Infraestructuras de Sistemas

de Informacin
BLOQUE II: Diseo Lgico de la red.

5-1

Top-Down Network Design

Captulo 05
Diseo de una Topologa de Red

Copyright 2010 Cisco Press & Priscilla Oppenheimer

Traduccin: Emilio Hernndez
Adaptado para ISI: Enrique Osta.

5-2

NDICE:
Aspectos del Diseo de Topologas de Redes
Jerarqua
Redundancia
Modularidad

Topologa de Redes Campus

Topologa de la frontera WAN
Seguridad en las Topologas

5-3

Topologa
Una rama de las matemticas que se ocupa de las
propiedades de configuraciones geomtricas que
permanecen inalteradas por deformaciones
elsticastales como estiramientos y dobleces
Un trmino utilizado en el campo de las redes de
computadoras para describir la estructura de una red

5-4

Por qu usar un Modelo

Jerrquico?
Reduce la carga en los dispositivos de red
Evita que los dispositivos de red tengan que
comunicarse con demasiados dispositivos
similares

Limita los dominios de broadcast

Aumenta la simplicidad y la comprensin
Facilita los cambios en la red
Facilita el escalamiento a un tamao mayor

5-5

Diseo de Red Jerrquico

Enterprise WAN
Backbone
Campus A

Core Layer
Campus B

Campus C

Campus C Backbone

Distribution
Layer

Access Layer

Building C-1

Building C-2
5-6

Modelo de Diseo Jerrquico

Una capa de ncleo (core layer) con routers de
alto desempeo, optimizados para velocidad
Una capa de distribucin (distribution layer) con
routers normales o switches de gama alta. que
implementan polticas y segmentan el trfico
Una capa de acceso (access layer) que conecta a
los usuarios con hubs, switchs o puntos wifi.
Si la red es mediana/pequea, se pueden
combinar ncleo y distribucin en una sola.
5-7

Capa ncleo (core layer)

Forma el backbone de alta velocidad de la red
Al ser un punto crticos de interconectividad
debera utilizarse algn nivel de redundancia.
Se debe utilizar algn caracterstica que optimice
la tasa de envo de paquetes, evitando poner filtros
que ira en contra de esto.
El dimetro del core debe permanecer fijo, para
asegurar un rendimiento predecible.
Tpicamente ofrecern conexiones al exterior
(internet y/o otros oficinas).
5-8

Capa distribucin (distribution layer)

Es la capa de demarcacin entre ncleo y acceso, abstrayendo
los detalles topolgicos de una de esas capas de la otra, por
modularidad y rendimiento.
Debe controlar el acceso a los recursos de manera segura y
controlando el trfico que atraviesa el ncleo sin control.
Delimitar los dominios broadcast y el rutado entre VLANs.
Puede sumarizar rutas de la capa acceso para simplicar el
routing en la capa del ncleo.
Puede hacer de interfaz entre ncleo y acceso para protocolos
de enrutamiento dinmico, haciendo que ambas capas usen los
propios (ej, IGRP acceso + EIGRP ncleo).

5-9

Capa acceso (access layer)

Provee de acceso a la red a los usuarios.
En redes Campus est formada por hubs (en
desuso), switchs o puntos de acceso inalmbricos,
de forma que se limitan los dominios de broadcast
y se cumplen los requisitos de las aplicaciones con
caractersticas crticas respecto a retardos/trfico.
En redes WAN para conectar pequeas oficinas,
provee el acceso a travs de algn servicio de
datos (DSL, Fibra, 3G, etc), implementando
algunas polticas de rutado segn sean conexin
permanente o conexin bajo demanda.
5-10

Redes Campus y Enterprise

Red Campus [CAN, Campus Area Network]
conecta varios edificios en distancias cercanas
(cientos de metros), en cada edificio habr varias
LAN y una troncal del edificio. Generalmente la
conexiones entre edificios tambin son propias.
Red Enterprise es una red muy grande y diversa,
puede contener varios Campus o edificios remotos
conectados por servicios de acceso WAN, que
normalmente son alquiladas a un proveedor de
datos.
5-11

