Diseño.U2. Araya. Cifuentes. Cubate. Lopez. Olivares

ADVANCED
NETWORKING III
Caso de estudio
“Empresas JETBLACK LTDA”
NOMBRES : Luis Cifuentes Pincheira

Gonzalo Araya Navarrete
Texia Cubate Ruiz
Charlie López Reyes
Juan Carlos Olivares Martínez
CARRERA : Ingeniería En Telecomunicaciones Conectividad y Redes
ASIGNATURA : Advanced Networking III
PROFESOR : Dragustin Fernández Queipul
FECHA : 09-05-2022
Contenido
Caso de estudio..................................................................................................... 1
Índice de Imágenes ................................................................................................. 4
Índice de Tablas ...................................................................................................... 6
Introducción ............................................................................................................. 7
1 Definición general del diseño ............................................................................ 7
1.1 Objetivo general del diseño ........................................................................... 8
1.1.1 Objetivo general del diseño ................................................................. 8
1.1.2 Objetivos específicos del diseño.......................................................... 8
1.2 Metas y límites del diseño ............................................................................. 9
1.2.1 Metas del negocio................................................................................ 9
1.2.2 Metas técnicas del diseño ................................................................... 9
1.2.3 Limitantes del negocio ......................................................................... 9
1.2.4 Limitantes técnicas del diseño ........................................................... 10
2 Diseño de red Campus Empresarial. .............................................................. 11
2.1 Diseño de Servicios de Infraestructura ........................................................ 11
2.1.1 Diseño de servicios y aplicaciones de negocio .................................. 11
2.1.2 Diseño de servicios y aplicaciones de red ......................................... 14
2.2 Diseño de topología de enrutamiento .......................................................... 16
2.2.1 Diseño de FHRP ................................................................................ 16
2.2.2 Diseño de IGP ................................................................................... 17
2.2.3 Diseño de NAT .................................................................................. 21
2.3 Diseño de topología de conmutación .......................................................... 23
2.3.1 Diseño de topología de VLAN ........................................................... 23
2.3.2 Diseño de Múltiple Spanning-tree (MST). .......................................... 25
2.3.3 Diseño de Vlan Trunk Protocol (VTP) ................................................ 32
2.3.4 Diseño de enlaces ............................................................................. 34
3 Diseño de Alta disponibilidad .......................................................................... 38
3.1 Alta disponibilidad capa 1 ............................................................................ 38
3.1.1 Topología de enlaces físicos ............................................................. 38
3.2.1 Topología de alta disponibilidad de STP ........................................... 41
2
3.3.1 Alta disponibilidad de FHRP .............................................................. 44
3.3.2 Tracking de FHRP ............................................................................. 48
3.3.3 Topología de alta disponibilidad IGP ................................................. 51
3.3.4 Topología Alta disponibilidad enlaces WAN ...................................... 53
4 Administración y monitoreo de red. ................................................................ 54
4.1 Administración de la red .............................................................................. 54
4.1.1 Topología de Direcciones IP de administración ................................. 54
4.1.2 Topología Servicios de administración de red ................................... 56
4.2 Monitoreo de la red...................................................................................... 62
4.2.1 Topología de Direcciones IP de monitoreo. ....................................... 62
4.2.2 Topología Servicios de monitoreo de red .......................................... 66
5 Seguridad de la red ........................................................................................ 73
5.1 Diseño de seguridad de capa 3 ................................................................... 73
5.1.1 Autenticación de VRRP ..................................................................... 73
5.1.2 Autenticación de IGP ......................................................................... 74
5.2 Diseño de seguridad de capa 2 ................................................................... 75
5.2.1 Diseño de seguridad DHCP snooping ............................................... 75
5.2.2 Diseño de seguridad VLAN hopping .................................................. 76
5.2.3 Diseño de seguridad ARP spoofing ................................................... 79
5.2.4 Diseño de seguridad Port-security ..................................................... 80
5.2.5 Diseño de seguridad Spanning-tree .................................................. 81
5.2.6 Diseño de seguridad Buenas prácticas ............................................. 83
6 Arquitectura de la red...................................................................................... 85
6.1 Diseño del modelo jerárquico ...................................................................... 85
6.1.1 Funciones de la capa de acceso ....................................................... 85
6.1.2 Funciones de capa de distribución o núcleo colapsado..................... 87
6.2 Diseño de arquitectura empresarial ............................................................. 88
6.2.1 Diseño del modelo de arquitectura empresarial ................................ 88
Conclusión............................................................................................................. 89
Bibliografía ............................................................................................................ 90
3
Índice de Imágenes
Ilustración 2.1 Topología servicios de negocio ...................................................... 11

Ilustración 2.2 Topología servicios de networking ................................................. 14
Ilustración 2.3 Topología diseño VRRP ................................................................. 17
Ilustración 2.4 Topología diseño EIGRP ............................................................... 19
Ilustración 2.5 Diseño de VLAN............................................................................. 24
Ilustración 2.6 Diseño de multiple spanning tree ................................................... 30
Ilustración 2.7 Configuraciones Spanning-tree ...................................................... 31
Ilustración 2.8 Diagrama de descripción ether channel LACP............................... 37
Ilustración 3.1 Enlaces físicos ............................................................................... 38
Ilustración 3.2 Figura estado de puertos Spanning- tree ....................................... 43
Ilustración 3.3 Diseño de alta disponibilidad Spanning-tree .................................. 44
Ilustración 3.4 Diseño de alta disponibilidad VRRP ............................................... 47
Ilustración 3.5 Track al fallo de enlace 1 ............................................................... 49
Ilustración 3.6 Track al fallo de enlace 2 ............................................................... 50
Ilustración 3.7 Diseño alta disponibilidad EIGRP .................................................. 52
Ilustración 3.8 Diseño Multihomed ........................................................................ 53
Ilustración 4.1Interfáz gráfica de programa Keepass 2.50 .................................... 55
Ilustración 4.2 Vlan 100 directamente con ACCESS_1 ......................................... 56
Ilustración 4.3 Dashboard de Pandora FMS.......................................................... 57
Ilustración 4.4 Administración de Active Directory Windows 2019 ........................ 58
Ilustración 4.5 Implementación de servicio DHCP primario en server 2019 .......... 59
Ilustración 4.6 Dashboard lomega NAS ................................................................ 60
Ilustración 4.7 Dashboard lomega NAS, gestor de directorios administrables ...... 61
Ilustración 4.8 Conexión de Firepower in line ........................................................ 63
Ilustración 4.9 Tipos de administración a la red por FDM ..................................... 63
Ilustración 4.10 Dashboard de monitoreo FDM ..................................................... 64
Ilustración 4.11 alta disponibilidad ante falla de enlace......................................... 65
Ilustración 4.12 Módulos antes fallas, rojo falla en equipamiento.......................... 67
Ilustración 4.13 Almacenamiento de módulos a monitorear .................................. 68
Ilustración 4.14 Monitoreo de servicios en cloud con API VMware ....................... 69
4
Ilustración 4.15 Ejemplo dashboard de nodos intercomunicados.......................... 70
Ilustración 4.16 Administración y respaldo de base de datos ................................ 71
Ilustración 4.17 Conexiones seguras para administración de servicios ................ 72
Ilustración 5.1 Configuración autenticación VRRP ................................................ 74
Ilustración 5.2 Configuración de autenticación EIGRP .......................................... 75
Ilustración 5.3 Puertos modo acceso .................................................................... 77
Ilustración 5.4 Puertos troncales ........................................................................... 78
Ilustración 5.5 Seguridad en capa de acceso ........................................................ 81
Ilustración 5.6 Puertos root y prioridades .............................................................. 82
Ilustración 5.7 Estado de los puertos STP ............................................................ 82
Ilustración 6.1 Diseño de modelo de arquitectura empresarial .............................. 88
5
Índice de Tablas
Tabla 2.1 Direccionamiento servidores de negocio ................................... 12

Tabla 2.2 Direccionamiento movistar servidores de negocios .................. 13
Tabla 2.3 Direccionamiento Entel servidores de negocio ......................... 13
Tabla 2.4 Direccionamiento servidores de negocio ................................... 15
Tabla 2.5 Direccionamiento Router virtual VRRP ..................................... 18
Tabla 2.6 Direccionamiento enlaces WAN ................................................ 18
Tabla 2.7 Direccionamiento NAT estático ................................................. 23
Tabla 2.8 Relación de Lan virtuales .......................................................... 24
Tabla 2.9 Diseño de VLAN ........................................................................ 24
Tabla 3.1 Enlaces físicos WAN ................................................................. 40
Tabla 3.2 Enlaces físicos LAN .................................................................. 40
Tabla 3.3 Instancias Mulltiple Spanning-tree............................................. 41
Tabla 3.4 Roles VRRP .............................................................................. 45
Tabla 4.1 Direcciones ip servidores de networking ................................... 54
Tabla 4.2 Direcciones ip servidores de negocio ........................................ 54
Tabla 4.3 direcciones ip firewalls y pandora.............................................. 62
6
Introducción
La empresa “JETBLACK LTDA” dedicada al rubro de servicios generales

contables, asesoría jurídica, área tecnológica, construcción y edificación,
actualmente cuenta con una infraestructura de red no definida, durante el último año
han ocurrido considerables fallos de carácter grave tanto en los dispositivos que
forman parte de la red, cómo en el diseño de esta, entre las cuales se puede
mencionar, por ejemplo, la perdida de información importante por fallas en el
proveedor de servicios de internet, dispositivos de red no autorizados y dentro de lo
más relevante cabe destacar que han sido víctimas de ataques de denegación de
servicio y ataques de fuerza bruta tanto a servidores internos como externos. Debido
a lo anteriormente mencionado se efectuará un rediseño de redes mediante la
metodología Top Down, dando como resultado un sistema más completo
considerando equipamiento físico y protocolos que ayuden al servicio de redes de
la empresa a mantenerse al margen de los ataques cibernéticos, entregando alta
disponibilidad en la red y poder eléctrico y escalabilidad a la empresa desde el punto
de vista de redes.
Además, se presentarán diseños de red en formato visual, de manera que

sea posible observar la nueva arquitectura de red, tanto a nivel físico, en cuanto a
equipamiento de red, de capa 1, capa 2 y capa 3, cómo a nivel lógico, definiendo
enlaces virtuales, protocolos de enrutamiento, de alta disponibilidad, políticas de
seguridad, entre otros. También se deberá realizar un ordenamiento a nivel de
direccionamiento IP, junto a sus correspondientes virtual LAN (VLAN) por cada
departamento, para así segmentar los distintos sectores que componen la empresa
y lograr una fácil administración futura de los dispositivos actuales, proporcionando
servicios de seguridad específicos para cada segmento de red, lo que brinda más
control sobre el tráfico de red, optimiza el rendimiento de la red y mejora la situación
de seguridad.
7
1 Definición general del diseño
1.1 Objetivo general del diseño
1.1.1 Objetivo general del diseño
El objetivo general para la empresa “JETBLACK LTDA”, es dar una solución
de mejoramiento para el óptimo desempeño de la red de telecomunicaciones
existente, a través de la reestructuración de esta, en su gran mayoría. Diseñando
una “Alta Disponibilidad” y “Seguridad de los datos y servidores” a través de una
zona desmilitarizada (DMZ) en la arquitectura de red On-premise y acceso a
servidores On-Cloud.
1.1.2 Objetivos específicos del diseño
• Crear alta disponibilidad tanto a nivel de capa 2 como de capa 3, a través de

la implementación de protocolos permitiendo una fiabilidad y tolerancia a
fallas.
• Gestionar y controlar toda la infraestructura de la red a través de un software

de monitoreo llamado Pandora.
• Implementar políticas de seguridad que permita monitorear el tráfico saliente

y entrante con el objeto de detectar cualquier anomalía y bloquearlo a través
de un firewall.
• Documentar la red que permita diagnosticar y corregir de manera eficaz los

problemas de la red, según el diseño y el rendimiento esperado de la red en
condiciones de operación normales.
8
1.2 Metas y límites del diseño
1.2.1 Metas del negocio
• Aumentar el flujo de ingresos de la empresa.

