Introducción a mejores prácticas para el diseño de redes de campus (LAN Switching)

Uno de los bloques funcionales más críticos en el ámbito de redes, es la red de campus o las redes LAN. Existen sin embargo, varias omisiones que se llevan a cabo en las reglas básicas, mejores prácticas, recomendaciones o como queramos llamarlas al momento de planear y diseñar esta tecnología. Este breve artículo intenta dar un overview muy práctico al lector, para tener presentes los aspectos mínimos a considerar en el diseño de redes de campus.

Empecemos por describir las arquitecturas más comunes de las que echamos mano para un diseño de redes LAN.

La arquitectura más básica, es la que denominaré de "capa única", que consiste en un único cuarto de comunicaciones donde se alojan todos los servicios de TI (switches, ruteadores, servidores, acometidas de enlaces WAN, Internet, PSTN; etc.). Las funciones de capa 3 en este escenario, son llevadas a cabo por el ruteador(es) con que se cuente (ruteo entre VLANs, ruteo hacia la WAN, Internet, etc) y el switch o switches solo utilizan funciones de capa 2. La figura siguiente muestra esta arquitectura.

La siguiente arquitectura típica y la más utilizada para el diseño de redes LAN, es la arquitectura denominada por diferentes fabricantes, como arquitectura LAN de 2 capas. Las 2 capas son denominadas capa de acceso y capa colapsada de core/distribución respectivamente. En este escenario, la capa de core lleva a cabo las funciones de capa 3 así como mayormente el manejo de políticas (QoS, seguridad, multicast, etc.) y la capa de acceso tradicionalmente lleva a cabo funciones de capa 2 únicamente, aunque la tendencia en este sentido es que toda la red LAN se encuentre operando en capa 3, con la intención de contar con mayor disponibilidad de esta ya que la convergencia en capa 3 ya se ha probado que es más rápida ante una falla que la convergencia en capa 2. La figura siguiente muestra esta arquitectura.

Una de las variantes a esta arquitectura, es cuando con la intención de incrementar la disponibilidad de la red LAN, colocamos como arquitectos 2 switches LAN de core y con ello, enlaces redundantes entre la capa de acceso y core como se muestra a continuación. Los puertos utilizados en los switches LAN, para la conexión física entre capas de una red LAN (acceso y core en este caso), se denominan puertos o interfases de uplink. Los puertos de uplink se recomienda que sean puertos en interfases de fibra óptica (multimodo para distancias menores a 300m y monomodo para distancias mayores regularmente) ya sean a 1 Gbps, 10 Gbps, 40 Gbps o 100 Gbps; y no sean tomados de los puertos de acceso o usuario (que son del tipo 10/100Base T o 10/100/1000Base T, es decir en UTP con interfases RJ45). Tenemos entonces en cada switch, puertos o interfases que tienen como finalidad las conexiones de uplink (entre capas), y puertos o interfases para brindar el acceso a la red de todos los dispositivos que nos encontramos regularmente en una organización de TI por medio de las tarjetas de red o NIC de ellos (PCs, impresoras, acess points, cámaras de videovigilancia, controles de acceso en puertas, teléfonos IP, equipos de videoconferencia, etc).

Como se observa en la figura anterior, se debe realizar una conexión al menos con 2 interfases entre los switches de core agregando dichos enlaces mediante el estándar 802.3ad con la intención de ser vistos lógicamente como un solo puerto físico (la elipse indica esta agregación física o link aggregation).

La tercera y última arquitectura de red LAN, esta pensada en ser utilizada para redes con miles de usuarios, un campus en forma, donde se tienen múltiples edificios e IDFs en cada uno. En esta arquitectura contamos con la capa de acceso que puede estar operando en capa 2 o capa 3, una capa siguiente denominada capa de distribución (que debe contar con al menos 2 equipos) y una capa de core que consiste como en el caso de arquitectura de 2 capas, de 2 equipos interconectados entre ellos como ya explicamos. Los switches de distribución regularmente no se interconectan entre ellos como en el caso de los switches de core ya que la única razón para llevarlo a cabo, es cuando se configura la sumarización de rutas y esto prácticamente no se configura en las redes de los clientes. Al igual que en la arquitectura anterior, las conexiones de uplink se llevan a cabo preferentemente mediante interfases en fibra óptica. La figura siguiente muestra esta arquitectura.

