Hay 2 modelos de diseño de red básicos, Modelo jerárquico y el de arquitectura de red corporativa Cisco.

Divide la red en varias capas:

• Capas especializadas en funciones concretas
• Se basa en la estructura jerárquica de la organización
• Facilita la selección de dispositivos, configuración y mantenimienot
• Sirve tanto para WAN como para LAN

• Fácil de comprender, cada elemento implementa una serie de funciones limitadas. La monitorización y los sistemas de gestión pueden ser estructurados por capas.
• Permite el crecimiento modular, se maximiza la escalabilidad reutilizando bloques de diseño.
• Mejora la capacidad para ubicar posibles fallos en la red.
• Ahorro de costes si se aplica bien.

El modelo jerárquico cuenta con 3 capas: núcleo (Transporte a la mayor velocidad posible), distribución (Conectividad basada en directivas) y acceso (Acceso a la red a los usuarios finales)

Proporciona conexión a los usuarios del segmento local de la red con las siguientes funciones:

• Conmutación en capa 2
• Alta disponibilidad
• Seguridad de puerto
• Limitación del trafico de broadcast
• QoS: clasificación, etiquetado y establecimiento de límites de confianza
• Limitación del ratio de transferencia
• Inspección ARP
• Lista de control de acceso virtual
• POE
• Spanning Tree
• VLANs
• Network Access Control (NAC)

Centraliza la conectividad de red de un edificio. Sirve como punto de aislamiento entre las capas de acceso y distribución. Punto clave de las redes seguras. Tiene las siguientes funciones:

• Conectividad basada en políticas: Define la conectividad entre grupos de dispositivos. Se aplican reglas que definen los flujos de tráfico permitidos.
• Se pueden implementar mediante ACLs
• Se pueden filtrar actualizaciones de enrutamiento, ser punto de transición entre enrutamientoe stático y dinámico.
• Redundancia y balanceo de carga
• Agragación de conexiones de planta o de enlaces.
• Apliación de Q0S
• Agregación de direcciones
• Definición de dominios de broadcast
• Enrutamiento entre VLANs
• Frontera entre protocolos de enrutamiento estático y dinámico.

Parte central de la red que se encarga de conmutar paquetes de datos a alta velocidad. Tiene las siguientes características:

• Alta velocidad
• Baja latencia
• Alta disponibilidad y tolerancia a fallos
• Se debe evitar la manipulación de paquetes
• Diámetro limitado y consistente
• Aplicación de QoS

• Enlaces a Capa 3 entre distribución y núcleo
• Enlaces a Capa 2 ntre distribución y acceso
• Frontera entre capas 2 y en en la capa de Distribución
  • Las Vlan se extienden entre capa de acceso y distribución
  • En la capa de distribución se lleva a cabo el enrutamiento entre Vlans y el núcleo
• Desventaja: Se necesita Spanning Tree para permitir un diseño con enlaces rendundantes en Capa 23.
  • Si hay una sola VLAN, stp provoca que no se pueda balancear la carga
  • Se puede solucionar con Per VLAN STP o Multiple STP

Evita que sea necesario usar STP, permitiendo el balanceo de carga desde la capa de acceso El problema es que es más carlo y las VLAN deben permanecer de forma local en cada switch de la capa de acceso.

Se evita el uso de STP y HSRP, permitiendo el balanceo de carga desde acceso. El proiblema es que es más caro realizar la instalación y la tecnología no es interoperable.

Se combinan las capas de distribución y núcleo en los mismos dispositivos de red físicos. Se recomienda para organizaciones que solo ocupen un edificio. Se incluyen dos dispositivos de capa de distribución para redundancia, aunque se puede implementar usando un solo switch en caso de tener bajo presupuesto.

Consiste en la restricción de acceso entre las diferentes partes de la red, agrupando lógicamente dispositivos con las mismas políticas y requisitos de seguridad, faciltiando así la aplicación de pplíticas de seguridad. Hay varios tipos de zonas básicas:

• Zona pública: Zona externa que no está bajo el control de la organización
  • Se suele corresponder con internet
• DMZ: Zona que alberga los servicios públicos de la roganización, pueden ser accedidos desde la zona pública. Contiene servicios como proxys de correo, proxys web, proxys inversos y los servicios de acceso remoto
  • Componentes que se ubican en la frontera con internet
• Zona privada: Zona interna que contiene los servicios de datos críticos de la organización
  • Resto de la organización seccionada en varias zonas restringidas:
    • Zona de gestión: Acceso a la administración de la infraestructura, intranet del datacenter.
    • Zona de operaciones: Servicios para los usuarios internos.

Además de realizar la división en zonas es necesario usar configuraciones y tecnologías de seguridad como:

• Acceso seguro a la red: Controlar y proteger los dispositivos finales de los usuarios de la organización.
• VPN: Facilita la conexión a la sede principal de la organización a través de internet.
• Protección de la infraestructura: Limitar el acceso a usuarios y dispositivos autorizados.
• Gestión de red y Seguridad: Deben tulizarse herramientas que permitan la adminsitración tanto de la red como de la seguridad de esta

Undispositivo de red tiene 3 planos funcionales:

• Pano de gestión: Tráfico envido y recibido para la administración del dispositivo (Telnet, SSH…)
• Plano de control: Está relacionado con la toma de decisiones de envío (Protocolos de routing, spanning tree, HSRP, VRRP…)
• Plano de datos: Envío de datos de usuario, implantación de políticas de seguridad de tráfico de usuario.

La seguridad en el plano de gestión tiene los siguientes objetivos:

• Permitir el acceso soloamente a los usuarios autenticados con contraseñas de línea, usuarios locales o AAA.
• Controlar que pueden hacer los usuarios en función de sus privilegios usando los niveles de privilegio y mecanismos AAA
• Proteger la sicronización horaria de los dispositivos
• Cifrar las cominicaciones de gestión remota con SSHv2 y/o SSL/TLS
• Monitorizar de forma segura con un syslog protegido y SNMPv2 o V3 en una red de gestión
• Proteger el sistema de ficehros
• Limitar el acceso físico a los dispositivos de red.