Un sistema tolerante a errores es aquél que está capacitado para seguir operando aunque se presenten fallos en alguno de sus componentes. La tolerancia a fallos está diseñada para combatir fallos en periféricos, en el software de sistema operativo, en la alimentación eléctrica de los equipos, etcétera.

La tolerancia a fallos más común es la que consiste en duplicar los elementos del sistema, por ejemplo, que cada equipo posea dos fuentes de alimentación: cuando falla una de ellas, automáticamente se pone en funcionamiento la segunda. En el caso de discos, el método de redundancia más sencillo es la configuración de discos espejo (mirror). Para ello, se duplican los discos, de modo que cualquier operación de escritura sobre uno de los discos se duplica en el otro.

En la lectura, cualquier disco puede proporcionar los datos solicitados, puesto que son iguales. Los sistemas operativos de red avanzados poseen software para la automatización de los procesos de tolerancia a errores. En los sistemas actuales se proporcionan un conjunto de tecnologías que, en conjunto, contribuyen a crear sistemas seguros, escalables y de alta disponibilidad. La exigencia de muchos sistemas es 24 x 7, es decir, 24 horas diarias y 7 días por semana.

Se considera que un sistema es seguro si tiene una disponibilidad superior al 99,99 %, es decir, un día de paro de sistema por cada 10 000 de utilización.



Figura 7.17. Utilidad para la copia de seguridad en Windows.

Actividad 3

Establece un directorio de datos como objetivo de un backup. Realiza una copia de seguridad del mismo. Ahora elimina el directorio copiado y restaura la información comprobando que la información restaurada es idéntica a la que se salvó. Ahora, según vas cambiando algunos datos del directorio objetivo, ve haciendo backups incrementales. Finalmente, restaura todos los backups y comprueba que la información restaurada es la correcta. Genera un automatismo para que se haga un backup del sistema a cierta hora y comprueba que a la hora prevista se dispara el backup.

El software más importante en las estaciones de trabajo de cualquier organización está representado por los datos de usuario, ya que cualquier aplicación puede ser reinstalada de nuevo en caso de problemas; los datos, no.

La duplicación de los datos

El modo más seguro de proteger los datos ante cualquier tipo de problemas es duplicarlos. Se puede tener un doble sistema de almacenamiento en disco, pero esto genera nuevos problemas, entre los que destacamos:

- Cuando se tiene información duplicada es difícil determinar cuál de las copias es la correcta.
- La duplicación de información requiere la inversión de más recursos económicos, al ocupar más espacio en los dispositivos de almacenamiento.

Copias de seguridad

La copia de seguridad o backup es una duplicación controlada de los datos o aplicaciones de los usuarios. Se realiza a través de utilidades propias de los sistemas operativos y del hardware apropiado. Cabe la posibilidad de que las unidades de backup estén centralizadas en los servidores, de modo que con pocas unidades se puedan realizar las copias de todo el sistema. El software de las utilidades de backup puede automatizarse para que las copias se realicen automáticamente en periodos apropiados, por ejemplo, por la noche, salvando los datos que hayan sido modificados durante el día.

Los medios físicos más comunes para realizar este tipo de volcado son la cinta magnética y el CD o DVD regrabables. La relación capacidad/coste es mayor que en el caso de discos duplicados. Las desventajas residen en que la lectura de los datos de un backup no es directa por las aplicaciones y requieren un volcado inverso (de cinta a disco) previo. Ejemplos de cintas utilizadas para backup son las DLT, QIC, DAT, streamers, etc. Algunas de ellas pueden alcanzar una gran capacidad utilizando sofisticadas técnicas de compresión de datos, por encima de los 100 Gbytes.

En la operación de backup también se pueden utilizar discos, normalmente removibles, e incluso CD o DVD grabables. En cualquier caso, siempre hay que exigir que el dispositivo de backup tenga capacidad para almacenar los datos que haya que guardar, lo que normalmente exigirá que el sistema pueda generar múltiples volúmenes en un único backup.

Se pueden establecer distintos tipos de copias de seguridad, destacamos aquí dos de ellas:

- Backup normal. Es una copia de los archivos seleccionados sin ninguna restricción, posiblemente directorios completos y sus subdirectorios.
- Backup progresivo, diferencial o incremental. En este caso, la copia sólo se realiza sobre los ficheros seleccionados que hayan sido modificados o creados después del anterior backup.

Las copias de seguridad realizadas sobre cualquier sistema deben estar perfectamente etiquetadas y documentadas con el fin de garantizar que la recuperación de ficheros, en caso de problemas, sea de la copia correcta (Figura 7.17).

Además de las cuentas personalizadas de usuario, los NOS disponen de herramientas para limitar, impedir o frustrar conexiones indebidas a los recursos de la red. Para ello, se pueden realizar auditorías de los recursos y llevar un registro de los accesos a cada uno de ellos. Si un usuario utilizara algún recurso al que no tiene derecho, seríamos capaces de detectarlo o, al menos, de registrar el evento.

Conviene realizar un plan de auditorías en que se diseñen los sucesos que serán auditados. Las auditorías se pueden realizar sobre conexiones, accesos, utilización de dispositivos de impresión, uso de ficheros o aplicaciones concretas, etcétera. El auditor genera un registro de accesos que puede ser consultado por el administrador de red en cualquier momento. Además, es posible definir el disparo de alarmas que avisen de que ciertos eventos han ocurrido en la red, utilizando el sistema de mensajería electrónica del NOS (Figura 7.16).



Figura 7.16. Visor de sucesos de Windows.

También es posible visualizar el estado de las conexiones y accesos al servidor: observar la corrección de su utilización, detener conexiones, estadísticas de utilización, etcétera. Cada conexión al servidor consume recursos del servidor, normalmente CPU y memoria. Por tanto, es aconsejable limitar el número máximo de conexiones que se permitirán en cada recurso, teniendo en cuenta las necesidades de los usuarios y el rendimiento del sistema.

Hay programas cuyo propósito es la captura del nombre y la contraseña de los usuarios de la red o hacerse con información privilegiada para su posterior uso ilegal. Estos programas pertenecen al grupo de los denominados caballos de Troya. Los sistemas deben estar protegidos contra estos programas. Ante la abundancia de redes de organizaciones que se conectan a otras redes WAN, se deben instalar unos dispositivos denominados cortafuegos, que limitan los accesos de usuarios externos a la propia LAN.

Actividad 2

Define en un sistema un conjunto de alertas y auditorías que dejen un rastro claro de la actividad del sistema o de los accesos de los usuarios. Deja el sistema funcionando durante un tiempo provocando accesos no autorizados y vuelve más tarde a observar los ficheros de registro de actividad. Extrae las conclusiones pertinentes y propón soluciones contra los accesos indebidos.

Los virus informáticos son programas o segmentos de código maligno que se extienden (infección) por los ficheros, memoria y discos de los ordenadores produciendo efectos no deseables y, en ocasiones, altamente dañinos. Algunas empresas de software, especializadas en seguridad, han creado programas (antivirus) que detectan y limpian las infecciones virulentas.

