Proyecto Final - Módulo 4: Acceso a WAN

📌 Introducción

Este proyecto integrador aplicará tecnologías WAN para conectar sedes corporativas de forma segura, implementando QoS para priorizar tráfico crítico, soluciones de banda ancha, y mecanismos de monitorización para garantizar la calidad del servicio.

🔍 Conceptos Clave

🔄 Tecnologías WAN

PPP (Point-to-Point Protocol)
Frame Relay (Legacy)
MPLS (Banda Ancha Empresarial)
VPN (Acceso Remoto Seguro)

🛡️ Seguridad WAN

Autenticación PAP/CHAP
IPSec para tunelización segura
ACLs para filtrado de tráfico

📊 Calidad de Servicio (QoS)

Clasificación y marcado (DSCP, CoS)
Colas prioritarias (PQ, CQ, WFQ)
Políticas de ancho de banda

👁️ Monitorización

SNMP para gestión de red
Syslog para registro de eventos
NetFlow para análisis de tráfico

📋 Enunciado del Proyecto

Escenario Multisitio Empresarial:

Una empresa con sede central y 2 sucursales necesita:

Conexión WAN: PPP con autenticación CHAP entre sede y sucursal 1
Conexión Banda Ancha: MPLS con proveedor para sucursal 2
Seguridad: IPSec para tráfico confidencial
QoS: Priorización de voz (VoIP) y video
Monitorización: Implementar SNMPv3 y NetFlow
Resiliencia: Backup connection con LTE

Diagrama de Topología

    [Sede Central]
       |  (PPP/CHAP)
    [Sucursal 1]
       |
    [MPLS Cloud]
       |
    [Sucursal 2]--[LTE Backup]

🛠️ Implementación Paso a Paso

Paso 1: Configuración PPP con CHAP

En Sede Central:

Router(config)# hostname SedeCentral
SedeCentral(config)# username Sucursal1 password ClaveSegura123
SedeCentral(config)# interface Serial0/0/0
SedeCentral(config-if)# encapsulation ppp
SedeCentral(config-if)# ppp authentication chap
SedeCentral(config-if)# ip address 192.168.100.1 255.255.255.252
SedeCentral(config-if)# no shutdown

En Sucursal 1:

Router(config)# hostname Sucursal1
Sucursal1(config)# username SedeCentral password ClaveSegura123
Sucursal1(config)# interface Serial0/0/0
Sucursal1(config-if)# encapsulation ppp
Sucursal1(config-if)# ppp authentication chap
Sucursal1(config-if)# ip address 192.168.100.2 255.255.255.252
Sucursal1(config-if)# no shutdown

🔒 Seguridad PPP:

CHAP proporciona autenticación mutua
Las contraseñas deben coincidir en ambos routers
Verificar con show interface serial0/0/0
Para troubleshooting: debug ppp authentication

Paso 2: Configuración MPLS con Proveedor

En Sucursal 2 (CE Router):

Sucursal2(config)# interface GigabitEthernet0/0
Sucursal2(config-if)# ip address 203.0.113.2 255.255.255.252
Sucursal2(config-if)# no shutdown

# Configurar ruta estática hacia el núcleo MPLS
Sucursal2(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

# Configurar BGP con proveedor (opcional)
Sucursal2(config)# router bgp 65002
Sucursal2(config-router)# neighbor 203.0.113.1 remote-as 65001
Sucursal2(config-router)# network 172.16.0.0 mask 255.255.0.0

🌐 Consideraciones MPLS:

El proveedor MPLS asigna los rangos IP
Normalmente se usa BGP para intercambio de rutas
Verificar conectividad con ping y traceroute
Para backup, configurar ruta flotante estática con mayor distancia administrativa

Paso 3: Implementación de IPSec VPN

Entre Sede Central y Sucursal 2:

# Configuración IKE (Fase 1)
SedeCentral(config)# crypto isakmp policy 10
SedeCentral(config-isakmp)# encryption aes 256
SedeCentral(config-isakmp)# hash sha512
SedeCentral(config-isakmp)# authentication pre-share
SedeCentral(config-isakmp)# group 24
SedeCentral(config-isakmp)# lifetime 86400
SedeCentral(config)# crypto isakmp key ClaveIPSec123 address 203.0.113.2

# Configuración IPSec (Fase 2)
SedeCentral(config)# crypto ipsec transform-set TSET esp-aes 256 esp-sha512-hmac
SedeCentral(config)# crypto map CMAP 10 ipsec-isakmp
SedeCentral(config-crypto-map)# set peer 203.0.113.2
SedeCentral(config-crypto-map)# set transform-set TSET
SedeCentral(config-crypto-map)# match address 150

# Aplicar crypto map a interfaz
SedeCentral(config)# interface GigabitEthernet0/1
SedeCentral(config-if)# crypto map CMAP

