Seguridad en el Data Center: requisitos fsicos y niveles del Data Center.

Trabajo de graduacin previo a la obtencin del Ttulo de Tcnico Superior Universitario en Telecomunicaciones. Sergio Ren Gutirrez Medina Carnt: T013

!uatemala" Septiembre de #013. Universidad del Ist o $ector: %ng. &anuel 'ngel (re) *ara +icerrector: *ic. &arco ,ntonio !arca -i.n +icerrectora: *icda. *inda (a) /ue)ada Secretario !eneral: *ic. &ario 0spa1a

!scuela "cnica Su#erior $inal irector !eneral: %ng. 0dgar Uma1a 2letc.er irector ,cadmico de la 0scuela Tcnica: ,r3. $icardo (onciano Subdirector ,cadmico de la 0scuela Tcnica: *ic. 0stuardo Toledo Secretario ,cadmico de la 0scuela Tcnica: *ic. &arlon $e4es

%R!S!&"'CI(&. 2

)&DIC!.

%. ($0S05T,C%6577777777777777777777777777 %%. 0S,$$8**877777777777777777777777777..

%%%. C85C*US%850S7777777777777777777777777. %+. $0C8&05 ,C%850S77777777777777777777777 +. 9%9*%8!$,2:,77777777777777777777777777..

*+u es el ,Data Center-. Seg;n <i=ipedia: ata Center o Centro de (rocesamiento de atos es un edi>icio o sala de gran tama1o

usada para mantener en l una gran cantidad de e3uipamiento electrnico. Suelen ser creados 4 mantenidos por grandes organi)aciones con objeto de tener acceso a la in>ormacin necesaria para sus operaciones. (or ejemplo" un banco puede tener un data center con el propsito de almacenar todos los datos de sus clientes 4 las operaciones 3ue estos reali)an sobre sus cuentas. (r?cticamente todas las compa1as 3ue son medianas o grandes tienen alg;n tipo de grandes llegan a tener varios. 0ntre los >actores m?s importantes 3ue motivan la creacin de un C( se puede ata center" mientras 3ue las m?s

destacar el garanti)ar la continuidad del servicio a clientes" empleados" ciudadanos" proveedores 4 empresas colaboradoras" pues en estos ?mbitos es mu4 importante la proteccin >sica de los e3uipos in>orm?ticos o de comunicaciones implicados" as como servidores de bases de datos 3ue puedan contener in>ormacin crtica.

*a red del

ata Center tiene 3ue proveer servicios ininterrumpidos con un bajo tiempo

de respuesta para aplicaciones. ,lto anc.o de banda para servidores" implementacin de virtuali)acin 4 consolidacin de red son las claves para las nuevas tecnologas de ata Center.

"i#os de Data Center 5

(ara los

ata Center e@isten clasi>icaciones seg;n el nivel de su certi>icacin. Se trata ata

del est?ndar ,5S%AT%,BCD# Telecommunications %n>rastructure Standard >or

Centers" creado por miembros de la industria" consultores 4 usuarios" 3ue intenta estandari)ar el proceso de dise1o de los centros de datos. 0l est?ndar est? orientado a ingenieros 4 e@pertos en la materia. Sin embargo" .a4 una parte del est?ndar 3ue vale la pena conocer cuando contratamos servicios de alojamiento en un centro de datos: *os Tiers. 0ste sistema de clasi>icacin >ue inventado por el Uptime %nstitute para clasi>icar la >iabilidad E4 tambin para .acer negocio certi>icando los centros de datos" claro est?F. "ier I: Data Center /0sico *a in>raestructura de comunicaciones ser? distribuida de la sala de entrada E0$F para las ?reas de distribucin .ori)ontal EG ,F a travs de una ;nica ruta. 5o e@iste redundancia de rutas >sicas o lgicas. 0stima un nivel mnimo de distribucin de energa elctrica para atender e@igencias de capacidad elctrica" con pe3ue1a o ninguna redundancia. 0n este caso" una >alla elctrica o una reparacin podr?n ocasionar la interrupcin parcial o total de las operaciones. 5o es necesaria redundancia de alimentacin de energa en la entrada de la empresa. *a in>raestructura deber? estar >uera de servicio al menos una ve) al a1o por ra)ones de mantenimiento 4Ao reparaciones. 0rrores de operacin o >allas en los componentes de su in>raestructura causar?n la interrupcin. ebe prever un sistema de acondicionamiento de aire simplesAm;ltiples con capacidad de en>riamiento combinada para mantener la temperatura 4 la .umedad relativa de las ?reas crticas en las condiciones pro4ectadas" sin unidades redundantes. *a tasa de disponibilidad m?@ima es CC.HI1 *os potenciales puntos de >alla son: 2alla de energa de la concesionaria en el de TelecomunicacionesJ 2alla de e3uipamientos de la 8peradoraJ 2alla en los $outers o conmutadores no redundantesJ ata Center o en la Central de la 8peradora

Cual3uier evento catastr>ico en las rutas de intercone@in o en las ?reas 0$" & ," G ," K ," 0 ,J "ier II: Co #onentes Redundantes *os e3uipamientos de telecomunicaciones del ata Center 4 tambin los e3uipamientos de la operadora de telecomunicaciones" as como los conmutadores *,5BS,5 deben tener mdulos redundantes E>uentes de energa" placas procesadoras" de supervisin" de uplin=" de accesoF. Cone@iones redundantes pueden estar en los mismos cables. de acceso de ebe tener dos cajas ebe telecomunicaciones 4 dos caminos de entrada .asta la 0$. 0s

recomendable 3ue .a4a una separacin >sica de al menos #0m entre estos.

proveer mdulos U(S redundantes para 5L1. 0s necesario un sistema de generador elctrico dimensionado para controlar todas las cargas" mientras no sea necesario conjunto de generadores redundantes. 5o es necesaria ninguna redundancia en la entrada de servicio de distribucin de energa. *os sistemas de aire acondicionado deben ser pro4ectados para la operacin continua I dasA #D .orasA 3HM dasAa1o e incorporan un mnimo de redundancia 5L1. *a tasa de disponibilidad m?@ima CC.ID1 (osible punto de >alla para esta instalacin: N N 2allas en los sistemas de aire acondicionado o de energa pueden ocasionar &antenimiento en la lnea de distribucin elctrica o en otros componentes de la >allas en todos los dem?s componentes. in>raestructura" pueden causar una interrupcin del servicio.

"ier III: Manteni iento Concurrente 1Siste a 'uto So#ortado2 ebe ser atendido por lo menos dos operadoras de telecomunicacin. 5o es permitido 3ue los cables de una misma operadora presten servicios a una segunda operadora" para evitar un punto ;nico de >alla. ebe tener dos salas de entrada E0$F de pre>erencia en lados opuestos con lo mnimo de #0m de separacin >sica entre las dos entradas. 0n estas salas no se debe compartir e3uipamientos de telecomunicacin" las salas deben estar en )onas de proteccin contra incendio" sistemas de energa 4 aire acondicionado distintos. *os e3uipos de las operadoras de cada sala de entrada deben >uncionar si .ubiera problemas en la otra sala. ebe proveer rutas redundantes entre las salas de entrada E0$F" las salas de cone@in principal E& ,F 4 las salasA?reas de cableado .ori)ontal EG ,F. 0n estas rutas deben tener >ibras o pares de cobre redundantes" dentro de la con>iguracin estrella general. *as cone@iones redundantes pueden estar en la misma o en distintas cubiertas de cables. (ara in>raestructuras 3ue utili)an sistemas de en>riamiento por agua. *a tasa de disponibilidad m?@ima CC.CO#P. 0l punto de >alla es: N servicios Cual3uier evento crtico Qcat?stro>eR en la & , o G , va a interrumpir los

