Planificación y Diseño Del Networking de Un CPD Tier IV

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
GRADO EN INGENIERÍA TELEMÁTICA
PLANIFICACIÓN Y DISEÑO DEL

NETWORKING DE UN CPD TIER IV
Autor: Francisco Sanz Estévez

Director: Atilano Fernández-Pacheco Sánchez-Migallón
Madrid
Julio 2015
Declaro, bajo mi responsabilidad, que el Proyecto presentado con el título
Planificación y diseño del Networking de un CPD Tier IV
en la ETS de Ingeniería - ICAI de la Universidad Pontificia Comillas en el
curso académico 2015/16 es de mi autoría, original e inédito y
no ha sido presentado con anterioridad a otros efectos.
El Proyecto no es plagio de otro, ni total ni parcialmente y la información que ha sido
tomada de otros documentos está debidamente referenciada.
Fdo.: Franicsco Sanz Estévez Fecha: 15/7/2016
Autorizada la entrega del proyecto
EL DIRECTOR DEL PROYECTO
Fdo.: Atilano Fernández-Pacheco Sánchez-Migallón Fecha: ……/ ……/ ……
Vº Bº del Coordinador de Proyectos
Fdo.: David Contreras Bárcenas Fecha: ……/ ……/ ……

AUTORIZACIÓN PARA LA DIGITALIZACIÓN, DEPÓSITO Y DIVULGACIÓN EN RED DE
PROYECTOS FIN DE GRADO, FIN DE MÁSTER, TESINAS O MEMORIAS DE BACHILLERATO
1º. Declaración de la autoría y acreditación de la misma.

El autor D. Francisco Sanz Estevez DECLARA ser el titular de los derechos de propiedad intelectual
de la obra: Planificación y Diseño del Networking de un CPD, que ésta es una obra original, y que
ostenta la condición de autor en el sentido que otorga la Ley de Propiedad Intelectual.
2º. Objeto y fines de la cesión.

Con el fin de dar la máxima difusión a la obra citada a través del Repositorio institucional de la
Universidad, el autor CEDE a la Universidad Pontificia Comillas, de forma gratuita y no exclusiva,
por el máximo plazo legal y con ámbito universal, los derechos de digitalización, de archivo, de
reproducción, de distribución y de comunicación pública, incluido el derecho de puesta a disposición
electrónica, tal y como se describen en la Ley de Propiedad Intelectual. El derecho de transformación
se cede a los únicos efectos de lo dispuesto en la letra a) del apartado siguiente.
3º. Condiciones de la cesión y acceso

Sin perjuicio de la titularidad de la obra, que sigue correspondiendo a su autor, la cesión de
derechos contemplada en esta licencia habilita para:
a) Transformarla con el fin de adaptarla a cualquier tecnología que permita incorporarla a internet y
hacerla accesible; incorporar metadatos para realizar el registro de la obra e incorporar “marcas
de agua” o cualquier otro sistema de seguridad o de protección.
b) Reproducirla en un soporte digital para su incorporación a una base de datos electrónica,
incluyendo el derecho de reproducir y almacenar la obra en servidores, a los efectos de garantizar
su seguridad, conservación y preservar el formato.
c) Comunicarla, por defecto, a través de un archivo institucional abierto, accesible de modo libre y
gratuito a través de internet.
d) Cualquier otra forma de acceso (restringido, embargado, cerrado) deberá solicitarse expresamente
y obedecer a causas justificadas.
e) Asignar por defecto a estos trabajos una licencia Creative Commons.
f) Asignar por defecto a estos trabajos un HANDLE (URL persistente).
4º. Derechos del autor.

El autor, en tanto que titular de una obra tiene derecho a:
a) Que la Universidad identifique claramente su nombre como autor de la misma
b) Comunicar y dar publicidad a la obra en la versión que ceda y en otras posteriores a través de
cualquier medio.
c) Solicitar la retirada de la obra del repositorio por causa justificada.
d) Recibir notificación fehaciente de cualquier reclamación que puedan formular terceras personas
en relación con la obra y, en particular, de reclamaciones relativas a los derechos de propiedad
intelectual sobre ella.
5º. Deberes del autor.

 El autor se compromete a:
a) Garantizar que el compromiso que adquiere mediante el presente escrito no infringe ningún
derecho de terceros, ya sean de propiedad industrial, intelectual o cualquier otro.
b) Garantizar que el contenido de las obras no atenta contra los derechos al honor, a la
intimidad y a la imagen de terceros.
c) Asumir toda reclamación o responsabilidad, incluyendo las indemnizaciones por daños, que
pudieran ejercitarse contra la Universidad por terceros que vieran infringidos sus derechos e
intereses a causa de la cesión.
d) Asumir la responsabilidad en el caso de que las instituciones fueran condenadas por infracción
de derechos derivada de las obras objeto de la cesión.
6º. Fines y funcionamiento del Repositorio Institucional.
La obra se pondrá a disposición de los usuarios para que hagan de ella un uso justo y respetuoso con
los derechos del autor, según lo permitido por la legislación aplicable, y con fines de estudio,
investigación, o cualquier otro fin lícito. Con dicha finalidad, la Universidad asume los siguientes
deberes y se reserva las siguientes facultades:
 La Universidad informará a los usuarios del archivo sobre los usos permitidos, y no garantiza
ni asume responsabilidad alguna por otras formas en que los usuarios hagan un uso posterior de
las obras no conforme con la legislación vigente. El uso posterior, más allá de la copia privada,
requerirá que se cite la fuente y se reconozca la autoría, que no se obtenga beneficio comercial,
y que no se realicen obras derivadas.
 La Universidad no revisará el contenido de las obras, que en todo caso permanecerá bajo la
responsabilidad exclusive del autor y no estará obligada a ejercitar acciones legales en nombre del
autor en el supuesto de infracciones a derechos de propiedad intelectual derivados del depósito y
archivo de las obras. El autor renuncia a cualquier reclamación frente a la Universidad por las
formas no ajustadas a la legislación vigente en que los usuarios hagan uso de las obras.
 La Universidad adoptará las medidas necesarias para la preservación de la obra en un futuro.
 La Universidad se reserva la facultad de retirar la obra, previa notificación al autor, en supuestos
suficientemente justificados, o en caso de reclamaciones de terceros.
Madrid, a 15 de Julio de 2016
ACEPTA
Fdo Francisco Sanz Estévez
Motivos para solicitar el acceso restringido, cerrado o embargado del trabajo en el Repositorio Institucional:
PLANIFICACIÓN Y DISEÑO DEL

NETWORKING DE UN CPD TIER IV
Autor: Francisco Sanz Estévez

Director: Atilano Fernández-Pacheco Sánchez-Migallón
Madrid
Julio 2015
PLANIFICACIÓN Y DISEÑO DE UN CENTRO DE
PROCESAMIENTO DE DATOS TIER IV
Autor: Sanz Estévez, Francisco.
Director: Fernández-Pacheco Sánchez-Migallón, Atilano.
Entidad Colaboradora: Banco Bilbao Vizcaya Argentaria.
RESUMEN DEL PROYECTO

Planificación y diseño de un CPD de categoría Tier IV centrado en la sala de ordenadores
del centro. Diseñando la organización de la electrónica, servidores y espacio de
almacenamiento de la sala, así como las comunicaciones con el exterior. Destacando además,
la importancia que tiene para un banco la buena gestión y procesamiento de la información,
y el servicio ‘Cloud’ que maneja una entidad financiera.
Palabras clave: Comunicaciones, Electrónica, Almacenamiento, Servidores, Cloud, Banco.
1. Introducción
En el mundo actual, se genera cada día una cantidad inmensa de datos. Por poner un ejemplo,
un estudio de DOMO, informa de que la población mundial con acceso a Internet a fecha del
2015 es 3200 millones de personas, lo que ha supuesto un crecimiento del 18% con respecto
al análisis realizado en 2013 [1].
Además, indica que cada minuto del día, se generan casi 350 millones de tweets, se suben
300 horas de vídeo a YouTube, o se realizan 48 millones de descargas desde la App Store.
Ilustración 1 Data Never Sleeps 3.0 [1]
Si todo esto se traduce a cantidad de información en bytes que se generan, se producen casi
2 millones de GB al minuto, 2.5 Exabytes al día [2]. Curiosamente, según E. Schmidt
(CEO de Google), “Había 5 Exabytes de información creada desde el nacimiento de la
civilización hasta 2003, hoy en día esa información es creada cada 2 días.”
Esto no hace más que resaltar que para cualquier empresa, tiene una importancia vital el
correcto procesamiento de la increíble cantidad de datos que maneja. Por ello la importancia
que tiene en la actualidad para las empresas e instituciones disponer de un Centro de
Procesos de Datos que pueda procesar y gestionar estos volúmenes de información eficaz y
eficientemente.
Por estas razones, el proyecto se va a basar en el diseño de un Centro de Datos Tier IV.
Según Wikipedia se denomina centro de procesamiento de datos (CPD) a aquella

ubicación donde se concentran los recursos necesarios para el procesamiento de la
información de una organización [3].
Básicamente, un CPD se trata del cerebro de la empresa, donde, si se gestiona de manera

eficaz la información, hará posible que se incremente la productividad de la compañía
aportando disponibilidad, fiabilidad y velocidad a la hora de procesar los datos.
Tier no es nada más que una metodología estándar para definir el estado activo de un centro
de datos. Este estándar es útil para medir:
 Rendimiento del CPD.

 Inversión
 Retorno de la inversión (ROI – Return On Investment)
Un centro de datos de categoría Tier IV es el más robusto y el menos propenso a fallos.

Este tipo de centros está diseñado para hospedar servidores y sistemas computacionales
críticos, con subsistemas completamente redundantes (enfriamiento, electricidad,
enlaces de redes, almacenamiento etc.) y zonas de seguridad compartimentadas
controladas por métodos de control de acceso biométricos (huellas dactilares suele ser lo
más común) [4].
2. Definición del proyecto

Los objetivos a cumplir durante el desarrollo de este proyecto se tratan de:
 Explicación de la topología y conexiones de un CPD:
o LAN (Local Area Network): Se trata de la red de comunicaciones de

dispositivos conectados a la red del edificio.
o Seguridad: seguridad tanto lógica en el tema de las comunicaciones como
física del edificio.
o Conexiones con empresas: analizar las diferentes formas de conexión con
organizaciones externas.
 Explicar detenidamente el valor añadido de un Centro de Procesamiento de Datos

para una entidad bancaria.
 Explicar la importancia que tienen en la actualidad el Cloud Computing, su

convivencia con CPDs fiables y potentes, y el concepto de Cloud híbrida vital para
grandes compañías como BBVA, Santander o Telefónica.
 Estudiar y analizar algún posible punto de mejora que se pueda implementar a un

Centro de Procesamiento de Datos como el que se va a planificar a lo largo del
proyecto.
3. Descripción del modelo/sistema/herramienta
El networking del CPD diseñado se trata de la sala de ordenadores de un Data Center de

categoría Tier IV, la máxima certificación que otorga el ’Uptime Institute’, que conlleva
que se trate de un centro resistente a fallos y una disponibilidad del 99.995% del tiempo.
Esta disponibilidad y tolerancia a fallos se consigue aplicando una redundancia del nivel
2N+1 tanto a nivel de dispositivos, como conexiones, suministro eléctrico, etc.
4. Resultados y Conclusiones
Tras las etapas de análisis y planificación, se ha conseguido diseñar la sala de

ordenadores de un CPD Tier IV, lo cual supone un gran paso para cualquier empresa
financiera debido a la época de transformación digital que están sufriendo todas las
empresas, y en especial los bancos.
Este diseño conlleva una inversión de 78 millones de euros, contando hardware, software
y personal.
En cuanto a la sala de ordenadores, se obtiene un centro de datos con dispositivos de

última generación, con máxima protección gracias a los 4 clústers de firewalls utilizados,
con redundancia en todas conexiones, tanto física, como lógicamente debido a los
switches nexus 7000 que se utilizan, y con una capacidad de procesamiento estimada de
cerca de 20 millones de operaciones diarias gracias a los servidores de IBM, Oracle y
HPE Blade utilizados.
5. Referencias
[1] DOMO, «DOMO Data Never Sleeps,» [En línea]. Available:

https://www.domo.com/learn/data-never-sleeps-2. [Último acceso: 30 03
2016].
[2] IBM, «IBM,» IBM, [En línea]. Available: http://www-

01.ibm.com/software/data/bigdata/what-is-big-data.html. [Último acceso:
07 04 2016].
[3] «Wikipedia,» [En línea]. Available:

https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos. [Último
acceso: 15 March 2016].
[4] V. Gite, «Cyberciti,» 29 January 2011. [En línea]. Available:

http://www.cyberciti.biz/faq/data-center-standard-overview/ [Último
PLANIFICATION AND DESIGN OF A DATA PROCESSING CENTER
TIER IV
Author: Sanz Estévez, Francisco.
Supervisor: Fernández-Pacheco Sánchez-Migallón, Atilano.
Collaborating Entity: Banco Bilbao Vizcaya Argentaria.
ABSTRACT
Planning and design of a Tier IV Data Center, focused on the computing room of the DC.
Designing the organization of the electronics, servers, and storage of the room, as well as
the external communications. Highlighting also, the importance of good management and
processing the data, and the cloud services, have for a financial entity.
Keywords: DC, Electronics, Servers, Cloud, financial entity.
1. Introduction
In today’s world, huge amounts of data are produced every day. For example, a study
carried out by DOMO says the global population with Internet access, as of 2015, is 3.2
billion people, which makes up for an 18% growth compared to the analysis made in
2013 [1].
It also points out that every minute, there are almost 350 million of new tweets, 300
hours of video are uploaded to YouTube, and 48 million of apps are downloaded from
the Apple App Store.
Ilustración 2 Data Never Sleeps 3.0 [1]

If all of this is translated to quantity of data in bytes, 2 million of Gigabytes are generated
each minute, which translates to 2.5 Exabytes a day [2]. Curiously, E. Schmidt (Google’s
CEO said in 2010: “There was 5 exabytes of information created between the dawn of
civilization through 2003, but that much information is now created every two days, and
the pace is increasing.”
This does nothing but highlight that for any business, is vitally important the correct
processing of the incredible amount of data being handled. Hence the importance for today’s
companies and institutions to have a Data Processing Center that is able to process and
manage these volumes of information effectively and efficiently.
For these reasons, this project is based on the design of a Data Center Tier IV.
According to Wikipedia, a data center is a facility used to house computer systems and
associated components, such as telecommunications and storage systems. It generally
includes redundant or backup power supplies, redundant data communications connections,
environmental controls (e.g., air conditioning, fire suppression) and various security devices
[3].
Basically, a data center is the brains of a company, which, if the information is managed
efficiently, will make possible to increase the productivity of the company providing
availability, reliability and speed while processing the data.
Tier is nothing but a standard methodology to define the uptime of a data center. This
standard is useful to measure:
 The performance of the DC.

 Investment.
 Return On Investment (ROI).
A Tier IV data center is the most robust and less prone to failure. This type of centers are
design to host servers and critical computing systems, with completely redundant
subsystems (cooling, power supplies, network links, storage etc.) and compartmentalized
security zones controlled by biometric methods access control (fingerprint is usually the
most common) [5].
2. Project definition
The objectives to be achieved during the development of this project will seek to:
 Explain carefully the added value of a data center for a bank.
 Explain the topology and connections of a DC:

o LAN (Local Area Network): This is the communication network connected
to the building network devices.
o Security: both logical security on the issue of communications and building
physics.
o Connections with companies: to analyze the different ways of connecting to
external organizations.
 Explain the importance of ‘Cloud Computing’ in the modern world, its coexistence
with reliable and powerful data centers, and the vital concept of the ‘Hybrid Cloud’
for large companies like BBVA, Santander or Telefonica.
 Study and analyze any possible point of improvement that can be implemented to a
data center like the one that will be planned throughout the project.
3. Description of model/system/tool
The networking of the Data Center that has been designed in this project is the computer
room of a category Tier IV Data Center, the highest certification awarded by the "Uptime
Institute", which means that it is a fault-tolerant center and has an availability of 99.995% of
uptime.
This availability and fault tolerance is achieved by applying a 2N + 1 redundancy at every

tier such as devices, connections, power supply, etc.
4. Results & Conclusions
After the stages of analysis and planning, it has been designed the computer room of a DC
Tier IV, which is a big step for any financial company due to the age of digital transformation
that are suffering all businesses, and especially banks.
This design involves an investment of 78 million euros, counting hardware, software and
personnel.
As for the computer room, a data center is obtained with cutting-edge devices, with
maximum protection thanks to the 4 clusters of firewalls used with redundancy in all
connections, both physically and logically due to the nexus switches 7000 They are used,
and estimated processing capacity of about 20 million daily operations through servers IBM,
Oracle and HPE Blade used.
5. References
[1] DOMO, «DOMO Data Never Sleeps,» [En línea]. Available:

https://www.domo.com/learn/data-never-sleeps-2. [Último acceso: 30 03
2016].

01.ibm.com/software/data/bigdata/what-is-big-data.html. [Último acceso:
07 04 2016].

https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos. [Último

http://www.cyberciti.biz/faq/data-center-standard-overview/ [Último
UNIVERSIDAD PONTIFICIA COMILLAS
ÍNDICE DE LA MEMORIA
Índice de la memoria
Índice de la memoria .......................................................................................................... 19
Índice de figuras ................................................................................................................. 23
Índice de tablas ................................................................................................................... 27
1. Introducción ................................................................................................................ 29
1.1 Motivación del proyecto ...................................................................................................... 29
2. Descripción de las Tecnologías ................................................................................... 31

2.1 Servicio de Cloud Híbrida ................................................................................................... 31
2.1.1 Cloud Computing............................................................................................................ 31
2.1.2 Nube Pública .................................................................................................................. 33
2.1.3 Nube Privada .................................................................................................................. 34
2.1.4 Nube Híbrida .................................................................................................................. 35
2.2 Hypervisors - Virtualización ............................................................................................... 36
2.2.1 VM – Máquina Virtual.................................................................................................... 36
2.3 Categorías Tier de un CPD .................................................................................................. 37
2.3.1 Uptime Institute .............................................................................................................. 37
2.3.2 Características propias de cada nivel Tier .................................................................... 38
2.4 Fiber To The X (FTTX) ...................................................................................................... 43
2.5 Balanceadores de Carga ...................................................................................................... 44
2.6 Firewall................................................................................................................................ 46
2.7 Zona DMZ ........................................................................................................................... 50
2.8 Proxy ................................................................................................................................... 50
2.9 Diseño de red jerárquico de capas ....................................................................................... 53
2.9.1 Core o núcleo ................................................................................................................. 53
2.9.2 Capa de agregación o distribución ................................................................................ 56
2.9.3 Capa de Acceso .............................................................................................................. 59
2.10 Virtual Switching System (VSS) ......................................................................................... 61
2.11 Diseño de Switching............................................................................................................ 66
19
2.11.1 TOR .............................................................................................................................. 67

2.11.2 EOR .............................................................................................................................. 68
2.12 Protocolos Utilizados .......................................................................................................... 69
2.12.1 Protocolos de Nivel de Enlace (L2 – Switching) .......................................................... 69
2.12.2 Protocolos de Nivel de Red (L3 – Routing) .................................................................. 76
2.12.3 TRILL – Transparent Interconnection of Lots of Links ................................................ 87
2.12.4 MPLS VPN.................................................................................................................... 88
2.13 Cableado .............................................................................................................................. 93
2.13.1 Cableado Incorrecto ..................................................................................................... 93
2.13.2 Cableado Estructurado ................................................................................................ 94
3. Estado de la Cuestión .................................................................................................. 95

3.1 ¿Qué define a un centro de datos TIER IV? ........................................................................ 96
4. Definición del Trabajo ................................................................................................ 99

4.1 Justificación ......................................................................................................................... 99
4.2 Objetivos ............................................................................................................................. 99
4.3 Metodología....................................................................................................................... 100
4.4 Planificación y Estimación Económica ............................................................................. 101
5. Diseño del CPD.......................................................................................................... 105

5.1 Diseño Global del CPD ..................................................................................................... 105
5.1.1 Base del CPD ............................................................................................................... 105
5.1.2 Servicios del CPD......................................................................................................... 106
5.1.3 Servicios de Usuario..................................................................................................... 106
5.2 Distribución de la Sala de Ordenadores ............................................................................ 107
5.2.1 Filas de Racks............................................................................................................... 109
5.3 Sistemas de Seguridad Física del Data Center .................................................................. 117
5.3.1 Ubicación ..................................................................................................................... 117
5.3.2 Paredes ......................................................................................................................... 117
5.3.3 Control de Acceso......................................................................................................... 118
5.4 Seguridad ante Incendios................................................................................................... 119
5.4.1 Protección Pasiva......................................................................................................... 120
5.4.2 Sistemas de Detección de Incendios ............................................................................. 120
5.4.3 Sistemas de Extinción de Incendios .............................................................................. 121
5.5 Entorno Físico ................................................................................................................... 123
5.5.1 Suministro de Potencia Eléctrica ................................................................................. 123
20
5.5.2 Enfriamiento ................................................................................................................. 124

5.5.3 Racks ............................................................................................................................ 126
5.6 Infraestructura Ethernet de la Sala de Ordenadores .......................................................... 128
5.6.1 Switches Utilizados....................................................................................................... 130
5.6.2 Interconexión Interna de la Sala de Ordenadores ....................................................... 133
5.6.3 Configuración del Routing IP en el Core ..................................................................... 143
5.6.4 Grupos Multicast .......................................................................................................... 149
5.6.5 Gestión de la Red.......................................................................................................... 149
5.6.6 Entornos Previos .......................................................................................................... 150
5.7 Acceso a la Red de Internet ............................................................................................... 150
5.7.1 Implementación del Acceso por Fibra.......................................................................... 151
5.7.2 Proveedores .................................................................................................................. 151
5.8 Balanceadores de Carga .................................................................................................... 153
5.9 Topología de Firewalls Utilizada ...................................................................................... 155
5.10 Proxies Utilizados.............................................................................................................. 159
5.11 Servidores Utilizados ........................................................................................................ 161
5.11.1 Servidores MainFrame ............................................................................................... 162
5.11.2 Servidores Blade......................................................................................................... 164
5.12 Sala de Seguridad .............................................................................................................. 167
5.13 Cableado ............................................................................................................................ 168
5.13.1 Patch Panel ................................................................................................................ 170
5.13.2 Cableado Inteligente .................................................................................................. 171
5.14 Valor Añadido para una Entidad Bancaria ........................................................................ 172
5.15 Alternativas de Diseño ...................................................................................................... 174
5.15.1 Modelos de Gama Alta ............................................................................................... 174
5.15.2 Firewalls de Diferentes Fabricantes .......................................................................... 175
5.15.3 Eliminar Capa de Acceso ........................................................................................... 175
5.15.4 Liberar Funciones de Routing en el Core .................................................................. 176
6. Análisis de Resultados ............................................................................................... 177

6.1 Servicio Cloud ................................................................................................................... 180
7. Conclusiones y Trabajos Futuros ............................................................................. 181

7.1 Trabajos Futuros ................................................................................................................ 181
7.1.1 Red SAN........................................................................................................................ 182
7.1.2 SDN .............................................................................................................................. 182
21
7.1.3 Edificio Físico .............................................................................................................. 182
8. Bibliografía ................................................................................................................ 183
ANEXO A. Especificaciones Hardware ......................................................................... 195

A.1 Switches Nexus 7700 ........................................................................................................ 195
8.1.1 Cisco Nexus 7700 Supervisor 2E Module .................................................................... 196
8.1.2 Cisco Nexus 7700 F3-Series 12-Port 100 Gigabit Ethernet Module ........................... 197
8.1.3 Cisco Nexus 7700 F3-Series 24-Port 40 Gigabit Ethernet Module ............................. 199
A.2 F5 BIG-IP LTM 2200s ...................................................................................................... 200
A.3 PALO ALTO 3000 Series PA-3060 .................................................................................. 202
A.4 Proxy Blue Coat SG600-35 ............................................................................................... 203
A.5 IBM z Systems (Mainframes) - z13s ................................................................................. 204
A.6 Oracle Exadata DataBase Machine X6-8 .......................................................................... 206
A.7 HPE ProLiant BL660c Gen9 Server Blade ....................................................................... 207
A.8 HP BLc7000 Platinum Enclosure...................................................................................... 208
A.9 Racks ................................................................................................................................. 209
ANEXO B. Especificaciones Software ........................................................................... 213

B.1 The Dude ............................................................................................................................. 213
22
ÍNDICE DE FIGURAS
Índice de figuras
Ilustración 1 Data Never Sleeps 3.0 [1]............................................................................... 11

Ilustración 4 Data Never Sleeps 3.0 [1]............................................................................... 15
Ilustración 5 Cloud Computing [7]...................................................................................... 32
Ilustración 6 FFTx [20] ....................................................................................................... 43
Ilustración 7 Firewall de Primera Generación en Linux...................................................... 47
Ilustración 8 Bastion Host Firewall [27] ............................................................................. 48
Ilustración 9 Firewall de subred Filtrada [27] ..................................................................... 49
Ilustración 10 Implementación de Firewall Dual [27]......................................................... 50
Ilustración 11 Tráfico a través de un Proxy......................................................................... 51
Ilustración 12 Diseño jerárquico de capas [32] ................................................................... 53
Ilustración 13 Flujo de tráfico en el Core (www.Cisco.com ) ............................................. 55
Ilustración 14 Flujo de tráfico en la Agregación [32] ......................................................... 58
Ilustración 15 Topología Triangular de Acceso [31]........................................................... 60
Ilustración 16 Switching Tradicional vs VSS [34] .............................................................. 61
Ilustración 17 Comparativa de STP con MEC [35]............................................................. 62
Ilustración 18 EtherChannel [35] ........................................................................................ 63
Ilustración 19 Red Física y Red Lógica conseguida a través de VSS [35] ......................... 65
Ilustración 20 Arquitectura por Capas simplificada con VSS [34] ..................................... 66
Ilustración 21 Diseño Top Of the Rack [37] ....................................................................... 67
Ilustración 22 Diseño End Of the Row [37] ........................................................................ 68
Ilustración 23 Tráfico entre áreas IS-IS [40] ....................................................................... 75
Ilustración 24 Direcciones IS-IS [40] .................................................................................. 76
Ilustración 25 Ejemplo de Red OSPF [40] .......................................................................... 78
Ilustración 26 Ejemplo de comunicación multicast [41] ..................................................... 80
Ilustración 27 Ejemplo de árbol SPT [41] ........................................................................... 81
Ilustración 28 Ejemplo de árbol compartido [41]................................................................ 82
Ilustración 29 Estructura básica de SNMP [42] .................................................................. 85
Ilustración 30 Nube de RBridges de TRILL [43] ................................................................ 88
23
ÍNDICE DE FIGURAS
Ilustración 31 Circuito virtual emulado para el uso de VPN [45] ....................................... 90

Ilustración 32 Comunicaciones en una red MPLS VPN [45].............................................. 92
Ilustración 33 Ejemplo de cableado incorrecto [46]............................................................ 93
Ilustración 34 Diagrama de Gantt ...................................................................................... 101
Ilustración 35 Pirámide de Servicios de un CPD [47] ....................................................... 105
Ilustración 36 Plano de la Sala de Ordenadores ................................................................ 108
Ilustración 37 Medidas de 1 Rack (1.867m x 0.6m) ......................................................... 109
Ilustración 38 Medidas de una fila de Racks ..................................................................... 109
Ilustración 39 Distribución de los Racks ........................................................................... 110
Ilustración 40 Rack con Patch Panel y Cableado Inteligente ............................................ 111
Ilustración 41 Sistemas SAI CPD Tres Cantos I de BBVA [48]....................................... 112
Ilustración 42 Repartidores de Fibra Óptica del CPD de BBVA Tres Cantos I [48] ........ 113
Ilustración 43 Comparativa de tipos de agua para extinción de incendios [52] ................ 122
Ilustración 44 Flujo de Aire de un Dispositivo [55] .......................................................... 124
Ilustración 45 Refrigeración por pasillos calientes y fríos [55] ........................................ 125
Ilustración 46 Ilustración del Falso suelo en instalaciones de BBVA C&IB .................... 125
Ilustración 47 Rack Convencional [56] ............................................................................. 127
Ilustración 48 Esquema Lógico de Conexiones ................................................................ 129
Ilustración 49 Configuración de conexiones entre Core y Agregación ............................. 140
Ilustración 50 Conexiones con el exterior ......................................................................... 143
Ilustración 51 Doble clustering de FW con DMZ [27] ..................................................... 148
Ilustración 52Cuadro Mágico de Gartner Balanceadores de Carga [65] ........................... 153
Ilustración 53 F5 BIG-IP LTM 2200s [66] ....................................................................... 154
Ilustración 54 Rack con Balanceadores de Carga ............................................................. 155
Ilustración 55 Cuadro Mágico de Gartner para FW empresariales ................................... 157
Ilustración 56 Palo Alto Series 3000 ................................................................................. 158
Ilustración 57 Cuadro Mágico de Gartner Proxies. [65] ................................................... 160
Ilustración 58 Bluecoat SG600 Series ............................................................................... 161
Ilustración 59 Servidor MainFrame de IBM (z13s) [71]................................................... 163
Ilustración 60 Plataforma Oracle Exadata DataBase Machine X6-8 multi-rack [72] ....... 164
Ilustración 61 Rack con dos Enclosures HP BLc7000 Platinum Enclosure ..................... 166
Ilustración 62 Enclosures HP de BBVA............................................................................ 167
24
ÍNDICE DE FIGURAS
Ilustración 63 Cableado de CPD de Facebook [74] .......................................................... 168

Ilustración 64 Colores y Etiquetado de los cables [46] ..................................................... 170
Ilustración 65 Etiquetado en Patch Panel [75]................................................................... 171
Ilustración 66 Patch Panel Inteligente [77]........................................................................ 172
Ilustración 67 Esquema Conexiones con Amazon Cloud ................................................. 173
Ilustración 68 Topología física .......................................................................................... 178
Ilustración 69 Esquema Lógico de Conexiones ................................................................ 179
Ilustración 70 Chasis Switch Nexus 7700 18-Slot [79]..................................................... 195
Ilustración 71 Cisco Nexus 7700 Supervisor 2E Module.................................................. 196
Ilustración 72 Cisco Nexus 7700 F3-Series 12-Port 100 Gb Ethernet Module [79] ......... 197
Ilustración 73 Cisco Nexus 7700 F3 Series 24-Port 40 GE Module [79] ......................... 199
Ilustración 74 Balanceador de carga F5 BIG-IP LTM 2200s [66] .................................... 200
Ilustración 75 Palo Alto PA-3060 [67] .............................................................................. 202
Ilustración 76Proxy BlueCoat SG 600-35 [79] ................................................................. 203
Ilustración 77 Servidor MainFrame de IBM (z13s) [71]................................................... 204
Ilustración 78 Plataforma Oracle Exadata DataBase Machine X6-8 multi-rack [72] ....... 206
Ilustración 79 Servidor Blade HPE ProLiant BL660c Gen9 [73] ..................................... 207
Ilustración 80 Ecnlosure Clase C BladeSystem [81] ......................................................... 208
Ilustración 81 Rack Utilizado [82] .................................................................................... 210
Ilustración 82 Puertas dobles microperforadas de doble hoja [82] ................................... 211
25
ÍNDICE DE FIGURAS
26
ÍNDICE DE TABLAS
Índice de tablas
Tabla 1 Características propias de cada Tier [17] ............................................................... 43

Tabla 2 Tabla de Presupuesto Económico ......................................................................... 104
Tabla 3 VLANs de comunicaciones Internas del CPD ..................................................... 135
Tabla 4 Especificaciones Nexus 7700 Supervisor 2E [79] ............................................... 197
Tabla 5 Especificaciones Cisco Nexus 7700 F3-Series 12-Port 100 Gigabit Ethernet Module
[79] .................................................................................................................................... 198
Tabla 6 Especificaciones Cisco Nexus 7700 F3-Series 24-Port 40 Gigabit Ethernet Module
[79] .................................................................................................................................... 200
Tabla 7 Características G5 BIG IP 2200s [66] .................................................................. 201
Tabla 8 Propiedades de Bluecoat SG-600 Series [80]....................................................... 204
Tabla 9 Características IBM z13 [71] ............................................................................... 206
27
ÍNDICE DE TABLAS
28
INTRODUCCIÓN
1. INTRODUCCIÓN
1.1 MOTIVACIÓN DEL PROYECTO
La realización del Trabajo de Fin de Grado sobre la planificación y diseño de un Centro de

Datos se justifica mediante los siguientes puntos:
1. Actualmente, la humanidad se encuentra en un periodo de transición profunda entre una

sociedad industrial, y otra sociedad digital marcada por el procesamiento de la
información y las telecomunicaciones.
Dentro de esta sociedad digitalizada, toda la información debe ser almacenada y
procesada para garantizar la continuidad y disponibilidad de los diferentes servicios a los
empleados, clientes, empresas colaboradoras o ciudadanos de dicha sociedad.
Es por esto por lo que un Centro de Procesamiento de Datos tiene vital importancia en
la época actual.
Francisco González, Presidente de BBVA: “Como banco, tenemos una enorme cantidad de
información, almacenada en diferentes partes de nuestro negocio. Lo que estamos haciendo
es transformar esa información en conocimiento y el conocimiento en productos. Para
nuestros clientes, se trata de ser capaz de acceder a todo lo que necesitan en tiempo real,
utilizando nuestras aplicaciones digitales o plataformas.” [6]
2. En una entidad bancaria, es necesario conocer las características del negocio, el volumen
de datos que se manejan y la criticidad de sus procesos para la elección correcta de un
CPD, y para ello, un proyecto como éste, puede servir de referente en el conocimiento
completo y profundo de un CPD de categoría Tier IV y las oportunidades que genera.
3. La realización de una beca de prácticas en el departamento de Comunicaciones C&IB de

BBVA participando en distintas tareas de las redes de comunicaciones del banco. Y
29
INTRODUCCIÓN
aprovechando que BBVA tiene uno de los CPDs más innovadores de Europa, y ahora
mismo se encuentran realizando el segundo CPD de Tres Cantos, teniendo capacidad
para investigar las buenas prácticas y posibles fallos que se han realizado durante la
construcción de estos CPDs.
30
DESCRIPCIÓN DE TECNOLOGÍAS
2. DESCRIPCIÓN DE LAS TECNOLOGÍAS

En este capítulo, se describen las tecnologías y protocolos importantes que merecen ser
explicados individualmente para la correcta comprensión del Trabajo de Fin de Grado.
El orden que se va a seguir en este capítulo será bajando el nivel de abstracción de manera
progresiva, es decir, comenzando por las secciones más globales para acabar explicando las
secciones más específicas.
2.1 SERVICIO DE CLOUD HÍBRIDA
Para poder explicar qué es la nube híbrida, y por qué es tan importante a nivel empresarial,
primero es necesario dejar claro los conceptos sobre el ‘Cloud Computing’, así como la nube
privada y la nube pública.
2.1.1 CLOUD COMPUTING

El concepto de nube comenzó con los grandes proveedores de servicios de internet a gran
escala (Google, Amazon AWS, Microsoft etc.) que construyeron su propia arquitectura: un
sistema de recursos distribuidos de forma horizontal, presentados como servicios virtuales y
manejados como recursos configurados de forma continua [7] [8].
La computación en la nube se trata de un paradigma que permite la posibilidad de ofrecer

servicios de computación a través de Internet.
31
Ilustración 3 Cloud Computing [7]
En este tipo de computación, se ofrece a modo de servicio todo lo que un sistema informático
físico puede ofrecer. Esto tiene vital importancia ya que le permite al usuario acceder a los
servicios disponibles en ‘la nube’ sin que sea necesario tener conocimientos plenos sobre la
gestión de los recursos que son necesarios para realizar las tareas que va a hacer.
Según el IEEE Computer Society (Institute of Electrical and Electronics Engineers) la nube
es “un paradigma en el que la información se almacena de manera permanente en servidores
de Internet y se envía a cachés temporales de cliente, lo que incluye equipos de escritorio,
centros de ocio, portátiles etc. “
Es decir, el Cloud Computing son servidores remotos de Internet que se encargan de atender
las peticiones de los clientes en cualquier momento. El acceso a estos servicios se obtiene
desde cualquier dispositivo de cualquier lugar del mundo mediante una conexión a Internet.
32
Esta forma de computación permite reducir los costes y garantizar mejor tiempo de actividad
ya que permite aumentar la cantidad de servicios basados en la red, generando beneficios
tanto a proveedores, que les permite ofrecer un mayor número de servicios de forma más
eficiente y rápida, como a usuarios que tienen la posibilidad de acceder a ellos, y de ahorrar
en costes salariales o costes de inversión en locales, materiales o dispositivos.
Las características clave que esta tecnología presenta son las siguientes:
 Agilidad: capacidad de mejora para ofrecer recursos tecnológicos al usuario.

