Guía de recomendaciones para la contratación de servicios de comunicaciones

(1)

Guía de recomendaciones para la contratación de servicios de comunicaciones

David Benítez Domene

Grado universitario en Ingeniería Tecnologías y Servicios de Telecomunicación Administración de redes y sistemas operativos

Consultor: Joaquín López Sánchez-Montañés

Nombre Profesor/a responsable de la asignatura: Montse Serra Vizern y David Bañeres Besora

15/01/2023

(2)

Esta obra está sujeta a una licencia de

Reconocimiento-NoComercial-SinObraDerivada 3.0 España de Creative Commons

Copyright © 2023 David Benítez Domene Reservados todos los derechos. Está prohibido la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la impresión, la reprografía, el microfilme, el tratamiento informático o cualquier otro sistema, así como la distribución de ejemplares mediante alquiler y préstamo, sin la autorización escrita del autor o de los límites que autorice la Ley de Propiedad Intelectual.

(3)

FICHA DEL TRABAJO FINAL

Título del trabajo: Guía de recomendaciones para la contratación de servicios de comunicaciones

Nombre del autor: David Benítez Domene

Nombre del consultor: Joaquín López Sánchez-Montañés Nombre del PRA: Montse Serra Vizern

David Bañeres Besora Fecha de entrega: 01/2023

Titulación: Grado Universitario en Ingeniería de

Tecnologías y Servicios de Telecomunicación Área del Trabajo Final: Administración de redes y sistemas operativos

Idioma del trabajo: Español

Palabras clave

Comunicaciones, redes, TIC, multiservicio, ciberseguridad, intranet, firewall, ToIP, QoS y NGFW

Resumen del Trabajo:

Las comunicaciones juegan un papel sumamente importante en la labor diaria de cualquier empresa, es por ello por lo que dotar a estas con unas infraestructuras y elementos técnicos modernos y avanzados, debe ser prioritario. Una red de comunicaciones debe tener tres pilares fundamentales: crecimiento, eficiencia y confianza. En base a estos tres pilares, mi trabajo pretende desarrollar posibles soluciones que sirvan de guía para la contratación de diversos servicios de comunicaciones, con la finalidad de mejorar la productividad de cualquier empresa, apoyándose en una infraestructura y recursos TIC.

El trabajo consta de tres bloques principales, en el primero se creará una red multiservicio que permita albergar servicios de diversa índole. Esta red deberá contar con los elementos necesarios que garanticen que los servicios que soportará tengan una elevada fiabilidad, disponibilidad, escalabilidad y calidad.

El segundo bloque introducirá un servicio dentro de la red creada en el apartado anterior, que es esencial para cualquier empresa; la telefonía. Conoceremos los beneficios de la telefonía IP, así como algunos conceptos que nos servirán de gran ayuda para entender el funcionamiento de la misma.

Por último, nos adentraremos en un aspecto inquietante cómo es el de la ciberseguridad. Preservar y proteger los datos, así como garantizar la operatividad y la integridad de los sistemas debe ser prioritario para cualquier empresa.

(4)

Abstract:

Communications play a very important role in the daily work of any company, that’s why it would be highly recommended to provide them with infrastructures and modern and advanced technical elements. A communication network must have three fundamental pillars: growth, efficiency and trust. Based on these three pillars, my work aims to develop possible solutions that serve as a guide for the contracting of various communication services, in order to improve the productivity of any company, relying on infrastructure and ICT resources.

The present work programme is divided into three parts. The first part consists of creating a multi-service network that allows to accommodate services in diverse situations. This network must have the necessary elements to guarantee that services supported have a high reliability, availability, scalability and quality.

The second part is based on introducing a service within the network created and described in the previous section and that is essential for any company. I am referring to Telephony. We will know the benefits of IP telephony, as well as some concepts that will be of great help to understand how it works.

Finally, we will delve into a disturbing aspect such as cybersecurity. Preserving and protecting data, as well as guaranteeing the operability and integrity of the systems must be a priority for all the companies.

(5)

Contenido

1 Introducción ... 1

1.1 Contexto y justificación del Trabajo ... 1

1.2 Objetivos del Trabajo ... 2

1.3 Enfoque y método seguido ... 2

1.4 Planificación del Trabajo ... 3

1.5 Breve sumario de productos obtenidos ... 5

1.6 Breve descripción de los otros capítulos de la memoria ... 5

2 Creación de una red privada multiservicio ... 6

2.1 Situación actual ... 6

2.1.1 Identificación de entidades ... 6

2.1.2 Infraestructura de comunicaciones ... 6

2.1.3 Esquema de red ... 7

2.1.4 Definición de entidades ... 8

2.2 Características generales de la nueva red ... 9

2.3 Características específicas de la nueva red ... 9

2.4 Arquitectura de la nueva red multiservicio ... 12

2.5 Escenarios de conexión ... 13

2.5.1 Sede central con criticidad extrema ... 14

2.5.2 Sede avanzada con criticidad alta ... 14

2.5.3 Sede móvil con criticidad baja ... 15

2.6 Implementación en laboratorio Red Multiservicio ... 15

2.7 Implementación en laboratorio parte LAN ... 24

2.8 Pruebas de laboratorio red multiservicio ... 26

2.9 Pruebas de laboratorio parte LAN ... 35

3 Introducción a la telefonía IP... 37

3.1 Beneficios de una red de telefonía de paquetes ... 37

3.2 Fundamentos de la telefonía IP ... 37

3.2.1 Elementos y funcionamiento de la telefonía IP ... 38

3.3 Descripción general de la solución de telefonía IP ... 40

3.3.1 Funcionalidades necesarias para la Telefonía IP ... 42

3.3.2 Equipamiento... 42

4 Seguridad y control de acceso a la red ... 44

4.1 Acceso a Internet ... 44

4.2 AntiDDos ... 47

(6)

4.3 Seguridad perimetral ... 49

4.4 Seguridad interna y control de acceso a la red ... 52

4.5 Pruebas de laboratorio seguridad ... 56

4.5.1 Parámetros de red y creación de objetos ... 57

4.5.1.1 Parámetros de red ... 57

4.5.1.2 Creación de objetos ... 58

4.5.2 Navegación de usuarios ... 58

4.5.3 Limitación de ancho de banda ... 61

4.5.4 Presencia en internet ... 63

4.5.5 Características adicionales ... 65

4.5.6 Antivirus ... 66

4.5.7 Filtrado Web ... 68

4.5.8 Filtrado de aplicaciones ... 71

4.5.9 Sistema de prevención de intrusos (IPS)... 72

4.5.10 VPN SSL ... 74

5 Conclusiones ... 78

6 Glosario ... 79

6.1 Acrónimos ... 79

6.2 Definiciones ... 80

7 Bibliografía ... 82

8 Anexos ... 84

8.1 Especificaciones Fortinet FG-3400E ... 84

8.2 Especificaciones NetScout Arbor Edge Defense 2600 ... 85

8.3 Especificaciones PA-5200 series ... 87

(7)