"ier I3: "olerante a 4allas 1/a5a "olerancia a 4allas2 $e3uiere dos lneas de distribucin simult?neamente activas" tpicamente en una con>iguracin S4stemLS4stem. Todo el cableado del bac=bone debe ser redundante" adem?s" l debe ser protegido a travs de rutasAductos cerrados. *os e3uipamientos activos E$outers" &8 0& de operadoras" sSitc.es *,5AS,5F deben ser redundantes 4 tener alimentacin de energa redundante. 0l sistema debe proveer la conmutacin autom?tica para los e3uipos de bac=up. 0lctricamente esto signi>ica dos sistemas de U(S independientes" cada sistema con un nivel de redundancia 5L1. *a carga m?@ima de los sistemas en situaciones crticas es de C0P. (ersiste un nivel de e@posicin a >allas" por el inicio una alarma de incendio o por3ue una persona inicie un procedimiento de apagado de emergencia E0(8F" los cuales deben e@istir para cumplir con los cdigos de seguridad contra incendios o elctricos. *a tasa de disponibilidad m?@ima CC.CCMP ,lgunos potenciales puntos simples de >alla de una instalacin de capa D son: 0n el caso de no implementar una & , secundaria" si la & , primaria tener >allas" el sistema es interrumpido. 0n el caso de no implementar una G , secundaria" si la G , primaria tener >allas" el sistema es interrumpido.

Requisitos en el dise6o del Data Center

U7icaci8n: *a ubicacin del ata Center suele ser ?reas metropolitanas 3ue sean accesibles para m;ltiples sucursales o bien en ?reas crticas para la empresa. Con m;ltiples respaldos elctricos 4 accesibilidad de m?s de una empresa proveedora de internet %nternet Service (rovider E%S(F. 0n algunos casos el ata Center necesita un respaldo de toda ata Center la produccin de in>ormacin 4 servicios del mismo" por lo 3ue se crea un >allas.

de respaldo" en una ubicacin geogr?>ica di>erente como redundancia aprueba de

Dise6o: 0l dise1o de un ata Center comien)a por la eleccin de su ubicacin geogr?>ica" 4

re3uiere un e3uilibrio entre diversos >actores:

Coste econmico: coste del terreno" impuestos municipales" seguros" etc. %n>raestructuras disponibles en las cercanas: energa elctrica" carreteras" acometidas de electricidad" centralitas de telecomunicaciones" bomberos" etc. $iesgo: posibilidad de inundaciones" incendios" robos" terremotos" etc.

Una ve) seleccionada la ubicacin geogr?>ica es necesario encontrar unas dependencias adecuadas para su >inalidad" 4a se trate de un local de nueva construccin u otro 4a e@istente a comprar o al3uilar. ,lgunos re3uisitos de las dependencias son:

oble acometida elctrica. &uelle de carga 4 descarga. &ontacargas 4 puertas anc.as. ,ltura su>iciente de las plantas. &edidas de seguridad en caso de incendio o inundacin: drenajes" e@tintores" vas de evacuacin" puertas ign>ugas" etc. ,ire acondicionado" teniendo en cuenta 3ue se usar? para la re>rigeracin de e3uipamiento in>orm?tico. ,lmacenes. 10

8rientacin respecto al sol Esi da al e@teriorF.

,;n cuando se disponga del local adecuado" siempre es necesario alg;n despliegue de in>raestructuras en su interior:

2alsos suelos 4 >alsos tec.os. Cableado de red 4 tel>ono. oble cableado elctrico. !eneradores 4 cuadros de distribucin elctrica. ,condicionamiento de salas. %nstalacin de alarmas" control de temperatura 4 .umedad con avisos S5&( o S&T(. 2acilidad de acceso Epues .a4 3ue meter en l aires acondicionados pesados" muebles de servidores grandes" etcF. 0tc.

Una parte especialmente importante de estas in>raestructuras son a3uellas destinadas a la seguridad >sica de la instalacin" lo 3ue inclu4e:

Cerraduras electromagnticas. Torni3uetes. C?maras de seguridad. etectores de movimiento. Tarjetas de identi>icacin. 0tc.

Una ve) acondicionado el .abit?culo se procede a la instalacin de las computadoras" las redes de ?rea local" etc. 0sta tarea re3uiere un dise1o lgico de redes 4 entornos" sobre todo en ?reas a la seguridad. ,lgunas actuaciones son:

Utili)acin de 2ireSall 11

Creacin de )onas desmilitari)adas E &KF. Sistema de deteccin 4Ao prevencin de %ntrusos Segmentacin de redes locales 4 creacin de redes virtuales E+*,5F. espliegue 4 con>iguracin de la electrnica de red: pasarelas" routerTs" sSitc.eTs Creacin de los entornos de e@plotacin" preBe@plotacin" desarrollo de aplicaciones 4 gestin en red. Creacin de la red de almacenamiento. %nstalacin 4 con>iguracin de los servidores 4 peri>ricos. Soluciones in>orm?ticas de servicios especiali)ados para el ata Center

Docu entaci8n: Una de las partes mas di>ciles 4 disgustantes de la implementacin de una nueva red 4Ao actuali)acin de una 4a e@istente es la documentacin. Sin embargo es >actor clave" el dejar documentado todo cambio >sico o de con>iguracin en: $outers SSitc.es (uertos >sicos Servidores *istas de acceso Topologas >sicas Topologas *ogicas Usuarios 4 contrase1as Calidad de servicio E/oS /ualit4 o> ServiceF

12

"o#ologas de Red: Cuando se instala una red" se crea un mapa de la topologa >sica para registrar dnde est? ubicado cada .ost 4 cmo est? conectado a la red. 0l mapa de la topologa >sica tambin muestra dnde est?n los cables 4 las ubicaciones de los dispositivos de netSor=ing 3ue conectan los .osts. 0n estos mapas de la topologa" se utili)an conos para representar los dispositivos >sicos reales. 0s mu4 importante mantener 4 actuali)ar los mapas de la topologa >sica para >acilitar >uturas tareas de instalacin 4 resolucin de problemas. ,dem?s del mapa de la topologa >sica" a veces es necesario tener tambin una representacin lgica de la topologa de red. Un mapa de la topologa lgica agrupa los .osts seg;n el uso 3ue .acen de la red" independientemente de la ubicacin >sica 3ue tengan. 0n el mapa de la topologa lgica se pueden registrar los nombres de los .osts" las direcciones" la in>ormacin de los grupos 4 las aplicaciones.

13

9a i #ortancia del flu5o de aire. 0n el ata Center es mu4 importante el >lujo de aire en los e3uipos" debido a 3ue no todos los e3uipos se dise1an de la misma manera es vital tomar en cuenta el correcto posicionamiento de los dispositivos" dependiendo del uso 3ue se le d al mismo 4 al dise1o del >lujo de aire interno en el e3uipo. (or lo 3ue se de>ine el corredor >rio 4 el corredor caliente: 0l corredor 2rio: 0s el corredor en donde el aire acondicionado entra para alivianar la temperatura de los e3uipos. 0l corredor Caliente: 0s el corredor en donde el aire acondicionado 4a .a sido procesado por los e3uipos" los e3uipos deben ser colocados de >orma en 3ue el calor dispersado por el e3uipo no da1e a otros elementos o su temperatura.