 Coste: la nube convierte los gastos en capital en gastos de funcionamiento reduciendo
las barreras de entrada.
 Escalabilidad y elasticidad
 Independencia entre dispositivo y ubicación
 Rendimiento: los sistemas en nube optimizan el uso de los recursos.
 Seguridad: puede mejorar gracias a que los datos se encuentran centralizados.
 Mantenimiento: ya que el usuario no es el encargado del mantenimiento de las
aplicaciones o dispositivos.
2.1.2 NUBE PÚBLICA
Este modelo de cloud computing se trata del modelo más extendido entre la mayoría de los
consumidores.
Se trata de una nube en la que los servicios se proporcionan de forma virtualizada, usando
un ‘pool’ de recursos físicos compartidos entre los clientes de la red de Internet.
Uno de los ejemplos más claros de public cloud son los servicios de almacenamiento online
como pueden ser Google Drive, o DropBox en los cuáles los clientes de todo el mundo
comparten los mismos servidores o bases de datos.
Esta propuesta de computación en la nube ofrece los siguientes beneficios y características:
33
 Escalabilidad definitiva: los recursos están disponibles según la demanda de vastas

reservas de recursos las nubes públicas para que las aplicaciones que se ejecutan en
ellos pueden responder perfectamente a las fluctuaciones de la actividad.
 Efectividad económica: esta nube junta grandes niveles de recursos para
beneficiarse de la economía a gran escala.
 Estilo de cobro por utilidad: algunos servicios de cloud pública suelen emplear
modos de cobro ‘pay-as-you-go’ de manera que el consumidor tendrá capacidad
acceso a los recursos que necesiten y cuando los necesiten pagando sólo los servicios
que utilizan. De esta manera se evita inutilizar recursos.
 Confiabilidad: gracias a que los recursos utilizados por un cliente son compartidos
por varios y existe redundancia en los recursos, existe tolerancia ante fallos de
componentes físicos.
 Flexibilidad: Los servicios disponibles en el mercado que siguen el modelo de cloud
pública son tan amplios que satisfacen la mayoría de necesidades de computación y
pueden ofrecer sus beneficios por privado o a clientes empresariales por igual.
 Independencia de la localización: la disponibilidad de los servicios depende solo
de tener acceso a una conexión a Internet [9].
2.1.3 NUBE PRIVADA

La nube privada se trata de un modelo particular de cloud computing que involucra una nube
distinta y segura basada en un ambiente en el cual sólo un cliente específico puede operar.
Como ocurre con otros modelos de nube, la privada proporciona potencia de computación
como un servicio virtualizado. Sin embargo, en este caso, los servicios son solo accesibles
por una única organización, proporcionando a dicha organización más control y privacidad.
Este modelo se acerca más al modelo tradicional de redes de área local usadas en el pasado
pero con las ventajas añadidas de la virtualización. Las características y beneficios de la nube
privada son las siguientes:
34
 Mayor seguridad y privacidad: los servicios de nube pública pueden implementar

cierto nivel de seguridad, pero el modelo privado puede asegurar que las operaciones
se mantienen fuera del alcance del resto de empresas o personas.
 Más control: ya que solo una única empresa consigue acceso, esa organización
tendrá la habilidad de configurar y gestionarla según sus necesidades.
 Eficiencia: implementar este tipo de cloud puede mejorar la asignación de recusos
dentro de una organización y asegurar la disponibilidad de dichos recursos a
diferentes departamentos o negocios. Por lo que hacen que este modelo de trabajo
sea más eficiente que la arquitectura LAN tradicional ya que minimiza la inversión.
 Confiabilidad mejorada: includo donde los recursos se hospedan internamente, la
creación de ambientes de operación virtualizados significa que la red es más
resistente ante fallos individuales.
 ‘Cloud bursting’: se trata de un modelo de desplieuge en el que una aplicación que
se está ejecutando con recursos de nube privada se expande hacia recursos de nube
pública debido a la demanda de aumento temporal de capacidad de computación.
Esto se trata de un paso hacia la nube híbrida [10] [11].
2.1.4 NUBE HÍBRIDA
Este modelo de cloud computing se basa en la utilización de ambos tipos de nube explicados
anteriormente.
Todos los servicios de nube deberían ofrecer ciertos niveles de eficiencia, pero los servicios
de nube pública tienden a ser más eficientes económicamente y más escalables que los de la
nube privada. Por lo tanto, una organización puede maximizar su eficiencia empleando
servicios de nube pública para todas las operaciones que no sean sensibles, y apoyándose en
la nube privada cuando sea necesario [12].
La nube hibrida se puede implementar de diferentes maneras:
35
1. Diferentes proveedores de cloud computing se unen para proporcionar ambos

modelos como un único servicio integrado.
2. El mismo proveedor puede ofrecer la totalidad de la nube hibrida.
3. Organizaciones que gestionan su propia nube privada se apoyan en un proveedor de
nube pública que tienen que integrar dentro de su propia infraestructura.
Este tipo de nube permite la máxima escalabilidad y flexibilidad posible, además de ser muy
eficiente económicamente ya que solo se benefician de la eficiencia de la nube pública, y
proporciona seguridad ya que se utiliza el modelo privado para las operaciones sensibles y
la nube pública puede utilizarse para el resto [13] [14].
2.2 HYPERVISORS - VIRTUALIZACIÓN
La virtualización es el servicio clave que representa un centro de datos, permitiendo el uso

de recursos de computación y de almacenamiento a toda la organización.
El proceso de virtualización consiste en crear una versión lógica de lo que podría ser una
máquina física.
Los equipos de IT están limitados por el rendimiento de los servidores individuales, que se
diseñan para tener un único sistema operativo ejecutándose a la vez, limitando de esta forma
la cantidad de aplicaciones que puede ejecutar un servidor.
La virtualización utiliza software para simular hardware, y crea un sistema de computación

virtual, permitiendo de esta manera ejecutar en un mismo servidor múltiples SSOO y
aplicaciones. Esto permite una mayor eficiencia tanto de rendimiento como
económicamente.
2.2.1 VM – MÁQUINA VIRTUAL
Una ‘Virtual Machine’ es un software aislado con un sistema operativo y un conjunto de

aplicaciones. Cada VM es completamente independiente.
36
Ejecutar múltiples VM en un mismo servidor permite que se ejecuten multiples sistemas

operativos y aplicaciones en un mismo host.
El ‘hypervisor’ es el software encargado de asignar recursos de manera dinámica a cada

máquina virtual.
Las propiedades de las VM son las siguientes:
 Particionamiento: dividir los recursos del sistema para ejecutar multiples VM.
 Aislamiento: se establece un aislamiento a nivel de hardware.
 Encapsulamiento: guarda el estado de la configuración en ficheros, permitiendo así
copiar y mover VM como si fueran simples ficheros.
 Independencia del Hardware: es posible migrar una VM a cualquier servidor físico
[15].
2.3 CATEGORÍAS TIER DE UN CPD
La asociación de la Industria de las Telecomunicaciones, una asociación acreditada por la

ANSI (American National Standars Institute), publicó en 2005 un documento en el que se
definen cuatro niveles – o Tiers – en los que se clasifica un data center. Esta clasificación se
lleva a cabo según los niveles de disponibilidad, rendimiento, y más factores que se
explicarán en uno de los siguientes apartados.
2.3.1 UPTIME INSTITUTE
Uptime Institute es una organización imparcial de asesoramiento centrada en mejorar la

eficiencia, la fiabilidad, y el rendimiento de una infraestructura crítica de negocio mediante
la innovación, la colaboración y certificaciones independientes.
37
La actividad del Instituto es reconocida mundialmente para la creación y administración de

las normas y certificaciones para centros de procesamiento de datos, construcción y
sostenibilidad operativa a lo largo de su gestión y de operaciones críticas.
Dentro de las certificaciones que acredita esta organización, se encuentra el Tier.
Cuando se habla de Tiers en un centro de datos, se habla de una clasificación creada por el
Uptime Institute a partir de la cual se desarrolló el estándar ANSI/TIA-942 y que contiene 4
niveles [16].
La clasificación de un CPD dentro de un nivel u otro depende de diversos factores como son:
 Arquitectura de red.
 Diseño Eléctrico.
 Almacenamiento de datos y ‘backup’.
 Redundancia del sistema. Tanto física (varios dispositivos) como lógica (enlaces
redundantes).
 Control de acceso y seguridad del edificio.
 Gestión de las bases de datos.
 Alojamiento Web.
 Alojamiento de aplicaciones.
 Distribución de contenido.
 Control medioambiental.
 Protección contra accidentes físicos (incendios, inundaciones, tormentas…).
 Gestión de potencia eléctrica.
2.3.2 CARACTERÍSTICAS PROPIAS DE CADA NIVEL TIER
Una vez ya explicado qué es la categoría Tier que tiene un centro de procesamiento de datos;
y la organización, más importante a nivel mundial, encargada de realizar las pruebas para
clasificar cada centro; se procede a realizar una explicación detallada de las características
38
necesarias para que un data center sea clasificado dentro de cada nivel Tier que existe [4]
[17].
2.3.2.1 Tier I: Centro de Datos Básico

Se trata de una instalación que no tiene redundancia para sus componentes vitales
(climatización, suministro eléctrico) y que por tanto sus capacidades de operación se ven
completamente afectadas ante el fallo de cualquiera de ellas.
No es necesario que tenga suelos elevados, generadores auxiliares o SAI (Sistemas de

Alimentación Ininterrumpida). Y todos los componentes de la instalación se encuentran
conectados a una única línea de distribución eléctrica y de refrigeración.
Por lo tanto, al no disponer de elementos redundantes, las operaciones de mantenimiento

significan tiempo de no disponibilidad de la infraestructura.
Este tipo de CPD presenta una disponibilidad del 99.671%.
2.3.2.2 Tier II: Centro de Datos Redundante

Los centros de datos de esta categoría poseen redundancia para los sistemas vitales, como la
refrigeración de los equipos, pero cuentan con un único camino de suministro eléctrico.
En este nivel, es necesario que tenga suelos elevados, generadores auxiliares o SAI.
A pesar de que en este nivel ya exista cierto nivel de redundancia, los equipos siguen
conectados a una única línea de distribución eléctrica y de refrigeración.
Por tanto, este tipo de instalaciones poseen cierto grado de tolerancia a fallos y que permiten
algunas operaciones de mantenimiento que no afectan a la disponibilidad.
Este tipo de centro tiene una disponibilidad del 99.741%.
39
2.3.2.3 Tier III: Centro de Datos Concurrentemente Mantenible

Cuando se habla de un Data Center de nivel TIER III se habla de un centro en el que además
de cumplir los requisitos de TIER II, existen niveles importantes de tolerancia a fallos ya
que se cuenta con redundancia para todos los equipamientos básicos incluido el suministro
eléctrico, permitiéndose una configuración Activo / Pasivo.
Este nivel de redundancia se extiende también a los servidores, los cuales deben contar con
doble fuente de alimentación y, en principio, el Data Center no requiere paradas para
operaciones de mantenimiento básicas.
Como se ha explicado en las líneas anteriores, la instalación se encuentra conectada

a múltiples líneas de distribución eléctrica y de refrigeración, con el detalle de que
únicamente se activa una a la vez.
Otro requisito importante para entrar en esta categoría, es que se pueda realizar el upgrade
a TIER IV sin interrumpir el servicio.
Los centros de este nivel tienen una disponibilidad del 99.982%.
2.3.2.4 Centro de Datos Tolerante a Fallos

Este nivel de la clasificación es el nivel más exigente, ya que implica cumplir con los
requisitos de TIER III, además de ser capaz de soportar cualquier tipo de fallo que inhabilite
una línea (suministro o refrigeración) hacia alguno de sus componentes.
Esta vez, los dispositivos se encuentran conectados a múltiples líneas de distribución

eléctrica y de refrigeración con múltiples componentes redundantes 2 (N+1), ¿Qué significa
esto? Que se cuenta con 2 líneas de suministro eléctrico, cada una de ellos con redundancia
N+1
Un ejemplo:
40
Un CPD TIER IV que cuenta con 2 líneas de suministro eléctrico desde un grupo de
electrógenos, y, a su vez, cada una de las líneas cuenta con N+ 1 grupos, por lo que para
tener una interrupción del servicio se tendría que producir de manera simultánea lo siguiente:
1. Perdida de suministro eléctrico.

2. Fallo de 2 o más grupos electrógenos en cada una de las líneas de suministro.
Para entrar en el máximo nivel de Tier, es imprescindible una disponibilidad del 99.995%
[18].
2.3.2.5 Tablas de Clasificación Creadas por Uptime Institute

En este apartado, se encuentran unas tablas creadas por el Uptime Institute, en las cuales se
especifican el grado de cumplimiento de cada característica para clasificar un CPD dentro
de un nivel u otro:
Tier I Tier II Tier III Tier IV
Active Capacity Components N N+1 N+1 N after any failure

to Support IT Load
Distribution Paths 1 1 1 active and 2 simultaneously

1 alternative active
Concurrently Maintainable No No Yes Yes
Fault Tolerance (Single event) No No No Yes
Compartmentalization No No No Yes
Continuous Cooling Load density Load density Load densitiy Yes (Class A)
dependent dependent dependent
41
Building Type Tenant Tenant Stand-Alone Stand-Alone
Staff shifts None 1 shift 1+ shifts “24 by Forever”
Useable for Critical Load 100% N 100% N 90% N 90% N
Initial Build-out kW per <1kW 1-2kW 1-2kW 1-3 kW

Cabinet
Support Space to Raised-Floor 20% 30% 80-90+% 100+%

Ratio
Raised-Floor Height 12 inches 18 inches 30-36 inches 30-42 inches
Floor Loading lbs/ft 85 100 150 150+
Utility Voltage (typical) 208 208 12-15 kV 12-15 kV
Single Points of Failure Man + Human Manu + Human Some + Fire, EPO + Some
Error Error Human Error Human Error
Tier I Tier II Tier III Tier IV
Representative Planned 2 Annual 3 Events Over 2 None None Required

Maintenance Shut Downs Events at 12 years at 12 Required
hours Each hours each
Representative Site Failures 6 Failures over 1 Failure every 1 Failure 1 Failure every 5
5 Years year Every 2.5 years
years
Annual Site-Caused, End-User 28.8 hours 22.0 hours 1.6 hours 0.8 hours
Downtime
Resulting End-User 99.67% 99.75% 99.98% 99.99%

Availability Based on Site-
Caused Downtime
42
Typical Months to Plan and 3 3-6 15-20 15-30

Construct
First Deployed 1965 1970 1985 1995
Tabla 1 Características propias de cada Tier [17]
2.4 FIBER TO THE X (FTTX)
FTTX se trata de un término genérico usado para cualquier despliegue de banda ancha
haciendo uso de una arquitectura de red de fibra óptica, que trata de renovar todo el cableado
de cobre habitualmente usado en el pasado para el último tramo de las telecomunicaciones
[19].
Ilustración 4 FFTx [20]
43
Se utiliza la X en el nombre, debido a que hay diferentes modalidades de implementar esa

idea. Los más comunes son los siguientes:
 FFTN: Fiber-to-the-node. En este tipo de implementación, el cableado de fibra

termina en una central del operador de telecomunicaciones que provee el servicio.
Debido a que esta central se encuentra típicamente en las inmediaciones del barrio,
algunos autores asignan la palabra ‘Neighborhood’ (barrio) para la letra N.
 FTTC: Fiber-to-the-Cabinet o Fiber-to-the-curb. Es muy parecida a FTTN, pero en
este caso la central de distribución de las telecomunicaciones (en este caso se trata
de un armario, de ahí el nombre ‘Cabinet’) se encuentra más cerca del usuario,
normalmente a una distancia menor de 300 metros [21].
 FFTB: Fiber-to-the-building. En FTTB la fibra llega hasta la premisa del edificio.
Suele terminar en un punto de distribución dentro del edificio intermedio para los
abonados del edificio.
 FTTH: Fiber-to-the-home. Esta forma de implementar la conexion por fibra es la
más utilizada en la actualidad para uso doméstico. Se trata de una implementación
en la que el cableado de fibra llega hasta el interior de la vivienda [22].
2.5 BALANCEADORES DE CARGA
Un balanceador de carga es un dispositivo que actúa como proxy inverso (ver ‘Proxy’) y
distribuye el tráfico de red entre servidores o dispositivos de red (switches, FW, etc.) Los
balanceadores se utilizan para aumentar la capacidad y la confiabilidad de las aplicaciones.
Esto permite mejorar el rendimiento de las aplicaciones y de los servidores [23].
Existen dos categorías generales de balanceadores: balanceadores de capa 4 (se basan en

protocolos de transporte) y balanceadores de capa 7 (se basan en datos de aplicación, como
puede ser HTTP).
El balanceo se realiza mediante un algoritmo de distribución. Los algoritmos estándar son

los siguientes:
44
 Round Robin
 Weighted Round Robin
 Least Connections
 Least Response Time
Existen diversas formas de implementar un balanceador de carga.
La solución más común se trata de tener hardware dedicado a la función de balanceo. Para
la mayoría de expertos es la mejor solución ya que es una forma de asegurar el correcto
funcionamiento de este servicio. Los proveedores líderes de hardware de balanceo son F5,
Cisco, Barracuda y Citrix. Además, que sea hardware dedicado exclusivamente a esta
función, quiere decir que proporciona más disponibilidad, y menos mantenimiento.
Por todo esto, esta opción se trata de una forma de implementación con una gran inversión
inicial, pero con un coste bajo a largo plazo.
La siguiente forma de implementar un balanceador de carga es instalar un software de

balanceo en un servidor, que se dedique exclusivamente a esta tarea. Esto aporta flexibilidad
gracias a que puedes utilizar un servidor ya comprado, o cambiarlo en cualquier momento
deseado. El software utilizado puede ser uno que requiera licencia de uso, o incluso open
source.
Esta implementación requiere una inversión media, puesto que solo es necesario adquirir el
servidor y el software a utilizar.
La última opción de implementarlo, es mediante la virtualización de la máquina. Se trata de

virtualizar el software del balanceo en una VM y controlarlo con un hypervisor (ver 2.2
Hypervisors - Virtualización).
Esta solución es la más barata de las 3 descritas, pero suele ser una opción que se utiliza
únicamente para entornos previos que se encuentran en versión de prueba. Esto se debe a
que según qué hypervisor se utilice, el rendimiento cae entre un 10 y un 20% con respecto a
las otras opciones [24].
45
2.6 FIREWALL
En las redes de computación, un cortafuegos es un sistema de seguridad de red que

monitoriza y controla el tráfico, tanto de salida como de entrada, basándose en unas reglas
de seguridad predeterminadas por el departamento de la compañía encargado de la seguridad
lógica. Un firewall normalmente sirve de barrera entre una red interna segura y de confianza,
de una que se asume que no es segura. Hay dos formas de implementar sistemas firewall.
Pueden ser firewalls de red, o firewalls ‘host-based’. Los primeros, se tratan de una
aplicación software que se ejecutan en servidores. El segundo tipo de firewall, los ‘host-
based’ proporcionan una capa de software en un dispositivo, que permite controlar todo el
tráfico que lo atraviesa [25].
Como casi toda la tecnología, siempre existen diferentes generaciones, que consisten de un
avance tecnológico.
 La primera generación de firewalls, se trata de un simple filtrado de paquetes. La

forma de funcionar era simple pero efectiva para la época. Se trataba de filtrar el
paquete según la dirección IP del paquete, los puertos que usaba, y revisar si ese tipo
de paquete con dichas características estaba permitido o tenía que bloquearlo.
46
Ilustración 5 Firewall de Primera Generación en Linux
 La segunda generación, fue un adelanto en seguridad. Esta generación de firewalls

se basaba en filtros de ‘estado’ (stateful filters). Esta generación realizaba el mismo
trabajo que sus predecesores, pero llegaban a operar hasta la capa de transporte del
modelo OSI de internet. Esta forma de trabajo se conseguía reteniendo paquetes hasta
que se obtenía suficiente información para hacer un juicio sobre el estado. En este
proceso, se graban todas las conexiones que pasan por el dispositivo y determina si
el paquete es el principio de una nueva conexión, la continuación de una conexión
ya iniciada, o no forma parte de ninguna comunicación. Las reglas todavía eran
estáticas, pero ahora contienen un campo de estado de conexión. Aunque esta
generación mejoraba la seguridad de los primeros, los ataques DOS, basados en
enviar multitud de paquetes falsos, hacían que la memoria de las conexiones se
sobrecargara, dejando inútil el firewall [26].
 La tercera generación de cortafuegos operan en la capa de aplicación. La innovación
de esta generación es que al realizar el filtrado en la capa de aplicación, el dispositivo
puede comprender aplicaciones o protocolos. Esto es muy útil ya que es capaz de
47
detectar si un protocolo indeseado trata de atravesar la red utilizando un puerto

permitido, o incluso detectar si un protocolo está siendo utilizado de manera
sospechosa.
 Firewalls de nueva generación (NGFW) no es nada más que una iteración nueva de
los firewalls de capa de aplicación. Pero en esta nueva generación, se aumenta el
nivel de inspección de la capa de aplicación, mejorando la escalabilidad, el
rendimiento y el control, además de poder ser gestionado a través de su propio
software.
A parte de las generaciones de firewall que han existido a lo largo del tiempo, también
existen diferentes topologías para implementarlos. Las tres configuraciones básicas son las
siguientes:
Bastion Host
Esta primera topología es la más básica de todas. Se trata de colocar un clúster de firewalls
entre la red de intranet, y el internet global, de manera que filtra todo el tráfico que entra o
sale de la red.
Se trata de una configuración válida para redes relativamente simples (es decir, aquellas que
no ofrecen servicios públicos a internet).
Hay que destacar, que solo existe un punto de defensa ante ataques malignos, por lo que si
el atacante consigue traspasar esta única barrera, ganará acceso restringido a toda la red. Por
lo que es insuficiente si la organización sirve de host para páginas web, o servidores de
correo electrónico.
Ilustración 6 Bastion Host Firewall [27]
48
Subred Filtrada
Esta segunda opción ofrece algunas ventajas adicionales con respecto a la anterior. Esta
topología sigue siendo un solo clúster, pero esta vez con 3 conexiones: una hacia Internet,
otra hacia la Intranet, y la última hacia la DMZ.
En esta zona desmilitarizada, se colocan los servidores front end de la organización, siendo
estos las dispositivos que dan servicios públicos. Esto hace, que si un atacante consigue
atravesar el firewall, conseguirá acceso solo hacia la DMZ, en vez de conseguir acceso a
toda la red interna. Aunque también es posible que consiga atravesar la DMZ para alcanzar
después la intranet. En la siguiente figura se observa esta topología
Ilustración 7 Firewall de subred Filtrada [27]
Firewall Dual
Esta es la evolución natural de la subred filtrada. Consiste en el uso de un doble clúster de

firewalls que dificulte en gran medida el paso de la DMZ hacia la intranet. Esta es la
topología más segura de las tres explicadas.
También, algunas empresas utilizan diferentes proveedores para los firewalls front end y
back end, con el objetivo de que aunque un atacante haya sido capaz de saltar la seguridad
del primer firewall que ofrece un fabricante, necesite saber también como ‘burlarse’ de la
seguridad del segundo fabricante.
49
Ilustración 8 Implementación de Firewall Dual [27]
2.7 ZONA DMZ
En ámbitos de seguridad de redes informáticas, una zona desmilitarizada es una red segura
que se encuentra entre la red interna de la entidad (la LAN), y el Internet.
El objetivo de la existencia de esta zona, es servir como ubicación de implementación de los

servidores que deben ser accesibles desde internet, pero a la vez, dejando inaccesible el resto
de las conexiones internas del centro.
Los servidores más comunes de esta zona son los servidores Web, mail, DNS, FTP y VoIP
[28].
2.8 PROXY
Un proxy es un programa software, dispositivo específico que se encarga de realizar una

tarea de acceso a Internet en lugar de establecer la conexión desde el host directamente. Con
lo cual, podría definirse como un punto intermedio entre un ordenador conectado a Internet
y el servidor que está accediendo. Esto significa que si se navega a través de un proxy en
realidad no se accede directamente a la dirección IP solicitada, sino que realizamos una
solicitud sobre el proxy y es éste quien se conecta con la dirección IP a la que se quiera
acceder y devuelve el resultado de la solicitud. Los servidores proxy están presentes en
muchas redes particulares y sobre todo empresariales.
50
Ilustración 9 Tráfico a través de un Proxy
Dentro de los servidores proxy, se distingue entre proxy local proxy externo:
 El proxy local se implementa en el mismo ordenador que el cliente está utilizando

para realizar sus peticiones, de esta manera el usuario podrá controlar el tráfico y
establecer sus propias reglas de filtrado de la información.
 El proxy externo se sitúa en otra ubicación diferente a la del cliente y se suele emplear
para el bloqueo de contenidos o control de tráfico dentro de una empresa entre otros
motivos.
Aplicaciones Generales
Según las funcionalidades que aportan los proxies, hay diferentes aplicaciones que se pueden
implementar:
51
 Proxy Web: el servidor proxy que se encarga de gestionar el tráfico http y https. Se
emplean para reducir el tráfico, mejorar la seguridad, optimizar la velocidad y
mantener el anonimato del host.
 Proxy Caché: guarda en su memoria caché copias de las páginas que se visitan.
Cuando un host pide una página web, el proxy revisa su memoria caché, y le manda
la copia que tiene almacenada. Esto ahorra tráfico y aumenta la velocidad de
conexión.
 Proxy Inverso: se encuentra alojado en uno o varios servidores web, y se emplea
para controlar qué servidores acceden a dichos servidores web.
 Proxy NAT: traduce y sustituye las direcciones IP privadas de los equipos a
direcciones IP públicas.
 Proxy Cross Domain: sirve para agilizar comunicaciones entre elementos que se
encuentran en distintos dominios. Tecnologías como Ajax y Flash se aprovechan de
este proxy.
 Proxy Transparente: los usuarios desconocen su existencia. Sirve para controlar el
tráfico, ya que puede restringir ciertos sitios.
 Proxy abierto: acepta las peticiones que se hacen desde cualquier ordenador.
Tipos de Proxy
Ya se ha explicado que un proxy puede ser configurado para que realice diferentes
aplicaciones, pero los tipos de proxy que existen se pueden englobar en dos:
1. Proxy Explícito: se trata de un proxy que se configura manualmente en el navegador

del host. Esto no es una administración centralizada, por lo que se recomienda solo
para empresas pequeñas, o redes con pocos usuarios.
2. Proxy Transparente: con esta modalidad de proxy, todas las peticiones son
redirigidas a un proxy que actúa como gateway de salida. En este caso, el dispositivo
no es consciente de que está pasando por un proxy [29] [30].
52
2.9 DISEÑO DE RED JERÁRQUICO DE CAPAS
El modelo de diseño de red jerárquico de tres capas es el modelo más usado hoy en día, tanto
en diseño de instalaciones de campus, como en el diseño de Centros de datos. Este diseño
consiste principalmente de servidores web, de aplicación o de bases de datos que están
siendo ejecutados en diferentes plataformas. Como pueden ser servidores blade, servidores
de tamaño 1RU, o mainframes [31].
La siguiente figura, ilustra cómo es este diseño topológico.
Ilustración 10 Diseño jerárquico de capas [32]
2.9.1 CORE O NÚCLEO
El core proporciona un mallado de switching de alta velocidad entre los diferentes módulos
de la capa de agregación.
53
Además, se trata de la capa más alta jerárquicamente, y se encarga de realizar el papel de

Gateway de salida hacia el núcleo del campus, donde más tarde se redirecciona hacia el
Internet. También es posible, como va a ser en el data center que se diseña en este proyecto,
que el núcleo de la sala de ordenadores funcione como Gateway de salida hacia el internet,
conexiones con empresas, edificios y oficinas de la organización etc.
Todas los enlaces que conectan con esta capa son de nivel de red (L3 en el modelo OSI); y
se suelen utilizar conexiones rápidas, típicamente de 10 GigE, que soportan altos niveles de
tráfico, rendimiento y de sobre suscripción.
El núcleo de un Data Center es un poco diferente al núcleo del campus, ya que tiene
diferentes objetivos y responsabilidades. Por ejemplo, el núcleo de un centro de datos no es
obligatoriamente necesario, pero es recomendado cuando se busca una escalabilidad más
fácil a través de diferentes módulos de la capa de distribución.
Cuando se estudia si implementar la capa de core, hay que considerar los siguientes puntos:
 Políticas y dominios administrativos: separar núcleos (campus y centro de datos)

ayuda a aislar las capas de distribución tanto del campus como del centro. Estas
políticas administrativas pueden ser QoS (calidad de servicio), listas de control de
acceso (ACL), mantenimiento o resolución de problemas.
 Densidad de puerto 10 GigE: un único par de switches puede no soportar la cantidad
de puertos de 10 GigE necesarios para conectar las capas de agregación del campus
y del data center. Por lo que es posible que sea necesario crear otro núcleo en la sala
de ordenadores que permita esa cantidad de puertos.
 Anticipación a necesidades futuras: el impacto económico de implementar una capa
de núcleo a posteriori de realizar la implementación inicial puede hacer que merezca
la pena su diseño e instalación en las fases iniciales.
54
2.9.1.1 Flujo de tráfico en el Core