Lista de figuras

Ilustración 1: Dibujo red multiservicio ... 1

Ilustración 2: Diagrama de Gantt correspondiente a la PEC1 ... 4

Ilustración 6: Esquema red sede central ... 7

Ilustración 7: Esquema red sede central ... 8

Ilustración 8: Dibujo tipos de calidades de servicio ... 10

Ilustración 9: Cabecera IP ... 11

Ilustración 10: Fases calidades de servicio ... 11

Ilustración 11: Dibujo conversión de servicios ... 12

Ilustración 12: Ejemplo traceroute ... 12

Ilustración 13: Sistema de niveles de red ... 13

Ilustración 14: Esquema de red sede central criticidad extrema ... 14

Ilustración 15: Esquema de red sede avanzada criticidad alta ... 15

Ilustración 16: Esquema de red sede móvil criticidad baja ... 15

Ilustración 17: Esquema red privada virtual ... 16

Ilustración 18: Niveles 1 y 2 ejemplo red multiservicio ... 16

Ilustración 19: Niveles 3 y 4 ejemplo red multiservicio ... 19

Ilustración 20: Esquema general red multiservicio en simulador ... 23

Ilustración 21: Esquema de red interior ... 24

Ilustración 22: Esquema de red para cobertura nacional ... 27

Ilustración 23: Prueba de conectividad nacional ... 27

Ilustración 24: Tablas de rutas de clientes VPN A y VPN B ... 28

Ilustración 25: Comprobación de saltos por comunidad y región... 29

Ilustración 26: Simulación caida interfaz WAN ... 30

Ilustración 27: Comportamiento VRRP tras caída interfaz WAN ... 30

Ilustración 28: Dibujo simulación corte red ... 31

Ilustración 29: Prueba de conectividad tras simulación corte ... 31

Ilustración 30: Esquema red calidades de servicio ... 32

Ilustración 31: Esquema de red interior en simulador ... 35

Ilustración 32: Simulación caida interfaz acceso 1 contra CORE ... 35

Ilustración 33: Prueba de conectividad tras caída interfaz LAN ... 36

Ilustración 34: Dibujo transporte voz sobre IP ... 37

Ilustración 35: Dibujo elementos telefonía IP ... 39

Ilustración 36: Diálogo llamada protocolo SIP ... 40

Ilustración 37: Esquema red ubicación servidores de voz ... 41

Ilustración 38: Representación clúster de telefonía IP con reparto de usuarios... 42

Ilustración 39: Tabla de virtualización de Cisco [10] ... 43

Ilustración 40: Dibujo representativo de un firewall ... 45

Ilustración 41: Esquema general de red con firewall en alta disponibilidad ... 45

Ilustración 42: Dibujo funcionamiento AntiDDoS ... 48

Ilustración 43: AntiDDoS, modelo NETSCOUT Arbor Certified 2600 HW ... 48

Ilustración 44: Esquema ubicación AntiDDoS ... 49

Ilustración 45: Seguridad perimetral, modelo Fortinet FG-3400E ... 52

Ilustración 46: Dibujo red segmentada ... 53

Ilustración 47: Esquema red con seguridad interna ... 54

Ilustración 48: Seguridad interna, modelo Palo Alto PA-5200 ... 56

(8)

Ilustración 49: Esquema laboratorio ... 56

Ilustración 50: Máquinas virtualizadas del laboratorio ... 57

Ilustración 51: Zonas creadas en firewall laboratorio ... 57

Ilustración 52: Creación de rutas estáticas en firewall de laboratorio ... 58

Ilustración 53: Capacidades de enrutamiento de firewall de laboratorio ... 58

Ilustración 54:Creación de objetos en firewall de laboratorio... 58

Ilustración 55: Servicios por defecto del firewall de laboratorio ... 59

Ilustración 56: Configuración NAT navegación en firewall de laboratorio ... 59

Ilustración 57: Configuración política de navegación de usuarios ... 60

Ilustración 58: Comprobación funcionamiento política navegación de usuarios ... 60

Ilustración 59: Logs y reportes firewall laboratorio ... 61

Ilustración 60: Política negación para navegación ... 61

Ilustración 61: Test de velocidad sin limitación de ancho de banda ... 61

Ilustración 62: Limitación ancho de banda en firewall laboratorio ... 62

Ilustración 63: Aplicación política limitación ancho de banda en firewall laboratorio .... 62

Ilustración 64: Test de velocidad con limitación de ancho de banda ... 63

Ilustración 65: Asignación de IP pública para servidor web ... 63

Ilustración 66: Política que permite la presencia en internet de servidor web ... 64

Ilustración 67: Comprobación de servidor web desde internet ... 65

Ilustración 68: Comprobación de la política de presencia en logs ... 65

Ilustración 69: Características adicionales firewall nueva generación ... 66

Ilustración 70: Características antivirus firewall NFG ... 66

Ilustración 71: Protocolos a inspeccionar por antivirus NFG ... 67

Ilustración 72: Aplicación de antivirus en política de navegación ... 67

Ilustración 73: Comprobación de antivirus en NFG ... 68

Ilustración 74: Bloqueo de virus en apartado logs ... 68

Ilustración 75: Características filtrado web NFG ... 68

Ilustración 76: Categorías filtrado web NFG ... 69

Ilustración 77: Filtrado web URL concreta ... 69

Ilustración 78: Creación de filtro web local por categoría ... 69

Ilustración 79: Activación filtrado web en política de navegación por categoría... 70

Ilustración 80: Comprobación de bloqueo de URL con filtrado web de NFG ... 70

Ilustración 81: Bloqueo de URL con filtrado web de NFG estático ... 70

Ilustración 82: Comprobación de bloqueo de URL con filtrado web de NFG estático .. 71

Ilustración 83: Comprobación de bloqueos en logs ... 71

Ilustración 84: Aplicaciones reconocidas en NFG ... 71

Ilustración 85: Aplicaciones que serán bloqueadas por NFG ... 72

Ilustración 86: Activación de filtrado de aplicaciones ... 72

Ilustración 87: Comprobación en logs del filtrado de aplicaciones... 72

Ilustración 88: Versiones de las firmas y patrones conocidos por el NFG ... 73

Ilustración 89: Firmas conocidos por el NFG ... 73

Ilustración 90: Creación de firma IPS ... 73

Ilustración 91: Configuración de sensor IPS ... 74

Ilustración 92: Activación de IPS en NFG ... 74

Ilustración 93: Comprobación de bloque de firma creada ... 74

Ilustración 94: Dibujo conexión VPN SSL ... 75

Ilustración 95: Creación de usuarios para sesión VPN SSL ... 75

Ilustración 96: Posibilidades de creación de usuarios en NFG ... 75

Ilustración 97: Creación de portal VPN SSL ... 76

Ilustración 98: Portal VPN SSL ... 76

Ilustración 99: Portal de servicios VPN SSL y comprobación de funcionamiento ... 77

(9)

Lista de tablas

Tabla 1: Planificación del trabajo ... 4

Tabla 2: identificación de entidades ... 6

Tabla 3: Infraestructuras actuales ... 6

Tabla 4: Arquitectura interna ... 7

Tabla 5: Configuración VRRP ... 30

Tabla 6: Soluciones problemas telefonía IP ... 38

Tabla 7: Modelos de routers para acceso a internet... 46

(10)

1

1 Introducción

1.1 Contexto y justificación del Trabajo

Las comunicaciones juegan un papel sumamente importante en la labor diaria de cualquier empresa, es por ello, por lo que dotar a estas con unas infraestructuras y elementos técnicos modernos y avanzados, debe ser prioritario. Una red multiservicio debe ser la columna vertebral de una empresa, esta soportará el mundo IP, y, por lo tanto, las nuevas tecnologías.