Diseo Plano vs Jerrquico

Headquarters in
Medford

Headquarters in
Medford

Grants Pass
Branch Office

Klamath Falls
Branch Office

Ashland
Branch
Office

Flat Loop Topology

Grants Pass
Branch
Office

Klamath Falls
Branch Office

Ashland
Branch
Office

White City
Branch Office

Hierarchical Redundant Topology

5-12

Diseos en
Malla (Mesh)

Partial-Mesh Topology

Full-Mesh Topology
5-13

Un Diseo Jerrquico de Malla Parcial

Sede Principal
(Core Layer)

Sucursales
Regionales
(Distribution
Layer)

Oficinas (Access Layer)

5-14

Topologa Jerrquica Hub-and-Spoke

Sede
Corporativa

Oficina
Regional

Oficina casera

Oficina
Regional 5-15

Directrices para un diseo jerrquico

Estimar el dimetro de las 3 capas, para estimar
rutas, flujos de trfico y necesidades de capacidad.
Comenzar con la capa de acceso, para poder planear
la capacidad necesaria en cada segmento de red y
reconocer qu caractersticas buscamos en las capas
superiores.
En acceso, hay que evitar los chains (aadiendo una
4 capa) y backdoors (cuando se forma una nueva
conexin entre 2 equipos de la misma capa).
Diseamos cada capa y luego las interconexiones
entre ellas, basndonos en los anlisis y medidas
realizadas/estimadas.
5-16

Evitar Chains y Backdoors

Core Layer

Distribution Layer

Access Layer

Backdoor
Chain
5-17

Cmo saber si tenemos un buen diseo?

Cuando sabemos cmo agregar un nuevo edificio,
piso, enlace WAN, sitio remoto, servicio de
comercio-e, etc.
Cuando agregar algo slo causa cambio local, a los
dispositivos conectados localmente
Cuando la red puede duplicarse o triplicarse en
tamao sin hacer cambios importantes al diseo
Cuando resolver problemas es fcil porque no hay
interacciones de protocolo complejas
5-18

Modularidad: Ciscos SAFE

Security Reference Architecture

5-19

Diseo de Topologa de Campus

Usar un esquema modular y jerrquico
Minimizar el tamao de los dominios de
ancho de banda
Minimizar el tamao de los dominios de
difusin
Proveer redundancia
Servidores con espejo
Diversas maneras de salir a travs de un router
desde una estacin de trabajo
5-20

Mdulos de un Campus
Corporativo
Granja de servidores
Mdulo de gestin de redes
Mdulo de distribucin de frontera, para la
comunicacin con el resto del mundo
Mdulo de infraestructura de campus:
Submdulo de acceso a edificios
Submdulo de distribucin de edificios
Backbone del campus

5-21

Diseo Redundante de Campus

Sencillo
Estacin A
LAN X

Switch 1

Switch 2

LAN Y

Estacin B

5-22

Switches usan el Protocolo STP

(Spanning-Tree Protocol)
Estacin A
LAN X

X Switch 2

Switch 1

LAN Y

Estacin B

5-23

Switch Corriendo STP

Participa junto a otros switches en la eleccin de uno en
particular, ROOT BRIDGE (menor ID; ID=Prio+MAC)
Calcula la distancia del camino mnimo al ROOT BRIDGE y
eligen un puerto local (conocido como ROOT PORT) que
provee el camino mnimo al ROOT BRIDGE.
Para cada segmento LAN, elegir un DESIGNATED
BRIDGE y un DESIGNATED PORT en ese swtich. El
DESIGNATED PORT es el puerto en el segmento LAN que
est ms cerca del ROOT BRIDGE. (Todos los puertos en el
ROOT BRIDGE son DESIGNATED PORTS)
Seleccionar puertos del switch que van a ser incluidos en el
rbol cobertor (Spanning-Tree). Los puertos seleccionados
son los ROOT y DESIGNATED PORTS. Estos puertos
reenvan el trfico. Otros puertos bloquean el trfico.
5-24

