¿Quieres diseñar una red informática en condiciones?

A la hora de implementar una red informática podemos tener en cuenta una serie de fases estandarizadas que ayudarán a la gestión, implementación y mejora posterior de una instalación de este tipo.

Las fases son las siguientes:

Fase previa o análisis del proyecto. Estudio necesario sobre la viabidad del proyecto (económico, técnico, legal, medioambiental)

Ingeniería básica o diseño básico. El objetivo aquí es definir una solución para poner en marcha seleccionando elementos a utilizar sin entrar en detalle.

Ingeniería de detalle o diseño de detalle. En esta fase, el diseño creado anteriormente pasa a ser completado en sus detalles tecnológicos.

En En la gráfica que se ofrece a continuación se puede apreciar el comportamiento de algunas variables importantes durante el desarrollo del proyecto en cada una de las tres fases consideradas. La única de esas variables que decrece a medida que avanza el proyecto es el número de soluciones posibles a considerar. Para reducir la complejidad y costo total del proyecto, es importante que las soluciones a no considerar sean identificadas cuanto antes, pues el no hacerlo así conlleva arrastrar su estudio y valoración una y otra vez, hasta que sean finalmente descartadas. Lo ideal es que cuando se llega al nivel de detalle, el proyecto esté bastante cerrado, de manera que esta fase pueda automatizarse al máximo, y, con ello, reducir notablemente su costo en tiempo y dinero.

La precisión a alcanzar en cada fase depende mucho de dos factores, el presupuesto y el plazo de ejecución.

En los apartados que siguen se describe el contenido de cada fase:

Análisis

En ella es fundamental la participación de los futuros usuarios de la red y de los administradores de la misma, así como que haya una buena comunicación entre éstos y el diseñador de la red.

En esta primera fase se definen cosas como la ubicación y cantidad de los nodos conectados a la red, los usos a los que se destinará la red, y los requerimientos de uso de la red de usuarios y aplicaciones. Además se definirán los recursos económicos (presupuesto) y humanos (personal dedicado a ello) que, como máximo debe consumir la red en su implantación y en su mantenimiento.

Los inputs vienen de dos grupos de personas:

– Los que encargan la red al diseñador (promotores)

– Lo usuarios de la red

Resultados:
El resultado de la primera fase ha de ser un documento de descripción de necesidades y condiciones del diseño. Este documento debería incorporarse al contrato firmado entre quien encarga el proyecto y el proyectista, por lo que es fundamental que esté completo y claramente escrito ( Entrando en cuestiones mercantiles, lo propio es que cuando un cliente encarga un proyecto de red, la relación comercial entre cliente y proyectista pase por dos etapas. En una primera etapa, hasta la definición de necesidades y condiciones del diseño, el proyectista puede cobrar o no por su trabajo, en función de la magnitud de la red encargada y el nivel de precisión alcanzado en ese análisis. En la segunda, la elaboración del diseño o proyecto básico, el proyectista siempre querrá cobrar por su trabajo. Sin embargo, puede ocurrir (y ocurre) que el cliente no se sienta satisfecho con el proyecto, y no quiera pagarlo por entender que no cumple las condiciones de partida. La incorporación de este documento de descripción de necesidades y condiciones del diseño al contrato para la realización del diseño y proyecto de red protege a ambas partes: al proyectista lo protege de arbitrariedades por parte del cliente, y al cliente lo protege de la negligencia o incompetencia de un mal proyectista. Un ejemplo de este segundo caso nada infrecuente en ingeniería civil y arquitectura, se da cuando un proyectista presenta un proyecto cuyo presupuesto de ejecución excede ampliamente el presupuesto máximo definido como restricción inicial.)



Diseño de la red (Ingeniería Básica)

En el diseño de una red se define la topología de la misma, estableciendo las subredes que la conforman, su ubicación física y la interconexión entre ellas, determinando la capacidad de los enlaces, y definiendo la ubicación de los servidores y equipos de usuario.

