Beruflich Dokumente
Kultur Dokumente
En general, los usuarios de la red no piensan en trminos de complejidad de la red subyacente. Consideran la red como una forma de acceder a las aplicaciones que necesitan, cuando lo necesitan. Requisitos de la red En la actualidad, la mayora de las empresas slo incluye algunos requisitos para su red: La red debe estar activa a toda hora, incluso en caso de falla en los enlaces, en el equipo y en condiciones de sobrecarga. Tambin debe entregar aplicaciones de manera confiable y proporcionar tiempos de respuesta razonables de host a host.
Debe ser segura. Debe proteger los datos que se transmiten a travs de la misma, al igual que los datos almacenados en los dispositivos que se conectan a ella. La red debe ser fcil de modificar para adaptarse al crecimiento de la red y a los cambios generales de la empresa. La resolucin de problemas debe ser sencilla, ya que las fallas ocurren con frecuencia. La deteccin y resolucin de un problema no debe llevar demasiado tiempo.
Objetivos fundamentales del diseo Al analizarlos detenidamente, estos requisitos se resumen en cuatro objetivos fundamentales del diseo de red: Escalabilidad Disponibilidad Seguridad Facilidad de administracin
Escalabilidad Los diseos de red escalable pueden crecer para incluir nuevos grupos de usuarios y sitios remotos, y pueden soportar nuevas aplicaciones sin impactar en el nivel de servicio que se da a los usuarios actuales. Disponibilidad Una red diseada para estar disponible es aqulla que ofrece un rendimiento consistente y confiable las 24 horas del da, los 7 das de la semana. Adems, la falla de un solo enlace o una parte del equipo no debe impactar significativamente en el rendimiento de la red. Seguridad La seguridad es una caracterstica que se debe disear en la red y no agregarse una vez que la red se termina. La planificacin de la ubicacin de dispositivos de seguridad, filtros y funciones de firewall es fundamental para proteger los recursos de la red. Facilidad de administracin No importa lo bueno que sea el diseo inicial de la red, el personal de redes disponible debe ser capaz de administrar y respaldar la red. Una red demasiado compleja o difcil de mantener, no puede funcionar de forma eficaz y eficiente.
Ventajas sobre las redes planas Las redes jerrquicas poseen ventajas sobre los diseos de red plana. El beneficio de dividir una red plana en bloques ms pequeos y fciles de administrar es que el trfico local sigue siendo local. Slo el trfico destinado a otras redes se traslada a una capa superior. Los dispositivos de Capa 2 en una red plana brindan pocas oportunidades de controlar broadcasts o filtrar trfico no deseado. A medida que se agregan ms dispositivos y aplicaciones a una red plana, los tiempos de respuesta se degradan hasta que la red queda inutilizable.
Las Arquitecturas empresariales de Cisco pueden utilizarse para dividir an ms el diseo jerrquico de tres capas en reas modulares. Los mdulos representan reas que tienen una conectividad fsica o lgica diferente. Se encargan de designar dnde se llevan a cabo las diferentes funciones en la red. Esta modularidad permite la flexibilidad en el diseo de la red. Facilita la implementacin y la resolucin de problemas. Las tres reas de enfoque en el diseo modular de red son: Campus empresarial: esta rea contiene los elementos de red que se requieren para una operacin independiente dentro de un solo campus o sucursal. Granja de servidores: es un componente del campus empresarial; la granja de servidores del centro de datos protege los recursos del servidor y proporciona una conectividad de alta velocidad redundante y confiable. Margen empresarial: a medida que el trfico ingresa a la red del campus, esta rea filtra el trfico de los recursos externos y los enruta hacia la red empresarial. Contiene todos los elementos requeridos lograr una comunicacin eficiente y segura entre el campus empresarial y las ubicaciones remotas, los usuarios remotos e Internet.
El marco de trabajo modular de las arquitecturas empresariales de Cisco incluye las siguientes ventajas de diseo:
Crea una red determinista con lmites claramente definidos entre los mdulos. Esto provee puntos claros de demarcacin para que el diseador de la red sepa exactamente en dnde se origina el trfico y dnde fluye. Facilita la tarea de diseo al lograr que cada mdulo sea independiente. El diseador puede enfocarse en las necesidades de cada rea por separado. Proporciona escalabilidad al permitir a las empresas agregar mdulos fcilmente. A medida que aumenta la complejidad de la red, el diseador puede agregar nuevos mdulos funcionales. Permite al diseador agregar servicios y soluciones sin cambiar el diseo de la red subyacente.