,mbos corredores son mu4 importantes debido a los di>erentes tipos de e3uipos 4 dise1os de >lujo de aire" si se colocasen los e3uipos en la >orma incorrecta puede llegar a causar da1os en los e3uipos 4Ao el >uncionamiento de los mismos. 0@pulsar la corriente de aire es un punto crtico en el dise1o de los corredores 4 el posicionamiento de los dispositivos.

14

Dise6os de flu5o de aire. *os proveedores de .ardSare utili)an est?ndares para de>inir los tipos de >lujo de aire en los e3uipos" para 3ue el dise1ador de red pueda tomar en cuenta los re3uisitos >sicos de los dispositivos. , continuacin se presentan ejemplos de los e3uipos Cisco 5e@us 4 sus sistemas de >lujo de aire.

,'irflo: for t;e Cisco &e<us =>>? C;assis-

@ +entilacin modulos %A8 B +entilacin

$ig.t

sideBtoBrear

para A 0scape por la parte trasera caliente del pasillo

en>riamiento de tarjetas supervisoras 4

2rontBtoBrear

air>loS

para

en>riamiento de >uentes de poder ,'irflo: for t;e Cisco &e<us =>>C C;assis-

15

@ +entilacin

para

en>riamiento

de B +entilacin de poder

para

tarjetas supervisoras" mdulos %A8 4 mdulos de >abricacin

en>riamiento de >uentes

,'irflo: for t;e Cisco &e<us =>@> C;assis-

@ +entilacin para en>riamiento de A +entilacin tarjetas supervisoras 4 mdulos %A8

para

en>riamiento de 2uentes de

16

poder B +entilacin para en>riamiento de mdulos de >abricacin ,'irflo: for t;e Cisco &e<us =>@D C;assis-

@ +entilacin para en>riamiento de A +entilacin tarjetas supervisoras 4 mdulos %A8 poder B , +entilacin para en>riamiento de mdulos de >abricacin *C8 o ;acer 0s ro7usta la red del Data Center.

para

en>riamiento de 2uentes de

17

5os re>erimos a .acer m?s robusta una red al proceso de >ortalecer en trminos de seguridad la red" .acerla cada ve) m?s di>cil de acceder a personal no autori)ado" sin a>ectar el rendimiento 4 los niveles de servicio para la cual >ue creada la red. Utilizaci8n de 4ire:all. *os >ireSalls pueden proveer seguridad de permetro para toda la red" as como tambin para los segmentos de red local internos" tales como los servidores centrales. entro de una red %S( o de empresas medianas" los >ireSalls suelen implementarse en capas m;ltiples. 0l tr?>ico 3ue ingresa desde una red no con>iable primero se encuentra con un >iltro de pa3uete en el router >ronteri)o. 0l tr?>ico 3ue se admite pasa por el router >ronteri)o .acia un >ireSall interno para dirigirse .acia una )ona desmilitari)ada E &K" emilitari)ed )oneF. Una &K se usa para almacenar servidores a los 3ue los &K. *os >ireSalls tambin controlan usuarios de %nternet tienen permiso para acceder. Slo el tr?>ico al 3ue se le permite acceder a estos servidores puede ingresar a la 3u tipo de tr?>ico puede pasar .acia la red local protegida en s. 0l tr?>ico 3ue se admite a la red interna es usualmente el tr?>ico 3ue se est? enviando gracias a una solicitud espec>ica proveniente de un dispositivo interno. (or ejemplo" si un dispositivo interno solicita una p?gina <eb desde un servidor e@terno" el >ireSall permite el ingreso de la p?gina <eb a la red interna. ,lgunas organi)aciones pueden elegir implementar >ireSalls internos para proteger ?reas delicadas. *os >ireSalls internos se usan para restringir el acceso a las )onas de la red 3ue necesitan tener proteccin adicional. *os >ireSalls internos separan 4 protegen los recursos 3ue la empresa tiene en los servidores de los usuarios dentro de la organi)acin. *os >ireSalls internos evitan los piratas in>orm?ticos internos 4 e@ternos" as como tambin los ata3ues internos no intencionales 4 el malSare. 0@isten dos tipos de 2ireSalls: 2ireSall por So>tSare E!ratuitos 4 ComercialesF 2ireSall por GardSare

2ireSall por So>tSare: 18

Un 2ireSall por so>tSare gratuito es un so>tSare 3ue se puede instalar 4 utili)ar libremente" o no" en la computadora. Son tambin llamados Q es=top 2ireSallR o QSo>tSare 2ireSallR Son >ireSalls b?sicos 3ue monitorean 4 blo3uean" siempre 3ue es necesario" el tra>ico de %nternet. Casi todas las computadoras vienen con un >ireSall instalado" <indoSs U(" <indoSs +ista 4 <indoSs I lo traen. *as caractersticas de un 2ireSall por so>tSare son: *os gratuitos se inclu4en con el sistema operativo 4 normalmente son para uso personal (ueden ser >?cilmente integrados con otros productos de seguridad 5o necesita de .ardSare para instalarlo en la computadora 0s mu4 simple de instalar" normalmente 4a viene activado 4 el Sistema 8perativo alerta cuando no tenemos ning;n tipo de >ireSall en >uncionamiento. Un >ireSall de este tipo es el b?sico 3ue debe e@istir en una computadora 4 no .a4 ra)ones 3ue justi>i3uen la no utili)acin de" por lo menos" un des=top >ireSall. 2ireSall por GardSare Un >ireSall por GardSare viene normalmente instalado en los routerTs 3ue utili)amos para acceder a internet" lo 3ue signi>ica 3ue todas las computdoras 3ue estn detr?s del router estar?n protegidas por un >ireSall 3ue est? includo en el dispositivo. *a con>iguracin de un >ireSall por .ardSare es m?s complicada 3ue una instalacin de un >ireSall por so>tSare 4 es normalmente reali)ada a travs del navegador 3ue se utili)a para acceder a %nternet. *a di>erencia de precio entre un router con >ireSall 4 un router sin >ireSall es mu4 pe3ue1a" por eso es recomendable comprar un >ireSall con esta proteccin.

19

0s posible tener un >ireSall por .ardSare 4 un >ireSall por so>tSare activos simult?neamente para lograr una ma4or proteccin. 2ireSall por So>tSare comercial Un >ireSall comercial >unciona de la misma >orma 3ue uno gratuito Ecomo el de <indoSsF" pero normalmente inclu4e protecciones e@tra 4 muc.o m?s control sobre su con>iguracin 4 >uncionamiento.

2ireSall por So>tSare

2ireSall por GardSare

20

Creaci8n de zonas des ilitarizadas 1DME2. ,l colocar el >ireSall entre la red interna EintranetF e %nternet como un dispositivo de >rontera" se puede supervisar 4 controlar todo el tr?>ico de entrada 4 salida de %nternet. 0sto crea una clara lnea de de>ensa entre la red interna 4 la e@terna. Sin embargo" e@isten algunos clientes e@ternos 3ue re3uieren acceso a los recursos internos. Se puede con>igurar una )ona desmilitari)ada E &KF para lograr esto. 0l trmino )ona desmilitari)ada se ad3uiere de la terminologa militar" donde una permitida. 0n el ?mbito de las redes de computadoras" una &K

es una )ona designada entre dos potencias" en la 3ue la actividad militar no est? &K .ace re>erencia a un ?rea de la red 3ue es accesible tanto para los usuarios internos como para los e@ternos. 0s m?s segura 3ue la red e@terna" pero no tan segura como la red interna. Se crea a travs de uno o m?s >ireSalls para separar las redes internas" e@ternas o 5ormalmente" en una &K se colocan servidores <eb para acceso p;blico. &K.