En teoría, debería ser suficiente la información contenida en el documento de descripción de necesidades y condiciones del diseño, fruto de la fase de análisis. En la práctica, es necesario mantener la comunicación con los futuros usuarios y gestores de la red para confirmar, completar o incluso cambiar los contenidos del citado documento.

Resultados
El resultado es el proyecto básico de red, que es un documento descriptivo de la red diseñada. La base de esa descripción son los mapas o planos de la red, en los que  se describe la topología de la misma. Acompañando y completando a esos planos habrá
una memoria técnica y un presupuesto estimado. En la memoria se complementa a los planos, y se describen otros aspectos del diseño no recogidos en éstos, como son cuestiones relacionadas con la seguridad, la gestión de la red en general, o la gestión de direcciones IP. La elaboración del presupuesto estimado sirve como punto de control que evite una desviación importante del diseño con respecto a las condiciones económicas establecidas en la definición de necesidades y condiciones. Es importante señalar que un posible segundo resultado de esta fase es la modificación del documento de descripción de necesidades y condiciones del diseño que originalmente se generó como resultado de la fase de análisis (véase la figura 4). No siempre se produce este cambio, pero si el diseñador ve necesario hacer esas modificaciones, sólo podrá acometerlas con el acuerdo de la parte contratante (el promotor, cliente, o propiedad).


Ingeniería de detalle

En esta fase se elabora el proyecto de ejecución. Debe tener la especificación detallada de todos los componentes de la red a construir. Eso incluye desde el proyecto de cableado, con sus planos, memoria, presupuesto y pliego de condiciones técnicas, hasta las especificaciones de los equipos de usuario a conectar a la red. A menudo (muchas veces por imperativo legal o administrativo), sobre todo a partir de un cierto tamaño de red, en lugar de un proyecto detallado lo que tendremos es un conjunto de proyectos detallados, cada uno de ellos hecho por un especialista. Por ejemplo, a veces puede ser necesario presentar por separado el proyecto de cableado (conocido también como proyecto telemático).

Fuentes de información
El punto de partida de la Ingeniería de Detalle es necesariamente la descripción de la
red contenida en el Proyecto Básico. Sin embargo, también será necesario consultar el
documento de necesidades fruto del análisis inicial (y posiblemente revisado tras el
diseño). Otra fuente de información útil son los catálogos actualizados de productos
de los proveedores: nos ponen al día de qué es lo que tenemos disponible en el
mercado. No obstante, hay que ser muy cuidadoso con el uso de estos catálogos, para
no dejarnos guiar por ellos al diseñar la red y/o al elaborar el proyecto de ejecución.
Es un error muy habitual todavía hoy, el que, en lugar de diseñar y proyectar redes en
función de la demanda de los usuarios, se diseñen en función de la oferta de nuestro
proveedor “de confianza”.

Resultados
El resultado de la Ingeniería de Detalle es el proyecto de ejecución o proyecto de detalle. En él lo fundamental es el conjunto de especificaciones técnicas que definen exactamente cómo han de ser los componentes de la red a implantar y explotar.  Acompañan a las especificaciones técnicas en el proyecto de ejecución un presupuesto detallado y un plan de implantación de red.
Un serio problema al que se enfrenta la Ingeniería Informática al abordar la elaboración del proyecto de detalle, es la rapidez con que las especificaciones técnicas y el presupuesto detallado pueden quedar desfasados. El ritmo al que evolucionan la tecnología y el mercado informáticos obligan a usar unos plazos muy reducidos entre la elaboración de este proyecto de detalle y su ejecución, algo que, en el caso de las contrataciones sometidas a concurso, puede ser incompatible con los imperativos legales o administrativos.

