Guia para El Diseno de Redes Empresarial PDF

1
GUÍA PARA EL DISEÑO DE REDES

EMPRESARIALES.
(TRANSICIÓN IPv4-IPv6)
Autor: Dr. Félix F. Alvarez Paliza

Profesor Titular, Dpto. Telecomunicaciones
UCLV
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
2
Introducción
Las tecnologías de la información y las comunicaciones (TIC), han estado transitando en este siglo
XXI por un proceso de transformación muy importante, que impacta hoy con fuerza a todas las
cosas que rodean al hombre.
Se trata de la convergencia de tres nuevos paradigmas: computación en la nube, movilidad y
comunicación de igual a igual (P2P). Si bien cada una cumple un papel diferente, no son
independientes. De hecho, se encuentran correlacionadas y se retroalimentan mutuamente. Por un
lado, surge una multiplicidad de terminales de conexión a Internet, cambiando el escenario existente
en el cual la PC era antes prácticamente el único sistema final de acceso a la red. Por otro lado, la
nube y los centros de datos han impactado en la arquitectura cliente-servidor, trayendo una nueva
visión más centralizada y asociada al procesamiento de datos. Por su parte, la tercera tendencia
involucra el concepto de comunicación de máquina a máquina o de igual a igual entre sistemas
finales.
Todo esto conlleva una gran variedad de nuevos servicios y automatización de procesos que tributan
a la informatización de la empresa, aportándole mayor eficiencia, competitividad, flexibilidad,
confiabilidad y buen desempeño.
Sin embargo, todos estos cambios repercuten directamente en las arquitecturas y diseño de redes,
empleadas tradicionalmente por las empresas. La incorporación de los tres paradigmas antes
mencionados inciden en varios aspectos, entre los cuales se pueden mencionar los siguientes:
 Aumento significativo de los dispositivos conectados a la red debido a la gran variedad de
equipos terminales, la movilidad y las conexiones máquina a máquina o de igual a igual (M2M
o P2P), todo esto acelera la necesidad de migrar al protocolo IPv6 ante el agotamiento de
direcciones del actual IPv4.
 Cambio en la relación de tráfico y controles de accesos, asociados a la centralización de
recursos, la computación en la nube (empresarial o privada) y la necesidad de transmisión y
procesamiento de datos a gran escala (Big Data), lo que evidencia el movimiento de los
patrones de tráfico a relaciones de 20% del tráfico local y 80% en el troncal o backbone
(20/80).
 Surgimiento de nuevas tecnologías más flexibles que se adaptan a la creciente velocidad de
los cambios y las demandas de los servicios mediante la virtualización de equipos y servicios.
3
 Autoservicio bajo demanda a partir de dotar de una mayor independencia al usuario para
obtener las capacidades necesarias sin necesidad de una interacción humana con el
proveedor del servicio.
 Múltiples formas de acceso a la red, lo que permite que los recursos sean accesibles a través
de la red y por medio de una amplia variedad de dispositivos finales.
 Compartición de recursos, que facilitan acceso a los recursos de los proveedores; los que son
compartidos por múltiples usuarios. Se van asignando capacidades de forma dinámica
ignorando el origen de los recursos e incluso compartiendo sus propias capacidades.
La presente guía nació con el objeto de poder brindar un material que facilite la introducción del
protocolo IPv6 en los diferentes entornos de las redes empresariales, motivado por la preocupación
de su lenta incorporación en la mayoría de los países en vías de desarrollo.
Esta guía se ha ido perfeccionando y actualizando, con el objetivo de explicar de forma clara los
pasos a seguir en el diseño de una red empresarial moderna.
Redes Empresariales o Corporativas (Intranets)

Las redes Empresariales (Enterprise Networks, Campus LAN, Intranets, etc.) son de vital
importancia para el desarrollo eficiente y sostenible; en este mundo de incesantes cambios basados
en las nuevas tecnologías de la información y las comunicaciones (TIC). Algunas de estas redes
tienen un tamaño y complejidad que sobrepasan a las Redes de Transporte (Carrier Networks).
Cada vez más las empresas van prestando mayor atención a las Tecnologías de la Información (TI)
y sus procesos se vuelven más dependientes de las tecnologías, surgiendo nuevas necesidades y
expandiéndose a gran velocidad.
Sin embargo, a pesar de estas necesidades, la adopción de medidas que garanticen una adecuación
de las infraestructuras de TI que soporten todos estos nuevos servicios y tendencias, se ha visto
retrasada.
En función de esta situación, los modelos empleados en el diseño de redes, sus arquitecturas y las
tecnologías empleadas en los mismos han evolucionado rápidamente para asumir los nuevos
servicios, dejando obsoletos viejos modelos de diseño y equipamientos que bien requerirán ser
actualizados o sustituidos.
4
Sin embargo el diseño de las Redes Corporativas permanece con fines específicos y pobre
comprensión, dado por la diversidad de escenarios y complejidades de las mismas.
De ahí que en este material se hayan recopilado diferentes trabajos relacionados con esta temática,
referidos en la bibliografía y en especial las RFC 4057, 4554, 4582 , 5375, 7381 y 8160 del IETF
(Ver Anexo I de esta guía todas las referencias a Libros, Manuales, sitios web, etc.).
Priorizando los escenarios de Redes Empresariales IPv4 con transición a IPv6 y escenarios con IPv6
(IPv6 Enterprise Network Scenarios) dada la necesidad de actualización de las redes empresariales
y su pase definitivo a Redes IP V6 con todas sus aplicaciones y servicios.
Para adherirse a las buenas prácticas de diseño hay que procurar que los principios del diseño de
redes tengan las características siguientes:
Modularidad: Los diseños de las redes de campo modulares soportan crecimientos
y cambios mediante el empleo de bloques constructivos, también denominados módulos, lo
que permite escalar la red de forma fácil en vez de rediseñar la misma.
Elasticidad: Los diseños de las redes de campo tienen que tener características de alta
disponibilidad (HA) y su tiempo de funcionamiento tiene que ser de un 100%. Imaginen una
red corporativa de un banco que podría perder millones de pesos por solo interrumpirse un
segundo. De ahí que se hable de la capacidad de recuperación de una red en milisegundos.
Flexibilidad: Los cambios en los negocios es una garantía para cualquier empresa, de ahí
que se requiera una rápida adaptabilidad y por ende los diseños de las redes corporativas
tienen que procurar y facilitar esos cambios.
Todo ello sin olvidar los objetivos técnicos: Escalabilidad, Disponibilidad, Desempeño, Seguridad,
Capacidad de gestión, Utilidad o funcionalidad, Adaptabilidad y la Afordabilidad (Costo-Efectividad).
Análisis de una Red Empresarial típica