Siste a de detecci8n yFo #revenci8n de Intrusos 1IDSF I%S2

21

I%S *os %S( tienen tambin la responsabilidad de impedir" cuando sea posible" los accesos no deseados a sus redes 4 a las redes de clientes 3ue compran servicios administrados. 0@isten dos .erramientas 3ue los %S( suelen utili)ar para lograr esto. Un sistema de deteccin de intrusin E% S" intrusion detection s4stemF es una solucin basada en el so>tSare o en el .ardSare 3ue escuc.a en >orma pasiva el tr?>ico de la red. 0l tr?>ico de red no pasa por un dispositivo de % S. (or el contrario" el dispositivo de % S supervisa el tr?>ico a travs de una inter>a) de red. Cuando el % S detecta el tr?>ico malicioso" enva una alerta a la estacin de administracin precon>igurada. Un sistema de prevencin de intrusin E%(S" %ntrusion prevention s4stemF es un dispositivo >sico activo o una caracterstica de so>tSare. 0l tr?>ico ingresa por una inter>a) del %(S 4 sale por la otra. 0l %(S eval;a los pa3uetes de datos reales 3ue est?n en el tr?>ico de la red 4 trabaja en tiempo real para admitir o rec.a)ar pa3uetes 3ue 3uieren acceder a la red *as tecnologas % S e %(S se muestran como sensores. Un sensor % S o %(S puede ser cual3uiera de los siguientes: Un router con>igurado con %(S" Un arte>acto E.ardSareF espec>icamente dise1ado para proporcionar servicios % S o %(S dedicados Un mdulo de red instalado en una aplicacin de seguridad adaptable E,S,F" sSitc." o router *os sensores % S e %(S responden de manera distinta a las incidencias 3ue se detectan en la red" pero ambos tienen sus roles dentro de una red. IDS *as soluciones % S son reactivas cuando se trata de detectar intrusiones. etectan intrusiones bas?ndose en una >irma para el tr?>ico de red o actividad de la computadora. 5o detienen el tr?>ico inicial ni interrumpen su paso .asta el destino" pero reaccionan con la actividad detectada. Cuando se con>igura correctamente" el % S puede blo3uear el tr?>ico malicioso al recon>igurar en >orma activa los dispositivos de red tales como los routers o aplicaciones de seguridad como respuesta a la deteccin del tr?>ico malicioso. 0s 22

importante tener en cuenta 3ue el tr?>ico malicioso original 4a .a pasado por la red .asta el destino 3ue se pretenda 4 3ue no puede blo3uearse. Slo se blo3uear? el tr?>ico subsiguiente. Con respecto a esto" los dispositivos % S no pueden evitar 3ue algunas intrusiones tengan @ito. *as soluciones % S suelen utili)arse en el permetro no con>iable de una red" >uera del >ireSall. 0s a3u en donde el % S puede anali)ar el tipo de tr?>ico 3ue est? golpeando al >ireSall 4 determinar cmo se ejecutan los ata3ues. 0l >ireSall puede utili)arse para blo3uear la ma4ora del tr?>ico malicioso. Tambin se puede colocar un % S dentro del >ireSall para detectar las con>iguraciones incorrectas del >ireSall. Cuando se coloca el sensor % S en este lugar" todas las alarmas 3ue se activan indican 3ue .a4 tr?>ico malicioso 3ue .a pasado por el >ireSall. 0stas alarmas signi>ican 3ue el >ireSall no se con>igur correctamente.

23

Seg entaci8n de redes locales y creaci8n de redes virtuales. Una +*,5 acrnimo de virtual *,5" Vred de ?rea local virtualW es un mtodo de

crear redes lgicas e independientes dentro de una misma red >sica.1 +arias +*,5s pueden coe@istir en un ;nico conmutador >sico o en una ;nica red >sica. Son ;tiles para reducir el tama1o del dominio de di>usin 4 a4udan en la administracin de la red separando segmentos lgicos de una red de ?rea local Ecomo departamentos de una empresaF 3ue no deberan intercambiar datos usando la red local

Cuando se las planea 4 dise1a cuidadosamente" las +*,5 proporcionan seguridad" conservan el anc.o de banda 4 locali)an el tr?>ico en una red empresarial. Todas estas >unciones se combinan para mejorar el rendimiento de la red.

,lgunas de las mejores pr?cticas para la con>iguracin de +*,5 en una red empresarial son:

24

8rgani)ar la ubicacin del servidor es.abilitar los puertos 3ue no se utili)an Con>igurar las +*,5 de administracin en un n;mero 3ue no sea 1 Utili)ar el protocolo de enlace troncal de +*,5 Con>igurar dominios de +T( $einiciar todo nuevo sSitc. 3ue se conecte a una red establecida ,segurar >sicamente el sSitc. Eun armario bajo llaveF Utili)ar seguridad de puerto. 2iltrado por direcciones &,C E&edia ,ccess ControlF

25

"ecnologas desarrolladas #ara el Data Center S#anning "ree %rotocol 1S"%2 y el eterno dile a con S"%: 0n toda red de datos es mu4 importante la redundancia" sea" una ruta de respaldo por la cual se pueda llegar desde un origen a un destino" el ;nico inconveniente con la redundancia es 3ue puede llegar a causar Q*oopsR lo 3ue causara un desperdicio en los recursos de la red.

0l protocolo de Spanning Tree EST(" Spanning Tree (rotocolF proporciona un mecanismo de desactivacin de enlaces redundantes en una red conmutada. 0l ST( proporciona la redundancia re3uerida para brindar >iabilidad sin crear bucles de conmutacin.

26

,.ora bien" el problema con ST( es 3ue tiene 3ue des.abilitar por lo menos un enlace" desperdiciando recursos" si bien e@istieron mejoras 4 distintos modos de ST( como $apid Spanning Tree E$ST(F (er +*,5 Spanning Tree E(+ST(F entre otras. 0n una red del tama1o del ata Center no se podra controlar el uso de enlaces temporalmente blo3ueados ni tener un control total sobre los mismos" debido a la cantidad de enlaces necesarios en la topologa. ST( no se recomienda para la implementacin de la red del ata Center.

Con la necesidad de un sistema de conmutacin sin loops" e@plotando al m?@imo cada uno de los enlaces" Cisco S4stems desarrollo un protocolo distinto llamado Q2abric (at.R" basado en el enrutamiento de capa # del modelo 8S% con un protocolo llamado %SB%S