CARACTERIZACIÓN DE LA RED PREEXISTENTE

INFRAESTRUCTURA: Elaboración de mapas lógicos de la red prexistente:

• Un mapa que estructure la red a nivel IP. En él se describen las distintas redes y subredes IP usadas para direccionar los equipos de la red. Obsérvese que la coincidencia entre las redes y segmentos de red físicos, y las redes IP definidas no tiene por qué darse.
• Un mapa de nombres. Este mapa describirá la estructura de dominios y zonas DNS definidas en la red. Además debe acompañar a este mapa una descripción de las directrices de nombres de la red (si las hay).
• Un mapa descriptivo de la estructuración de la red desde el punto de vista de la explotación y gestión de la misma. Es decir, en este mapa se deben reflejar las unidades administrativas de que se compone la red (departamentos, secciones, etc.).
• Un mapa de la red desde el punto de vista de la seguridad. Describirá las subredes en que se compartimenta la red mediante redes perimetrales, la ubicación de los cortafuegos y bastiones, los puntos de acceso a la red y su nivel de control, así como el uso de VPNs, etc.

A menudo varios de estos mapas pueden integrarse en uno solo. Es importante tener clara la relación entre los componentes que aparecen en los mapas lógicos y el mapa físico de la red.

FUNCIONAMIENTO de la red prexistente:

• Análisis de disponibilidad. Su objetivo es conocer qué fracción del tiempo total están disponibles los servicios de red. Se deben obtener dos datos por cada servicio: el tiempo medio entre fallos de servicio y el tiempo medio de recuperación del servicio.
Análisis de uso del ancho de banda. Partiendo de que una red es un conglomerado de segmentos de red y líneas interconectadas entre sí, el primer paso para este análisis ha de ser determinar en qué segmentos se ha de tomar esa medida. Normalmente, se mide en tres puntos: en la red troncal, en los segmentos de red donde se ubiquen los servidores que dan los servicios a analizar, y en los segmentos de red donde se ubiquen los usuarios.
 Análisis de retardos. Consiste en medir los tiempos de respuesta para los servicios seleccionados. Para detectar cuellos de botella en el tránsito por las subredes situadas entre servidores y usuarios hay que hacer uso de herramientas como ping o traceroute.
• Análisis de máquinas. Este análisis debe revelar el nivel de carga con que están
trabajando las máquinas que son fundamentales para que los servicios seleccionados funcionen. Dichas máquinas se reparten en dos grupos: por un lado estarán los servidores, y por otro los encaminadores. Los parámetros a medir son tres: tráfico de entrada y salida en las interfaces de red, carga en las colas de esas interfaces, y uso de la CPU. Para obtener todas estas medidas es necesario el uso de alguna herramienta de análisis de red.

Resumen sobre lo qué tener en cuenta en las redes preexistentes:

CARACTERIZACIÓN DE LA RED PREEXISTENTE
1. Caracterización de infraestructuras de red
1.1 Mapas de red
1.1.1. Mapa de infraestructura de red
1.1.2.Mapas lógicos
1.1.2.1. Mapa de direccionamiento IP
1.1.2.3. Mapa de explotación y gestión de red
1.1.2.2. Mapa de nombres
1.1.2.4. Mapa de seguridad
1.2 Inventario de equipos
1.3 Inventario de servicios
2. Análisis de uso de la red
2.1 Análisis de disponibilidad
2.2 Análisis de ancho de banda
2.4 Análisis de máquinas

Simbología de dispositivos:Niveles topológicos:

• Nivel local, formado por las redes locales (LAN) desplegadas en el interior de
edificios.
• Nivel metropolitano o de campus, formado por interconexiones de media
distancia o metropolitanas (MAN) entre los edificios que albergan las redes
locales.
• Nivel troncal o de larga distancia (WAN), formado por la red troncal (backbone
network o core network) de interconexiones de larga distancia entre las
distintas redes metropolitanas (o redes de campus).