Como se ha explicado en los anteriores apartados, la funcionalidad del core es conectar el
campus (o Internet) con la capa de distribución, a través de enlaces de nivel de red (L3).
Estos enlaces de capa 3 necesitan escalabilidad de ancho de banda, una rápida convergencia,
y evitar bloqueos de rutas o tormentas de broadcast incontroladas generadas por los dominios
de capa 2.
El tráfico en el núcleo consiste primordialmente de sesiones que viajan desde hosts (pueden
ser del campus, o de conexiones exteriores) hacia los módulos del nivel de distribución. El
nucleo se encarga de agregar los flujos de tráfico en rutas óptimas. En la siguiente figura, se
aprecian esta agregación de tráfico.
Ilustración 11 Flujo de tráfico en el Core (www.Cisco.com )
55
Desde un punto de vista externo (desde el campus, o desde el Internet), existen dos rutas con
el mismo coste hacia las subredes de los servidores. Esta redundancia permite que se utilice
balanceo de carga en el nivel de núcleo, permitiendo no congestionar las rutas.
2.9.2 CAPA DE AGREGACIÓN O DISTRIBUCIÓN
Este nivel tiene, como primera responsabilidad, agregar todas las sesiones de entrada y de
salida del centro de datos.
Los switches de este nivel deben ser capaces de soportar numerosas conexiones de 1, 10
GigE o incluso superiores si la baja latencia es una característica primordial del centro de
datos. Además debe ser capaz de realizar switching a altas velocidades y un ratio de reenvío
alto. Esta capa también proporciona funcionalidades como servicios de valor añadido (como
puede ser balanceo de carga), implementación de firewalls, y descarga de SSL1 hacia los
servidores que se encuentran detrás de los switches de acceso [33].
Los switches de la capa de distribución llevan toda la carga de realizar el Spanning Tree
Protocol para evitar bucles de nivel de switching.
Es posible que la capa de agregación sea el nivel más crítico de un CPD debido a las
implicaciones que introducen la alta densidad de puertos, nivel de uso de CPU, y los
módulos de servicio, al diseño general de la red.
1
SSL Offloading: reduce a los servidores web la tarea de encriptar o desencriptar el tráfico vía SSL [33].
56
2.9.2.1 Flujo de tráfico en la capa de agregación

La capa de distribución se conecta al core utilizando enlaces de nivel 3. Estos links de nivel
3 requieren escalabilidad de ancho de banda, convergencia rápida, y evitar bloqueos de rutas,
o tormentas de broadcast incontroladas, provocados por los enlaces troncales de nivel 2.
El tráfico en este nivel consiste principalmente del siguiente:
 Conexiones desde el core hacia el acceso y viceversa: los flujos de tráfico desde el
núcleo hasta el acceso están normalmente asociados con peticiones basadas en HTTP
hacia la granja de servidores. Se establecen al menos dos rutas de igual coste hacia
las subredes de servidores web. Por lo que las sesiones web se dividen mediante
balanceadores de carga. Estos flujos se llevan más tarde hacia un módulo de descarga
SSL o hacia un cortafuegos antes de continuar hacia los servidores.
 Conexiones entre switches de acceso: la capa de agregación es el principal medio de
transporte para conexiones servidor-a-servidor. El paso de este tipo de tráfico por
este nivel permite que se utilicen balanceadores de carga, descargas de SSL, y
servicios de cortafuegos que mejoran la escalabilidad y la seguridad lógica de la
granja de servidores.
Un ejemplo de los flujos de tráfico que pasan por este nivel se puede observar en la siguiente
figura, donde se ven conexiones entre host y servidor, conexiones entre servidores, y dónde
se aplican los servicios.
57
Ilustración 12 Flujo de tráfico en la Agregación [32]
Como se observa en la figura anterior, se produce un balanceo de carga entre los switches
tanto de la capa del núcleo como en la de agregación. Esto se produce gracias a protocolos
de redundancia de routers (se recuerda que un switch de nivel 3 actúa como switch + router),
como pueden ser HSRP o VRRP, además de utilizar hardware dedicado al balanceo, como
son firewalls y balanceadores de carga.
2.9.2.2 Cómo Implementar Escalabilidad en la capa de Agregación

La capa de agregación, como ya se ha dicho anteriormente, es posible que sea la capa más
crítica para la estabilidad y la escalabilidad general de la arquitectura del centro. Esto es
debido a que todo el tráfico, tanto de entrada como de salida pasa por ella, pero además, es
en esta capa donde se aplican servicios de: balanceo de carga, firewalling, monitorización
58
de la red, IPS, encriptación etc. También es la capa donde recae toda la carga de eliminación
de bucles de nivel 2.
Por todo ello, es vital dotar de escalabilidad a esta capa. Esto se realiza dividiendo el nivel
en módulos, siendo cada uno de ellos una pareja de dos switches. Al implementar módulos
nuevos, es necesario aplicar protocolos de expansión de VLANs y de prevención de bucles,
para conseguir evitar tormentas de broadcast y bucles infinitos a lo largo de la
infraestructura. Estos protocolos, son STP para la evasión de bucles, y Rapid PVST+2 para
la expansión de VLANs.
2.9.3 CAPA DE ACCESO

Esta capa sirve para dar conexión física a los recursos de servidores. Trabaja en nivel de
enlace (L2), o incluso de red (L3) para implementar QoS3 desde esta capa, o permitir realizar
funciones básicas necesarias para los servidores, como pueden ser NIC Teaming 4,
clustering5, y limitar dominios de broadcast.
Este nivel, es el primer punto de sobresuscripción, ya que conduce el tráfico del servidor
hacia la capa de agregación. Los protocolos de STP de la agregación se extienden hasta este
nivel.
2
Rapid per VLAN Spanning Tree (Rapid PVST+) es una implementación actualizada del STP,
que permite crear una topología STP independiente para cada VLAN de manera rápida y eficaz.
3
QoS (Quality of Service): se trata de dar prioridad a clases de tráfico, para permitir el menor retardo y máxima
efectividad a la hora de encaminar tráfico de máxima prioridad, como puede ser VoIP, o streaming de vídeo.
4
NIC Teaming: asociación de NIC (Network Interface Card) para permitir la aportación de redundancia de
estas tarjetas y a la vez facilidad de extensión de VLANs entre switches.
5
Clustering: se trata de un grupo independiente de dispositivos que trabajan juntos, de la forma que se pueden
ver como un único sistema. Al contrario que la computación grid, cada nodo está programado para realizar la
misma tarea, controlado y organizado por software.
59
Para permitir la redundancia necesaria para un Tier IV, se reservan 3 puertos para cada
servidor, siendo lo normal, que cada uno de estos tres enlaces tenga una función específica:
producción, gestión y backup.
La topología de esta capa es una conexión triangular, aportando bucles que se resuelven con
la aplicación de STP. Este tipo de topología es la que se aplica por las siguientes razones:
 Extensión de VLAN – aporta la capacidad de agregar servidores en una VLAN

específica, sin importar del lugar físico en el que se coloque el servidor. Se trata de
una cualidad necesaria para un data center de alto rendimiento.
 Cumple los requisitos de servidores para permitir el NIC Teaming y el clustering.
 Resistencia – las topologías con bucles dan máxima redundancia de enlace.
Ilustración 13 Topología Triangular de Acceso [31]
60
Esta topología tiene la ventaja de poder utilizar los servicios de la agregación. Integrar estos
servicios de la capa superior en el acceso permite optimizar el espacio de racks utilizado y
su cableado, además de mejorar la gestión, la flexibilidad y escalabilidad global.
2.10 VIRTUAL SWITCHING SYSTEM (VSS)
VSS es un sistema de tecnología de virtualización que permite manejar diferentes switches

como si fueran un único switch lógico, mejorando las prestaciones de comunicaciones, la
eficiencia operacional y escalando la capacidad de ancho de banda [34].
Ilustración 14 Switching Tradicional vs VSS [34]
Los beneficios que conlleva esta tecnología en comparación con un diseño de capas 2 y 3
son variados, y se pueden agrupar en 4 categorías:
1. Aumento de la eficiencia operativa al simplificar la red y reducir los gastos

administrativos de los switches en un 50% como mínimo.
a. Al agrupar dos o más switches en uno lógico, se establece un único punto

de gestión, una sola dirección IP.
i. Establece redundancia, ya que son al menos, dos switches físicos.
61
ii. Elimina la necesidad de protocolos de ruteo de redundancia como

son HSRP y VRRP.
b. Multichassis EtherChannel (MEC): se trata de una tecnología de VSS con

múltiples rutas de nivel 2 que crea topologías simples sin bucles, lo que
elimina cierta dependencia del uso de Spanning Tree Protocol, aunque
todavía puede ser activado para evitar con toda la totalidad la creación de
bucles accidentales por parte de la configuración del usuario.
Ilustración 15 Comparativa de STP con MEC [35]
2. Aumento de comunicaciones sin falta de escalabilidad.
a. Los fallos de estados de interchassis resultan en ninguna desconexión de

las aplicaciones que se basan en la información de estado de la red como
pueden ser las tablas de reenvío, NetFlow, NAT (Network Address
Translation – protocolo utilizado para convertir direcciones IP privadas
62
en públicas y viceversa). El sistema de Switching Virtual elimina la

reconvergencia de los protocolos de los niveles de enlace y de red (L2 y
L3) si falla un switch que participa en el sistema virtual, resultando en la
recuperación de un switch virtual secundario determinado.
b. Utiliza la tecnología EtherChannel, nombre que da Cisco al protocolo

802.3ad de Agregación de puertos (PAgP). El protocolo se basa en unir
lógicamente dos, o más, enlaces físicos entre dos switches, de manera que
aunque se trate de varios cables físicos, a la hora de diseñar la red lógica
se tratan como si fuera un único enlace con un gran ancho de banda. Esta
tecnología se utiliza para la recuperación de enlaces determinados
pertenecientes al nivel 2. Esto, como la tecnología MEC, elimina la
dependencia del uso del protocolo Spanning Tree Protocol (STP) para la
recuperación de estabilidad de la topología ante caídas de enlace.
Ilustración 16 EtherChannel [35]
3. Escalabilidad del ancho de banda hasta 1.4 Tbps.
a. Permite NIC Teaming – agregación de enlaces basada en estándares de

tarjetas de interfaz de red de los servidores. Este “teaming” a lo largo de
los switches redundantes de un Data Center maximiza el rendimiento de
ancho de banda de los servidores y aumenta el número de componentes
(tarjetas de red NIC) estandarizados del centro de datos, a cambio de la
necesidad de configurar los mecanismos apropiados de los NIC de los
proveedores.
63
b. Activa todo el ancho de banda de nivel de enlace (L2) disponible a lo

largo de todos los switches redundantes de la configuración virtual, con
balanceo de carga equilibrado de forma automática. Este balanceo de
carga es equilibrado, y óptimo, porque se basa en información detallada,
información obtenida mediante parámetros de niveles de enlace, de red y
de transporte (l2, L3, y L4). Al contrario que el balanceo de carga basado
en VLANs que utilizan las configuraciones de Spanning Tree (STP).
c. Maximiza el rendimiento y la utilización de todos los puertos de

capacidad de 10 Gigabit Ethernet del switch virtual.
d. Conserva el ancho de banda:

i. Elimina las inundaciones unicast provocadas por el routing
asimétrico de los diseños de campus tradicionales.
ii. Optimiza el número de saltos del tráfico tanto interno, como el
tráfico dirigido al exterior, gracias a la utilización de
EtherChannel y MEC.
4. VSS se basa en la arquitectura de capas jerárquicas clásica (acceso, distribución,

y core).
a. VSS mejora la arquitectura clásica al simplificarla sin cambiar las

características fundamentales, resultando en la fácil adopción de esta
tecnología.
Como se ha explicado a lo largo de toda la documentación sobre VSS, esta tecnología se

basa, simplemente, en agrupar tanto enlaces físicos, como chassis enteros físicos, en uno
lógico. La siguiente imagen ayuda a comprender e ilustrar esta idea.
64
Ilustración 17 Red Física y Red Lógica conseguida a través de VSS [35]
Esta configuración virtual de switching se despliega a lo largo de toda la arquitectura de red

del centro de datos. Donde mejor se ve desplegada esta tecnología es en la conexión entre
las capas de distribución y el core del centro que gestiona toda la red del data center [35].
65
Ilustración 18 Arquitectura por Capas simplificada con VSS [34]
2.11 DISEÑO DE SWITCHING
En un Data Center, existen muchos servidores que conectar entre sí, y la red necesita ser
suficientemente flexible para soportar esta capacidad de computación que proporcionan los
servidores [31] [36].
Los dos diseños de red más populares son Top of the Rack (TOR a partir de ahora) y End of
the Row (EOR). Como es de esperar, cada uno tiene una serie de ventajas y desventajas con
respecto al otro modelo de diseño [37].
66
2.11.1 TOR
Este tipo de diseño se trata de colocar switches de nivel 2 (capa de acceso en el diseño
jerárquico de switching) en cada rack, y conectar todos los dispositivos de dicho rack a este
switch. Después, todos los switches de cada rack son conectados a un switch más potente,
de la capa de distribución del diseño jerárquico.
Ilustración 19 Diseño Top Of the Rack [37]
Dentro de las características, se encuentran las siguientes:
1. La complejidad y el coste de cableado se minimizan.

2. En caso de que la capacidad de los racks sea pequeña, se puede utilizar un switch de
acceso para 2 ó 3 racks, aunque se empieza a romper la filosofía de este diseño.
3. En este tipo de diseño, se necesitan numerosos switches, y cada uno de estos necesita
ser gestionado de manera independiente. Esto hace que crezcan los costes iniciales
(es necesario disponer de más switches) y los costes de mantenimiento (cada switch
se maneja de manera individual).
4. Es muy probable que no se aproveche al 100% el rendimiento de cada switch de
acceso, ya que es difícil proporcionar el número de puertos exactos de cada rack. No
aprovechar todos los puertos del switch conlleva también el no aprovechar al 100%
el potencial del suministro eléctrico, del enfriamiento y de la seguridad física
instalados.
67
5. La escalabilidad dentro de cada rack se complica, ya que si los puertos del switch
están ya utilizados, se tendría que adquirir un nuevo dispositivo.
2.11.2 EOR
En este tipo de diseño, cada servidor es conectado directamente a un switch de distribución.

Normalmente – y como el nombre indica – existe un switch por cada fila de racks. Este
switch se trata de un chasis modular en el que se van apilando módulos.
Ilustración 20 Diseño End Of the Row [37]
Las características de este diseño son las siguientes:
 Gracias al tipo de switch que se maneja en esta configuración, se permite con

facilidad la escalabilidad, ya que si es necesario, es fácil añadir tarjetas de línea en
estos switches.
 Los switches chasis tienen alta disponibilidad, gracias a que la mayoría de
componentes críticos (suministro eléctrico, ventilación, unidades de control etc) se
instalan de manera redundante, siendo tolerante a fallos.
 El despliegue de servidores se decide sin ninguna restricción de número de servidores
por rack. Esto permite distribuir los switches de manera más equilibrada.
 Se reduce drásticamente el número de puertos de switch inutilizados, y también los
costes iniciales y de mantenimiento, debido a que se necesitan menos switches.
68
 Debido a que en este diseño los servidores son conectados directamente al switch de
distribución, la latencia disminuye. Se trata de un punto a tener muy en cuenta si los
tiempos de respuesta son vitales.
 El coste del cableado aumenta considerablemente, ya que se necesitan más metros
de cable, y además se necesitan cables de alto rendimiento que conecten los
servidores con el switch.
2.12 PROTOCOLOS UTILIZADOS
En esta sección, se procede a explicar en detenimiento los protocolos más importantes que
son necesarios para diseñar la red de la sala de ordenadores del centro. Es decir, protocolos
de switching (nivel de enlace, o L2 del modelo OSI), y de routing (nivel de red, o L3 del
modelo OSI).
2.12.1 PROTOCOLOS DE NIVEL DE ENLACE (L2 – SWITCHING)
2.12.1.1 VLANs
Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para
crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden
coexistir en un único conmutador físico (Switch L3, router) o en una única red física. Son
útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la
red.
El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo de
trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples redes
compartir de forma transparente el mismo medio físico, sin problemas de interferencia entre
ellas (Trunking). Todos los dispositivos de interconexión que soportan VLAN deben seguir
la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administración de
redes virtuales.
69
No se etiquetan con el ID de VLAN cuando se envían por el trunk. Y en el otro lado, si a un

puerto llega una trama sin etiquetar, la trama se considera perteneciente a la VLAN nativa
de ese puerto [38].
2.12.1.2 Switch Virtual Interface - SVI

Esta interfaz virtual es una interfaz lógica (no física) del switch o router, que representa a
una VLAN o un grupo de VLANs en la electrónica. No existe ninguna interfaz física para la
VLAN, y el SVI proporciona una funcionalidad de procesamiento de paquetes de nivel 3,
para todos los puertos del switch que están asociados a dicha VLAN.
El mapeado de las VLAN y los SVI se realiza de manera una a una, es decir, una VLAN
puede pertenecer solo a un SVI dentro de cada switch, pero, un mismo SVI de un switch
puede valer para múltiples VLAN. Por defecto, se crea automáticamente una SVI para la
VLAN nativa, para permitir la administración remota del switch o router.
Al configurar el SVI, esta interfaz virtual se tiene que asociar con los puertos físicos a los
que pertenece la VLAN asociada a dicho SVI.
Las razones por las que se configuran las SVIs para una vlan son los puntos a continuación:
 Proporcionar una salida por defecto para la VLAN, permitiendo así el

encaminamiento entre VLANs.
 Habilita el switching de VLANs incluso en el caso de la falta de existencia de
protocolos de ruteo.
 Permite procesar información en capa 3, en switches (un switch común procesa
información en las capas 1 y 2 sólo).
 Habilita la configuración de protocolos de encaminamiento. Este punto se podría
omitir, como consecuencia del anterior punto, pero debido a la importancia que
tienen los protocolos de routing, es necesario mostrarlo como otra razón más.
Las razones anteriores conllevan una serie de ventajas, a la hora de encaminar tráfico de red
dentro de la misma organización. Estas ventajas son:
70
 Encaminamiento más rápido que en un router. La lógica de enrutamiento la realiza

el hardware (mediante puertas lógicas) en vez de vía software.
 Elimina la necesidad de implantar routers en las capas de switching de acceso y de
distribución / agregación.
 Aumenta el ancho de banda gracias a que facilita el uso de EtherChannel.
 Como consecuencia de todas las ventajas anteriores, la latencia baja
considerablemente [39].
2.12.1.3 VTP – VLAN Trunking Protocol

Debido a que este protocolo se utiliza en modo transparente, su descripción va a ser breve,
detallando sólo lo necesario para que se comprenda el modo en el que se utiliza.
Este protocolo permite al administrador de la red configurar un solo switch, y éste será el
encargado de propagar las configuraciones de la VLAN hacia el resto de switches.
Los modos de VTP en los que se puede configurar un switch son los siguientes:
 Servidor: son los encargados de publicar la información VLAN del dominio VTP al
resto de switches del mismo dominio. En este tipo de switches es donde se crean, o
eliminan, las VLANs.
 Cliente: este tipo de switch configura sus VLANs según la información que le llega,
y a su vez, publica la información que le llega.
 Transparente: este modo hace que el switch simplemente reenvíe la información que
le llega, sin aplicar esa información a su configuración de VLANs.
2.12.1.4 STP – Spanning-Tree Protocol

Para empezar, se procede a explicar qué es una BPDU. Bridge Protocol Data Units (BPDU)
son frames que contienen información sobre STP. Los puentes/switches mandan BPDUs
usando una única dirección MAC desde su puerto original y una dirección multicast como
MAC destino.
71
Es un protocolo diseñado para prevenir bucles en redes de switching, basado en el concepto

de puente raíz.
Cuando existen varias rutas entre dos dispositivos en la red y STP se ha deshabilitado en los
switches, puede generarse un bucle de Capa 2.
Las tramas de Ethernet no poseen un tiempo de existencia (TTL, Time to Live) como los
paquetes IP que viajan por los routers. En consecuencia, si no finalizan de manera adecuada
en una red conmutada, las mismas siguen rebotando de switch en switch indefinidamente o
hasta que se interrumpa un enlace y elimine el bucle.
Si STP está habilitado en estos switches, que es lo que está predeterminado, el bucle de Capa
2 puede evitarse.
Pasos para Realizar STP:
1. Elegir switch Raíz (aquél con el menor prioridad, y en caso de empate, el de la MAC
menor).
2. Todos los demás switches seleccionan un puerto raíz, y el resto bloqueados.
Estados de Puerto:
Se trata de los estados por los que pasa (en orden) un puerto que ejecuta STP.
1. Blocking: no aprende direcciones. Recibe y envía BPDU.

2. Listenning: no aprende direcciones. Recibe y envía BPDU. Tras 15seg pasa a
Learning.
3. Learning: recibe y envía BPDU. Aprende direcciones.
4. Forwarding: 72envía BPDU a dispositivos L2. Continúa aprendiendo direcciones.
Mejoras de STP
 Etherchannel: Permite la agrupación lógica de varios enlaces físicos Ethernet, esta

agrupación es tratada como un único enlace y permite sumar la velocidad nominal
de cada puerto físico Ethernet usado y así obtener un enlace troncal de alta velocidad.
 UDLD – UniDirectional Link Detection: Se trata de un protocolo L2 para
monitorizar la configuración física de los cables y detectar enlaces unidireccionales.
Es un complemento de STP para eliminar bucles de switching.
72
 QinQ: Q-in-Q permite segregar el tráfico de diferentes clientes, mientras le sigue

dando todo el rango de VLANs. Esto lo consigue insertando múltiples etiquetas
VLAN dentro de un mismo frame.
Debido a que se incluyen múltiples etiquetas, la MTU debe ser mayor que antes.
Es posible que el tráfico de varios clientes se mezclen en la red del mismo proveedor,
por lo que la solución consiste en asignar un rango de IDs de VLANs único para cada
cliente.
La etiqueta exterior contiene el ID de la VLAN de acceso del cliente (SP) y la etiqueta
interna tiene el ID de la VLAN del tráfico (cliente).
 Portfast: habilitar esta característica en un puerto causa que dicho puerto pase
directamente a estado de forwarding, saltándose los estados de escucha y aprendizaje,
permitiendo así una convergencia más rápida de la red.
2.12.1.5 IS-IS
Se trata de un IGP para rutear dentro de un AS. Es un protocolo de estado de enlace, similar
a OSPF. Los protocolos de estado de enlace tienen ciertas ventajas sobre los basados en
vector-distancia. Tienen convergencia más rápida, soporta redes de mayor tamaño y son
menos susceptibles a bucles. Las características de IS-IS son:
 Routing jerárquico
 CIDR
 Inundación rápida con información nueva
 Rápida convergencia y muy escalable
 Timer fácilmente cambiable.
Es un protocolo de capa 2 (los paquetes se encapsulan en la capa de enlace) con una jerarquía
de dos niveles. Un dominio grande puede ser dividido administrativamente en áreas. Cada
sistema se encuentra en un área. Se refiere routing de nivel 1 al encaminamiento dentro de
un área; entre distintas áreas es routing de nivel 2.
Cuando un router de un área quiere mandar un paquete a un destino de otra área, el router le
manda el paquete al router de nivel 2 más cercano que tenga, da igual el área destino. Este
segundo router es el que se encarga de encaminar hacia la otra área.
En una LAN, se denomina como DIS (similar al DR en OSPF) al router con la prioridad más
alta (en caso de empate, la MAC más alta).
73
Un dominio de routing de IS-Is es similar a un AS de BGP. Se trata de una colección de

áreas bajo una administración que establece políticas de ruteo.
Backbone
IS-IS no tiene un área 0 como OSPF, esta área backbone es una colección de routers de nivel
2 contiguos, y cada uno de estos routers puede estar en un área diferente. Tiene que ser de
nivel 2
Áreas
Con IS-IS, un router de nivel 1 está en una sola área. Y la frontera de áreas se encuentra en
el enlace que une dos routers de áreas diferentes (un router está solo en 1 área). En contraste
con OSPF, en el que la frontera se encuentra en los ABRs. La razón para esto es que un
router IS-IS tiene una única dirección NSAP (Network Service Access Point) y un router IP
tiene múltiples direcciones IP.
Routers nivel 1
Este tipo de router solo conoce la topología de su propia área y tiene vecinos de nivel 1 ó
nivel 1-2. Contiene una BBDD de estado de enlace con toda la información de
encaminamiento intra-area. Utiliza el router de nivel 2 más cercano para encaminamiento
externo; puede resultar en encaminamiento no óptimo.
Routers nivel 2
Este router puede tener vecinos en su área y en áreas distintas, y tiene una BBDD de estado
de enlace con información para el encaminamiento inter-area. No tiene información de su
propia área. Si todo el tráfico del área es sólo IP, todos los routers pueden ser configurados
de nivel 2.
Routers nivel 1-2
74
Estos tienen vecinos en cualquier área. Tienen dos BBDD de estado de enlace: la de nivel 1
para intra, y la de nivel 2 para inter área.
Un router 1-2 enviará las subredes sumarizadas de nivel 1 al nivel 2. Si el router tiene
adyacencias con otras áreas, informa a los routers de nivel 1 que es un punto de salida
potencial.
En IS-IS, todas las áreas son stub, aunque a partir de la versión 12.0 de Cisco IOS, se ha
creado una especie de NSSA para IS-IS.
Ilustración 21 Tráfico entre áreas IS-IS [40]
Direcciones NSAP
NSAP es la dirección de capa de red para los paquetes CLNS. Una NSAP describe un
acoplamiento a un servicio en la capa de red de un nodo, similar a la combinación de
dirección IP y número de protocolo IP.
75
Ilustración 22 Direcciones IS-IS [40]
2.12.2 PROTOCOLOS DE NIVEL DE RED (L3 – ROUTING)
2.12.2.1 RIP – Routing Information Protocol

Es un protocolo de vector distancia. Esto quiere decir que escoge la mejor ruta basándose en
el número de saltos que existe entre el router y el destino.
La mayor ventaja que existe de este protocolo, es su sencillez y facilidad a la hora de

implementarlo.
En su contra, es que tiene una convergencia lenta, y tiene una escalabilidad limitada.
Como se acaba de explicar, la métrica utilizada se trata de saltos. El máximo número de

saltos son 15, 16 es equivalente a infinito. (Una red conectada directamente al router tiene
una métrica de 0 saltos).
Existen dos versiones de este protocolo:
 RIP V1 envía las actualizaciones mediante broadcast (todos los terminales reciben
las actualizaciones), no permite máscaras.
76
 RIP V2 utiliza multicast (reduce tráfico, ya que ahora sólo los routers reciben la
actualización), permite las máscaras, las actualizaciones se autentican mediante
MD5.
¿Cuándo usar RIPv2?
Cuando se necesitan: soporte de máscaras de subred, reducir la carga de tráfico de broadcast,

actualizaciones validadas y en sistemas de multiproveedores.
2.12.2.2 EIGRP - Enhanced – Interior Gateway Routing Protocol.

