Cisco CCDA 200-310

Designing for Cisco

Internetwork Solutions

Tema VII
Diseño de WAN

Unireg CK, S.L. Todos los derechos reservados

Tecnologías tradicionales de WAN

• Conmutación por circuitos: PSTN y ISDN

• Lineas arrendadas
• Conmutación por paquetes y celdas: Frame Relay y
ATM

Editado por Grupo Unireg. Todos los derechos reservados 2

Topologías de WAN

Editado por Grupo Unireg. Todos los derechos reservados 3

Diseño de acceso remoto

• Uno de los objetivos de diseño de acceso remoto es proveer

de una solución unificada que permita a los usuarios
remotos un acceso sin fisuras como a los usuarios del sitio
central.
• Las necesidades típicas de un acceso remoto adecuado son:
1. Interacción de máximo esfuerzo y patrones de volumen
de tráfico bajo
2. Conexiones a la frontera de la empresa usando
tecnologías de capa 2 WAN
3. Soporte de voz y VPN
• Las conexiones de acceso remoto pueden establecerse tanto
sobre DSL, cable, wireless incluso 3G, considerando siempre
la disponibilidad de tales tecnologías en los sitios remotos.

Editado por Grupo Unireg. Todos los derechos reservados 4

Diseño de acceso remoto

Editado por Grupo Unireg. Todos los derechos reservados 5

Diseño de acceso remoto

• Pros y contras de las opciones de conectividad de sitios

remotos:

Editado por Grupo Unireg. Todos los derechos reservados 6

Diseño de VPN

• Se implementa VPN sobre cualquier clase de

infraestructura pública o compartida. Puede
usarse tanto sobre Internet como sobre WAN
privada.
• La desventaja del uso de VPN en redes públicas es
la naturaleza de éstas de máximo esfuerzo y la
resolución de problemas resulta complicada al no
tener visión de la infraestructura del ISP.
• Tipos de conexión VPN:
1. VPN de acceso
2. Intranet
3. Extranet

Editado por Grupo Unireg. Todos los derechos reservados 7

Tipos de conexión VPN

Editado por Grupo Unireg. Todos los derechos reservados 8

VPN empresarial vs VPN de ISP

• VPN empresarial:
1. IP Security (IPsec)
2. Cisco Easy VPN
3. Generic Routing Encapsulation (GRE)
4. Dynamic Multipoint Virtual Private Network (DMVPN)
5. Virtual Tunnel Interface (VTI)
6. Layer 2 Tunneling Protocol Version 3 (L2TPv3)
• VPN de ISP:
1. MPLS
2. Metro Ethernet
3. Virtual Private LAN Services (VPLS)

Editado por Grupo Unireg. Todos los derechos reservados 9

VPN empresarial vs VPN de ISP

Editado por Grupo Unireg. Todos los derechos reservados 10

VPN empresarial: IPsec

• IPsec es una suite de protocolos de capa 3 para encriptar

paquetes entre dos hosts creando un tunel seguro.
• IPsec utiliza estándares abiertos y proporciona una
comunicación segura entre hosts garantizando
confidencialidad, integridad y autenticidad de los datos.
• IPsec incluye:
1. ISAKMP: intercambio seguro de claves
2. ESP: confidencialidad, autenticidad de los datos e
integridad
3. AH: autenticidad de los datos
4. HMAC: protección ante ataques de man-in-the-middle,
reenvío de paquetes e integridad de los datos.

Editado por Grupo Unireg. Todos los derechos reservados 11

Encapsulación IPsec

• EL encapsulado IPsec necesita extremo a extremo

direccionamiento estático para el inicio del túnel,
pero los extremos finales pueden utilizar tanto
direccionamiento estático como dinámico.
• Los paquetes de establecimiento pueden ser
encriptados igualmente mediante IKE (Internet Key
Exchage) y PKI (Public Key Infraestructure)
• Como se muestra en la imagen de la diapositiva
siguiente, puede establecerse redundancia
utilizando varios iniciadores de túnel