Para una mayor comprensión se propiciará el análisis de una red típica, la cual está compuesta
de una o más redes LAN interconectadas por uno o más Enrutadores, corriendo el protocolo IP (IPv4
e IPv6) y donde el mayor volumen tráfico sobre esta red es basado en aplicaciones web.
Lo anterior se puede resumir de la forma siguiente:
5
 Muchos segmentos de redes LAN con una red troncal
 Mas de un protocolo de red
 Áreas configuradas con uno o dos protocolos de enrutamiento interno y externo.
 Facilidades de conexiones a la red para los empleados desde sus casas
 Interconexiones de la red a las oficinas ramales en otros lugares fuera del campus.
 Exigencias de nuevas conexiones a nuevas oficinas
 Servicios de Extranet a usuarios.
 Conexiones a Internet
La topología de las redes Empresariales muchos autores la dividen en bloques modulares o

jerárquicos con la siguiente designación: Nivel de Acceso, Nivel de Distribución y Nivel Principal
(Core), tal como se muestra en la figura siguiente:
Los niveles anteriores poseen las características siguientes:

Nivel de Acceso: Es utilizado para obsequiar a los usuarios, servidores y dispositivos de
bordes el acceso a la red. En el diseño del nivel de acceso se incorporan conmutadores con
puertos para ofrecer conectividad a la estaciones de trabajo, servidores, impresoras, puntos
de acceso inalámbricos, etc. El nivel de acceso para los que trabajan a distancia o de sitios
remotos al campo de la red corporativa es ofrecido a través de tecnología WAN.
Nivel de Distribución: El mismo añade los armarios de alambrado utilizando conmutadores

para segmentar y aislar la red de los problemas del entorno. De modo semejante este nivel
6
adiciona las conexiones WAN a los bordes del campo y ofrece un nivel de seguridad. A
menudo este nivel actúa como frontera de control y de servicios entre el nivel de acceso y el
principal.
Nivel Principal (Core o Backbone): Es diseñado con conmutadores de alta velocidad que
trabajan como mínimo entre 1 a 10 GigabitEthernet. Caracterizándose por su alto nivel de
disponibilidad y adaptación rápida a los cambios.
A continuación se muestra en la Figura 1.1, un ejemplo con uno de los escenarios correspondiente a
la descripción anterior, de una Red Empresarial (Intranet con acceso a Internet y servicios Extranet).
Fig.1.1 Esquema simplificado de una Red Empresarial

Una red Empresarial utiliza diferentes tipos de medios de red, los diferentes segmentos de oficinas
pueden ser redes Ethernet a 10/100/1000 Mbps y la red troncal que interconecta las diferentes redes
y los servidores puede ser una red también 1GigabitEthernet o de 10 Gigas, perfectamente.
7
Las conexiones a las redes externas, dígase Internet pueden ser de forma antigua sobre líneas
arrendadas, mediante enlaces Frame Relay, enlaces ATM o de forma más moderna mediante
enlaces a 1 Gbps o 10 Gigas Ethernet sobre WDM.
De forma análoga las conexiones a las oficinas ramales pueden ser de la forma anterior o mediante
túneles a través de las redes WAN, utilizando Redes Privadas Virtuales (VPN), VPLS, Carrier
Ethernet o MPLS-TP.
Luego hay que tener clara la situación de las conexiones de la red Corporativa a sus oficinas ramales
e Internet y los tipos de Interfaces de los Enrutadores o Conmutadores que se van a utilizar en la
misma.
Diseño o actualización de una red Empresarial