Si ya es importante que una estación de trabajo aislada no se infecte con virus, mucho más importante es evitar las infecciones en un servidor o en cualquier puesto de red, ya que al ser nodos de intercambio de datos, propagarían extraordinariamente la infección por todos los puestos de la red.

Es posible la instalación de aplicaciones antivirus en los servidores, corriendo en background, que analizan cualquier fichero que se deposita en el servidor. Esto ralentiza el servidor, puesto que consume parte de los recursos de procesamiento, pero eleva la seguridad. El auge de Internet y las aplicaciones instaladas en ella o que se pueden descargar desde servidores web ha provocado una explosión de virus transmitidos a su través: los virus más comunes en la actualidad se transmiten dentro de los mismos mensajes de correo electrónico.

Las compañías fabricantes de software antivirus han tenido que idear utilidades antivíricas que chequean estos correos electrónicos y vigilar intensivamente cualquier software que entre por las líneas de conexión a Internet. Los más modernos antivirus pueden llegar a centralizar sus operaciones sobre una consola que vigila atentamente toda la red (Figura 7.15).

Corresponde al administrador advertir de estos riesgos a los usuarios de la red, limitar los accesos a las aplicaciones y a los datos que puedan portar virus e impedir la entrada de datos indeseados, por ejemplo, a través de disquetes, CD-ROM o Internet. Debe planificar las copias de seguridad con la debida frecuencia para restituir el sistema en caso de desastre.

Figura 7.15. Consola de administración centralizada para toda una red de un conocido antivirus sobre Windows.

Actividad 1

Instala una aplicación antivirus que puedes descargar de Internet en una estación cliente. Verifica la limpieza del sistema en que se ha instalado. Seguidamente, descarga de Internet la versión de servidor de un antivirus y prueba a hacer una instalación en red. Para realizar esto deberás seguir las instrucciones del fabricante. Desde la consola de administración, ensaya la instalación del antivirus de cliente desde un punto central hasta el resto de las estaciones de la red.

El SAI contiene en su interior unos acumuladores que se cargan en el régimen normal de funcionamiento. En caso de corte de corriente, los acumuladores producen la energía eléctrica que permite cerrar el sistema de red adecuadamente, guardar los datos que tuvieran abiertos las aplicaciones de los usuarios y cerrar ordenadamente los sistemas operativos.

Si además no queremos vernos obligados a parar nuestra actividad, hay que instalar grupos electrógenos u otros generadores de corriente conectados a nuestra red eléctrica.

Básicamente hay dos tipos de SAI:

- SAI de modo directo. La corriente eléctrica alimenta al SAI y éste suministra energía constantemente al ordenador. Estos dispositivos realizan también la función de estabilización de corriente.

- SAI de modo reserva. La corriente se suministra al ordenador directamente. El SAI sólo actúa en caso de corte de corriente.

Los servidores pueden comunicarse con un SAI a través de alguno de sus puertos de comunicaciones, de modo que el SAI informa al servidor de las incidencias que observa en la corriente eléctrica.

En la Figura 7.14 se pueden observar algunos de los parámetros que se pueden configurar en un ordenador para el gobierno del SAI. Windows, por ejemplo, lleva ya preconfigurada una lista de SAI de los principales fabricantes con objeto de facilitar lo más posible la utilización de estos útiles dispositivos.



Figura 7.14. Parámetros configurables en una estación para el gobierno de un SAI.

Protección del sistema

D. Configuración del servicio de fax

Algunos sistemas operativos permiten la conexión de un módem/fax interno o externo que habilitan las conexiones de fax tanto en envío como en recepción. La configuración de un fax exige tres pasos:

a) Preparación del módem/fax con los parámetros adecuados. Se debe configurar el módem para adecuar la velocidad de transmisión y recepción, el puerto serie o USB al que se conectará, etc. Normalmente, esta configuración se realiza a través de comandos Hayes. En la actualidad casi todos los módems analógicos (y también gran parte de los digitales a partir de la implantación de RDSI) incorporan las normas fax, por lo que se les llama fax-módem.

b) Configuración del software en el NOS. La mayor parte de las aplicaciones de fax configuran el software como si se tratara de una impresora más que, en vez de imprimir en un papel, envía los datos a través de una línea de teléfono. En recepción, el fax recoge la información en un fichero gráfico, que seremos capaces de visualizar por un monitor o de imprimir por una impresora. El software suele incorporar utilidades para rotar la imagen, cortarla, añadir notas, etc. Para el usuario, el fax no es más que una cola de impresora y su gestión es similar a la descrita para la gestión de estas colas.

c) En una tercera fase, el sistema de fax se puede integrar dentro del sistema de mensajería electrónica de la red, por ejemplo, en un servidor de mail. Esta opción se utiliza, sobre todo, para la recepción centralizada de faxes, con el servidor como encargado de su distribución a los destinatarios apropiados. De este modo, los mensajes se reparten eficazmente entre los usuarios de la red, independientemente de que provengan de correo electrónico interno, correo de Internet o mensajes gráficos en formato facsímil.

Se empiezan a instalar sistemas en los que se integra la voz (teléfono), el fax y el correo electrónico en un único sistema de mensajería electrónico que contiene todas las pasarelas necesarias para que pueda haber intercomunicación entre sistemas tan distintos: nos referimos a la convergencia de tecnologías de mensajería.

Actividad 3

Sobre un sistema Windows instala el servicio de comunicación por fax. Observarás que si tienes definido un módem-fax, el servicio de fax verá a éste como una impresora: cualquier documento que sea impreso por esa impresora lógica seguirá el protocolo de comunicación por fax. Prueba su funcionamiento.

Nota: Con este capítulo hemos llegado al final del curso. Recuerda que este trabajo es un fragmento del libro "CEO - Redes de área local" del autor A. Abad, publicado por la editorial McGraw-Hill (ISBN: 84-481-9974-X).

C. Configuración del correo electrónico

Impresoras IPP

Figura 7.12. Configuración del puerto de una impresora IPP y página de administración.

b) Asignación de las impresoras a los equipos. Seguidamente, hemos de distribuir las impresoras por toda la red teniendo en cuenta las características de los equipos.

Se puede considerar lo siguiente:

- El proceso de impresión consume muchos recursos de CPU; por tanto, las impresoras servidas a la red deben residir en máquinas con suficiente potencia si se prevé que la impresión va a ser frecuente.

- Además, normalmente, cada trabajo por imprimir debe almacenarse en el disco duro del servidor de la impresora, con lo que debemos asegurarnos que tendrá suficiente espacio libre.

- Las impresoras deben estar geográficamente distribuidas por toda la organización de acuerdo con unos criterios. Hay empresas que prefieren centralizar todas las impresoras con el fin de evitar ruidos, especialmente en el caso de impresoras matriciales o de línea, mientras que otras prefieren una distribución por departamentos o, incluso, la asignación de una impresora por cada usuario.

c) Acceso a las impresoras. Para definir el acceso a las impresoras, hemos de considerar dos partes bien diferenciadas:

- La asignación de impresoras lógicas a dispositivos de impresión. Pueden darse los casos de una a uno, una a varios y varias a uno. Todos los sistemas admiten la asignación uno a uno.

