Beruflich Dokumente
Kultur Dokumente
TESINA
Seminario de Titulacin:
Las tecnologas aplicadas a las redes de computadoras
FNS 5092005/04/2008
SEMINARIO DE TITULACIN
FNS5092005/04/2008
INGENIERO
EN
COMUNICACIONES
ELECTRNICA
PREZ LPEZ ROBERTO
REBOLLAR HERNNDEZ JUAN VICTOR
INGENIERO EN COMPUTACIN
GODNEZ QUEZADA ERICK ARTURO
A Dios que me ha dado una familia maravillosa y una vida llena de emociones, retos y
felicidad.
A mis amados padres en quienes siempre he encontrado el apoyo que me ha hecho crecer
como persona y a quienes les debo todo lo que soy.
A mi amada esposa quien me llena de alegra cada da y me da la fuerza y motivacin para
cumplir mis objetivos.
Erick Arturo
Agradezco a mis padres el darme el apoyo necesario e inculcarme los valores necesarios
para ser una persona de bien y llegar hasta donde estoy ahora.
A mis hermanas y hermano por darme su apoyo cuando lo he necesitado.
A mis sobrinos que me dan ratos de alegra cuando estoy con ellos.
A Dios por permitirme ser quien soy.
Roberto
II
Agradezco al Instituto Politcnico Nacional por haber permitido formarme como una
persona profesional, adems de brindar la preparacin que egresados de otras escuelas
envidian en su formacin Acadmica.
Agradezco a Dios por permitir compartir la alegra de las dos grandes mujeres, a mi lado.
Agradezco a mi Madre la mejor madre que pudo existir, que con sus infinitos cansancios
logr darme ms de lo que se le da a un hijo, el valor de luchar por lo que quieres, no
importe el cansancio que esto conlleve y el amor que supera al de ella misma.
Agradezco a mi futura esposa que me ha brindado el apoyo incondicional y enseado a ver
la otra mitad de m, da a da, en ella, en su amorGracias!
Juan Victor
III
ndice
Introduccin
Captulo I. Fundamentos de las Redes Privadas Virtuales
1.1 Seguridad para la VPN
1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN)
1.2.1 Ventajas de una Red Privada Virtual (VPN)
1.2.2 Desventajas de una Red Privada Virtual (VPN)
1.3 Arquitectura de la Red Privada Virtual (VPN)
1.3.1 Redes Privadas Virtuales basadas en FireWall
1.3.2 Redes Privadas Virtuales basadas en caja negra
1.3.3 Redes Privadas Virtuales basadas en ruteadores
1.3.4 Redes Privadas Virtuales basadas en acceso remoto
1.4 Topologas de VPN
1.4.1 Topologa de Cortafuego/VPN a cliente
1.4.2 Topologa de VPN/LAN a LAN
1.4.3 Topologa de cortafuego/ VPN a Internet/ extranet
1.4.4 Topologa de VPN/tramas a ATM
1.4.5 Topologa de VPN de hardware (caja negra)
1.4.6 Topologa de VPN/NAT
1.5 Trfico de entrada y salida de la VPN
1.6 Trfico de entrada de la VPN
1.7 Topologa de conmutacin de VPN
Captulo II. Fundamentos de los Sistemas de Informacin
2.1 Sistemas de informacin
2.2 Categoras de los sistemas de informacin
2.2.1 Sistemas para el procesamiento de transacciones
2.2.2 Sistemas de informacin administrativa
2.2.3 Sistemas para el soporte de decisiones
2.3 Estrategias para el desarrollo de sistemas
2.4 Ciclo de vida clsico del desarrollo del sistema
2.4.1 Investigacin preliminar
2.4.2 Determinacin de los requerimientos del sistema
2.4.3 Diseo del sistema
2.4.4 Desarrollo de software
2.4.5 Prueba del sistema
2.4.6 Implantacin y evaluacin
Captulo III. Configuracin VRF (VPN routing/forwarding)
3.1 Protocolo de Gateway Fronterizo o Border Gateway Protocol
3.2 Conmutacin Multi-Protocolar mediante Etiquetas MPLS
3.2.1 Caractersticas bsicas y funcionamiento
1
9
13
15
16
17
17
17
18
18
18
18
19
20
21
22
23
23
23
24
24
25
25
26
26
26
27
28
30
31
32
33
33
34
34
36
38
38
39
IV
42
42
43
44
46
46
47
47
48
49
50
53
58
59
59
60
62
62
64
70
71
71
73
75
76
Introduccin
Algunos aos atrs, las diferentes sucursales de una empresa podan tener, cada una, una
red local a la sucursal que operara aislada de las dems. Cada una de estas redes locales
tena su propio esquema de nombres, su propio sistema de email, e inclusive usar
protocolos que difieren de los usados en otras sucursales. Es decir, en cada lugar exista una
configuracin totalmente local, que no necesariamente deba ser compatible con alguna o
todas las dems configuraciones de las otras reas dentro de la misma empresa. Conforme
ha ido pasado el tiempo las empresas han visto la necesidad de que las redes de rea local
superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros
edificios, ciudades, comunidades autnomas e incluso pases.
La Red Privada Virtual (VPN, Virtual Private Network ) vino a solucionar este problema de
comunicacin siendo una tecnologa de red que permite una extensin de la red local sobre
una red pblica, por ejemplo Internet. Esto es posible gracias a los medios para garantizar
la autenticacin, integridad y confidencialidad de toda la comunicacin:
Autenticacin y autorizacin: Tcnica por la cual se reconoce el usuario o equipo a
conectarse y el nivel de acceso que debe tener.
Integridad: Es la garanta de que los datos enviados no han sido alterados.
Confidencialidad: Dado que los datos viajan a travs de un medio potencialmente hostil
como Internet, los mismos son susceptibles de ser interceptados, por lo que es fundamental
el cifrado de los mismos. De este modo, la informacin no debe poder ser interpretada por
nadie ms que los destinatarios de la misma.
