Los dispositivos que forman la Capa de Distribución son switches multicapa, correspondientes a la Serie‐S y la Serie‐N de Enterasys. En párrafos anteriores se ha dado una breve descripción de las capacidades y características de la Serie‐S. Con el despliegue de equipos S4 y S3 de esta familia en la Capa de Distribución de la red del IPN se tiene:
Una alta potencia en la conmutación y el ruteo.
Funcionalidades para aplicar políticas y capacidades granulares de control de tráfico.
Alta fidelidad en la visibilidad mediante NetFlow, con soporte de 9,000 registros de flujos por
segundo.
Ruteo IPv6, que en conjunto con los equipos de núcleo hacen posible ya el despliegue de este protocolo en las redes locales para servicio de usuarios.
La Serie‐N
La Serie‐N es una línea de equipos modulares “Enterprise” orientados a una media‐alta densidad de servicios, con un alto desempeño que soporta conmutación capa 2 y ruteo capa 3. Esta serie se conforma principalmente por plataformas con capacidad para 3, 5 ó 7 módulos DFE (Distribuited Forward Engine), y está diseñada para ser situados como equipos de borde Premium (premium edge)
– el término “edge” refiere a la orilla de la red para el acceso a usuarios –, en backbone colapsado, para funciones de conmutación en distribución, y en aplicaciones de agregación en granjas de servidores y data centers.
Los DFEs (Distribuited Forward Engine) son los módulos que ejecutan las funciones de conmutación y ruteo en los equipos de la Serie N; basados en la familia de ASICs nTERA™ y en microprocesadores basados en software. La arquitectura de switch y las capacidades de procesamiento de enrutamiento de un DFE son completamente distribuidas. Cada tarjeta modular DFE es manejada individualmente y se administra por un procesador montado en la misma placa, en un diseño que elimina la necesidad de adquirir componentes adicionales de hardware, como módulos de supervisión, módulos de ruteo o módulos de administración.
Los módulos DFE existen en una variedad de configuraciones para proporciona conectividad Ethernet disponibles con interfaces Ethernet 10/100 Mbps (Fast Ethernet), Gigabit Ethernet hasta 10 Gigabit Ethernet, en una arquitectura basada en flujos para el manejo inteligente de “conversaciones” de usuario y de aplicaciones.
Una de las particularidades de los equipos de la Serie N es el “Diseño Integrado de Servicios “en los DFE; servicios agrupados en las siguientes categorías: Clasificación de Tráfico Multicapa, Switching y VLANs, Ruteo IP Nativo, y Seguridad. Los dispositivos de la Serie N pueden ser monitoreados y controlados a través del sistema Enterasys NMS, una suite de administración conformada por cinco aplicaciones que proporcionan visibilidad y control de los recursos de la red en forma centralizada. Con el NMS es posible establecer políticas para usuarios, aplicaciones, VLANs, protocolos, puertos y
flujos de datos. Con este sistema pueden aplicarse configuraciones avanzadas de servicios en forma sencilla mediante una interfaz gráfica; por ejemplo:
Seguridad con filtrado de paquetes tipo ACL en cada puerto.
En conjunto con inspección profunda de paquetes (deep‐packet inspection) puede responder a ataques de DoS.
Alta capacidad de autenticación multiusuario con múltiples métodos (802.1X, a través de portal Web, dirección MAC).
QoS avanzado para flujos de aplicaciones críticas y limitación de velocidad (rate limiting) por usuario.
Administración de Control de Acceso a la Red (NAC).
Figura 3.5. Un Módulo DFE de la Serie N de Enterasys
El Chasis de la Serie‐N
En una plataforma con diseño modular de la Serie‐N de Enterasys, los módulos DFE son alojados en las ranuras de un chasis. La Serie‐N cuenta con plataformas de baja a media densidad (3 ranuras), media densidad (5 ranuras) y alta densidad (7 ranuras).
