AUTORIZACIÓN DE PRESENTACIÓN DE MEMORIA

Transcripción

1 2011 Reingeniería de Red en Centro de Datos Lule Hurtado Maria de Jesús Portada Externa de la memoria UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Reingeniería de Red en Centro de Datos Memoria Que como parte de los requisitos para obtener el titulo de Ingeniera en Tecnologías de la Información y Comunicación Presenta Lule Hurtado Maria de Jesús Nombre del aspirante Asesor de la UTEQ Asesor de la Empresa M. en C. Raúl García Pérez Ing. Gustavo Dorantes Chávez Lugar y fecha -Entrega en electrónico ( Opcional impreso presentar con escudo y letras doradas, y en pastas duras color negro, tamaño carta) 1

2 Querétaro, Qro., a 13 de abril de C. Maria de Jesús Lule Hurtado Matrícula: Candidato al grado de Ingeniera en Tecnologías de la Información y Comunicación P r e s e n t e AUTORIZACIÓN DE PRESENTACIÓN DE MEMORIA El que suscribe, por medio del presente le informa a Usted, que se le autoriza la presentación de su memoria de la Estadía profesional, titulada: Reingeniería de red en Centro de Datos, realizado en la empresa: PHI IT S.A DE C.V. Trabajo que fue revisado y aprobado por el Comité de Asesores, integrado por: Ing. Gustavo Dorantes Chávez Asesor de la Empresa M. en C. Raúl García Pérez Profesor Asesor Se hace constar el NO adeudo de materiales en las siguientes áreas. Biblioteca UTEQ Lab. Informática Lab. de Tecnología A t e n t a m e n t e Ing. Rodrigo Mata Hernández Director de la División C.c.p. Lic. Marina Sánchez Olalde.- Subdirector de Servicios Escolares Archivo Nota: Incorporar imagen escaneada que incluya firmas 2

3 Resumen Reestructurar el diseño de red de los equipos de telecomunicaciones ubicados en un Centro de Datos es de suma importancia ya que la innovación y la implementación de tecnología de alto nivel, confiable y eficiente sirven para prevenir en la medida de lo posible fallas fortuitas y garantizar la alta disponibilidad requerida en todos los servicios que son ofrecidos; se debe comenzar por hacer una investigación sobre el funcionamiento y arquitectura de red de los centros de datos existentes y mundialmente reconocidos; luego se recomienda analizar la topología operativa en las instalaciones de la empresa antes de implementar cambios, identificando cada equipo en la red y las tecnologías usadas; posteriormente se proponen diferentes diseños así como la factibilidad y el análisis de riesgos si llegaran a realizarse; después se llega a la implementación de la propuesta elegida y la estandarización y documentación de todo lo logrado; las pruebas concluyentes de operación, evaluación de resultados y conclusiones conforman la parte final del presente reporte; es importante señalar que este proyecto Reingeniería de Red en Centro de Datos auxiliará a la empresa mediante el perfeccionamiento de su red, permitiendo un crecimiento y rendimiento considerable, esto se verá reflejado en la satisfacción de los usuarios de los servicios del centro de datos. 3

4 Abstract Restructure the network design of telecommunications equipment located in a Data Center is very important as innovation and implementation of high technology, reliable and efficient serve to prevent as far possible accidental failures and guarantee the high availability required in all services offered; at first begin to do research about network performance and architecture of existing data centers who are recognized worldwide; after that analyze the topology operation at the company before implementing changes, identifying each device on the network and used technologies; then propose different designs and the feasibility and analysis of risks; next come to the implementation of the chosen proposal and the standardization and documentation of all achieved objectives; the evidence of operation, performance evaluation and conclusion finishes this report; it s important to note that this project "Network Reengineering Data Center" help the company by improving its network allowing considerable growth and yield, this is reflected in the user s satisfaction of data center services. Agradecimientos Principalmente le agradezco a Dios que me permite vivir, disfrutar y apreciar de las maravillas de este mundo. Gracias a mi asesor de la UTEQ Raúl García por todas sus aportaciones. Reconozco que de no ser por la oportunidad brindada de hacer mis prácticas profesionales en PHI-IT, difícilmente habría comprendido como es la vida laboral real de personas que necesitan un empleo; es por eso que agradezco a Gustavo Dorantes mi asesor de empresa, y a cada una de las personas que tuve la fortuna de conocer y colaborar con ellas. Es bastante claro que sin mis papas, hermanos, sobrinos y Josué Jiménez no lo habría logrado, porque gracias a su cariño, apoyo y confianza he llegado a realizar dos de mis más grandes metas en la vida. La culminación de mi carrera profesional y el hacerlos sentirse orgullosos de esta persona que tanto los ama. Mary Lule 4

