Diseñar la red de un hospital en Cisco Packet Tracer es uno de los proyectos más completos que te puede tocar, porque junta tres cosas que en otros laboratorios ves por separado: segmentación por departamento, un núcleo que no puede caerse y aislamiento estricto de los sistemas clínicos. En esta guía vas a construir esa red de principio a fin y a entender por qué cada decisión de redundancia y seguridad está donde está, para que puedas defenderla en la sustentación. Al final habrás generado con NetPilot un .pkt funcional y entenderás la lógica completa detrás de él.
Qué necesita este proyecto de red de hospital
Una red de hospital en Cisco Packet Tracer no es una LAN plana con más PCs: es una red donde la disponibilidad (que la red no se caiga) y el aislamiento (que un equipo no llegue a donde no debe) valen más que la velocidad. En Packet Tracer eso se traduce en un puñado de requisitos concretos.
- Departamentos segmentados. Salas (atención de pacientes), Radiología, Administración, Farmacia y una VLAN de Servidores que aloja la Historia Clínica Electrónica (HCE), DNS y DHCP. Cada uno en su propia VLAN y su propia subred.
- Un núcleo redundante. Dos switches multicapa en el centro, enlazados entre sí y con la distribución por enlaces dobles, para que la caída de un switch o de un cable no deje a un piso entero sin red.
- Enrutamiento entre VLANs. Las VLANs tienen que comunicarse de forma controlada, así que el núcleo hace el enrutamiento inter-VLAN y aprende las rutas hacia la distribución.
- Servicios de red. Cada departamento recibe direcciones por DHCP automáticamente, y la VLAN de Servidores resuelve nombres por DNS.
- Seguridad. ACLs que impiden que las VLANs administrativas o de invitados alcancen los dispositivos médicos y la HCE.
La forma rápida: descríbeselo a NetPilot
La manera más rápida de arrancar es no dibujar nada al principio. Abre NetPilot y descríbele la red de tu hospital en español, tal como la pediría un profesor:
"Diseña la red de un hospital con cinco VLANs: Salas, Radiología, Administración, Farmacia y Servidores (HCE, DNS, DHCP). Quiero un núcleo redundante de dos switches multicapa con EtherChannel y HSRP, enrutamiento inter-VLAN, un ámbito DHCP por VLAN y ACLs que impidan que Administración llegue a la VLAN de Servidores clínicos. Exporta el .pkt."
NetPilot lee esa descripción, diseña la topología, escribe la configuración Cisco IOS de cada dispositivo (VLANs, EtherChannel, HSRP, DHCP, ACLs), te explica el porqué de cada elección y te entrega un archivo .pkt que abre directamente en Cisco Packet Tracer. Ahí está el detalle que ChatGPT no puede igualar: ChatGPT solo produce texto, no puede leer ni escribir el formato binario .pkt, así que copias y pegas a ciegas; NetPilot hace el viaje de ida y vuelta con el archivo real.
Y no es una caja negra. El acceso directo por CLI siempre está disponible: cada configuración que NetPilot genera la puedes verificar a mano en una CLI real de Cisco IOL en el navegador (trae tu propia imagen de Cisco), comando por comando, hasta que entiendas exactamente qué hace cada línea. La IA y la CLI son complementarias, no excluyentes — usa la IA para construir rápido y la CLI para comprobar que de verdad lo entendiste.
El diseño, explicado
Ahora la parte que importa para la sustentación: por qué la red queda así.
Las tres capas de la topología
La red sigue el modelo jerárquico clásico, comprimido para Packet Tracer. La capa de acceso son switches de capa 2 en cada departamento, donde se conectan PCs, estaciones de Radiología y dispositivos de Farmacia. La capa de núcleo/distribución son dos switches multicapa que hacen el enrutamiento y concentran todo. Colapsar núcleo y distribución en dos switches multicapa redundantes es una decisión deliberada, no un atajo: el hospital del laboratorio no es tan grande.
La clave es la redundancia: cada switch de acceso sube por dos enlaces, uno a cada switch de núcleo. Así, si un switch de núcleo muere, el departamento sigue conectado por el otro. Esa es la traducción directa del requisito de "disponibilidad": en un hospital, una caída de red puede significar que Radiología no pueda enviar una placa.