¿Qué es una red multiservicio?: Es un tipo de red capaz de transportar cualquier tipo de servicio sobre una infraestructura, con la finalidad de conseguir la convergencia de servicios que anteriormente lo hacían por separado.

La idea es conseguir una red privada de alta capacidad, cuya arquitectura esté orientada a flujos de datos, y que esta abarque la prestación de servicios IP.

Ilustración 1: Dibujo red multiservicio

Una red de comunicaciones debe tener tres pilares fundamentales: crecimiento, eficiencia y confianza. En base a estos tres pilares, cualquier empresa debe afrontar la contratación de los servicios de telecomunicaciones, evaluando su situación actual, y, sobre todo, apostando por un proyecto innovador y con perspectiva de futuro.

En el mercado nos encontramos con diversos proveedores que ofrecen este tipo de soluciones, la idea es que asimilemos los conceptos fundamentales que nos sirvan de guía para realizar una contratación tan importante.

Una vez dispongamos de nuestra red multiservicio, es el momento de comenzar a sacarle partido, y una de las mejores formas es la de migrar la telefonía convencional a IP.

(11)

2

En un primer momento, tal vez pueda suponer un gasto importante, pero a la larga, veremos cómo se ahorran cortes y se gana en prestaciones. Debemos tener claro que migrar la telefonía tradicional a IP, nos va a ofrecer grandes ventajas, apostar tecnologías innovadoras nos darán una mayor perspectiva de futuro.

1.2 Objetivos del Trabajo

El propósito de este trabajo es el de la mejora de la productividad de cualquier empresa apoyándose en una infraestructura y recursos TIC. La idea es el aprovechamiento de estas infraestructura y recursos para albergar servicios de diversa índole, dirigidos a mejorar los procesos productivos de cualquier empresa.

El trabajo abarcará los siguientes puntos fundamentales:

• Creación de una red privada multiservicio. Definiciones y ejemplo práctico con simulador de una posible red multiservicio.

• Implementación de servicios de voz. Fundamentos, beneficios y funcionalidades necesarias para implementar telefonía IP.

• Seguridad y control de acceso a la red. Este punto contendrá los siguientes apartados:

o Acceso a internet. Descripción de la solución.

o Seguridad perimetral. Descripción y diseño de red.

o Seguridad interna y control de acceso a la red. Descripción y diseño de red.

o Ejemplo práctico de funcionamiento de firewall de nueva generación.

1.3 Enfoque y método seguido

A lo largo de la vida de la realización del grado de Ingeniería de Tecnologías y Servicios de Telecomunicación, se ha capacitado al estudiante para realizar el diseño, análisis, implementación, explotación y gestión de sistemas de telecomunicación. Llegado este punto, se pretende poner en práctica las técnicas aprendidas para dar soluciones en el mundo empresarial.

El enfoque y método seguido en el desarrollo del trabajo, consiste en la realización de búsquedas de soluciones de diversos proveedores de servicio, con la finalidad de conocer los productos más innovadores que existen en el mercado. El trabajo servirá de guía para conocer los aspectos más importantes que deben tenerse en cuenta, para la contratación de diversos servicios de telecomunicaciones.

El trabajo tiene un primer objetivo de diseñar una arquitectura de conectividad simple y escalable, que deba proporcionar agilidad y flexibilidad para responder de manera adecuada a futuros crecimientos. Para cumplir con este objetivo, nos apoyaremos sobre una maqueta desarrollada en simulador, en la que se podrá ver de forma práctica las virtudes de la red diseñada.

Por otro lado, nos detendremos en el mundo de la telefonía IP para conocer los beneficios y los fundamentos de este servicio, con el fin de comenzar a sacarle partido a la red anteriormente diseñada.

(12)

3

Por último, nos adentraremos en el mundo de la ciberseguridad para conocer productos y servicios de última generación, con el fin de mejorar la resiliencia de cualquier empresa contra las ciber amenazas. La proactividad en este campo debe ser la meta para alcanzar.

En este apartado de seguridad, se podrá ver de forma práctica el funcionamiento de un firewall de nueva generación, desplegado sobre un hipervisor para poder al menos ver el funcionamiento de forma simulada.

1.4 Planificación del Trabajo

En la siguiente tabla se muestra la planificación seguida durante el trabajo, que cumple con las pruebas de evaluación continua planteadas en la asignatura.

ACTIVIDAD INICIO FIN DURACIÓN

Inicio del Trabajo de Fin de Grado 28/09/2022 15/01/2023 109 DÍAS

PEC1 28/09/2022 16/09/2022 19

Planteamiento del proyecto 28/09/2022 28/09/2022 3 Planificación y cronograma 01/10/2022 07/10/2022 7 Descripción de la planificación 08/10/2022 16/10/2022 9

PEC2 (40% - 60% TFG) 17/10/2022 19/20/2022 34

Análisis y planificación de ciclos de trabajo 17/10/2022 18/10/2022 2 Creación de la Red Multiservicio: introducción 19/10/2022 21/10/2022 3 Creación de la Red Multiservicio: características 22/10/2022 25/10/2022 4 Creación de la Red Multiservicio: implementación

en laboratorio

26/10/2022 30/10/2022 5 Creación de la Red Multiservicio: pruebas en

laboratorio

31/10/2022 01/11/2022 2 Análisis y planificación de ciclos de trabajo 02/11/2022 04/11/2022 3 Servicio de voz: introducción 05/11/2022 06/11/2022 2 Servicio de voz: fundamentos 07/11/2022 13/11/2022 3 Servicio de voz: descripción general de la solución 10/11/2022 18/11/2022 8 Revisión de apartados anteriores 14/11/2022 19/11/2022 3

PEC3 (80% - 90% TFG) 20/11/2022 24/12/2022 35

Análisis y planificación de ciclos de trabajo 20/11/2022 23/11/2022 4 Seguridad y control de acceso: introducción 24/11/2022 01/12/2022 8 Seguridad y control de acceso: fundamentos 02/12/2022 11/12/2022 10 Seguridad y control de acceso: implementación en

laboratorio

12/12/2022 20/12/2022 9

Revisión de apartados anteriores 21/12/2022 24/12/2022 4

(13)

4

ACTIVIDAD INICIO FIN DURACIÓN

PEC4 (Entrega final) 25/12/2022 15/01/2023 22

Análisis y planificación de ciclos de trabajo 25/12/2022 26/12/2022 2

Redacción de la memoria 27/12/2022 04/01/2023 9 Revisión/corrección de la memoria 05/01/2023 08/01/2023 4 Preparación de la presentación 09/01/2023 12/01/2023 4 Grabación de la presentación 13/01/2023 15/01/2023 3

Tabla 1: Planificación del trabajo

A continuación, se muestran de manera gráfica mediante diagramas Gantt el tiempo empleado para desarrollar cada una de las PEC.

