Arquitectura de Red Empresarial Cisco

En esta sección se explica los diversos módulos en el diseño de red y se describe el modelo de arquitectura empresarial de Cisco. También se abarcan los beneficios que se obtienen mediante un enfoque de diseño sistemático.

1. Diseño de red modular

Si bien el diseño de red jerárquico funciona bien dentro de la infraestructura del campus, las redes se expandieron más allá de estas fronteras. Como se muestra en la Imagen 1, las redes se volvieron más sofisticadas y complejas, y algunas requieren conexiones a centros de datos dedicados, que por lo general son externos.

A menudo, las sucursales requieren conectividad a los backbones de campus, y los empleados necesitan poder trabajar desde sus oficinas domésticas u otras ubicaciones remotas.

Debido a que la complejidad de la red para satisfacer estas demandas aumentó, se volvió necesario modificar el diseño de la red por uno que utilizara un enfoque más modular.

Un diseño de red modular separa la red en varios módulos de red funcionales, y cada uno de estos apunta a un lugar o un propósito específico en la red. Los módulos representan áreas que tienen una conectividad física o lógica diferente. Se encargan de designar dónde se llevan a cabo las diferentes funciones en la red.

El enfoque modular tiene varios beneficios:

• Las fallas que ocurren dentro de un módulo se pueden aislar del resto de la red, lo que permite una detección de problemas más sencilla.
• Los cambios, las actualizaciones o la introducción de nuevos servicios de redes se pueden realizar de forma controlada y gradual, lo que permite una mayor flexibilidad en el mantenimiento y el funcionamiento de la red del campus.
• Cuando un módulo específico ya no posee la capacidad suficiente o no tiene una función o un servicio nuevos, se puede actualizar o reemplazar con otro módulo que tenga la misma función estructural en el diseño jerárquico general.
• Se puede implementar seguridad de forma modular.

1.1. Módulos en la arquitectura empresarial

El enfoque modular aplicado al diseño de red divide aún más el diseño jerárquico de tres capas, ya que elimina bloques específicos o áreas modulares. Estos módulos básicos están conectados entre sí a través del núcleo de la red.

Los módulos de red básicos incluyen lo siguiente:

• Acceso y distribución: también denominado “bloque de distribución”, es el elemento más conocido y el componente fundamental del diseño de campus (marco naranja).
• Servicios: este es un bloque genérico que se utiliza para identificar servicios como los controladores inalámbricos centralizados del protocolo de punto de acceso ligero (LWAPP), los servicios de comunicaciones unificadas, los gateways de políticas, entre otros (marco celeste).
• Centro de datos: originalmente, se denominaba “granja de servidores”. Este bloque es responsable de administrar y mantener muchos sistemas de datos que son fundamentales para las operaciones comerciales modernas. Los empleados, los socios y los clientes confían en los datos y los recursos del centro de datos para crear, colaborar e interactuar de manera eficaz (marco verde).
• Perímetro empresarial: consta de Internet perimetral y del perímetro de WAN. Estos bloques ofrecen conectividad a servicios de voz, de video y de datos fuera de la empresa (marco rojo).

2. Modelo de arquitectura empresarial de Cisco

Para satisfacer la necesidad de modularidad en el diseño de red, Cisco desarrolló el modelo de arquitectura empresarial de Cisco. Este modelo proporciona todos los beneficios del diseño de red jerárquico en la infraestructura del campus y facilita el diseño de redes más grandes y escalables.

El modelo de arquitectura empresarial de Cisco separa la red empresarial en áreas funcionales que se conocen como “módulos”. La modularidad que se incorpora a la arquitectura permite que haya flexibilidad en el diseño de red y facilita su implementación y la resolución de problemas.

Como se muestra en la Imagen 3, los siguientes son los módulos principales de la arquitectura empresarial de Cisco:

• Campus empresarial
• Enterprise Edge
• Extremo del proveedor de servicios

Existen módulos adicionales conectados al perímetro del proveedor de servicios:

• Centro de datos de la empresa
• Sucursal de la empresa
• Trabajador a distancia de la empresa

2.1. Campus empresarial de Cisco

Una red de campus es un edificio o un grupo de edificios conectados a una red empresarial que consta de muchas LAN.