• Ofrecer confiabilidad a sus clientes.
• Mejorar el servicio y calidad a sus clientes desde el punto de vista digital.
1.2.2 Metas técnicas del diseño
• Reducir ataques maliciosos.

• Mejorar la disponibilidad de la red.
• Disminuir fallas en la red.
• Implementar escalabilidad en la red.
• Implementar LAN virtuales que separen las distintas redes de la empresa.
1.2.3 Limitantes del negocio
• El servicio funciona principalmente a través de la red, por lo que debe

mantenerse funcionando en todo momento dentro del horario laboral para
continuar con la productividad de la empresa
• La solución acerca la adquisición de nuevo equipamiento de red debe ser de
acuerdo con el presupuesto que destine la empresa.
• Para proporcionar un sistema eléctrico de respaldo objeto mantener alta
disponibilidad, se deberá desembolsar dinero extra para la reparación y
compra de nuevo equipamiento.
9
1.2.4 Limitantes técnicas del diseño
• No posee poder de respaldo, lo que con lleva que no exista una continuidad
operacional en la empresa.
• En la actualidad mucho del equipamiento que poseen se encuentran con

fallas por lo tanto es importante considerar su renovación.
• No existe una topología lógica definida que permita visualizar las diferentes
conexiones virtuales y protocolos dentro de la red.
• No existe un ordenamiento físico de la red lo que con lleva un desorden

interno provocando fallas permanentes y con poder de respuesta deficiente.
10
2 Diseño de red Campus Empresarial.
2.1 Diseño de Servicios de Infraestructura
2.1.1 Diseño de servicios y aplicaciones de negocio
En esta sección se presentará el diseño de los servicios y aplicaciones de

negocios que utiliza la empresa que tiene como fin identificar los tipos de servicios
que tiene incorporado la empresa y su funcionamiento a través de una topología.
En la imagen que se presenta a continuación se puede contemplar la

topología de los servidores y aplicaciones On-Premise contará con una zona
desmilitarizada (DMZ), la cual permitirá que usuarios externos a la LAN puedan
entrar a los servicios de la red interna sin poner en riesgo a esta última, ya que, esta
zona permite excluir todos los demás servicios de la red y solo exponer ciertas
aplicaciones al uso de entes externos.
Esta se configurará tanto en el FW1 como en el FW2, en los cuales va el

direccionamiento privado de cada uno de servidores con su respectivo
direccionamiento público de acuerdo con el ISP.
Ilustración 2.1 Topología servicios de negocio
11
En la presente tabla se pueden apreciar la cantidad de servidores y los tipos
de servicios que están incluidos en la DMZ, a la cual se le asignará el número de
VLAN 200 con un rango de direccionamiento, el cual va desde la 172.16.3.65 al 76
con mascara de red 27, que nos permite que cada servidor tenga su propia IP.
SERVICIO DESCRIPCION IP
Base de Datos (KMDB) Gestión de Recursos 172.16.3.65
Base de Datos (CMDB) Gestión de Cambios 172.16.3.66
Base de Datos (FMDB) Gestión de Facturas 172.16.3.67
Base de Datos (SMDB) Gestión de Ventas 172.16.3.68
Base de Datos (NMDB) Gestión de Redes 172.16.3.69
Web KM Gestión de Recursos 172.16.3.70
Web CM Gestión de Cambios 172.16.3.71
Web SM Gestión de Ventas 172.16.3.72
Web FM Gestión de Facturas 172.16.3.73
Web NM Gestión de Red 172.16.3.74
FTP Transferencia de archivos internos 172.16.3.75
Email Cuentas de usuario correo electrónico 172.16.3.76
Tabla 2.1 Direccionamiento servidores de negocio
En la presente tabla se pueden apreciar el rango de direccionamiento IP
público del ISP principal que en este caso es Movistar asignando a cada uno de los
servidores de negocios, el cual va desde la dirección 190.108.160.1 al
190.108.160.12 con mascará 28 el cual será configurado en el FW1.
SERVICIO ASIGNADO A IP
Base de Datos (KMDB) FW1 190.108.160.1
Base de Datos (CMDB) FW1 190.108.160.2
Base de Datos (FMDB) FW1 190.108.160.3
Base de Datos (SMDB) FW1 190.108.160.4
Base de Datos (NMDB) FW1 190.168.160.5
Web KM FW1 190.108.160.6
12
Web CM FW1 190.108.160.7
Web SM FW1 190.108.160.8
Web FM FW1 190.108.160.9
Web NM FW1 190.108.160.10
FTP FW1 190.108.160.11
Email FW1 190.108.160.12
Tabla 2.2 Direccionamiento movistar servidores de negocios
En la presente tabla se pueden apreciar el rango de direccionamiento IP
público del ISP principal que en este caso es Entel asignando a cada uno de los
servidores de negocios, el cual va desde la dirección 186.67.237.1 al 186.67.237.12
con mascará 28 el cual será configurado en el FW2.
SERVICIO ASIGNADO A IP
Base de Datos (KMDB) FW2 186.67.237.1
Base de Datos (CMDB) FW2 186.67.237.2
Base de Datos (FMDB) FW2 186.67.237.3
Base de Datos (SMDB) FW2 186.67.237.4
Base de Datos (NMDB) FW2 186.67.237.5
Web KM FW2 186.67.237.6
Web CM FW2 186.67.237.7
Web SM FW2 186.67.237.8
Web FM FW2 186.67.237.9
Web NM FW2 186.67.237.10
FTP FW2 186.67.237.11
Email FW2 186.67.237.12
Tabla 2.3 Direccionamiento Entel servidores de negocio
13
2.1.2 Diseño de servicios y aplicaciones de red
En esta sección se presentará el diseño de los servicios y aplicaciones de

networking que utiliza la empresa que tiene como fin identificar los tipos de servicios
que tiene incorporado la empresa y su funcionamiento a través de una topología
base. Esto ilustra de manera más específica como se sitúan estos dentro de la
empresa “JETBLACK LTDA”.
En la imagen que se muestra a continuación se puede visualizar los servicios

y aplicaciones de networking conectados al switch L2 con el hostname Access_1 y
este a su vez encontramos los dos switches de L3 que se encuentran conectados
en la capa de núcleo.
Se asignará la VLAN con el número identificador 100 para los servicios de

networking y la VLAN con el numero identificador 500 para el tráfico relacionado a
telefonía permitiendo que la administración de los dispositivos sea simple y más
fácil.
Ilustración 2.2 Topología servicios de networking
14
En la presente tabla se pueden apreciar la cantidad de servidores y tipos de
servicios que actualmente posee la empresa, en conjunto a la conexión con el switch
de capa 2 y sus direccionamientos IP.
Servicio Descripción Conectado Dirección IP

Active Directory Gestión y control de usuarios ACCESS_1 172.16.3.129
finales
DHCP ACCESS_1 172.16.3.130
Almacenamiento Almacenamiento datos y ACCESS_1 172.16.3.131
recursos compartidos
Monitoreo Pandora FMS ACCESS_1 172.16.3.132
PBX Voz ACCESS_1 172.16.0.254
Tabla 2.4 Direccionamiento servidores de negocio
15
2.2 Diseño de topología de enrutamiento
2.2.1 Diseño de FHRP
En esta sección se presentará el diseño a nivel de capa 3, referente en el

modelo OSI, para esto se aplicará el protocolo VRRP (Virtual Router Redundancy
Protocol) para aumentar la disponibilidad de la puerta de enlace por defecto dando
servicio a máquinas en la misma subred. El aumento de fiabilidad se consigue
mediante el anuncio de un router virtual como una puerta de enlace por defecto en
lugar de un router físico. Dos o más routers físicos se configuran representando al
router virtual, con sólo uno de ellos realizando realmente el enrutamiento. Si el router
físico actual que está realizando el enrutamiento falla, el otro router físico negocia
para sustituirlo. Se denomina router maestro al router físico que realiza realmente
el enrutamiento y routers de respaldo a los que están en espera de que el maestro
falle.
En la imagen que se muestra a continuación se puede visualizar el

direccionamiento IP de cada VLAN. A su vez se le asignará la primera IP al router
virtual, la segunda será para el DLS1 y la tercera será para el DLS2. Además, se
dejará las interfaces del DLS1 con un valor de prioridad de 120 y el DLS2 con un
valor de prioridad por defecto que es 100, quedando el de mayor valor como
“Master” y el otro como “Respaldo”.
16
Ilustración 2.3 Topología diseño VRRP
2.2.2 Diseño de IGP
En esta sección se presentará la topología que incluye el diseño de capa de red, se

utilizará el protocolo de enrutamiento EIGRP entre los Switch capa 3 conectados
entre sí, además de la inclusión del protocolo de redundancia VRRP.
En la presente tabla se visualizará el esquema de direccionamiento de capa 3, el

cual permite mostrar la asignación de IP para el “router virtual” de VRRP.
Nombre VLAN Red Mascara

TELEFONIA 172.16.0.0/24 255.255.255.0
VENTAS 172.16.1.0/26 255.255.255.192
SERVICIO_CLIENTE 172.16.1.64/26 255.255.255.192
CONTROL 172.16.1.128/26 255.255.255.192
FINANZAS 172.16.1.192/26 255.255.255.192
DIRECCION_GENERAL 172.16.2.0/26 255.255.255.192
SECRETARIA_PLANIFICACION 172.16.2.64/26 255.255.255.192
PROYECTOS 172.16.2.128/26 255.255.255.192
MARKETING 172.16.2.192/26 255.255.255.192
17
INFORMATICA 172.16.3.0/26 255.255.255.192
BUSINESS_SERVER 172.16.3.64/27 255.255.255.224
ADMIN 172.16.3.96/27 255.255.255.224
NETWOWKING_SERVER 172.16.3.128/27 255.255.255.224
Tabla 2.5 Direccionamiento Router virtual VRRP
En la presente tabla se visualizará el esquema de direccionamiento de capa 3, entre

el Firewall y los Switch de L3 que se encuentran en la capa de núcleo.
Dispositivo Red Mascara

