Smart Business Architecture Borderless Networks para organizaciones medianas
Guía de diseño base
Revisión: H1CY10
Smart Business Architecture: Guía de diseño base Cisco Smart Business Architecture Borderless Networks para organizaciones medianas® es un diseño integral para redes que tienen entre 100 y 1.000 usuarios. La arquitectura incorpora al campus, la red WAN, la tecnología inalámbrica, la seguridad, la optimización de WAN y las tecnologías de comunicación unificadas probadas conjuntamente como una solución. Este enfoque de nivel de soluciones simplifica la integración del sistema que se suele asociar con tecnologías múltiples, lo que permite al cliente seleccionar las piezas que resuelven los problemas de su organización en lugar de preocuparse por detalles técnicos. Cisco diseñó la arquitectura para cumplir los siguientes objetivos de organizaciones medianas: • Facilidad de uso: la solución se puede implementar con una mínima cantidad de configuraciones; la administración de redes es más simple y la arquitectura es modular, de manera que las organizaciones pueden elegir las tecnologías que desean. • Rentable: los productos empleados en la arquitectura fueron diseñados para organizaciones medianas que tienen entre 100 y 1.000 usuarios conectados. • Flexible y escalable: la arquitectura se encuentra diseñada para crecer con la organización sin tener que rediseñarse y los productos tienen la capacidad de ser reutilizados dentro de la arquitectura, con lo que se elimina la necesidad de actualizaciones constantes.
Ventajas arquitectónicas A continuación, se presentan algunas ventajas que su organización puede obtener al implementar Cisco Smart Business Architecture Borderless Networks para organizaciones medianas. Ventajas comerciales:
• Un diseño estandarizado, comprobado por Cisco y compatible con él. • Arquitectura optimizada para organizaciones medianas que tienen entre 100 y 1.000 usuarios y hasta 20 sucursales. • Arquitectura flexible para posibilitar una migración fácil a medida que la organización crece. • Compatibilidad sin inconvenientes para una implementación rápida del acceso a redes cableadas e inalámbricas para datos, voz, trabajadores a distancia y acceso inalámbrico de usuarios temporales.
página aparece en cuestión de segundos. Esto se logra debido a tres capas específicas que deben funcionar juntas para hacer llegar al usuario el contenido de la página mediante una experiencia positiva. Debe existir una red que brinde la base. También existen servicios de red que operan en segundo plano para mejorar y posibilitar la experiencia sin que el usuario se dé cuenta. Por último, existen servicios para el usuario que son las aplicaciones con las que el usuario interactúa directamente. La importancia de todas las capas se puede ilustrar también con el sistema telefónico. Imagínese realizar una llamada telefónica sin tono de llamada o de ocupado, o tener que descifrar cómo hacer la conexión entre los diversos puntos del switch entre usted y la persona a quien desea llamar. Todo eso lo damos por sentado. Tomamos el auricular del teléfono y oímos el tono de marcado para confirmar que la red está lista. Luego marcamos el número, la red enruta la llamada automáticamente y nos mantiene al tanto del progreso. Si hay congestión, la red brinda otra ruta o nos informa que por el momento la llamada no puede realizarse.
• Seguridad y alta disponibilidad para recursos de información, servidores y aplicaciones de Internet Consideremos cada capa y su función en la experiencia de la empresa. del usuario. • Rendimiento de WAN mejorado y reducción de Componentes de la arquitectura costos mediante el uso de optimización de WAN. El término arquitectura (del griego "architektonike") • Implementación y operación simplificadas a puede referirse a un proceso, una profesión, cargo de expertos en TI con certificación CCNA® o documentación. o experiencia equivalente. La arquitectura como un proceso es la actividad de • Confiabilidad de nivel empresarial que ofrece diseñar y construir edificios y otras estructuras físicas Cisco en los productos diseñados para principalmente para brindar refugio. En un sentido organizaciones medianas. más amplio, incluye también el diseño de todo el entorno construido, desde el macronivel de cómo ¿Por qué es importante una arquitectura cohesiva un edificio se integra con el paisaje que lo rodea para la organización y de qué manera se integran (vea la planificación urbana, el diseño urbano y la estos componentes? arquitectura de paisajes) hasta el micronivel de los Para que la experiencia del usuario con cualquier detalles arquitectónicos o de construcción y, a veces, aplicación se considere buena, se deben tener en los muebles. Si adoptamos un enfoque aún más amplio, cuenta diversos factores. Por ejemplo, en el caso de la arquitectura es la actividad de diseñar cualquier tipo un navegador web, abrimos una dirección URL, y la de sistema.
2
Smart Business Architecture: Guía de diseño base Como tal, Cisco Smart Business Architecture Borderless Networks para organizaciones medianas es un sistema que se creó mediante un proceso estructurado para ayudar a asegurar la estabilidad de los procesos y los recursos valiosos de la empresa. Cisco Smart Business Architecture para organizaciones medianas puede dividirse en tres componentes modulares principales, aunque independientes, para la organización mediana. Estos son: Base de la red, Servicios de red y Servicios para usuarios, con una interdependencia de naturaleza jerárquica.
Servicios para usuarios
Servicios de red
Base de la red
Voz y video
Seguridad, optimización de WAN, acceso de usuarios temporales
Enrutamiento, switches, tecnología inalámbrica, Internet
Base de la red Un elemento esencial de la arquitectura mediana es la base de la red. La Base de la red se asemeja a los cimientos de un edificio, ya que brinda una plataforma de la que dependen todos los demás elementos. Como módulo independiente, la base de la red permite asegurar que la información se pueda enviar, de manera confiable, de una ubicación a otra. El usuario promedio no sabe cómo se logra esto. Sólo sabe que cuando hace clic con el mouse, se reproduce un video, se envía un mensaje de correo electrónico o se procesa una solicitud. Simplemente, funciona.