Es un protocolo de enrutamiento de vector distancia avanzado, propiedad de Cisco. Es un
protocolo más avanzado que RIP, permite más escalabilidad, con actualizaciones cada 90
segundos, una convergencia extremadamente rápida y fácil de configurar.
Todas estas características se deben a que utiliza una métrica compuesta que ofrece las
ventajas de vector distancia y de estado de enlace. Para calcular la ruta óptima se basa en el
peso administrativo, el ancho de banda, el retardo, la confiabilidad y la carga del enlace.
2.12.2.3 OSPF – Open Shortest Path First

Este protocolo de ruteo tiene una rápida convergencia, con máscaras de subred de longitud
variable, permite la configuración entre subredes no contiguas, no tiene actualizaciones
periódicas (lanza actualizaciones cuando ocurren cambios), autenticación de ruta.
Todos los routers del área intercambian LSPs (Link State Packets). Una vez que se llena la
base de datos del router y se elige la mejor ruta, se llena la tabla de rutas.
Tiene una convergencia rápida y soporta CIDR, VLSM, autenticación (med5), multipath.
Cada cambio en la red, genera un LSA (Link-State Advertisement). Estos LSA’s se

intercambia via MAC por multicast para mantener las BBDD de todos los routers
actualizadas. En estados estables, el protocolo se mantiene relativamente ‘callado’.
Base de datos de Tolopología / Estado de Enlace
77
Cada router tiene una BD para cada área a la que pertenece. Y todos los routers de la misma
área tienen BBDD idénticas.
El algoritmo SPF se realiza de forma separada para cada área. La inundación de LSA tiene
como límite el área. Además, el ID de cada router es único para el dominio OSPF.
o ID de Router
Cada router es identificado por un ID único. El ID es la dirección de loopback más alta del
router, en caso de no existir ninguna dirección de loopback, se coge la dirección IP más alta
de los interfaces físicos.
o Áreas
Cada área es definida con un número de 32 bits, con un formato parecido al de las direcciones
IP.
El área 0.0.0.0 es siempre el backbone, a la cual se tienen que conectar todas las áreas [40].
Tipos de Routers
o Routers internos
o Routers backbone
o Routers de borde de área
o Routers de borde de AS (ASBR)
78
2.12.2.4 Multicast
Las comunicaciones IP tradicionales permiten mandar un paquete a un unico destino
(unicast), o a todos los equipos de la LAN (broadcast). Multicast añade una tercera opción:
mandar paquetes a un subconjunto de hosts de la red.
79
Esto en un CPD es útil, ya que es posible que los switches, firewalls y demás dispositivos de
la red de comunicaciones solo se quieran comunicar con un grupo de dispositivos.
Multicast IP es una tecnología que reduce el tráfico mediante el envío de un único flujo de
información que puede ser recibido por miles de destinatarios. Las aplicaciones que utilizan
este protocolo son: videoconferencia, comunicaciones corporativas, distribución de
software, noticias etc.
Ilustración 24 Ejemplo de comunicación multicast [41]
Concepto de Grupo Multicast
En la imagen anterior, los destinatarios (el grupo Multicast designado) están interesados en
recibir la información de la fuente. Para indicar este interés, mandan un mensaje IGMP
(Internet Group Multicast Protocol) a los routers de la red. Estos routers utilizan PIM
(Protocol Independent Multicast) para crear el árbol de distribución Multicast.
Multicast se basa en el concepto de grupo. Un grupo Multicast es un grupo de destinatarios

que expresan un interés en recibir un flujo de datos particular. Este grupo no tiene límites
físicos ni geográficos. Los hosts interesados deben meterse en el grupo usando IGMP.
Internet Group Management Protocol (IGMP)
IGMP se usa para registrar dinámicamente los host individuales dentro de un grupo multicast
en una LAN particular. Los host identifican la afiliación al grupo mediante mensajes IGMP
80
al router local. Los routers escuchan los mensajes IGMP y mandan periódicamente sondas
para descubrir qué grupos están activos o inactivos en una subred.
Árboles de distribución Multicast
Los routers Multicast crean arboles de distribución que controlan el camino que sigue el
tráfico Multicast a través de la red. Los dos tipos básicos de árboles de distribución con los
source tres y los shared trees.
 Source Trees
Es la forma más simple de los árboles de distribución. La raíz en el origen y las ramas forman
un STP a través de la red hasta los receptores. También se conoce como Shortest Path Tree
– STP (porque utiliza el algoritmo SPF).
Ilustración 25 Ejemplo de árbol SPT [41]
La anotación especial (S,G) enumera un SPT donde S es la dirección IP del origen y G es la

dirección Multicast del grupo. En la imagen anterior, la anotación sería (192.168.1.1 ,
224.1.1.1).
81
 Shared Trees
Al contrario que los Source Trees, que utilizan el host origen como raíz, los Shared Trees
utilizan un router de un punto de la red, conocido como Rendezvous Point (RP).
En la siguiente imagen, se muestra un árbol para el grupo 224.2.2.2 con la raíz en el router
D. Este árbol es unidireccional. El tráfico de origen es enviado hacia el RP, y desde éste
hacia los receptores (a no ser que el receptor esté en el camino desde el origen hacia el RP).
Ilustración 26 Ejemplo de árbol compartido [41]
En este ejemplo, Multicast de ambos hosts, A y D, es enviado hacia el router D (RP) y

después enviado hacia los destinos. Debido a que todos los orígenes de este grupo comparten
la misma raíz, la notación es (*,G) donde en este caso la notación sería (*,224.2.2.2).
Comparativa:
 Source Trees utilizan más memoria, pero se escogen caminos óptimos -> minimiza
el retardo.
 Shared Trees utilizan menos memoria, pero es posible que no sean caminos
óptimos.
82
Protocol Independent Multicast (PIM)
PIM aprovecha los protocolos que se utlizan para rellenar la tabla de rutas unicast. PIM
utiliza esta información para realizar las funciones de reenvío multicast. A pesar de que se
denomina un protocolo de ruteo multicast, utiliza la tabla de rutas unicast para llevar a cabo
el chequeo RPF en vez de construir su propia tabla. Este protocolo no envía actualizaciones
entre routers.
Los modos de PIM existentes son:
 PIM Dense Mode (PIM-DM) utiliza ruteo multicast denso. Construye implícitamente
Source trees inundando el dominio con tráfico multicast, y después corta las ramas
del árbol de donde no existen receptores. Este método es muy sencillo, pero no
escalable.
 PIM Sparse Mode (PIM-SM) Construye explícitamente árboles Shared Trees
unidireccionales para cada grupo, y, opcionalmente, crea Source Trees por cada
origen. Inicialmente, la fuente le indica mediante unicast al RP que desea iniciar una
transmisión. Comienza a transmitir y el RP le va enviando esos paquetes a los
receptores. Si el RP que dicha fuente no emite de una manera puntual sino que tiene
una emisión prolongada y estable, y dependiendo de su configuración, tratará de
modificar el árbol hacia un SPT, es decir, un source tree. Es el diseño más usado ya
que no se suele tener muy claro a priori la forma del árbol a crear.
 Bidirectional PIM (Bidir-PIM) construye árboles bidireccionales. Es similar al PIM-
SM solo que éste nunca construye Source Trees, por lo que puede tener más retardo
pero es más escalable ya que no necesita estados específicos del origen.
 PIM Source-Specific Multicast (PIM-SSM) contruye árboles que tienen raíz en un
único origen. Construye Source Trees directamente. Ofrece un modelo más seguro y
escalable para un número limitado de aplicaciones [38] [41].
2.12.2.5 SNMP
El comité de actividades de internet (IAB) recomienda que todas las implantaciones de
TCP/IP sean gestionables. Para llevar a cabo esta gestión, recomienda la utilización de
estándares de gestión como son SNMP, o CMIP/CMIS.
83
El más utilizado es SNMP. Los elementos estandarizados por el TCP/IP son:
 Objetos gestionados.
 Protocolo de comunicación gestor-agente
 Estructura de la información de gestión
El desarrollo de SNMP se llevó a cabo mediante la creación de grupos de trabajo encargados

de las siguientes tareas:
 Definición de los objetos importantes para la gestión de los distintos nodos. El

conjunto de estos objetos forman la denominada ‘Base de datos de Información de
Gestión’ o MIB.
 Definición de la ‘Estructura de la Información de Gestión’ o SMI.
 Definición del protocolo de comunicación agente-servidor o SNMP.
Los principales objetivos de la arquitectura de gestión SNMP fueron los siguientes:
 Desarrollo de un protocolo sencillo, con un número reducido de funciones realizadas

por el agente.
 La gestión de los nodos de la red se realiza primariamente mediante sondeos desde
las estaciones gestoras (NMS) en los que se consultan o manipulan los objetos
(variables) interesantes para la gestión. Estos sondeos implican un dialogo entre el
gestor y el agente SNMP situado en dicho nodo. El número de objetos gestionables
no debe ser muy elevado y además su manipulación no debe de entrañar un peligro
para la estación.
 Se permite que los agentes puedan enviar mensajes no solicitados a la NMS cuando
se detectan determinadas situaciones. Se tratara de minimizar el número de estos
mensajes no solicitados o traps en terminología SNMP.
 A pesar de su simplicidad, SNMP debe ser flexible para poder recoger aspectos no
anticipados que puedan aparecer con posterioridad.
 La arquitectura de gestión debe ser independiente del sistema operativo o de la
arquitectura de hardware de la estación gestionada.
84
 No se permiten mandatos imperativos que provoquen la ejecución de acciones por

los agentes. Si fuese necesario, pueden definirse variables que al ser modificado su
valor, producen la ejecución de una determinada acción, por ejemplo, la realización
de un test de funcionamiento [42].
La arquitectura básica de gestión SNMP es la siguiente:
Ilustración 27 Estructura básica de SNMP [42]
2.12.2.6 RMON
La gestión SNMP estándar, la iniciativa está en manos del sistema gestor, excepto para la
emisión de las pocas alertas definidas.
Para obtener un conocimiento actualizado de la situación de un determinado elemento de la

red TCP/IP se necesita que el gestor realice un sondeo activo y periódico del agente
correspondiente que le proporcione la información necesaria.
 El sondeo produce tráfico elevado entre gestor y agentes.

 Los objetos MIB proporcionan información sobre el sistema gestionado, sus
adaptadores, el tráfico que generan, errores, tablas, configuración, etc. pero no sobre
la red.
 No se puede conocer la ocupación de la red Ethernet, su tráfico, su tasa de errores,
etc.
85
El gestor, adicionalmente, deber realizar el proceso continuo de la información recibida de

todo sus agentes con lo que su carga puede llegar a ser muy elevada.
Todo el sistema de actuación requiere que la comunicación entre el agente-gestor esté

permanentemente activa. Un fallo temporal de ésta imposibilita la supervisión del elemento
o elementos afectados.
Por ello, se estandarizó una función de supervisión remota para SNMP denominada Remote
Monitoring (RMON). El sistema puede monitorizar redes Ethernet, Token Ring, etc.
Con RMON se obtiene información sobre la operación del propio segmento de red en lugar
de obtener información sobre el sistema que contiene el agente.
RMON se basa en un agente situado en un elemento conectado directamente al segmento de

red que se quiere supervisar y que realiza localmente las principales funciones de control sin
necesidad del diálogo continuo con el gestor.
El RMON realiza las siguientes funciones:
 Supervisión activa y continua de cualquier segmento de red de los tipos soportados.

Como resultado de la monitorización pueden almacenarse los datos tanto de
muestreos como históricos.
 Definición de las condiciones de error en la red que deben ser vigiladas
continuamente por el agente para su notificación al gestor cuando se produzcan.
También puede producirse un registro de errores.
 Conocimiento de las estaciones TCP/IP conectadas al segmento supervisado con
obtención de sus principales estadísticas de tráfico.
 Captura de paquetes transmitidos a través de la red y que cumplan determinadas
condiciones que se especifican.
 Toda esta monitorización puede seguir realizándose aunque no exista comunicación
agente-gestor por problemas de fallos, carga en el gestor o coste de las
comunicaciones.
86
2.12.3 TRILL – TRANSPARENT INTERCONNECTION OF LOTS OF LINKS

Se trata de un estándar de la IEFT que combina las técnicas de switching y de
encaminamiento, y es la solución para el encaminamiento por estado de enlace en las
configuraciones con VLANs. Los switches que se configuran con este estándar pasan a
llamarse RBridges [38] [43].
Los RBridges utilizan un protocolo de estado de enlace (IS-IS normalmente). El uso de un

protocolo de ruteo sirve para que un switch conozca a todos los switches de la configuración,
y la conectividad entre ellos, permitiendo de esta manera encontrar los caminos óptimos para
unicast, y calcular los árboles de distribución utilizados para los grupos multicast.
Se utiliza IS-IS como protocolo de estado de enlace por las siguientes razones:
 Se trata de un protocolo de nivel 2, por lo que no es necesario configurar direcciones

IP a los puertos de los switches.
 Su implementación es fácil de extender entre los switches.
Al configurar todos los switches como RBridges, se elimina la necesidad de utilizar STP, ya
que se crea una ’nube’ de switches interconexionados parecida a las redes MPLS. Esto
permite el máximo uso del ancho de banda a la vez de aportar estabilidad a la configuración.
87
Ilustración 28 Nube de RBridges de TRILL [43]
2.12.4 MPLS VPN

MPLS VPN se trata de un conjunto de protocolos de L2 y L3, pero actúa en la capa de enlace
(L2), por estas razones se ha creado una sección propia para ello, en vez de introducirlo en
la sección de nivel de red, o de nivel de enlace.
Para poder entender bien lo que es una red MPLS VPN, es necesario primero entender las
características básicas de una red MPLS, y las de un enlace VPN [44].
2.12.4.1 MPLS
MPLS significa “Multi Protocol Label Switching”. Como mejor se resume es como “un
protocolo de red de nivel 2,5” [45].
En el modelo OSI tradicional, en la capa 2 se encuentran protocolos que transportan paquetes

IP pero solo dentro de LANs o enlaces WAN punto a punto.
La capa 3 cubre el direccionamiento de internet y el ruteo utilizando protocolos IP.
88
MPLS se encuentra entre estas dos capas tradicionales, proporcionando características

adicionales para el transporte de datos a través de la red.
En una red IP tradicional cada router determina el siguiente salto mediante su tabla de
rutas, y reenvía el paquete. Cada router repite el proceso de manera individual e
independiente hasta llegar al destino final.
En MPLS el primer dispositivo realiza un ruteo parecido al anterior, pero esta vez, en vez
de encontrar un siguiente salto, encuentra el router destino, y encuentra un camino
predefinido desde este dispositivo hacia ese router final.
El router aplica una etiqueta basándose en esta información, y los routers futuros utilizan
esta etiqueta para encaminar el tráfico (sin necesidad de búsquedas IP adicionales).
El router destino quita esta etiqueta y lo direcciona al host final mediante el routing IP
tradicional.
2.12.4.2 VPN
Una Virtual-Private-Network se trata de un enlace virtual punto-a-punto entre dos routers de
diferentes redes.
Las VPN reemplazan enlaces punto a punto con links emulados de punto a punto,
compartiendo una infraestructura común. Los clientes utilizan VPN principalmente para
reducir costes.
89
Circuito Emulado
Ilustración 29 Circuito virtual emulado para el uso de VPN [45]
A la hora de implementar una VPN, existen dos maneras maneras diferentes:
 Overlay VPN: el proveedor proporciona un enlace virtual punto a punto (el cliente
se encarga del resto):
El routing en esta tecnología se hace directamente entre routers del cliente (el next
hop de un punto de la VPN es el siguiente router del cliente). El proveedor solo es
responsable del transporte de datos de un punto a otro.
Se trata de una tecnología fácil de implementar, en la que el proveedor no participa

en el routing, por lo que las redes del cliente están bien aisladas. Pero esto hace que
para un routing óptimo se requiera una malla completa en los circuitos virtuales, y se
tienen que hacer de manera manual.
 VPN P2P: el proveedor participa en el routing del cliente. Requiere

direccionamiento público. Los routers internos del proveedor mantienen las rutas
para todas las VPN de clientes.
Garantiza un routing óptimo, es escalable. Aunque el proveedor tiene que participar

en el routing del cliente, y son responsables de la convergencia. Que el proveedor
participe significa que este tiene que saber al detalle el direccionamiento IP del
90
cliente, y además un router del proveedor contiene todas las rutas de todos los
clientes.
2.12.4.3 MPLS VPN

Esta manera combina los beneficios de ambos modelos de VPN (la seguridad de overlay y
el routing de P2P). Los routers PE solo tienen rutas de las VPN que pasan por él. MPLS se
encarga del reenvío (no del routing) de paquetes, por lo que el enrutamiento completo dentro
del backbone ya no es necesario.
Una VPN es una colección de sitios que comparten una información de enrutamiento, pero
un sitio puede pertenecer a más de una VPN.
Tipos de Routers Utilizados
 CE: Customer Edge. Se trata del router del cliente que se conecta con la red del ISP.
 PE: Provider Edge. Es el router del proveedor de servicios que se conecta con el
cliente. Es el encargado de colocar las etiquetas. Y también de quitarlas en el otro
extremo, antes de reenviar los paquetes hacia el otro CE del cliente.
 P: Provider. Es un router que se encuentra en el mallado MPLS. Se encarga
simplemente de realizar el label-switching para que el tráfico circule a través del
mallado.
Los routers mantienen tablas de rutas separadas:
 La tabla de rutas global

 VRF: tabla asociada con uno o más sitios conectados directamente. VRF se asocia
con cualquier interfaz (físico o lógico). Estas interfaces comparten VRF si los sitios
comparten la misma información de enrutamiento.
¿Cómo comparten los routers PE la información de enrutamiento del cliente?
Se ejecuta un único protocolo de routing que lleva todas las rutas del cliente entre los PE. Se
utiliza MPLS para intercambiar paquetes entre los PE. Debido a que esta información de
91
ruteo puede ser muy grande, se utiliza BGP. Las direcciones de cada cliente deben ser únicas
dentro del circuito virtual.
Flujo de Tráfico en la red
El router frontera del cliente (CE Router) proporciona información de enrutamiento IPv4.
Los routers PE instalan esta información en la tabla VRF apropiada. Después, exportan y
propagan las rutas como rutas VPNv4 hacia otros routers PE.
Los routers P hacen switching MPLS (etiquetas) [45].
Ilustración 30 Comunicaciones en una red MPLS VPN [45]
92
2.13 CABLEADO
Uno de los puntos con más potencial de error humano es a la hora de realizar el cableado de
la sala de ordenadores, tanto conexiones entre servidores y switches, como switches entre sí,
etc.
2.13.1 CABLEADO INCORRECTO
Un mal cableado, puede provocar numerosos problemas. Colocar el cableado en una mala
ubicación puede restringir la circulación del aire, un punto vital para el correcto
funcionamiento de los componentes electrónicos. Restringir la circulación de aire quiere
decir que los dispositivos no se refrigerarán de forma correcta, acarreando posibles fallos o
caídas de equipos [31].
Otro problema de un mal cableado ocurre cuando no se cablea con de forma estructurada, ni
se gestionan bien los grupos de cables. Llevar un mal orden de cableado implica no poder
trazar los extremos del cableado, es decir, no saber qué cable conecta dos dispositivos,
llevándolo a un posible problema a la hora de resolver asuntos de gestión de red, provocando
un contratiempo.
Ilustración 31 Ejemplo de cableado incorrecto [46]
93
2.13.2 CABLEADO ESTRUCTURADO
El cableado estructurado debe tener unas exigencias de calidad de alto nivel. Las razones
por las cuales el cableado estructurado es un punto de gran responsabilidad en un centro de
datos son las siguientes:
 Ahorro de tiempo a la hora de detectar fallas. Un buen cableado, con un correcto

etiquetado, y documentado, reduce el tiempo de detección de fallas hasta en un 75%.
 Garantía de conectividad. La red local es de suma importancia para el correcto
funcionamiento de las instalaciones.
 Garantía de ancho de banda entre terminales. La distancia máxima posible de una
conexión por fibra de alta capacidad es de varios cientos de metros, pero el problema
se encuentra en las conexiones por cobre, las cuales predominan en una sala de
ordenadores genérica. El cobre permite comunicaciones hasta un límite de 90 metros.
Por esto, es necesario tener en cuenta la distancia entre amplificadores de señal para
garantizar el ancho de banda óptimo [46].
94
ESTADO DE LA CUESTIÓN
3. ESTADO DE LA CUESTIÓN
Las diferentes formas de implementar un Centro de Procesamiento de Datos, como se ha
explicado en la introducción, son los diferentes niveles Tier que puede adquirir el centro.
Estos niveles van desde Tier I Bronze hasta Tier IV Gold.
Uptime Institute es mundialmente reconocido por la creación y administración de los

rigorosos estándares Tier y certificaciones que permiten a los CPDs cumplir sus objetivos
mientras mitigan los posibles riesgos.
Actualmente, Uptime Institute ha galardonado 703 certificaciones en 71 países del mundo.

Siendo 17 de ellos en España.
Naturalmente, el más simple se trata de un CPD Tier 1, utilizado por pequeñas compañías.
Las diferencias entre los distintos niveles son las siguientes:
 Tier 1: garantiza una disponibilidad de 99.671%. No tiene componentes redundantes

(enlaces y servidores únicos).
 Tier 2: garantiza una disponibilidad de 99.741%. Este sí que contiene componentes
redundantes.
 Tier 3: garantiza una disponibilidad de 99.982%. Aparte de tener redundancia,
también posee equipos con doble fuente de alimentación y múltiples enlaces.
 Tier 4: es el que más disponibilidad garantiza, siendo esta el 99.995%. Además,
incluye las características de un Tier 3, pero añadiendo que todos los componentes
son tolerantes a fallos, incluyendo entre estos: enlaces, almacenamiento,
enfriamiento, sistemas HVAC6, servidores etc. Además, todo posee doble fuente de
alimentación [18].
6
HVAC (Heating, Ventilating and Air Conditioning): Se trata de la tecnología utilizada para controlar
temperaturas y calidad de aire aceptables.
95
3.1 ¿QUÉ DEFINE A UN CENTRO DE DATOS TIER IV?
A continuación, se describen los puntos que se analizan a la hora de clasificar un CPD dentro
de los diferentes niveles Tier que impone el Uptime Instute.
 Disponibilidad garantizada del 99,995 % anual. Es decir, que durante todo un año
el único período de actividad que no está garantizado es de 26 minutos. Un peldaño
por debajo está la certificación TIER III, con una disponibilidad asegurada del 99,982
% (95 minutos anuales no asegurados).
 Refrigeración a través del suelo técnico. En cada una de las salas del Alcalá Data
Center encontramos este tipo de suelo, donde está instalado el cableado pero a través
del cual también pasa el aire que se ha reciclado del exterior y que sirve para
mantener frescas estas salas pese al calor que desprende cada uno de los equipos, a
una temperatura siempre monitorizada de entre 18 y 24ºC.
 Eficiencia energética medida como la relación entre energía recibida y energía
empleada en las salas IT. La relación óptima sería de 1. En un centro de datos TIER
IV está entre 1,2 y 1,4. En el Alcalá Data Center está entre 1,2 y 1,3.
 Escalabilidad viable pensada desde su construcción. El factor más importante es la
posibilidad de que el centro de datos pueda ampliar su capacidad eléctrica de forma
modular, sin precisar de obras completas que pudiesen requerir parar la actividad de
los equipos. El Alcalá Data Center está construido siguiendo esta premisa, "como un
LEGO" según sus creadores. Es fácil y rápido agregar nuevas cajas eléctricas.
 Redundancia, quizás el concepto en el que más han insistido los representantes del
Alcalá Data Center. De él depende gran parte de la seguridad de los datos y la
actividad de los equipos. Todas las salas deben tener duplicada la fuente de
alimentación eléctrica y mantenerse activas de forma independiente. Se calcula la
potencia total requerida y se duplica con un pequeño margen para asegurarse de que
el suministro nunca será un problema. También se duplican las redes de acceso a los
datos. Tanto si fallan ellas como si falla el suministro eléctrico por alguna razón, el
96
funcionamiento siempre estará garantizado con ese 99,995 % de disponibilidad

anual. Las condiciones físicas y climatológicas de España hacen que sea un poco más
sencillo alcanzar este nivel, ya que no es un país donde son habituales los terremotos
o los huracanes, por ejemplo.
La segunda certificación que se adjudica a los CPDs se trata de la sostenibilidad operativa

que posee el centro. Esta certificación se centra en la gestión, operaciones y mantenimiento
del centro en vez del diseño topológico. Los tres elementos principales de la certificación
son:
 Gestión y operaciones: la presencia del personal, su cualificación, programas de

mantenimiento etc.
 Características del edificio.
 Localización: riesgos a catástrofes naturales como terremotos, inundaciones etc.
Para este tipo de certificación, se adjudican tres niveles:
 Gold: potencial de tiempo actividad completo por parte de las instalaciones de la

infraestructura.
 Silver: existen algunas oportunidades de mejoras para conseguir todo el potencial de
la infraestructura.
 Bronze: existen numerosas oportunidades de mejora.
Existen sólo 8 CPDs con la certificación Tier IV Gold, estando 4 de ellos en España y se
encuentran en este selecto grupo los 2 CPDs de BBVA en Tres Cantos [18].
97
98
DEFINICIÓN DEL TRABAJO
4. DEFINICIÓN DEL TRABAJO
4.1 JUSTIFICACIÓN
En el apartado 1.1 Motivación del proyecto, se ha explicado del gran valor que aporta un
centro de datos a una gran entidad financiera.
Como se explica en el apartado Estado de la Cuestión, existen numerosos documentos sobre

buenas prácticas a la hora de construir un CPD, pero no se ha encontrado ningún documento
que explique al detalle cómo diseñar la sala más importante de un centro de datos (la sala de
ordenadores), ni cómo realizar las conexiones de la sala del centro de datos, así como las
partes, dispositivos y colocación de los mismos de esta sala.
Es por estas razones por las que se realiza este Trabajo de Fin de Grado, sobre el diseño de
un CPD, centrándose especialmente en la topología LAN de la sala de ordenadores.
4.2 OBJETIVOS
Los objetivos a cumplir durante el desarrollo de este TFG se tratan de:
 Explicar detenidamente el valor añadido de un Centro de Procesamiento de Datos

para una entidad bancaria.
 Explicación de la topología y conexiones de un CPD:
o LAN (Local Area Network): Se trata de la red de comunicaciones de
dispositivos conectados a la red del edificio.
o Seguridad: seguridad tanto lógica en el tema de las comunicaciones como
física del edificio.
o Conexiones con empresas: analizar las diferentes formas de conexión con
organizaciones externas.
99
 Explicar la importancia que tienen en la actualidad el Cloud Computing, su

convivencia con CPDs fiables y potentes, y el concepto de Cloud híbrida vital para
grandes compañías como BBVA, Santander o Telefónica.
4.3 METODOLOGÍA
Se pretende desarrollar un proyecto de “investigación” por lo que se procede a entender el

contexto del modelo y evaluar la implantación en una organización bancaria genérica.
A lo largo de la realización del proyecto, se hará uso de diferentes métodos de trabajo:
 Métodos empíricos: para la obtención de la información, como entrevistas o

investigación en diferentes fuentes de información.
 Métodos teóricos: para el análisis e interpretación de la información obtenida.
Por otro lado, a lo largo de la redacción de la memoria del Trabajo de Fin de Grado, se llevará
a cabo una metodología de planificación del trabajo “en cascada” ya que cada tarea de la
misma se completará tras la finalización de su fase de la planificación.
Como se observa en la Ilustración 32 Diagrama de Gantt, la planificación del proyecto se ha

dividido de manera secuencial entre los diferentes objetivos a cumplir.
Se realizará una entrevista por cada diferente sector topológico a estudiar, así como un
análisis y estudio de la información recopilada de cada entrevista y fuentes bibliográficas de
cada tema.
Además, se planifica una reunión de seguimiento con el director de proyecto cada dos
semanas.
La fecha de finalización del TFG es el 31 de mayo de 2015.
100
4.4 PLANIFICACIÓN Y ESTIMACIÓN ECONÓMICA
Ilustración 32 Diagrama de Gantt
101
Durante la etapa de recopilación y análisis de información, se hará uso principalmente de

información online (diferentes blogs, sitios web de información sobre la materia como puede
ser la web de Cisco (www.cisco.com), teoría de las asignaturas de Diseño y Gestión de
Infraestructuras I y II, y finalmente contrastar la información obtenida de esta forma con la
obtenida a partir de entrevistas con diferentes personas encargadas de las redes de
comunicaciones, almacenamiento y seguridad lógica del centro de datos de Tres Cantos de
BBVA.
Durante la etapa de planteamiento del modelo CPD a diseñar, se utilizarán herramientas de

simulación (como por ejemplo ‘Packet Tracer’ de Cisco) para simular el funcionamiento de
toda la infraestructura, herramientas de diseño de redes como Visio y Smart Drawer. Así
como documentación aportada por el departamento de Comunicaciones C&IB del banco.
A continuación, se lleva a cabo la estimación económica del proyecto. Los costes

económicos de este trabajo son: personal, software y hardware. Hay que destacar, que como
el proyecto se basa en las comunicaciones de redes de un CPD, se obvian los costes tanto
del edificio, como del suministro de potencia eléctrica y refrigeración.
 Coste Personal: el proyecto tiene una duración total de 5 meses, con una inversión
de 20 horas semanales. Por lo tanto, el número total de horas necesarias es de 400
horas aproximadamente. Este coste personal se divide en varios perfiles de trabajo:
o Director de proyecto: se trata de un trabajador experto en el área de
comunicaciones, con experiencia en diseño de data centers. Será el encargado
de realizar el análisis de requisitos, y asegurarse de que se cumplen los plazos
y los objetivos marcados. Esta persona realizó un trabajo de 10 horas, con un
coste de 60€/h. Por lo que los servicios prestados por este actor tienen un
valor de 600,00 €.
o Consultor junior de Telecomunicaciones: se trata del encargado de realizar
toda la carga del proyecto una vez definidos los requisitos y plazos por el jefe
de proyecto. Su trabajo será tanto de investigación del mercado, como
estudiar la colocación y configuración de los dispositivos de la sala de
102
ordenadores del CPD. Este actor trabajó 490 horas del proyecto, y el coste
por hora de este perfil de trabajo es de 40,26 €/h, por lo que el coste total de
este perfil es 19.727,40 €.
 Coste Software: en cuanto al software utilizado, la mayoría se trata de Open Source
con licencias gratuitas, a excepción de la aplicación ‘Visio Standard 2016’ para la
realización de algunos diagramas de red o topologías. El precio de este software es
329.75 €.
 Coste Hardware: esta sección se trata del apartado que necesita mayor inversión
económica, debido a que se parte de cero y se adquiere todo el hardware necesario.
Además, destacar que en este punto sólo se refleja el precio total de cada tipo de
hardware, debido a que en el capítulo 5 se justifica el número de unidades y el precio
unitario de cada dispositivo.
o 1 Ordenador HP EliteDesk 800 G2 con formato reducido: proporcionado por
BBVA, con un coste de 899.00 €.
o 70 Racks: 95.900,00 €
o 10 switches Nexus 7700 modulares: 3.634.000,00 €.
o 6 Balanceadores de carga: 151.800,00 €.
o 8 Firewalls: 135.192,00 €.
o 2 proxies: 41.000,00 €.
o 20 Servidores MainFrame de IBM z13s: 20.000.000,00 €.
o 20 Servidores MainFrame Oracle ExaData: 27.560.000,00 €.
o 51 HP Enclosures: 246.740,00 €.
o 408 servidores HP Blade 12.471.315,60 €.
o 788 metros Bandejas Rejiband: 39.400,00 €
o PatchPanel y cableado inteligente: 110.250,00 €.
El coste total del proyecto sumando todas las variantes asciende a 64.506.254,75 € sin IVA.
Al sumar los impuestos (21%), se queda un presupuesto final de 78.052.568,25 €. El
desglose del presupuesto se puede ver resumido en la siguiente tabla:
103
Tipo de Coste Coste Sin IVA Coste con IVA Total Sin IVA Total con IVA
Personal 20.327,40 € 24.596,15 €
Software 329.75 € 399,00 €
Hardware 64.486.496,60 € 78.028.660,89 €
Total 64.507.153,75 € 78.053.656,04 €
Tabla 2 Tabla de Presupuesto Económico
104
SISTEMA/MODELO DESARROLLADO
5. DISEÑO DEL CPD

En este capítulo, se procede a la descripción del proyecto desarrollado. Se detallan las
tecnologías que se han utilizado, y la forma en la que se han implementado.
Como en el capítulo 2, el orden que se va a llevar es desde fuera hacia dentro, es decir,
empezando por los elementos más globales y externos, y terminando por las secciones más
específicas de la sala de ordenadores del centro de datos.
5.1 DISEÑO GLOBAL DEL CPD
La arquitectura de un CPD consiste de 3 partes primarias modulares con interdependencias

jerárquicas: base, servicios del CPD, y servicios de usuario. El gráfico a continuación
permite visualizar mejor esta arquitectura [31].
Ilustración 33 Pirámide de Servicios de un CPD [47]
5.1.1 BASE DEL CPD
Al igual que los cimientos de una casa, el bloque primario a la hora de diseñar un CPD es la
base sobre la cual se apoyaran todos los servicios.
105
Tanto si es un CPD con una habitación de servidores conectados mediante una LAN Ethernet
tradicional como si es un CPD avanzado y se va a diseñar mediante SDN, la capa base del
centro tiene que ser resistente a fallos, escalable y flexible para permitir que el centro tenga
servicios que añadan valor, rendimiento y confiabilidad.
La base proporciona la capacidad de computación necesaria para dar soporte: a las

aplicaciones que requieran mayor capacidad para procesar la información; y al transporte
entre la granja de servidores, almacenamiento y usuarios que acceden a las aplicaciones.
Para los usuarios, esta capa trabaja de manera transparente cuando esta implementada de
forma correcta.
5.1.2 SERVICIOS DEL CPD

La capa de servicios es el siguiente nivel jerárquico de la arquitectura. Tratan de
complementar y modificar el ambiente de trabajo según las intenciones de la organización.
Es posible que sean necesarios grandes espacios abiertos para un suelo de manufacturación,
o que esté rodeada por sólidos muros que implementen un control de acceso para un lugar
de trabajo más seguro. Es decir, la capa de servicios permite modificar la zona a un mayor
nivel o mejorar la capacidad de operación.
Normalmente, esta capa incluye firewalls y sistemas IDS7 que intensifican la seguridad de
las aplicaciones y el acceso a los datos de nivel crítico. El switching virtual permite extender
el control de la red de manera tolerante a fallos desde la el nivel base hacia los sistemas
hypervisor de los servidores para mejorar el control y abaratar los costes operacionales.
5.1.3 SERVICIOS DE USUARIO
Esta capa se encuentra en la zona más alta de la pirámide jerárquica y se apoya en los dos
inferiores para trabajar de forma eficiente. Este tipo de servicios son las aplicaciones que
7
An intrusion detection system (IDS): es un dispositivo o software que monitoriza las actividades de red
o del sistema, para encontrar actividades maliciosas o violaciones de políticas y lo reporta a una estación
gestora.
106
permiten a una persona hacer su trabajo y como objetivo final mejorar la productividad de
la organización.
Poniéndolo en contexto para facilitar la explicación, este tipo de servicios es el análogo de

un ascensor del edificio que te lleva hasta la planta de tu oficina, o las luces de la oficina o
simplemente el botón de llamada del teléfono que permite realizar una llamada importante.
Las aplicaciones que se encuentran en esta capa son aplicaciones que utilizan servicios de
BBDD, procesos de transacciones etc.
5.2 DISTRIBUCIÓN DE LA SALA DE ORDENADORES
La sala de ordenadores será una habitación rectangular, de 27 metros de ancho por 23 metros
de largo, dando lugar así a una superficie de unos 621 metros cuadrados.
Esta sala contiene tres habitaciones: la sala de operadores, la sala de seguridad y la sala
donde se colocarán todos los servidores, switches y dispositivos de almacenamiento.
Las salas de seguridad y de operadores tienen las mismas características: 12 metros de ancho
por 3 metros de largo. En cada una de estas habitaciones se coloca una fila de racks.
Además, estas dos salas están separadas de la sala de ordenadores mediante paredes de
metacrilato.
Con estas dos salas, se reduce la sala de ordenadores a una habitación de 27 metros de ancho,
por 20 de largo (540 𝑚2 ) que dan espacio para albergar 6 filas de racks y 2 columnas.
La separación entre columnas es de 3 metros, espacio suficiente para que el equipo de

mantenimiento pueda avanzar a lo largo de la sala; y la separación entre filas es de 2 metros,
dejando el espacio óptimo para implantar los pasillos fríos y calientes.
107
Los racks se llenan entorno al 70% de capacidad. Esto es debido a que se dejará un 30% de
la capacidad del data center para la posible escalabilidad futura.
Dejar el 30% de los racks vacíos implica también dejar el 30% de los puertos de los switches
de acceso, agregación y núcleo vacíos.
En la siguiente figura se observa el plano de la sala de ordenadores:
Ilustración 34 Plano de la Sala de Ordenadores
108
5.2.1 FILAS DE RACKS
Cada fila de racks tiene capacidad para albergar 20 racks. En las siguientes ilustraciones se
observan las medidas tanto de una fila, como de un rack:
Ilustración 35 Medidas de 1 Rack (1.867m x 0.6m)
Ilustración 36 Medidas de una fila de Racks
En la ilustración a continuación, se encuentra el plano de la sala de ordenadores, con la

distribución de los racks, indicando cómo se va a llenar cada rack. La explicación se realizará
fila por fila.
109
Ilustración 37 Distribución de los Racks
110
Patch Panel
Aunque se vaya a realizar una explicación fila por fila, es necesario incluir un apartado
separado para explicar la colocación del Patch Panel, ya que en todas las filas, se deja un
rack completo que va a estar dedicado a albergar el patch panel, con el cableado inteligente
del que se habla en el capítulo 5.13 Cableado.
El rack de patch panel tiene la siguiente forma:
Ilustración 38 Rack con Patch Panel y Cableado Inteligente
111
5.2.1.1 Fila 1 Columna 1

Para comenzar, es necesario apuntar que se deja una fila de racks completa para albergar los
sistemas SAI que permiten redundancia en las fuentes eléctricas de todos los dispositivos.
Como el objetivo de este proyecto no es analizar suministros eléctricos, simplemente se hace
una mención de dónde se colocan estos dispositivos.
Se les proporciona acceso a los SAI para permitir la gestión remota mediante SNMP,
RMON, o entrar a ellos vía telnet o ssh, que permita la configuración desde un ordenador.
En la siguiente ilustración, se encuentran los sistemas SAI que se utilizan en el CPD Tres
Cantos I de BBVA.
Ilustración 39 Sistemas SAI CPD Tres Cantos I de BBVA [48]

Otra fila completa será ocupada por repartidores de fibra óptica. Un repartidor de fibra óptica
es un envolvente utilizado para proporcionar protección mecánica a las conexiones que se
realizan a los extremos de los cables de fibra óptica terminados en conectores. En la imagen
a continuación aparecen los repartidores de fibra del CPD de BBVA Tres Cantos I.
112
Ilustración 40 Repartidores de Fibra Óptica del CPD de BBVA Tres Cantos I [48]

Esta fila está constituida por 10 racks reservados para almacenamiento y SAN. Cuenta con
2 servidores de exadata de Oracle, 3 z13s de IBM, y otros tres racks de servidores blades.
Existe un rack de patch panel, y el último rack que queda de la fila es para un switch de
acceso, que da soporte a todos los servidores de la fila, y además proporciona acceso a los
sistemas SAI de la primera fila.