Por lo general, un campus se limita a un área geográfica fija, pero puede abarcar varios edificios vecinos, por ejemplo, un complejo industrial o el entorno de un parque industrial.

El módulo de campus empresarial describe los métodos recomendados para crear una red escalable, a la vez que aborda las necesidades de las operaciones comerciales del tipo de campus. La arquitectura es modular y se puede expandir fácilmente para incluir edificios o pisos de campus adicionales a medida que la empresa crece.

El módulo de campus empresarial consta de los siguientes submódulos:

• Acceso al edificio
• Distribución del edificio
• Núcleo del campus
• Centro de datos

Juntos, estos submódulos realizan lo siguiente:

• Proporcionan una alta disponibilidad mediante un diseño de red jerárquico resistente.
• Integran las comunicaciones IP, la movilidad y la seguridad avanzada.
• Utilizan el tráfico de multidifusión y QoS para optimizar el tráfico de la red.
• Proporcionan una mayor seguridad y flexibilidad mediante la administración del acceso, las VLAN y las VPN con IPsec.

La arquitectura del módulo de campus empresarial proporciona a la empresa una alta disponibilidad a través de un diseño multicapa resistente, características de hardware y software redundante, y procedimientos automáticos para volver a configurar las rutas de la red cuando ocurren fallas.

La seguridad integrada protege contra el impacto de gusanos, virus y otros ataques a la red, además de mitigarlo, incluso en el nivel del puerto del switch.

El submódulo de centro de datos normalmente contiene servidores de correo electrónico y corporativos internos que proporcionan servicios de aplicación, de archivo, de impresión, de correo electrónico y de sistema de nombres de dominios (DNS) a los usuarios internos.

2.2. Perímetro empresarial de Cisco

El módulo de perímetro empresarial proporciona conectividad para los servicios de voz, video y datos fuera de la empresa. A menudo, este módulo funciona como vínculo entre el módulo de campus empresarial y los otros módulos.

El módulo de perímetro empresarial consta de los siguientes submódulos:

• Redes y servidores de comercio electrónico: el submódulo de comercio electrónico permite que las empresas admitan aplicaciones de comercio electrónico a través de Internet.

Incluyen los servidores web, de aplicaciones y de bases de datos, el firewall y los routers de firewall, y los sistemas de prevención de intrusiones (IPS) en la red.

• Conectividad a Internet y zona perimetral (DMZ): el submódulo de Internet del perímetro empresarial proporciona a los usuarios internos una conectividad segura a los servicios de Internet, como los servidores públicos, el correo electrónico y DNS. También se proporciona la conectividad a uno o varios proveedores de servicios de Internet (ISP).

Incluyen el firewall y los routers de firewall, los routers perimetrales de Internet, los servidores FTP y HTTP, los servidores de retransmisión de SMTP y los servidores DNS.

• Acceso remoto y VPN: el submódulo de acceso remoto y VPN del perímetro empresarial proporciona servicios de terminación de acceso remoto, incluida la autenticación para usuarios y sitios remotos.

Incluyen los firewalls, los concentradores de acceso telefónico, los dispositivos de seguridad adaptables (ASA) de Cisco y las aplicaciones de sistema de prevención de intrusiones (IPS) en la red.

• WAN: el submódulo WAN utiliza diversas tecnologías WAN para enrutar el tráfico entre los sitios remotos y el sitio central.

Incluyen tecnologías como la conmutación de etiquetas multiprotocolo (MPLS), Ethernet metropolitana, las líneas arrendadas, la red óptica síncrona (SONET) y la jerarquía digital síncrona (SDH), PPP, Frame Relay, ATM, el cable, la línea de suscriptor digital (DSL) y la tecnología inalámbrica.

2.3. Extremo del proveedor de servicios

Las empresas utilizan proveedores de servicios (SP) para enlazarse con otros sitios. El módulo de perímetro del SP puede incluir lo siguiente:

• Proveedores de servicios de Internet (ISP)
• Servicios WAN, como Frame Relay, ATM y MAN
• Servicios de red pública de telefonía conmutada (PSTN)

El perímetro del SP proporciona conectividad entre el módulo de campus empresarial y los módulos remotos de centro de datos, de sucursales y de trabajadores a distancia de la empresa.