Ilustración 2: Diagrama de Gantt correspondiente a la PEC1

(14)

5

1.5 Breve sumario de productos obtenidos

Este trabajo pretende que el lector adquiera los conocimientos necesarios, para establecer las condiciones técnicas que deben seguirse para realizar la contratación de los siguientes servicios:

• Capacitación sobre redes multiservicio y creación de ejemplo de red en laboratorio.

• Capacitación sobre el servicio de telefonía IP, beneficios y fundamentos.

• Capacitación sobre seguridad y control de acceso a la red. Se diseñará una arquitectura de seguridad interna y externa, y se hará una demostración de firewall perimetral en laboratorio.

1.6 Breve descripción de los otros capítulos de la memoria

El trabajo contendrá los siguientes capítulos:

• Creación de una red multiservicio:

Contendrá los conceptos necesarios para entender los elementos y facilidades que la conforman, así como la arquitectura lógica en donde debe apoyarse.

• Implementación de soluciones de telefonía IP:

Este capítulo pretende buscar las sinergias para el aprovechamiento máximo de la red multiservicio creada en el apartado anterior, y conseguir un servicio de telefonía fija basada en IP.

• Seguridad y control de acceso a la red:

Este capítulo pretende dar una solución de seguridad basada en una estrategia de diseño Zero Trust (sin confianza). Se pretende que el acceso a cualquier recurso se controle y audite. Por otra parte, se mencionarán elementos de seguridad capaces de detectar ataques de red, para que posteriormente los resuelvan de forma automática.

(15)

6

2 Creación de una red privada multiservicio

Este capítulo pretende establecer los conceptos necesarios que ayudarán a conocer cómo debe ser una red privada multiservicio, con la finalidad de realizar una contratación.

2.1 Situación actual

En primer lugar, antes de iniciar cualquier proceso de contratación, necesitaremos conocer cuál es nuestra situación actual. Para ello se precisa el número de oficinas y la infraestructura de estas, con la finalidad de ofrecer está información para la elaboración de una oferta. Es importante aportar lo siguiente:

• Identificación de entidades

• Infraestructura actual

• Esquema de red

2.1.1 Identificación de entidades

En este apartado se deberán especificar las ubicaciones que deben interconectarse a la nueva red. Será necesario aportar datos precisos. La siguiente tabla puede servir de guía:

Código de sede

Provincia Población Dirección Coordenadas

Responsable

Nombre e-mail Teléfono 1

2

… n

Tabla 2: identificación de entidades

2.1.2 Infraestructura de comunicaciones

En este apartado se deben especificar las infraestructuras actuales de comunicaciones de la que disponen las diferentes ubicaciones. Será necesario detallar los servicios de datos que disponen, así como los datos administrativos y características de estos. La siguiente tabla puede servir de ejemplo:

Código de sede

Servicio Identificador Velocidad Respaldo Otras características

1 Si/No

2 Si/No

… Si/No

n Si/No

Tabla 3: Infraestructuras actuales

(16)

7

También se deben especificar datos sobre la arquitectura interna de cada sede, para conocer con más detalle las necesidades del equipamiento:

Código de sede LAN VLAN Protocolo de routing Observaciones 1

2

… n

Tabla 4: Arquitectura interna

2.1.3 Esquema de red

En este apartado se dibujarán cada una de las ubicaciones tipo identificadas.

Ejemplo sede central. En la siguiente imagen podemos ver cómo la sede central de cliente tiene servidores de cliente, puestos de trabajo y una solución de telefonía analógica. El flujo de datos va a través de internet.

Ilustración 6: Esquema red sede central

Ejemplo oficina remota. En la siguiente imagen podemos ver una sede remota con puestos de trabajo y líneas de teléfono individuales. El flujo de datos va a través de internet.

(17)

8

Ilustración 7: Esquema red sede central

2.1.4 Definición de entidades

En este apartado definiremos unos parámetros importantes que serán de ayuda para establecer los tipos de sedes que tendremos, así como la criticidad de estas. A continuación, se describen cómo podrían ser estas dos nuevas consideraciones:

• Tipo de sede. Es importante encuadrar a cada una de las sedes en un tipo claramente definido, esto permitirá establecer el caudal que necesitará para ofrecer un servicio con garantías. Se puede establecer varios tipos, a continuación, se indican cuatro ejemplos que nos pueden ayudar a establecer el tipo de acceso:

o Móvil: dispondrá de conexión a la Intranet con un acceso móvil 4G/5G.

o Básica: no dispone de conexión a la Intranet, pero puede disponer de alguna conexión telefónica o de red interior.

o Estándar: dispondrá de una conexión a la Intranet con un acceso de 600MBps.

o Avanzada: dispondrá de una conexión a la Intranet con un acceso de 1GBps.

o Central: dispondrá de una conexión a la Intranet con un acceso de 20GBps.

• Criticidad de la sede. Este parámetro se empleará para establecer los acuerdos de nivel de servicio. Se pueden establecer cuatro niveles:

o Extrema o Alta o Media o Baja

(18)

9

2.2 Características generales de la nueva red

Este apartado define las características generales que debe tener la nueva red que debe proporcionarnos el proveedor. No olvidemos que buscamos crear una red multiservicio corporativa, que interconecte las distintas sedes de nuestra empresa, estableciendo de esta forma una Intranet corporativa [1][2] que será los pilares de nuestras comunicaciones. A continuación, se indican una serie de características que deben ser imprescindibles.

• Escalabilidad. Se deberá emplear equipamiento de última generación, capaz de admitir una amplia gama de interfaces de red, y disponer de gran capacidad y memoria. Este equipamiento debe tener adaptación inmediata al crecimiento.

• Fiabilidad. Se deberán interponer los elementos necesarios que garanticen la continuación del servicio ante posibles fallos. Para ello, la red debe contar con redundancia de equipos e interfaces, diversificación en los accesos, reparto de carga y mecanismos de re-encaminamiento.

• Disponibilidad. La red debe tener un estado operacional elevado, esta debe ser capaz de ofrecer conectividad y accesibilidad a los usuarios de forma rápida, con la finalidad de ofrecer una excelente disponibilidad.

• Calidad. La red deberá cumplir con un criterio de dimensión inferior al 50% de ocupación, con el fin de poder garantizar sobradamente la creciente demanda de capacidad. Ante una situación de fallo, los enlaces redundantes deben ser capaces de garantizar el servicio sin degradación.

• Flexibilidad. El equipamiento empleado debe poder absorber la demanda de nuevos servicios y funcionalidades.

2.3 Características específicas de la nueva red

En este apartado se mencionarán características específicas que deberá tener la red privada virtual que pretendemos obtener. Cómo ya se ha mencionado con anterioridad, la red debe ser capaz de soportar cualquier servicio sobre IP, con la finalidad de conseguir la convergencia de estos. Para ello, necesitamos que el proveedor nos ofrezca una red de alta capacidad que contengan cómo mínimo las siguientes particularidades:

• Cobertura a nivel nacional. Puede que nuestra empresa tenga únicamente ámbito local, provincial o regional, pero debemos ser ambiciosos y pensar en una expansión a nivel nacional.