Los dispositivos de infraestructura inteligentes de Cisco, como los switches, los routers y los equipos inalámbricos, son los que permiten realizar esto en segundo plano.
Servicios de red Los Servicios de red están por encima de la Base de la red. Si usamos una analogía similar, podemos decir que los Servicios de red son como las puertas, las ventanas y las cerraduras del edificio. Un edificio sin estos elementos es sólo una caja. Al agregar estos servicios, la caja se convierte en un edificio, una estructura utilizable que brinda confiabilidad, seguridad y disponibilidad de los recursos de la organización. Algunos usuarios son concientes de la importancia de los servicios de red, pero no interactúan directamente con ellos. Un ejemplo de esto sería el acceso remoto por VPN. El usuario necesita iniciar el cliente de VPN o VPN con SSL para acceder a los recursos empresariales, pero no sabe o no le interesa exactamente cómo funcionan esos servicios. Entre los servicios de red inteligentes de Cisco, podemos mencionar la virtualización, los firewalls y otros dispositivos de seguridad, la optimización de WAN y el acceso de usuarios temporales.
Servicios para usuarios Por último, por encima de los Servicios de red, están los Servicios para usuarios. Los Servicios para usuarios son como los servicios públicos del edificio, por ejemplo, agua, electricidad, teléfono y televisión (por cable, satelital). Por lo general, el usuario necesita tener acceso directo a estos servicios. A la mañana, se encienden las luces, suenan teléfonos y hay agua para preparar el desayuno. Algunos Servicios para usuarios generales incluyen software de aplicaciones comerciales electrónicas, sistemas CRM, correo electrónico y mensajería instantánea. Los Servicios para usuarios específicos de Cisco incluyen Cisco Unified Communications y los sistemas de colaboración, voz y video.
Base de la red La mayoría de los usuarios considera la red como un simple mecanismo de servicios de transporte para el traslado de datos desde un punto A hasta un punto B lo más rápido posible. Muchos resumen esto como "velocidades y avances". En la realidad, la red afecta a todo el tráfico y debe conocer los requisitos del usuario final y los servicios que se ofrecen. Aun cuando el ancho de banda es ilimitado, hay aplicaciones disponible durante cierto tiempo que son afectadas por las fluctuaciones, las demoras y las pérdidas de paquetes. Como medio de transporte de toda la información de nuestra sesión, el diseño y el funcionamiento de esta capa es esencial para todos los servicios. Su función es de suma importancia para el éxito de cualquiera de los servicios prestados a través de ella. La capa de red brinda un transporte eficaz tolerante a fallas que distingue entre las diversas aplicaciones, de modo tal que los recursos se compartan de manera equitativa y, a la vez, se mantenga un nivel de servicio apropiado. Dentro de la arquitectura, hay opciones de conectividad cableada o inalámbrica que ofrecen mecanismos avanzados de priorización y configuración de colas como parte de la calidad de servicio (QoS) integrada, con el objeto de asegurar un uso óptimo de los recursos. La red del campus de la oficina central
El campus es el concentrador de las comunicaciones de la red. Está conectado a la WAN, a la granja de servidores y a Internet en la oficina central, lo que lo convierte en un elemento esencial de la red. La red del campus debe tener un alto nivel de disponibilidad que la haga compatible con las aplicaciones comerciales esenciales y los medios en tiempo real. En el pasado, la alta disponibilidad significaba pagar por conexiones redundantes que no se usaban. Con la arquitectura mediana, todas las conexiones de red están activas y transportan tráfico real.
3
Smart Business Architecture: Guía de diseño base Ventajas
• El núcleo con capacidad de recuperación ofrece una recuperación ante fallas muy veloz para el tráfico de medios en tiempo real • La menor complejidad de configuración implica una solución de problemas más sencilla • Uso pleno de todos los enlaces de las redes sin enlaces inactivos en una configuración redundante Red de campus
Sala de servidores/ Centro de datos
Núcleo/Distribución
Acceso de clientes
En muchos diseños, la alta disponibilidad agrega complejidad, lo cual dificulta la solución de problemas de la red, reduce la facilidad de uso de la red y fuerza un equilibrio entre la alta disponibilidad (HA, High Availability) y la facilidad de uso en el diseño. El cambio de un diseño tradicional de doble núcleo al diseño de campus de Smart Business Architecture Borderless Networks para organizaciones medianas
reduce la complejidad sin pérdida de disponibilidad, gracias a la introducción del núcleo con capacidad de recuperación. El núcleo con capacidad de recuperación reduce la configuración del núcleo un 80% o más y facilita el proceso de solución de problemas de red, a la vez que sigue ofreciendo una capacidad de recuperación muy veloz en caso de falla. En un diseño tradicional de doble núcleo, se usa la misma VLAN en varios switches de acceso y se utiliza el Protocolo de árbol de expansión para evitar bucles de capa 2 en la red. El árbol de expansión tiene dos desventajas principales: tarda en recuperarse tras una falla, se toma varios segundos o más (mucho más si el tráfico de la red son medios en tiempo real, como voz o video) y tiene que bloquear los enlaces redundantes en la red, en cuyo caso reduce el ancho de banda a la mitad. En una red de doble núcleo, estos problemas se pueden solucionar mediante sintonización agresiva del árbol de expansión y una configuración de VLAN única para cada switch de acceso. En las redes actuales de multiservicio, los usuarios acceden a cuatro o cinco redes VLAN en el curso de un día de trabajo normal, y la cantidad de VLAN y subredes que deben configurarse en un diseño de doble núcleo para ajustarse a las deficiencias del árbol de expansión pueden ser muchas. El diseño del núcleo con capacidad de recuperación elimina estos inconvenientes, ya que no depende del árbol de expansión para la recuperación ante fallas. De ese modo, se puede usar una sola VLAN para varios switches de acceso. El diseño de campus de próxima generación no requiere ajustes adicionales para una recuperación veloz. El diseño de campus de Smart Business Architecture Borderless Networks para organizaciones medianas mejora el uso de las conexiones desde la capa de acceso hasta el núcleo de la red. Ambos enlaces ascendentes de los switches de la capa de acceso están activos y permiten que circule tráfico. Estos enlaces duplican el ancho de banda disponible en relación con los diseños tradicionales, en los cuales el árbol de expansión bloqueaba uno de los enlaces ascendentes. También es posible aumentar la tasa de transferencia a la capa de acceso o la sala