5 Índice Resumen... 3 Abstract... 4 Agradecimientos... 4 Índice... 5 I. INTRODUCCIÓN... 6 II. ANTECEDENTES... 7 III. JUSTIFICACIÓN... 8 IV.OBJETIVOS... 8 V. ALCANCES... 9 VI. FUNDAMENTACIÓN TEÓRICA Tipos de granjas de servidores y Centros de Datos Topologías de Centros de Datos VII.PLAN DE ACTIVIDADES VIII. RECURSOS MATERIALES Y HUMANOS IX. DESARROLLO DEL PROYECTO Análisis de la topología operativa en PHI IT Propuestas de Diseño para la Reingeniería y Factibilidad Análisis de Riesgos Implementación Diseño Lógico a Desarrollar Configuración de Switches de Acceso (1 modelo 2950 y 4 modelos 3560) Configuración de Switches de Agregación (2 modelos 6504) Configuración de Switch Núcleo (modelo 6506) Pruebas X. RESULTADOS OBTENIDOS XI. CONCLUSIONES XII. RECOMENDACIONES (personal) XIV. REFERENCIAS BIBLIOGRÁFICAS

6 I. INTRODUCCIÓN Los centros de datos son ambientes especializados que protegen el equipo más valioso de una empresa así como su propiedad intelectual. Dichas áreas alojan los dispositivos electrónicos que realizan entre otras cosas lo siguiente: Procesar transacciones de negocios Hospedar sitios web Procesar y almacenar la propiedad intelectual Mantener registros financieros Direccionar servicios como correo electrónico, Bases de Datos, etc. Un Centro de Datos bien planeado y bien administrado admite operaciones como éstas y aumenta la productividad de la empresa, proporcionando alta disponibilidad de la red y un procesamiento de la información más rápido. En muchos sentidos, el centro de datos es el cerebro de la empresa. La capacidad del negocio de percibir el mundo (la conectividad de datos), comunicación (correo electrónico), archivar información (almacenamiento de datos), y tener nuevas ideas (investigación y desarrollo) todos confían en que funciona correctamente. [1] Los Centros de Datos típicamente alojan muchos componentes, como los tabiques que soportan la infraestructura de un edificio, así los switches, routers, servers y firewalls soportan la red de datos en una organización. [2] Para todo Centro de Datos es primordial la mejora continua, es por esto que el proyecto Reingeniería de Red en Centro de Datos se desarrolla en una empresa líder en tecnologías de la información, precisamente para anticipar la demanda de servicios que ofrece y garantizar su alta disponibilidad. 6