Paso 1: Identifique los requisitos de la red. Paso 2: Caracterice la red existente. Paso 3: Disee la topologa de red y las soluciones. Identificacin de requisitos de la red El diseador de la red trabaja junto con el cliente para documentar los objetivos del proyecto. Los objetivos generalmente se dividen en dos categoras: Objetivos comerciales: se enfocan en cmo la red puede lograr un mayor xito comercial Requisitos tcnicos: se enfocan en cmo se implementa la tecnologa dentro de la red.
Caracterizacin de la red existente Se rene y se analiza informacin sobre los servicios y redes actuales. Es necesario comparar la funcionalidad de la red existente con los objetivos del nuevo proyecto definidos. El diseador determina si el equipo existente, la infraestructura y los protocolos pueden volver a utilizarse, y qu equipo y protocolos nuevos se necesitan para completar el diseo. Diseo de la topologa de la red Una estrategia comn para el diseo de la red es aplicar un enfoque descendente. En este enfoque, se identifican las aplicaciones de la red y los requisitos del servicio. Despus, se disea la red para apoyar dichas aplicaciones y requisitos. Se realiza un prototipo o prueba de concepto al completar el diseo. Este enfoque asegura que el nuevo diseo funcione segn lo previsto antes de su implementacin. Un error comn que cometen los diseadores de la red es no determinar de manera correcta el alcance del proyecto de diseo de la red. Determinacin del alcance del proyecto Al reunir los requisitos, el diseador identifica los problemas que afectan a toda la red y aqullos que afectan slo a partes especficas. A menudo, el alcance del proyecto se expande ms all del clculo original al no comprender el impacto de un requisito particular. Esta equivocacin puede aumentar en gran medida el costo y tiempo requeridos para implementar el nuevo diseo. Impacto en toda la red Los requisitos que afectan a toda la red incluyen: Agregar nuevas aplicaciones de red y realizar cambios importantes en las aplicaciones existentes, como cambios en la base de datos o en la estructura DNS Mejorar la eficiencia de los cambios en el protocolo de direccionamiento y enrutamiento de la red Integrar nuevas medidas de seguridad Agregar nuevos servicios de red, como por ejemplo el trfico de voz, networking de contenidos y networking de almacenamiento Reubicar servidores en una granja de servidores del centro de datos
Impacto en la porcin de la red Entre los requisitos que slo pueden afectar una porcin de la red se incluyen: Mejorar la conectividad de Internet y agregar ancho de banda Actualizar el cableado LAN de la capa de acceso Proporcionar redundancia para los servicios clave Dar apoyo al acceso inalmbrico en reas definidas Actualizar el ancho de banda de la WAN
Probablemente estos requisitos no afecten a muchos usuarios ni requieran de varios cambios en el equipo instalado. A veces es posible integrar los cambios de diseo en la red existente sin interrumpir las operaciones normales de la red para la mayora de sus usuarios. Este mtodo reduce los costos asociados con el tiempo de inactividad y acelera la implementacin de la actualizacin de la red.
Tecnologas de capa ncleo Entre las tecnologas que se utilizan en la capa ncleo se incluyen: Routers o switches multicapa que combinan el enrutamiento y la conmutacin en el mismo dispositivo Redundancia y balanceo de carga Enlaces de alta velocidad y agregados Protocolos de enrutamiento escalables y de rpida convergencia, como el Protocolo de enrutamiento de gateway interior mejorado (EIGRP) y el protocolo Abrir primero el camino ms corto (OSPF)
Enlaces redundantes
La implementacin de enlaces redundantes en la capa ncleo garantiza que los dispositivos de red puedan encontrar caminos alternativos para enviar datos en caso de falla. Cuando los dispositivos de la capa 3 se colocan en la capa ncleo, estos enlaces redundantes pueden utilizarse para realizar el balanceo de carga, adems de proporcionar respaldo. En un diseo de red plana de capa 2, el Protocolo Spanning Tree (STP) deshabilita los enlaces redundantes, a menos que falle un enlace principal. Este comportamiento del STP previene el balanceo de carga sobre los enlaces redundantes. Topologa de malla La mayora de las capas ncleo de una red se conectan en una topologa de malla completa o malla parcial. Una topologa de malla completa es donde cada dispositivo posee una conexin con los dems dispositivos. Si bien las topologas de malla completa proporcionan la ventaja de una red completamente redundante, stas pueden ser difciles de conectar y administrar y son ms costosas. Para las instalaciones ms grandes, se utiliza una topologa de malla parcial modificada. En una topologa de malla parcial, cada dispositivo se conecta al menos a otros dos dispositivos, lo cual crea una redundancia suficiente sin la complejidad de una malla completa.