de servidores al aumentar la cantidad de enlaces ascendentes, lo que permite adaptar el diseño al ancho de banda requerido. El nuevo diseño de usuario de Smart Business Campus Architecture Borderless Networks para organizaciones medianas aumenta la velocidad y la disponibilidad, reduce la complejidad y facilita la solución de problemas y la administración de la red. Esto implica menos tiempo de inactividad y menos administradores requeridos para operar la red en las organizaciones medianas. Red de área amplia (WAN) y sucursal
Las organizaciones requieren un flujo continuo de información hacia dentro y hacia fuera de la red corporativa. La arquitectura mediana brinda un diseño sólido de WAN con la misma tecnología utilizada para garantizar que algunas de las empresas más importantes permanezcan conectadas en una arquitectura diseñada para organizaciones medianas. Una red WAN de alta disponibilidad contribuye a asegurar un flujo ininterrumpido de información comercial. La WAN es el punto en el que la organización se conecta con las sucursales a través de una red privada. Se denomina sucursal a la ubicación remota donde los empleados desarrollan actividades en nombre de la empresa. Una sucursal debe tener el mismo nivel de acceso a las aplicaciones corporativas que la oficina central, nada más que a una escala menor. La WAN se interconecta con todas las ubicaciones y agrega todo el tráfico de las sucursales a la oficina central. Ventajas
• Reduce los gastos operativos gracias a la integración de servicios en una misma plataforma. • Protege la inversión con un diseño modular flexible • Admite todos los tipos de conexión WAN de los principales proveedores de servicio. La función principal del router WAN es transportar información entre las sucursales y la oficina central. Las sucursales en Smart Business Architecture Borderless Networks para organizaciones medianas 4
Smart Business Architecture: Guía de diseño base se diseñaron para admitir de 20 a 40 usuarios con PC, teléfonos IP y dispositivos inalámbricos de voz y datos. El Cisco Integrated Services Router (ISR) brinda la plataforma para ofrecer la creciente cantidad de servicios y los requisitos de rendimiento mayores de las sucursales actuales. Los usuarios necesitan acceder sin inconvenientes a los servicios de red, tanto de manera local como a través de la red WAN a la oficina central. Para aumentar el rendimiento en la WAN y mejorar la experiencia del usuario, se pueden implementar los servicios de calidad de servicio (QoS) y una optimización de la WAN. La optimización de la WAN emplea compresión, almacenamiento en caché y otras tecnologías de optimización de aplicaciones, con el fin de aumentar el ancho de banda de la WAN de cuatro a cinco veces la velocidad del enlace. Los usuarios de las sucursales conectados con la oficina central mediante un enlace T1/E1 sienten como si estuviesen conectados con la LAN del campus. Los servidores están centralizados en la oficina central, lo que reduce el tráfico de la WAN. La calidad de servicio (QoS) prioriza el tráfico crítico para la empresa y el tráfico sensible a la latencia por encima de cualquier otro tráfico, de modo que el rendimiento de las aplicaciones de voz y video sea alto y el tráfico de menor prioridad no interfiera con las actividades de la empresa.
• Facilidad de administración: control centralizado de la infraestructura inalámbrica • Fácil implementación: núcleo de red preconfigurado para la conexión de puntos de acceso a cualquier puerto de acceso A fin de cumplir con los requisitos de movilidad en la arquitectura, el diseño incorpora productos y configuraciones específicos para brindar una solución segura, flexible, escalable y rentable. Prestar servicios integrales de movilidad inalámbrica en la oficina central y las sucursales y, a la vez, mantener la facilidad de uso y el bajo costo de propiedad puede resultar algo difícil si se implementan puntos de acceso en modo autónomo. Los puntos de acceso autónomos crean varios dispositivos que se deben configurar, monitorear y administrar. Al usar un controlador de LAN inalámbrica (WLC, Wireless LAN Controller), se pueden controlar todos los puntos de acceso de manera central, reducir los gastos generales de administración y simplificar las fases de implementación. El enfoque de WLC tiene muchas ventajas, además de ser un punto de administración central. Para garantizar un acceso seguro a la red inalámbrica, todos los empleados se autentican en un directorio corporativo, lo que elimina la necesidad
de mantener un almacén de nombres de usuario y contraseñas separado. Otro desafío es permitir el acceso de visitantes a la red para conectarse con la red de su empresa o para navegar en Internet. El WLC permite superponer una red virtual de usuarios temporales a la red actual de la empresa, sin los gastos que implica una infraestructura separada. El WLC se conecta con el firewall en la Internet perimetral y brinda a los usuarios temporales acceso de red virtual a Internet solamente, con seguridad a través de la red corporativa. Si bien el hardware del WLC está centralizado, la red inalámbrica de las sucursales brinda acceso inalámbrico a la LAN local. Esto permite evitar los cambios abruptos de sentido del tráfico que, de otro modo, tendría que viajar hasta la oficina central y, luego, volver a la red local de la sucursal, con el consiguiente desperdicio de ancho de banda de la WAN. El método del WLC representa un paso hacia el futuro, ya que brinda los cimientos de una funcionalidad más avanzada. Esta funcionalidad incluye servicios de localización, detección de puntos de acceso dudosos, predicción de RF y aprovisionamiento de políticas, todos los cuales se pueden construir en la actual arquitectura mediana.