Esta fila es muy parecida a la anterior, pero esta vez cuenta con 4 racks para servidores blade,
y no cuenta con switch de acceso.

Esta fila es igual que la Fila 2 Columna 1, con la diferencia de que el switch de acceso de
esta fila da soporte a los servidores de las filas 4 y 5 de la misma columna 1.

Ídem de la Fila 3 Columna 1.
113

Esta fila es una fila completamente reservada para almacenamiento y para SAN, por lo que
no se hará hincapié en explicar esta fila.

Ídem de la Fila 3 Columna 1.

Fila parecida a la Fila 2 Columna 1, pero el switch de esta fila da acceso a los servidores de
la fila 6 y fila 5 de la columna 2.

Igual que la Fila 2 Columna 1, pero el switch proporciona acceso a los servidores de la fila
4 columna 2, y a los repartidores de fibra de la fila 3 y la columna 2. Se les proporciona
acceso a la red a los repartidores por motivos parecidos por los que se le da acceso a los SAI.

Esta fila está dividida en 10 racks reservados para SAN y almacenamiento, un rack para el
Patch Panel. Existen 6 racks se encuentran vacíos, permitiendo escalabilidad en el caso de
que la organización crezca en el futuro.
Los últimos 4 racks de esta fila se utilizan para entornos previos. Se destina un rack para un
switch de agregación, y dos racks para servidores blade.
A pesar de tener racks vacíos, se siguen colocando para permitir aislar térmicamente los
pasillos fríos y calientes que se explican en el punto 5.5.2 Enfriamiento
5.2.1.12 Fila 1 Columna 1.

Esta fila es la fila más importante para las comunicaciones de la sala de ordenadores, puesto
que es la fila en la que se colocan: firewalls, zona DMZ, Core y Agregación.
114
Existen también, 3 racks para colocar los firewalls. Un rack por cada clúster de firewall (5.9
Topología de Firewalls Utilizada).
A continuación, vienen 5 racks para la zona DMZ. La distribución de estos cinco racks se
divide de la siguiente manera:
 1 Rack para albergar los proxies.

 2 Racks para servidores z13s de IBM
 2 Racks para servidores Exadata de Oracle.
A la derecha de la zona DMZ, se encuentran los 2 racks para albergar los switches del núcleo
del CPD.
Existe un rack vacío que separa esta zona de la capa de agregación, con el doble propósito
de servir como frontera entre las dos capas, y para permitir escalabilidad de cualquiera de
ambas capas en un futuro.
5.2.1.13 Sala de Seguridad

Esta sala aislada, contiene una fila de 18 racks, de los cuales 14 serán utilizados para las
funciones descritas en 5.12 Sala de Seguridad.
Los otros 4 racks están ocupados por un Patch Panel, un switch de agregación que se conecta
a través de un firewall al núcelo, un servidor IBM que realiza las tareas de encriptación y
análisis necesarias para esta sala, y un rack de servidores blade que servirán de apoyo al
mainframe IBM en caso de que necesite apoyo a la hora de procesar los datos.
5.2.1.14 Sala de Operadores

De la sala de operadores, debido a que se colocan routers y switches propios de operadores,
y no de la compañía, solo se menciona que se coloca un patch panel para hacer el reflejo de
las conexiones de esta sala.
115
116
ANÁLISIS DE RESULTADOS
5.3 SISTEMAS DE SEGURIDAD FÍSICA DEL DATA CENTER
La seguridad perimetral es un apartado de la planificación de un CPD en el que no se puede

escatimar con costes debido a que la protección de los datos que se procesan en el centro es
importante para la situación económica de la empresa [49].
5.3.1 UBICACIÓN
El primer paso es elegir el sitio adecuado para construir el centro. El lugar elegido para la
construcción del edificio debe ser un sitio en el que sea muy improbable que se produzcan
catástrofes naturales como pueden ser inundaciones, huracanes o terremotos. Además,
también es conveniente que esté alejado de lugares como aeropuertos, centrales químicas o
nucleares, y a cierta distancia de la oficina central de la empresa.
También es conveniente que no se encuentre en un lugar muy caluroso, ya que esto supondría
un mayor coste para la refrigeración y ventilación de la electrónica de la instalación.
Además, el centro se debe localizar a cierta distancia con respecto al centro de “back up”
para asegurarse de que en caso catástrofe natural, no se queden inhabilitadas ambas
instalaciones a la vez.
Debido a que se trata de un CPD genérico, no se puede elegir una ubicación en concreto, ya
que, como se ha explicado en este punto, la ubicación dependerá de la organización dueña
del centro, pero por poner un ejemplo que mejore la compresión, Telefónica colocó su último
CPD en Alcalá de Henares, y BBVA tiene 2 en Tres Cantos. Como se puede observar, ambas
compañías decidieron colocar los CPDs en localidades de la periferia de Madrid, ambas entre
20 y 30 km de las oficinas centrales de las empresas, y lejos de aeropuertos y centrales.
5.3.2 PAREDES
El siguiente punto, es prestar atención a las paredes. Una solución no muy costosa, pero sí
efectiva, consiste en paredes de hormigón de 30cm de grosor. Esta técnica proporciona
117
seguridad ante elementos, y explosivos. Para maximizar la seguridad, se instalan capas de

kevlar entre las paredes.
A la hora de construir la instalación, se debe pensar en un edificio de almacén, no en una

oficina. Limitar el número de ventanas reducirá la cantidad de luz natural en el interior del
edificio, pero esto permite maximizar la seguridad. En concreto, la sala de ordenadores
carece de ventanas.
5.3.3 CONTROL DE ACCESO
Una vez se ha planificado la construcción del edificio, el siguiente punto consiste en

planificar el acceso al centro y cómo se va a controlar la gente que entra.
1. Limitar los puntos de entrada.
Limitar el número de entradas al centro implica reducir vías por las que la gente
pueda entrar. De esta manera se consigue abaratar costes destinados a seguridad ya
que hay menos entradas que vigilar.
2. Hacer que las salidas de emergencia sean sólo de salida.
Esto se puede conseguir haciendo que las puertas de emergencia solo tengan
picaporte, o cualquier otro sistema de apertura, en la cara interna de la puerta, de
manera que sea imposible abrirlas desde fuera.
3. Uso de cámaras de seguridad.
Las cámaras de seguridad deben ser colocadas tanto en el perímetro exterior como
dentro de las instalaciones para tener todos los movimientos registrados en vídeo.
Estas cámaras no deberán dejar ningún punto muerto en ninguna zona de las
instalaciones.
4. Autenticación de doble factor.
La autenticación por doble factor aporta máxima seguridad de autenticación,

implantando una seguridad biométrica, como un lector de huellas dactilares; más la
118
necesidad de uso de una contraseña o de un chip de identificación por radiofrecuencia

(RFID) único para cada persona.
5. Control de acceso por niveles.
Este control de acceso, debe ser implantado tanto para visitantes, como trabajadores
externos al CPD, o personal interno de la compañía.
El personal de limpieza debe estar limitado por zonas, con control de horas registrado
y escoltado por personal interno de la sala de computación cuando dicha sala necesite
limpieza.
6. Contratación de personal de seguridad.
Es necesario disponer de personal de seguridad cualificado, que sean capaces tanto

de vigilar el centro, como de poder controlar cualquier situación de intrusión o de
peligro que pueda suceder en el perímetro del edificio.
5.4 SEGURIDAD ANTE INCENDIOS
La mayoría de los incendios comienzan en el exterior del centro, por lo que un CPD debe
estar planificado para poder resistir un incendio externo a las instalaciones. Aunque también
existe la posibilidad de que se produzca un incendio en el interior o se propague el incendio
desde el exterior hacia el interior; por lo que es necesaria la existencia de un sistema de
detección de incendio y un sistema de extinción de incendios en el interior.
Como este TFG se centra en la parte de las telecomunicaciones del DC, sólo se van a analizar
los métodos de detección y extinción de incendios en el interior.
Debido a la gran cantidad de componentes electrónicos y cableado, es fundamental la

detección de cualquier fase precoz de incendio y conseguir su extinción de la manera más
rápida.
119
5.4.1 PROTECCIÓN PASIVA
En un edificio tan crítico como un CPD, la protección contra un incendio empieza por
acondicionar correctamente el edificio: instalaciones, cableado, tuberías (cableductos y de
ventilación) etc. Por ello las paredes del perímetro son de hormigón grueso y la entrada se
encuentra sellada con el objetivo de impedir que un posible incendio se propague hacia o
desde la sala de ordenadores.
Otro punto importante para la protección pasiva se trata de la conexión entre los sistemas de
climatización, gestión de alarmas y enclavamientos de compuertas [50]. Estas conexiones
están bien conectadas y completamente aisladas mediante goma, para mitigar el riesgo de
cortocircuitos que puedan producir incendios.
5.4.2 SISTEMAS DE DETECCIÓN DE INCENDIOS
Detectar un incendio consiste en descubrir y avisar de que existe un incendio en un

determinado lugar.
La centralita del sistema de detección está programada para ejecutar las acciones de manera
automática, aunque sigue pudiendo estar controlada por personal adecuado.
A continuación se listan los componentes principales del sistema:
 Central automática de detección: es la encargada de procesar la información

recibida desde los detectores, pulsadores etc. Y ejecutar la activación de alarmas y
sistemas de extinción de incendios.
 Detectores de incendio (iónicos y ópticos): consisten en dispositivos encargados de
detectar elementos de combustión invisibles (la temperatura) o visibles (el humo).
Estos sensores actúan rápidamente permitiendo la ejecución inmediata de equipos de
extinción. Se colocará una fila de detectores cada dos de racks. Cada fila de
detectores tendrá 5 unidades, separadas 3 metros cada una.
 Pulsadores: se tratan de pulsadores manuales que son activados por el personal del
edificio en caso de detectar un incendio de manera que permiten activar alarmas y
120
sistemas de extinción. Estos pulsadores suelen estarán protegidos por capas de

metacrilato o por llaves de rearme con el fin de evitar activaciones accidentales [51].
Estos pulsadores se colocarán a ambos lados de la entrada de la sala de ordenadores.
5.4.3 SISTEMAS DE EXTINCIÓN DE INCENDIOS
De nuevo, hay que destacar el hecho de que tanto los equipos informáticos y electrónicos,
como los datos que se manejan en este tipo de centros, tienen niveles de criticidad altos. Esto
obliga a instalar sistemas de extinción con propiedades dieléctricas que permitan su uso sin
que esto signifique un riesgo de cortocircuitos y que no produzcan residuos nocivos para el
medioambiente ni para el personal que trabaja en el centro.
Un punto a tener en cuenta a la hora de planificar las salas del centro, es la necesidad de
instalar compuertas de sobre presión que permitan el cierre hermético de las salas con el fin
de impedir el avance del fuego.
Los sistemas extintores que se utilizarán en esta propuesta de diseño de data center son los
siguientes:
 Agua nebulizada: este tipo de agua tiene mayor superficie de gota, facilitando la
absorción del calor y por lo tanto evaporándose más rápidamente (la evaporación,
según leyes termodinámicas, absorbe energía, traduciéndose en bajadas de
temperatura). Al ser más efectiva, se necesita una cantidad mínima de agua para la
extinción del fuego. Además, este tipo de agua no produce daños a los equipos
electrónicos. Se puede ver una comparativa en la Ilustración 41. En la sala de
ordenadores, se implanta una fila de rociadores de agua encima de cada fila de racks,
separados 2 metros cada rociador. Por lo que suman un total de 77 bocas de agua
121
nebulizada sólo en la sala de ordenadores.
Ilustración 41 Comparativa de tipos de agua para extinción de incendios [52]
 Reducción de Oxígeno: esta técnica consiste en reducir los niveles de oxígeno de la

sala hasta una concentración que dificulta el desarrollo del fuego, pero sin llegar a
niveles peligrosos para el personal de la sala. Esta técnica se implanta mediante los
sistemas de refrigeración de la sala de ordenadores.
 Novec 1230: es el agente más efectivo ya que cumple con todas las características
que se comentaron anteriormente, además de ser el menos dañino para el
medioambiente. Se trata de un fluido de alto peso molecular, que se encuentra en
estado líquido en temperatura ambiente, pero se convierte en gas inmediatamente tras
su descarga. Por todo esto, se trata de un agente ideal para su uso en aplicaciones de
inundación total, localizada o pulverización direccional [53]. Por todas estas razones,
se elige este agente por encima del FM200/FE-13 (se puede leer más sobre este
agente aquí [54] ) para colocar en los extintores a lo largo de todo el centro. En
especial, en la sala de ordenadores se colocarán 8 extintores de Novec 1230. Dos en
cada pared.
122
5.5 ENTORNO FÍSICO
Un buen diseño de red proporciona un ambiente robusto y tolerante a fallos mediante

plataformas y enlaces redundantes; pero, sin embargo, la redundancia en la red no protege
al centro de fallos que se produzcan como resultado de pérdidas de potencia o de
enfriamiento.
Al diseñar el centro de datos, hay que tener en cuenta la potencia necesaria para que todo
funcione correctamente, como proporcionar un servicio de reserva en caso de pérdida de
potencia por parte del proveedor.
También hay que considerar que los dispositivos utilizados en el funcionamiento del CPD
desprenden calor, por lo que es necesario establecer sistemas de enfriamiento y colocar
dichos dispositivos en pasillos calientes y fríos y almacenarlos en racks.
5.5.1 SUMINISTRO DE POTENCIA ELÉCTRICA
La clave consiste en conocer el equipamiento que se va a instalar en cada área. Algunos

equipos pueden utilizar una tensión estándar de 220 voltios y otros puede que necesiten más
potencia.
Para aplicar la redundancia de suministro eléctrico, se colocarán electrógenos, de manera

que cumplan la relación de redundancia 2N+1. Además, existen sistemas SAI que permiten
la continuidad de las operaciones durante un gran número de horas sin electricidad. Estos
sistemas, pueden ser colocados en dos zonas distintas. Una posibilidad es que se coloquen
en una zona cerca de los electrógenos, de manera que se encuentre todo el suministro
eléctrico redundante en la misma zona del centro, pero en este proyecto, se opta por colocar
los sistemas SAI en la sala de ordenadores, y otorgarlos una dirección IP, de manera que se
pueden monitorizar y controlar a través de la red Ethernet.
123
5.5.2 ENFRIAMIENTO
El uso de dispositivos que requieren gran alimentación eléctrica implica una necesidad de
disipar el calor generado por dichos dispositivos.
Planificar el enfriamiento de uno o dos equipos simplemente con el aire acondicionado

estándar del edificio puede funcionar, pero al tener dentro de la misma sala múltiples
servidores blade, dispositivos de almacenamiento y switches de alto rendimiento necesitan
un mejor sistema de enfriamiento.
La solución que se va a implantar en este diseño, consiste en crear un falso suelo por el que
circulará el aire refrigerado y colocar los dispositivos en “pasillos fríos” y “pasillos
calientes”. Básicamente se trata de colocar los racks y el equipamiento dentro de ellos, de
manera que el calor se concentre en unos pasillos y aprovechar para inyectar el frio en otros,
esto sirve para que los dispositivos utilicen el aire frío para refrigerarse.
La mayoría de los dispositivos, toma el aire frío por la parte frontal y expulsa aire caliente
por la parte trasera, en un flujo similar a este:
Ilustración 42 Flujo de Aire de un Dispositivo [55]
Al colocar los racks de tal manera que las partes frontales de todos los dispositivos siempre
se encuentren enfrentadas a las partes frontales de los situados en la siguiente fila de racks y
a la inversa con la parte trasera. De esta manera se consigue la creación de pasillos calientes
y fríos.
124
Ilustración 43 Refrigeración por pasillos calientes y fríos [55]
Como se observa en la figura anterior, el aire frío sale desde el falso suelo y en los pasillos
fríos. Los dispositivos toman este aire frío para refrigerarse, y después lo expulsan en los
pasillos calientes [55].
En esta figura a continuación se muestra claramente cómo es el falso suelo de la sala, en el

cual se encuentra el sistema de refrigeración de aire frío, con salidas en los pasillos fríos.
Ilustración 44 Ilustración del Falso suelo en instalaciones de BBVA C&IB
En la sala de ordenadores que se está diseñando, la anchura de los pasillos será de 2 metros.
El sistema de refrigeración mantendrá los pasillos fríos a una temperatura de 18ºC

constantemente. En los pasillos calientes, la temperatura asciende en torno a 38ºC y 40ºC.
125
Gracias a que el aire frío se expulsa desde el suelo, no será necesario aislar un pasillo de
otro, ya que el aire que toman los dispositivos siempre será frío. El aire frío pesa más que el
caliente, por lo que el aire caliente nunca llegará a las tomas de aire de los dispositivos.
Adicionalmente, se colocarán 4 tomas de aire en el techo, que servirán de salida del aire
caliente.
Como consecuencia de este sistema de refrigeración, la temperatura media de la sala se

estima que estará entre 22 y 25 º C.
5.5.3 RACKS
Es importante planear de qué manera se van a colocar los equipos adquiridos. Una buena
planificación permite facilitar la escalabilidad del edificio.
Los equipos ocupan un determinado espacio pero se tiene que tener en cuenta que hay que
reservar espacio también para las conexiones tanto de suministro eléctrico, como las
conexiones de red necesarias por cada dispositivo [47].
Un rack consigue ahorrar espacio físico al permitir apilar varios equipos, pero también son
importantes a la hora de proporcionar una buena gestión de: cableado (eléctrico y de red),
refrigeración, monitorización, seguridad etc.
En la siguiente figura se muestran las diferentes partes que tiene un rack IT convencional.
126
Ilustración 45 Rack Convencional [56]
Las dimensiones más comunes de un rack IT son las siguientes: 600mm de ancho, 1070mm
de profundidad y un espacio vertical útil (medidas del interior, no del exterior del rack) de
1867mm [56].
Para la sala de ordenadores de este CPD, se utilizará un modelo de rack para servidores blade de la marca
OPENETICS. Se trata del modelo Premium Server Rack 42 U, de dimensiones estándar. Cada rack tiene un
precio de 1.370,00 €. Las especificaciones concretas se encuentran en el Error! Reference source not
found., apartado 0 Ilustración 78 Ecnlosure Clase C BladeSystem
Este tipo de enclosure proporciona el suministro eléctrico, la ventilación y las conexiones de

I/O necesarias para poder contener hasta 8 servidores blades.
Tiene una medida de 10 U, lo que hace posible que se puedan ‘enrackar’ hasta 4 enclosures
en un mismo rack de dimensiones estándar.
127
Contiene herramienta de administración via software, así como la gestión remota mediante
iLO.
Cada enclosure tiene un peso de 136.08 Kg, y unas dimensiones físicas de 75.89 x 60.65 x
101.29 cm (Ancho x Profundidad x Altura).
Racks.
Como en este proyecto solo se analiza la parte de networking del CPD y no se entra a estudiar
la red SAN, no se tendrá en cuenta el número de racks necesarios para albergar los
dispositivos destinados a la SAN.
En total, serán necesarios 70 racks, distribuidos de la siguiente manera:
 15 Patch Panel
 25 Servidores Blade
 10 Switches Nexus
 1 Proxies
 3 Firewalls
 1 Balanceadores de Carga
 15 vacíos
Las 70 unidades elevan el presupuesto necesario solo para armarios hasta los 95.900,00 €.
5.6 INFRAESTRUCTURA ETHERNET DE LA SALA DE ORDENADORES
Una vez ya explicado cómo es físicamente la sala de ordenadores, se procede a explicar la

parte lógica de todas las conexiones de esta sala. Para facilitar la compresión y visualización
de cómo va a funcionar la red Ethernet, se adjunta la siguiente imagen en la que se ven todas
las conexiones de manera general.
128
Ilustración 46 Esquema Lógico de Conexiones
129
5.6.1 SWITCHES UTILIZADOS
Antes de comenzar, es necesario explicar qué switches se van a utilizar, y por qué se utilizan
dichos switches.
La elección de fabricante de estos dispositivos, se ha basado en varios puntos.
El primer punto es la recomendación de Cisco por parte de Pablo Mañá (CTO de

Comunicaciones C&IB de BBVA, de Raúl Tomás (Gerente Tecnología e Infraestructura de
Comunicaciones del CPD Tres Cantos de BBVA) y de Ricardo Ortega (Security Advanced
Services Manager de Cisco).
Como segundo punto, los switches de Cisco lideran el ranking generado por
ITCentralStation, tras un proyecto de investigación teniendo en cuenta a 152.961
profesionales del sector [57].
Dentro de los innumerables modelos que tiene Cisco en su catálogo, existe una gama
diseñada especialmente para conexiones de centros de datos, se trata de la gama Nexus.
Dentro de esta gama, se estudió la posibilidad de implementar la serie 9000 o la 7000 (las
dos series más altas de la gama Nexus).
Debido a que la serie 9000 se trata de una familia de switches preparada para el uso
inmediato de SDN, se ha optado por la serie 7000, también preparada para SDN, pero más
barato que los anteriores, y supera con creces las características necesarias para llevar a cabo
las funciones de red de núcleo, de agregación y de acceso, de la red Ethernet.
Dentro de esta serie, se elige en concreto los modelos Nexus 7700, se escoge este modelo de
la serie porque es el modelo con ventilación front to back esencial para realizar la
refrigeración por pasillos explicada en el punto 5.5.2 Enfriamiento.
Después hay que tener en cuenta en qué capa se van a implementar, ya que los switches que
se coloquen en el core y en la agregación, necesitan tener mucha capacidad de
procesamiento, y sin embargo, los switches de acceso necesitan muchas conexiones.
130
Por ello, para los switches de core y agregación se utilizan los Nexus 7700 de 10 slots, con
8 ranuras para conexiones y 2 para supervisores.
Estos switches necesitan un módulo de supervisión para poder funcionar. Se implantan dos
módulos CISCO NEXUS 7700 SUPERVISOR 2E MODULE, otorgando de esta manera
redundancia dentro de cada switch.
Los módulos para permitir las conexiones serán los Cisco Nexus 7700 F3-Series 12-Port 100
Gb Ethernet Module. A la hora de analizar el número de puertos necesarios por cada switch,
hay que realizar un estudio por separado de los switches de núcleo y de los de agregación.
 Agregación: estos switches necesitan un mínimo de 12 puertos para los

balanceadores de carga, 3 puertos para conectar un switch de agregación con el otro,
y 6 puertos para conectarlo al sistema VSS del núcleo. Lo que suma un total de 21
puertos necesarios. Así que serán necesarios 2 módulos de conexiones descritos
anteriormente.
 Núcleo: estos switches tienen menos dispositivos a los que conectarse, pero es
necesario la máxima capacidad y redundancia de enlace hacia dichos dispositivos.
Se utilizan 16 puertos para conexiones con las dos parejas de firewalls (4 conexiones
con cada firewall). Y 6 conexiones para los switches de distribución. Haciendo esto
un total de 22 puertos necesarios, por lo que se utilizan también 2 módulos de 12
puertos descritos anteriormente.
A continuación, para los switches de acceso, se utilizan los Nexus 7700 de 18 slots, debido
a que se trata del modelo que más conexiones a alta velocidad permite, y además siendo el
único de 18 slots que contiene ventilación front to back.
Estos switches necesitan también un supervisor, y se sigue el mismo esquema que con el
resto de switches, es decir, 2 módulos supervisores por cada switch. El modelo de supervisor
es el mismo que para el resto de switches.
131
Pasando a analizar el número de puertos necesitados por cada switch, se intenta reducir al
máximo el número de switches de acceso utilizados, por lo que se utilizan 10 Cisco Cisco
Nexus 7000 F2-Series Enhanced 48-Port Fiber 1 and 10 Gigabit Ethernet Module. Utilizar
tantos puertos por cada switch tiene sentido, ya que cada servidor (ya sea mainframe o blade)
utiliza 4 puertos. Además, cada switch de acceso se conecta a los 2 switches de agregación,
y son necesarios 3 puertos para cada conexión switch a switch.
El desglose de precios es el siguiente:
 Switch de Acceso (Nexus 7700 – 18 slot) : 517.000,00 €

o 1 x Chasis: 45.000,00 €
o 10 x Cisco Nexus 7000 F2-Series Enhanced 48-Port Fiber 1 and 10 Gigabit
Ethernet Module: 10x40.000,00 €
o 2 x CISCO NEXUS 7700 SUPERVISOR 2E MODULE: 2x36.000,00 €
 Switch de Agregación: 261.000,00 €
o 1 x Chasis: 27.000,00 €
o 2 x Cisco Nexus 7700 F3-Series 12-Port 100 Gb Ethernet Module:
2x81.000,00 €
o 2 x CISCO NEXUS 7700 SUPERVISOR 2E MODULE: 2x36.000,00 €
 Switch de Agregación: 261.000,00 €
o 1xChasis: 27.000,00 €
o Cisco Nexus 7700 F3-Series 12-Port 100 Gb Ethernet Module: 2x81.000,00
€
o 2xCISCO NEXUS 7700 SUPERVISOR 2E MODULE: 2x36.000 €
Se van a utilizar 4 switches de acceso, otros 4 switches de agregación (dos de la

configuración general, uno para la sala de seguridad y otro para los entornos previos), y para
el núcleo de la configuración se utilizan 2 switches. Por lo tanto, el precio total destinado al
switching es 3.634.000,00 €.
132
5.6.2 INTERCONEXIÓN INTERNA DE LA SALA DE ORDENADORES
5.6.2.1 Visión Global

La base de la red Ethernet de este centro de procesamiento de datos es un par de switches
redundantes y resistentes de la serie Cisco Nexus 7700 (cada switch es redundante en sí
mismo, por lo que se consigue una doble redundancia). Esta pareja de switches proporcionan
una plataforma perfecta para llevar a cabo un edificio escalable, de alto rendimiento y con
soporte para servidores conectados con un ancho de banda desde 1 Gigabit Ethernet hasta
100 Gig-E. Este Data Center está diseñado para facilitar la migración de servidores y
servicios desde la sala de servidores original hacia la sala de ordenadores del CPD a medida
que la entidad crece.
Utilizar una pareja de switches que son redundantes en sí mismos permite:
 Una interconexión a nivel de red (L3) resistente con rapidez de computo ante fallos.
 Utilizar una capa de core permite abstraer la lógica de las capas de distribución y
acceso.
 Proporciona conexiones escalables para la LAN, WAN y conexiones a Internet.
 Permite la correcta comunicación entre los servidores y servicios del CPD.
 Permite el flujo de tráfico de niveles 2 y 3 entre los servidores y aplicaciones, de
manera que este flujo se controla localmente sin necesidad de salir al exterior.
5.6.2.2 Configuración Global del Core del CPD

El núcleo del Data Center necesita una configuración operacional básica, más detallada de
la serie de comandos a continuación, pero debido a que esta configuración detallada depende
de los requisitos de cada entidad, en este apartado se va a describir una configuración básica
y global.
5.6.2.2.1 Configuración de VLANs
Se ha explicado en capítulos anteriores que se crean VLANs diferentes para cada servicio o
uso que se dé, de forma que se segmenta el tráfico y facilita la gestión. Esto permite dividir
133
las áreas de gestión según el uso que se proporcione en cada VLAN, pero el punto de gestión
sigue estando centralizado en el core.
Las VLANs se van a dividir de la siguiente manera:
VLAN Nombre de VLAN Dirección IP Comentarios
100 Servers_1 10.4.10.0/24 Uso General de

servidores de red.
150 Servers_2 10.4.15.0/24 Uso general de

servidores
200 Servers_3 10.4.20.0/24 Uso general de

servidores
250 FW_Outside 10.4.25.0/24 Uso de firewalls

externos (Front-
end)
260 FW_Inside_1 10.4.26.0/24 Seguridad de red

interna: Firewalls
Back-End.
270 Security_Inside 10.4.27.0/24 Seguridad de red

interna: IPS + SSL
(balanceadores +
FW).
280 Peering 10.4.28.0/24 Interconexiones de

Core a nivel de red
(L3)
134
300 VMotion 10.4.30.0/24 Reservada para

tráfico de
virtualización de
servidores
350 iSCSI 10.4.35.0/24 Tráfico de

Almacenamiento
para iSCSI8
400 DC-Management 10.4.40.0/24 Gestión

independiente de
VLANs del CPD
Tabla 3 VLANs de comunicaciones Internas del CPD
De esta distribución de redes IP a cada VLAN, se destaca la importancia que tiene dejar 4
redes IP libres entre VLANs para permitir la escalabilidad de las VLANs.
Pasos a seguir para la configuración
En este apartado, se van a describir los comandos necesarios para poder configurar las vlans.
Debido a que los pasos son repetitivos para cada VLAN, se procede a documentar los
comandos genéricos. Los pasos a seguir son los siguientes9:
1. El primer paso es crear las VLANs que son necesarias para el funcionamiento del
DC.
Vlan [vlan-number]
Name [vlan name]
2. Configuración de una interfaz lógica que permita la gestión. Estas interfaces lógicas
son interfaces Loopback. Se tratan de interfaces lógicas que son alcanzables siempre
8
iSCSI: Internet Small Computer Systems Interface. Estándar de almacenamiento de red, basado en el
protocolo IP, para las instalaciones de interconexiones de almacenamiento de datos
9
Los comandos se introducen en cada switch del núcleo.
135
y cuando el dispositivo esté encendido y tenga una interfaz IP alcanzable en la red.

