Hace una semana he comprobado de primera mano los supuestos y reales beneficios de migrar nuestra infraestructura a un CPD. Tengo un cliente/amigo (Alfonso Lorenzo, un excelente consultor de Sistemas de Gestión de Seguridad de la información (ISO 27001), aquí os dejo la web de su empresa EQ2B CONSULTING por si tenéis la intención de implementarla en vuestra empresa, ya sabéis con quien tenéis que contactar) que tiene toda su infraestructura virtualizada con tecnología Microsoft (Windows Server 2012), que además tiene una infraestructura de telefonía entre dos aguas: Cisco y Microsoft Lync. Llevaba unas semanas dándole vueltas a un cambio de oficina, y que cosas debería tener en cuenta en base a su infraestructura a la hora de cambiar de oficina y que tenga un tiempo de parada 0 para sus empleados
La infraestructura con la que cuenta EQ2B es la siguiente
| SERVIDOR | SO | ROL | DESCRIPCIÓN |
|---|---|---|---|
| SRV-DC00 | Windows Server 2012 | AD DS y CA | Controlador de dominio y servidor de PKI |
| SRV-DC01 | Windows Server 2012 | AD DS | Controlador de dominio |
| SRV-TMG00 | Windows Server 2008 R2 | Reverse-Proxy | Publicación de servicios Web y servidor de VPN con NAP |
| SRV-SP00 | Windows Server 2008 R2 | SharePoint 2010 | Servidor de SharePoint 2010: Gestión Documental y Procesos |
| SRV-SQL00 | Windows Server 2008 R2 | Servidor de BBDD | Servidor de Base de Datos en SQL Server |
| SRV-TS00 | Windows Server 2008 R2 | RDS | Servidor de Escritorio Remoto |
| SRV-APP00 | Windows Server 2008 R2 | Apps y RDS Web Access | Servidor de Aplicaciones (ERP) y RDWeb para publicación del ERP en SharePoint |
| SRV-DA00 | Windows Server 2012 | Servidor DirectAccess | Servidor de DirectAccess |
| SRV-MV00 | Windows Server 2012 | Hipervisor | Servidor de Hyper-V |
| | | | |
En la parte de comunicaciones tiene un Cisco UC540, con teléfonos 7965 y 7921 (Wireless) para los usuarios de la oficina, además tienen Lync como herramienta de Comunicaciones Unificadas conectada con el UC540 mediante un Direct SIP. La conexión de Direct SIP se ha securizado mediante IPSec, puesto que el UC540 se encuentra en la oficina y el Lync Server en el CPD. El Lync Server lo tiene contratado con ASIR (claro está, ejeje), por lo que como requisito para conectase con su Gateway (UC540) era que el tráfico debería ir cifrado entre ambos extremos. Los consultores que están fuera de la oficina, utilizan Lync para comunicarse con el personal de la empresa y para llamar a la PSTN. Pueden llamar de Lync a los teléfonos Cisco y de los teléfonos Cisco a Lync, lo que permite ahorrar costes en comunicación interna (eliminación de tarifas planas, etc..)(Direct SIP Lync 2013 –> Cisco CME 8.X (Parte I), Direct SIP Lync 2013 –> Cisco CME 8.X (Parte II)) .Además, ofrecen formación OnLine vía Lync Web APP, lo que permite dinamizar la formación de una manera eficaz, permitiendo a los asistentes participar de forma proactiva en la formación.
Todas llamadas tanto desde los teléfonos Cisco como de los usuarios de Lync cursan sus llamadas a través de VoIP, lo que nos ofrece una independencia total sobre el operador de Voz. Además, EQ2B tiene un número para el SAT con varios agentes para recibir las llamadas de los clientes, y este SAT se gestiona en Lync con los grupos de Respuesta (Lync: Grupos de Respuesta (Parte I), Lync: Grupos de Respuesta (Parte II), Lync: Grupos de Respuesta (Parte III), Lync: Grupos de Respuesta (Parte IV)) y las llamadas se envían a los agentes que tienen instalados en su equipos el cliente Lync.
Todos los equipos de la oficina se conectan mediante una red wireless, cuenta con un Cisco AP 1041 configurado con 802.1x para autenticar a los equipos del dominio mediante su correspondiente certificado de equipo (NPS: Autenticación 802.1x para nuestra red inalámbrica). El teléfono inalámbrico se conecta igualmente mediante el mismo AP y el mismo SSID pero mediante un usuario y contraseña del AD y se le asigna la VLAN de Voz correspondiente (NPS: Autenticación 802.1X y Asignación de VLAN).
