Cisco DOC-Enterprise+Campus+Architecture+v3.0.en - Es

Arquitectura Enterprise Campus 3.
0:
descripción general y marco
Nota Este documento es la primera parte de una guía general de diseño de sistemas. Este documento se convertirá en el Capítulo 1 de la guía de diseño
general cuando se completen los capítulos restantes.
Contenido
Introducción a la arquitectura y el diseño del campus empresarial 1-2
Audiencia 1-2
Objetivos del documento 1-2
Introducción 1-3
El campus empresarial 1-4
Principios de arquitectura y diseño del campus 1-5
Jerarquía 1-5
Acceso 1-7
Distribución 1-7
Núcleo 1-8
Mapeando el Plano de control y datos a la jerarquía física 1-12
Modularidad 1-13
Bloque de distribución de acceso 1-14
Bloque de servicios 1-20
Resistencia 1-22
Flexibilidad 1-24
Servicios del campus 1-25
Alta disponibilidad ininterrumpida 1-25
Medición de la disponibilidad 1-25
Sedes corporativas:
Cisco Systems, Inc., 170 West Tasman Drive, San José, CA 95134-1706 EE. UU.
Copyright © 2008 Cisco Systems, Inc. Todos los derechos reservados.

Introducción a la arquitectura y el diseño del campus empresarial
Requisitos de comunicaciones unificadas 1-28
Herramientas y enfoques para la alta disponibilidad del campus 1-30
Servicios de acceso y movilidad 1-33
Diseño de campus inalámbrico y cableado convergente 1-33
Servicios de acceso al campus 1-36
Servicios de optimización y protección de aplicaciones 1-38
Principios del diseño de QoS del campus 1-38
Resistencia de la red y QoS 1-41
Servicios de virtualización 1-42
Mecanismos de virtualización del campus 1-43
Virtualización de redes 1-44
Servicios de seguridad 1-47
Seguridad de la infraestructura 1-47
Control de acceso perimetral y seguridad perimetral Seguridad de 1-49
punto final 1-49
Seguridad distribuida: defensa en profundidad 1-49
Servicios operativos y de gestión 1-50
Gestión de fallos 1-51
Contabilidad y desempeño 1-52
Configuración y seguridad 1-53
Evolución de la arquitectura del campus 1-53

Esta sección introductoria incluye las siguientes secciones de alto nivel para presentar la cobertura de contenido proporcionada en este
documento:
• Audiencia, página 2
• Objetivos del documento, página 3
• Introducción, página 3
• El campus empresarial, página 4
Audiencia
Este documento está dirigido a planificadores de redes, ingenieros y gerentes de clientes empresariales que están construyendo o tienen la intención
de construir una red de campus a gran escala y requieren una comprensión de los requisitos generales de diseño.
Arquitectura Enterprise Campus 3.0: descripción general y marco
2 OL-15716-01
Objetivos del documento
Este documento presenta una descripción general de la arquitectura de red del campus e incluye descripciones de diversas consideraciones de diseño,
topologías, tecnologías, pautas de diseño de configuración y otras consideraciones relevantes para el diseño de la estructura de conmutación de campus
de servicio completo y alta disponibilidad. También pretende servir como una guía para dirigir a los lectores a mejores prácticas de diseño de campus y
ejemplos de configuración más específicos para cada una de las opciones de diseño específicas.
Introducción
Durante los últimos 50 años, las empresas han logrado mejorar los niveles de productividad y ventaja competitiva mediante el uso de
tecnología de comunicación e informática. La red del campus empresarial ha evolucionado durante los últimos 20 años para convertirse en un
elemento clave en esta infraestructura de comunicaciones e informática empresarial. La evolución interrelacionada de la tecnología
empresarial y de las comunicaciones no se ralentiza y el medio ambiente atraviesa actualmente otra etapa de esa evolución. El emergente
Red humana, como lo han denominado los medios de comunicación, ilustra un cambio significativo en la percepción y los requisitos y
demandas de la red del campus. La Red Humana es colaborativo, interactivo y enfocado en las comunicaciones en tiempo real del
usuario final, sea quien sea ese usuario puede ser un trabajador, un cliente, un socio, cualquiera. La experiencia del usuario en la red se
ha convertido en el determinante crítico del éxito o fracaso de los sistemas tecnológicos, ya sea en la vida privada o profesional.
La Web 2.0, las aplicaciones colaborativas, los mash-ups y similares reflejan un conjunto de cambios comerciales y tecnológicos que
están cambiando los requisitos de nuestros sistemas de redes. Un mayor deseo de movilidad, el impulso por una mayor seguridad y la
necesidad de identificar y segmentar con precisión a los usuarios, dispositivos y redes están siendo impulsados por los cambios en la
forma en que las empresas se asocian y trabajan con otras organizaciones. La lista de requisitos y desafíos que debe abordar la
generación actual de redes de campus es muy diversa e incluye lo siguiente:
• Disponibilidad empresarial global.
- Las comunicaciones unificadas, los sistemas financieros, médicos y otros sistemas críticos están impulsando el requisito de disponibilidad de cinco
nueves (99999) y los tiempos de convergencia mejorados necesarios para las aplicaciones interactivas en tiempo real.
- La migración hacia un menor número de repositorios de datos centralizados aumenta la necesidad de disponibilidad de red para todos los
procesos comerciales.
- Las ventanas de cambio de red se están reduciendo o se están eliminando a medida que las operaciones comerciales se ajustan a la
globalización y operan 7x24x365.
• El uso de aplicaciones de colaboración y comunicación en tiempo real está creciendo.
- La experiencia del usuario se está convirtiendo en una prioridad para los sistemas de comunicación empresarial.
- A medida que aumentan las implementaciones de comunicaciones unificadas, el tiempo de actividad se vuelve aún más crítico. Continua evolución de
• las amenazas a la seguridad.
- Las amenazas a la seguridad continúan creciendo en número y complejidad.
- Los entornos de aplicaciones distribuidos y dinámicos están pasando por alto los cuellos de botella de seguridad tradicionales.
• La necesidad de adaptarse al cambio sin actualizaciones de montacargas.
- Las compras de TI enfrentan un mayor tiempo de servicio y deben poder adaptarse para ajustarse a los requisitos comerciales actuales y
futuros.
- El tiempo y los recursos para implementar nuevas aplicaciones comerciales están disminuyendo.
OL-15716-01 3
- Están empezando a aparecer nuevos protocolos y funciones de red (Microsoft está introduciendo IPv6 en la red empresarial).
• Expectativas y requisitos para cualquier lugar; en cualquier momento el acceso a la red está creciendo.
- La necesidad de acceso para socios e invitados aumenta a medida que evolucionan las asociaciones comerciales.
- El uso creciente de dispositivos portátiles (computadoras portátiles y PDA) está impulsando la demanda de servicios de movilidad seguros y con todas las
funciones.
- Una necesidad creciente de admitir múltiples tipos de dispositivos en diversas ubicaciones. Las aplicaciones de
• próxima generación están impulsando mayores requisitos de capacidad.
- Medios enriquecidos integrados en documentos.
- Video interactivo de alta definición. Las redes
• son cada vez más complejas.
- La integración de hágalo usted mismo puede retrasar la implementación de la red y aumentar los costos generales.
- La mitigación del riesgo empresarial requiere diseños de sistemas validados.
- La adopción de tecnologías avanzadas (voz, segmentación, seguridad, inalámbrica) introduce requisitos y cambios
específicos en el diseño y las capacidades de conmutación base.
Este documento es la primera parte de una guía general de diseño de sistemas que aborda las arquitecturas de campus empresariales utilizando las
últimas tecnologías de servicios avanzados de Cisco y se basa en principios de diseño de mejores prácticas que se han probado en un entorno de
sistemas empresariales. Presenta los componentes y servicios arquitectónicos clave que son necesarios para implementar una red de campus de alta
disponibilidad, segura y rica en servicios. También define un marco de diseño de referencia que proporciona el contexto para cada uno de los
capítulos de diseño específicos, lo que ayuda al ingeniero de redes a comprender cómo los temas de diseño específicos encajan en la arquitectura
general.
El campus empresarial
Por lo general, se entiende por campus empresarial la parte de la infraestructura informática que proporciona acceso a los servicios y
recursos de comunicación de red a los usuarios finales y dispositivos distribuidos en una única ubicación geográfica. Puede abarcar un solo
piso, un edificio o incluso un gran grupo de edificios repartidos en un área geográfica extensa. Algunas redes tendrán un solo campus que
también actúa como núcleo o columna vertebral de la red y proporciona interconectividad entre otras partes de la red general. El núcleo del
campus a menudo puede interconectar el acceso al campus, el centro de datos y las partes de la red WAN. En las empresas más grandes,
puede haber varios sitios de campus distribuidos en todo el mundo, cada uno de los cuales proporciona acceso de usuario final y conectividad
de red troncal local. Desde una perspectiva técnica o de ingeniería de redes, También se ha entendido que el concepto de campus significa
las porciones de conmutación de Ethernet de capa 2 y capa 3 de alta velocidad de la red fuera del centro de datos. Si bien todas estas
definiciones o conceptos de lo que es una red de campus siguen siendo válidos, ya no describen completamente el conjunto de capacidades
y servicios que componen la red de campus en la actualidad.
La red del campus, según se define a los efectos de las guías de diseño empresarial, consta de los elementos integrados que comprenden el conjunto de
servicios utilizados por un grupo de usuarios y dispositivos de estación final que comparten el mismo tejido de comunicaciones de conmutación de alta
velocidad. Estos incluyen los servicios de transporte de paquetes (tanto por cable como inalámbricos), identificación y control del tráfico (seguridad y
optimización de aplicaciones), monitoreo y administración del tráfico, y administración y aprovisionamiento de sistemas en general. Estas funciones
básicas se implementan de tal manera que proporcionen y respalden directamente los servicios de nivel superior proporcionados por la organización de
TI para que los utilice la comunidad de usuarios finales. Estas funciones incluyen:
• Servicios de alta disponibilidad ininterrumpidos
4 OL-15716-01
Principios de arquitectura y diseño del campus
• Servicios de acceso y movilidad
• Servicios de optimización y protección de aplicaciones Servicios de
• virtualización
• Servicios de seguridad
• Servicios operativos y de gestión
En las secciones posteriores de este documento, se analiza una descripción general de cada uno de estos servicios y una descripción de
cómo interoperan en una red de campus. Antes de analizar los seis servicios con más detalle, es útil comprender los principales criterios de
diseño y los principios de diseño que dan forma a la arquitectura del campus empresarial. El diseño se puede ver desde muchos aspectos,
comenzando desde la planta de cableado físico, pasando por el diseño de la topología del campus y, finalmente, abordando la implementación
de los servicios del campus. El orden o la manera en que todas estas cosas se unen para formar un todo cohesivo se determina mediante el
uso de un conjunto básico de principios de diseño que, cuando se aplican correctamente, proporcionan una base sólida y un marco en el que
la capa superior sirve se puede implementar de manera eficiente.

Cualquier arquitectura o sistema exitoso se basa en una base de teoría y principios de diseño sólidos. Diseñar una red de campus no es
diferente a diseñar cualquier sistema grande y complejo, como un software o incluso algo tan sofisticado como el transbordador espacial. El uso
de un conjunto rector de principios fundamentales de ingeniería sirve para garantizar que el diseño del campus proporcione el equilibrio de
disponibilidad, seguridad, flexibilidad y capacidad de administración necesarios para satisfacer las necesidades comerciales y tecnológicas
actuales y futuras. El resto de esta descripción general del diseño del campus y los documentos relacionados aprovecharán un conjunto común
de principios de ingeniería y arquitectura: jerarquía, modularidad, resiliencia; y
flexibilidad. Cada uno de estos principios se resume en las breves secciones que siguen:
• Jerarquía, página 5
• Modularidad, página 13
• Resistencia, página 22
• Flexibilidad, página 24
Estos no son principios independientes. El diseño e implementación exitosos de una red de campus empresarial requiere comprender
cómo se aplica cada uno al diseño general y cómo encaja cada principio en el contexto de los demás.
Jerarquía
Un factor crítico para la implementación exitosa de cualquier diseño de red de campus es seguir buenas pautas de ingeniería
estructuradas. Un sistema estructurado se basa en dos principios complementarios:
jerarquía y modularidad. Cualquier sistema complejo grande debe construirse utilizando un conjunto de componentes modularizados que se pueden
ensamblar de manera jerárquica y estructurada. La división de cualquier tarea o sistema en componentes proporciona una serie de beneficios
inmediatos. Cada uno de los componentes o módulos se puede diseñar con cierta independencia del diseño general y todos los módulos se pueden
operar como elementos semiindependientes que brindan una mayor disponibilidad general del sistema, así como una administración y operaciones
más simples. Los programadores informáticos han aprovechado este principio de jerarquía y modularidad durante muchos años. En los primeros días
del desarrollo de software, los programadores crearon código de espagueti
sistemas. Estos primeros programas fueron altamente optimizados y muy eficientes. A medida que los programas se hicieron más grandes y tuvieron que modificarse
o cambiarse, los diseñadores de software aprendieron muy rápidamente que la falta de aislamiento
OL-15716-01 5
entre varias partes del programa o sistema significaba que no se podía realizar ningún pequeño cambio sin afectar a todo el sistema. Las
primeras redes informáticas basadas en LAN se desarrollaron a menudo siguiendo un enfoque similar. Todos comenzaron como simples
conexiones altamente optimizadas entre una pequeña cantidad de PC, impresoras y servidores. A medida que estas LAN crecieron y se
interconectaron, formando la primera generación de redes de campus, los mismos desafíos que enfrentaban los desarrolladores de software se
hicieron evidentes para los ingenieros de redes. Los problemas en un área de la red a menudo afectaron a toda la red. Los cambios simples de
agregar y mover en un área debían planificarse cuidadosamente o podrían afectar otras partes de la red. De manera similar, una falla en una
parte del campus a menudo afectaba a toda la red del campus.
En el mundo del desarrollo de software, este tipo de problemas de complejidad y crecimiento del sistema conducen al desarrollo de un
diseño de programación estructurado utilizando sistemas modularizados o basados en subrutinas. Cada función individual o módulo de
software se escribió de tal manera que se pudiera cambiar sin tener que cambiar todo el programa de una vez. El diseño de las redes del
campus ha seguido el mismo enfoque de ingeniería básico que utilizan los ingenieros de software. Al dividir el sistema del campus en
subsistemas, o bloques de construcción, y ensamblarlos en un orden claro, logramos un mayor grado de estabilidad, flexibilidad y capacidad
de administración para las partes individuales del campus y el campus en su conjunto.
Al observar cómo se deben aplicar las reglas de diseño estructurado al campus, es útil considerar el problema desde dos perspectivas.
Primero, ¿cuál es la estructura jerárquica general del campus y qué características y funciones deben implementarse en cada capa de la
jerarquía? En segundo lugar, ¿cuáles son los módulos clave o bloques de construcción y cómo se relacionan entre sí y cómo funcionan en la
jerarquía general? Comenzando con lo básico, el campus se define tradicionalmente como un modelo jerárquico de tres niveles que
comprende el núcleo, distribución, y acceso capas como se muestra en Figura 1 .
Figura 1 Las capas de la jerarquía del campus
Núcleo Si Si
Distribución
Si Si
Acceso
223677
Es importante tener en cuenta que, si bien los niveles tienen roles específicos en el diseño, no existen reglas absolutas sobre cómo se
construye físicamente una red de campus. Si bien es cierto que muchas redes de campus se construyen utilizando tres niveles físicos
de conmutadores, este no es un requisito estricto. En un campus más pequeño, la red puede tener dos niveles de conmutadores en
los que el núcleo y los elementos de distribución se combinan en un conmutador físico, una distribución y un núcleo colapsados. Por
otro lado, una red puede tener cuatro o más niveles físicos de conmutadores porque la escala, la planta de cableado y / o la geografía
física de la red pueden requerir que se extienda el núcleo. El punto importante es este: si bien la jerarquía de la red a menudo define la
topología física de los conmutadores, no son exactamente lo mismo.
6 OL-15716-01
Acceso
La capa de acceso es el primer nivel o borde del campus. Es el lugar donde los dispositivos finales (PC, impresoras, cámaras y similares)
se conectan a la parte cableada de la red del campus. También es el lugar donde se conectan los dispositivos que extienden la red un nivel
más; los teléfonos IP y los puntos de acceso inalámbricos (AP) son los dos ejemplos clave de dispositivos que extienden la conectividad
una capa más desde el conmutador de acceso al campus real. La amplia variedad de posibles tipos de dispositivos que se pueden
conectar y los diversos servicios y mecanismos de configuración dinámica que son necesarios, hacen de la capa de acceso una de las
partes más ricas en funciones de la red del campus. tabla 1 enumera ejemplos de los tipos de servicios y capacidades que deben definirse
y admitirse en la capa de acceso de la red.
tabla 1 Ejemplos de tipos de servicio y capacidades
Requisitos de servicio Funciones de servicio
Servicios de detección y configuración Servicios de 802.1AF, CDP, LLDP, LLDP-MED
seguridad IBNS (802.1X), (CISF): seguridad del puerto, indagación DHCP,

