Infraestructura de Red Empresarial Redundante

Laboratorio de Cisco Packet Tracer orientado al diseño de una red empresarial con redundancia, segmentación y seguridad perimetral. El objetivo no fue solo conectar equipos, sino simular un escenario creíble de continuidad de servicio, operación y crecimiento futuro.

Sobre el Proyecto

Este proyecto documenta el diseño y la implementación de una infraestructura de red empresarial en Cisco Packet Tracer compuesta por aproximadamente 93 dispositivos y 87 enlaces. El laboratorio se planteó como una simulación de entorno corporativo en la que la disponibilidad, la segmentación y la seguridad no dependen de una única tecnología, sino de varias decisiones de arquitectura que trabajan de forma coordinada.

Más que construir una topología funcional, la idea fue definir una base coherente y escalable. Por ese motivo, el diseño combina redundancia de gateway, agregación de enlaces, separación lógica por departamentos, protección perimetral y una pequeña granja de servidores que permite representar servicios internos críticos dentro del mismo laboratorio.

Alta disponibilidad

HSRP, STP alineado y redundancia en enlaces críticos para reducir puntos únicos de fallo.

Segmentación

VLANs por departamento, red de servidores y red de gestión para separar funciones y políticas.

Perímetro

Firewalls ASA y doble salida a Internet para reforzar continuidad operativa y control del tráfico.

Servicios

DNS, web y base de datos en una VLAN dedicada para simular una server farm básica.

Arquitectura General

La topología sigue un enfoque jerárquico inspirado en entornos empresariales clásicos. Esta organización facilita la lectura del diseño, simplifica el troubleshooting y permite asignar responsabilidades claras a cada capa sin mezclar funciones que conviene mantener separadas.

Los dos switches multicapa Cisco 3650, SW_TRONCAL y SW_TRONCAL_2, constituyen el núcleo lógico del laboratorio. Desde ellos se centraliza el routing inter-VLAN, la puerta de enlace redundante con HSRP y buena parte de la lógica de conmutación y servicios.

Funciones principales:

SVIs para el enrutamiento entre VLANs.
Gateway redundante mediante HSRP.
DHCP centralizado.
Prioridades STP alineadas con el rol activo y de respaldo.

La capa de acceso conecta a los usuarios finales y distribuye la red por áreas funcionales. En lugar de concentrar todos los equipos en un único segmento, el laboratorio reparte la conectividad entre ocho switches de acceso asociados a sus departamentos.

Departamento	Switches	Dispositivos habituales
IT	2	PCs, laptops, impresoras, APs
Marketing	2	PCs, laptops, impresoras, APs
Administración	2	PCs, laptops, impresoras, APs
RRHH	2	PCs, laptops, impresoras, APs

Los servicios internos se agrupan en una VLAN específica para aislarlos del tráfico de usuario y facilitar su administración. Aunque se trata de un laboratorio, esta decisión ayuda a acercar la maqueta a un diseño empresarial más realista.

Servicio	IP primaria	IP secundaria
DNS	192.168.91.10	192.168.91.11
Web	192.168.91.30	192.168.91.31
Base de Datos	192.168.91.20	192.168.91.21

Segmentación de Red

La segmentación por VLAN no se utilizó solo para ordenar la topología, sino para separar dominios de broadcast, aplicar políticas por área y preparar la red para crecer sin perder legibilidad.

Cada departamento dispone de su propia red, mientras que los servicios y la gestión se aíslan en segmentos específicos. De este modo, el laboratorio refleja una separación funcional clara entre usuarios, administración de red y recursos compartidos.

VLAN	Nombre	Red	Propósito
10	IT	192.168.1.0/24	Departamento de Sistemas
20	MARKETING	192.168.2.0/24	Departamento de Marketing
30	ADMINISTRACION	192.168.3.0/24	Departamento de Administración
40	RRHH	192.168.4.0/24	Departamento de Recursos Humanos
91	SERVERS	192.168.91.0/24	Granja de servidores
90	MGMT	10.0.0.0/24	Gestión y administración
99	TRANSIT	10.0.0.0/24	Enlaces de tránsito hacia el perímetro

Conviene revisar si MGMT y TRANSIT deben compartir la misma red 10.0.0.0/24 o si esa coincidencia responde únicamente a una simplificación del laboratorio. Si buscas un enfoque más enterprise, normalmente sería preferible separarlas.

Decisiones Técnicas Clave

La parte más interesante del proyecto no está solo en los dispositivos utilizados, sino en cómo se combinan para sostener disponibilidad, control y estabilidad. En vez de presentar una lista aislada de tecnologías, esta sección resume qué aporta cada una dentro del diseño y por qué tiene sentido en la topología.

HSRP v2 y continuidad del gateway

HSRP v2 se utiliza para que las VLAN dispongan de una puerta de enlace virtual compartida entre ambos switches troncales. Así, la caída del equipo principal no interrumpe el acceso entre redes ni obliga a reconfigurar manualmente a los clientes.

