UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA ELECTRÓNICA

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA ELECTRÓNICA ANÁLISIS, DISEÑO Y VALIDACIÓN DE UN ENLACE DE RESPALDO A TRAVÉS DE UNA BOVPN ENTRE LA SEDE PRINCIPAL DE INELECTRA VENEZUELA UBICADA EN SANTA PAULA Y OTRA SEDE DE PROYECTO Por: Gustavo Alejandro Salazar Bello INFORME FINAL DE CURSOS DE COOPERACIÓN TÉCNICA Y DESARROLLO SOCIAL Presentado ante la Ilustre Universidad Simón Bolívar como requisito parcial para optar al título de Ingeniero Electrónico Sartenejas, Enero de 2010

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA ELECTRÓNICA ANÁLISIS, DISEÑO Y VALIDACIÓN DE UN ENLACE DE RESPALDO A TRAVÉS DE UNA BOVPN ENTRE LA SEDE PRINCIPAL DE INELECTRA VENEZUELA UBICADA EN SANTA PAULA Y OTRA SEDE DE PROYECTO Por: Gustavo Alejandro Salazar Bello Realizado con la asesoría de: Tutor Académico: Fidel E. Gil Tutor Industrial: Alberto Rodríguez INFORME FINAL DE CURSOS DE COOPERACIÓN TÉCNICA Y DESARROLLO SOCIAL Presentado ante la Ilustre Universidad Simón Bolívar como requisito parcial para optar al título de Ingeniero Electrónico Sartenejas, Enero de 2010

3

4 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA ELECTRÓNICA ANÁLISIS, DISEÑO Y VALIDACIÓN DE UN ENLACE DE RESPALDO A TRAVÉS DE UNA BOVPN ENTRE LA SEDE PRINCIPAL DE INELECTRA VENEZUELA UBICADA EN SANTA PAULA Y OTRA SEDE DE PROYECTO INFORME FINAL DE CURSOS DE COOPERACIÓN TÉCNICA Y DESARROLLO SOCIAL Presentado por: Gustavo Alejandro Salazar Bello RESUMEN Hoy en día las telecomunicaciones son un área fundamental en el desarrollo y realización de dichos proyectos. Es por eso que en Inelectra existe todo un departamento de Informática dentro del cual se encuentra la unidad de Infraestructura, cuyo propósito es garantizar la comunicación entre los usuarios y los servidores de aplicaciones dentro de una sola red LAN (Local Area Network) y entre redes LAN distintas. Para la comunicación entre sedes se emplean redes WAN (Wide Area Network) con enlaces dedicados que garantizan el tráfico de datos y voz entre sedes. El problema es que estas redes WAN son arrendadas a un proveedor de servicios, y el control y monitoreo de las mismas esta fuera de alcance. En ocasiones, estos enlaces dedicados pueden fallar y por lo tanto se interrumpe la comunicación y el tráfico de datos y de voz. Por tanto, el objetivo principal de este proyecto es el de analizar la situación de los equipos de comunicaciones de la empresa para plantear un modelo de enlace de respaldo basado en una BOVPN (Branch Office Virtual Private Network) de bajo costo. Las VPNs se están empleando cada vez más en las empresas ya que garantizan comunicaciones seguras sobre un medio público como es Internet cuyo acceso es de menor costo. El diseño propuesto debe ser validado y documentado de manera que pueda ser posteriormente aplicado dentro de los equipos en producción de la empresa. iv