El resto de asignaciones son posibles en función de los sistemas operativos: frecuentemente es necesario instalar software de terceras partes.

- La asignación de los derechos de acceso para cada usuario o para cada grupo (Figura 7.10).

Algunos NOS disponen de herramientas de administración para lograr que las impresoras disparen trabajos en determinadas circunstancias. Por ejemplo, a partir de cierta hora nocturna, una impresora matricial inicia la impresión de unos recibos que han sido confeccionados y enviados a la impresora durante el día.

Del mismo modo, se pueden asignar prioridades a los diferentes trabajos, de modo que se altere el orden en que los trabajos serán seleccionados por el spooler para ser impresos. Además, cuando una cola atiende a varios dispositivos de impresión, el primero que quede libre recibirá el siguiente de entre todos los trabajos pendientes en esa cola.

Diseño del sistema de impresión

Un buen diseño del sistema de impresión redunda en una mayor eficacia del sistema, así como en un abaratamiento de los costes de instalación, al poder reducir el número de impresoras sin perder funcionalidad. Articularemos el diseño del sistema de impresión en diversas fases:

a) Elección de los dispositivos de impresión. Deben ser elegidos de acuerdo con las necesidades de los usuarios. Es útil considerar los siguientes elementos antes de tomar las decisiones de instalación:

- Pocos dispositivos de impresión de alto rendimiento frente a muchos dispositivos de rendimiento moderado.
- Número de páginas totales que se van a imprimir y velocidad de impresión de las mismas.
- Calidad de impresión, elección de color o blanco y negro, tamaño de la página impresa, etcétera.
- Conectividad del dispositivo de impresión.

Impresoras conectadas a un puerto paralelo o USB de un servidor, impresoras conectadas directamente a la red, etcétera.

- Tecnología de impresión. Las impresoras pueden ser matriciales, láser, de inyección de tinta, de sublimación, etcétera.
- Protocolos de comunicación. En el caso de las impresoras de red, hay que tener en cuenta el protocolo que utiliza para que los clientes realicen la conexión con la impresora.
- Costes de los equipamientos de impresión y de sus consumibles, costes por página impresa, etcétera.



Figura 7.10. Asignación de permisos para un recurso de impresión.

B. Gestión de impresoras

Figura 7.9. Entorno de impresoras en Windows: arriba, conexión a una impresora de red; abajo, administrador de impresoras desde donde se dispara el asistente de conexión; a la derecha, ficha de propiedades de la impresora.

Para conseguir un rendimiento elevado y equilibrado de los dispositivos de impresión, estos parámetros deben estar correctamente configurados en el NOS (Figura 7.9). Como con cualquier otro recurso de red, también aquí son aplicables los permisos de uso y su administración remota. Para ello, es recomendable la utilización de los documentos de ayuda que proporciona el fabricante del NOS.

La red de comunicaciones y la red de datos

Es frecuente que el volumen de datos a los que se tenga que acceder por una red sea inmenso. En estas situaciones, mover los datos por la red origina fuertes cuellos de botella que hacen que se tengan que modificar las arquitecturas de red para dar respuesta a estas especificaciones tan exigentes, por encima de tecnologías como Gigabit Ethernet o ATM.

Tradicionalmente, el mercado de tecnologías de almacenamiento ha dado varias soluciones que se relacionan a su vez con sendas arquitecturas:

- Almacenamiento de conexión directa (Direct Attached Storage, DAS). Cada estación de red tiene sus discos y los sirve a la red a través de su interfaz de red. DAS es la solución de almacenamiento natural de cualquier ordenador.
- Almacenamiento centralizado (Centralized storage). Varios servidores o estaciones pueden compartir discos físicamente ligados entre sí.
- Almacenamiento de conexión a red (Network attached storage, NAS). Los discos están conectados a la red y las estaciones o servidores utilizan la red para acceder a ellos. Con servidores NAS la red de área local hace crecer su capacidad de almacenamiento de una forma fácil y rápida sin necesidad de interrumpir su funcionamiento y a un menor coste que si se adquiere un servidor de archivos tradicional DAS (véase Figura 7.8).

Figura 7.8. Modelo de almacenamiento NAS (a la izquierda) y SAN (a la derecha).

- Redes de área de almacenamiento (Storage area network, SAN). SAN es una arquitectura de almacenamiento en red de alta velocidad y gran ancho de banda, creada para aliviar los problemas surgidos por el crecimiento del número de los servidores y los datos que contienen en las redes modernas. SAN sigue una arquitectura en la que se diferencian y separan dos redes: la red de área local tradicional y la red de acceso a datos. Hay, por tanto, dos redes: un backbone de transmisión de mensajes entre nodos y una estructura de switches de canal de fibra (duplicados por seguridad) y de muy alto rendimiento que conecta todos los medios de almacenamiento. Los entornos en que está indicada una solución SAN son aquéllos en que los backups son críticos, en los clusters de alta disponibilidad, en las aplicaciones con bases de datos de gran volumen, etc. Los equipos SAN más modernos pueden alcanzar velocidades de transmisión de datos desde los discos de varios Gbps (véase Figura 7.8).

Los switches de una red SAN suelen utilizar la tecnología Fibre Channel y frecuentemente están duplicados para garantizar el servicio. Como veíamos, están apareciendo otras tecnologías que no siguen este estándar, por ejemplo, la tecnología iSCSI, que utiliza protocolos TCP/IP para transportar por la red comandos propios de la tecnología SCSI.

Estándar Fibre Channel

Gestión de los servicios

1. El administrador de usuarios en Linux

Linux aporta varias herramientas para la gestión de usuarios y grupos. Es muy importante que la administración de usuarios esté bien diseñada, especialmente si debe habilitarse posteriormente un buen sistema de permisos de acceso a ficheros, servicios y aplicaciones. La instalación del sistema operativo crea automáticamente la cuenta del administrador del sistema, que es llamada root. La clave de acceso de esta cuenta es generada en tiempo de instalación. Además, Linux crea algunas cuentas y grupos más en tiempo de instalación. Sin embargo, toda la gestión de usuarios debe hacerse posteriormente.

Materiales necesarios
- Un PC con Linux instalado.
- Acceso a la cuenta «root» de administrador en Linux o similar.
- Documentación: manual de instalación de Linux y la utilidad «man»del propio Linux.

Operativa

Linuxconf es una utilidad general para la configuración del sistema operativo. Uno de los elementos que puede gestionar son los usuarios y grupos. También se pueden utilizar otras herramientas como el gestor de usuarios. El gestor de usuarios de Linux es la herramienta por excelencia y específica para la gestión de usuarios y grupos. Es una herramienta de aspecto similar al gestor de usuarios en Windows. Las anteriores herramientas funcionan en un entorno gráfico X-Windows o similar en Linux. No obstante, este sistema operativo, como cualquier sistema UNIX, permite la gestión de usuarios y grupos desde la línea de comandos. Para ello se pueden utilizar comandos como /usr/sbin/ adduser que gestionan los ficheros de cuentas y claves de acceso, que son:

- /etc/passwd (fichero de cuentas y claves de acceso).
- /etc/group (fichero de grupos).
- /etc/shadow (fichero de claves de acceso, si hemos elegido la opción shadow passwords en tiempo de instalación).