El concepto de VPN ha estado presente desde hace algunos aos en el mundo de la redes de
voz. A mediados de los aos 80s, grandes portadoras fueron ofrecidas como VPN para
servicios de voz, de manera que las compaas podan tener la apariencia de una red
privada de voz, mientras compartan los recursos de una red mucho mayor. Este concepto
se est aplicando ahora tanto para voz como para datos de la misma manera. Esencialmente
una VPN es una red de datos aparentemente privada, pero la cual utiliza los recursos de un
red de informacin mucho mayor. La Internet es la plataforma ideal para crear una VPN.
En un principio existan dos tipos bsicos de tecnologas VPN, las cuales fueron la base de
las VPN hoy en da: VPN confiables y VPN seguras. Las VPN hbridas, surgieron como
consecuencia de un desarrollo tecnolgico y de los avances de la Internet.
Antes de que la Internet se volviera universal, una VPN consista en uno o ms circuitos
rentados a un proveedor de comunicaciones. Cada circuito rentado actuaba como un cable
independiente, el cual era manejado por el cliente. La idea bsica era que el cliente usara el
circuito de la misma manera en que usaba los cables fsicamente en su red local.
La privacidad con la que contaban estas VPN no era ms que la que el proveedor del
servicio de comunicacin le otorgaba al cliente; nadie ms poda usar el mismo circuito.
Esto permita a los clientes tener su propia direccin IP y polticas de seguridad
independientes. Un circuito rentado corra sobre uno o ms switch de comunicacin, de los
cuales, cualquiera poda ser comprometido por algn operador que tratara de monitorear el
trfico de las lneas. El cliente VPN tena que confiar la integridad de los circuitos y de la
informacin en el proveedor de servicio VPN; por este motivo este tipo de redes era
llamado VPN confiable.
Con el paso del tiempo la Internet se volvi ms popular como medio de comunicacin
corporativo, y la seguridad se volvi un tpico de mayor importancia. Con el antecedente
de las VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la
informacin y que incluyeran la integridad de los datos enviados. Se empezaron a crear
protocolos que permitieran la encriptacin del trfico en algn extremo de la red, que se
2
moviera a travs de la Internet como cualquier otra informacin, para luego ser descifrado
cuando alcanzara la red de la corporacin o al destinatario.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten
obtener acceso a servicios de carcter privado, nicamente a personal autorizado, de una
empresa, centros de formacin, organizaciones, etc.; cuando un usuario se conecta va
Internet, la configuracin de la Red Privada Virtual le permite conectarse a la red privada
del organismo con el que colabora y acceder a los recursos disponibles de la misma como si
estuviera tranquilamente sentado en su oficina.
En la prctica, la tecnologa VPN nos da la posibilidad de conectar dos o ms sucursales de
una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de
soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda
acceder desde su equipo porttil desde un sitio remoto, por ejemplo un hotel, cafetera,
restaurante, etc. Todo esto utilizando la infraestructura de Internet.
Las ventajas de ocupar la tecnologa VPN en las empresas son los ahorros considerables en
enlaces privados: un enlace privado o "dedicado" de punto a punto entre 2 sucursales o
enlaces del tipo empresarial, son bastante costosos, aunque ofrecen buena calidad en el
servicio, su costo es sumamente elevado, pues llegan a costar decenas de miles de pesos de
renta mensual ms el costo de los equipos de telecomunicaciones especiales necesarios para
soportar estos enlaces.
Infraestructura fcil de mantener: como referencia a lo anterior, la infraestructura y equipos
de red como fibras pticas, ruteadores, conversores de seal, tarjetas de recepcin, etc. son
equipos de precio elevado, y se tiene que tener un espacio dedicado a estos en una empresa
que los requiera, donde las condiciones ambientales deben ser las adecuadas y, por otra
parte, el costo del soporte tcnico es tambin costoso. Con la implementacin de una VPN,
el mantenimiento a la infraestructura y el soporte son bastante econmicos en comparacin
a lo anterior, si un equipo llega a tener una falla en hardware, la inversin en su
mantenimiento es relativamente baja como cualquier otro equipo de cmputo de la
empresa.
3
Los proveedores del servicio de VPN y las empresas de gran tamao que lo ocupan
enfrentan constantemente la necesidad de optimizacin de los costos de gestin y
funcionamiento, simplificando la gestin de redes y aumentando las oportunidades de
beneficios.
Una solucin a estas necesidades es la implementacin de un Sistema de Activacin el cual
ayude a administrar de forma ptima este tipo de conexiones VPN creando un
procedimiento estndar de configuracin, y dando el mayor rendimiento en funcionamiento
eliminando la configuracin manual de equipos de red para evitar errores humanos.
Se realizar un sistema de activacin de VPN en equipos CISCO 7206 VXR para solventar
la necesidad en las grandes empresas de poder administrar en sus redes las altas y bajas de
este tipo de conexiones de manera automtica y centralizada.
Gracias al sistema de activacin se podr llevar un control de los cambios que ha tenido la
red en cuanto a las conexiones VPN se refiere y quien ha sido el responsable de llevarlas a
cabo, facilitando la identificacin de responsabilidades dentro del equipo de Sistemas de
Operacin.
El sistema de activacin contar con el procedimiento necesario de configuracin de VPN
para asegurar que al configurar los equipos de la red, no se corrompan otros servicios ya
instalados, con esto se evita gran parte del error humano que puede existir al configurar este
tipo de servicios de forma directa en los elementos de la red.
Se ha elegido realizar un Sistema de Activacin de VPN especficamente para equipos
7206 VXR de la marca CISCO debido a que en primer lugar, CISCO es el lder mundial en
redes para Internet. CISCO entrega la lnea ms amplia y completa de soluciones para el
transporte de datos, voz y video alrededor del mundo, asegurando que tanto las redes
pblicas como las privadas operen con mximo desempeo, seguridad y flexibilidad.