5 DEDICATORIA A mis padres y hermano, y a mi abuelo Pancho v

6 AGRADECIMIENTOS En primer lugar, le agradezco a mis padres, Gustavo José Salazar Valero y Maritza Arelis Bello de Salazar, que son mis guías y modelo de inspiración a seguir día a día. Estoy eternamente agradecido por todo el amor, confianza y apoyo incondicional que me han brindado a lo largo de mis 22 de años de vida, ya que sin ellos, yo no sería la persona que soy hoy en día. Quiero agradecer a mi hermano, Francisco Antonio Salazar Bello, por su compañía y enseñanzas que me brinda cada día. Gracias a él he aprendido el significado de la hermandad, así como el significado de paciencia y de perseverancia. También agradezco a Rosiña, por sus maravillosas comidas que siempre me dieron energía en mí día a día. A mi familia, en especial a mi abuelo Francisco, que desde el cielo me sigues vigilando en cada paso que doy. Gracias a ti descubrí desde pequeño una vocación de aprendizaje por la ingeniería que supiste alimentar en mi. A mi abuela Blanca y mi Tita, que siempre me han corregido y sabido reprochar cuando es necesario, para hacerme un hombre hecho y derecho. A mis tías y tíos, Henry, Luisa Elena, José, Myriam, Antonio, Francis, Pedro, Elena, Germán y Magdelvy, por todo su apoyo y ayuda incondicional en esta etapa de mi vida. A mis primas y primos, Beatriz, Pedro, Roshana, Johanna, Dayhana, Karen, Gabriela, Henry, Marianne, Hilbe, Mayrin, Dayrin, José Manuel y Carolina, porque siempre que los necesite estuvieron ahí, en las buenas y en las malas, y han aportado parte de ustedes en mi existencia a lo largo de estos 5 arduos años de vida universitaria. Agradezco a mi tutor académico, Fidel Gil, por darme la oportunidad de estar bajo su tutela en este proyecto y por sus enseñanzas en el ámbito de redes. De igual forma agradezco a mi tutor industrial, Alberto Rodríguez, por su confianza depositada al entregarme un proyecto de tal magnitud, y por su motivación, para seguir presionando y exigiéndome a lo largo del proyecto. Agradezco especialmente a la gerente de informática, Jackie, por recibirme en su departamento y por su confianza y apoyo brindado en la empresa. Muy especialmente agradezco a mis compañeros de trabajo, Luis, Oscar, Hector y Arnin, ya que desde el primer día supieron ayudarme, guiarme, soportarme y enseñarme todo lo necesario para lograr el desarrollo y culminación del proyecto. También a mis demás compañeros en Inelectra, por todo su apoyo y por compartir experiencias conmigo que hicieron mi estadía en la empresa lo más placentera posible. Por último y no menos importantes, a mis amigos, Eduardo, Quique, el gordo Christian, mi nanita Kharem y mi bella Claudia, porque ustedes han influido significativamente en mi vida, y siento que de ustedes he aprendido muchas cosas que me complementan como ser humano. Igualmente a mis amigos del colegio y de la uni, los cuales no puedo nombrar a todos por temor a dejar alguno por fuera, ya que todos ustedes también han aportado un granito de arena y por eso, les estoy eternamente agradecido. vi

7 ÍNDICE GENERAL ÍNDICE DE TABLAS ix ÍNDICE DE FIGURAS x LISTA DE ABREVIATURAS xiii INTRODUCCIÓN I. Objetivo General II. Objetivos específicos CAPÍTULO 1. La Empresa Reseña histórica Tecnología y sedes de proyectos Departamento de Informática CAPÍTULO 2. Estudio de redes y protocolos de seguridad de Internet Redes de datos y modelos de capas de redes El modelo TCP/IP Capa de Aplicación Capa de Transporte Capa de Internet Direccionamiento Encapsulación Enrutamiento Desencapsulación Capa de Acceso a la Red Dispositivos Intermediarios - Equipos enrutadores Cisco IPSec Configurar el Protocolo ISAKMP a) Llaves Pre-Compartidas b) Usando una CA vii