FW1-DLS1 172.16.3.208 255.255.255.248
FW2-DLS2 172.16.3.216 255.255.255.248
Tabla 2.6 Direccionamiento enlaces WAN
Para el enrutamiento EIGRP se utilizará el número de sistema autónomo “180”, el

cual conectará los switches de L3 y firewall. Además, se hará uso de la dirección de
loopback como ID del router ya que a diferencia de una interfaz física estas no fallan
y a su vez se utiliza para identificar de forma única a cada router en el dominio de
routing EIGRP.
18
Ilustración 2.4 Topología diseño EIGRP
Configuración estará guiada bajo la siguiente línea de comandos:
DLS1(config)# router eigrp 180

DLS1(config-router)# eigrp router-id 172.16.3.224
DLS1(config-router)# no auto-summary
19
DLS1(config-router)# passive-interface default
DLS1(config-router)# network 172.16.0.0 0.0.0.255
DLS1(config-router)#network 172.16.1.64 0.0.0.63
20
2.2.3 Diseño de NAT
En esta sección se presentará la topología de diseño para configurar la traducción

de direcciones de red (NAT) para habilitar la comunicación entre los diferentes
servicios que tiene la empresa y los usuarios que se encuentran en diferentes
segmentos de red la cual contará con una conexión a internet a través de dos ISP
siendo Movistar el principal y Entel el de respaldo.
También se debe mencionar que los equipos pertenecientes al ISP se conectaran

cada uno a un firewall perimetral y este a su vez a un switch de L3 lo que permitirá
entregar una alta disponibilidad a nivel lógico mediante la implementación de
diferentes protocolos
El direccionamiento público que se utilizará por parte de Movistar es la

190.108.160.0/27 y la 186.67.237.0/27 en el caso de Entel, pero mediante la
utilización de NAT, se hará la traducción de direcciones IP privadas de la red
segmento publico antes mencionado.
Los tipos de NAT que se utilizaran en esta topología son los siguientes
• Traducción estática de direcciones (NAT estática): En donde la asignación

de direcciones es uno a uno entre una dirección local correspondiente a los
servicios y una privada que corresponde a los ISP según sea el caso por lo
tanto serán doce que corresponde a la cantidad de servicios de negocios por
parte de la empresa.
• Traducción de direcciones del puerto PAT (también denominada <NAT con
sobrecarga>): En estas se puede utilizar una única dirección IPV4 publica
para varias direcciones IPV4 privadas.
21
Para finalizar los pasos para configurar PAT son los siguientes
• Primero definir una lista de acceso estándar que permita las direcciones a
traducir que en este serán las VLAN internas.
• Especificar las listas de acceso y el conjunto que se definieron en el paso

anterior para establecer la traducción de sobrecarga y la interfaz que va a
traducir
IP NAT INSIDE SOURCE LIST 1 INTERFACE GI1/0/1 OVERLOAD
• Identificar la interfaz interna que en este será la G1/0/2
interface G1/0/2
ip nat inside
• Identificar la interfaz interna que en este será la G1/0/2
interface G1/0/1
ip nat outside
En la presente tabla se visualizará el direccionamiento correspondiente al NAT

estático.
Nombre Servidor IP privada IP Publica

Base de Datos (KMDB) 172.16.3.65 190.108.160.1
Base de Datos (CMDB) 172.16.3.66 190.108.160.2
Base de Datos (FMDB) 172.16.3.67 190.108.160.3
Base de Datos (SMDB) 172.16.3.68 190.108.160.4
Base de Datos (NMDB) 172.16.3.69 190.168.160.5
Web KM 172.16.3.70 190.108.160.6
Web CM 172.16.3.71 190.108.160.7
Web SM 172.16.3.72 190.108.160.8
22
Web FM 172.16.3.73 190.108.160.9
Web NM 172.16.3.74 190.108.160.10
FTP 172.16.3.75 190.108.160.11
Email 172.16.3.76 190.108.160.12
Tabla 2.7 Direccionamiento NAT estático
2.3 Diseño de topología de conmutación

2.3.1 Diseño de topología de VLAN
2 En esta sección se presentará el diseño de topología de VLAN para se
3 En esta sección se presentará el diseño de topología de VLAN para segmentar los
grupos de usuarios, de servicio de servidores y de servicio de telefonía.
Cada VLAN individual recibe su propio dominio de difusión o dominio de broadcast.

Si un participante envía una difusión dentro de la VLAN, todos los demás
participantes de ese segmento (y sólo esos participantes) reciben el mensaje. La
difusión no se transmite más allá de los límites de cada VLAN.
Al reducir el dominio de broadcast, también se consigue un mejor rendimiento. De

esta forma, los mensajes de difusión no tienen que atravesar toda la red. Con una
VLAN, se minimiza la carga innecesaria del ancho de banda.
N° de VLAN Nombre de VLAN

500 TELEFONIA
40 VENTAS
50 SERVICIO_CLIENTE
30 CONTROL
10 FINANZAS
60 DIRECCION_GENERAL
70 SECRETARIA_PLANIFICACION
80 PROYECTOS
90 MARKETING
20 INFORMATICA
23
200 BUSINESS_SERVER
300 ADMIN
100 NETWOWKING_SERVER
Tabla 2.8 Relación de Lan virtuales

La difusión no se transmite más allá de los límites de cada VLAN.
Al reducir el dominio de broadcast, también se consigue un mejor rendimiento. De

esta forma, los m Tabla XX. Descripción de cada VLAN
Configuración básica para la creación de VLAN en cada Switch de Acceso:
SW(config)#vlan [N° de VLAN]
SW(config-vlan)#name [Nombre de VLAN]
Ilustración
Tabla 2.9 2.5 Diseño
Diseño dedeVLAN
VLAN
24
Cada VLAN individual recibe su propio dominio de difusión o dominio de
broadcast. Si un participante envía una difusión dentro de la VLAN, todos los
demás participantes de ese segmento (y sólo esos participantes) reciben el
mensaje. La difusión no se transmite más allá de los límites de cada VLAN.
Al reducir el dominio de broadcast, también se consigue un mejor

rendimiento. De esta forma, los mensajes de difusión no tienen que atravesar toda
la red. Con una VLAN, se minimiza la carga innecesaria del ancho de banda.
2.3.2 Diseño de Múltiple Spanning-tree (MST).
MST se define en el estándar IEEE 802.1s. Se deben determinar el número de

instancias a ejecutar (por redundancia) y que vlans se configuran en cada instancia.
Regiones MST
MST es diferente de 802.1d y PVST+ aunque puede interoperar con ellos. Cada
switch configurado con MST debe saber que tipo de STP están ejecutando sus
vecinos.
Esto se hace configurando los switches en regiones MST comunes, donde en cada
switch en una región ejecuta MST con parámetros compatibles.
Por lo general en la mayoría de las redes, es suficiente una sola región MST, aunque
se puede configurar más de una región. Dentro de la región, todos los switches
deben ejecutar la instancia de MST que está definida por los siguientes atributos:
• Nombre de la configuración MST (32 caracteres). Region name.
• Número de revisión de la configuración MST (de 0 a 65535). Se debe
configurar manualmente en todos los switches el mismo número.
• Tabla con la relación entre instancia MST y la(s) vlan(s) (4096 entradas).
Indica en la instancia qué vlans contiene o qué vlan está en qué instancia.
25
Si dos o más switches tiene los mismos atributos están en la misma región, si no,
están en regiones diferentes.
Instancias IST
La idea detrás de MST es agrupar multiples VLANs a un número pequeño de
instancias de STP.
Dentro de una región las instancias MST coexisten con IST. Cisco soporta un
máximo de 16 instancias MST (MSTI) dentro de una misma región, que van desde
el 1 al 15 siendo la 0 utilizada por IST. Por defecto todas la VLANs pertenecen a la
instancia MST00, por lo que debemos explícitamente mapear las VLANs a la
instancia.
Configuración MST
En este diseño se configurarán DLS1 y DLS2 como Root Bridge para sus
respectivas instancias.
Para definir y configurar una región MST debemos seguir estos 7 pasos, de forma
manual, en cada uno de los switches que participen:
1.- Activar MST en el switch:
Switch(config)# spanning-tree mode mst
2.- Entrar en el modo de configuración de MST:
Switch(config)# spanning-tree mst configuration
Podemos ver como está actualmente la configuración con:
Switch(config)# show current
3.- Asignar un nombre de configuración a la región (hasta 32 caracteres):
Switch(config-mst)# name [name]
4.- Asignar un número de revisión de configuración (0 to 65,535):
Switch(config-mst)# revision [número revisión]
26
Este número nos sirve a modo de seguimiento, por lo que cada vez que se haga un
cambio en la configuración se debe incrementar en 1 manualmente. Como la
configuración dentro de una región debe coincidir en TODOS los switches debemos
replicar este incremento en todos los switches de la misma región.
5.- Mapear VLANs a una instancia MST:
Switch(config-mst)# instance [instance-id] vlan [vlan-list]
El parámetro instance-id (0 to 15) lleva información de la topología de las VLANs

listadas, que podemos incluirlas con rangos (usando el guión) o separadas por
comas. Resaltar que por defecto TODAS las VLANs van por la instancia 0, el
IST.
6.- Mostrar los cambios que hemos realizado, es importante para verificar la
configuración:
Switch(config-mst)# show pending
7.- Salir del modo de configuración de MST que inmediatamente aplica los cambios
y los hace activos:
Switch(config-mst)# exit
O podemos cancelar los cambios con este comando:
Switch(config-mst)# abort
Una vez activado y configurado MST, PVST+ se detiene y el switch cambia a RSTP.
Un switch NO puede operar a la vez MST y PVST+.
Otras configuraciones
Configurar Root Bridge (macro)
Switch(config)# spanning-tree mst [instance-id] root [primary | secondary]
Configurar la prioridad del switch
27
Switch(config)# spanning-tree mst [instance-id] priority [bridge-priority]
Configurar el coste del puerto
Switch(config)# spanning-tree mst [instance-id] cost [cost]
Configurar la prioridad del puerto
Switch(config)# spanning-tree mst [instance-id] port-priority [port-priority]
Configurar los temporizadores
Switch(config)# spanning-tree mst hello-time [seconds]
Switch(config)# spanning-tree mst forward-time [seconds]
Switch(config)# spanning-tree mst max-age [seconds]
Puertos y estados de los puertos
Los puertos en RSTP pueden ser:
• Discarding: Las tramas entrantes son rechazadas (dropped),

tampoco se aprenden MACs.
• Learning: Se rechazan (dropped) las tramas entrantes, pero se
aprenden MACs.
• Forwarding: Se envían las tramas entrantes de acuerdo con la MACs
aprendidas (y que se aprenden).
Los estados de los puertos en RSTP son:
• Edge Port: es un puerto en el extremo de la red donde se conecta

solo un servidor. Es lo mismo que en STP un puerto PortFast. No puede
28
formar un bucle, pasa directamente a Forwarding. Si se recibe una BPDU en
un puerto Edge este puerto pierde su estado de Edge.
• Root Port: Es el puerto que tiene mejor coste hacia el raiz y solo
puede haber un puerto Root en cada switch.
• Point-to-Point Port: cualquier puerto que se conecta a otro switch y
se convierte en Designated Port. El estado del puerto lo decide un acuerdo
rápido ente ambos switches en vez de que un temporizador expire.
29
Ilustración 2.6 Diseño de multiple spanning tree
30
Diagrama Configuración MST
Ilustración 2.7 Configuraciones Spanning-tree
31
2.3.3 Diseño de Vlan Trunk Protocol (VTP)
VTP es un protocolo propietario de Cisco de capa 2 que permite intercambiar información

sobre VLANs entre enlaces trunk de forma que los switches de la red tengan la base de
datos de las VLANs sincronizadas en todo momento desde un punto central de la red.
La base de datos de las VLANs se almacena en la memoria flash del switch con el archivo
“vlan.dat”.
VTP utiliza dominios para agrupar a los switches que van a compartir la misma
información de VLANs.
Dentro de este dominio de VTP se intercambia la siguiente información
• Nombre del dominio
• Versión de VTP
• Lista de Vlans
• Parámetros específicos de VLAN
VTP tiene 3 modos:

• Servidor: el o los switches elegidos pueden crear, modificar y eliminar VLAN.
Anuncia su configuración VLAN a los otros switches en el mismo dominio.
• Cliente: el o los switches no pueden hacer ninguna modificación y mantienen
la información de VLANs gracias a los mensajes que son enviados desde el
servidor.
• Transparente: el o los switches no participan en el proceso de VTP, y sólo
reenvían los mensajes VTP.
Para esta topología de VTP se configurarán los switches de la siguiente manera

considerando que la Versión 3 de VTP funciona con MST.
Servidores: Distribución L3 DLS1 y DLS2.
DLS (config)#vtp mode server
DLS (config)#vtp version 3 (Trabaja con MST)
32
DLS (config)#vtp domain ccnp3.cl
DLS (config)#vtp password ccnp3
Creación de VLANs en DLS1 (VTP Server Priority)
Clientes: Acceso desde los switches L2 ACCESS_1 al ACCESS_6.
ACCESS (config)#vtp mode client
ACCESS (config)#vtp version 3 (Trabaja con MST)
ACCESS (config)#vtp domain ccnp3.cl
ACCESS (config)#vtp password ccnp3
Transparentes: En este diseño no participan otros switches para reenviar información.
En cada enlace troncal entre Distribución y Acceso la configuración tipo será la siguiente:
ACCESS(config)#int range f0/23 – 24
ACCESS(config-if-range)#sw trunk enc dot1q
ACCESS(config-if-range)#sw mode trunk
ACCESS(config-if-range)#sw trunk allowed vlan xx [Vlans asignadas a cada
ACCESS(config-if-range)#exit switch Access]
DLS(config)# int range f0/1 – 2
DLS(config-if-range)#sw trunk enc dot1q
DLS(config-if-range)#sw mode trunk
33
DLS(config-if-range)#sw trunk allowed vlan xx [Vlans asignadas a cada
DLS(config-if-range)#exit switch Access]
2.3.4 Diseño de enlaces
Para evitar la posibilidad de producir bucles EtherChannel agrega enlaces

físicos en un solo enlace lógico que puede actuar en modo acceso o trunk.
EtherChannel ofrece redundancia agrupando varios enlaces físicos, si uno

de los enlaces falla, el tráfico de dicho enlace se mueve a otro enlace correcto y
cuando se recupera la carga de tráfico se vuelve a repartir entre los enlaces activo.
Este proceso ocurre en mili segundos y es transparente para el usuario final.
En el diseño propuesto las interfaces físicas Fa0/23-24 de cada Switch de

Distribución DLS1 y DLS2 serán configuradas con tecnología Etherchannel con el
Protocolo de Negociación LACP (Link Aggregation Control Protocol)
A tener en cuenta
• Todas las interfaces deben tener las mismas características. Misma
velocidad, duplex, storm-control, flow-control, MTU, etc.
• Se crea redundancia entre las interfaces.
• Ninguna interface puede ser un puerto SPAN (SPAN permite capturar el
tráfico que entra y sale de los puertos de un switch. Luego los envía a otro
host conectado a su red)
• Las interfaces deben pertenecer a la misma vlan o al mismo trunk.
• Cualquier cambio en el port-channel afecta a todos los puertos.
• Un cambio en un puerto individual afecta solo a ese puerto.
34
Descripción del Protocolo LACP
LACP es un estándar de IEEE definido en 802.3ad. Los paquetes LACP se

intercambian entre switches sobre puertos que soporten EtherChannel. Los vecinos
son identificados y se aprenden las capacidades de los grupos de puertos y se
comparan con las capacidades locales. Como distinción LACP asigna roles a los
puntos finales de los EtherChannels.
El switch con la prioridad de sistema (system priority, un valor de prioridad de

2 bytes seguido de una dirección MAC de switch de 6 bytes) más baja toma las
decisiones sobre que puertos participan activamente en el EtherChannel en un
momento dado.
Los puertos se ponen activos de acuerdo a su prioridad de puerto (port

priority, una prioridad de 2 bytes seguida de un número de puerto de 2 bytes) donde
el valor más bajo es la prioridad más alta.
Se pueden definir hasta un conjunto de 16 enlaces por cada EtherChannel

aunque solo son seleccionados hasta 8 con las prioridades más altas (valores más
bajos) como puertos activos del EtherChannel al mismo tiempo.
El resto de puertos se ponen a la espera (standby) y se activarán si alguno

de los puertos activos pierde el enlace (se pone down).
LACP puede configurarse en modo active (modo activo) que continuamente

pregunta al switch vecino para negociar un EtherChannel, o en modo passive (modo
pasivo) que sólo negocia si el otro extremo inicia la negociación.
35
Configuración en la capa 2: DLS1 y DLS2
DLS1(config)# interface range FastEthernet 0/23 -24

DLS1(config-if-range)# shutdown
DLS1(config-if-range)# channel-group 1 mode active
DLS1(config-if-range)# no shutdown
DLS1(config-if-range)# interface port-channel 1
DLS1(config-if)# switchport mode trunk
DLS1(config-if)# switchport trunk allowed vlan 10-90,100,500
DLS2(config)# interface range FastEthernet 0/23 -24

DLS2(config-if-range)# shutdown
DLS2(config-if-range)# channel-group 1 mode active
DLS2(config-if-range)# no shutdown
DLS2(config-if-range)# interface port-channel 1
DLS2(config-if)# switchport mode trunk
DLS2(config-if)# switchport trunk allowed vlan 10-90,100,500
36
Ilustración 2.8 Diagrama de descripción ether channel LACP
37
3 Diseño de Alta disponibilidad
3.1 Alta disponibilidad capa 1
3.1.1 Topología de enlaces físicos
El diseño de alta disponibilidad de enlaces físicos se aprecia en la siguiente

topología, donde muestra la interconexión de switches de acceso hacia ambos
switches de distribución, estos a su vez conectados a dos equipamientos firewall y
a dos proveedores de servicio, lo que permite redundancia en los enlaces y acceso
a la red en caso de falla.
En la siguiente figura se presentan enlaces y equipamiento de respaldo en la

topología
Ilustración 3.1 Enlaces físicos
38
En la siguiente tabla se detallan interfaces de conexión según “ilustración 3.1”.
SWITH INTERFAZ SWITCH INTERFAZ VLAN

CAPA 3 CAPA 2
DLS 1 FA 0/1 ACCESS_1 FA 0/23 VL 100 (Networking_server)
VL 500 (Telefonía)
VL 10 (Fínanzas)
VL 20 (Informática)
VL 30 (Control)
VL 40(ventas)
VL 50(Servicio al cliente)
VL 60 (Dirección general)
VL 70 (Secretaría)
VL 80 (Proyectos)
VL 90 (Marketing)
DLS1 FA 0/2 ACCESS_2 FA 0/23 VLAN 30 (Control)
DLS1 FA 0/3 ACCESS_3 FA 0/23 VLAN 10 (Finanzas)
VLAN 90 (Marketing)
DLS1 FA 0/4 ACCESS_4 FA 0/23 VLAN 20 (Informática)
VLAN 80 (Proyectos)
DLS1 FA 0/5 ACCESS_5 FA 0/23 VLAN 40 (Ventas)
VLAN 70 (Secretaría)
DLS1 FA 0/6 ACCESS_6 FA 0/23 VLAN 50
(Servicio al cliente)
VLAN 60
(Dirección General)
DLS 2 FA 0/1 ACCESS_1 FA 0/24 VL 100 (Networking_server)
VL 500 (Telefonía)
VL 10 (Fínanzas)
VL 20 (Informática)
VL 30 (Control)
39
VL 40(ventas)
VL 50(Servicio al cliente)
VL 60 (Dirección general)
VL 70 (Secretaría)
VL 80 (Proyectos)
VL 90 (Marketing)
DLS2 FA 0/2 ACCESS_2 FA 0/24 VLAN 30 (Control)
DLS2 FA 0/3 ACCESS_3 FA 0/24 VLAN 10 (Finanzas)
VLAN 90 (Marketing)
DLS2 FA 0/4 ACCESS_4 FA 0/24 VLAN 20 (Informática)
VLAN 80 (Proyectos)
DLS2 FA 0/5 ACCESS_5 FA 0/24 VLAN 40 (Ventas)
VLAN 70 (Secretaría)
DLS2 FA 0/6 ACCESS_6 FA 0/24 VLAN 50
(Servicio al cliente)
VLAN 60
(Dirección General)
Tabla 3.1 Enlaces físicos WAN
SWITCH CAPA INTERFAZ FIREWALL INTERFAZ

3
DLS 1 FA 0/24 FW_1 FA 0/24
DLS 2 FA 0/24 FW_2 FA 0/24
Tabla 3.2 Enlaces físicos LAN
40
3.2.1 Topología de alta disponibilidad de STP
En esta topología se presenta alta disponibilidad de spanning-tree MST, que tiene

como característica crear múltiples instancias de spanning-tree dentro de una región
y garantizar la eliminación de bucles.
En la siguiente tabla se detallan las vlan asignadas a cada instancia y la asignación

de instancias en cada switch de distribución para balanceo de carga.
INSTANCIA VLAN ROOT BRIDGE

Instance 0 VLAN no asignadas a una DLS1
instancia
Instance 1 10 (FINANZAS) DLS1
20 (INFORMÁTICA)
30 (CONTROL)
40 (VENTAS)
50(SERVICIO AL
CLIENTE)
60(DIRECCIÓN
GENERAL)
70 (SECRETARÍA)
80 (PROYECTOS)
90 (MARKETING)
Instance 2 500 (TELEFONÍA) DLS2
Instance 3 100 DLS2
Tabla 3.3 Instancias Mulltiple Spanning-tree
41
Configuración estará guiada bajo la siguiente línea de comandos:
DLS1
DLS1(config)#spanning-tree mode mst