Editado por Grupo Unireg. Todos los derechos reservados 12

Redundancia en IPsec

Editado por Grupo Unireg. Todos los derechos reservados 13

Generic Routing Encapsulation GRE
• GRE fue desarrollado por Cisco para encapsular una variedad de
protocolos dentro de los túneles IP. Esta Enfoque consiste en
una configuración mínima para VPNs IP básicas, pero carece
tanto de seguridad Y escalabilidad.
• De hecho, los túneles GRE no utilizan ningún cifrado para
proteger los paquetes durante transporte. El uso de IPsec con
túneles GRE proporciona túneles VPN seguros mediante el
cifrado de los túneles GRE.
• Hay muchas ventajas con este enfoque, como el apoyo a IGP
dinámico Protocolos de enrutamiento, protocolos no IP y
multidifusión IP
• Debido a que todos los túneles primarios y de copia de seguridad
de GRE sobre IPsec están preestablecidos GRE proporciona
redundancia
• La IP de cada sitio de cabecera requiere IP estático. Los túneles
primarios se pueden diferenciar de los túneles de backup
modificando las métricas de enrutamiento para preferir la una u
otra.

Editado por Grupo Unireg. Todos los derechos reservados 14

Cisco Easy VPN

• Cisco Easy VPN reducce las dificultades de

establecer y configurar una VPN al utilizar el
protocolo de cliente VPNde cisco.
• Se permite así que la mayor parte de los
parámetros de VPN sean establecidos en el sitio
inicializador del túnel y adquiridos por el cliente
remoto.

Editado por Grupo Unireg. Todos los derechos reservados 15

GRE: Generic Routing Encapsulation

• Complemento de IPsec, permite el transporte de protocolos

de enrutamiento interior, multicast, IPX.
• Igualmente permite QoS y metricas estáticas prestablecidas.
• La solución de Cisco DMVPN integra IPsec y GRE,
integrando dos tecnologías:
1. NHRP: Next Hop Resolution Protocol
2. mGRE: multipoint GRE
• DMVPN proporciona las siguientes funcionalidades:
1. IP unicast, multicast y enrutamiento dinamico
2. IP dinámica en los sitios remotos
3. NAT
4. Full mesh VPN

Editado por Grupo Unireg. Todos los derechos reservados 16

IPsec DMVPN

• Dynamic Multipoint VPN (DMVPN) es una solución

de Cisco IOS para construir túneles VPN IPsec +
GRE de manera dinámica y escalable.
• DMVPN se basa en dos tecnologías clave:
– NHRP: Next Hop Resolution Protocol: crea una
base de datos que mapea los túneles a
direcciones públicas.
– mGRE: multipoint GRE: una sola interface
proporciona múltiples túneles GRE e IPSec

Editado por Grupo Unireg. Todos los derechos reservados 17

IPsec DMVPN

• La configuración de DMVPN admite las siguientes

funciones:
1. Reducción de la configuración del router con una
sola interfaz mGRE y un solo perfil IPsec
2. Inicio automático de IPsec y creación automática de
túneles GRE sin ningún tipo de configuración por
peer IPsec
3. Unicast IP, multidifusión IP y compatibilidad con el
protocolo de enrutamiento dinámico.
4. Admisión de NAT estático y dinámico
5. Soporte para todos los beneficios del túnel GRE,
como QoS, enrutamiento determinístico y
redundancia

Editado por Grupo Unireg. Todos los derechos reservados 18

IPsec DMVPN

• Cada sitio remoto se conecta usando un tunel P2P

a una sola interface mGRE, aceptando tal interface
dinámicamente cada nueva conexión de tunel.
• El mecanismo de keepalive es DPD Dead per
Detection que detecta la pérdida de la conexión
IPSec

Editado por Grupo Unireg. Todos los derechos reservados 19

IPsec Virtual Tunnel Interface

• VTI es una especificación de diseño que permite la

virtualización de túneles,pudiendo implementar
sobre una misma interface distintos túneles con
sus propiedades de enrutamiento, multicast o QoS.

Editado por Grupo Unireg. Todos los derechos reservados 20

Comparación de opciones de VPN empresarial

Editado por Grupo Unireg. Todos los derechos reservados 21

Opciones de los ISP

• Metro Ethernet
• VPLS: virtual Private LAN Services
• MPLS

Editado por Grupo Unireg. Todos los derechos reservados 22

MetroEthernet

• Ante la demanda de ancho de banda las MAN responden a los

requisitos de alto rendimiento intensivo de las aplicaciones de
datos siendo ofrecida como opcion por muchos SPs
• MetroEthernet se basa en Ethernet, IP y Tecnologías ópticas
tales como la multiplexión de división de longitud de onda
(DWDM) o Multiplexación por División de Longitud de Onda.