8 Configurar el protocolo IPSec A. Crear una ACL extendida para el mapa de encriptación B. Crear el set de transformación de IPSec C. Crear el mapa de encriptación D. Aplicar el mapa de encriptación a la interfaz por donde pasará el tráfico a ser cifrado Flujo del proceso de creación del túnel IPSec CAPÍTULO 3. Seguridad sobre redes WAN y protocolos de enrutamiento dinámico IPSec sobre redes WAN Selección de propuesta de protocolo para establecer la VPN de respaldo de la Empresa Túneles GRE punto a punto Configurando el túnel GRE en el IOS de los enrutadores Cisco Protocolo Cisco de túneles GRE multipunto: Dynamic Multipoint VPN Características de la arquitectura DMVPN. Evolución del protocolo GRE/IPSec punto a punto a protocolo GRE/IPSec multipunto Dynamic Multipoint VPN con protección IPSec y su configuración en el IOS Protocolo de enrutamiento dinámico BGP Conceptos y Atributos BGP El peso BGP en los enrutadores Cisco Tiempo de mensajes de monitoreo de BGP CAPÍTULO 4. Experimentación y Resultados Experimento # 1: Configuración de enrutadores para el protocolo IPSec Experimento # 2: Configuración de enrutadores para implementar la DMVPN Experimento # 3: Configuración empleada en el laboratorio para implementar la DMVPN con enrutamiento BGP CONCLUSIONES Y RECOMENDACIONES REFERENCIAS viii

9 ÍNDICE DE TABLAS Tabla 2.1. Parámetros a configurar en una política ISAKMP Tabla 2.2. Opciones de protocolos para armar un set de transformación.. 32 Tabla 3.1 Protocolo de portador ubicados según la capa del modelo OSI.. 44 Tabla 3.2. Comandos de configuración para una interfaz virtual de túnel.. 46 Tabla 3.3. Comandos configuración para NHRP sobre una interfaz virtual de túnel 52 Tabla 3.4. Comparación de los protocolos de enrutamiento escalables.. 56 Tabla 3.5. Atributos BGP en sus distintas categorías ix

10 ÍNDICE DE FIGURAS Figura I. Mapa parcial de Internet basado en la información obtenida en Figura II. Representación de una red LAN y una red WAN Figura III. Diagrama de una empresa con una red WAN principal y un respaldo. 4 Figura 1.1. Organigrama del departamento de Informática Figura 2.1. Modelos de capas de redes empleados en Networking Figura 2.2. Encabezados de los protocolos TCP y UDP con sus respectivos campos binarios Figura 2.3. Encabezado de IPv Figura 2.4. Dirección IPv4 en formato decimal y en formato binario Figura 2.5. Redes privadas con direccionamiento de rangos reservados.. 19 Figura 2.6. Equipo enrutador Cisco 3845, tope de la serie Figura 2.7. Comandos EXEC ejecutado en el modo de usuario del IOS.. 22 Figura 2.8. Comandos EXEC ejecutado en el modo privilegiado del IOS.. 22 Figura 2.9. Comandos EXEC ejecutado en el modo de configuración global del IOS 23 Figura Comandos EXEC ejecutado en el modo de configuración de interfaz del IOS Figura Comandos disponibles por la letra c ejecutado en el modo privilegiado del IOS Figura Comandos para la configuración de la política de ISAKMP.. 28 Figura Comandos para la configuración de una ACL Figura Comandos para la configuración de una ACL espejo Figura Comandos para la configuración de un set de transformación.. 30 Figura Comandos para la configuración de un mapa de encriptación.. 33 Figura Comandos para la configuración de un mapa en una interfaz.. 34 Figura Proceso de validación de las políticas para establecer el túnel IPSec. 35 Figura 3.1. Topología de la red de WAN y LAN de la empresa Figura 3.2. Interfaz Túnel virtual establecida entre el enrutador A y el D.. 41 x