El aspecto de estos ficheros es el siguiente:



Tabla 7.1. Aspecto de los ficheros /etc/passwd y /etc/group.

a) Después de familiarizarte con las utilidades de administración de usuarios y grupos, crea un sistema de cuentas para un sistema Linux. Prueba las distintas cuentas. Escribe una guía de operación básica de gestión de usuarios para administradores de sistemas Linux.
b) Realiza esta misma operación sobre sistemas Windows en dos configuraciones: sobre clientes independientes de un dominio y sobre un servidor controlador de dominio en un Directorio Activo.

G. Un ejemplo: el Directorio Activo de Microsoft

El Directorio Activo, como su nombre indica, es un servicio de directorio propietario de Microsoft que consiste en una gran base de datos jerárquica (véase Figura 7.6) que organiza todos los objetos necesarios para administrar un sistema Windows en red: usuarios, equipos, datos, aplicaciones, etcétera.

Las principales características del Directorio Activo (DA) son:

- El DA proporciona toda la información necesaria sobre directivas de seguridad y las cuentas de acceso al sistema de cada usuario o grupos de ellos.
- Permite la delegación de la administración, es decir, el administrador puede delegar parte de su trabajo en otras cuentas en las que confía.
- Gestiona un sistema de nombres articulado y jerarquizado en múltiples niveles agrupando todas las cuentas en unidades organizativas, que se convertirán en unidades específicas de administración.
- Las relaciones de confianza establecidas entre dos dominios cualesquiera del DA son transitivas.
- Todos los servidores que son controladores de dominio en la misma red de un DA están permanentemente sincronizados, por lo que es fácil la confección de configuraciones de seguridad.



Figura 7.6. Modelos de estructuras de dominios en un Directorio Activo de Microsoft.

- El esquema de objetos utilizados por el DA es extensible, es decir, se puede personalizar para que incluya cualquier tipo de información útil al administrador del sistema.
- Lleva un servidor DDNS (Dynamic DNS) integrado en el propio DA, lo que le convierte en un servicio extraordinariamente flexible.
- Todas las tareas del DA se pueden automatizar a través de scripts o mediante aplicaciones con lenguajes de programación tradicionales orientados a objetos.
- Se permite una gestión basada en políticas o directivas aplicables a las unidades organizativas accesibles mediante consolas de administración (Figura 7.7).



Figura 7.7. Consola de administración de directivas para un dominio de un Directorio Activo Windows.

F. Sistemas globales de acceso

D. Cuentas de grupo

Para facilitar las tareas de administración de red, el uso de los servicios o recursos y organizar coherentemente el acceso a la red, existen en los sistemas operativos de red otras entidades de administración denominadas cuentas de grupo o simplemente grupos. Una cuenta de grupo es una colección de cuentas de usuario. Al conceder a un usuario la pertenencia a un grupo se le asignan automáticamente todas las propiedades, derechos, características, permisos y privilegios de ese grupo. En este sentido, las cuentas de grupo proporcionan una forma sencilla de configurar los servicios de red para un conjunto de usuarios de características similares.

Los NOS tienen unos grupos predefinidos que ayudan a la administración de la red según las necesidades más comunes que se suelen presentar: administradores, operadores de copia, operadores de cuentas, operadores de impresión, usuarios avanzados, usuarios comunes, etcétera.

E. Perfiles de usuario

En ocasiones interesa que el usuario pueda presentarse en más de una estación de trabajo y que esa conexión sea independiente del lugar, haciendo transparente el trabajo en una u otra estación. Además, puede interesar al administrador tener la posibilidad de forzar el uso de determinados programas o restringir los cambios en la apariencia del interfaz gráfico a ciertos grupos de usuarios. De este modo, los NOS incorporan utilidades que asocian a cada cuenta de usuario o grupo un perfil concreto.

En Novell el login script general, es decir, el conjunto de órdenes que se ejecutan automáticamente en la presentación, permite asignar los parámetros de inicio que tendrá el usuario. Además de este login general, cada usuario tiene un login script propio con el fin de personalizar a su medida el comienzo de la sesión. Las últimas versiones del NOS de Novell incorporan un sistema de administración de red orientado a objetos: todos los elementos de la red se tratan como objetos. Los perfiles de usuario son un objeto más.

Un objeto-perfil es un login script que se ejecuta entre el login script general del sistema y el del usuario. Este sistema de administración se llama NDS (Novell Directory System). Windows tiene su equivalente en su Directorio Activo. En otros NOS se pueden encontrar herramientas especializadas en la construcción de perfiles. En Windows, los perfiles contienen todas las preferencias y opciones de configuración para cada usuario: una instantánea del escritorio, las conexiones de red permanentes, las impresoras a las que se tendrá acceso, etcétera.

Los perfiles de usuario pueden estar asociados a una estación de red concreta o bien pueden ser depositados en un servidor de red, de modo que cuando un usuario se presenta, se le asocie el perfil de su propiedad independientemente de la estación por la que acceda a la red: son perfiles móviles. En sistemas operativos que soportan otros interfaces gráficos como X-Windows para UNIX, OpenVMS, etc., también son posibles las configuraciones de perfiles, aunque son mucho más simples que las de los sistemas basados en Windows o Macintosh. Sin embargo, el sistema de cuentas y de comandos de inicio (login de presentación) es más flexible, es decir, permite al administrador un mayor control sobre los usuarios.

En Windows integrado con su Directorio Activo es posible configurar las cuentas de los usuarios de modo que cuando alguien se presente al sistema desde distintos puntos, incluso remotos, esto se haga de modo que al usuario le sigan tanto su escritorio como sus datos, e incluso, sus aplicaciones (tecnología IntelliMirror).

C. Derechos de acceso

Una vez que se ha identificado a cada usuario con acceso a la red, se pueden arbitrar sus derechos de acceso. Corresponde al administrador determinar el uso de cada recurso de la red o las operaciones que cada usuario puede realizar en cada estación de trabajo. Ejemplo de estas operaciones son el derecho de acceso a un servidor o a otro equipo a través de la red, forzar el apagado de otro equipo remotamente, reiniciar un equipo, cambiar la hora del sistema, etcétera. Cada recurso, servicio o utilidad tiene, de este modo, una información asociada que le indica quién puede utilizarlos o ejecutarlos y quién carece de privilegios sobre ellos.

No hay que confundir derechos con permisos:

- Un derecho autoriza a un usuario o a un grupo de usuarios a realizar determinadas operaciones sobre un servidor o estación de trabajo.
- Un permiso o privilegio es una marca asociada a cada recurso de red: ficheros, directorios, impresoras, etc., que regulan qué usuario tiene acceso y de qué manera.