7 II. ANTECEDENTES PHI IT S.A. DE C.V. es una empresa con capital 100% mexicano, fundada con el propósito de ofrecer servicios en el área de Tecnologías de Información (procesamiento electrónico de información, hospedaje de páginas web y otros servicios relacionados). Debido a la creciente necesidad de ofrecer servicios que sean confiables y eficientes PHI IT S.A. DE C.V. se crea por un equipo de expertos capacitados en la materia en la Ciudad de Querétaro, Qro; con instalaciones y equipos de alto nivel y las características técnicas adecuadas para ofrecer a los clientes servicios confiables y de calidad. Misión de PHI IT: Procurar soluciones de negocio basadas en tecnologías de información y comunicaciones para que las empresas alcancen sus objetivos de rentabilidad, configurándonos como elemento fundamental de su competitividad. Visión de PHI IT: Ser el elemento vertebrador de la competitividad empresarial, como un canal imprescindible a través del que nuestros clientes amplíen perspectivas, alcancen sus objetivos de negocio y se integren en el contexto global. Filosofía y Valores de PHI IT: Ser una organización con actitud y aptitud que conozca los mercados propios y de nuestros clientes, para participar en iniciativas de evolución continua; como generadora de nuevas ideas y de programas. En donde siempre primen los criterios de transparencia, participación, pluralidad, diálogo, solidaridad, reconocimiento de la diversidad, consenso, búsqueda de la mejora y la evolución continua, capacidad de adaptación pero sobre todo prospectiva anticipándonos a los cambios; creativa, dinámica, innovadora, emprendedora, proactiva, con idea de equipo y vocación de servicio e implicación en un proyecto común. Siempre comprometidos con la preservación del medio ambiente. 7

8 III. JUSTIFICACIÓN La innovación y la implementación de tecnología de alto nivel, confiable y eficiente es de suma importancia para PHI-IT razón por la cual se requiere una reestructuración en el diseño de red para el equipo de telecomunicaciones ubicado en el Centro de Datos para prevenir en la medida de lo posible fallas fortuitas y garantizar la alta disponibilidad requerida en todos los servicios que se ofrecen. Otra razón para la reingeniería del Centro de Datos es la urgente necesidad de implementar la tecnología de Voz sobre IP pero con el diseño que se cuenta carece de la aplicación de modelos jerárquicos y calidad en el servicio, entre otros, por lo que resulta imposible la implementación actual de esta tecnología Finalmente se requiere estandarizar la organización de la red como son seguridad en equipos de telecomunicaciones, niveles de acceso y algunas tecnologías para eficientar la administración de la red en general. IV.OBJETIVOS Reestructurar el diseño de red de los equipos de telecomunicaciones ubicados en el Centro de Datos de PHI IT en el modelo jerárquico de tres capas. Mejorar el rendimiento de la red de datos configurando el mejor desempeño de cada uno de los equipos de telecomunicaciones para implementar calidad en el servicio y telefonía IP. Dejar en óptimas condiciones de funcionalidad y operación de la red de datos implementando las tecnologías recomendadas por Cisco. 8

9 V. ALCANCES En este apartado se describe la extensión y los límites del proyecto. El alcance del proyecto incluye generalmente una descripción de las etapas de inicio y fin del proyecto, describiendo las actividades que se desarrollarán en cada una de ellas, así como el período de tiempo requerido en cada una. El proyecto se llevara a cabo del 3 de enero al 13 de abril del 2011 presencialmente en las instalaciones de PHI IT ubicada en Avenida del Marqués 42-C Parque Industrial Bernardo Quintana, El marqués Querétaro. Las etapas del proyecto son las siguientes: Análisis de la topología operativa antes de implementar cambios, identificando cada equipo en la red y las tecnologías que están implementadas. La etapa comprende del 3 al 20 de enero. Proposición de dos diseños diferentes así como la factibilidad y el análisis de riesgos. Este lapso dura del 21 de enero al 9 de febrero. La etapa más delicada es la implementación de la propuesta elegida y la estandarización y documentación de la red en el Centro de Datos. Fase comprendida del 10 de febrero al 31 de marzo. Finalmente se llegaran a las pruebas concluyentes de operación, evaluación de resultados y conclusiones de este proyecto. Ultima actividad que transcurre del 1 al 13 de abril. 9