Este modelo es aplicable a cualquier red informática, aunque no en todas alcanzan el mismo desarrollo los tres niveles. En corporaciones pequeñas, donde todos los equipos a interconectar están en un mismo edificio, no habrá redes de campus ni troncal. Cuando todos los edificios a interconectar pueden serlo a través de enlaces metropolitanos, no habrá red troncal. Cuando no es posible usar tecnologías MAN para interconectar los edificios cercanos, el nivel metropolitano desaparece, y se hace necesario conectar todas las redes de acceso a través de enlaces WAN.

Topologías locales con dos niveles de agregación (acceso y distribución). (a) Conmutación en acceso y distribución. En este caso el encaminamiento IP se tiene que dar a nivel MAN o red de campus. (b) Conmutación en acceso y encaminamiento en distribución. (c) Encaminamiento tanto en acceso como en distribución.

Tipos de redes en función de la disposición de sus nodos:

Con más de cuatro o cinco edificios a interconectar, importante crear un nodo central o core

Comparativa entre opciones de multihoming a Internet.

Topologías de red perimetral:

Una red perimetral (o DMZ) se define como una red local aislada mediante cortafuegos de las redes a las que se conecta. En esa red perimetral se ubican las máquinas a las que se quiere dar un tratamiento especial en cuanto al acceso a las mismas a través de la red.

Son redes profilácticas con un doble objetivo:
• Aislar a las máquinas que acogen para poder controlar mejor sus accesos.
• Aislar a las máquinas que acogen para, en caso de ser víctimas de un ataque,
limitar el ámbito alcanzable desde la máquina atacada. Es decir, evitar la propagación de los ataques desde máquinas que están expuestas a peligros. La topología más común es la de red perimetral externa (figura 16). En esta red se albergan todas aquellas máquinas que deben estar accesibles a máquinas ubicadas fuera de nuestra red. En esa categoría entran, típicamente, servidores web, servidores de zona DNS, servidores (o pasarelas) de correo, o servidores VPN.

Figura 1 Red perimetral externa. (a) con cortafuegos único, (b) con cortafuegos externo e interno.

Dado el creciente peso de las amenazas internas a nuestra red, cada vez es más valorado disponer de redes perimetrales internas, que son aquellas que albergan máquinas susceptibles de ser atacadas desde dentro. Es el caso de proxies (web proxy, proxy SIP, …), servidores DNS locales, servidores de correo, servidores DHCP, etc. Cuando se quiere establecer redes perimetrales internas y externas, las posibilidades topológicas son variadas.

Figura 2 Red perimetral interna desconectada del exterior.

Si, por el contrario, las máquinas de la red perimetral interna necesitan acceder al exterior (caso, por ejemplo, de un proxy web o de un servidor local DNS), la topología a usar sería la misma de la figura 1b, pero la configuración de los cortafuegos sería diferente: en el caso de que la red perimetral tenga carácter interno, el cortafuegos externo no debe permitir el inicio de conexiones desde el exterior hacia los servidores de la red, pero sí debe dejar entrar las contestaciones a las peticiones formuladas por estos. Desde el punto de vista de la seguridad, es una buena idea instalar un servidor NAT en el cortafuegos externo de la figura 1b si la red perimetral es interna.

Si tenemos dos redes perimetrales, una interna y otra externa, son posibles las siguientes topologías:

• Disposición de redes perimetrales autónoma (figura 3). En caso de que los servidores de la red perimetral interna no precisen acceder al exterior, es una opción bastante segura comparadas a las posteriores, por el hecho de introducir más barreras para acceder a ella desde el exterior.

                                     Figura 3 Redes perimetrales interna y externa autónomas

Disposición en línea. Es la de la figura 4. Tal vez sea la más usada. Tiene la ventaja de facilitar la comunicación con el exterior de las máquinas de la red perimetral interna.