Por otro lado, el equipo CISCO 7206 VXR es el ms nuevo de la serie Cisco 7200, la cual
se caracteriza por llevar en una sola plataforma de bajo costo las funciones que antes
llevaban a cabo varios dispositivos independientes. Los ruteadores de la serie Cisco 7200
4
pueden utilizarse con eficiencia, tanto en las redes de los proveedores de servicios como en
las de las empresas para reducir los costos de aprovisionamiento WAN, dar soporte a
servicios diferenciados y proporcionar aplicaciones de valor aadido como la gestin del
trfico, la contabilidad y la calidad de servicio. La serie Cisco 7200 establece una relacin
adecuada entre rendimiento y precio para los requisitos tanto de proveedores de servicios
como de empresas. Con su combinacin de rendimiento ampliable, densidad y un bajo
precio por puerto, la serie Cisco 7200 permite expandir las funciones de capa de red a una
gama ms amplia de configuraciones y entornos.
La siguiente tabla muestra los equipos de esta familia as como sus caractersticas.
Tabla I.1 Comparacin de ruteadores de la familia 7200
Modelos
7204VXR
7206VXR
Tamao
Slots
Mdulos de
seguridad
Desempeo
Capacidad
Backplane
3 RU
Alto: 13.34 cm (5.25
pulgadas)
Ancho: 42.67 cm (16.8
pulgadas)
Profundidad: 43.18 cm (17
pulgadas)
4 Slots para Adaptadores de
Puerto simple (single Port
Adapter Slots )
1 Slot Controlador
Entrada/Salida(I/O Controller
Slot)
1 Slot para Mquina de
Procesamiento de
Red(Network Processing
Engine Slot)
SA-VAM2+
C7200-VSA
2 Mpps1 con NPE-G2
1.8 Gbps2 con NPE-G2
7201
3 RU
Alto: 13.34 cm
(5.25 pulgadas)
Ancho: 42.67 cm
(16.8 pulgadas)
Profundidad: 43.18
cm (17 pulgadas)
6 Slots para
Adaptadores de
Puerto simple
1 I/O Controller
Slot
1 Slot para Mquina
de Procesamiento
de Red
I RU
Alto: 4.39 cm (1.73
pulgadas)
Ancho: 41.20 cm
(16.2 pulgadas)
Profundidad: 43.94
cm (17.3 pulgadas)
1 Slot para
Adaptador de
Puerto simple
N/A
N/A - built-on
Mquina - NPE-G2
con 4 puertos GE
SA-VAM2+
C7200-VSA
2 Mpps con NPEG2
1.8 Gbps con NPEG2
SA-VAM2+
2 Mpps
1.8 Gbps
en lneas rentadas, enlaces ATM (Frame Relay) transmisin de tramas o servicios de red
telefona simple (POTN), como las redes digitales de servicios integrados (ISDN) y las
lneas de suscripcin digital (xDLS). Algunos proveedores de servicios de Internet (PSI) ya
proporcionan diversas implementaciones de VPN. Al agregar la tecnologa VPN a los
segmentos de tramas, los clientes pueden obtener los beneficios adicionales de la tecnologa
VPN.
Las VPN dan cabida al crecimiento, muchos dispositivos de VPN manejaran cualquier
servicio que se coloque en ellas. Le permitirn crear tneles o comunicaciones punto a
punto con cifrado, bajo demanda. Podr crear tneles hacia otros sitios, como uno que vaya
de las oficinas centrales corporativas hasta las oficinas principales de ventas y ms
adelante podr crear ms tneles hacia otras oficinas.
El encapsulamiento es el proceso de tomar un paquete de datos y envolverlo dentro de un
paquete IP.
Las VPN se presentan en cuatro reas:
Intranet.- Una VPN tiene como principal caracterstica que se conecta una oficina central
con otra remota es decir que solo se tiene acceso a la intranet desde afuera de la red.
Normalmente, solo se utiliza dentro de la red de una compaa y nicamente acceden los
empleados de la misma. El acceso viene desde el exterior y no desde el interior.
Acceso Remoto.- Una VPN de acceso remoto se crea desde las oficinas centrales y los
usuarios mviles remotos. Con el software de cifrado cargado en una laptop, un individuo
establecer un tnel cifrado al dispositivo de la VPN en las oficinas centrales corporativas.
Extranet.- Una VPN extranet se crea entre la empresa y sus clientes o proveedores, la
extranet permitir el acceso con el protocolo http normal utilizado por los navegadores web
actuales, o permitir que se realice la conexin utilizando otro servicio y protocolo
acordado por las partes involucradas.
10
VPN interna.- Esta es la que menor usa una compaa desplazndola la red LAN o de rea
Local. Algunos motivos que las compaas no las utilizan son porque los estudios de
seguridad indican que los ataques por empleados internos ocupan el primer lugar. De
acuerdo al Instituto de Seguridad de Computo (CSI) de la oficina de brigada contra el
crimen computacional internacional del FBI de San Francisco California.
Usando una combinacin de encripcin, autentificacin, tnel y control de acceso, una
VPN proporciona a los usuarios un mtodo seguro de acceso a los recursos de las redes
corporativas. La implementacin de una VPN involucra dos tecnologas: un protocolo de
tnel y un mtodo de autentificacin de los usuarios del tnel.
Cuatro diferentes protocolos de tnel son los ms usados para la construccin de VPN
sobre la Internet:
Protocolo de tnel punto - punto (PPTP).
Envo de capa 2 (L2F).
Protocolo de tnel de capa 2 (L2TP).
Protocolo de seguridad IP (IPSec).
La razn de la diversidad de protocolos es porque las empresas que implementan VPNs
tienen requerimientos diferentes. Por ejemplo: enlazar oficinas remotas con el corporativo,
o ingresar de manera remota al servidor de la organizacin.
