CASO 5: Arquitectura de Red Empresarial y Continuidad de Negocio – “NetBank”
Contexto: La corporación de servicios financieros NetBank inicia operaciones en el país. Debido a la naturaleza crítica de sus datos, se requiere el diseño de una infraestructura de red de alta disponibilidad que interconecte la Oficina Central (HQ), el Sitio de Recuperación de Desastres (SRD) y las sucursales remotas (BO).
El Desafío: Usted debe proyectar una solución jerárquica de punta a punta. La organización cuenta con la siguiente distribución de hosts por sucursal:
| Área de Operación | HQ (Santa Cruz) | SRD (La Paz) | BO (Sucursal SCZ) | BO (Sucursal LPZ) |
| Recursos Humanos | 30 | 2 | 2 | 4 |
| Cajeros | 65 | 0 | 12 | 22 |
| Agentes de Crédito | 64 | 0 | 4 | 12 |
| Finanzas Internas | 140 | 0 | 0 | 12 |
| Comercial | 24 | 0 | 0 | 8 |
| Marketing | 22 | 0 | 0 | 12 |
| Sistemas | 30 | 4 | 2 | 6 |
| Red de Control (IoT/Seguridad) | 180 | 15 | 36 | 100 |
| DataCenter | 30 | 30 | 5 | 8 |
Requerimientos de Diseño y Conectividad:
- Arquitectura Jerárquica: El diseño debe basarse en el modelo de tres capas de Cisco, garantizando la eliminación de tormentas de broadcast y una segmentación eficiente por departamento.
- Tecnología WAN y Enrutamiento:
- Proponer las tecnologías WAN adecuadas para interconectar las sedes.
- Todo el tráfico en los enlaces WAN debe estar cifrado.
- Se sugiere el uso de RIPv2 como protocolo de enrutamiento.
- El tráfico de voz/video (RTP) debe tener prioridad absoluta en los enlaces WAN (QoS).
- Disponibilidad Crítica: Se exige una disponibilidad del 100% en los enlaces WAN. El diseño debe contemplar redundancia total, ya que tiempos de caída (downtime) mayores a 2 minutos generarán multas.
- Gestión de Internet y Servicios:
- HQ SCZ dispone de tres enlaces independientes: 300 Mbps (Servicios Públicos), 50 Mbps (Marketing/Comercial/Sistemas) y 200 Mbps (Resto de usuarios).
- Cada oficina tiene salida a internet independiente (excepto el SRD), limitada solo a tráfico web con filtrado de navegación.
- Servicios Publicados (DMZ en HQ/SRD): DNS Externo, Página Web Segura y una aplicación móvil por el puerto 999/TCP.
Políticas de Seguridad y Acceso:
- Aislamiento de Cajeros: Los hosts de esta área no pueden comunicarse con ningún otro segmento de la red.
- Control de Acceso (ACLs): Solo el personal de Sistemas puede acceder a la configuración de los equipos de red.
- El servidor de Finanzas_Internas solo permite acceso desde Finanzas (puerto 3389/TCP) y Comercial (puerto 23/TCP).
- Solo los Agentes de Crédito tienen acceso al servidor de personas (Personas_Server).
- Direccionamiento IP: Cajeros: Asignación estática.
- Marketing / Comercial / Sistemas: Direcciones dinámicas reservadas (DHCP Reservation).
- Demás departamentos: Asignación dinámica estándar.