10 VI. FUNDAMENTACIÓN TEÓRICA Los Centros de Datos son ambientes muy dinámicos que alojan múltiples tipos de granjas de servidores las cuales soportan aplicaciones esenciales para el negocio. El diseño de un Centro de Datos envuelve una variedad de aspectos relacionados con la arquitectura de las aplicaciones y con la infraestructura de red. Tipos de granjas de servidores y Centros de Datos Un buen planteamiento de diseño implica una combinación de los principios de la arquitectura como la escalabilidad, flexibilidad y alta disponibilidad, así como la aplicación de dichos principios a las necesidades del entorno de aplicación. El resultado debe ser una arquitectura que responda a las necesidades actuales, pero que sea lo suficientemente flexible para evolucionar y satisfacer las necesidades de las tendencias a corto y largo plazo. La ingeniería real de los distintos tipos de granjas de servidores: Internet, Extranet e Intranet no varía mucho de un tipo a otro, sin embargo, su integración con el resto de la arquitectura es diferente. Las opciones de diseño son diferentes para cada tipo de granja de servidores y son el resultado de su finalidad funcional. Esto lleva a un lugar específico para su colocación, las consideraciones de seguridad, redundancia, escalabilidad y rendimiento. En la ilustración 1 se presenta una visión general de los centros de datos, incluye una serie de bloques de construcción y componentes de la arquitectura de red en una empresa grande. 10

11 Ilustración 1 Los tres tipos de centro de datos residen en este ejemplo, lo que generalmente se conoce como el centro de datos corporativo o centro de datos empresarial. Si el único propósito del centro de datos es soportar aplicaciones de Internet y de servidores, el centro de datos se refiere como un centro de datos de Internet. Granja de servidores y centro de datos de Internet El centro de datos que soporta una granja de servidores se refiere a menudo como un Internet Data Center (IDC). Un IDC se construye por las empresas para apoyar su propia infraestructura de e-business como para proveer servicios ofreciendo alojamiento, venta de servicios, lo que permite a las compañías la co-ubicación de infraestructura de e-business en la red del proveedor. 11

12 Los IDCs son para soportar aplicaciones basadas en Internet como se muestra en la ilustración 2, además de acceso a web para los empleados de la empresa. Estas granjas de servidores se encuentran típicamente en la zona desmilitarizada (DMZ), ya que forman parte de la red corporativa y además estan accesibles desde Internet. Ilustración 2 Topologías de Centros de Datos Diseño Genérico de capa 3/capa 2 El diseño genérico de capa 3/capa 2 está basado en la forma más común de implementar granjas de servidores. Esto se muestra en la ilustración 3. 12

13 Ilustración 3 Lo sobresaliente de la topología son los switches de la capa de agregación que desarrollan funciones de capa 2 y capa 3, mientras que los switches de acceso proveen conectividad a los servers en la granja. Las funciones de capa 3 realizadas por los switches de agregación son las siguientes: Reenviar paquetes de capa 3 entre la granja de servidores y el resto de la red. Mantener una visión del enrutamiento de red supuesta a cambiar dinámicamente. Tener gateways predeterminados para las granjas de servidores. 13

14 Las funciones de capa 2 desarrolladas por los switches de agregación son: Spanning Tree Protocol (STP) 802.1d entre switches de agregación y acceso para construir una topología de reenvío libre de bucles. STP 802.1d más allá de las mejoras que optimizan el comportamiento predeterminado de spanning-tree, como 802.1s, 802.1w, UplinkFast, Backbonefast y Loopguard. VLANs para separar lógicamente las granjas de servidores. Otos servicios, como multicast y ACLs para servicios de QoS, seguridad, limitación de velocidad, la supresión de difusión, y así sucesivamente. Los switches de capa de acceso proporcionan conectividad directa a la granja en donde se pueden encontrar servidores de diferentes tipos. Los tipos de servidores de la granja incluyen tales como DNS, DHCP, FTP y Telnet, mainframes utilizando SNA sobre IP o IP y servidores de base de datos. La conectividad entre los switches de agregación y los de acceso es la siguiente: EtherChannel entre los switches de agregación. El canal es en modo troncal el cual permite el enlace físico que soporta tantas VLANs como se necesiten. Enlaces simples o múltiples (EtherChannel, dependiendo de la demanda que se espera en los enlaces) de cada switch de acceso a cada switch de agregación (uplink). Estos enlaces son también los troncales, lo que permiten múltiples VLANs a través de una ruta física única. Servidores de base dual (dual-homed) para diferentes switches de acceso para la redundancia. La tarjeta de red que utiliza el servidor se especifica que tiene dos puertos en una configuración activo/en espera. Cuando el puerto principal falla, el de espera se hace cargo, utilizando la misma MAC y las direcciones IP que el puerto activo estaba usando. 14