Los protocolos PPTP, L2F y L2TP se enfocan principalmente a las VPN de acceso remoto,
mientras que IPSec se enfoca mayormente en las soluciones VPN de sitio sitio.
El protocolo PPTP ha sido ampliamente usado para la implementacin de VPNs de acceso
remoto. El protocolo ms comn que se usa para acceso remoto es el protocolo de punto punto (PPP); PPTP se basa en la funcionalidad de PPP para proveer acceso remoto que
puede estar dentro de un tnel a travs de la Internet hacia su destino. PPTP encapsula los
paquetes PPP usando una versin modificada del encapsulado genrico de ruteo (Generic
11
y monitoreo de trfico que pueda ocurrir sobre la Internet. A su vez este protocolo se
subdivide en dos tipos de transformaciones de datos: el encabezado de autentificacin (AH)
y la carga de seguridad encapsulada (ESP).
asume que ste es el dispositivo de proteccin del permetro, en muchas topologas hay un
cortafuego, pero tambin hay un enrutador externo conectado a la conexin del Proveedor
de Servicio de Internet, mucha gente olvida este dispositivo y servicio.
El control de acceso al usuario es extremadamente importante cuando se implementa una
tecnologa VPN. Primero tiene que asegurarse de que solo concede el acceso a los usuarios
autorizados, despus, debe asegurarse de que esos usuarios autorizados solo tienen
concedido el acceso a aquellos servidores que usted considera necesarios.
Una cosa acerca de la seguridad es que siempre est cambiando, y la implementacin de
procedimientos de seguridad tiene que estar al da en la manera de pensar. Durante aos, las
contraseas simples fueron suficientes para las mquinas individuales y otros dispositivos
de red, pero ahora han terminado su vida til.
Con las VPN y los cortafuegos, no basta preocuparse solo por la seguridad interna, ahora,
tambin es necesario preocuparse por la seguridad externa en una red pblica como lo es
Internet, as que hay que tener en mente que una buena poltica de calidad debe ser muy
dinmica. La capacitacin las listas de correo y las advertencias sobre seguridad son parte
de una buena poltica de calidad, adems de tener una buena comunicacin con los
proveedores de servicio de Internet, con la esperanza de estar actualizados sobre los
aspectos de seguridad relacionados con los productos que venden.
Para que las VPN sean un medio efectivo para el comercio electrnico para aplicaciones de
extranet y para las transacciones financieras a travs de Internet deben de utilizarse
tecnologas de autenticacin segura, as como la criptografa y cifrado en cada extremo del
tnel de la VPN.
Puntos importantes de consideracin para la VPN:
14
Cualquiera que pase a travs del flujo de datos cifrados de la VPN no debe estar
capacitado para descifrar el mensaje, estos datos viajaran a travs de una red pblica
y cualquiera tendr la capacidad para interceptarlos.
Todos estos puntos son importantes para una VPN aunque como redactamos anteriormente
el tema de seguridad es muy extenso, multifactico, las organizaciones piensan distinto en
cuanto a cmo implementar una buena poltica de seguridad, como vigilar el trfico
entrante y saliente, esto repercute en su persona, ya que se hace tedioso, molesto etc. Por lo
consiguiente cada empresa debe adecuarse al tipo de seguridad que requiere.
En cualquier organizacin, la informacin (no solo datos, sino la informacin confiable,
precisa y crtica en el negocio) es un activo comercial crtico. Mientras que la tecnologa
facilita la obtencin de esta valiosa informacin en minutos y/o en horas o das, la
contraparte es la seguridad. Para alguien que trabaja en casa, en una oficina remota o con
un equipo distante en algn lugar del mundo, conseguir estos datos en minutos significa el
trabajo completo, la presentacin terminada y el contrato firmado, pero tambin significa
abrirse a los riesgos que estn asociados con los beneficios como la alteracin de los datos.
16
Se estima que una solucin VPN para una determinada empresa puede reducir sus costos
entre un 30% y un 50% comparada con las conexiones punto a punto.
1.2.2 Desventajas de una Red Privada Virtual (VPN)
Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes
pblicas y tomar precauciones en su desarrollo. Estas redes dependen de un rea externa a
la organizacin, Internet en particular, y por lo tanto depende de factores externos al control
de la organizacin. Las diferentes tecnologas de VPN podran no trabajar bien juntas. Las
redes VPN necesitan diferentes protocolos.
17
19
1. El usuario con el equipo porttil marca su PSI y establece una conexin PPP.
2. El equipo porttil solicita las claves del dispositivo de cortafuego/VPN. Este puede
ser un paso manual realizado por el usuario o un paso automtico configurado por el
software.
3. El cortafuego VPN responde con la clave apropiada.
4. El software de VPN instalado en el equipo porttil espera que el usuario intente
tener acceso al servidor interno (conocido como la direccin IP de destino). Si el
usuario visita cualquier sitio destino al de la red corporativa, no pasa nada. Ahora el
usuario quiere hacer conexin con el servidor interno. El software que se ejecuta en
el equipo porttil ve la solicitud (de nuevo conocida como direccin IP), cifra en
paquete y lo enva a la direccin IP pblica de la combinacin cortafuego/VPN.
5. El dispositivo de cortafuego/VPN le quita la direccin IP, descifra el paquete y lo
enva al servidor dentro de la LAN local.
6. El servidor interno responde la solicitud y enva el documento de regreso.
7. El cortafuego/VPN examina el trfico y por su tabla sabe que es una configuracin
de tnel de VPN. As que toma el paquete, lo cifra y lo enva al equipo porttil.
8. La pila de VPN en el equipo porttil ve el flujo de datos, sabe que viene del
dispositivo de cortafuego/VPN, descifra el paquete y lo maneja en aplicaciones de
niveles superiores.
Este tipo de configuracin permite que VPN tenga una gran flexibilidad y bajos costos
debido a que puede utilizar Internet como su propia red privada.
