Vous êtes sur la page 1sur 42

Mdulo 4

Diseo de la
Topologa
2000, Cisco Systems, Inc.

4-1

Diseo del Modelo


Jerrquico
2000, Cisco Systems, Inc.

www.cisco.com

DCN4-2

Objetivos
A terminacin de esta leccin, usted
podr realizar las tareas siguientes:
Explicar las razones de emplear un modelo
jerrquico en el diseo de red.
Describir la estructura del modelo jerrquico.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-3

Descripcin de Modelos
Jerrquicos
Los modelos jerrquicos permiten disear las
inter-redes en capas (modulares):
Simplifica las tareas requeridas para la comunicacin
entre dos sistemas (como el modelo OSI).
Cada capa se centra en funciones especficas.
Hace un uso apropiado del ancho de banda dentro de
cada capa.
Control de pruebas y diagrama de costes.
Facilita la distribucin modular de la red de gestin.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-4

Descripcin de Modelos
Jerrquicos (cont.)
Ventajas
Ahorros de coste.
Fcil de entender.
Crecimiento fcil de la red.
Aislamiento de fallos mejorado

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-5

Diseo de Red
en Capas Jerrquicas
Core
Conmutacin a alta velocidad

Distribucin
Acceso

Conectividad basada en polticas

Acceso local y remoto al grupo de trabajo

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-6

Capa Core
Forma el backbone de la conmutacin a alta
velocidad.
Ofrece alta confiabilidad.
Proporciona redundancia y tolerancia ante fallos.
Se adapta a los cambios rpidamente.
Ofrece baja latencia y buena flexibilidad.
Evita la manipulacin lenta de los paquetes
causada por los filtros u otros procesos.
Tiene un dimetro limitado y consistente.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-7

Capa de Distribucin
Punto de separacin entre el acceso y la capa
core.
Ejecuta las siguientes funciones:
Poltica y seguridad.
Agregacin de direcciones o rea.
Acceso departamental o del workgroup.
Definicin de dominios de Broadcast/multicast.
Routing entre LANs virtuales.
Translaciones de medio.
Redistribucin entre los dominios de routing.
Separacin entre los protocolos de routing estticos y
dinmicos.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-8

Capa de Distribucin (cont.)


Implementa polticas usando caractersticas de
Cisco IOS:
Filtros por direccin origen o destino.
Filtros por puertos de entrada o salida.
Ocultacin de nmeros de red internos
filtrando rutas.
Routing esttico.
Mecanismos de calidad de servicio.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-9

Capa de Acceso
Proporciona a los usuarios de los segmentos
locales acceso a la red.
Se caracteriza por la conmutacin y
comparticin de LANs.
Provee el acceso remoto a la corporacin
utilizando:ISDN, Frame Relay y lneas alquiladas.
Controla los costes WAN usando: enrutamiento
de llamadas bajo demanda (dial-on-demand
routing (DDR)), static routing, etcetera.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-10

Capa de Acceso (cont.)


Topologa Hub-and-Spoke

Corporacin
Oficinas
Remotas
Tel Trabajadores
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-11

Conmutado Jerrquico Diseo


de Ejemplo
Core

Switches
1 Gbps

Distribucin

Switches

100 Mbps
Acceso

Switches
10-Mbps Ethernet
or 16-Mbps Token Ring

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-12

Enrutado Jerrquico Diseo


de Ejemplo
Core
FDDI

Distribucin

Acceso

2000, Cisco Systems, Inc.

Diseo de
Router Simple

www.cisco.com

Servidores

Diseo
Distribuido de
Backbone

DCN v2.14-13

Resumen
El modelo jerrquico permite disear la red en
capas.
Las capas del modelo jerrquico son la capa de
core, capa de distribucin, y capa de acceso.
La capa core proporciona transporte ptimo
entre los sitios.
La capa de distribucin proporciona
conectividad basada en polticas.
La capa de acceso proporciona acceso a la red
al usuario y al workgroup.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-14

Diseo de Modelo
Redundante
2000, Cisco Systems, Inc.

www.cisco.com

DCN4-15

Objetivos
A la terminacin de esta leccin, usted
podr realizar las tareas siguientes:
Describir los cuatro tipos de modelos
redundantes: workstation-a-router, router, ruta,
y medio.
Explicar cmo implementar modelos
redundantes en varios entornos.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-16