15 Diseño collapsed Un diseño Collapsed de múltiples capas es aquel en la que todas las granjas de servidores están conectadas directamente a la capa de acceso a los switches de agregación, y no hay ninguna separación física entre los swithes de capa 2 que soportan distintos niveles. La ilustración 4 presenta un diseño Collapsed. Ilustración 4 En este diseño, los servicios se concentran en el nivel de agregación, y los dispositivos de servicio ahora se utilizan para el final de nivel frontal y entre niveles. Utilizando un modelo collapsed, no hay necesidad de contar con un conjunto de balanceadores de carga o offloaders SSL dedicado a un determinado nivel. Esto reduce el costo, sin embargo, la gestión de los dispositivos es más exigente y las demandas de rendimiento son más altas. Los dispositivos de servicio, tales como los servidores de seguridad, protegen a todos los niveles del servidor desde el exterior del centro de datos y entre sí. El equilibrador de carga también se puede utilizar simultáneamente para equilibrar la carga de tráfico de cliente a servidores web, y el tráfico de los servidores web a los servidores de aplicaciones. 15

16 Conectividad en enlace ascendente de Blades Los servidores Blade son servidores en las hojas (o módulos) que se insertan en un chasis, al igual que los módulos de red o tarjetas de línea se insertan en un chasis de conmutación. La ilustración 5 muestra el switch del chasis del Blade conectado directamente a los switches de agregación. Esta es la alternativa preferida porque se presta a ser más determinista y con menores tiempos de convergencia. Ilustración 5 Consideraciones adicionales requieren un enfoque arquitectónico para hacer frente a las tendencias de medio ambiente y la aplicación de los requisitos que se imponen a la infraestructura de red. [2] proyecto. VII.PLAN DE ACTIVIDADES La ilustración 6 muestra el programa de actividades para el desarrollo del 16

17 Ilustración 6 17

18 VIII. RECURSOS MATERIALES Y HUMANOS Los recursos que cuenta la empresa PHI IT SA de CV para el desarrollo de este proyecto son los siguientes. Recursos Humanos: Líder del Proyecto Administrador de Telecomunicaciones Administrador de Seguridad Informática Administrador de Servidores y Bases de datos Practicante en Redes y Telecomunicaciones Recursos Materiales: Los equipos de telecomunicaciones para el diseño de red se muestran en la tabla 1. Acceso Agregación Núcleo 2 Switches Catalyst 2950 Switch Catalyst WS- C6504-E 96 PUERTOS 5 Switches Catalyst 3560 Switch Catalyst WS- C6504-E 96 PUERTOS Switch Catalyst WS-C6506- E 48 PUERTOS NACAppliance MANAGER Switches DELL ~ 2 ACE Appliance 4710 ~ ~ ASA 5540 ~ ~ 2 Cisco 2811 ~ ~ Cisco 1841 Tabla 1 18

19 IX. DESARROLLO DEL PROYECTO Análisis de la topología operativa en PHI IT Se comienza por la revisión de las configuraciones en los dispositivos de telecomunicaciones existentes. En este caso se usan los comandos Cisco Discovery Protocol (CDP) para hacer un diagrama con la topología operativa de la red de datos, ésta se aprecia en la ilustración 7. Ilustración 7 Como se muestra en el diagrama de la ilustración 7, se cuenta con dispositivos de marca Cisco de las siguientes series: Switches 2950 La serie Catalyst 2950 de Cisco ha sido diseñada para aportar conectividad Fast Ethernet y Gigabit Ethernet a la velocidad del cable para sucursales pequeñas, medianas y corporativas, además de entornos industriales. Puertos: 24 x 10/100 19