1.4.2 Topologa de VPN/LAN a LAN
Por lo general las organizaciones utilizan la topologa de cortafuego/VPN a clientes, esta es
extendida a distintas oficinas remotas. Tambin se utiliza entre oficinas de distintos
clientes/fabricantes, creando un tnel VPN entre dos sitios.
Antes de realizar la comunicacin, los componentes que deben habilitarse son los
siguientes:
20
cortafuego/VPN.
5. El paquete es cifrado y se enva a la direccin IP pblica del dispositivo de
cortafuego/VPN de la otra oficina.
6. El cortafuego/VPN acepta y descifra el paquete y lo reenva a su destino final.
7. El servidor recibe el paquete y responde.
8. Enva un paquete en texto sencillo a su dispositivo de cortafuego/ VPN Local.
9. Despus el cortafuego/ VPN lo cifra y lo enva al otro cortafuego/ VPN.
10. El cortafuego/ VPN lo descifra y finalmente lo enva de regreso al usuario original.
El servidor no necesita una configuracin especial, puesto que cree que est enviando una
solicitud y una respuesta normales.
Los aspectos importantes aqu son los relacionados con el enrutamiento: tanto la mquina
del usuario como la del servidor deben saber a qu direcciones enrutar el dispositivo de
cortafuego/ VPN.
1.4.3 Topologa de cortafuego/ VPN a Internet/ extranet
Las intranets y las extranets son servicios de Internet comunes y de todos los das. En la
tecnologa VPN estos servicios no han cambiado, pero ahora tienen un nivel adicional de
cifrado.
Con la tecnologa VPN, se puede tener acceso internamente o externamente a cualquier
servicio. Esto tiene dos condiciones. Primero se cuenta con flexibilidad para que una
21
subdividida.
autentificacin.
2. El paquete se enruta al dispositivo de traduccin de direcciones de red para remitirlo
a su direccin IP original (interna). En este caso el cortafuego est a cargo de NAT.
3. El dispositivo NAT enruta el paquete (con su nueva direccin IP de origen) al
enrutador interno.
24
25
Almacenamiento y recuperacin
Clasificacin
Generacin de resmenes
Ordenamiento
Hablando de las caractersticas de las transacciones, por lo general se tienen las siguientes:
Gran volumen.
Gran similitud entre transacciones.
Los procedimientos para su procesamiento son bien comprendidos y pueden
describirse a detalle.
Existen muy pocas excepciones a los procedimientos normales.
Estas caractersticas permiten escribir rutinas, las cuales describirn que buscar en cada
transaccin, los pasos y procedimientos a seguir, y lo que debe hacerse en caso de
presentarse una excepcin.
2.2.2 Sistemas de informacin administrativa
Los sistemas de informacin administrativa (MIS por sus siglas en ingls) ayudan a los
directivos a tomar decisiones y resolver problemas. Los directivos recurren a los datos
26
27
El Sistema de Activacin de VPN con un router Cisco 7206 VXR se clasifica como un
sistema para el procesamiento de transacciones.
Descripcin
Caractersticas de aplicacin
desarrollo
Mtodo del ciclo de Incluye las actividades de Requerimientos del sistema
vida de desarrollo de investigacin
sistemas.
determinacin
desarrollo
de encuentren en archivos
Gran
volumen
transacciones
de
y
procesamiento.
Requiere de la validacin de
los datos de entrada.
Abarca varios departamentos.
Tiempo de desarrollo largo.
Desarrollo por equipos de
proyecto.
28
Mtodo
de
estructurado.
realizan sin
aplicacin aplicaciones.
importar
la Mayor
utilidad
como
de
otros
importantes
de
datos
el
diccionario de datos.
Mtodo del prototipo Desarrollo iterativo o en Condiciones nicas de
de sistemas.
participa encargados
directamente en el proceso.
donde
del
la
los
desarrollo
donde los
Para el Sistema de Activacin de VPN con un router Cisco 7206 VXR se ha preferido la
estrategia Mtodo del ciclo de vida de desarrollo de sistemas que aunque es relativamente
29
30
Factibilidad econmica: Los beneficios que traer el sistema son suficientes para
aceptar el costo. Los costos al no realizar el problema son tan grandes que se
debe aceptar el proyecto.
32
Toda la informacin recabada ayuda a identificar las caractersticas que debe tener el nuevo
sistema.
2.4.3 Diseo del sistema
El diseo de un sistema de informacin produce los detalles que establecen la forma en la
que el sistema cumplir con los requerimientos identificados durante la fase de anlisis.
Los analistas de sistemas comienzan el proceso de diseo identificando los reportes y
dems salidas que debe producir el sistema. Hecho lo anterior se determinan con toda
precisin los datos especficos para cada reporte y salida.
El diseo de un sistema tambin indica los datos de entrada, aquellos que sern calculados
y los que deben ser almacenados. Asimismo, se describen con todo detalle los
procedimientos de clculo y los datos individuales.
Los documentos que contienen las especificaciones de diseo representan a ste de muchas
maneras (diagramas, tablas, y smbolos especiales). La informacin detallada del diseo se
proporciona al equipo de propagacin para comenzar la fase de desarrollo de software.
Los diseadores son los responsables de dar a los programadores las especificaciones de
software completas y claramente delineadas. Una vez comenzada la fase de programacin,
los diseadores contestan preguntas, aclaran dudas y manejan problemas que enfrentan los
programadores cuando utilizan las especificaciones de diseo.
2.4.4 Desarrollo de software
Los encargados de desarrollar software pueden instalar software comprado a terceros o
escribir programas diseados a la medida del solicitante, as como tambin son los
encargados de la documentacin de los programas y de proporcionar una explicacin de
cmo y porqu ciertos procedimientos se codifican en determinada forma. La
documentacin es esencial para probar el programa y llevar a cabo el mantenimiento una
vez que la aplicacin se encuentra instalada.