Tecnología inalámbrica
La conexión permanente y en todo lugar se convirtió en la base de los negocios y la vida cotidiana. Son pocos los edificios que cuentan con los puertos de red cableados necesarios para admitir todas las ubicaciones y personas que necesitan conectarse con los recursos de la empresa. Las redes inalámbricas permiten al usuario estar conectado y mantener activo el flujo de información, independientemente de las limitaciones físicas del edificio. Los equipos inalámbricos de la oficina central y de las sucursales utilizan tecnología Wi-Fi para la transmisión de voz, video y datos en toda la red de la organización mediana, en vez de tecnología celular. Ventajas
• Flexibilidad de la red: una red más amplia sin cableado adicional
V
WAN
V
Núcleo/ Distribución Puntos de acceso de la sucursal
Sucursal Acceso de clientes
Redes VLAN LWAPP Usuarios temporales
Datos inalámbricosde la oficina central Servicio de voz inalámbrico de la oficina central
Servicio de voz inalámbrico de la sucursal Datos inalámbricos de la sucursal
Puntos de acceso delcampus
5
Smart Business Architecture: Guía de diseño base Internet perimetral Internet perimetral
Servicios de red
Internet perimetral es el punto en que la red corporativa se conecta a Internet. Es el punto por el que el tráfico de los usuarios corporativos sale de la red y el tráfico de Internet entra a la red corporativa para llegar a las aplicaciones externas, como Internet y correo electrónico. Como se trata de una conexión a Internet siempre activa, por lo general, permite el ingreso del tráfico externo a la red corporativa. Es un objetivo principal de ataque.
Los servicios de red se ejecutan en segundo plano y de ellos dependen los servicios del usuario para funcionar o aumentar el grado de confiabilidad y eficacia. En algunos casos, la red no sirve sin ellos. Tomemos nuestro ejemplo del navegador web. La PC que tiene instalado el navegador probablemente obtuvo una dirección de red mediante algún servicio de direccionamiento dinámico (DHCP, Protocolo de Configuración Dinámica de Host). La dirección URL, fácil de entender para el usuario, necesita convertirse de un nombre, como www.cisco.com, a una dirección de red mediante el servicio de resolución de nombres (DNS, Sistema de Nombres de Dominio). La solicitud se envía por la ruta más corta disponible a un equilibrador de carga en la red que distribuye la carga entre varios servidores y permite así la conversión del sitio web. Los servicios de seguridad de red ayudan siempre a proteger la información y eliminar el tráfico malintencionado o impedir que éste llegue al destino previsto.
Trabajador móvil
Trabajador a distancia Internet
Ventajas
• Brinda acceso a Internet rápido y seguro para aumentar la productividad de la empresa • Frena los ataques provenientes desde Internet que podrían interrumpir las actividades de la empresa
ASA 5510 en modo de espera
ASA 5510 activo
Internet perimetral
• Simplifica la administración y la configuración, ya que combina todas las funciones de seguridad en un mismo dispositivo • Protege el tráfico de los usuarios de la supervisión y la manipulación con tecnologías VPN En este punto de la red, es común tener un firewall, un dispositivo VPN y un sistema de prevención de intrusiones (IPS) para mitigar las amenazas comunes de Internet. En el pasado, las empresas necesitaban, al menos, seis dispositivos para ofrecer una conectividad segura a sus empleados. La arquitectura mediana aprovecha el dispositivo Cisco Adaptive Security Appliance (ASA) para realizar las tres funciones en un mismo equipo, utilizando sólo dos dispositivos en vez de seis. Esto reduce la cantidad de dispositivos que el personal de TI debe conocer y respecto del cual debe brindar asistencia. Asimismo, al haber menos dispositivos en la red, los costos de mantenimiento de hardware y software son menores. El Cisco ASA ofrece una alta disponibilidad para servicios de firewall y VPN. La función de firewall brinda un filtrado activo de la capa de aplicaciones para el tráfico entrante y saliente, acceso saliente seguro para los usuarios y una red DMZ (demilitarized zone) para los servidores
Núcleo/ Distribución a los que se necesita acceder desde Internet. El dispositivo ASA admite VPN con IPsec y SSL para VPN de acceso remoto y de sitio a sitio, lo que brinda a empleados y partners una manera segura de conectarse a la red corporativa desde Internet. El ASA admite la funcionalidad IPS completa para alertar y bloquear ataques. El nuevo filtrado de reputación SensorBase decide fácilmente qué tráfico bloquear según la reputación de la fuente del tráfico. SensorBase permite a Cisco IPS bloquear el doble de ataques y detectar ataques en función de la reputación de la fuente. Así, Cisco IPS puede bloquear ataques de hora cero sin depender de las firmas y, a la vez, disminuir el porcentaje de falsos positivos. En resumen, los requisitos de seguridad del núcleo de la Internet perimetral se pueden reunir con un único par de dispositivos desarrollado con un enfoque basado en soluciones, según las necesidades de la empresa.