11 Figura 3.3. Túnel entre 2 enrutadores de una red LAN de un ISP Figura 3.4. Ilustración del concepto de tunneling Figura 3.5. Comando para la creación de un túnel virtual Figura 3.6. Distintos paquetes con encabezados de protocolos Figura 3.7. Topología típica DMVPN de túneles permanentes y los túneles en demanda Figura 3.8. Arquitectura DMVPN con base de datos NHRP Figura 3.9. Comandos para la creación de un perfil de seguridad de encriptación. 54 Figura Comandos para implementación del perfil de seguridad en túnel virtual 54 Figura BGP entre 2 ASs con sus respectivos números Figura Ejemplo de ilustración del atributo peso BGP Figura Comandos para la configuración del atributo peso en BGP.. 61 Figura Comandos para la configuración del tiempo de mensajes en BGP. 62 Figura 4.1. Topología de red empleada con las direcciones de las interfaces.. 63 Figura 4.2. Ventana de consola: Configuración Enrutador 2811 (RPrueba).. 64 Figura 4.3. Ventana de consola: Configuración Enrutador 2621 (RPrueba2). 66 Figura 4.4. Ventana de consola: Datos del enrutador 2621 (RPrueba2) con debug activados Figura 4.5. Ventana de consola: Verificación del IPSec desde Enrutador Figura 4.6. Topología implementada en el laboratorio para el protocolo DMVPN. 74 Figura 4.7. Políticas dentro del firewall Watchguard de tráfico GRE/IPSec entrante 76 Figura 4.8. Diferencias entre un paquete en modo transporte en modo túnel.. 78 Figura 4.9. Ventana de consola: Configuración Enrutador 2811 (hub).. 78 Figura Ventana de consola: Configuración Enrutador 2621 (spoke 1).. 81 Figura Ventana de consola: IKE desde Enrutador 2811 (hub) con debug activados Figura Ventana de consola: Comandos de validación de la SA creada.. 92 Figura Ventana de consola: Resultados del comando show ip route.. 94 Figura Ventana de resultados de las pruebas de ping xi

12 Figura Ventana de la aplicación Remote Desktop Connection Figura Toma de pantalla de escritorio del host que inicia la sesión remota. 99 Figura Topología implementada en el laboratorio para el protocolo DMVPN. 101 Figura Ventana consola: Configuración enrutador 2811 con BGP y DMVPM 102 Figura Ventana consola: Configuración enrutador 2621 con BGP y DMVPN 105 Figura Ventana de consola: Datos arrojados por el comando show ip route y show ip bgp Figura Comandos para la deshabilitación de una interfaz Figura Ventana de consola: Eventos en el enrutador 2811 con los debug BGP 110 Figura Comandos para la deshabilitación de una interfaz Figura Ventana de consola: Eventos en el enrutador 2811 con los debug BGP 112 xii

13 LISTA DE ABREVIATURAS PC TCP/IP Personal Computer (traducido: Computador Personal) Transmision Control Protocol / Internet Protocol (traducido: Protocolo de Control de Transmisión / Protocolo de Internet) IPv4 Internet Protocol version 4 (traducido: Protocolo de Internet versión 4) NAT LAN ISP WAN VPN DSL ISDN Network Address Translation (traducido: Traducción de Dirección de Red) Local Area Network (traducido: Red de Área Local) Internet Service Providers (traducido: Proveedores de Servicio de Internet) Wide Area Network (traducido: Red de Área Extendida) Virtual Private Network (traducido: Red Privada Virtual) Digital Suscriber Line (traducido: Línea Digital Arrendada) Integrated Services Digital Network (traducido: Red Digital de Servicios Integrados) BOVPN Branch Office Virtual Private Network (traducido: Red Privada Virtual de Oficina Sucursal) MPLS PID IT SDAI LAN WAN FTP IEEE IETF OSI Multiple Protocol Layer Switch (traducido: Suiche de Protocolo de múltiples capas) Piping Instrumentation Design (traducido: Diseño de Instrumentación de Tubería) Information Technology (traducido: Tecnología de la Información) Sección Diseño Automatizado para Ingeniería Local Area Network (traducido: Red de Área Local) Wide Area Network (traducido: Red de Área Extendida) File Transfer Protocol (traducido: Protocolo de Transferencia de Archivos) Institute of Electrical and Electronics Engineers (traducido: Instituto de Ingenieros Eléctricos y Electrónicos) Internet Engineering Task Force (traducido: Grupo de trabajo de Ingeniería de Internet) Open System Interconnection (traducido: Sistema Abierto de Interconexión) xiii