Los componentes redundantes aumentan el costo, pero generalmente vale la pena invertir en ellos. Los dispositivos de la capa ncleo deben poseer componentes intercambiables en caliente cuando sea posible. Los componentes intercambiables en caliente pueden instalarse o retirarse sin tener que interrumpir primero la potencia del dispositivo. El uso de estos componentes reduce el tiempo de reparacin y la interrupcin de los servicios de red.
Las empresas ms grandes a menudo instalan generadores y dispositivos UPS grandes. Estos dispositivos evitan que los cortes leves de energa elctrica causen fallas en redes a gran escala. Reduccin del error humano Los errores humanos contribuyen a las fallas en la red. Lamentablemente, estos factores no pueden eliminarse al agregar equipo y enlaces redundantes. Muchas fallas de la red son el resultado de actualizaciones o adiciones mal planificadas y sin probar al nuevo equipo. Nunca realice un cambio de configuracin en una red de produccin sin probarlo primero en un entorno de laboratorio! Las fallas en la capa ncleo provocan interrupciones generalizadas. Es esencial contar con procedimientos y polticas adecuadas por escrito para determinar de qu manera se deben autorizar, probar, aplicar y documentar los cambios. Planifique una estrategia de retirada para regresar la red a su estado anterior si los cambios no producen el resultado esperado.
Seleccin de un protocolo de enrutamiento La mayora de los protocolos de enrutamiento dinmico ofrecen tiempos de convergencia aceptables en las redes pequeas. En redes ms grandes, los protocolos como RIPv2 pueden converger muy lentamente para evitar una interrupcin en los servicios de la red cuanto un
enlace falla. Por lo general, en una red empresarial grande, el EIGRP o el OSPF proporcionan la solucin de enrutamiento ms estable. Consideraciones de diseo La mayora de las redes contienen una combinacin de rutas estticas y dinmicas. Los diseadores de red deben considerar la cantidad de rutas necesarias para asegurarse de que puedan alcanzarse todos los destinos en la red. La convergencia de las tablas de enrutamiento grandes puede demorar un tiempo considerable. El diseo de direccionamiento de red y estrategias de sumarizacin en todas las capas afecta la eficiencia con la que el protocolo de enrutamiento puede reaccionar ante una falla.
Los dispositivos de la capa de distribucin tambin se utilizan para administrar colas y priorizar el trfico antes de realizar la transmisin a travs del ncleo del campus.
Enlaces troncales Los enlaces troncales a menudo se configuran entre los dispositivos de red de la capa de distribucin y de acceso. Tambin se utilizan para transportar trfico que pertenece a mltiples
VLAN entre dispositivos a travs del mismo enlace. Al disear los enlaces troncales, el diseador de red considera los patrones de trfico de la red y la estrategia VLAN generales. Enlaces redundantes Cuando existen enlaces redundantes entre los dispositivos de la capa de distribucin, estos dispositivos pueden configurarse para balancear la carga del trfico a travs de los enlaces. El balanceo de carga aumenta el ancho de banda disponible para las aplicaciones. Topologa de la capa de distribucin Las redes de la capa de distribucin generalmente se conectan en una topologa de malla parcial. Esta topologa proporciona suficientes rutas redundantes como para asegurar que la red pueda sobrevivir a una falla en el dispositivo o enlace. Cuando los dispositivos de la capa de distribucin se ubican en el mismo armario de cableado o centro de datos, estos se interconectan utilizando enlaces Gigabit. Cuando los dispositivos estn separados por distancias ms grandes, se utiliza cable de fibra. Los switches que admiten mltiples conexiones de fibra de alta velocidad pueden ser costosos. Por lo tanto, es necesaria una planificacin detallada para garantizar que existan suficientes puertos de fibra disponibles a fin de proporcionar la redundancia y el ancho de banda deseados.
denomina bloque de switch de departamento o construccin. Cada bloque de switches funciona de manera independiente. Como resultado, la falla de un nico dispositivo no desactiva la red. Incluso la falla de todo un bloque de switches no afecta a un nmero considerable de usuarios finales.