🛡️ Seguridad VPN:

Fase 1 (IKE): Establece SA (Security Association)
Fase 2 (IPSec): Cifra el tráfico de datos
Usar algoritmos fuertes (AES-256, SHA-512)
Verificar con show crypto isakmp sa y show crypto ipsec sa

Paso 4: Implementación de QoS

Clasificación y Priorización de Tráfico:

# Clasificar tráfico
SedeCentral(config)# access-list 101 permit udp any any range 16384 32767 VoIP
SedeCentral(config)# access-list 102 permit tcp any any range 554 8554 Video

# Definir clases de servicio
SedeCentral(config)# class-map match-any VOICE
SedeCentral(config-cmap)# match access-group 101
SedeCentral(config-cmap)# match dscp ef
SedeCentral(config)# class-map match-any VIDEO
SedeCentral(config-cmap)# match access-group 102
SedeCentral(config-cmap)# match dscp af41

# Política de QoS
SedeCentral(config)# policy-map WAN-QOS
SedeCentral(config-pmap)# class VOICE
SedeCentral(config-pmap-c)# priority percent 20
SedeCentral(config-pmap-c)# class VIDEO
SedeCentral(config-pmap-c)# bandwidth percent 30
SedeCentral(config-pmap-c)# class class-default
SedeCentral(config-pmap-c)# fair-queue

# Aplicar política a interfaz WAN
SedeCentral(config)# interface Serial0/0/0
SedeCentral(config-if)# service-policy output WAN-QOS

📊 Estrategia QoS:

Clase	Tráfico	Prioridad	Ancho de Banda
VOICE	VoIP (EF)	Alta (LLQ)	20% garantizado
VIDEO	Videoconferencia (AF41)	Media (CBWFQ)	30% garantizado
DEFAULT	Otro tráfico	Baja (WFQ)	Restante

Verificar con show policy-map interface serial0/0/0

Paso 5: Configuración de Monitorización

1. SNMPv3 para Gestión:

SedeCentral(config)# snmp-server group AdminGroup v3 priv
SedeCentral(config)# snmp-server user Admin AdminGroup v3 auth sha AuthPass123 priv aes 256 PrivPass456
SedeCentral(config)# snmp-server host 192.168.1.100 version 3 priv Admin
SedeCentral(config)# snmp-server enable traps

2. NetFlow para Análisis:

SedeCentral(config)# interface Serial0/0/0
SedeCentral(config-if)# ip flow ingress
SedeCentral(config-if)# ip flow egress
SedeCentral(config)# ip flow-export destination 192.168.1.100 9996
SedeCentral(config)# ip flow-export version 9

3. Syslog para Registros:

SedeCentral(config)# logging host 192.168.1.100
SedeCentral(config)# logging trap informational
SedeCentral(config)# logging source-interface GigabitEthernet0/0

👁️ Visibilidad de Red:

SNMPv3: Seguro (autenticación y cifrado)
NetFlow: Identifica patrones de tráfico
Syslog: Centraliza registros para troubleshooting
Herramientas recomendadas: SolarWinds, PRTG, Nagios

Paso 6: Resolución de Problemas WAN

Comandos clave para troubleshooting:

Problemas de PPP:

show interface serial0/0/0  # Verificar estado LCP/NCP
debug ppp negotiation  # Depurar fase de negociación
debug ppp authentication  # Problemas CHAP/PAP

Problemas de QoS:

show policy-map interface  # Estadísticas de colas
show queueing interface  # Ver colas de prioridad

Problemas de IPSec:

show crypto isakmp sa  # Verificar fase 1
show crypto ipsec sa  # Verificar fase 2
debug crypto isakmp  # Depurar IKE

🔧 Metodología de Troubleshooting WAN:

Verificar conectividad física (cables, módems)
Confirmar configuraciones de capa 2 (PPP, Frame Relay)
Verificar enrutamiento (tablas de routing)
Analizar políticas de seguridad (ACLs, firewalls)
Revisar QoS (congestión, priorización)

📝 Documentación Final

1. Informe Técnico

Diagrama completo de conectividad WAN
Tablas de configuración (PPP, IPSec, QoS)
Resultados de pruebas de rendimiento
Capturas de monitorización (NetFlow, SNMP)

2. Presentación

Explicación de decisiones de diseño WAN
Demostración de failover y redundancia
Análisis de políticas de QoS

3. Criterios de Evaluación

Criterio	Puntaje
Configuración correcta de conexiones WAN (PPP, MPLS)	25%
Implementación de seguridad (IPSec, CHAP)	20%
Políticas de QoS efectivas	20%
Sistema de monitorización (SNMP, NetFlow)	15%
Resolución de problemas	10%
Documentación profesional	10%

🌍 Proyecto Final - Módulo 4: Acceso a WAN