Control y Seguimiento

 Firewall: 50 Mbps  Rendimiento, conectividad, monitoreo y
 VPN: 10 Mbps alertas por correo electrónico.

68
Interfaces
 Interfaz WAN: 1x GbE
 Interfaz LAN: 4x GbE
 1x USB 2.0 puerto para 3G
conectividad 4G.
Servicio de red y seguridad
 Estado Firewall, 1:1 NAT, DMZ
 Auto (site-to-site IPsec) VPN
 Cliente VPN (IPsec L2TP),
 Límite de 2 usuarios autorizados (sólo
con la autenticación alojada en Meraki)
 Nivel de aplicación (Capa 7) Análisis de
tráfico y conformación.
 Múltiple WAN IP, PPPoE, NAT.
 Soporte VLAN y servicios DHCP.
 Enrutamiento estático.
 Cuarentena de usuario y dispositivo.
Integración Inalámbrica
 4 SSID.
 2 x 802.11a/b/g/n (2.4Ghz o 5Ghz).
 Velocidad de datos máxima 600 Mbit/s.
 2x2 MIMO
 4x Antenas dipolo internas (ganancia:
3dBi – 2.4 Ghz, 4 dBi – 5Ghz)
 Autenticación WPA2-PSK
Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.
4.13.4 Similitudes y diferencias de la red piloto a implementarse.
Las características implantadas en la red piloto están relacionadas con la red
inalámbrica de la UPS, la tabla 38 muestra estas similitudes y las diferencias.
 Historial de detalles por puerto y
estadísticas de uso por cliente.
 Estadísticas de uso de aplicaciones.
/  Registros de cambios de nivel de
organización para el cumplimiento y
gestión del cambio.
 Túnel VPN y monitoreo de la latencia.
 Descubrimiento de activos de la red e
identificación de usuarios.
 Correos electrónicos periódicamente con
métricas de clave de utilización.
 Integración Syslog.
Diagnostico Remoto
 Captura de paquetes remotos.
 Diagnóstico en tiempo real y
herramientas de solución de problemas.
 Registro de eventos agregados con
búsqueda instantánea.
Administración
 Gestión a través de Internet.
 Redes cableadas e inalámbricas.
 Despliegue remoto.
 Actualizaciones de firmware
automáticas y parches de seguridad.
 Gestión centralizada de políticas.
 Org-nivel de autenticación de dos
factores y simple sign-on.
69
TABLA 38.
Similitudes y diferencias de la red inalámbrica UPS con la red piloto.

Características Red inalámbrica UPS y

Red piloto
Similares Diferentes
Redes inalámbricas x
Direccionamiento x
Creación de usuarios x
Porta cautivo x
Firewall x
Control de ancho de banda x
Calidad de servicio x
Vlans x
MDM x
Asignación de tráfico x
Grupo de políticas x
Control de acceso x
Alertas x
Administración x

Nota. Similitudes y diferencias entre la red inalámbrica de la UPS y la red piloto.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.13.5 Conexiones del equipo Cisco Meraki Z1.

El equipo Cisco Meraki Z1 consta de 4 puertos LAN y 1 puerto para Internet, en la

siguiente figura 39 se muestra las conexiones.

Conexiones del equipo.

Figura 39. Conexiones del equipo.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.13.6 Creación de la cuenta en Cisco Meraki.

Para poder administrar al Cisco Meraki Z1 se debe crear una cuenta en la nube de
Meraki. La figura 40 muestra la creación de la cuenta.

70
 Creación de la cuenta para la administración del equipo.

Figura 40. Creación de la cuenta para la administración del equipo.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 41 se tiene la bienvenida a la cuenta en Meraki.

Bienvenida de la cuenta de Meraki.

Figura 41. Bienvenida de la cuenta de Meraki.

Elaborado por: Andrea Díaz y Danilo Lamar.

4.13.7 Registro de Cisco Meraki Z1.

Luego de crear la cuenta en Meraki se necesita registrar el equipo, verificar el estatus

de la licencia y crear una red en la cual se va a reclamar al equipo registrado para
empezar a realizar las configuraciones. En las siguientes figuras puede observar este
proceso.

Registro del equipo.

Figura 42. Registro del equipo.

Elaborado por: Andrea Díaz y Danilo Lamar.

71
 Verificación de la licencia.

Figura 43. Verificación de la licencia.

Elaborado por: Andrea Díaz y Danilo Lamar.

Creación de la RED BYOD.

Figura 44. Creación de la RED BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

Creación de la red MDM BYOD.

Figura 45. Creación de la red MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

72
4.13.8 Direccionamiento de la red piloto.

El direccionamiento para la red piloto se basa en la utilización del direccionamiento

IP del tipo clase B 172.17.X.X, el cual también utiliza la universidad. Además se
especificaron otros parámetros que se presentan a continuación:

 Nombre: Administrativos, IP de red 172.17.20.0/24, ID de VLAN 20.

 Nombre: Docentes, IP de red 172.17.30.0/24, ID de VLAN 20.
 Nombre: Estudiantes, IP de red 172.17.40.0/24, ID de VLAN 20.
 Nombre: Invitados, IP de red 172.17.50.0/24, ID de VLAN 20.

4.13.9 Seguridades en la red piloto.

Las seguridades configuradas en la red piloto son las siguientes: uso del estándar
IEEE 802.1X, página de autorización para el ingreso a internet, control de acceso a la
red mediante NAC, configuración para el uso de uno o varios dispositivos en la red,
políticas de seguridad por parte del MDM (requerimiento de ingreso, chequeo de
antivirus y antispyware, contraseña de dispositivo, verificado de cortafuegos, etc).

4.13.10 Ventajas y desventajas de Cisco Meraki.

Cisco Meraki tiene un sistema de gestión intuitivo que permite al personal de TI

realizar configuraciones de manera rápida y sencilla con una administración en
tiempo real de la infraestructura de red con fácil escalabilidad y reducción de costos
en la implementación, también se pueden crear políticas de seguridad para la red
inalámbrica y la red Ethernet que permitan proteger a los dispositivos
(multiplataforma) y los datos.

Algunos inconvenientes que presenta una arquitectura de red con Meraki es la

incompatibilidad con sistemas operativos de poca demanda, además cuando no se
tenga accesos a la nube de Meraki los servicios dejaran de estar disponibles
temporalmente como también las herramientas de configuración y diagnóstico.

Las configuraciones realizadas sobre la RED BYOD y el MDM BYOD, se presentan

desde el anexo diez hasta el anexo diecisiete.

73
 CAPÍTULO 5
ANÁLISIS DE PRUEBAS Y OBTENCIÓN DE RESULTADOS

5.1 Pruebas y resultados.

Las pruebas se las obtuvo tanto del usuario como del administrador de red.

 Administrador

En la figura 46 se observa un resumen general de toda la red.

Visión general de la red.

Figura 46. Visión general de la red.

Elaborado por: Andrea Díaz y Danilo Lamar.

La figura 47 muestra los parámetros del equipo y además otras herramientas útiles
para administrar la red.

Estado del equipo.

Figura 47. Estado del equipo.

Elaborado por: Andrea Díaz y Danilo Lamar.

74
La figura 48 muestra los dispositivos conectados a la red.
Clientes RED BYOD.

Figura 48. Clientes RED BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 49, con la captura de paquetes se observa el tráfico que pasa por ese
dispositivo.

Captura de paquetes.

Figura 49. Captura de paquetes.

Elaborado por: Andrea Díaz y Danilo Lamar.

La figura 50 muestra el log de eventos en el cual se observa que hechos han sucedido
en la red, además que nos entregan detalles de los mismos.

Log de eventos.

Figura 50. Log de eventos

Elaborado por: Andrea Díaz y Danilo Lamar.

75
En la figura 51 muestra los clientes que están en el MDM BYOD y algunos detalles
de los dispositivos conectados.

Lista de clientes en el MDM BYOD.

Figura 51. Lista de clientes en el MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 52 muestra los clientes en un mapa y su estado.

Ubicación geográfica de los clientes.

Figura 52. Ubicación geográfica de los clientes.

Elaborado por: Andrea Díaz y Danilo Lamar.

76
La figura 53 muestra el log de eventos en el MDM y algunos detalles de estos
eventos.

Log de eventos en MDM BYOD.

Figura 53. Log de eventos en MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

La figura 54 muestra un inventario de todo el software que contiene los distintos

dispositivos conectados al MDM BYOD.

Inventario de software.

Figura 54. Inventario de software.

Elaborado por: Andrea Díaz y Danilo Lamar.

77
La figura 55 muestra una opción para ingresar comandos en un cliente.

Línea de comandos.

Figura 55. Línea de comandos.

Elaborado por: Andrea Díaz y Danilo Lamar.

En la figura 56 muestra un resumen general de la red MDM BYOD.

Resumen de la red MDM BYOD.

Figura 56. Resumen de la red MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

78
 Revisión de un cliente específico en Windows.

Figura 57. Revisión de un cliente específico en Windows.

Elaborado por: Andrea Díaz y Danilo Lamar

79
 Revisión de un cliente específico en Android.

Figura 58. Revisión de un cliente específico en android.

Elaborado por: Andrea Díaz y Danilo Lamar.

80
  Usuario

A continuación se muestran las pruebas de conexión en los clientes, las cuales,

dependiendo del dispositivo, instalarán un agente o un app.

Instalación de agente en computador o laptop para MDM BYOD.

a) Inicio de instalación. b) Acepto terminos de licencia

c) Instalacion en proceso. d) Fin de instalación.