De esta forma, los derechos se refieren a operaciones propias del sistema operativo, por ejemplo, el derecho a hacer copias de seguridad. Sin embargo, un permiso se refiere al acceso a los distintos objetos de red, por ejemplo, derecho a leer un fichero concreto. Los derechos prevalecen sobre los permisos. Por ejemplo, un operador de consola tiene derecho para hacer una copia de seguridad sobre todo un disco; sin embargo, puede tener restringido el acceso a determinados directorios de usuarios porque se lo niega un permiso sobre esos directorios: podrá hacer la copia de seguridad, puesto que el derecho de backup prevalece a la restricción de los permisos.

La asignación de permisos en una red se hace en dos fases:

a) En primer lugar, se determina el permiso de acceso sobre el servicio de red; por ejemplo, se puede asignar el permiso de poderse conectar a un disco de un ordenador remoto. Esto evita que se puedan abrir unidades remotas de red sobre las que después no se tengan privilegios de acceso a los ficheros que contiene, lo que puede sobrecargar al servidor.
b) En segundo lugar, deben configurarse los permisos de los ficheros y directorios (o carpetas) que contiene ese servicio de red.

Dependiendo del sistema operativo de red, las marcas asociadas al objeto de red varían, aunque en general podemos encontrar las de lectura, escritura, ejecución, borrado, privilegio de cambio de permisos, etcétera. En redes en las que hay que hacer coexistir sistemas operativos de red de distintos fabricantes, hay que determinar los permisos para cada uno de ellos.

A veces los permisos de un tipo de sistema son trasladables fácilmente a otros sistemas, aunque normalmente no de Apple hay tres permisos posibles: ver archivos, ver carpetas y hacer cambios (Figura 7.5, abajo a la derecha). coinciden con exactitud. Por ejemplo, en los sistemas Sin embargo en Windows NT aparecen nuevos permisos: lectura, escritura, borrado, ejecución, cambio de permiso y toma de posesión. Windows 2000 complica extraordinariamente su sistema de permisos cuando las particiones de disco son NTFS, aunque mantiene compatibilidad con particiones FAT, que carece totalmente de permisos.



Figura 7.5. Configuración de privilegios sobre ficheros en distintos sistemas operativos de red.

B. Cuentas de usuario (2da parte)

Además, el administrador puede establecer una serie de condiciones por defecto asignadas a cada cuenta y gestionadas mediante políticas (policies), que facilitan su gestión o que mejoran su seguridad. Entre ellas se encuentran las siguientes:

- El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
- El usuario no puede cambiar su contraseña.
- La contraseña no caducará nunca.
- La cuenta quedará desactivada en un plazo de tiempo.
- La cuenta se bloqueará si ocurre un número de fallos de presentación consecutivos previamente fijado.

Además de las cuentas que puede definir el administrador de la red, los sistemas operativos de red poseen unas cuentas por defecto con una funcionalidad específica, que normalmente no se pueden borrar, aunque sí modificar y desactivar. Entre estas cuentas se encuentran:

- El supervisor (en Novell), administrador (en Windows), root (en UNIX o Linux), system (en VMS), etc. Es la cuenta privilegiada por excelencia y que suele ser utilizada por el administrador del sistema.

- Invitado o guest. Es una cuenta a la que normalmente no se le asocia contraseña y que carece de privilegios. Sirve para que aquellos usuarios que no tienen cuenta en el sistema puedan acceder a los servicios mínimos, que define el administrador. Por defecto, esta cuenta está desactivada al instalar el sistema operativo de red con objeto de no generar agujeros de seguridad sin el consentimiento explícito del administrador, que regulará los derechos y permisos de estos usuarios invitados.



Figura 7.3. Parámetros habituales en la definición de una cuenta de usuario en Windows.

En sistemas integrados con dominios o servicios de directorio es posible crear cuentas de acceso tanto en las estaciones locales, para usuarios que sólo se podrían presentar en el sistema local y acceder sólo a sus recursos, o enel dominio o directorio activo. En este segundo caso, las cuentas son válidas para todos los ordenadores que se gestionendesde ese dominio de administración. Ésta es la situación más común en corporaciones grandes y medianas.



Figura 7.4. Parámetros habituales en la definición de una cuenta de usuario en un gestor de usuarios con interfaz KDE en Linux.

B. Cuentas de usuario

- Horario permitido de acceso a la red. Es un campo que describe las horas y los días en que el usuario tiene acceso a lared. En cualquier otro tiempo el usuario no puede presentarse en la red o es forzado a abandonarla. Por defecto, los sistemas operativos de red permiten el acceso de los usuarios cualquier día a cualquier hora.

- Estaciones de inicio de sesión. Describe el nombre de los equipos desde los que el usuario puede presentarse en la red.

- Caducidad. Describe la fecha en que la cuenta expirará. Es útil para cuentas de usuarios que sólo requieren accesos por periodos de tiempo concretos. Al desactivarse la cuenta, se impide que otros posibles usuarios (intrusos) se apropien indebidamente de ella y, por tanto, protegen y descargan al servidor de accesos indebidos o indeseados.

- Directorio particular. Es el lugar físico dentro del sistema de ficheros de la red en donde el usuario puede guardar sus datos. Al presentarse en la red, el sistema operativo le posiciona en su directorio particular o le concede acceso al mismo.

- Archivos de inicio de sesión. Permiten configurar un conjunto de comandos que se ejecutarán automáticamente al inicio de la sesión de red. Están ligados a cada cuenta de usuario, aunque se permite que varios usuarios compartan el archivo de inicio.

- Otros parámetros. Algunos sistemas operativos permiten configurar otros parámetros como son los perfiles de usuario, la cantidad de disco de que dispondrá cada usuario, disponibilidad de memoria central, tiempo de CPU, capacidad de entrada/salida, etc. Estos parámetros tienen una especial importancia en grandes sistemas multiusuario. En la Figura 7.2 se pueden ver las fichas que se han de rellenar para la creación de un usuario en el Directorio Activo de Windows.



Figura 7.2. Ficha de creación de un nuevo usuario en un Directorio Activo de Windows.

C. Conexiones externas a la red

Además de los clientes y servidores de la red, es común la comunicación de datos entre la red de área local y el exterior, ya sea con usuarios de la misma o de distinta organización, pertenecientes o no a la misma red corporativa. Por ejemplo, una red corporativa puede estar constituida por distintas LAN en lugares geográficos distintos.

También es posible la comunicación entre dos LAN pertenecientes a distintas organizaciones. Esta comunicación se realiza a través de redes WAN. El acceso de un usuario remoto puede ser similar al acceso de un usuario local, disponiendo de los mismos servicios, aunque con rendimientos menores, debido a la inferior capacidad de transferencia de las líneas de transmisión de las redes WAN utilizadas en la conexión. Para ello, basta con disponer de los servicios de conexión y validación apropiados. Éste es el fundamento del teletrabajo.

Para poder acceder a estos servicios remotos, es necesario que las LAN posean nodos especializados en servicios de comunicaciones remotas, que también deben estar correctamente configurados. Las conexiones con el exterior requieren dispositivos especializados que dependen del tipo de conexión y de la WAN que se utilice. Por ejemplo, servidores y clientes RAS o de redes privadas virtuales, interfaces X.25, RDSI, ATM, etc.