33
34
Impacto organizacional
Identificacin y medicin de los beneficios para la organizacin en reas tales como
finanzas, eficiencia operacional e impacto competitivo. Tambin se incluye el impacto
sobre el flujo de informacin interno y externo.
Opinin de los administradores
Evaluacin de las actitudes de directivos y administradores dentro de la organizacin as
como de los usuarios finales.
Desempeo del desarrollo
La evaluacin del proceso de desarrollo de acuerdo con los criterios tales como tiempo y
esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de
administracin de proyectos. Tambin se incluye la valoracin de los mtodos y
herramientas utilizados en el desarrollo.
35
36
Los protocolos de ruteo son aquellos protocolos que utilizan los ruteadores para
comunicarse entre s y compartir informacin que les permita tomar la decisin de cul es
la ruta ms adecuada en cada momento para enviar un paquete. Los protocolos ms usados
son RIP (v1 y v2) (Routing Information Protocol), OSPF (v1, v2 y v3) (Open Shortest Path
First), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway
Routing Protocol) y BGP (v4) (Border Gateway Protocol), que se encargan de gestionar las
rutas de una forma dinmica, aunque no es estrictamente necesario que un ruteador haga
uso de estos protocolos, pudindosele indicar de forma esttica las rutas (caminos a seguir)
para las distintas subredes que estn conectadas al dispositivo.
Los ruteadores operan en dos planos diferentes:
Plano de Control, en la que el ruteador se informa de que interfaz de salida es la ms
apropiada para la transmisin de paquetes especficos a determinados destinos.
Plano de Reenvo, que se encarga en la prctica del proceso de envo de un paquete
recibido en una interfaz lgica a otra interfaz lgica saliente.
Comnmente los ruteadores se implementan tambin como puertas de acceso a Internet
(por ejemplo un ruteador ADSL), usndose normalmente en casas y oficinas pequeas.
Existe la posibilidad de no utilizar equipos dedicados, opcin que puede ser la ms
adecuada para redes locales o redes con un trfico limitado, y usar software que
implemente los protocolos de red antes mencionados. Para dar funcionalidad de ruteador a
una PC con sistemas operativos unix-like como pueden ser GNU/Linux o BSD, es
suficiente con aadirle al menos dos interfaces de red y activar el soporte de ruteo en el
ncleo. Si se desea proporcionarle la funcionalidad de un ruteador completo, y que soporte
diversos protocolos de red.
37
40
41
Paquetes destinados a diferentes IPs pueden usar el mismo camino LSP (pertenecer al
mismo FEC).
Las etiquetas con el mismo destino y tratamiento se agrupan en una misma etiqueta: los
nodos mantienen mucha menos informacin de estado que por ejemplo ATM. Las etiquetas
se pueden apilar, de modo que se puede encaminar de manera jerrquica.
3.2.2 Arquitectura MPLS
LER (Label Edge Router): elemento que inicia o termina el tnel (pone y quita
cabeceras). Es decir, el elemento de entrada/salida a la red MPLS. Un router de
entrada se conoce como Ingress Router y uno de salida como Egress Router. Ambos
se suelen denominar Edge Label Switch Router ya que se encuentran en los
extremos de la red MPLS.
LSR (Label Switching Router): elemento que conmuta etiquetas.
LSP (Label Switched Path): nombre genrico de un camino MPLS (para cierto
trfico o FEC), es decir, del tnel MPLS establecido entre los extremos. A tener en
cuenta que un LSP es unidireccional.
LDP (Label Distribution Protocol): un protocolo para la distribucin de etiquetas
MPLS entre los equipos de la red.
FEC (Forwarding Equivalence Class): nombre que se le da al trfico que se
encamina bajo una etiqueta. Subconjunto de paquetes tratados del mismo modo por
el conmutador.
3.2.3 Cabecera MPLS
42
Donde:
Label (20 bits): Es la identificacin de la etiqueta.
Exp (3 bits): Llamado tambin bits experimentales, tambin aparece como CoS en
otros textos, afecta al encolado y descarte de paquetes.
S (1 bit): Del ingls stack, sirve para el apilado jerrquico de etiquetas. Cuando S=0
indica que hay mas etiquetas aadidas al paquete. Cuando S=1 estamos en el fondo
de la jerarqua.
TTL (8 bits): Time-to-Live, misma funcionalidad que en IP, se decrementa en cada
enrutador y al llegar al valor de 0, el paquete es descartado. Generalmente sustituye
el campo TTL de la cabecera IP.
mantenidas para cada VRF. Estas tablas evitan que la informacin sea remitida fuera de la
VPN, y tambin previenen que los paquetes estn fuera de la VPN cuando sean remitidos a
un ruteador que no est dentro de la VPN.
ip vrf nombreVrf
rd nombreRD
route-target import
nombreRT
Para revertir los cambios hechos se hace un rollback como se muestra enseguida:
Tabla 3.2 Rollback de la creacin de una VRF
Comandos
Descripcin
no ip vrf nombreVRF
Destruye el VRF en cuestin
44
Descripcin
Comando para entrar a modo edicin de configuracin.
Se exporta el mapa creado.
Hacer coincidir la subred usada por la lista de acceso
VPNSC_GREY_MGMT_ACL.
Las rutas de destino (rt) son exportadas.
Para revertir los cambios hechos se hace un rollback como se muestra enseguida:
Tabla 3.6 Rollback de anuncio de subredes
Comandos
Descripcin
configure terminal
Map
45
interface Nombre
Nombre de la interface.
ip
vrf
Nombre
ip address
Para revertir los cambios hechos se hace un rollback como se muestra enseguida:
Tabla 3.8 Configuracin de interfaz de circuito interno.