Figura 59. Instalación de agente en computador o laptop para MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

Instalación de app en teléfono móvil para MDM BYOD.

a) Inicio de instalación. b) Dispositivo no enrolado. c) Ingreso de clave para enrolar.

d) Enrolando dispositivo. e) Enrolameinto satisfactorio. f) Administrador de app.

Figura 60. Instalación de app en teléfono móvil para MDM BYOD.

Elaborado por: Andrea Díaz y Danilo Lamar.

81
 Pruebas en la red administrativa.

a) Software para chequeo de equipo. b) Página de bienvenida a la red.

c) Prueba de velocidad. d) Navegación exitosa.

Figura 61. Pruebas en la red administrativa.

Elaborado por: Andrea Díaz y Danilo Lamar.

Pruebas en la red docentes.

a) Software para chequeo de equipo. b) Página de bienvenida.

c) Prueba de velocidad. d) Navegación exitosa

Figura 62. Pruebas en la red docentes.

Elaborado por: Andrea Díaz y Danilo Lamar.

82
 Pruebas en la red estudiantes.

a) Software de chequeo de equipo. b) Página de bienvenida.

c) Prueba de velocidad. d) Navegación exitosa.

Figura 63. Pruebas en la red estudiantes.

Elaborado por: Andrea Díaz y Danilo Lamar.

El acceso a la red inalámbrica por parte de los usuarios tiene una concurrencia
promedio de 245 usuarios, para tener una certeza en la encuesta del 90% se necesita
una muestra mayor o igual a 54 usuarios conectados a la red inalámbrica piloto.

𝑍 2 𝑝𝑞𝑁
𝑛=
𝑁𝑒 2 + 𝑍 2 𝑝𝑞

Se realizó una encuestó a 76 estudiantes de la UPS Campus Sur, los cuales fueron
subdivididos para los cuatro tipos de usuarios que la red piloto (Administrativos,
Docentes, Estudiantes e Invitados) y conectados con sus dispositivos de manera
concurrente a la red dependiendo de su tipo de usuario. En las pruebas realizadas a
los dispositivos de los usuarios midieron algunas características de BYOD, a saber:

• Políticas de red.
• Seguridad en la red.
• Administración de dispositivos móviles.
• Administración de la red.

La guía de encuesta que se aplicó consta en el anexo dieciocho y en el anexo

diecinueve se encuentran el resumen de los resultados.

83
En la figura 64 se pueden observar gráficamente como están los resultados.

Gráfica de los resultados.

Figura 64. Gráfica de los resultados.

Elaborado por: Andrea Díaz y Danilo Lamar.

 Las preguntas 1, 2, 3 hacen referencia al tipo de dispositivo y características

del equipo que tiene los usuarios en la UPS Campus Sur. De la pregunta 1
con 84.21% de los estudiantes tiene por lo menos un dispositivo móvil, el
10.52% posee dos dispositivos móviles y que un 5.26% ostenta tres
dispositivos móviles. Además el 59.21% tiene un Smartphone y que el
57.89% prefieren el sistema operativo es Android.
 Las preguntas 2, 7, 9, 14 y 16 tratan acerca de las políticas implantadas en la
red de aquí se tiene que, con. La pregunta 2 implica la variedad de
dispositivos móviles que pudieron acceder a la red, esto implica que no se
tenía restricción alguna en relación a los dispositivos y se tuvo que con un
59.21% lo realizo con un Smartphone, con un 19.73% con una tablet y con un
21.05% con una laptop. La pregunta 7 con un 88.15% refleja cuan fácil fue
acceder a la red esto debido a las políticas impuestas en cada red inalámbrica
de la red piloto, tanto solo el 11.84% tuvo algún tipo de complicaciones. La
pregunta 9 con un 71.05% indica que el enrolamiento a la red fue rápido para
los usuarios y con un 28.94% fue lento. la pregunta 14 trata acerca de la
descarga de archivos donde se pudo observar que el 65.78% pudo realizar
descargar, mientras el 32.89% no pudo realizar la descarga, debido a las
políticas implantadas en las configuraciones de ancho. Y finalmente la

84
 pregunta 16 evidencia que el 56.57% de usuarios no notaron los cambios
realizados en las políticas mientras que un 43.43% si las noto.
 Las preguntas 4, 5, 6, 8 y 21 están relacionadas acerca de la seguridad que se
tenía en la red. La pregunta 4 que decía si tenía problemas con acceder por
primera vez a la red tuvo 96.05% de que no hubo problemas. La pregunta 5
refleja el número de usuarios que pudieron acceder a cada una de las redes
inalámbricas, siguiendo el debido proceso para su acceso el cual era tener su
usuario y contraseña individual, cumpliendo de esta manera con la seguridad
implantada en la red piloto y se pudo observar que todos ingresaron a cada
una de sus redes respectivas. La pregunta 6 refleja que tan solo el 22.36%
tuvo algún tipo problema al cambiarse de red. La pregunta 8 muestra si el
dispositivo fue enviado a un sitio de remediación de antivirus esto para
proteger a la red y se tiene que tan solo el 19.73% fue enviado al sitio de
remediación. Y finalmente en la pregunta 21 se realizó la prueba de apagar el
dispositivo y volverlo a encender para ver si tenían algún tipo de problema al
conectarse a cada una de las redes inalámbricas creadas en la red piloto y se
encontró que el 84.21% de los usuarios no tuvieron ningún tipo de problema,
esto implica que una vez ya tenido su usuario y contraseña se vuelve más
fácil y seguro el acceso a la red.
 Las preguntas 17, 18 y 19 están relacionadas con la administración de los
dispositivos móviles. La pregunta 17 trata cerca del envió de notificaciones a
los distintos dispositivos móviles y se tiene que para un 65.78% fue
satisfactorio. La pregunta 18 implica cuan satisfactorio fue la localización de
dispositivos y se tiene un nivel del de satisfacción del 67.10%. Y finalmente
la pregunta 19 preguntó si él envió de app a los distintos dispositivos fue
exitoso, hallando que un 78.94% lo lograron.
 Las preguntas 10, 11, 12, 13 15 y 20 están relacionadas con la administración
de la red, teniendo en la pregunta 10 los distintos anchos de banda para cada
una de las redes inalámbricas creadas. En la pregunta 11 se preguntó si se
tenía una percepción de la velocidad de navegación con el 77.63% los
usuarios respondieron que fue rápida. La pregunta 12 muestra cuán rápido se
cargaba una página solo de texto, el 75% de los usuarios respondieron que lo
percibieron rápido. La pregunta 13 se relacionó con la reproducción de video

85
 hallando que 67.10% logro reproducirlo. La pregunta 15 averiguó sobre una
muestra de 48 usuarios sobre las descargas donde el 58.33% de los usuarios
tenían una descarga rápida y el 41.66% su descarga fue lenta. Cabe destacar
que los 28 usuarios restantes no tenían permisos para realizar descargas. Y
finalmente la pregunta 20 que indaga el funcionamiento de las aplicaciones
en tiempo real expone que un 75% fue bueno.
 La pregunta 22 inquiere si se recomendaría la implementación de BYOD en
la Universidad evidenciando un 84.21% de aceptación para llevar a cabo esta
implementación.
 Finalmente la pregunta 23 recoge algunas recomendaciones que hacen los
usuarios a la red, lo cual no es cuantificado, pero si se lo resumido de manera
general en la tabla 46.

5.2 Análisis de factibilidad técnica

En la factibilidad técnica estuvo destinado a recolectar información sobre los equipos

tecnológicos que posee la organización y la posibilidad de hacer uso de los mismos
en el desarrollo y la dable implementación de BYOD y de ser necesario, los
requerimientos tecnológicos que deben ser adquiridos. La tabla 39 muestra toda esa
información.

Tabla 39.
Hardware y software.

Hardware Software Observaciones

IBM X3650M3 ---------- Satisface los requerimientos de la propuesta, en la parte de
hardware y en la parte de software puede ser actualizado a un
sistema operativo más actual o trabajar con el mismo.
ISE 3415 1.2 Cumple con las características mostradas en el capítulo 4.
WLC 5508 7.5 Cumple con las características mostradas en el capítulo 4.
ASA 5515-X 9.1.1 Cumple con las características mostradas en el capítulo 4.
Switch 6506-E 15.1 Cumple con las características mostradas en el capítulo 4.
Switch 3750G 12.2(25)SEE2 Algunos equipos poseen la UPS y otros hay que adquirirlos.
Switch 2960S 12.2(50)SE5 Cumple con las características mostradas en el capítulo 4.
AP 3702P 7.6 Cumple con las características mostradas en el capítulo 4.

Nota. Hardware y software para el diseño de la red.

Elaborado por: Andrea Díaz y Danilo Lamar.

86
La tabla 40 muestra el cableado de red que tiene la universidad y si esta cumple con
los lineamientos del diseño.

Tabla 40.
Cableado de red.

Cableado Par trenzado / Fibra óptica Observaciones

Vertical Multimodo 62.5 / 125 um Se conservaría el actual sistema de cableado, este
cumple con las características del diseño.
Horizontal Categoría 6 A / 7A Se conservaría el actual sistema de cableado, ya que
cumple con las características del diseño.

Nota. Cableado de red y sus observaciones.

Elaborado por: Andrea Díaz y Danilo Lamar.

La tabla 41 muestra la experiencia técnica que tiene el personal de TI de la

institución en manejar la infraestructura de red.

Tabla 41.
Experiencia técnica.