Puede observarse, que es inherente a esta arquitectura, la redundancia en enlaces entre capas y en los equipos de las capas de distribución y core.

Desde el punto de vista de cableado, a la ubicación del cuarto de comunicaciones principal donde se encuentran los equipos switches LAN de core, se conoce como MDF. Las ubicaciones de los cuartos de comunicaciones donde se encuentran los switches LAN de acceso, se denominan IDFs. En el caso de tratarse de una arquitectura de 3 capas, podríamos denominar a la ubicación de los switches LAN de distribución como IDFs primarios y a la ubicación de los switches LAN de acceso como IDFs secundarios.

En este punto quisiera detallar algunos aspectos relevantes a tener en cuenta:

• El primero, tienen que ver con la forma en como proveer las cantidades de puertos que se requieren por IDF.

• Tenemos 2 opciones para aprovisionar las cantidades de puertos requeridos, la primera, considerar un switch LAN modular con tantas tarjetas de interfases (puertos) como dispositivos se tendrán en cada IDF. La segunda, colocar tantos switches LAN de puertos fijos (regularmente de 8, 12, 24 o 48 puertos) como dispositivos se tendrán en cada IDF e interconectarlos mediante una configuración llamada "apilamiento" o "stacking". El apilamiento consiste esencialmente, en que todos los switches que formen de una pila, lógicamente parezcan 1 solo, con lo cual solo cuentan con 1 archivo de configuración y un único punto desde el cual se realiza toda la configuración de los switches de la pila en vez de llevarlo a cabo uno a uno. La conexión física entre ellos se lleva cabo mediante puertos especiales de apilamiento que no son ni puertos de uplink, ni puertos de conexión de dispositivos o puertos de acceso. Se pueden apilar tantos switches LAN por pila de acuerdo a la arquitectura de cada fabricante (8, 9 o 10 son cantidades comunes en los fabricantes más reconocidos). La conexión de cada pila a la capa de core se realiza colocando puertos de uplink en cualquiera de los switches que son miembros de la pila.

• El segundo, tiene que ver con aquello a lo que nos referimos cuando mencionamos que una capa de la arquitectura de LAN es capa 2 o capa 3 y cuando se debe considerar una u otra.

• Cuando mencionamos que un dispositivo o en nuestro caso, que una capa de la arquitectura de red LAN opera en capa 2, nos referimos a que en los equipos de la capa de acceso se configurarán protocolos que operan en la capa 2 de acuerdo al modelo de referencia OSI como spanning tree (STP) que tiene años en desuso, múltiples instancias de spanning tree 802.1s, rapid spanning tree 802.1w, VLANs 802.1Q, marcado de tráfico para manejo de QoS 802.1p, etc.. Consecuentemente, cuando hablamos que un dispositivo o una capa en la arquitectura de red LAN, opera en capa 3, nos referimos a que se configurarán protocolos que operan en la capa 3 (protocolos de ruteo principalmente) de acuerdo al modelo de referencia OSI como OSPF (regularmente) y en algunos casos EIGRP (que es propietario de la marca Cisco). Tradicionalmente, la capa de acceso ha sido provista con protocolos de capa 2, aunque hay una fuerte tendencia para que esta capa cambie a funciones de capa 3 para mejorar los tiempos de convergencia ante la falla de comunicación hacia su capa inmediata superior.

• ¿Quién determina la cantidad de IDFs y su ubicación dentro de la red LAN?, bueno esto es llevado a cabo por el cliente y el diseñador de cableado de acuerdo a la ubicación física que habrá de nodos de red considerando las distancias máximas permitidas por ethernet (5m para el patch cord del switch ubicado en cada rack o gabinete en los IDFs al panel que se encuentra en el mismo rack o gabinete, 90m de distancia del IDF a cada roseta y 5m de cada roseta a la conexión de cada dispositivo de red). Con esta información se intentará definir la menor cantidad de IDFs posibles con los cuales se puedan ofrecer los servicios de conectividad requeridos.