DAI, IPSG
Servicios de reconocimiento de aplicaciones de 802.1X, MAB, autenticación web
acceso e identidad de red Marcado de QoS, vigilancia, colas, inspección profunda de

paquetes NBAR, etc.
Servicios de control de red inteligente PVST +, PVST + rápido, EIGRP, OSPF, DTP, PAgP /
LACP, UDLD, FlexLink, Portfast, UplinkFast,
BackboneFast, LoopGuard,
BPDUGuard, seguridad portuaria, RootGuard
Servicios de infraestructura física Alimentación a través de Ethernet
La capa de acceso proporciona la demarcación inteligente entre la infraestructura de red y los dispositivos informáticos que aprovechan esa
infraestructura. Como tal, proporciona un límite de seguridad, QoS y política de confianza. Es la primera capa de defensa en la arquitectura de
seguridad de la red y el primer punto de negociación entre los dispositivos finales y la infraestructura de la red. Al observar el diseño general
del campus, el conmutador de acceso proporciona la mayoría de estos servicios de capa de acceso y es un elemento clave para habilitar
múltiples servicios de campus.
Distribución
La capa de distribución en el diseño del campus tiene un papel único ya que actúa como un límite de control y servicios entre el acceso y el núcleo. Tanto el acceso como el núcleo
son esencialmente capas dedicadas para fines especiales. La capa de acceso está dedicada a cumplir con las funciones de conectividad del dispositivo final y la capa central está
dedicada a proporcionar conectividad ininterrumpida en toda la red del campus. La capa de distribución, por otro lado, tiene múltiples propósitos. Es un punto de agregación para
todos los conmutadores de acceso y actúa como un miembro integral del bloque de distribución de acceso, proporcionando conectividad y servicios de políticas para los flujos de
tráfico dentro del bloque de distribución de acceso. También es un elemento en el núcleo de la red y participa en el diseño de enrutamiento del núcleo. Su tercer papel es
proporcionar la agregación, control de políticas y punto de demarcación de aislamiento entre el bloque de construcción de distribución del campus y el resto de la red. Volviendo a
la analogía del software, la capa de distribución define la entrada y salida de datos entre la subrutina (bloque de distribución) y la línea principal (núcleo) del programa. Define un
límite de resumen para los protocolos del plano de control de la red (EIGRP, OSPF, Spanning Tree) y sirve como límite de política entre los dispositivos y los flujos de datos dentro
del bloque de distribución de acceso y el resto de la red. Al proporcionar todas estas funciones, la capa de distribución participa tanto en la capa de distribución define la entrada y
salida de datos entre la subrutina (bloque de distribución) y la línea principal (núcleo) del programa. Define un límite de resumen para los protocolos del plano de control de la red
(EIGRP, OSPF, Spanning Tree) y sirve como límite de política entre los dispositivos y los flujos de datos dentro del bloque de distribución de acceso y el resto de la red. Al
proporcionar todas estas funciones, la capa de distribución participa tanto en la capa de distribución define la entrada y salida de datos entre la subrutina (bloque de distribución) y
la línea principal (núcleo) del programa. Define un límite de resumen para los protocolos del plano de control de la red (EIGRP, OSPF, Spanning Tree) y sirve como límite de
política entre los dispositivos y los flujos de datos dentro del bloque de distribución de acceso y el resto de la red. Al proporcionar todas estas funciones, la capa de distribución participa tanto en
OL-15716-01 7
bloque de acceso-distribución y el núcleo. Como resultado, las opciones de configuración para las características en la capa de distribución a menudo están
determinadas por los requisitos de la capa de acceso o la capa central, o por la necesidad de actuar como una interfaz para ambas.
La función de la capa de distribución se analiza con más detalle en la descripción del bloque de distribución de
acceso y las secciones de diseño asociadas.
Núcleo
El núcleo del campus es de alguna manera la parte más simple pero más crítica del campus. Proporciona un conjunto de servicios muy
limitado y está diseñado para ser altamente disponible y operar en un siempre activo modo. En el mundo empresarial moderno, el núcleo de la
red debe funcionar como un servicio ininterrumpido 7x24x365. Los objetivos de diseño clave para el núcleo del campus se basan en
proporcionar el nivel apropiado de redundancia para permitir una recuperación casi inmediata del flujo de datos en caso de falla de cualquier
componente (conmutador, supervisor, tarjeta de línea o fibra). El diseño de la red también debe permitir la actualización / cambio ocasional,
pero necesario, de hardware y software sin interrumpir ninguna aplicación de red. El núcleo de la red no debe implementar ningún servicio de
políticas complejo, ni debe tener conexiones de usuario / servidor conectadas directamente. El núcleo también debe tener la configuración
mínima del plano de control combinada con dispositivos de alta disponibilidad configurados con la cantidad correcta de redundancia física para
brindar esta capacidad de servicio continuo.
El campus central es la columna vertebral que une todos los elementos de la arquitectura del campus. Es la parte de la red que
proporciona conectividad entre los dispositivos finales, la computación y los servicios de almacenamiento de datos ubicados dentro del
centro de datos, y otras áreas y servicios dentro de la red. Sirve como agregador para todos los otros bloques del campus y une el
campus con el resto de la red. Una pregunta que debe responderse al desarrollar un diseño de campus es la siguiente: ¿Se requiere
una capa central distinta? En aquellos entornos donde el campus está contenido dentro de un solo edificio, o varios edificios
adyacentes con la cantidad adecuada de fibra, es posible colapsar el núcleo en los dos interruptores de distribución como se muestra
en Figura 2 .
8 OL-15716-01
Figura 2 Distribución colapsada y campus principal
Centro de datos
PÁLIDO
Colapsado
Distribución
y Core
223678
Es importante tener en cuenta que en cualquier diseño de campus, incluso en aquellos que se pueden construir físicamente con un núcleo de
distribución colapsado, el propósito principal del núcleo es proporcionar aislamiento de fallas y conectividad troncal. Aislar la distribución y el núcleo en
dos módulos separados crea una delimitación clara para el control de cambios entre las actividades que afectan a las estaciones finales
(computadoras portátiles, teléfonos e impresoras) y las que afectan al centro de datos, WAN u otras partes de la red. Una capa central también
proporciona flexibilidad para adaptar el diseño del campus para cumplir con los desafíos geográficos y de cableado físico. Como ejemplo, en un diseño
de campus de varios edificios como el que se muestra en figura 3 , tener una capa central separada permite desarrollar soluciones de diseño para
cableado u otras restricciones externas sin comprometer el diseño de los bloques de distribución individuales. Si es necesario, una capa central
separada puede utilizar una tecnología de transporte, protocolos de enrutamiento o hardware de conmutación diferentes que el resto del campus, lo
que brinda opciones de diseño más flexibles cuando sea necesario.
OL-15716-01 9
figura 3 Campus de varios edificios
Centro de datos
PÁLIDO
Si Si Si Si
Si Si
Multi-nodo
Campus Core
Si Si
Si Si
METRO
METRO
Si Si Si Si
223679
La implementación de un núcleo separado para la red del campus también proporciona una ventaja específica adicional a medida que la red
crece: un núcleo separado brinda la capacidad de escalar el tamaño de la red del campus de una manera estructurada que minimiza la
complejidad general. También tiende a ser la solución más rentable.
10 OL-15716-01
Como se muestra en Figura 4 , a medida que crece el tamaño de la red y crece la cantidad de interconexiones necesarias para unir el campus,
agregar una capa central reduce significativamente la complejidad general del diseño. Tenga en cuenta que en Figura 4 , se recomienda el diseño
inferior, no el superior.
Figura 4 Uso de la capa principal del campus para reducir la complejidad del escalado de la red
Topología SIN Núcleo
Si Si
Si
Si
Si
Si
Si
Si
N x (N - 1) Escala
Topología simplificada CON Core
Si Si
Si
Si
Si
Si Si
Si
Si
Si
223680
Complejidad operacional lineal y escalado de costos
OL-15716-01 11
Tener una capa central dedicada permite que el campus se adapte a este crecimiento sin comprometer el diseño de los bloques de
distribución, el centro de datos y el resto de la red. Esto es particularmente importante ya que el tamaño del campus crece en número de
bloques de distribución, área geográfica o complejidad. En un campus más grande y complejo, el núcleo proporciona la capacidad y la
capacidad de escalado para el campus en su conjunto.
La cuestión de cuándo es necesario un núcleo físico separado depende de múltiples factores. La capacidad de un núcleo distinto para permitir
que el campus resuelva los desafíos de diseño físico es importante. Sin embargo, debe recordarse que un propósito clave de tener un núcleo de
campus distinto es proporcionar escalabilidad y minimizar el riesgo de (y simplificar) movimientos, adiciones y cambios en el campus. En
general, una red que requiere cambios de configuración de rutina en los dispositivos centrales aún no tiene el grado apropiado de
modularización de diseño. A medida que la red aumenta de tamaño o complejidad y los cambios comienzan a afectar a los dispositivos
centrales, a menudo señala razones de diseño para separar físicamente las funciones centrales y de distribución en diferentes dispositivos
físicos.
Asignación del plano de datos y control a la jerarquía física
La implementación de la jerarquía en la red del campus no es solo una cuestión de diseño físico. Para lograr el nivel deseado de aislamiento de fallas
y cambios, el diseño del plano de control lógico y el diseño del flujo de datos también deben seguir los principios de diseño jerárquico. Más importante
aún, es necesario mapear los tres elementos (conectividad física, plano de control lógico y flujos de datos) juntos en el mismo modelo jerárquico para
producir una implementación de red óptima. Desde una perspectiva física, la capa de distribución proporciona el límite entre el bloque de distribución
de acceso y el núcleo de la red. Proporciona la demarcación física entre la infraestructura central y los bloques de distribución de acceso. También
debe ser el punto de demarcación y resumen entre el plano de control de núcleos y el plano de control del bloque de distribución de acceso. Tener
una vista resumida del plano de conectividad y control dentro del bloque de distribución de acceso permite administrar y cambiar el núcleo y el resto
de la red sin considerar constantemente los detalles internos específicos del bloque de distribución de acceso. El tercer aspecto del diseño jerárquico,
cómo fluye el tráfico de datos a través del campus, se configura en la red, pero es una propiedad u objetivo deseable del diseño. Como se muestra en
pero es una propiedad u objetivo deseable del diseño. Como se muestra en pero es una propiedad u objetivo deseable del diseño. Como se muestra
en Figura 5 , la misma falla de enlace en tres configuraciones de conmutador diferentes puede resultar en tres rutas de recuperación de tráfico
diferentes que van desde el mejor de los casos, donde el tráfico que fluye hacia arriba se recupera a otra ruta de subida, hasta el peor de los casos,
en el que el tráfico debe fluir de regreso a una capa inferior de la jerarquía para restaurar la conectividad de la red.
12 OL-15716-01
Figura 5 Recuperación de tráfico en un diseño jerárquico
Si Si Si Si Si Si
Si Si Si Si Si Si
223681
Indeseable Aceptable Mejor
Una de las ventajas del diseño jerárquico es que podemos lograr un grado de especialización en cada una de las capas, pero esta especialización
asume cierto comportamiento de red. Uno de los supuestos o requisitos que permite esta especialización es que el tráfico siempre fluirá de la
misma manera jerárquica ascendente o descendente (acceso a la distribución al núcleo). Cuando sabemos que la ruta alternativa para cualquier
flujo de tráfico seguirá el mismo patrón jerárquico que la ruta original, podemos evitar tomar ciertas decisiones de diseño, como garantizar que la
capa de acceso pueda soportar cargas de tráfico adicionales. De manera similar, sabiendo que el tráfico siempre fluye desde la capa de acceso a
través de una capa de distribución y luego al núcleo, es más fácil implementar mecanismos de políticas consistentes en cada capa. Reduce las
complicaciones de diseño cuando no hay necesidad de considerar la posibilidad de que el tráfico fluya alrededor o a través de una capa de política
dos veces. El diseño de la jerarquía de la red para soportar un comportamiento de flujo de datos consistente también tiene el efecto de mejorar el
tiempo de convergencia de la red en caso de falla. Los diseños de rutas múltiples de igual costo (ECMP) y otras configuraciones completamente
redundantes garantizan que estos flujos de datos jerárquicos también proporcionen tiempos de convergencia rápidos y deterministas sobre diseños
sin malla completa, como se muestra en la Mejor
caso en Figura 5 .
Modularidad
El segundo de los dos principios del diseño estructurado es modularidad. Los módulos del sistema son los bloques de construcción
que se ensamblan en el campus más grande. La ventaja del enfoque modular se debe en gran parte al aislamiento que puede
proporcionar. Las fallas que ocurren dentro de un módulo pueden aislarse del resto de la red, proporcionando una detección de
problemas más simple y una mayor disponibilidad general del sistema. Los cambios de red, las actualizaciones o la introducción de
nuevos servicios se pueden realizar de forma controlada y por etapas, lo que permite una mayor flexibilidad en el mantenimiento y la
operación de la red del campus. Cuando un módulo específico ya no tiene capacidad suficiente o le falta una nueva función o servicio,
se puede actualizar o reemplazar por otro módulo que tenga la misma función estructural en el diseño jerárquico general.
• Bloque de distribución de acceso
• Bloque de servicios
OL-15716-01 13
Las siguientes secciones presentan los componentes básicos del campus subyacentes. Para obtener una guía de diseño detallada, consulte cada uno de los
documentos de diseño apropiados que tratan cada módulo específico.
Bloque de distribución de acceso
El bloque de distribución de acceso (también conocido como bloque de distribución) es probablemente el elemento más familiar de la
arquitectura del campus. Es el componente fundamental del diseño de un campus. El diseño adecuado del bloque de distribución
contribuye en gran medida a garantizar el éxito y la estabilidad de la arquitectura general. El bloque de distribución de acceso consta
de dos de los tres niveles jerárquicos dentro de la arquitectura del campus de múltiples capas: las capas de acceso y distribución. Si
bien cada una de estas capas tiene requisitos de características y servicios específicos, son las opciones de diseño del plano de
control de topología de red, como los protocolos de enrutamiento y árbol de expansión, las que son fundamentales para determinar
cómo el bloque de distribución se pega y encaja dentro de la arquitectura general.
• Multinivel
• Acceso enrutado
• Interruptor virtual
Si bien estos tres diseños utilizan la misma topología física básica y planta de cableado, existen diferencias en el lugar donde existen los límites de la
Capa 2 y la Capa 3, cómo se implementa la redundancia de la topología de red y cómo funciona el equilibrio de carga, junto con un número de otras
diferencias clave entre cada una de las opciones de diseño. Si bien se puede encontrar una descripción completa de la configuración de cada modelo
de bloque de distribución de acceso dentro de los documentos de diseño detallados, a continuación se proporciona una breve descripción de cada
opción de diseño.
Bloque de distribución de acceso de varios niveles
El modelo de distribución de acceso de varios niveles ilustrado en Figura 6 es el diseño tradicional de bloques de distribución de acceso al campus. Todos los
conmutadores de acceso están configurados para ejecutarse en el modo de reenvío de capa 2 y los conmutadores de distribución están configurados para
ejecutar reenvío de capa 2 y de capa 3. Los troncales basados en VLAN se utilizan para extender las subredes desde los conmutadores de distribución hasta la
capa de acceso. Un protocolo de puerta de enlace predeterminado, como HSRP o GLBP, se ejecuta en los conmutadores de la capa de distribución junto con un
protocolo de enrutamiento para proporcionar enrutamiento ascendente al núcleo del campus. Una versión del árbol de expansión y el uso de las funciones de
refuerzo del árbol de expansión (como Loopguard, Rootguard y BPDUGuard) se configuran en los puertos de acceso y los enlaces de conmutador a conmutador
según corresponda.
14 OL-15716-01
Figura 6 Bloque de distribución de acceso al campus de varios niveles
Núcleo
GLBP proporciona
Loopguard y
para activo-activo
Endurecimiento de Rootguard
FHRP
Diseños STP
BPDU-Guard Flexlink un
protege el borde alternativa a
223682
puertos STP
El diseño de varios niveles tiene dos variaciones básicas, como se muestra en Figura 7 , que difieren principalmente solo en la forma en que se definen
las VLAN. En el diseño en bucle, las VLAN de una a varias están configuradas para abarcar varios conmutadores de acceso. Como resultado, cada uno
de estos abarcado Las VLAN tienen un árbol de expansión o una topología en bucle de capa 2. La otra alternativa, la V o sin bucles diseño: sigue la guía
de mejores prácticas actual para el diseño de varios niveles y define VLAN únicas para cada conmutador de acceso. La eliminación de bucles en la
topología proporciona una serie de beneficios, incluido el equilibrio de carga de enlace ascendente por dispositivo con el uso de GLBP, una
dependencia reducida del árbol de expansión para proporcionar la recuperación de la red, la reducción del riesgo de tormentas de transmisión y la
capacidad de evitar inundación de unidifusión (y desafíos de diseño similares asociados con topologías de reenvío no simétricas de Capa 2 y Capa 3).
Figura 7 Dos variaciones principales del bloque de distribución de varios niveles
Núcleo Núcleo
Si Si Si Si
VLAN 10 VLAN 20 VLAN 30 VLAN 30 VLAN 30 VLAN 30