Personal de TI Observaciones
Director de TI Sede Ing. Juan Carlo Domínguez, trabaja en la universidad desde 2005, posee
Quito certificaciones en Cisco CCNA, CCNP, CCDA, SWSA, SASAA y
administración de equipos Blue Coat.
Responsable de Ing. Diego Soria, trabaja en la universidad desde 2010, posee certificaciones
infraestructura en virtualización de servidores en Windows y Linux, certificados de CCNA.
Asistente de redes Ing. Milton Ruiz, trabaja en la universidad desde 2011, posee certificaciones
de sede relacionadas con infraestructura de tecnología como cableado estructurado,
fibra óptica, certificados Cisco.
Técnico de soporte Alejandro Moreno Encargado de la parte técnica de TI de la institución,
de campus trabaja en la universidad desde 2013, posee certificados de CCNA.

Nota. Experiencia por parte del personal de TI de la universidad.

Elaborado por: Andrea Díaz y Danilo Lamar.

Es viable implementar una infraestructura de red para BYOD sobre la red

inalámbrica de la UPS, ya que la misma actualmente consta con una infraestructura
funcional, en la cual se pueden agregar equipos nuevos, los cuales estarían
involucrados en el desarrollo y puesta en funcionamiento del proyecto, además que el
personal de TI tiene las capacidades para operar y mantener el sistema propuesto.

87
5.3 Análisis de costos.

Este análisis de costos se basa en dar un valor aproximado de cuanto le va a costar la

posible implementación para BYOD a la institución, cabe mencionar que este estudio
no tiene fines de lucro, sino el mejoramiento del servicio a toda la comunidad
salesiana. A continuación se muestra los costos de la propuesta.

 Costos de equipos.

En la tabla 42 se muestran los costos referenciales del equipamiento cuyos valores

fueron obtenidos de cotizaciones de proveedores de equipamiento Cisco.

Tabla 42.
Detalle del costo de equipos de la propuesta de diseño.

Ítem Descripción Cantidad Valor Valor total

unitario
1 Switch Catalyst 3750G 48 Puertos 4 6 $ 8,512.45 $ 51,074.70
Puertos SFP WS-C3750G-48TS-E.
2 Wireless LAN Controller 5508 1 $ 19,039.21 $ 19,039.21
AIR-CT5508-50-K9.
3 Access Point 3700 19 $ 1,265.33 $ 24,041.28
AIR-CAP3702I-A-K9.
4 ASA 5515-X 6 puertos SFP 1 $ 10,355.53 $ 10,355.53
ASA5515-2SSD120-K9, ASA-IC-6GE-
SFP-C.
5 Cisco ISE SNS-3415-K9 1 $ 10,148.04 $ 10,148.04
CON-SNT-SNS3415.
Total $ 114,658.76

Nota. Detalle del costo de los equipos.

Elaborado por: Andrea Díaz y Danilo Lamar.

 Costo de licenciamiento y garantía.

En la tabla 43 se muestran los costos referenciales de licenciamiento, está dado para

cinco años y las garantías están para doce meses.

Tabla 43.
Costo de licencias y garantías.

Ítem Descripción Cantidad Valor

1 Switch: WS-C3750G-48TS-E, garantía SMARTNET 6 $ 5,336.70
8X5XNBD.
2 WLC: AIR-CT5508-50-K9, garantía SMARTNET 1 $ 3,769.23
8X5XNBD.

88
 3 AP: AIR-CAP3702I-A-K9, garantía SMARTNET 19 $ 1,469.54
8X5XNBD.
4 ASA: ASA5515-2SSD120-K9, garantía SMARTNET 1 $ 12,778.02
8X5XNBD, licencia ASA 5515-X AVCWSE IPS 5 Year.
5 ISE: licencias L-ISE-BSE-1k, L-ISE-ADV-S-1k, ISE- 1 $ 38,030.52
ADV-5YR-1k y garantía SMARTNET 8X5XNBD.
Total $ 61,384.01

Nota. Costos de licencias y garantías.

Elaborado por: Andrea Díaz y Danilo Lamar.

 Costo de instalación y configuración.

La tabla 44 muestra los costos de configuraciones e instalación de los equipos.

Tabla 44.
Detalle del costo de instalación y configuración.

Descripción Valor
25% del valor total de equipos, licenciamiento y garantías. $ 45,933.35

Nota. Costo de instalación y configuración de los equipos.

Elaborado por: Andrea Díaz y Danilo Lamar.

 Costo total.

El costo final del proyecto que representaría para la universidad implementar una
infraestructura de red para BYOD, se muestra a continuación.

Tabla 45.
Detalle del costo total del proyecto.

Descripción Valor
Costos de equipos $ 114,658.76
Costos de licenciamiento y garantías. $ 61,384.01
Costo de instalación y configuraciones. $ 45,933.35
Costos por insumos extras $ 7,690.67
Subtotal $ 229,666.76
IVA (12%) $ 27,560.01
TOTAL $ 257,226,77

Nota. Costo total del diseño de red.

Elaborado por: Andrea Díaz y Danilo Lamar.

89
Este análisis de costo se basó solo en los equipos que le hacen falta a la universidad
para poder tener BYOD, a continuación se muestra en la tabla 46 los valores totales
si se tuviera que invertir en la compra si no existieran equipos de red.

Tabla 46.
Costo total de equipos de red nuevos.

Descripción Valor
Equipos y licencias. $ 539,857.75
Instalación y configuración. $ 134.964.44
Subtotal $ 674.822.19
IVA (12%) $ 80,978.66
Total $ 755,800.85

Nota. La siguiente tabla muestra el costo de equipos nuevos si la universidad no tuviera equipamiento.
Elaborado por: Andrea Díaz y Danilo Lamar.

Como se puede observar si se tuviera que cambiar toda la infraestructura de red y

poner nueva se tendría que invertir una suma superior, en comparación a solo
comprar el equipamiento faltante con el cual solo se invertiría un 34.03% para
cumplir con la propuesta de red y reutilizando los equipos que tiene en la actualidad
la universidad. El anexo treinta y treinta uno muestran los costos de la cotización.

5.4 Aspectos esenciales del impacto de la propuesta.

Para los aspectos esenciales de la propuesta se tomaron en cuenta los beneficios que
pueden traer la posible implementación de BYOD en la institución. Por tal motivo se
clasificaron en:

Beneficios Tangibles: los benéficos tangibles aportados por el proyecto propuesto

son:

 Facilidad de escalabilidad y administración para la red inalámbrica.

 Mayor confidencialidad y autenticación para la red inalámbrica debido al uso
del protocolo IEEE 802.11X.
 Los datos que recolecten el ISE y el RADIUS sobre los clientes y la carga
que generen, permitirán tomar de decisiones a nivel administrativo para
mantener o mejorar el servicio de red inalámbrica en la Universidad.

90
  Con BYOD aumenta la capacidad de control y seguimiento de todos los
actores (dispositivos y equipos) que usan la red inalámbrica.
 La disminución en los costos y en el tiempo se puede dar con BYOD al
escalarlo de la red inalámbrica a la red alámbrica.

Beneficios Intangibles: entre los beneficios intangibles del proyecto propuesto se

pueden incluir:

 Mejor servicio en la parte de la red inalámbrica para los docentes,

administrativos y estudiantes debido a la creación de perfiles, por lo que se
consigue identificación de los dispositivos y un mejor uso de los recursos
provistos por la red.
 Realzar la imagen de la Universidad Politécnica Salesiana Campus Sur al ser
pionera fomentando los cambios tecnológicos al implementar una tendencia
global como lo es BYOD.

91
 CONCLUSIONES

 Se levantó la información de la red inalámbrica de la UPS encontrándose que:

los switch 6506-E, switch 3750G, switch 2960S y el servidor X3650M3
pueden ser utilizados para la implantación de BYOD.
 Para mejorar el servicio de la red al implementar la red piloto con BYOD se
generaron políticas sobre cada uno de los dispositivos entre las cuales estaba:
calidad de servicio, restricciones al acceso a páginas web, limitar el ancho de
banda, seguridad sobre los dispositivos.
 Para cumplir BYOD en la red inalámbrica de la UPS es necesario
incrementar políticas sobre cada grupo de usuarios que tienen acceso a la red
además de adquirir infraestructura como switch, acces point, ISE, ASA y
WLC de forma que los administradores del departamento de Tecnologías de
la información puedan administrar la red.
 La propuesta de BYOD con Cisco requiere que toda la infraestructura de red
este basada en esta marca, además hubo otros factores para determinar la
utilización de estos equipos como son: la reutilización de equipo actual para
la reducción de costos, la mejor integración de los equipos y el manejo de
estos equipos por parte del departamento de TI de la Universidad. Si se
requiere crecer a nivel de licenciamiento estas se las puede obtener a través
de Cisco.
 La red piloto se diseñó con equipos de Cisco Meraki debido a que los costos
ofrece una solución viable para la red piloto. La solución de Cisco Meraki
brinda la facilidad de gestionar diferentes tipos de políticas basados en
seguridad, control del acceso, QoS, perfiles y revisión de posturas de los
dispositivos, etc.
 Mediante el análisis de costos se pudo determinar que el proyecto es viable
puesto que la universidad cuenta con equipos que pueden ser utilizados para
BYOD por lo que la inversión que la universidad debería realizar para
implementar BYOD seria de un 34.03%, en vez de una inversión del 100% si
no tuviera equipos de red.
 Se determinó una aceptación de la red piloto en orden del 95% por parte de
los usuarios que la utilizaron.