Elegir el ROOT BRIDGE/Switch

Switch A ID =
80.00.00.00.0C.AA.AA.AA

El menor ID de Switch

ROOT BRIDGE
Switch A

Puerto 1

Puerto 2

LAN Segmento 1
100-Mbps Ethernet
Costo = 19

LAN Segmento 2
100-Mbps Ethernet
Costo = 19

Puerto 1

Puerto 1

Switch B

Switch C

Puerto 2

Puerto 2

Switch B ID =
80.00.00.00.0C.BB.BB.BB

Switch C ID =
80.00.00.00.0C.CC.CC.CC

LAN Segmento 3
100-Mbps Ethernet
Costo = 19

5-25

Determine ROOT PORTS

Switch A ID =
80.00.00.00.0C.AA.AA.AA
ROOT BRIDGE
Switch A

Menor Costo
Gana
Puerto 1

Puerto 2

LAN Segmento 1
100-Mbps Ethernet
Costo = 19

LAN Segmento 2
100-Mbps Ethernet
Costo = 19

Puerto Raz

Puerto Raz

Puerto 1

Puerto 1

Switch B

Switch C

Puerto 2

Puerto 2

Switch B ID =
80.00.00.00.0C.BB.BB.BB

Switch C ID =
80.00.00.00.0C.CC.CC.CC

LAN Segmento 3
100-Mbps Ethernet
Costo = 19

5-26

Determine DESIGNATED PORTS

Switch A ID =
80.00.00.00.0C.AA.AA.AA
ROOT BRIDGE
Switch A
Puerto Designado

Puerto Desginado
Puerto 1

Puerto 2

LAN Segmento 1
100-Mbps Ethernet
Costo = 19

LAN Segmento 2
100-Mbps Ethernet
Costo = 19

Puerto Raz

Puerto Raz

Puerto 1

Puerto 1

Switch B

Switch C

Puerto 2

Puerto 2

Switch B ID =
80.00.00.00.0C.BB.BB.BB

Puerto Designado
Menor ID de Switch Gana

Switch C ID =
80.00.00.00.0C.CC.CC.CC

LAN Segmento 3
100-Mbps Ethernet
Costo = 19

5-27

Reducir la Topologa a un Arbol

Switch A ID =
80.00.00.00.0C.AA.AA.AA
ROOT BRIDGE
Switch A
Puerto Designado

Puerto Designado
Puerto 1

Puerto 2

LAN Segmento 1
100-Mbps Ethernet
Costo = 19

LAN Segmento 2
100-Mbps Ethernet
Costo = 19

Puerto Raz

Puerto Raz

Puerto 1

Puerto 1

Switch B

Switch C

Puerto 2

Puerto 2

Switch B ID =
80.00.00.00.0C.BB.BB.BB

Puerto Designado

Switch C ID =
80.00.00.00.0C.CC.CC.CC

LAN Segmento 3
100-Mbps Ethernet
Costo = 19

Puerto Bloqueado

5-28

Reaccin a Cambios
Switch A ID =
80.00.00.00.0C.AA.AA.AA
ROOT BRIDGE
Switch A
Puerto Designado

Puerto Designado
Puerto 1

Puerto 2

LAN Segmento 1

LAN Segmento 2

Puerto Raz

Puerto Raz

Puerto 1

Puerto 1

Switch B

Switch C

Puerto 2

Puerto 2

Switch B ID =
80.00.00.00.0C.BB.BB.BB

El Puerto Designado queda

inoperativo

Switch C ID =
80.00.00.00.0C.CC.CC.CC

LAN Segmento 3

El Puerto Bloqueado pasa a

estado de reenvo

5-29

Escalamiento del STP

Mantener pequea la red conmutada
no expandir ms de siete switches

Usar:
STP Loop Guard
BPDU skew detection, o registro (syslog) de
BPDU tardas (BPDU=Bridge protocol Data
Unit)

Usar IEEE 802.1w (Rapid STP)

Provee reconfiguracin rpida del rbol cobertor
STP (IEEE 802.1d) mejorado
5-30

LANs Virtuales (VLANs)

Emulacin de una LAN estndar que permite
que las transferencias de datos ocurran sin las
restricciones de ubicacin fsica de las redes
tradicionales
En general: un conjunto de dispositivos que
pertenecen a un grupo administrativo
Los diseadores usan VLANs tambin para
restringir el trfico de difusin
5-31