                                     Figura 4 Redes perimetrales externa e interna en línea

Disposición en paralelo (figura 5). Tiene la ventaja de necesitar configuraciones más sencillas, y por tanto más robustas, en los cortafuegos. Variantes de la configuración básica en paralelo (figura 5a) son aquellas en las que se comparte entre las diversas redes perimetrales alguno de los cortafuegos. En estas alternativas se reduce el costo de mantener varias redes perimetrales, pudiendo llegar a tener varias de ellas con sólo dos cortafuegos
(figura 5b). Por contra, la ventaja que aporta la configuración en paralelo, la sencillez y robustez de las configuraciones de cortafuegos, se pierde.

Figura 5 Redes perimetrales externa e interna en paralelo.

La combinación de objetivos de disponibilidad con seguridad en los accesos, nos lleva a configuraciones de redes perimetrales en paralelo multiconectadas (figura 6).

Figura 6: Redes perimetrales externa e interna en paralelo multiconectadas.

Simulación de redes:

Ejemplos muy usados de software de simulación son Network Simulator (conocido como ns2 o ns3, según la versión), OPNET, QalNet, NetSim, y OMNeT++.

Glosario de disponibilidad
En torno al concepto de disponibilidad se han venido acuñando una serie de términos y conceptos muy similares con significados también muy similares o, al menos, muy relacionados entre sí. El objetivo de este apéndice es tratar de clarificar la semántica de algunos de esos términos y diferenciar conceptos similares.

Disponibilidad (Availability)
La disponibilidad de un sistema (una red, un servicio, un equipo …) se define como la
relación entre el tiempo en que ese sistema está funcionando normalmente y el
tiempo total a considerar. Para nombrar a los factores que intervienen en su cálculo
se acuñan los términos fiabilidad (reliability) y reparabilidad (reparability). La principal
estrategia para alcanzar un nivel adecuado de disponibilidad es la introducción de
redundancias en el sistema (diseño redundante).
Se suele expresar como probabilidad de que el sistema responda cuando requerimos
el servicio. En ese caso se calcula como:

Tiempo disponible 
————————————-
Tiempo total a considerar 

Alta disponibilidad (High availability)
Hablamos de alta disponibilidad cuando se aplica la llamada regla de los 5 nueves, consistente en establecer una disponibilidad mínima del 99’999%. Supone una media de 5 minutos fuera de servicio al año.

Fiabilidad (reliability)
Medida del tiempo medio de funcionamiento del sistema en ausencia de fallos. Se suele expresar como tiempo medio entre fallos (MTBF, Mean Time Between Failure).

Reparabilidad (reparability)
Medida del tiempo medio necesario para volver a poner en servicio un sistema tras un fallo. Se suele expresar como tiempo medio de recuperación (MTTR, Mean Time To Recover).
Usando las siglas MTBF y MTTR, también se calcula la disponibilidad como:

 MTBF 
———————
 MTBF MTTR

Downtime
Otra forma de expresar la disponibilidad. Se define como el tiempo fuera de servicio durante un periodo concreto, que suele ser un año. También se puede dar downtime semanal o mensual. A continuación tenemos una tabla de equivalencias entre valores de disponibilidad y de downtime anual:

Redundancia (redundancy)

Replicación de recursos que ofrecen el mismo servicio. La redundancia tiene dos posibles usos, que no son excluyentes:

• Backup o respaldo del sistema principal. Con ello se aumenta grandemente la
reparabilidad (se reduce el MTTR), pudiendo llegar a ser prácticamente cero el
tiempo de recuperación ante un fallo en el sistema principal. En ese caso se
habla de sistemas tolerantes a fallos.
• Mejora en los tiempos de respuesta del servicio. Este efecto se consigue usando
balanceo de carga entre los sistemas replicados.

