DISEÑO DE RED
CLOVER INTERNATIONAL |
|
Un proyecto enfocado en el diseño de red con características que le dan un factor de dificultad extra como los enlaces redundante para sistemas Fail Over con ISP que usan DNS dinámicos, múltiples sucursales en tres diferentes países y una complicada arquitectura de servicios son algunos de los elementos que forman parte de este reto, en esta oportunidad mis responsabilidades como ingeniero principal del proyecto implica el diseño de la red que involucra los planos acotados lógicos y físicos de la red, la ejecución y supervision de todas las configuraciones de los equipos, responsable de toda la comunicación interna de la compañía y la debida documentación de cada paso realizado.
1. El problema
En una arquitectura de red compleja el más mínimo detalle produce grandes fallas por lo cual hay que ser minucioso con todos los aspectos de configuración, en el caso de Clover una combinación de pequeños problemas lograron una inestabilidad en la red; los problemas se generaron progresivamente con el crecimiento de la empresa y con el requerimiento de nuevos servicios se hicieron más evidentes los defectos en el diseño de la red. A continuación en el diagrama 1.1 se aprecia las diferentes variables que generaron los problemas internos de la compañía.
La sobre segmentación de la red, los problemas de comunicación entre sucursales, el diseño sin tolerancia a fallos, falta de configuración de seguridad y QoS son algunos de los factores que van sumando en contra de la eficacia de la red interna de la compañía, dando como resultado pérdidas de tiempo en la ejecución de las tareas diarias. En el mundo moderno la pérdida de tiempo se traduce en pérdida de dinero para las empresas de cualquier tamaño, la frustración de los usuarios también es un gran factor que se refleja en su productividad, cosa que pasa cuando los servicios tecnológicos no se ejecutan correctamente.
2. Solución
Por motivos de confidencialidad los equipos, direcciones IP, conexiones en puertos e ISP han sido cambiados al igual que algunas soluciones no se pueden ni detallar como la interconexión de sucursales, VPNS y encriptación de información. Para la cantidad de fallas que presentaba la red lo más adecuado era cambiar el diseño actual en ese momento por un diseño que cumpla con los cuatro pilares de la arquitectura de red que son:
- Escalabilidad
- Tolerancia a fallos
- QoS
- Seguridad
- Escalabilidad
|
Las VLANs de servidores no se modificaron por cuestiones de configuración de sistemas internos, lo que se muestra es la restructuración, anteriormente la tabla de VLANs contaba con 20 VLANs diferentes entre ellas una dedicada para impresoras, teléfonos inteligentes de empleados y una aparte para ejecutivos creando de esta manera una red con sobre segmentación por otro lado en el área de diseño. los equipos estaban muy mal administrados teniendo una cantidad absurda de equipos para las necesidades de la empresa, aumentando sus costos de mantenimiento y administración de los equipos, a continuación en el esquema 1.1:
|
De esta manera se obtiene un diseño escalable con redundancia de interconexiones y fácil administración de la red, usando los routers principales para manejar los enlaces en la capa de núcleo, con su respectiva redundancia e implementando router on a stick, donde el router Intervlan se encarga del enrutamiento interno de la red se consigue una red más limpia donde se puede administrar de manera más eficaz y aun con este esquema tratando de aprovechar todos los equipos existentes quedaron dos Routers fuera del diseño debido a que no eran necesarios, cabe destacar que el Firewall se maneja por separado mediante una tercera empresa.
Tolerancia a fallas
En otras palabras la red debe poder soportar que el fallo de alguna ruta o interconexión no afecte el desempeño de la misma, en el caso estudio a pesar de contar con múltiples proveedores ISP no había un sistema Failover que pudiera dar sustento a la red debido a una falla, el Failover se realizó con éxito entre 3 proveedores de internet, 22 sucursales y 3 países, por motivos de confidencialidad no se puede detallar la solución no obstante el ambiente de trabajo constaba de equipos netamente Cisco y con una peculiar dificultad por proveedores que mantienen DNS dinámicos e incluso combina varios tipos de tecnología de última milla.