92
 La granularidad que se presentó con la red piloto al saber cómo estaban los
distintos dispositivos de los usuarios, es un beneficio que presenta BYOD
para el departamento de TI ya que con esto se pueden determinar afinar las
políticas implantadas sobre la red.
 Con la red piloto en el browser se observó en un 100% cómo estaban todos
los dispositivos de los usuarios, conociendo así la postura de los dispositivo,
para enviarlo o no, al sitio de remediación.
 Del análisis de los resultados obtenidos de las pruebas realizadas a la red
piloto de BYOD a una población de 76 estudiantes de la UPS campus SUR el
84,21% de los estudiantes se conectó a la red desde un dispositivo que en su
mayoría eran Smartphone y el 15,79% lo hace con dos o tres dispositivos, en
un 71,05% el enrolamiento a la red fue rápido, la aplicación de políticas se
cumplieron en un 59.21% para Smartphone, 19,73% para tablet y 21,05%
para laptops. En relación a políticas el 56,57% de los usuarios no notaron los
cambios de las políticas aplicadas mientras que el 43,43% si notaron los
cambios. En la seguridad de la red el 96,05% no tuvo ningún inconveniente,
solamente el 19,73% fue enviado a remediación. Se obtuvo un 70,6% de éxito
en la administración de los dispositivos con envío de notificaciones,
localización de dispositivos y envío de app. También según lo indicado por
los usuarios hubo un 84,21% de aceptación del proyecto para ser
implementado en la Universidad.
 Con BYOD se puede tener entornos virtuales en los cuales puede existir
colaboración a nivel de la comunidad Salesiana, debido a esto se tendría que
migrar, o a una infraestructura para virtualización, o algún tipo de solución en
nube. Todo esto dependerá del enfoque que la Universidad le dé a la solución
de BYOD propuesta.

93
 RECOMENDACIONES

 Se exhorta a usar BYOD por la granularidad que ofrece ya que se puede

generar políticas para un mayor control de la red.
 Para tener un mayor control de los dispositivos móviles, se recomienda luego
de la implementación de la propuesta y viendo las necesidades de usuarios
tener un administrador de dispositivos móviles (MDM), en este caso ISE
soporta la adición de terceras compañías para este entorno, se pude utilizar el
MDM de Cisco Meraki, ya que como se pudo observar en la red piloto ofrece
muchas características y opciones para los distintos dispositivos móviles,
además al ser de Cisco se tiene una garantía en el correcto funcionamiento de
este entorno ISE-MDM de esta forma se tendrá un entorno BYOD con más
seguridad tanto para la red como para los usuarios.
 Se pone a consideración generar una infraestructura de virtualización de
escritorios y aplicaciones para tener un mismo ambiente de trabajo en la
universidad de esta forma los recursos serán compatibles y seguros con el
dispositivo del usuario.
 Para tener un BYOD de acceso unificado, se recomienda aplicar esta
infraestructura a nivel alámbrico, para esto se debe acceder a la compra de
nuevos equipos de red.
 Se encomienda implementar soluciones de colaboración (mensajería, video,
etc.), las cuales podrán mejorar la experiencia de todos los usuarios en la red.
 Se incita a llevar una estadística de acceso a los recursos de red, para poder
implantar políticas convenientes sobre los dispositivos de los usuarios.

94
 LISTA DE REFERENCIA

Anderson, N. (29 de Agosto de 2013). Cisco. Obtenido de

http://www.cisco.com/c/en/us/td/docs/ios-
xml/ios/sec_usr_aaa/configuration/15-sy/sec-usr-aaa-15-sy-book/sec-rad-
coa.html

Arbor networks. (2012). Obtenido de

http://www.cioandleader.com/digital_assets/66/DDosmitigationinBYODarcht
itecture.pdf

Aruba. (s.f.). Obtenido de

http://www.arubanetworks.com/pdf/technology/whitepapers/WP_BYOD.pdf

Aruba Networks. (2012). Aruba Networks, Inc. Obtenido de

http://www.arubanetworks.com/pdf/technology/whitepapers/WP_BYOD_ES.
pdf

Avaya. (s.f.). Obtenido de

http://www.syndeticom.com/~syndetic/docs/BYOD/BYODReadinessSolutio
nChecklist.pdf

barners, P. (29 de Enero de 2013). CircleID. Obtenido de

http://www.circleid.com/posts/20130129_reducing_risks_of_byod_with_dns
_based_security_intelligence_part_2/

Cisco. (s.f.). Obtenido de

http://www.cisco.com/c/dam/en/us/products/collateral/security/identity-
services-engine/at_a_glance_c45-692412.pdf

Cisco . (15 de Junio de 2014). Obtenido de

http://www.cisco.com/web/about/ac79/techtopics/BYOD.html#~us

Cisco. (2010). Cisco. Obtenido de

http://www.cisco.com/web/strategy/docs/gov/collab_workspace.pdf

Cisco. (Marzo de 2011). Word Press. Obtenido de

http://albinogoncalves.wordpress.com/:

95
 http://albinogoncalves.files.wordpress.com/2011/03/ciscoc2ae-smart-
business-architecture-sba-borderless-networks-para-organizaciones.pdf

Cisco. (28 de Abril de 2014). Cisco.com. Obtenido de Cisco.com:

http://www.cisco.com/c/en/us/products/switches/catalyst-6500-series-
switches/datasheet-listing.html

Cisco Bring Your Own Device (BYOD) CVD. (27 de Septiembre de 2013). Cisco .
Obtenido de
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Netwo
rks/Unified_Access/BYOD_Design_Guide.html

Cisco Meraki. (30 de Enero de 2015). Cisco Meraki. Obtenido de Cisco Meraki:
https://meraki.cisco.com/trust

Cisco System . (2014). Cisco Meraki. Obtenido de

https://meraki.cisco.com/solutions/byod

Cisco Systems. (10 de Enero de 2014). Obtenido de

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-
Global_ES.pdf

Cisco Systems. (3 de Junio de 2014). Cisco. Obtenido de Cisco:

http://www.cisco.com/c/en/us/td/docs/security/ise/1-
2/compatibility/ise_sdt.pdf

Cisco Systems, Inc. (2012). Cisco Systems, Inc. Obtenido de

http://www.cisco.com/web/ES/pdf/Beyond_BYOD_to_the_Optimal_Experie
nce_for_Any_Workspace_Solution_Overview.pdf

Citrix. (s.f.). Obtenido de https://lac.citrix.com/solutions/bring-your-own-

device/features.html

Citrix. (2013). Citrix. Obtenido de

http://www.citrix.com/content/dam/citrix/en_us/documents/products-
solutions/guidelines-for-deploying-citrix-byod-solutions.pdf

96
Creative Commons. (2007). Redes Inalambricas en los Países en Desarrollo. Suecia:
Booksprint.

Departamento TI UPS. (2013). Análisis de la infraestructura de red de datos de la

Universidad Politécnica Salesiana Sede Quito. Quito.

Diego, M., & Jonathan, J. (2013). Análisis, diseño y propuesta de implementacion de

un portal cautivo para la red inalámbrica de la Universidad Politécnica
Salesiana sede Quito Campus Sur. quito.

Domínguez, J. C. (29 de Abril de 2014). Información sobre la red e la UPS. (A. Díaz,
& D. Lamar, Entrevistadores)

Dynacom. (2015). Dynacom.

Galeon. (12 de Marzo de 2014). Obtenido de

http://ieeestandards.galeon.com/aficiones1573579.html

Geier, J. (2008). Implementing 802.1X Security Solutions for Wired and Wireless
Networks. Indianapolis: Wiley Publishing, Inc.

HP. (s.f.). Obtenido de

http://h17007.www1.hp.com/us/en/networking/solutions/technology/byod/por
tfolio.aspx#uwwn

HP. (febrero de 2013). HP. Obtenido de HP Press Kit:

http://www.hp.com/hpinfo/newsroom/press_kits/2013/GPC2013/IMC_BYO
D_Appliance_Whitepaper.pdf

HP Networking. (2013). Hubtechnical. Obtenido de Hubtechnical:

http://www.hubtechnical.com/Collateral/Documents/English-
US/CenterForDigitalEduation_Simplifying_BYOD_in_Education_Brief.pdf

IBM. (s.f.). IBM. Obtenido de IBM: http://www-

03.ibm.com/systems/hardware/browse/amdpro/index.html

Isaacson, N. (2013). Obtenido de

http://ilta.ebiz.uapps.net/productfiles/productfiles/1501877/SOSPG2.pdf

97
Kaminski, K. (2013). DHSES. Obtenido de http://www.dhses.ny.gov/ocs/awareness-
training-events/conference/2013/documents/presentations/Ken-Kaminski.pdf

Kaspersky. (2013). Kaspersky Lab. Obtenido de

http://www.kaspersky.com/business-security/securing-mobile-endpoints

Kinnear, K. (18 de Mayo de 2014). Ciscolive2014. Obtenido de

https://www.ciscolive2014.com/connect/sessionDetail.ww?SESSION_ID=31
53

Lehembre, G. (2006). Hervé Schauer Consultants. Obtenido de

http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf

Lewis, B., & Davis, P. T. (2004). Wireless Networks for Dummies. Hoboken: Wiley
Publishing, Inc.

Luna, J. S., & Martín, J. F. (2013). La gestión segura de la información en movilidad

ante el fenómeno BYOD:¿Bring Your Own Device = Bring Your Own
Disaster? Revista SiC, 65-73.

Martínez, J. (29 de Noviembre de 2012). Hp Networking. Obtenido de Hp

Networking: http://h30499.www3.hp.com/t5/Infraestructura-Convergente-
de/Ventajas-para-las-empresas-al-integrar-sus-redes-WiFi-y/ba-
p/5871567#.UymcsfmSzX5

Microsoft. (2008). Obtenido de

http://download.microsoft.com/download/6/F/8/6F8EF4EA-26BD-48EA-
BF45-
BFF00A3B5990/Microsoft%20Client%20Virtualization%20Strategy%20Wh
ite%20Paper_final.pdf

Microsoft. (2014). Windows. Obtenido de http://www.microsoft.com/es-

es/windows/enterprise/products-and-technologies/virtualization/operating-
system/default.aspx

Stallings, W. (2005). Wireless Communications and Networks. New Jersey: Pearson

Prentice Hall.