El diseño de una Red Corporativa sigue los pasos de forma parecida al de una gran red LAN de
campus, pero con mayores especificidades de forma profunda en la parte correspondiente a la
planificación de direcciones, planificación de enrutamiento, planificación de aplicaciones,
planificación de la seguridad, planificación de la gestión de la red y la planificación de la transición a
IPv6..
De forma general los principales pasos o etapas a seguir son:
- Análisis de las Condiciones
Primero hay que determinar bien las necesidades y los objetivos que desean los directivos y
usuarios, para poder satisfacer sus expectativas. Analizar los objetivos técnicos y sus limitaciones,
caracterizar la red o interconexión existente. En especial caracterizar el tráfico en la red desde un
enfoque de las aplicaciones y el transporte de datos que desean, antes de ponerse a pensar en los
equipos a emplear. Cantidad de usuarios actuales y futuros, aplicaciones actuales y futuras, etc.
Grupos en la empresa (VLAN)
Es necesario pensar acerca de los usuarios como grupos colectivos basados en el papel de cada
usuario en la organización (directivos, empleados, técnicos, clientes, etc.) a fin de conocer que
recursos ellos deben compartir dentro de la empresa.
Hoy la forma más común de agrupar a los usuarios es mediante redes LAN Virtuales (VLAN), pues
ellas permiten tomar un grupo de usuarios que estén localizados físicamente en lugares diferentes y
conectados a diferentes conmutadores y agruparlos en una simple subred lógica.
8
Por ejemplo el caso típico de permitir el acceso a Internet solo del personal directivo y técnico en
una empresa. Esto facilita que tanto las políticas de enrutamiento como de filtrado de paquetes sea
aplicada a una misma subred lógica.
Cada red VLAN constituye un dominio de difusión separado, de ahí que es importante lograr en el
análisis de tráfico que cada enlace sea configurado para permitir solo el tráfico apropiado para las
VLAN.
Otro aspecto es el de la ubicación de los Enrutadores que van a funcionar como Puente raíz del
árbol de expansión de la VLAN, pues hay que delimitar el número de enlaces que ven el tráfico de
difusión (broadcast) de las VLAN. Por lo que es importante colocar el Puente Raíz (Root Bridge) para
reducir el tráfico de difusión en la red y reducir las ineficiencias en la comunicación.
- Diseño lógico de la red

Para ello hay que partir del tipo de red, o sea si es una red para oficinas, edificio o para un campus.
Si la misma tendrá una topología en estrella o de anillo, si su jerárquica será de dos o tres niveles,
totalmente conmutada o enrutada, etc.
Hay diferentes variantes dentro del estándar IEEE 802.3 y esto da opciones de ancho de banda (10
Mbps, 100Mbps, 1000 Mbps, 10 Gigas, 100 Gigas, etc.). Igualmente hay diferentes variantes dentro
del estándar IEEE 802.11 y esto da opciones de anchos de banda también.
En el diseño lógico de la red también forman parte los módulos para el direccionamiento y nombres,
la selección de los protocolos de enrutamiento, la seguridad de la red y las estrategias de gestión
entre otros. Por lo que se requiere de una planificación detallada del direccionamiento y de nombres
de dominios. También es muy importante la selección de los protocolos de enrutamiento, la
seguridad de la red y las estrategias de gestión.
En cuanto a la seguridad de la red hay que considerar muy bien la ubicación de las ACL.
En este proceso de diseño de redes empresariales se recomienda hace hincapié en la ubicación de
las Listas de Control de Acceso (ACL). Para ello se va a considerar que el diseño del Enrutamiento
ha sido completado y que los dominios de rutas han sido exitosamente configurados.
Luego la tarea de ubicar las ACL y su construcción responde a los objetivos de seguridad de la red.
Por lo que la colocación de las ACL responde a un criterio de exactitud, dado que tienen que
garantizar junto con la configuración de las rutas, la entrega autorizada de los paquetes y evitar el
tráfico no autorizado.
9
La solución debe de ser flexible o elástica ante escenarios de fallos en Enrutadores o en enlaces,
de forma que las trayectorias o rutas alternas puedan ser tomadas.
Otra consideración en cuanto a la colocación de los ACL está en el gasto de procesamiento en que
incurren los Enrutadores al procesar las reglas paquete por paquete. Recientes estudios revelan que
algunas redes tienen más ACL en los Enrutadores internos y además se colocan ACL en los
Enrutadores de borde.
- Diseño Físico de la Red

Se requiere seleccionar los dispositivos y equipos de los niveles 1, 2 y 3 para la Red de Área Local
(LAN) y su interconexión con la WAN. El sistema de cableado estructurado que va adoptarse, etc.
Hay que hacer un análisis económico no solo del costo de los medios y equipos, sino también el
costo de instalación y del costo de operación y mantenimiento de la red. En especial como recuperar
la inversión.
- Pruebas y Documentación del diseño