Un servidor empresarial de gran volumen se conecta a un puerto del switch. Si dicho puerto realiza un nuevo clculo debido al STP, el servidor se desconecta durante 50 segundos. Sera difcil imaginar la cantidad de transacciones perdidas durante dicho plazo. En una red estable, son poco frecuentes los nuevos clculos del STP. En una red inestable, es importante verificar los switches para detectar cambios en la configuracin y la estabilidad. Una de las causas ms comunes de los nuevos clculos del STP en forma frecuente es la falla en una fuente de energa o suministro elctrico del switch. Una fuente de energa defectuosa provoca el reinicio del dispositivo de manera imprevista.
Tanto las ACL estndar como las extendidas pueden configurarse como listas de acceso por nombre o por nmero. ACL complejas Las ACL extendidas y estndar sirven de base para otras clases de ACL ms complejas. Con el software IOS de Cisco, se pueden configurar tres funciones de ACL compleja: dinmica, reflexiva y basada en tiempo.
ACL dinmica: requiere que un usuario utilice Telnet para conectarse al router y realizar la autenticacin. Una vez autenticada, se permite el trfico proveniente del usuario. A menudo, las ACL dinmicas se denominan "lock and key" (bajo llave) porque el usuario debe iniciar sesin para poder obtener acceso. ACL reflexiva: permite el trfico saliente y luego limita el trfico entrante de manera que se admitan solo las respuestas a solicitudes autorizadas. Es similar a la palabra clave established que se utiliza en las declaraciones ACL extendidas, excepto que estas ACL tambin pueden inspeccionar el trfico ICMP y UDP, adems de TCP. ACL basada en tiempo: permite y deniega determinado trfico segn la hora del da o el da de la semana. Ubicacin de las ACL El trfico que viaja hacia una interfaz se filtra mediante la ACL entrante. El trfico que sale de una interfaz se filtra mediante la lista de control de acceso saliente. El diseador de red debe decidir dnde ubicar las ACL dentro de la red para alcanzar los resultados deseados.
Esta lista contiene un repaso rpido de las reglas para disear y aplicar listas de control de acceso (ACL): Puede haber una ACL por protocolo, por direccin y por interfaz. Las ACL estndar se deben aplicar ms cerca del destino. Las ACL extendidas se deben aplicar ms cerca del origen. Se debe hacer referencia a la interfaz entrante o saliente como si estuviese mirando al puerto desde adentro del router. Las frases se procesan de forma secuencial desde la parte superior a la inferior de la lista hasta que se encuentra una coincidencia. Si no se encuentra una coincidencia, el paquete se rechaza y se descarta. Hay un "rechazar cualquiera" implcito al final de todas las ACL. Esta sentencia no aparece en el listado de configuracin. El administrador de red debe configurar las entradas de la lista de control de acceso en un orden tal que filtre de lo especfico a lo general. Primero se deben denegar hosts especficos y por ltimo los grupos o filtros generales. Primero se examina la condicin de coincidencia. El "permiso" o "rechazo" se examina slo si la coincidencia es verdadera. Nunca trabaje con una ACL que se aplica de forma activa. Utilice un editor de texto para crear comentarios que describan la lgica. Luego complete las frases que ejecutan la lgica. El comportamiento predeterminado es que las lneas nuevas siempre se agregan al final de la ACL. Un comando no access-list x elimina toda la lista. Una lista de control de acceso IP enva un mensaje de host inalcanzable de Protocolo de mensaje de control de Internet (ICMP, Internet Control Message Protocol) al remitente del paquete rechazado y descarta el paquete en el cubo de bits. Una ACL se debe eliminar cuidadosamente. Al eliminar una lista de acceso, inmediatamente se detiene el proceso de filtrado. Los filtros salientes no afectan el trfico que se origina en el router local.