Dentro de la arquitectura, hay muchos servicios de red, como la aceleración de las aplicaciones, diversas formas de seguridad, el acceso de usuarios temporales y recursos multimedia utilizados por Unified Communications. Virtualización
Las tecnologías de virtualización pueden ayudar a su empresa a tratar los recursos de TI como un conjunto de servicios compartidos que se pueden combinar y recombinar para aumentar la eficacia y escalar rápidamente. Cuanto mayor sea la eficacia con que las empresas usan sus recursos de TI actuales (servidores, almacenamiento, redes y otros equipos), mejor será su retorno de la inversión. Un uso eficaz puede ayudar, además, a postergar la adquisición de nuevos equipos y reducir, en gran medida, los costos de energía y refrigeración. Las organizaciones consideran el software de virtualización como un modo de aumentar el uso de servidores. Sin embargo, algunas empresas líderes ya se están preguntando sobre la complejidad operativa que conlleva esta estrategia. 6
Smart Business Architecture: Guía de diseño base En muchos casos, la virtualización se centró en servidores y, en cierta medida, en sistemas de almacenamiento. Si se virtualiza toda la red, se alcanzarán niveles de eficacia aún mayores. Mediante ciertos avances tecnológicos clave y la reconfiguración de los procesos y las estructuras operativos, la red puede tener un papel esencial en la creación de una infraestructura virtual para aumentar la eficacia. El objetivo es construir una infraestructura global y escalable, que combine dominios anteriormente separados en silos y los integre en una estructura de servicios virtuales compartidos que puedan ofrecerse en una fracción del tiempo que le toma configurar un entorno de aplicación tradicional. La arquitectura mediana crea una base para la ejecución de servicios virtuales. En el diseño, las redes de área local virtuales (VLAN) se usan para crear una segmentación lógica, segura y confiable entre las funciones de voz, video, datos, dispositivos cableados/inalámbricos y administración en la red. El diseño también admite servidores virtuales y equipos de almacenamiento en la sala de servidores o el centro de datos.
Ventajas
• Facilita la implementación de tecnologías de seguridad para fines del cumplimiento reglamentaria • Protege el acceso remoto de empleados y partners • Protege los datos de los usuarios y de la empresa en la red • Demuestra una flexibilidad máxima para usuarios con hardware o software de cliente VPN Trabajador a distancia VPN de software o hardware
V
Móvil VPN de software
ASA 5505
Seguridad
La seguridad es parte integral de la implementación de cada red en la actualidad. Ante la necesidad de tener redes seguras y confiables, proteger la información y observar los requisitos de conformidad reglamentaria, toda empresa debe implementar servicios de seguridad diseñados dentro de la red, en vez de agregarlos a último momento. Como la mayoría de las redes están conectadas a Internet y expuestas a amenazas de gusanos o virus y ataques dirigidos, las empresas deben tomar medidas para proteger su infraestructura de red, los datos de los usuarios y la información sobre los clientes.
Internet
ASA 5510 en modo de espera
ASA 5510 activo
Internet perimetral
El acceso remoto se convirtió en un servicio indispensable para los empleados que se encuentran de viaje o trabajan desde su casa. Cada vez son más las organizaciones que brindan a los partners acceso remoto a sus redes para realizar el mantenimiento de los sistemas a un costo menor. La arquitectura mediana permite el acceso remoto seguro de los usuarios por medio de software o hardware cliente. VPN con SSL ofrece una máxima flexibilidad y conectividad segura para empleados y partners que se conectan a la red corporativa aun desde recursos no corporativos. Si se utiliza una solución de acceso remoto actual, la arquitectura es flexible y puede admitir clientes VPN tradicionales con IPsec y L2TP/IPsec. Los trabajadores a distancia pueden usar hardware cliente que les permita tener una conexión siempre activa, de modo que el usuario que acceda a la red desde la casa, tenga la misma experiencia que tendría en la oficina corporativa. Durante varios años, las organizaciones utilizaron sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) para detectar y bloquear el tráfico malicioso en las redes. Sin embargo, para varias leyes y normas del sector privado recientes, estos sistemas pasaron de ser "recomendados" a "obligatorios" en las redes corporativas. La arquitectura mediana admite IPS en diversos factores de forma y niveles de rendimiento. Los IPS se pueden implementar solos como un servicio autónomo, con soluciones basadas en dispositivos para campus de alto rendimiento y uso de servidores. Estos sistemas pueden integrarse en el firewall para proteger el perímetro de la red o en los routers para proteger la sucursal. Todos los factores de forma son compatibles con los modos en línea o promiscuo, que permiten al cliente inspeccionar el tráfico y le notifican cuando se detecta tráfico malicioso o bloquean el tráfico en tiempo real.