27

' #liaci8n de Data Centers con Cisco 4a7ric %at; *as ar3uitecturas de redes tradicionales est?n dise1adas con el >in de o>recer alta disponibilidad para las aplicaciones est?ticas" mientras 3ue la virtuali)acin de servidores 4 las aplicaciones distribuidas escalables de >orma masiva re3uieren una ma4or >le@ibilidad para despla)arse entre )onas de cual3uiera. CiscoX 2abric (at. Eun elemento esencial en Cisco Uni>ied 2abricF es una tecnologa innovadora del so>tSare Cisco 5UB8S capa) de satis>acer los re3uisitos actuales 4 >uturos 3ue est?n trans>ormando el concepto de las redes de ata Centers. 8>rece la estabilidad 4 el rendimiento del routing de capa 3 a redes conmutadas de capa # para crear una estructura de capa # altamente >le@ible 4 escalable. Cisco 2abric (at. es una base en la 3ue se pueden crear ata Centers >le@ibles 4 ampliables de >orma masiva Desafos en el dise6o de redes actuales *os ata Centers modernos siguen inclu4endo alg;n tipo de sSitc.ing de capa #" en parte" debido a los re3uisitos de determinadas soluciones" 3ue necesitan la e@istencia de conectividad de capa #" pero tambin a causa de la sobrecarga administrativa 4 la >alta de >le@ibilidad 3ue conlleva la asignacin de direcciones %(. (ara con>igurar un servidor en un ata Center" es necesario reali)ar cierta plani>icacinJ adem?s" implica coordinar a varios e3uipos independientes: de redes" de servidores" de aplicaciones" de almacenamiento" etc. 0n una red enrutada" para mover la ubicacin de .ost" es necesario cambiar su direccin E4" 4a 3ue algunas aplicaciones identi>ican los servidores por sus direcciones %(" cambiar la ubicacin de un servidor e3uivale b?sicamente a iniciar el proceso de instalacin del servidor desde el principioF. *a capa # o>rece >le@ibilidad al permitir insertar o mover un dispositivo de >orma transparente desde la perspectiva de la capa %(. *as tecnologas de virtuali)acin aumentan la densidad de los servidores virtuales administrados en el necesidad de disponer de una red de capa # >le@ible. ,un3ue el sSitc.ing de capa # puede o>recer la >le@ibilidad crtica para el >uncionamiento de un ata Center de gran tama1o" tambin presenta algunas de>iciencias en comparacin con una solucin enrutada. 0l plano de datos de capa # es 28 ata Center" de >orma 3ue se mejora el uso 3ue se .ace de los recursos >sicos" pero se e@acerba tambin la ata Centers >sicos 4 una ma4or escalabilidad de anc.o de banda para admitir una comunicacin de cual3uiera a

susceptible de la proli>eracin de tramas. *a topologa de reenvo" 3ue suele calcularse Eaun3ue no necesariamenteF mediante el protocolo de ?rbol de e@tensin" debe carecer de bucles a toda costa. e lo contrario" las tramas se podran replicar a velocidad de cable 4 se vera a>ectado todo el dominio de puente. 0sta restriccin impide 3ue la capa # pueda aprovec.ar totalmente el anc.o de banda de la red 4 suele crear rutas subptimas entre los .osts en la red. ,simismo" 4a 3ue los errores podran a>ectar a todo el dominio de puente" la capa # est? limitada a pe3ue1as islas para reducir los riesgos. (or lo tanto" los dise1os de los por la capa 3: Y 0scalabilidad limitada: la capa # o>rece >le@ibilidad" pero no capacidad de ampliacin. e este modo" los dominios de puente est?n limitados a pe3ue1as ?reas" delimitadas de >orma estricta por los lmites de la capa 3 Y $endimiento subptimo: el reenvo de tr?>ico en dominios de puente se limita mediante reglas de ?rbol de e@tensin" de >orma 3ue se limita el anc.o de banda 4 se imponen rutas ine>icaces entre dispositivos. Y 8peraciones complejas: la segmentacin de la capa 3 .ace 3ue los dise1os de ata Centers sean est?ticos e impide 3ue alcancen el dinamismo de la empresa 3ue re3uieren las tecnologas de virtuali)acin m?s actuales. Cual3uier cambio en el plan original es complicado 4 perturbador" 4 re3uiere intensas labores de con>iguracin. Introducci8n de estructuras de ca#a B con Cisco 4a7ric %at; *a tendencia de virtuali)acin comen) en el e@tremo del ata Center. &ediante la virtuali)acin de servidores" se pueden consolidar varios servidores como m?3uinas virtuales en un ;nico .ost >sico para mejorar su utili)acin. Cisco 2abric (at. proporciona las bases para crear una estructura escalable: una red 3ue" por s misma" parece un ;nico sSitc. virtual desde la perspectiva de sus usuarios. 0sta propiedad se consigue al o>recer el anc.o de banda ptimo entre dos puertos cuales3uiera con independencia de las ubicaciones >sicas. ,dem?s" 4a 3ue Cisco 2abric (at. no se ve a>ectado por las limitaciones de escalabilidad de los puentes transparentes tradicionales" se puede ampliar una +*,5 concreta en toda la estructura" lo 3ue re>uer)a esta nocin de sSitc. virtual ;nico. Tenga en cuenta 3ue" aun3ue Cisco 2abric (at. sea una tecnologa de capa #" la estructura sigue manteniendo las capacidades de 29 ata Centers actuales ponen en riesgo la >le@ibilidad proporcionada por la capa # 4 la escalabilidad o>recida

la capa 3 de la gama de sSitc.es Cisco 5e@usX 4 o>rece una integracin e@celente del routing.

30

Cisco 4a7ric %at; enruta el tr0fico en la estructura Cisco 2abric (at. proporciona la estabilidad 4 el rendimiento del routing a la capa #. Cisco 2abric (at. se .ace con el control en el momento en 3ue la trama de 0t.ernet pasa de una red 0t.ernet Econocida como Z0t.ernet cl?sicaZF a una estructura Cisco 2abric (at.. *as reglas de puente de 0t.ernet no establecen la topologa ni los principios de reenvo de las estructuras Cisco 2abric (at.. *a trama est? encapsulada con un encabe)ado de Cisco 2abric (at." 3ue consta de direcciones de origen 4 destino enrutables. 0stas direcciones son simplemente las direcciones del sSitc. en 3ue se recibi la trama 4 la direccin del sSitc. de estino al 3ue se dirige la trama. , partir de a3u" se enruta la trama .asta 3ue alcan)a el sSitc. remoto" donde se desencapsula 4 se entrega en el >ormato 0t.ernet original. 0n la >igura 1" se muestra este sencillo proceso.

*a di>erencia >undamental entre Cisco 2abric (at. 4 0t.ernet cl?sica es 3ue" con Cisco 2abric (at." siempre se reenva la trama en el n;cleo con una direccin de destino conocida. *as direcciones de los puentes se asignan autom?ticamente. ,dem?s" se calcula una tabla de routing para todos los destinos de unidi>usin 4 multidi>usin. *a solucin sigue o>reciendo el comportamiento sencillo 4 >le@ible de la capa #" al mismo tiempo 3ue se utili)an los mecanismos de routing 3ue permiten 3ue %( sea escalable 4 de con>ian)a. Cisco 2abric (at. introduce un gran cambio en el plano de los datos. 0s necesario disponer de .ardSare dedicado para implementar las >unciones con 31

latencia baja. *os mdulos de 0AS de Cisco 5e@us serie I000 2 4 la plata>orma Cisco 5e@us MM00 pueden ejecutar Cisco 2abric (at." adem?s del puente de ata Center E C9F %000 4 canal de >ibra sobre 0t.ernet E2Co0F. !racias a 3ue los sSitc.es Cisco 5e@us tambin se integran de >orma transparente con el routing de capa 3" la estructura resultante puede ejecutar todas las tecnologas de 0AS de ata Centers di>erentes de >orma simult?nea 4 e>ica). z3enta5as de Cisco 4a7ric %at; Y Sencillez y consecuente reducci8n de los gastos o#erativos Con>igurar Cisco 2abric (at. es mu4 sencillo. e .ec.o" la ;nica con>iguracin

necesaria consiste en distinguir los puertos principales" 3ue enla)an los sSitc.es" de los puertos de los e@tremos" donde los dispositivos >inales est?n conectados. 5o es necesario ajustar ning;n par?metro para obtener una con>iguracin ptima. ,dem?s" las direcciones de sSitc.ing se asignan de >orma autom?tica. Se utili)a un ;nico protocolo de control para los reenvos de unidi>usin 4 multidi>usin" 4 la poda de+*,5. *a solucin Cisco 2abric (at. re3uiere una menor con>iguracin combinada 3ue las redes basadas en el protocolo de ?rbol de e@tensin" lo 3ue permite reducir los costes de administracin totales aun m?s. *os dise1os de las redes est?ticas .acen algunas suposiciones sobre los patrones de tr?>ico 4 las ubicaciones de los servidores 4 los servicios. Si esas suposiciones no son correctas Elo 3ue suele ocurrir con cierta >recuenciaF" puede ser necesario llevar a cabo un complejo redise1o. *as redes basadas en Cisco 2abric (at. pueden modi>icarse seg;n sea necesario de >orma no perturbadora para las estaciones >inales. *as capacidades de las .erramientas de solucin de problemas de Cisco 2abric (at. sobrepasan las de cual3uier otra .erramienta 3ue est disponible actualmente en el mundo %(. *as >unciones de ping 4 traceroute 3ue se o>recen actualmente en la capa # pueden medir la latencia 4 probar una ruta concreta de las di>erentes rutas de igual costo a un destino de la estructura. 32