La sumarizacin puede realizarse en forma manual o automtica, segn el tipo de protocolo de enrutamiento que se utilice en la red.
Los protocolos de enrutamiento sin clase, como el RIPv2, EIGRP, OSPF e IS-IS, admiten la sumarizacin de ruta segn las direcciones de subred en cualquier lmite. Los protocolos de enrutamiento con clase, como el RIPv1, resumen las rutas en forma automtica en el lmite de red con clase pero no admiten la sumarizacin en cualquier otro lmite.
Consideraciones fsicas de la capa de acceso La capa de acceso de la infraestructura del campus utiliza la tecnologa de conmutacin de Capa 2 para proporcionar acceso a la red. El acceso puede ser a travs de una infraestructura cableada permanente o mediante puntos de acceso inalmbrico. Ethernet con cableado de cobre implica limitaciones con respecto a la distancia. Por lo tanto, uno de los principales enfoques al disear la capa de acceso de una infraestructura del campus es la ubicacin fsica del equipo. Armarios de cableado Los armarios de cableado pueden ser armarios reales o cuartos de telecomunicaciones pequeos que funcionan como punto de terminacin para el cableado de la infraestructura dentro de edificios o de sus pisos. La colocacin y el tamao fsico de los armarios de cableado depende del tamao de la red y de los planes de expansin. El equipo del armario de cableado suministra potencia a los dispositivos finales como telfonos IP y puntos de acceso inalmbrico. Muchos switches de la capa de acceso tienen funcionalidad Power-over-Ethernet (PoE). A diferencia de un armario de cableado comn, dentro de un conjunto de servidores o centro de datos, los dispositivos de la capa de acceso generalmente son switches multicapa redundantes que combinan la funcionalidad del enrutamiento y la conmutacin. Los switches multicapa pueden proporcionar funciones de proteccin contra intrusos y de firewall, al igual que las funciones de Capa 3.
Impacto de las redes convergentes La red informtica moderna implica mucho ms que slo computadoras personales e impresoras conectadas a la capa de acceso. Muchos dispositivos diferentes pueden conectarse a una red IP, entre ellos: Telfonos IP Videocmaras Sistemas de videoconferencia
Todos estos dispositivos pueden converger en una nica infraestructura fsica de capa de acceso. Sin embargo, el diseo lgico de la red que se necesita para admitirlos se vuelve ms complejo debido a ciertas consideraciones, como la QoS, la segregacin de trfico y el filtrado. Estos nuevos tipos de dispositivos finales, junto con las aplicaciones y los servicios relacionados, modifican los requisitos para la escalabilidad, disponibilidad, seguridad y facilidad de administracin en la capa de acceso. Necesidad de disponibilidad En las redes ms antiguas, la disponibilidad alta por lo general estaba presente solamente en el ncleo de la red, en el margen empresarial y en las redes de centro de datos. Gracias a la telefona IP, en la actualidad se espera que cada telfono individual est disponible el 100% del tiempo. Los componentes redundantes y las estrategias de migracin en caso de fallos pueden implementarse en la capa de acceso para mejorar la confiabilidad y aumentar la disponibilidad para los dispositivos finales.