DLS1(config)#spanning-tree mst configuration
DLS1(config-mst)#name region1
DLS1(config-mst)#revision 10
DLS1(config-mst)#instance 1 vlan 10,20,30,40,50,60,70,80,90
DLS1(config-mst)#instance 2 vlan 500
DLS1(config-mst)#exit
DLS1(config)#spanning-tree mst 0-1 root primary
DLS1(config)#spanning-tree mst 2-3 root secondary
DLS2
DLS2(config)#spanning-tree mode mst

DLS2(config)#spanning-tree mst configuration
DLS2(config-mst)#name region1
DLS2(config-mst)#revision 10
DLS2(config-mst)#instance 1 vlan 10,20,30,40,50,60,70,80,90
DLS2(config-mst)#exit
DLS2(config)#spanning-tree mst 2-3 root primary
DLS2(config)#spanning-tree mst 0-1 root secondary
Access_1 (comandos que se replicarán en todos los sw de acceso)
Access_1(config)#spanning-tree mode mst

Access_1(config)#spanning-tree mst configuration
42
Access_1(config-mst)#name region1
Access_1(config-mst)#revision 10
Access_1(config-mst)#instance 1 vlan 10,20,30,40,50,60,70,80,90
Access_1(config-mst)#instance 2 vlan 500
Access_1(config-mst)#instance 3 vlan 100
Access_1(config-mst)#exit
Access_1(Comando se replica en todos los puertos hacia dispositivos finales de la

totalidad de switches de acceso)
Access_1(config)#interface fastethernet 0/1
Access_1(config)# spanning-tree portfast
La siguiente figura muestra el diseño de alta disponibilidad de spanning tree,

demostrando el estado de puertos al salir a la red con vlan de datos, en este caso
vlan 10, y vlan de voz y servicios, vlan 100 y 500, de acuerdo con las configuraciones
anteriores
Ilustración 3.2 Figura estado de puertos Spanning- tree
43
A continuación, se muestra figura con diseño de alta disponibilidad spanning tree
detallando las vlan que participan en balanceo de carga y prioridades que los
switches de capa 3 asignan por defecto al primario y secundario.
Ilustración 3.3 Diseño de alta disponibilidad Spanning-tree

3.3.1 Alta disponibilidad de FHRP
En la presente topología se utiliza alta disponibilidad de VRRP, protocolo destinado

para crear redundancia o alta disponibilidad en la red en caso de falla y también
como balanceo de carga.
SWITCH DE CAPA 3 ESTADO VLAN

DLS1 MASTER 10 (FINANZAS)
20 (INFORMÁTICA)
44
30 (CONTROL)
40 (VENTAS)
50(SERVICIO AL CLIENTE)
60(DIRECCIÓN GENERAL)
70 (SECRETARÍA)
80 (PROYECTOS)
90 (MARKETING)
DLS1 BACKUP 500 (TELEFONÍA)
100(NETWORKING_SERVER)
DLS2 MASTER 500 (TELEFONÍA)
100(NETWORKING_SERVER)
DLS2 BACKUP 10 (FINANZAS)
20 (INFORMÁTICA)
30 (CONTROL)
40 (VENTAS)
50(SERVICIO AL CLIENTE)
60(DIRECCIÓN GENERAL)
70 (SECRETARÍA)
80 (PROYECTOS)
90 (MARKETING)
Tabla 3.4 Roles VRRP
Cabe destacar que preempt está habilitado por defecto en VRRP, que es el que
permite reclamar el rol de activo una vez que se haya recuperado de la falla,
mensajes de hello y holdtime son de 1 y 3 segundos respectivamente.
Estados de VRRP
Initialize: Espera un evento de inicio, se active ipsla, un track, se caiga un interfaz u

otro que fuerce la conmutación.
Master: Estado de uno de los switches de capa 3 que administra paquetes.
Backup: Monitorea la disponibilidad y estado del master.
45
Se aplicarán siguientes comandos, creando interfaz vlan y su direccionamiento
dentro del rango de la LAN, estableciendo la primera dirección ip de cada vlan, como
puerta de enlace virtual, designando una prioridad de 120, mayor que la prioridad
por defecto que es 100 según el switch master de cada vlan.
DLS1
[DLS1] interface vlan 10
[DLS1-Vlanif10] ip address 172.16.1.194 255.255.255.192
[DLS1-Vlanif10] vrrp vrid 1 virtual-ip 172.16.1.193
[DLS1-Vlanif10] vrrp vrid 1 prioridad 120
[DLS1-Vlanif10] exit
DLS 2
[DLS2] interface vlan10
[DLS2-Vlanif10] exit
46
En la siguiente figura se aprecia el balanceo de carga y alta disponibilidad de VRRP,
las vlan que están asociadas en cada switch de distribución y respectiva prioridad.
Ilustración 3.4 Diseño de alta disponibilidad VRRP
47
3.3.2 Tracking de FHRP
Un IP SLA es un protocolo que tiene la funcionalidad de monitorear la conectividad

de nodos. Y el track permite modificar parámetros con respecto al comportamiento
de la red.
1.- En primera instancia se crea un track en el switch de distribución:
[DLS1] Track 10 ip sla 1 reachability
2.- Luego, se aplica el track a la interfaz hacia LAN, con el objetivo que cuando
detecte un fallo decremente su prioridad en 30 y pase a ser el backup:
[DLS1-Vlanif10] vrrp vrid 1 track 10 decrement 30
CONFIGURACIÓN IPSLA
Finalmente configurar un ping a la interfaz f0/23 del FW1, desde la interfaz f0/23 de
DLS1, que lo haga siempre y que se active inmediatamente luego de configurar con
un timeout de 6 segundos y una frecuencia de 10 segundos, de esta manera cuando
el ip sla se active, activa inmediatamente el track y el track decrementa en 30 la
prioridad de VRRP.
[DLS1] Ip sla 1
[DLS1] Icmp-echo 172.16.3.210 source-ip 172.16.3.209
[DLS1] Timeout 6000
[DLS1] Frecuency 10
[DLS1] Ip sla schedule 1 life forever start-time now
48
La siguiente figura muestra el track de las vlan configuradas en caso de fallo del
enlace entre DLS1 y FW1
Ilustración 3.5 Track al fallo de enlace 1
Para que el comportamiento de las trazas sea al igual que en el caso anterior, si
existiera un fallo en el enlace entre DLS2 y FW2, se aplican siguientes comandos:
[DLS2] Track 10 ip sla 1 reachability
49
[DLS2-Vlanif10] vrrp vrid 1 track 10 decrement 30
[DLS2] Ip sla 1
[DLS1] Icmp-echo 172.16.3.218 source-ip 172.16.3.217
[DLS2] Timeout 6000
[DLS2] Frecuency 10
[DLS2] Ip sla schedule 1 life forever start-time now
La siguiente figura muestra el track de las vlan configuradas en caso de fallo del
enlace entre DL21 y FW2.
Ilustración 3.6 Track al fallo de enlace 2
50
Cabe destacar que una vez se reestablece el enlace, los switches vuelven a su
estado original.
3.3.3 Topología de alta disponibilidad IGP
En esta topología se aplicará el protocolo de enrutamiento EIGRP, debido a que los

parámetros de alta disponibilidad y balanceo de carga están dados por spanning
tree y por VRRP, en el diseño de EIGRP de alta disponibilidad se configurarán
interfaces pasivas hacia los switches de acceso y en los port channel entre DLS1 Y
DLS2, con el objetivo de suprimir tráfico innecesario, a continuación, se detallan los
comandos:
DLS1 (Comandos se replican en DLS2)
DLS1 (config)# router eigrp 180
DLS1 (config)# passive-interface f0/2
DLS1 (config)# passive-interface port-channel 1
51
En la siguiente figura se demuestran las interfaces que deben ser configuradas
pasivas dentro del protocolo EIGRP.
Ilustración 3.7 Diseño alta disponibilidad EIGRP
52
3.3.4 Topología Alta disponibilidad enlaces WAN
En la topología propuesta, el diseño de alta disponibilidad de enlaces WAN será

multihomed, utilizando dos enlaces individuales, dos ISP diferentes, el principal es
el que se encuentra en la topología existente, movistar y un enlace de respaldo,
Entel por medio de fibra óptica utilizando diferentes enrutadores.
Ilustración 3.8 Diseño Multihomed
53
4 Administración y monitoreo de red.
4.1 Administración de la red
4.1.1 Topología de Direcciones IP de administración
SERVICIOS DE NETWORKING DIRECCIONES IP VLAN
SERVER_AD 172.16.3.129 100
SERVER_DHCP 172.16.3.131 100
SERVER_ARCHIVO 172.16.3.132 100
SERVER_PANDORA 172.16.3.132 100
Tabla 4.1 Direcciones ip servidores de networking
SERVIDORES DE NEGOCIO DIRECCIONES IP VLAN

SERVER_KMDB 172.16.3.65 200
SERVER_BCMDB 172.16.3.66 200
SERVER_BFMDB 172.16.3.67 200
SERVER_BSMDB 172.16.3.68 200
SERVER_BINMDB 172.16.3.69 200
SERVER_WKN 172.16.3.70 200
SERVER_WCM 172.16.3.71 200
SERVER_WSM 172.16.3.72 200
SERVER_WFM 172.16.3.73 200
SERVER_WNM 172.16.3.74 200
SERVER_FTP 172.16.3.75 200
SERVER_EMAIL 172.16.3.76 200
Tabla 4.2 Direcciones ip servidores de negocio
Para esta topología existen 03 zonas de granja de servidores, en el cual, una de

ellas estará fuera de la red organizacional debido que son Servicios de Negocio On-
Cloud. (esta no está asociada a una VLAN). Estos servicios almacenados en el
internet serán monitoreado y administrados a través de su interfaz gráfica vía Web.
54
Todas las credenciales de accesos serán monitoreada y almacenada por la vlan de
administración, para este correcto control se utilizará el software Keepass versión
2.50 para almacenar las credenciales de acceso.
SHA 256=
84790D4CCA415348BA32574CFEEAD51B225410A5B1DCB6056A8C2194413F3
BDF
Ilustración 4.1Interfáz gráfica de programa Keepass 2.50
La VLAN 100 está destinada para los servidores catalogados como servicios de
networking, cuyo objetivo es entregar servicios a los usuarios finales de la
organización para agilizar los procesos, datos, transferencias de archivos, etc.
Dentro de la VLAN 100 se encuentran 04 servidores dedicados para su
funcionamiento que se detallarán en el siguiente punto de topología servicios de
administración de red.
55
Ilustración 4.2 Vlan 100 directamente con ACCESS_1
4.1.2 Topología Servicios de administración de red
SERVER PANDORA: Es un servidor que monitorea las redes, dispositivos y