14 SMTP Simple Mail Transfer Protocol (traducido: Protocolo de Transferencia Simple de Correo) HTTP Hypertext Transfer Protocol (traducido: Protocolo de Transferencia de Hipertexto) TCP Transmision Control Protocol (traducido: Protocolo de Control de Transmisión) UDP User Datagram Protocol (traducido: Protocolo de Datagrama de Usuario) DNS Domain Name System (traducido: Sistema de Nombres de Dominio) IP Internet Protocol (traducido: Protocolo de Internet) PDU Protocol Data Unit (traducido: Unidad de Dato de Protocolo) IPv6 Internet Protocol version 6 (traducido: Protocolo de Internet versión 6) ISR Integrated Services Routers (traducido: Enrutadores de Servicios Integrados) IOS Internetworking Operating System (traducido: Sistema Operativo de Interconexión de Redes) ISR Integrated Services Routers (traducido: Enrutadores de Servicios Integrados) NVRAM Non-Volatile Random Access Memory (traducido: Memoria de Acceso Aleatorio No Volátil). MOTD Message-of-the-day (traducido: mensaje del día) IPSec Internet Protocol Security (traducido: Protocolo de Seguridad de Internet) RFC Request For Comments (traducido: Petición Para Comentarios) ISAKMP Internet Security Association and Key Management Protocol (traducido: Protocolo de Asociación de Seguridad y Manejo de Llaves por Internet) SA Security Association (traducido: Asociación de Seguridad) IKE Internet Key Exchange (traducido: Intercambio de Llaves por Internet) CA Certification Authority (traducido: Autoridad de Certificación) MD5 Message Digest 5 (traducido: Mensaje Digerido 5) SHA Security Hash Algorithm (traducido: Algoritmo de Digerido de Seguridad) RSA Rivest-Shamir-Adleman ACL Access Control List (traducido: Lista de Control de Acceso) IANA Internet Assigned Numbers Authority (traducido: Autoridad de Números Asignados en Internet) AH Authentication Header (traducido: Encabezado de Autenticación) xiv

15 ESP Encapsulation Security Protocol (traducido: Protocolo de Seguridad de Encapsulación) ToS Type of Service (traducido: Tipo de servicio) DES Data Encryption Standard (traducido: Estándar de Encriptación de Data) AES Advanced Encryption Standard (traducido: Estándar de Encriptación de Avanzado) EGP External Gateway Protocol (traducido: Protocolo Externo de Puerta de Salida) BGP Border Gateway Protocol (traducido: Protocolo de Borde de Puerta de Salida) GUI Graphic User Interface (traducido: Interfaz Gráfica de Usuario) ADSL Asynchronous Digital Suscriber Line (traducido: Línea Digital Arrendada Asíncrona) GRE Generic Routing Encapsulation (traducido: Encapsulación de Enrutamiento Genérica) RIP Routing Information Protocol (traducido: Protocolo de Información de Rutas) TTL Time To Live (traducido: Tiempo de Vida) L2TP Layer 2 Tunneling Protocol (traducido: Protocolo de Túneles de Capa 2) OSI Open System Interconnection (traducido: Sistema Abierto de Interconexión) CLNP Connectionless Network Protocol, (traducido: Protocolo de Redes Sin Conexión) ID IDentification (traducido: Identificación) MTU Maximum Transmission Unit (traducido: Unidad Máxima de Transmisión) DMVPN Dynamic Multipoint Virtual Private Network (traducido: Red Virtual Privada Multipunto Dinámica) DHCP Dynamic Host Control Protocol (traducido: Protocolo de Control de Anfitriones Dinámico) EIGRP Enhanced Interior Gateway Routing Protocol (traducido: Protocolo Mejorado de Enrutamiento Interior de Puerta de Salida) OSPF Open Shortest Path First (traducido: Camino Más Corto Abierto Primero) QoS Quality of Service (traducido: Calidad de Servicio) NHRP Next Hop Resolution Protocol (traducido: Protocolo de Resolución de Salto siguiente) NBMA Non-Broadcast Multi-Access (traducido: Multi-Acceso No-Difundido) xv