Comandos
Descripcin
configure terminal
interface Nombre
Nombre de la interface.
no ip address
no ip vrf forwarding
Script de Rollback
configure terminal
no ip vrf V02:VPN_PRUEBA_0
end
Ver Tabla 3.2 para identificar los comandos usados
Paso 2: Configura direccin de familia
configure terminal
router bgp 100
address-family ipv4 vrf V02:VPN_PRUEBA_0
redistribute connected
redistribute static
end
Ver Tabla 3.3 para identificar los comandos usados
Script de Rollback
configure terminal
router bgp 100
no address-family ipv4 vrf V02:VPN_PRUEBA_0
end
Ver Tabla 3.4 para identificar los comandos usados
Paso 3: Anuncio de subredes
configure terminal
route-map grey_mgmt_vpn_Uninet_V02:VPN_PRUEBA_0 permit 10
match ip address VPNSC_GREY_MGMT_ACL
set extcommunity rt 100:1030 100:9999
end
Ver Tabla 3.5 para identificar los comandos usados
47
Script de Rollback
configure terminal
no route-map grey_mgmt_vpn_Uninet_V02:VPN_PRUEBA_0 permit 10
end
Ver Tabla 3.6 para identificar los comandos usados
Paso 4: Configuracin interfaz de circuito interno
configure terminal
interface loopback11
ip vrf forwarding V02:VPN_PRUEBA_0
ip address 10.30.0.1 255.255.255.255
end
Ver Tabla 3.7 para identificar los comandos usados
Script de Rollback
configure terminal
interface loopback11
no ip address 10.30.0.1 255.255.255.255
no ip vrf forwarding V02:VPN_PRUEBA_0
end
Ver Tabla 3.8 para identificar los comandos usados
48
49
50
52
53
En aquellos campos marcados con la propiedad Nombre del equipo se debe introducir la
direccin IP o el nombre del equipo, o bien se puede seleccionar del rbol de bsqueda de
equipos al cual se accede seleccionando el enlace Buscar.
Figura 4.6 Seleccin de equipo y parmetros (cuando son requeridos) para la ejecucin
Y la ventana de bsqueda de equipos es:
54
Una vez seleccionado el equipo e introducidos los parmetros (si son requeridos), se
selecciona Ejecutar para pasar a la pantalla de seleccin de fecha y hora de ejecucin.
55
56
La peticin fue enviada al motor de ejecucin de Dralasoft. Esto no asegura que vaya a
ejecutarse.
xito ( X) Verde
Error ( E) Rosa
58
Errores inducidos: No son errores naturales de los aprovisionamientos sino que a partir de
la respuesta del equipo, se genera un mensaje de salida (ms) y se provoca que la peticin
falle debido a que probablemente, para la lgica de un flujo de aprovisionamiento, ciertas
respuestas pueden no ser las esperadas aunque stas no sean propiamente errores del
equipo. Por su naturaleza, este tipo de errores inducidos no requieren validarse en el
catlogo puesto que fueron diseados justamente para abortar sin dicha validacin, sin
embargo, en algunas ocasiones se accede al catlogo para extraer un mensaje diferente a
partir del ms originado en el flujo.
Como se mencion al principio de este apartado, la forma de saber si una respuesta es un
error y a qu tipo de elemento de red corresponde, se utilizan las respuestas del sistema
operativo del equipo como llave para realizar la bsqueda.
B.D.
S.A.S.
Actualizacin
Demonio
de
Ejecuciones
Ejecucin
Dralasoft
59
Ejecucin
B.D.
S.A.S.
Actualizacin
Demonio
de
Notificaciones
Dralasoft
Respuesta
60
String
NetworkProtocol
String
Protocolo
de
red
para
la
Numrico
MaxStatements
Numrico
AutoCommit
Propiedad
de
commit
automtico de consultas a la
base de datos.
ImplicitCache
Indica si el nombramiento de
bloques de cach ser implcito
(propiedad de conexin).
ActivationHost
String
ActivationDB
String
Nombre de la instancia de la
Base de Datos del SAS
ActivationUser
String
ActivationPwd
String
61
Ejecucin
Configuracin
Ruteador
Respuesta
Demonio
de
Ruteador
Dralasoft
Respuesta
4.3 Dralasoft
Dralasoft es una aplicacin que sirve como editor y ejecutor de flujos de trabajo, mejor
conocidos como Workflows.
Un workflow es la representacin informtica de un proceso a seguir para llegar a un
resultado, y como todo proceso se divide en tareas, tiene una entrada y una salida.
62
Proceso
Entradas
Salidas
Tarea3
Si
Tarea1
Tarea2
Desicin1
No
Tarea4
63
64
Comandos de Configuracin:
Rollback:
Aceptar
Cancelar
66
68
public void exception(): Mtodo que maneja excepciones cuando la tarea lanza una
excepcin de tiempo de ejecucin y es movida al estado ABORT.
public void passive(): Mtodo callback ejecutado cuando la tarea pasa a su estado
PASSIVE.
4.3.3.5 Preparacin del JAR
Al tener los archivos compilados de las tres clases, se crea un archivo JAR con nombre
indistinto, incluyendo adems de los compilados, un archivo XML llamado "extensionconfig.xml" en el directorio raz del JAR. Este archivo debe tener la siguiente estructura.
<extension-config>
<custom-task>
<class-name>NameTask</class-name>
<label>NameTask</label>
<icon>NameTask.png</icon>
<tooltip>NameTask</tooltip>
<menu-display>true</menu-display>
<toolbar-display>true</toolbar-display>
<task-panel-factory-class>NameTaskPanelFactory</task-panel-factory-class>
</custom-task>
</extension-config>
Figura 4.21 Archivo extension-config.xml
Donde:
class-name: Es el nombre de la clase que hereda de SynchronousTask o
AsynchronousTask
label: Es la etiqueta que aparecer en la barra de Tareas y en el men de Tareas en el
editor.
icon: Es el nombre del archivo de la imagen que se tomar como cono para la
Tarea.
tooltip: Es el texto que sale en el editor al quedar con el indicador del mouse por
unos segundos sobre el cono de la Tarea en la barra de Tarea.