• Independencia entre clientes. Debe ser un requisito indispensable que el proveedor nos garantice la independencia total separando los flujos de distintos clientes. El tráfico de una VPN no se mezcla con el de otra. Esto proporcionará privacidad y seguridad.

o Capacidad de dar conectividad extremo a extremo.

o Interconexión de redes locales.

o Utilización de direccionamiento público y privado.

• Capacidad de routing IP entre distintas sedes. Cada sede dispondrá de equipos con capacidad de enrutamiento, denominados routers. Estos dispositivos se encararán de encaminar los paqueres IP. El protocolo de enrutamiento que manejarán los routers deberá tener las siguientes consideraciones:

(19)

10

o Ser dinámico. Mantendrán las tablas de enrutamiento automáticamente mediante el paso de mensaje eligiendo siempre cual es la mejor ruta hacia el destino.

o Ser orientado a conexión. Conocer el estado del enlace es importante para detectar rápidamente caídas y realizar una convergencia hacia conexiones alternativas lo antes posible.

• Capacidad de MultiVLAN. Es importante poder configurar sobre un acceso varias VLANs con diferentes caudales.

• Caudales dedicados y simétricos de 100Mbps, 600Mbps, 1Gbps, 10Gbps, y 20Gbps. Se precisa que nuestra red sea de alta capacidad y que los caudales sean exclusivos para nosotros. Es importante que dispongamos de la misma capacidad tanto para la descarga cómo la subida. Es preciso que los accesos sean por medios ópticos guiados.

• Mecanismos de redundancia. Se precisan soluciones que ofrezcan rutas alternativas que garanticen el servicio ante caídas.

• Calidades de servicio. El protocolo IP solo facilita un tipo de servicio llamado Best-Effort (mejor esfuerzo) [3]. La red solo se encarga de entregar los paquetes al destino sin importar los retados. Las garantías en la entrega se realizan en la capa de transporte o aplicación. Los retados pueden afectar a servicios tales cómo a la voz o al video, y es por ello por lo que se hace necesario que la red implemente calidades de servicio que procesen selectivamente el tráfico.

Ilustración 8: Dibujo tipos de calidades de servicio Se necesitarán que el paquete IP pase por cuatro fases:

o Clasificación. Se tiene que identificar el paquete para indicar de qué forma se va a tratar (multimedia, oro o plata). Esto se puede realizar observando la cabecera IP (IP origen/ IP destino, protocolo TCP/UDP, o puerto).

o Marcado. Una vez identificado el paquete, se le hace una marca en el campo ToS de la cabecera IP. Se indican ejemplos:

▪ Multimedia (10100000)

▪ Oro (01100000)

▪ Plata (00100000)

▪ Gestión (11100000)

(20)

11

Ilustración 9: Cabecera IP

o Ajuste. Esta fase ajustará el tráfico a los niveles acordados e impondrá las restricciones pertinentes. Se indican ejemplos sobre un acceso de 100 Mbps.

▪ Multimedia 9 Mbps. Se descartar si hay saturación.

▪ Oro 30 Mbps. Se retransmite por otro interfaz si hay saturación.

▪ Plata 60 Mbps. Se almacena para ser retransmitid si hay saturación.

▪ Gestión 1 Mbps. Se almacena para ser retransmitida si hay saturación.

o Control de la congestión. Esta fase reenviará o descartará los paquetes, según las normas establecidas. Un gestor determinará que clase de tráfico se va a transmitir en cada momento.

El siguiente dibujo muestra gráficamente cómo sería el proceso antes descrito.

Ilustración 10: Fases calidades de servicio

• Posibilidad de accesos móviles 4G/5G. Deberá existir la posibilidad de disponer de accesos móviles para casos muy concretos (sedes rurales, sedes itinerantes o respaldos). La Intranet deberá poder ser accesible desde accesos móviles. El proveedor deberá contar con la infraestructura necesaria para garantizar esta interconexión red fija – red móvil.

(21)

12

2.4 Arquitectura de la nueva red multiservicio

En este apartado se define lo que podría ser una arquitectura válida para una red multiservicio. En la figura de abajo se muestran las redes que pretendemos englobar en nuestra red.

Ilustración 11: Dibujo conversión de servicios

El proveedor de servicio que elijamos debe ser capaz de integrar todas las redes arriba mencionadas en una sola, y no de cualquier forma, se precisa que sea con una arquitectura con el menor número de saltos posibles, para que se simplifique la operación y la configuración.

Un ejercicio muy simple que nos puede ayudar a conocer el número de saltos de nuestra red es ejecutando desde línea de comandos un tracert/traceroute hacia un destino de nuestra propia organización. El tracert nos puede dar un diagnóstico de nuestra red ofreciéndonos el número de saltos y los retrasos de tránsito.

En la siguiente imagen se puede ver un ejemplo de tracert:

Ilustración 12: Ejemplo traceroute

(22)

13

Una buena forma de reducir el número de saltos es utilizar una arquitectura basada en niveles, se puede emplear por ejemplo 4 niveles:

• Nivel 1. Este nivel soportará las interconexiones con otros operadores.

• Nivel 2. Este nivel se encargará de interconectar el tráfico provincial y entregarlo al nivel 1 si procede. Este nivel aísla el núcleo de la red del nivel inferior, se podría denominar de tránsito y puede permitir la comunicación entre provincias sin subir al nivel 1.

• Nivel 3. Este nivel realizará del transporte del tráfico a nivel provincial. Se podría denominar de agregación provincial.

• Nivel 4. Este nivel recogerá el tráfico de las sedes remotas para entregarlo al nivel superior. Se podría denominar nivel de acceso.

En la siguiente imagen vemos una representación gráfica del sistema de niveles. Los nodos deben disponer de redundancia a nivel hardware (fuentes de alimentación, interfaces, ventiladores, …) En esta arquitectura, los accesos remotos deben tener una gran capilaridad, el flujo a través de los distintos niveles tiene no debe introducir latencias.

Ilustración 13: Sistema de niveles de red

2.5 Escenarios de conexión

En este apartado, se detallarán algunos escenarios que se pueden implantar en las sedes teniendo en cuenta los tipos de sedes y las criticidades definidas en el apartado 2.1.4. Una primera consideración será determinar que sedes deberán disponer de accesos redundantes, podríamos establecer que las sedes con criticidades extrema, alta y media deben disponer de un enlace alternativo por el cual trabajar en caso de caída del principal.

(23)

14

A continuación, se indican algunos escenarios posibles:

2.5.1 Sede central con criticidad extrema

Dispondrá de una conexión a la Intranet con un acceso de 20GBps y un acceso redundante de igual velocidad altamente diversificado con respecto del principal.

Características principales:

• Escenario activo-pasivo con doble router.

• La conexión hacia la Intranet se realiza por el enlace principal por defecto.

• El acceso redundante solo entra en funcionamiento si hay una caída en el acceso principal.