Las características del hardware que un chasis de la Serie‐N tiene:
Usa un backplane pasivo de Matriz de Transferencia de Tramas (Frame Transfer Matrix ‐ FTM 2).Es un diseño de matriz punto‐a‐punto, con enlaces interswitch (enlaces entre DFEs) completamente en malla. En la arquitectura de backplane pasivo, no hay componentes activos que representen un punto único de falla.
Soporta fuentes de alimentación modulares (2 fuentes redundantes). Aloja el montaje de ventilación.
Permite la instalación o sustitución de los componentes del equipo (módulos, fuentes y ventiladores) durante la operación. Esto se conoce como hot‐swap.
Figura 3.6. El diseño de la FTM Ofrece una Avanzada Arquitectura de Conmutación Distribuida.
La Arquitectura Distribuida Avanzada
Cada módulo mantiene su propia información de conmutación (switching), de enrutamiento y de administración de red. Esta arquitectura ofrece ventajas como:
• Aislamiento de Fallas. Cualquier falla en algún módulo es arquitecturalmente aislada a los usuarios conectados en ese módulo.
• Respaldo y Redundancia. Cuando varios módulos están instalados en el chasis, automáticamente será seleccionado un módulo primario que controlará la administración del sistema.
– Toda la información que el módulo maestro (master) controla es distribuida a todos los módulos en el chasis. Si el módulo maestro no puede o no se encuentra disponible
para continuar con la administración del sistema, otro módulo asumirá
automáticamente las tareas de administración y distribución de información.
– Un nuevo DFE insertado en el sistema heredará todos los parámetros de sistema e imágenes almacenadas en cada módulo. Cualquier imagen almacenada en un nuevo módulo que no sea común al sistema, será eliminada automáticamente. Cualquier archivo de configuración almacenado en el nuevo módulo será conservado y estará disponible para alguna otra configuración en el futuro.
• Ajuste y mantenimiento avanzados. Un chasis Matrix‐N tiene la capacidad de almacenar dos imágenes funcionales (firmware). Todos los módulos ejecutan la misma versión, y cada uno
guarda una copia de ambas imágenes. La actualización de un módulo equivale a la actualización del chasis completo.
Se tiene un ajuste y mantenimiento automatizado:
– Cuando se agrega un módulo en blanco, automáticamente obtendrá su configuración de los demás módulos.
– Si un módulo es reemplazado por otro módulo en blanco del mismo tipo, el nuevo módulo obtendrá la misma configuración del módulo previo.
• Procesamiento y capacidad distribuidos. Cada módulo cuenta con una potente CPU.
• Diseño específico. Con ASICs diseñados para los requerimientos de las funciones y tareas avanzadas de los DFEs
Como equipos de categoría Enterprise, las capacidades de ruteo en los equipos de la serie‐N son menores que las de los equipos de núcleo, limitado solo a protocolos IGP, con IPv4. Cada DFE incorpora capacidades de ruteo básico, que incluyen rutas estáticas, RIP y VRRP. Para características avanzadas de ruteo, es requerida una licencia que habilite tales funciones, en las que se encuentran LSNAT, DHCP relay, OSPF y ACLs avanzadas.
Arquitectura de la Red
Topología Física y Medios
El IPN tiene como misión el ser una institución líder en la generación, aplicación, difusión y transferencia del conocimiento científico y tecnológico, y la formación integral de profesionales en los niveles medio superior, superior y posgrado. Con una amplia oferta para de espacios educativos, cuenta con instalaciones localizadas en diversos puntos geográficos dentro del país.
Una gran proporción de las sedes del Instituto se concentra en la región metropolitana del Valle de México, la conectividad entre estos centros está cubierta por una red MAN que del mismo modo constituye la mayor parte de la Red Institucional.
La ubicación de cada escuela, centro, de cada dependencia, su importancia, así como la factibilidad para la instalación de canalizaciones y medios son factores que determinan en gran parte los arreglos y la topología de la red. Desde su forma original, la red ha sufrido modificaciones en su estructura