Editado por Grupo Unireg. Todos los derechos reservados 23

VPN de ISP: L2 vs L3

• Los ISP ofrecen en lo que a VPN se refiere opciones

de conectividad de Capa 2 o Capa 3.
• Las VPN de capa 2 son más caras que la capa 3,
pero son útiles para los requisitos de aplicación
que necesitan las adyacencias de capa 2 entre
sitios o para soportar los routers de frontera que
necesitan intercambiar rutas directamente
mediante protocolos IGP
• Las opciones de capa 3, por otro lado, son de
menor costo y más escalables que la capa 2; sin
embargo, no permitirán este intercambio, debiendo
pasar por el enrutamiento del ISP.

Editado por Grupo Unireg. Todos los derechos reservados 24

Notas sobre balanceo de carga

• El balanceo de carga puede ser implementado:

1. por tipo de paquete: preferido para enlaces de 56
kbps
2. por destino de la transmisión
• EL principal inconveniente del balanceo de carga
es el coste de WAN, que se duplica, no sólo en el
coste de enlace, sino también de interfaces en el
router y su redundancia.
• La alternativa económica al backup de WAN es el
uso de Internet: Sin embargo, debemos tener en
cuenta la falta de garantía en cuanto a ancho de
banda, necesidad de implementar VPN y para ello
la colaboración del ISP en el establecimiento de
túneles.

Editado por Grupo Unireg. Todos los derechos reservados 25

MPLS

• MPLS utiliza etiquetas anexadas a paquetes IP o marcos L2

para el transporte de datos. Las etiquetas se pueden utilizar
como designadores para identificar prefijos IP, ATM VC, y se
pueden utilizar para garantizar el ancho de banda.
• MPLS puede ejecutarse en muchas tecnologías de capa 2,
incluyendo ATM, Frame Relay, PPP, SONET (POS) y Ethernet.
• MPLS es una solución económica que se puede integrar
fácilmente sobre cualquier infraestructura existente
ofreciendo flexibilidad.
• Los IPS pueden ofrecer servicios inteligentes de reda través de
una única infraestructura.
• Cada cliente puede tener una o más VPN dentro de la red
MPLS, llamada enrutamiento virtual Y reenvío (VRF).

Editado por Grupo Unireg. Todos los derechos reservados 26

Diseño de MPLS de capa 3

1. La red MPLS distribuye etiquetas para cada VPN

2. Las etiquetas sólo son entregadas a losmiembros
de la VPN
3. Cada VPN es provisionada automíticamente a
través de enrutamiento IP
4. Cada conexión MPLS es segura en el caso de
conexiones Frame Relay
5. No provee encriptación automática
6. La QoS se implementa en una sola etiqueta.
• Las VPN sobre MPLS de capa 3 son las más
usadas.

Editado por Grupo Unireg. Todos los derechos reservados 27

Diseño de backup de WAN

• Dial backup sobre ISDN

• Segundo enlace WAN:
– Enlace de backup: con implementación de rutas
dinámicas o estáticas.
– Ancho de banda adicional en condiciones
ordinarias de uso
• Circuitos espejo (Shadow PVC) sobre Frame Relay
• Túneles IPsec a través de Internet.

Editado por Grupo Unireg. Todos los derechos reservados 28

Internet como alternativa de backup de WAN

Editado por Grupo Unireg. Todos los derechos reservados 29

Arquitectura empresarial de WAN

• Los factores que influirán en la selección de

enlaces WAN son:
1. Alta disponibilidad
2. Crecimiento soportado
3. Costes operacionales
4. Complejidad operacional
5. Coste de implementación
6. Soporte de segmentación de capas 2/3
7. Soporte de voz y video

Editado por Grupo Unireg. Todos los derechos reservados 30

Arquitectura empresarial de WAN

• Entre las opciones WAN destacamos:

1. WAN privada, con posibilidad de encriptación
2. WAN privada a través de MPLS
3. Servicio de ISP (internet)
4. Gestión de WAN por el ISP
5. Cisco Wide Area Application Services (WAAS)
• Todas estas arquitecturas proporcionan QoS
integrada, confiabilidad, y facilidad de gestión.
• WAAS es una solución global de optimización de
WAN para aplicaciones y servicios.