Workstation-a-Router
Redundante
Hay muchas formas de descubrir un router:
Address Resolution Protocol (ARP)
Configuracin explcita (la ms comn en IP )
Router Discovery Protocol (RDP)
Routing Information Protocol (RIP)
IPX
AppleTalk

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-17

Hot Standby Router Protocol


Funciona usando un router virtual.
Router activo y standby.
Si el router activo falla, el router standby
asume el control transparentemente.
Redundancia transparente de workstation-arouter

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-18

Hot Standby Router Protocol


(cont.)
HSRP Implementacin de Ejemplo
Broadway

Router Virtual
Anderson

Central Park

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-19

Redundancia de Servidor
Redundancia completa del servidor
Servidores en diferentes redes y energa
No siempre factible debido a los costes
Discos en mirroring
Sincronizacin de dos discos
Discos duplicados
Discos en mirroring + diferente controladora
de disco
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-20

Medio Redundante
Las aplicaciones crticas a menudo requieren la
provisin de medios redundantes.
Redundancia de los medios en LAN:
Confianza en la redundancia de lneas entre los
switches.
Usando spanning tree (802.1d) para evitar
bucles.
Redundancia de los medios en la WAN:
Confianza en la lneas de backup.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-21

Medio Redundante (cont.)


Lneas de backup WAN :
Uso de diferentes tecnologas para backups
(Backup RDSI para la lnea alquilada)
Utilizacin de rutas estticas flotantes.
Comprobar el routing del circuito fsico
actual.
Se puede combinar con el balanceo de carga y
Multilink Point-to-Point Protocol (MPPP)

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-22

Medio Redundante (cont.)


Lneas de Backup WAN

Principal

Backup

Acceso

2000, Cisco Systems, Inc.

Acceso
www.cisco.com

Acceso

DCN v2.14-23

Redundancia De Router
Proporciona balanceados de carga:
IPX y AppleTalk no hacen balanceo de carga por
defecto.
IP puede balancear hasta seis lneas paralelas.
El balanceado depende del tipo switching.
Reduce al mnimo tiempo de corte ante fallos de
lnea:
Full mesh proporciona redundancia completa.
Partial mesh provee de redundancia a un costo ms
bajo y es ms escalable.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-24

Redundancia De Router (cont.)


Diseo Full Mesh

(6*5)/2 = 15 circuitos
(n(n-1)/2
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-25

Redundancia De Router (cont.)


Diseo Partial Mesh
Cabecera
1.5 Mbps
Regiones
64 Kbps

Ramas
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-26

Sumario
El modelo redundante se utiliza en los cliente que tenga sistemas,
servicios o trayectos de red crticos que puedan fallar.
La redundancia de Workstation-a-router proporciona mtodos para
que una workstation pueda descubrir al router ante un evento de fallo
de router.
La redundancia del servidor proporciona a los servidores de archivo
(mirrored-reflejados) redundancia completa para entornos de
servidores crticos.
La redundancia de medios se requiere cuando las lneas WAN que
pueden fallar son crticas.
La redundancia de router proporciona balanceo de carga y reduce al
mnimo el tiempo de corte usando diseos full mesh y partial mesh.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-27

Diseo del Modelo


Seguro
2000, Cisco Systems, Inc.

www.cisco.com

DCN4-28

Objetivos
A la terminacin de esta leccin, usted
podr realizar las tareas siguientes:
Describir las tres partes de un sistema firewall.
Recomendar las mquinas necesarias para la
provisin de servicios seguros.
Disear las tres partes de un sistema firewall
mediante Cisco Secure PIX Firewall.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-29

Las Tres Partes de un


Sistema Firewall
Sistemas
Corporativos
Ocultos

Bastion
Hosts
Anunciar la ruta
de la LAN DMZ
solamente
Internet
Filtro de
Entrada

Filtro de
Salida
LAN DMZ

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-30

Bastion Hosts
Proporciona los servicios siguientes:
Servidor FTP Anonimo.
Servidor Web
Domain Name System (DNS)
Telnet
Software especializado de seguridad como por
ejemplo Terminal Access Control Access
Control System + (TACACS+)
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-31

Reglas De Las Tres Partes de un


Sistema Firewall
El filtro de entrada del router debe permitir la
entrada de paquetes TCP de sesiones
establecidas.
El filtro de salida del router debe permitir la
entrada de paquetes TCP de sesiones
establecidas.
El filtro de salida del router debe permitir
tambin los paquetes a los puertos especficos
de TCP o de UDP que van a los bastion hosts
especficos.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-32

Reglas De Las Tres Partes de


un Sistema Firewall (cont.)
Estoy haciendo
un telnet al firewall .
Es eso aceptable?