223683
Topología sin bucles Topología en bucle
La guía de diseño detallada para el diseño del bloque de distribución de acceso enrutado se puede encontrar en la sección del campus del sitio de
CCO SRND http://www.cisco.com/go/srnd .
OL-15716-01 15
Bloque de distribución de acceso enrutado
Una configuración alternativa al modelo tradicional de bloques de distribución de varios niveles es una en la que el conmutador de acceso actúa como un
nodo de enrutamiento de capa 3 completo (proporciona conmutación de capa 2 y capa 3) y el acceso a troncales de enlace ascendente de capa 2 de
distribución se reemplazan con enlaces enrutados punto a punto de capa 3. Esta configuración alternativa, en la que la demarcación de Capa-2/3 se mueve
del conmutador de distribución al conmutador de acceso, parece ser un cambio importante en el diseño, pero en realidad es simplemente una extensión del
diseño de múltiples niveles de mejores prácticas. Ver Figura 8 .
Figura 8 Diseño de bloques de distribución de acceso enrutado
Núcleo
Si Si Capa 3
Capa 2
223684
En el diseño de acceso enrutado y de múltiples niveles de las mejores prácticas, cada conmutador de acceso se configura con voz, datos y cualquier otra
VLAN requerida única. En el diseño de acceso enrutado, la puerta de enlace predeterminada y el puente raíz para estas VLAN simplemente se mueven del
conmutador de distribución al conmutador de acceso. El direccionamiento para todas las estaciones finales y para la puerta de enlace predeterminada sigue
siendo el mismo. La configuración de VLAN y puerto específico permanece sin cambios en el conmutador de acceso. Configuración de la interfaz del
enrutador, listas de acceso, IP ayudante y cualquier otra configuración para cada VLAN permanece idéntica. Sin embargo, ahora están configurados en la
interfaz virtual conmutada (SVI) de VLAN definida en el conmutador de acceso, en lugar de en los conmutadores de distribución. Hay cambios de
configuración notables asociados con el traslado de la interfaz de capa 3 al conmutador de acceso. Ya no es necesario configurar una dirección de puerta de
enlace virtual HSRP o GLBP, ya que las interfaces del enrutador para todas las VLAN ahora son locales. De manera similar, con un solo enrutador de
multidifusión para cada VLAN, no es necesario ajustar los intervalos de consulta PIM o asegurarse de que el enrutador designado esté sincronizado con la
puerta de enlace HSRP activa.
El diseño del bloque de distribución de acceso enrutado tiene una serie de ventajas sobre el diseño de varios niveles con el uso de acceso de capa 2
a los enlaces ascendentes de distribución. Ofrece herramientas comunes de resolución de problemas de extremo a extremo (como ping y traceroute),
utiliza un protocolo de control único (ya sea EIGRP u OSPF) y elimina la necesidad de funciones como HSRP. Si bien es el diseño adecuado para
muchos entornos, no es adecuado para todos los entornos, ya que requiere que ninguna VLAN abarque varios conmutadores de acceso. La guía de
diseño detallada para el diseño del bloque de distribución de acceso enrutado se puede encontrar en la sección del campus del sitio de CCO SRND, http://www.cisco.co
.
Interruptor virtual
El diseño del bloque de distribución del Sistema de conmutación virtual (VSS) es un cambio radical del diseño de acceso enrutado o de varios
niveles. La introducción de Cisco Catalyst 6500 VSS y Stackwise / Stackwise-Plus en Cisco Catalyst 3750 / 3750E brinda la oportunidad de
realizar un cambio significativo en la forma en que se puede implementar la redundancia de enlaces y conmutadores. En el pasado, múltiples
dieciséis OL-15716-01
Los conmutadores de acceso se conectaron a dos conmutadores de distribución redundantes y la configuración de los protocolos de control de red (como
HSRP, árbol de expansión 802.1D y EIGRP) determinó la forma en que los conmutadores reenviaban el tráfico a través de cada uno de los enlaces
ascendentes y la red se recuperaba en el caso de falla de un conmutador o enlace. Con la introducción del concepto de conmutador virtual, el par de
conmutadores de distribución ahora se puede configurar para ejecutarse como un único conmutador lógico, como se muestra en Figura 9 . Al convertir los
conmutadores de distribución física redundantes en un único conmutador lógico, se realiza un cambio significativo en la topología de la red. En lugar de un
conmutador de acceso configurado con dos enlaces ascendentes a dos conmutadores de distribución, y que necesita un protocolo de control para
determinar cuál de los enlaces ascendentes utilizar, ahora el conmutador de acceso tiene un único enlace ascendente Etherchannel (MEC) de varios chasis
conectado a un único conmutador de distribución .
Figura 9 Conmutador virtual físico y lógico
Núcleo Núcleo
223685
Red física Red lógica
El cambio de dos enlaces ascendentes independientes a un único enlace ascendente Etherchannel de varios chasis tiene una serie de ventajas. Ver Figura
10 . El equilibrio de carga del tráfico y la recuperación de fallas en el enlace ascendente ahora aprovechan las capacidades de Etherchannel. El tráfico se
equilibra en la carga por flujo, en lugar de por cliente o por subred. En caso de que uno de los enlaces ascendentes falle, Etherchannel redistribuye
automáticamente todo el tráfico a los enlaces restantes en el paquete de enlace ascendente en lugar de esperar a que el árbol de expansión, HSRP u otro
protocolo converja. La capacidad de eliminar los bucles físicos de Capa 2 de la topología, y de dejar de depender del árbol de expansión para proporcionar
el mantenimiento de la topología y la redundancia de enlaces, da como resultado un diseño de bloque de distribución que permite que las subredes y
VLAN se extiendan a través de múltiples conmutadores de acceso. (sin los desafíos y limitaciones tradicionales de un diseño de Capa 2 basado en árbol
de expansión).
OL-15716-01 17
Figura 10 Conmutador virtual frente a topología de árbol de expansión
Núcleo Núcleo
Si Si
VLAN 30 VLAN 30 VLAN 30 VLAN 30 VLAN 30 VLAN 30
Topología en bucle de capa 2 Bloques STP Etherchannel de varios chasis
223686
50% de todos los enlaces Todos los enlaces activos
La capacidad de eliminar bucles físicos de la topología y dejar de depender del árbol de expansión es una de las ventajas significativas
del diseño de conmutador virtual. Sin embargo, no es la única diferencia. El diseño del conmutador virtual permite realizar una serie de
cambios fundamentales en la configuración y el funcionamiento del bloque de distribución. Al simplificar la topología de la red para
utilizar un único conmutador de distribución virtual, muchos otros aspectos del diseño de la red se simplifican enormemente o, en
algunos casos, ya no son necesarios. Las características como HSRP o GLBP ya no son necesarias porque ambos conmutadores
actúan como una puerta de enlace predeterminada lógica. La configuración de las funciones por subred o VLAN, como listas de
acceso, ip-helper y otras, debe realizarse una sola vez, no replicarse y mantenerse sincronizada entre dos conmutadores separados.
Similar,
Nota Si bien el diseño del conmutador virtual elimina la dependencia del árbol de expansión para el mantenimiento activo de la topología, el árbol de
expansión no debe desactivarse. El árbol de expansión debe permanecer configurado como un mecanismo de resistencia de respaldo.
El conmutador virtual no se limita a la distribución del campus. Un conmutador virtual se puede utilizar en cualquier ubicación del diseño del
campus donde sea deseable reemplazar el plano de control actual y la redundancia de hardware con la topología simplificada que ofrece el uso
de un conmutador virtual. El conmutador virtual simplifica la topología de la red al reducir la cantidad de dispositivos tal como los ve el árbol de
expansión o el protocolo de enrutamiento. Cuando existían dos o más nodos con múltiples enlaces independientes que conectan la topología, un
conmutador virtual puede reemplazar partes de la red con un único nodo lógico con menos enlaces. Figura 11
ilustra un caso extremo en el que se está migrando una topología de capa 2 de un extremo a otro de una topología basada en árbol de expansión
completamente redundante a una red basada en conmutadores virtuales de extremo a extremo. Aquí, la topología se simplifica drásticamente y ahora todos
los enlaces se reenvían activamente sin bucles de árbol de expansión.
18 OL-15716-01
Figura 11 Uso del diseño de conmutador virtual en una topología de capa 2 de un extremo a otro
Si Si
Enlace bloqueado STP
Si Si
Si Si
223687
Basado en STP Virtual completamente redundante
Topología redundante Topología de conmutador
Si bien el uso de un conmutador virtual para simplificar la topología del campus puede ayudar a abordar muchos desafíos de diseño, el diseño
general debe seguir los principios de diseño jerárquico. El uso apropiado de los límites de resumen, seguridad y QoS de Capa 2 y Capa 3 se aplica
a un entorno de conmutador virtual. La mayoría de los entornos de campus obtendrán las mayores ventajas de un conmutador virtual en la capa de
distribución. Para obtener detalles sobre el diseño del bloque de distribución de conmutación virtual, consulte el próximo diseño del bloque de
distribución de conmutador virtual, http://www.cisco.com/go/srnd .
Comparación de diseño de bloques de distribución
Si bien cada uno de los tres diseños de bloques de distribución de acceso proporciona un enfoque viable, el conmutador virtual y los diseños de acceso
enrutado tienen ventajas sobre el enfoque tradicional de varios niveles. La configuración y operación de la red en general más simples, el equilibrio de
carga ascendente y descendente por flujo y la convergencia más rápida son algunas de las diferencias entre estas opciones de diseño más nuevas y el
enfoque tradicional de varios niveles. La selección de una opción de diseño específica para una red de campus determinada es
OL-15716-01 19
una decisión importante en la planificación del diseño de un campus. Tabla 2 proporciona una comparación general de las tres opciones de diseño.
Antes de tomar una decisión de diseño final, revise las descripciones de diseño detalladas proporcionadas por Cisco para asegurarse de que se tengan
en cuenta todos los factores pertinentes a su entorno.
Tabla 2 Comparación de modelos de diseño de bloques de distribución
Acceso de varios niveles Acceso enrutado Interruptor virtual
Distribución de acceso Árbol de expansión (PVST +, EIGRP o OSPF PAgP, LACP

Protocolos de plano de control Rapid-PVST + o MST)
Árbol de expansión STP Requerido para la redundancia de la No 1 No 2

red y para prevenir bucles L2
Recuperación de red Árbol de expansión y FHRP EIGRP o OSPF Etherchannel de varios chasis
Mecanismos (HSRP, GLBP, VRRP) (MEC)
Cableado que abarca VLAN Compatible (requiere L2 No Soportado

armarios bucles de árbol de expansión)
Demarcación de capa 2/3 Distribución Acceso Distribución 3
Redundancia del primer salto Se requiere HSRP, GLBP, VRRP No requerido No requerido
Protocolo
Acceso a distribución No Sí - ECMP Sí - MEC

Por carga de flujo
Equilibrio
Convergencia 900 ms a 50 segundos 50 a 600 milisegundos 50 a 600 milisegundos 4
(Depende de la topología STP y el

ajuste FHRP)
Cambio de control Diseño de conmutador de distribución doble Diseño de conmutador de distribución doble El conmutador virtual único requiere
configuración manual requiere configuración manual sincroniza automáticamente la configuración
sincronización, pero permite la sincronización, pero permite entre actualizaciones de código independientes de hardware
redundante y actualizaciones de código independientes, pero actualmente no permite cambios
cambios actualizaciones de código independientes para
conmutadores de miembros individuales
1. Ni el acceso enrutado ni los diseños de conmutadores virtuales requieren que STP esté configurado para mantener la topología de la red. Todavía se recomienda y requiere permitir el uso de funciones como BPDU Guard en
los puertos de acceso.
2. Igual que la nota 1 a pie de página.
3. Con un diseño de conmutador virtual, es posible configurar una capa de acceso enrutado, pero esto afectará la capacidad de distribuir VLAN a través de armarios de cableado.
4. Las pruebas iniciales indican tiempos de convergencia comparables al acceso enrutado de 50 a 600 mseg. Ver el próximo Guía de diseño de conmutadores virtuales para el final
valores.
Bloque de servicios
El bloque de servicios es un elemento relativamente nuevo en el diseño del campus. Ver Figura 12 . A medida que los planificadores de redes del
campus comienzan a considerar la migración a entornos IPv4 / IPv6 de doble pila, migran a entornos WLAN basados en controladores y continúan
integrando servicios de comunicaciones unificadas más sofisticados, se avecinan una serie de desafíos reales. Será esencial integrar estos servicios
en el campus sin problemas, al mismo tiempo que se proporciona el grado adecuado de gestión de cambios operativos y aislamiento de fallas y se
continúa manteniendo un diseño flexible y escalable. Por ejemplo, los servicios IPv6 se pueden implementar a través de una superposición ISATAP
interina que permite que los dispositivos IPv6 hagan un túnel sobre partes del campus que aún no están habilitadas para IPv6 nativo. Este enfoque
provisional permite una introducción más rápida de nuevos servicios sin requerir una transición en caliente en toda la red.
20 OL-15716-01
Ejemplos de funciones recomendadas para ubicarse en un bloque de servicios incluyen:
• Controladores inalámbricos LWAPP centralizados
• Terminación del túnel IPv6 ISATAP
• Perímetro de Internet local
• Servicios de comunicaciones unificadas (Cisco Unified Communications Manager, puertas de enlace, MTP y similares)
• Pasarelas de políticas
Figura 12 Bloque de servicios del campus
Bloque de servicios
ISATAP
METRO DE-encapsulado Túnel
METRO
Tráfico Tráfico
LWAPP
Túnel
Tráfico
223688
IP
El bloque de servicios no es necesariamente una entidad única. Puede haber múltiples bloques de servicios según la escala de la red,
el nivel de redundancia geográfica requerido y otros factores operativos y físicos. El bloque de servicios tiene un propósito central en el
diseño del campus; aísla o separa funciones específicas en conmutadores de servicios dedicados, lo que permite procesos operativos
más limpios y una gestión de la configuración.
OL-15716-01 21
Resistencia
Si bien los principios del diseño estructurado y el uso de la modularidad y la jerarquía son parte integral del diseño de las redes del
campus, son insuficiente para crear una infraestructura de red sostenible y escalable. Considere la analogía del desarrollo de software.
En el mundo del software, ya no es suficiente que los programas simplemente generen la salida correcta dada la entrada correcta. De
la misma forma, no basta con que la red de un campus se considere completa únicamente porque transmite datos correctamente de
un punto a otro. Como lo demuestran las numerosas vulnerabilidades de seguridad expuestas en los sistemas operativos y programas
de software en los últimos años, los diseñadores de software están aprendiendo que ser correcto ya no es suficiente. Los sistemas
también deben diseñarse para resistir fallas en condiciones inusuales o anormales. Una de las formas más sencillas de romper
cualquier sistema es presionar las condiciones límite, para encontrar los bordes del diseño del sistema y buscar vulnerabilidades. Si
está tratando de romper una pieza de software que acepta un rango de entrada de valores de uno a diez, intente darle entradas de
diez mil, diez millones, etc. para determinar cuándo y cómo se romperá. Si está intentando romper una red, siga un enfoque similar.
Introduzca un volumen de tráfico, una cantidad de flujos de tráfico u otra condición anómala para encontrar las vulnerabilidades. Los
ingenieros de software se han dado cuenta del problema y han adoptado varios enfoques para resolverlo, incluido el uso de
verificación de límites, verificación de afirmaciones y una mayor modularización.
¿Qué significa crear un diseño resistente en el contexto de la red del campus? Una característica básica de la resiliencia es la capacidad del sistema de
permanecer disponible para su uso tanto en condiciones normales como anormales. Las condiciones normales incluyen eventos tales como cambios de
ventana y flujos y patrones de tráfico normales o esperados. Las condiciones anormales incluyen fallas de hardware o software, cargas de tráfico
extremas, patrones de tráfico inusuales, eventos de denegación de servicio (DoS), ya sean intencionales o no, y cualquier otro evento no planificado.
Como se ilustra en Figura 13 , hay una serie de enfoques para proporcionar resiliencia, incluido el fortalecimiento de los componentes individuales, los
conmutadores y los enlaces en la red, la adición de capacidades de limitación de velocidad o aceleración a las funciones de software y hardware,
proporcionando controles explícitos sobre el comportamiento de los dispositivos de borde y el uso de Instrumentación y herramientas de gestión para
proporcionar retroalimentación a los equipos de operaciones de la red.
22 OL-15716-01
Figura 13 Ejemplos de características de resiliencia del campus
Endurezca el plano de control
• Amortiguación de IP
Endurezca los interruptores Si Si • Sintonización OSPF
• expansión
Kit de herramientas de árbol de
• HW CEF
• velocidad
Limitadores de
• CoPP
Endurecer los vínculos
• QoS
Si Si • Clase carroñero
• Control de tormentas
Instrumentar la red
• Netflow
• MARTE
• NBAR / FBM (PISA)
Prevenir anomalías
Evento de borde
• NAC e IBNS
• NBAR / FPM (PISA)
IP IP IP • CISF (DAI, ...)
Endurezca los sistemas finales
223689
• Agente de seguridad de Cisco
El diseño resiliente no es una característica ni hay algo específico que hagas para lograrlo. Al igual que con la jerarquía y la modularidad, la resiliencia es un principio básico que se
hace realidad mediante el uso de muchas características relacionadas y opciones de diseño. El uso coordinado de múltiples funciones y el uso de funciones para múltiples
propósitos son aspectos del diseño resistente. Un ejemplo que ilustra este principio es la forma en que se utiliza una función de puerto de acceso, como la seguridad del puerto.
Habilitar la seguridad del puerto en el conmutador de acceso le permite restringir qué tramas pueden entrar desde el cliente en un puerto de acceso según la dirección MAC de
origen en la trama. Cuando está habilitado, puede resolver varios problemas, como la prevención de ciertos ataques de inundación de intermediarios y DoS, además de mitigar los
bucles de capa 2 (árbol de expansión) que involucran los puertos de acceso. La implementación de la seguridad del puerto proporciona una verificación de límites explícita sobre la
cantidad de dispositivos finales que deben conectarse a un puerto final. Cada red está diseñada para admitir una cantidad específica de dispositivos en un puerto de borde. Al
implementar una regla explícita que refuerza ese comportamiento esperado, el diseño de la red logra un mayor grado de resistencia general al prevenir todos los problemas
potenciales que podrían ocurrir si miles de direcciones MAC aparecieran repentinamente en un puerto de borde. Al diseñar la red para lo que usted desea que haga y evitar que
haga lo que no desea que haga, disminuye la probabilidad de que algún evento inesperado rompa o interrumpa la red. La implementación de la seguridad del puerto proporciona
una verificación de límites explícita sobre la cantidad de dispositivos finales que deben conectarse a un puerto final. Cada red está diseñada para admitir una cantidad específica
de dispositivos en un puerto de borde. Al implementar una regla explícita que refuerza ese comportamiento esperado, el diseño de la red logra un mayor grado de resistencia
general al prevenir todos los problemas potenciales que podrían ocurrir si miles de direcciones MAC aparecieran repentinamente en un puerto de borde. Al diseñar la red para lo
que usted desea que haga y evitar que haga lo que no desea que haga, disminuye la probabilidad de que algún evento inesperado rompa o interrumpa la red. La implementación
de la seguridad del puerto proporciona una verificación de límites explícita sobre la cantidad de dispositivos finales que deben conectarse a un puerto final. Cada red está diseñada
para admitir una cantidad específica de dispositivos en un puerto de borde. Al implementar una regla explícita que refuerza ese comportamiento esperado, el diseño de la red logra un mayor grado
Como ilustra el ejemplo de seguridad del puerto, hay muchos casos en los que las características de seguridad tradicionales y las características de calidad
de servicio (QoS) pueden y deben usarse tanto para abordar los requisitos de seguridad como de QoS, pero también para mejorar la disponibilidad de la
infraestructura del campus como un todo. El principio de resiliencia se extiende a la configuración de los protocolos del plano de control (como EIGRP,
Rapid-PVTS + y UDLD), así como a los mecanismos utilizados para proporcionar resiliencia a nivel de conmutador o dispositivo. La implementación
específica del resumen del protocolo de enrutamiento y el kit de herramientas del árbol de expansión (como Loopguard y Rootguard) son ejemplos de
controles explícitos que se pueden usar para controlar la forma en que las redes del campus se comportan bajo operaciones normales y reaccionan a
eventos esperados e inesperados.
OL-15716-01 23
La resiliencia es el tercero de los cuatro principios fundamentales del diseño del campus. Así como la forma en que implementamos la jerarquía y la
modularidad son mutuamente interdependientes, la forma en que logramos e implementamos la resiliencia también está estrechamente relacionada
con el diseño general. Agregar resiliencia al diseño puede requerir el uso de nuevas características, pero a menudo es solo una cuestión de cómo
elegimos implementar nuestra jerarquía y cómo configuramos las topologías básicas de Capa-2 y Capa-3.
Flexibilidad
En la mayoría de los entornos empresariales, las redes de campus ya no son nuevas incorporaciones a la red. En general, las redes de
campus han evolucionado a través de ciclos de construcción de primera y segunda generación y el ciclo de vida esperado de las redes de
campus ha aumentado considerablemente, de tres a cinco y, en algunos casos, siete años. Al mismo tiempo, estas redes se han vuelto
más grandes y complejas, mientras que el entorno empresarial y sus requisitos de comunicación subyacentes continúan evolucionando. El
resultado es que los diseños de redes deben permitir un grado creciente de adaptabilidad o flexibilidad. La capacidad de modificar partes
de la red, agregar nuevos servicios o aumentar la capacidad sin pasar por una gran
máquina elevadora La actualización son consideraciones clave para la efectividad de los diseños del campus.
El diseño jerárquico estructurado proporciona inherentemente un alto grado de flexibilidad porque permite cambios escalonados o
graduales en cada módulo de la red de manera bastante independiente de los demás. Los cambios en el transporte del núcleo se
pueden realizar independientemente de los bloques de distribución. Los cambios en el diseño o la capacidad de la capa de distribución
se pueden implementar de manera gradual o incremental. Además, como parte del diseño jerárquico general, la introducción del
módulo de bloques de servicios en la arquitectura está específicamente destinada a abordar la necesidad de implementar servicios de
forma controlada. Esta modularización del diseño general también se aplica a la selección de dispositivos para cubrir cada uno de los
roles en la arquitectura general. A medida que aumenta la vida útil de un conmutador de acceso, distribución o núcleo,
Hay una serie de áreas clave en las que es muy probable que las redes evolucionen en los próximos años y los diseños existentes
deben adaptarse para incorporar el grado apropiado de flexibilidad en sus diseños para adaptarse a estos cambios potenciales. Las
áreas clave a considerar incluyen las siguientes:
• Flexibilidad del plano de control —La capacidad de admitir y permitir la migración entre múltiples enrutamiento, árbol de expansión y otros
protocolos de control.
• Flexibilidad del plano de reenvío —La capacidad de admitir la introducción y el uso de IPv6 como requisito paralelo junto con
IPv4.
• Flexibilidad del grupo de usuarios —La capacidad de virtualizar las capacidades y los servicios de reenvío de red dentro de la estructura del
campus para admitir cambios en la estructura administrativa de la empresa. Esto podría implicar la adquisición, asociación o subcontratación
de funciones comerciales.
• Flexibilidad en la gestión y el control del tráfico —Las comunicaciones unificadas, los enfoques de negocios colaborativos y los modelos de software
continúan evolucionando, junto con una tendencia hacia un mayor crecimiento en los flujos de tráfico entre pares. Estos cambios fundamentales
requieren diseños de campus que permitan la implementación de las herramientas de seguridad, monitoreo y solución de problemas disponibles para
respaldar estos nuevos patrones de tráfico.
• Arquitectura de seguridad flexible —La alta probabilidad de cambios en los patrones de tráfico y un aumento continuo de las amenazas a la seguridad a
medida que se desarrollan nuevas aplicaciones y patrones de comunicaciones requerirá una arquitectura de seguridad que pueda adaptarse a estas
condiciones cambiantes.
La capacidad de realizar modificaciones evolutivas en cualquier campus es una necesidad comercial y operativa práctica. Asegurarse
de que la arquitectura general proporcione el grado óptimo de flexibilidad posible garantizará que los futuros requisitos comerciales y
tecnológicos sean más fáciles y rentables de implementar.
24 OL-15716-01
Servicios del campus