Un dispositivo 3ue no admite Cisco 2abric (at. puede conectarse de >orma redundante a dos puentes Cisco 2abric (at. independientes con tecnologa virtual (ortC.annel Ev(CLF mejorada" de >orma 3ue se consigue una ruta de migracin sencilla E>igura #F. ,l igual 3ue v(C1" v(CL depende de la tecnologa (ortC.annel para o>recer m;ltiples rutas 4 redundancia sin recurrir al protocolo de ?rbol de e@tensin.

G !scala7ilidad 7asada en tecnologa #ro7ada Cisco 2abric (at. utili)a un protocolo de control creado sobre el potente protocolo de routing Sistema intermedio a sistema intermedio E%SB%SF" un est?ndar del sector 3ue o>rece una r?pida convergencia 4 3ue .a demostrado ser capa) de escalarse tanto como necesiten los entornos de proveedor de servicios de ma4or tama1o. Sin embargo" no es necesario disponer de conocimientos sobre %SB%S para trabajar con una red Cisco 2abric (at.. *a minimi)acin 4 la prevencin de bucles se encuentra disponible en el plano de los datos" lo 3ue contribu4e a garanti)ar un reenvo seguro 3ue ninguna tecnologa de puentes transparentes puede igualar. *as tramas Cisco 2abric (at. inclu4en un campo de perodo de vida ETT*F similar al 3ue se utili)a en %(. ,dem?s" se puede aplicar una comprobacin de seguimiento del camino inverso E$(2F. G !ficacia y alto rendi iento

33

Como se pueden utili)ar m;ltiples rutas de igual costo E0C&(F en el plano de los datos" la red puede utili)ar todos los enlaces disponibles entre dos dispositivos cuales3uiera. 0l .ardSare de primera generacin compatible con Cisco 2abric (at. puede reali)ar 0C&( de 1H vas" lo 3ue" al combinarse con canales de 10 !bps de 1H puertos" representa un anc.o de banda potencial de #"MH terabits por segundo ETbpsF entre sSitc.es. *as tramas se reenvan a su destino por la ruta m?s corta" por lo 3ue se reduce la latencia de los intercambios entre las estaciones >inales en comparacin con una solucin basada en ?rboles de e@tensin. *as direcciones &,C se aprenden de >orma selectiva en el e@tremo" lo 3ue permite escalar la red m?s all? de los lmites de la tabla de direcciones &,C de los sSitc.es individuales.

34

Casos de uso de Cisco 4a7ric %at; *a propuesta de valor de Cisco 2abric (at. Ecrear dominios de capa # sencillos" ampliables 4 e>icacesF se aplica a muc.os escenarios de redes. esde 3ue se comerciali) Cisco 2abric (at. por primera ve) en octubre de #010" los clientes de Cisco .an implementado una gran variedad de dise1os de redes" desde las topologas de malla completa a las de anillo. 0n esta seccin .emos presentado algunos de estos casos de uso. Cisco 2abric (at. en un dise1o de ata Center tpico Cisco 2abric (at. suele asociarse ata Centers actuales suelen

a la escalabilidad 4 al rendimiento. Sin embargo" los este tipo de red es el

crearse alrededor de pe3ue1os blo3ues de capa #" llamados ZvainasZ. Un ejemplo de ata Center , 3ue aparece representado en la >igura 3. 0n una vaina" la tecnologa v(C de Cisco 5UB8S se encarga del sSitc.ing. v(C o>rece un entorno de activo a activo 3ue no depende del protocolo de ?rbol de e@tensin 4 3ue converge r?pidamente en caso de error. Como v(C parece su>iciente a esta escala" es importante tener en cuenta algunos otros aspectos de Cisco 2abric (at. 3ue aumentan su atractivo en este escenario: Cisco 2abric (at. es >?cil de con>igurar 4 administrar. 5o es necesario identi>icar dos pares ni con>igurar (ortC.annel. Todos los dispositivos de la estructura tienen el mismo rol 4 la misma con>iguracin mnima. Cisco 2abric (at. es >le@ible 4 no re3uiere una topologa concreta. %ncluso aun3ue la red tenga cables para la topologa de v(C en tri?ngulo cl?sica actualmente" Cisco 2abric (at. es capa) de adaptarse a cual3uier dise1o 3ue pueda ser necesario en el >uturo. Cisco 2abric (at. no utili)a ni ampla el protocolo de ?rbol de e@tensin. %ncluso una introduccin parcial de Cisco 2abric (at. tiene un e>ecto bene>icioso en la red" 4a 3ue segmenta la e@tensin del protocolo de ?rbol de e@tensin. ,l tratarse de una optimi)acin de 0t.ernet cl?sica" v(C sigue necesitando el protocolo de ?rbol de e@tensin en determinados escenarios. 35

Cisco 2abric (at. puede ampliarse >?cilmente sin llevar a cabo operaciones de degradacin. ,l agregar un sSitc. o un enlace a una estructura Cisco 2abric (at." no se pierde ninguna trama. e este modo" es posible empe)ar con una pe3ue1a red 4 ampliarla gradualmente" seg;n sea necesario.

!scala7ilidad del dise6o del Data Center t#ico con Cisco 4a7ric %at; 0n la seccin anterior" se presentaron las ventajas de la introduccin de Cisco 2abric (at. como sustituto directo de v(C. 0n esta seccin" se muestra la >orma en 3ue Cisco 2abric (at. puede o>recer mejoras adicionales importantes en la escalabilidad" la disponibilidad 4 la >le@ibilidad mediante la reorgani)acin del cableado de un Center e@istente. 0n la >igura 3" aparecen dos mismo n;mero de enlaces 4 sSitc.es. 0n el conectado a travs de un (ortC.annel de D puertos a dos sSitc.es de agregacin en un dominio v(C. 0n el ;nico enlace ascendente a cuatro sSitc.es de agregacin. ata Center 9" 3ue es compatible con Cisco 2abric (at." cada sSitc. de acceso se conecta a travs de un ata ata Centers 3ue utili)an e@actamente el ata Center ," cada sSitc. de acceso est?

