Ir al contenido
Arquitectura de red multisede — KYTOM
Equipo Obras

Arquitectura de red multisede

Tres exigencias entrelazadas para una arquitectura conforme a EN 50173

En un proyecto multisede del sector terciario, la mayor parte del tráfico se dirige ya hacia la nube: seguir dimensionando una estrella MPLS pura es financiar una arquitectura de 2010 para usos de 2025. Una arquitectura de red multisede combina MPLS, SD-WAN, VPN IPsec y fibra dedicada para interconectar sedes y delegaciones con una latencia controlada por debajo de 30 ms. Kytom diseña estas infraestructuras desde 2006 en un plazo medio de 12 semanas que incluye auditoría, diseño, cableado VDI categoría 6A y recepción. Las normas EN 50173 e ISO/IEC 11801 regulan el cableado estructurado, y un SD-WAN híbrido bien implementado reduce sensiblemente la partida de telecomunicaciones.

Arquitectura de red multisede
02

Una arquitectura multisede del sector terciario responde a tres exigencias simultáneas: continuidad del servicio, securización de los flujos y control presupuestario a 5-7 años. Hoy se contabilizan más de 4 millones de empresas activas en Francia, de las cuales una proporción creciente explota al menos 2 ubicaciones físicas con necesidades permanentes de SaaS, ToIP y videoconferencia. El ancho de banda por puesto del sector terciario se ha multiplicado varias veces en una década: las necesidades de SaaS, ToIP y videoconferencia sitúan hoy los usos corrientes en 5-10 Mbps útiles por puesto, frente a los 2 Mbps de hace diez años.

Las arquitecturas históricas en estrella MPLS llegan a su límite frente a la migración a la nube (Microsoft 365, ERP alojados), que representa una proporción dominante del tráfico saliente en las sedes del sector terciario. Nuestra lectura diverge aquí de la doxa de los operadores: hacer transitar este tráfico por un nodo central MPLS antes de salir hacia internet (arquitectura backhaul) añade entre 15 y 40 ms de latencia innecesaria en cada sesión SaaS y satura el enlace de la sede. La salida local (direct internet access) protegida por firewall NGFW se convierte en la regla, reservándose el MPLS para los flujos ToIP y aplicativos internos. El RGPD y el Código de trabajo imponen además una compartimentación estricta de los flujos de RR. HH., contables y de invitados, supervisada mediante VLAN segmentadas.

La conexión de fibra óptica pasa por una sala de servidores principal, a menudo en un nivel intermedio de la 3.ª a la 5.ª planta, y luego se distribuye hacia los racks VDI de planta mediante fibra multimodo OM4 (hasta 150 m, 10 Gb/s) o monomodo OS2 (varios km, 100 Gb/s+). La conformidad con EN 50173 e ISO/IEC 11801 garantiza el rendimiento medido en la recepción.

Arquitectura de red multisede
03

Método Kytom en 5 hitos a lo largo de 12 semanas

El despliegue de Kytom se organiza en el plazo estándar, estructurado en cinco hitos diferenciados adaptados a las restricciones de calendario de las direcciones de TI.

  1. Auditoría técnica (1 a 2 semanas): cartografía de los flujos aplicativos, medición de los caudales reales, inventario de racks, switches y puntos de acceso Wi-Fi.
  2. Diseño de la arquitectura objetivo (2 a 3 semanas): elección entre MPLS de operador, SD-WAN gestionado o híbrido, dimensionamiento de los enlaces primarios y de respaldo, plan de direccionamiento IP, segmentación VLAN.
  3. Pliego de condiciones y consulta: análisis comparativo de un mínimo de 3 ofertas de operadores, integradores exigidos.
  4. Despliegue coordinado (5 a 6 semanas): cableado categoría 6A o 7, racks 42U, equipos activos, supervisión centralizada.
  5. Recepción técnica (1 a 2 semanas): pruebas de conmutación, mediciones de latencia entre sedes con objetivos inferiores a 30 ms, formación de los equipos de TI internos.

Los equipos de Kytom repartidos por todo el territorio garantizan una presencia sobre el terreno a menos de 200 km de cada sede del cliente, lo que reduce los plazos de intervención ante incidencias críticas a 4 horas laborables de media. La coordinación simultánea en varias regiones comprime los plazos de calendario en los proyectos de 8 a 15 sedes.

Para la dirección de sistemas de información: el verdadero coste oculto es la auditoría ausente. Los proyectos multisede que arrancan sin una auditoría previa de caudal/flujos sufren casi sistemáticamente una corrección posterior a la entrega, con un sobrecoste del 15 al 25 % del presupuesto VDI. Por el contrario, una auditoría presupuestada en 8-12 k€ sin IVA en la fase 1 asegura el presupuesto hasta la recepción. Una auditoría no es un gasto: es un seguro contra la corrección del cableado en explotación.