Plan de VLANs y direccionamiento
Cada departamento es una VLAN y una subred /24 propias. Separar por subred no es estética: es lo que hace posible aplicar ACLs entre departamentos y contener un problema (un broadcast, un equipo infectado) dentro de una sola VLAN.
| VLAN | Departamento | Subred | Gateway (VIP HSRP) |
|---|---|---|---|
| 10 | Salas | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Radiología | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Administración | 10.0.30.0/24 | 10.0.30.1 |
| 40 | Farmacia | 10.0.40.0/24 | 10.0.40.1 |
| 99 | Servidores (HCE/DNS/DHCP) | 10.0.99.0/24 | 10.0.99.1 |
NetPilot genera la creación de VLANs en cada switch — y esto es lo que significa:
vlan 10
name SALAS
vlan 20
name RADIOLOGIA
vlan 30
name ADMINISTRACION
vlan 40
name FARMACIA
vlan 99
name SERVIDORESEl núcleo redundante: EtherChannel, RSTP y HSRP
Entre los dos switches de núcleo va un EtherChannel: agrupa varios enlaces físicos en uno lógico, así ganas ancho de banda y, si un cable falla, el canal sigue arriba sin reconvergencia. Sobre la topología corre RSTP (Rapid Spanning Tree) para evitar bucles entre todos esos enlaces redundantes — y es rápido a propósito, porque el STP clásico tarda hasta 50 segundos en converger y eso es una eternidad para un equipo médico.
interface range GigabitEthernet0/1 - 2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
!
spanning-tree mode rapid-pvstPara que el gateway tampoco sea un punto único de falla, los dos switches comparten una IP virtual con HSRP: los PCs apuntan a .1 como puerta de enlace, y esa .1 la atiende el switch activo; si cae, el de respaldo asume la IP virtual en segundos sin que ningún equipo cambie su configuración.
interface vlan 10
ip address 10.0.10.2 255.255.255.0
standby 10 ip 10.0.10.1
standby 10 priority 110
standby 10 preemptEl enrutamiento inter-VLAN lo hacen estos mismos switches multicapa con ip routing. Entre el núcleo y la distribución puedes usar rutas estáticas si la red es pequeña, pero para que el laboratorio escale y la redundancia se aproveche, OSPF de área única (área 0) es la mejor opción: si un enlace cae, OSPF recalcula la ruta solo.
ip routing
router ospf 1
network 10.0.10.0 0.0.0.255 area 0
network 10.0.20.0 0.0.0.255 area 0
network 10.0.30.0 0.0.0.255 area 0
network 10.0.40.0 0.0.0.255 area 0
network 10.0.99.0 0.0.0.255 area 0Servicios: DHCP y DNS por VLAN
Cada departamento tiene su propio ámbito DHCP, definido en el switch de núcleo, para que las estaciones obtengan dirección, gateway y servidor DNS automáticamente. Un ámbito por VLAN mantiene el direccionamiento ordenado y te deja excluir las IPs estáticas (servidores, gateways).
ip dhcp excluded-address 10.0.20.1 10.0.20.10
ip dhcp pool RADIOLOGIA
network 10.0.20.0 255.255.255.0
default-router 10.0.20.1
dns-server 10.0.99.10El servidor DNS vive en la VLAN 99 (Servidores) y resuelve los nombres internos, como el de la HCE. Mantener los servidores en su propia VLAN es lo que hace posible el siguiente paso: protegerlos.