Telnet

He crackeado el
firewall!
Qu puedo
conseguir de aqu?

Joe Hacker

Trfico hacia el firewall routers y hosts

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-33

Reglas De Las Tres Partes de


un Sistema Firewall (cont.)
No permitir ningn servicios innecesario en el
filtro de salida del router:
No permitir el acceso Telnet (no terminales virtuales).
Usar solo routing esttico.
No crear servidores de TFTP.
Usar password encriptados.
No permitir proxy ARP ni el servicio finger.
No permitir las redirecciones IP y el route caching.
No crear servidores MacIP.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-34

Seguridad Cisco Serie


Firewall PIX
El ms robusto y menos complejo de los filtros de
paquetes.
Instalacin sin corte de servicio.
No se requiere ningn aumento de hosts o routers
No es necesario el mantenimiento diario.
Implementa encriptacin DES si se utiliza lnea
privada.
Proporciona kernel seguro en tiempo real, no UNIX
Soporta Network Address Translation (NAT)
2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-35

Seguridad Cisco Serie


Firewall PIX (cont.)
Ciscos PIX seguridad con capacidad de
adaptacin.
Todo el trfico de entrada se verifica contra la
siguiente informacin del estado de conexin:
Direcciones del IP de origen y destino.
Nmeros de puerto origen y destino.
Protocolos
Nmeros de secuencia TCP (se seleccionan al
azar para evitar que los hackers conozcan
nmeros)

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-36

Resumen
Las topologas seguras a menudo se disean usando un
firewall. Un firewall protege la red contra intrusos.
Las tres partes de un sistema firewall son tres capas
especializadas: una LAN DMZ (isolation LAN), el filtro de
paquetes de entrada y el filtro de paquetes de salida.
Los servicios que estn disponibles para el mundo exterior
estn situados en el bastion hosts de la DMZ.
Las reglas del sistema del firewall definen qu tipo de
paquetes se permite dentro y fuera de la red corporativa.
La serie de seguridad PIX Firewall de Cisco es un dispositivo
hardware que proporciona proteccin completa que encubre
totalmente la arquitectura de una red interna del mundo
exterior.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-37

Revisin del Mdulo: Jones,


Jones & Jones Case Study
Repasar el estudio del caso Jones, Jones &
Jones del mdulo 2, caractersticas de la red
existente.
Estar preparado para participar en las
preguntas de clase y dar las respuestas sobre
este cliente.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-38

Revisin de las Respuestas CISCO


Topologa que satisface los requerimientos del Sr. Jones

Europe

Internet

Mid-East

WWW
& FTP
ISDN

Office 3

NetWare
2000, Cisco Systems, Inc.

Cisco PIX

Office 2

Office 1

NetWare

www.cisco.com

NetWare
DCN v2.14-39

Revisin de las Respuestas


CISCO (cont.)
2. En su diseo, cmo ha configurado la
peticin del partner de limitar el
acceso a Internet?
Cisco responde:
Las direcciones estticas IP se deben
asignar a usuarios especficos en el
servidor de DHCP.
El resto de direcciones sern filtradas por el
router de Internet.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-40

Revisin Del Mdulo:


Ejercicio Del Caso Estudiado
Repasar el caso de estudio seleccionado,
situado en el mdulo 2, Caractersticas de la
red existente.
CareTaker Publications
PH Network Services Corporation
Pretty Paper Ltd.
Contestar a las preguntas del caso estudiado
en esta leccin.
Prepararse para discutir sus respuestas con
la clase.

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-41

Revisin Del Mdulo:


Preguntas.
Contestar a las preguntas de la revisin
de la topologa del diseo de red.
Estar preparado para repasar sus
respuestas con la clase. .

2000, Cisco Systems, Inc.

www.cisco.com

DCN v2.14-42