La arquitectura general del campus es más que el diseño jerárquico fundamental discutido en Principios de arquitectura y diseño del
campus, página 5 . Si bien los principios jerárquicos son fundamentales para cómo para diseñar un campus, no abordan las preguntas
subyacentes sobre lo que hace una red de campus. ¿Qué servicios debería proporcionar a los usuarios finales y dispositivos? ¿Cuáles son
las expectativas y los parámetros de esos servicios? ¿Qué funcionalidad debe diseñarse en cada una de las capas jerárquicas? ¿Qué debe
hacer una red de campus para cumplir con el negocio empresarial y los requisitos técnicos? Lo que un campus hace o necesita
proporcionar se puede clasificar en seis grupos:
• Alta disponibilidad ininterrumpida, página 25
• Servicios de acceso y movilidad, página 33
• Servicios de optimización y protección de aplicaciones, página 38
• Servicios de virtualización, página 42
• Servicios de seguridad, página 47
• Servicios operativos y de gestión, página 50
En las siguientes secciones, se presenta cada uno de estos servicios o requisitos de nivel de servicio. Las discusiones más detalladas de
cada tema estarán disponibles en los capítulos específicos de diseño del campus.
Alta disponibilidad ininterrumpida
En muchos casos, el principal requisito de servicio de la red del campus es la disponibilidad de la red. La capacidad de que los
dispositivos se conecten y las aplicaciones funcionen depende de la disponibilidad del campus. La disponibilidad no es un requisito
nuevo e históricamente ha sido el requisito de servicio principal para la mayoría de los diseños de campus. Las métricas de lo que
significa la disponibilidad y los requisitos de cómo disponible la red ha cambiado como resultado del crecimiento de las comunicaciones
unificadas, el video de alta definición y la creciente dependencia general de la red para todos los procesos comerciales.
Medición de la disponibilidad
La disponibilidad se mide tradicionalmente utilizando una serie de métricas, incluido el porcentaje de tiempo que la red está disponible o el número
de nueves —Como cinco nueves— de disponibilidad. El cálculo de la disponibilidad se basa en una función del tiempo medio entre fallos ( MTBF)
de los componentes de la red y el tiempo estimado o promedio para reparar ( MTTR), o cuánto tiempo se tarda en recuperarse de una falla.
Ver
Figura 14 .
Figura 14 Cálculo de disponibilidad
MTBF
Disponibilidad =
MTBF + MTTR
MTBF = Tiempo medio entre fallos

223824
MTTR = Tiempo medio de reparación
OL-15716-01 25
La mejora de la disponibilidad se logra aumentando el MTBF (reduciendo la probabilidad de que algo se rompa) o disminuyendo el MTTR
(reduciendo el tiempo para recuperarse de una falla) o ambos. En una red con un solo dispositivo, esto es todo lo que necesitamos para
considerar: ¿Qué tan confiable es el dispositivo? ¿Y qué tan rápido podemos arreglarlo si se rompe? En una red de más de un dispositivo, existen
otros factores que influyen en la disponibilidad general y en nuestras elecciones de diseño.
Una red de campus generalmente se compone de múltiples dispositivos, conmutadores y la probabilidad de falla de la red (MTBF) de la
red se calcula en función del MTBF de cada dispositivo y si son redundantes o no. En una red de tres conmutadores conectados en
serie, sin redundancia, la red se romperá si alguno de los tres conmutadores se rompe. El MTBF general de la red depende de la
probabilidad de que falle cualquiera de los tres. En una red con conmutadores redundantes o conmutadores en paralelo, la red solo se
interrumpirá si fallan ambos conmutadores redundantes. Los cálculos para el MTBF del sistema se basan en la probabilidad de que un
conmutador en una red no redundante (serie) se rompa ( Figura 15 ), o ambos interruptores en una interrupción de diseño redundante
(paralelo) ( Figura 16 ).
Figura 15 Cálculo de MTBF con conmutadores en serie
S1 S2
S 1, S 2 - Componentes de la serie
El sistema está disponible cuando ambos componentes están disponibles:
223825
UN serie = UN 1 x A 2
Figura 16 Cálculo de MTBF con interruptores en paralelo
S3
S4
S 3, S 4 - Componentes paralelos
El sistema no está disponible cuando ambos componentes no están disponibles:

223826
UN paralelo = 1 - (1 - A 1) x (1 - A 2)
Además de cambiar los cálculos de MTBF, la redundancia y cómo se usa la redundancia en un diseño también afecta el MTTR de la red.
Ver Figura 17 . El tiempo para restaurar el servicio, los flujos de datos, en la red se basa en el tiempo que demora en reemplazar el
dispositivo fallado o para que la red recupere los flujos de datos a través de una ruta redundante. El tiempo que le toma a un equipo de
operaciones reemplazar un dispositivo generalmente se mide en horas o días en lugar de minutos o segundos, y el impacto en la
disponibilidad de la red puede ser significativo si el diseño no tiene el grado apropiado de redundancia del dispositivo.
26 OL-15716-01
Figura 17 Impacto de la redundancia de la red en la confiabilidad general del campus
Fiabilidad = 99,938% con MTTR de cuatro horas (325 minutos / año)
Fiabilidad = 99,961% con MTTR de cuatro horas (204 minutos / año)
Fiabilidad = 99,9999% con MTTR de cuatro horas (30 segundos / año)
223690
La otra métrica comúnmente utilizada para medir la disponibilidad es defectos por millón ( DPM). Si bien medir la probabilidad de falla de una red
y establecer el acuerdo de nivel de servicio (SLA) que un diseño específico puede lograr es una herramienta útil, DPM adopta un enfoque
diferente. Mide el impacto de los defectos en el servicio desde la perspectiva del usuario final. A menudo es una mejor métrica para determinar
la disponibilidad de la red porque refleja mejor la experiencia del usuario en relación con los efectos de los eventos. El DPM se calcula tomando
como base el total minutos de usuario afectados para cada evento, el total de usuarios afectados y la duración del evento, en comparación con
el número total de minutos de servicio disponibles durante el período en cuestión. Divida la suma de los minutos de inactividad del servicio por
el total de minutos de servicio y multiplique por
1.000.000. Ver Figura 18 .
Figura 18 Cálculo de defectos por millón
∑ (# ofUsers_Affected × Outage_Minutes) × 10 6
DPM =
223827
(#Total_Users × Total_Service_Minutes)
DPM es útil porque es una medida de la disponibilidad observada y considera el impacto en el usuario final y en la propia red. Agregar este
elemento de experiencia del usuario a la cuestión de la disponibilidad del campus es muy importante de entender y se está convirtiendo en una
parte más importante de la cuestión de qué hace que una red de campus sea de alta disponibilidad o ininterrumpida. UN cinco nueves La red,
que se ha considerado el sello distintivo del excelente diseño de red empresarial durante muchos años, permite hasta cinco (5) minutos de
interrupción o inactividad por año. Ver Tabla 3 .
Tabla 3 Disponibilidad, DPM y tiempo de inactividad
Disponibilidad
(Por ciento) DPM Tiempo de inactividad / año (24x7x365)
99.000 10,000 3 días 15 horas 36 minutos
99.500 5,000 1 día 19 horas 48 minutos
OL-15716-01 27
Tabla 3 Disponibilidad, DPM y tiempo de inactividad (continuación)
Disponibilidad
(Por ciento) DPM Tiempo de inactividad / año (24x7x365)
99.900 1.000 8 horas 46 minutos
99,950 500 4 horas 23 minutos
99,990 100 53 minutos
99,999 10 5 minutos
99,9999 1 0,5 minutos
Desde la perspectiva de las operaciones de red, lograr un máximo de cinco minutos de tiempo de inactividad durante el año es un objetivo
importante. Sin embargo, como métrica única, no es suficiente caracterizar una red como que cumple con los requisitos de disponibilidad de los
entornos comerciales actuales y en evolución. DPM toma en consideración la medición de la disponibilidad de la red desde la perspectiva del
usuario (o aplicación) y es una herramienta valiosa para determinar si se está cumpliendo o no con el SLA de la red. Sin embargo, tampoco es
una métrica suficiente. La tercera métrica a considerar en el diseño del campus es la apagón máximo que cualquier aplicación o flujo de datos
experimentará durante una falla en la red. El tiempo de recuperación de la red desde la perspectiva del usuario (o aplicación) es la tercera
métrica de diseño crítica que se debe considerar al diseñar una red de campus. Cinco minutos de interrupción experimentados en medio de un
evento comercial crítico tienen un impacto significativo en la empresa.
Requisitos de comunicaciones unificadas
Proporcionar una alta disponibilidad en el diseño de un campus requiere la consideración de tres aspectos:
• ¿Qué SLA puede soportar el diseño (cuántos nueves)?
• ¿La red cumple con el SLA (DPM)?
• ¿Cuál será el impacto de cualquier falla en las aplicaciones y la experiencia del usuario?
Los dos primeros son métricas agregadas de la integridad operativa de una red de campus y se utilizan para determinar el nivel de
confiabilidad operativa de la red. La tercera consideración es una medida de la interrupción del negocio: cuán disruptivo será cualquier falla
para el negocio. La elección de una métrica para el tercer criterio ha cambiado con el tiempo a medida que ha cambiado la naturaleza de
las aplicaciones y la dependencia de la infraestructura de red.
A medida que las empresas migran a VoIP y comunicaciones unificadas, lo que se considera disponibilidad aceptable también debe
reevaluarse. El límite superior para la reconvergencia aceptable de la red, el MTTR, para las comunicaciones unificadas debe considerar varias
métricas clave:
• ¿Qué tan rápido debe restaurar la red los flujos de datos antes de que la pérdida se convierta en disruptiva para una voz o video interactivo?
¿Cuándo se interrumpirá su conversación?
• ¿Qué tan rápido debe converger la red y restaurar los flujos de datos antes de que alguien cuelgue una conversación activa debido a
una falta de aire? ¿Cuánto tiempo alguien escuchará el teléfono si no escucha nada? ¿Cuánto tiempo pasará antes de que la red
parezca rota?
• ¿Qué tan rápido debe converger la red para evitar fallas en la señalización de llamadas, pérdida del tono de marcado, reinicio provocado por la
pérdida de conexión con el agente de llamada (como Cisco Unified Communications Manager, Cisco Unified SRST o Cisco Unified
Communications Manager Express)?
28 OL-15716-01
Estas métricas contienen elementos objetivos y subjetivos. Además de definir cuándo fallarán las aplicaciones, también definen qué es
disruptivo para los empleados y usuarios de la red, qué eventos interrumpirán su capacidad para realizar negocios y qué eventos significan
una falla de la red. A medida que las comunicaciones basadas en red se convierten en la norma para todos los aspectos de la vida personal y
empresarial, la definición de métricas que describen un trabajando La red es cada vez más importante y más restrictiva.
Si bien las métricas para evaluar la evaluación de fallas subjetivas son por definición subjetivas, tienen una base en los patrones comunes de los
patrones de comunicación humana. La cantidad de tiempo que una persona está dispuesta a escuchar el aire muerto antes de decidir que la llamada
(red) falló, lo que provocó que el usuario cuelgue, es variable, pero tiende a estar en el rango de 3 a 6 segundos. La longitud de la pérdida de datos o de
la ruta del portador en un flujo RTP es mucho más estricta. Si bien el oído humano puede detectar la pérdida de sonido en la transmisión de audio de
hasta 50 mseg o menos, el intervalo promedio que resulta perturbador para una conversación está más cerca de 200 mseg. La capacidad de llenar la
información fonética perdida en una conversación y el umbral de qué período de tiempo constituye una pausa en el habla, lo que indica que es el turno de
otra persona para hablar, son mucho más largos de lo que el oído humano puede detectar como sonido perdido. La pérdida de sonido durante períodos
de hasta un segundo se recupera en el patrón de habla normal con relativa facilidad, pero más allá de eso, se vuelven perturbadores para la
conversación y resultan en una comunicación perdida o fallida. Ver Figura 19 .
Figura 19 Medida comparativa de MTTR en comunicaciones unificadas
50
45
40
35
Segundos de pérdida de datos
30
25
20
15
10
5
223691
0
Sin impacto Mínimo Usuario Teléfono
a voz Impacto Cuelga Reinicia *
o video a voz
* El tiempo que tarda un teléfono en resetearse es variable y depende del protocolo de señalización,
SCCP o SIP, y del estado de la llamada, activa, sonando, ...
Un campus que puede restaurar los flujos de medios RTP en menos tiempo del que se necesita para interrumpir una conversación comercial activa es tanto
un objetivo de diseño en una empresa habilitada para las Comunicaciones Unificadas como cumplir un objetivo de cinco nueves de disponibilidad.
Nota La voz y el video no son las únicas aplicaciones con estrictos requisitos de convergencia. Los sistemas comerciales, la atención médica y otras
aplicaciones en tiempo real pueden tener requisitos tan estrictos o incluso más estrictos para la velocidad de recuperación de la red. La voz se utiliza
como métrica para las guías de diseño empresarial de Cisco porque se está convirtiendo en una aplicación estándar en la mayoría de las redes
empresariales y proporciona un objetivo común que todos los diseños deben cumplir como requisito mínimo.
OL-15716-01 29
Herramientas y enfoques para la alta disponibilidad del campus
El enfoque adoptado en la guía de diseño del campus de ESE para resolver tanto el problema de asegurar cinco nueves de disponibilidad como
proporcionar los tiempos de recuperación requeridos por un campus habilitado para Comunicaciones Unificadas se basa en abordar el problema del
servicio de alta disponibilidad desde tres perspectivas:
• Resistencia de la red
• Resistencia del dispositivo
• Resistencia operativa
Este enfoque se basa en un análisis de los principales factores que contribuyen al tiempo de inactividad de la red (como se ilustra en Figura 20 ) y
utilizando los principios de jerarquía, resistencia y modularidad, combinados con las capacidades de la familia de switches Cisco Catalyst para
definir un conjunto de recomendaciones de diseño.
Figura 20 Causas comunes del tiempo de inactividad de la red
Diseño de redes y
OpOerpaetriountiaolnal Buenas practicas
ProPcreoscsess
404% 0% norte
Neettwwoorrkk
%
2200%
ftw
SoSfotw araere Sistema y red
ApApplpicliactaiotinon Nivel de resiliencia
404%0%
Hardware
Falla de energía Otro
Fuentes de tiempo de inactividad de la red * 8%
Fracaso 12%
14%
Gestión integrada
Error humano Telco / ISP
31% 35%
Causas comunes de
Tiempo de inactividad de la red empresarial **
* Fuente: Gartner Group