Seguridad: ACLs que aíslan lo clínico
Aquí está el corazón del proyecto. Una ACL extendida en la interfaz de la VLAN de Servidores permite el tráfico clínico legítimo y bloquea lo demás. Por ejemplo, que Administración no pueda alcanzar la HCE ni los dispositivos médicos, pero Salas y Radiología sí:
ip access-list extended PROTEGER-SERVIDORES
permit ip 10.0.10.0 0.0.0.255 10.0.99.0 0.0.0.255
permit ip 10.0.20.0 0.0.0.255 10.0.99.0 0.0.0.255
permit udp 10.0.30.0 0.0.0.255 host 10.0.99.10 eq 53
deny ip 10.0.30.0 0.0.0.255 10.0.99.0 0.0.0.255
permit ip any any
!
interface vlan 99
ip access-group PROTEGER-SERVIDORES outEl orden importa: las ACLs se evalúan de arriba abajo y se detienen en la primera coincidencia, por eso los permit específicos — incluido el de DNS para Administración, que necesita resolver nombres aunque no deba alcanzar la HCE — van antes que el deny. En el acceso, conviene además port security en los puertos de departamento, para que nadie conecte un equipo no autorizado a una toma de Radiología.
Detalles de Cisco Packet Tracer que debes vigilar
- EtherChannel quisquilloso. Packet Tracer exige que los dos extremos del canal tengan modo y configuración idénticos (mismas VLANs permitidas, mismo modo trunk); si difieren, el canal se queda en
downsin un error obvio. - HSRP no aparece en todos los IOS. Solo los switches multicapa (3560/3650) y routers soportan
standby; si lo escribes en un switch de capa 2 no pasa nada. Usa el modelo correcto. - El DNS hay que activarlo en el servidor. El servicio DNS del Server de Packet Tracer está apagado por defecto: enciéndelo en la pestaña Services → DNS y agrega los registros A, o la HCE "no existirá" aunque el
ip routingesté perfecto. - RSTP tarda en mostrar la convergencia. En el modo simulación verás cómo los puertos pasan por los estados; no asumas que está roto si un enlace tarda unos segundos en pasar a forwarding tras un cambio.
Preguntas frecuentes
¿Cómo hago redundante el núcleo de mi red de hospital en Cisco Packet Tracer?
Pon dos switches multicapa enlazados por EtherChannel, sube cada switch de acceso con dos enlaces (uno a cada núcleo) y comparte el gateway con HSRP; así ni un switch ni un cable caídos dejan sin red a un departamento. En Cisco Packet Tracer recuerda activar RSTP para que la red converja rápido sin bucles.
¿Cuántas VLANs necesito para el proyecto de red de hospital en Cisco Packet Tracer?
Necesitas una VLAN por dominio de aislamiento: en este diseño son cinco (Salas, Radiología, Administración, Farmacia y Servidores), cada una en su propia subred /24. En Cisco Packet Tracer esa separación es lo que después te permite aplicar las ACLs que protegen la HCE.
¿Cómo evito que Administración llegue a los servidores clínicos en Cisco Packet Tracer?
Aplica una ACL extendida en la interfaz de la VLAN de Servidores que permita explícitamente a las VLANs clínicas y haga deny a la subred de Administración antes del permit any. En Cisco Packet Tracer el orden de las líneas es crítico, porque la ACL se detiene en la primera coincidencia.
¿Puede ChatGPT entregarme el .pkt de la red del hospital listo para abrir?
No: ChatGPT solo genera texto y no puede leer ni escribir el archivo binario .pkt, así que tendrías que copiar cada configuración a mano en Cisco Packet Tracer. NetPilot sí exporta un .pkt funcional de la red completa y te explica cada decisión para que la entiendas y la defiendas.
¿Necesito OSPF o me alcanza con rutas estáticas para la red del hospital?
Para un hospital pequeño en Cisco Packet Tracer las rutas estáticas funcionan, pero OSPF de área única recalcula las rutas solo cuando un enlace redundante cae, que es justo lo que un hospital necesita. Si tu consigna pide "alta disponibilidad", OSPF es la respuesta más sólida en Packet Tracer.
Construye la red — y entiéndela
Una red de hospital es el proyecto perfecto para demostrar que entiendes redundancia y segmentación, no solo que sabes pegar configuraciones. Empieza describiéndola en lenguaje natural, recibe el .pkt funcional y luego repasa cada VLAN, cada ACL y el HSRP por CLI hasta que puedas explicar el porqué de todo en la sustentación.
Mira más ideas en el hub de proyectos de Packet Tracer, apóyate en el asistente de Packet Tracer cuando te trabes, y pruébalo gratis en https://app.netpilot.io.