Figura 7.1. Ejemplos de diagramas de red WAN para una compañía con varias sedes sociales.

En la Figura 7.1 tenemos un ejemplo de red de área extendida de una compañía distribuida en varias sedes. En estos diagramas se pueden observar las líneas de comunicación a lo largo de todo un amplio territorio, así como los modos de conexión entre los distintos segmentos de red remotos.

B. Estaciones clientes

En las estaciones de trabajo se han de instalar y configurar todos los protocolos necesarios para la conexión a cuantos servidores necesiten los usuarios. Por ejemplo, habrá que instalar TCP/IP si se desea hacer una conexión hacia máquinas UNIX, NetBEUI para realizar conexiones sencillas a servidores Microsoft e IPX para la conexión con servidores Novell, aunque ya hemos estudiado en la Unidad anterior que el mundo informático habla, en general, TCP/IP.

Si instalamos más protocolos de los que realmente se utilizarán haremos un consumo excesivo e inútil de memoria central, así como una sobrecarga en el software de red de las estaciones, lo que ralentizará tanto los procesos informáticos como los de comunicaciones.

También hay que asegurarse de que si una aplicación tiene previsto utilizar un interfaz de aplicaciones concreto, por ejemplo, NetBIOS, debe estar instalado, ya que de lo contrario la aplicación de usuario no podrá gestionar las unidades de red remotas. Éste sería el trabajo típico de un redirector, como ya se veía en la Unidad anterior.

El administrador debe valorar el modo en que trabajarán los usuarios, con información local o centralizada. Podemos encontrarnos con tres tipos de configuraciones para los clientes:

- Los programas y aplicaciones están instalados en el disco duro local de la estación y no son compartidos por la red. Cada usuario tiene una copia de cada aplicación. Los datos residen también de modo habitual en el disco local, aunque es posible centralizar la información en los servidores.

- Los programas están instalados en el servidor y todos los usuarios acceden al servidor para disparar sus aplicaciones. Por tanto, se instala una única copia de las aplicaciones, lo que ahorra espacio en disco. Hay que tener en cuenta, no obstante, que no todas las aplicaciones permiten esta operativa de trabajo. Los datos de usuario pueden seguir estando distribuidos por las estaciones clientes, aunque también pueden residir en el servidor.

Hay un caso particular de esta configuración: los clientes ligeros o las estaciones que no poseen disco local (o que poseyéndolo, no lo utilizan para almacenar aplicaciones o datos) y que deben arrancar remotamente a través de la red desde un servidor de sistemas operativos.

- La instalación de aplicaciones distribuidas exige la colaboración del cliente y del servidor, o entre varios servidores, para completar la aplicación. Por ejemplo, una aplicación de correo electrónico consta de una parte denominada cliente, que se instala en la estación cliente, y una parte denominada servidor,que se instala en el servidor de correo.

Otros ejemplos de aplicaciones distribuidas son las como las bases de datos distribuidas. Han aparecido nuevas tendencias en la programación de objetos que facilitan la comunicación entre componentes a través de la red. Algunos nombres que nos hablan de estas técnicas son CORBA, DCOM, COM+, ORB, etcétera. construidas según la tecnología cliente-servidor, como las bases de datos distribuidas. Han aparecido nuevas tendencias en la programación de objetos que facilitan la comunicación entre componentes a través de la red. Algunos nombres que nos hablan de estas técnicas son CORBA, DCOM, COM+, ORB, etcétera.

La clasificación anterior está muy simplificada. La realidad es mucho más compleja. Lo habitual en el mundo de los sistemas de red son combinaciones de todas estas posibilidades y, por ejemplo, máquinas que son servidoras con respecto de un tipo de servicio son clientes con respecto de otros. De la eficacia al diseñar esta estructura de red depende el éxito del administrador de red dando un buen servicio a los usuarios de la red que administra.

Organización de la red

Introducción

Los estándares son tan buenos que cada fabricante tiene el suyo. Esta broma no puede ser más cierta en el caso que nos incumbe. La proliferación de diferentes estándares viene dada únicamente por la prisa que tienen algunas compañías en introducirse en los mercados emergentes para alcanzar una posición de fuerza y poder manejar de la forma que sea más beneficioso para sus intereses las decisiones de los comités estandarizadores del IEEE.

Idealmente todas las empresas deberían seguir los estándares del IEEE para de esa forma asegurar la interoperabilidad de los dispositivos vendidos con los dispositivos de otros fabricantes, pero lamentablemente eso no ocurre así y diferentes fabricantes ofrecen diferentes soluciones que terminan por no funcionar entre sí.

Esta situación se vivió en los principios de la venta masiva de dispositivos SCSI en los que era mejor adquirir todos los dispositivos SCSI de un mismo fabricante pues si por un lado adquiríamos la tarjeta y por otro los dispositivos podíamos tener incompatibilidades que nos obligaban a tener que tirar uno de ellos a la basura. Bueno pues esa misma situación es en la que nos encontramos hoy en día.

Aunque muchos fabricantes prometen en sus folletos de venta que sus dispositivos no estandarizados cumplirán con las especificaciones del IEEE cuando éste publique el estándar correspondiente, bien sin modificaciones bien mediante una actualización de su Firmware, esto es algo de lo que no podemos estar totalmente seguros.

Hoy por hoy lo mejor es comprar dispositivos estandarizados por el IEEE y si no es así es preferible que sean de una marca reconocida a la cual le pueda hacer daño la mala imagen que pueda causar si no actualiza los dispositivos vendidos no cumplidores del estándar correspondiente por unos que si lo cumplan.

Es la única forma que tenemos de que los dispositivos que compramos hoy funcionen mañana.

Hay que tener en cuenta que tratándose de una empresa, podríamos llegar a tener puntos con una gran demanda de ancho de banda y otros con muy poca.

Hay que investigar cuáles pueden ser los puntos donde haya más concentración de máquinas, como pueden ser las zonas de reuniones, zonas de gran concentración de trabajadores... De esta forma después de hacer esta investigación decidiremos cuáles son las mejores zonas para montar el PA.

Desde el punto de vista de la seguridad y después de comentar el punto anterior, hay que pensar también que las antenas es mejor colocarlas en lugares "centrales" del edificio, donde el radio de alcance de la señal no exceda demasiado del edificio físico en el que se encuentre. En cualquier caso, siempre o casi siempre tendremos cobertura inalámbrica fuera de nuestro edificio. Por ello hay que seguir las normas de seguridad escrupulosamente.

Desde el punto de vista de la seguridad y después de comentar el punto anterior, hay que pensar también que las antenas es mejor colocarlas en lugares "centrales" del edificio, donde el radio de alcance de la señal no exceda demasiado del edificio físico en el que se encuentre. En cualquier caso, siempre o casi siempre tendremos cobertura inalámbrica fuera de nuestro edificio. Por ello hay que seguir las normas de seguridad escrupulosamente.