98
Sullivan, D. (2012). Tabletas y Smartphones en las empresas: riesgos y
preocupaciones de gestión. TechTarget, 16.

Telcommunity. (12 de Marzo de 2014). Obtenido de

http://www.telcommunity.com/wp-content/uploads/pdf/redes_wireless.pdf

Tortosa, C. C. (2005). Universidad de Valencia . Obtenido de

http://www.uv.es/~montanan/redes/trabajos/SeguridadWLANs.pdf

TRC. (3 de Abril de 2014). TRC. Obtenido de

http://www.trc.es/documentacion/integracion/TRC_BYOD.pdf

Universidad Iberoamericana. (9 de Marzo de 2014). Obtenido de Universidad

Iberoamericana Ciudad de México:
http://www.ie.uia.mx/tit/ot03/proy14/vpninal.htm

Virtualización. (24 de Noviembre de 2013). Virtualización. Obtenido de

Virtualización: http://www.virtualizacion.com/como-se-encuentra-
actualmente-la-virtualizacion/

Woland, A. T., & Heary, J. (2013). Cisco ISE for BYOD and Secure Unified Access.
Indianapolis: Cisco Press.

99
 ANEXOS

Anexo 1. Características del equipo Cisco 3415 (Identity Services Engine ISE).

Cisco Secure Network Server (SNS) Modelo: SNS-3415-K9

Ranura 1 tarjeta PCIE contiene puertos Ethernet de 1 GB(GigE2 y GigE3).
Puertos Ethernet 1 GB 3 (GigE2), 1 GB 4 (GigE3).
Puertos 1-GB Ethernet 2 (GigE1), USB 2.0.
Procesador 2,4 Ghz, Intel E5-2609 de 4 núcleos.
Memoria RAM 16 GB.
Disco 1 x 600 GB.
Interfaces de red 4 GE.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

100
Anexo 2. Características del equipo Cisco 5508 (Wireless LAN Controller WLC).

Cisco Wireless LAN Controller 5508 Modelo: AIR-CT5508-25-K9

Cantidad de puertos
Protocolo de interconexión de
datos
Protocolo de conmutación
Red/Protocolo de transporte
Protocolo de gestión remota
Capacidad
Características
Algoritmo de cifrado
Método de Autenticación
Cumplimiento de Estándares
Ranuras de expansión
Interfaces
8 Puertos.
Gigabit Ethernet.
Ethernet.
TCP/IP, UDP/IP, ICMP/IP, ARP, FTP, BOOTP, DHCP.
SNMP 1, RMON, Telnet, SNMP 3, SNMP 2c, HTTP, HTTPS, SSH.
25 Puntos de acceso administrables.
Soporta DHCP, BOOTP, ARP, VLAN, Filtro de direcciones MAC.
LEAP, DES, Triple DES, RC4, MD5, AES, 128-bit WEP, 40-bit
WEP, IKE, SSL, TLS, SHA-1, TLS 1.0, 104-bit WEP. WPA,
WPA2, WPA-PSK, AES-CBC.
RADIUS, TACACS, Extensible Authentication Protocol (EAP).
IEEE 802.3, IEEE 802.3U, IEEE 802.1D, IEEE 802.1Q, IEEE
802.1X.
1(1) X Ranura de expansión, 8 (8) x SFP (mini-GNIC).
1 x administración, consola, RJ-45, Ethernet 10 Base-T/100 base-
TX/1000 Base-T, RJ-45 1x USB, consola, 4 pin mini-USB Tipo B, 2
x USB, 4 pin USB Tipo A.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

101
Anexo 3. Características del equipo Cisco 5515-X (Adaptive Security Appliance
ASA).

Cisco ASA 5515-X Modelo: ASA5515-SSD120-K9

Capacidad de procesamiento con inspección de paquetes 1.2 Gbps.
e información de estado
Capacidad de procesamiento con inspección de paquetes 600 Mbps.
e información de estado (multiprotocolo)
ASA rendimiento IPS 400 Mbps.
Capacidad de procesamiento de última generación 350 Mbps.
Triple Data Encryption Standard / Advanced Encryption 250 Mbps.
Standard (3DES/AES) Capacidad de la VPN
Usuarios/nodos Ilimitado.
IPsec VPN 250
Usuarios de Cisco Cloud Web Security 250
Sesiones simultaneas 250,000
Interfaces Virtuales (VLANs) 100
E/S integrada 6 puertos GE.
E/S de ampliación 6 puertos GE o de 6 puertos SFP.
Puertos USB 2.0 2
Puerto serial 1 RJ-45 consola
Memoria 8 GB
Flash mínimo de sistema 8 GB

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

102
Anexo 4. Características del equipo IBM SYSTEM X3650 M3.

IBM SYSTEM X3650 M3

Procesador 6 Core Xeon
Memoria 8 GB.
Disco duro 8 TB.
Memoria de video 16 MB.
Chipset Intel 5520.
Puertos 5 USB, 1 serial, y 2 Gigabit Ethernet.

Nota. (IBM).
Elaborado por: Andrea Díaz y Danilo Lamar.

103
Anexo 5. Características del equipo Cisco Catalyst 6506-E Series Switch.

Cisco Catalyst 6506-E Modelo: WS-C6506-E

Información de la densidad de puertos, módulos e interfaces WAN
Numero de Slot 6
10 Gigabit Ethernet (XENPAK) 20
Gigabit Ethernet (SFP) 242
Gigabit Ethernet (Convertidor Interface gigabit[GBIC]) 82
10/100/1000 Ethernet 241
10/100 Fast Ethernet 480
100BASE-FX 240
FlexWAN (DS-0 a OC-3) 2 Módulos con 4 puertos
adaptables
Puertos OC-3 POS 40
Puertos OC-12 POS 20
Puertos OC-12 ATM 10
OC-48 POS/Puertos de transporte de paquetes dinámico (DPT) 10 POS, 5 DPT
Digital E1/T1 Puertos Troncales 90
Interfaces FXS 360

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

104
Anexo 6. Características del equipo Cisco Catalyst 3750G Series Switch.

Cisco Catalyst 3750G Modelo: WS-C3750G-48PS-E

10/100/1000 Ethernet 48 puertos con PoE.
Gigabit Ethernet (SFP) 4 puertos.
Velocidad de apilamiento 32 Gbps.
Memoria DRAM 128 MB.
Memoria flash 32 MB.
Tecnología innovadora Apilamiento (StackWise).
Enrutamiento IPv6 dinámico.
Características de servicio IPS, multicapas, QoS.
Soporta 200 Puntos de acceso.
Interfaz de administración 1 Puerto RJ-45.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

105
Anexo 7. Características del equipo Cisco Catalyst 2960S Series Switch.

Cisco Catalyst 2960S Modelo: WS-C2960S-48PST-L

10/100/1000 Ethernet 48 puertos con PoE.
Gigabit Ethernet (SFP) 4 puertos.
Velocidad de apilamiento 32 Gbps.
Memoria DRAM 64 MB.
Memoria flash 32 MB.
Tecnología innovadora Apilamiento (StackWise).
Versión del software 12.2 (25).
Tasa de transferencia 0.1 Gbps.
Estándar IEEE 802.3.
Interfaz de administración 1 Puerto RJ-45.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

106
Anexo 8. Características del equipo Cisco Access Point 3702P.

Cisco Aironet 3702P Modelo: AIR-CAP3702P-x-K9

Protocolo de
interconexión de datos
Transferencia de datos
Características
Bandas de frecuencia
Algoritmo de cifrado
Método de autenticación
Antena
Directividad
Interfaces
IEEE 802.11b, IEEE 802.11a, IEEE 802.11g, IEEE 802.11n, IEEE
802.11ac.
1.3 Gbps
PoE, Auto-sensor por dispositivo, Soporte Wi-Fi multimedia (WMM),
tecnología.
2.4Ghz, 5Ghz
AES, TLS, PEAP, TTLS, TKIP, WPA, WPA2
MS-CHAP v.2, Extensible Authentication Protocol (EAP), EAP-FAST.
Interna integrada.
Omnidireccional.
1 x 1000Base-T - RJ-45; 1 x management - RJ-45; 4 x antenna.

Nota. (Cisco).
Elaborado por: Andrea Díaz y Danilo Lamar.

107
Anexo 9. Encuesta 1 Conexión a la red inalámbrica de la UPS.

Tema: Conexión a la red inalámbrica de la UPS

Marque con una X la respuesta correcta según su criterio

Preguntas:

1. Con cuantos dispositivos usted se conecta a la red inalámbrica de la

Universidad

1 dispositivo 2 dispositivos 3 dispositivos

2. Qué tipo de dispositivo/s utiliza usted para conectarse

Smartphone Tablet Laptop

3. Cuál es el sistema operativo de su/sus dispositivo/s

Android iOS Windows

4. Por cuánto tiempo aproximadamente se conecta usted a la red inalámbrica de

la Universidad

1 hora 2 – 3 horas 4 o más horas

108
Anexo 10. Direccionamiento y VLAN.

En esta sección se habilitó la creación de las VLAN, con su respectivo nombre,

direccionamiento, su identificador de VLAN, la política y la asignación de cada
puerto LAN a una VLAN específica cómo se puede observar.