• Los caminos hacia al núcleo de la red debe ser por rutas disjuntas.

Ilustración 14: Esquema de red sede central criticidad extrema

2.5.2 Sede avanzada con criticidad alta

Dispondrá de una conexión a la Intranet con un acceso de 1GBps y un acceso redundante de igual velocidad.

Características principales:

• Escenario activo-pasivo con doble router.

• La conexión hacia la Intranet se realiza por el enlace principal por defecto.

• El acceso redundante solo entra en funcionamiento si hay una caída en el acceso principal.

(24)

15

Ilustración 15: Esquema de red sede avanzada criticidad alta

2.5.3 Sede móvil con criticidad baja

Dispondrá de una conexión a la Intranet con un móvil Características principales:

• Escenario con único router.

Ilustración 16: Esquema de red sede móvil criticidad baja

2.6 Implementación en laboratorio Red Multiservicio

En este apartado se realizará una implementación con simulador de una posible red multiservicio privada. La práctica se ha realizado empleando el simulador de Huawei eNSP 1.3.00.100 [4] pero podría haberse realizado con el simulador de otro fabricante.

El diseño de la red pretende la creación de redes privadas virtuales con una filosofía Peer-to-Peer, en donde el proveedor de servicios participe en el routing de cliente. De esta forma, se garantiza un routing óptimo entre redes de clientes, es más sencillo realizar provisiones de nuevas VPNs, y únicamente se configuran las sedes, no el enlace entre ellas.

En este tipo de redes aparecen varias figuras que deberemos conocer con antelación:

(25)

16

• P (Provider) [5]. Es un dispositivo perteneciente al núcleo del proveedor.

Realizará las tareas de conmutación de etiquetas del protocolo MPLS (MultiProtocol Label Switching) [6].

• CE (Customer Edge). Dispositivo ubicado en dependencias de cliente. Es el router de extremo del cliente conectado al proveedor de servicios.

• PE (Provider Edge). Es un dispositivo del borde del proveedor. Conectará a los CE (Customer Edge) con el P (Provider). Es el router que conectará al router CE con el router P.

En el siguiente dibujo se puede ver de forma gráfica cómo se conectan:

Ilustración 17: Esquema red privada virtual

En el apartado de la arquitectura de la red multiservicio, se mencionan 4 niveles, a continuación, se describe cómo se comportará cada nivel:

• Niveles 1 y 2 – Backbone e interconexión. La idea es crear una malla que garantice la supervivencia del tráfico. Estos niveles deben encargarse del tránsito nacional y hacia otros proveedores.

o El nivel 1 (P) se encargará de soportar las interconexiones con otros operadores.

Ilustración 18: Niveles 1 y 2 ejemplo red multiservicio

(26)

17

En la práctica, P establece conexiones con dos PE empleando OSPF para el routing y MPLS para la transferencia de datos utilizando una conmutación de etiquetas. Se ha empleado MPLS ya que, a día de hoy, es el estándar de facto para la mayoría de los proveedores de servicio. Este ofrece implementación de calidades de servicio, privacidad y una alta disponibilidad.

Por otro lado, OSPF es un protocolo de direccionamiento de tipo enlace-estado, que está basado en el algoritmo de primera vía más corta, se ha considerado un protocolo ideal para este tipo de tareas. A continuación, se puede ver la configuración [7]:

mpls lsr-id 2.2.2.9 mpls

#

mpls ldp

interface GigabitEthernet0/0/0.30 Conexión con un PE vlan-type dot1q 30

ip address 172.1.1.2 255.255.255.0 mpls

mpls ldp

#

interface GigabitEthernet0/0/1.60 Conexión con un PE vlan-type dot1q 60

ip address 172.2.1.1 255.255.255.0 mpls

mpls ldp

# ospf 1

area 0.0.0.0

network 2.2.2.9 0.0.0.0 network 172.1.1.0 0.0.0.255 network 172.2.1.0 0.0.0.255

#

o El nivel 2 (PE) realizará la conmutación entre el nivel 3 dando cobertura nacional.

Una función clave de los PE, es la posibilidad de crear routers virtuales, cada uno de estos routers dispondrá de una tabla de rutas propia. Este mecanismo se denomina VRF (Virtual Router and Fordwarding Instance) y será el encargado de crear la instancia de cada cliente.

En la simulación se han creado dos VRF, vpna y vpnb, cada una de ellas representará el router virtual de cada cliente. Cada una de estas VRF tendrá dos parámetros claves, el RD (Route distinguisher) y el RT (Route Target).

El RD es el parámetro utilizado para distinguir de forma única las redes pertenecientes a distintas VPN.

El RT es el parámetro empleado para controlar las políticas de importación y exportación de rutas de las VPN.

Esta es la configuración de las dos VRF y la asociación con el interfaz:

ip vpn-instance vpna ipv4-family

route-distinguisher 100:1

vpn-target 111:1 export-extcommunity vpn-target 111:1 import-extcommunity

(27)

18

#

ip vpn-instance vpnb ipv4-family

route-distinguisher 100:2

vpn-target 222:2 export-extcommunity vpn-target 222:2 import-extcommunity

#

interface GigabitEthernet0/0/0.10 vlan-type dot1q 10

ip binding vpn-instance vpna ip address 10.1.1.2 255.255.255.0

#

ip binding vpn-instance vpnb ip address 10.2.1.2 255.255.255.0

#

El PE al igual que el P también tendrá la configuración propia de MPLS y OSPF:

mpls lsr-id 1.1.1.9 mpls

#

mpls ldp

#

ip address 172.1.1.1 255.255.255.0 mpls

mpls ldp

#

# ospf 1

area 0.0.0.0

network 1.1.1.9 0.0.0.0 network 172.1.1.0 0.0.0.255

#

El protocolo que se empleará para recibir los anuncios de los C será BGP (Border gateway protocol). BGP es un protocolo de puerta de enlace de frontera mediante el cual ser intercambiará la información de enrutamiento entre los AS (Sistemas autónomos) definidos. Un Sistema Autónomo es un grupo de redes que tiene una política de enrutamiento propia e independiente.

A continuación, se muestra la configuración del BGP, en ella se observa cómo están referenciadas las dos VPN que hemos creado, así como los vecinos con los que intercambiaremos rutas:

bgp 100

peer 3.3.3.9 as-number 100

peer 3.3.3.9 connect-interface LoopBack1 #

ipv4-family unicast undo synchronization peer 3.3.3.9 enable #

ipv4-family vpnv4 policy vpn-target peer 3.3.3.9 enable

(28)

19 #

ipv4-family vpn-instance vpna import-route direct

peer 10.1.1.1 as-number 65410 peer 10.1.1.3 as-number 65410 peer 10.1.1.4 as-number 65450 #

ipv4-family vpn-instance vpnb import-route direct

peer 10.2.1.1 as-number 65420

#

• Niveles 3 y 4. Acceso a la red. Se pretende acercar los servicios de datos a las sedes de cliente. Únicamente se precisará acceder a los niveles superiores para tránsitos nacionales e internacionales. La siguiente imagen lo ilustra:

Ilustración 19: Niveles 3 y 4 ejemplo red multiservicio

o El nivel 3 realizará del transporte del tráfico a nivel provincial. Únicamente realizará funciones de tránsito. En el simulador se emplean switches. Tan solo se configuran las vlanes de cada cliente con la finalidad de aislar los flujos.

interface GigabitEthernet0/0/1 description vpna

port link-type trunk

port trunk allow-pass vlan 10

#

interface GigabitEthernet0/0/2 description enlace_troncal port link-type trunk

port trunk allow-pass vlan 10 20

#

interface GigabitEthernet0/0/3

#

interface GigabitEthernet0/0/4 description vpna

(29)

20

• El nivel 4 recogerá el tráfico de las sedes remotas para entregarlo al nivel superior con la siguiente configuración:

#

interface GigabitEthernet0/0/1 description acceso_CE2_vpna port link-type trunk

#

interface GigabitEthernet0/0/2 description acceso_CE2_vpna port link-type trunk

Por último, queda la configuración del router que se ubicará en dependencias de cliente, el CE. Este podrá disponer de varios enlaces hacia la red de cliente, pero se aconseja que únicamente se emplee uno, y que la sede disponga de un switch central que recoja el tráfico de los distintos puestos.

En la siguiente configuración se observa cómo se emplean dos subredes, una para el tráfico de los ordenadores y otra para una VLAN de servidores.

La sede elegida dispondrá de dos accesos con doble router (CE) en la que será necesario emplear VRRP (Virtual Router Redundancy Protocol) para garantizar la disponibilidad de la sede. A continuación, se muestra la configuración:

#

interface GigabitEthernet0/0/1 description Puerto_LAN

ip address 192.168.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.1 vrrp vrid 1 priority 105

vrrp vrid 1 preempt-mode timer delay 60

vrrp vrid 1 track ip route 10.3.1.0 255.255.255.0

#

interface GigabitEthernet0/0/1.8

description Subinterfaz_asociado_a_VLAN vlan-type dot1q 8

ip address 8.8.8.2 255.255.255.0 vrrp vrid 8 virtual-ip 8.8.8.1 vrrp vrid 8 priority 105

vrrp vrid 8 preempt-mode timer delay 60

#

Se dispondrá de un puerto de acceso a la red, aunque se podría barajar la posibilidad de ofrecer doble acceso con fines redundantes cómo se aprecia en la siguiente configuración:

interface GigabitEthernet0/0/0.10 description Puerto_WAN

vlan-type dot1q 10

ip address 10.1.1.1 255.255.255.0

Para terminar, el CE hablará BGP hacia la red. BGP es un protocolo de enrutamiento orientado a conexión que puede ser muy útil para sedes con tráfico multimedia. En escenarios redundantes es importante detectar una caída rápidamente para realizar una convergencia lo antes posible. Esta sería la configuración:

(30)

21

bgp 65410

peer 10.1.1.2 as-number 100 #

ipv4-family unicast undo synchronization import-route direct peer 10.1.1.2 enable

peer 10.1.1.2 route-policy BGPOUT export

#

route-policy BGPOUT permit node 10 if-match ip-prefix REDES_OUT apply cost 100

#

route-policy BGPOUT deny node 20

ip ip-prefix REDES_OUT index 5 permit 192.168.1.0 24 ip ip-prefix REDES_OUT index 10 permit 8.8.8.0 24

(31)

23 El esquema de red general queda de la siguiente forma:

Ilustración 20: Esquema general red multiservicio en simulador

(32)

24

2.7 Implementación en laboratorio parte LAN

Se ha mencionado en reiteradas ocasiones la necesidad de dotar a la red multiservicio de caminos alternativos para aumentar la disponibilidad, pero nada de esto tiene sentido si no preparamos la infraestructura de nuestro propio edificio de la misma forma.

Este apartado pretende dar un ejemplo de diseño de red interior el cual se integrará a los escenarios redundantes antes mencionados. Un posible esquema sería el siguiente:

Ilustración 21: Esquema de red interior

Cómo se puede ver en el dibujo anterior, se ha dotado a la sede de varios swithes de planta con doble conexión hacia los de CORE, la idea es garantizar el servicio ante la caída de uno de los interfaces. A continuación, se describirá la configuración de cada uno de los equipos:

• Switches de planta

Esta sería configuración de los puertos de acceso donde se conectarán los equipos finales, ordenadores y teléfonos IP. En estos puertos las tramas que se reciben se asignarán a una etiqueta de VLAN que es igual al identificador de VLAN de puerto del interfaz. Las tramas que se transmiten desde una interfaz normalmente eliminarán la etiqueta de VLAN antes de reenviarla a un sistema final para que no sea consciente de VLAN. A continuación, se indica la configuración:

vlan batch 20 to 21

# vlan 20

description VERDE vlan 21

description ROJA

#

interface Ethernet0/0/10 description enlace PC port link-type access port default vlan 21

#

interface Ethernet0/0/11

description enlace terminal IP

(33)

25

port link-type access port default vlan 21

#

interface Ethernet0/0/12 port link-type access port default vlan 20

#

interface Ethernet0/0/13 port link-type access port default vlan 20

#

A continuación, esta es la configuración de los puertos que se conectarán a los swithes de CORE, cómo se puede apreciar son enlaces troncales que permiten el paso de más de una VLAN. En los puertos troncales las tramas trasportadas en un puerto troncal pueden ser etiquetadas (se establece el id de VLAN en la trama) o no. Todas las VLAN deben se permitidas antes de ser trasportadas por el TRUNK. Esta sería la configuración:

interface Ethernet0/0/1 port link-type trunk

port trunk allow-pass vlan 20 to 21

#

interface Ethernet0/0/2 port link-type trunk

#

• Switches de CORE

Estos realizarán las conexiones con los routers. En estos equipos recibimos las conexiones de los swithes de planta y nos conectamos hacia los routers. Esta sería la configuración de estos puertos troncales:

vlan batch 20 to 21

#

description enlace con switch planta port link-type trunk

#

description enlace con switch planta port link-type trunk

#

interface GigabitEthernet0/0/24 description enlace con router1 port link-type trunk

#

Por otra parte, los dos switches de CORE se conectan entre sí con unos enlaces agregados. Estos permiten que los enlaces físicos funcionen cómo un único enlace lógico. En la agregación de los enlaces, el ancho de banda de una interfaz se combina, igualando la suma del ancho de banda de todas los interfaces miembros, para permitir un aumento de ancho de banda efectivo para el tráfico a través del enlace lógico. Esta sería configuración de un enlace agregado:

#

interface Eth-Trunk1

description enlace agregado

(34)

26

#

description Puerto de enlace agregado eth-trunk 1

#

Otro aspecto importante para este tipo de escenarios con enlaces redundantes, es la aparición de bucles que causan que la calidad de la comunicación se deteriore drásticamente, y se produzcan interrupciones importantes en el servicio de comunicaciones. Uno de los efectos iniciales de los bucles de los switches redundantes viene en forma de tormentas de broadcast. El efecto de inundación repetida da como resultado múltiples tramas que son recibidas por las estaciones finales, causando efectivamente interrupciones y degradación extrema del rendimiento del switch.