Esto quiere decir, siempre y cuando tenga una interfaz con una dirección IP que se
encuentre en la misma red que la dirección IP que se le asigne a la dirección de
loopback. Gracias a esta capacidad de ser siempre alcanzada, se presenta como la
mejor opción para gestionar el switch, y permite tener otro punto de gestión
independiente. Los procesos de capa 3 también se encuentran ligados a la interfaz de
loopback para permitir una redundancia y resistencia extra. La dirección que se
asigna a la interfaz de loopback es una dirección perteneciente a la red de la VLAN
de peering, y contiene una máscara completa, esto es, de 32 bits.
Además, debido a que va a pertenecer a un grupo de gestión, se activa el multicast
mediante el modo PIM Sparse-Mode. Descrito en el capítulo 2.
Interface loopback 0
Ip address 10.4.28.254/3210
Ip pim sparse-mode
3. Ligar a la loopback los procesos TACACS+11 de los dispositivos, para mejorar la

elasticidad de la red.
aaa group server tacacs+ tacacs
source-interface loopback 0
4. Configurar lo puertos de EtherChannel para permitir que el uso de balanceo de carga

del tráfico se base en las direcciones IP la capas 3 y el número de puerto de la capa
4. Esto optimiza el balanceo entre los enlaces a nivel de routing.
Port-channel load-balance Ethernet source-dest-port
Una vez creadas las VLANs y sus direcciones de loopback para la gestión de cada VLAN,
es necesario crear interfaces virtuales de switching (SVI) para permitir el encaminamiento
hacia o entre las diferentes VLANs de la configuración.
Para configurar las SVI, es necesario crear las VLAN primero. Después, es necesario seguir
los siguientes pasos (para ahorrar espacio, se ha puesto como ejemplo la primera VLAN):
10
La dirección de loopback para el otro switch de la pareja sería la 10.4.28.253/32.
11
TACACS+: Terminal Access Controller Access-Control System. Es un protocolo de Cisco que
maneja los servicios de autenticación, autorización y contabilidad (AAA).
136
SWITCH(config)#interface vlan 100 <- Crea una SVI para Vlan 100
SWITCH(config-if)#no shutdown <- Asegura que la VLAN está activa
SWITCH(config-if)#description SERVERS_1 <- Actualiza la descripción
SWITCH(config-if)#ip address 10.4.10.0 255.255.255.0<- Asigna dirección IP al SVI
Uso de VTP
El uso de VTP en un centro de datos, depende mucho del nivel de actividad en los siguientes
ámbitos:
1. Los switches son añadidos / quitados / reemplazados.

2. Creación o eliminación de VLANs.
Normalmente, los switches de un CPD son muy robustos, y fiables, por lo que rara vez
tendrán que ser reemplazados. En este caso, la serie Nexus 7700, son de los switches más
fiables que ofrece Cisco. Además, gracias al diseño por capas jerárquico, bien analizado, la
escalabilidad del centro es alcanzable sin la necesidad de incorporar nuevos switches en la
capa de agregación (capa donde se encuentra la mayor carga de VLANs y STP).
Por lo que se opta por configurar el VTP de modo transparente en todos los switches, con
razón de mitigar el riesgo de eliminar por completo la base de datos de VLANs de un switch,
asegurarse de que las VLANs se configuran solo en aquellos switches en los que son
necesarias.
La razón para configurar el VTP de modo transparente, en vez de no activarlo directamente,

es para permitir su correcto funcionamiento, si en algún momento se decide activar VTP en
algún switch de la configuración.
137
5.6.2.2.2 Asignación de Direcciones IP
Como en cualquier configuración LAN convencional, es necesario que cada máquina

disponga de una dirección IP que sea única dentro de la red de área local.
A diferencia del resto de configuraciones, en un centro de datos no se utiliza un servidor

DHCP para asignar estas direcciones. La explicación de no utilizar este servidor consiste en
las siguientes razones:
1. Fiabilidad:
Tener cada máquina dependiendo de DHCP para poder obtener su dirección de red,
añade otro punto de fallo potencial. En un data center, donde se intenta conseguir la
máxima disponibilidad posible, añadir una sección dinámica no es una buena
práctica.
2. Seguridad:
DHCP proporciona una conexión válida a cualquier dispositivo que se conecte al
switch. A pesar de que se habilite la seguridad de puerto en los switches según la
dirección MAC, es mejor utilizar la división por VLANs para asignar direcciones de
forma manual y mantener la seguridad de puertos.
3. Documentación:
Tener un servidor DHCP central que asigna direcciones a diestro y siniestro es una
mala práctica en un bloque de servidores, debido a que aumenta de forma
exponencial el grado de dificultad de tener todas las direcciones documentadas y bajo
control.
4. Gestión:
Además de especificar en el servidor DHCP qué dirección se asigna a qué máquina,
es necesario que el técnico responsable lleve una documentación. Esta
documentación tendrá que ser actualizada de forma completa cada vez que ocurra
algún cambio en la configuración, como puede ser la sustitución de una tarjeta de red
que ha dejado de funcionar, añadir un nuevo servidor, o cambiar la VLAN a la que
pertenece un servidor.
138
5.6.2.3 Evasión de bucles
5.6.2.3.1 Capa de Core y Agregación
Aunque con la configuración de la capa de núcleo esté configurada sin bucles (gracias al uso
de VSS y EtherChannel), se utilizará el estándar TRILL.
El uso de TRILL en vez de protocolos más estándares para la evasión de bucles como pueden
ser STP, o Rapid PVST+, se debe a que la configuración del core del data center hace que
esta pareja de switches sólo bajen hasta el nivel de red (L3). Esto permite más eficiencia de
routing y mayor abstracción lógica en la infraestructura de red. [58]
Otra razón para el uso de un protocolo de routing (IS-IS) para eliminar bucles Ethernet, se
debe a que STP es inestable en caso de fallo en algún enlace, no permite un buen balanceo
de carga, ni aprovecha al máximo el ancho de banda posible de la configuración.
Debido a que el core solo baja hasta la capa 3, es necesario incluir la capa de agregación en
este proceso para que se consiga comunicar con el core.
Para la configuración del protocolo IS-IS, se utiliza una única área, debido a que se trata de
una configuración pequeña, con pocos switches. Esta área se configura como área Backbone,
por lo que todos los switches son de nivel 2.
139
Ilustración 47 Configuración de conexiones entre Core y Agregación
Gracias a que se utiliza la tecnología EtherChannel, y VSS, se reduce de manera considerable

la cantidad de puertos a configurar. VSS hace que el core tenga una sola dirección que incluir
en el protocolo de routing, y EtherChannel agrupa varios puertos en un único puerto lógico,
permitiendo de esta manera tener que configurar un solo puerto por cada conexión entre
switches.
En cada uno de estos switches, se configura una dirección de loopback para permitir la
gestión de dicho switch. Esta dirección de loopback se configura como interfaz pasivo en el
proceso IS-IS para evitar que se expanda a través del proceso. Después, se asigna una
dirección IP a cada interfaz que vaya a ser incluido en el proceso de encaminamiento.
Por último, se inicia el proceso IS-IS, indicando qué interfaces son pasivas, y se crea la
dirección NET del router.
De nuevo, se va a realizar la configuración de un sólo switch como ejemplo de la

configuración global.
140
Switch (config)#interface Loopback0

Switch (config-if)#ip address 172.16.1.1 255.255.255.255
!---- Creación de loopback
Switch (config-if)#interface fa0/1
Switch (config-if)#ip router isis
Switch (config-if)#interface fa0/10
Switch (config-if)#ip router isis
!---- Asignación de IP a las interfaces, y se incluyen en el proceso IS-IS
Switch (config-if)#exit
Switch (config)#router isis
Switch (config-router)#passive-interface Loopback0
Switch (config-router)#net 49.0001.1720.1600.1001.00
!---- Se crea el Proceso IS-IS, se indica la dirección NSAP, y se indica la
loopback como interfaz pasiva
De este ejemplo de configuración, hay que destacar la dirección NSAP. Todos los switches
deben tener el mismo área (49.001) y el mismo NSEL (00 de los últimos bits de la
configuración).
5.6.2.3.2 Capas de Acceso y de Agregación
A la hora de configurar el STP de la configuración, se utiliza el protocolo Rapid Per-VLAN

Spanning-Tree (Rapid PVST+) que permite crear una instancia de RSTP por cada VLAN.
Utilizar el protocolo Rapid PVST+12 mejora la rapidez de convergencia tras fallos que
proporciona el STP clásico. Los nexus 7700 están configurados para utilizar Rapid PVST+
por defecto [59].
Se asigna como switch raíz a uno de los switches de la capa de agregación.
BPDU Guard
Los puertos que ejecutan STP pueden estar conectados a los hosts, y además pueden ser
configurados como puertos de acceso, o puertos troncales. Los interfaces configurados como
12
Una explicación más detallada de este protocolo se encuentra en el capítulo 2.
141
puertos borde, pasan directamente al estado de forwarding, sin pasar por los estados de
blocking, o learning, caracterísiticos del STP. Esto también se conoce como (Cisco
PortFast). BPDU Guard protege al usuario de conectar un switch en un puerto de acceso, lo
que provocaría un bucle indetectable por el STP.
Un interfaz configurado como puerto borde recibe una BPDU cuando se produce una
configuración no válida, como cuando por ejemplo se conecta un dispositivo no autenticado
ni autorizado. El BPDU Guard previene los bucles al mover una interfaz no troncal hacia un
estado ‘Errdisable13’ cuando se recibe una BPDU en la interfaz en la cual se ha habilitado
PortFast [60] [61].
Configuración de STP en los switches de acceso y agregación
Switch (config)# hostame [nombre del switch]

(config)# spanning-tree mode rapid-pvst
(config)#vlan [Número de la Vlan a incluir en el proceso]
(config-vlan)#exit
(config)#interface [Interfaz a modificar – Interfaz conectado a host]
(config-if)#switchport mode access
(config-if)#switchport access vlan [número de VLAN a la que pertenece dicho
puerto]
(config-if)#spanning-tree portfast
(config-if)#spanning-tree bpduguard enable
(config-if)#interface [Interfaz a modificar – Interfaz conectado a otro switch]
(config-if)#switchport mode trunk
(config-if)#switchport trunk allowed vlan [Número de Vlan Permitida en el
troncal],[Número de VLAN permitida en el troncal]
(config-if)#spanning-tree link-type point-to-point.
[62]
La diferencia a la hora de configurar un switch de acceso o de agregación, recae en que un

switch de agregación, los puertos configurados como acceso sirven para conectarse con
dispositivos de servicio agregado. Por estos dispositivos se refiere a electrónica como
firewalls, balanceadores de carga, etc; mientras que los puertos configurados como puertos
13
Errsidable State: se trata de una característica que deshabilita automáticamente un puerto en un switch de
Cisco. Cuando un puerto se deshabilita por errores, se apaga dicho puerto y no se recibe ningún tipo de tráfico
por este puerto.
142
de acceso de un switch de la capa de acceso sirven para dar conectividad a dispositivos

finales, como servidores, o servidores blade.
5.6.3 CONFIGURACIÓN DEL ROUTING IP EN EL CORE
5.6.3.1 Conexiones Externas
Ilustración 48 Conexiones con el exterior
Es común que las conexiones con el mundo exterior se lleven a cabo a través de una pareja
de routers externa para permitir abstraer la lógica del ruteo externo, de la capa de core del
CPD; pero debido a que la serie de switches Cisco Nexus 7700, se trata de una serie de
143
switches muy potentes, y de capa 3, las conexiones con el exterior de este data center serán
llevadas por la capa Core de la infraestructura.
Para empezar, hay que recordar que todas las conexiones salen por la sala de operadores,
como bien se explica en otro punto del proyecto. Pero para facilitar la explicación, en la
figura se muestra cada tipo de conexión con salidas en diferentes puntos de la sala.
Hay que destacar, que se ha obviado los routers de los operadores en la ilustración anterior,
para facilitar el diseño gráfico.
En el CPD se tienen los siguientes tipos de salida:
 Entornos Internos: Conexiones hacia oficinas, edificios u otro tipo de locales propios
de la compañía.
 Entornos Externos controlados: conexiones con empresas distintas a las propias de
la empresa que ayudan al negocio (p.e. Bloomberg y Reuters, que proporcionan
información financiera) o empresas en las que se externalizan servicios, como por
ejemplo la empresa que lleva las nóminas. Normalmente, la mayoría de empresas
contratan a empresas secundarias externas para llevar este tipo de tareas (no aporta
valor real que la misma empresa lo haga). Y para realizar dichas tareas, es necesario
que tengan acceso a datos internos.
 Entornos Externos no controlados: típicamente navegación por Internet.
Conexiones con entornos externos controlados
La forma de establecer las rutas desde el core hacia estas empresas es de forma estática, es
decir, se fijan las rutas a mano, y estas rutas no cambian nunca salvo que se vuelvan a
introducir a mano en los switches de core. Esto es debido a que el AS que es el CPD se
conecta con el AS de la empresa, de forma directa, para evitar que la conexión circule por la
red de Internet.
144
El tráfico hacia estas empresas sale desde el core, y pasa por un grupo de firewalls, antes de
ser encaminadas hacia el exterior, donde se encamina hacia el router de la empresa a través
de una red MPLS VPN.
El camino del tráfico de entrada tiene el mismo recorrido pero en sentido inverso, llega de
la red MPLS VPN hasta un grupo de firewalls, y desde ahí se encamina hacia el núcleo.
La red MPLS ofrece las siguientes ventajas en comparación de un enrutamiento normal a

través de ISPs:
 Ahorro en coste: los costes se reducen entre un 10 y un 25%, aunque si se enruta

tráfico de voz y vídeo, este reducción puede alcanzar el 40%.
 Soporte de QoS: es una ventaja principal, puesto que es posible que existan oficinas
de la entidad que necesiten que su tráfico sea manejado con máxima prioridad.
 Rendimiento mejorado: reduce los tiempos de respuesta.
 Recuperación ante desastres
 Escalabilidad [63]
Esta técnica de conexión entre oficinas se describe más en detalle en 2.12.4 MPLS VPN
Conexiones con entornos internos
Este tipo de conexión es muy parecido al descrito anteriormente, pero la diferencia se

encuentra en que las rutas entre core y la red MPLS se manejan de manera dinámica,
mediante un protocolo de ruteo. El tráfico sigue circulando a través de un solo grupo de
cortafuegos.
Elección de protocolo de ruteo
Ya se ha dicho más de una vez a lo largo del desarrollo de este proyecto, el core baja solo
hasta la capa 3. Debido a que baja hasta este nivel, y además funciona como el Gateway de
salida del CPD, es necesario aplicar protocolos de ruteo en esta capa.
145
A la hora de elegir un protocolo de ruteo, optamos por dos opciones válidas: EIGRP y OSPF.
Ambas fueron explicadas en la sección 2.12.2 Protocolos de Nivel de Red (L3 – Routing),
por lo que no se entrará muy en detalle en las características de cada uno, aunque sí que es
necesario explicar las diferencias para entender por qué se escoge un protocolo en vez de
otro.
Para comenzar, hay que explicar que ambos protocolos se tratan de protocolos de ruteo
internos.
A favor de EIGRP es necesario destacar su facilidad a la hora de ser configurado, ya que no

es necesario pensar demasiado en la topología de la red, y trabaja muy bien en redes de cierto
tamaño.
Los problemas de este protocolo vienen cuando la red escala, y teniendo en cuenta de que la
escalabilidad es una característica fundamental del CPD que se está diseñando, se trata de
un punto negativo de mucho peso.
Una limitación de escalabilidad de este protocolo es que no tiene una capacidad para
establecer límites internos, una característica necesaria para controlar la sumarización, y la
segmentación de tráfico. Es posible utilizar varios procesos diferentes de EIGRP para
solventar este problema, pero OSPF ofrece esta capacidad como parte del protocolo, la
utilización de diferentes áreas.
Otra limitación de EIGRP es que se trata de un protocolo en propiedad de Cisco. Esto a

primera vista puede no resultar un problema, ya que todos los switches que se utilizan en la
sala de ordenadores son de la marca Cisco, y por lo tanto no habrá problemas a la hora de
ejecutar el protocolo; pero debido a que se diseña un CPD genérico, y que pueda ser
escalable, es mejor decantarse por OSPF, que puede ser ejecutado en redes multi-fabricante
[64].
Configuración de OSPF
Por estas razones, se escoge OSPF como protocolo de ruteo IP para el núcleo.
146
La forma de organizar las áreas de OSPF es bastante básica. Para empezar, se establece como
área Backbone a los switches de capa 3 del núcleo del centro.
Después, cada conexión con un entorno interno se configura en un área NSSA. La razón de
utilizar áreas NSSA en vez de Stub, o áreas normales, se encuentra en que las NSSA
disminuyen la cantidad de tráfico con respecto a las normales, como hacen las Stub, pero a
diferencia de estas, las NSSA sí que permiten rutas externas que funcionen con otros
protocolos de ruteo que no sean OSPF, siendo normal que no utilicen OSPF ya que se trata
de redes MPLS en el que se utilizan múltiples protocolos como pueden ser BGP o RIP
versión 2.
Conexiones con entornos externos no controlados: Internet
Estas conexiones son las más inseguras, y las más peligrosas para el data center, por lo que
se ofrece máxima seguridad con proxies y un doble clúster de firewalls.
En estas conexiones, a pesar de que lo normal sería incluir una ruta por defecto en los
switches de la topología para encaminar hacia Internet (normal puesto que: es la conexión
que más tráfico va a generar, solo hay una salida hacia internet, y es el único tráfico del que
se encarga de enrutar el ISP). Pero se evita tener rutas por defecto hacia el core por las
siguientes razones:
 Las rutas por defecto hacia CORE son generadoras de múltiples problemas, por
ejemplo se convierten en la basura de todo el tráfico perdido. Por ejemplo si desde
un PC se realiza un ping a una dirección IP que no existe, terminaría en el CORE el
cual se lo daría a su ruta por defecto, si resulta, que esa ruta por defecto fuera un
firewall, o un proxy, y se realizara desde múltiples estaciones de trabajo a la vez,
147
podría afectar al rendimiento del dispositivo. (Esto es un ataque de hacking conocido

como DDoS14).
 La tabla de routing de Internet es muy grande. Introducir todas las rutas en los Cores
más todas las rutas internas de la organización podría poner en riesgo el core
provocando problemas difíciles de encontrar/resolver: floaping de rutas, lentitud,
crash de memoria, etc.
Para el tráfico de datos de salida, todos los navegadores, o servidores con conexiones a
Internet, llevan configurado un proxy inverso, que se configura en los Network Settings del
navegador (normalmente configurado vía script). Esto hace que cuando el host genere tráfico
en un navegador, se envíe directamente al Proxy inverso siendo éste el que realmente realiza
la navegación a Internet. Lógicamente, el Proxy mantiene una tabla con la información de
qué host pide qué conexión, para saber a dónde encaminarlo a la vuelta.
Estos servidores proxies, se colocan en la DMZ, en medio de los dos clusters de firewall.
En la siguiente imagen, se observa mejor este detalle:
Ilustración 49 Doble clustering de FW con DMZ [27]
14
DDoS (Distributed Denial of Service): es un ataque de denegación de servicio, que se realiza por la
sobrecarga de recursos mediante un exceso de peticiones al servicio o dispositivo que se quiera atacar.
148
5.6.4 GRUPOS MULTICAST
Para la segmentación del tráfico, es posible que la configuración de VLANs por sí sola no
sea suficiente, o no sea la manera más efectiva de segmentar el tráfico, puesto que es posible
que dos equipos de diferentes VLANs necesiten recibir el mismo tráfico.
Para resolver esto, se implementan los grupos multicast, protocolo explicado en 2.12.2.4
Multicast.
La manera de implementar multicast, se realizará mediante el modo PIM Sparse Mode. Este
modo construye explícitamente árboles Shared Trees unidireccionales para cada grupo, y,
opcionalmente, crea Source Trees por cada origen. Inicialmente, la fuente le indica mediante
unicast al Rendez-vous Point (RP) que desea iniciar una transmisión. Comienza a transmitir
y el RP le va enviando esos paquetes a los receptores. Si el RP que dicha fuente no emite de
una manera puntual sino que tiene una emisión prolongada y estable, y dependiendo de su
configuración, tratará de modificar el árbol hacia un SPT, es decir, un source tree.
De esta forma, se consigue evitar las tormentas de broadcast que generan demasiado tráfico
innecesario, y siempre se acabaría utilizando el árbol source tree más efectivo.
5.6.5 GESTIÓN DE LA RED

A parte de ser necesaria una buena configuración inicial, es posible que surjan errores o
fallos en la topología de la red, por lo que es necesario implementar una buena gestión.
La gestión de la red, se consigue con dos protocolos que fueron diseñados para ello. Estos
dos protocolos son SNMP y RMON.
Se trata de programas de monitorización de la red, con los que se consigue medir la cantidad
y tipo de tráfico, los puertos activos y no activos, crear alarmas, realizar cálculos estadísticos
sobre el tráfico y más tareas propias para una buena gestión de la red.
149
Para el uso de estos protocolos, es necesario instalar programas dedicados a ello en los
ordenadores que se vayan a dedicar a realizar la gestión del centro, como puede ser los
ordenadores del departamento de comunicaciones y el de seguridad lógica de la entidad.
Existen multitud de programas gestores, y muchos de ellos open source. La mayoría de ellos
proporcionan funciones similares.
En este caso, se ha optado por el programa The Dude, un programa open source de
monitorización de red. El programa está más detallado en el Anexo A. En la sección 0
ANEXO B. Especificaciones Software
B.1 The Dude.
5.6.6 ENTORNOS PREVIOS

Los entornos previos son aquellas nuevas tecnologías que se implantan en un centro de datos
que son nuevas para la organización, y se implantan por separado de toda la estructura
topológica del data center. Es decir, se implanta como un módulo de la capa de distribución
separado, y se conecta al núcleo.
La separación física y lógica de las nuevas tecnologías se debe a que no se conoce como va
a reaccionar la topología al implantar estas tecnologías.
Este tipo de nuevas tecnologías pueden ser Big Data, SDN, GRID Computing, o cualquier
otro tipo de tecnología que la organización no haya implantado con anterioridad.
5.7 ACCESO A LA RED DE INTERNET
Un Centro de Datos supone una inversión muy importante para una empresa, y, si se
planifica y diseña correctamente, el ROI – Return On Investment – será bastante bueno,
gracias al alto rendimiento de la electrónica utilizada.
150
Pero toda esta capacidad de procesamiento se verá inútil si no se dispone de una conexión a
la red de Internet con la que se podrá comunicar con las oficinas centrales, edificios de la
organización, clientes y proveedores.
Este acceso a Internet se consigue mediante proveedores de servicios de internet, los cuales
tendrán que ser redundantes, para evitar una caída en las comunicaciones en caso de que un
proveedor tenga problemas.
Además, se utilizan grupos de proveedores distintos para cada servicio de red necesitado por
la instalación. Estos servicios son VoIP, red de datos normal, conexión directa con
organizaciones y empresas, conexiones con diferentes edificios de la entidad etc.
5.7.1 IMPLEMENTACIÓN DEL ACCESO POR FIBRA

La técnica que se utiliza para el acceso, se denomina FFTC – Fiber-To-The-Curb. Con esta
técnica, la fibra del proveedor llega hasta un armario de conexiones (propiedad del
proveedor) que se encuentra cercano a la premisa del usuario, en este caso, ese armario de
conexiones se encuentra en la sala de operadores del edificio del CPD.
Además, complementando esta tecnología de cableado de proveedor, se utiliza la modalidad

de fibra oscura. Esta modalidad se trata de una red de fibra óptica, alquilada por el proveedor
de servicios, que se ‘ilumina’ por el usuario. Es decir, el usuario maneja la conexión como
él quiera, sin tener que pagar por un ancho de banda, además de poder utilizar los protocolos
de comunicación que más convengan. Por estas razones, se ha escogido implementar la
tecnología de fibra oscura para el Data Center.
5.7.2 PROVEEDORES
Una empresa puede proporcionar diferentes servicios, en este caso, en el cuál se desarrolla
un CPD para una entidad bancaria, será necesario que el data center proporcione servicios
de ‘MUREX’, de virtualización, pagos SWIFT, y como sitio de almacenamiento de
información de la organización.
151
Por ello, a diferencia del internet contratado en oficinas pequeñas, y hogares, en un CPD es
necesario contratar los servicios de varios operadores de internet, que presenten las mejores
condiciones para cada servicio. Además, al ser un CPD de categoría Tier IV, es necesario
garantizar la máxima disponibilidad. Esto se consigue mediante la contratación de líneas
redundantes, ya sea con el mismo proveedor, o contratar un segundo ISP para el mismo
servicio.
En este caso, los proveedores que se contratan son los siguientes:
 Telefónica: para la conexión entre la sede central y el CPD, debido a que se trata del
proveedor de línea más grande de España, lo que proporciona una garantía de
correcto funcionamiento.
 British Telecom: al tratarse de una entidad financiera, es necesario tener conexiones
con Londres, al tratarse de la capital financiera a nivel europeo. BT garantiza una
buena conexión con este país, y la más barata en comparación con el resto debido a
que se trata de una compañía británica.
 Verizon y Telefónica: de la misma manera que es necesario una conexión con
Londres, también es necesario tener una conexión con la bolsa de Nueva York, y las
correspondientes oficinas que tenga la empresa allí. Para estas conexiones, se
utilizarán dos compañías distintas como son Verizon y Telefónica.
Los precios de la implantación de estas líneas no se pueden reflejar al tratarse de una

información confidencial.
La conexión con estos proveedores se realiza por fibra oscura, y mediante FFTC como se
explica en la anterior sección (5.7.1 Implementación del Acceso por Fibra).
Cada uno de estos proveedores, dispone de un switch dentro de la habitación de operadores

de la sala de ordenadores, que son manejados por técnicos de dichos proveedores.
Debido a que estos switches son propiedad de los proveedores, y simplemente se

proporciona un espacio para colocarlos, no se incluyen en el presupuesto.
152
5.8 BALANCEADORES DE CARGA
En el apartado 2.5 Balanceadores de Carga, se ha explicado brevemente el funcionamiento

de estos dispositivos. El método de implementación por el que se opta, es por la
implementación por hardware, ya que permite el máximo rendimiento, y va a permitir mayor
flexibilidad.
Gracias a que los firewalls instalados en el acceso de red del centro realizan ya un balanceo
de carga hacia los switches del Core, y que éstos switches son configurados con VSS (o
mediante HSRP, si no se configura el clúster virtual), solo será necesario colocar
balanceadores de carga entre la capa de acceso y de agregación del data center.
A la hora de elegir el fabricante para balanceadores, no hizo falta realizar ninguna

comparativa debido a la gran diferencia que existe entre el líder y el resto según el cuadro
mágico de Gartner:
Ilustración 50Cuadro Mágico de Gartner Balanceadores de Carga [65]
153
El balanceador que se va a utilizar un chasis BIG-IP de F5, en el cual se colocan módulos

con distintas funciones. Esto permite que el hardware que se va a dedicar al balanceo,
también sirva para dar otros servicios necesarios en este nivel de la arquitectura como la
descarga de ssl, firewalling, y memoria caché de web.
El modelo a utilizar es el F5 BIG-IP LTM-2200s, con módulos de Local Traffic Manager

(LTM), Application Security Manager (ASM), y WebAccelerator, para el balanceo de
tráfico, el encapsulado y descarga de SSL, y caché web, respectivamente.
Ilustración 51 F5 BIG-IP LTM 2200s [66]
Estos dispositivos se colocan lógicamente entre las capas de acceso y agregación, y,

físicamente, todos en el mismo rack, al lado de los switches de distribución. Su colocación
en el rack es de la siguiente manera:
154
Ilustración 52 Rack con Balanceadores de Carga
Cada dispositivo tiene 10 puertos, por lo que será necesario utilizar un dispositivo por cada
switch de acceso que tenga la arquitectura de red del sistema, es decir, en total se utilizarán
seis unidades.
El precio de este dispositivo es 25.300,00 € por unidad [33]. Por lo que la inversión total
destinada a balanceadores de carga es 151.800,00 €.
El uso de los puertos es el siguiente: 4 puertos hacia los dos switches de agregación (2 y 2),
y se conectarán 3 switches de acceso a cada dispositivo, de manera que cada switch de acceso
estará conectado a tres balanceadores diferentes, otorgando así redundancia tanto de enlace,
como de hardware.
5.9 TOPOLOGÍA DE FIREWALLS UTILIZADA
Como bien se ha descrito en el capítulo 2, apartado Firewall; existen tres topologías básicas.
Debido a que un CPD maneja datos críticos de la empresa, y además proporciona servicios
web para toda la organización, es necesario el uso de la arquitectura más segura en las
conexiones con entornos externos no controlados (Internet), la del Firewall dual.
155
Sin embargo, en las conexiones con entornos externos controlados (oficinas, empresas,
edificios de la organización etc.) se opta por la topología de bastión, implementando un único
clúster de firewalls, sin necesidad de zona DMZ ya que no son necesarios servidores de
front-end.
En la topología dual se utilizan dos clústeres de firewall, y como medida de máxima

seguridad conviene utilizar diferentes proveedores para cada clúster, pero debido a que esto
aumentaría los costes, dificultaría la implementación, y los técnicos tendrían que estar
especializados en las tecnologías de ambos fabricantes, se opta por utilizar firewalls de un
solo fabricante.
A hora de elegir un fabricante de firewalls, se analizaron 3 marcas diferentes: Cisco,

CheckPoint y Palo Alto.
Se analizó la propuesta de Firewalls que presenta Cisco con su serie Cisco Firepower debido
a que toda la tecnología de switches es de la misma compañía, y esto facilitaría tarea de
troubleshooting para los técnicos del centro, pero debido a la observación del cuadro mágico
de Gartner (Ilustración 53) se optó a estudiar los firewalls de CheckPoint y de Palo Alto.
156
Ilustración 53 Cuadro Mágico de Gartner para FW empresariales
Entre CheckPoint y Palo Alto, existen 2 elementos diferenciales.
El primer punto es el precio. Los CheckPoint tienen un precio de inversión inicial menor, lo
que en un principio inclina la balanza hacia este fabricante.
El segundo punto, quizá más importante desde el punto de vista económico a medio y largo
plazo, se trata de que los dispositivos de CheckPoint son modulares, a diferencia de los Palo
Alto. En un principio, es posible que se vea esto como una ventaja, pero a la hora del contrato
de mantenimiento de las tecnologías, el fabricante garantiza que las nuevas versiones
software sean compatibles con los chasis del dispositivo, pero no con los módulos. Lo que
hace que exista una posibilidad de que el dispositivo adquirido quede anticuado al poco
tiempo de haber adquirido el producto.
Debido a este segundo punto diferenciante, se opta por las tecnologías de Palo Alto, a pesar
de que los firewalls tienen un precio mayor inicialmente.
En este caso, y para ambas conexiones, se van a utilizar los “PALO ALTO 3000 Series PA-
3060”.
157
Ilustración 54 Palo Alto Series 3000
Se ha elegido este modelo debido a que se trata de la gama alta de la serie que ofrece la
compañía, con una capacidad de hasta 500.000 sesiones simultáneas, y capacidad de crear
50.000 sesiones nuevas cada segundo, lo que mitiga de manera drástica los riesgos de
ataques DDoS. El precio de este dispositivo asciende hasta 19.999,00 € [67]. Debido a que
se van a utilizar 6 dispositivos, será necesario un presupuesto de 119.994,00 €.
Además, hay que añadir la pareja de firewalls que se utilizan para proteger la comunicación
entre el core y los switches de la sala de seguridad y de los entornos previos.
Para esta comunicación, se elige el modelo de gama baja, el 3020, debido a que no tendrá
que soportar tanta carga de tráfico como los firewalls de salida. Este modelo tiene un precio
unitario de 7.599,00 € [67]. Por lo que la inversión para estos firewalls es 15.198,00 €.
El resto de características importantes, en la sección Parte I1. A.3 PALO ALTO 3000 Series
PA-3060 del Error! Reference source not found..
Estos dispositivos, necesitan la adquisición de un hardware y un software que permitan

gestionarlos fácilmente.
Estas soluciones de Palo Alto se tratan del hardware PA-M series y del software de gestión
Panorama. Con la licencia de este software, se puede centralizar la gestión de los firewalls
de la empresa a pesar de que puedan estar en diferentes localizaciones, tener diferentes
políticas de acceso, y se trate de diferentes dispositivos de la misma marca.
Para que Panorama funcione correctamente, es necesario colocar un dispositivo PA-M-500

como gestor central, que se colocará en la oficina central de la entidad para que sean los
158
equipos de seguridad lógica y de comunicaciones quienes se encarguen de la gestión de la

política de firewalls. Como este dispositivo se colocará en la sede central, y servirá para
controlar todos los firewalls de la entidad, no se incluye en el presupuesto del CPD.
Sin embargo, también es necesario colocar un log collector para que lleve a cabo un tracking
del rendimiento de los firewalls del centro de datos, que permita almacenar la información
de los firewalls. Este dispositivo será un PA M-100 en modo log collector.
Debido a que tanto la central, el log collector y la licencia de Panorama se instalan en la sede
central de la compañía, no se incluyen en el presupuesto de la sala de ordenadores del CPD.
El presupuesto total destinado a la protección mediante firewalls es 135.192,00 €.
5.10 PROXIES UTILIZADOS
De nuevo, como a la hora de elegir los firewalls, se analizan tres fabricantes diferentes:
Cisco, Blue Coat y Zscaler.
Como en la anterior sección, se procedió a analizar el fabricante cisco por la razón de tratar
de utilizar el mínimo número de fabricantes que se utilizan, y así facilitar tarea a los técnicos,
pero el mismo punto diferencial hace que no se elija a Cisco como fabricante de proxies.
Este punto diferencial es el del cuadro mágico de Gartner en el sector de proxies.
159
Ilustración 55 Cuadro Mágico de Gartner Proxies. [65]
A la hora de analizar los puntos diferenciales de los dos líderes del sector, es necesario
entender las funcionalidades principales de cada fabricante.
Por parte de Zscaler, proporciona seguridad web mediante filtrado web, control y visibilidad
del contenido, con protección individual por cada usuario y análisis en tiempo real, perfecto
para protección para portátiles, móviles, tablets y dispositivos IoT [68].
En cambio, los proxies de BlueCoat proporcionan seguridad rebusta mediante autenticación

por cada conexión, filtrado web, prevención de pérdida de datos, encriptación SSL, y gestión
de caché y ancho de banda [69].
Debido a estas características generales, 24% de firmas financieras optan por Blue Coat,
frente al 14% que opta por Zscaler.
Por estas razones, se opta por la compañía Blue Coat. El modelo que se implementa en el
data center de este TFG se trata de un Bluecoat PROXYSG 600 SERIES SG600-35. Un
modelo de alta gama que garantiza la seguridad a la hora de realizar búsquedas y conexiones
a Internet.
160
Se implementarán dos proxies, para permitir redundancia física. El precio de cada proxy es
de 20.500,00 € [70] , por lo que la inversión total destinada hacia los proxies es de 41.000,00
€
Ilustración 56 Bluecoat SG600 Series
El proxy es configurado como un proxy transparente que actuará como Gateway de salida a
internet. Para ello, es necesario habilitar en los switches del Core el protocolo WCCP para
proporcionar redundancia y distribución de carga en la red. Este switch realiza conexiones
con el proxy por paquetes Hello cada 30 segundos para revisar la conexión. En caso de fallo
de comunicación, el Gateway redirecciona las peticiones automáticamente a otro servidor
proxy.
5.11 SERVIDORES UTILIZADOS
Un CPD, como bien dice su nombre, sirve para procesar los datos que maneja la entidad. Y
para tener capacidad de procesamiento es necesario contar con servidores potentes que
puedan realizar dichas tareas.
Dentro de los servidores, existen multitud de funciones que pueden realizar, pero como el
objetivo primario de este Trabajo de Fin de Grado es detallar las comunicaciones de la sala
de ordenadores, pero no explicar la parte de producción o procesamiento, se va a explicar
los diferentes tipos de servidores genéricos que puede tener un data center, que más tarde un
técnico puede programar para que realice diferentes funciones como pueden ser: analíticas,
cloud computing, operaciones de desarrollo, operaciones en Linux, operaciones de datos
móviles, seguridad, virtualización, funciones web (DHCP, DNS, NAT…), etc.
161
Dentro de los servidores, es necesario destacar dos grandes tipos:
 Servidores potentes que se encargan de tareas específicas.