223692
* * Fuente: Yankee Group The Road to a Five-Nines Network 2/2004
Las siguientes secciones proporcionan descripciones breves de las características clave requeridas y consideraciones de diseño al abordar cada
uno de estos tres requisitos de resistencia.
Resistencia de la red
La resiliencia de la red se ocupa en gran medida de cómo el diseño general implementa la redundancia de topología, los enlaces y
dispositivos redundantes, y cómo los protocolos del plano de control (como EIGRP, OSPF, PIM y STP) están configurados de manera
óptima para operar en ese diseño. El uso de redundancia física es una parte fundamental para garantizar la disponibilidad de la red en
general. En caso de falla de un componente, tener un componente redundante significa que toda la red puede continuar funcionando.
Las capacidades del plano de control del campus brindan la capacidad de administrar la forma en que se aprovecha la redundancia
física, la carga de la red equilibra el tráfico, la red converge y se opera la red. Las recomendaciones detalladas sobre cómo configurar
de manera óptima los distintos protocolos del plano de control se tratan en la guía de diseño del campus específico,
30 OL-15716-01
• Siempre que sea posible, aproveche la capacidad del hardware del conmutador para proporcionar el mecanismo principal de detección y
recuperación de fallas de red (por ejemplo, utilice Etherchannel de múltiples chasis, recuperación de múltiples rutas de igual costo para la
recuperación de fallas). Esto asegura una recuperación de fallos más rápida y determinista.
• Implementar un defensa en profundidad enfoque de los mecanismos de detección y recuperación de fallas. Un ejemplo de esto es configurar el
protocolo de detección de enlace unidireccional (UDLD) que utiliza un mantenimiento de capa 2 para probar que los enlaces de conmutador a
conmutador están conectados y funcionan correctamente y actúa como respaldo del unidireccional nativo de capa 1 capacidades de detección de
enlace proporcionadas por 802.3z y
Estándares 802.3ae.
• Asegúrese de que el diseño sea autoestabilizador. Utilice una combinación de modularización del plano de control (como el resumen de
rutas) y la limitación del software (como la amortiguación de la interfaz IP) para garantizar que cualquier falla quede aislada en su impacto
y que el plano de control evite que surjan condiciones de inundación o paliza.
Estos principios están destinados a ser una parte complementaria del enfoque de diseño modular estructurado general para la arquitectura del
campus y sirven principalmente para reforzar las buenas prácticas de diseño resiliente.
Resistencia del dispositivo
Si bien una topología de red redundante, con enlaces y conmutadores redundantes, puede ayudar a abordar muchos desafíos generales de
disponibilidad del campus, proporcionar redundancia por sí sola no constituye una solución completa. Cada diseño de campus tendrá puntos
únicos de falla y la disponibilidad general de la red puede depender de la disponibilidad de un solo dispositivo. Un buen ejemplo de esto es la
capa de acceso. Cada conmutador de acceso representa un único punto de falla para todos los dispositivos conectados. Asegurar la
disponibilidad de los servicios de red a menudo depende de la resistencia de los dispositivos individuales.
La resistencia del dispositivo, al igual que la resistencia de la red, se logra mediante una combinación del nivel apropiado de redundancia física, refuerzo
del dispositivo y funciones de software de soporte. Los estudios indican que las fallas más comunes en las redes del campus están asociadas con fallas
de Capa 1, de componentes como energía, ventiladores y enlaces de fibra. El uso de diversas rutas de fibra con enlaces y tarjetas de línea redundantes,
combinados con fuentes de alimentación y circuitos de alimentación totalmente redundantes, son los aspectos más críticos de la resistencia del
dispositivo. El uso de fuentes de alimentación redundantes se vuelve aún más crítico en los conmutadores de acceso con la introducción de dispositivos
Power over Ethernet (PoE) como los teléfonos IP. Varios dispositivos ahora dependen de la disponibilidad del conmutador de acceso y su capacidad para
mantener el nivel de energía necesario para todos los dispositivos finales conectados. Después de fallas físicas, la causa más común de interrupción del
dispositivo suele estar relacionada con la falla del hardware o software del supervisor. Las interrupciones de la red debido a la pérdida o reinicio de un
dispositivo debido a una falla del supervisor se pueden abordar mediante el uso de la redundancia del supervisor. Los switches Cisco Catalyst
proporcionan dos mecanismos para lograr este nivel adicional de redundancia:
• Conmutación con estado y reenvío continuo (NSF / SSO) en Cisco Catalyst 4500 y Cisco Catalyst 6500
• Stackwise y Stackwise-Plus en Cisco Catalyst 3750 y Cisco Catalyst 3750E
Ambos mecanismos proporcionan una copia de seguridad activa en caliente para la estructura de conmutación y el plano de control, lo que garantiza que tanto
el reenvío de datos como el plano de control de la red (con protocolos como EIGRP, OSPF y STP) se recuperen sin problemas (pérdida de tráfico inferior a un
segundo) durante cualquier forma de falla del software o del hardware del supervisor.
Nota Para obtener información adicional sobre cómo mejorar la resistencia del dispositivo en el diseño de su campus, consulte el capítulo Diseño de supervisor
redundante del campus.
OL-15716-01 31
Además de garantizar que cada conmutador del campus tenga el nivel necesario de redundancia de hardware y software físico, también es
importante proporcionar la protección adecuada para el plano de control de los conmutadores. Las velocidades de varios gigabits de las redes de
conmutación modernas pueden superar la capacidad de cualquier CPU. Si bien la mayor parte del tráfico en la red del campus se reenvía en el
hardware y la CPU solo debería necesitar procesar el plano de control y el tráfico de administración de otros sistemas, el potencial existe bajo
ciertas condiciones de falla (o en el caso de un ataque DoS malicioso) para el volumen y tipo de tráfico reenviado para abrumar la CPU. En tales
eventos, a menos que se hayan implementado los controles y la arquitectura de hardware del conmutador adecuados, la red en su conjunto
puede fallar debido a que la CPU no puede procesar el plano de control crítico (por ejemplo, EIGRP y STP) y administración (como Telnet y SSH)
del tráfico. El diseño del campus aborda este tipo de problemas a través de tres enfoques:
• Limite el plano de control de línea base y la carga de la CPU en cada conmutador mediante un diseño modular, así como para proporcionar aislamiento
del plano de control entre los módulos en caso de que ocurra alguna falla.
• Reducir la probabilidad de un evento de inundación mediante la reducción del alcance de la topología de Capa 2 y el uso de las características del kit
de herramientas de árbol de expansión para fortalecer el diseño del árbol de expansión.
• Aproveche los mecanismos de protección de la CPU del hardware y las funciones de Protección del plano de control (CoPP) de los switches
Catalyst para limitar y priorizar el tráfico reenviado a cada CPU del switch.
La combinación de los tres elementos (redundancia física para abordar fallas físicas de Capa 1, redundancia de supervisor para proporcionar un
plano de reenvío (de datos) ininterrumpido y el refuerzo del plano de control mediante la combinación de un buen diseño y capacidades de
protección de CPU de hardware ) son los elementos clave para garantizar la disponibilidad de los propios conmutadores y un tiempo de actividad
óptimo para el campus en su conjunto.
Resistencia operativa
El diseño de la red para recuperarse de eventos de falla es solo un aspecto de la arquitectura ininterrumpida general del campus. Los entornos
empresariales continúan avanzando hacia la necesidad de una verdadera disponibilidad 7x24x365.
Cada vez es más difícil encontrar un cambiar ventana —O un momento en el que la red puede cerrarse por mantenimiento con la
globalización de los negocios, el deseo de siempre activo comunicaciones y el movimiento de sistemas de aplicaciones monolíticos
basados en mainframe a sistemas basados en Web y Comunicaciones Unificadas.
El campus, que puede formar o ser parte de la columna vertebral de la red empresarial, debe diseñarse para permitir procesos
operativos estándar, cambios de configuración, actualizaciones de software y hardware sin interrumpir los servicios de red.
La capacidad de realizar cambios, actualizar software y reemplazar o actualizar hardware en una producción es posible debido a la
implementación de red y redundancia de dispositivos. Al tener rutas activas duales a través de conmutadores redundantes diseñados para
converger en periodos de tiempo inferiores a un segundo, es posible programar un evento de interrupción en un elemento de la red y permitir que
se actualice y luego se vuelva a poner en servicio con una interrupción mínima de la red como entero. La capacidad de actualizar dispositivos
individuales sin sacarlos de servicio se basa de manera similar en tener redundancia de componentes internos (como con fuentes de alimentación
y supervisores) complementada con las capacidades del software del sistema. Existen dos mecanismos principales para actualizar el software
instalado en el campus:
• La actualización de software en servicio (ISSU) de imagen completa en el Cisco Catalyst 4500 aprovecha los supervisores duales para
permitir una actualización completa de Cisco IOS en el lugar. Pasando de 12.2 (37) SG1 a
12,2 (40) SG, como ejemplo. Esto aprovecha las capacidades NSF / SSO del switch y proporciona menos de 200 mseg de pérdida de tráfico
durante una actualización completa de Cisco IOS.
• La ISSU del subsistema en Cisco Catalyst 6500 aprovecha la modularidad de Cisco IOS y la capacidad que ofrece para reemplazar
componentes individuales de Cisco IOS (como protocolos de enrutamiento) sin afectar el reenvío de tráfico u otros componentes del
sistema.
32 OL-15716-01
Tener la capacidad de operar el campus como un sistema continuo depende de que las capacidades apropiadas estén diseñadas desde el
principio. La redundancia a nivel de red y dispositivo, junto con los mecanismos de control de software necesarios, garantizan una
recuperación rápida y controlada de todos los flujos de datos después de cualquier falla de la red, al mismo tiempo que brindan la capacidad
de administrar de manera proactiva la infraestructura continua.
Servicios de acceso y movilidad
De todos los factores que influyen en el cambio en la arquitectura del campus, la creciente expectativa dentro de la comunidad empresarial de un
entorno de trabajo flexible, que proporcione conectividad de red en cualquier momento y lugar, es uno de los más visibles. Este requisito de mayor
movilidad y flexibilidad no es nuevo, pero se está convirtiendo en una prioridad más alta que requiere una reevaluación de cómo el acceso a la red y
los servicios de acceso a la red están diseñados en la arquitectura general del campus. El crecimiento de la demanda de movilidad mejorada, tanto
cableada como inalámbrica, se puede caracterizar por observar tres tendencias vagamente relacionadas:
• El crecimiento de las computadoras portátiles y otros dispositivos portátiles como herramienta comercial principal en lugar de las computadoras de escritorio.
• El crecimiento en el número de socios, contratistas y otros invitados en el sitio que utilizan los servicios del campus. En la mayoría de los casos, estos
usuarios aprovecharán una combinación de su propio equipo informático, generalmente su computadora portátil proporcionada por la empresa, y equipos,
teléfonos, impresoras y similares proporcionados por la empresa anfitriona.
• El crecimiento en la cantidad y tipo de dispositivos conectados a la red del campus, como teléfonos VoIP, cámaras de video de
escritorio y cámaras de seguridad.
El único hilo que une todos los requisitos es la necesidad de mover dispositivos de manera rentable dentro del campus y asociarlos
con las políticas y servicios de red correctos dondequiera que estén conectados. Para lograr este nivel de movilidad de acceso, la red
del campus debe garantizar que los siguientes servicios de acceso estén integrados en la arquitectura general del campus:
• Capacidad para conectarse físicamente a la red y asociarse o negociar los servicios de red de Capa 1 y Capa 2 correctos: PoE,
velocidad de enlace y dúplex, subred (VLAN o SSID)
• Capacidad para proporcionar identificación de dispositivo y, cuando sea necesario, realizar autenticación de acceso a la red
• Capacidad de la red para aplicar las políticas de QoS deseadas para el usuario, dispositivo o flujo de tráfico específico (como transmisiones RTP)
• Capacidad de la red para aplicar las políticas de seguridad deseadas para el usuario o dispositivo específico
• Capacidad de la red y el dispositivo para determinar y luego registrar la ubicación del dispositivo de conexión
• Capacidad del dispositivo para negociar y registrar los parámetros correctos de la estación final (como DHCP), así como registrarse para cualquier
otro servicio de red necesario (como registrarse para la presencia de Comunicaciones Unificadas y los servicios del agente de llamadas)
El desafío para el arquitecto del campus es determinar cómo implementar un diseño que cumpla con esta amplia variedad de requisitos,
la necesidad de varios niveles de movilidad, la necesidad de un entorno de operaciones rentable y flexible, al tiempo que puede
proporcionar el equilibrio adecuado de seguridad y disponibilidad esperadas en entornos de configuración fija más tradicionales.
Diseño de campus cableado e inalámbrico convergente
Un enfoque que se está utilizando para abordar esta creciente necesidad de acceso a la red más dinámico y flexible es la introducción de
capacidades inalámbricas 802.11 en el campus. Si bien 802.11 puede proporcionar y proporciona una itinerancia más fácil y puede proporcionar
un método rentable para mejorar el acceso a la red, la implementación de la tecnología inalámbrica debe integrarse en una arquitectura general
del campus para proporcionar
OL-15716-01 33
para un conjunto consistente de servicios y facilidad de movimiento tanto para dispositivos inalámbricos altamente móviles como para dispositivos
cableados de alta disponibilidad. La integración de métodos de acceso por cable e inalámbricos en una arquitectura de campus común es solo la
última fase de convergencia de redes. Como se ilustra en Figura 21 (moviéndose de abajo hacia arriba) la red empresarial ha pasado por varias
fases de integración o convergencia.
Figura 21 Evolución de las redes de campus convergentes
Móvil Vídeo Invitado y Voz y RFID y Al aire libre

Correo electrónico Vigilancia Identidad UC Ubicación
U nortemi
Naciones re
Si re
re
ii yo
Unidas norte
ff
norte
mi
Nordeste w
rk
oes
mi tw ooS k
ttw
norte SkS
rv
rr mi ic mi rrce
viic
mimi ses
vs
Unificado Naciones
ifieUnidas W WdareW
ir re mi ira& re
Dakota l mi yo
delirNorte smi
NW le s st mi
norte s ewr
o tw k ork
Infraestructura de comunicaciones empresariales 2008+
W
Wisconsin ll s
mi lmi srs
iimissrrmi
SsSmiS
mi
mi rvrryo
mimi C v Css
v iimi Cs
mi
Red
C
Co convergente
o norte
er mi
norte S tkr Sw
o
v v r miw gramo
gramo mi ore mi
mi rnorte
rcekmi
resS
mi
vi rrvviicce
et norte
ess
Estafa C vNevada
o mi r mid N
gramo
nortergt mi
miomitwrek ewr
ork esmisl s
W W ir ir mi s
l mi
Infraestructura de comunicaciones empresariales alrededor de 2004
re
re re
unun
un S
unttcomo
St mi
un
mimivicrrv
rv iiCmies
sCs
mi V oV ooCii yo
mi
C CSS
e mi
S mimi
mi vC
rv rrCiiyoes
miv
s sC
mi V iVid
re miomioS
carné oSmi
Se
de mirvrric
identidad es
smismi
vCviic
mi
re rea un
t un un V Voi oyo C C mi mi V V yo yo re mi o o
Delaware
223693
Infraestructura de comunicaciones empresariales alrededor de 2000
Hay dos motivadores clave que han impulsado el proceso de convergencia de redes. El primero es la capacidad de una red convergente para reducir los costos operativos de la
empresa en general al aprovechar los sistemas comunes y (lo que es más importante) los equipos y procesos de soporte operativo comunes. El segundo, e igualmente importante,
impulsor de la convergencia es la ventaja comercial obtenida cuando los procesos comerciales previamente aislados pueden integrarse más estrechamente. La convergencia de
las redes de voz, video y datos (como ejemplo) ha permitido el desarrollo de sistemas de Comunicaciones Unificadas que permiten a las empresas aprovechar de manera más
eficiente todas las diversas herramientas de comunicación interpersonal. Esta próxima fase de integración, que combina cableado e inalámbrico en un campus convergente, está
motivada por las mismas razones. Los sistemas inalámbricos que pueden haberse implementado inicialmente como soluciones de casos especiales o aislados ahora se integran
más estrechamente en la arquitectura general del campus en muchos casos para proporcionar ahorros en los costos operativos. Aprovechar los sistemas backend de autenticación
comunes, los clientes de escritorio, los servicios de seguridad comunes y similares, junto con el uso de procesos de soporte comunes, puede resultar en un entorno operativo más
eficiente y efectivo. Igual de importante, la capacidad de proporcionar y similares, junto con el uso de procesos de soporte comunes, pueden resultar en un entorno operativo más
eficiente y efectivo. Igual de importante, la capacidad de proporcionar y similares, junto con el uso de procesos de soporte comunes, pueden resultar en un entorno operativo más
eficiente y efectivo. Igual de importante, la capacidad de proporcionar
34 OL-15716-01
La eficiencia empresarial al poder mover sin problemas un dispositivo entre entornos cableados e inalámbricos y proporcionar
colaboración y servicios comunes entre dispositivos independientemente del tipo de conectividad de acceso físico subyacente es un
requisito clave para esta próxima fase de diseño convergente.
Como parte del proceso de desarrollo de la arquitectura de acceso por cable e inalámbrico convergente general, es importante comprender que el
impulso para proporcionar una movilidad mejorada debe equilibrarse con la necesidad de admitir aplicaciones de misión crítica. Actualmente, todavía
existen diferencias en las propiedades y capacidades de las tecnologías de acceso por cable e inalámbrico que deben analizarse al decidir qué
dispositivos deben utilizar cableados, cuáles deben usar inalámbricos y cuáles necesitan la capacidad de moverse hacia adelante y hacia atrás según
los requisitos cambiantes. La matriz de decisiones que se utiliza para determinar cuándo se debe configurar un dispositivo para utilizar el acceso por
cable frente al acceso inalámbrico tiene varios factores específicos, pero esencialmente se reduce a una cuestión de dónde se encuentra un
dispositivo y sus requisitos de aplicación en un espectro de requisitos estrictos de nivel de servicio versus facilidad de movilidad. Ver Figura 22 .
Figura 22 Teclas de decisión cableadas e inalámbricas
Niveles de servicio Movilidad
223694
Cableado Inalámbrico
Una de las diferencias clave entre entornos cableados e inalámbricos es principalmente una función de las diferencias entre medios compartidos y
dedicados. El puerto de acceso por cable es un recurso de dúplex completo conmutado con recursos de hardware dedicados que proporcionan los
servicios de acceso (QoS, seguridad) para cada cliente. Los medios inalámbricos son un recurso compartido que aprovecha los protocolos de arbitraje
para asignar un uso justo de los medios compartidos. El resultado de esta diferencia básica es que, si bien el acceso inalámbrico proporciona un
entorno altamente flexible que permite una itinerancia fluida en todo el campus, se corre el riesgo de que el servicio de red se degrade en condiciones
extremas y no siempre podrá garantizar los requisitos de nivel de servicio de la red. Los puertos cableados brindan garantías mucho más confiables
para QoS (jitter, latencia), confiabilidad de paquetes (multidifusión), y ofrecen una capacidad mucho mayor y fundamentalmente más aislamiento para
problemas de Capa-1 y Capa-2. Sin embargo, un puerto cableado es un recurso de ubicación fija. Cuadro 4 proporciona un desglose de algunos
criterios de decisión que se pueden utilizar para evaluar las compensaciones entre el acceso cableado e inalámbrico.
Cuadro 4 Comparación de los requisitos de la aplicación de compatibilidad con cables e inalámbricos
Cableado Inalámbrico
Disponibilidad Switched Ethernet proporciona aislamiento de fallas de capa 1 Los modernos sistemas WLAN de 5Ghz con administración de radio
inherente y, cuando se complementa con las capacidades de los centralizada brindan múltiples capas de protección contra interferencias de
switches Catalyst actuales, proporciona aislamiento de fallas de capa radio. Si bien todos los medios inalámbricos son susceptibles a eventos DoS
2 y protección DoS. 1 intencionales o no intencionales (interferencia de radio, interferencia de RF),
el uso de diseños de WLAN de administración de radio centralizada
proporciona soluciones para abordar estos desafíos 1.
OL-15716-01 35
Cuadro 4 Comparación de los requisitos de compatibilidad de aplicaciones con cables e inalámbricos (continuación)
QoS Ethernet conmutada proporciona múltiples colas de hardware dedicadas, Mejoras en WLAN QoS según lo definido por el
incluida una cola de prioridad estricta para cada puerto, lo que brinda la Los estándares 802.11e brindan la capacidad de que las estaciones habilitadas para
capacidad de admitir políticas de QoS garantizadas. Las funciones QoS tengan la capacidad de solicitar parámetros de transmisión específicos
adicionales por puerto por VLAN, como policiers, brindan marcado de (velocidad de datos, jitter,
tráfico granular y control de tráfico y protección contra el mal etc.) necesarios para cumplir con la estricta política de QoS
comportamiento de los clientes. requisitos. Actualmente, la mayoría de las implementaciones de WLAN no