20 Tamaño de tabla de dirección MAC: 8K de entradas Protocolo de gestión remota: SNMP 1, SNMP 2, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, HTTP Características: Control de flujo, capacidad duplex, concentración de enlaces, soporte VLAN, snooping IGMP, soporte para Syslog, Cola Round Robin (WRR) ponderada, actualizable por firmware Alimentación: CA 120/230 V ( 50/60 Hz ) Dimensiones: (Ancho x Profundidad x Altura) 44.5 cm x 24.2 cm x 4.4 cm Peso 3 kg Switches 3560 La serie Cisco Catalyst 3560 es una línea de switches de clase empresarial que incluyen soporte para PoE, QoS y características de seguridad avanzada como ACL. Estos switches son los switches de capa de acceso ideales para acceso a la LAN de pequeñas empresas o ámbitos de redes convergentes de sucursales. La serie Cisco Catalyst 3560 admite velocidades de reenvío de 32 Gb/s a 128 Gb/s (serie de switches Catalyst 3560-E). Los switches de la serie Catalyst 3560 se encuentran disponibles en diferentes configuraciones fijas: Conectividad Fast Ethernet y Gigabit Ethernet Hasta 48 puertos de 10/100/1000, más cuatro puertos pequeños de factor de forma enchufables (SFP) 20

21 Conectividad opcional de 10 Gigabit Ethernet en los modelos Catalyst 3560E PoE integrada opcional (Cisco preestándar e IEEE 802.3af); hasta 24 puertos con 15.4 vatios o 48 puertos con 7.3 vatios Switches 6500 El switch modular de la serie Catalyst 6500 se optimiza para redes seguras y convergentes de voz, video y datos. Catalyst 6500 puede administrar el tráfico en las capas de distribución y núcleo. La serie Catalyst 6500 es el switch de Cisco de más alto rendimiento que admite velocidades de reenvío de hasta 720 Gb/s. Catalyst 6500 es ideal para ámbitos de redes muy grandes hallados en empresas, compañías medianas y prestadores de servicios. Los switches de la serie Catalyst 6500 se encuentran disponibles en diferentes configuraciones modulares: Chasis modular de 3, 4, 6, 9 y 13 ranuras Módulos de servicio de LAN/WAN Dispositivos PoE hasta 420 IEEE 802.3af de Clase 3 (15.4 W) Hasta 1152 puertos de 10/100, 577 puertos de 10/100/1000, 410 puertos SFP Gigabit Ethernet o 64 puertos de 10 Gigabit Ethernet Fuentes de energía CA o CC interna, dual, intercambiable en caliente Capacidades de enrutamiento IP avanzadas asistidas por hardware Sucursales de empresas y organizaciones medianas Velocidades de envío de hasta 720 Gbps Chasis modular de 3, 4, 6, 9 y 13 ranuras 21

22 Administración basada en la Web y CLI de Cisco Funciones de LAN avanzadas: o Módulos de servicio LAN/WAN o Conmutación multicapa o Enrutamiento IP asistido por hardware o QoS o ACL Además de los switches que se muestran en la ilustración 7 la empresa cuenta con los siguientes dispositivos de seguridad: ASA 5550 El firewall PIX era el único dispositivo que una red segura podía implementar. El PIX evolucionó hasta convertirse en una plataforma que integra muchas características de seguridad diferentes, denominada Aplicación de seguridad adaptable (ASA) de Cisco. El ASA de Cisco cuenta con un firewall, seguridad de voz, VPN de SSL e IPsec, IPS y servicios de seguridad de contenidos en un solo dispositivo. El Cisco ASA 5550 ofrece una poderosa combinación de múltiples tecnologías probadas en el mercado en una sola plataforma, lo que lo convierte operacionalmente y económicamente viable para las organizaciones a implementar servicios integrales de seguridad a más lugares. La cartera integral de servicios en el Cisco ASA 5550 permite la personalización de las necesidades específicas de cada lugar a través de ediciones del producto a medida para empresas pequeñas y medianas. Estas ediciones permiten una mayor protección al proporcionar los servicios adecuados para la ubicación correcta. 22