Agregación de líneas (link aggregation)

En redes informáticas, uso en paralelo de varias líneas o puertos para aumentar la capacidad de transmisión de un enlace y/o para dotar de redundancia al mismo con objeto de mejorar la disponibilidad de una conexión. Habitualmente está ligado a las conexiones Ethernet.
Está estandarizado como IEEE 802.1AX-2008 desde noviembre de 2008.
Se usan muchísimos términos para referirse al mismo concepto, lo que crea confusión.
Algunos términos usados son: trunking, Multi-link trunking (MLT), port trunking, Ethernet bonding, NIC bonding, network bonding, NIC teaming, port channel, link bundling, EtherChannel,, o Network Fault Tolerance (NFT).

Tolerancia a fallos
Propiedad de los sistemas consistente en mantener su funcionamiento a pesar de que se produzcan fallos en partes del sistema. Es decir, ante un fallo de una parte, el sistema continúa funcionando, aunque el nivel de servicio se vea degradado.
Únicamente se llega a una suspensión del servicio (breakdown) cuando se dan una
serie de fallos encadenados en partes del sistema. Un caso de sistema tolerante a fallos es aquel basado en varios servidores replicados a los que se les reparte la carga. Si uno o varios de los servidores falla, el servicio sigue en marcha mientras queden servidores que puedan darlo, a pesar de que los tiempos de respuesta aumenten a medida que caen servidores. Un ejemplo muy conocido de un sistema así es el DNS. Otro, los sistemas RAID (redundant array of independent disks).

Failover (recuperación automática de fallos)

Capacidad para cambiar de un sistema que falla a una copia del mismo que está en funcionamiento. A diferencia del switchover, el failover se produce de forma automática y sin generar una alarma. Los mecanismos de failover son necesarios en sistemas que requieren alta disponibilidad. Una variante al failover automático es el failover con autorización manual, que requiere intervención humana para lanzar el proceso.
El proceso inverso al failover es el failback, consistente en restaurar la situación inicial cuando el sistema que falló ha sido reparado. No siempre es necesario hacer un
failback.

Switchover (sustitución manual)
Proceso consistente en sustituir un sistema por otro equivalente en la prestación de un servicio. A diferencia del failover, el proceso se pone en marcha y se ejecuta manualmente. Los procesos de switchover se dan cuando hay que parar un sistema para labores de mantenimiento (actualización de software, p.e.) o cuando el cambio de sistema es tan complejo que no se puede hacer automáticamente.
Balanceo de carga
Técnica consistente en distribuir la carga de trabajo entre sistemas (servidores, CPUs, máquinas virtuales, redes, encaminadores, conmutadores, …) para lograr un uso
óptimo de los recursos disponibles y evitar sobrecargas.
En Internet, hay fundamentalmente dos técnicas para llevar a cabo el balanceo de
carga:
• Usar un repartidor (dispatcher), que recibe las peticiones de los clientes en el puerto asignado a la aplicación de que se trate. El repartidor actúa como intermediario (proxy) entre los clientes y el grupo de servidores (cluster, granja de servidores) que dan el servicio. Su trabajo consiste en redirigir la petición a uno de los servidores (backend servers), y reenviar la respuesta de éste al cliente. El repartidor es una máquina física, o puede ser un proceso en la misma máquina que aloja a los servidores.
Para evitar que el repartidor se convierta en un elemento crítico del sistema (si él falla, todo el sistema queda fuera de servicio), se usan configuraciones con replicación de repartidores, coordinados entre sí con algún protocolo específico para ello (VRRP, HSRP …).
• Balanceo DNS. Consiste en tener varios registros tipo A relacionando un único nombre con tantas direcciones IP como servidores tengamos. Ante sucesivas peticiones de resolución DNS, el servidor fuente DNS devuelve distintos registros por turnos (round robin).
El balanceo de carga es a menudo usado como técnica para failover. También se usa para un mejor aprovechamiento de sistemas redundantes.

FIN

Anuncios

Acerca de mitch

Quiero compartir mis experiencias y mis humildes conocimientos
Esta entrada fue publicada en Diseño de proyectos. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s