16 PFS Perfect Forward Secrecy (traducido: Secreto Perfecto Avanzado) AS Autonomous System (traducido: Sistema Autónomo) IGP Internal Gateway Protocol (traducido: Protocolo Interno de puerta de salida) MED Multiple Exits Discrimnator (traducido: Discriminador de Múltiples Salidas) DMZ DeMilitarized Zone (traducido: Zona DesMilitarizada) TELNET TELecommunication NETwork (traducido: Red de Telecomunicación) ICMP Internet Control Message Protocol (traducido: Protocolo de Mensajes de Control de Internet) xvi

17 INTRODUCCIÓN Hoy en día, las redes de información son una base fundamental para el desarrollo de las telecomunicaciones. Cada vez son más las empresas que brindan sus mayores esfuerzos para desarrollar nuevas tecnologías de la información, las cuales permiten la comunicación mundial. El concepto de tecnologías de la información se puede considerar que abarca desde los métodos más antiguos como son el telégrafo y el teléfono, hasta los elementos de comunicación más avanzados de hoy en día como son los PCs (Personal Computer, traducido: Computador Personal), los teléfonos inteligentes y cualquier variedad de equipos de última generación. Todos estos dispositivos se conectan entre ellos a través de redes públicas como la Internet. Internet es un conjunto descentralizado de redes de comunicación interconectadas, que utilizan la familia de protocolos TCP/IP (Transmision Control Protocol / Internet Protocol, traducido: Protocolo de Control de Transmisión / Protocolo de Internet), garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. A continuación se muestra un mapa parcial de internet donde se pueden apreciar miles y millones de conexiones que existen en la red de Internet: Figura I. Mapa parcial de Internet basado en la información obtenida en 2005 [1]. En la figura se observan las líneas de distintos colores entrelazadas en el espacio. Pues bien, cada línea entre dos nodos representa el enlace entre dos sitios con direcciones IP y su longitud es proporcional al retardo entre estos. Esta figura sirve para ilustrar en parte el concepto de Internet.

18 2 Ahora bien, cada conexión que se realiza en una red entre 2 dispositivos se denomina enlace; y en este caso se trata de un enlace punto a punto. Los enlaces son conexiones lógicas entre estos 2 dispositivos los cuales realizan un intercambio de información a través del mismo. Además de las redes públicas, existen redes privadas que utilizan direcciones IP reservadas. Las empresas desde las más pequeñas hasta las más grandes, deben administrar y hacer un correcto uso del direccionamiento IP público. Ya que las direcciones IPv4 (Internet Protocol versión 4) públicas están casi agotadas y no se puede asignar una dirección IP pública a cada equipo terminal, se decide crear una red privada con segmentos de direcciones IPv4 que están reservadas para dicha tarea. Estos segmentos de direcciones IP usados para los dispositivos en redes locales no pueden conectarse a una red pública a menos que tengan un dispositivo intermediario realizando NAT (Network Address Translation, traducido: Traducción de Dirección de Red) [2]. De modo que esta red interna que se direcciona con IP privadas se denomina red LAN (Local Area Network, traducido: Red de Área Local) del dominio de la empresa. Todos los equipos de la red LAN pueden comunicarse e intercambiar información entre ellos sin necesidad de realizar un NAT por parte de un equipo intermediario. Los equipos de capa 3, los enrutadores y/o firewalls (traducido: cortafuegos) son los encargados de enrutar los paquetes que son dirigidos hacia otra red LAN externa o viceversa. El Internet está conformado por miles o millones de redes LAN las cuales se comunican entre sí. En muchas ocasiones las redes LAN están separadas físicamente por grandes distancias. En este caso se debe recurrir a los ISPs (Internet Service Providers, traducido: Proveedores de Servicio de Internet) para que proporcione un enlace físico y lógico entre ambas localidades. Estás redes de conexiones a largas distancias donde se arrenda un enlace con un ISP se denominan redes WAN (Wide Area Network, traducido: Red de Área Extendida). Las WAN utilizan dispositivos de red diseñados específicamente para realizar las interconexiones entre las LAN. Dada la importancia de estos dispositivos para la red, la configuración, la instalación y el mantenimiento de los mismos son aptitudes complementarias de la función de la red de una organización. Aunque la empresa mantiene todas las políticas y la administración de las LAN en ambos extremos de la conexión, las políticas dentro de la red del