23 NAC Appliance MANAGER3310 La aplicación de NAC de Cisco utiliza la infraestructura de la red para hacer cumplir la política de seguridad respecto de todos los dispositivos que intentan obtener acceso a los recursos informáticos de la red. Se utiliza Cisco NAC Appliance para autenticar, autorizar, evaluar y remediar por red de cable ó inalámbrica a los usuarios remotos antes de que puedan acceder a la red. Reconocer los usuarios, sus dispositivos, y su papel en la red Evaluar si las máquinas cumplen con las políticas de seguridad Hacer cumplir las políticas de seguridad mediante el bloqueo, aislamiento y reparación de máquinas Proporcionar el acceso fácil y seguro para invitados Auditoría y el informe que está en la red Se puede implementar este sistema como una solución de superposición de las cuentas que requieren autenticación de red, control de acceso basado en roles, y la evaluación de la postura. Cisco NAC Appliance se extiende a todos los métodos de acceso de red, incluyendo acceso a través de redes LAN, pasarelas de acceso remoto, y los puntos de acceso inalámbricos. También apoya la postura de evaluación para los usuarios invitados. 23

24 ACE 4710 Appliance El ACE (Application Control Engine) de Cisco 4710 permite a las empresas lograr cuatro objetivos principales de TI para aplicaciones: Aumentar la disponibilidad de las aplicaciones Facilitar la consolidación del centro de datos a través de menor número de servidores, balanceadores de carga, y centro de datos de servidores de seguridad Acelerar el rendimiento de las aplicaciones El ACE de Cisco 4710 alcanza estos objetivos a través de un amplio conjunto de inteligencia de balanceo de carga de capa 4 y de conmutación de contenido de capa 7 tecnología integrada con virtualización y de seguridad. Ofrece escalabilidad y flexibilidad en la gestión de tráfico, con hasta 4 Gb/s en una sola unidad de rack (1RU), se puede actualizar a través de licencias de software. Además, a través de su virtualización innovadora y control de acceso basado en roles (RBAC) permite a los administradores ofrecer una amplia gama de aplicaciones desde una sola máquina de Cisco ACE, con lo que aumenta la escalabilidad para el aprovisionamiento de aplicaciones para el centro de datos. Mejora notablemente la eficiencia de servidor a través de la alta flexibilidad en la gestión de tráfico y la descarga de tareas intensivas de la CPU, como SSL el proceso de cifrado y descifrado, la compresión HTTP, y la gestión de sesión TCP. La plataforma Cisco ACE está diseñada para servir como última línea de defensa para los servidores y aplicaciones, realiza inspección profunda de paquetes y bloquea los ataques maliciosos. 24

25 Funcionalidad de dispositivos y Tecnologías Empleadas Los switches de los modelos 2950 y 3560 operativos están funcionando en forma básica y tienen habilitadas las siguientes configuraciones: Contraseñas en consola, modo privilegiado y líneas virtuales Descripción de cada puerto Desactivar administrativamente los puertos sin uso VLAN 1,10, con asignación y estados de puertos (acceso o troncal) Velocidad de puertos de 100 y 1000, modo full dúplex y encapsulación dot1q Spanning-tree portfast Los switches de los modelos 6500 operativos están funcionando en forma básica y tienen habilitadas las siguientes configuraciones: Contraseñas en consola, modo privilegiado y líneas virtuales Descripción de cada puerto Apagados administrativamente los puertos sin uso VLANs 1, 10, 12, 13, 14, 21, 100, 101, 102, 506, 606, 668 y 669 con asignación y estados de modos de puertos (acceso o troncal) Interfaces de VLANs Rutas estáticas y predeterminadas Modo full dúplex Encapsulación dot1q Spanning-tree portfast Con respecto a los equipos NAC y ACE no están operativos. El ASA tiene configuraciones de seguridad como listas de acceso entre otras que por seguridad no se pueden mencionar. 25