Hay varias formas de probar el diseño de una red, pero en el siglo XXI nadie monta una red si antes
no la ha modelado y simulado previamente. Estas herramientas permiten analizar el comportamiento
o desempeño de la red diseñada, a partir de los patrones de tráfico actuales y futuros, ante la
cantidad prevista de usuarios y su futuro crecimiento, los servicios, nuevas aplicaciones. etc.
La documentación debe ser tanto de todas las conexiones físicas, como de las conexiones lógicas,
software instalado, políticas de seguridad (incluidas medidas de contingencia), etc.
Este paso es muy importante, pues del mismo dependerán las acciones futuras de mantenimiento y
operación.
Por lo que se deben seguir los pasos indicados sobre Diseño de Redes Empresariales, indicados en
la figura siguiente:
10
A continuación se hará mayor hincapié en la parte técnica correspondiente al segundo paso o etapa
relacionada con Seleccionar la topología, selección de la tecnología, planficación de las direcciones
IPv4 e IPv6, Selección de los protocolos de Enrutamiento, Selección de los Servidores y Equipos,
Seguridad mínima de la red, etc. Todos estos pasos constituyen el elemento princip0al de
organización y estructura de la futura red empresarial.
Para ello se va a obviar la etapa correspondiente al diseño de una red LAN de campo hechos
con anterioridad y centraremos la atención en los aspectos siguientes:
 Planos de conexiones lógicas de la Red con sus equipos e interconexiones.
 Planificación de las direcciones IPv4 e IPv6 de la red Corporativa
 Protocolos de Enrutamiento para la red Corporativa
 Aplicaciones y Servicios a incluir en la Red Corporativa
 Servidores y equipos.
 Configurar los equipos y servicios para la Red Corporativa
 Análisis de tráfico de las aplicaciones en la red
 Seguridad de la red
 Herramientas de Gestión o Administración de la red
11
 Modelación y simulación de la red Corporativa
 Probar la red Corporativa
A continuación se desglosan cada uno de los aspectos que tienen que considerarse para realizar un
buen diseño o actualización de una red Corporativa:
 Planos de conexiones lógicas de la Red con sus equipos e interconexiones
Es importante conocer los planos de todas las conexiones lógicas de toda la red Corporativa (red y
subredes), las características de los medios, equipos de interconexión, interfaces, servidores, etc.
En especial el cuarto de control de la red, la disposición de los armarios con los equipos, su
protección física, sistema de respaldo de información, sistema de respaldo de energía, aterramiento,
etc.
Recuerde que un plano simplificado de la red para su uso con una herramienta de modelación y
simulación no es un plano completo de conexiones lógicas.
 Planificación de las direcciones IPv4 e IPv6 de la red Corporativa
O sea que hay que asignar las direcciones IP a la red Corporativa, en este caso para el escenario de
Campus que se ha tomado de forma hipotética. Para ello hay que seleccionar direcciones IP de
redes Privadas, donde se tome en consideración el crecimiento futuro de la red (nuevas subredes y
nuevos usuarios).
Después de planificar la red, las direcciones son asignadas, de forma manual o mediante servidores
DHCP en los rangos o gama descrita en la tabla para todas las PC en la red troncal y en los
segmentos o subredes.
Si se requirieran más de 254 direcciones en un segmento, pues se debe configurar una nuevo
segmento en vez de incrementar el rango de la red. En este caso a las subredes se le asignó una
gama de 254 direcciones IP V4. Sin embargo si una oficina es pequeña y tiene pocos usuarios, este
rango desperdicia direcciones y para ello se debe utilizar máscaras de subredes de longitud variable
(VLSM). En esto hay que tener en consideración que los protocolos de Enrutamiento RIP V2 y OSPF
permiten trabajar con este tipo de máscaras de subredes de longitud variable.
Tal como se expresa en la RFC4057 y en la más actual RFC 7381 (Enterprise IPv6 Deployment
Guidelines), este escenario es en el que hay que desplegar IPv6 en conjunto con IPv4.
 Protocolos de Enrutamiento para la red Corporativa
12
Este es el paso donde hay que decidir que protocolos de enrutamiento Internos se van a utilizar en
la red Corporativa: RIP, OSPF, EIGRP y BGP.
Típicamente en las redes Corporativas se emplea el protocolo OSPF debido a su eficiencia en
grandes redes, aunque en el caso de Redes con equipos Cisco se emplea mucho el protocolo
EIGRP.
Igualmente hay que tener presente que se va a trabajar con IP V4 e IP V6.
Luego la etapa de instalar y configurar los Enrutadores o Conmutadores de Capa 3 es clave y para
ello de forma general se deben seguir los pasos siguientes:
a) Verificar la compatibilidad de todo el hardware instalado
b) Revisar toda las documentación del fabricante de los Enrutadores o Switch-L3
c) Instalar y configurar los protocolos de enrutamiento dinámico
d) Diseñar y desplegar el enrutamiento IP estático
e) Determinar los servicios de configuración automática (DHCP), mediante Routers o Servidores
DHCP.
f) Añadir y configurar agentes de retransmisión de DHCP, si hiciera falta.
g) Configurar los Enrutadores para soportar multidifusión (multicast)
h) Diseñar y desplegar la traducción de direcciones (NAT)
i) Configurar los filtros de paquetes IP (a nivel de TCP)
j) Configurar las listas de control de acceso (ACL)
k) Revisar las medidas de seguridad para Enrutadores y Switch-L3
 Servidores y equipos
Para la selección de los equipos de interconexión (Router / Switch capa 3) hay que analizar varias
opciones (no menos de tres) a fin de hacer comparaciones y fundamentar la selección.
Igualmente para los servidores hay que hacer lo mismo, pues debe recordarse que es un exigencia
técnica y administrativa de evitar favoritismos e ilegalidades con determinados vendedores.
Realice la selección del hardware necesario para la red tales como: transceptores (transceivers),
Conmutadores (Switch), Enrutadores (Routers), interfaces , Cortafuegos o Firewalls, Servidores,
estaciones de trabajo adicionales, fuentes de respaldo (UPS) , etc.
- Es importante la correcta selección de los Servidores acorde a los servicios (sitios web, correo,
de transferencia de ficheros, de base de datos, DHCP, DNS etc.)
13
- Sistemas Operativos a emplear, pues los mismos tienen capacidades de red incorporadas a
ellos ( Microsoft Windows, Linux, Ubuntu, Red Hat, Apple Mac, etc.).
A la hora de seleccionar los productos debe tener en consideración:

 Identificar los productos específicos en el mercado para conocer sus cualidades técnicas y
presupuesto (recordar siempre que lo barato sale caro).
 Determinar la necesidad y efectividad de la documentación de cada producto en perspectiva
(si está completa, clara, etc.).
 Considerar la reputación del fabricante y distribuidor.
 Hacer una selección comparando el presupuesto de lo que necesita el usuario y analizar
la calidad de los productos y costos.
 Valorar el costo de los paquetes de software, su licencia de explotación, costo de
actualizaciones, etc.
 Considerar las implicaciones de seguridad para: Acceso remoto, Acceso local, Acceso a
ficheros, Acceso a hardware, Acceso a grabación etc.
 Otros servicios a incluir en la Red Corporativa

Para este escenario los servicios DHCP son utilizados para la configuración automática de las
direcciones IP y otra información sobre computadoras de clientes.
Puesto que al utilizar DHCP, los agentes retransmisores (Relay Agent DHCP) tienen que ser
configurados sobre los servidores ejecutando Enrutamiento y Acceso Remoto a través de los
Enrutadores que están en posiciones claves (para la Fig.1.1 por ejemplo en la posición 1, 2, 3, 4 y 7.
Cuando los agentes DHCP son utilizados las computadoras de los clientes adquieren las direcciones
de los servidores (para la figura 1.1 en las redes A, B, D y G pueden adquirir las direcciones desde
un servidor DHCP en la red troncal (backbone) de campus.
De lo contrario, si se implementa un servidor DHCP en cada red no haría falta instalar agentes
DHCP.
También es importante la configuración de los servicios de nombres de Dominio (DNS), así como
determinar los servidores a colocar.
Entre los otros servicios a incluir en la red corporativa están:
- Telefonía IP
- Video Conferencias
14
- Video (Streamming)
- Respaldo de información
- Correo por Web (Web mail)
- Bases de datos
- Todos los servicios anteriores deben tener enlaces mediante la página web de la Intranet.
Hay que tener bien claro a cuales empleados (técnicos, administrativos, directivos, clientes, etc).se
les permitirá el acceso y a cuáles no se les permitirá. Igualmente en una instalación hospitalaria
(personal médico, paramédico, administrativo y pacientes), en una universidad (profesores,
estudiantes y administrativos).
 Configurar los equipos y servicios para la Red Empresarial

Para configurar la red empresarial descrita en este escenario, deben completarse una serie de pasos
en cada uno de los Enrutador o Conmutador presentes en la misma.
De forma general se indican a continuación
1. Las palabras claves y tiempo de acceso a los Enrutadores (Routers/Switch-L3) y
2. Los interfaces de red y su programación
3. Las direcciones IP que son asignadas a las interfaces anteriores para conectarse a la red
troncal y a las subredes.
4. Los protocolo de enrutamiento (RIP, OSPF, EIGRP, BGP,etc.) y servicio de acceso remoto.
5. En especial configurar el protocolo OSPF y las áreas a considerar.
6. Los agentes DHCP, los Enrutadores y/ o los servidores DHCP
7. Los servidores de Nombres de Dominio (DNS)
8. Los servidores de Aplicaciones (Web, E-mail, FTP, Bases de Datos, etc.)
9. Los Cortafuegos (Firewalls) para la seguridad de la Red.
Es importante no olvidar QUE PARA ACCEDER A LOS RECURSOS DE LA RED CORPORATIVA