69
menu-display: Con los valores booleanos "true" o "false" de esta etiqueta se indica
si se quiere que sea visible el cono de esta Tarea en el men.
toolbar-display: Con los valores booleanos "true" o "false" de esta etiqueta se indica
si se quiere que sea visible el cono de esta Tarea en la barra de Tareas.
task-panel-factory-class: Nombre de la clase que hereda de DefaultPanelFactory.
La estructura del archivo JAR, para el ejemplo, quedar de la siguiente manera:
customTask.jar
NameTask.class
NameTaskPanel.class
NameTaskPanelFactory.class
extension-config.xml
Figura 4.22 Estructura del JAR creado para incluir la nueva tarea en Dralasoft
Ya teniendo este archivo, se copia en la carpeta dralasoft-extensions de la instalacin de
Dralasoft y es necesario reiniciar esta aplicacin para que el cambio surta efecto.
70
CHR_DESCRIPTION
DAT_DATECREATED
USR_CREATEDBY
CLOB_WF_XML
pblico :
VARCHAR2(255)
pblico :
DATE
pblico :
VARCHAR2(20)
pblico :
CLOB
72
Conclusin
Con el paso del tiempo, la necesidad e interconexin entre organizaciones localizadas
geogrficamente distantes es mayor, teniendo las empresas que gastar grandes sumas de
dinero para rentar conexiones a proveedores con redes propietarias.
De igual forma, con el paso del tiempo, el crecimiento de Internet en cuanto a tamao ha
generado una red pblica satisfactoria para llevar a cabo la interconexin de las empresas
que no disponen de tanto capital, o que se interesan en el ahorro de costo en este aspecto.
Debido a esta necesidad surge el concepto de lo que conocemos como VPN o Red Privada
Virtual, la cual es una tecnologa que es capaz de generar una red privada segura, utilizando
una red pblica altamente insegura, utilizando el concepto de tnel mediante la encripcin
de datos.
Dentro de los tipos de VPN se encuentra una basada en ruteadores, la cual permite
establecer una VPN mediante el software de los mismos ruteadores, pudiendo realizar esta
configuracin desde un lugar diferente a donde se encuentra fsicamente el ruteador.
Esto puede ser aprovechado por un sistema de software el cual se especialice en crear este
tipo de servicios automticamente, ayudando a realizar esta tarea rpida y confiablemente a
una empresa que requiera estar creando y eliminando VPN.
Para la construccin de un sistema, es necesario pasar por sus diversas etapas de
construccin, esta tesina describe el producto de la etapa del diseo de un sistema de
activacin de VPN para equipos de marca CISCO 7206 VXR, el cual es capaz de
administrar y crear el servicio de VPN en una red donde se utilicen ruteadores de esta
marca.
73
El diseo describe un sistema que contiene una interfaz grfica amigable para el usuario
que le permite programar la creacin de servicios de VPN dentro de una red con equipos
CISCO 7206 VXR, esto con la ayuda de una aplicacin llamada Dralasoft que ocupa la
representacin informtica de un proceso, el Workflow. La interfaz grfica puede
comunicarse con esta aplicacin mediante un par de programas llamados demonios, uno de
ellos se encarga de ejecutar las peticiones de estos servicios al momento adecuado, mientras
que el otro se encarga de actualizar el estado de las peticiones en Dralasoft, pudiendo ser
vista esta ltima informacin desde la interfaz grfica.
Finalmente se tiene un demonio por cada ruteador a controlar en la red, para establecer la
comunicacin entre Dralasoft y cada uno de estos elementos y as poder realizar su
configuracin.
Mediante el diseo de este sistema informtico, podr generarse una aplicacin que de
manera amigable ayude a un administrador de red en la creacin y destruccin de los
servicios de VPN dentro de la red que gobierna, ahorrndole tiempo en configuracin de
equipos al eliminar el error humano, y permitindole planificar el momento en el que se
generen estos servicios, adems le generar una bitcora detallada en base de datos con
cada una de las altas y bajas de estos servicios que ha sufrido el sistema.
74
Bibliografa:
Libros
Implementacin de redes privadas virtuales (VPN), Seven Brown, Ed. McGraw-Hill
Interamericana, ISBN: 970-10-3025-7
Anlisis y diseo de sistemas de informacin, 2 Edicin, James A. Senn, Ed.
McGraw-Hill Interamericana, ISBN: 968-422-991-7
Pginas de Internet
http://www.cisco.com/warp/public/779/edu/cisco20/cisco20.html 01/04/2008
http://www.cisco.com/en/US/products/hw/routers/ps341/prod_models_comparison.
html 01/04/2008
http://products.nortel.com/go/product_content.jsp?segId=0&parId=0&prod_id=391
42 01/04/2008
http://www.juniper.net/1|products/jseries/dsheet/100206.pdf 01/04/2008
http://www.ordenadores-y-portatiles.com/red-privada-vpn.html 7/4/2008
http://beta.redes-linux.com/manuales/vpn/Estudio_VPN.pdf 7/4/2008
http://es.wikipedia.org/wiki/Ruteador
27/5/2008
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/VPN.html#wp11
131
27/5/2008
http://www.inaoep.mx/~moises/AGC/sw-rout.html#tecru
28/5/2008
75
Glosario
3DES
ADSL
AH
AS
ATM
BGP
CCDA
CCDP
CCIE
CCIP
CCNA
CCNP
CCSP
CEF
CISCO
CSI
DES
DSS
EGP
EIGRP
ESP
FEC
Fire Wall
FTP
GRE
GUI
IETF
IGP
IGRP
IP
IPSec
IPX
ISDN
JSP
L2F
L2TP
LAN
LDP
LER
LSP
LSR
MAC Address
MIS
MPLS
MPLS
NASDAQ
NetBEUI
OSI
OSPF
POTN
PPP
PPTP
PSI
RDSI
RIB
RIP
SDLC
TCP/IP
TPS
VPN
VRF
VSA
WAN
XDLS
77