Editado por Grupo Unireg. Todos los derechos reservados 31

Comparación de enlaces WAN

Editado por Grupo Unireg. Todos los derechos reservados 32

Esquema de arquitectura de WAN

Editado por Grupo Unireg. Todos los derechos reservados 33

Componentes de WAN empresarial:
selección del hardware

• La selección del hardware implica las

funcionalidades de capa 2 y propiedades
ofrecidas por el dispositivo, donde influirá:
1. Densidad de puerto
2. Tipos de puertos soportados
3. Modularidad de hardware
4. Backplane y capacidad de envío de paquetes
5. Redundancia de CPU y alimentación
6. Capacidad de expansión a futuro

Editado por Grupo Unireg. Todos los derechos reservados 34

Componentes de WAN empresarial:
selección del software

• Los factores a considerar en software son:

1. Tipo de decisiones de envío
2. Soporte de la tecnología selecionada
3. Optimización del ancho de banda
4. Vulnerabilidades de seguridad
5. Propidades del software

Editado por Grupo Unireg. Todos los derechos reservados 35

Cisco ISR G2

Editado por Grupo Unireg. Todos los derechos reservados 36

Arquitectura de WAN de sucursales

• Los componentes de sucursales ofrecen algunas

singularidades:
1. Los routers deben soportar la conectividad con la
frontera WAN de la empresa
2. Los switches seleccionados soportarán la
infraestructura de cada LAN
3. Seguridad en las sucursales
4. AP para proporcionar mobilidad y roaming
5. Comunicaciones unificadas
6. Teléfonos IP y PC para usuarios finales.

Editado por Grupo Unireg. Todos los derechos reservados 37

Diseño de sucursal

• En el diseño de acceso a WAN de sucursales nos

plantearemos las siguientes cuestiones:
1. ¿Qué crecimiento esperamos?
2. ¿Qué niveles de disponibilidad y redundancia son
necesarios?
3. ¿Debe soportarse algún protocolo específico?
4. ¿La administración de la red es centralizada o
distribuida?
5. ¿Existen restricciones en algunos segmentos de la
red, como DMZ, o redes internas frente a externas?
6. ¿Existe red inalámbrica?
7. ¿Cuál es el presupuesto para cada sucursal?

Editado por Grupo Unireg. Todos los derechos reservados 38

Perfiles posibles de sucursal

• Oficina pequeña: hasta 50 usuarios

• Oficina mediana: hasta 100 usuarios
• Oficina grande: entre 100 y 1.000 usuarios.
• Para integrar las sucursales con la empresa, los
routers ISR pueden proporcionar soporte de voz,
seguridad y envío de datos. Los ISR son capaces
de soportar interfaces HWIC 10/100/1000

Editado por Grupo Unireg. Todos los derechos reservados 39

Nuevas prestaciones de ISR G2

Editado por Grupo Unireg. Todos los derechos reservados 40

 Diseño de oficinas pequeñas
• El diseño de oficinas pequeñas es el recomendado
para aquella oficinas que no requieren
redundancia de hardware y no deben soportar a
más de 50 usuarios, proporiconando tanto los
servicios de WAN como la conectividad a la LAN.
La conectividad de LAN puede ser proporcionada
de tres modos distintos:
1. Mediante una tarjeta de hasta 16 puertos
2. Conmutación a switch mediante enlace troncal
3. Interface Etherchannel desde el ISR al switch.

Editado por Grupo Unireg. Todos los derechos reservados 41

Diseño de oficinas medianas

• El diseño de oficinas medianas es aplicable a

oficinas entre 50 y 100 usuarios (similar a las
oficinas pequeñas) pero con un router adicional de
frontera y reudundancia de los servicios.
• Las series 2921 y 2951 son los modelos habituales,
soportando EIGRP, GLBP y HSRP.
• La conectividad en switches suele llevarse a cabo a
través de los 3750 capa2/3 con tecnología
stackwise.

Editado por Grupo Unireg. Todos los derechos reservados 42

UNIREG CONNECTING KNOWLEDGE

www.unireg.es
http://espacioformacion.unireg.es

Editado por UCK, S.L.. Todos los derechos reservados

43