• ¿Quién determina la ubicación del MDF?, el cliente con ayuda de los diseñadores de cableado tomando en consideración los requerimientos de espacio, alimentación eléctrica, aire acondicionado, tierras físicas, acometidas de los enlaces de los operadores o proveedores de servicios WAN, Internet y PSTN.

• ¿Cuántos enlaces y de qué capacidad se deben contemplar para la conexión física entre cada IDF y el MDF de la red (capa de acceso y el core)?, para contestar esta pregunta me apoyaré en la figura de arquitectura de 3 capas anterior. Una regla de diseño menciona que por cada 20 puertos o servicios de red con que se cuente en un IDF en particular, debemos considerar al menos 1 enlace de uplink a la capa de distribución de la misma capacidad (con lo cual tenemos una sobresuscripción 20:1). Es decir, si el IDF 3 tuviese switches por 180 puertos 10/100 por ejemplo, requeriríamos 9 puertos de esta capacidad o 1 puerto a 1GE entre el IDF 3 y el switch de distribución 1 y otro puerto de esta capacidad entre el mismo IDF 3 y el switch de distribución 2 (recordemos que los enlaces deben ser de la misma capacidad). Aplicando esta sencilla regla, calculamos la cantidad de enlaces necesarios y su capacidad respectiva (1GE, 10GE, 40GE o 100GE) entre la capa de acceso y la capa de distribución. De forma similar, calculamos la cantidad y capacidad de enlaces entre la capa de distribución y core, ahora aplicando la regla de sobresuscripción de 4:1, es decir, por cada 4 enlaces provenientes de las conexiones a la capa de acceso en un switch de distribución, debemos considera al menos 1 enlace de la misma capacidad hacia la capa de core. Si por ejemplo vemos el caso del switch de distribución 2, este equipo esta recibiendo 5 enlaces de la capa de acceso (1 por IDF), con lo cual requerimos enlazar este equipo con el switch de core 1 con 2 puertos de esta misma capacidad y con el switch de core 2, también con 2 enlaces de la misma capacidad. Recordemos que cuando enlacemos dos equipos con más de un puerto físico, es muy recomendable habilitar agregación de enlaces o 802.3ad para agrupar dichas interfases como una sola interfaz lógica. En el caso de tratarse de una arquitectura de 2 capas, solo se aplica la regla del 20:1 ya que la capa de distribución se encuentra colapsada con la capa de core en un solo equipo. Si pueden observar, una rápida receta de cocina a utilizar con el cuidado respectivo, es que si tenemos puertos de acceso del tipo 10/100Base T, los enlaces de uplink entre capas serán en Gigabit Ethernet, sin embargo, si los puertos de red en la capa de acceso son del tipo 10/100/1000Base T, requeriremos puertos de uplink entre capas, del tipo 10 Gigabit Ethernet. Al haber una sobresuscripción inherente al diseño basado en mejores prácticas para el cálculo de la cantidad y capacidad de los enlaces de uplink entre capas, se debe contemplar que las tarjetas (linecards) utilizadas en cada equipo para dichas conexiones de uplink, no cuenten con sobresuscripción en su conexión al backplane del equipo en donde se encontrarán alojadas (sobresuscripción 1:1) ya que esto afectaría a la estimación inicial de sobresuscripción llevada a cabo por el arquitecto.

• ¿Qué tipo de cableado se debe considerar tanto para las conexiones en fibra óptica como para los servicios en UTP?, para el caso de las conexiones de uplink (de la capa de acceso a distribución y de la capa de distribución al core) como ya hemos mencionado, se requiere fibra óptica multimodo para interiores de edificios o fibra óptica monomodo cuando hablamos de distancias superiores a 300m como en el caso de conexión entre edificios de un campus. La fibra multimodo que hoy en día se esta utilizando para nuevas implementaciones, es la conocida como fibra tipo OM3 y recientemente se encuentra comercializando fibra multimodo del tipo OM4. Para el caso del cableado UTP, actualmente se encuentran implementando los clientes cableado categoría 6, 6A ó 7.
• ¿Qué tipo de interfases para fibra óptica Gigabit Ethernet o 10 Gigabit Ethernet debo considerar?, esto depende del tipo de fibra óptica instala entre los IDFs y el MDF y la distancia entre estos cuartos de comunicación. Se pueden revisar tablas de especificaciones como las siguientes que aplica a cualquier equipo de cualquier fabricante, para determinar las interfases correctas (se debe revisar cuales de las interfases señaladas en estos documentos son soportadas por el equipo/fabricante que se debe utilizar como solución).