admiten una implementación completa de 802.11e y pueden sufrir una
degradación de QoS bajo cargas de tráfico muy altas.
Multidifusión Las tasas de error de bits (BER) extremadamente bajas de los enlaces de Los entornos de LAN inalámbrica experimentan una tasa de BER más
fibra y cobre combinados con colas de hardware dedicadas garantizan una alta que una red cableada comparable y no proporcionan una entrega
probabilidad extremadamente baja de eliminar el tráfico de multidifusión y, por reconocida de multidifusión
lo tanto, una probabilidad muy alta de entrega garantizada para ese tráfico de datos entre el AP y el cliente. Si bien los entornos WLAN admiten la
multidifusión. (El tráfico de multidifusión se basa en UDP y no tiene transmisión de tráfico de multidifusión, es posible que no satisfagan las
capacidades de retransmisión inherentes. La capacidad de garantizar de necesidades de las aplicaciones de multidifusión sensibles a pérdidas de
manera confiable la entrega de datos de multidifusión depende de la alto volumen (Nota: el tráfico de unidifusión 802.11 utiliza transmisiones
capacidad de la red para evitar caídas de paquetes). reconocidas para lograr una confiabilidad similar para el tráfico de
unidifusión a redes cableadas incluso con la BER inherente más alta).
Control del tráfico de Sí, las capacidades de aislamiento de ACL y PVLAN por puerto permiten Sí, el tráfico de igual a igual puede ser bloqueado por el
igual a igual la segmentación del tráfico hasta el nivel del dispositivo Sistema WLAN, a nivel de dispositivo.
Autenticación La autenticación de cliente (802.1x) se admite en un entorno Los protocolos de autenticación de clientes están integrados en los estándares
conmutado, pero tiende a ser una tecnología complementaria a WLAN y se incorporan a los clientes de la estación final existentes. Las políticas
un entorno maduro previamente existente y puede resultar tener de autenticación de clientes consistentes son la norma para los diseños
una implementación más complicada que en un entorno inalámbricos.
inalámbrico equivalente.
Ubicación Los servicios basados en la ubicación son una tecnología adicional a un Servicios basados en la ubicación integrados en los sistemas WLAN
entorno maduro previamente existente. actuales.
1. La protección DoS de capa 3 es común a ambos entornos, ya que es una propiedad de la infraestructura conmutada compartida.
Es razonable suponer que la mayoría de los entornos de campus empresariales seguirán teniendo variaciones en los requisitos de las
aplicaciones comerciales y necesitarán una combinación de acceso por cable e inalámbrico durante los próximos años. Ni los entornos
cableados ni inalámbricos serán suficientes para satisfacer todos los requisitos comerciales. El desafío para el diseñador de red es implementar
una solución de campus integrada que proporcione los requisitos de servicio óptimos para todos los dispositivos basados en los principios de la
red convergente, al mismo tiempo que proporciona un conjunto básico común de servicios de red y permite operaciones y administración
unificadas.
Servicios de acceso al campus
La capacidad de negociar parámetros de configuración y ajustes entre los dispositivos de borde y la infraestructura de red es una propiedad
central de la capa de acceso al campus. Tradicionalmente, los diseños de conmutación, campus o centro de datos, todos parecían
fundamentalmente similares. Consistían en conectividad Ethernet básica con la cantidad adecuada de puertos de acceso y la capacidad general
de la red. A medida que han evolucionado los entornos del centro de datos y del campus, los diseños y los requisitos del sistema se han vuelto
más especializados
36 OL-15716-01
y divergente. Un área donde esto es más evidente es en la capa de acceso. La capa de acceso al campus admite varios tipos de dispositivos, incluidos
teléfonos, AP, cámaras de video y computadoras portátiles, y cada uno de ellos requiere políticas y servicios específicos. Este es un entorno
completamente diferente al del centro de datos, con sus servidores blade de alta densidad, clústeres y sistemas de servidores virtuales. PoE,
autenticación de cliente, QoS dinámica y servicios de seguridad para respaldar una fuerza laboral cada vez más móvil son requisitos en la capa de
acceso al campus que la distinguen tanto de los entornos de conmutación heredados como de las necesidades especializadas del centro de datos.
Al observar cómo este conjunto de servicios de acceso evolucionó y continúa evolucionando, es útil comprender cómo está cambiando
la naturaleza de la capa de acceso. DHCP fue el primer mecanismo que proporcionó una configuración dinámica de red de dispositivos
de borde y facilitó el movimiento de dispositivos físicos en toda la red. La negociación dinámica de la configuración correcta de la pila
de IP facilitó los movimientos, adiciones y cambios de PC, impresoras y otros dispositivos. La migración a VoIP y la capacidad de los
teléfonos para negociar dinámicamente los requisitos de servicio con la red proporcionaron otro paso importante en este movimiento
hacia una mayor movilidad de los usuarios. Además de aprovechar la configuración de IP dinámica, los dispositivos VoIP también
aprovecharon los mecanismos de registro de servicios dinámicos (registro SCCP con Cisco Unified Communications Manager), así
como la negociación dinámica de servicios de red. La capacidad de los teléfonos para negociar los requisitos de alimentación, PoE, así
como la calidad del servicio del puerto de borde, la topología y los parámetros de seguridad proporcionó una capacidad plug-and-play
bastante sofisticada. El protocolo de descubrimiento de Cisco (CDP) proporciona la capacidad para que el dispositivo final, como un
teléfono IP, se identifique a sí mismo en la red y tanto la red como el teléfono negocien los parámetros de configuración. Un teléfono IP
identifica (a través de CDP) la VLAN que necesita usar para el tráfico de voz y cómo comentar los bits CoS en el tráfico recibido de la
PC conectada. De manera similar, el conmutador identificará los requisitos de energía específicos y establecerá correctamente la
configuración de QoS del puerto en función de la presencia de un teléfono en el puerto de borde.
Otra tendencia a tener en cuenta es que las capacidades de configuración y descubrimiento de redes de CDP se complementan con la
adición de los protocolos IEEE LLDP y LLDP-MED. LLDP y LLDP-MED complementan y superponen la funcionalidad proporcionada
por CDP, pero con una serie de diferencias. LLDP no proporciona funciones de CDP v2, como la negociación de energía bidireccional
entre el dispositivo final y el conmutador necesario, que se puede utilizar para reducir la asignación y el consumo de energía general
en entornos PoE. En la mayoría de las redes de campus, es razonable esperar que las capacidades de CDP y LLDP / LLDP-MED
deban estar habilitadas y admitidas en todos los puertos del conmutador de acceso. El propósito tanto de CDP como de LLDP es
aliviar los desafíos operativos y de configuración asociados con los dispositivos móviles. A medida que la comunidad de usuarios
finales se vuelve cada vez más móvil,
La introducción de 802.1X como método de autenticación para usuarios y dispositivos es parte de la siguiente fase del aprovisionamiento de acceso
dinámico. Además de proporcionar una autenticación sólida, 802.1X también se puede utilizar como un medio para configurar aún más los servicios de red,
la asignación de VLAN, la QoS y las políticas de ACL de puerto. los
La asignación de políticas 802.1X ya no se basa solo en los valores predeterminados globales para cada tipo de dispositivo, como en el caso de un teléfono IP,
sino en los requisitos específicos del dispositivo o del usuario. Las implementaciones iniciales de 802.1X en el campus a menudo demostraron ser un desafío
principalmente debido a los desafíos en la integración de un legado de más de 20 años de dispositivos y sistemas operativos que existen en el entorno
cableado. La mayoría de las redes cableadas heredadas nunca se habían diseñado o implementado teniendo en cuenta la autenticación de red. Las
características más nuevas, como la omisión de autenticación MAC (MAB), la autenticación web y las capacidades de autenticación abierta que se están
introduciendo en los switches Cisco Catalyst, brindarán la capacidad de abordar estos desafíos. Tiempo extraordinario, un sistema de autenticación común tanto
para cables como inalámbricos, y lo más importante, los dispositivos que se mueven entre dominios de acceso alámbricos e inalámbricos se convertirá en el
modelo de implementación común. Esta
OL-15716-01 37
La unificación de las capacidades inalámbricas y por cable continuará a medida que el acceso por cable comience a adoptar
Estándares 802.1ae y 802.1af, que proporcionarán autenticación y cifrado entre el punto final y el puerto de acceso, por lo que admitirán los
mismos servicios que están disponibles actualmente con la tecnología inalámbrica 802.11i.
El uso de servicios de ubicación unificada es otro aspecto de la tendencia de integración de los servicios de red cableados e inalámbricos. Los
servicios de ubicación resuelven una serie de desafíos asociados con los entornos de red dinámicos. La capacidad de localizar un dispositivo para
ayudar en la resolución de problemas es más crítica cuando el dispositivo tiene la capacidad de moverse por la red sin un proceso de control de
cambios asociado. A medida que los puntos finales habilitados para Comunicaciones Unificadas se trasladan a la red, el proceso de determinar qué
políticas de control de admisión de llamadas aplicar y qué recurso CODEC, puerta de enlace o MTP usar puede volverse extremadamente difícil de
administrar sin algún tipo de información de ubicación dinámica que reemplace el recurso estático. configuración.
Servicios de optimización y protección de aplicaciones
La red del campus generalmente proporciona la capacidad más alta y la latencia más baja de cualquier parte de la red empresarial.
Determinar si los mecanismos de QoS (y la priorización y protección del tráfico que brindan) son necesarios dentro del campus a menudo
ha sido un tema de debate para los planificadores de redes. Sin embargo, las experiencias con problemas inesperados, como gusanos de
Internet y otros eventos similares, han convencido a la mayoría de los ingenieros de redes de que no es seguro asumir que las aplicaciones
de misión crítica siempre recibirán el servicio que necesitan sin las capacidades de QoS correctas, incluso con toda la capacidad. en el
mundo.
Varios otros factores también están afectando la capacidad de las redes para soportar los requisitos comerciales de la empresa:
• La introducción de enlaces de 10 Gigabit y algoritmos de control de flujo TCP más avanzados están creando ráfagas de tráfico más grandes e incluso
mayores desajustes potenciales de velocidad entre los dispositivos de acceso y el núcleo de la red, lo que impulsa la necesidad de colas más
grandes.
• El crecimiento del tráfico peer-to-peer y la sobrecarga de puertos conocidos con múltiples aplicaciones y tipos de tráfico han agregado
otro conjunto de desafíos. Las aplicaciones que se hacen pasar por tráfico web y varias aplicaciones con diferentes requisitos de
servicio que utilizan los mismos puertos HTTP son ejemplos de sobrecarga de puertos.
• Los flujos de tráfico dentro del campus son cada vez más complejos y diversos. La capacidad de predecir la ubicación de los puntos de
congestión se vuelve más difícil, ya que los patrones de flujo de datos pueden migrar mientras las sesiones dinámicas de igual a igual van
y vienen de la red.
• La capacidad de identificar el tráfico crítico frente al no crítico en función de un número de puerto TCP o UDP se vuelve casi imposible cuando
una gran cantidad de procesos comerciales comparten interfaces web de aplicaciones comunes. Se vuelve aún más difícil encontrar
aplicaciones no deseadas o desconocidas cuando esas aplicaciones se han escrito para utilizar una variedad de números de puerto y pueden
enmascararse como tráfico HTTP en el puerto TCP 80 mientras se busca de forma dinámica el acceso a través de firewalls corporativos.
Todo esto ocurre simultáneamente a medida que se acelera la migración a las Comunicaciones Unificadas y se agregan más voz y
video interactivo de alta definición a las redes empresariales.
Principios del diseño de QoS del campus
Al considerar los requisitos para optimizar y proteger las aplicaciones y los flujos de tráfico en el campus, es fundamental comprender qué
herramientas de QoS están disponibles y cómo utilizarlas. Además de las colas que se necesitan en todos los enlaces de conmutadores en todo
el campus, la clasificación, el marcado y la vigilancia son funciones importantes de QoS que se realizan de manera óptima dentro de la red del
campus en la capa de acceso.
Tres principios de diseño de QoS son importantes al implementar políticas de QoS del campus:
38 OL-15716-01
• Clasifique y marque las aplicaciones tan cerca de sus fuentes como sea técnica y administrativamente factible. Este principio promueve servicios
diferenciados de extremo a extremo / comportamientos por salto.
• El tráfico policial no deseado fluye lo más cerca posible de sus fuentes. Este es especialmente el caso cuando el tráfico no deseado es el
resultado de ataques DoS o de gusanos.
• Realice siempre las funciones de QoS en hardware en lugar de software cuando exista una opción.
Habilitar las capacidades de clasificación, marcado y vigilancia en el acceso o el borde de la red establece un límite de confianza de
QoS. El límite de confianza es el punto en la red donde todo el tráfico más allá de ese punto se ha identificado y marcado correctamente
con las marcas correctas de Clase de servicio (CoS) / Punto de código de servicios diferenciados (DSCP). Define la parte de la red en la
que los flujos de aplicaciones están protegidos y las partes en las que no. Definir el límite de confianza lo más cerca posible del borde de
la red significa todos de los flujos de aplicaciones, incluso las llamadas de voz de persona a persona entre colegas en la misma área
están protegidas. Ver Figura 23 .
Figura 23 Recomendaciones de límites de confianza de QoS del campus
PÁLIDO
Puntos finales Acceso Distribución Núcleo Agregadores
1 IP Si Si
3 Si Si
223695
Límite de confianza
1 Límite de confianza óptimo: punto final de confianza
2 Límite de confianza óptimo: punto final que no es de confianza
3 Límite de confianza subóptimo
En el diseño actual de QoS del campus, los puertos de acceso de cada conmutador están configurados para no confiar en las marcas de QoS de
cualquier tráfico que llegue a ese puerto, a menos que esté en la VLAN auxiliar o de voz y el conmutador haya detectado que hay un teléfono (confiable
dispositivo) en esa VLAN. La decisión de confiar o no en el tráfico de los puntos finales es binaria; o el tráfico proviene del teléfono y es de confianza o de
cualquier otro dispositivo y no es de confianza. Este modelo funciona bien en un entorno con teléfonos dedicados, pero a medida que continúan las
tendencias en Comunicaciones Unificadas y las aplicaciones de voz / video comienzan a fusionarse con otras aplicaciones de PC, la necesidad de confiar
de manera selectiva e inteligente en ciertos flujos de aplicaciones desde el desconfiado La PC se hace necesaria. El uso de vigilantes de tráfico por VLAN
y por puerto es un mecanismo que se utiliza para confiar de forma selectiva en el tráfico en determinados rangos de puertos y a determinadas velocidades
de datos. Cada puerto de borde se puede configurar para detectar tráfico dentro de un rango de puerto específico y, para todo el tráfico que sea menor
que un definido normal tasa, marque ese tráfico con los valores DSCP correctos. Todo el tráfico que supere esta tasa se elimina, lo que proporciona un
mecanismo de seguridad para proteger contra una aplicación que se hace pasar por otra más crítica (mediante el uso de los números de puerto de la
aplicación más importante para la comunicación). Si bien este enfoque basado en policías ha demostrado funcionar bien y sigue siendo válido para ciertos
entornos, la lista cada vez más compleja de aplicaciones que comparten números de puerto y aplicaciones que podrían estar secuestrando otros rangos
de puertos confiables de aplicaciones requiere que consideremos un enfoque más sofisticado.
OL-15716-01 39
La inspección profunda de paquetes (DPI) o la capacidad de examinar la carga útil de datos de un paquete IP, y no solo usar el encabezado IP y
TCP / UDP para determinar qué tipo de tráfico contiene el paquete, proporciona una herramienta para abordar este problema. Un conmutador
equipado con reconocimiento de aplicaciones basadas en red (NBAR) de hardware puede determinar si un flujo UDP específico es realmente un
flujo RTP o alguna otra aplicación basada en el examen del encabezado RTP contenido dentro de la carga útil del paquete. Ver
Figura 24 .
Figura 24 Uso de la inspección profunda de paquetes para proporcionar un límite de confianza de QoS inteligente
Extendido Inteligente
Límite de confianza Límite de confianza
Tráfico de VLAN de voz

es de confianza
IP Si
Tráfico de voz y video Tráfico de VLAN de datos PISA comenta RTP

sobre el marcado no confiable fluye para corregir
Tráfico de VLAN de datos CoS 0 DSCP
Éter r r norte
norte
nordeste
mi tmi
tt IP TCP
T CPAGS
C PAGS / / / UDP
Da t tun
t un
mi r r r
Cabezare mi Encabezamiento H ader
miun
H mi un
101101 011010 1110110100010
Partido Partido Partido
223696
Patrón Patrón Patrón
La capacidad de detectar y marcar correctamente los flujos de aplicaciones específicos en el borde de la red proporciona un límite de
confianza de QoS más granular y preciso.
Hasta hace poco, se recomendaba que los dispositivos finales en sí no se consideraran confiables a menos que fueran administrados
estrictamente por el grupo de operaciones de TI. Siempre ha sido posible para un usuario configurar la NIC en su PC para marcar todo su
tráfico en cualquier clasificación. Si marcaran todo el tráfico hacia DSCP EF, podrían apropiarse de los recursos de red reservados para
aplicaciones en tiempo real (como VoIP), arruinando así la calidad del servicio de VoIP en toda la empresa. La introducción de capacidades
en Cisco Security Agent (CSA) y en Microsoft Vista para proporcionar un control centralizado de la clasificación de QoS y el marcado de los
flujos de tráfico de aplicaciones es otro enfoque que debería permitir una política de confianza de QoS más granular. Es importante tener en
cuenta, al considerar el diseño general de QoS del campus, que las capacidades de los clientes Vista y CSA no proporcionan la vigilancia y
otras capacidades de control de tráfico que ofrecen los conmutadores. Todavía se recomienda que, en entornos de campus que aprovechan
las capacidades de marcado CSA y Vista, la red en sí sea diseñada para proporcionar la identificación del tráfico y los controles de
vigilancia adecuados.
Nota Microsoft ha implementado una serie de mecanismos de control de flujo en la pila IP de Vista que están destinados a proporcionar capacidades
mejoradas de gestión del tráfico. En el momento en que se redactó este documento, Cisco seguía colaborando con Microsoft para determinar la
eficacia y las mejores prácticas para el uso de estas nuevas herramientas de QoS. Actualmente, todavía se recomienda la mejor práctica para
implementar un modelo de límite de confianza tradicional complementado por DPI.
40 OL-15716-01
La presencia del límite de confianza en el diseño de QoS del campus proporciona la base para la arquitectura general. Al asegurarse
de que el tráfico que ingresa a la red esté correctamente clasificado y marcado, solo es necesario proporcionar las colas adecuadas
dentro del resto del campus (ver Figura 25 ).
Figura 25 Clasificación, marcado, colas y vigilancia de QoS del campus
Si Si
Confianza condicional +
Hacer cola
Confianza condicional +
Vigilancia + Colas
Condicional mejorado
Confianza (paquete profundo
Inspección + Vigilancia + Si Si
Cola
Confíe en DSCP + Queueing
Microflujo por usuario

