> Data Center

Con el fin de continuar con las prácticas de la currícula se decidió utilizar la paquetería de servicios instalada en los routers. Cabe destacar que un servidor proporciona mayores ventajas que los routers, pero la configuración de ellos está fuera del alcance del proyecto. 

Con el fin de garantizar disponibilidad, cada servicio ofrecido es accedido por una interfaz de red virtual loopback, lo que brinda tolerancia a fallos ya que solo se necesita una interfaz física en estado de UP. En otras palabras, si de cuatro interfaces físicas sólo una está funcionando el equipo sigue siendo alcanzable. Continuando con este principio, cada conexión entre los equipos del data center es del tipo Capa 3 - Red, de esta manera acotamos los dominios de difusión y no necesitamos de STP para los caminos redundantes. Solo queda que OSPF asocie vecindad entre dispositivos y seleccione la mejor ruta para cada comunicación. Si una ruta falla, este se encarga de buscar automáticamente una alternativa para garantizar que el tráfico siga fluyendo sin interrupciones. Además, OSPF está configurado en el área 1, lo que aporta aislamiento al resto de las áreas y promueve que cada problema sea acotado a su propia área sin afectar a las demás. Por último, una pieza clave es el EtherChannel (L3) que une a los switches A-03-SV01 y A-03-SV02, ya que aporta la prevención de un blackhole. Esto quiere decir, que ambos switches encargados de la redistribución de las comunicaciones a cada servicio, no posean una ruta a este.

> Edificio C

El edificio C representa una sede que está situada en otra área geográfica y cuenta con su propia red y conexión a internet. El router C-00-RT01 utiliza PAT o NAT Overload para administrar sus conexiones externas, excepto aquellas que se dirigen a recursos en la oficina principal. De esta manera, las ACL clasifican el tráfico, que luego se enruta a través de un túnel IPSec con IKEv2 hacia el router A-00-VPN01. Finalmente, el tráfico se distribuye por el core al recurso de destino, como ser un servicio en el data center. La siguiente imagen muestra en azul el flujo de datos a Internet y en celeste el flujo de datos destinado a un servicio en el datacenter.

> Edificio A

Para las comunicaciones internas, OSPF, en el área 0, utiliza el algoritmo Dijkstra para encontrar la mejor ruta dentro del core de la red. Por otro lado, BFD se encarga de detectar rápidamente fallos en los enlaces que unen dos equipos. De esta manera, OSPF y BFD, minimizan el tiempo que se tarda en detectar una falla y encontrar un nuevo camino a ese destino. Por otro lado, para las comunicaciones con internet, se configuró BGP en los routers A-00-RT01 y A-00-RT02. Estos se encuentran en modo de conexión Dual Multi-homed, lo que significa que ambos están conectados a dos proveedores de servicio diferentes: ISP10 e ISP20.

Como se explicó en la Nota 1, los switches core, A-00-SW01 y A-00-SW02, trabajan de forma independiente. Esto implica que si deseamos generar mayor disponibilidad mediante enlaces redundantes, se debe crear dos redes por cada dispositivo que añadimos a la capa. Resultando en una red que se conecta al switch SW01 y otra a SW02. Por este motivo, decidí no agregar nuevos bloques, uno de servicios y otro de routers a internet, con el fin de evitar complejidad adicional a la red, y los conecté directamente al core.

Nota 2: La misma imagen de los Switches descrita en la Nota 1, posee algún tipo de error a la hora de realizar NAT. El conjunto de configuraciones se establece, pero no produce la traducción. No aumenta ningún contador de la ACL, ni produce algún tipo de log que se pueda ver con el debug.

Para garantizar una distribución simétrica del tráfico en la red, he aplicado políticas de enrutamiento en los switches centrales. Estas políticas aseguran que el tráfico proveniente del router A-00-NAT01 siempre termine en el router de internet A-00-RT01, y viceversa; independientemente de por cuál switch de core pase, ya sea A-00-SW01 o A-00-SW02. Por último y continuando con la distribución simétrica, ambos routers de internet tienen una configuración de BGP Wright que prioriza al proveedor de internet ISP10 en el caso del router A-00-RT01 y al ISP20 en el caso del router RT02. Además, ambos tienen una configuración BGP as-path prepend que garantiza que el tráfico que salió por un proveedor de internet, vuelva a ingresar por el mismo.

Aclarada la Nota 2, se agregaron dos routers para desempeñar las funciones de PAT que eventualmente los switches de distribución del Edificio B no pueden realizar. De un bloque de direcciones IP que simulan ser públicas, se dividieron en tres partes, una para servidores y dos para NAT que están asignadas a los routers A-00-NAT01 y A-00-NAT02.

El tráfico de las primeras ocho VLANs de los usuarios se dirige al switch B-00-SW01 como puerta de enlace predeterminada. Una vez allí, se enruta a través de un túnel GRE hacia el router A-00-NAT01 para ser traducido a una dirección IP pública correspondiente. Finalmente, el tráfico se envía al router A-00-RT01 y sale a internet a través del proveedor ISP10.

Nota 3: El tráfico asimétrico podría producir un desorden de paquetes en el receptor, lo que afecta a comunicaciones que necesiten de un orden, como ser una llamada telefónica. Por otro lado, aplicar reglas restrictivas, podría desaprovechar el uso del multicamino.

Si estás interesado en los archivos de configuración, pincha aquí.

De manera similar, las ocho VLANs restantes, o sea de la 108 a la 116, sé envían al switch B-00-SW02. Desde allí, el tráfico se dirige al router NAT02 por un túnel GRE, y este utiliza otro bloque de direcciones IP públicas. Luego, sigue su camino hacia el router A-00-RT02 y se envía a internet por el proveedor ISP20. La siguiente imagen muestra en color naranja el flujo de datos de las primeras ocho redes de usuario, y en color violeta, el flujo de las ocho redes restantes.