109
Anexo 11. Opciones Inalámbricas.

Las configuraciones realizadas en esta sección se basan en los siguientes parámetros:

nombre, asignamiento de la VLAN, tipo de seguridad en la red inalámbrica, el tipo
de autenticación para esta red y la pauta de visibilidad de la red para los usuarios,
todo esto se configuró para cada una de la redes inalámbricas y se muestra en la
siguiente imagen.

110
Anexo 12. DHCP.

Para el servicio de DHCP las configuraciones realizadas son las siguientes: se

ejecutó el servicio de DHCP y el servicio DNS, se asignó el tiempo de arrendamiento
de la IP y además se habilitaron algunas opciones adicionales que puede tener este
servicio.

111
Anexo 13. Política Administrativos.

Parte uno.

112
Parte dos.

113
Parte tres.

114
Anexo 14. Política Docentes.
Parte uno.

115
Parte dos.

116
Parte tres.

117
Anexo 15. Política Estudiantes.
Parte uno.

118
Parte dos.

119
Parte tres.

120
Anexo 16. Política Navegacion_segura.

121
Anexo 17. Control de Acceso VLAN Administrativos.

122
Anexo 18. Control de Acceso VLAN Docentes.

123
Anexo 19. Control de Acceso VLAN Estudiantes.

124
Anexo 20. Control de Acceso VLAN Invitados.

125
Anexo 21. Página de Bienvenida VLAN Administrativos.

126
Anexo 22. Página de Bienvenida VLAN Docentes.

127
Anexo 23. Página de Bienvenida VLAN Estudiantes.

128
Anexo 24. Usuarios.

En esta sección se configuran los usuarios con algunos parámetros como son:
nombre, email, contraseña y la autorización sobre un SSID en específico.

129
Anexo 25. Aplicaciones.

En este apartado se administra las app que pueden ser instaladas en los dispositivos.

130
Anexo 26. Administración de perfiles móviles.

En esta sección se pueden crear distintos perfiles para los dispositivos, además de
configurar algunas características como: política, alcance en los dispositivos, etc.

131
Anexo 27. Configuraciones.

En esta sección se agregan configuraciones especiales a los dispositivos móviles.

132
Anexo 28. Añadir dispositivos.

En esta ventana se observan los distintos dispositivos que pueden ser añadidos al
MDM BYOD a través de un instalador o una aplicación.

133
Anexo 29. Propietarios.

En este apartado se crea un usuario con algunos parámetros como son: email,
usuario, etiqueta, contraseña y al cual se le puede asignar dispositivos móviles.

134
Anexo 30. Política de seguridad.

Aquí se configuró una política de seguridad para los distintos dispositivos que se
unen al MDM BYOD.

135
Anexo 31. Geo ubicación.

Esta es una política de geo ubicación que puede ser aplicada sobre uno o todos los
dispositivos del MDM BYOD.

136
Anexo 32. Alertas.

Las alertas configuradas en el MDM BYOD son del tipo de conectividad, geo
ubicación, enrolamiento en la red, administración de dispositivos móviles, todas estas
alertas se envían al administrador de red.

137
Anexo 33. Instalador de software.

Para cada sistema operativo el instalador debe estar en .msi para Windows y .pkg
para Mac, y deben estar en un repositorio en la nube, en este caso se usó Dropbox.

138
Anexo 34. Encuesta 2 Conexión a la red piloto BYOD de la UPS.

Tema: Conexión a la red piloto BYOD de la UPS.

Marque con una X la respuesta correcta según su criterio.

1. ¿Con cuántos dispositivos usted se conectó a la red BYOD?

1 dispositivo 2 dispositivos 3 dispositivos

2. ¿Qué tipo de dispositivo/s utilizó usted para conectarse?

Smartphone Tablet Laptop

3. ¿Cuál es el sistema operativo de su/sus dispositivo/s?

Android iOS Windows

4. Al momento que se conectó a la red BYOD_invitados tuvo problemas.

Sí No

5. ¿A qué red inalámbrica o SSID permaneció conectado?

BYOD_invitados BYOD_estudiantes

BYOD_docentes BYOD_administrativos

6. Cuando se cambió de red tuvo problemas para conectarse. Sí No

7. El acceso a la red te parece: Simple Complicado
8. Fuiste enviado a un sitio de remediación de antivirus. Sí No
9. El enrolamiento en la red fue: Rápido Lento
10. ¿Cuál es la velocidad de su conexión o ancho de banda?

1 Mbps 2Mbps 3Mbps Ilimitado

11. La navegación te pareció: Rápida Lenta

12. Accede a este enlace http://www.sidar.org/traducciones/wcag20/es/

La carga de la página fue: Rápida Lenta

139
13. Al reproducir un video fue: Rápido Lento
14. Logro descargar un archivo: Sí No
15. La descarga del archivo fue: Rápida Lenta
16. Al cambiarte de política se notaron los cambios. Sí No
17. Él envió de notificaciones fue satisfactorio. Sí No
18. Su dispositivo fue localizado. Sí No
19. Él envió de app a su dispositivo fue satisfactorio. Sí No
20. En las aplicaciones en tiempo real, su funcionamiento fue:

Bueno Malo

21. Al desconectar o apagar el equipo y volver a conectarse a la red la conexión a la

red tuvo problemas.

Sí No

22. Recomendaría usted implementarse BYOD en la Universidad.

Sí No

23. Qué tipo de recomendación usted podría hacer con respecto a la red piloto.

------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------

140
Anexo 35. Resumen de resultados de la encuesta 2.

RESULTADOS DE LAS PREGUNTAS REALIZADAS EN LA ENCUESTA

1. ¿Con cuántos dispositivos usted se Un dispositivo Dos dispositivos Tres dispositivos
conectó a la red BYOD? 64 8 4
2. ¿Qué tipo de dispositivo/s utilizó usted para conectarse? Smartphone Tablet Laptop
45 15 16
3. ¿Cuál es el sistema operativo de su/sus dispositivo/s? Android iOS Windows
44 16 16
4. Al momento que se conectó a la red BYOD_invitados tuvo problemas. Si No
3 73
5. ¿A qué red inalámbrica o SSID BYOD BYOD BYOD BYOD
permaneció conectado? Invitados Estudiantes Docentes Administrativos
20 21 18 17
6. Cuando se cambió de red tuvo problemas para conectarse. Si No
17 59
7. El acceso a la red es: Simple Complicado
67 9
8. Fue enviado a un sitio de remediación de antivirus. Si No
15 61
9. El enrolamiento en la red es: Rápido Lento
54 22
10. ¿Cuál es la velocidad de su conexión o ancho de 1 Mbps 2 Mbps 3 Mbps Ilimitado
banda? 27 19 21 9
11. La navegación te pareció: Rápida Lenta
59 17
12. Accede a este enlace http://www.sidar.org/traducciones/wcag20/es/ Rápida Lenta
La carga de la página fue: 57 19
13. Al reproducir un video fue: Rápido Lento
51 25
14. Se logró descargar un archivo: Si No
50 26
15. La descarga del archivo fue: Rápida Lenta
28 20
16. Al cambiarse de política los cambios fueron Si No
notorios. 33 43
17. Él envió de notificaciones fue satisfactorio. Si No
50 26
18. Su dispositivo fue localizado. Si No
51 25
19. Él envió de app a su dispositivo fue satisfactorio. Si No
60 16
20. En las aplicaciones en tiempo real, su funcionamiento fue: Bueno Malo
57 19
21. Al desconectar o apagar el equipo y volver a conectarse a la red la Si No
conexión a la red tuvo problemas. 12 64
22. Recomendaría usted implementarse BYOD en la Universidad. Si No
72 4
23. Qué tipo de  Ninguna.
recomendación usted  Aumentar la velocidad.
podría hacer con  Sin restricciones.
respecto a la red.  Aplicarse en la universidad.
 Eficiencia en la conexión.
Elaborado por: Andrea Díaz y Danilo Lamar.

141
Anexo 36. Lista de Procesos.

Con esta herramienta se puede terminar un proceso que se esté ejecutando en un

cliente. A continuación un ejemplo el cual se está eliminando el proceso de
WINDWORD.EXE, con esto se cierra el programa de WORD en el cliente.

142
Anexo 37. Línea de Comandos.

Esta herramienta permite ejecutar comandos en un cliente remoto. A continuación se

muestra un ejemplo.

143
Anexo 38. Reportes de Red.

Esta herramienta brinda la facilidad de saber las conexiones TCP del cliente, su tabla
de ruteo y sus estadísticas TCP. A continuación se muestra la tabla de ruteo del
cliente.

144
Anexo 39. Captura de Pantalla.

Con esta herramienta el administrador de la red puede realizar capturas de pantalla de

los usuarios sin que estos se den cuenta. A continuación se muestra un ejemplo.

145
Anexo 40. Escritorio Remoto.

Esta herramienta permite al administrador de red conectarse al computador de un

cliente desde su ubicación y realizar varias tareas sobre este dispositivo. A
continuación se muestra un ejemplo.

146
Anexo 41. Control de Encendido.

La utilización de esta herramienta permite reiniciar o apagar a cualquier equipo del

usuario que este unido a la red MDM BYOD.

147
Anexo 42. Envió de Notificaciones.

La utilización de esta herramienta permite enviar mensajes a los usuarios, los cuales
podrán ser notificados por el administrador de red si se va a sufrir de algún cambio
en la red u otra información de interés para el cliente o el administrador.

Aquí se puede observar que el mensaje le llegó satisfactoriamente al cliente.

148
Anexo 43. Seguridad Móvil.

Esta herramienta es utilizada para los dispositivos como son: celulares o Tablet, y
tiene algunas funciones de seguridad como se muestra a continuación.