Los bucles son eliminados evitando el tráfico de los caminos redundantes. Para la eliminación de los caminos redundantes, hay que establecer una topología en forma de árbol, fijando uno de los switches cómo raíz del árbol “root”.

El switch root será el centro lógico de la red, pero no tiene por qué se el físico. El root utiliza una unidad de datos denominada BPDU (Bridge Protocol Data Units) para descubrir la topología lógica de la red. Las BPDU´s son creadas y propagadas por el root hacia abajo, para que los switches no root sean conscientes del estado de la topología de la red. Para fijar la topología de la red, se calcula el coste de la ruta hacia el root. Ese valor se denomina Path cost.

En nuestro caso hemos usado stp priority 4096 en el CORE1 para establecer el root. Posteriormente en todos los switches se habilitado spaning tree con el siguiente comando stp mode stp.

2.8 Pruebas de laboratorio red multiservicio

Este apartado pretende demostrar que la solución desarrollada cumple con las características específicas de la nueva red. En primer lugar, hay que comentar que el equipamiento elegido es capaz de manejar protocolos estándares y actuales. MPLS, OSPF, BGP, VRRP son protocolos empleados por proveedores de servicio en la actualidad. No olvidemos que buscamos tener una red que cumpla con las propiedades mencionadas en el apartado de características generales de la nueva red: escalabilidad, fiabilidad, disponibilidad, calidad y flexibilidad.

(35)

27

A continuación, se expondrán una serie de pruebas realizadas en el laboratorio que cumplen con las características específicas del apartado 2.2:

• Cobertura a nivel nacional

Se ha pretendido que la red diseñada tenga un ámbito nacional, la red MPLS nos garantizará esta convergencia tecnológica.

En las siguientes imágenes podemos observar cómo el PC1 de la sede 1 del cliente A, es capaz de alcanzar al PC4 de la sede 3 del mismo cliente, MPLS proporciona una red extremo a extremo:

Ilustración 22: Esquema de red para cobertura nacional

En la siguiente imagen podemos ver una prueba de conectividad:

Ilustración 23: Prueba de conectividad nacional

(36)

28

• Independencia entre clientes:

La creación de VRF garantiza la independencia de las tablas de rutas, y en consecuencia la privacidad de entre clientes. La solución ofrece conectividad garantizando la interconexión de las redes locales. Por otra parte, esta privacidad me permite emplear direccionamiento público y privado.

En las siguientes imágenes se puede ver las tablas de rutas de cada VPN en el PE1:

Ilustración 24: Tablas de rutas de clientes VPN A y VPN B

• Capacidad de routing IP:

Los CE permiten el intercambio de rutas con otras sedes empleando routing dinámico a través de BGP. BGP nos permite detectar rápidamente las caídas de enlaces al ser orientado a conexión. En la siguiente imagen se puede observar cómo el CE1 establece una sesión BGP con el PE participando de esta forma en el routing

• Funcionamiento del diseño por niveles:

Una particularidad que se mencionó en el apartado de características específicas de la nueva red, es el de la implementación de una arquitectura basada en niveles. La idea es que únicamente el tráfico a nivel nacional pase por el núcleo de la red. Esta implementación disminuye enormemente los tiempos de respuestas:

(37)

29 Prueba de conectividad

hacia una sede ubicada en otra comunidad.

Prueba de conectividad hacia una sede ubicada en la misma provincia.

Ilustración 25: Comprobación de saltos por comunidad y región.

• Caudales:

En el esquema de red se puede apreciar que la conectividad es a través de medios guiados. La propuesta establece cómo prioritario que la comunicación se realice por medios físicos ópticos. Se precisarán conexiones de 100Mbps, 600Mbps, 1Gbps, 10Gbps, y 20Gbps, para disponer así de una red de alta capacidad. En la maqueta se han empleados enlaces gigabit.

• Mecanismos de redundancia:

El esquema de red planteado ofrece varias soluciones de redundancia ofreciendo así rutas alternativas para garantizar de esta forma la continuidad del servicio. Tenemos dos casos:

o En sede de cliente: la sede 1 dispone de dos accesos con doble equipamiento para aumentar de esta forma la disponibilidad ante la caída del acceso principal. Se ha configurado VRRP en los dos equipos cómo protocolo de redundancia.

La configuración tiene varios aspectos importantes:

▪ IP virtual, está será la puerta de enlace de la sede hacia a fuera.

Esta IP la tendrá asignada el acceso principal salvo caída de este que pasará al secundario.

▪ Prioridad. El router principal debe tener un mayor peso que el secundario para que el tráfico salga por este.

▪ Track. Para garantizar una mayor eficiencia del protocolo, se establece que el router principal será el que contenga la IP virtual si en su tabla de rutas contiene una red aprendida. En redes segmentadas cómo la que se ha diseñado, sería un error establecer cómo track la caída de un interfaz.

(38)

30

Esta es la configuración del router principal y de respaldo:

interface GigabitEthernet0/0/1 description Puerto_LAN

ip address 192.168.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.1 vrrp vrid 1 priority 105 vrrp vrid 1 preempt-mode timer delay 60

#

interface GigabitEthernet0/0/1 description PUERTO_LAN

ip address 192.168.1.3 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.1 vrrp vrid 1 preempt-mode timer delay 60

#

Tabla 5: Configuración VRRP

Ahora, simularemos una caída del interfaz WAN para ver cómo se comporta el VRRP

Ilustración 26: Simulación caida interfaz WAN

En las imágenes se puede ver el comportamiento del VRRP. A la izquierda nos encontramos con el estado normal de la sede, la salida es por CE1 siendo este maestro.

En la imagen de la derecha apreciamos cómo el tráfico ha pasado CE2, CE1 ya no conoce la red 10.3.1.0/24, ahora CE2 es el maestro:

<CE1>display vrrp brief

VRID State Interface Type Virtual IP

--- ---

1 Master GE0/0/1 Normal 192.168.1.1

8 Master GE0/0/1.8 Normal 8.8.8.1

--- ---

Total:2 Master:2 Backup:0 Non-active:0

<CE2>display vrrp brief

VRID State Interface Type Virtual IP

--- ---

1 Master GE0/0/1 Normal 192.168.1.1

8 Master GE0/0/1.8 Normal 8.8.8.1

--- ---

Total:2 Master:2 Backup:0 Non-active:0

<CE2>

Ilustración 27: Comportamiento VRRP tras caída interfaz WAN

(39)

31

o En red: se han creado dobles enlaces en la red de acceso para aumentar la disponibilidad. En el esquema creado se ha configurado un protocolo de prevención de bucles pasa asegurar el buen funcionamiento. STP (Spanning tree) es un protocolo de red cuya función es la de gestionar la presencia de bucles en topologías de red debido a la existencia de enlaces redundantes.

Ahora se simula una caída en la red, la siguiente imagen muestra el punto de corte:

Ilustración 28: Dibujo simulación corte red

Vemos en la siguiente imagen cómo el PC1 recupera la conectividad una vez que los mecanismos de redundancia de la red han resuelto la contingencia:

Ilustración 29: Prueba de conectividad tras simulación corte