7
Smart Business Architecture: Guía de diseño base Optimización de la red WAN
La optimización de la red WAN permite garantizar un uso óptimo de los recursos de red entre ubicaciones remotas, usuarios y la oficina central. La optimización de la red WAN acelera las aplicaciones en la WAN, envía video a la oficina central y brinda servicios de hosting local de servicios de TI de la sucursal. Cisco Wide-Area Application Services (WAAS) permiten a los departamentos de TI centralizar las aplicaciones y el almacenamiento en el centro de datos y, a la vez, mantener un rendimiento LAN de las aplicaciones, brindar servicios de TI alojados localmente y reducir el espacio que ocupan los dispositivos en la sucursal. La solución de optimización de WAN de los servicios WAAS de Cisco permite que las organizaciones logren estos principales objetivos de TI:
Ventajas
• La complejidad y los costos de los servicios de acceso inalámbrico de usuarios temporales son menores • El tráfico de usuarios temporales se separa para preservar la seguridad del tráfico de la organización • El acceso de los usuarios temporales es controlado por el personal de TI y se puede otorgar mediante un simple acceso genérico de usuarios temporales o por medio de cuentas de usuario individuales • El acceso seguro de usuarios temporales está diseñado dentro de la arquitectura mediana y no requiere ningún hardware adicional
Las empresas pueden usar la red inalámbrica de la arquitectura mediana para otorgar acceso a los • Aceleración de las aplicaciones: mejore la usuarios temporales a través de los mismos puntos productividad de los empleados remotos de acceso que usan los empleados internos. Esta • Consolidación de TI y optimización de WAN: función simplifica las actividades de la red y reduce minimice los costos de TI de la sucursal al centralizar los costos, ya que se utilizan los mismos equipos los servicios y el hardware en la oficina central para varios servicios y, a la vez, se ofrece acceso • Agilidad de TI de la sucursal: atienda rápidamente seguro a los usuarios temporales. las necesidades comerciales cambiantes; los La arquitectura permite garantizar que la red de usuarios cambios se pueden hacer desde la ubicación temporales no comprometa la seguridad de la red central, en vez de enviar a un técnico a la sucursal corporativa. El tráfico de usuarios temporales fluye remota en un segmento separado y, una vez que entra en la red cableada, se conecta mediante un túnel a un • Protección de datos simplificada: facilite el controlador inalámbrico y se encamina a una interfaz cumplimiento y la continuidad del negocio DMZ del firewall. De esta manera, se protege la red corporativa del tráfico de usuarios temporales y se Acceso inalámbrico de usuarios temporales brinda acceso a Internet este tipo de usuarios. Las empresas actuales tienen una gran variedad de usuarios temporales que necesitan acceder a Internet mientras están en las instalaciones. La arquitectura mediana de Cisco brinda acceso inalámbrico a los usuarios temporales a través de los mismos puntos de acceso que a los usuarios corporativos. Los usuarios temporales incluyen: clientes, visitantes, partners y proveedores. Para incorporar este amplio grupo de usuarios, el acceso de usuarios temporales debe implementarse en toda la red, no sólo en las salas de conferencia.
Cuando los usuarios temporales se conectan a la red inalámbrica, se los redirige a una pantalla de inicio de sesión web en la que se les pide que ingresen un nombre de usuario y una contraseña para acceder a Internet. Se puede crear una sola cuenta de usuario temporal genérica con una contraseña que se reinicia de manera diaria o semanal o asignar cuentas individuales a cada usuario temporal. La arquitectura es flexible para equilibrar la complejidad y las necesidades de seguridad de la empresa.
Servicios para usuarios Los servicios para usuarios representan la capa que todos conocemos. Estos son los servicios o las aplicaciones que usamos a diario y con los que interactuamos de forma directa, desde atender el teléfono para usar el servicio telefónico hasta leer nuestro correo electrónico mediante el servicio de correo electrónico. Es aquí donde comienza la experiencia del usuario. El diseño y la estructura de la aplicación o del producto afectan su facilidad de uso. La interacción entre este servicio para el usuario y los servicios de red influyen en su desempeño cuando el usuario lo utiliza. La arquitectura ofrece los servicios de mensajería por teléfono y por voz como parte de las opciones iniciales de los servicios para usuarios. Comunicaciones unificadas
Los productos Unified Communications (UC) de Cisco brindan comunicaciones de voz y video de alta calidad que se amplían según el número de personas, a pocas personas o a cientos de miles. Las organizaciones medianas eligen las características y las funciones según sus necesidades específicas, ya sea un simple correo de voz o centros de llamadas complejos. Ventajas
• 10 ó 10.000 usuarios; la cifra aumenta a medida que la empresa crece. • Funciones básicas de llamadas o centros de llamadas complejos; elija lo que mejor se adecue a las necesidades de su organización • Utiliza los sistemas de mensajería actuales de la empresa y crea una plataforma para fines de colaboración La arquitectura mediana admite de 100 a 1.000 usuarios, ya se trate de trabajadores móviles o a distancia, situados en la oficina central o en sucursales remotas, en configuraciones cableadas o inalámbricas. La solución integra las ventajas de las comunicaciones multimedia (para llamadas de voz y video) con mensajería en una arquitectura modular. La consolidación de estos servicios en una sola red 8
Smart Business Architecture: Guía de diseño base crea una solución rentable y simple de configurar, administrar y utilizar, que permite reducir el costo total de propiedad (TCO) y establecer las bases para la integración de otros servicios y procesos comerciales. El módulo Unified Communications emplea tres productos principales: Cisco Unified Communications Manager, Cisco Unity® Connections y Cisco Integrated Services Routers. Cisco Unified Communications Manager admite el motor de procesamiento multimedia (llamadas de voz y video, y movilidad) de primer nivel y amplía las funciones de telefonía a dispositivos de red de telefonía por paquetes, como teléfonos IP, dispositivos de procesamiento multimedia, puertas de enlace de voz sobre IP (VoIP) y aplicaciones multimedia. Los servicios adicionales, que incluyen conferencias multimedia, centros de contacto de colaboración y sistemas de respuesta multimedia interactivos, se proporcionan a través de Interfaces de Programación de Aplicaciones (API) abiertas de telefonía de Cisco Unified Communications Manager. Las organizaciones medianas pueden ahorrar dinero, reducir el consumo de energía y utilizar menos espacio si reducen la cantidad de centralitas privadas (PBX) a un sistema de implementación central con supervivencia integrada en el router de la sucursal en caso de falla de WAN. El uso de menos PBX permite ahorrar dinero en gastos de electricidad y refrigeración, y usar menos espacio en la sala de equipos, el armario de cableado o el centro de datos. Además de ahorrar dinero, el uso de menos equipos y energía también contribuye a los proyectos y objetivos ecológicos de la empresa para la protección del medio ambiente. El control de admisión de llamadas (CAC) integrado permite garantizar que se mantendrá la calidad de servicio de voz y video, ya implementada en los módulos del campus y WAN, en todos los enlaces
WAN. En la actualidad, las organizaciones medianas pueden reducir gran parte de los costos al utilizar sus conexiones WAN IP para sus llamadas de sitio a sitio, en vez de utilizar enlaces troncales de redes telefónicas públicas conmutadas (PSTN) más costosos.