Vigilancia (proporciona
vigilancia para el acceso
interruptores sin
capacidades policiales
IP IP IP
223698
Resistencia de la red y QoS
El uso de QoS en el campus generalmente está destinado a proteger ciertos flujos de tráfico de aplicaciones de períodos de congestión. En un
entorno de campus con aplicaciones de misión crítica, el uso de herramientas de QoS y principios de diseño proporciona una mayor capacidad de
recuperación o disponibilidad para aquellas aplicaciones de misión que están protegidas explícitamente según sus marcas CoS / DSCP. Mejorando el
diseño de QoS del campus de línea de base para incluir mecanismos como un carroñero cola combinada con DPI y vigilancia de borde, también es
capaz de proporcionar un grado de protección para todas las aplicaciones restantes de mejor esfuerzo.
Los principios detrás del uso de la clasificación de carroñeros son bastante simples. Hay ciertos flujos de tráfico en cualquier red que deberían recibir lo
que se denomina menos-que-mejor-esfuerzo Servicio. Las aplicaciones que no necesitan completarse en un tiempo específico, como algunos tipos de
copias de seguridad o que no son esenciales para los procesos comerciales, se pueden considerar como tráfico eliminador. Pueden usar los recursos
de red que queden después de que se hayan reparado todas las demás aplicaciones. Una vez que se determina que un flujo de tráfico específico cae
en esta categoría, todos sus paquetes se marcan con el valor DSCP CS1 para indicar que están clasificados como tráfico eliminador. A continuación, se
asignan colas específicas con una alta probabilidad de caída para el tráfico eliminador que proporcionan un mecanismo de limitación en caso de que el
tráfico eliminador comience a competir con los flujos de mejor esfuerzo.
OL-15716-01 41
Una vez que se ha definido una clase de limpiador, proporciona una herramienta valiosa para hacer frente a cualquier tráfico no deseado o
inusual en la red. Al utilizar NBAR (inspección profunda de paquetes), es posible determinar que hay aplicaciones no deseadas en la red y
eliminar ese tráfico o marcarlo como eliminador, según el tipo de tráfico y la política de la red. Al implementar un control de entrada en los
puertos de acceso del campus, también es posible determinar si algún dispositivo o aplicación comienza a transmitir a velocidades de datos
anormalmente altas. El tráfico que supera un umbral normal o aprobado durante un período de tiempo prolongado también se puede clasificar
como carroñero.
Tener un diseño y una política de QoS que identifique el tráfico no deseado o inusual como tráfico eliminador proporciona protección adicional en
el acceso justo a los recursos de la red para todo el tráfico, incluso el mejor esfuerzo marcado. Proporciona un control más explícito sobre cuál es
el comportamiento normal o esperado de los flujos de tráfico del campus y es un componente importante del enfoque general resiliente del
diseño del campus.
Nota Para obtener más detalles sobre el uso de Scavenger QoS y el diseño general de QoS del campus, consulte el capítulo de diseño de QoS del campus
de la Guía de diseño de red de referencia de la solución Enterprise QoS versión 3.3 que se puede encontrar en el sitio de CCO SRND, http://www.cisco.com/go/srnd
.
Servicios de virtualización
Muchas empresas brindan servicios de red para redes departamentales o unidades comerciales, proveedores alojados, socios e invitados. Cada
uno de estos diversos grupos puede requerir un conjunto especializado de políticas y acceso controlado a diversos recursos y servicios
informáticos. También ocurre a menudo que ciertas restricciones regulatorias o de cumplimiento exigen un control de acceso específico,
aislamiento de tráfico o control de ruta de tráfico para ciertos grupos. Algunos de estos grupos pueden existir en la red durante largos períodos
de tiempo, como socios, y otros pueden requerir acceso únicamente durante la vida de un proyecto específico, como los contratistas. Una red
también podría verse obligada a admitir un número creciente de usuarios invitados itinerantes. Los cambios corporativos como adquisiciones,
desinversiones y subcontratación también afectan la infraestructura informática. La forma en que las comunicaciones y la informática se
entrelazan en los procesos comerciales de la empresa significa que cualquier cambio en la estructura de la organización se refleja
inmediatamente en las necesidades del campus y de la red en su conjunto. El requisito de que una red de campus responda rápidamente a
estos cambios repentinos en la política empresarial exige un diseño con un alto grado de flexibilidad inherente.
La virtualización, la capacidad de asignar recursos físicos de forma lógica (un dispositivo físico compartido entre varios grupos o varios
dispositivos operados como un único dispositivo lógico), brinda la capacidad de diseñar con un alto grado de flexibilidad en la
arquitectura del campus. El diseño de la capacidad para reasignar recursos e implementar servicios para grupos específicos de
usuarios sin tener que rediseñar la infraestructura física en la arquitectura general del campus proporciona un potencial significativo
para reducir los costos operativos y de capital generales durante la vida útil de la red.
42 OL-15716-01
Mecanismos de virtualización del campus
Las capacidades de virtualización no son nuevas en la arquitectura del campus. La introducción de las LAN virtuales (VLAN) proporcionó las primeras
capacidades de virtualización en el campus. Ver Figura 26 . La capacidad de tener un dispositivo, un conmutador, reemplazar múltiples concentradores y
puentes mientras proporciona planos de reenvío distintos para cada grupo de usuarios fue un cambio importante en el diseño del campus.
Figura 26 LAN virtual (virtualización de campus)
Si
223699
El uso de un diseño basado en VLAN conmutada ha proporcionado una serie de ventajas, mayor capacidad, aislamiento y capacidad de
administración. Sin embargo, es la flexibilidad que ofrecen las VLAN lo que ha tenido el mayor impacto en los diseños de campus. La capacidad
de reconfigurar dinámicamente la red, agregar nuevas subredes o grupos comerciales, sin tener que reemplazar físicamente la red, proporcionó
enormes beneficios operativos y de costos. El entorno de redes de campus moderno de hoy existe en gran parte debido a las capacidades que
proporciona la virtualización de VLAN.
Si bien las VLAN ofrecen cierta flexibilidad para segmentar dinámicamente grupos de dispositivos, las VLAN tienen algunas limitaciones.
Como técnica de virtualización de Capa 2, las VLAN están sujetas a las reglas del diseño de redes de Capa 2. En el diseño de campus
jerárquico estructurado no se tiene la flexibilidad para abarcar grandes dominios. El uso de enrutamiento y reenvío virtualizados (VRF)
con etiquetado GRE, 802.1q y MPLS para crear redes privadas virtuales (VPN) en el campus proporciona un enfoque para ampliar la
flexibilidad de configuración que ofrecen las VLAN en todo el campus y, si es necesario, en todo el campus. red. Ver Figura 27 .
Los VRF brindan la capacidad de tener instancias de enrutamiento y reenvío separadas dentro de un conmutador físico. Cada VRF tiene su propia tabla de
reenvío de capa 3. Cualquier dispositivo en un VRF específico se puede conmutar directamente (en otras palabras, enrutar) de capa 3 a otro dispositivo en
el mismo VRF, pero no puede alcanzar directamente uno en otro VRF. Esto es similar a la forma en que cada VLAN en cada conmutador tiene su propio
dominio de inundación y reenvío de capa 2. Cualquier dispositivo en una VLAN puede llegar directamente a otro dispositivo en la Capa-2 en la misma VLAN,
pero no a un dispositivo en otra VLAN a menos que sea reenviado por un enrutador de Capa-3.
OL-15716-01 43
Figura 27 Enrutamiento y reenvío virtual (VRF)
Por VRF:
Tabla de enrutamiento virtual
Tabla de reenvío virtual
VRF
VRF
VRF
223700
Al igual que con una red basada en VLAN que usa troncales 802.1q para extender la VLAN entre conmutadores, un diseño basado en VRF
usa troncales 802.1q, túneles GRE o etiquetas MPLS para extender y unir los VRF. Ver
Figura 28 .
Figura 28 Opciones de virtualización de enlaces
223701
Etiquetas 802.1q, GRE, MPLS
Cualquiera o todos estos tres mecanismos de virtualización de enlaces se pueden utilizar en la virtualización de reenvío de capa 3 basada en
VRF en el diseño de extremo a extremo. La decisión sobre qué combinación de estas técnicas utilizar depende principalmente de la escala del
diseño y los tipos de flujos de tráfico (de igual a igual o de centro y radio).
Virtualización de redes
La virtualización de redes se describe mejor como la capacidad de aprovechar una única infraestructura física y proporcionar múltiples redes
virtuales, cada una con un conjunto distinto de políticas de acceso y, sin embargo, admitir todos los servicios de seguridad, QoS y comunicación
unificada disponibles en una red física dedicada. La combinación de las capacidades básicas de virtualización del campus con la capacidad de
asignar usuarios y dispositivos a grupos de políticas específicos a través de 802.1X proporciona flexibilidad en la arquitectura general del campus.
Como se ilustra en Figura 29 , un solo campus físico puede permitir la asignación de múltiples redes lógicas separadas cuando se construye con las
capacidades necesarias.
44 OL-15716-01
Figura 29 Ejemplo del mapeo muchos a uno de redes virtuales a físicas
Subcontratado Nuevo fusionado Departamento segregado

Departamento de TI Empresa (Cumplimiento normativo)
Red virtual Red virtual Red virtual
223702
Tela de comunicaciones del campus
OL-15716-01 45
El problema de diseñar el campus para permitir el soporte de redes virtualizadas se comprende mejor dividiendo el problema en tres partes
funcionales: control de acceso; aislamiento de ruta; y servicios de capacidades de borde como se muestra en Figura 30 . Cada una de estas tres
partes se construye a su vez utilizando muchas características individuales, todas diseñadas para interoperar y producir la solución de red
virtualizada de un extremo a otro.
Figura 30 Elementos funcionales necesarios en redes de campus virtualizadas
Control de acceso Aislamiento de ruta Servicios Edge
Sucursal - Campus WAN - MAN - Campus Centro de datos - Internet Edge -

Instalaciones
LWAPP
IP
GRE MPLS
VRF
Autenticar cliente (usuario, Mantenga el tráfico dividido en la Proporcionar acceso a servicios: Compartido
dispositivo, aplicación) intentando infraestructura de Capa 3
obtener acceso a la red Dedicado
Transporte de tráfico sobre particiones
Autorizar al cliente en una aisladas de Capa 3 Aplicar política por partición
partición (VLAN, ACL)
Asignar la ruta aislada de la capa 3 a las VLAN Entornos de aplicaciones aisladas en Access and
Denegar el acceso a Services Edge si necesario
223703
clientes no autorizados
Habilitar el control de acceso requiere que se realice algún tipo de asignación de políticas y grupos en el borde de la red. Esto se puede hacer de
forma dinámica a través de 802.1X, MAB, Web-Auth o el dispositivo NAC. Todos estos pueden usarse para asignar un usuario o dispositivo en
particular a una VLAN específica. También se puede lograr de forma estática mediante la configuración manual que asigna puertos específicos a
VLAN específicas (y redes virtuales específicas). El aislamiento de la ruta se puede lograr mediante cualquier combinación de los mecanismos de
enlace y reenvío virtual. Un ejemplo es VRF-Lite que utiliza VRF combinados con troncales 802.1q, como se describe en la descripción anterior. Las
políticas de borde de servicios se pueden implementar en el centro de datos o en redes más grandes localmente en el módulo de bloque de servicios
del campus.
Nota Para obtener detalles específicos sobre cómo se implementan cada una de estas tres áreas funcionales en el diseño de un campus, consulte la sección
Virtualización de redes en la página de SRND en http://www.cisco.com/go/srnd .
46 OL-15716-01
Servicios de seguridad
Los servicios de seguridad son una parte integral de cualquier diseño de red. La interconexión de las redes, el uso cada vez mayor de dispositivos
móviles y el cambio de mentalidad de la comunidad de piratas informáticos, de una en la que el orgullo técnico motivó la mayoría de los ataques a
una en la que los intereses financieros son un motivador principal, han sido responsables del aumento continuo de la riesgos de seguridad
asociados con nuestras infraestructuras de red.
Muchos del campus seguridad las características ya se han discutido de alguna forma en las distintas secciones anteriores. La seguridad ya no es un
complemento de la red, sino que está estrechamente integrada en todo el diseño del campus y muchas de las capacidades de la red del campus que
abordan una vulnerabilidad de seguridad también sirven para resolver problemas fundamentales de disponibilidad y / o ayudar en el suministro
dinámico de servicios de red. .
En el entorno de red actual, existe una amplia variedad de tipos y vectores de ataque, que van desde el simple rastreo de datos hasta el
sofisticado botnet entornos que aprovechan complejos sistemas de control distribuido. Todos estos diversos ataques de seguridad se incluyen
en seis clases fundamentales de amenazas de seguridad que el diseño del campus debe considerar:
• Ataques de reconocimiento
• Denegación de servicio / ataques distribuidos de denegación de servicio
• Ataques de espionaje
• Daños colaterales
• Ataques de acceso no autorizado
• Uso no autorizado de activos, recursos o información.
Abordar estas amenazas requiere un enfoque que aproveche las técnicas de prevención y detección para abordar las vulnerabilidades o los
vectores de ataque de causa raíz que utilizan los ataques de seguridad, así como para brindar una respuesta rápida en caso de un brote o
ataque. Será necesario combinar herramientas dentro del tejido de conmutación con capacidades externas de monitoreo y prevención para
abordar el problema general.
La arquitectura de seguridad del campus se puede dividir en tres partes básicas: infraestructura; seguridad de perímetro y punto
final; y protección. Estos se tratan en las secciones siguientes.
Seguridad de la infraestructura
Hay dos consideraciones generales de seguridad al diseñar una infraestructura de red de campus. Primero, la infraestructura debe
protegerse contra ataques intencionales o accidentales, lo que garantiza la disponibilidad de la red y los servicios de red. En segundo
lugar, la infraestructura debe proporcionar información sobre el estado de la red para ayudar en la detección de un ataque en curso.
Protección de infraestructura
El diseño de seguridad debe brindar protección a tres elementos básicos de la infraestructura: dispositivos (conmutadores); Enlaces; y el
plano de control.
Protección de los dispositivos de red
La protección de los conmutadores del campus comienza con el uso de gestión segura y control de cambios para todos los dispositivos. El
uso de alguna forma de AAA para el control de acceso debe combinarse con comunicaciones cifradas (como SSH) para la configuración y
administración de todos los dispositivos. Los métodos AAA preferidos son RADIUS o TACACS +; estos deben configurarse para admitir la
autorización de comandos y la contabilidad completa. Como paso adicional, cada dispositivo debe configurarse para minimizar la posibilidad
de que cualquier atacante obtenga acceso o comprometa el conmutador. Esta protección se logra mediante la función AutoSecure de Cisco
IOS. AutoSecure es una macro del sistema Cisco IOS que actualiza los
OL-15716-01 47
configuración de seguridad para adaptarla a las mejores prácticas de seguridad recomendadas por Cisco. Si bien el uso de la función AutoSecure
puede facilitar enormemente el proceso de protección de todos los dispositivos en la red, se recomienda que se desarrolle una política de seguridad
de la red y que se implemente un proceso de auditoría regular para garantizar el cumplimiento de todos los dispositivos de la red.
Proteja los enlaces
La protección de los enlaces entre conmutadores de las amenazas de seguridad se logra en gran medida mediante la implementación del diseño de
QoS del campus que se analiza en el Servicios de optimización y protección de aplicaciones, página 38 . Tener los límites de confianza y las políticas
de cola adecuadas, complementados con el uso de herramientas de eliminación en el diseño general, ayudará a proteger la capacidad de enlace
dentro del área de confianza (dentro del límite de confianza de QoS) de la red contra ataques directos. Las áreas fuera del límite de confianza de
QoS requerirán mecanismos adicionales, como Cisco DDoS Guard, implementados para abordar los problemas de saturación de enlaces por
ataques maliciosos.
Proteja el plano de control
La protección del plano de control implica tanto fortalecer la CPU del sistema frente a condiciones de sobrecarga como asegurar los protocolos del plano
de control. El uso de la autenticación basada en MD5 y la desactivación explícita de cualquier protocolo de control en cualquier interfaz donde no se
requiera específicamente, juntos proporcionan el primer nivel de protección al asegurar los protocolos del plano de control. Una vez que se han cerrado
estas exposiciones, el siguiente problema es proteger la CPU del conmutador de otras vulnerabilidades. Si la CPU del conmutador puede ser atacada y
sobrecargada, ya sea intencionalmente o no, el plano de control también es vulnerable. Si el conmutador no puede procesar enrutamiento, árbol de
expansión o cualquier otro paquete de control, la red es vulnerable y su disponibilidad se ve potencialmente comprometida. Como se discutió en el Herramientas
y enfoques para la alta disponibilidad del campus, página 30 , este tipo de problema se aborda mejor con herramientas de limitación de velocidad de CPU
(ya sea limitadores de velocidad de hardware o algoritmos de cola de hardware) combinados con un mecanismo inteligente de control de plano de control
(CoPP). El diseño de seguridad, QoS y disponibilidad se superponen aquí, ya que necesitamos usar herramientas de QoS para abordar un problema de
seguridad potencial que está directamente dirigido a la disponibilidad de la red.
Telemetría y monitoreo de infraestructura
Sin la capacidad de monitorear y observar lo que sucede en la red, puede resultar extremadamente difícil detectar la presencia de
dispositivos no autorizados o flujos de tráfico maliciosos. Los siguientes mecanismos se pueden utilizar para proporcionar los datos de
telemetría necesarios para detectar y observar cualquier actividad anómala o maliciosa:
• NetFlow —Proporciona la capacidad de rastrear cada flujo de datos que aparece en la red.
• DPI de hardware (NBAR) —Proporciona la capacidad de detectar flujos de tráfico de aplicaciones no deseados en la capa de acceso a la
red y permite un control seleccionado (caída o control) del tráfico no deseado.
• Syslog —Proporciona la capacidad de rastrear eventos del sistema.
Además de utilizar NetFlow y DPI para la supervisión del tráfico distribuido, la inserción de dispositivos IPS en puntos de estrangulamiento clave
proporciona un nivel adicional de capacidad de observación y mitigación. Si bien NetFlow proporciona un mecanismo muy escalable para detectar y
encontrar flujos de tráfico anómalos, IPS junto con DPI basado en NBAR pueden proporcionar visibilidad del contenido de paquetes individuales. Estos
tres mecanismos de telemetría deben ser compatibles con los sistemas de monitoreo de backend adecuados. Las herramientas, como Cisco MARS,
deben aprovecharse para proporcionar una vista consolidada de los datos recopilados para permitir una vista general más precisa de cualquier ataque
de seguridad.
Nota Un próximo capítulo de diseño del campus documentará las mejores prácticas detalladas para implementar la seguridad y el refuerzo de la infraestructura del
campus como se describe anteriormente.
48 OL-15716-01
Control de acceso perimetral y seguridad perimetral
Así como un firewall o enrutador de seguridad externo proporciona seguridad y control de políticas en el perímetro externo de la red
empresarial, la capa de acceso al campus funciona como un perímetro de red interno. La red debe poder brindar la seguridad de que
el cliente que se conecta en el perímetro interno es de hecho un cliente conocido y confiable (o al menos cumple con los requisitos
mínimos para poder conectarse de manera segura en este punto de la red). Las características de confianza e identidad deben
implementarse en estos perímetros internos en forma de mecanismos de autenticación como IBNS (802.1X) o Control de admisión a la
red (NAC). Esto permite la prevención del acceso no autorizado y / o la capacidad de introducir cumplimiento y gestión de riesgos en el
momento de la conexión.
Además de garantizar la autenticación y el cumplimiento de los dispositivos que se conectan a la red, la capa de acceso también debe
configurarse para brindar protección contra una serie de Capa-2 hombre en el medio
(MiM) ataques. La configuración de las funciones de seguridad integradas de Cisco (CISF), la seguridad de los puertos, la inspección de DHCP, la inspección ARP
dinámica y la protección de la fuente IP en todos los puertos de acceso complementa la política de control de acceso de seguridad que ofrecen IBNS y NAC.
Puesto final de Seguridad
La arquitectura de seguridad del campus debería ampliarse para incluir al propio cliente. Los puntos finales, como las computadoras portátiles, son los
objetivos de ataque más vulnerables y deseables. Contienen datos importantes y, cuando se ven comprometidos, también pueden servir como puntos
de lanzamiento para otros ataques contra la red interna. La creciente amenaza de bots es solo la última de una larga lista de vulnerabilidades de
terminales que pueden amenazar el negocio empresarial.
La instalación de aplicaciones cliente, como Cisco Security Agent (CSA), es un paso importante para completar la arquitectura de
seguridad de un extremo a otro, junto con el software cliente NAC e IBNS en los terminales que participan con el resto de la seguridad de
red integrada. elementos. Es una parte del esfuerzo por ayudar a las operaciones complejas de seguridad a nivel de aplicaciones
aprovechando los servicios de seguridad integrados de la red.
Seguridad distribuida: defensa en profundidad
Quizás el mayor desafío de seguridad que enfrenta la empresa hoy en día es el de la escala. El problema de cómo detectar, prevenir y mitigar
el creciente número de amenazas de seguridad requiere un enfoque que aproveche un conjunto de herramientas de seguridad que escalen
proporcionalmente con el tamaño de la red. Un enfoque para este problema de escala es distribuir los servicios de seguridad en el propio tejido
de conmutación. Un ejemplo de este enfoque se ilustra en Figura 31 . Los diversos mecanismos de aplicación de políticas y telemetría de
seguridad se distribuyen en todas las capas de la jerarquía del campus. A medida que la red crece en el modelo distribuido, los servicios de
seguridad crecen proporcionalmente con la capacidad de conmutación.
OL-15716-01 49
Figura 31 Servicios de seguridad distribuidos
Netflow Si Si
Nefflow, NAC
IPS, uRPF Si Si
CISF, IBNS,
NBAR-FPM,
Nefflow
IP IP IP
CSA
223704
Además de proporcionar un enfoque escalable para la seguridad del campus, el modelo distribuido tiende a reforzar un profundidad en defensa postura.
Al integrar las funciones de seguridad en todos los niveles de la red, es más fácil proporcionar mecanismos de cumplimiento y supervisión de
seguridad redundantes.
Servicios operativos y de gestión