19 3 proveedor del servicio de comunicaciones las controla el ISP [3]. A continuación se muestra una figura donde se ilustra el concepto de 2 redes LAN y una red WAN que las interconecta: Figura II. Representación de una red LAN y una red WAN [3]. Como se hizo referencia en el párrafo anterior, la administración de los enlaces WAN arrendados está a cargo de los ISP. En el mejor de los casos, se desea que este enlace este siempre activo y disponible, ya que además esta afirmación está garantizada por el contrato de arrendamiento del servicio. Lamentablemente siempre existe la posibilidad de que se presenten fallos o averías a nivel de los ISP, por lo tanto el enlace se observará caído. En estos casos, los especialistas en administración de redes de información así como las grandes empresas del área, recomiendan que para solventar o afrontar esta situación es importante contar siempre con un enlace de respaldo o de contingencia. El problema que se presenta con esta solución es el factor económico. Los enlaces WAN arrendados a los ISP pueden resultar bastante costosos, y el hecho de tener que arrendar un enlace adicional puede ser en muchos casos inviable para la empresa. Otra problemática se presenta a la hora de determinar que uso tendrá el segundo enlace. En algunos casos, se negocia con el ISP que se arrenden 2 enlaces con menor ancho de banda de transmisión que un único enlace de mayor capacidad. Esto se estila para dividir el tráfico de datos entre los puertos del enlace de manera balanceada; esto se denomina balanceo de cargas. La desventaja de esta solución sigue siendo el factor económico, ya que algunas empresas pequeñas no pueden darse el lujo de arrendar un enlace y mucho menos 2 de estos. Además puede ocurrir que si uno de ellos falla, como se trata del mismo ISP, es muy probablemente que el segundo

20 4 falle también. Y en dado caso que solo falle uno de los dos, al aplicar el balanceo de carga, todo el tráfico de información se redirigirá por enlace que permanezca activo, muy probablemente sobrecargando el mismo. En otros casos, se busca una solución alternativa. Desde hace un tiempo existe una tecnología de redes que ha registrado un aumento de uso por parte de las empresas, sobre todo a raíz de los altos costos que se pueden generar al arrendar una conexión particular. Se trata del uso de VPNs (Virtual Private Network, traducido: Red Privada Virtual) sobre Internet. Como su nombre lo explica, se trata de crear virtualmente redes privadas de uso particular de una empresa u organización sobre la red pública de Internet. Esto se logra básicamente al asegurar que el tráfico que va de una red LAN privada, hacia otra red privada de la misma organización u otras redes, se transmita a través de una red pública sin que nadie pueda descifrar, modificar o robar el contenido. De esta manera se extiende la red local privada sobre una red pública como el Internet, cuyo acceso al medio se puede realizar a través de un modem DSL (Digital Suscriber Line, traducido: Línea Digital Arrendada) o a través de una conexión ISDN (Integrated Services Digital Network, traducido: Red Digital de Servicios Integrados) de banda ancha. A continuación en la figura III, se muestra un ejemplo común de una empresa que tiene un enlace WAN primario arrendado y un enlace de respaldo sobre la red pública. Figura III. Diagrama de una empresa con una red WAN principal y un respaldo [4]. En el ejemplo ilustrado en la figura III, observamos un caso de una compañía que tiene su edificio principal de operaciones y sus oficinas sucursales, todos ellos interconectados entre sí.