Connection ofrece un acceso simple y nativo al correo de voz desde casi cualquier cliente de correo electrónico.
Cisco Integrated Services Router brinda tres servicios integrados específicos de Unified Communications Cisco Unity Connection es la aplicación de mensajería como parte de la Arquitectura mediana. Estos incluyen el servicio de puerta de enlace para conectividad unificada para la arquitectura mediana. Cisco Unity con la PSTN, recursos multimedia en forma de Connection integra, de manera transparente, las puentes de conferencia y el control auxiliar de funciones de mensajería y reconocimiento de voz llamadas en forma de Telefonía de supervivencia para brindar acceso mundial continuo a llamadas de sitios remotos (SRST, Survivable Remote Site y mensajes. Cisco Unity Connection también ofrece Telephony), en caso de pérdida de conectividad con funciones eficaces de contestador automático, que la ubicación central. incluyen el enrutamiento inteligente de llamadas entrantes y opciones fáciles de configurar de Cisco Unified SRST es un componente esencial identificación de llamadas y notificación de mensajes. del módulo Unified Communications. Cisco Unified Los empleados pueden personalizar las opciones Communications Manager, situado en la oficina central, de comunicación mediante funciones avanzadas brinda servicios centralizados de telefonía para todos que se pueden configurar para aumentar la los sitios. Sin embargo, como se trata de un servicio productividad individual y grupal. La interfaz de centralizado, es propenso a interrupciones del servicio usuario flexible aumenta la eficacia del servicio de que podrían afectar a todos los usuarios. Cisco Unified mensajería para usuarios del servicio de correo de SRST ofrece servicios auxiliares de telefonía para que voz, independientemente de la frecuencia con que la sucursal tenga un servicio telefónico continuo si lo utilicen. Por ejemplo, la interfaz de usuario del pierde comunicación con la oficina central. Lo que teléfono y la distribución del teclado de tonos de reduce los costos aún más es que la administración cada usuario se pueden personalizar para facilitar de la aplicación Cisco Unified SRST en los sitios remotos la migración de los sistemas tradicionales de correo no requiere personal de TI. de voz. Los usuarios también pueden usar la interfaz La mayor confiabilidad de Cisco Unified SRST como de administración web para definir y administrar sus servicio integrado en el ISR hace de Cisco Unified propias normas de transferencia de llamadas, que Communications una solución rentable para la les permitirá personalizar la entrega de llamadas arquitectura mediana y contribuye a garantizar el entrantes según el autor de la llamada, la hora funcionamiento del servicio de telefonía para los o el estado del calendario. usuarios en las sucursales. De forma alternativa, Cisco Unity Connection ofrece Reuniones web: WebEx una opción de mensajería integrada que le permite descargar los mensajes de voz en el buzón de correo Las reuniones ya no se realizan únicamente en persona de su PC a través del protocolo IMAP (Internet Mail en una sola ubicación. Para que una empresa pueda Access Protocol, Protocolo de acceso a correo por subsistir y tener éxito, es necesario que opere en Internet). Sobre la base de su infraestructura de distintos husos horarios y países. Internet es el medio mensajería actual y sus clientes de correo electrónico común para comunicarse sin fronteras y colaborar IMAP, la mensajería de escritorio de Cisco Unity independientemente de la ubicación. 9
Smart Business Architecture: Guía de diseño base Ventajas
• Muestre presentaciones o aplicaciones y comparta cualquier cosa en la pantalla de su PC • Reúna a diseñadores e ingenieros remotos para analizar los planes más recientes
de red confiables, como la conexión a Internet, la infraestructura WAN y la seguridad, permiten asegurar que una organización pueda confiar en las aplicaciones SaaS como WebEx de Cisco para fines de colaboración clave.