aplicaciones.
Detecta los problemas y le informa al administrador. Esto último se puede modificar
para que la notificación llegue mediante correo electrónico, sistema de mensajes
cortos (SMS), notificaciones en el Dashboard de monitoreo, etc.
Pandora es una plataforma modular, multiplataforma y de sencilla administración.
Está equipada para generar informes y estadísticas para la correcta y anticipada
administración. Entre los servicios que puede supervisar se encuentran: firewalls,
proxies, databases, VPN, balanceadores de carga, servidores de aplicaciones web,
routers, switches, procesos, acceso remoto a otros servidores, etc.
IP HOST : 172.16.3.132/27
Username: admin_pandora
Pass: LgaHGsVnBiRFuta1lTvW
56
Ilustración 4.3 Dashboard de Pandora FMS
SERVER_AD (ACTIVE DIRECTORY): Es un servidor con tecnología de alto nivel

para crear unidades organizativas en una LAN, el AD crea un bosque de directorio
con una única lista global de direcciones, esta configuración da al usuario una
autonomía para interactuar con los datos además tiene la capacidad de limitar el
acceso no autorizado a computadores dentro de la organización.
Este servidor actuará como DHCP y DNS secundario en el caso que los principales
queden fuera de servicio.
IP HOST: 172.16.3.129/27
Username: Administrador
Password: DGajEQRX15mNPvQYQ0BZ
57
Ilustración 4.4 Administración de Active Directory Windows 2019
SERVER_DHCP: Servidor dedicado que arroja direcciones IP a un número de hosts

de forma dinámica, simplificando la administración de direccionamiento y así
evitando el conflicto IP entre equipos mal configurados. Este servicio se entregará
mediante servidor dedicado con Windows Server 2019.
IP HOST: 172.16.3.131/27
Username: Administrador
Password: 0lOMyZF3MFxY9uc86cwp
58
Ilustración 4.5 Implementación de servicio DHCP primario en server 2019
SERVER_ARCHIVO: La data es lo más fundamental para mantener el buen

funcionamiento, eficacia, rapidez y estado de flujo de la información. Para cumplir
con este objetivo muy fundamental para los procesos de la organización se
implementará un servidor dedicado.
Principal función de este servidor es almacenar toda la data de la organización, esto
debe ser administrador y seguridad por especialistas del departamento de
tecnología. La instalación se regirá por un servidor de marca Iomega con
características de alto nivel y tasas de traspasos de información.
Información de la red LAN estará en tiempo real en la gestión de archivos.
59
IP HOST: 172.16.3.132/27
Username: Data_Admin
Password: ftvMkffrR1C3hT0waCud
Capacidad de almacenamiento digital 12TB.

Tamaño expandible 12 TB
Procesador 4 Núcleos.
64Gb Ram
Ilustración 4.6 Dashboard lomega NAS
60
Ilustración 4.7 Dashboard lomega NAS, gestor de directorios administrables
61
4.2 Monitoreo de la red
4.2.1 Topología de Direcciones IP de monitoreo.
Dispositivo Red Mascara
FW1 172.16.3.210 255.255.255.248
FW2 172.16.3.218 255.255.255.248
SERVER_PANDORA 172.16.3.132 255.255.255.224
Tabla 4.3 direcciones ip firewalls y pandora
EL monitoreo principal será desde la consola FDM de Firepower: (Firepower Device
Manager)
La administración y monitoreo de la organización cumple unos objetivos muy
indispensables para brindar la correcta conexión y seguridad a la red organizacional.
Los servicios que ofrece Firepower es de protección a la red mediante Firewall y de
sistema de previsión de intrusos (IPS). Dejando la conexión en modo en línea.
Modo en línea de monitoreo es la implementación que coloca el

Firepower en la ruta de datos de todo el tráfico protegido. Esto
es bueno, porque las características de IPS pueden detectar y
bloquear el tráfico rápidamente. En la figura, la flecha azul
representa el tráfico aceptable que fluye a través del Firepower,
mientras que otro tráfico se identificó como malicioso y se
bloqueó.
La redundancia es clave en este tipo de conexiones. Si el firepower falla por
cualquier motivo, se pierde la conexión. Es por eso, que hemos implementado un
sistema de HA (high available) que nos brinda un sistema IPS bien ajustado.
62
Ilustración 4.8 Conexión de Firepower in line
Cuando el administrador inicia sesión por consola, SSH o vía web, se ejecuta un
script para iniciar la consola FOXS y sus caracteristicas de monitoreo. La figura
muestra tipos iniciales del proceso inicio de sesión donde le pedirá nombre de
usuario, contraseña.
IP HOST: 172.16.3.210 – 172.16.3.218

Username: admin
PAssword: utjWNBMXApUVWr6Is9ST
172.16.3.210
Ilustración 4.9 Tipos de administración a la red por FDM
63
El FTD (Firepower threat defense) o FW (firewall) se monitoreará mediante la GUI
de FDM (FIrepower device manager) basada en interfaz gráfica web que solamente
requiere un navegador compatible, como en el caso de Google Chrome, Firefox,
Edge, safari y Brave. Mediante este monitoreo simplifica la experiencia del
administrador mediante el uso de asistentes de configuración, políticas de red,
reglas de intrusiones para la seguridad de la red.
Ilustración 4.10 Dashboard de monitoreo FDM
El FW IP 172.16.3.210 será el principal y el FW IP 172.16.3.128 será el Secundario.

Ambos equipamientos estarán en Alta disponibilidad para mantener el monitoreo y
la seguridad en la red organizacional.
En el caso de que un equipo quede sin poder eléctrico el FW principal o presenta
una falla en uno de sus nodos, el equipamiento es completamente inteligente para
traspasar la función de conectividad al FW2 que está en standby.
64
Ilustración 4.11 alta disponibilidad ante falla de enlace
65
4.2.2 Topología Servicios de monitoreo de red
Monitoreo de la red con Pandora FMS
A medida que los avances de la línea tecnológica, los dispositivos, aplicaciones,

entre otros, nacen nuevos riesgos que puede evitar la interconexión de dispositivos
de la organización, amenazas de posibles ataques por vulnerabilidad o simplemente
problemas de capa 1 del modelo OSI. Hoy en día existe nuevos controles que
redimen las falencias.
Por ésta y otra cantidad de razones más, se vuelve importante estar atento a los
eventos que ocurre en nuestra red organizacional, ya sea para tener un control
estadístico, de inventario, estado del equipamiento, etc. Las posibilidades que
ofrecen los sistemas de monitoreo son innumerables, debido que nos mantiene en
alerta a cualquier eventualidad que surja dentro de la red organizacional y puede
verse como una gran ventaja para el apoyo de la seguridad además de facilitar la
tarea de administración, gestión y reacción ante fallas.
Pandora Fms tiene una gama de compatibilidades e instaladores para diferentes
sistemas operativos y de diversos proveedores amoldado a diferentes necesidades
de cada administrador.
Pandora FMS es una herramienta muy versátil y modular, y permite trabajar de

diferentes maneras, combinando distintos tipos de monitorización. Esta herramienta
será montada en un servidor dedicado con Sistema operativo Debian x64.
Se destaca cada protocolo indispensable para que este software funcione
correctamente
evidenciando las alertas, fallas, notificaciones, etc. en la red organizacional.
66
Ilustración 4.12 Módulos antes fallas, rojo falla en equipamiento
PROTOCOLOS DE MONITOREO:
SNMP: Protocolo que permite monitorear el comportamiento de la red

organizacional y sus diferentes dispositivos como en este caso los Switches de capa
2 y capa 3, impresoras de cada VLAN del departamento asociado, estaciones de
trabajo, enlaces de interconectividad, equipos de seguridad y servidores (además
de detectar y resolver problemas). Está ubicado en la capa de aplicación y utiliza el
protocolo UDP en la mayoría de los casos.
La seguridad a configurar será la versión 3, debido que, las versiones anteriores
carecen de monitoreo cifrado, que dentro de sus comunidades (usuarios y
contraseñas) la información viaja en texto plano. La versión 3 tiene monitoreo cifrado
además una mejora en el monitoreo RMON y agrupa más códigos de error.
La implementación para ser efectivo este servicio es con un servidor dedicado para
su instalación y con hardware que permita el correcto funcionamiento y monitoreo.
67
La opción para configurar es por medio del sondeo por trampas (traps) donde el
servidor Pandora se mantiene atento a situaciones puntuales que le reporta un
agente; podría determinarse como más ventajoso, ya que no va el servidor nodo por
nodo preguntando y así es más eficiente para la performance de la red
organizacional.
Ilustración 4.13 Almacenamiento de módulos a monitorear
68
Visualización de Servicios en Cloud.
La versión Enterprise tiene un componente específico (plugin Enterprise, incluido en

la licencia Enterprise) para la detección automática de VM’s utilizando la
infraestructura Vmware 4.x. Utiliza un único punto de gestión (VCenter) para obtener
toda la información de forma remota, usando la API de VMware. Existen además
diversos plugins y herramientas OpenSource para la monitorización de VirtualBox,
XEN, KVM y Amazon EC2.
Ilustración 4.14 Monitoreo de servicios en cloud con API VMware
69
Ilustración 4.15 Ejemplo dashboard de nodos intercomunicados
Alta escalabilidad meta consola:
La meta consola actúa como un gestor de instalaciones independientes de Pandora

FMS, para coordinarlas en granjas de servidores con una administración única.
Esto, permite a al software de monitoreo alcanzar una escalabilidad prácticamente
ilimitada, administrando desde un único punto a varias instalaciones. Descrito esto,
Pandora puede monitorear tanto en grupos de servidores como equipos
independientes en una red.
Utiliza base de datos con formato SMI de la estructura MIBS que contiene la
información del estado de la red, nodo, enlace, etc. para mantener un sistema de
administración.
El servidor con IP 172.16.3.132 perteneciente a la VLAN 100, efectuará el monitoreo
y auditoria a todos los sistemas, tanto como, los hosts que se encuentran desde el
Núcleo de conexión, DMZ, nodos de acceso y Equipos almacenados en Cloud.
70
Ilustración 4.16 Administración y respaldo de base de datos
Equipamiento de administración de Servidores:
Los equipos autorizados para la administración del equipamiento son

exclusivamente de la VLAN 300. donde las credenciales se mantendrán en el
software Keepass de acuerdo con las ACL que estén configurados para la correcta
administración.
71
Ilustración 4.17 Conexiones seguras para administración de servicios
72
5 Seguridad de la red
5.1 Diseño de seguridad de capa 3
5.1.1 Autenticación de VRRP
5.1.1.1 Descripción De Autentificación VRRP
Se va a proporcionar autentificación MD5 con el propósito de brindar mayor

seguridad en el diseño presentado. La autenticación MD5 va a permitir que cada
miembro del grupo VRRP use una clave secreta para generar un hash MD5 con
clave del paquete que forma parte del paquete saliente. Se generará un hash con
clave de un paquete entrante y si el hash generado no coincide con el hash dentro
del paquete entrante, el paquete se ignora.
5.1.1.2 Configuración De Seguridad
DLS1
[DLS1-Vlanif10] vrrp vrid 1 prioridad 120
[DLS1-Vlanif10] 10 authen md5 key-string VRRPPASS
DLS 2
[DLS2] interface vlan10
73
[DLS2-Vlanif10] 10 authen md5 key-string VRRPPASS
Ilustración 5.1 Configuración autenticación VRRP
5.1.2 Autenticación de IGP