 Servidores ‘multi-usos’ que sirven como apoyo cuando se necesita más capacidad de
procesamiento.
5.11.1 SERVIDORES MAINFRAME
Los servidores MainFrame son aquellos servidores que sirven para realizar las tareas
específicas que les haya programado el técnico, y estarán siempre destinados a realizar dicha
tarea.
Para este tipo de servidores, se han elegido dos marcas líderes en el sector tecnológico, como
son IBM y Oracle.
Elegir dos fabricantes distintos se debe a que cada uno es líder de un sector diferente, IBM
vende MainFrames muy potentes, con características perfectas para el procesamiento en la
mayoría de tareas. Oracle, por otra parte, es líder en cuanto a servidores de bases de datos, y
sus servidores rinden de manera excepcional en tareas que requieren un gran uso de las bases
de datos de la empresa, como puede ser por ejemplo, servir de respaldo para todas las
transacciones que los clientes de un banco realizan, ya sean en cajeros o por internet.
5.11.1.1 IBM z Systems (Mainframes) - z13s

Se ha elegido este servidor por delante de otros debido a que IBM tiene un gran historial de
creación de servidores de gran potencia de computación, lo que da garantías de que va a ser
una buena inversión. Además, proporciona una gran respuesta a la hora de trabajar con
procesos muy pesados como puede ser la encriptación de datos, virtualización etc.
Lo primero a destacar, es que este servidor viene montado en su propio rack, con las medidas
estándar.
Se trata de un servidor con una escalabilidad excepcional, con capacidad de comunicaciones

de memoria compartida de nueva generación.
162
Proporciona servicios a tiempo real en el punto de impacto, con procesos de transacción y

analíticas integrado. El precio del servidor con una configuración media asciende hasta
1.000.000,00 € [71].
Como se van a utilizar 20 unidades, la inversión necesaria para los servidores IBM es de
20.000.000,00 €
El resto de especificaciones importantes se encuentra en el Error! Reference source not

found., en la sección Parte I1. A.5 IBM z Systems (Mainframes) - z13s.
En esta ilustración se observa su estructura en rack:
Ilustración 57 Servidor MainFrame de IBM (z13s) [71]
5.11.1.2 Oracle Exadata DataBase Machine X6-8

Esta plataforma de servidor, también viene configurado en su propio rack.
Esta plataforma proporciona un gran rendimiento y escalabilidad para todo tipo de

aplicaciones que necesiten acceso a bases de datos.
163
Este modelo se trata de un servidor de bases de datos con 8 sockets, y encaja de manera
perfecta para operaciones OLTP15, trabajos de gran uso de memoria, consolidaciones con
BBDD de gran escala, e incluir la base de datos como un servicio (DBaaS).
El precio de una unidad de este tipo de servidor es 1.378.000,00 €, por lo que el capital total
destinado a la adquisición de este tipo de servidores es de 27.560.000,00 € [72].
El resto de especificaciones importantes se encuentra en Error! Reference source not

found., apartado Parte I1. A.6 Oracle Exadata DataBase Machine X6-8.
En la imagen a continuación se ve su estructura en rack:
Ilustración 58 Plataforma Oracle Exadata DataBase Machine X6-8 multi-rack [72]
5.11.2 SERVIDORES BLADE
Este tipo de servidores son unos servidores en ‘hoja’ que se configuran dentro de un mismo
enclosure, y todos los servidores de ese mismo enclosure proporcionan el mismo servicio.
15
OLTP (On-Line Transaction Processing): se trata de un gran número de queries sql básicas (insert, update,
delete). El mayor énfasis de estos sistemas es aportar un procesamiento de query muy veloz, manteniendo la
integridad de los datos en ambientes con multi acceso.
164
Estos servidores, al ser más pequeños, tienen menos capacidad de procesamiento que los
mainframe, pero son igual de importantes, ya que sirven de respaldo cuando un mainframe
u otro enclosure de servidores blade necesitan ayuda para realizar alguna operación.
Además, este tipo de servidores sirven para entornos previos que se encuentran en periodo
de pruebas, para entornos open source, y operaciones que necesitan menos recursos.
Para este tipo de servidores, se va a utilizar un único fabricante, ya que proporciona la

capacidad de procesamiento necesaria para este tipo de servidores.
5.11.2.1 HPE ProLiant BL660c Gen9 Server Blade

Es un servidor perfecto para proporcionar escalabilidad de cargas de trabajo y de
infraestructura.
Es un servidor ideal para aportar flexibilidad de procesamiento, soporta 4 procesadores Intel

Xeon E-5 con hasta 22 núcleos, y 64 GB de memoria DDR4, y memoria flash vía PCIe.
Estas características lo convierten en un servidor muy potente, manteniéndolo en unas

dimensiones pequeñas, lo que hace posible que se puedan formar varios clusters o
enclosures, con varios servidores, dentro de un mismo rack.
Las especificaciones más detalladas en el Error! Reference source not found., en el

apartado Parte I1. A.7 HPE ProLiant BL660c Gen9 Server Blade.
El modelo elegido se trata del modelo con 128GB de ram, y el procesador Intel E5-4650v3.
Este modelo tiene un precio de 30.566,95€ [73].
5.11.2.2 HP BLc7000 Platinum Enclosure

Una de las características más importantes de los servidores blade, es que se pueden colocar
en clusters o enclosure, para trabajar como un gran servidor, proporcionando gran
redundancia y mucha capacidad de procesamiento. Para ello se utilizan estructuras
enrackables que proporcionan todo lo necesario para que el clúster funcione de manera
correcta.
165
El enclosure que se va a utilizar es la BLc7000 Platinum.
Este enclosure proporciona potencia eléctrica, enfriamiento, y puertos I/O necesarios para
los servidores modulares.
Permite almacenar hasta 8 servidores ProLiant BL660c, y tiene un tamaño de 10 U, lo que

permite colocar hasta 4 en un mismo rack. (Por motivos de escalabilidad, colocación de
fuentes de alimentación etc, se colocarán solo 2 por rack).
En la Ilustración 59 Rack con dos Enclosures HP BLc7000 Platinum Enclosure se observa

cómo queda el rack con las dos enclosure de HP, con los 8 servidores; y en la Ilustración 60
Enclosures HP de BBVA, una imagen real de un rack montado en la sala de Mercados C&IB
de BBVA.
Ilustración 59 Rack con dos Enclosures HP BLc7000 Platinum Enclosure
166
Ilustración 60 Enclosures HP de BBVA
El precio unitario de esta enclosure es 4.745,00 € [73].
Se van a colocar 52 enclosures en total. En cada enclosure 8 servidores, por lo que 408
servidores blade. La inversión total para servidores blade es de 12.718.055,60 €.
5.12 SALA DE SEGURIDAD
Se menciona a lo largo de todo el documento, que un centro de datos maneja datos críticos
de la compañía, por esta razón existe tanta seguridad tanto física, como lógica, y es necesario
identificarse y pasar controles de acceso cada vez que se quiera acceder a las diferentes salas
del centro.
Pero hay unos datos que son más críticos que otros. Es posible que la entidad posea datos de
máxima confidencialidad, como pueden ser datos bancarios de los máximos dirigentes de la
organización, negocios críticos que la entidad se encuentra realizando, o que se realizaron
en el pasado, o las diferentes claves de encriptación que son utilizadas.
167
Para todos estos datos de máxima criticidad, se crea una sala aislada dentro de la sala de
ordenadores. Para poder entrar en esta sala es necesario tener mayor nivel de autoridad, y no
se permite el paso a visitantes, ni equipo técnico normal que gestiona la sala de ordenadores.
Esta sala tiene servidores de almacenamiento con datos encriptados, y un switch de alto
rendimiento que se conecta directamente al core de la topología de red de la sala de
ordenadores.
5.13 CABLEADO
Como bien se ha explicado en la sección 2.13 Cableado, se trata de un punto que debe tener
grandes niveles de calidad para permitir una comunicación óptima.
Todo el cableado de la red, será llevado por bandejas llamadas Rejiband colocadas en el
techo para tener un diseño limpio en la sala. Estas bandejas se llevan por el techo, en vez por
el suelo, debido a que el suelo se trata de un falso suelo que se utiliza para la refrigeración
de las máquinas. En la siguiente figura, se observan estas rejiband del centro de
procesamiento de datos de Facebook.
Ilustración 61 Cableado de CPD de Facebook [74]
168
En la sala de ordenadores, se utilizarán 4 niveles de rejiband: un primer nivel para cables de

cobre, un segundo nivel para fibra óptica de conexiones Ethernet, el siguiente nivel se trata
de conexiones por fibra hacia la red SAN, y el último nivel es para el cableado que suministre
la potencia eléctrica.
La distribución de estas bandejas, se realiza justo entre filas de racks, es decir, encima de
cada pasillo. La bandeja recorrerá todo el pasillo hasta llegar el pasillo central, donde se une
al ‘puente’ central de rejiband, que recorre desde la entrada hasta el final de la sala de
ordenadores.
Con esta colocación, serán necesarios 788 metros de bandejas. Comprobando el precio de
varios mayoristas, integradores y marcas de rejiband16, se estima el precio medio de las
bandejas de 50,00 €/metro (incluyendo las partes de fijación y soporte de las bandejas). Por
lo que el presupuesto que se necesita para las rejiband es de 39.400,00 €.
Además, se utilizarán diferentes etiquetas y colores de cable para cada servicio diferente que
preste la red. (VoIP, datos, C&IB etc).
16
Para esta estimación, se utilizan mayoristas, integradores y marcas líder del sector. Estos precios analizados
se pueden comprobar en los siguientes enlaces de la bibliografía: [83] [84] [85]
169
Ilustración 62 Colores y Etiquetado de los cables [46]
5.13.1 PATCH PANEL
Un ‘Patch Panel’ no es más que una terminación para los cables. Es posible que se piense
que conectar la terminación del RJ-45 que viene desde el servidor directamente al switch es
la manera más óptima de cablear, pero el patch panel introduce una serie de ventajas.
Los patch panel se pueden etiquetar. En el punto anterior se ha explicado que los cables se
etiquetarían y se utilizarían diferentes colores, pero etiquetar un patch panel es más seguro,
ya que es más improbable que esta etiqueta se caiga, y además es más fácil de leer.
Los patch panel a utilizar en este CPD ocupan un armario completo por cada fila de
servidores de la sala de ordenadores, y, además, tendrán un reflejo en la fila en la que se
colocan los switches de agregación. También se utilizan patch panels para interconectar
switches de la capa de agregación con la de core.
Hay que destacar, que un patch panel no funciona como amplificador de señal, por lo que,
es un factor a tener en cuenta a la hora de colocar la electrónica en la sala. Ya que, en el caso
del cobre, no puede haber más de 90 metros entre dispositivos. (Ya sean conexiones entre
servidor y switch, o almacenamiento y servidor, etc).
170
Ilustración 63 Etiquetado en Patch Panel [75]
5.13.2 CABLEADO INTELIGENTE
En un centro de datos, la productividad de las instalaciones es un elemento clave. Y, a la

hora de realizar ‘troubleshooting’ controlar vía software el cableado de la instalación puede
ahorrar mucho tiempo. La solución para esto es el cableado inteligente.
Esta solución no es más que dotar a los patch panels de un controlador software, que lleve
en su base de datos la información que los puertos que están siendo utilizados, e indicar qué
conecta con qué.
La solución elegida, se trata de una herramienta de la compañía CommScope.
El hardware utilizado es “SYSTIMAX 360™ iPatch® FTP Evolve Panel, 48 port”, que se
trata de un patch panel, con la capacidad de poder gestionarlo a través de un controller. El
precio de cada módulo de 48 puertos es de 590,00 € [76].
El controller se trata del “SYSTIMAX 360™ imVision® Controller”. Un panel táctil que se
coloca encima del patch panel, que nos indica, como se ha explicado antes, el origen y
destino de la comunicación, así como los puertos utilizados tanto en el patch panel que
controla, como en el reflejo. El precio de este controlador es 1.450,00 € [76].
171
Ilustración 64 Patch Panel Inteligente [77]
Cada rack destinado a patch panel tendrá 10 módulos, y un controller, por lo que el precio
es de 7.350,00 € por cada rack. Como se utilizan 15 racks para el patch panel, será necesario
invertir 110.250,00 €.
5.14 VALOR AÑADIDO PARA UNA ENTIDAD BANCARIA
Un centro de datos potente permite a una entidad bancaria almacenar todos los datos de
transacciones realizadas tanto por el banco como por los clientes. Permite realizar estudios
analíticos sobre estos datos, así como estadísticas y regresiones para estimar los recursos y
beneficios futuros.
A parte de esto, los beneficios de una entidad bancaria no se limitan simplemente a las
transacciones que realizan los clientes, sino que también tiene departamentos de banca de
inversión, hipotecas, préstamos, compra de divisas etc. Las cuales necesitan potencia de
procesamiento que les proporciona la nube privada creada por el CPD mediante la
virtualización y los servidores de procesamiento que se encuentran en dicho centro.
Además, si la capacidad del CPD no fuera suficiente, es posible realizar una migración de
servicios hacia una nube híbrida contando con los servicios de Amazon y su “alquiler” de
servidores cloud.
Gracias a BBVA, se obtiene un ejemplo de cómo se diseñó un salto a nube híbrida en caso
de que el banco necesitara más capacidad de procesamiento. En este caso, se estudió la
172
posibilidad de aumentar los servicios de grid computing del banco mediante Silver Fabric y
DataSynapse y la contratación de servicios cloud de Amazon.
El esquema de las conexiones es el siguiente:
Ilustración 65 Esquema Conexiones con Amazon Cloud
En el caso del centro de datos diseñado, los servidores a utilizar como Directores Broker,
dependiendo de la capacidad de procesamiento necesaria para la conexión, se podría utilizar
un clúster de servidores Blade HP en caso de que fuera una conexión que no necesite mucha
capacidad de procesamiento para mantener la conexión, o si los servidores de Amazon
necesitasen mucha información de las bases de datos de la entidad bancaria, se utilizaría un
servidor Oracle ExaData, ya que es el servidor que mejor gestiona y maneja las BBDD.
Esta conversión a nube pública se puede automatizar midiendo la capacidad disponible en

el centro de datos. Estas medidas se realizan mediante los protocolos de gestión SNMP y
RMON.
173
Para asegurarse de que nunca se llega a la máxima capacidad del CPD, se implanta un límite
de uso de nube privada en un 70% de la capacidad. Por lo que una vez que se llegue a un uso
del 70% de la capacidad de procesamiento, se empezará a ‘alquilar’ y realizar conexiones
con los servidores de cloud pública de Amazon Cloud.
La nube híbrida se mantendrá hasta que la capacidad que se utiliza del centro no baje hasta
el 55%.
Estos límites se fijan en estos porcentajes, debido a que no se quiere llegar al extremo de
utilizar demasiada capacidad de procesamiento ya que esto podría colapsar toda la entidad,
traduciéndose en pérdidas de dinero. Además, el límite inferior se fija bastante por debajo
del límite superior, debido a que es posible que el porcentaje de uso puede variar
drásticamente mientras se realizan tareas pesadas, y se quiere evitar que se produzcan
conexiones y desconexiones continuamente con la nube pública, debido a que esto produciría
retardos, es posible que los servicios colapsen, y que alguna conexión falle.
5.15 ALTERNATIVAS DE DISEÑO
A la hora de diseñar un edificio tan complejo como es un CPD, siempre existe una gran
variedad de alternativas, o diferentes prácticas que modificarían el diseño o el rendimiento
del centro.
5.15.1 MODELOS DE GAMA ALTA
En el diseño de este centro, se ha tenido en cuenta la relación calidad/precio de todos los

componentes y dispositivos a utilizar, por lo que la primera alternativa que se observa a
simple vista, sería utilizar los productos de gama más alta de todas las compañías (utilizar
switches Nexus 9000 en vez de 7000, proxies SG900, Palo Alto 6000 etc), y utilizar fibra
óptica en todas las conexiones para mejorar los tiempos de latencia de las conexiones.
174
Debido a que esta alternativa no necesita un estudio profundo, simplemente se hace una
mención y se pasa a analizar el resto de posibles medidas.
5.15.2 FIREWALLS DE DIFERENTES FABRICANTES

Para comenzar, como se ha explicado en el capítulo 5.9 Topología de Firewalls Utilizada, se
trata de muy buena práctica utilizar firewalls de diferentes compañías para cada clúster de la
topología dual, para asegurarse de que una amenaza que sea capaz de saltar el primer clúster
de firewalls, tenga más difícil atravesar el segundo clúster, puesto que se trata de tecnologías
diferentes. El problema de esta medida, es que los técnicos de ciberseguridad necesitan
conocimientos especializadas en ambas tecnologías, y además, aumentaría el presupuesto
(necesario pagar diferentes soportes, comprar menos unidades a cada proveedor etc).
5.15.3 ELIMINAR CAPA DE ACCESO
Otra medida diferente, se trata de saltarse la capa de acceso de la configuración, y conectar

directamente los grupos de servidores a la capa de agregación. Debido a la potencia de la
que disponen los switches nexus, se trata de una medida muy viable. Además, abarataría el
coste destinado a la adquisición de los switches, ya que no sería necesario adquirir los
switches de acceso. Esta medida no cambiaría la topología de switching escogida, puesto
que no se ha optado por un diseño TOR, ni EOR (ver Diseño de Switching).
Que los servidores se conecten directamente a la capa de agregación, obligaría a tener más
dispositivos en esta capa. Debido a que no existe una capa de switches de acceso, no se
ejecutaría el balanceo de carga con la misma efectividad, por lo que sería necesario adquirir
más balanceadores de carga para mejorar esta tarea.
Además, como esta capa de distribución estaría cerca del punto de saturación, en cuanto a
capacidad de procesamiento se refiere, sería necesario colocar dispositivos IDS, que se
encarguen de la seguridad, y del cifrado y descifrado SSL que anteriormente ejecutaban los
balanceadores.
175
5.15.4 LIBERAR FUNCIONES DE ROUTING EN EL CORE
Otra técnica que se podría haber utilizado es colocar routers por encima de la capa de núcleo,
que libere a esta capa de las tareas de enrutamiento externo, lo que permitiría que los
switches de núcleo utilizaran más capacidad de procesamiento para balancear y analizar el
tráfico que llega hasta esta capa. La consecuencia de esta alternativa se trata en que esto
aumentaría considerablemente el coste destinado a la infraestructura Ethernet, puesto que es
necesario que los routers sean redundantes y fiables.
176
6. ANÁLISIS DE RESULTADOS
La sala de ordenadores del CPD diseñada en este proyecto, tiene unas dimensiones de 621
metros cuadrados, lo que da capacidad para albergar 20 servidores MainFrame de alta
capacidad de procesamiento como los IBM z13s, otros 20 servidores de alta capacidad de
gestión de datos como los Oracle ExaData, y hasta 408 servidores blade ProLiant de HP.
Realizando una comparativa con el CPD Tres Cantos I de BBVA, se estima que este data
center tiene una capacidad de gestionar hasta 20 millones de operaciones diarias [78].
Además, los switches de red utilizados son de ultra baja latencia. Al combinar estos switches
con conexiones de alta capacidad, ya sea de cobre o de fibra, introduce una mínima latencia
por debajo de los 1.5 microsegundos.
Los resultados de la topología física y lógica son los siguientes:
177
Ilustración 66 Topología física
178
Ilustración 67 Esquema Lógico de Conexiones
179
Para la realización real del proyecto, se ha estimado un presupuesto de 64.506.254,75 € antes

de impuestos.
6.1 SERVICIO CLOUD
Como bien se ha explicado en la introducción del proyecto, estamos en la era de la

información digital, y procesar correctamente esa información es vital. De ahí la importancia
que toma un centro de datos para una empresa, especialmente si es una entidad financiera,
que maneja enormes cantidades de datos críticos y confidenciales de miles de clientes.
El centro de datos sirve como base de computación para toda la organización, ya que gracias
a sus conexiones y servidores, los diferentes departamentos de la organización disponen de
servicios de virtualización y de procesamiento.
Además, en caso de que la cloud privada no tuviera suficientes recursos disponibles para
realizar cualquier tarea, es posible pasar a un modelo de nube híbrida mediante la
contratación de capacidad de procesamiento de Amazon Cloud.
180
CONCLUSIONES Y TRABAJOS FUTUROS
7. CONCLUSIONES Y TRABAJOS FUTUROS

Tras todo el proceso de análisis, y planificación, se ha conseguido diseñar el Networking de
un CPD de categoría Tier IV de última generación, dando un nivel de redundancia 2N+1 a
todos los niveles de comunicación, siendo esto redundancia física en cada dispositivo, así
como redundancia a niveles de enlace y conexiones entre los diferentes dispositivos.
Este data center se trata de un CPD con dispositivos innovadores como son los servidores
zSystem de IBM, permite ser el cerebro, y centro de operaciones de casi cualquier gran
empresa, en especial empresas bancarias que necesiten gran capacidad de procesamiento de
los datos que tienen almacenados en las bases de datos, gracias a la rapidez y gran respuesta
que tienen los servidores Oracle ExaData, especializados en análisis de bases de datos.
Además, la infraestructura Ethernet, normalmente se realiza saltándose la capa de acceso, y

con una topología de switching del estilo TOR; sin embargo, en la topología diseñada, se
crea la capa de acceso, lo que facilita las funciones de gestión y facilita el trabajo de
corrección de problemas, debido a que segrega todavía más las funciones realizadas por cada
capa. También al crear una topología de switching mixta entre TOR y EOR, se crea una
mejor redundancia física en los switches.
7.1 TRABAJOS FUTUROS
Existen numerosos posibles trabajos futuros que se pueden realizar para completar el centro
de datos que se ha diseñado en este trabajo.
181
CONCLUSIONES Y TRABAJOS FUTUROS
7.1.1 RED SAN
En este proyecto se ha cubierto sólo la parte de conexiones de la sala de ordenadores, por lo

que se podría realizar un estudio de la red de almacenamiento SAN que se debería colocar
en el CPD.
7.1.2 SDN
El posible trabajo futuro que añadiría más valor al proyecto realizado, se trata de basar todas
las conexiones en la tecnología SDN (Software Defined Network). Esta tecnología no es
más que un conjunto de medidas que permiten que la topología de red lógica sea dinámica
y escalable, facilitando el trabajo del administrador de red, ya que gestiona por si sola los
servicios de bajo nivel. Para conseguir estos objetivos, SDN separa el plano lógico (software)
del plano de datos (hardware). De manera que existen controladores virtuales que manejan
estratégicamente las funciones de los switches y routers de la red.
Debido a la dificultad y gran extensión que supone explicar detalladamente esta medida, se
pone como referencia un TFG del curso 2014/15 que se basa en la explicación de
“Arquitecturas SDN/NFV: conceptos, ámbitos de aplicación y caso de uso en la red de BT
Global Services España” por Ana San Francisco Morales.
7.1.3 EDIFICIO FÍSICO
También es posible realizar proyectos en los que se estudien y diseñen el edificio en el que
se va a encontrar el CPD, o un estudio del suministro de potencia eléctrica necesitada por un
CPD de estas características, aunque estos dos últimos proyectos no serían de ingeniería de
telecomunicaciones.
182
BIBLIOGRAFÍA
8. BIBLIOGRAFÍA
[1] DOMO, «DOMO Data Never Sleeps,» 30 03 2016. [En línea]. Available:
https://www.domo.com/learn/data-never-sleeps-3-0.

01.ibm.com/software/data/bigdata/what-is-big-data.html. [Último acceso: 07 04 2016].

https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos. [Último acceso: 15
March 2016].
[4] V. Gite, «CyberCiti,» 7 June 2008. [En línea]. Available:

http://www.cyberciti.biz/faq/data-center-standard-overview/. [Último acceso: 12
March 2016].

http://www.cyberciti.biz/faq/data-center-standard-overview/. [Último acceso: 16
March 2016].
[6] D. Kerr, «EuroMoney.com,» - 09 2014. [En línea]. Available:

http://www.euromoney.com/Article/3379655/Digital-banking-BBVAs-GonzlezThe-
digital-banker.html. [Último acceso: 28 March 2016].
[7] «Wikipedia,» [En línea]. Available: https://en.wikipedia.org/wiki/Cloud_computing.

[Último acceso: 1 April 2016].
183
BIBLIOGRAFÍA
[8] «Interroute,» [En línea]. Available: http://www.interoute.com/cloud-article/what-

cloud-computing. [Último acceso: 1 April 2016].
[9] «InterRoute,» [En línea]. Available: http://www.interoute.com/cloud-article/what-

public-cloud. [Último acceso: 1 April 2016].
[10 «InterRoute,» [En línea]. Available: http://www.interoute.com/cloud-article/what-

] private-cloud. [Último acceso: 1 april 2016].
[11 M. Rouse, «TechTarget,» [En línea]. Available:

] http://searchcloudcomputing.techtarget.com/definition/cloud-bursting. [Último acceso:
1 April 2016].
[12 D. Lunn, «TechTarget,» [En línea]. Available:

] http://searchdatacenter.techtarget.com/es/consejo/Almacenamiento-en-la-nube-
hibrida-Que-datos-van-donde. [Último acceso: 2 April 2016].
[13 «Gigas,» 13 June 2014. [En línea]. Available: https://gigas.com/blog/claves-para-tener-

] exito-en-proyectos-de-nube-hibrida. [Último acceso: 30 March 2016].
[14 EMC, «EMC Spain,» [En línea]. Available:

] http://spain.emc.com/corporate/glossary/hybrid-cloud.htm. [Último acceso: 31 March
2016].
[15 VMWare, «VMWare.com,» [En línea]. Available:

] https://www.vmware.com/virtualization/how-it-works.html. [Último acceso: 2 June
2016].
[16 «Wikipedia,» [En línea]. Available:

] https://en.wikipedia.org/wiki/Data_center#Data_center_tiers. [Último acceso: 23 May
2016].
184
BIBLIOGRAFÍA
[17 Aodbc, «blog Aodbc,» [En línea]. Available:

] https://blog.aodbc.es/2012/07/10/clasificacion-tier-en-el-datacenter-el-estandar-
ansitia-942/. [Último acceso: 22 March 2016].
[18 «Uptime Institute,» [En línea]. Available: https://uptimeinstitute.com/about-ui/news-

] press. [Último acceso: 26 March 2016].
[19 E. F. M. O. Angélica María López Garcés, «wiki Spaces,» [En línea]. Available:
] https://sx-de-tx.wikispaces.com/FTTx. [Último acceso: 24 May 2016].
[20 Wikipedia, «Wikipedia,» [En línea]. Available:

] https://en.wikipedia.org/wiki/Fiber_to_the_x. [Último acceso: 24 May 2016].
[21 T. Newton, Fibre Broadband: What is FTTC aka Fibre to the Cabinet and what does it
] mean?, 2012.
[22 FTTH Council, «FTTH Council,» [En línea]. Available:

] http://www.ftthcouncil.org/p/cm/ld/fid=25. [Último acceso: 24 May 2016].
[23 F5, «f5.com,» [En línea]. Available: https://f5.com/glossary/load-balancer. [Último

] acceso: 2 June 2016].
[24 C. Forrest, «TechRepublic.com,» 2 December 2015. [En línea]. Available:

] http://www.techrepublic.com/article/data-center-101-choosing-a-load-balancer/.
[Último acceso: 7 June 2016].
[25 J. R. Vacca, Computer and information security handbook (p. 355), Amsterdam, 2009.
]
[26 R. Chang, «Defending Against Flooding-Based Distributed Denial-of-Service Attacks:

] A tutotial,» IEEE Communications Magazine, 2002.
185
BIBLIOGRAFÍA
[27 M. Chapple, «TechTarget.com,» October 2005. [En línea]. Available:

] http://searchsecurity.techtarget.com/tip/Choosing-the-right-firewall-topology-Bastion-
host-screened-subnet-or-dual-firewalls. [Último acceso: 31 May 2016].
[28 «Wikipedia.com,» [En línea]. Available:

] https://es.wikipedia.org/wiki/Zona_desmilitarizada_%28inform%C3%A1tica%29.
[29 E. Rico, «Otroespacioblog.wordpress.com,» 9 April 2015. [En línea]. Available:

] https://otroespacioblog.wordpress.com/2015/04/09/servidores-web-proxy-definicion-
tipos-y-ventajas/. [Último acceso: 1 June 2016].
[30 Anonymous, «websense.com,» [En línea]. Available:

] http://www.websense.com/content/support/library/web/v75/wcg_deploy/WCG_Deplo
y.1.3.aspx. [Último acceso: 1 June 2016].
[31 R. Ortega, Tema 5b - DC Design., ICAI.

]
[32 Cisco, «Cisco,» [En línea]. Available:

] http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/DC_Infra2_5/
DCInfra_2.html. [Último acceso: 20 April 2016].
[33 F5, «f5.com,» [En línea]. Available: https://f5.com/glossary/ssl-offloading. [Último

] acceso: 2 May 2016].
[34 J. Sojo, «ElServidorSC,» [En línea]. Available:

] http://elservidorsc.blogspot.com.es/2013/09/virtual-switching-system-vss-cisco.html.
[Último acceso: 28 April 2016].
186
BIBLIOGRAFÍA
[35 Cisco, «Cisco,» 17 September 2009. [En línea]. Available:

] http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-virtual-
switching-system-1440/prod_qas0900aecd806ed74b.html. [Último acceso: 1 May
2016].
[36 Cisco, «Cisco,» 14 January 2014. [En línea]. Available:

] http://www.cisco.com/c/en/us/products/collateral/switches/nexus-5000-series-
switches/white_paper_c11-522337.html. [Último acceso: 31 March 2016].
[37 R. K, «Exciting IP,» 09 February 2012. [En línea]. Available:

] http://www.excitingip.com/2802/data-center-network-top-of-rack-tor-vs-end-of-row-
eor-design/. [Último acceso: 16 March 2016].
[38 R. Ortega, Diseño y Gestión de Infraestructuras, Madrid: ICAI, 2015.