Administracin de la capa de acceso Las mejoras en la facilidad de administracin de la capa de acceso es de gran inters para el diseador de red. La administracin de la capa de acceso es esencial debido a lo siguiente: El aumento en la cantidad y en los tipos de dispositivos que se conectan a la capa de acceso La introduccin de puntos de acceso inalmbrico dentro de la LAN
Diseo para la facilidad de administracin Adems de proporcionar conectividad bsica en la capa de acceso, el diseador necesita considerar lo siguiente: Denominacin de estructuras Arquitectura VLAN Patrones de trfico Estrategias de prioridad
La configuracin y utilizacin de sistemas de administracin de red son fundamentales para una red convergente grande. Tambin es importante estandarizar configuraciones y equipos cuando sea posible. El cumplimiento de principios de diseo eficientes mejora la facilidad de administracin y el respaldo constante de la red al realizar lo siguiente: Garantizar que la red no se vuelva demasiado compleja Permitir una resolucin de problemas sencilla cuando se presenta un problema Facilitar la incorporacin de nuevas funciones y servicios en el futuro
Las topologas en estrella Ethernet generalmente poseen una combinacin del siguiente cableado: Cableado de par trenzado para conectarse a los dispositivos finales individuales Fibra para interconectar los switches de acceso a los dispositivos de la capa de distribucin
Todas las redes tienen recursos limitados. Por esta razn, las redes necesitan mecanismos de QoS. La capacidad de proporcionar QoS depende de la clasificacin del trfico y de la prioridad asignada. Clasificacin Antes de asignar estrategias de QoS, es necesario clasificar las aplicaciones segn los requisitos especficos de entrega. La clasificacin de datos en el origen o cerca del mismo permite asignar a dichos datos la prioridad adecuada a medida que se trasladan a travs de toda la red. La segregacin en clases del trfico con caractersticas similares y luego la identificacin de dicho trfico mediante marcas es una funcin de los dispositivos de red en las capas de distribucin y de acceso. Un ejemplo de esta estrategia es colocar el trfico de voz de un switch de acceso en una nica VLAN. Luego, el dispositivo marca el trfico que se origina desde la VLAN de voz con la mxima prioridad.
seguridad. En reas de fcil acceso o de alto riesgo, quizs sea necesario equipar los armarios de cableado con seguridad adicional, como cmaras o alarmas y dispositivos de deteccin de movimiento. Algunos dispositivos, como los bloqueos de teclado, pueden registrar qu cdigos se utilizan para ingresar a las reas seguras. Seguridad de los dispositivos de red en la capa de acceso Las siguientes medidas simples pueden proporcionar seguridad adicional a los dispositivos de red en la capa de acceso: Configurar contraseas seguras Utilizar SSH para administrar dispositivos Deshabilitar puertos sin utilizar
La seguridad de puerto del switch y el control de acceso a la red pueden asegurar que solo los dispositivos confiables y conocidos tengan acceso a la red. Prctica recomendada para la seguridad Los riesgos de seguridad no pueden eliminarse o prevenirse por completo. Una efectiva evaluacin y administracin de riesgos puede reducir de manera considerable los riesgos de seguridad existentes. Al considerar las medidas de seguridad, es importante entender que ningn producto puede garantizar la seguridad de una organizacin. La verdadera seguridad de la red surge de una combinacin de productos, servicios y procedimientos, junto con una cuidadosa poltica de seguridad y el compromiso para adherirse a esa poltica.
Sistemas de prevencin y deteccin de intrusin basados en la red y en el host Balanceadores de carga Anlisis de la red y dispositivos de administracin
Zonas desmilitarizadas En el diseo tradicional de firewall de red, los servidores a los que se acceda desde redes externas se ubicaban en la zona desmilitarizada (DMZ, demilitarized zone). A los usuarios que accedan a estos servidores desde Internet o desde otras redes externas poco confiables se les impeda ver los recursos ubicados en la LAN interna. Los usuarios de la LAN eran considerados usuarios confiables y generalmente tenan pocas restricciones cuando accedan a los servidores en una DMZ. Proteccin contra ataques internos Actualmente, los ataques que se originan en la red interna son ms comunes que los ataques desde fuentes externas. Como resultado, el diseo de seguridad de un conjunto de servidores es diferente del modelo DMZ anterior. Se requiere una capa de funciones de firewall y proteccin de intrusin entre los servidores y las redes internas; y entre los servidores y los usuarios externos. Posiblemente tambin sea necesario una capa de seguridad adicional entre los servidores. La vulnerabilidad de los datos almacenados en los servidores e incluidos en las transacciones a travs de la red determina la poltica de seguridad adecuada para el diseo de la granja de servidores.