5.1.2.1 Descripción Autentificación EIGRP
La autenticación de mensajes EIGRP asegura que los switches de capa 3 solo

acepten mensajes de routing de otros switches de capa 3 que conozcan la misma
clave previamente compartida. Sin la autenticación configurada, si una persona no
autorizada introduce en la red otro switch con información de ruta diferente o en
conflicto, puede dañar las tablas de routing de los switches legítimos, lo que puede
acompañarse de un ataque DoS.
5.1.2.2 Configuración Autentificación EIGRP
Se efectuará la autentificación en los Switch de capa 3 los cuales tienen configurado

el protocolo de enrutamiento para este caso EIGRP.
74
Ejemplo:
DLS1# router eigrp 1

DLS1# interface ethernet 1/0
DLS1# ip authentication mode eigrp 1 md5
DLS1# ip authentication key-chain eigrp 1 key1
Ilustración 5.2 Configuración de autenticación EIGRP
5.2 Diseño de seguridad de capa 2

5.2.1 Diseño de seguridad DHCP snooping
5.2.1.1 Descripción DHCP Snooping
Para la implementación de DHCP Snooping se va a considerar los puertos

confiables (trusted) y los puertos no confiables (Untrusted) con el propósito de
permitir o bloquear el tráfico que se requiera, para lo cual se va a activar la
herramienta DHCP Snooping.
75
5.2.1.2 Configuración DHCP Snooping
Ejemplo:
DLS1# int fa0/1

DLS1# desc *** DHCP_SERVER ***
DLS1# sw mode access
DLS1# sw acc vlan 10
DLS1# ip dhcp shopping trust
5.2.2 Diseño de seguridad VLAN hopping

5.2.2.1 Descripción VLAN Hopping
En un ataque de VLAN hopping el objetivo del atacante es conseguir generar tráfico

malicioso y que este llegue a otra VLAN evadiendo la configuración de la red que
las esté gestionando. El atacante en este caso de switch spoofing, configura su host
para actuar como un switch y de esta manera aprovecharse de las funciones de
trunk automático.
Para aprovechar este auto trunk por defecto, el atacante configura su host para
lanzar señales falsas de 802.1Q (standard de red que da soporte a VLANs sobre
una red 802.3 Ethernet) y de DTP (Dynamic Trunking Protocol es un protocolo
propietario de Cisco que permite negociar el trunking en un link entre dos switches
y el tipo de encapsulamiento a usar).
5.2.2.2 Configuración VLAN Hopping
Deshabilitar las negociaciones DTP (auto trunk) en puertos no troncales

con switchport mode access para los SW de capa 2 como se indica en el diseño.
76
ACCESS_1(config)# interface range fa0/1 - 10
ACCESS_1(config-if-range)# switchport mode access
ACCESS_1(config-if-range)# exit
Ilustración 5.3 Puertos modo acceso
• Deshabilitar los puertos no usados con shutdown y además colocarlos en una

VLAN no usada con switchport access vlan 999
DLS1# interface range fa0/11 - 20
DLS1#switchport mode access
DLS1#switchport access vlan 999
DLS1#exit
• Habilitar manualmente en los puertos troncales el trunk link con switchport

mode trunk
• Deshabilitar las negociaciones DTP (auto trunk) en puertos troncales
con switchport nonegotiate
• Configurar la VLAN nativa a otra VLAN distinta de la 1, usando el
comando switchport trunk native vlan número de VLAN.
77
DLS1#switchport mode trunk
DLS1#switchport nonegotiate
DLS1# switchport trunk native vlan 1000
DLS1# end
Ilustración 5.4 Puertos troncales
78
5.2.3 Diseño de seguridad ARP spoofing
5.2.3.1 Descripción ARP Spoofing
Con el fin evitar la suplantación de nodos críticos, se implementará la herramienta

DAI Dynamic ARP Inspection, en donde la MAC coincida con la dirección ip y no
sea suplantada por actores maliciosos.
5.2.3.2 Configuración ARP Spoofing

5.2.3.2.1 Activamos DAI en la/s vlan/s
Ejemplo:
Sw# configurar terminal
Sw # ip arp inspection vlan 10,20,30 (Se incluyen las Vlan de la topología)
5.2.3.2.2 Configuramos los puertos confiables/trust
Para los troncales entre conmutadores y puertos de enrutadores y cortafuegos.
Ejemplo:
switch(config)# interfaz Fa 0/1
switch(config-if)# ip arp inspection trust
79
5.2.4 Diseño de seguridad Port-security
5.2.4.1 descripción de seguridad de puertos
Se aplicará seguridad de puerto en todos los switches de capa dos en donde los
puertos se encuentren en modo acceso.
Switchport port-security
A través de este comando se habilitará la seguridad de puerto para
los puertos de acceso.
switchport-security max 10
Con el propósito restringir el máximo de direcciones se habilitará un
máximo de 10 direcciones Mac por cada switch de capa dos.
switchport-security violation shutdown

Se configurará el modo más seguro "shutdown" con el propósito de
proteger los puertos.
5.2.4.2 Configuración seguridad de puertos
DLS1
Ejemplo:
DLS1#int range fa0/1-20

DLS1#sw port-security
DLS1#sw port-security max 10
DLS1#sw port-security violation shutdown
80
Ilustración 5.5 Seguridad en capa de acceso
5.2.5 Diseño de seguridad Spanning-tree

5.2.5.1 Descripción de seguridad de puertos
A través del comando spanning-tree bpduguard enable se efectuará seguridad

en spanning tree en los puertos designados, con el propósito de bloquear los
mensajes BPDU que pudieran ser catalogados como no confiables y de esta
manera queda el puerto deshabilitado por error.
5.2.5.2 Configuración seguridad Spanning-Tree

Ejemplo:
DLS1# int range fa0/1-10
DLS1# spanning-tree bpduguard enable
Puertos no root
Mediante este comando evitaremos que los puertos designados no se conviertan

en puertos raíces, los cuales están conectados al switch root de la topología.
81
Ejemplo:
DLS1# int range fa0/7-20
DLS1# spanning-tree guard root
Ilustración 5.6 Puertos root y prioridades
Ilustración 5.7 Estado de los puertos STP
82
5.2.6 Diseño de seguridad Buenas prácticas
5.2.6.1 Descripción Buenas Practicas
Para aumentar la seguridad en la red y mitigar un posible ataque, se efectuarán una

serie de medidas conocidas como buenas prácticas en la red, para el caso de este
diseño se aplicará en todos los switches de capa 2 y 3 respectivamente.
banners motd
El objetivo es advertir a los usuarios no autorizados que sus actividades podrían
ser motivo de persecución.
Acceso seguro a vty

Asegure siempre todas las líneas vty en un dispositivo.
Contraseñas seguras
Se utilizará el comando de configuración global service password-encryption para
cifrar todas las contraseñas que no se pueden cifrar mediante una autenticación
sólida.
Black Hole
Se va a crear una vlan con el nombre Black Hole, con el propósito de agrupar todos
los puertos que no se encuentren en uso.
Puertos Shutdown
Todos los puertos que no estén siendo utilizados se dejaran como shutdown, con el
fin de quedar abajo y no se encuentren activos.
No CDP Neigbord
No se habilitará CDP para los switches que estén conectados con usuarios finales.
83
Asegure la interfaz web integrada
Se utilizará la interfaz web del conmutador, utilice HTTPS. Para habilitar HTTPS,
use el comando de configuración global del servidor seguro ip http.
5.2.6.2 Configuración Buenas prácticas

Ejemplo:
DLS1# banner motd ****SOLO PERSONAL AUTORIZADO****
DLS1# line vty 0 15
DLS1# password cisco
DLS1# login
DLS1# end
DLS1#enable password cisco1
DLS1#enable secret cisco2
DLS1# service password-encryption
DLS1# Vlan 999
DLS1# name Black Hole
DLS1#switchport mode access
DLS1#switchport access vlan 999
84
DLS1#exit
DLS1# shutdown
6 Arquitectura de la red
6.1 Diseño del modelo jerárquico
6.1.1 Funciones de la capa de acceso
La capa de acceso en la presente topología interactúa con dispositivos finales que
en el caso del diseño de topología propuesta son computadoras e impresoras en
estaciones de trabajo asociadas a cada departamento dentro de la empresa
JETBLACK LTDA, donde se crearon 9 VLAN de datos, VLAN 10 para el
departamento de finanzas, VLAN 20 para el departamento de informática, VLAN 30
para el departamento de control, VLAN 40 para el departamento de ventas, VLAN
50 para el departamento de servicio al cliente, VLAN 60 para la dirección general,
Vlan 70 para secretaría y planificación, VLAN 80 para la Dirección de proyectos y
VLAN 90 para marketing, Vlan 100 para la para PBX y telefonía IP y finalmente
VLAN 500 para los servidores de networking, con el objetivo de proporcionar
acceso a la red, la singularidad en esta topología con respecto a los dispositivos
finales es que los teléfonos se conectan a cada computador para obtener
direccionamiento, anexo y otras configuraciones desde la PBX, esto con el propósito
de reducir equipamiento de red y dejar un porcentaje de los puertos sin ocupar
brindando escalabilidad a la propuesta brindada dando la posibilidad de añadir
nuevos empleados y puestos de trabajo dentro de la empresa, La topología presenta
6 switches de 48 bocas cada uno marca Cisco y modelo SF350-48 10/100, de
acuerdo con la siguiente distribución:
1. Switch de acceso 1:
- Vlan 500 (06 servidores de networking)
- Vlan 100 (01 PBX)
85
- 3 HUB´S de 24 bocas (15 impresoras por HUB)
- Vlan 30 (30 usuarios)
- VLan 90 (20 usuarios)
El propósito principal de la capa de acceso es aportar un medio de conexión de los

dispositivos a la red y controlar qué dispositivos puedan comunicarse en la red.
A través de los distintos modelos de diseño presentes en el informe, se puede

apreciar que los switches de acceso poseen redundancia de enlaces para poder
acceder a la red, cada sw se encuentra con dos enlaces uno principal y otro backup,
también en esta topología se aplicó un balanceo de carga a través del protocolo
spanning-tree. Cabe mencionar que para dar una solución detallada a los
requerimientos del cliente está considerada una UPS, objeto dar respaldo de la red
en caso de corte de poder, considerando un rack de 4 baterías y un inversor
cargador de 12VDC a 220VAC, para ofrecer un servicio de manera continua en caso
de que el corte de poder se prolongue por un tiempo superior a 2 horas.
Por otro lado, dentro de las funcionalidades más relevantes se encuentra

configurado una seguridad de puertos para los switches de la capa de acceso,
objeto poder llevar un control exhaustivo de los dispositivos que se conectan a la
86
red, que era una de las principales deficiencias expresadas en el requerimiento
inicial.
6.1.2 Funciones de capa de distribución o núcleo colapsado.
En este caso, la implementación está basada en el modelo jerárquico de “núcleo