http://www.cisco.com/en/US/prod/collateral/modules/ps5455/ps6577/product_data_sheet0900aecd8033f885.html

http://www.cisco.com/en/US/prod/collateral/modules/ps5455/data_sheet_c78-455693.html

• ¿Adicionalmente a los enlaces de uplink de la capa de acceso, qué mas elementos se conectan en la capa de core?, en la capa de core (dentro del MDF), se conectan también los ruteadores para la salida a la red WAN (en caso de existir), la salida a Internet y los gateways de voz para la salida a la PSTN. También se conectan los servidores en caso de ser pocos estos y todo el bloque de DataCenter cuando existe (recordemos que una arquitectura completa de DC involucra múltiples capas como el caso de la arquitectura de red LAN). En el caso de existir el bloque de DC en forma, será en este donde se conecten todos los servidores y appliances de propósito específico que requerimos por las diversas tecnologías de redes (seguridad, comunicaciones unificadas, Wireless LAN, etc.). La figura siguiente ilustra las conexión física para las conexiones externas a la red LAN.

Ya una vez hecho lo anterior, ¿nos faltaría considera algo más en nuestro rol de arquitectos?, yo creo que sí, al menos 2 cosas:

• Qué la solución que estemos pensando implementar, pueda cumplir las metas de la TI y del negocio en el largo plazo.
• Los switches a colocar en la capa de acceso soporten: uplinks en 10GE, 40GE ó 100GE de acuerdo a las expectativas de crecimiento hacia los siguientes 3, 5 o más años; variantes de PoE (Power over Ethernet) al tradicional 802.3af que únicamente puede entregar 15.4W por puerto a diferencia de los 30W definidos en 802.3at y los 60W por puerto que algunos fabricantes llaman PoE universal; el que se pueda habilitar IPv6 que tarde o temprano será una realidad.
• Los switches a colocar en las capas de distribución y/o core, soporten los mecanismos aplicables definidos para la capa de acceso y además: que puedan contar con tarjetas de alta densidad de interfases de alta velocidad sin sobresuscripción (10GE, 40GE ó 100GE) en su roadmap, ya que serán estos los responsables de la agregación de los IDFs de la capa de acceso (este punto es muy relevante ya que nos encontramos en este momento en una transición de los diferentes fabricantes de redes, de sus plataformas de switching y es probable que no todas ellas vayan a cumplir este punto y más bien vendrán nuevos chasis o equipos de la misma familia o familias diferentes que si estén preparados para este requerimiento); soporten mecanismos de switcheo distribuido para con ello evitar que el equipo soporte una baja cantidad de paquetes por segundo (pps) que es un factor clave en los switches LAN.
• El cableado debe soportar las tasas de transmisión futuras (10GE, 40GE y 100GE) en el caso de la fibra óptica a instalar, por lo cual debemos observar si la fibra óptica multimodo a instalar será OM3 u OM4 conforme al crecimiento de tráfico esperado hacia los siguientes años. En lo que respecta al cableado horizontal (UTP), evaluar cual categoría 6, 6A, 7 ó 7A es la correcta de acuerdo al crecimiento de tráfico en la capa de acceso.
• ¿Cuánta redundancia debemos considerar al llevar a cabo una arquitectura de tecnología?, la respuesta esta desde mi personal punto de vista en el impacto al negocio que puede provocar la indisponibilidad de la red. ¿Cuanto daña la imagen de un banco que lleguemos a una sucursal o cajero y no haya servicio?, ¿qué implicaciones tiene que la red de instituciones electorales falle cuando se encuentran en plena jornada electoral?, como estos ejemplos, podemos seguir y seguir... es por ello, que cuando pensemos como arquitectos o responsables de la TI que un componente de la arquitectura esta de más, lo analicemos dos veces antes de decidir prescindir de él.
• Los aspectos mínimos de redundancia a evaluar, para su implementación.