Los equipos están conectados al data center mediante DirectAccess(Windows Server 2012: DirectAccess), lo que permite a los usuarios estar logueados en el dominio, facilitando la autenticación con las herramientas de negocio. Esto permite reducir las tareas de administración sobre los equipos, puesto que nos aprovechamos de las directivas de grupo para la tareas de actualización, aplicación de medidas de seguridad, etc…
El correo electrónico que utilizan es Exchange 2010, los usuarios utilizan Outlook 2013 mediante Outlook Anywhere, EAS y OWA. Además, utilizan la MU de Exchange conetado a Lync. Utilizan distintos tipos de SmartPhones, desde iPhone hasta Nokia pasando por todo el resto (de esto doy fe). Esto les permite se mucho más eficientes con la gestión de sus correos electrónicos, viendose beneficiados sus propios clientes, puesto que la inmediatez lograda es vital para su negocio. Además, en el Exchange se cuenta con un software de firmas, que permite centralizar la plantilla de correo electrónico de tal forma que cualquier usuario del dominio y con cuenta en Exchange tiene su plantilla corporativa desde el primer momento.
Todas los portátiles (movilidad absoluta) tienen Windows 8 Enterprise, algo que se ha tenido en cuenta a la de decidirse por esta versión o la PRO por la utilización de Direct Access (Windows Server 2012: DirectAccess). Claramente la opción de Direct Access garantizaba cierto control y disponibilidad deseada para mejor la productividad y reducir el coste en IT.
Todas las conexiones y servicios están en el Data Center, por lo que la ubicación física de los usuarios y oficina no se debe tener en cuenta. Lo único a lo que debemos prestar atención es a las comunicaciones, puesto que forman un papel fundamental en este modelo de infraestructura IT. Lo importante era tener un proveedor que cumplieses las siguientes premisas:
– Rapidez de instalación en la línea de datos en la Oficina, además de implementar una opción de Backup en la solución
– Relación Calidad/Precio
Los requisito no eran muy altos, puesto que la necesidad era tener una conexión de datos estable y en el menor tiempo posible. EQ2B finalmente contrató la línea de ADSL con backup de 3G con Vodafone, sin IP fija puesto que no era necesario para la comunicación vía IPSec con el CPD. EL hardware de comunicaciones que Vodafone instala en estos casos es el HUAWEI hg556a, un hardware sencillo pero con backup de USB y sencillo de configurar.
Una vez que tenemos todos los elementos de la infraestructura, lo que quedaba era diseñar el "plan" de migración hacia la nueva oficina. Como todos los servicios están en su nube privada, únicamente tenemos que conectar la oficina con el CPD mediante una conexión segura (IPSec) y todos los servicios estarán disponibles en el mismo momento. Teniendo en cuenta que DirectAccess ya ofrece la conectividad a los usuarios, puede parecer que no teníamos nada que hacer, pero debemos tener en cuenta que la autenticación de la red Wireless es mediante 802.1x se conecta la servidor NPS que está en el CPD. Además la comunicación entre el UC540 y Lync también es de forma directa y para ello necesitamos tener la VPN establecida. Como la comunicación es entre IP Privadas (rangos IP de las sedes), con que tengamos configurada la VPN tenemos todo operativo. El direccionamiento IP privado en la nueva oficina será la misma que en la oficina actual, de tal forma que no tengamos que modificar ninguno de los servicios. Ahora que tenemos claro que solo debemos configurar la VPN para poner en marcha la nueva oficina, solo debíamos preocuparnos por trasladar los muebles y poco más.
Para configurar la VPN mediante IPSec utilizaremos el Router Cisco 1841 que está en el CPD y el UC540 de la oficina remota. Debemos tener en cuenta que en la oficina remota el dispositivo que gestiona la conexión a Internet el el router del proveedor (Vodafone), por lo que debemos utilizar IPSec con NAT-Traversal, por que es posible que necesitamos abrir determinados puertos hacia el UC540.