(INTRANET) y a Internet, hay instalar los servidores de nombre de Dominio (DNS) primario y
secundario de la red Corporativa.
No se van a utilizar los accesos a los recursos de la red utilizando NetBIOS o WINS (de Microsoft).
Es importante conocer que el protocolo OSPF (Open Shortest Path First) no está disponible para
Windows XP 64-bit Edition (Itanium), ni tampoco para versión de 64-bit de Windows Server 2003. Ya
15
hay que pensar en versiones más modernas de los mencionados anteriormente y tener cuidado en
las redes corporativas que trabajan con estas versiones.
En la tabla siguiente se muestran diferentes tipos de tráfico que pueden existir en una red corporativa
de campo. Tal es así que identificar los flujos de tráfico, tipos y patrones de tráfico es un pre-requisito
para diseñar una red.
Algún tipo de flujo de tráfico está basado en el modelo de igual a igual (peer-to-peer) o P2P entre
puntos extremos que pueden estar lejanos uno del otro. Estos dispositivos pueden ser PC, teléfonos
IP u otro dispositivo donde la mayoría del tráfico pasa por la red corporativa. Algunos de estos
tráficos no son sensibles al ancho de banda o a los retardos, pero otros si son en tiempo real cuando
hay interacción entre los dispositivos pares o iguales. Típicas aplicaciones son las de mensajería
instántanea (chat, jabber, etc.) y compartir ficheros. De ahí que muchas empresas limiten este tipo
de tráfico clasificado como de fondo o de carroña.
 Seguridad de la red
Este es un aspecto de alta prioridad, lo que requiere definir las políticas y herramientas de
seguridad informática a implementar en la red Corporativa.
16
Uno de los primeros objetivos en cuanto a la seguridad de los Enrutadores (en este material da lo
mismo mencionar Enrutador/ Switch-L3) es su seguridad física. El cuarto de control debe estar
protegido contra robos y solo una cantidad de personas limitadas deben de tener acceso al mismo.
Los Enrutadores pueden ser configurados con filtros para ayudar a mantener el control de la
transferencia de datos en las redes basadas en protocolos y direcciones. En los mismos se pueden
aplicar filtros en diferentes formas.
Por lo que hay que considerar de forma cuidadosa que servicios de red serán permitidos pasar a
través del Enrutador (en entrada y en salida) y hacia el Enrutador.
De ahí que se recomiende utilizar la regla siguiente: Aquellos servicios que no son explícitamente
permitidos son prohibidos.
El filtrado de paquetes también debe ser utilizado para proteger a la red contra el uso de direcciones
IP para suplantación de identidad (spoofing). De ahí la importancia de configurar las listas de Control
de Acceso (ACL) y su ubicación en los Enrutadores.
Algunas empresas mantienen un listado de puertos y protocolos estándares que deben ser
permitidos y soportados sobre sus redes. Debiendo rechazarse todos los otros
Una política de seguridad tiene que definir los objetivos específicos, emplear una zona de red
desmilitarizada (DMZ) y en especial preparar un Cortafuegos (Firewall) con sus reglas de
configuración básicas, tal como se muestra en la Figura 1.3.
Fig.1.3 Relación entre la zona DMZ y el papel del Cortafuegos

De forma simple se puede pensar que un servidor Proxy (Delegado) como un cortafuegos del nivel
de aplicación. Pero en el caso de los servidores Delegados (proxies) web estos pueden servir para
dirigir, redirigir o limitar el acceso a servidores y URL específicas.
17
Aunque el proxy puede ser colocado en paralelo con el cortafuego, preferentemente el mismo
debe ser colocado detrás del cortafuego. En caso de mucho carga de tráfico se pueden utilizar varios
cortafuegos en paralelo.
En casos extremos tiene que estar seguro que se han utilizado reglas consistentes para todos los
cortafuegos.
Hay que valorar la utilización o no en una red Corporativa el empleo de Proxy directos e
inversos.
La política de seguridad tiene que estar en un documento vivo, que forme parte de la práctica de la
red de forma regular y que se revise y actualice ante diferentes eventos que ocurren tales como:
 Nuevas conexiones realizadas entre la red local y las redes externas
 Cambios de prácticas administrativas, procedimientos, de personal, etc.
 Cambios en la política general
 Despliegue de nuevas capacidades o nuevas componentes de red.
 Detección de ataques o compromisos serios.
A continuación se hace un resumen de los principales aspectos tomar en cuenta para la

Política de Seguridad de un Enrutador:
Seguridad a nivel físico:
a) Designar quien está autorizado para instalar, desinstalar y mover el Enrutador.
b) Designar quién está autorizado para el mantenimiento del hardware y para cambiar la
configuración física del Enrutador.
c) Designar quién está autorizado para ejecutar conexiones físicas al Enrutador
d) Definir controles sobre la colocación y uso de la consola y otros puertos de acceso directo.
e) Definir procedimientos de recuperación para casos de daños físicos al Enrutador o evidencia de
sabotaje con el Enrutador.
Seguridad de la configuración estática:

a) Designar quién está autorizado a registrarse directamente en el Enrutador mediante la consola u
otros puertos de acceso directo.
b) Designar quién está autorizado asumir privilegios administrativos sobre el Enrutador.
c) Definir procedimientos y prácticas para hacer cambios en la configuración estática del Enrutador
(por ejemplo en el libro de registros, cambiar registros, revisar procedimientos, etc.)
18
d) Definir la política de palabras claves (passwords) para los usuarios y para administrativos o
privilegiados.
e) Designar quién está autorizado para registrarse en el Enrutador remotamente (por TELNET, pero
nunca por Web).
f) Designar los protocolos, procedimientos y redes permitidas para registrarse remotamente en el
Enrutador.
g) Definir los procedimientos de recuperación, o identificar los responsables individuales para la
recuperación, para el caso de configuración estática del Enrutador.
h) Definir la política de registro y auditoría para el Enrutador, incluyendo la práctica de
administración de registros remota y los procedimientos.
i) Designar procedimientos y límites en el uso de administración remota automatizada y las
facilidades de monitoreo (por ejemplo usando SNMP).
j) Definir líneas directivas para detectar ataques contra el Enrutador.
k) Definir las políticas de administración para claves criptográficas a largo plazo.
Seguridad de la configuración dinámica:

a) Identificar los servicios de configuración dinámica permitidos sobre el Enrutador y las redes
permitidas acceder a estos servicios.
b) Identificar los protocolos de enrutamiento a ser utilizados y los rasgos de seguridad a ser
empleados en cada caso.
c) Designar mecanismos y políticas para fijar el mantenimiento automático del sincronismo de reloj
del Enrutador (por ejemplo, Manual, NTP,etc.)
Seguridad del Servicio de Red:

a) Enumerar los protocolos, puertos y servicios que serán permitidos o filtrados por el Enrutador.
b) Identificar los procedimientos y autoridades para autorizar los protocolos, puertos y servicios.
c) Definir procedimientos de respuesta, autoridades y objetivos en el caso de detección de ataques
contra la red.
Es importante conocer las normas ISO/IEC 27000 relacionadas con la seguridad de Redes, en
especial la ISO/IEC 27033-1:2009 la que ofrece una visión de la seguridad de redes y las
definiciones relacionadas con ella.
19
A continuación se relacionan estas:
ISO 27033-2 Network security - Part 2: Guidelines for the design and implementation of network
security
ISO 27033-3 Network security - Part 3: Reference networking scenarios -- Risks, design techniques
and control issues
ISO 27033-4 Network security - Part 4: Securing communications between networks using security
gateways - Risks, design techniques and control issues
ISO 27033-5 Network security - Part 5: Securing virtual private networks - Risks, design
techniques and control issues
ISO 27033-6 Network security - Part 6: IP convergence
ISO 27033-7 Network security - Part 7: Wireless
 Gestión o administración de la Red Corporativa

Para monitorear una red y colectar mediciones en tiempo real se necesitan ejecutar las acciones
siguientes:
 Determinar qué tipo de información se necesita y como se quiere representar (por ejemplo si
se quiere tomar mensajes de alerta SNMP provenientes de Enrutadores o Conmutadores.
 Determinar que herramienta utilizar (por ejemplo RMTG, NAGIOS, Netflow, etc.)
 Determinar que se va a monitorear y como (por ejemplo si es importante obtener de forma
detallada una visión en forma real de un conmutador).
 Establecer una comparación entre lo medido y una referencia.
 Observar las tendencias y planificar acerca de lo que necesita actualizar.
 Pruebas a la red Corporativa diseñada

La simulación de redes ofrece las posibilidades siguientes:
 Un medio de probar cambios propuestos antes de ejecutarlos.
 Un medio de realizar un análisis de la confiabilidad de los elementos principales en una red.
 Un medio de valorar la situación ante pérdidas de elementos componentes.
 Un medio de planear el futuro crecimiento de la red.
 Un medio de diseño inicial de una red propuesta.
20
No debe olvidar que un modelo de simulación es una representación simplificada de un sistema,
posibilitando estudiar el comportamiento y las propiedades del sistema.
Luego para probar la red diseñada, utilizará la Herramienta Packet Tracert (versión 6.0) lo que
le permitirá realizar pruebas de conectividad de los equipos y otras pruebas para responder a
las interrogantes siguientes:
¿Están siendo los paquetes IP v4 e IP v6 encaminados correctamente?
¿Está trabajando bien el NAT interno y externo?
¿Está trabajando correctamente los protocolos RIP y OSPF?
¿Están todas las redes incluidas en las tablas de rutas?
¿Funcionan bien los servidores (web, mail, ftp, VoIP, video, etc.)?
¿Funcionan bien las políticas de seguridad, en especial las ACL ?
¿Funcionan bien las redes LAN virtuales (VLAN)?
¿Están trabajando correctamente los túneles y dobles pilas IP V4 – IP V6?
¿Está funcionando adecuadamente el Cortafuegos (Firewall)?
¿Están funcionando bien los servidores Proxies?
Para demostrar el buen desempeño de la red Corporativa diseñada utilizará la Herramienta
OPNET Modeler, con ello responderá:
¿Cuál es el desempeño de la red (retardo y razón de transferencia)?
¿Cuál es el tiempo de respuesta de las aplicaciones?
¿Cuál es la utilización de los servidores?
Para justificar lo anterior hay que documentarlo en un informe donde se muestren las pruebas
realizadas y los resultados obtenidos (tablas, gráficos, etc.)
 Documentación
Esta tarea a veces es menospreciada o dejada para después, pero sin embargo es de vital
importancia para poder posteriormente realizar las tareas de mantenimiento, reparación o
modernización de la red Corporativa. Además de que es muy frecuente de que se cambie el personal
de administración de una red y el nuevo personal no encuentre ninguna documentación.
Se recuerda que el informe se realizará acorde a lo indicado y en especial en el desarrollo
seguirá paso a paso lo anteriormente explicado que se vuelve a plasmar:
21
 Planos físicos y lógicos de la Red con sus equipos e interconexiones. En especial se
levantará el plano físico y de conexiones lógicas del cuarto de control de la red
corporativa.
 Tablas de asignación de las direcciones IPv4 e IPv6 de la red Corporativa
 Identificación de las VLAN con su puertos y direcciones IP
 Tablas de Ruta de los Protocolos de Enrutamiento para la red Corporativa
 Servicios de DHCP y DNS seleccionados para la red Corporativa.
 Aplicaciones típicas y nuevas seleccionadas para la red Corporativa.
 Servidores y equipos seleccionados (hojas de datos en anexos).
 Configuración de cada uno de los equipos y servicios para la Red Corporativa (programas en
CLI de cada equipo)
 Análisis de tráfico de las aplicaciones más importantes en la red (escenarios diseñados y
simulados)
 Resultados de las corridas que demuestren el mejoramiento del desempeño (gráficos y curvas
con el análisis de los parámetros)
 Medidas de Seguridad de la red adoptadas
 Herramientas de Gestión o Administración de la red
 Demostración práctica de las pruebas realizadas a la red Corporativa
22
Bibliografía :
1. Alvarez Paliza Félix, Notas del profesor, Tema “Interconexión de Redes”, disponible en
\\10.12.1.64\docs\FIE\Asignaturas\Telecom y Electrónica\Redes II,
2. Joseph Davies, Understanding IPv6, 3era Edición, O´Really Media, 2012.
3. Larry Peterson and Bruce S. Davie, Computer Networks a System Approach, Morgan
a. Kauffman , 2012
4. Jhon J.Amos y Daniel Minoli, “Handbook of IPv4 to IPv6 transiction”, Auerbach Publications,
a. 2008.
5. Farrel Adrian, The Internet and its protocols, Elsevier, 2004
6. IETF, Request for Comments (RFC) (http://www.faqs.org/rfcs/).
7. UIT-T Serie Y (http://www.itu.org )
8. Microsoft, Corporate Network, Updated: January 21, 2005 disponible en
http://technet.microsoft.com/en-us/library/cc782833(WS.10).aspx.
9. ORACLE, System Administration Guide: Planning and IPv6 addressing Scheme,
Chapter 3, 2011, disponible en http://docs.oracle.com/cd/E19082-01/819-3000/ipv6-
planning-1/index.html
10. Cisco, Cisco IOS IP Configuration Guide, Release 12.2, 2006.
11. Yu-Wei Eric Sung, et.al, Towards Systematic Design of Enterprise Networks, IEEE/ACM
TRANSACTIONS ON NETWORKING, VOL. 19, NO. 3, JUNE 2011.
12. Bound J., IPv6 Enterprise Network Scenarios, RFC 4057, June 2005.
13. Chown T.,Use of VLANs for IPv4-IPv6 Coexistence in Enterprise Networks, RFC 4554, Junio
2006.
14. Gagliano Roque, Planificando IPv6, disponible en sitio web de LACNIC, 2009.
15. Shannon McF., Muninder S, Nikhil S., Sanjay H.,” IPv6 for Enterprise Networks
(Networking Technology)”, Cisco Press, Abril 2011.
SITIOS WEB ÚTILES