Cuándo este método no es el adecuado. Por debajo de 3 sedes interconectadas y sin ToIP crítica, la secuencia de pliego de condiciones + integrador externo resulta contraproducente: el sobrecoste de ingeniería (12 a 18 k€ sin IVA) supera a menudo las ganancias de los operadores, y una conexión VPN IPsec gestionada directamente por la dirección de TI interna sigue siendo más rentable. Del mismo modo, con un parque inferior a 30 puestos por sede y sin aplicación de negocio alojada, el SD-WAN gestionado no aporta un ROI medible antes de 36 meses: es preferible una fibra de operador compartida con router estándar.

04

Comparativa de MPLS, SD-WAN e híbrido en 4 indicadores clave

Las direcciones financieras y de TI deciden entre tres modelos de arquitectura según la criticidad aplicativa y el perfil de tráfico medido en la auditoría.

Criterio MPLS puro SD-WAN gestionado Híbrido MPLS + SD-WAN
Coste recurrente (base 100) 100 65 a 80 75 a 85
Latencia entre sedes < 20 ms 20 a 30 ms < 25 ms
Disponibilidad contractual 99,9 % 99,5 a 99,9 % 99,9 %
Adecuado para 5 a 10 sedes, ToIP crítica 10+ sedes, fuerte nube Sede + delegaciones mixtas

Valores indicativos procedentes de configuraciones tipo observadas en entornos del sector terciario, a precisar según la auditoría de su parque.

En los proyectos multisede que entregamos, el paso a un SD-WAN híbrido se traduce generalmente en una reducción sensible de la partida de telecomunicaciones, una mejora de la disponibilidad contractual y una latencia controlada en el conjunto de los enlaces, ganancias que cuantificamos sistemáticamente en la auditoría antes del compromiso. El retorno de la inversión de una reestructuración SD-WAN se observa entre 18 y 30 meses según la madurez de lo existente.

Para la dirección de TI ante su comité ejecutivo: traducir la disponibilidad en horas perdidas, no en porcentajes. Anunciar « 99,5 % de SLA » en un comité de dirección no desencadena ninguna decisión. Anunciar « 43 horas de indisponibilidad al año, es decir, 5 días laborables sin ToIP ni ERP » provoca la decisión. La misma lógica se aplica a la latencia: « 30 ms » no significa nada, « + 0,5 segundos de retraso en cada apertura de archivo SharePoint para 80 colaboradores » sí es decidible.

Límite del SD-WAN. El SD-WAN deja de ser pertinente por debajo de 4 sedes conectadas o cuando el tráfico hacia la nube se mantiene por debajo del 30 % del tráfico total: el coste de la consola gestionada y de los equipos CPE no se amortiza, y un MPLS residual o un simple enlace de fibra es suficiente. En una sede única con algunos teletrabajadores, el debate MPLS/SD-WAN no se plantea: una VPN IPsec estándar responde a la necesidad por entre 10 y 20 veces menos.

05

Cuatro puntos de vigilancia: Arcep, ANSSI y parque heterogéneo

Cuatro restricciones merecen una atención particular antes del lanzamiento, so pena de retrasar la puesta en servicio varios meses.

Vigilancia Impacto Solución
Fibra dedicada Arcep 8 a 26 semanas en el 15-20 % de las direcciones del sector terciario Estudio de elegibilidad previo al diseño
Seguridad perimetral ANSSI RGPD, IPsec AES-256, 802.1X cableado y Wi-Fi Firewalls de nueva generación
Dependencia del operador Criticidad de ToIP y ERP en caso de corte único Doble operador en las 3 sedes principales
Parque heterogéneo Switches multigeneración, racks no normalizados Auditoría física sede por sede antes del pliego de condiciones

La elegibilidad de la fibra dedicada sigue siendo el riesgo de calendario número uno: un desfase de 3 a 6 meses es frecuente cuando el estudio de la Arcep no se ha realizado de antemano. La seguridad perimetral impone IPsec AES-256, autenticación 802.1X en puertos cableados y Wi-Fi, y registro conforme al RGPD. La redundancia de operadores en las sedes principales protege la continuidad de ToIP y ERP frente a un corte único.

05 — Inspiraciones

Explore nuestros
proyectos

Explorar Explorar

¿Tiene un proyecto de acondicionamiento?

Benefíciese de una auditoría gratuita de sus espacios: mirada experta, recomendaciones concretas, sin compromiso.

Solicitar mi auditoría gratuita