Asegurar la capacidad de administrar de manera rentable la red del campus es uno de los elementos más críticos del diseño general. A medida
que se alarga el ciclo de inversión para las redes de campus, los costos operativos de la red (OPEX) aumentan en relación con los gastos de
capital originales (CAPEX). Los dispositivos permanecen en servicio por más tiempo y el porcentaje del costo total asociado con la operación a
largo plazo de cada dispositivo está creciendo en relación con su costo de capital original. La capacidad de administrar, configurar y solucionar
problemas tanto de los dispositivos en la red como de las aplicaciones que usan la red es un factor importante en el éxito del diseño de la red.
El marco de la FCAPS define cinco categorías de administración de red: falla; configuración; contabilidad, desempeño; y seguridad. Una
discusión completa de la administración de redes y un examen completo de cada una de estas áreas está fuera del alcance de este
documento; sin embargo, es esencial comprender los principios del diseño del campus y las capacidades de cambio dentro del marco de
gestión general. Cada uno se describe brevemente en las secciones siguientes.
50 OL-15716-01
Gestión de fallos
Uno de los objetivos principales del diseño general del campus es minimizar el impacto de cualquier falla en las aplicaciones y servicios de
la red. La redundancia y la resistencia incorporadas en el diseño están destinadas a evitar que las fallas (fallas) afecten la disponibilidad
del campus. Sin embargo, las fallas seguirán ocurriendo y tener las capacidades para detectar fallas y reaccionar ante ellas, así como
proporcionar información suficiente para realizar un análisis post mortem de los problemas, son aspectos necesarios de los procesos
operativos sólidos. El proceso de gestión de fallas se puede dividir en tres etapas o aspectos, análisis proactivo, reactivo y post mortem.
Gestión proactiva de fallos
Cada red requiere eventualmente la instalación de nuevo hardware, ya sea para agregar capacidad a la red existente, reemplazar un
componente defectuoso o agregar funcionalidad a la red. La capacidad de probar proactivamente este nuevo hardware y asegurarse
de que esté funcionando correctamente antes de la instalación puede ayudar a evitar más interrupciones del servicio una vez que el
equipo está instalado en la red. Si bien todos los proveedores prueban y certifican exhaustivamente que el equipo funciona
correctamente antes de enviarlo a un cliente, pueden ocurrir muchas cosas en un equipo antes de que finalmente se instale en la red
de producción. El equipo se puede dañar durante el envío o durante la instalación (la descarga estática puede dañar los componentes
electrónicos si los sistemas no se instalan utilizando los procedimientos correctos). Si bien se tiene cuidado de garantizar que no
ocurra ninguno de estos eventos,
El marco de Catalyst Generic Online Diagnostics (GOLD) está diseñado para proporcionar capacidades de gestión de diagnóstico integradas para
mejorar las capacidades de detección proactiva de fallas de la red. GOLD proporciona un marco en el que los diagnósticos de monitoreo de estado del
sistema en curso / en tiempo de ejecución se pueden configurar para proporcionar verificaciones de estado continuas para los conmutadores en la red
(como pings activos en banda que prueban el funcionamiento correcto del plano de reenvío). GOLD también brinda la capacidad de ejecutar (o
programar) diagnósticos bajo demanda potencialmente intrusivos. Estos diagnósticos pueden ayudar en la resolución de problemas de hardware
sospechosos y brindar la capacidad de probar proactivamente nuevo hardware antes de la transición de producción.
Nota Para obtener más información sobre GOLD, consulte la siguiente URL:
http://www.cisco.com/en/US/partner/products/ps7081/products_white_paper0900aecd801e659f.shtml
Gestión reactiva de fallos
Uno de los objetivos centrales de cualquier diseño de campus es garantizar que la red se recupere de forma inteligente de cualquier evento de falla. Los
diversos protocolos de control (como EIGRP u OSPF) brindan la capacidad de configurar respuestas específicas a eventos de falla. Sin embargo, en
algunos casos, las capacidades del protocolo de control estándar no son suficientes y el diseño puede requerir un nivel adicional de personalización
como parte del proceso de recuperación. Los enfoques tradicionales para agregar este comportamiento personalizado a menudo implican el uso de
sistemas de monitoreo centralizados para atrapar eventos y ejecutar scripts para realizar una acción específica para cada tipo de evento. Proporcionar
inteligencia distribuida adicional en la estructura de conmutación puede complementar y / o simplificar estos procesos operativos. Herramientas, como
Cisco IOS Embedded Event Manager (EEM), proporcionan la capacidad de distribuir los scripts a los conmutadores de la red, en lugar de ejecutar todos
los scripts de forma centralizada en un solo servidor. La distribución de la inteligencia de secuencias de comandos en la propia red del campus
aprovecha la capacidad de procesamiento distribuido y las capacidades de monitoreo directo de fallas de los conmutadores. Las capacidades, como el
seguimiento de objetos mejorado (EOT), también proporcionan un nivel adicional de configuración
OL-15716-01 51
inteligencia a los mecanismos de recuperación de la red. La capacidad de cada conmutador en la red para ser programable en la
forma en que reacciona ante fallas, y tener esa programación personalizada y modificada con el tiempo, puede mejorar las
capacidades reactivas de la red a las condiciones de falla.
Capacidades de análisis post mortem
Es importante que la red se recupere de la falla cuando ocurre una falla. También es importante en el impulso hacia el mantenimiento de un alto nivel
de disponibilidad general de la red que los equipos de operaciones puedan comprender qué salió mal. Tener un registro centralizado de eventos de
red (a través de SNMP y datos de syslog), proporciona el primer nivel o vista de topología de red de la información de diagnóstico post mortem. Para
proporcionar una vista más detallada de eventos de falla específicos dentro de los dispositivos individuales, es necesario que los propios dispositivos
recopilen y almacenen datos de diagnóstico más detallados. Dado que los sistemas de administración centralizados no pueden recopilar datos de un
dispositivo que ya no está completamente operativo (si esa parte de la red está inactiva, no puede recopilar datos a través de la red), es importante
tener un almacén local de información de eventos. Algunos mecanismos, como Catalyst System Event Archive (SEA), pueden almacenar un registro
de todos los eventos del sistema local en un almacenamiento no volátil durante los reinicios. Es necesario un monitoreo más detallado de fallas a
nivel de componentes a través de mecanismos, como el Registro de fallas a bordo de Catalyst (OBFL), para permitir problemas a nivel de hardware.
OBFL actúa como un registrador de caja negra para tarjetas de línea e interruptores. Registra las temperaturas de funcionamiento, el tiempo de
actividad del hardware, las interrupciones y otros eventos y mensajes importantes que pueden ayudar a diagnosticar problemas con las tarjetas (o
módulos) de hardware instalados en un enrutador o conmutador Cisco. Las fallas en un sistema grande y complejo, como una red de campus, son
inevitables. Tener las capacidades diseñadas en la red para respaldar un proceso de análisis de problemas post mortem es muy valioso para
cualquier empresa que busque una alta número de nueves de disponibilidad.
Contabilidad y desempeño
La contabilidad y el desempeño son dos aspectos del modelo FCAPS que se preocupan principalmente por el monitoreo de la capacidad y la facturación
por el uso de la red. Los entornos empresariales no suelen estar tan preocupados por los aspectos contables del modelo FCAPS porque normalmente
no implementan sistemas de facturación de uso complejos. Sin embargo, las empresas requieren la capacidad de observar el impacto de la red en el
tráfico de aplicaciones y el rendimiento de los sistemas finales. El mismo conjunto de herramientas que brindan monitoreo y telemetría como parte de la
arquitectura de seguridad también puede brindar monitoreo de aplicaciones. El DPI basado en NetFlow y NBAR que se utiliza para detectar tráfico no
deseado o anómalo también se puede utilizar para observar los flujos de tráfico de aplicaciones normales. Los aumentos en el volumen de tráfico de
aplicaciones, o la detección de nuevos patrones de tráfico de aplicaciones que pueden requerir una actualización de la red o cambios de diseño, se
pueden rastrear a través de NetFlow. Se pueden recopilar perfiles de aplicaciones detallados a través de las estadísticas y las capacidades de monitoreo
de NBAR.
Además de rastrear los patrones y el volumen del tráfico, a menudo también es necesario realizar un análisis más detallado del tráfico de la red de
aplicaciones. Las herramientas de análisis de redes distribuidas (como la captura de paquetes y las sondas RMON) suelen ser elementos muy útiles
para incluir en el diseño general del campus. Estos brindan la capacidad de recopilar seguimientos de paquetes de forma remota y verlos en una
consola de administración central. Si bien los analizadores de paquetes distribuidos son herramientas poderosas, no siempre es posible conectar uno
a cada conmutador de la red. Es útil complementar las herramientas distribuidas con capacidades de expansión de tráfico (la capacidad de enviar una
copia de un paquete de un lugar en la red a otro para permitir que una herramienta físicamente remota examine el paquete). La capacidad básica de
expansión de puertos de cada conmutador debe complementarse con el uso de extensión remota (RSPAN) y RSPAN encapsulado (ERSPAN) para
proporcionar esta capacidad. Los conmutadores de acceso deben configurarse con capacidades RSPAN o (preferiblemente) ERSPAN para permitir el
monitoreo de los flujos de tráfico lo más cerca posible de los dispositivos finales. ERSPAN es la solución preferida porque permite que el tráfico
distribuido se lleve a cabo en múltiples saltos de Capa 3, lo que permite la consolidación de herramientas de análisis de tráfico en menos ubicaciones.
52 OL-15716-01
Evolución de la arquitectura del campus
Configuración y seguridad
La configuración y seguridad de los dispositivos de red se ha discutido anteriormente en la sección sobre servicios de seguridad. Las pautas de
diseño que se describen allí están destinadas a satisfacer las necesidades del modelo FCAPS, así como a proporcionar una seguridad de campus
de un extremo a otro más integral. Ver el Sección "Servicios de seguridad" en la página 47 para más información.

La arquitectura de la red del campus está evolucionando en respuesta a una combinación de nuevos requisitos comerciales, cambios tecnológicos y un
creciente conjunto de expectativas de los usuarios finales. La migración del diseño de bloques de distribución de varios niveles de más de 10 años a una
de las opciones de diseño de bloques de distribución basados en conmutadores virtuales o enrutados más nuevos se está produciendo en respuesta a
los requisitos comerciales cambiantes. Ver Figura 32 . Si bien el diseño tradicional de varios niveles aún proporciona una opción viable para ciertos
entornos de campus, una mayor disponibilidad, una convergencia más rápida, una mejor utilización de la capacidad de la red y los requisitos operativos
simplificados que ofrecen los nuevos diseños se combinan para motivar un cambio en las arquitecturas fundamentales.
Figura 32 Evolución del diseño del bloque de distribución del campus
Si Si Si Si
Si Si
223705
Se están produciendo cambios evolutivos dentro de la arquitectura del campus. Un ejemplo es la migración de un diseño de red de acceso
de capa 2 tradicional (con su requisito de abarcar VLAN y subredes en varios conmutadores de acceso) a un diseño basado en conmutador
virtual. Otro es el paso de un diseño con subredes contenidas dentro de un único conmutador de acceso al diseño de acceso enrutado.
OL-15716-01 53
Como se analiza a lo largo de este documento, otro cambio evolutivo importante en la arquitectura del campus es la introducción de
servicios adicionales, incluidos los siguientes:
• Servicios ininterrumpidos de alta disponibilidad
• Servicios de acceso y movilidad
• Servicios de optimización y protección de aplicaciones
• Servicios de virtualización
• Servicios de seguridad
• Servicios operativos y de gestión
La motivación para introducir estas capacidades en el diseño del campus se ha descrito a lo largo de este documento. El aumento de los riesgos de
seguridad, la necesidad de una infraestructura más flexible, el cambio en los flujos de datos de las aplicaciones y los requisitos de SLA han impulsado
la necesidad de una arquitectura más capaz. Sin embargo, implementar el conjunto cada vez más complejo de capacidades y servicios impulsados
por el negocio en la arquitectura del campus puede ser un desafío, si se hace de manera fragmentada. Como se describe en este documento,
cualquier arquitectura exitosa debe basarse en una base de teoría y principios de diseño sólidos. Para cualquier negocio empresarial involucrado en
el diseño y / u operación de una red de campus, recomendamos la adopción de un enfoque integrado, basado en principios sólidos de diseño de
sistemas. los Guía de diseño del campus de Cisco ESE, que incluye esta descripción general y una serie de capítulos de diseño detallados
posteriores, está específicamente destinado a ayudar a los equipos de ingeniería y operaciones a desarrollar un diseño de campus basado en
sistemas que proporcionará el equilibrio de disponibilidad, seguridad, flexibilidad y operabilidad requerido para cumplir con los requisitos actuales y
futuras necesidades empresariales y tecnológicas.
54 OL-15716-01

Cisco DOC-Enterprise+Campus+Architecture+v3.0.en - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cisco DOC-Enterprise+Campus+Architecture+v3.0.en - Es

Cargado por

Copyright:

Formatos disponibles

Arquitectura Enterprise Campus 3.

Objetivos del documento 1-2

El campus empresarial 1-4

Principios de arquitectura y diseño del campus 1-5

Mapeando el Plano de control y datos a la jerarquía física 1-12

Bloque de distribución de acceso 1-14

Bloque de servicios 1-20

Servicios del campus 1-25

Alta disponibilidad ininterrumpida 1-25

Medición de la disponibilidad 1-25

Copyright © 2008 Cisco Systems, Inc. Todos los derechos reservados.

Requisitos de comunicaciones unificadas 1-28

Herramientas y enfoques para la alta disponibilidad del campus 1-30

Servicios de acceso y movilidad 1-33

Diseño de campus inalámbrico y cableado convergente 1-33

Servicios de acceso al campus 1-36

Servicios de optimización y protección de aplicaciones 1-38

Principios del diseño de QoS del campus 1-38

Resistencia de la red y QoS 1-41

Servicios de virtualización 1-42

Mecanismos de virtualización del campus 1-43

Virtualización de redes 1-44

Servicios de seguridad 1-47

Seguridad de la infraestructura 1-47

Control de acceso perimetral y seguridad perimetral Seguridad de 1-49

punto final 1-49

Seguridad distribuida: defensa en profundidad 1-49

Servicios operativos y de gestión 1-50

Gestión de fallos 1-51

Contabilidad y desempeño 1-52

Configuración y seguridad 1-53

Evolución de la arquitectura del campus 1-53

Introducción a la arquitectura y el diseño del campus empresarial

• Objetivos del documento, página 3

• El campus empresarial, página 4

Arquitectura Enterprise Campus 3.0: descripción general y marco

Objetivos del documento

• Disponibilidad empresarial global.

• El uso de aplicaciones de colaboración y comunicación en tiempo real está creciendo.

• las amenazas a la seguridad.

- Las amenazas a la seguridad continúan creciendo en número y complejidad.

• La necesidad de adaptarse al cambio sin actualizaciones de montacargas.

Arquitectura Enterprise Campus 3.0: descripción general y marco

• próxima generación están impulsando mayores requisitos de capacidad.

- Medios enriquecidos integrados en documentos.

- Video interactivo de alta definición. Las redes

• son cada vez más complejas.

- La mitigación del riesgo empresarial requiere diseños de sistemas validados.

• Servicios de alta disponibilidad ininterrumpidos

Arquitectura Enterprise Campus 3.0: descripción general y marco

• Servicios de acceso y movilidad

• Servicios de optimización y protección de aplicaciones Servicios de

• Servicios operativos y de gestión

Principios de arquitectura y diseño del campus

Arquitectura Enterprise Campus 3.0: descripción general y marco

Figura 1 Las capas de la jerarquía del campus

Arquitectura Enterprise Campus 3.0: descripción general y marco

tabla 1 Ejemplos de tipos de servicio y capacidades

Requisitos de servicio Funciones de servicio

Servicios de detección y configuración Servicios de 802.1AF, CDP, LLDP, LLDP-MED

seguridad IBNS (802.1X), (CISF): seguridad del puerto, indagación DHCP,

Servicios de reconocimiento de aplicaciones de 802.1X, MAB, autenticación web

acceso e identidad de red Marcado de QoS, vigilancia, colas, inspección profunda de