VLANs vs LANs Reales

Switch A

Estacin A1

Estacin A2
LAN A

Switch B

Estacin A3

Estacin B1

Estacin B2

Estacin B3

LAN B

5-32

Un Switch con VLANs

VLAN A
Estacin A1

Estacin B1

Estacin A2

Estacin B2
VLAN B

Estacin A3

Estacin B3

5-33

VLANs Span Switches

VLAN A

Station A1

Station A2

VLAN A

Station A3

Station A4

Station A5

Switch A

Station B1

Station A6

Switch B

Station B2
VLAN B

Station B3

Station B4

Station B5

Station B6

VLAN B

5-34

WLANs y VLANs
Una LAN inalmbrica (WLAN) se implementa
frecuentemente como una VLAN
Facilita el roaming
Los usuarios permanecen en la misma VLAN y
subred IP mientras se mueven entre APs, de modo
que no hay necesidad de cambiar la informacin de
direccionamiento
Tambin facilita el establecimiento de filtros (ACLs
o listas de control de acceso) para proteger la red de
cable de los usuarios inalmbricos
5-35

Redundancia y balanceo en LANs

5-36

Redundancia de Servidores
La redundancia generalmente mejora disponibilidad
y rendimiento.
Tipicos servidores que pueden necesitar
redundancia:
ficheros, web, DHCP, nombres, base de datos...

DHCP y nombres (DNS/WINS/NBNS): en redes

pequeas en el core, en redes grandes en el access.
Si no se pueden poner redundantes los servidores
completos, los discos si pueden sacarse a un mirror o
un NAS.
Las entradas de un servidor DNS se pueden usar
para aadir redundancia a un servicio.
5-37

Redundancia Estacin-a-Router
Proxy ARP (no es una buena
idea)
Escucha avisos de rutas
(tampoco es muy buena idea)
Solicitudes ICMP (no muy
usadas)
Router por defecto provisto por
DHCP (mejor idea pero no
provee redundancia)
Usar HSRP (Hot Standby Router
Protocol) para redundancia
5-38

HSRP: Hot Standby Router Protocol

Router Activo

Red de la Organizacin
Router Virtual

Estacin de
Trabajo

Router en espera

5-39

Aspectos de diseo en la frontera WAN

Redundancia en redes WAN
Multihoming the internet connection

VPN
Site-to-Site
Remote-Access

5-40

Redundancia en redes WAN:

Multihoming the Internet Connection
ISP 1

ISP 1

Enterprise

Option A

ISP 1

ISP 2

Enterprise

Paris

ISP 1

Paris
Option B

Enterprise

Enterprise

NY

Option C

ISP 2

NY
Option D

5-41

VPN (Virtual Private Network)

Las redes VPN usan la encriptacin y los
tuneles para establecer conexiones seguras,
punto a punto y privadas sobre una red de un
tercero (sea este un proveedor o la propia
internet).
Un tunel VPN se usa para encriptar los
mensajes privados de un extremo y enviarlos
al otro extremo.
5-42

VPN (L2 y L3)

Layer 2 VPNs encapsulan en el nivel de
enlace de datos.
PPTP (Point-to-Point Tunneling Protocol)
L2F (Layer-2 Forwarding)
MPLS VPN
L2TP (Layer-2 Tunneling Protocol)
Standard IETF (RFC-2661)

Layer 3 VPNs encapsulan en el nivel de red.

IPSec (solo IP unicast)
GRE (IP unicast/multicast/broadcast/no-IP)
5-43

VPN Aplicaciones
Site-to-Site VPNs:
Conecta oficinas remotas o extiende la clsica
red WAN Enterprise.
Topologas habituales: Hub-and-Spoke,
Malla o Red Jerrquica

Remote-Access VPNs:
Usuarios remotos, que acceden a la red
esporadicamente en el momento que lo
demandan.
5-44

Remote-Access VPN

5-45

Seguridad en las Topologas

Red de la
Organizacin

Zona Desmilitarizada
(DMZ)

Internet

Web, DNS, Servidores de Correo

5-46

Seguridad en las Topologas

Internet

Firewall
Zona Desmilitarizada
(DMZ)

Web, DNS, Mail Servers

Red de la
Organizacin

5-47

Resumen
Ya saben, usen una metodologa sistemtica,
descendente
Planificar el diseo lgico antes del diseo
fsico
El diseo de la topologa debera incluir
jerarqua, redundancia, modularidad y seguridad

5-48