Puntos destacados:

SW_TRONCAL actúa como equipo activo en condiciones normales.
SW_TRONCAL_2 permanece en espera como respaldo.
Las prioridades y preempt permiten controlar el rol de cada nodo.
El objetivo es mantener continuidad del servicio ante fallos del gateway.

EtherChannel y redundancia de enlaces

EtherChannel se planteó para evitar que un enlace individual se convierta en cuello de botella o punto único de fallo. Al agrupar varias interfaces en un mismo canal lógico, la topología gana capacidad y resiliencia sin complicar excesivamente la administración.

Puntos destacados:

Agregación de ancho de banda en enlaces estratégicos.
Tolerancia a fallos físicos.
Menor probabilidad de congestión en troncales críticas.
Integración coherente con el diseño redundante general.

STP / PVST con roles bien alineados

La configuración de STP no se deja al azar. Se ajustan prioridades para que el root bridge principal y el secundario acompañen la lógica de HSRP, evitando recorridos subóptimos y mejorando el comportamiento ante cambios de topología.

Puntos destacados:

Root bridge principal alineado con el equipo HSRP activo.
Root bridge secundario alineado con el standby.
Reducción de caminos no deseados.
Mejor convergencia lógica entre switching y routing.

Routing inter-VLAN y servicios de infraestructura

El enrutamiento entre departamentos se realiza mediante SVIs en los switches multicapa. Sobre esa base se apoyan servicios esenciales como DHCP y la conectividad hacia la server farm, lo que convierte a los switches troncales en piezas centrales del laboratorio.

Puntos destacados:

Inter-VLAN routing sobre switches multicapa.
DHCP centralizado para clientes de las distintas VLANs.
Integración directa con la red de servidores.
Diseño sencillo de operar y fácil de ampliar.

Seguridad de capa 2 y administración segura

Además del perímetro, también se aplican medidas dentro de la red local para endurecer el acceso. Esto ayuda a que la seguridad no dependa únicamente del firewall, sino también de buenas prácticas en switching y administración.

Puntos destacados:

Port Security en puertos de acceso.
Sticky MAC para fijar aprendizaje cuando conviene.
PortFast en interfaces de usuario final.
SSH para administración remota segura.

Seguridad y Operación

La seguridad actual se apoya en una estrategia razonable para un laboratorio académico avanzado: segmentación interna, control perimetral y reducción de exposición innecesaria. No pretende replicar un SOC completo, pero sí demostrar una base sólida de diseño defensivo y operación ordenada.

La red ya incorpora varias medidas que mejoran la separación del tráfico y el control operativo.

Firewall Cisco ASA en el perímetro.
ACLs para filtrar tráfico.
VLANs por departamento.
Port Security y SSH.
VTP en modo transparente.
Nomenclatura consistente en equipos y roles.

Estas medidas permiten que el laboratorio no sea solo una red conectada, sino una red con criterios de operación. La segmentación limita el alcance de incidencias, el firewall centraliza políticas y la redundancia reduce interrupciones ante fallos simples.

En conjunto, la topología resulta más ordenada, más mantenible y bastante más cercana a un escenario corporativo real que una maqueta plana sin separación funcional.

Evolución del Laboratorio

El proyecto ya resuelve conectividad, segmentación y redundancia básica, pero su siguiente salto de calidad pasa por automatizar la convergencia, endurecer el perímetro y mejorar la observabilidad.

### Implementación de OSPF

Sustituir parte del enrutamiento estático por routing dinámico permitiría una red más escalable, con mejor convergencia y menos dependencia de ajustes manuales a medida que aumente el tamaño del laboratorio.

Segmentación DMZ real

Separar los servicios expuestos en una DMZ dedicada ayudaría a reforzar el diseño perimetral y a distinguir mejor entre recursos internos, servicios publicados y tráfico de tránsito.

NAT/PAT completo

Incorporar traducción de direcciones permitiría simular de forma más realista la salida de redes privadas a Internet y acercar el comportamiento del laboratorio a un despliegue operativo.

Observabilidad centralizada

Integrar Syslog y SNMP facilitaría el seguimiento del estado de la infraestructura, el registro de eventos y el análisis de incidencias desde una perspectiva más profesional.

Evolución del acceso y control

La incorporación futura de AAA centralizado, QoS y, si procede, componentes como WLC, ampliaría el laboratorio hacia un escenario empresarial más completo y mejor gobernado.

Resultado del Proyecto

Este laboratorio demuestra una comprensión sólida de diseño jerárquico, segmentación L2/L3, alta disponibilidad y seguridad perimetral aplicada a un entorno académico avanzado. Más allá de la conectividad, el valor del proyecto está en haber construido una topología razonada, documentable y con margen real de evolución.

Tecnologías y conceptos trabajados

Cisco Packet Tracer.
Cisco Catalyst 3650.
Cisco ASA 5506-X.
VLANs 802.1Q.
HSRP v2.
EtherChannel.
PVST.
DHCP.
DNS.
ACLs.
SSH.
Troubleshooting y documentación técnica.

El proyecto no se limita a demostrar comandos sueltos de Cisco, sino la relación entre disponibilidad, segmentación, seguridad y escalabilidad dentro de una misma arquitectura.