El módulo de perímetro del SP presenta las siguientes características:

• Abarca amplias áreas geográficas de manera rentable.
• Converge los servicios de voz, video y datos a través de una única red de comunicaciones IP.
• Admite QoS y acuerdos del nivel de servicio.
• Admite seguridad mediante VPN (IPsec y MPLS) a través de las WAN de capa 2 y capa 3.

Al adquirir servicios de Internet de un ISP, se debe tener en cuenta la redundancia o la conmutación por falla. Como se muestra en la Imagen 4, las conexiones redundantes a un único ISP pueden incluir lo siguiente:

• Conexión simple: una única conexión a un ISP
• Conexión doble: dos o más conexiones a un único ISP

También se puede establecer la redundancia con varios ISP, como se muestra en la Imagen 5. Las opciones para conectarse a varios ISP incluyen lo siguiente:

• Conexión de hosts múltiples: conexiones a dos o más ISP
• Conexión de hosts múltiples doble: varias conexiones a dos o más ISP

2.4. Área funcional remota

El área funcional remota es responsable de las opciones de conectividad remota e incluye varios módulos:

Sucursal de la empresa

El módulo de sucursales de la empresa incluye las sucursales remotas que permiten que los empleados trabajen en ubicaciones fuera del campus.

• Por lo general, estas ubicaciones son las que proporcionan opciones de seguridad, telefonía y movilidad a los empleados, así como conectividad general a la red del campus y a los distintos componentes ubicados dentro del campus empresarial.
• El módulo de sucursales de la empresa permite que las empresas extiendan las aplicaciones y los servicios de la oficina central, como la seguridad, las Comunicaciones unificadas de Cisco y el rendimiento de las aplicaciones avanzadas, hasta las sucursales remotas.
• El dispositivo perimetral que conecta el sitio remoto al sitio central varía según las necesidades y el tamaño del sitio.
• Los sitios remotos grandes pueden utilizar switches Cisco Catalyst de tecnología avanzada, mientras que los sitios más pequeños pueden usar un router ISR G2. Estos sitios remotos dependen del perímetro del SP para proporcionar los servicios y las aplicaciones del sitio principal.
• En la Imagen 3, el módulo de sucursales de la empresa se conecta al campus empresarial principalmente mediante un enlace WAN; sin embargo, también cuenta con un enlace a Internet de respaldo. El enlace a Internet utiliza la tecnología VPN con IPsec de sitio a sitio para cifrar datos corporativos.

Trabajador a distancia de la empresa

El módulo de trabajadores a distancia de la empresa se encarga de proporcionar conectividad a los empleados que trabajan desde diversas ubicaciones geográficamente dispersas, que incluyen las oficinas domésticas, los hoteles o los sitios de clientes.

• El módulo de trabajadores a distancia recomienda que los usuarios móviles se conecten a Internet mediante los servicios de un ISP local, como el cable módem o el módem DSL.
• Se pueden utilizar servicios de VPN para proteger las comunicaciones entre el trabajador móvil y el campus central.
• Los servicios de red de seguridad integrada y basados en identidad permiten que la empresa extienda las políticas de seguridad del campus al trabajador a distancia.
• El personal puede iniciar sesión en la red de manera segura a través de la VPN y acceder a las aplicaciones y los servicios autorizados desde una única plataforma rentable.

Centro de datos de la empresa

El módulo de centro de datos de la empresa es un centro de datos con las mismas opciones funcionales del centro de datos del campus, pero en una ubicación remota.

• Esto proporciona una capa de seguridad adicional, dado que el centro de datos externo puede proporcionar a la empresa servicios de recuperación tras un desastre y de continuidad empresarial.
• Los switches de tecnología avanzada, como los switches de la serie Cisco Nexus, utilizan servicios WAN rápidos como Ethernet metropolitana (MetroE) para conectar el campus empresarial al centro de datos de la empresa remoto.
• Los centros de datos redundantes proporcionan respaldo mediante la replicación síncrona y asíncrona de datos y aplicaciones. Además, la red y los dispositivos ofrecen balanceo de carga de servidores y aplicaciones para maximizar el rendimiento. Esta solución permite que la empresa escale sin que se produzcan cambios importantes en la infraestructura.