• Siempre como arquitectos debemos cuidar proveer la redundancia suficiente en la arquitectura a desarrollar como: redundancia en los módulos de procesamiento/routing engines, redundancia en el backplane del equipo, redundancia en las fuentes de alimentación, configuración de mecanismos lógicos que contribuyan a una rápida recuperación del equipo ante una falla de alguno de sus componentes, tales como actualización del sistema operativo en caliente (ISSU, In Service Software Upgrade), actualización modular del sistema operativo (solo módulos corruptos y no toda la imagen de sistema operativo preferentemente), mecanismos de permitan el seguir haciendo "forwarding" de paquetes ante la falla de su procesadora principal/routing engine (non stop active routing o non stop forwarding), que puedan regresar a la configuración anterior del equipo si ante una actualización de configuración, esta falla o provoca intermitencias del equipo (rollback de versiones).
• En lo que respecta a los elementos habilitadores del servicio o como a veces los llamamos "los componentes de capa física", debemos cuidar: implementar la categoría correcta de cableado de acuerdo a los servicios que pretendemos colocar en la capa de acceso (para servicios 10/100 PoE, categoría 5e como mínimo conforme ANSI/TIA/EIA-568-B.1; para servicios 10/100/100 PoE, categoría 6 como mínimo conforme ANSI/TIA/EIA-568-B.2-1;  para servicios 10GE Base T, categoría 6A, 7 o 7A como mínimo), asegurar el buen funcionamiento de las tierras físicas conforme a ANSI/TIA/EIA-607, colocar circuitos eléctricos diferentes para la conexión de fuentes principales y fuentes redundantes de los equipos, colocar respaldo de energía (UPS) e independiente para las fuentes principales y redundantes de los equipos, colocar tendidos de fibra óptica por trayectorias diferentes entre el MDF y los distintos IDFs cuando se planea un diseño con enlaces redundantes de uplink y alimentar las fuentes de alimentación a su voltaje correcto. Es más común de lo que puedan creer que se cometan graves errores al energizar un equipo y más común, que todas las partes desconozcan las implicaciones que ello conlleva. Como "receta de cocina", podemos mencionar que todo equipo (de cualquier tecnología y cualquier marca) con fuentes de alimentación de más de 1400W requiere ser alimentado a 220VAC, y en la mayoría de los casos, en los sites (cuartos de comunicaciones) solo se cuenta con tomas a 110VAC. ¿Qué sucede ingenieros si reducimos el voltaje a la mitad (alimentar a 110VAC en vez de 220VAC)?, pues sencillo, la ley de ohm nos lo dice (P=IV), exacto! la potencia se reduce a la mitad también!. Así que, NUNCA lo hagan.

No menos importante es que la asignación de direccionamiento IP a emplear este apegado al RFC 1918, en el caso de activarse servicios de syslog, apegarse al RFC 5424 y para el caso de aplicación de políticas de calidad de servicio, apegarse a las recomendaciones del RFC 5865.

Finalmente, comentaré que en los casos en los cuales se propondrá como parte de la arquitectura de LAN a diseñar, redundancia en los equipos de la capa de distribución y/o core, se recomienda ampliamente llevar a cabo la virtualización de chasis, que permite que cada par de chasis físicos sean vistos como un solo chasis virtual hacia las capas o dispositivos conectados a él. La razón de llevar a cabo esta virtualización es con fines de mejorar los tiempos de convergencia ante la necesidad de recuperación debida a una falla.

Espero que estos simples lineamientos les sean de utilidad, les dejo documentos mucho más completos para que puedan profundizar en el tema.

Recursos adicionales:

http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/Borderless_Campus_Network_1.0/Borderless_Campus_1.0_Design_Guide.html

http://www.juniper.net/us/en/community/junos/training-certification/day-one/fabric-switching-tech-series/config-ex-series/