149
Anexo 44. Envió de Notificaciones.

Esta herramienta permite enviar mensajes a los dispositivos móviles. A continuación

se muestran dos ejemplos de notificación.

Notificación simple.

Verificación en el cliente.

Notificación con contenido.

Verificación en el cliente y el contenido al que accedió en este caso la URL enviada.

150
Anexo 45. Localización de dispositivo.

Esta herramienta permite localizar el dispositivo del cliente, mediante una alarma
que se enviará al dispositivo durante un tiempo determinado. A continuación se
muestra su funcionamiento.

Verificación en el dispositivo del cliente.

151
Anexo 46 Cotización Propuesta.

Configset ID: 10534617

Configset Name: BYOD Univ ersidad Salesina
Created On: 27 oc t 2014
Created By: omarmontalv o
Last Update On: 28 oc t 2014
Last Update By: omarmontalv o
Main Currenc y: USD
Pric e List: Global Pric eList-Latin Americ a

ITEM PARTE DESCRIPCION GARANTIA INCLUIDO CANTIDAD PVP

1.0 SNS-3415-K9 Small Secure Netw ork Server for ISE NAC & ACS Applications N/A No 1 $ -
1.0.1 CON-SNT-SNS3415 SMARTNET 8X5XNBD Small Secure Netw ork 12 month(s) No 1 $ 2,129.54
1.1 CAB-9K12A-NA Pow er Cord 125VAC 13A NEMA 5-15 Plug North America N/A No 1 $ -
1.2 SNS-N2XX-ABPCI01 Broadcom 5709 Dual Port 10/100/1Gb NIC w /TOE iSCSI N/A Yes 1 $ -
1.3 SNS-UCS-TPM Trusted Platform Module for UCS servers N/A Yes 1 $ -
1.4 SNS-RAID-ROM5 Embedded SW RAID 0/1/10 8 ports SAS/SATA N/A Yes 1 $ -
1.5 SNS-CPU-2609-E5 2.4 GHz E5-2609/80W 4C/10MB Cache/DDR3 1600MHz N/A Yes 1 $ -
1.6 SNS-4GBSR-1X041RY 4GB 1600 Mhz Memory Module N/A Yes 4 $ -
1.7 SNS-650W-PSU 650W pow er supply for C-series rack servers + cord (configur N/A Yes 1 $ -
1.8 SNS-600GB-HDD 600 GB Hard Disk Drive N/A Yes 1 $ -
1.9 SW-3415-ISE-K9 Cisco ISE Softw are version 1.2.1 for the SNS-3415-K9 N/A No 1 $ 10,148.04
1.10 ISE-SNS-ACCYKIT ISE SNS Accessory Kit N/A Yes 1 $ -
$ -
2.0 L-ISE-BSE-1k= Cisco Identity Services Engine 1k EndPoint Base License N/A No 1 $ 3,352.99
$ -
3.0 L-ISE-ADV-S-1k= Cisco ISE 1k EndPoint Advanced Subscription License N/A No 1 $ -
3.0.1 ISE-ADV-5YR-1k Cisco ISE 5-Yr 1k EndPoint Advanced License 60 month(s) No 1 $ 32,547.99
$ -
NGFW ASA 5555-X w / SW 8GE Data 1GE Mgmt AC 3DES/AES 2
4.0 ASA5555-2SSD120-K9 SSD120 N/A No 1 $ 10,355.53
4.0.1 CON-SNT-A55SDK9 SMARTNET 8X5XNBD ASA 5555-X w ith SW8 12 month(s) No 1 $ 4,051.53
4.1 SF-ASA-CX-9.2-K8 ASA 5500 Series CX Softw are v9.2.1 N/A Yes 1 $ -
4.2 ASA5555AWI5Y ASA 5555-X AVCWSE IPS 5 Year N/A No 1 $ 8,726.49
4.3 SF-ASA-X-9.1.3-K8 ASA 9.1.3 Softw are image for ASA 5500-X Series5585-XASA-SM N/A Yes 1 $ -
4.4 CAB-AC AC Pow er Cord (North America) C13 NEMA 5-15P 2.1m N/A No 1 $ -
4.5 ASA-VPN-CLNT-K9 Cisco VPN Client Softw are (Window s Solaris Linux Mac) N/A Yes 1 $ -
4.6 ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) N/A Yes 1 $ -
4.7 ASA-ANYCONN-CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Softw are N/A Yes 1 $ -
4.8 ASA5555-MB ASA 5555 IPS Part Number w ith w hich PCB Serial is associated N/A Yes 1 $ -
4.9 ASA-PWR-AC ASA 5545-X/5555-X AC Pow er Supply N/A Yes 1 $ -
4.10 ASA5500X-SSD120INC ASA 5512-X through 5555-X 120GB MLC SED SSD (Incl.) N/A Yes 2 $ -
4.11 ASA-PWR-BLANK ASA 5545-X/5555-X Pow er Slot Blank Cover N/A Yes 1 $ -
4.12 ASA-IC-6GE-SFP-C ASA 5545-X/5555-X Interface Card 6-port GE SFP (SXLHLX) N/A No 1 $ 5,078.25
4.12.0.1 CON-SNT-ASASFC1 SMARTNET 8X5XNBD ASA 5545-X/5555-X In 12 month(s) No 1 $ 928.13
4.13 GLC-LH-SMD 1000BASE-LX/LH SFP transceiver module MMF/SMF 1310nm DOM N/A No 2 $ 1,684.29
$ -
5.0 AIR-CT5508-50-K9 5508 Series Controller for up to 50 APs N/A No 1 $ 19,039.21
5.0.1 CON-SNT-CT5508 SMARTNET 8X5XNBD 5508 Series Controller for up to 50 APs 12 month(s) No 1 $ 3,769.23
5.1 SWC5500K9-76 Cisco Unified Wireless Controller SW Release 7.6 N/A No 1 $ -
5.2 AIR-PWR-CORD-NA AIR Line Cord North America N/A Yes 1 $ -
5.3 PI-MSE-PRMO-INSRT Insert Packout - PI-MSE N/A Yes 1 $ -
5.4 LIC-CT5508-BASE Base Softw are License N/A Yes 1 $ -
5.5 LIC-CT5508-50 50 AP Base license N/A Yes 1 $ -
$ -
6.0 AIR-CAP3702I-A-K9 802.11ac Ctrlr AP 4x4:3SS w /CleanAir; Int Ant; A Reg Domain N/A No 19 $ 24,041.28
6.0.1 CON-SNT-3702IA SMARTNET 8X5XNBD 802.11ac Ctrlr AP 4x 12 month(s) No 19 $ 1,469.54
6.1 AIR-AP-BRACKET-1 802.11n AP Low Profile Mounting Bracket (Default) N/A No 19 $ -
6.2 SWAP3700-RCOVRY-K9 Cisco 3700 Series IOS WIRELESS LAN RECOVERY N/A No 19 $ -
6.3 AIR-AP-T-RAIL-R Ceiling Grid Clip for Aironet APs - Recessed Mount (Default) N/A No 19 $ -
$ -
7.0 WS-C3750G-48TS-E Catalyst 3750G 48 Port Data IP Base N/A No 6 $ 51,074.70
7.0.1 CON-SNT-3750X4TS SMARTNET 8X5XNBD Catalyst 3750G 48 Port Data IP Base 12 month(s) No 6 $ 5,336.70
7.1 CAB-3KX-AC AC Pow er Cord for Catalyst 3K-X (North America) N/A No 6 $ -
7.3 S375XVK9T-15002SE CAT 3750G IOS UNIVERSAL WITH WEB BASE DEV MGR N/A No 6 $ -
7.4 CAB-STACK-50CM Cisco StackWise 50CM Stacking Cable N/A Yes 6 $ -
7.5 CAB-SPWR-30CM Catalyst 3750G and 3850 Stack Pow er Cable 30 CM N/A Yes 6 $ -
7.6 C3KX-PWR-350WAC Catalyst 3K-G 350W AC Pow er Supply N/A Yes 6 $ -
$ -

Equipos y Licencias $ 183,733.41

Instalacion y configuracion
$ 45,933.35
Subtotal $ 229,666.76
Iva $ 27,560.01
Total $ 257,226.77

152
Anexo 47. Cotización equipamiento completo.

Co n f ig se t I D :
Co n f ig se t N a me :
Cre a t e d On :
Cre a t e d By:
L a st U p d a t e On :
L a st U p d a t e By:
M a in Cu rre n c y:
Pric e L ist :
10534617
BYOD U n iv e rsid a d Sa le sin a
27 oc t 2014
o ma rmo n t a lv o
28 oc t 2014
o ma rmo n t a lv o
U SD
Glo b a l Pric e L ist -L a t in Ame ric a