26 Propuestas de Diseño para la Reingeniería y Factibilidad Propuesta 1 En esta propuesta se sugiere reutilizar los equipos de telecomunicaciones con que se cuenta actualmente en las instalaciones y requiere de una reestructura completamente diferente como se muestra en la ilustración 8. También señala dos redes independientes ya que uno de los clientes así lo solicitó. Ilustración 8 Las tecnologías a implementar además de las existentes serían las siguientes: Estandarizar autorización de accesos y crear usuarios con diferentes niveles de administración. Habilitar SSH y deshabilitar telnet en cada equipo de telecomunicaciones. EtherChannel entre los switches de agregación y de uplink hacia el switch Núcleo. Redundancia desde los switches de nivel de acceso con los de agregación. Modo rapid-pvst en spanning-tree. Seguridad en puertos de cada server. Zona desmilitarizada para los servicios de hosting. VTP (VLAN Trunking Protocol) 26

27 Propuesta 2 La segunda opción consiste en optimizar el diseño centralizando la administración en una sola red, se puede apreciar en la ilustración 9. Y se contaría con las mismas tecnologías de la propuesta 1. Ilustración 9 Este diseño agregaría la red independiente de un cliente para ofrecer la redundancia que ofrece la topología del data center. Factibilidad de la propuesta seleccionada La propuesta 1 fue la seleccionada para llevar a cabo la implementación de la reingeniería de la red del centro de datos, ya que permite disminuir los riesgos de afectar la disponibilidad de los servicios operativos y de criticidad en uno de los clientes más importantes para la empresa. La segunda propuesta queda como prospecto para una posterior fase ya que se garantice su buen funcionamiento y operatividad. 27

28 Análisis de Riesgos Es de suma importancia considerar los riesgos que puedan poner en peligro la culminación del proyecto Reingeniería de red en Centro de Datos. Para describir claramente las limitaciones o posibles barreras que impidan alcanzar los objetivos programados se tiene una acción de mitigación para cada riesgo como se muestra en la siguiente tabla 2. Cuantificación de riesgos Alta Media Baja Alta Alta Media Baja Alta Tabla 2 Riesgo -> Consecuencia La topología seleccionada no sea configurable en los switches existentes El laboratorio no esté disponible para realizar las pruebas de funcionalidad No exista un servidor TFTP para respaldar las configuraciones operativas Falla en respaldo y/o restauración de configuraciones Los equipos de seguridad no sean configurados correctamente (ASA y NAC) Los equipos de balanceo de carga no sean configurados correctamente (ACE) No se autoricen ventanas de mantenimiento para implementar los cambios El nuevo diseño no sea funcional Fecha de Identificación del riesgo 04/02/ Responsables Practicante del área de Redes y Telecomunicaciones 14/02/2011 Líder del Proyecto 17/02/2011 Administrador de Servidores y Bases de datos 17/02/2011 Líder del Proyecto 17/02/ /02/2011 Administrador de Seguridad Informática Administrador de Telecomunicaciones 24/02/2011 Líder del Proyecto 01/04/2011 Líder del Proyecto Acciones de mitigación Hacer un laboratorio físico para probar las tecnologías a aplicar Hacer las pruebas en simulador e investigar configuraciones para los existentes Configurar un servidor y verificar operatividad Restaurar respaldos y probar funcionalidad Solicitar externamente pruebas de penetración para descartar inseguridad en la red Emplear un software para emular el balanceo Extender la fecha de finalización y entrega del proyecto Restaurar respaldos y probar funcionalidad Fecha límite 16/02/ /02/ /02/ /02/ /03/ /03/ /03/ /04/2011