]
[39 Cisco Systems, «Understanding Routed VLAN Interfaces on EX Series Switches,» de

] Building Cisco Multilayer Switched Networks, Cisco, 2006.
[40 R. Ortega, «Routing en la Red,» de Diseño y Gestión de Infraestructuras II, Madrid,

] 2015, p. 500.
[41 Cisco, «Cisco.com,» 29 October 2001. [En línea]. Available:

] http://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/ip_multicast/White_papers/
mcst_ovr.html. [Último acceso: 3 May 2016].
[42 A. G. Sanluis, Diseño y Gestión de Infraestructuras I, Madrid: ICAI, 2014.

]
187
BIBLIOGRAFÍA
[43 D. E. Radia Perlman, «Cisco,» Intel Labs & Huawei Technologies., July 2011. [En
] línea]. Available: http://www.cisco.com/c/en/us/about/press/internet-protocol-
journal/back-issues/table-contents-53/143-trill.html. [Último acceso: 31 May 2016].
[44 M. Brandenburg, «SearchEnterpriseWan.TechTarget.com,» September 2010. [En

] línea]. Available: http://searchenterprisewan.techtarget.com/tutorial/MPLS-VPN-
basics. [Último acceso: 2 May 2016].
[45 R. Ortega, «MPLS VPN,» de Diseño y Gestión de Infraestructuras II, Madrid, 2016, p.
] 500.
[46 S. Cano, «Cano Consulting,» 08 October 2014. [En línea]. Available:

] http://canoconsulting.net/index.php/blog-movil/item/236-la-importancia-de-un-buen-
cableado-estructurado-para-su-empresa. [Último acceso: 5 May 2016].
[47 Cisco, Data Center Technology Design Guide August 2014 Series, Cisco, 2014.
]
[48 C. Zahumenszky, «Xataka.com,» Xataka, 11 Marzo 2012. [En línea]. Available:

] http://www.xataka.com/otros/viaje-al-corazon-del-cpd-mas-moderno-de-europa.
[Último acceso: 1 March 2016].
[49 D. Dusenberry, Data Center Security, Wiley, 2010.

]
[50 S. D. Scarlet, «CSO Online,» 31 March 2015. [En línea]. Available:

] http://www.csoonline.com/article/2112402/physical-security/physical-security-19-
ways-to-build-physical-security-into-a-data-center.html. [Último acceso: 12 April
2016].
188
BIBLIOGRAFÍA
[51 T. d. C.-A. Lasheras y M. Ureña Pascual, «Instalaciones de Proteccion contra

] Incendios,» de Diseño de un Centro de Proceso de Datos, Madrid, Universidad Carlos
III, 2013, p. 226.
[52 F. Menjibar, «Presentacion Hi-Fog al Colegi Oficial d'Enginyers Industrials de

] Catalunya,» Barcelona, 2013.

] https://en.wikipedia.org/wiki/Novec_1230. [Último acceso: 24 April 2016].
[54 SocoRed, «SocoRed,» [En línea]. Available: http://www.socored.es/data-center-

] deteccion-extincion.php. [Último acceso: 22 April 2016].
[55 «blog.aodbc.es,» 5 June 2012. [En línea]. Available: blog.aodbc.es/2012/06/05/pasillo-

] frio-pasillo-caliente-tecnicas-basicas-de-climatizacion-en-datacenters-i/ . [Último
[56 APCMedia, «APCMedia.com,» [En línea]. Available:

] http://www.apcmedia.com/salestools/VAVR-9G4MYQ/VAVR-
9G4MYQ_R0_EN.pdf?sdirect=true. [Último acceso: 27 March 2016].
[57 ITCentralStation, «www.itcentralstation.com,» [En línea]. Available:

] https://www.itcentralstation.com/categories/ethernet-switches#top_rated. [Último
acceso: 26 June 2016].

] https://en.wikipedia.org/wiki/TRILL_(computing). [Último acceso: 15 May 2016].
[59 Juniper, «Juniper.com,» [En línea]. Available:

] http://www.juniper.net/documentation/en_US/junos14.1/topics/concept/spanning-
trees-ex-series-rstp-understanding.html. [Último acceso: 16 May 2016].
189
BIBLIOGRAFÍA
[60 Firewall, «Firewall.cx,» [En línea]. Available: http://www.firewall.cx/cisco-technical-

] knowledgebase/cisco-switches/883-cisco-switches-errdisable-autorecovery.html.
[Último acceso: 17 May 2016].
[61 Cisco, «Cisco.com,» [En línea]. Available:

] http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-
2glx/configuration/guide/stp_enha.html. [Último acceso: 16 May 2016].
[62 Timosoft, «timosoft.wordpress.com,» [En línea]. Available:

] https://timosoft.wordpress.com/2013/04/25/configuracion-rapid-pvst-en-packet-
tracert/. [Último acceso: 15 May 2016].
[63 Dani, «TicTac.Teleco.UVigo.es,» 11 May 2010. [En línea]. Available: http://tic-

] tac.teleco.uvigo.es/profiles/blogs/en-que-consiste-mpls-y-sus. [Último acceso: 26 May
2016].
[64 J. Doyle, «NetworkWorld.com,» 15 June 2007. [En línea]. Available:

] http://www.networkworld.com/article/2347622/cisco-subnet/eigrp-vs-ospf.html.
[Último acceso: 25 May 2016].
[65 Gartner, «https://www.gartner.com,» [En línea]. Available: https://www.gartner.com.

] [Último acceso: 26 June 2016].
[66 F5, «www.f5.com,» [En línea]. Available:

] https://f5.com/products/platforms/appliances. [Último acceso: 7 June 2016].
[67 Palo Alto, «https://www.paloaltonetworks.com/,» [En línea]. Available:

] https://www.paloaltonetworks.com/. [Último acceso: 31 May 2016].
[68 Zscaler, «https://www.zscaler.com/,» [En línea]. Available: https://www.zscaler.com/.

190
BIBLIOGRAFÍA
[69 itcentralstation, «https://www.itcentralstation.com/,» [En línea]. Available:

] https://www.itcentralstation.com/products/comparisons/blue-coat-
proxysg_vs_zscaler-web-security. [Último acceso: 26 June 2016].
[70 Zauba Technologies, «zauba.com,» 17 December 2014. [En línea]. Available:

] https://www.zauba.com/. [Último acceso: 3 July 2016].
[71 IBM, «IBM.com,» IBM, 2016. [En línea]. Available: http://www-

] 03.ibm.com/systems/in/z/hardware/z13s.html. [Último acceso: 13 June 2016].
[72 Oracle, «oracle.com,» 2016. [En línea]. Available:

] http://www.oracle.com/technetwork/database/exadata/exadata-x6-8-ds-2968796.pdf.
[73 HPE, «www8.hpe.com,» HPE, [En línea]. Available:

] http://www8.hp.com/us/en/products/proliant-servers/product-
detail.html?oid=8223671. [Último acceso: 14 June 2016].
[74 V. R. Moya, «Virgiliorm.blogspot.com,» 28 December 2010. [En línea]. Available:

] http://virgiliorm.blogspot.com.es/2010/12/un-paseo-por-el-facebook-oficinas-
data.html. [Último acceso: 5 May 2016].
[75 K. Barker, «Learning Network Cisco,» Cisco, 8 November 2011. [En línea]. Available:
] https://learningnetwork.cisco.com/thread/36540#. [Último acceso: 7 May 2016].
[76 anixter, «anixter.com,» 30 June 2016. [En línea]. Available:

] https://www.anixter.com/en_us/products/360-IMV-CNTRLR/COMMSCOPE-
SYSTIMAX-SOLUTIONS/Miscellaneous/p/481640. [Último acceso: 30 June 2016].
191
BIBLIOGRAFÍA
[77 CommScope, «CommScope.com,» [En línea]. Available:

] http://es.commscope.com/catalog/brand_en_imvisionipatch/2147486120/product_deta
ils.aspx?id=16619. [Último acceso: 10 May 2016].
[78 Intranet BBVA, «https://bbva-intranet.appspot.com/,» [En línea]. Available:

] https://bbva-intranet.appspot.com/. [Último acceso: 25 March 2016].
[79 Cisco, «www.cisco.com,» Cisco Switches, [En línea]. Available:

] http://www.cisco.com/c/en/us/products/switches/nexus-7000-series-switches/models-
comparison.html. [Último acceso: 25 May 2016].
[80 Bluecoat, «BlueCoat.com,» [En línea]. Available:

] https://www.bluecoat.com/documents/download/d84549c4-05f3-4c64-920c-
f48cdccad4ae/4e23e1a8-b292-4aff-9271-e2431918dc0f. [Último acceso: 7 June 2016].
[81 HPE, «www8.hpe.com,» HPE, [En línea]. Available:

] http://www8.hp.com/us/en/products/enclosures/product-detail.html?oid=5359206.
[82 ingestdata.com, «ingestdata.com,» [En línea]. Available:

] http://www.ingesdata.com/p.1078.0.0.1.1-premium-server-rack-42-u-600-mm-
ancho.html. [Último acceso: 27 March 2016].
[83 Pemsa, «www.pemsa-rejiband.com,» [En línea]. Available: http://www.pemsa-

] rejiband.com/wp-content/uploads/2015/01/Pemsa-Tarifa-Sistemas-Bandejas-153.pdf.
[84 Tarifec, «tarifec.com,» [En línea]. Available: http://www.tarifec.es/pdf/B2pemsa.pdf.

192
BIBLIOGRAFÍA
[85 matmax, «www.matmax.es,» [En línea]. Available: http://www.matmax.es/bandejas-

] canales-y-tubos-conduccion-cables/productos/pemsa/60262100-bandeja-rejiband-
60x100-inoxidable-316-c9d-0028016864. [Último acceso: 26 June 2016].
193
BIBLIOGRAFÍA
194
ANEXO A. ESPECIFICACIONES HARDWARE
A.1 SWITCHES NEXUS 7700
Ilustración 68 Chasis Switch Nexus 7700 18-Slot [79]
Esta serie de switches se trata de un switch de alto rendimiento diseñado específicamente

para data centers, con posibilidad de escalar hasta 83 Tbps.
Contienen refrigeración óptima para pasillos fríos y calientes ya que toman aire frío por la
parte delantera y expulsan el calor por la parte trasera.
195
Optimizado el consumo eléctrico, con doble fuente de alimentación que proporciona

redundancia.
Cada switch integra 2 tarjetas supervisoras “Cisco Nexus 7700 Supervisor 2E Module”,
permitiendo una redundancia en sí mismo, a pesar de que se agrupan por parejas en las capas
de agregación y de núcleo.
Las tarjetas de red, dependiendo de si se encuentra en la capa de núcleo o no, serán las “Cisco
Nexus 7700 F3-Series 12-Port 100 Gigabit Ethernet Module” para el núcleo, y las “Cisco
Nexus 7700 F3-Series 24-Port 40 Gigabit Ethernet Module” para las capas de acceso y
agregación [79].
8.1.1 CISCO NEXUS 7700 SUPERVISOR 2E MODULE
Ilustración 69 Cisco Nexus 7700 Supervisor 2E Module
Diseñado para cumplir con los requisitos de centros de datos críticos, con disponibilidad
máxima, gran escalabilidad y software Cisco NX-OS específico para switches de CPDs [79].
A continuación, la tabla con un resumen de las especificaciones:
CPU Dual Quad-Core Xeon
Velocidad (GHz) 2.13
196
Memoria (GB) 32
Memoria Flash USB
FCoE Sí
CPU Share Sí
VDCs 8+1 Admin VDC
Soporte de Cisco Fabric Extender 64 FEX/3072 puertos
Procesador de Gestión de Cambio (CMP) No Soportado
Tabla 4 Especificaciones Nexus 7700 Supervisor 2E [79]
8.1.2 CISCO NEXUS 7700 F3-SERIES 12-PORT 100 GIGABIT ETHERNET

MODULE
Ilustración 70 Cisco Nexus 7700 F3-Series 12-Port 100 Gb Ethernet Module [79]
Este módulo se basa en las series F3 de Cisco de switches con chips integrados (SoC),
permitiendo el máximo rendimiento mientras optimiza la potencia eléctrica consumida y la
refrigeración necesaria.
El módulo es capaz de renviar 1800 millones de paquetes por segundo.
Permite funciones de capas 2 y 3, que lo hacen un módulo perfecto para las redes de centros
de datos, con una relación densidad de puerto/rendimiento óptima.
197
A continuación una tabla con el resumen de las especificaciones de la tarjeta:
Familia de tarjetas F3
Chasis soportado Cisco Nexus 770
Puertos (número y tipo) 12 puertos a 100GE
Tipo de interfaz Cisco CPAK
Ancho de banda (Gbps) 1200
Rendimiento (Millones paquetes/s - Mpps) 1800
NetFlow Probado
Soporte de FEX Sí
Soporte VSS Sí
Soporte Fabric Path Sí
Interfaz capa 3 Sí
FCoE Sí
MPLS, OTV, LISP Hardware Preparado
VXLAN Sí
Tabla 5 Especificaciones Cisco Nexus 7700 F3-Series 12-Port 100 Gigabit Ethernet Module [79]
198
8.1.3 CISCO NEXUS 7700 F3-SERIES 24-PORT 40 GIGABIT ETHERNET

MODULE
Ilustración 71 Cisco Nexus 7700 F3 Series 24-Port 40 GE Module [79]
Esta tarjeta de red para la serie Cisco Nexus 7700 ofrece flexibilidad y máximo rendimiento
en cada puerto. El módulo permite el despliegue de arquitecturas de gran densidad y baja
latencia para CPDs escalables [79].
Familia de tarjetas F3
Chasis soportado Cisco Nexus 7700
Puertos (número y tipo) 24 Puertos a 40 GE
Tipo de interfaz QSFP+, Bidi
Ancho de banda (Gbps) 960
Rendimiento (Millones paquetes/s - Mpps) 1440
NetFlow Probado
Soporte de FEX Sí
Soporte VSS Sí
Soporte Fabric Path Sí
199
Interfaz capa 3 Sí
FCoE Sí
MPLS, OTV, LISP Hardware Preparado
VXLAN Sí
Tabla 6 Especificaciones Cisco Nexus 7700 F3-Series 24-Port 40 Gigabit Ethernet Module [79]
A.2 F5 BIG-IP LTM 2200S
Ilustración 72 Balanceador de carga F5 BIG-IP LTM 2200s [66]
Esta plataforma hardware es capaz de gestionar una alta carga de tráfico a cualquier nivel
del modelo OSI. Al implementarlo junto con switches de alto rendimiento, F5 proporciona
la flexibilidad para realizar un balanceo de carga examinando a nivel de aplicación sin
introducir efectos de cuello de botella.
El resumen de las especificaciones es el siguiente:
200
Procesado Inteligente del tráfico 425K peticiones L7, 150K conexiones por
segundo L4, 1.1M peticiones L4 HTTP,
conexiones máximas: 5 millones.
Hardware para SSL Sí, hasta 4Gbps de encriptación
Protección DDoS via Hardware N/A
Compresión Hardware Hasta un máximo de 4Gbps
Compresión Software N/A
Modular No
Memoria 8 GB
Disco Duro 500 Gb
Procesador Intel Dual Core (total 4 hyperthreaded

logical processing cores)
Puertos a 10Gb Fibra / Ethernet / (Total) 2 / 8 / (10)
Fuente de Alimentación 400W doble opción de DC
Consumo Eléctrico 74W
Dimensiones 1 RU
Peso 9.1Kg
Tabla 7 Características G5 BIG IP 2200s [66]
201
A.3 PALO ALTO 3000 SERIES PA-3060
Ilustración 73 Palo Alto PA-3060 [67]
Palo Alto se trata de una compañía líder del cuadrante mágico de Gartner en el sector de
firewalls de nueva generación.
La serie 3000 está diseñada con el objetivo de implementarlos en Gateways de salida a

internet de alta velocidad. Estos dispositivos gestionan los flujos de tráfico de red mediante
el uso de memoria y procesadores dedicados a la red, seguridad, prevención y gestión de
amenazas [67].
Las características principales del PA-3060 son las siguientes:
 4 Gbps de cortafuegos (App-ID habilitado 1 )

 2 Gbps prevención de amenazas
 Rendimiento de 500 Mbps de VPN IPSec
 500.000 máximas sesiones
 50.000 nuevas sesiones por segundo
 2.000 túneles VPN IPSec / interfaces de túnel
 2.000 usuarios de VPN SSL
 10 enrutadores virtuales
 1/6 sistemas virtuales (base / max 2 )
 40 zonas de seguridad
 5.000 número máximo de políticas
 Tamaño: 1.5 Rack Units.
202
A.4 PROXY BLUE COAT SG600-35
Ilustración 74Proxy BlueCoat SG 600-35 [79]
Como se explica en la sección 5.10 Proxies Utilizados, los proxies a utilizar son los Blue
Coat SG600-35, MACH5 Edition. Estos dispositivos tienen un precio de 20.500,00 €.
En la configuración se van a utilizar 2 servidores proxy en forma de clúster, por lo que el

precio total de los proxies es 41.000,00 €.
Una de las razones por las que se escoge este modelo, es porque a diferencia de los hermanos
de la misma serie (SG-600), el 35 no tiene limitación de clientes.
Cuenta con dos discos duros de memoria flash de 250GB cada uno, 2 puertos de conexión,
y 1 de gestión, con hardware de encriptación SSL para garantizar la máxima seguridad una
vez que el paquete ha salido hacia Internet.
Cuenta con 8 tarjetas de interfaz de red, lo que permite mayor redundancia a la hora de
conectar con el mundo exterior [80].
Las dimensiones físicas son las especificadas en la siguiente tabla:
PHYSICAL PROPERTIES DIMENSIONS AND WEIGHT
Enclosure 19” Rack-mountable
Dimensions (L x W x H) 39.7cm x 42.7cm x 4.25cm (1 Rack U)
203
Weight (maximum) 5.5kgs (12.1 lbs) (600-10)
5.7kgs (12.6 lbs) (600-20/-35)
OPERATING ENVIRONMENT
Power AC power 100-240V, 50-60Hz, 2.16A-

0.76A
Maximum Power 150 Watts
Thermal Rating 511.5 BTU/Hr
Temperature 5°C to 40°C (41°F to 104°F) at sea level
Humidity 20 to 80% relative humidity, non-

condensing
Altitude Up to 3048m (10,000ft)
Tabla 8 Propiedades de Bluecoat SG-600 Series [80]
A.5 IBM Z SYSTEMS (MAINFRAMES) - Z13S
Ilustración 75 Servidor MainFrame de IBM (z13s) [71]
204
El servidor IBM z13 proporciona la infraestructura que ayudará a diferenciar una empresa
digital. Tiene la capacidad y potencia de procesamiento necesaria para mejorar el
rendimiento y el crecimiento de la organización.
Tiene una máxima capacidad de hasta 141 núcleos de procesador, que le permiten soportar
la creación de hasta 8.000 servidores virtuales dentro del mismo rack [71].
En la tabla a continuación, se resumen las características más importantes de este servidor.
IBM z13 (2964) at a glance

Processor Core Types: CP / IFL / ICF / zIIP* / Standard SAP(s) / Additional SAP(s) / Spares
Minimum Maximum
0 / 0 / 0 / 0 / 28 / 0 / 2 141 / 141 / 141 / 94 / 28 / 16 / 2
Coupling Links
IC maximum 32
ICA SR maximum 40 ports
12x HCA3-O InfiniBand maximum 32 ports
1x HCA3-O LR InfiniBand maximum 64 ports
Channels
FICON Express16S / FICON Express8S / FICON Maximum: 320 / 320 / 64 / 96 / 96
Express8§ / OSA-Express5S / OSA-Express4S
Flash Express 8 (4 pairs – 8 PCIe adapters); offered in pairs
HiperSockets™ Up to 32 high-speed “virtual” Local Area Networks
Cryptography
Crypto Express5S Minimum order 2 features; Maximum order 16 features
Compression Acceleration
zEDC Express 8 – minimum recommended is 2
RDMA over Converged Ethernet (RoCE)
10 GbE RoCE Express 16 – minimum recommended is 2
Processor Memory
Minimum Maximum
64 GB 10.0 TB
Upgradeability Upgradeable within the z13 family Upgrading to the NE1
from other z13 models will require a planned outage
Upgradeable from IBM zEnterprise EC12 and IBM
zEnterprise 196 Upgradeable from z13s N20 to z13 N30 air-
cooled (radiator) only Upgradeable from LinuxONE Emperor
L30 (to N30, N63, N96, NC9 and NE1); from L63 (to N63,
N96, NC9 and NE1); from L96 (to N96, NC9 and NE1); from
LC9 (to NC9 and NE1); and from LE1 (to NE1)
Supported Operating Systems
z/OS z/OS V2.2 z/OS V2.1 z/OS V1.13 z/OS V1.12 (toleration)
Available via IBM Software Support Services
z/VM z/VM 6.3 z/VM 6.2 (toleration) Linux on z Systems Red Hat
Enterprise Linux (RHEL) 5, 6, and 7 SUSE Linux Enterprise
Server (SLES) 11 and 12 For minimum or recommended
levels please see IBM Tested platforms page
ibm.com/systems/z/os/linux/resources/testedplatforms.html
z/VSE® z/VSE 5.1 and subsequent releases
z/TPF z/TPF 1.1
AIX® on POWER7® blade located in zBX AIX 5.3 (TL 12+ and up), AIX 6.1 (TL 5+ and up) and AIX 7.1
and subsequent releases
Linux on System x® on HX5 blade located in zBX Model Red Hat Enterprise Linux (RHEL) 5.5 and up, 6.0 and up, 7.0
004 and up and SUSE Linux Enterprise Server (SLES) 10 (SP4)
and up, SLES 11 SP1 and up, SLES 12 and up – 64 bit only
Microsoft Windows on HX5 blade located in zBX Model Microsoft Windows Server 2008 (SP2), Microsoft Windows
004 Server 2008 R2, Microsoft Windows Server 2012, Microsoft
Windows Server 2012 R2 (Datacenter Edition
recommended) – 64 bit only
205
Supported Hypervisors
KVM for IBM z Systems KVM for IBM z 1.1 with SUSE SLES SP1 guests
PS701 in zBX Model 004 PowerVM® Enterprise Edition – VIOS 2.2.3
HX5 in zBX Model 004 KVM – Red Hat Enterprise Virtualization Hypervisor (RHEV-
H) 6.5
IBM z13 (2964) at a glance

IBM z BladeCenter® Extension (zBX) Model 004
WebSphere DataPower® Integration Appliance XI50 for Minimum: 0 Maximum: 28
zEnterprise
IBM BladeCenter PS701 Express POWER7 blade Minimum: 0 Maximum: 112
IBM BladeCenter HX5 blade Minimum: 0 Maximum: 56
Tabla 9 Características IBM z13 [71]
A.6 ORACLE EXADATA DATABASE MACHINE X6-8
Ilustración 76 Plataforma Oracle Exadata DataBase Machine X6-8 multi-rack [72]
Los dispositivos de la familia Oracle Exadata DataBase están diseñados para ofrecer un gran
rendimiento, es económico y genera una gran disponibilidad para las bases de datos de
Oracle. Se trata de la plataforma más testada para ejecutar bases de datos Oracle, y es la
plataforma más soportada por diferentes fabricantes. Proporciona una compatibilidad total
entre nubes privada y pública.
Las características más destacables de este servidor son las siguientes:
206
 Hasta 576 núcleos de CPU y hasta 24TB de memoria dedicada a BBDD.

 Hasta 280 cores dedicados a almacenamiento SQL.
 Entre 2 y 4 servidores de BBDD de 8-sockets.
 Entre 3 y 14 servidores de almacenamiento Oracle
 40Gb/s InfiniBand
 Hasta 360TB de almacenamiento flash
 Compresión por columna híbrida con una media de compresión entre 10 y 15.
 Redundancia completa para alta disponibilidad.
 Tolerante a fallos de memoria.
 Servidores de BBDD Oracle Linux [72].
A.7 HPE PROLIANT BL660C GEN9 SERVER BLADE
Ilustración 77 Servidor Blade HPE ProLiant BL660c Gen9 [73]
Este servidor blade se trata de un dispositivo diseñado para escalar tareas de trabajo
intensivas. El servidor es ideal para tareas de virtualización, bases de datos, procesamiento,
y aplicaciones de CPDs con parámetros de espacio y precio/rendimiento buenos.
207
Las especificaciones del servidor son las siguientes:
 Sistema:
o Procesador de la familia Intel Xeon E5 v4, con hasta 4 CPUs y 22 cores.
 Memoria:
o Un máximo de 4TB DDR4 con 128GB LRDIMMs, todo ello repartido en 32
slots.
 Almacenamiento
o Permite almacenamiento SAS, SATA, SSD y NVMe, con sustitución en
caliente.
 Gestión
o iLO Management (estándar), Intelligent Provisioning (estándar), iLO
Advanced for BladeSystem (opcional), HP OneView Adanced (opcional),
HP Insight Control (opcional) [73]
A.8 HP BLC7000 PLATINUM ENCLOSURE
Ilustración 78 Ecnlosure Clase C BladeSystem [81]
Este tipo de enclosure proporciona el suministro eléctrico, la ventilación y las conexiones de

I/O necesarias para poder contener hasta 8 servidores blades.
208
Tiene una medida de 10 U, lo que hace posible que se puedan ‘enrackar’ hasta 4 enclosures
en un mismo rack de dimensiones estándar.
Contiene herramienta de administración via software, así como la gestión remota mediante
iLO.
Cada enclosure tiene un peso de 136.08 Kg, y unas dimensiones físicas de 75.89 x 60.65 x
101.29 cm (Ancho x Profundidad x Altura).
A.9 RACKS
El esqueleto de un rack se trata del frame, que sirve de soporte para toda la estructura sobre
el cual se montan las diferentes partes. El frame cuenta con raíles de montaje vertical, que
sirven de guía para colocar los blades de los diferentes dispositivos IT que se colocan dentro
del rack.
Además cuentan con puertas frontal y trasera, perforadas, para permitir el flujo de aire para
la refrigeración, mientras aportan otro grado de seguridad, ya que normalmente tienen un
control de acceso, ya sea por llave en los más convencionales, hasta controles biométricos
en los más avanzados.
Los paneles laterales sirven para optimizar el flujo de aire y evitar que se junte el aire de
refrigeración de los diferentes racks del pasillo.
El tejado tiene una doble función: protege el equipamiento interno del rack ante posibles
caídas de cualquier tipo de elementos sobre el rack (por ejemplo una gotera); y proporciona
un punto de entrada para el cableado necesario.
Los pies del rack están asegurados para soportar el peso del rack, así como para nivelarlo en
caso de que el suelo no sea uniforme por alguna razón. Además, la mayoría cuentan con
ruedas que faciliten la movilidad del rack.
209
Las dimensiones más comunes de un rack IT son las siguientes: 600mm de ancho, 1070mm
de profundidad y un espacio vertical útil (medidas del interior, no del exterior del rack) de
1867mm [56].
El modelo que se va a utilizar es el Premium Server Rack 42 U (600 mm ancho) de la marca

OPENETICS. Se trata de un Rack robusto especialmente diseñado para contener con
seguridad los servidores del futuro. Suma a sus excepcionales características de
funcionalidad, un diseño exquisito y unas prestaciones inmejorables en ventilación de los
equipos en ocupaciones de alta densidad, que lo hacen ideal para contener “blades” hasta 25
Kw. por rack.
Ilustración 79 Rack Utilizado [82]
Con un espacio utilitario de 42 U, una profundidad de 1.070 mm, con puerta frontal curvada
y microperforada para obtener el máximo caudal de aire y puerta trasera microperforada de
doble hoja.
 El de mayor profundidad del mercado.

 Máximo aprovechamiento del espacio.
 Facilidad de ensamblaje en batería.
210
 Las puertas se venden por separado.
Las puertas que se utilizan son puertas ventiladas dobles, microperforadas que permiten el
máximo caudal de aire y una puerta trasera microperforada de doble hoja.
Ilustración 80 Puertas dobles microperforadas de doble hoja [82]
El precio total de cada rack asciende a 1986,00 €.
211
212
ANEXO B. ESPECIFICACIONES SOFTWARE
ANEXO B. ESPECIFICACIONES SOFTWARE
B.1 THE DUDE
The Dude Network Monitor es una aplicación de MikroTik que mejora de manera drástica
la forma de gestionar el entorno de red. Escanea de forma automática todos los dispositivos,
de todas las subredes, y diseña un mapa de la red. Monitoriza los servicios de los dispositivos
y genera alarmas en caso de que existan problemas.
Las características relevantes de la aplicación son las siguientes:
 Gratuito
 Mapeado y descubrimiento automático de la red.
 Compatible con cualquier dispositivo de cualquier marca.
 Monitorización y notificación de enlaces y dispositivos.
 Soporta iconos y fondos personalizados.
 Permite dibujar un mapa personalizado y añadir dispositivos no genéricos.
 Soporta SNMP, ICMP, DNS, y TCP.
 Acceso directo a herramientas de control remoto (RMON).
 Soporta Linux, MacOS y Windows.
213

Planificación y Diseño Del Networking de Un CPD Tier IV

Cargado por

Copyright:

Formatos disponibles

Planificación y Diseño Del Networking de Un CPD Tier IV

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Planificación y Diseño Del Networking de Un CPD Tier IV

Cargado por

Copyright:

Formatos disponibles

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

GRADO EN INGENIERÍA TELEMÁTICA

PLANIFICACIÓN Y DISEÑO DEL

Autor: Francisco Sanz Estévez

Planificación y diseño del Networking de un CPD Tier IV

en la ETS de Ingeniería - ICAI de la Universidad Pontificia Comillas en el

curso académico 2015/16 es de mi autoría, original e inédito y

no ha sido presentado con anterioridad a otros efectos.

El Proyecto no es plagio de otro, ni total ni parcialmente y la información que ha sido

tomada de otros documentos está debidamente referenciada.

Fdo.: Franicsco Sanz Estévez Fecha: 15/7/2016

Autorizada la entrega del proyecto

EL DIRECTOR DEL PROYECTO

Fdo.: Atilano Fernández-Pacheco Sánchez-Migallón Fecha: ……/ ……/ ……

Vº Bº del Coordinador de Proyectos

Fdo.: David Contreras Bárcenas Fecha: ……/ ……/ ……

1º. Declaración de la autoría y acreditación de la misma.

2º. Objeto y fines de la cesión.

3º. Condiciones de la cesión y acceso

4º. Derechos del autor.

5º. Deberes del autor.

Madrid, a 15 de Julio de 2016

Fdo Francisco Sanz Estévez

GRADO EN INGENIERÍA TELEMÁTICA

PLANIFICACIÓN Y DISEÑO DEL

Autor: Francisco Sanz Estévez

RESUMEN DEL PROYECTO

Palabras clave: Comunicaciones, Electrónica, Almacenamiento, Servidores, Cloud, Banco.

Según Wikipedia se denomina centro de procesamiento de datos (CPD) a aquella

Básicamente, un CPD se trata del cerebro de la empresa, donde, si se gestiona de manera

 Rendimiento del CPD.

Un centro de datos de categoría Tier IV es el más robusto y el menos propenso a fallos.

2. Definición del proyecto

 Explicación de la topología y conexiones de un CPD:

o LAN (Local Area Network): Se trata de la red de comunicaciones de

 Explicar detenidamente el valor añadido de un Centro de Procesamiento de Datos

 Explicar la importancia que tienen en la actualidad el Cloud Computing, su

 Estudiar y analizar algún posible punto de mejora que se pueda implementar a un

El networking del CPD diseñado se trata de la sala de ordenadores de un Data Center de

Tras las etapas de análisis y planificación, se ha conseguido diseñar la sala de

En cuanto a la sala de ordenadores, se obtiene un centro de datos con dispositivos de

[1] DOMO, «DOMO Data Never Sleeps,» [En línea]. Available:

[2] IBM, «IBM,» IBM, [En línea]. Available: http://www-

[3] «Wikipedia,» [En línea]. Available:

[4] V. Gite, «Cyberciti,» 29 January 2011. [En línea]. Available:

Keywords: DC, Electronics, Servers, Cloud, financial entity.

Ilustración 2 Data Never Sleeps 3.0 [1]

 The performance of the DC.

 Explain carefully the added value of a data center for a bank.

 Explain the topology and connections of a DC:

This availability and fault tolerance is achieved by applying a 2N + 1 redundancy at every

4. Results & Conclusions

[1] DOMO, «DOMO Data Never Sleeps,» [En línea]. Available:

[2] IBM, «IBM,» IBM, [En línea]. Available: http://www-

[3] «Wikipedia,» [En línea]. Available:

[4] V. Gite, «Cyberciti,» 29 January 2011. [En línea]. Available:

Índice de la memoria .......................................................................................................... 19

Índice de figuras ................................................................................................................. 23