Cisco 4a7ric %at; y la infor 0tica de alto rendi iento *os ata Centers para la in>orm?tica de alto rendimiento est?n dise1ados de >orma 3ue los servidores se pueden comunicar entre s con una sobresuscripcin reducida. 0n las 36

redes basadas en ?rboles de e@tensin" el lmite de la capa 3 suele encontrarse cerca del sSitc. de ra)" lo 3ue permite aprovisionar un rendimiento agregado importante para el tr?>ico clienteBservidor. Sin embargo" el tr?>ico lateral .ori)ontal suele estar mu4 sobresuscrito" 4a 3ue los puentes transparentes reenvan el tr?>ico en ;ltima instancia a travs de un ?rbol de e@tensin" lo 3ue signi>ica 3ue solamente puede .aber un enlace de reenvo entre dos puentes cuales3uiera. 0sta restriccin establece un lmite m?@imo en el anc.o de banda biseccional de la red. Cisco 2abric (at. acaba con esta restriccin mediante el uso de 0C&(. Con el .ardSare actual" Cisco 2abric (at. es compatible con 0C&( de 1H vas. (or lo tanto" puede .aber .asta 1H rutas activas entre dos dispositivos cual3uiera de la red. ebido a 3ue cada una de esas 1H rutas puede ser un (ortC.annel de 1H puertos" la solucin es capa) de proporcionar un anc.o de banda biseccional real de #"MH Tbps. 0n la >igura D" aparece un posible dise1o de red para proporcionar una estructura sin blo3ueos 3ue aprovec.e las capacidades de Cisco 2abric (at.. 0sta topologa se conoce como Zestructura ClosZ 4 es" sencillamente" un caso e@tremo del ata Center 9 E3ue aparece en la >igura 3F. ,3u" un grupo de 1H dispositivos de agregacin EsSitc.es vertebralesF o>rece 1H rutas di>erentes entre los sSitc.es de acceso EsSitc.es .ojaF.

37

,l utili)ar el sSitc. de 1O ranuras Cisco 5e@us I000 4 los mdulos de 0AS de la serie 2# en la red troncal" el .ardSare actual puede o>recer una estructura sin blo3ueos de capa # con m?s de 1# 000 puertos de 10 !bps Eun rcord en el sectorF. Con el sSitc. de 1O ranuras Cisco 5e@us I000 en la .oja" se podra implementar la estructura completa con tan solo HD dispositivos. Sin embargo" es posible combinar los sSitc.es Cisco 5e@us serie I000 4 Cisco 5e@us serie MM00 de >orma aleatoria" lo 3ue proporciona una gran variedad de opciones de implementacin. Se puede aumentar a;n m?s la capacidad de ampliacin de los puertos al combinar Cisco 2abric (at. con los ampliadores de estructura Cisco 5e@us serie #000 en el e@tremo o al introducir cierta sobresuscripcin en la capa de acceso.

38

Conectividad !n !l Centro De Datos 3irtualizado: 0l concepto de virtuali)acin se est? e@tendiendo en muc.os aspectos de la tecnologa de la in>ormacin. Servidores" sSitc.es" almacenamiento" redes 4 clientes se encuentran todos en una .oja de ruta de virtuali)acin. (ero el movimiento de virtuali)acin est? arraigado en los servidores" 4 la virtuali)acin de los servidores es la 3ue m?s a>ecta a las redes de centros de datos. *a virtuali)acin de servidores contrarresta la tendencia a utili)ar dispositivos espec>icos como servidores" 3ue tuvo @ito por3ue los dispositivos son ;tiles 4 >?ciles de implementar. (ero en general" los dispositivos no son e>icaces. (uesto 3ue los dispositivos est?n optimi)ados para una >uncin" muc.os de ellos carecen de >uturo 4 est?n sujetos a actuali)aciones. 8 3ui)? peor" la proli>eracin de dispositivos .a creado cargas de administracin cada ve) ma4ores" e@tensas redes de centros de datos 4 cargas termoelctricas altas. *a solucin al problema de la in>rautili)acin es la virtuali)acin" 4 la esencia de la virtuali)acin es una capa de abstraccin de so>tSare denominada G4pervisor. G4pervisor se encuentra entre el .ardSare 4 el sistema operativo. *a virtuali)acin permite 3ue varios sistemas operativos 4 aplicaciones co.abiten en una plata>orma in>orm?tica >sica. 0n el gr?>ico muestra un ejemplo de virtuali)acin con tres servidores lgicos en una misma plata>orma. *a virtuali)acin de servidores" especialmente cuando se une a la tecnologa blade" aumenta la densidad de computacin 4 almacenamiento al tiempo 3ue .ace 3ue los activos de T% sean m?s >le@ibles. *os servidores virtuali)ados admitir?n la gama completa de aplicaciones empresariales" aplicaciones multimedia" almacenamiento 4 servicios de gestin 4 control. *a adopcin de la virtuali)acin es cada ve) m?s r?pida. 0n >ebrero de #010" &icroso>tX in>orm de 3ue el #0P de servidores entregados estaban virtuali)ados. +&SareX" lder de productos de G4pervisor" in>orm de 3ue los clientes .aban virtuali)ado el #MP de sus servidores. 5adie sabe cu?nto crecer? la virtuali)acin" pero los distribuidores 4 analistas prevn un aumento tres veces superior en los pr@imos cinco a1os.

39

*a virtuali)acin no se limita a grandes empresas. *os nuevos productos 3ue uni>ican computacin" redes 4 almacenamiento est?n dise1ados para sacar el m?@imo partido a las ventajas de la virtuali)acin para organi)aciones en nube 4 medianas empresas.

(lata>orma de servidor virtuali)ado *as >amilias de controladores de alta velocidad 9roadcom 5etUtremeX % 4 5etUtreme %%X o>recen caractersticas de virtuali)acin de red avan)adas dise1adas para a4udar a los clientes a crear e implementar productos para una amplia gama de per>iles de aplicaciones. *a cuota de mercado lder de 9roadcom" con m?s del I0P en los segmentos del mercado de controladores de red 1! 4 10!" es el resultado de la correcta implementacin de la virtuali)acin de redes en los principales mercados en crecimiento. 0stos mercados inclu4en servidores de aplicaciones <eb #.0 de alto rendimiento" sistemas de negociacin >inanciera de baja latencia 4 conjuntos de computacin en nube de alta densidad.

*a virtuali)acin de controladores de red permite a los usuarios consolidar sus recursos de .ardSare de red 4 poner en >uncionamiento varias m?3uinas virtuales simult?neamente sobre .ardSare consolidado. *a virtuali)acin proporciona tambin al usuario un gran conjunto de >unciones como 0AS compartida" consolidacin" aislamiento 4 migracin" as como administracin simpli>icada con posibilidad de trabajo en e3uipo 4 migracin en caso de >allo.

9roadcom .a colaborado con proveedores de diversos productos de m?3uina virtual E+&F" incluidos +&<are +sp.ere" &icroso>t G4perB+[" $ed.atX -+& 4 Citri@X Uen" para proporcionar un amplio conjunto de >uncionalidades de virtuali)acin de red necesarias para la adopcin de 10!9,S0BT en centro de datos 4 entornos de nube. ise1o de red centro de datos *a virtuali)acin a>ecta a las redes de centros de datos de dos >ormas importantes. *a primera es la demanda de anc.o de banda. *as plata>ormas de servidores consolidadas 40

e@igen cone@iones con tasas de bits superiores para admitir varios procesos. 0l almacenamiento incrementa tambin la demanda de anc.o de banda. 0l contenido multimedia 4 los datos acumulados de las aplicaciones aumentan la sobrecarga de almacenamiento" 4 la e@istencia de m?s datos crea inmediatamente la necesidad de acceso a alta velocidad. 0l resultado es una necesidad importante de una red de centro de datos de gran anc.o de banda.