Según estudios prácticos hechos en la ciudad de Londres en noviembre de 2002, en hora y media se pueden localizar más de 60 redes inalámbricas simplemente paseando por una calle del centro, y de estas el 75% no tenían ningún tipo de seguridad.

Normalmente los wardrivers solamente van a intentar acceder a nuestra red para usar Internet de una forma gratuita, pero podemos descartar las intromisiones de crackers que intenten sabotear nuestras instalaciones o a la competencia intentando llevarse nuestros secretos empresariales...

Otro uso bastante práctico puede ser el unir dos redes empresariales lejanas entre si. Para ello se puede disponer de dos antenas direccionales especialmente preparadas para tal evento y dos puntos de acceso normales.

Se configuran los puntos de acceso para que sólo sea posible la comunicación entre ellos (además de todas las características de seguridad vistas) y se enfocan las antenas entre si. Experiencias anteriores han demostrado que es posible establecimiento de comunicaciones de hasta 70Km. Normalmente es difícil que tengamos que llegar a tales extremos, pero muestra un valor máximo útil que nos puede dar idea de si son posibles nuestros propósitos.

Para que esta comunicación sea posible es necesario que el PA WiFi cumpla el estándar 802.11c (bridge) o bien simularlo mediante un SW dedicado a tal propósito.

Este tercer caso vamos a enfocarlo desde un punto de vista diferente.

?- El primer caso estudiado estaba enfocado al intercambio de archivos y a compartir recursos entre un conjunto muy limitado de ordenadores/usuarios con un acceso a Internet restringido a entre 56 y 256 Kbps.

?- En el segundo nos basamos casi exclusivamente en el acceso a Internet y la gestión del ancho de banda del mismo, teniendo muy pocos recursos o ninguno compartidos entre los participantes de la red.

?- Este tercer caso vamos a enfocarlo como un escenario en el que vamos a compartir recursos, impresoras, servidores, espacios de almacenamiento..., y además vamos a tener un acceso a Internet. Este acceso no va a ser para todos los ordenadores y aunque el ancho de banda va a ser mayor que en el primer caso no va a llegar a ser tan grande como en el segundo.

Tendremos una infraestructura de sistemas internos muy grande, a la cual se dirigirá la mayoría de las comunicaciones. El acceso a Internet no será muy amplio, basándose sobre todo en el uso del correo electrónico.

Vamos a suponer una empresa en la que disponemos de por ejemplo 50 ordenadores repartidos por diferentes plantas y con un área física a cubrir mayor que en los casos anteriores. La seguridad dentro de las comunicaciones será un aspecto crítico. Se aconsejará el uso de VPNs (Redes Privadas Virtuales).

Dispondremos de una infraestructura básica de comunicaciones "tradicional" mediante el uso de una red Ethernet 100, a la que conectaremos PA Routers 802.11g.

Aunque aún no está estandarizada por el IEEE, la especificación 802.11g parece que va a ser el futuro de este tipo de redes. En este caso el coste de los PAs y TRs no va a ser un punto crítico, por lo que se recomienda fuertemente la compra de los mismos a marcas de reconocido prestigio como por ejemplo CISCO.

En el tramo que hay entre el TR y el PA, nuestro PA va a ser capaz de repartir sus 54 Mbps entre los 30 ordenadores de los vecinos, lo cual hace un total de 1'8 Mbps disponibles en el peor caso para cada ordenador.

- Dado que en el peor de los casos cada ordenador dispone sólo de 350 Kbps para acceder a Internet, 1'8 Mbps son más que suficientes. De hecho, esta infraestructura nos permitiría teóricamente aumentar el ancho de banda de nuestra conexión por cable a internet hasta llegar a los 54 Mbps. Realmente el límite razonable va a estar en la mitad de esto, llegando sólo hasta alrededor de 26 Mbps.

- Desde el punto de vista de los usuarios y manteniendo un mínimo de 128 Kbps de velocidad de acceso a Internet para cada uno, y dada la conexión de 10 Mbps, teóricamente podríamos dar servicio a alrededor de 80 ordenadores/usuarios simultáneos como máximo, pero en el tramo de comunicación entre el TR y el PA, la velocidad sería de 691 Kbps con 80 usuarios. Dado que esta velocidad no está soportada, tendríamos que subir hasta 1 Mbps lo que nos llevaría a su vez a dar servicio a 56 usuarios simultáneos como máximo.

- Estas dos aproximaciones han sido hechas, tomando que cada usuario tiene un 100% del ancho de banda de su conexión en el peor caso como CIR. Si suponemos un CIR más bajo para cada usuario, entonces podríamos aumentar el número de usuarios, pero teniendo en cuenta que en momentos de acceso "masivo" podemos tener picos que hagan que las comunicaciones se vean apreciablemente ralentizadas.

Ya hemos visto que cada vecino puede conectarse a Internet a una velocidad razonable, pero esto sólo es teoría pues dado que el estándar 802.11g de momento no dispone de QoS (posibilidad de garantizar un ancho de banda determinado) no podemos asegurar que un solo vecino no se "coma" todo el ancho de banda, dejando al resto "parado".

Esto es muy peligroso hoy en día dada la proliferación de las redes Peer to Peer, o redes Punto a Punto de intercambio de ficheros, con ejemplos como el Kazaa, E-donkey y otros que "se comerían" casi por completo el ancho de banda que les diésemos.

Normalmente, dentro de los ISPs / comunidades, el 10% de los usuarios tenderían a usar el 90% del ancho de banda.

Para resolver este problema vamos a tener que recurrir algún SW de gestión de comunicaciones y más concretamente del ancho de banda que o bien venga con el mismo PA o bien lo instalemos en la máquina de gestión del sistema. Puede ser necesario el tener que instalar en el servidor el SW de servidor RADIUS (Remote Authentication Dial-In User Service), el cual nos administrará la red como si de un pequeño ISP se tratase.

Respecto a la seguridad, es la misma que siempre, prestando especial atención al tema de que cada vecino sólo debe tener dos máquinas dadas de alta en la lista de direcciones MAC del PA.

Aunque en el gráfico se ha incluido un MODEM entre Internet y el Router, se ha hecho sólo con la intención de indicar que en ese lugar ha de ir un elemento de comunicaciones, aunque puede no ser necesario o puede no ser un módem.

Este escenario en el que nos vamos a mover difiere en ciertos aspectos del que acabamos de describir. Contrariamente a lo que se puede pensar en un primer momento no nos encontramos ante un sobredimensionamiento del caso anterior.

Para describir este escenario vamos a suponer que una comunidad de propietarios de un edificio, desea conectarse a Internet, a la vez que quiere disponer de una página Web que muestre información a los vecinos sobre reuniones, pagos de comunidad...

Partamos de un edificio en el centro de una gran ciudad que dispone de 15 vecinos. Todos se han puesto de acuerdo y quieren alquilar a un proveedor de Internet por cable un acceso de 10 Mbps, el cual es demasiado caro para una sola persona pero perfectamente asumible pagándolo entre toda la comunidad.

Cada vecino va a disponer de un ordenador en su casa (máximo dos) desde los cuales se les dará servicio de conexión a Internet. Esto hace un total de en el peor de los casos 30 ordenadores conectados simultáneamente a Internet.