colapsado”, modelo cuyo diseño de red presenta dos niveles, la capa de acceso, y
la capa núcleo colapsado, en esta última la capa de distribución y la de núcleo se
encuentran unificadas. Las funciones de la capa de distribución y la capa de núcleo
se encuentran implementadas a través de un dispositivo. Mediante este modelo de
red se reducen costos debido a que utiliza menos equipamiento de red, pero de
igual forma mantiene los beneficios de un modelo jerárquico que posee los tres
niveles.
La capa de distribución o núcleo colapsado está compuesto por dos swithes de capa
3 de 48 bocas cada uno, marca Cisco y modelo SF350-48 10/100. Ésta
capa agrega los datos recibidos de los switches de la capa de acceso
para finalmente enrutar hacia su destino final.
Para que la capa de distribución pueda recibir las distintas vlan a través de sus
interfaces físicas se creó, enrutamiento intervlan para todas las LAN virtuales
creadas en los switches de acceso, en DLS1 y DLS2, asignando cada interfaz virtual
a la interfaz física correspondiente.
También se efectúa el control de flujo del tráfico de la red, de acuerdo con la

redundancia que se presenta mediante la funcionalidad de los dos switches de capa
3, se realizó un balanceo de carga y enrutamiento de las LAN virtuales (VLAN)
definidas en la capa de acceso a través de los protocolos spanning- tree (MST),
VRRP y el protocolo de enrutamiento EIGRP, además se encuentra configurado
ether channel con la finalidad de evitar problemas de bucles apoyando en la
redundancia y balanceo de carga.
En el diseño propuesto se determinó que las VLAN de datos de la 10 a la 90, se

enruten a través de DLS1, la VLAN de telefonía y VLAN de servidores de
87
networking, se enruten a través del DLS2, en este escenario al presentarse una falla
de enlace o equipamiento, cada vlan tiene un switch de backup de acuerdo con las
prioridades asignadas en los diseños presentados en el informe.
En cuanto a seguridad en la capa de distribución se filtra el tráfico saliente y entrante

proporcionando conectividad a la red a través de políticas de seguridad, controlando
el límite entre capas de acceso y distribución.
6.2 Diseño de arquitectura empresarial

6.2.1 Diseño del modelo de arquitectura empresarial
Ilustración 6.1 Diseño de modelo de arquitectura empresarial
88
Conclusión
Finalmente, mediante este informe podemos apreciar una arquitectura de red donde
se determinó un diseño de comunicaciones de acuerdo a las necesidades
establecidas en el caso de estudio, para lo cual como primera medida fue entender
los principales inconvenientes de la empresa, donde se evidencio problemas graves
tales como; perdida de información, fallas del proveedor de internet, fallas del
acceso WAN, daños en enlaces físicos de la red, acceso a la red, retardo del tráfico,
el robo y venta de información, etc. Con estos antecedentes se logró establecer un
diseño de red el cual permita a la empresa afectada mantener una continua
conectividad en sus servicios internos y externos.
Para la solución a la problemática indicada anteriormente se estableció un diseño

de red de campus empresarial donde se determinó en la topología un enrutamiento
para los servicios a través del protocolo EIGRP, se implementó alta disponibilidad
con el propósito de garantizar la continuidad de los servicios, incluso en situaciones
de deficiencias, de acuerdo con el diseño están estipulados los caminos que cada
Lan virtual debe seguir para poder acceder a la red, dentro de la topología se
encuentran integrados hardware, software, poder eléctrico, entre otros. En el ámbito
de la seguridad se configuro en los equipos de capa 2 y 3 diferentes protocolos que
permitan de cierta manera mitigar un posible ataque informático a los diferentes
sistemas que mantiene la empresa, además en el diseño se consideró un servidor
de Pandora, con el propósito de monitorear las redes, dispositivos y aplicaciones.
Es de vital importancia implementar una arquitectura y diseño de red acorde a las
necesidades de la empresa con el fin de Garantizar un acceso y uso seguro de la
información registrada en equipos informáticos, así como del propio sistema,
protegiéndose de los posibles ataques y amenazas, identificando vulnerabilidades
y aplicando sistemas de cifrado a las comunicaciones que se realicen hacia el
exterior y en el interior es fundamental para cualquier organización, objeto mantener
la confiabilidad, integridad, disponibilidad y autentificación de la información con la
implementación de un buen diseño de red.
89
Bibliografía
✓ Alta disponibilidad. (s. f.).

Cisco. https://www.cisco.com/c/es_mx/tech/availability/high-
availability/index.html
✓ Configure STP Settings on a Switch through the CLI. (s. f.).

Cisco. https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-
small-business-300-series-managed-switches/smb5760-configure-stp-
settings-on-a-switch-through-the-cli.html
✓ STP: Multiple Spanning-Tree - JMCristobal. (s. f.).

JMCristobal. https://www.jmcristobal.com/es/2021/04/01/stp-multiple-
spanning-tree/
✓ Enabling Enterprise Multihoming with Cisco IOS NAT.

(s. f.). http://staff.ustc.edu.cn/~james/cisco/nat/emios_wp.htm
✓ Spanning Tree Protocol: 4 - Avanzado. (s. f.). Bienvenido a

IMD.guru. https://www.imd.guru/redes/cisco/certificaciones/ccnp_route_swit
ch/switch/spanning-tree-protocol-4-avanzado.html
✓ Specify MST Forward Time, Hello Time, and Max Age - Sun Ethernet Fabric
Operating System. (s. f.-b). Moved. https://docs.oracle.com/cd/E19285-
01/html/E21706/z40001891436171.html
✓ Find a Pandora FMS partner. (s. f.). Pandora

FMS. https://pandorafms.com/en/find-a-partner/
90
✓ Configure DHCP Server/Relay on FTD Using Firepower Management
Center (FMC). (s. f.).
Cisco. https://www.cisco.com/c/en/us/support/docs/security/firepower-
ngfw/200475-Configure-DHCP-Server-Relay-on-FTD-Using.html
✓ Dynamic Host Configuration Protocol (DHCP). (s. f.). Developer tools,

technical documentation and coding examples | Microsoft
Docs. https://docs.microsoft.com/en-us/windows-
server/networking/technologies/dhcp/dhcp-top
✓ Iomega 12TB (4 x 3TB) StorCenter px4-300r 1U Rack mount NAS. (s. f.).
BT Business Direct. https://www.businessdirect.bt.com/products/iomega-
12tb---4-x-3tb--storcenter-px4-300r-1u-rack-mount-nas-34775-7J74.html
✓ Guía de inicio rápido (Cloud) [Pandora FMS Documentation]. (s. f.).

Pandora FMS | The flexible monitoring
solution. https://pandorafms.com/manual/start?id=es/quickguides/general_q
uick_guide_cloud
✓ Configure FDM (Firepower Device Management) On-Box Management For

The Firepower 2100. (s. f.).
Cisco. https://www.cisco.com/c/en/us/support/docs/security/firepower-2100-
series/213519-configure-fdm-firepower-device-manageme.html
91

Diseño.U2. Araya. Cifuentes. Cubate. Lopez. Olivares

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diseño.U2. Araya. Cifuentes. Cubate. Lopez. Olivares

Cargado por

Copyright:

Formatos disponibles

ADVANCED

“Empresas JETBLACK LTDA”

NOMBRES : Luis Cifuentes Pincheira

Ilustración 2.1 Topología servicios de negocio ...................................................... 11

Tabla 2.1 Direccionamiento servidores de negocio ................................... 12

La empresa “JETBLACK LTDA” dedicada al rubro de servicios generales

Además, se presentarán diseños de red en formato visual, de manera que

1.1.2 Objetivos específicos del diseño

• Crear alta disponibilidad tanto a nivel de capa 2 como de capa 3, a través de

• Gestionar y controlar toda la infraestructura de la red a través de un software

• Implementar políticas de seguridad que permita monitorear el tráfico saliente

• Documentar la red que permita diagnosticar y corregir de manera eficaz los

• Aumentar el flujo de ingresos de la empresa.

1.2.2 Metas técnicas del diseño

• Reducir ataques maliciosos.

1.2.3 Limitantes del negocio

• El servicio funciona principalmente a través de la red, por lo que debe

• En la actualidad mucho del equipamiento que poseen se encuentran con

• No existe un ordenamiento físico de la red lo que con lleva un desorden

En esta sección se presentará el diseño de los servicios y aplicaciones de

En la imagen que se presenta a continuación se puede contemplar la

Esta se configurará tanto en el FW1 como en el FW2, en los cuales va el

Ilustración 2.1 Topología servicios de negocio

En esta sección se presentará el diseño de los servicios y aplicaciones de

En la imagen que se muestra a continuación se puede visualizar los servicios

Se asignará la VLAN con el número identificador 100 para los servicios de

Ilustración 2.2 Topología servicios de networking

Servicio Descripción Conectado Dirección IP

En esta sección se presentará el diseño a nivel de capa 3, referente en el

En la imagen que se muestra a continuación se puede visualizar el

2.2.2 Diseño de IGP

En esta sección se presentará la topología que incluye el diseño de capa de red, se

En la presente tabla se visualizará el esquema de direccionamiento de capa 3, el

Nombre VLAN Red Mascara

En la presente tabla se visualizará el esquema de direccionamiento de capa 3, entre

Dispositivo Red Mascara

Para el enrutamiento EIGRP se utilizará el número de sistema autónomo “180”, el

Configuración estará guiada bajo la siguiente línea de comandos:

DLS1(config)# router eigrp 180

DLS1(config-router)# network 172.16.1.0 0.0.0.63

DLS1(config-router)#network 172.16.1.64 0.0.0.63

DLS1(config-router)# network 172.16.1.28 0.0.0.63

DLS1(config-router)# network 172.16.1.192 0.0.0.63

DLS1(config-router)# network 172.16.2.0 0.0.0.63

DLS1(config-router)# network 172.16.2.64 0.0.0.63

DLS1(config-router)# network 172.16.2.128 0.0.0.63

DLS1(config-router)# network 172.16.2.192 0.0.0.63

DLS1(config-router)# network 172.16.3.0 0.0.0.63

DLS1(config-router)# network 172.16.3.64 0.0.0.31

DLS1(config-router)# network 172.16.3.96 0.0.0.31

DLS1(config-router)# network 172.16.3.128 0.0.0.31

DLS1(config-router)# network 172.16.3.160 0.0.0.31

DLS1(config-router)# network 172.16.3.208 0.0.0.7

DLS1(config-router)# network 172.16.3.208 0.0.0.7

En esta sección se presentará la topología de diseño para configurar la traducción

También se debe mencionar que los equipos pertenecientes al ISP se conectaran

El direccionamiento público que se utilizará por parte de Movistar es la

• Traducción estática de direcciones (NAT estática): En donde la asignación

• Especificar las listas de acceso y el conjunto que se definieron en el paso

IP NAT INSIDE SOURCE LIST 1 INTERFACE GI1/0/1 OVERLOAD

• Identificar la interfaz interna que en este será la G1/0/2

• Identificar la interfaz interna que en este será la G1/0/2

En la presente tabla se visualizará el direccionamiento correspondiente al NAT

Nombre Servidor IP privada IP Publica