AREAS DE INTERÉS ORGANIZACIÓN SITIOS
Internet standards
and RFCs Internet Society /IETF/ RFC editorwww.rfc-editor.org
Internet Archives www.faqs.org/rfcs/
23
Network Coordination Centre) www.ripe.ne
LACNIC www.lacnic.com
International
telecommunications
standards International Telecommunications
Union www.itu.int
ITU-T recommendations www.itu.int/ITUT/
publications/index.html
Institution of Electrical and

Electronics Engineers (IEEE) www.ieee.org
International Organization for

Standardization (ISO) www.iso.org
International Electrotechnical
Commission www.iec.ch
Protocols General protocols www.protocols.com

www.networksorcery.com
Committee http://grouper.ieee.org/groups/802/
IPv6 IPv6 forum www.ipv6forum.com

Portal IPv6Cuba http://www.cu.ipv6tf.org
 - http://portalipv6.lacnic.net/
 - http://www.ipv6tf.org/
 - http://www.ipv6forum.org/
 - http://www.ipv6ready.org/
 - http://getipv6.info/
 - http://www.cisco.com/IPv6/
24
 -
http://www.microsoft.com/ip
v6
Router and
network
Cisco Systems www.cisco.com
Extreme Networks www.extremenetworks.com
Foundry Networks www.foundrynet.com
Juniper Networks www.juniper.net
Lucent Technologies www.lucent.com
Northern Telecom (Nortel) www.nortelnetworks.com
3 Com www.3com.com
Huawei www.huawei.com

Guia para El Diseno de Redes Empresarial PDF

Cargado por

Copyright:

Formatos disponibles

Guia para El Diseno de Redes Empresarial PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia para El Diseno de Redes Empresarial PDF

Cargado por

Copyright:

Formatos disponibles

1

GUÍA PARA EL DISEÑO DE REDES

Autor: Dr. Félix F. Alvarez Paliza

Redes Empresariales o Corporativas (Intranets)

Análisis de una Red Empresarial típica

La topología de las redes Empresariales muchos autores la dividen en bloques modulares o

Los niveles anteriores poseen las características siguientes:

Nivel de Distribución: El mismo añade los armarios de alambrado utilizando conmutadores

Fig.1.1 Esquema simplificado de una Red Empresarial

Diseño o actualización de una red Empresarial

- Diseño lógico de la red

- Diseño Físico de la Red

- Pruebas y Documentación del diseño

 Protocolos de Enrutamiento para la red Corporativa

A la hora de seleccionar los productos debe tener en consideración:

 Otros servicios a incluir en la Red Corporativa

 Configurar los equipos y servicios para la Red Empresarial

Es importante no olvidar QUE PARA ACCEDER A LOS RECURSOS DE LA RED CORPORATIVA

Fig.1.3 Relación entre la zona DMZ y el papel del Cortafuegos

A continuación se hace un resumen de los principales aspectos tomar en cuenta para la

Seguridad de la configuración estática:

Seguridad de la configuración dinámica:

Seguridad del Servicio de Red:

 Gestión o administración de la Red Corporativa

 Pruebas a la red Corporativa diseñada

SITIOS WEB ÚTILES

Institution of Electrical and

International Organization for

Protocols General protocols www.protocols.com

IPv6 IPv6 forum www.ipv6forum.com

También podría gustarte