ITEM PARTE DESCRIPCION GARANTIA INCLUIDO CANTIDA PVP

1.0 SNS-3415-K9 Small Secure Netw ork Server f or ISE NAC & ACS Applications N/A No 1 $ -
1.0.1 CON-SNT-SNS3415 SMARTNET 8X5XNBD Small Secure Netw ork 12 month(s) No 1 $ 2,129.54
1.1 CAB-9K12A-NA Pow er Cord 125VAC 13A NEMA 5-15 Plug North America N/A No 1 $ -
1.2 SNS-N2XX-ABPCI01 Broadcom 5709 Dual Port 10/100/1Gb NIC w /TOE iSCSI N/A Yes 1 $ -
1.3 SNS-UCS-TPM Trusted Platf orm Module f or UCS servers N/A Yes 1 $ -
1.4 SNS-RAID-ROM5 Embedded SW RAID 0/1/10 8 ports SAS/SATA N/A Yes 1 $ -
1.5 SNS-CPU-2609-E5 2.4 GHz E5-2609/80W 4C/10MB Cache/DDR3 1600MHz N/A Yes 1 $ -
1.6 SNS-4GBSR-1X041RY 4GB 1600 Mhz Memory Module N/A Yes 4 $ -
1.7 SNS-650W-PSU 650W pow er supply f or C-series rack servers + cord (conf igur N/A Yes 1 $ -
1.8 SNS-600GB-HDD 600 GB Hard Disk Drive N/A Yes 1 $ -
1.9 SW-3415-ISE-K9 Cisco ISE Sof tw are version 1.2.1 f or the SNS-3415-K9 N/A No 1 $ 10,148.04
1.10 ISE-SNS-ACCYKIT ISE SNS Accessory Kit N/A Yes 1 $ -
$ -
2.0 L-ISE-BSE-2500= Cisco Identity Services Engine 2500 EndPoint Base License N/A No 1 $ 10,568.25
$ -
3.0 L-ISE-ADV-S-2500= Cisco ISE 2500 EndPoint Advanced Subscription License N/A No 1 $ -
3.0.1 ISE-ADV-5YR-2500 Cisco ISE 5-Yr 2500 EndPoint Advanced License 60 month(s) No 1 $ 110,486.25
$ -
NGFW ASA 5555-X w / SW 8GE Data 1GE Mgmt AC 3DES/AES 2
4.0 ASA5555-2SSD120-K9 SSD120 N/A No 1 $ 22,170.79
4.0.1 CON-SNT-A55SDK9 SMARTNET 8X5XNBD ASA 5555-X w ith SW8 12 month(s) No 1 $ 4,051.53
4.1 SF-ASA-CX-9.2-K8 ASA 5500 Series CX Sof tw are v9.2.1 N/A Yes 1 $ -
4.2 ASA5555AWI5Y ASA 5555-X AVCWSE IPS 5 Year N/A No 1 $ 40,626.00
4.3 SF-ASA-X-9.1.3-K8 ASA 9.1.3 Sof tw are image f or ASA 5500-X Series5585-XASA-SM N/A Yes 1 $ -
4.4 CAB-AC AC Pow er Cord (North America) C13 NEMA 5-15P 2.1m N/A No 1 $ -
4.5 ASA-VPN-CLNT-K9 Cisco VPN Client Sof tw are (Window s Solaris Linux Mac) N/A Yes 1 $ -
4.6 ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) N/A Yes 1 $ -
4.7 ASA-ANYCONN-CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Sof tw are N/A Yes 1 $ -
4.8 ASA5555-MB ASA 5555 IPS Part Number w ith w hich PCB Serial is associated N/A Yes 1 $ -
4.9 ASA-PWR-AC ASA 5545-X/5555-X AC Pow er Supply N/A Yes 1 $ -
4.10 ASA5500X-SSD120INC ASA 5512-X through 5555-X 120GB MLC SED SSD (Incl.) N/A Yes 2 $ -
4.11 ASA-PWR-BLANK ASA 5545-X/5555-X Pow er Slot Blank Cover N/A Yes 1 $ -
4.12 ASA-IC-6GE-SFP-C ASA 5545-X/5555-X Interf ace Card 6-port GE SFP (SXLHLX) N/A No 1 $ 5,078.25
4.12.0.1 CON-SNT-ASASFC1 SMARTNET 8X5XNBD ASA 5545-X/5555-X In 12 month(s) No 1 $ 928.13
4.13 GLC-LH-SMD 1000BASE-LX/LH SFP transceiver module MMF/SMF 1310nm DOM N/A No 2 $ 1,684.29
$ -
5.0 AIR-CT5508-50-K9 5508 Series Controller f or up to 50 APs N/A No 1 $ 19,039.21
5.0.1 CON-SNT-CT5508 SMARTNET 8X5XNBD 5508 Series Controller f or up to 50 APs 12 month(s) No 1 $ 3,769.23
5.1 SWC5500K9-76 Cisco Unif ied Wireless Controller SW Release 7.6 N/A No 1 $ -
5.2 AIR-PWR-CORD-NA AIR Line Cord North America N/A Yes 1 $ -
5.3 PI-MSE-PRMO-INSRT Insert Packout - PI-MSE N/A Yes 1 $ -
5.4 LIC-CT5508-BASE Base Sof tw are License N/A Yes 1 $ -
5.5 LIC-CT5508-50 50 AP Base license N/A Yes 1 $ -
$ -
6.0 AIR-CAP3702I-A-K9 802.11ac Ctrlr AP 4x4:3SS w /CleanAir; Int Ant; A Reg Domain N/A No 19 $ 24,041.28
6.0.1 CON-SNT-3702IA SMARTNET 8X5XNBD 802.11ac Ctrlr AP 4x 12 month(s) No 19 $ 1,469.54
6.1 AIR-AP-BRACKET-1 802.11n AP Low Prof ile Mounting Bracket (Def ault) N/A No 19 $ -
6.2 SWAP3700-RCOVRY-K9 Cisco 3700 Series IOS WIRELESS LAN RECOVERY N/A No 19 $ -
6.3 AIR-AP-T-RAIL-R Ceiling Grid Clip f or Aironet APs - Recessed Mount (Def ault) N/A No 19 $ -
$ -
7.0 WS-C3750X-48T-S Catalyst 3750X 48 Port Data IP Base N/A No 14 $ 136,266.38
7.0.1 CON-SNT-3750X4TS SMARTNET 8X5XNBD Catalyst 3750X 48 Port Data IP Base 12 month(s) No 14 $ 12,452.35
7.1 CAB-3KX-AC AC Pow er Cord f or Catalyst 3K-X (North America) N/A No 14 $ -
7.2 C3KX-NM-1G Catalyst 3K-X 1G Netw ork Module option PID N/A No 14 $ 5,924.63
7.3 S375XVK9T-15002SE CAT 3750X IOS UNIVERSAL WITH WEB BASE DEV MGR N/A No 14 $ -
7.4 CAB-STACK-50CM Cisco StackWise 50CM Stacking Cable N/A Yes 14 $ -
7.5 CAB-SPWR-30CM Catalyst 3750X and 3850 Stack Pow er Cable 30 CM N/A Yes 14 $ -
7.6 C3KX-PWR-350WAC Catalyst 3K-X 350W AC Pow er Supply N/A Yes 14 $ -
$ -
8.0 WS-C2960X-48TS-L Catalyst 2960-X 48 GigE 4 x 1G SFP LAN Base N/A No 7 $ 24,853.80
8.0.1 CON-SNT-WSC248TS SMARTNET 8X5XNBD Catalyst 2960-X 48 G 12 month(s) No 7 $ 2,273.91
8.1 CAB-16AWG-AC AC Pow er cord 16AWG N/A No 7 $ -
$ -
9.0 WS-C6506-E Catalyst 6500 Enhanced 6-slot chassis 12RU no PS no Fan Tray N/A No 1 $ 4,655.06
9.0.1 CON-SNT-WS-C6506 8x5xNBD ServiceCatalyst 6506 12 month(s) No 1 $ 7,106.61
9.1 WS-C6506-E-FAN Catalyst 6506-E Chassis Fan Tray N/A No 1 $ 418.96
9.2 CONNECTOR-KIT Connector Kit N/A No 1 $ -
9.3 VS-S2T-10G Cat 6500 Sup 2T w ith 2 x 10GbE and 3 x 1GbE w ith MSFC5 PFC4 N/A No 1 $ 23,698.50
9.4 MEM-C6K-INTFL1GB Internal 1G Compact Flash N/A Yes 1 $ -
9.5 MEM-SUP2T-2GB Catalyst 6500 2GB memory f or Sup2T and Sup2TXL N/A Yes 1 $ -
9.6 VS-F6K-PFC4 Cat 6k 80G Sys Daughter Board Sup2T PFC4 N/A Yes 1 $ -
9.7 VS-SUP2T-10G Catalyst 6500 Supervisor Engine 2T Baseboard N/A Yes 1 $ -
9.8 S2TIBK9-15102SY Cisco CAT6000-VS-S2T IOS IP BASE FULL ENCRYPT N/A No 1 $ -
9.9 WS-X6748-SFP Catalyst 6500 48-port GigE Mod: f abric-enabled (Req. SFPs) N/A No 1 $ 21,159.38
9.10 MEM-XCEF720-256M Catalyst 6500 256MB DDR xCEF720 (67xx interf ace DFC3A) N/A No 1 $ -
9.11 WS-F6700-CFC Catalyst 6500 Central Fw d Card f or WS-X67xx modules N/A No 1 $ -
9.12 GLC-SX-MMD 1000BASE-SX SFP transceiver module MMF 850nm DOM N/A No 28 $ 11,849.25
9.13 WS-X6748-GE-TX Cat6500 48-port 10/100/1000 GE Mod: f abric enabled RJ-45 N/A No 1 $ 12,695.63
9.14 MEM-XCEF720-256M Catalyst 6500 256MB DDR xCEF720 (67xx interf ace DFC3A) N/A No 1 $ -
9.15 WS-F6700-CFC Catalyst 6500 Central Fw d Card f or WS-X67xx modules N/A No 1 $ -
9.16 WS-CAC-4000W-US 4000Watt AC Pow er Supply f or US (cable attached) N/A No 2 $ 8,463.75
$ -
10.0 GLC-SX-M M D= 1000BASE-SX SFP transceiver module MMF 850nm DOM N/A No 28 $ 11,849.25
$ -

Equipos y Licencias $ 539,857.75

Inatalacion y
$ 134,964.44
configuracion
Subtotal $ 674,822.19
Iva $ 80,978.66
Total $ 755,800.85

153