QoS (Calidad de servicio)
Posiblemente el requisito más importante a la hora de tener una red de nueva generación donde los equipos demandan un ancho de banda significativo y que hay que respetar el paso del tráfico para garantizar un servicio óptimo, en el caso estudio el principal problema era alta latencia en las llamadas VoIP y pérdida de paquetes en video llamadas, la solución para este problema en particular es la aplicación de políticas de control de calidad como garantizar el ancho de banda en la red, priorización de los paquetes conjunto de enlaces MPLS para lograr un canal limpio para el tráfico y por último en el apartado físico un cambio de estructura del cableado debido a que los equipos estaban muy alejados del nodo de acceso.
Seguridad
“Algunos detalles han sido obviados debido a términos de seguridad”
El factor más demandado de la industria sin duda alguna, en este caso solo se reforzó la seguridad interna debido a que una tercera empresa manejaba los firewall a nivel externo. La seguridad implementada se focalizó en los Switchs y en los Routers debido a que el 80% de los ataques informáticos provienen de una fuente interna, en el caso de los Switchs se aplicó políticas de seguridad donde se une la dirección MAC de los dispositivos finales con los puertos asignados en el Switchs con la acción de desconectar y apagar los puertos, de esta forma se asegura que el equipo asignado a ese punto sea el único que puede acceder a la red de manera cableada adicionalmente los protocolos de conexión externa han sido cambiados a SSH con un alto cifrado, en el lado de los Routers la seguridad se maneja con un servidor AAA para garantizar la entrada a los equipos conjunto de un servidor Syslog para poder corroborar las entradas al sistema.
Tolerancia a fallas
En otras palabras la red debe poder soportar que el fallo de alguna ruta o interconexión no afecte el desempeño de la misma, en el caso estudio a pesar de contar con múltiples proveedores ISP no había un sistema Failover que pudiera dar sustento a la red debido a una falla, el Failover se realizó con éxito entre 3 proveedores de internet, 22 sucursales y 3 países, por motivos de confidencialidad no se puede detallar la solución no obstante el ambiente de trabajo constaba de equipos netamente Cisco y con una peculiar dificultad por proveedores que mantienen DNS dinámicos e incluso combina varios tipos de tecnología de última milla.
QoS (Calidad de servicio)
Posiblemente el requisito más importante a la hora de tener una red de nueva generación donde los equipos demandan un ancho de banda significativo y que hay que respetar el paso del tráfico para garantizar un servicio óptimo, en el caso estudio el principal problema era alta latencia en las llamadas VoIP y pérdida de paquetes en video llamadas, la solución para este problema en particular es la aplicación de políticas de control de calidad como garantizar el ancho de banda en la red, priorización de los paquetes conjunto de enlaces MPLS para lograr un canal limpio para el tráfico y por último en el apartado físico un cambio de estructura del cableado debido a que los equipos estaban muy alejados del nodo de acceso.
Seguridad
“Algunos detalles han sido obviados debido a términos de seguridad”
El factor más demandado de la industria sin duda alguna, en este caso solo se reforzó la seguridad interna debido a que una tercera empresa manejaba los firewall a nivel externo. La seguridad implementada se focalizó en los Switchs y en los Routers debido a que el 80% de los ataques informáticos provienen de una fuente interna, en el caso de los Switchs se aplicó políticas de seguridad donde se une la dirección MAC de los dispositivos finales con los puertos asignados en el Switchs con la acción de desconectar y apagar los puertos, de esta forma se asegura que el equipo asignado a ese punto sea el único que puede acceder a la red de manera cableada adicionalmente los protocolos de conexión externa han sido cambiados a SSH con un alto cifrado, en el lado de los Routers la seguridad se maneja con un servidor AAA para garantizar la entrada a los equipos conjunto de un servidor Syslog para poder corroborar las entradas al sistema.
3. Resultados
Luego de dos arduos días de trabajo de implementación se logro los objetivos establecidos
obteniendo como resultado una red de:
obteniendo como resultado una red de:
- Fácil administración y monitoreo
- Seguridad estable en la red interna
- Visión más amplia de las conexiones entre sucursales
- Estabilidad en comunicaciones VoIP y videollamadas
- Tolerancia a fallos
- Uso correcto de los equipos
- Documentación e identificación de toda la red
- Políticas de acceso y controles de mantenimiento