WebEx de Cisco es un modo sencillo de intercambiar • Organice reuniones periódicas entre miembros ideas e información con cualquier persona y en del personal de distintas ubicaciones geográficas cualquier lugar. Combina el uso compartido de la computadora de escritorio en tiempo real con las • Realice sesiones innovadoras participativas con funciones de conferencia de voz y video básico, sus equipos de marketing y publicidad para que todos vean lo mismo mientras uno habla. • Haga presentaciones de ventas para clientes Algunas personas lo denominan conferencia web por potenciales el uso compartido de contenido web y del teléfono. • Use WebEx® en toda la empresa: genere contactos, Otros lo llaman reunión en línea porque atienden capacite a los clientes y brinde asistencia. los asuntos comerciales en línea como si lo hicieran en persona. Cualquiera sea el nombre que se le Cisco WebEx Meeting Center incluye estas dé, WebEx es un excelente modo de trabajar con magníficas funciones: personas en distintas ubicaciones geográficas. • Conferencias telefónicas integradas Con WebEx, podrá intercambiar información, tomar • Soporte multimedia para PowerPoint, decisiones y colaborar como si lo hiciera en persona, animaciones en Flash, audio y video aunque esté en otro continente. No pierda tiempo • Grabación y reproducción de reuniones con mensajes y viajes innecesarios. Conozca colegas, clientes y partners remotos en línea, y haga más en • Acceso a reuniones con un clic desde la barra menos tiempo. de tareas, además de aplicaciones para PC de escritorio, aplicaciones de programación Desarrolle y diferencie su negocio y aplicaciones de mensajería instantánea mediante la venta de servicios con Cisco populares A medida que ayude a los clientes a agilizar la • Compatibilidad con PC, Mac y iPhone • Comunicaciones seguras • Reuniones en línea ilimitadas • Capacidades integradas de conferencias telefónicas y VoIP Muchas de las nuevas aplicaciones y herramientas se ofrecen en la modalidad "Software como servicio" (SaaS, Software as a service): el usuario sólo se suscribe y las ejecuta por Internet. Los servicios
transformación comercial y la innovación con la implementación de una arquitectura de red segura y confiable, podrá generar mayores ingresos y aumentar la satisfacción del cliente mediante la venta de servicios con Cisco. La venta de servicios con Cisco es un complemento extraordinario del posicionamiento de sus propios servicios de valor agregado, como las ofertas de migración e implementación, que lo ayudarán a obtener más oportunidades como asesor tecnológico y comercial.
Los servicios comprenden:
• Cisco Smart Care Service: un servicio de colaboración exclusivo prestado por partners certificados de Cisco, con una plataforma de servicio activa que les permite basarse en los conocimientos sobre redes, las metodologías, las herramientas técnicas y la infraestructura de servicios de Cisco para crear nuevos servicios personalizados para los clientes. • Cisco SMARTnet® Service: mantenga la integridad operativa de la red de su cliente mediante el acceso en cualquier momento a los conocimientos técnicos y los recursos de Cisco que permiten solucionar rápidamente problemas de redes. • Cisco Software Application Support Services: intensifique la disponibilidad, la funcionalidad y la confiabilidad de las aplicaciones de software de Cisco con actualizaciones y mejoras combinadas con el acceso a especialistas en aplicaciones de software de Cisco. • Servicios de Soporte de Cisco para el Sistema de prevensión de intrusiones: permita a su cliente identificar con precisión, clasificar y detener todo tráfico malicioso o perjudicial en tiempo real con soporte de hardware y software, actualizaciones de sistemas operativos y aplicaciones, asistencia técnica, alertas oportunas y actualizaciones de archivos de firmas. • Cisco Unified Communications Essential Operate Service: mantenga la alta disponibilidad, seguridad y eficacia operativa de la red Cisco Unified Communications de su cliente. • Cisco Smart Foundation Service: ayude a asegurar la confiabilidad operativa y proteja las inversiones tecnológicas en ciertos productos para organizaciones pequeñas y medianas mediante un servicio de asistencia técnica en redes simple y rentable. 10
Smart Business Architecture: Guía de diseño base Resumen de la guía de diseño
Definición de la arquitectura de red Oficina central
Ya se trate de voz, video o datos, la información es un recurso fundamental que define el rendimiento de la empresa. En el pasado, las empresas afrontaron varias dificultades con el uso de productos de redes: eran complejos y difíciles de usar, implementar y administrar.
Unified Communications Management Host
Servidores
Pila - Sala de servidores
Switch - Sala de servidores
Sala de servidores
Router de la sucursal con IDS y aceleración de las aplicaciones Switch de la sucursal
Punto de acceso inalámbrico
Aceleración de aplicaciones
V
Controlador de red LAN inalámbrica
WAN Puerta de enlace
Router del campus
V
Pila de switches principales
Internet Firewall
Núcleo
Sucursal
VPN de hardware
Cisco Smart Business Architecture Borderless Networks para organizaciones medianas incluye tres elementos modulares principales, aunque interdependientes, para la organización mediana. Estos son: Base de la red, Servicios de red y Servicios para usuarios, con una interdependencia de naturaleza jerárquica. La interdependencia es que cada nivel depende del nivel inferior. Para un suministro confiable de aplicaciones y servicios comerciales, tanto internos como externos respecto de la ubicación física de la empresa, estos tres niveles deben funcionar de manera cohesiva. De lo contrario, las aplicaciones de voz, video y datos pueden fallar e incluso verse afectadas, y poner en peligro la empresa.
Switch de acceso de clientes
Pila de switch de acceso de clientes
Trabajador a distancia/ y software Trabajador móvil
Punto de acceso inalámbrico
Smart Business Architecture Borderless Networks para organizaciones medianas de Cisco ofrece un diseño prescriptivo. La Guía de implementación y la Guía de configuración del producto brindan instrucciones detalladas para implementar la solución. La mayor parte del trabajo ya está hecho. Cisco simplificó el proceso y, a la vez, mantuvo la inteligencia integrada de cada producto; productos
Acceso
específicamente seleccionados y probados para las organizaciones medianas. La implementación del diseño de red de Smart Business Architecture Borderless Networks para organizaciones medianas permite asegurar la integridad futura de la empresa, ya que brinda una infraestructura de servicios de red estable, segura y escalable. 11
Smart Business Architecture: Guía de diseño base
Americas Headquarters Cisco Systems, Inc. San Jose, CA
Asia Pacific Headquarters Cisco Systems (USA) Pte. Ltd. Singapore
Europe Headquarters Cisco Systems International BV Amsterdam, The Netherlands
Cisco has more than 200 offices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices. CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0910R)
C07-542273-01 01/10
12