Para empezar vamos a describir la infraestructura necesaria.

- Vamos a necesitar bien de un router estándar con un punto de acceso o bien de un PA Router. En cualquier caso debería poder disponer de una toma a la que conectar una antena adicional o bien que la antena del mismo sea desmontable. El protocolo seleccionado para el PA será el 802.11g.

- Sea cual sea la elección, conectaremos al router un ordenador que será el encargado de realizar la gestión de todo el sistema. No es necesario que sea muy potente, pero si al menos lo suficiente como para poder instalar el SW de servidor Web + Correo electrónico, Sw de gestión de las comunicaciones y poco más.

- Si fuese necesario, necesitaríamos una antena con un pigtail (cable) que sea capaz de ubicar a la misma en el centro del edificio o en la parte más alta del mismo. Debemos tener en cuenta que cuanto más largo sea el cable de conexión a la antena mas atenuación de la señal emitida / recibida tendremos.

- Cada vecino ya dispone al menos de un ordenador, al cual conectará una TR 802.11g. No es conveniente hoy por hoy el mezclar tarjetas 802.11b con PA 802.11g pues provoca que éstos bajen su rendimiento de forma apreciable.

Hagamos cuentas:

10 Mbps/30 ordenadores = 350 Kbps velocidad que es bastante buena para una conexión a Internet en el peor de los casos.

10 Mbps/15 ordenadores = 700 Kbps velocidad que es muy buena para una conexión a Internet en el mejor de los casos.

10 Mbps/1 ordenador = 10 Mbps velocidad que es bastante buena para una conexión (idílica) a Internet.

Dado el número de usuarios/ordenadores, vamos a olvidarnos de el 802.11b con sus 11/22 Mbps y nos vamos a ir al 802.11g con sus 54 Mbps.

El PA Router distribuirá la señal entre los tres ordenadores, que ahora podremos poner en cualquier sitio. La configuración normal será que el niño / joven de la casa disponga del más potente para jugar en su habitación, el / los padres del tecnológicamente desfasado pero seguro para almacenar su documentación y navegar por internet en su despacho y el ordenador portátil se reservaría para hacer en casa (sigh!!) cosas del trabajo y poco más.

Dado que tenemos tres adaptadores "recibiendo" información desde internet, y dada la conexión ADSL con 256 Kbps de bajada, en el peor momento punta tendremos 256 Kbps/3 = 85'32 Kbps para cada uno, el cual parece un ancho de banda razonable, es más, dadas las características de los tres aparatos es altamente improbable que los tres estén conectados al mismo tiempo, y en ese caso de los tres conectados, es poco probable que estén los tres recibiendo información al máximo de su velocidad al mismo tiempo.

Para realizar este tipo de red es deseable usar un tipo de conexión 802.11b que nos va a permitir conectarnos a Internet sin ningún problema además de transferir archivos entre las máquinas y compartir recursos sin ningún problema de velocidad.

La configuración recomendada es la de más alta seguridad, tal y como se ha detallado en el apartado correspondiente a seguridad. El único paso que podemos obviar sería el uso de redes VPNs, aunque de todas formas sea recomendable su uso.

Tomando como ejemplo de marca a seleccionar a D-link, los precios (sin IVA) pueden ser los que siguen (sólo válidos como guía para este estudio):

- D-Link DWL-520+ PCI 61'12"

- D-Link DWL-650+ PCMCIA 50"

- D-Link DWL-120 USB 60'43"

- D-Link DWL-900AP+ AP 122'22"

Lo cual hace un total de 293'34", cantidad perfectamente asumible por una familia media o pequeño negocio. Si lo comparamos con el equivalente necesario (sin contar con el tiempo para realizar la instalación y los conocimientos que son necesarios) para instalar una red Ethernet típica a 10/100 Mbps, podemos llegar a la conclusión de que la red inalámbrica es MAS BARATA y más fácil de configurar, sin contar que nos permite conectar los ordenadores independientemente de dónde los hayamos colocado, evitando la instalación de incómodas canaletas por suelo y paredes.

Vamos a tomar como ejemplo una casa con tres ordenadores, dos de ellos de sobremesa y uno portátil. Esta configuración es una configuración estándar que representa bastante bien un amplio espectro de los hogares medios, en los cuales uno de los ordenadores se ha quedado tecnológicamente desfasado pero aún se quiere aprovechar, se ha comprado un segundo ordenador de sobremesa más potente y se tiene uno portátil bien por necesidades particulares o bien porque el trabajo de uno de los integrantes de la familia lo provee.

Suponemos que disponemos bien de una conexión telefónica o bien un ADSL/DSL/CABLE para conectarnos a Internet.

La lista de elementos que vamos a necesitar para implantar la red es muy corta.

- Ordenador 1 (ya disponible)

- Ordenador 2 (ya disponible)

- Ordenador portátil (ya disponible)

- 1 tarjeta PCI WiFi 802.11b (a adquirir)

- 1 tarjeta USB WiFi 802.11b (a adquirir)

- 1 tarjeta PCMCIA WiFi 802.11b (a adquirir)

- 1 PA Router Wifi 802.11b (a adquirir)

La configuración más normal será la de configurar el ordenador más tecnológicamente atrasado con la tarjeta Wifi PCI, poniendo la USB WiFi al ordenador más moderno y dejando la PCMCIA WiFi para el ordenador portátil.

Lo preferible sería ponerle a los dos ordenadores de sobremesa TR USB WiFi, pero si no disponemos de puerto USB o no tenemos ninguno libre en el ordenador antiguo habrá que ponerle tarjeta PCI WiFi.

Es necesario hacer notar al lector que en el caso de conectar tarjetas USB WiFi, debemos tener en cuenta que el USB 1.1 sólo permite transferir datos a una velocidad máxima de 12 Mbps por lo que si le conectamos una tarjeta USB WiFi 802.11g con una velocidad máxima de 54 Mbps no conseguiremos aumentar la velocidad. Para conectar este tipo de tarjetas es necesario disponer de conectores USB 2.0.

El PA Router será el encargado de conectarnos a Internet. Hay algunas unidades que llevan un MODEM 56K V90 integrado por lo que no es necesario comprar un MODEM adicional. En cualquier caso usar un MODEM para conectarse a Internet debería de ser la última de nuestras opciones, pues es muy recomendable el contratar las ya baratas soluciones ADSL / DSL / CABLE de cualquier proveedor que nos la ofrezca. Es caso del ADSL, por ejemplo y del DSL y CABLE por extensión, los routers disponen de una entrada WAN a la cual enchufar el MODEM sea del tipo que sea, por lo que el configurarlo será muy sencillo. Para este caso, supongamos una salida a internet mediante ADSL 256/128 Kbps.

Es muy interesante que disponga de Servicio DHCP (asignación dinámica de direcciones IP) y de NAT (traducción/asignación de direcciones IP mediante el uso de direcciones privadas del tipo 198.162.x.x ó 10.x.x.x) lo que nos permitirá permanecer protegidos de las "inclemencias" de internet.