Capa de base: plata>orma de servidores virtuali)ados: 0l impacto de la virtuali)acin se origina en la >acilidad con la 3ue se pueden reutili)ar los activos de T%. *a virtuali)acin permite 3ue el .ardSare realice varias >unciones 4 permite mover las >unciones a otras plata>ormas de .ardSare. 0sta >le@ibilidad de computacin 4 almacenamiento se une a la >le@ibilidad de la capacidad de cone@in en red del servidor. *a red >sica debe adaptarse a los re3uisitos 4 las ventajas 3ue proporciona la virtuali)acin" espec>icamente al ma4or nivel de uso 4 el ma4or anc.o de banda. (ara .acerlo" los pro>esionales de redes con previsin .an implementado topologas 0ndBo>B $oS EQ0o$RF o TopBo>B$ac= EQTo$RF en sus redes de centros de datos.

"o#ologa !nd of Ro: escribe un centro de datos previrtuali)ado" donde cada activo Eservidor" dispositivo de almacenamiento" etc.F est? vinculado individualmente a un sSitc. 0t.ernet. 0sta topologa utili)a cone@iones de cable estructuradas di>ciles de modi>icar. (uesto 3ue la virtuali)acin >acilita los cambios" una ar3uitectura de red 3ue los in.ibe es in.erentemente problem?tica. *a topologa convencional tambin se 3ueda anticuada" 4a 3ue un gran n;mero de enlaces de 1 !igabit es incongruente con servidores consolidados 3ue necesitan menos cone@iones 4 m?s r?pidas. *a red debe admitir este cambio de muc.as Qraces >inasR a menos Qraces gruesasR.

41

*a topologa de red 0ndBo>B$oS soluciona las carencias de una red de centro de datos convencional dedicando un sSitc. 0t.ernet a cada >ila de rac=s de e3uipo. *os activos virtuali)ados en cada rac=" en cada >ila" est?n vinculados a un sSitc. del rac= 0o$. ic.o sSitc. proporciona tambin una cone@in de enlace troncal a un concentrador de centro de datos. *a topologa 0o$ divide las cone@iones de trama 4 >sicas de un nivel en dos" .aciendo la red m?s adaptable. 0o$ limita la longitud de los cables en el nivel in>erior a la longitud de una >ila de rac=s. *os cables m?s cortos son generalmente m?s >?ciles de instalar 4 cambiar. *a topologa 0o$ con>ina el impacto de la recon>iguracin de activos a una >ila de rac=s" en lugar de .acerlo en un centro de datos entero. 0o$ puede reutili)ar algunos elementos de la red >sica e@istente" aun3ue es posible 3ue se necesiten grandes cambios 4 actuali)aciones.

9a to#ologa "o#HofHRacI *a topologa TopBo>B$ac= es mu4 distinta de la ar3uitectura convencional. edica un sSitc. 0t.ernet a cada rac= de servidores. 0l sSitc. To$ interconecta activos de cada rac= 4 proporciona una cone@in de enlace troncal a un punto de agregacin del centro de datos. 42

,l igual 3ue 0o$" la topologa To$ divide las cone@iones de trama 4 >sicas del sSitc. en dos niveles. *a di>erencia es la granularidad del nivel in>erior. &ientras 3ue 0o$ crea modularidad en una >ila de rac=s" To$ crea modularidad en cada rac= individual. Tenga en cuenta 3ue el dise1o To$ no limita un rac= de servidores a un ;nico sSitc.. 0n el gr?>ico anterior se muestran dos sSitc.es en un rac=: uno primario 4 uno para redundancia. Si los sSitc.es 0t.ernet se implementan como blades" podra .aber incluso m?s sSitc.es en un rac=.

*a discusin de Top o> $ac= >rente a 0nd o> $oS es compleja. topologa son: Top o> $ac= B B &enos cable estructurado. &?s >?cil de cambiarAampliar .

eben considerarse

muc.os asuntos de red de Capa # 4 Capa 3. ,lgunas de las ventajas relativas de cada

43

&?s modular.

0nd o> $oS B B B &enos disruptivo para la in>raestructura. &enos sSitc.es" coneciones troncales. &?s >?cil de administrarAm?s compatibilidad.

44

CJ&C9USIJ&!S.

45

R!CJM!&D'CIJ&!S. $ecomendacin principal: Siempre contar con el apo4o de la empresa proveedora de los e3uipos a la .ora de reali)ar modi>icaciones" cambios en topologas" reempla)o de e3uipo 4Ao sus partes 4 actuali)aciones de red. ocumentacin: *a documentacin es >actor clave para el mantenimiento" operacin 4 actuali)acin de las redes de datos. Tomar en cuenta siempre 3ue el tr?>ico 3ue se trabaja en el ata Center es prioridad para los clientes" el objetivo de la red del CC.CCCP de e>ectividad. Si se reali)an modi>icaciones" cambios en topologas" reempla)o de e3uipo 4Ao sus partes 4 actuali)aciones de red" trabajarlos en .orario de ventana" seg;n estudios demuestren los .orarios menos utili)ados por la red. (ara a>ectar lo menos posible a los clientes. &onitoreo de todos los e3uipos de red" routers" sSitc.es" .ubs" recti>icadores" moto generadores" temperatura 4 e3uipo de ventilacin las #D .oras 3HM das al a1o. (roveer .erramientas necesarias para el constante monitoreo de la red. (roveer la seguridad >sica necesaria" personal capacitado" accesos limitados" cuartos bajo llave" rac= cerrados con dispositivos S5&(" e@tintores autom?ticos" etc. ata Center es entregar los servicios con un

46

/I/9IJGR'4)'.

.ttps:AAes.Si=ipedia.orgASi=iA ata\center .ttp:AAes.Si=ipedia.orgASi=iACentro\de\procesamiento\de\datos .ttp:AASSS.cisco.comAenAUSAdocsAsSitc.esAdatacenterA.SAne@usI000Asite\prepAguideAsit eprep\tec.\specs..tml .ttp:AA#.bp.blogspot.comA\/p1j30C0K=oAT-3T.pTg #%A,,,,,,,,,SSAoj=\Mp1l>#0As1 H00A SOO00B,ir.](! .ttp:AAin>ormaticausac.blogspot.comA#01#A0#AtiposBdeBdataBcenter..tml .ttp:AASSS.mu4computerpro.comA#013A03A1DA3ueBesBunBtierA .ttp:AASSS.in>ormaticaB.o4.com.arAseguridadBin>ormaticaATiposBdeB>ireSall.p.p .ttps:AASSS.>aceboo=.comAp.oto.p.p^ >bid_101M31MOD1HM1MI1I`set_a.##DHH1OI0I1H.#IO0IH.1C0010#HMI1H`t4pe_1`perm (age_1 .ttp:AASSS.conectronica.comACentrosBdeB atosAConectividadBenBelBcentroBdeBdatosB virtuali)adoBcPC3P93moBgaranti)arBserviciosBdeBPC3P9,ltimaBgeneraciPC3P93nB %..tml

Cisco 2abric (at.: ,mpliacin de

ata Centers con Cisco 2abric (at..

Con>iguring t.e Cisco 5e@u) I000 +olume 1 +ersion #.1 Con>iguring t.e Cisco 5e@u) I000 +olume # +ersion #.1 Cisco 5etSor=ing ,cadem4 CC5, iscover4 D.0 1 Cisco 5etSor=ing ,cadem4 CC5, iscover4 D.0 # Cisco 5etSor=ing ,cadem4 CC5, iscover4 D.0 3 Cisco 5etSor=ing ,cadem4 CC5, iscover4 D.0 D

47