diseador determina si se puede admitir el servicio de roaming entre las reas de cobertura superpuestas. Diseo lgico de la red Por lo general, el diseo lgico de la red es la tarea ms difcil de los diseadores de red. Los clientes a menudo desean proporcionar diferentes niveles de acceso a distintos tipos de usuarios inalmbricos. Adems, las redes inalmbricas deben ser seguras y fciles de usar. La determinacin de las funciones deseadas y las limitaciones implica diferentes maneras de disear y configurar las LAN inalmbricas. Un ejemplo de un diseo complejo de red inalmbrica sera una empresa que necesita ofrecer los siguientes servicios: Acceso inalmbrico libre para visitantes y proveedores Acceso inalmbrico seguro para sus empleados mviles Conectividad confiable para telfonos IP inalmbricos
Uno de los principales beneficios de una red inalmbrica es que ofrece una conexin fcil y conveniente de dispositivos. Lamentablemente, esa facilidad de conectividad y el hecho de que la informacin se transmite por aire, hace que una red inalmbrica sea vulnerable a intercepciones y ataques. Las mejores prcticas estndar para asegurar un punto de acceso inalmbrico y las transmisiones inalmbricas relacionadas incluyen los siguientes procedimientos: Modificar el SSID predeterminado y no difundirlo a menos que sea necesario. Utilizar una encriptacin poderosa. Implementar la autenticacin mutua entre el cliente y la red con claves compartidas previamente o con una implementacin del Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol). Usar las VPN o el WPA en combinacin con listas de control de direcciones MAC para asegurar los dispositivos especficos de la empresa. Usar las VLAN para restringir el acceso a los recursos de la red. Garantizar que los puertos de administracin sean seguros. Implementar puntos de acceso ligeros, ya que stos no almacenan informacin de seguridad de manera local. Ocultar o asegurar fsicamente los puntos de acceso para evitar alteraciones. Monitorear el exterior del edificio y el lugar para detectar alguna actividad sospechosa.
Algunos de estos factores afectan el diseo de la red, por ejemplo la ubicacin y el tipo de servidores de autenticacin y los extremos finales de VPN, tambin la eleccin de puntos de acceso ligeros. Otros factores a considerar para el diseo de la WLAN son: Determinar ubicaciones fsicas seguras para los equipos inalmbricos Asegurar la red cableada a la que se conectan las WLAN
Conmutacin de etiqueta multiprotocolo (MPLS, Multiprotocol Label Switching ) El MPLS del IOS de Cisco permite a las empresas y a los proveedores de servicios crear redes inteligentes de la prxima generacin. MPLS encapsula los paquetes con un encabezado adicional que contiene informacin "en etiquetas". Las etiquetas se usan para conmutar los paquetes a travs de la red MPLS. MPLS se puede integrar perfectamente a cualquier infraestructura existente, como IP, Frame Relay, ATM o Ethernet. MPLS no depende de tecnologas de acceso. La tecnologa MPLS es fundamental para las Redes privadas virtuales (VPN, Virtual Private Network) escalables y para la calidad del servicio (QoS) de extremo a extremo. MPLS permite el uso eficaz de las redes existentes para su adaptacin al crecimiento futuro y a la rpida correccin de fallas de enlace y de nodo. La tecnologa tambin ayuda a prestar servicios IP altamente escalables de extremo a extremo con una configuracin, administracin y aprovisionamiento ms simples, tanto para proveedores de Internet como para suscriptores. En muchas empresas, no todos los empleados trabajan en las instalaciones principales. Entre los empleados que trabajan en fuera de las instalaciones se incluyen: Trabajadores remotos Trabajadores mviles Empleados de sucursal Trabajadores remotos que por lo general trabajan uno o ms das a la semana desde su hogar u otro lugar. Los trabajadores mviles posiblemente deben viajar constantemente a diferentes lugares o estar disponibles en forma permanente en un sitio del cliente. Algunos trabajadores son empleados de sucursales pequeas. De cualquier forma, estos empleados necesitan tener conectividad con la red empresarial. Con el crecimiento de Internet, las empresas han recurrido a dicho servicio como medio para extender sus propias redes. Redes privadas virtuales Una opcin de conectividad muy comn, especialmente para los trabajadores remotos, es la red privada virtual (VPN, Virtual Private Network) a travs de Internet. Una VPN es una red privada que utiliza una red pblica para conectar sitios remotos o usuarios entre s. En lugar de utilizar una conexin real dedicada, como las lneas arrendadas, una VPN utiliza conexiones
virtuales enrutadas a travs de Internet desde la red privada de la compaa hasta el router remoto o PC.