21 5 Este es un ejemplo particular de las VPN en la cual la conexión se realiza entre varias redes LAN privadas entre sí; a estas tecnologías de conexión VPN entre varias sedes con su centro principal de operaciones se le denomina BOVPN (Branch Office Virtual Private Network, traducido: Red Privada Virtual de Oficina Sucursal). La ventaja principal que ofrecen las BOVPNs es que no necesitan un arrendamiento de un circuito o enlace dedicado, por lo cual su costo es mucho menor. Adicionalmente, se pueden utilizar de igual forma para distribuir parte del tráfico de la red hacia el destino a través del enlace de respaldo, el cual no tiene la capacidad de transmitir con el mismo ancho de banda que un enlace dedicado, pero puede ayudar a disminuir la cantidad de información que se transmite cuando el enlace principal está sobrecargado. Actualmente, como empresa objeto de este proyecto, Inelectra no posee enlaces de respaldo entre sus sedes. Cuando el enlace principal arrendado al ISP falla, el tráfico de información entre los puertos se cae, generando un gran impacto en el común desenvolvimiento de las operaciones y del trabajo de los empleados de la empresa. Esto se debe a que muchos usuarios requieren de gran cantidad de información que no se encuentra en la red LAN local, y para acceder a ella deben usar los enlaces WAN. Adicionalmente, la topología lógica de red de la empresa es de tipo estrella, por lo que existe un solo enlace de conexión entre las oficinas sucursales y la sede principal. Si estos enlaces WAN fallan, las oficinas sucursales quedan sin conexión, no solo con la sede principal, sino con toda su red interna. En los capítulos siguientes se explicará esta situación con mayor detalle. I. Objetivo general: El objetivo general de este proyecto es realizar el análisis de la situación actual de la empresa Inelectra en el ámbito de redes de contingencia para así diseñar y validar una solución que implique un enlace de respaldo basado en interconexión de BOVPN sobre Internet entre la oficina principal de Inelectra Venezuela ubicada en Santa Paula y otra sede de proyectos ubicada en Caracas. Esta solución se plantea además para satisfacer las necesidades de la empresa, para poder contar con opciones de conectividad entre sedes cuando el enlace principal se ve afectado.

22 6 II. Objetivos específicos: Para cumplir con el objetivo general, se deben cumplir una serie de actividades previas, las cuales se dividieron en una serie de objetivos específicos o secundarios. Entre estos objetivos tenemos: Documentación: Se debe documentar e investigar acerca de la situación actual de la empresa en el ámbito de enlaces de respaldo y los requerimientos particulares que se deseen para ofrecer la solución a la necesidad; adicionalmente, se debe realizar levantamiento de información acerca de la topología de las redes LAN y WAN de la empresa. Análisis y evaluación de posibles soluciones a recomendar: Basado en factibilidades tecnológicas y económicas. En este diseño se debe tomar en cuenta tanto las tecnologías ofrecidas por las compañías cuyos productos posee la empresa, así como la factibilidad económica de la empresa para implementar el diseño. Diseñar la batería de pruebas y el ambiente de laboratorio: Para preparar el ambiente de laboratorio, se debe investigar sobre la programación e instalación de los equipos a emplear y una vez configurados e instalados, se debe observar las herramientas de monitoreo o protocolos de prueba que se aplican comúnmente en las redes de información. Realizar las pruebas de interconexión entre los equipos y de la solución BOVPN: Esta solución debe ser implementable dentro de la topología actual de la empresa y no presentar problemas de compatibilidad con los equipos que estén en producción. También, se deben realizar las pruebas para verificar los protocolos de enrutamiento dinámicos que se van a utilizar para enrutar el tráfico tanto por el enlace principal como por el de respaldo Realizar un informe de las pruebas de solución BOVPN con sus respectivos resultados: En base a éste, se deben elaborar las recomendaciones para la implementación de la misma con los equipos de la empresa en producción.