Para permitir el funcionamiento de IPsec a través de NAT; los siguientes protocolos deben estar permitidos en el firewall:
Internet Key Exchange (IKE) – User Datagram Protocol (UDP) puerto 500
Encapsulating Security Payload (ESP) – IP protocol number 50
Encapsulating Security Payload (ESP) – IP protocol number 50
o, en caso de NAT-T:
IPsec NAT-T – UDP puerto 4500
IPsec NAT-T – UDP puerto 4500
Esto es así porque el router de Vodafone está configurado con NAT y por detrás tenemos el UC540 haciendo otra vez NAT para no tener que cambiar nada en la migración, y así poder mantener el direccionamiento IP interno sin tener que realizar cambio alguno.
La configuración de IPSec mediante dispositivos Cisco y solo con una IP fija en uno de los extremos es la siguiente:
| Data Center | Nueva Oficina |
|---|---|
|
crypto isakmp policy 10
encr aes 192
authentication pre-share
group 2
crypto isakmp key contraseña_ipsec address 0.0.0.0 0.0.0.0
crypto ipsec transform-set ipsec esp-aes 192 esp-sha-hmac
crypto dynamic-map vpneq2b 10
set transform-set ipsec
match address 180
crypto map vpnipsec 10 ipsec-isakmp dynamic vpneq2b
access-list 180 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 180 deny ip 192.168.200.0 0.0.0.255 host 0.0.0.0
No NAT
access-list 110 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 permit ip any any
|
crypto isakmp policy 10 access-list 180 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 No NAT access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 permit ip any any
|
| Por último se deben aplicar los crypto-map a las intr | |
Esta configuración es la ideal para ser totalmente independiente del proveedor, del router del proveedor, etc.. además que evitar un gasto innecesario en la IP fija de la oficina, puesto que no es necesaria. Además, como el proveedor ya nos ofrece el failover automático en 3G, la conexión de IPSec se negociará automáticamente en cuanto vuelva a tener internet para llegar el otro extremo de VPN (CPD).
Ahora que ya conocéis el escenario, que creéis que debemos hacer para que en la nueva oficina el sistema esté funcionando con el menor tiempo de para posible? Pues si, solo hacerlo en un fin de semana y estas son las tareas que hemos tenido que completar en la nueva oficina:
– Conectar todos los elementos de Red
- Router Vodafone
- UC540
- AP 1041
- Teléfonos
– Configurar IPSec (copiar y pegar la configuración anterior)
En cuanto a la parte de Voz, como tenemos VoIP para nuestras comunicaciones de voz, no tenemos que migrar líneas de teléfono ni nada parecido. Las llamadas de la PSTN nuestro ITSP nos las envía al servidor de Lync y de ahí a los teléfonos de Cisco los números de la oficina y los del SAT al grupo de respuesta de Lync. De nuevo como las comunicaciones entre el Lync y Cisco son "directas", con tener establecida la VPN ya sería suficiente, y para los agentes del SAT con que hayan iniciado sesión sería suficiente.
Como vemos lo que en teoría en otro escenario se puede volver complejo, con decenas de tareas, coordinación de varias personas, etc.. ahora únicamente debemos mover los muebles, tener internet en la oficina y que los usuarios se vayan sentando en sus sitios!!! Sin olvidarnos que los clientes que se conectan a los servicios de la compañía han estado operativos el 100% del tiempo, por lo que los clientes no se han enterado del cambio de oficina hasta que se le ha enviado vía e-mail los nuevos datos postales.
Espero que os haya resultado ilustrativo, a mi me ha resultado muy gratificante poder ayudar a un amigo en este proceso de ampliación y expansión de forma tan sencilla. Si bien es cierto, que para llegar a esto hemos tenido mucho que trabajar, que darle forma, horas y horas para tener este resultado, pero al final ha merecido la pena. Porque aun no os he contado lo más interesante, tiempo invertido en la puesta en marcha de la infraestructura IT: 2 horas y 35 min!!!! Esto hace 2 años para EQ2B o cualquier otra empresa de tamaño medio sería imposible, ahora es una realidad para todos
Espero que muchas más empresas empiecen a ver los beneficios de la nube privada, de las comunicaciones empresariales y la telefonía IP. Seguramente me hayan quedado algunos detalles atrás, pero bueno la idea general espero que os sea de ayuda para vuestros proyectos presentes o futuros.
"EL PRESENTE ES LA CLOUD Y LAS COMUNICACIONES UNIFICADAS"
